–

Data Protection Commissioner, genom D. Young, solicitor, B. Murray, SC, M. Collins, SC, och C. Donnelly, BL,

–

Facebook Ireland Ltd, genom P. Gallagher, SC, N. Hyland, SC, A. Mulligan, BL, F. Kieran, BL, samt P. Nolan, C. Monaghan, C. O’Neill och R. Woulfe, solicitors,

–

Maximillian Schrems, genom H. Hofmann, Rechtsanwalt, E. McCullough, SC, J. Doherty, SC, S. O’Sullivan, SC, och G. Rudden, solicitor,

–

The United States of America, genom E. Barrington, SC, och S. Kingston, BL, samt S. Barton och B. Walsh, solicitors,

–

Electronic Privacy Information Centre, genom S. Lucey, solicitor, G. Gilmore, BL, A. Butler, BL, och C. O’Dwyer, SC,

–

BSA Business Software Alliance Inc., genom B. Van Vooren och K. Van Quathem, advocaten,

–

Digitaleurope, genom N. Cahill, barrister, J. Cahir, solicitor, och M. Cush, SC,

–

Irland, genom A. Joyce och M. Browne, båda i egenskap av ombud, biträdda av D. Fennelly, BL,

–

Belgiens regering, genom J.-C. Halleux och P. Cottin, båda i egenskap av ombud,

–

Tjeckiens regering, genom M. Smolek, J. Vláčil, O. Serdula och A. Kasalická, samtliga i egenskap av ombud,

–

Tysklands regering, genom J. Möller, D. Klebs och T. Henze, samtliga i egenskap av ombud,

–

Frankrikes regering, genom A.-L. Desjonquères, i egenskap av ombud,

–

Nederländernas regering, genom C.S. Schillemans, K. Bulterman och M. Noort, samtliga i egenskap av ombud,

–

Österrikes regering, genom J. Schmoll och G. Kunnert, båda i egenskap av ombud,

–

Polens regering, genom B. Majczyna, i egenskap av ombud,

–

Portugals regering, genom L. Inez Fernandes, A. Pimenta och C. Vieira Guerra, samtliga i egenskap av ombud,

–

Förenade kungarikets regering, genom S. Brandon och D. Guðmundsdóttir, båda i egenskap av ombud, biträdda av J. Holmes, QC, och C. Knight, barrister,

–

Europaparlamentet, genom M.J. Martínez Iglesias och A. Caiola, båda i egenskap av ombud,

–

Europeiska kommissionen, genom D. Nardi, H. Krämer och H. Kranenborg, samtliga i egenskap av ombud,

–

Europeiska dataskyddsstyrelsen (EDPB), genom A. Jelinek och K. Behn, båda i egenskap av ombud,

1

Begäran om förhandsavgörande avser

2

Begäran har framställts i ett mål mellan Data Protection Commissioner (dataskyddsmyndigheten, Irland) (nedan kallad dataskyddsmyndigheten), å den ena sidan, och Facebook Ireland Ltd (nedan kallat Facebook Ireland) och Maximillian Schrems, å den andra sidan, angående ett klagomål från Maximillian Schrems rörande Facebook Irelands överföring av hans personuppgifter till Facebook Inc. i Förenta staterna.

3

I artikel 3 i direktiv 95/46, med rubriken ”Tillämpningsområde”, föreskrevs följande i punkt 2:

”Detta direktiv gäller inte för sådan behandling av personuppgifter

– …”

4

I artikel 25 i detta direktiv föreskrevs följande:

”1.   Medlemsstaterna skall föreskriva att överföringen av personuppgifter … till tredje land endast får ske om ifrågavarande tredje land – utan att detta påverkar tillämpningen av de nationella bestämmelser som antagits till följd av de andra bestämmelserna i detta direktiv – säkerställer en adekvat skyddsnivå.

