EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 62018CJ0311

Domstolens dom (stora avdelningen) av den 16 juli 2020.
Data Protection Commissioner mot Facebook Ireland Limited och Maximillian Schrems.
Begäran om förhandsavgörande från High Court (Irland).
Begäran om förhandsavgörande – Skydd för enskilda personer med avseende på behandling av personuppgifter – Europeiska unionens stadga om de grundläggande rättigheterna – Artiklarna 7, 8 och 47 – Förordning (EU) 2016/679 – Artikel 2.2 – Tillämpningsområde – Överföring av personuppgifter till tredje land för kommersiella syften – Artikel 45 – Kommissionens beslut om adekvat skyddsnivå – Artikel 46 – Överföringar som omfattas av lämpliga skyddsåtgärder – Artikel 58 – Tillsynsmyndigheternas befogenhet – Behandling av de överförda uppgifterna som utförs av myndigheterna i ett tredjeland för syften som avser den nationella säkerheten – Bedömning av huruvida en adekvat skyddsnivå säkerställs i ett tredjeland – Beslut 2010/87/EU – Standardiserade skyddsklausuler för överföring av personuppgifter till tredjeland – Lämpliga skyddsåtgärder som vidtas av den personuppgiftsansvarige – Giltighet – Genomförandebeslut (EU) 2016/1250 – Säkerställande av adekvat skydd genom skölden för skydd av privatlivet i Europeiska unionen-Förenta staterna – Giltighet – Klagomål från en enskild person vars uppgifter har överförts från Europeiska unionen till Förenta staterna.
Mål C-311/18.

ECLI identifier: ECLI:EU:C:2020:559

 DOMSTOLENS DOM (stora avdelningen)

den 16 juli 2020 ( *1 )

”Begäran om förhandsavgörande – Skydd för enskilda personer med avseende på behandling av personuppgifter – Europeiska unionens stadga om de grundläggande rättigheterna – Artiklarna 7, 8 och 47 – Förordning (EU) 2016/679 – Artikel 2.2 – Tillämpningsområde – Överföring av personuppgifter till tredje land för kommersiella syften – Artikel 45 – Kommissionens beslut om adekvat skyddsnivå – Artikel 46 – Överföringar som omfattas av lämpliga skyddsåtgärder – Artikel 58 – Tillsynsmyndigheternas befogenhet – Behandling av de överförda uppgifterna som utförs av myndigheterna i ett tredjeland för syften som avser den nationella säkerheten – Bedömning av huruvida en adekvat skyddsnivå säkerställs i ett tredjeland – Beslut 2010/87/EU – Standardiserade skyddsklausuler för överföring av personuppgifter till tredjeland – Lämpliga skyddsåtgärder som vidtas av den personuppgiftsansvarige – Giltighet – Genomförandebeslut (EU) 2016/1250 – Säkerställande av adekvat skydd genom skölden för skydd av privatlivet i Europeiska unionen-Förenta staterna – Giltighet – Klagomål från en enskild person vars uppgifter har överförts från Europeiska unionen till Förenta staterna”

I mål C‑311/18,

angående en begäran om förhandsavgörande enligt artikel 267 FEUF, framställd av High Court (Förvaltningsöverdomstolen, Irland) genom beslut av den 4 maj 2018, som inkom till domstolen den 9 maj 2018, i målet

Data Protection Commissioner

mot

Facebook Ireland Ltd,

Maximillian Schrems,

ytterligare deltagare i rättegången:

The United States of America,

Electronic Privacy Information Centre,

BSA Business Software Alliance, Inc.,

Digitaleurope,

meddelar

DOMSTOLEN (stora avdelningen)

sammansatt av ordföranden K. Lenaerts, vice ordföranden R. Silva de Lapuerta, avdelningsordförandena A. Arabadjiev, A. Prechal, M. Vilaras, M. Safjan, S. Rodin, P.G. Xuereb, L.S. Rossi och I. Jarukaitis samt domarna M. Ilešič, T. von Danwitz (referent) och D. Šváby,

generaladvokat: H. Saugmandsgaard Øe,

justitiesekreterare: handläggaren C. Strömholm,

efter det skriftliga förfarandet och förhandlingen den 9 juli 2019,

med beaktande av de yttranden som avgetts av:

Data Protection Commissioner, genom D. Young, solicitor, B. Murray, SC, M. Collins, SC, och C. Donnelly, BL,

Facebook Ireland Ltd, genom P. Gallagher, SC, N. Hyland, SC, A. Mulligan, BL, F. Kieran, BL, samt P. Nolan, C. Monaghan, C. O’Neill och R. Woulfe, solicitors,

Maximillian Schrems, genom H. Hofmann, Rechtsanwalt, E. McCullough, SC, J. Doherty, SC, S. O’Sullivan, SC, och G. Rudden, solicitor,

The United States of America, genom E. Barrington, SC, och S. Kingston, BL, samt S. Barton och B. Walsh, solicitors,

Electronic Privacy Information Centre, genom S. Lucey, solicitor, G. Gilmore, BL, A. Butler, BL, och C. O’Dwyer, SC,

BSA Business Software Alliance Inc., genom B. Van Vooren och K. Van Quathem, advocaten,

Digitaleurope, genom N. Cahill, barrister, J. Cahir, solicitor, och M. Cush, SC,

Irland, genom A. Joyce och M. Browne, båda i egenskap av ombud, biträdda av D. Fennelly, BL,

Belgiens regering, genom J.-C. Halleux och P. Cottin, båda i egenskap av ombud,

Tjeckiens regering, genom M. Smolek, J. Vláčil, O. Serdula och A. Kasalická, samtliga i egenskap av ombud,

Tysklands regering, genom J. Möller, D. Klebs och T. Henze, samtliga i egenskap av ombud,

Frankrikes regering, genom A.-L. Desjonquères, i egenskap av ombud,

Nederländernas regering, genom C.S. Schillemans, K. Bulterman och M. Noort, samtliga i egenskap av ombud,

Österrikes regering, genom J. Schmoll och G. Kunnert, båda i egenskap av ombud,

Polens regering, genom B. Majczyna, i egenskap av ombud,

Portugals regering, genom L. Inez Fernandes, A. Pimenta och C. Vieira Guerra, samtliga i egenskap av ombud,

Förenade kungarikets regering, genom S. Brandon och D. Guðmundsdóttir, båda i egenskap av ombud, biträdda av J. Holmes, QC, och C. Knight, barrister,

Europaparlamentet, genom M.J. Martínez Iglesias och A. Caiola, båda i egenskap av ombud,

Europeiska kommissionen, genom D. Nardi, H. Krämer och H. Kranenborg, samtliga i egenskap av ombud,

Europeiska dataskyddsstyrelsen (EDPB), genom A. Jelinek och K. Behn, båda i egenskap av ombud,

och efter att den 19 december 2019 ha hört generaladvokatens förslag till avgörande,

följande

Dom

1

Begäran om förhandsavgörande avser

tolkningen av artikel 3.2 första strecksatsen, artiklarna 25, 26 och artikel 28.3 i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 1995, s. 31), jämförda med artikel 4.2 FEU samt artiklarna 7, 8 och 47 i Europeiska unionens stadga om de grundläggande rättigheterna (nedan kallad stadgan),

tolkningen och giltigheten av kommissionens beslut 2010/87/EU av den 5 februari 2010 om standardavtalsklausuler för överföring av personuppgifter till registerförare etablerade i tredjeland i enlighet med Europaparlamentets och rådets direktiv 95/46 (EUT L 39, 2010, s. 5), i dess lydelse enligt kommissionens genomförandebeslut (EU) 2016/2297 av den 16 december 2016 (EUT L 344, 2016, s. 100) (nedan kallat beslutet om standardavtalsklausuler), samt

tolkningen och giltigheten av kommissionens genomförandebeslut (EU) 2016/1250 av den 12 juli 2016 enligt Europaparlamentets och rådets direktiv 95/46 om huruvida ett adekvat skydd säkerställs genom skölden för skydd av privatlivet i EU och Förenta staterna (EUT L 207, 2016, s. 1) (nedan kallat beslutet om skölden för skydd av privatlivet).

2

Begäran har framställts i ett mål mellan Data Protection Commissioner (dataskyddsmyndigheten, Irland) (nedan kallad dataskyddsmyndigheten), å den ena sidan, och Facebook Ireland Ltd (nedan kallat Facebook Ireland) och Maximillian Schrems, å den andra sidan, angående ett klagomål från Maximillian Schrems rörande Facebook Irelands överföring av hans personuppgifter till Facebook Inc. i Förenta staterna.

Tillämpliga bestämmelser

Direktiv 95/46

3

I artikel 3 i direktiv 95/46, med rubriken ”Tillämpningsområde”, föreskrevs följande i punkt 2:

”Detta direktiv gäller inte för sådan behandling av personuppgifter

som utgör ett led i en verksamhet som inte omfattas av gemenskapsrätten, exempelvis sådan verksamhet som avses i avdelningarna V och VI i Fördraget om Europeiska unionen, och inte under några omständigheter behandlingar som rör allmän säkerhet, försvar, statens säkerhet (inbegripet statens ekonomiska välstånd när behandlingen har samband med frågor om statens säkerhet) och statens verksamhet på straffrättens område,

– …”

4

I artikel 25 i detta direktiv föreskrevs följande:

”1.   Medlemsstaterna skall föreskriva att överföringen av personuppgifter … till tredje land endast får ske om ifrågavarande tredje land – utan att detta påverkar tillämpningen av de nationella bestämmelser som antagits till följd av de andra bestämmelserna i detta direktiv – säkerställer en adekvat skyddsnivå.

2.   Bedömningen av om skyddsnivån i ett tredje land är adekvat skall ske på grundval av alla de förhållanden som har samband med en överföring eller en grupp av överföringar av uppgifter, …

6.   Kommissionen kan, i enlighet med det i artikel 31.2 angivna förfarandet, konstatera att ett tredje land genom sin interna lagstiftning eller på grund av de internationella förpliktelser som – särskilt till följd av sådana förhandlingar som anges i punkt 5 och som gäller skyddet för privatliv och enskilda personers grundläggande fri- och rättigheter – åligger landet har en skyddsnivå som är adekvat i den mening som avses i punkt 2 i denna artikel.

Medlemsstaterna skall vidta de åtgärder som är nödvändiga för att följa kommissionens beslut.”

5

I artikel 26.2 och 26.4 i nämnda direktiv föreskrevs följande:

”2.   Utan att detta påverkar tillämpningen av punkt 1 får en medlemsstat tillåta överföring av personuppgifter till ett tredje land som inte säkerställer en skyddsnivå som är adekvat enligt artikel 25.2, om den registeransvarige ställer tillräckliga garantier för att privatliv och enskilda personers grundläggande fri- och rättigheter skyddas samt för utövningen av motsvarande rättigheter. Sådana garantier kan framgå av lämpliga avtalsklausuler.

4.   Om kommissionen i enlighet med det förfarande som anges i artikel 31.2 beslutar att vissa standardavtalsklausuler erbjuder tillräckliga garantier enligt punkt 2, skall medlemsstaterna vidta nödvändiga åtgärder för att följa kommissionens beslut.”

6

I artikel 28.3 i direktivet angavs följande:

”Varje tillsynsmyndighet skall särskilt ha

undersökningsbefogenheter, såsom befogenhet att få tillgång till uppgifter som blir föremål för behandling och befogenhet att inhämta alla uppgifter som är nödvändiga för att sköta tillsynen,

effektiva befogenheter att ingripa, som till exempel att kunna avge yttranden i enlighet med artikel 20 innan en behandling äger rum, och se till att sådana yttranden i lämplig omfattning offentliggörs, att kunna besluta om blockering, utplåning eller förstöring av uppgifter, att kunna besluta om tillfälligt eller slutligt förbud mot behandling, att kunna ge den registeransvarige varning eller tillrättavisning eller att kunna hänvisa saken till nationella parlament eller till andra politiska institutioner,

befogenhet att inleda rättsliga förfaranden när de nationella bestämmelser som antagits till följd av detta direktiv har överträtts eller att uppmärksamma de rättsliga myndigheterna på dessa överträdelser.

…”

DSF

7

Direktiv 95/46 har upphävts och ersatts av Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 2016, s. 1) (nedan kallad DSF).

8

I skälen 6, 10, 101, 103, 104, 107–109, 114, 116 och 141 i DSF anges följande:

”(6)

Den snabba tekniska utvecklingen och globaliseringen har skapat nya utmaningar vad gäller skyddet av personuppgifter. Omfattningen av insamling och delning av personuppgifter har ökat avsevärt. Tekniken gör det möjligt för både privata företag och offentliga myndigheter att i sitt arbete använda sig av personuppgifter i en helt ny omfattning. Allt fler fysiska personer gör sina personliga uppgifter allmänt tillgängliga, världen över. Tekniken har omvandlat både ekonomin och det sociala livet, och bör ytterligare underlätta det fria flödet av personuppgifter inom unionen samt överföringar till tredjeländer och internationella organisationer, samtidigt som en hög skyddsnivå säkerställs för personuppgifter.

(10)

För att säkra en enhetlig och hög skyddsnivå för fysiska personer och för att undanröja hindren för flödena av personuppgifter inom unionen bör nivån på skyddet av fysiska personers rättigheter och friheter vid behandling av personuppgifter vara likvärdig i alla medlemsstater. En konsekvent och enhetlig tillämpning av bestämmelserna om skydd av fysiska personers grundläggande rättigheter och friheter vid behandling av personuppgifter bör säkerställas i hela unionen. Vad gäller behandlingen av personuppgifter för att fullgöra en rättslig förpliktelse, för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning som utförs av den personuppgiftsansvarige, bör medlemsstaterna tillåtas att behålla eller införa nationella bestämmelser för att närmare fastställa hur bestämmelserna i denna förordning ska tillämpas. Jämte den allmänna och övergripande lagstiftning om dataskydd varigenom direktiv 95/46/EG genomförs har medlemsstaterna flera sektorsspecifika lagar på områden som kräver mer specifika bestämmelser. Denna förordning ger dessutom medlemsstaterna handlingsutrymme att specificera sina bestämmelser, även för behandlingen av särskilda kategorier av personuppgifter (nedan kallade känsliga uppgifter). Denna förordning utesluter inte att det i medlemsstaternas nationella rätt fastställs närmare omständigheter för specifika situationer där uppgifter behandlas, inbegripet mer exakta villkor för laglig behandling av personuppgifter.

(101)

Flöden av personuppgifter till och från länder utanför unionen och till och från internationella organisationer är nödvändiga för utvecklingen av internationell handel och internationellt samarbete. Ökningen av dessa flöden har medfört nya utmaningar och nya farhågor när det gäller skyddet av personuppgifter. Det är viktigt att den skyddsnivå som fysiska personer säkerställs inom unionen genom denna förordning inte undergrävs när personuppgifter överförs från unionen till personuppgiftsansvariga, personuppgiftsbiträden eller andra mottagare i tredjeland eller till internationella organisationer, vilket inbegriper vidarebefordran av personuppgifter från tredjelandet eller den internationella organisationen till personuppgiftsansvariga, personuppgiftsbiträden i samma eller ett annat tredjeland eller en annan internationell organisation. Överföringar till tredjeländer och internationella organisationer får under alla omständigheter endast utföras i full överensstämmelse med denna förordning. En överföring kan endast ske, om de villkor som fastställs i bestämmelserna i denna förordning om överföring av personuppgifter till tredjeländer eller internationella organisationer har uppfyllts av den personuppgiftsansvarige eller personuppgiftsbiträdet, med förbehåll för de övriga bestämmelserna i denna förordning.

(103)

Kommissionen kan med verkan för hela unionen fastställa att ett tredjeland, ett territorium eller en specificerad sektor i ett tredjeland eller en internationell organisation erbjuder en adekvat dataskyddsnivå och på så sätt skapa rättslig säkerhet och enhetlighet i hela unionen vad gäller tredjelandet eller den internationella organisationen som anses tillhandahålla en sådan skyddsnivå. I dessa fall får överföringar av personuppgifter till det tredjelandet eller den internationella organisationen ske utan ytterligare tillstånd. Kommissionen kan också, efter att ha underrättat tredjelandet eller den internationella organisationen och lämnat en fullständig motivering, besluta att ett sådant beslut ska återkallas.

(104)

I enlighet med de grundläggande värderingar som unionen bygger på, bland annat skyddet av mänskliga rättigheter, bör kommissionen i sin bedömning av tredjelandet eller ett territorium eller en specificerad sektor i ett tredjeland beakta hur ett visst tredjeland respekterar rättsstatsprincipen, tillgången till rättslig prövning samt internationella människorättsnormer och -standarder samt landets allmänna lagstiftning och sektorslagstiftning, inklusive lagstiftning om allmän säkerhet, försvar och nationell säkerhet samt allmän ordning och straffrätt. Vid antagandet av ett beslut om adekvat skyddsnivå avseende ett territorium eller en specificerad sektor i ett tredjeland bör hänsyn tas till tydliga och objektiva kriterier, t.ex. specifik behandling och tillämpningsområdet för tillämpliga rättsliga standarder och gällande lagstiftning i tredjelandet. Tredjelandet bör erbjuda garantier som säkerställer en tillfredsställande skyddsnivå som i huvudsak motsvarar den som säkerställs i unionen, i synnerhet när personuppgifter behandlas inom en eller flera specifika sektorer. Tredjelandet bör framför allt säkerställa en effektiv oberoende dataskyddsövervakning och sörja för samarbetsmekanismer med medlemsstaternas dataskyddsmyndigheter, och de registrerade bör tillförsäkras effektiva och lagstadgade rättigheter samt effektiv administrativ och rättslig prövning.

(107)

Kommissionen kan konstatera att ett tredjeland, ett territorium eller en viss specificerad sektor i ett tredjeland eller en internationell organisation inte längre säkerställer en adekvat dataskyddsnivå. Överföring av personuppgifter till detta tredjeland eller till denna internationella organisation bör då förbjudas, såvida inte kraven i denna förordning avseende överföring med stöd av lämpliga skyddsåtgärder, inbegripet bindande företagsbestämmelser och undantag för särskilda situationer, är uppfyllda. I så fall bör det finnas möjlighet till samråd mellan kommissionen och dessa tredjeländer eller internationella organisationer. Kommissionen bör i god tid informera tredjelandet eller den internationella organisationen om skälen och inleda samråd med tredjelandet eller organisationen för att avhjälpa situationen.

(108)

Saknas beslut om adekvat skyddsnivå bör den personuppgiftsansvarige eller personuppgiftsbiträdet vidta åtgärder för att kompensera för det bristande dataskyddet i ett tredjeland med hjälp av lämpliga skyddsåtgärder för den registrerade. Sådana lämpliga skyddsåtgärder kan bestå i tillämpning av bindande företagsbestämmelser, standardbestämmelser om dataskydd som antagits av kommissionen, standardbestämmelser om dataskydd som antagits av en tillsynsmyndighet eller avtalsbestämmelser som godkänts av en tillsynsmyndighet. Dessa skyddsåtgärder bör säkerställa iakttagande av de krav i fråga om dataskydd och registrerades rättigheter som är lämpliga för behandling inom unionen, inbegripet huruvida bindande rättigheter för de registrerade och effektiva rättsmedel är tillgängliga, inbegripet en faktisk rätt att föra talan på administrativ väg eller inför domstol och att kräva kompensation i unionen eller i ett tredjeland. De bör särskilt gälla överensstämmelse med allmänna principer för behandling av personuppgifter samt principerna om inbyggt dataskydd och dataskydd som standard. …

(109)

Personuppgiftsansvarigas eller personuppgiftsbiträdens möjlighet att använda standardiserade dataskyddsbestämmelser som antagits av kommissionen eller av en tillsynsmyndighet bör inte hindra att de infogar standardiserade dataskyddsbestämmelser i ett vidare avtal, såsom ett avtal mellan personuppgiftsbiträdet och ett annat personuppgiftsbiträde, eller lägger till andra bestämmelser eller ytterligare skyddsåtgärder, under förutsättning att de inte direkt eller indirekt står i strid med standardavtalsklausuler som antagits av kommissionen eller av en tillsynsmyndighet eller påverkar de registrerades grundläggande rättigheter eller friheter. Personuppgiftsansvariga och personuppgiftsbiträden bör uppmuntras att tillhandahålla ytterligare skyddsåtgärder via avtalsmässiga åtaganden som kompletterar de standardiserade skyddsbestämmelserna.

(114)

Om kommissionen inte har fattat beslut om adekvat dataskyddsnivå i ett tredjeland, bör den personuppgiftsansvarige eller personuppgiftsbiträdet i alla fall använda sig av lösningar som ger de registrerade verkställbara och effektiva rättigheter vad gäller behandlingen av deras personuppgifter inom unionen när dessa uppgifter väl har överförts, så att de fortsatt kan utöva sina grundläggande rättigheter och att skyddsåtgärder fortsatt gäller i förhållande till dem.

(116)

När personuppgifter förs över gränser utanför unionen kan detta öka risken för att fysiska personer inte kan utöva sina dataskyddsrättigheter, i synnerhet för att skydda sig från otillåten användning eller otillåtet utlämnande av denna information. Samtidigt kan tillsynsmyndigheter finna att de inte är i stånd att handlägga klagomål eller göra utredningar som gäller verksamheter utanför gränserna för deras land. Deras strävan att arbeta tillsammans över gränserna kan också hindras av otillräckliga preventiva eller korrigerande befogenheter, oenhetliga rättsliga regelverk och praktiska hinder, som exempelvis bristande resurser. …

(141)

Alla registrerade bör ha rätt att lämna in ett klagomål till en enda tillsynsmyndighet, särskilt i den medlemsstat där den registrerade har sin hemvist, och ha rätt till ett effektivt rättsmedel i enlighet med artikel 47 i stadgan, om den registrerade anser att hans eller hennes rättigheter enligt denna förordning har kränkts eller om tillsynsmyndigheten inte reagerar på ett klagomål, helt eller delvis avslår eller avvisar ett klagomål eller inte agerar när så är nödvändigt för att skydda den registrerades rättigheter. …”

9

I artikel 2.1 och 2.2 i förordningen föreskrivs följande:

”1.   Denna förordning ska tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register.

2.   Denna förordning ska inte tillämpas på behandling av personuppgifter som

a)

utgör ett led i en verksamhet som inte omfattas av unionsrätten,

b)

medlemsstaterna utför när de bedriver verksamhet som omfattas av avdelning V kapitel 2 i EU-fördraget,

c)

en fysisk person utför som ett led i verksamhet av rent privat natur eller som har samband med hans eller hennes hushåll,

d)

behöriga myndigheter utför i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i vilket även ingår att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten.”

10

I artikel 4 i förordningen föreskrivs följande:

”I denna förordning avses med

2.

behandling: en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring,

7.

personuppgiftsansvarig: en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter; om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt,

8.

personuppgiftsbiträde: en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning,

9.

mottagare: en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som personuppgifterna utlämnas till, oavsett om det rör sig om en tredje part eller inte; offentliga myndigheter som kan komma att motta personuppgifter inom ramen för ett särskilt uppdrag i enlighet med unionsrätten eller medlemsstaternas nationella rätt ska dock inte betraktas som mottagare; offentliga myndigheters behandling av dessa uppgifter ska vara förenlig med tillämpliga bestämmelser för dataskydd beroende på behandlingens syfte,

…”

11

Artikel 23 i förordningen har följande lydelse:

”1.   Det ska vara möjligt att i unionsrätten eller i en medlemsstats nationella rätt som den personuppgiftsansvarige eller personuppgiftsbiträdet omfattas av införa en lagstiftningsåtgärd som begränsar tillämpningsområdet för de skyldigheter och rättigheter som föreskrivs i artiklarna 12–22 och 34, samt artikel 5 i den mån dess bestämmelser motsvarar de rättigheter och skyldigheter som fastställs i artiklarna 12–22, om en sådan begränsning sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa

a)

den nationella säkerheten,

b)

försvaret,

c)

den allmänna säkerheten,

d)

förebyggande, förhindrande, utredning, avslöjande eller lagföring av brott eller verkställande av straffrättsliga sanktioner, inbegripet skydd mot samt förebyggande och förhindrande av hot mot den allmänna säkerheten,

2.   Framför allt ska alla lagstiftningsåtgärder som avses i punkt 1 innehålla specifika bestämmelser åtminstone, när så är relevant, avseende

a)

ändamålen med behandlingen eller kategorierna av behandling,

b)

kategorierna av personuppgifter,

c)

omfattningen av de införda begränsningarna,

d)

skyddsåtgärder för att förhindra missbruk eller olaglig tillgång eller överföring,

e)

specificeringen av den personuppgiftsansvarige eller kategorierna av personuppgiftsansvariga,

f)

lagringstiden samt tillämpliga skyddsåtgärder med beaktande av behandlingens art, omfattning och ändamål eller kategorierna av behandling,

g)

riskerna för de registrerades rättigheter och friheter, och

h)

de registrerades rätt att bli informerade om begränsningen, såvida detta inte kan inverka menligt på begränsningen.”

12

Kapitel V i DSF, med rubriken ”Överföring av personuppgifter till tredjeländer eller till internationella organisationer”, innehåller artiklarna 44–50. Artikel 44 i förordningen, med rubriken ”Allmän princip för överföring av uppgifter”, har följande lydelse:

”Överföring av personuppgifter som är under behandling eller är avsedda att behandlas efter det att de överförts till ett tredjeland eller en internationell organisation får bara ske under förutsättning att den personuppgiftsansvarige och personuppgiftsbiträdet, med förbehåll för övriga bestämmelser i denna förordning, uppfyller villkoren i detta kapitel, inklusive för vidare överföring av personuppgifter från tredjelandet eller den internationella organisationen till ett annat tredjeland eller en annan internationell organisation. Alla bestämmelser i detta kapitel ska tillämpas för att säkerställa att den nivå på skyddet av fysiska personer som säkerställs genom denna förordning inte undergrävs.”

13

Artikel 45 i förordningen har rubriken ”Överföring på grundval av ett beslut om adekvat skyddsnivå”. I punkterna 1–3 i artikeln föreskrivs följande:

”1.   Personuppgifter får överföras till ett tredjeland eller en internationell organisation om kommissionen har beslutat att tredjelandet, ett territorium eller en eller flera specificerade sektorer i tredjelandet, eller den internationella organisationen i fråga säkerställer en adekvat skyddsnivå. En sådan överföring ska inte kräva något särskilt tillstånd.

2.   När kommissionen bedömer om en adekvat skyddsnivå föreligger ska den särskilt beakta

a)

rättsstatsprincipen, respekten för de mänskliga rättigheterna och de grundläggande friheterna, relevant lagstiftning, både allmän lagstiftning och sektorslagstiftning, inklusive avseende allmän säkerhet, försvar, nationell säkerhet och straffrätt och offentliga myndigheters tillgång till personuppgifter samt tillämpningen av sådan lagstiftning, dataskyddsregler, yrkesregler och säkerhetsbestämmelser, inbegripet regler för vidare överföring av personuppgifter till ett annat tredjeland eller en annan internationell organisation, som ska följas i det landet eller den internationella organisationen, rättspraxis samt faktiska och verkställbara rättigheter för registrerade och effektiv administrativ och rättslig prövning för de registrerade vars personuppgifter överförs,

b)

huruvida det finns en eller flera effektivt fungerande oberoende tillsynsmyndigheter i tredjelandet, eller som utövar tillsyn över den internationella organisationen, som har ansvar för att säkerställa och kontrollera att dataskyddsregler följs, inklusive lämpliga verkställighetsbefogenheter, ge de registrerade råd och assistans när det gäller utövandet av deras rättigheter och samarbeta med medlemsstaternas tillsynsmyndigheter, och

c)

vilka internationella åtaganden det berörda tredjelandet eller den berörda internationella organisationen har gjort, eller andra skyldigheter som följer av rättsligt bindande konventioner eller instrument samt av dess deltagande i multilaterala eller regionala system, särskilt rörande skydd av personuppgifter.

3.   Kommissionen får, efter att ha bedömt om det föreligger en adekvat skyddsnivå, genom en genomförandeakt besluta att ett tredjeland, ett territorium eller en eller flera specificerade sektorer inom ett tredjeland, eller en internationell organisation säkerställer en adekvat skyddsnivå i den mening som avses i punkt 2 i den här artikeln. Genomförandeakten ska inrätta en mekanism för regelbunden översyn, minst vart fjärde år, som ska beakta all relevant utveckling i det tredjelandet eller den internationella organisationen. Beslutets territoriella och sektorsmässiga tillämpning ska regleras i genomförandeakten, där det också i förekommande fall ska anges vilken eller vilka myndigheter som är tillsynsmyndighet(er) enligt punkt 2 b i den här artikeln. Genomförandeakten ska antas i enlighet med det granskningsförfarande som avses i artikel 93.2.”

14

I artikel 46 i förordningen, med rubriken ”Överföring som omfattas av lämpliga skyddsåtgärder”, föreskrivs följande i punkterna 1–3:

”1.   I avsaknad av ett beslut i enlighet med artikel 45.3, får en personuppgiftsansvarig eller ett personuppgiftsbiträde endast överföra personuppgifter till ett tredjeland eller en internationell organisation efter att ha vidtagit lämpliga skyddsåtgärder, och på villkor att lagstadgade rättigheter för registrerade och effektiva rättsmedel för registrerade finns tillgängliga.

2.   Lämpliga skyddsåtgärder enligt punkt 1 får, utan att det krävs särskilt tillstånd från en tillsynsmyndighet, ta formen av

a)

ett rättsligt bindande och verkställbart instrument mellan offentliga myndigheter eller organ,

b)

bindande företagsbestämmelser i enlighet med artikel 47,

c)

standardiserade dataskyddsbestämmelser som antas av kommissionen i enlighet med det granskningsförfarande som avses i artikel 93.2,

d)

standardiserade dataskyddsbestämmelser som antagits av en tillsynsmyndighet och godkänts av kommissionen i enlighet med det granskningsförfarande som avses i artikel 93.2,

e)

en godkänd uppförandekod enlig artikel 40 tillsammans med rättsligt bindande och verkställbara åtaganden för den personuppgiftsansvarige eller personuppgiftsbiträdet i tredjelandet att tillämpa lämpliga skyddsåtgärder, även när det gäller registrerades rättigheter, eller

f)

en godkänd certifieringsmekanism enlig artikel 42 tillsammans med rättsligt bindande och verkställbara åtaganden för den personuppgiftsansvarige, personuppgiftsbiträdet i tredjelandet att tillämpa lämpliga skyddsåtgärder, även när det gäller de registrerades rättigheter.

3.   Med förbehåll för tillstånd från den behöriga tillsynsmyndigheten, får lämpliga skyddsåtgärder enligt punkt 1 också i synnerhet ta formen av

a)

avtalsklausuler mellan den personuppgiftsansvarige eller personuppgiftsbiträdet och den personuppgiftsansvarige, personuppgiftsbiträdet eller mottagaren av personuppgifterna i tredjelandet eller den internationella organisationen, eller

b)

bestämmelser som ska införas i administrativa överenskommelser mellan offentliga myndigheter eller organ vilka inbegriper verkställbara och faktiska rättigheter för registrerade.”

15

I artikel 49 i förordningen, med rubriken ”Undantag i särskilda situationer”, föreskrivs följande:

”1.   Om det inte föreligger något beslut om adekvat skyddsnivå enligt artikel 45.3, eller om lämpliga skyddsåtgärder enligt artikel 46, inbegripet bindande företagsbestämmelser, får en överföring eller uppsättning av överföringar av personuppgifter till ett tredjeland eller en internationell organisation endast ske om något av följande villkor är uppfyllt:

a)

Den registrerade har uttryckligen samtyckt till att uppgifterna får överföras, efter att först ha blivit informerad om de eventuella riskerna med sådana överföringar för den registrerade när det inte föreligger något beslut om adekvat skyddsnivå eller lämpliga skyddsåtgärder.

b)

Överföringen är nödvändig för att fullgöra ett avtal mellan den registrerade och den personuppgiftsansvarige eller för att genomföra åtgärder som föregår ett sådant avtal på den registrerades begäran.

c)

Överföringen är nödvändig för att ingå eller fullgöra ett avtal mellan den personuppgiftsansvarige och en annan fysisk eller juridisk person i den registrerades intresse.

d)

Överföringen är nödvändig av viktiga skäl som rör allmänintresset.

e)

Överföringen är nödvändig för att kunna fastställa, göra gällande eller försvara rättsliga anspråk.

f)

Överföringen är nödvändig för att skydda den registrerades eller andra personers grundläggande intressen, när den registrerade är fysiskt eller rättsligt förhindrad att ge sitt samtycke.

g)

Överföringen görs från ett register som enligt unionsrätten eller medlemsstaternas nationella rätt är avsett att ge allmänheten information och som är tillgängligt antingen för allmänheten eller för var och en som kan styrka ett berättigat intresse, men endast i den utsträckning som de i unionsrätten eller i medlemsstaternas nationella rätt angivna villkoren för tillgänglighet uppfylls i det enskilda fallet.

När en överföring inte skulle kunna grundas på en bestämmelse i artikel 45 eller 46, inklusive bestämmelserna om bindande företagsbestämmelser, och inget av undantagen för en särskild situation som avses i första stycket i den här punkten är tillämpligt, får en överföring till ett tredjeland eller en internationell organisation äga rum endast om överföringen inte är repetitiv, endast gäller ett begränsat antal registrerade, är nödvändig för ändamål som rör den personuppgiftsansvariges tvingande berättigade intressen och den registrerades intressen eller rättigheter och friheter inte väger tyngre, och den personuppgiftsansvarige har bedömt samtliga omständigheter kring överföringen av uppgifter och på grundval av denna bedömning vidtagit lämpliga skyddsåtgärder för att skydda personuppgifter. Den personuppgiftsansvarige ska informera tillsynsmyndigheten om överföringen. Den personuppgiftsansvarige ska utöver tillhandahållande av den information som avses i artiklarna 13 och 14 informera den registrerade om överföringen och om de tvingande berättigade intressen som eftersträvas.

2.   En överföring enligt led g i punkt 1 första stycket får inte omfatta alla personuppgifter eller hela kategorier av personuppgifter som finns i registret. Om registret är avsett att vara tillgängligt för personer med ett berättigat intresse ska överföringen göras endast på begäran av dessa personer eller om de själva är mottagarna.

3.   Leden a, b och c i punkt 1 första stycket samt andra stycket i samma punkt ska inte gälla åtgärder som vidtas av offentliga myndigheter som ett led i utövandet av deras offentliga befogenheter.

4.   Det allmänintresse som avses i led d i punkt 1 första stycket ska vara erkänt i unionsrätten eller i den nationella rätt som den personuppgiftsansvarige omfattas av.

5.   Saknas beslut om adekvat skyddsnivå, får unionsrätten eller medlemsstaternas nationella rätt med hänsyn till viktiga allmänintressen uttryckligen fastställa gränser för överföringen av specifika kategorier av personuppgifter till ett tredjeland eller en internationell organisation. Medlemsstaterna ska underrätta kommissionen om sådana bestämmelser.

6.   Den personuppgiftsansvarige eller personuppgiftsbiträdet ska bevara uppgifter både om bedömningen och om de lämpliga skyddsåtgärder som avses i punkt 1 andra stycket i den här artikeln i det register som avses i artikel 30.”

16

I artikel 51.1 DSF anges följande:

”Varje medlemsstat ska föreskriva att en eller flera offentliga myndigheter ska vara ansvariga för att övervaka tillämpningen av denna förordning, i syfte att skydda fysiska personers grundläggande rättigheter och friheter i samband med behandling samt att underlätta det fria flödet av sådana uppgifter inom unionen (nedan kallad tillsynsmyndighet).”

17

Enligt artikel 55.1 i denna förordning ska ”[v]arje tillsynsmyndighet … vara behörig att utföra de uppgifter och utöva de befogenheter som tilldelas den enligt denna förordning inom sin egen medlemsstats territorium”.

18

I artikel 57.1 i förordningen föreskrivs följande:

”Utan att det påverkar de andra uppgifter som föreskrivs i denna förordning ska varje tillsynsmyndighet på sitt territorium ansvara för följande:

a)

Övervaka och verkställa tillämpningen av denna förordning.

f)

Behandla klagomål från en registrerad …, och där så är lämpligt undersöka den sakfråga som klagomålet gäller och inom rimlig tid underrätta den enskilde om hur undersökningen fortskrider och om resultatet, i synnerhet om det krävs ytterligare undersökningar eller samordning med en annan tillsynsmyndighet.

…”

19

Artikel 58.2 och 58.4 i förordningen har följande lydelse:

”2.   Varje tillsynsmyndighet ska ha samtliga följande korrigerande befogenheter

f)

Införa en tillfällig eller definitiv begränsning av, inklusive ett förbud mot, behandling.

j)

Förelägga om att flödet av uppgifter till en mottagare i tredje land eller en internationell organisation ska avbrytas.

4.   Utövandet av de befogenheter som tillsynsmyndigheten tilldelas enligt denna artikel ska omfattas av lämpliga skyddsåtgärder, inbegripet effektiva rättsmedel och rättssäkerhet, som fastställs i unionsrätten och i medlemsstaternas nationella rätt i enlighet med stadgan.”

20

I artikel 64.2 DSF föreskrivs följande:

”Varje tillsynsmyndighet, [Europeiska dataskyddsstyrelsens (EDPB)] ordförande eller kommissionen får i syfte att erhålla ett yttrande begära att styrelsen granskar en fråga med allmän räckvidd eller som har följder i mer än en medlemsstat, i synnerhet om en behörig myndighet inte uppfyller sina skyldigheter i fråga om ömsesidigt bistånd i enlighet med artikel 61 eller i fråga om gemensamma insatser i enlighet med artikel 62.”

21

Artikel 65.1 i förordningen har följande lydelse:

”För att säkerställa en korrekt och enhetlig tillämpning av denna förordning i enskilda fall ska styrelsen anta ett bindande beslut i följande fall:

c)

Om en behörig tillsynsmyndighet inte begär ett yttrande från styrelsen i de fall som avses i artikel 64.1, eller inte följer ett yttrande som styrelsen avger enligt artikel 64. I detta fall får varje berörd tillsynsmyndighet eller kommissionen översända ärendet till styrelsen.”

22

I artikel 77 i nämnda förordning, med rubriken ”Rätt att lämna in klagomål till en tillsynsmyndighet”, föreskrivs följande:

”1.   Utan att det påverkar något annat administrativt prövningsförfarande eller rättsmedel, ska varje registrerad som anser att behandlingen av personuppgifter som avser henne eller honom strider mot denna förordning ha rätt att lämna in ett klagomål till en tillsynsmyndighet, särskilt i den medlemsstat där han eller hon har sin hemvist eller sin arbetsplats eller där det påstådda intrånget begicks.

2.   Den tillsynsmyndighet till vilken klagomålet har ingetts ska underrätta den enskilde om hur arbetet med klagomålet fortskrider och vad resultatet blir, inbegripet möjligheten till rättslig prövning enligt artikel 78.”

23

I artikel 78 i samma förordning, med rubriken ”Rätt till ett effektivt rättsmedel mot tillsynsmyndighetens beslut”, föreskrivs följande i punkterna 1 och 2:

”1.   Utan att det påverkar något annat administrativt prövningsförfarande eller prövningsförfarande utanför domstol ska varje fysisk eller juridisk person ha rätt till ett effektivt rättsmedel mot ett rättsligt bindande beslut rörande dem som meddelats av en tillsynsmyndighet.

2.   Utan att det påverkar något annat administrativt prövningsförfarande eller prövningsförfarande utanför domstol, ska varje registrerad person ha rätt till ett effektivt rättsmedel om den tillsynsmyndighet som är behörig i enlighet med artiklarna 55 och 56 underlåter att behandla ett klagomål eller att informera den registrerade inom tre månader om hur arbetet med det klagomål som ingetts med stöd av artikel 77 fortskrider eller om dess resultat.”

24

I artikel 94 DSF föreskrivs följande:

”1.   Direktiv [95/46] ska upphöra att gälla med verkan från och med den 25 maj 2018.

2.   Hänvisningar till det upphävda direktivet ska anses som hänvisningar till denna förordning. Hänvisningar till arbetsgruppen för skydd av enskilda med avseende på behandlingen av personuppgifter, som inrättades genom artikel 29 i direktiv [95/46], ska anses som hänvisningar till Europeiska dataskyddsstyrelsen, som inrättas genom denna förordning.”

25

I artikel 99 i förordningen föreskrivs följande:

”1.   Denna förordning träder i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning.

2.   Den ska tillämpas från och med den 25 maj 2018.”

Beslutet om standardavtalsklausuler

26

Skäl 11 i beslutet om standardavtalsklausuler har följande lydelse:

”Tillsynsmyndigheterna i medlemsstaterna har en nyckelroll i samband med denna avtalsmekanism när det gäller att se till att personuppgifter omfattas av tillräckligt skydd efter överföring. I de undantagsfall då uppgiftsutföraren vägrar eller inte kan ge uppgiftsinföraren korrekta instruktioner och det finns en överhängande risk för att de registrerade lider allvarlig skada, bör standardavtalsklausulerna medge tillsynsmyndigheterna rätten att genomföra inspektioner hos uppgiftsinförare och underentreprenörer och i förekommande fall fatta beslut som är bindande för uppgiftsinföraren eller underentreprenören. Tillsynsmyndigheterna bör ha rätt att förbjuda eller avbryta en uppgiftsöverföring eller en serie överföringar som sker enligt standardavtalsklausuler i de undantagsfall där det fastställts att en överföring på avtalsbasis sannolikt har en avsevärt skadlig inverkan på de garantier och åtaganden som ska säkerställa adekvat skydd för den registrerade.”

27

I artikel 1 i detta beslut föreskrivs följande:

”De standardavtalsklausuler som anges i bilagan till detta beslut ska anses ge tillräckliga garantier för skydd av den personliga integriteten och enskildas grundläggande rättigheter och friheter samt för utövandet av motsvarande rättigheter, i enlighet med vad som föreskrivs i artikel 26.2 i direktiv [95/46].”

28

Enligt artikel 2 andra stycket i detta beslut ska det ”tillämpas på överföring av personuppgifter från sådana registeransvariga som är etablerade i Europeiska unionen till sådana mottagare som är etablerade utanför Europeiska unionens territorium och som endast verkar som registerförare”.

29

I artikel 3 i beslutet anges följande:

”I detta beslut avses med

c)

uppgiftsutförare: den registeransvarige som överför personuppgifterna,

d)

uppgiftsinförare: den registerförare som är etablerad i ett tredjeland och som samtycker till att från uppgiftsutföraren ta emot personuppgifter avsedda för behandling för uppgiftsutförarens räkning efter överföringen, enligt dennes instruktioner och i enlighet med detta beslut, såvida inte uppgiftsinföraren omfattas av ett system i det berörda tredjelandet som garanterar ett tillräckligt skydd i den mening som avses i artikel 25.1 i direktiv [95/46],

f)

tillämplig uppgiftsskyddslagstiftning: sådan lagstiftning som avser att skydda personers grundläggande fri- och rättigheter, särskilt deras personliga integritet i samband med behandling av personuppgifter, och som är tillämplig på registeransvariga i den medlemsstat där uppgiftsutföraren är etablerad,

…”

30

I artikel 4 i beslut 2010/87, i dess ursprungliga lydelse före ikraftträdandet av genomförandebeslut 2016/2297, föreskrevs följande:

”1.   Utan att det påverkar rätten för medlemsstaternas behöriga myndigheter att se till att nationella bestämmelser som antagits i enlighet med bestämmelserna i kapitlen II, III, V och VI i direktiv [95/46] följs, får de använda sina befintliga befogenheter för att förbjuda eller avbryta flöden av uppgifter till tredjeland och därigenom skydda enskilda när det gäller behandling av personuppgifter om dem i fall där

a)

det konstateras att uppgiftsinföraren eller en underentreprenör enligt den lagstiftning som gäller för denne ska frångå tillämplig uppgiftsskyddslagstiftning som går utöver de restriktioner som krävs i ett demokratiskt samhälle enligt artikel 13 i direktiv [95/46], om dessa restriktioner sannolikt har en avsevärt skadlig inverkan på de garantier som ställs i tillämplig uppgiftsskyddslagstiftning eller i standardavtalsklausulerna,

b)

en behörig myndighet har fastställt att uppgiftsinföraren eller en underentreprenör inte har följt standardavtalsklausulerna i bilagan, eller

c)

det finns skälig grund att anta att standardavtalsklausulerna i bilagan inte följs eller inte kommer att följas och att fortsatt överföring skulle medföra en överhängande risk för allvarlig skada för de registrerade.

2.   Förbudet eller avbrottet enligt punkt 1 ska upphöra så snart som skälen för förbudet eller avbrottet inte längre föreligger.

3.   När medlemsstaterna vidtar åtgärder i enlighet med punkterna 1 och 2 ska de utan dröjsmål underrätta kommissionen, som ska vidarebefordra uppgifterna till övriga medlemsstater.”

31

Skäl 5 i genomförandebeslut 2016/2297, som antogs till följd av domen av den 6 oktober 2015, Schrems (C‑362/14, EU:C:2015:650), har följande lydelse:

”På motsvarande sätt är ett kommissionsbeslut som antagits i enlighet med artikel 26.4 i direktiv [95/46] bindande för alla organ i de medlemsstater till vilka det riktar sig, inbegripet deras oberoende tillsynsmyndigheter, i den mån beslutet innebär ett erkännande av att överföringar som görs på grundval av däri angivna standardavtalsklausuler ger tillräckliga garantier enligt artikel 26.2 i det direktivet. Detta hindrar inte en nationell tillsynsmyndighet från att utöva sina befogenheter att kontrollera dataflödena, inbegripet befogenheten att tillfälligt eller slutligt förbjuda överföring av personuppgifter, om den fastställer att överföringen sker i strid med EUs eller nationell dataskyddslagstiftning, exempelvis om uppgiftsinföraren inte iakttar standardavtalsklausulerna.”