2.   Bedömningen av om skyddsnivån i ett tredje land är adekvat skall ske på grundval av alla de förhållanden som har samband med en överföring eller en grupp av överföringar av uppgifter, …

…

6.   Kommissionen kan, i enlighet med det i artikel 31.2 angivna förfarandet, konstatera att ett tredje land genom sin interna lagstiftning eller på grund av de internationella förpliktelser som – särskilt till följd av sådana förhandlingar som anges i punkt 5 och som gäller skyddet för privatliv och enskilda personers grundläggande fri- och rättigheter – åligger landet har en skyddsnivå som är adekvat i den mening som avses i punkt 2 i denna artikel.

Medlemsstaterna skall vidta de åtgärder som är nödvändiga för att följa kommissionens beslut.”

5

I artikel 26.2 och 26.4 i nämnda direktiv föreskrevs följande:

”2.   Utan att detta påverkar tillämpningen av punkt 1 får en medlemsstat tillåta överföring av personuppgifter till ett tredje land som inte säkerställer en skyddsnivå som är adekvat enligt artikel 25.2, om den registeransvarige ställer tillräckliga garantier för att privatliv och enskilda personers grundläggande fri- och rättigheter skyddas samt för utövningen av motsvarande rättigheter. Sådana garantier kan framgå av lämpliga avtalsklausuler.

…

4.   Om kommissionen i enlighet med det förfarande som anges i artikel 31.2 beslutar att vissa standardavtalsklausuler erbjuder tillräckliga garantier enligt punkt 2, skall medlemsstaterna vidta nödvändiga åtgärder för att följa kommissionens beslut.”

6

I artikel 28.3 i direktivet angavs följande:

”Varje tillsynsmyndighet skall särskilt ha

…”

7

Direktiv 95/46 har upphävts och ersatts av Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 2016, s. 1) (nedan kallad DSF).

8

I skälen 6, 10, 101, 103, 104, 107–109, 114, 116 och 141 i DSF anges följande:

…

…

…

…

…

…

…

9

I artikel 2.1 och 2.2 i förordningen föreskrivs följande:

”1.   Denna förordning ska tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register.

2.   Denna förordning ska inte tillämpas på behandling av personuppgifter som

10

I artikel 4 i förordningen föreskrivs följande:

”I denna förordning avses med

…

…

…”

11

Artikel 23 i förordningen har följande lydelse:

”1.   Det ska vara möjligt att i unionsrätten eller i en medlemsstats nationella rätt som den personuppgiftsansvarige eller personuppgiftsbiträdet omfattas av införa en lagstiftningsåtgärd som begränsar tillämpningsområdet för de skyldigheter och rättigheter som föreskrivs i artiklarna 12–22 och 34, samt artikel 5 i den mån dess bestämmelser motsvarar de rättigheter och skyldigheter som fastställs i artiklarna 12–22, om en sådan begränsning sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa

…

2.   Framför allt ska alla lagstiftningsåtgärder som avses i punkt 1 innehålla specifika bestämmelser åtminstone, när så är relevant, avseende

12

Kapitel V i DSF, med rubriken ”Överföring av personuppgifter till tredjeländer eller till internationella organisationer”, innehåller artiklarna 44–50. Artikel 44 i förordningen, med rubriken ”Allmän princip för överföring av uppgifter”, har följande lydelse:

”Överföring av personuppgifter som är under behandling eller är avsedda att behandlas efter det att de överförts till ett tredjeland eller en internationell organisation får bara ske under förutsättning att den personuppgiftsansvarige och personuppgiftsbiträdet, med förbehåll för övriga bestämmelser i denna förordning, uppfyller villkoren i detta kapitel, inklusive för vidare överföring av personuppgifter från tredjelandet eller den internationella organisationen till ett annat tredjeland eller en annan internationell organisation. Alla bestämmelser i detta kapitel ska tillämpas för att säkerställa att den nivå på skyddet av fysiska personer som säkerställs genom denna förordning inte undergrävs.”

13

Artikel 45 i förordningen har rubriken ”Överföring på grundval av ett beslut om adekvat skyddsnivå”. I punkterna 1–3 i artikeln föreskrivs följande:

”1.   Personuppgifter får överföras till ett tredjeland eller en internationell organisation om kommissionen har beslutat att tredjelandet, ett territorium eller en eller flera specificerade sektorer i tredjelandet, eller den internationella organisationen i fråga säkerställer en adekvat skyddsnivå. En sådan överföring ska inte kräva något särskilt tillstånd.

2.   När kommissionen bedömer om en adekvat skyddsnivå föreligger ska den särskilt beakta

3.   Kommissionen får, efter att ha bedömt om det föreligger en adekvat skyddsnivå, genom en genomförandeakt besluta att ett tredjeland, ett territorium eller en eller flera specificerade sektorer inom ett tredjeland, eller en internationell organisation säkerställer en adekvat skyddsnivå i den mening som avses i punkt 2 i den här artikeln. Genomförandeakten ska inrätta en mekanism för regelbunden översyn, minst vart fjärde år, som ska beakta all relevant utveckling i det tredjelandet eller den internationella organisationen. Beslutets territoriella och sektorsmässiga tillämpning ska regleras i genomförandeakten, där det också i förekommande fall ska anges vilken eller vilka myndigheter som är tillsynsmyndighet(er) enligt punkt 2 b i den här artikeln. Genomförandeakten ska antas i enlighet med det granskningsförfarande som avses i artikel 93.2.”

14

I artikel 46 i förordningen, med rubriken ”Överföring som omfattas av lämpliga skyddsåtgärder”, föreskrivs följande i punkterna 1–3:

”1.   I avsaknad av ett beslut i enlighet med artikel 45.3, får en personuppgiftsansvarig eller ett personuppgiftsbiträde endast överföra personuppgifter till ett tredjeland eller en internationell organisation efter att ha vidtagit lämpliga skyddsåtgärder, och på villkor att lagstadgade rättigheter för registrerade och effektiva rättsmedel för registrerade finns tillgängliga.

2.   Lämpliga skyddsåtgärder enligt punkt 1 får, utan att det krävs särskilt tillstånd från en tillsynsmyndighet, ta formen av

3.   Med förbehåll för tillstånd från den behöriga tillsynsmyndigheten, får lämpliga skyddsåtgärder enligt punkt 1 också i synnerhet ta formen av

15

I artikel 49 i förordningen, med rubriken ”Undantag i särskilda situationer”, föreskrivs följande:

”1.   Om det inte föreligger något beslut om adekvat skyddsnivå enligt artikel 45.3, eller om lämpliga skyddsåtgärder enligt artikel 46, inbegripet bindande företagsbestämmelser, får en överföring eller uppsättning av överföringar av personuppgifter till ett tredjeland eller en internationell organisation endast ske om något av följande villkor är uppfyllt:

När en överföring inte skulle kunna grundas på en bestämmelse i artikel 45 eller 46, inklusive bestämmelserna om bindande företagsbestämmelser, och inget av undantagen för en särskild situation som avses i första stycket i den här punkten är tillämpligt, får en överföring till ett tredjeland eller en internationell organisation äga rum endast om överföringen inte är repetitiv, endast gäller ett begränsat antal registrerade, är nödvändig för ändamål som rör den personuppgiftsansvariges tvingande berättigade intressen och den registrerades intressen eller rättigheter och friheter inte väger tyngre, och den personuppgiftsansvarige har bedömt samtliga omständigheter kring överföringen av uppgifter och på grundval av denna bedömning vidtagit lämpliga skyddsåtgärder för att skydda personuppgifter. Den personuppgiftsansvarige ska informera tillsynsmyndigheten om överföringen. Den personuppgiftsansvarige ska utöver tillhandahållande av den information som avses i artiklarna 13 och 14 informera den registrerade om överföringen och om de tvingande berättigade intressen som eftersträvas.