32

I den nuvarande lydelsen av artikel 4 i beslutet om standardavtalsklausuler, enligt genomförandebeslut 2016/2297, föreskrivs följande:

”När de behöriga myndigheterna i en medlemsstat utövar sina befogenheter enligt artikel 28.3 i direktiv [95/46] och detta leder till ett tillfälligt eller slutligt förbud mot dataflöden till tredjeländer i syfte att skydda enskilda personer med avseende på behandlingen av deras personuppgifter, ska den berörda medlemsstaten utan dröjsmål underrätta kommissionen och vidarebefordra underrättelsen till de övriga medlemsstaterna.”

33

Bilagan till beslutet om standardavtalsklausuler, med rubriken ”Standardavtalsklausuler (’registerförare’)”, innehåller 12 standardklausuler. I klausul 3, med rubriken ”Tredjepartsberättigande”, föreskrivs följande:

”1. Den registrerade kan i egenskap av berättigad tredjepart åberopa denna klausul och klausulerna 4 b–i, 5 a–e och 5 g–j, 6.1–2, 7, 8.2 samt klausulerna 9–12 gentemot uppgiftsutföraren.

2. Den registrerade kan gentemot uppgiftsinföraren åberopa denna klausul, klausulerna 5 a–e och 5 g, klausulerna 6, 7, 8.2 samt klausulerna 9–12 i sådana fall där uppgiftsutföraren har upphört att existera i faktisk eller rättslig mening, såvida inte en annan enhet enligt avtal eller lag till fullo har övertagit uppgiftsutförarens rättsliga skyldigheter, och som en följd av detta påtar sig uppgiftsutförarens rättigheter och skyldigheter, i vilket fall den registrerade kan åberopa de ovannämnda klausulerna gentemot denna.

…”

34

Klausul 4 i denna bilaga, som har rubriken ”Uppgiftsutförarens skyldigheter”, har följande lydelse:

”Uppgiftsutföraren godtar och garanterar

a)

att behandlingen, inbegripet själva överföringen, av personuppgifterna har skett och även i fortsättningen kommer att ske i enlighet med tillämplig uppgiftsskyddslagstiftning (och i förekommande fall anmäls till behöriga myndigheter i den medlemsstat där uppgiftsutföraren är etablerad) och inte strider mot gällande lagar eller andra författningar i den medlemsstaten,

b)

att han instruerat och under behandlingen av personuppgifter kommer att instruera uppgiftsinföraren att behandla de överförda personuppgifterna endast för uppgiftsutförarens räkning och i enlighet med tillämplig uppgiftsskyddslagstiftning och klausulerna,

f)

att, om överföringen avser särskilda kategorier av uppgifter, de registrerade har informerats eller informeras senast när överföringen sker eller så snart som möjligt därefter om att deras uppgifter kan komma att överföras till ett tredjeland som inte tillhandahåller adekvat skydd i den mening som avses i direktiv [95/46],

g)

att vidarebefordra anmälningar från uppgiftsinföraren eller eventuella underentreprenörer i enlighet med klausul 5 b och klausul 8.3 till tillsynsmyndigheten om uppgiftsutföraren beslutar att fortsätta överföringen eller häva avbrottet,

…”

35

Klausul 5 i nämnda bilaga, med rubriken ”Uppgiftsinförarens skyldigheter …”, har följande lydelse:

”Uppgiftsinföraren godtar och garanterar

a)

att behandla personuppgifter för uppgiftsutförarens räkning och enlighet med dennes instruktioner samt dessa klausuler; om han av något skäl inte kan fullgöra detta krav går han med på att omedelbart informera uppgiftsutföraren om detta, varvid uppgiftsutföraren har rätt att avbryta överföringen av uppgifter och/eller häva avtalet,

b)

att han inte har anledning att förmoda att den lagstiftning som är tillämplig på honom hindrar honom från att fullfölja uppdragsutförarens instruktioner och sina skyldigheter enligt detta avtal; om lagstiftningen ändras på ett sätt som sannolikt har en avsevärt skadlig inverkan på de garantier som klausulerna innebär, ska han anmäla ändringen till uppgiftsutföraren, varvid uppgiftsutföraren har rätt att avbryta överföringen av uppgifter och/eller häva avtalet,

d)

att utan dröjsmål kommer att underrätta uppgiftsutföraren om

i)

varje rättsligt bindande begäran från rättsliga myndigheter om utlämnande av personuppgifterna, om inte detta är förbjudet på grund av exempelvis ett straffrättsligt förbud som syftar till att bevara sekretessen vid brottsutredningar,

ii)

varje oavsiktlig eller otillåten åtkomst, och

iii)

varje förfrågan direkt från de registrerade, utan att svara på dem om han inte givits tillstånd till det,

…”

36

I fotnoten som det hänvisas till i rubriken till klausul 5 anges följande:

”Standardavtalsklausulerna är inte oförenliga med obligatoriska krav i den nationella lagstiftning som är tillämplig på uppgiftsinföraren, förutsatt att kraven inte går utöver vad som är nödvändigt i ett demokratiskt samhälle på någon av de grunder som anges i artikel 13.1 i direktiv [95/46], dvs. om det är en nödvändig åtgärd med hänsyn till statens säkerhet, försvaret, den allmänna säkerheten, förebyggande, undersökning, avslöjande av brott eller åtal för brott eller av överträdelser av etiska regler som gäller för lagreglerade yrken, ett för staten viktigt ekonomiskt eller finansiellt intresse eller skydd av den registrerades eller andras fri- och rättigheter. …”

37

Klausul 6 i bilagan till beslutet om standardavtalsklausuler, med rubriken ”Ansvar”, har följande lydelse:

”1. Parterna är överens om att en registrerad som lidit skada till följd av att en part eller en parts underentreprenör brutit mot de skyldigheter som avses i klausul 3 eller klausul 11 har rätt till ersättning från uppgiftsutföraren.

2. Om den registrerade, i situationer där uppgiftsinföraren eller dennes underentreprenör bryter mot någon av sina skyldigheter enligt klausulerna 3 eller 11, inte kan rikta skadeståndsanspråk mot uppgiftsutföraren i enlighet med punkt 1 på grund av att uppgiftsutföraren har upphört att existera i faktisk eller rättslig mening eller har hamnat på obestånd, ska uppgiftsinföraren godta att den registrerade kan rikta ett skadeståndsanspråk mot uppgiftsinföraren som om denne var uppgiftsutföraren …

…”

38

I klausul 8 i bilagan, med rubriken ”Samarbete med tillsynsmyndigheterna”, anges följande i punkt 2:

”Parterna är överens om att tillsynsmyndigheten har rätt att genomföra inspektioner hos uppgiftsinföraren och uppgiftsinförarens eventuella underentreprenörer i samma omfattning och på samma villkor som skulle gälla för en revision hos uppgiftsutföraren enligt tillämplig uppgiftsskyddslagstiftning.”

39

I klausul 9 i nämnda bilaga, som har rubriken ”Tillämplig lag”, preciseras att klausulerna omfattas av lagen i den medlemsstat där uppgiftsutföraren är etablerad.

40

Klausul 11 i samma bilaga, med rubriken ”Utläggning på entreprenad”, har följande lydelse:

”1. Uppgiftsinföraren får inte utan uppgiftsutförarens föregående samtycke på entreprenad lägga ut någon del av den behandling som uppgiftsinföraren utför för uppgiftsutförarens räkning i enlighet med klausulerna. Om uppgiftsinföraren, med uppgiftsutförarens samtycke, lägger över sina skyldigheter enligt dessa klausuler på en underentreprenör, får detta endast ske genom ingående av ett skriftligt avtal med underentreprenören, varigenom denne åläggs samma skyldigheter som enligt klausulerna åligger uppgiftsinföraren. …

2. Det på förhand ingångna skriftliga avtalet mellan uppgiftsutföraren och uppgiftsinföraren ska även inbegripa en bestämmelse om berättigad tredje part i enlighet med klausul 3 i sådana fall där den registrerade inte kan rikta skadeståndsanspråk i enlighet med klausul 6.1 mot uppgiftsutföraren eller uppgiftsinföraren, eftersom dessa har upphört att existera i faktisk eller rättslig mening eller har hamnat på obestånd, och ingen annan enhet har till fullo övertagit uppgiftsutförarens eller uppgiftsinförares rättsliga skyldigheter enligt avtal eller lag. Skadeståndsansvaret ska i sådana fall vara begränsat till underentreprenörens egen behandling av uppgifter enligt klausulerna.”

41

I klausul 12 i bilagan till beslutet om standardavtalsklausuler, med rubriken ”Skyldigheter efter det att behandlingen av personuppgifter har upphört”, anges följande i punkt 1:

”Parterna är överens om att uppgiftsinföraren och eventuella underentreprenörer efter behandlingens upphörande och beroende på vad uppgiftsutföraren beslutar antingen ska återlämna alla överförda personuppgifter och kopior av dessa till uppgiftsutföraren, eller förstöra alla personuppgifter och intyga för uppgiftsutföraren att så skett, såvida inte den på uppgiftsinföraren tillämpliga lagstiftningen helt eller delvis hindrar honom från att återlämna eller förstöra de överförda personuppgifterna. …”

Beslutet om skölden för skydd av privatlivet

42

Genom domen av den 6 oktober 2015, Schrems (C‑362/14, EU:C:2015:650), ogiltigförklarade domstolen kommissionens beslut 2000/520/EG av den 26 juli 2000 med stöd av Europaparlamentets och rådets direktiv 95/46 om huruvida ett adekvat skydd säkerställs genom de principer om integritetsskydd (Safe Harbor Privacy Principles) i kombination med frågor och svar som Förenta staternas handelsministerium utfärdat (EUT L 215, 2000, s. 7), i vilket kommissionen hade fastställt att detta tredjeland säkerställde en adekvat skyddsnivå.

43

Med anledning av denna dom antog kommissionen beslutet om skölden för skydd av privatlivet, efter att i syfte att anta beslutet ha gjort en bedömning av Förenta staternas lagstiftning, såsom anges i skäl 65 i nämnda beslut. Detta skäl har följande lydelse:

”Kommissionen har bedömt begränsningarna och garantierna i Förenta staternas lag när det gäller tillgång till och användning av personuppgifter som överförs inom ramen för skölden för skydd av privatlivet i EU och Förenta staterna av Förenta staternas offentliga myndigheter för ändamål som rör nationell säkerhet, brottsbekämpning och andra ändamål som rör allmänintresset. Dessutom har Förenta staternas regering, via den nationella underrättelsetjänsten (Office of the Director of National Intelligence, ODNI) …, lämnat detaljerade utfästelser och försäkringar till kommissionen, som ingår i bilaga VI till detta beslut. Genom en skrivelse undertecknad av utrikesministern som bifogas som bilaga III till detta beslut har Förenta staternas regering dessutom förbundit sig att inrätta en ny tillsynsmekanism för ingrepp som hör samman med nationell säkerhet, ombudsmannen för skölden för skydd av privatlivet, som är oberoende gentemot underrättelsegemenskapen. I en framställning från Förenta staternas justitieministerium, som ingår som bilaga VII till detta beslut, beskrivs slutligen de begränsningar och garantier som gäller för offentliga myndigheters tillgång till och användning av uppgifter för brottsbekämpande ändamål och andra ändamål som rör allmänintresset. För att öka insynen och återspegla den rättsliga karaktären hos dessa åtaganden kommer samtliga dokument som förtecknas och bifogas till detta beslut att offentliggöras i Förenta staternas federala register [(U.S. Federal Register)].”

44

Kommissionens bedömning av dessa begränsningar och garantier sammanfattas i skälen 67–135 i beslutet om skölden för skydd av privatlivet, medan kommissionens slutsatser om huruvida en adekvat skyddsnivå säkerställs genom skölden för skydd av privatlivet i EU och Förenta staterna återfinns i skälen 136–141 i beslutet.

45

I skälen 68, 69, 76, 77, 109, 112–116, 120, 136 och 140 i nämnda beslut anges följande:

”(68)

Enligt Förenta staternas konstitution är det presidenten, i egenskap av överbefälhavare och regeringschef, som har ansvaret för att garantera den nationella säkerheten och, när det gäller utländska underrättelser, att föra Förenta staternas utrikespolitik … Kongressen har befogenheter att införa begränsningar, och har gjort detta i flera avseenden. Presidenten kan leda Förenta staternas underrättelsegemenskaps verksamheter inom dessa gränser, särskilt genom dekret (Executive Orders) eller presidentdirektiv (Presidential Policy Directives). … För närvarande är de två centrala rättsliga instrumenten i detta avseende Executive Order 12333 (nedan kallad E.O. 12333) och Presidential Policy Directive 28 (nedan kallat PPD-28).

(69)

Genom Presidential Policy Directive 28 (PPD-28), utfärdat den 17 januari 2014, införs ett antal begränsningar av ’signalspaningsverksamhet’ … Detta presidentdirektiv är bindande för Förenta staternas underrättelsemyndigheter … och är tillämpligt enligt en ändring i [Förenta] staternas administration … PPD-28 är av särskild betydelse för utländska medborgare, inklusive registrerade i EU. …

(76)

Även om de inte är formulerade i juridiska termer återspeglar dessa principer [i PPD-28] det väsentliga i principerna om nödvändighet och proportionalitet. …

(77)

Eftersom dessa krav ingår i ett direktiv som har utfärdats av presidenten i egenskap av regeringschef är de bindande för hela underrättelsegemenskapen och har genomförts ytterligare i form av regler och förfaranden för underrättelsetjänsterna som införlivar de allmänna principerna i uttryckliga riktlinjer för den dagliga verksamheten. …

(109)

Enligt [section] 702 i [Foreign Intelligence Surveillance Act (FISA)] godkänner [United States Foreign Intelligence Surveillance Court (FISC) (domstolen för underrättelseinformation, Förenta staterna)] dock inte individuella övervakningsåtgärder, utan snarare övervakningsprogram (såsom Prism och Upstream) på grundval av årliga certifieringar som utarbetas av [United States Attorney General (justitieministern)] och [Director of National Intelligence (DNI) (chefen för nationella underrättelsetjänsten)]. … Som påpekats innehåller de certifieringar som ska godkännas av FISC inte någon information om de enskilda personer som målinriktningen gäller, utan anger snarare kategorier av utländska underrättelseuppgifter… FISC bedömer inte – enligt trolig orsak eller någon annan norm – huruvida målinriktningen för de utvalda personerna är lämplig för att inhämta utländska underrättelseuppgifter …, utan kontrollen rör villkoret att ’ett viktigt syfte med insamlingen är att erhålla utländska underrättelseuppgifter’ …

(112)

För det första föreskriver Foreign Intelligence Surveillance Act ett antal rättsmedel, som även finns tillgängliga för utländska medborgare, för att bestrida olaglig elektronisk övervakning … Till detta hör möjligheten för enskilda att åberopa civilrättsliga grunder för skadestånd mot Förenta staterna när information om dem har använts eller lämnats ut på ett olagligt och medvetet sätt …, stämma enskilda tjänstemän vid Förenta staternas regering (under falska lagliga förespeglingar) och begära skadestånd …, och att bestrida lagenligheten i övervakningen (och begära att informationen hemlighålls) i den händelse Förenta staternas regering har för avsikt att använda eller lämna ut information som har erhållits eller härrör från elektronisk övervakning mot den enskilde i rättsliga eller administrativa förfaranden i Förenta staterna …

(113)

För det andra har den amerikanska regeringen informerat kommissionen om ett antal ytterligare möjligheter som registrerade i EU kan använda för att väcka talan mot regeringstjänstemän för olaglig åtkomst eller användning av personuppgifter från regeringens sida, inklusive i påstått nationella säkerhetssyften …

(114)

Förenta staternas regering har slutligen hänvisat till [Freedom of information Act (FOIA) (lagen om informationsfrihet)] som ett medel för utländska medborgare att ansöka om åtkomst till federala myndighetsregister, även när registren innehåller den enskildes personuppgifter … Med tanke på sin inriktning kan FOIA inte åberopas som ett rättsmedel för enskilda mot ingrepp i personuppgifter i sig, även om den i princip kan ge enskilda personer möjlighet att få åtkomst till relevant information som innehas av nationella underrättelsetjänster. …

(115)

Enskilda personer, inklusive registrerade i EU, har därför ett antal möjligheter till rättslig prövning när de har varit föremål för olaglig (elektronisk) övervakning av nationella säkerhetsskäl, och det står också klart att åtminstone några av de rättsliga grunder som Förenta staternas underrättelsemyndigheter kan tillämpa (t.ex. E.O. 12333) inte omfattas. Även om det i princip finns möjligheter för utländska medborgare att söka rättslig prövning, t.ex. rörande övervakning enligt FISA, är tillgängliga grunder för talan dock begränsade …, och talan som väcks av enskilda personer (inklusive medborgare i Förenta staterna) kommer att förklaras oacceptabel när den saknar grund …, vilket begränsar möjligheterna att väcka talan vid allmänna domstolar …

(116)

För att ge alla registrerade i EU en ytterligare möjlighet att söka rättslig prövning har Förenta staternas regering beslutat att inrätta en ny ombudsmannamekanism, vilket beskrivs i den skrivelse från Förenta staternas utrikesminister till kommissionen som finns i bilaga III till detta beslut. Denna mekanism bygger på utnämningen av en chefssamordnare enligt PPD-28 (på statssekreterarnivå) vid utrikesdepartementet som kontaktpunkt för utländska regeringar som vill ta upp frågor angående Förenta staternas signalspaningsverksamhet, men går betydligt längre.

(120)

För det andra åtar sig Förenta staternas regering att, då den utför sina uppgifter, säkerställa att ombudsmannen för skölden kan förlita sig på samarbetet med andra befintliga mekanismer för tillsyn och efterlevnadskontroll som finns i Förenta staternas lagstiftning. … Om bristande efterlevnad har konstaterats av en av dessa tillsynsorgan måste berörd enhet inom underrättelsegemenskapen (t.ex. en underrättelsetjänst) avhjälpa denna bristande efterlevnad, då endast detta gör det möjligt för ombudsmannen att ge ett ’positivt’ svar till den enskilde (dvs. att eventuell bristande efterlevnad har avhjälpts), som Förenta staternas regering har gjort åtagande om. …

(136)

Mot bakgrund av dessa slutsatser anser kommissionen att Förenta staterna säkerställer en adekvat skyddsnivå för skydd av personuppgifter som överförs från unionen till självcertifierade organisationer i Förenta staterna inom ramen för skölden för skydd av privatlivet i [Europeiska unionen] och Förenta staterna.

(140)

Slutligen, och på grundval av tillgänglig information om Förenta staternas rättsordning, inklusive utfästelser och garantier från Förenta staternas regering, anser kommissionen att eventuella ingrepp från Förenta staternas myndigheter i de grundläggande rättigheterna för personer vars uppgifter överförs från unionen till Förenta staterna inom ramen för skölden för ändamål som rör brottsbekämpning, nationell säkerhet eller andra ändamål som rör allmänintresset, samt de påföljande begränsningar som införs för självcertifierade organisationer med avseende på deras anslutning till principerna, begränsas till vad som är absolut nödvändigt för att uppnå det legitima målet i fråga, och att det finns ett effektivt rättsligt skydd mot sådana ingrepp.”

46

Artikel 1 i beslutet om skölden för skydd av privatlivet har följande lydelse

”1.   Vid tillämpningen av artikel 25.2 i direktiv [95/46] säkerställer Förenta staterna en adekvat skyddsnivå för personuppgifter som överförs från unionen till organisationer i Förenta staterna inom ramen för skölden för skydd av privatlivet i [Europeiska unionen] och Förenta staterna.

2.   Skölden för skydd av privatlivet i [Europeiska unionen] och Förenta staterna utgörs av de principer som utfärdades av Förenta staternas handelsministerium den 7 juli 2016 enligt vad som anges i bilaga II samt de officiella utfästelser och åtaganden som ingår i de dokument som anges i bilagorna I samt III–VII.

3.   Vid tillämpningen av punkt 1 överförs personuppgifter enligt skölden för skydd av privatlivet i [Europeiska unionen] och Förenta staterna när de överförs från unionen till organisationer i Förenta staterna som ingår i den ’förteckning över organisationer som anslutit sig till skölden’ som förvaltas och offentliggörs av Förenta staternas handelsministerium i enlighet med avsnitten I och III i de principer som anges i bilaga II.”

47

Bilaga II till beslutet om skölden för skydd av privatlivet har rubriken ”Övergripande principer för skölden för skydd av privatlivet i [Europeiska unionen] och Förenta staterna”. I punkt I.5 föreskrivs att efterlevnaden av principerna kan begränsas bland annat med hänsyn till ”krav i fråga om nationell säkerhet, allmänintresset och rättsefterlevnaden”.

48

Bilaga III till detta beslut innehåller en skrivelse av den 7 juli 2016 från John Kerry, dåvarande Secretary of State (utrikesminister, Förenta staterna), till kommissionären för rättsliga frågor, konsumentfrågor och jämställdhet. I bilaga A till skrivelsen ingår ett memorandum med rubriken ”Ombudsmannen för skölden för skydd av privatlivet i [Europeiska unionen] och Förenta staterna när det gäller signalspaning”. Där anges följande:

”Som ett erkännande av betydelsen av skölden för skydd av privatlivet i [Europeiska unionen] och Förenta staterna beskriver detta memorandum förfarandet för att inrätta en ny mekanism med avseende på signalspaning i enlighet med Presidential Policy Directive 28 (PPD-28).

… President Obama meddelade att ett nytt presidentdirektiv, PPD-28, skulle utfärdas, där det ’tydligt beskrivs vad vi gör, och inte gör, när det gäller vår utländska signalspaning’.

Enligt avsnitt 4(d) i PPD-28 ska utrikesministern utse en chefssamordnare för internationell it-diplomati, ’som ska […] fungera som kontaktpunkt för utländska regeringar som vill ta upp frågor angående Förenta staternas signalspaningsverksamhet’.

1)

[Chefssamordnaren] kommer att fungera som ombudsman för skölden och … kommer att föra ett nära samarbete med andra [ministerier] och myndigheter med ansvar för att handlägga förfrågningar i enlighet med Förenta staternas tillämpliga lagar och policyer. Ombudsmannen är oberoende av underrättelsegemenskapen. Ombudsmannen rapporterar direkt till utrikesministern som ska se till att ombudsmannen utför sina arbetsuppgifter objektivt och fritt från otillbörlig påverkan som kan påverka de svar som ska ges.