2.   En överföring enligt led g i punkt 1 första stycket får inte omfatta alla personuppgifter eller hela kategorier av personuppgifter som finns i registret. Om registret är avsett att vara tillgängligt för personer med ett berättigat intresse ska överföringen göras endast på begäran av dessa personer eller om de själva är mottagarna.

3.   Leden a, b och c i punkt 1 första stycket samt andra stycket i samma punkt ska inte gälla åtgärder som vidtas av offentliga myndigheter som ett led i utövandet av deras offentliga befogenheter.

4.   Det allmänintresse som avses i led d i punkt 1 första stycket ska vara erkänt i unionsrätten eller i den nationella rätt som den personuppgiftsansvarige omfattas av.

5.   Saknas beslut om adekvat skyddsnivå, får unionsrätten eller medlemsstaternas nationella rätt med hänsyn till viktiga allmänintressen uttryckligen fastställa gränser för överföringen av specifika kategorier av personuppgifter till ett tredjeland eller en internationell organisation. Medlemsstaterna ska underrätta kommissionen om sådana bestämmelser.

6.   Den personuppgiftsansvarige eller personuppgiftsbiträdet ska bevara uppgifter både om bedömningen och om de lämpliga skyddsåtgärder som avses i punkt 1 andra stycket i den här artikeln i det register som avses i artikel 30.”

16

I artikel 51.1 DSF anges följande:

”Varje medlemsstat ska föreskriva att en eller flera offentliga myndigheter ska vara ansvariga för att övervaka tillämpningen av denna förordning, i syfte att skydda fysiska personers grundläggande rättigheter och friheter i samband med behandling samt att underlätta det fria flödet av sådana uppgifter inom unionen (nedan kallad tillsynsmyndighet).”

17

Enligt artikel 55.1 i denna förordning ska ”[v]arje tillsynsmyndighet … vara behörig att utföra de uppgifter och utöva de befogenheter som tilldelas den enligt denna förordning inom sin egen medlemsstats territorium”.

18

I artikel 57.1 i förordningen föreskrivs följande:

”Utan att det påverkar de andra uppgifter som föreskrivs i denna förordning ska varje tillsynsmyndighet på sitt territorium ansvara för följande:

…

…”

19

Artikel 58.2 och 58.4 i förordningen har följande lydelse:

”2.   Varje tillsynsmyndighet ska ha samtliga följande korrigerande befogenheter

…

…

…

4.   Utövandet av de befogenheter som tillsynsmyndigheten tilldelas enligt denna artikel ska omfattas av lämpliga skyddsåtgärder, inbegripet effektiva rättsmedel och rättssäkerhet, som fastställs i unionsrätten och i medlemsstaternas nationella rätt i enlighet med stadgan.”

20

I artikel 64.2 DSF föreskrivs följande:

”Varje tillsynsmyndighet, [Europeiska dataskyddsstyrelsens (EDPB)] ordförande eller kommissionen får i syfte att erhålla ett yttrande begära att styrelsen granskar en fråga med allmän räckvidd eller som har följder i mer än en medlemsstat, i synnerhet om en behörig myndighet inte uppfyller sina skyldigheter i fråga om ömsesidigt bistånd i enlighet med artikel 61 eller i fråga om gemensamma insatser i enlighet med artikel 62.”

21

Artikel 65.1 i förordningen har följande lydelse:

”För att säkerställa en korrekt och enhetlig tillämpning av denna förordning i enskilda fall ska styrelsen anta ett bindande beslut i följande fall:

…

22

I artikel 77 i nämnda förordning, med rubriken ”Rätt att lämna in klagomål till en tillsynsmyndighet”, föreskrivs följande:

”1.   Utan att det påverkar något annat administrativt prövningsförfarande eller rättsmedel, ska varje registrerad som anser att behandlingen av personuppgifter som avser henne eller honom strider mot denna förordning ha rätt att lämna in ett klagomål till en tillsynsmyndighet, särskilt i den medlemsstat där han eller hon har sin hemvist eller sin arbetsplats eller där det påstådda intrånget begicks.

2.   Den tillsynsmyndighet till vilken klagomålet har ingetts ska underrätta den enskilde om hur arbetet med klagomålet fortskrider och vad resultatet blir, inbegripet möjligheten till rättslig prövning enligt artikel 78.”

23

I artikel 78 i samma förordning, med rubriken ”Rätt till ett effektivt rättsmedel mot tillsynsmyndighetens beslut”, föreskrivs följande i punkterna 1 och 2:

”1.   Utan att det påverkar något annat administrativt prövningsförfarande eller prövningsförfarande utanför domstol ska varje fysisk eller juridisk person ha rätt till ett effektivt rättsmedel mot ett rättsligt bindande beslut rörande dem som meddelats av en tillsynsmyndighet.

2.   Utan att det påverkar något annat administrativt prövningsförfarande eller prövningsförfarande utanför domstol, ska varje registrerad person ha rätt till ett effektivt rättsmedel om den tillsynsmyndighet som är behörig i enlighet med artiklarna 55 och 56 underlåter att behandla ett klagomål eller att informera den registrerade inom tre månader om hur arbetet med det klagomål som ingetts med stöd av artikel 77 fortskrider eller om dess resultat.”

24

I artikel 94 DSF föreskrivs följande:

”1.   Direktiv [95/46] ska upphöra att gälla med verkan från och med den 25 maj 2018.

2.   Hänvisningar till det upphävda direktivet ska anses som hänvisningar till denna förordning. Hänvisningar till arbetsgruppen för skydd av enskilda med avseende på behandlingen av personuppgifter, som inrättades genom artikel 29 i direktiv [95/46], ska anses som hänvisningar till Europeiska dataskyddsstyrelsen, som inrättas genom denna förordning.”

25

I artikel 99 i förordningen föreskrivs följande:

”1.   Denna förordning träder i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning.

2.   Den ska tillämpas från och med den 25 maj 2018.”

26

Skäl 11 i beslutet om standardavtalsklausuler har följande lydelse:

”Tillsynsmyndigheterna i medlemsstaterna har en nyckelroll i samband med denna avtalsmekanism när det gäller att se till att personuppgifter omfattas av tillräckligt skydd efter överföring. I de undantagsfall då uppgiftsutföraren vägrar eller inte kan ge uppgiftsinföraren korrekta instruktioner och det finns en överhängande risk för att de registrerade lider allvarlig skada, bör standardavtalsklausulerna medge tillsynsmyndigheterna rätten att genomföra inspektioner hos uppgiftsinförare och underentreprenörer och i förekommande fall fatta beslut som är bindande för uppgiftsinföraren eller underentreprenören. Tillsynsmyndigheterna bör ha rätt att förbjuda eller avbryta en uppgiftsöverföring eller en serie överföringar som sker enligt standardavtalsklausuler i de undantagsfall där det fastställts att en överföring på avtalsbasis sannolikt har en avsevärt skadlig inverkan på de garantier och åtaganden som ska säkerställa adekvat skydd för den registrerade.”

27

I artikel 1 i detta beslut föreskrivs följande:

”De standardavtalsklausuler som anges i bilagan till detta beslut ska anses ge tillräckliga garantier för skydd av den personliga integriteten och enskildas grundläggande rättigheter och friheter samt för utövandet av motsvarande rättigheter, i enlighet med vad som föreskrivs i artikel 26.2 i direktiv [95/46].”

28

Enligt artikel 2 andra stycket i detta beslut ska det ”tillämpas på överföring av personuppgifter från sådana registeransvariga som är etablerade i Europeiska unionen till sådana mottagare som är etablerade utanför Europeiska unionens territorium och som endast verkar som registerförare”.