…”

49

Bilaga VI till beslutet om skölden för skydd av privatlivet innehåller en skrivelse av den 21 juni 2016 från chefen för den nationella underrättelseenheten (Office of the Director of National Intelligence) till Förenta staternas handelsministerium och till den internationella handelsförvaltningen, i vilken det anges att PPD-28 gör det möjligt att genom ”’bulkinsamling’ [inhämta] en relativt stor mängd signalunderrättelser under omständigheter där underrättelsegemenskapen inte kan använda en identifierare som är förknippad med ett specifikt mål … för att rikta insamlingen”.

Målet vid den nationella domstolen och tolknings- och giltighetsfrågorna

50

Maximillian Schrems är medborgare i Österrike och bosatt i den medlemsstaten. Han har använt det sociala nätverket Facebook (nedan kallat Facebook) sedan år 2008.

51

Alla personer med hemvist inom unionen som vill använda Facebook måste i samband med att de registrerar sig ingå ett avtal med Facebook Ireland, ett dotterbolag till moderbolaget Facebook Inc., vilket i sin tur har sitt säte i Förenta staterna. Personuppgifterna om Facebookanvändare med hemvist inom unionen överförs helt eller delvis till servrar tillhörande Facebook Inc., vilka är belägna i Förenta staterna där uppgifterna behandlas.

52

Maximillian Schrems gjorde den 25 juni 2013 en anmälan till dataskyddsmyndigheten där han begärde att myndigheten skulle förbjuda Facebook Ireland att överföra personuppgifter till Förenta staterna. Maximillian Schrems gjorde gällande att gällande rätt och praxis i Förenta staterna inte säkerställde tillräckligt skydd för personuppgifter som lagras i Förenta staterna mot den övervakningsverksamhet som bedrevs av myndigheterna där. Klagomålet avslogs bland annat med motiveringen att kommissionen i beslut 2000/520 hade slagit fast att Förenta staterna säkerställer en adekvat skyddsnivå.

53

High Court (Förvaltningsöverdomstolen, Irland), till vilken Maximillian Schrems hade överklagat avslaget på hans klagomål, vände sig till EU-domstolen med en begäran om förhandsavgörande angående tolkningen och giltigheten av beslut 2000/520. I dom av den 6 oktober 2015, Schrems (C‑362/14, EU:C:2015:650), ogiltigförklarade EU-domstolen beslut 2000/520.

54

Med anledning av denna dom upphävde den hänskjutande domstolen beslutet att avslå Maximillian Schrems klagomål och återförvisade klagomålet till dataskyddsmyndigheten. Inom ramen för den utredning som inleddes av dataskyddsmyndigheten förklarade Facebook Ireland att en stor del av personuppgifterna hade överförts till Facebook Inc. på grundval av de standardiserade dataskyddsbestämmelser som återfinns i bilagan till beslutet om standardavtalsklausuler. Med beaktande av dessa omständigheter uppmanade dataskyddsmyndigheten Maximillian Schrems att omformulera sitt klagomål.

55

Maximillian Schrems ingav ett omformulerat klagomål den 1 december 2015 och gjorde bland annat gällande att Facebook Inc. enligt amerikansk rätt är skyldigt att ställa överförda personuppgifter till amerikanska myndigheters förfogande, såsom National Security Agency (NSA) och Federal Bureau of Investigation (FBI). Han hävdade att eftersom dessa uppgifter används inom ramen för olika övervakningsprogram på ett sätt som är oförenligt med artiklarna 7, 8 och 47 i stadgan, kan beslutet om standardavtalsklausuler inte motivera att nämnda uppgifter överförs till Förenta staterna. Maximillian Schrems begärde därför att dataskyddsmyndigheten skulle förbjuda eller avbryta överföringen av hans personuppgifter till Facebook Inc..

56

Den 24 maj 2016 offentliggjorde dataskyddsmyndigheten ett ”utkast till beslut” i vilket de preliminära slutsatserna av utredningen sammanfattades. I utkastet fann dataskyddsmyndigheten preliminärt att unionsmedborgares personuppgifter som överförts till Förenta staterna riskerar att utnyttjas och behandlas av amerikanska myndigheter på ett sätt som strider mot artiklarna 7 och 8 i stadgan och att amerikansk rätt inte erbjuder unionsmedborgare rättsmedel av det slag som föreskrivs i artikel 47 i stadgan. Enligt dataskyddsmyndigheten kunde de standardiserade dataskyddsbestämmelserna i bilagan till beslutet om standardavtalsklausuler inte avhjälpa denna brist, eftersom de endast ger registrerade personer avtalsenliga rättigheter gentemot uppgiftsutföraren och uppgiftsinföraren, dock utan att vara bindande för de amerikanska myndigheterna.

57

Dataskyddsmyndigheten ansåg att Maximillian Schrems omformulerade klagomål under dessa omständigheter gav upphov till en fråga om giltigheten av beslutet om standardavtalsklausuler och vände sig därför den 31 maj 2016 till High Court (Förvaltningsöverdomstolen), med hänvisning till den rättspraxis som följer av domen av den 6 oktober 2015, Schrems (C‑362/14, EU:C:2015:650, punkt 65), i syfte att High Court skulle ställa en fråga till EU-domstolen angående beslutets giltighet. Genom beslut av den 4 maj 2018 hänsköt High Court (Förvaltningsöverdomstolen) förevarande begäran om förhandsavgörande till EU-domstolen.

58

High Court (Förvaltningsöverdomstolen) har till denna begäran om förhandsavgörande bilagt en dom som meddelades den 3 oktober 2017, i vilken resultatet av prövningen av den bevisning som lagts fram vid denna domstol i det nationella förfarandet redovisades; ett förfarande i vilket den amerikanska regeringen deltagit.

59

I den domen, till vilken det hänvisas flera gånger i begäran om förhandsavgörande, påpekade den hänskjutande domstolen att den i regel inte bara har rätt utan även en skyldighet att pröva samtliga omständigheter och argument som åberopats vid den för att, på grundval av dessa omständigheter och argument, avgöra huruvida det krävs en begäran om förhandsavgörande eller inte. Under alla omständigheter är den hänskjutande domstolen skyldig att beakta eventuella ändringar i lagstiftningen som genomförts under tiden från det att talan väckts till dess förhandlingen vid denna domstol äger rum. Den hänskjutande domstolen har preciserat att dess egen bedömning i det nationella målet inte är begränsad till de ogiltighetsgrunder som dataskyddsmyndigheten har åberopat, vilket innebär att den även ex officio kan pröva andra ogiltighetsgrunder och på grundval av dessa begära ett förhandsavgörande.

60

Enligt konstaterandena i nämnda dom grundar sig de amerikanska myndigheternas underrättelseverksamhet, när det gäller personuppgifter som överförts till Förenta staterna, bland annat på section 702 FISA och på E.O. 12333.

61

När det gäller section 702 FISA har den hänskjutande domstolen i samma dom preciserat att denna bestämmelse gör det möjligt för riksåklagaren och direktören för den nationella underrättelsetjänsten att, efter FISC:s godkännande, gemensamt ge tillstånd till övervakning av icke-amerikanska medborgare utanför Förenta staterna i syfte att inhämta ”uppgifter från utländsk underrättelseinformation”, och avsnittet utgör bland annat grund för övervakningsprogrammen Prism och Upstream. Inom ramen för Prism-programmet är leverantörerna av internettjänster, enligt vad den hänskjutande domstolen har konstaterat, skyldiga att tillhandahålla NSA all kommunikation som skickats och mottagits av en ”väljare” (”selector”), varvid en del av dessa meddelanden även överförs till FBI och Central Intelligence Agency (CIA) (centrala underrättelsetjänsten).

62

Vad gäller Upstream-programmet konstaterade nämnda domstol att de telekommunikationsföretag som driver internets ”stamnät” – det vill säga kabelnätet, switchar och routrar – är skyldiga att låta NSA kopiera och filtrera trafikflödena på internet i syfte att samla in kommunikation som skickas eller mottas av eller rör en icke-amerikansk medborgare som uppmärksammats av en ”väljare”. Enligt den hänskjutande domstolen har NSA inom ramen för nämnda program åtkomst till såväl metadata som innehållet i de berörda kommunikationerna.

63

Enligt den hänskjutande domstolen gör E.O. 12333 det möjligt för NSA att få åtkomst till uppgifter som befinner sig ”i transit” på väg till Förenta staterna, genom att NSA har åtkomst till undervattenskablar på Atlantens botten, varvid NSA kan samla in och lagra dessa uppgifter innan de anländer till Förenta staterna där de omfattas av bestämmelserna i FISA. Den hänskjutande domstolen har påpekat att verksamhet som grundar sig på E.O. 12333 inte regleras i lag.

64

När det gäller gränserna för underrättelseverksamheten har den hänskjutande domstolen betonat att icke-amerikaner endast omfattas av PPD-28 och att det i denna endast anges att underrättelseverksamheten ska vara ”så riktad som möjligt” (as tailored as feasible). Mot bakgrund av dessa konstateranden bedömer den hänskjutande domstolen att Förenta staterna behandlar massuppgifter utan att säkerställa ett skydd som är väsentligen likvärdigt med det skydd som garanteras genom artiklarna 7 och 8 i stadgan.

65

Vad gäller domstolsskyddet har den hänskjutande domstolen angett att unionsmedborgare inte har tillgång till samma rättsmedel som amerikanska medborgare mot amerikanska myndigheters behandling av personuppgifter, eftersom fjärde tillägget i Constitution of the United States (Förenta staternas konstitution), som enligt amerikansk rätt utgör det starkaste skyddet mot olaglig övervakning, inte är tillämpligt på unionsmedborgare. Den hänskjutande domstolen har i detta avseende preciserat att de rättsmedel som finns kvar till deras förfogande stöter på betydande hinder, i synnerhet skyldigheten – som den anser vara orimligt svår att uppfylla – att styrka att de har talerätt. Enligt den hänskjutande domstolen omfattas inte NSA:s verksamhet på grundval av E.O. 12333 av domstolarnas tillsyn och kan inte bli föremål för rättsmedel vid domstol. Slutligen anser den hänskjutande domstolen att eftersom ombudsmannen för skölden för skydd av privatlivet inte är en domstol, i den mening som avses i artikel 47 i stadgan, säkerställer amerikansk rätt inte en skyddsnivå för unionsmedborgarna som är väsentligen likvärdig med den som garanteras av den grundläggande rättighet som stadfästs i nämnda artikel 47.

66

Den hänskjutande domstolen har i sin begäran om förhandsavgörande även angett att parterna i det nationella målet är oense om bland annat frågan huruvida unionsrätten är tillämplig på överföringar till tredjeland av personuppgifter som myndigheterna i det landet kan komma att behandla bland annat med hänsyn till nationell säkerhet, samt vilka faktorer som ska beaktas vid bedömningen av om det landet säkerställer en adekvat skyddsnivå. Den hänskjutande domstolen har särskilt påpekat att Facebook Ireland anser att kommissionens konstateranden avseende huruvida ett tredjeland säkerställer en adekvat skyddsnivå, såsom konstaterandena i beslutet om skölden för skydd av privatlivet, är bindande för tillsynsmyndigheterna även i samband med en överföring av personuppgifter som grundar sig på de standardiserade dataskyddsbestämmelserna i bilagan till beslutet om standardklausuler.

67

Vad gäller dessa standardiserade dataskyddsbestämmelser vill den hänskjutande domstolen få klarhet i huruvida beslutet om standardavtalsklausuler kan anses giltigt, trots att dessa dataskyddsbestämmelser, enligt nämnda domstol, inte är bindande för de statliga myndigheterna i det berörda tredjelandet och följaktligen inte kan avhjälpa att det landet inte säkerställer en adekvat skyddsnivå. Den hänskjutande domstolen anser i detta avseende att den möjlighet som medlemsstaternas behöriga myndigheter ges enligt artikel 4.1 a i beslut 2010/87, i dess lydelse före ikraftträdandet av genomförandebeslut 2016/2297, att förbjuda överföring av personuppgifter till ett tredjeland som ålägger uppgiftsinföraren skyldigheter som är oförenliga med garantierna i dessa klausuler, visar att rättsläget i det tredjelandet kan motivera ett förbud mot en överföring av uppgifter, även om överföringen görs med stöd av de standardiserade dataskyddsbestämmelserna i bilagan till beslutet om standardavtalsklausuler, och varigenom det framgår att dessa dataskyddsbestämmelser kan vara otillräckliga för att säkerställa ett adekvat skydd. Mot denna bakgrund vill den hänskjutande domstolen få klarhet i hur långt dataskyddsmyndighetens befogenhet att förbjuda en överföring av uppgifter som sker med stöd av dessa klausuler sträcker sig, samtidigt som den anser att ett utrymme för skönsmässig bedömning inte räcker för att säkerställa ett adekvat skydd.

68

Mot denna bakgrund beslutade High Court (Förvaltningsöverdomstolen) att vilandeförklara målet och ställa följande frågor till domstolen:

”1)

I de fall då personuppgifter överförs av ett privat företag från en medlemsstat i [unionen] till ett privat företag i ett tredje land i kommersiellt syfte enligt [beslutet om standardavtalsklausuler], och kan behandlas ytterligare av myndigheterna i det tredjelandet med hänsyn till den nationella säkerheten, men även för brottsbekämpande syften och genomförandet av utrikespolitiken i tredjeland, ska då unionsrätten (inbegripet stadgan) tillämpas på överföring av uppgifter, trots bestämmelserna i artikel 4.2 FEU i fråga om nationell säkerhet och bestämmelserna i artikel 3.2 första strecksatsen i direktiv [95/46] i fråga om den allmänna säkerheten, försvaret, statens säkerhet?

2)

a)

Vid fastställandet av huruvida en enskild persons rättigheter har kränkts på grund av överföringen av uppgifter från [unionen] till ett tredjeland enligt [beslutet om standardavtalsklausuler] där de kan bli föremål för vidare behandling för ändamål som berör nationell säkerhet, är då den relevanta jämförelsegrunden vid tillämpningen av direktiv [95/46]

i)

stadgan, EU-fördraget, EUF-fördraget, direktiv [95/46], [Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna, som undertecknades i Rom den 4 november 1950 (nedan kallad Europakonventionen)] (eller andra unionsrättsliga bestämmelser), eller

ii)

den nationella lagstiftningen i en eller fler medlemsstater?

b)

Om den relevanta jämförelsegrunden är ii), ska då även praxis i samband med den nationella säkerheten i en eller flera medlemsstater också användas som jämförelsegrund?

3)

Vid bedömningen av om ett tredjeland säkerställer den skyddsnivå som föreskrivs i unionslagstiftningen för personuppgifter som överförs till det landet, i den mening som avses i artikel 26 i direktiv [95/46], bör skyddsnivån i tredjeland bedömas mot bakgrund av

a)

regler som är tillämpliga i tredjelandet till följd av dess interna lagstiftning eller dess internationella förpliktelser samt praxis vad gäller att säkerställa iakttagandet av dessa regler, inbegripet de regler för yrkesverksamhet och säkerhet som gäller där,

eller

b)

de regler som avses i punkt a tillsammans med den administrativa praxis, regleringspraxis och efterlevnadspraxis samt politiska skyddsåtgärder, förfaranden, protokoll, tillsynsmekanismer och utomrättsliga åtgärder som gäller i tredjelandet?

4)

Mot bakgrund av de omständigheter som har fastställts av High Court ([Förvaltningsöverdomstolen]) med avseende på amerikansk lag, föreligger det då en kränkning av enskilda personers rättigheter enligt artiklarna 7 och/eller 8 i stadgan om personuppgifter överförs från [unionen] till Förenta staterna i enlighet med [beslutet om standardavtalsklausuler]?

5)

Mot bakgrund av de omständigheter som har fastställts av High Court ([Förvaltningsöverdomstolen]) med avseende på Förenta staternas lagstiftning, när det är fråga om överföring av personuppgifter från [unionen] till Förenta staterna i enlighet med [beslutet om standardavtalsklausuler],

a)

är den skyddsnivå som tillhandahålls i Förenta staterna förenlig med det väsentliga innehållet i en enskild persons rätt till domstolsprövning vid kränkning av hans eller hennes rättigheter rörande uppgiftsskydd som garanteras genom artikel 47 i stadgan?

Om svaret på fråga 5 a är jakande,

b)

Är de begränsningar som föreskrivs i Förenta staternas lagstiftning för en enskild persons rätt till domstolsprövning, i ett sammanhang som rör Förenta staternas nationella säkerhet, proportionerliga, i den mening som avses i artikel 52 i stadgan, och håller de sig inom ramen för vad som är nödvändigt i ett demokratiskt samhälle för att skydda den nationella säkerheten?

6)

a)

Vilken skyddsnivå krävs med avseende på personuppgifter som överförts till ett tredjeland med stöd av standardavtalsklausuler som antagits i enlighet med ett kommissionsbeslut enligt artikel 26.4 i direktiv [95/46] mot bakgrund av bestämmelserna i [detta direktiv], och i synnerhet artiklarna 25 och 26 jämförda med stadgan?

b)

Vilka faktorer ska beaktas vid bedömningen av om den skyddsnivå som säkerställs med avseende på personuppgifter som överförs till ett tredjeland med stöd av [beslutet om standardavtalsklausuler] uppfyller kraven i direktiv [95/46] och stadgan?

7)

Innebär den omständigheten att standardavtalsklausuler tillämpas mellan uppgiftsutföraren och uppgiftsinföraren, varvid dessa inte är bindande för de nationella myndigheterna i ett tredjeland som kan komma att kräva att uppgiftsinföraren ger säkerhetstjänsten i det landet åtkomst till de personuppgifter som överförts med stöd av bestämmelserna i [beslutet om standardavtalsklausuler] för ytterligare behandling av personuppgifter, att dessa bestämmelser inte kan säkerställa en adekvat skyddsnivå såsom föreskrivs i artikel 26.2 i direktiv [95/46]?

8)

Om en uppgiftsinförare i ett tredjeland omfattas av lagar om övervakning som enligt dataskyddsmyndigheten står i strid med de standardiserade dataskyddsbestämmelserna eller artiklarna 25 och 26 i direktiv [95/46] eller stadgan, är då en dataskyddsmyndighet skyldig att utöva sina befogenheter att ingripa enligt artikel 28.3 i direktiv [95/46] för att avbryta dataflödet eller kan dessa befogenheter enbart utövas i undantagsfall mot bakgrund av skäl 11 i [beslutet om standardavtalsklausuler], eller kan en dataskyddsmyndighet utnyttja sitt utrymme för skönsmässig bedömning för att inte avbryta dataflödet?

9)

a)

Utgör [beslutet om skölden för skydd av privatlivet] vid tillämpningen av artikel 25.6 i direktiv [95/46], ett konstaterande med allmän giltighet som är bindande för dataskyddsmyndigheter och medlemsstaternas domstolar, vilket innebär att Förenta staterna säkerställer en adekvat skyddsnivå i den mening som avses i artikel 25.2 i direktiv [95/46], till följd av dess interna lagstiftning eller de internationella förpliktelser som landet har ingått?

b)

Om så inte är fallet, vilken betydelse, om någon, har [beslutet om skölden för skydd av privatlivet] vid bedömningen av om de garantier som föreskrivs för uppgifter som överförs till Förenta staterna i enlighet med beslutet om standardavtalsklausuler är adekvata?

10)

Mot bakgrund av vad som fastställts av High Court med avseende på lagstiftningen i Förenta staterna, säkerställer en ombudsman för skölden för skydd av privatlivet enligt bilaga A till bilaga III i beslutet om skölden för skydd av privatlivet tillsammans med den befintliga rättsordningen i Förenta staterna att Förenta staterna tillhandahåller ett rättsmedel som är förenligt med artikel 47 i stadgan för registrerade personer vars personuppgifter överförs till Förenta staterna i enlighet med beslutet om standardavtalsklausuler?

11)

Utgör beslutet om standardavtalsklausuler ett åsidosättande av artiklarna 7, 8 eller 47 i stadgan?”

Huruvida begäran om förhandsavgörande kan tas upp till prövning

69

Facebook Ireland, den tyska regeringen och Förenade kungarikets regering har gjort gällande att begäran om förhandsavgörande inte kan tas upp till sakprövning.

70

När det gäller Facebook Irelands invändning om rättegångshinder har bolaget påpekat att de bestämmelser i direktiv 95/46 som ligger till grund för tolknings- och giltighetsfrågorna har upphävts genom DSF.

71

Domstolen framhåller att det visserligen är riktigt att direktiv 95/46 enligt artikel 94.1 DSF upphävdes med verkan från och med den 25 maj 2018, men detta direktiv var fortfarande i kraft när förevarande begäran om förhandsavgörande formulerades den 4 maj 2018. Begäran inkom till domstolen den 9 maj 2018. Dessutom har artikel 3.2 första strecksatsen, artiklarna 25 och 26 samt artikel 28.3 i direktiv 95/46, till vilka det hänvisas i tolknings- och giltighetsfrågorna, i huvudsak återgetts i artikel 2.2 respektive artiklarna 45, 46 och 58 DSF. Det ska dessutom erinras om att domstolen har till uppgift att tolka alla bestämmelser i unionsrätten som de nationella domstolarna behöver för att avgöra de mål som är anhängiga vid dem, även om dessa bestämmelser inte uttryckligen anges i de frågor som dessa domstolar har ställt (dom av den 2 april 2020, Ruska Federacija, C‑897/19 PPU, EU:C:2020:262, punkt 43 och där angiven rättspraxis). Av dessa olika skäl kan den omständigheten att den hänskjutande domstolen har formulerat tolknings- och giltighetsfrågorna enbart med hänvisning till bestämmelserna i direktiv 95/46 inte medföra att förevarande begäran om förhandsavgörande inte kan tas upp till sakprövning.

72

Den tyska regeringen har å sin sida grundat sin invändning om rättegångshinder dels på den omständigheten att dataskyddsmyndigheten endast har uttryckt tvivel, och inte en definitiv uppfattning, i fråga om giltigheten av beslutet om standardavtalsklausuler, dels på den omständigheten att den hänskjutande domstolen har underlåtit att pröva huruvida Maximillian Schrems hade lämnat ett otvivelaktigt samtycke till de överföringar av uppgifter som är i fråga i det nationella målet, vilket, om så hade varit fallet, skulle ha inneburit att ett svar på denna fråga inte var nödvändigt. Slutligen anser Förenade kungarikets regering att tolknings- och giltighetsfrågorna är hypotetiska, eftersom den hänskjutande domstolen inte har konstaterat att dessa uppgifter faktiskt har överförts med stöd av nämnda beslut.