29

I artikel 3 i beslutet anges följande:

”I detta beslut avses med

…

…

…”

30

I artikel 4 i beslut 2010/87, i dess ursprungliga lydelse före ikraftträdandet av genomförandebeslut 2016/2297, föreskrevs följande:

”1.   Utan att det påverkar rätten för medlemsstaternas behöriga myndigheter att se till att nationella bestämmelser som antagits i enlighet med bestämmelserna i kapitlen II, III, V och VI i direktiv [95/46] följs, får de använda sina befintliga befogenheter för att förbjuda eller avbryta flöden av uppgifter till tredjeland och därigenom skydda enskilda när det gäller behandling av personuppgifter om dem i fall där

2.   Förbudet eller avbrottet enligt punkt 1 ska upphöra så snart som skälen för förbudet eller avbrottet inte längre föreligger.

3.   När medlemsstaterna vidtar åtgärder i enlighet med punkterna 1 och 2 ska de utan dröjsmål underrätta kommissionen, som ska vidarebefordra uppgifterna till övriga medlemsstater.”

31

Skäl 5 i genomförandebeslut 2016/2297, som antogs till följd av domen av den 6 oktober 2015, Schrems (C‑362/14, EU:C:2015:650), har följande lydelse:

”På motsvarande sätt är ett kommissionsbeslut som antagits i enlighet med artikel 26.4 i direktiv [95/46] bindande för alla organ i de medlemsstater till vilka det riktar sig, inbegripet deras oberoende tillsynsmyndigheter, i den mån beslutet innebär ett erkännande av att överföringar som görs på grundval av däri angivna standardavtalsklausuler ger tillräckliga garantier enligt artikel 26.2 i det direktivet. Detta hindrar inte en nationell tillsynsmyndighet från att utöva sina befogenheter att kontrollera dataflödena, inbegripet befogenheten att tillfälligt eller slutligt förbjuda överföring av personuppgifter, om den fastställer att överföringen sker i strid med EUs eller nationell dataskyddslagstiftning, exempelvis om uppgiftsinföraren inte iakttar standardavtalsklausulerna.”

32

I den nuvarande lydelsen av artikel 4 i beslutet om standardavtalsklausuler, enligt genomförandebeslut 2016/2297, föreskrivs följande:

”När de behöriga myndigheterna i en medlemsstat utövar sina befogenheter enligt artikel 28.3 i direktiv [95/46] och detta leder till ett tillfälligt eller slutligt förbud mot dataflöden till tredjeländer i syfte att skydda enskilda personer med avseende på behandlingen av deras personuppgifter, ska den berörda medlemsstaten utan dröjsmål underrätta kommissionen och vidarebefordra underrättelsen till de övriga medlemsstaterna.”

33

Bilagan till beslutet om standardavtalsklausuler, med rubriken ”Standardavtalsklausuler (’registerförare’)”, innehåller 12 standardklausuler. I klausul 3, med rubriken ”Tredjepartsberättigande”, föreskrivs följande:

”1. Den registrerade kan i egenskap av berättigad tredjepart åberopa denna klausul och klausulerna 4 b–i, 5 a–e och 5 g–j, 6.1–2, 7, 8.2 samt klausulerna 9–12 gentemot uppgiftsutföraren.

2. Den registrerade kan gentemot uppgiftsinföraren åberopa denna klausul, klausulerna 5 a–e och 5 g, klausulerna 6, 7, 8.2 samt klausulerna 9–12 i sådana fall där uppgiftsutföraren har upphört att existera i faktisk eller rättslig mening, såvida inte en annan enhet enligt avtal eller lag till fullo har övertagit uppgiftsutförarens rättsliga skyldigheter, och som en följd av detta påtar sig uppgiftsutförarens rättigheter och skyldigheter, i vilket fall den registrerade kan åberopa de ovannämnda klausulerna gentemot denna.