73

Enligt EU-domstolens fasta praxis ankommer det uteslutande på den nationella domstolen, vid vilken målet anhängiggjorts och vilken har ansvaret för det rättsliga avgörandet, att mot bakgrund av de särskilda omständigheterna i målet bedöma såväl om ett förhandsavgörande är nödvändigt för att döma i saken som relevansen av de frågor som ställs till EU-domstolen. EU-domstolen är följaktligen skyldig att meddela ett förhandsavgörande när de frågor som ställts avser tolkningen eller giltigheten av en unionsbestämmelse. Av detta följer att de frågor som ställs av nationella domstolar presumeras vara relevanta. En tolkningsfråga som har hänskjutits av en nationell domstol kan bara avvisas då det är uppenbart att den begärda tolkningen av unionsrätten inte har något samband med de verkliga omständigheterna eller saken i det nationella målet eller då frågorna är hypotetiska eller EU-domstolen inte har tillgång till sådana uppgifter om de faktiska eller rättsliga omständigheterna som är nödvändiga för att kunna ge ett användbart svar på de frågor som ställts till den (dom av den 16 juni 2015, Gauweiler m.fl., C‑62/14, EU:C:2015:400, punkterna 24 och 25, dom av den 2 oktober 2018, Ministerio Fiscal, C‑207/16, EU:C:2018:788, punkt 45, och dom av den 19 december 2019, Dobersberger, C‑16/18, EU:C:2019:1110, punkterna 18 och 19).

74

I förevarande fall innehåller begäran om förhandsavgörande tillräckliga uppgifter om de faktiska och rättsliga omständigheterna för att det ska gå att förstå tolknings- och giltighetsfrågornas räckvidd. Framför allt finns det inget i handlingarna i målet som tyder på att den begärda tolkningen av unionsrätten inte har något samband med de verkliga omständigheterna eller saken i det nationella målet eller att den är hypotetisk, exempelvis på grund av att överföringen av de aktuella personuppgifterna i det nationella målet skulle grunda sig på ett uttryckligt samtycke från den registrerade som berörs av denna överföring och inte på beslutet om standardavtalsklausuler. Enligt uppgifterna i förevarande begäran om förhandsavgörande har Facebook Ireland nämligen medgett att den överför personuppgifter om sina kontoinnehavare bosatta i unionen till Facebook Inc. och att en stor del av dessa överföringar, vars lagenlighet Maximillian Schrems har bestritt, utförs på grundval av de standardiserade dataskyddsbestämmelserna i bilagan till beslutet om standardklausuler.

75

Det saknar vidare betydelse för frågan huruvida förevarande begäran om förhandsavgörande kan tas upp till sakprövning att dataskyddsmyndigheten inte har uttryckt någon definitiv uppfattning om giltigheten av detta beslut, eftersom den hänskjutande domstolen anser att svaret på frågorna om tolkningen och giltigheten av unionsrättsliga bestämmelser är nödvändigt för att avgöra det nationella målet.

76

Härav följer att begäran om förhandsavgörande kan tas upp till prövning.

Prövning av tolknings- och giltighetsfrågorna

77

Det ska inledningsvis erinras om att förevarande begäran om förhandsavgörande grundar sig på ett klagomål som Maximillian Schrems ingav till dataskyddsmyndigheten i syfte att denna myndighet skulle avbryta eller för framtiden förbjuda överföringen av hans personuppgifter till Facebook Inc.. Även om tolknings- och giltighetsfrågorna härför sig till bestämmelserna i direktiv 95/46, är det utrett att dataskyddsmyndighten ännu inte hade antagit ett slutgiltigt beslut angående klagomålet när detta direktiv upphävdes och ersattes av DSF, med verkan från och med den 25 maj 2018.

78

Det är avsaknaden av ett nationellt beslut som skiljer den aktuella situationen i det nationella målet från de situationer som ledde till domen av den 24 september 2019, Google (Territoriell räckvidd för rätten till borttagande av länkar) (C‑507/17, EU:C:2019:772), och domen av den 1 oktober 2019, Planet49 (C‑673/17, EU:C:2019:801), vilka avsåg beslut som antogs innan nämnda direktiv upphävdes.

79

Tolknings- och giltighetsfrågorna ska således besvaras mot bakgrund av bestämmelserna i DSF, och inte mot bakgrund av bestämmelserna i direktiv 95/46.

Den första frågan

80

Den hänskjutande domstolen har ställt den första frågan för att få klarhet i huruvida artikel 2.1 och 2.2 a, b och d DSF, jämförda med artikel 4.2 FEU, ska tolkas så, att en överföring av personuppgifter från en näringsidkare etablerad i en medlemsstat till en annan näringsidkare etablerad i ett tredjeland omfattas av förordningens tillämpningsområde, när dessa uppgifter, under eller efter denna överföring, kan komma att behandlas av myndigheterna i det tredjelandet för ändamål som avser allmän säkerhet, försvar och nationell säkerhet.

81

Det ska inledningsvis påpekas att bestämmelsen i artikel 4.2 FEU, enligt vilken den nationella säkerheten även i fortsättningen ska vara varje medlemsstats eget ansvar, uteslutande berör unionens medlemsstater. Denna bestämmelse är följaktligen i förevarande fall inte relevant för tolkningen av artikel 2.1 och 2.2 a, b och d DSF.

82

Enligt artikel 2.1 DSF ska förordningen tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register. I artikel 4.2 i förordningen definieras ”behandling” som ”en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter” och där anges som exempel ”utlämning genom överföring, spridning eller tillhandahållande på annat sätt”, utan att det görs någon åtskillnad beroende på om verksamheten utförs inom unionen eller har samband med ett tredjeland. I förordningen föreskrivs för övrigt särskilda regler för överföring av personuppgifter till tredjeländer, vilka återfinns i kapitel V, med rubriken ”Överföring av personuppgifter till tredjeländer eller internationella organisationer”. Enligt förordningens artikel 58.2 j tillerkänns tillsynsmyndigheterna dessutom särskilda befogenheter i detta avseende.

83

Av detta följer att åtgärden att låta överföra personuppgifter från en medlemsstat till ett tredjeland i sig utgör en behandling av personuppgifter, i den mening som avses i artikel 4.2 DSF, som utförs inom en medlemsstats territorium och på vilken denna förordning är tillämplig enligt artikel 2.1 i förordningen (se, analogt, beträffande artikel 2 b och artikel 3.1 i direktiv 95/46, dom av den 6 oktober 2015, Schrems, C‑362/14, EU:C:2015:650, punkt 45 och där angiven rättspraxis).

84

Vad gäller frågan huruvida en sådan transaktion kan anses vara undantagen från DSF:s tillämpningsområde enligt artikel 2.2 i denna förordning, erinrar domstolen om att denna bestämmelse innehåller undantag från förordningens tillämpningsområde, såsom detta definierats i artikel 2.1 i förordningen, och att dessa undantag ska tolkas restriktivt (se, analogt, beträffande artikel 3.2 i direktiv 95/46, dom av den 10 juli 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, punkt 37 och där angiven rättspraxis).

85

Eftersom den aktuella överföringen av personuppgifter utförs av Facebook Ireland till Facebook Inc., det vill säga mellan två juridiska personer, omfattas inte denna överföring av artikel 2.2 c DSF, som avser behandling av uppgifter som utförs av en fysisk person som ett led i verksamhet av rent privat natur eller som har samband med hans eller hennes hushåll. Den aktuella överföringen omfattas inte heller av de verksamheter som anges i artikel 2.2 a, b och d i förordningen, eftersom de verksamheter som där nämns som exempel i samtliga fall är verksamheter som är specifika för staten eller statliga myndigheter och de omfattas inte av enskildas verksamhetsområden (se analogt, beträffande artikel 3.2 i direktiv 95/46, dom av den 10 juli 2018, Jehovan Todistajat, C‑25/17, EU:C:2018:551, punkt 38 och där angiven rättspraxis).

86

Möjligheten för myndigheterna i det berörda tredjelandet att behandla personuppgifter som överförs mellan två näringsidkare i kommersiellt syfte, under eller efter överföringen, med hänsyn till allmän säkerhet, försvar och nationell säkerhet, kan inte undanta nämnda överföring från DSF:s tillämpningsområde.

87

Genom att kommissionen uttryckligen åläggs en skyldighet att, när den bedömer huruvida skyddsnivån i ett tredjeland är adekvat, bland annat beakta ”relevant lagstiftning, både allmän lagstiftning och sektorslagstiftning, inklusive avseende allmän säkerhet, försvar, nationell säkerhet och straffrätt och offentliga myndigheters åtkomst till personuppgifter samt tillämpningen av sådan lagstiftning”, framgår det av själva ordalydelsen i artikel 45.2 a i denna förordning att det förhållandet att ett tredjelands eventuella behandling av de berörda personuppgifterna för ändamål som rör allmän säkerhet, försvar och nationell säkerhet inte påverkar denna förordnings tillämplighet på den aktuella överföringen.

88

Av detta följer att en sådan överföring inte kan undantas från DSF:s tillämpningsområde av det skälet att de aktuella uppgifterna, under eller efter denna överföring, kan komma att behandlas av myndigheterna i det berörda tredjelandet med hänsyn till allmän säkerhet, försvar och nationell säkerhet.

89

Den första frågan ska således besvaras enligt följande. Artikel 2.1 och 2.2 DSF ska tolkas så, att en överföring av personuppgifter i kommersiellt syfte från en näringsidkare etablerad i en medlemsstat till en annan näringsidkare etablerad i ett tredjeland, omfattas av denna förordnings tillämpningsområde, trots att dessa uppgifter, under eller efter denna överföring, kan komma att behandlas av myndigheterna i det tredjelandet för ändamål som avser allmän säkerhet, försvar och nationell säkerhet.

Den andra, den tredje och den sjätte frågan

90

Den hänskjutande domstolen har ställt den andra, den tredje och den sjätte frågan för att få klarhet i vilken skyddsnivå som krävs enligt artikel 46.1 och 46.2 c DSF vid överföring av personuppgifter till ett tredjeland med stöd av standardiserade dataskyddsbestämmelser. Den hänskjutande domstolen önskar särskilt att EU-domstolen närmare anger vilka omständigheter som ska beaktas vid bedömningen av huruvida skyddsnivån säkerställs i samband med en sådan överföring.

91

När det gäller den skyddsnivå som krävs framgår det av dessa bestämmelser i förening, att om det inte har fattats något beslut om en adekvat skyddsnivå enligt artikel 45.3 i förordningen, får en personuppgiftsansvarig eller ett personuppgiftsbiträde endast överföra personuppgifter till ett tredjeland efter att ha vidtagit ”lämpliga skyddsåtgärder”, och på villkor att de registrerade förfogar över ”lagstadgade rättigheter … och effektiva rättsmedel”. Sådana lämpliga skyddsåtgärder kan bland annat införas genom standardiserade dataskyddsbestämmelser som antas av kommissionen.

92

Även om det i artikel 46 DSF inte närmare anges vilka slags krav som följer av hänvisningen till ”lämpliga skyddsåtgärder”, ”lagstadgade rättigheter” och ”effektiva rättsmedel”, ska det påpekas att denna artikel återfinns i kapitel V i förordningen. Nämnda artikel ska således läsas mot bakgrund av artikel 44 i förordningen, med rubriken ”Allmän princip för överföringar”. Där föreskrivs att ”[a]lla bestämmelser i detta kapitel ska tillämpas för att säkerställa att den nivå på skyddet av fysiska personer som säkerställs genom denna förordning inte undergrävs”. Denna skyddsnivå måste således säkerställas oberoende av vilken bestämmelse i nämnda kapitel som ligger till grund för en överföring av personuppgifter till ett tredjeland.

93

Såsom generaladvokaten har påpekat i punkt 117 i sitt förslag till avgörande syftar bestämmelserna i kapitel V i DSF till att säkerställa att den höga skyddsnivån fortsätter att gälla vid överföring av personuppgifter till ett tredjeland, i enlighet med det syfte som anges i skäl 6 i förordningen.

94

I artikel 45.1 första meningen DSF föreskrivs att personuppgifter får överföras till ett tredjeland om kommissionen har beslutat att tredjelandet, ett territorium eller en eller flera specificerade sektorer i tredjelandet säkerställer en adekvat skyddsnivå. Begreppet ”adekvat skyddsnivå” ska, utan att det krävs att det berörda tredjelandet ska säkerställa en skyddsnivå som är identisk med den som garanteras i unionens rättsordning, förstås så, vilket bekräftas av skäl 104 i förordningen, att det krävs att detta tredjeland, genom sin interna lagstiftning eller på grund av de internationella förpliktelser som åligger landet, de facto säkerställer en nivå för skyddet av grundläggande fri- och rättigheter som är väsentligen likvärdig med den skyddsnivå som garanteras inom unionen enligt förordningen, jämförd med stadgan. Om ett sådant krav inte fanns skulle det syfte som nämns i föregående punkt åsidosättas (se, analogt, beträffande artikel 25.6 i direktiv 95/46, dom av den 6 oktober 2015, Schrems, C‑362/14, EU:C:2015:650, punkt 73).

95

I detta sammanhang anges i skäl 107 DSF att när ”ett tredjeland, ett territorium eller en viss specificerad sektor i ett tredjeland … inte längre säkerställer en adekvat dataskyddsnivå … [då bör] [ö]verföring av personuppgifter till detta tredjeland … förbjudas, såvida inte kraven i denna förordning avseende överföring med stöd av lämpliga skyddsåtgärder … är uppfyllda”. I skäl 108 i förordningen anges att om det saknas ett beslut om adekvat skyddsnivå, så ska de lämpliga skyddsåtgärder som det ankommer på den personuppgiftsansvarige eller personuppgiftsbiträdet att vidta i enlighet med artikel 46.1 i förordningen ”kompensera för det bristande dataskyddet i ett tredjeland”, för att ”säkerställa iakttagande av de krav i fråga om dataskydd och registrerades rättigheter som är lämpliga för behandling inom unionen”.

96

Av detta följer, såsom generaladvokaten har påpekat i punkt 115 i sitt förslag till avgörande, att sådana lämpliga skyddsåtgärder ska vara ägnade att säkerställa att personer vars personuppgifter överförs till ett tredjeland med stöd av standardiserade dataskyddsbestämmelser, på samma sätt som vid en överföring med stöd av ett beslut om adekvat skyddsnivå, åtnjuter en skyddsnivå som är väsentligen likvärdig med den som garanteras inom unionen.

97

Den hänskjutande domstolen vill även få klarhet i huruvida den skyddsnivå som är väsentligen likvärdig med den som garanteras inom unionen ska fastställas mot bakgrund av unionsrätten, särskilt de rättigheter som garanteras i stadgan, och/eller mot bakgrund av de grundläggande rättigheter som stadfästs i Europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna (nedan kallad Europakonventionen) eller mot bakgrund av medlemsstaternas nationella rätt.

98

Även om, såsom framgår av artikel 6.3 FEU, de grundläggande rättigheterna enligt Europakonventionen ingår i unionsrätten som allmänna principer, och även om artikel 52.3 i stadgan föreskriver att rättigheterna i Europakonventionen ska ges samma innebörd och räckvidd som de som garanteras av konventionen, utgör denna konvention inte något rättsligt instrument som formellt införlivats med unionsrätten så länge som inte unionen har anslutit sig till konventionen (dom av den 26 februari 2013, Åkerberg Fransson, C‑617/10, EU:C:2013:105, punkt 44 och där angiven rättspraxis, och dom av den 20 mars 2018, Menci, C‑524/15, EU:C:2018:197, punkt 22).

99

Domstolen har mot denna bakgrund slagit fast att unionsrätten och giltigheten av unionsrättsakter ska tolkas utifrån de grundläggande rättigheter som garanteras i stadgan (se, analogt, dom av den 20 mars 2018, Menci, C‑524/15, EU:C:2018:197, punkt 24).

100

Det följer av domstolens fasta praxis att giltigheten av bestämmelser i unionsrätten och – i avsaknad av en uttrycklig hänvisning till medlemsstaternas rättsordningar – deras tolkning, inte får bedömas mot bakgrund av nationell rätt, inte ens på grundlagsnivå, särskilt grundläggande rättigheter såsom de formulerats i deras nationella författning (se, för ett liknande resonemang, dom av den 17 december 1970, Internationale Handelsgesellschaft, 11/70, EU:C:1970:114, punkt 3, dom av den 13 december 1979, Hauer, 44/79, EU:C:1979:290, punkt 14, och dom av den 18 oktober 2016, Nikiforidis, C‑135/15, EU:C:2016:774, punkt 28 och där angiven rättspraxis.

101

Av detta följer således dels att en sådan överföring av personuppgifter som den i det nationella målet, som genomförs för kommersiella syften från en näringsidkare etablerad i en medlemsstat till en annan näringsidkare etablerad i ett tredjeland, omfattas av DSF:s tillämpningsområde, vilket framgår av svaret på den första frågan, dels att denna förordning, såsom framgår av dess skäl 10, bland annat syftar till att säkerställa en enhetlig och hög skyddsnivå för fysiska personer inom unionen och för att uppnå detta ändamål säkerställa en konsekvent och enhetlig tillämpning av bestämmelserna om skydd av fysiska personers grundläggande rättigheter och friheter vid behandling av personuppgifter i hela unionen. Den skyddsnivå för grundläggande rättigheter som krävs enligt artikel 46.1 i förordningen ska därför fastställas på grundval av bestämmelserna i denna förordning, jämförda med de grundläggande rättigheter som garanteras i stadgan.

102

Den hänskjutande domstolen vill även få klarhet i vilka omständigheter som ska beaktas vid bedömningen av huruvida skyddsnivån är adekvat i samband med en överföring av personuppgifter till ett tredjeland på grundval av standardiserade dataskyddsbestämmelser som antagits i enlighet med artikel 46.2 c DSF.

103

Även om denna bestämmelse inte innehåller någon uppräkning av de olika omständigheter som ska beaktas vid bedömningen av huruvida den skyddsnivå som ska iakttas vid en sådan överföring är adekvat, preciseras det i artikel 46.1 i förordningen att de registrerade ska åtnjuta lämpliga skyddsåtgärder och förfoga över lagstadgade rättigheter och effektiva rättsmedel.

104

Vid den bedömning som krävs i samband med en sådan överföring ska bland annat hänsyn tas till såväl de avtalsvillkor som överenskommits mellan den personuppgiftsansvarige eller personuppgiftsbiträdet, som är etablerade i unionen, och mottagaren av överföringen i det berörda tredjelandet, som de relevanta delarna av rättssystemet i det tredjelandet såvitt avser den åtkomst som myndigheterna i det tredjelandet eventuellt har till överförda personuppgifter. De omständigheter som i sistnämnda hänseende ska beaktas i samband med artikel 46 i förordningen motsvarar de omständigheter som på ett icke uttömmande sätt anges i artikel 45.2 i förordningen.

105

Den andra, den tredje och den sjätte frågan ska således besvaras enligt följande. Artikel 46.1 och 46.2 c DSF ska tolkas så, att de lämpliga skyddsåtgärder, lagstadgade rättigheter och effektiva rättsmedel som krävs enligt dessa bestämmelser ska säkerställa att personer vars personuppgifter överförs till ett tredjeland med stöd av standardiserade dataskyddsbestämmelser åtnjuter en skyddsnivå som är väsentligen likvärdig med den som garanteras inom unionen genom denna förordning, jämförd med stadgan. Vid bedömningen av den skyddsnivå som säkerställs i samband med en sådan överföring ska hänsyn tas till såväl de avtalsvillkor som överenskommits mellan den personuppgiftsansvarige eller personuppgiftsbiträdet, som är etablerade i unionen, och mottagaren av överföringen i det berörda tredjelandet, som de relevanta delarna av rättssystemet i det tredjelandet, särskilt de som anges i artikel 45.2 i förordningen, såvitt avser den åtkomst som myndigheterna i det tredjelandet eventuellt har till överförda personuppgifter.

Den åttonde frågan

106

Den hänskjutande domstolen har ställt den åttonde frågan för att få klarhet i huruvida artikel 58.2 f och j DSF ska tolkas så, att den behöriga tillsynsmyndigheten är skyldig att avbryta eller förbjuda en överföring av personuppgifter till ett tredjeland med stöd av standardiserade dataskyddsbestämmelser som antagits av kommissionen, när tillsynsmyndigheten anser att dessa klausuler inte iakttas eller inte kan iakttas i det tredjelandet och att det skydd för överförda personuppgifter som krävs enligt unionsrätten, särskilt enligt artiklarna 45 och 46 DSF och stadgan, inte kan säkerställas, eller om förstnämnda bestämmelser tvärtom ska tolkas så, att utövandet av dessa befogenheter enbart avser undantagsfall.

107

I enlighet med artikel 8.3 i stadgan och artiklarna 51.1 och 57.1 a DSF har de nationella tillsynsmyndigheterna till uppgift att övervaka efterlevnaden av unionsbestämmelserna om skyddet av enskilda personer med avseende på behandlingen av personuppgifter. Varje tillsynsmyndighet har således befogenhet att kontrollera huruvida en överföring av personuppgifter från den medlemsstat till vilken myndigheten hör till ett tredjeland uppfyller de krav som följer av förordningen (se, analogt, beträffande artikel 28 i direktiv 95/46, dom av den 6 oktober 2015, Schrems, C‑362/14, EU:C:2015:650, punkt 47).

108

Det följer av dessa bestämmelser att tillsynsmyndigheternas främsta uppgift är att övervaka tillämpningen av DSF och säkerställa att den följs. Fullgörandet av detta uppdrag är av särskild betydelse i samband med en överföring av personuppgifter till tredjeland, eftersom det framgår av ordalydelsen i skäl 116 i förordningen att ”[n]är personuppgifter förs över gränser utanför unionen kan detta öka risken för att fysiska personer inte kan utöva sina dataskyddsrättigheter, i synnerhet för att skydda sig från otillåten användning eller otillåtet utlämnande av denna information”. I ett sådant fall kan, såsom anges i samma skäl, ”tillsynsmyndigheterna ställas inför den omständigheten att det är omöjligt att pröva klagomål eller genomföra undersökningar av den verksamhet som bedrivs utanför deras gränser”.

109

Enligt artikel 57.1 f DSF är varje tillsynsmyndighet dessutom skyldig att inom sitt territorium behandla klagomål som var och en enligt artikel 77.1 i förordningen har rätt att inge när vederbörande anser att en behandling av personuppgifter som rör honom eller henne utgör ett åsidosättande av nämnda förordning, och i den utsträckning det är nödvändigt pröva syftet med behandlingen. Tillsynsmyndigheten ska med vederbörlig omsorg utreda ett sådant klagomål (se, analogt, beträffande artikel 25.6 i direktiv 95/46, dom av den 6 oktober 2015, Schrems, C‑362/14, EU:C:2015:650, punkt 63).

110

Enligt artikel 78.1 och 78.2 DSF har var och en rätt till ett effektivt rättsmedel, bland annat om tillsynsmyndigheten underlåter att behandla ett klagomål. I skäl 141 i förordningen hänvisas även till denna ”rätt till ett effektivt rättsmedel i enlighet med artikel 47 i stadgan” för det fall tillsynsmyndigheten ”inte agerar när så är nödvändigt för att skydda den registrerades rättigheter”.

111

För att behandla inkomna klagomål tillerkänns varje tillsynsmyndighet enligt artikel 58.1 DSF betydande utredningsbefogenheter. När en sådan myndighet, efter att ha avslutat sin utredning, anser att den registrerade vars personuppgifter har överförts till ett tredjeland inte åtnjuter en adekvat skyddsnivå i detta land, är den enligt unionsrätten skyldig att reagera på lämpligt sätt för att avhjälpa den konstaterade bristande skyddsnivån, och detta oberoende av orsaken till eller arten av denna brist. I artikel 58.2 i denna förordning anges de olika korrigerande åtgärder som tillsynsmyndigheten kan vidta i detta sammanhang.

112

Även om det ankommer på tillsynsmyndigheten att välja en lämplig och nödvändig åtgärd, och att denna ska göra detta val med beaktande av samtliga omständigheter i samband med den aktuella överföringen av personuppgifter, är tillsynsmyndigheten icke desto mindre skyldig att fullgöra sitt uppdrag med erforderlig omsorg och att därvid tillse att DSF iakttas fullt ut.

113

Såsom generaladvokaten har påpekat i punkt 148 i sitt förslag till avgörande är tillsynsmyndigheten enligt artikel 58.2 f och j i denna förordning skyldig att avbryta eller förbjuda en överföring av personuppgifter till ett tredjeland om den, mot bakgrund av samtliga omständigheter i samband med överföring, anser att de standardiserade dataskyddsbestämmelserna inte iakttas eller inte kan iakttas i det tredjelandet, och att det skydd för personuppgifter som krävs enligt unionsrätten inte kan säkerställas med andra medel, förutsatt att den personuppgiftsansvarige eller dennes personuppgiftsbiträde som är etablerade i unionen inte själv har avbrutit eller upphört med överföringen.

114

Den tolkning som gjorts i föregående punkt påverkas inte av dataskyddsmyndighetens argument att artikel 4 i beslut 2010/87, i dess lydelse före ikraftträdandet av genomförandebeslut 2016/2297, jämförd med skäl 11 i detta beslut, innebar att tillsynsmyndigheternas befogenhet att avbryta eller förbjuda en överföring av personuppgifter till ett tredjeland begränsades till vissa undantagsfall. I artikel 4 i beslutet om standardavtalsklausuler, i dess lydelse enligt genomförandebeslut 2016/2297, hänvisas nämligen till den befogenhet som dessa myndigheter numera har enligt artikel 58.2 f och j DSF att avbryta eller förbjuda en sådan överföring, utan att på något sätt begränsa utövandet av denna befogenhet till undantagsfall.

115

De genomförandebefogenheter som unionslagstiftaren gett kommissionen i artikel 46.2 c DSF att anta standardiserade dataskyddsbestämmelser ger emellertid inte denna institution befogenheten att inskränka tillsynsmyndigheternas befogenheter enligt artikel 58.2 i denna förordning (se, analogt, beträffande artikel 25.6 och artikel 28 i direktiv 95/46, dom av den 6 oktober 2015, Schrems, C‑362/14, EU:C:2015:650, punkterna 102 och 103). I skäl 5 i genomförandebeslut 2016/2297 bekräftas för övrigt att beslutet om standardavtalsklausuler inte ”hindrar … en … tillsynsmyndighet från att utöva sina befogenheter att kontrollera dataflödena, inbegripet befogenheten att tillfälligt eller slutligt förbjuda överföring av personuppgifter, om den fastställer att överföringen sker i strid med [Europeiska unionens] eller nationell dataskyddslagstiftning”.

116

Det ska emellertid preciseras att den behöriga tillsynsmyndighetens befogenheter ska utövas med iakttagande av ett beslut genom vilket kommissionen i förekommande fall med tillämpning av artikel 45.1 första meningen DSF slår fast att ett visst tredjeland säkerställer en adekvat skyddsnivå. I ett sådant fall framgår det nämligen av artikel 45.1 andra meningen i förordningen, jämförd med skäl 103 i samma förordning, att överföringar av personuppgifter till det berörda tredjelandet får ske utan att något särskilt tillstånd krävs.

117

Enligt artikel 288 fjärde stycket FEUF är ett kommissionsbeslut om adekvat skyddsnivå till alla delar bindande för samtliga medlemsstater som det riktar sig till och det är således bindande för samtliga organ i medlemsstaterna, i den mån det i beslutet konstateras att det berörda tredjelandet säkerställer en adekvat skyddsnivå och det innebär att sådana överföringar av uppgifter är tillåtna (se, analogt, beträffande artikel 25.6 i direktiv 95/46, dom av den 6 oktober 2015, Schrems, C‑362/14, EU:C:2015:650, punkt 51 och där angiven rättspraxis).

118

Så länge som beslutet om adekvat skydd inte har ogiltigförklarats av domstolen, kan medlemsstaterna och deras organ, däribland deras oberoende tillsynsmyndigheter, inte vidta åtgärder som strider mot detta beslut, såsom rättsakter som syftar till att med bindande verkan fastställa att det tredjeland som avses i beslutet inte säkerställer en adekvat skyddsnivå (dom av den 6 oktober 2015, Schrems, C‑362/14, EU:C:2015:650, punkt 52 och där angiven rättspraxis), och kan följaktligen inte avbryta eller förbjuda överföring av personuppgifter till detta tredjeland.

119

Ett beslut om adekvat skyddsnivå som antagits av kommissionen i enlighet med artikel 45.3 DSF kan emellertid inte hindra personer vars personuppgifter har överförts eller kan komma att överföras till ett tredjeland från att, med tillämpning av artikel 77.1 DSF, vända sig till den behöriga nationella tillsynsmyndigheten med klagomål avseende skyddet för deras rättigheter och friheter när det gäller behandlingen av dessa uppgifter. Ett sådant beslut kan inte heller omintetgöra eller inskränka de nationella tillsynsmyndigheternas uttryckliga befogenheter enligt artikel 8.3 i stadgan samt artiklarna 51.1 och 57.1 a i nämnda förordning. (se, analogt, beträffande artikel 28 i direktiv 95/46, dom av den 6 oktober 2015, Schrems, C‑362/14, EU:C:2015:650, punkt 53).

120

Även när det föreligger ett kommissionsbeslut om adekvat skyddsnivå ska den behöriga nationella tillsynsmyndigheten – till vilken en person har ingett klagomål angående skyddet för sina fri- och rättigheter med avseende på behandlingen av personuppgifter som rör honom eller henne – kunna göra en fullständigt oberoende prövning av huruvida överföringen av uppgifterna uppfyller de krav som uppställs i DSF och, i förekommande fall, inleda ett förfarande vid nationella domstolar i syfte att dessa domstolar, om de delar myndighetens tvivel angående giltigheten av beslutet om adekvat skydd, ska kunna hänskjuta en begäran om förhandsavgörande för att få beslutets giltighet prövad (se, analogt, beträffande artiklarna 25.6 och 28 i direktiv 95/46, dom av den 6 oktober 2015, Schrems, C‑362/14, EU:C:2015:650, punkterna 57 och 65).

121

Mot bakgrund av det ovan anförda ska den åttonde frågan besvaras enligt följande. Artikel 58.2 f och j DSF ska tolkas så, att såvida det inte finns ett giltigt kommissionsbeslut om adekvat skyddsnivå är den behöriga tillsynsmyndigheten skyldig att avbryta eller förbjuda en överföring av uppgifter till ett tredjeland på grundval av standardiserade dataskyddsbestämmelser som antagits av kommissionen, när tillsynsmyndigheten, med beaktande av samtliga omständigheter i samband med denna överföring, anser att dessa klausuler inte iakttas eller inte kan iakttas i det tredjelandet och att det skydd för överförda personuppgifter som krävs enligt unionsrätten, särskilt enligt artiklarna 45 och 46 DSF samt stadgan, inte kan säkerställas med andra medel, förutsatt att den personuppgiftsansvarige eller dennes personuppgiftsbiträde som är etablerade i unionen inte själv har avbrutit eller upphört med överföringen.

Den sjunde och den elfte frågan

122

Den hänskjutande domstolen har ställt den sjunde och den elfte frågan, vilka ska prövas tillsammans, för att få klarhet i huruvida beslutet om standardavtalsklausuler är giltigt mot bakgrund av artiklarna 7, 8 och 47 i stadgan.

123

Såsom framgår av den sjunde frågans lydelse och tillhörande förklaringar i begäran om förhandsavgörande, vill den hänskjutande domstolen särskilt få klarhet i huruvida beslutet om standardavtalsklausuler kan säkerställa en adekvat skyddsnivå för personuppgifter som överförs till tredjeländer, med hänsyn till att de standardiserade dataskyddsbestämmelser som föreskrivs i beslutet inte är bindande för myndigheterna i dessa tredjeländer.

124

I artikel 1 i beslutet om standardavtalsklausuler föreskrivs att de standardiserade dataskyddsbestämmelserna i bilagan till detta beslut ska anses ge tillräckliga garantier för skydd av den personliga integriteten och enskildas grundläggande rättigheter och friheter i enlighet med vad som föreskrivs i artikel 26.2 i direktiv 95/46. Denna sistnämnda bestämmelse har i huvudsak överförts till artikel 46.1 och 46.2 c DSF.

125

Även om dessa klausuler är bindande för den personuppgiftsansvarige som är etablerad i unionen och för mottagaren av överföringen av personuppgifter som är etablerad i ett tredjeland, när de har ingått ett avtal med hänvisning till dessa klausuler, är det emellertid utrett att dessa klausuler inte kan vara bindande för myndigheterna i det tredjelandet, eftersom dessa inte är parter i avtalet.

126

Även om det således finns situationer där mottagaren av en sådan överföring, beroende på rättsläget och gällande praxis i det berörda tredjelandet, kan garantera det nödvändiga skyddet av uppgifter enbart med stöd av de standardiserade dataskyddsbestämmelserna, finns det andra situationer i vilka bestämmelserna i dessa klausuler inte kan vara ett tillräckligt medel för att i praktiken säkerställa ett effektivt skydd av de personuppgifter som överförs till det berörda tredjelandet. Så är bland annat fallet när lagstiftningen i det tredjelandet tillåter att myndigheterna i detta tredjeland gör ingrepp i de registrerade personernas rättigheter avseende dessa uppgifter.

127

Frågan uppkommer således huruvida ett beslut av kommissionen angående standardiserade dataskyddsbestämmelser, som antagits med stöd av artikel 46.2 c DSF, är ogiltigt om beslutet inte innehåller några garantier som kan göras gällande mot offentliga myndigheter i tredjeländer till vilka personuppgifter överförs eller skulle kunna överföras med stöd av dessa dataskyddsbestämmelser.

128

I artikel 46.1 DSF föreskrivs att i avsaknad av ett beslut om adekvat skyddsnivå, får en personuppgiftsansvarig eller ett personuppgiftsbiträde endast överföra personuppgifter till ett tredjeland efter att ha vidtagit lämpliga skyddsåtgärder, och på villkor att lagstadgade rättigheter och effektiva rättsmedel för registrerade finns tillgängliga. Enligt artikel 46.2 c i förordningen kan dessa skyddsåtgärder tillhandahållas genom standardiserade dataskyddsbestämmelser som antas av kommissionen. I dessa bestämmelser anges emellertid inte att samtliga dessa skyddsåtgärder nödvändigtvis måste föreskrivas i ett beslut av kommissionen såsom beslutet om standardavtalsklausuler.

129

Det ska härvid påpekas att ett sådant beslut skiljer sig från ett beslut om adekvat skyddsnivå som antagits med stöd av artikel 45.3 DSF, vilket, efter en prövning av lagstiftningen i det berörda tredjelandet med beaktande av bland annat relevant nationell lagstiftning avseende nationell säkerhet och offentliga myndigheters åtkomst till personuppgifter, syftar till att med bindande verkan fastställa att ett tredjeland, ett territorium eller en eller flera specificerade sektorer inom det landet säkerställer en adekvat skyddsnivå. Det förhållandet att det tredjelandets myndigheter har åtkomst till sådana uppgifter utgör därför inte hinder för att överföra dessa uppgifter till detta tredjeland. Ett sådant beslut om adekvat skyddsnivå kan således endast antas av kommissionen under förutsättning att den har slagit fast att den relevanta lagstiftningen i detta tredjeland verkligen innehåller samtliga nödvändiga skyddsåtgärder som gör det möjligt att anse att lagstiftningen säkerställer en adekvat skyddsnivå.

130

När det däremot gäller ett beslut av kommissionen att anta standardiserade dataskyddsbestämmelser, såsom beslutet om standardavtalsklausuler, går det inte att utläsa av artikel 46.1 och 46.2 c DSF – eftersom ett sådant beslut inte avser ett tredjeland, ett visst territorium eller en eller flera specificerade sektorer där – att kommissionen, innan den antar ett sådant beslut, är skyldig göra en bedömning av huruvida de tredjeländer till vilka personuppgifter skulle kunna överföras på grundval av sådana klausuler, säkerställer en adekvat skyddsnivå.

131

Domstolen erinrar om att enligt artikel 46.1 DSF ankommer det på den personuppgiftsansvarige eller personuppgiftsbiträdet som är etablerade i unionen, i avsaknad av ett kommissionsbeslut om adekvat skyddsnivå, att bland annat föreskriva lämpliga skyddsåtgärder. I skälen 108 och 114 i nämnda förordning bekräftas att när kommissionen inte har antagit beslut om adekvat skyddsnivå i ett tredjeland bör den personuppgiftsansvarige eller i förekommande fall personuppgiftsbiträdet ”vidta åtgärder för att kompensera för det bristande dataskyddet i ett tredjeland med hjälp av lämpliga skyddsåtgärder för den registrerade”, varvid ”[d]essa skyddsåtgärder bör säkerställa iakttagande av de krav i fråga om dataskydd och registrerades rättigheter som är lämpliga för behandling inom unionen, inbegripet huruvida bindande rättigheter för de registrerade och effektiva rättsmedel är tillgängliga … i unionen eller i ett tredjeland”.

132

Såsom framgår av punkt 125 ovan följer det av den avtalsrättsliga karaktären hos standardiserade dataskyddsbestämmelser att de inte är bindande för offentliga myndigheter i tredjeland, men att det enligt artiklarna 44, 46.1 och 46.2 c DSF, tolkade mot bakgrund av artiklarna 7, 8 och 47 i stadgan, uppställs krav på att skyddsnivån för fysiska personer som säkerställs genom denna förordning inte får undergrävas, vilket innebär att det kan visa sig nödvändigt att komplettera skyddsåtgärderna i dessa standardiserade dataskyddsbestämmelser. I skäl 109 i nämnda förordning anges att ”[p]ersonuppgiftsansvarigas … möjlighet att använda standardiserade dataskyddsbestämmelser som antagits av kommissionen … bör inte hindra att de … lägger till andra bestämmelser eller ytterligare skyddsåtgärder” och det anges särskilt att dessa ”bör uppmuntras att tillhandahålla ytterligare skyddsåtgärder … som kompletterar de standardiserade skyddsbestämmelserna”.

133

Det framgår således att de standardiserade dataskyddsbestämmelser som kommissionen antagit med stöd av artikel 46.2 c i samma förordning endast syftar till att tillhandahålla de personuppgiftsansvariga eller deras personuppgiftsbiträden etablerade i unionen avtalsenliga skyddsåtgärder som tillämpas på ett enhetligt sätt i alla tredjeländer och således oberoende av den skyddsnivå som säkerställs i vart och ett av dessa länder. Eftersom dessa standardiserade dataskyddsbestämmelser, med hänsyn till deras art, inte kan leda till skyddsåtgärder som går utöver en avtalsenlig skyldighet att säkerställa att den skyddsnivå som krävs enligt unionsrätten iakttas, kan det vara nödvändigt, beroende på den situation som råder i ett visst tredjeland, för den personuppgiftsansvarige att vidta ytterligare åtgärder för att säkerställa att skyddsnivån iakttas.

134

Såsom generaladvokaten har påpekat i punkt 126 i sitt förslag till avgörande bygger den avtalsmekanism som föreskrivs i artikel 46.2 c DSF på att den personuppgiftsansvarige eller personuppgiftsbiträdet som är etablerade i unionen är ansvarig eller, i andra hand, den behöriga tillsynsmyndigheten. Det ankommer således framför allt på den personuppgiftsansvarige eller personuppgiftsbiträdet att i varje enskilt fall och, i förekommande fall, i samarbete med mottagaren av överföringen, kontrollera huruvida lagstiftningen i mottagarlandet säkerställer ett lämpligt skydd med hänsyn till unionsrätten för personuppgifter som överförts med stöd av standardiserade dataskyddsbestämmelser och att vid behov tillhandahålla ytterligare skyddsåtgärder utöver dem som erbjuds genom dessa klausuler.

135

Om den personuppgiftsansvarige eller personuppgiftsbiträdet som är etablerade i unionen inte kan vidta ytterligare åtgärder som är tillräckliga för att säkerställa ett sådant skydd, är dessa eller, i andra hand, den behöriga tillsynsmyndigheten, skyldiga att avbryta eller upphöra med överföringen av personuppgifter till det berörda tredjelandet. Så är bland annat fallet när lagstiftningen i det tredjelandet ålägger mottagaren av en överföring av personuppgifter från unionen skyldigheter som strider mot nämnda klausuler, vilket följaktligen kan äventyra den avtalsenliga garantin om adekvat skydd mot att offentliga myndigheter i det berörda tredjelandet får åtkomst till dessa uppgifter.

136

Enbart den omständigheten att standardiserade dataskyddsbestämmelser i ett beslut som kommissionen antagit med stöd av artikel 46.2 c DSF, såsom dataskyddsbestämmelserna i bilagan till beslutet om standardavtalsklausuler, inte är bindande för myndigheterna i sådana tredjeländer till vilka personuppgifter kan komma att överföras påverkar inte det beslutets giltighet.

137

Denna giltighet beror däremot på huruvida ett sådant beslut, i enlighet med kravet i artikel 46.1 och 46.2 c DSF, tolkade mot bakgrund av artiklarna 7, 8 och 47 i stadgan, innehåller effektiva mekanismer som i praktiken gör det möjligt att säkerställa att den skyddsnivå som krävs enligt unionsrätten iakttas och att överföringar av personuppgifter med stöd av sådana dataskyddsbestämmelser avbryts eller förbjuds om dessa bestämmelser åsidosätts eller är omöjliga att iaktta.

138

När det gäller de skyddsåtgärder som föreskrivs i de standardiserade dataskyddsbestämmelserna i bilagan till beslutet om standardavtalsklausuler, framgår det av klausul 4 a och b, klausul 5 a, klausul 9 och klausul 11.1 att den personuppgiftsansvarige som är etablerad i unionen, mottagaren av överföringen av personuppgifter och ett eventuellt personuppgiftsbiträde, förbinder sig ömsesidigt att säkerställa att behandlingen av uppgifterna, inbegripet överföringen av dem, har skett och även i fortsättningen kommer att ske i enlighet med ”tillämplig uppgiftsskyddslagstiftning”. Enligt definitionen i artikel 3 f i detta beslut avses därmed ”sådan lagstiftning som avser att skydda personers grundläggande fri- och rättigheter, särskilt deras personliga integritet i samband med behandling av personuppgifter, och som är tillämplig på [personuppgiftsansvariga] i den medlemsstat där uppgiftsutföraren är etablerad”. Bestämmelserna i DSF, tolkade mot bakgrund av stadgan, utgör en del av denna lagstiftning.

139

Vidare förbinder sig mottagaren av överföringen av personuppgifter, som är etablerad i ett tredjeland, enligt klausul 5 a att omedelbart underrätta den personuppgiftsansvarige som är etablerad i unionen om sin eventuella oförmåga att uppfylla sina skyldigheter enligt det ingångna avtalet. Enligt klausul 5 b ska mottagaren särskilt intyga att vederbörande inte har anledning att förmoda att den lagstiftning som är tillämplig på mottagaren hindrar denne från att uppfylla sina skyldigheter enligt det ingångna avtalet och mottagaren förbinder sig att utan dröjsmål, efter att ha tagit del av dem, underrätta den personuppgiftsansvarige om varje ändring av den nationella lagstiftningen som kan få betydande negativa konsekvenser för de skyddsåtgärder och skyldigheter som tillhandahålls i de standardiserade dataskyddsbestämmelserna i bilagan till beslutet om standardavtalsklausuler. Enligt klausul 5 d punkt i är det tillåtet för mottagaren av en överföring av personuppgifter att underlåta att underrätta den personuppgiftsansvarige som är etablerad i unionen om en bindande begäran från rättsliga myndigheter om utlämnande av personuppgifter, om det föreligger lagstiftning som förhindrar det, såsom ett straffrättsligt förbud som syftar till att skydda sekretess vid brottsutredningar, men vederbörande är emellertid, enligt klausul 5 a i bilagan till beslutet om standardavtalsklausuler, skyldig att informera den personuppgiftsansvarige om att denne inte kan iaktta de standardiserade dataskyddsbestämmelserna.

140

I de två fall som avses i nämnda klausul 5 a och b har den personuppgiftsansvarige som är etablerad i unionen rätt att avbryta överföringen av uppgifter och/eller häva avtalet. Med hänsyn till de krav som följer av artikel 46.1 och 46.2 c DSF, jämförda med artiklarna 7 och 8 i stadgan, är det obligatoriskt för den personuppgiftsansvarige att avbryta överföringen av uppgifter och/eller häva avtalet när mottagaren av överföringen inte kan, eller inte längre kan, iaktta de standardiserade dataskyddsbestämmelserna. I annat fall skulle den personuppgiftsansvarige åsidosätta de krav som åligger denne enligt klausul 4 a i bilagan till beslutet om standardavtalsklausuler, tolkad mot bakgrund av bestämmelserna i DSF och stadgan.

141

Det framgår således att klausulerna 4 a och 5 a och b i denna bilaga innebär en skyldighet för den personuppgiftsansvarige som är etablerad i unionen och för mottagaren av överföringen av personuppgifter att försäkra sig om att lagstiftningen i det mottagande tredjelandet gör det möjligt för mottagaren att följa de standardiserade dataskyddsbestämmelserna i bilagan till beslutet om standardavtalsklausuler, innan vederbörande överför personuppgifter till detta tredjeland. Vad gäller denna kontroll preciseras det i fotnoten till klausul 5 att obligatoriska krav i denna lagstiftning som inte går utöver vad som är nödvändigt i ett demokratiskt samhälle för att bland annat skydda nationell säkerhet, försvaret och allmän säkerhet, inte strider mot dessa standardiserade dataskyddsbestämmelser. Såsom generaladvokaten har framhållit i punkt 131 i sitt förslag till avgörande ska däremot fullgörandet av en skyldighet enligt lagstiftningen i det mottagande tredjelandet som går utöver vad som är nödvändigt för detta ändamål, anses utgöra ett åsidosättande av dessa klausuler. Aktörernas bedömning av den nödvändiga karaktären av en sådan skyldighet ska i förekommande fall beakta konstaterandet i ett kommissionsbeslut om adekvat skyddsnivå, vilket antagits enligt artikel 45.3 DSF, att den skyddsnivå som säkerställs i det berörda tredjelandet är adekvat.

142

Härav följer att den personuppgiftsansvarige som är etablerad i unionen och mottagaren av överföringen av personuppgifter är skyldiga att i förväg kontrollera att den skyddsnivå som krävs enligt unionsrätten iakttas i det berörda tredjelandet. Mottagaren av denna överföring är i förekommande fall skyldig, enligt nämnda klausul 5 b, att informera den personuppgiftsansvarige om att mottagaren eventuellt inte kan iaktta dessa klausuler, varvid det åligger den personuppgiftsansvarige att avbryta överföringen av uppgifter och/eller häva avtalet.

143

Om mottagaren av överföringen av personuppgifter till ett tredjeland i enlighet med klausul 5 b i bilagan till beslutet om standardavtalsklausuler har underrättat den personuppgiftsansvarige om att lagstiftningen i det berörda tredjelandet inte gör det möjligt för mottagaren att iaktta de standardiserade dataskyddsbestämmelserna i nämnda bilaga, följer det av klausul 12 i nämnda bilaga att de uppgifter som redan har överförts till detta tredjeland jämte kopior av dessa i sin helhet ska återlämnas eller förstöras. Under alla omständigheter föreskrivs i klausul 6 i bilagan en påföljd för åsidosättande av dessa standardklausuler genom att den registrerade ges rätt till ersättning för den lidna skadan.

144

Det ska tilläggas att enligt klausul 4 f i bilagan till beslutet om standardavtalsklausuler förbinder sig den personuppgiftsansvarige som är etablerad i unionen, när särskilda kategorier av uppgifter skulle kunna överföras till ett tredjeland som inte tillhandahåller en adekvat skyddsnivå, att informera den registrerade om detta före överföringen eller så snart som möjligt därefter. Denna information kan göra det möjligt för den registrerade att utöva rätten enligt klausul 3.1 i nämnda bilaga att väcka talan gentemot den personuppgiftsansvarige för att denne ska avbryta den planerade överföringen, häva avtalet med mottagaren av personuppgifterna eller, i förekommande fall, begära att den personuppgiftsansvarige ska återlämna eller förstöra de överförda uppgifterna.

145

Av klausul 4 g i nämnda bilaga följer att för det fall mottagaren av en överföring av personuppgifter underrättar den personuppgiftsansvarige som är etablerad i unionen i enlighet med klausul 5 b i bilagan om att den lagstiftning som berör mottagaren ändrats på ett sätt som kan få betydande negativa konsekvenser för de skyddsåtgärder och de skyldigheter som föreskrivs i de standardiserade dataskyddsbestämmelserna, är den personuppgiftsansvarige skyldig att vidarebefordra denna anmälan till den behöriga tillsynsmyndigheten om den personuppgiftsansvarige trots denna anmälan beslutar att fortsätta överföringen eller häva avbrottet. Vidarebefordran av en sådan anmälan till tillsynsmyndigheten och myndighetens rätt att utföra inspektioner hos mottagaren av överföringen av personuppgifter med tillämpning av klausul 8.2 i bilagan gör det möjligt för tillsynsmyndigheten att kontrollera huruvida det finns anledning att avbryta eller förbjuda den planerade överföringen för att säkerställa en adekvat skyddsnivå.

146

Artikel 4 i beslutet om standardavtalsklausuler, jämförd med skäl 5 i genomförandebeslut 2016/2297, bekräftar härvidlag att beslutet om standardavtalsklausuler inte på något sätt hindrar den behöriga tillsynsmyndigheten från att avbryta eller, i förekommande fall, förbjuda en överföring av personuppgifter till ett tredjeland som äger rum med stöd av de standardiserade dataskyddsbestämmelserna i bilagan till detta beslut. Såsom framgår av svaret på den åttonde frågan är den behöriga tillsynsmyndigheten, såvida det inte finns ett giltigt beslut om adekvat skyddsnivå som antagits av kommissionen enligt artikel 58.2 f och j DSF, skyldig att avbryta eller förbjuda en sådan överföring, om den, mot bakgrund av samtliga omständigheter i samband med denna överföring, anser att dessa klausuler inte iakttas, eller inte kan iakttas, i detta tredjeland och att det skydd för överförda uppgifter som krävs enligt unionsrätten inte kan säkerställas med andra medel, förutsatt att den personuppgiftsansvarige eller dennes personuppgiftsbiträde som är etablerade i unionen inte själv har avbrutit eller upphört med överföringen.

147

Vad gäller den av dataskyddsmyndigheten åberopade omständigheten att överföringar av personuppgifter till ett sådant tredjeland eventuellt skulle kunna bli föremål för olika beslut från tillsynsmyndigheterna i olika medlemsstater, påpekar domstolen att det framgår av artiklarna 55.1 och 57.1 a DSF att uppgiften att säkerställa att förordningen efterlevs i princip tillkommer varje tillsynsmyndighet i respektive medlemsstat. För att undvika att olika beslut skiljer sig åt föreskrivs dessutom i artikel 64.2 i förordningen en möjlighet för en tillsynsmyndighet som anser att överföring av uppgifter till tredjeland generellt ska vara förbjuden att inhämta yttrande från Europeiska dataskyddsstyrelsen (EDPB). Denna myndighet kan enligt artikel 65.1 c i nämnda förordning anta ett bindande beslut, bland annat när en tillsynsmyndighet inte följer ett yttrande som dataskyddsstyrelsen avgett.

148

Härav följer att beslutet om standardavtalsklausuler innehåller effektiva mekanismer som i praktiken gör det möjligt att säkerställa att överföringen av personuppgifter till ett tredjeland med stöd av de standardiserade dataskyddsbestämmelserna i bilagan till detta beslut ska avbrytas eller förbjudas om mottagaren av överföringen inte iakttar nämnda bestämmelser eller inte kan iaktta dem.

149

Mot bakgrund av det ovanstående ska den sjunde och den elfte frågan besvaras enligt följande. Vid prövningen av beslutet om standardavtalsklausuler mot bakgrund av artiklarna 7, 8 och 47 i stadgan har det inte framkommit någon omständighet som påverkar beslutets giltighet.

Den fjärde, den femte, den nionde och den tionde frågan

150

Den hänskjutande domstolen har ställt den nionde frågan för att få klarhet i huruvida och i vilken utsträckning en tillsynsmyndighet i en medlemsstat är bunden av konstaterandet i beslutet om skölden för skydd av privatlivet att Förenta staterna säkerställer en adekvat skyddsnivå. Den hänskjutande domstolen har ställt den fjärde, den femte och den tionde frågan för att få klarhet i huruvida överföringen till Förenta staterna av personuppgifter med stöd av de standardiserade dataskyddsbestämmelserna i bilagan till beslutet om standardavtalsklausuler, med hänsyn till den hänskjutande domstolens egna konstateranden avseende lagstiftningen i Förenta staterna, strider mot de rättigheter som garanteras i artiklarna 7, 8 och 47 i stadgan och i synnerhet huruvida inrättandet av den ombudsman som anges i bilaga III till beslutet om skölden för skydd av privatlivet är förenligt med nämnda artikel 47.

151

Det ska inledningsvis påpekas att även om dataskyddsmyndighetens talan i det nationella målet enbart avser att ifrågasätta giltigheten av beslutet om standardavtalsklausuler, så väcktes denna talan vid den hänskjutande domstolen innan beslutet om skölden för skydd av privatlivet hade antagits. Eftersom den hänskjutande domstolen har ställt den fjärde och den femte frågan för att få klarhet i vilket skydd som enligt artiklarna 7, 8 och 47 i stadgan generellt ska säkerställas i samband med en sådan överföring, ska EU-domstolen därför vid sin prövning beakta följderna av att beslutet om skölden för skydd av privatlivet antagits under tiden. Detta gäller i än högre grad då den hänskjutande domstolen genom sin tionde fråga uttryckligen vill få klarhet i huruvida det skydd som föreskrivs i artikel 47 i stadgan säkerställs genom den ombudsman som nämns i sistnämnda beslut.

152

Det framgår dessutom av uppgifterna i begäran om förhandsavgörande att Facebook Ireland, i det nationella målet, har gjort gällande att beslutet om skölden för skydd av privatlivet har bindande verkningar för dataskyddsmyndigheten när det gäller konstaterandet att Förenta staterna säkerställer en adekvat skyddsnivå och därmed beträffande lagenligheten av en överföring av personuppgifter till detta tredjeland som äger rum med stöd av de standardiserade dataskyddsbestämmelserna i bilagan till beslutet om standardavtalsklausuler.

153

Såsom framgår av punkt 59 i förevarande dom underströk den hänskjutande domstolen i sin dom av den 3 oktober 2017, som bilagts begäran om förhandsavgörande, att den var skyldig att beakta de ändringar i lagstiftningen som skett under tiden från det att talan väcktes till dess att förhandlingen ägde rum vid denna domstol. Den hänskjutande domstolen förefaller således vara skyldig att, för att avgöra det nationella målet, beakta de förändrade omständigheterna till följd av antagandet av beslutet om skölden för skydd av privatlivet och de eventuella bindande verkningarna av det beslutet.

154

Frågan huruvida konstaterandet i beslutet om skölden för skydd av privatlivet angående en adekvat skyddsnivå i Förenta staterna har bindande verkningar är relevant för dels bedömningen av de ovan i punkterna 141 och 142 angivna skyldigheterna som åligger den personuppgiftsansvarige och mottagaren av en överföring till ett tredjeland av personuppgifter med stöd av de standardiserade dataskyddsbestämmelserna i bilagan till beslutet om standardavtalsklausuler, dels bedömningen av de skyldigheter som i förekommande fall åligger tillsynsmyndigheten att avbryta eller förbjuda en sådan överföring.

155

När det gäller de bindande verkningarna av beslutet om skölden för skydd av privatlivet, föreskrivs nämligen i artikel 1.1 i det beslutet att vid tillämpningen av artikel 45.1 DSF ”säkerställer Förenta staterna en adekvat skyddsnivå för personuppgifter som överförs från unionen till organisationer i Förenta staterna inom ramen för skölden för skydd av privatlivet i EU och Förenta staterna”. Enligt artikel 1.3 i beslutet ska personuppgifter anses ha överförts under skydd av denna sköld när de överförs från unionen till organisationer i Förenta staterna som ingår i den förteckning över organisationer som ansluter sig till skölden, som förvaltas och offentliggörs av Förenta staternas handelsministerium i enlighet med avsnitten I och III i de principer som anges i bilaga II till detta beslut.

156

Såsom framgår av den rättspraxis som det erinrats om i punkterna 117 och 118 i förevarande dom är beslutet om skölden för skydd av privatlivet bindande för tillsynsmyndigheterna, eftersom det däri fastställs att Förenta staterna säkerställer en adekvat skyddsnivå. Detta får till följd att överföring av personuppgifter enligt skölden för skydd av privatlivet i Europeiska unionen och Förenta staterna är tillåten. Så länge som detta beslut inte har ogiltigförklarats av EU-domstolen, kan den behöriga tillsynsmyndigheten således inte avbryta eller förbjuda en överföring av personuppgifter till en organisation som anslutit sig till skölden av det skälet att tillsynsmyndigheten, tvärtemot kommissionens bedömning i nämnda beslut, anser att lagstiftningen i Förenta staterna om åtkomst till personuppgifter som överförs enligt skölden och de offentliga myndigheternas användning av dessa personuppgifter i detta tredjeland för ändamål som rör nationell säkerhet, brottsbekämpning och andra ändamål som rör allmänintresset, inte säkerställer en adekvat skyddsnivå.

157

I enlighet med den rättspraxis som det erinrats om i punkterna 119 och 120 i förevarande dom ska den behöriga tillsynsmyndigheten, när en person inger ett klagomål till myndigheten, göra en helt oberoende prövning av huruvida den aktuella överföringen av personuppgifter uppfyller kraven i DSF och, för det fall att den anser att det finns fog för de invändningar som denna person har anfört i syfte att ifrågasätta giltigheten av ett beslut om adekvat skyddsnivå, väcka talan vid nationell domstol i syfte att få den nationella domstolen att vända sig till EU-domstolen med en begäran om förhandsavgörande.

158

Ett klagomål enligt artikel 77.1 DSF, genom vilket en person, vars personuppgifter har överförts eller kan komma att överföras till ett tredjeland, gör gällande att lagstiftning och praxis i det landet inte säkerställer en adekvat skyddsnivå trots kommissionens konstaterande i ett beslut som antagits med stöd av artikel 45.3 i denna förordning, ska nämligen förstås så, att det i huvudsak avser beslutets förenlighet med skyddet för privatlivet och enskildas grundläggande fri- och rättigheter (se, analogt, beträffande artikel 25.6 och artikel 28.4 i direktiv 95/46, dom av den 6 oktober 2015, Schrems, C‑362/14, EU:C:2015:650, punkt 59).

159

I förevarande fall har Maximillian Schrems begärt att dataskyddsmyndigheten ska förbjuda eller avbryta överföringen av hans personuppgifter till Facebook Inc., etablerat i Förenta staterna, med motiveringen att detta tredjeland inte säkerställer en adekvat skyddsnivå. Efter en utredning av Maximillian Schrems påståenden väckte dataskyddsmyndigheten talan vid den hänskjutande domstolen, och denna domstol förefaller, mot bakgrund av åberopad bevisning och det kontradiktoriska förfarande som genomförts vid denna domstol, vilja få klarhet i huruvida det finns grund för Maximillian Schrems tvivel vad gäller en adekvat skyddsnivå i detta tredjeland, trots det konstaterande som kommissionen under tiden gjort i beslutet om skölden för skydd av privatlivet. Detta förhållande har föranlett den hänskjutande domstolen att ställa den fjärde, den femte och den tionde tolkningsfrågan till domstolen.

160

Såsom generaladvokaten har påpekat i punkt 175 i sitt förslag till avgörande ska dessa tolkningsfrågor således förstås så, att de i huvudsak ifrågasätter kommissionens konstaterande, i beslutet om skölden för skydd av privatlivet, att Förenta staterna säkerställer en adekvat skyddsnivå för de personuppgifter som överförs från unionen till detta tredjeland, och därmed beslutets giltighet.

161

Mot bakgrund av de omständigheter som angetts i punkterna 121 och 157–160 ovan och i syfte att ge den hänskjutande domstolen ett fullständigt svar, ska det således prövas huruvida beslutet om skölden för skydd av privatlivet uppfyller de krav som följer av DSF, jämförd med stadgan (se, analogt, dom av den 6 oktober 2015, Schrems, C‑362/14, EU:C:2015:650, punkt 67).

162

För att kommissionen ska kunna anta ett beslut om adekvat skyddsnivå enligt artikel 45.3 DSF krävs det att kommissionen genom ett vederbörligen motiverat konstaterande har fastställt att det berörda tredjelandet, genom sin interna lagstiftning eller på grund av sina internationella åtaganden, faktiskt säkerställer en skyddsnivå för de grundläggande rättigheterna som är väsentligen likvärdig med den som garanteras i unionens rättsordning (se, analogt, beträffande artikel 25.6 i direktiv 95/46, dom av den 6 oktober 2015, Schrems, C‑362/14, EU:C:2015:650, punkt 96).

Innehållet i beslutet om skölden för skydd av privatlivet

163

Kommissionen har i artikel 1.1 i beslutet om skölden för skydd av privatlivet konstaterat att Förenta staterna säkerställer en adekvat skyddsnivå för personuppgifter som överförs från unionen till organisationer i Förenta staterna inom ramen för skölden för skydd av privatlivet i Europeiska unionen och Förenta staterna. Enligt artikel 1.2 i detta beslut innefattar skölden för skydd av privatlivet bland annat de principer som angavs av Förenta staternas handelsministerium den 7 juli 2016, vilka återfinns i beslutets bilaga II, samt de officiella utfästelser och åtaganden som ingår i de dokument som anges i bilagorna I samt III–VII till nämnda beslut.

164

I beslutet om skölden för skydd av privatlivet anges emellertid mer specifikt, i punkt I.5. i beslutets bilaga II, som har rubriken ”Övergripande principer för skölden för skydd av privatlivet i [Europeiska unionen] och Förenta staterna”, att efterlevnaden av dessa principer kan begränsas bland annat med hänsyn till ”krav i fråga om nationell säkerhet, allmänintresset och rättsefterlevnaden”. I detta beslut slås, i likhet med beslut 2000/520, därmed fast att dessa krav har företräde framför dessa principer. Detta innebär att självcertifierade amerikanska organisationer som erhåller personuppgifter från unionen är skyldiga att utan inskränkning frångå dessa principer när de står i konflikt med ovannämnda krav, och således visar sig vara oförenliga med kraven (se, analogt, beträffande beslut 2000/520, dom av den 6 oktober 2015, Schrems, C‑362/14, EU:C:2015:650, punkt 86).

165

Undantaget i punkt I.5. i bilaga II till beslutet om skölden för skydd av privatlivet är av generell karaktär och möjliggör således ingrepp – grundade på krav avseende nationell säkerhet och allmänintresset eller intern lagstiftning i Förenta staterna – i de grundläggande rättigheterna för personer vilkas personuppgifter överförs eller kan komma att överföras från unionen till Förenta staterna (se, analogt, beträffande beslut 2000/520, dom av den 6 oktober 2015, Schrems, C‑362/14, EU:C:2015:650, punkt 87). Såsom konstaterats i beslutet om skölden för skydd av privatlivet kan sådana ingrepp i synnerhet följa av åtkomsten till de personuppgifter som överförs från unionen till Förenta staterna och av de amerikanska myndigheternas användning av dessa uppgifter inom ramen för övervakningsprogrammen Prism och Upstream som grundar sig på section 702 FISA och på E.O. 12333.

166

I detta sammanhang har kommissionen i skälen 67–135 i beslutet om skölden för skydd av privatlivet analyserat begränsningarna och garantierna i Förenta staternas lagstiftning, särskilt section 702 FISA, E.O.12333 och PPD-28, när det gäller myndigheternas åtkomst i Förenta staterna till personuppgifter som överförs inom ramen för skölden för skydd av privatlivet i Europeiska unionen och Förenta staterna och användningen av dessa uppgifter för ändamål som rör nationell säkerhet, brottsbekämpning och andra ändamål som rör allmänintresset.

167

Efter denna analys drog kommissionen i skäl 136 i detta beslut slutsatsen att ”Förenta staterna säkerställer en adekvat skyddsnivå för skydd av personuppgifter som överförs från unionen till självcertifierade organisationer i Förenta staterna” och fann i skäl 140 i nämnda beslut att ”på grundval av tillgänglig information om Förenta staternas rättsordning, … anser kommissionen att eventuella ingrepp från Förenta staternas myndigheter i de grundläggande rättigheterna för personer vars uppgifter överförs från unionen till Förenta staterna inom ramen för skölden för ändamål som rör brottsbekämpning, nationell säkerhet eller andra ändamål som rör allmänintresset, samt de påföljande begränsningar som införs för självcertifierade organisationer med avseende på deras anslutning till principerna, begränsas till vad som är absolut nödvändigt för att uppnå det legitima målet i fråga, och att det finns ett effektivt rättsligt skydd mot sådana ingrepp”.

Konstaterandet avseende en adekvat skyddsnivå

168

Mot bakgrund av de omständigheter som kommissionen har nämnt i beslutet om skölden för skydd av privatlivet och de omständigheter som den hänskjutande domstolen fastställt i det nationella målet, är den hänskjutande domstolen osäker på huruvida lagstiftningen i Förenta staterna faktiskt säkerställer den nivå av adekvat skydd som krävs enligt artikel 45 DSF, jämförd med de grundläggande rättigheter som garanteras i artiklarna 7, 8 och 47 i stadgan. Den hänskjutande domstolen anser särskilt att lagstiftningen i detta tredjeland inte föreskriver de begränsningar och garantier som är nödvändiga med avseende på de ingrepp som är tillåtna enligt den nationella lagstiftningen och inte heller säkerställer ett effektivt domstolsskydd mot sådana ingrepp. I det sistnämnda avseendet har den hänskjutande domstolen påpekat att inrättandet av en ombudsman för skölden för skydd av privatlivet inte kan avhjälpa dessa brister, eftersom ombudsmannen inte kan likställas med en domstol i den mening som avses i artikel 47 i stadgan.

169

Vad för det första gäller artiklarna 7 och 8 i stadgan, som utgör en del av den skyddsnivå som krävs inom unionen, vars efterlevnad kommissionen ska fastställa innan den fattar ett beslut om adekvat skyddsnivå enligt artikel 45.1 DSF, erinrar domstolen om att artikel 7 i stadgan garanterar var och en rätten till respekt för sitt privatliv och familjeliv, sin bostad och sina kommunikationer. I artikel 8.1 i stadgan ges var och en dessutom uttryckligen rätt till skydd av de personuppgifter som rör honom eller henne.

170

Åtkomst till en fysisk persons personuppgifter för lagring eller användning påverkar således denna persons grundläggande rätt till respekt för privatlivet, vilken garanteras i artikel 7 i stadgan. Denna rätt omfattar all information som avser en identifierad eller identifierbar fysisk person. Nämnda behandlingar av personuppgifter omfattas även av artikel 8 i stadgan på grund av att de utgör behandlingar av personuppgifter i den mening som avses i den artikeln och de måste därför uppfylla de krav på skydd av uppgifter som följer av den artikeln (se, för ett liknande resonemang, dom av den 9 november 2010, Volker und Markus Schecke och Eifert, C‑92/09 och C‑93/09, EU:C:2010:662, punkterna 49 och 52, och dom av den 8 april 2014, Digital Rights Ireland m.fl., C‑293/12 och C‑594/12, EU:C:2014:238, punkt 29, samt yttrande 1/15 (PNR-avtal mellan EU och Kanada) av den 26 juli 2017, EU:C:2017:592, punkterna 122 och 123).

171

Domstolen har redan slagit fast att utlämnande av personuppgifter till tredjeman, såsom en myndighet, utgör ett ingrepp i de grundläggande rättigheter som slås fast i artiklarna 7 och 8 i stadgan, oavsett hur de lämnade uppgifterna senare används. Det förhåller sig på samma sätt med lagringen av personuppgifter och åtkomsten till sådana uppgifter i syfte att myndigheter ska använda sig av dem. Det har i detta hänseende föga betydelse huruvida de uppgifter som avser privatlivet är av känslig art eller huruvida de berörda har fått utstå eventuella olägenheter på grund av ingreppet eller inte (se, för ett liknande resonemang, dom av den 20 maj 2003, Österreichischer Rundfunk m.fl., C‑465/00, C‑138/01 och C‑139/01, EU:C:2003:294, punkterna 74 och 75, och dom av den 8 april 2014, Digital Rights Ireland m.fl., C‑293/12 och C‑594/12, EU:C:2014:238, punkterna 3336, samt yttrande 1/15 (PNR-avtal mellan EU och Kanada) av den 26 juli 2017, EU:C:2017:592, punkterna 124 och 126).

172

De rättigheter som slås fast i artiklarna 7 och 8 i stadgan är emellertid inte några absoluta rättigheter, utan måste bedömas utifrån deras funktion i samhället (se, för ett liknande resonemang, dom av den 9 november 2010, Volker und Markus Schecke och Eifert, C‑92/09 och C‑93/09, EU:C:2010:662, punkt 48 och där angiven rättspraxis, och dom av den 17 oktober 2013, Schwarz, C‑291/12, EU:C:2013:670, punkt 33 och där angiven rättspraxis, samt yttrande 1/15 (PNR-avtal mellan EU och Kanada) av den 26 juli 2017, EU:C:2017:592, punkt 136).

173

Enligt artikel 8.2 i stadgan ska personuppgifter bland annat behandlas ”för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund”.

174

Av artikel 52.1 första meningen i stadgan följer vidare att varje begränsning i utövandet av de rättigheter och friheter som erkänns i stadgan ska vara föreskriven i lag och förenlig med det väsentliga innehållet i dessa rättigheter och friheter. Enligt artikel 52.1 andra meningen i stadgan får begränsningar av dessa rättigheter och friheter, med beaktande av proportionalitetsprincipen, endast göras om de är nödvändiga och faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av unionen eller av behovet av skydd för andra människors rättigheter och friheter.

175

Det ska tilläggas att kravet på att samtliga begränsningar i utövandet av grundläggande rättigheter ska vara föreskrivna i lag, innebär att den rättsliga grund som gör ingreppet i rättigheterna möjligt i sig ska definiera räckvidden av begränsningen i utövandet av den aktuella rättigheten (se yttrande 1/15 (PNR-avtal mellan EU och Kanada) av den 26 juli 2017, EU:C:2017:592, punkt 139 och där angiven rättspraxis).

176

För att uppfylla kravet på proportionalitet, enligt vilket undantag från och inskränkningar i skyddet av personuppgifter ska begränsas till vad som är strikt nödvändigt, måste den aktuella lagstiftning som innebär ett ingrepp innehålla tydliga och precisa bestämmelser som reglerar räckvidden och tillämpningen av den aktuella åtgärden och som fastställer minimikrav, så att de personer vilkas uppgifter har överförts har tillräckliga garantier som möjliggör ett effektivt skydd av deras personuppgifter mot riskerna för missbruk. Lagstiftningen måste i synnerhet precisera under vilka omständigheter och på vilka villkor en åtgärd för behandling av personuppgifter får vidtas, vilket säkerställer att ingreppet begränsas till vad som är strikt nödvändigt. Nödvändigheten av sådana garantier är av än större betydelse när personuppgifterna är föremål för automatisk behandling (se, för ett liknande resonemang, yttrande 1/15 (PNR-avtal mellan EU och Kanada) av den 26 juli 2017, EU:C:2017:592, punkterna 140 och 141 och där angiven rättspraxis).

177

I artikel 45.2 a i DSF preciseras i detta avseende att kommissionen, när den bedömer huruvida ett tredjeland säkerställer en adekvat skyddsnivå, ska beakta bland annat ”faktiska och verkställbara rättigheter för registrerade” vars personuppgifter har överförts.

178

I förevarande fall har kommissionens konstaterande i beslutet om skölden för skydd av privatlivet att Förenta staterna säkerställer en skyddsnivå som är väsentligen likvärdig med den skyddsnivå som garanteras inom unionen enligt DSF, jämförd med artiklarna 7 och 8 i stadgan, ifrågasatts bland annat på grund av att de ingrepp som följer av de övervakningsprogram som grundar sig på section 702 FISA och E.O. 12333 inte omfattas av krav som, med iakttagande av proportionalitetsprincipen, säkerställer en skyddsnivå som är väsentligen likvärdig med den skyddsnivå som garanteras genom artikel 52.1 andra meningen i stadgan. Det ska således prövas huruvida dessa övervakningsprogram genomförs med iakttagande av sådana krav, utan att det är nödvändigt att först kontrollera huruvida detta tredjeland uppfyller villkor som i huvudsak motsvarar dem som föreskrivs i artikel 52.1 första meningen i stadgan.

179

När det gäller de övervakningsprogram som grundar sig på section 702 FISA konstaterade kommissionen, i skäl 109 i beslutet om skölden för skydd av privatlivet, att enligt denna bestämmelse ”godkänner FISC dock inte individuella övervakningsåtgärder, utan snarare övervakningsprogram (såsom Prism och Upstream) på grundval av årliga certifieringar som utarbetas av justitieministern och chefen för den nationella underrättelsetjänsten”. Såsom framgår av samma skäl syftar den kontroll som utförs av FISC således till att kontrollera om dessa övervakningsprogram överensstämmer med syftet att erhålla utländska underrättelseuppgifter, men den avser inte ”huruvida målinriktningen för de utvalda personerna är lämplig för att inhämta utländska underrättelseuppgifter”.

180

Det framgår således att det inte av section 702 FISA går att utläsa att det föreligger några begränsningar av behörigheten enligt denna artikel att genomföra övervakningsprogram för att inhämta utländska underrättelseuppgifter, och inte heller att det finns några garantier för icke-amerikaner som eventuellt omfattas av dessa program. Mot denna bakgrund kan denna bestämmelse, såsom även generaladvokaten har påpekat i punkterna 291, 292 och 297 i sitt förslag till avgörande, inte säkerställa en skyddsnivå som är väsentligen likvärdig med den som garanteras i stadgan, såsom den tolkats i den rättspraxis som anges i punkterna 175 och 176 ovan. Enligt denna rättspraxis måste en rättslig grund som gör ingreppet i de grundläggande rättigheterna möjligt – för att uppfylla kraven enligt proportionalitetsprincipen – i sig definiera räckvidden av begränsningen i utövandet av den aktuella rättigheten och innehålla tydliga och precisa bestämmelser som reglerar räckvidden och tillämpningen av den aktuella åtgärden samt fastställer minimikrav.

181

Enligt konstaterandena i beslutet om skölden för skydd av privatlivet måste övervakningsprogrammen som grundas på section 702 FISA visserligen genomföras med iakttagande av kraven enligt PPD-28. Även om kommissionen i skälen 69 och 77 i beslutet om skölden för skydd av privatlivet har framhållit att kraven som följer av PPD-28 är bindande för de amerikanska underrättelsetjänsterna, har emellertid den amerikanska regeringen som svar på en fråga från EU-domstolen medgett att PPD-28 inte ger registrerade personer bindande rättigheter som kan göras gällande mot amerikanska myndigheter. PPD-28 kan således inte säkerställa en skyddsnivå som är väsentligen likvärdig med den som följer av stadgan, vilket strider mot kraven enligt artikel 45.2 a DSF. Enligt denna bestämmelse är bedömningen av om en sådan nivå föreligger beroende av bland annat förekomsten av faktiska och verkställbara rättigheter för registrerade vars personuppgifter har överförts till det berörda tredjelandet.

182

Vad gäller de övervakningsprogram som grundar sig på E.O. 12333 framgår det av handlingarna i målet att det dekretet inte heller ger några rättigheter som kan göras gällande mot amerikanska myndigheter vid domstol.

183

Det ska tilläggas att PPD-28, som ska iakttas vid tillämpningen av de program som avses i de två föregående punkterna, gör det möjligt att genomföra ”’bulkinsamling’ … av en relativt stor mängd signalunderrättelser under omständigheter där underrättelsegemenskapen inte kan använda en identifierare som är förknippad med ett specifikt mål … för att rikta insamlingen”. Detta har preciserats i en skrivelse av den 21 juni 2016 från den nationella underrättelsetjänsten (Office of the Director of National Intelligence) till amerikanska handelsministeriet och Internationella handelsförvaltningen, vilken återfinns i bilaga VI till beslutet om skölden för skydd av privatlivet. Denna möjlighet – som inom ramen för övervakningsprogram som grundar sig på E.O. 12333 gör det möjligt att få åtkomst till uppgifter som befinner sig i transit till Förenta staterna utan att denna åtkomst är underkastad någon som helst domstolskontroll – fastställs under alla omständigheter inte på ett sätt som tillräckligt tydligt och precist reglerar omfattningen av en sådan bulkinsamling av personuppgifter.

184

Det står således klart att varken section 702 FISA eller E.O. 12333, jämförda med PPD-28, motsvarar de minimikrav som i unionsrätten gäller enligt proportionalitetsprincipen, varför det inte kan anses att de övervakningsprogram som grundar sig på dessa bestämmelser är begränsade till vad som är strikt nödvändigt.

185

Mot denna bakgrund är de begränsningar av skyddet av personuppgifter som följer av Förenta staternas interna bestämmelser om åtkomst till och användning av sådana uppgifter som överförts från unionen till Förenta staterna, vilka kommissionen har bedömt i beslutet om skölden för skydd av privatlivet, inte reglerade på ett sådant sätt att de uppfyller krav som är väsentligen likvärdiga med dem som uppställs i unionsrätten enligt artikel 52.1 andra meningen i stadgan.

186

Vad för det andra gäller artikel 47 i stadgan, vilken även den ingår i den skyddsnivå som krävs i unionen och vars iakttagande kommissionen måste slå fast innan den antar ett beslut om adekvat skyddsnivå enligt artikel 45.1 DSF, ska det erinras om att det i stadgans artikel 47 första stycket föreskrivs att var och en vars unionsrättsligt garanterade fri- och rättigheter har kränkts har rätt till ett effektivt rättsmedel inför en domstol, med beaktande av de villkor som föreskrivs i den artikeln. Enligt andra stycket i denna artikel har var och en rätt att få sin sak prövad inför en oavhängig och opartisk domstol.

187

Enligt fast rättspraxis är själva möjligheten till en effektiv domstolsprövning i syfte att säkerställa iakttagandet av unionsrätten en grundförutsättning för en rättsstat. En lagstiftning i vilken det inte föreskrivs någon möjlighet för enskilda att använda rättsmedel för att erhålla tillgång till, rätta eller radera personuppgifter som rör dem, respekterar inte det väsentliga innehållet i den grundläggande rätten till effektivt domstolsskydd, vilken är stadfäst i artikel 47 i stadgan (dom av den 6 oktober 2015, Schrems,C‑362/14, EU:C:2015:650, punkt 95 och där angiven rättspraxis).

188

Enligt artikel 45.2 a DSF krävs i detta avseende att kommissionen, när den bedömer huruvida ett tredjeland säkerställer en adekvat skyddsnivå, beaktar bland annat möjligheten till ”effektiv administrativ och rättslig prövning för de registrerade vars personuppgifter överförs”. I skäl 104 DSF framhålls i detta avseende att det tredjelandet bör ”säkerställa en effektiv oberoende dataskyddsövervakning och sörja för samarbetsmekanismer med medlemsstaternas dataskyddsmyndigheter”, varvid det preciseras att ”de registrerade bör tillförsäkras effektiva och lagstadgade rättigheter samt effektiv administrativ och rättslig prövning”.

189

Förekomsten av sådana möjligheter till effektiv rättslig prövning i det berörda tredjelandet är av särskild betydelse i samband med en överföring av personuppgifter till detta tredjeland, eftersom de registrerade personerna, såsom framgår av skäl 116 DSF, kan hamna i den situationen att medlemsstaternas administrativa och rättsliga myndigheter inte har tillräckliga befogenheter och resurser för att kunna vidta åtgärder med anledning av deras klagomål som grundar sig på en påstått olaglig behandling av deras överförda personuppgifter i detta tredjeland. Detta kan göra det nödvändigt för de registrerade att vända sig till de nationella myndigheterna och de nationella domstolarna i det tredjelandet.

190

I förevarande fall har kommissionens konstaterande i beslutet om skölden för skydd av privatlivet, att Förenta staterna säkerställer en skyddsnivå som är väsentligen likvärdig med den som garanteras i artikel 47 i stadgan, ifrågasatts bland annat på grund av att inrättandet av en ombudsman för skölden inte kan avhjälpa de brister som kommissionen själv har konstaterat vad gäller domstolsskydd för personer vars personuppgifter överförs till detta tredjeland.

191

Kommissionen har i skäl 115 i beslutet om skölden för skydd av privatlivet påpekat att även om ”[e]nskilda personer, inklusive registrerade i [unionen], har … ett antal möjligheter till rättslig prövning när de har varit föremål för olaglig (elektronisk) övervakning av nationella säkerhetsskäl, [står] det … också klart att åtminstone några av de rättsliga grunder som Förenta staternas underrättelsemyndigheter kan tillämpa (t.ex. E.O. 12333) inte omfattas.” När det gäller E.O. 12333 har kommissionen i nämnda skäl 115 lagt tyngdpunkten på att det helt saknas rättsmedel. Enligt den rättspraxis som det har erinrats om i punkt 187 i förevarande dom utgör ett sådant bristande domstolsskydd med avseende på ingrepp i samband med de program för underrättelseinhämtning som grundar sig på detta presidentdekret hinder för slutsatsen, som kommissionen har dragit i beslutet om skölden för skydd av privatlivet, att Förenta staternas lagstiftning säkerställer en skyddsnivå som är väsentligen likvärdig med den som garanteras i artikel 47 i stadgan.

192

Vad vidare gäller övervakningsprogram som grundar sig på section 702 FISA och de övervakningsprogram som grundar sig på E.O. 12333, har det påpekats i punkterna 181 och 182 i denna dom att vare sig PPD-28 eller E.O. 12333 ger de registrerade rättigheter som kan göras gällande mot amerikanska myndigheter i domstol, vilket innebär att dessa personer inte har någon rätt till ett effektivt rättsmedel.

193

Kommissionen har emellertid i skälen 115 och 116 i beslutet om skölden för skydd av privatlivet konstaterat, att på grund av den ombudsmannamekanism som inrättats av de amerikanska myndigheterna, vilken beskrivs i skrivelsen av den 7 juli 2016 från den amerikanska utrikesministern till Europeiska kommissionären för rättsliga frågor, konsumentfrågor och jämställdhet, som återfinns i bilaga III till detta beslut, och arten av det uppdrag som ombudsmannen anförtrotts, i förevarande fall som ”chefssamordnare för internationell it-diplomati”, kunde Förenta staterna anses säkerställa en skyddsnivå som är väsentligen likvärdig med den som garanteras enligt artikel 47 i stadgan.

194

Prövningen av frågan huruvida den ombudsmannamekanism som avses i beslutet om skölden för skydd av privatlivet verkligen kan kompensera för de inskränkningar i rätten till domstolsskydd som konstaterats av kommissionen ska, i enlighet med de krav som följer av artikel 47 i stadgan och den rättspraxis som det erinrats om i punkt 187 ovan, utgå från principen att enskilda ska ha möjlighet att utöva sin rätt till rättslig prövning inför en oavhängig och opartisk domstol för att erhålla tillgång till, rätta eller radera personuppgifter som rör dem.

195

I den skrivelse som nämns i punkt 193 i förevarande dom anges att ombudsmannen för skölden – trots att han eller hon beskrivs som ”oberoende av underrättelsegemenskapen” – ”rapporterar direkt till utrikesministern som ska se till att ombudsmannen utför sina arbetsuppgifter objektivt och fritt från otillbörlig påverkan som kan påverka de svar som ska ges”. Förutom den omständigheten att ombudsmannen, såsom kommissionen har konstaterat i skäl 116 i detta beslut, utses av utrikesministern och utgör en integrerad del av Förenta staternas utrikesdepartement, finns det i nämnda beslut, såsom generaladvokaten har påpekat i punkt 337 i sitt förslag till avgörande, inte något som tyder på att ett återkallat förordnande eller en ogiltigförklaring av ombudsmannens tillsättning skulle omfattas av särskilda garantier, vilket kan äventyra ombudsmannens oavhängighet i förhållande till den verkställande makten (se, för ett liknande resonemang, dom av den 21 januari 2020, Banco de Santander, C‑274/14, EU:C:2020:17, punkterna 60 och 63, och där angiven rättspraxis).

196

Generaladvokaten har vidare, i punkt 338 i sitt förslag till avgörande, påpekat att skäl 120 i beslutet om skölden för skydd av privatlivet visserligen innebär ett åtagande från den amerikanska regeringens sida att se till att den berörda delen av underrättelsetjänsterna är skyldig att åtgärda överträdelser av tillämpliga normer som har upptäckts av ombudsmannen för skölden. Beslutet innehåller emellertid inte någon uppgift om att ombudsmannen skulle vara behörig att fatta bindande beslut i förhållande till dessa myndigheter och beslutet innehåller inte heller någon hänvisning till att åtagandet skulle omfattas av några rättsliga garantier som de registrerade skulle kunna göra gällande.

197

Den ombudsmannamekanism som avses i beslutet om skölden för skydd av privatlivet tillhandahåller således inte något rättsmedel som kan användas inför ett organ som ger personer vars uppgifter överförs till Förenta staterna garantier som är väsentligen likvärdiga med dem som krävs enligt artikel 47 i stadgan.

198

Kommissionen har således åsidosatt de krav som följer av artikel 45.1 DSF, jämförd med artiklarna 7, 8 och 47 i stadgan, genom att i artikel 1.1 i beslutet om skölden för skydd av privatlivet konstatera att Förenta staterna säkerställer en adekvat skyddsnivå för personuppgifter som överförs från unionen till organisationer som är etablerade i detta tredjeland inom ramen för skölden för skydd av privatlivet i Europeiska unionen och Förenta staterna.

199

Härav följer att artikel 1 i beslutet om skölden för skydd av privatlivet strider mot artikel 45.1 DSF, jämförd med artiklarna 7, 8 och 47 i stadgan, och denna artikel är därför ogiltig.

200

Eftersom artikel 1 i beslutet om skölden för skydd av privatlivet inte kan skiljas från artiklarna 2–6 och bilagorna till detta beslut, påverkar denna artikels ogiltighet giltigheten av beslutet i dess helhet.

201

Mot bakgrund av det ovan anförda finner domstolen att beslutet om skölden för skydd av privatlivet är ogiltigt.

202

När det gäller frågan huruvida verkningarna av detta beslut ska bestå för att undvika att det skapas ett rättsligt tomrum (se, för ett liknande resonemang, dom av den 28 april 2016, Borealis Polyolefine m.fl., C‑191/14, C‑192/14, C‑295/14, C‑389/14 och C‑391/14–C‑393/14, EU:C:2016:311, punkt 106), ska det påpekas att en ogiltigförklaring av ett sådant beslut om adekvat skyddsnivå som beslutet om skölden för skydd av privatlivet – med hänsyn till artikel 49 DSF – under alla omständigheter inte kan skapa ett sådant rättsligt tomrum. I denna artikel fastställs nämligen exakt under vilka villkor överföring av personuppgifter till tredjeländer får ske när det saknas ett beslut om adekvat skyddsnivå enligt artikel 45.3 i förordningen eller lämpliga skyddsåtgärder enligt artikel 46 i samma förordning.

Rättegångskostnader

203

Eftersom förfarandet i förhållande till parterna i det nationella målet utgör ett led i beredningen av samma mål, ankommer det på den hänskjutande domstolen att besluta om rättegångskostnaderna. De kostnader för att avge yttrande till domstolen som andra än nämnda parter har haft är inte ersättningsgilla.

 

Mot denna bakgrund beslutar domstolen (stora avdelningen) följande:

 

1)

Artikel 2.1 och 2.2 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) ska tolkas så, att en överföring av personuppgifter i kommersiellt syfte från en näringsidkare etablerad i en medlemsstat till en annan näringsidkare etablerad i ett tredjeland, omfattas av denna förordnings tillämpningsområde, trots att dessa uppgifter, under eller efter denna överföring, kan komma att behandlas av myndigheterna i det tredjelandet för ändamål som avser säkerhet, försvar och nationell säkerhet.

 

2)

Artikel 46.1 och 46.2 c i förordning 2016/679 ska tolkas så, att de lämpliga skyddsåtgärder, lagstadgade rättigheter och effektiva rättsmedel som krävs enligt dessa bestämmelser ska säkerställa att personer vars personuppgifter överförs till ett tredjeland med stöd av standardiserade dataskyddsbestämmelser åtnjuter en skyddsnivå som är väsentligen likvärdig med den som garanteras inom Europeiska unionen genom denna förordning, jämförd med Europeiska unionens stadga om de grundläggande rättigheterna. Vid bedömningen av den skyddsnivå som säkerställs i samband med en sådan överföring ska hänsyn tas till såväl de avtalsvillkor som överenskommits mellan den personuppgiftsansvarige eller personuppgiftsbiträdet, som är etablerade i unionen, och mottagaren av överföringen i det berörda tredjelandet, som de relevanta delarna av rättssystemet i det tredjelandet, särskilt de som anges i artikel 45.2 i förordningen, såvitt avser den åtkomst som myndigheterna i det tredjelandet eventuellt har till överförda personuppgifter.

 

3)

Artikel 58.2 f och j i förordning 2016/679 ska tolkas så, att såvida det inte finns ett giltigt beslut från Europeiska kommissionen om adekvat skyddsnivå är den behöriga tillsynsmyndigheten skyldig att avbryta eller förbjuda en överföring av uppgifter till ett tredjeland som sker på grundval av standardiserade dataskyddsbestämmelser som antagits av kommissionen, när tillsynsmyndigheten, med beaktande av samtliga omständigheter i samband med denna överföring, anser att dessa klausuler inte iakttas eller inte kan iakttas i det tredjelandet och att det skydd för överförda personuppgifter som krävs enligt unionsrätten, särskilt enligt artiklarna 45 och 46 i nämnda förordning och stadgan om de grundläggande rättigheterna, inte kan säkerställas med andra medel, förutsatt att den personuppgiftsansvarige eller dennes personuppgiftsbiträde som är etablerade i unionen inte själv har avbrutit eller upphört med överföringen.

 

4)

Vid prövningen av kommissionens beslut 2010/87/EU av den 5 februari 2010 om standardavtalsklausuler för överföring av personuppgifter till registerförare etablerade i tredjeland i enlighet med Europaparlamentets och rådets direktiv 95/46/EG, i dess lydelse enligt kommissionens genomförandebeslut (EU) 2016/2297 av den 16 december 2016, mot bakgrund av artiklarna 7, 8 och 47 i stadgan om de grundläggande rättigheterna har det inte framkommit någon omständighet som påverkar beslutets giltighet.

 

5)

Kommissionens genomförandebeslut (EU) 2016/1250 av den 12 juli 2016 enligt Europaparlamentets och rådets direktiv 95/46/EG om huruvida ett adekvat skydd säkerställs genom skölden för skydd av privatlivet i EU och Förenta staterna är ogiltigt.

 

Underskrifter


( *1 ) Rättegångsspråk: engelska.

Top