…”

34

Klausul 4 i denna bilaga, som har rubriken ”Uppgiftsutförarens skyldigheter”, har följande lydelse:

”Uppgiftsutföraren godtar och garanterar

…

…”

35

Klausul 5 i nämnda bilaga, med rubriken ”Uppgiftsinförarens skyldigheter …”, har följande lydelse:

”Uppgiftsinföraren godtar och garanterar

…

…”

36

I fotnoten som det hänvisas till i rubriken till klausul 5 anges följande:

”Standardavtalsklausulerna är inte oförenliga med obligatoriska krav i den nationella lagstiftning som är tillämplig på uppgiftsinföraren, förutsatt att kraven inte går utöver vad som är nödvändigt i ett demokratiskt samhälle på någon av de grunder som anges i artikel 13.1 i direktiv [95/46], dvs. om det är en nödvändig åtgärd med hänsyn till statens säkerhet, försvaret, den allmänna säkerheten, förebyggande, undersökning, avslöjande av brott eller åtal för brott eller av överträdelser av etiska regler som gäller för lagreglerade yrken, ett för staten viktigt ekonomiskt eller finansiellt intresse eller skydd av den registrerades eller andras fri- och rättigheter. …”

37

Klausul 6 i bilagan till beslutet om standardavtalsklausuler, med rubriken ”Ansvar”, har följande lydelse:

”1. Parterna är överens om att en registrerad som lidit skada till följd av att en part eller en parts underentreprenör brutit mot de skyldigheter som avses i klausul 3 eller klausul 11 har rätt till ersättning från uppgiftsutföraren.

2. Om den registrerade, i situationer där uppgiftsinföraren eller dennes underentreprenör bryter mot någon av sina skyldigheter enligt klausulerna 3 eller 11, inte kan rikta skadeståndsanspråk mot uppgiftsutföraren i enlighet med punkt 1 på grund av att uppgiftsutföraren har upphört att existera i faktisk eller rättslig mening eller har hamnat på obestånd, ska uppgiftsinföraren godta att den registrerade kan rikta ett skadeståndsanspråk mot uppgiftsinföraren som om denne var uppgiftsutföraren …

…”

38

I klausul 8 i bilagan, med rubriken ”Samarbete med tillsynsmyndigheterna”, anges följande i punkt 2:

”Parterna är överens om att tillsynsmyndigheten har rätt att genomföra inspektioner hos uppgiftsinföraren och uppgiftsinförarens eventuella underentreprenörer i samma omfattning och på samma villkor som skulle gälla för en revision hos uppgiftsutföraren enligt tillämplig uppgiftsskyddslagstiftning.”

39

I klausul 9 i nämnda bilaga, som har rubriken ”Tillämplig lag”, preciseras att klausulerna omfattas av lagen i den medlemsstat där uppgiftsutföraren är etablerad.

40

Klausul 11 i samma bilaga, med rubriken ”Utläggning på entreprenad”, har följande lydelse:

”1. Uppgiftsinföraren får inte utan uppgiftsutförarens föregående samtycke på entreprenad lägga ut någon del av den behandling som uppgiftsinföraren utför för uppgiftsutförarens räkning i enlighet med klausulerna. Om uppgiftsinföraren, med uppgiftsutförarens samtycke, lägger över sina skyldigheter enligt dessa klausuler på en underentreprenör, får detta endast ske genom ingående av ett skriftligt avtal med underentreprenören, varigenom denne åläggs samma skyldigheter som enligt klausulerna åligger uppgiftsinföraren. …

2. Det på förhand ingångna skriftliga avtalet mellan uppgiftsutföraren och uppgiftsinföraren ska även inbegripa en bestämmelse om berättigad tredje part i enlighet med klausul 3 i sådana fall där den registrerade inte kan rikta skadeståndsanspråk i enlighet med klausul 6.1 mot uppgiftsutföraren eller uppgiftsinföraren, eftersom dessa har upphört att existera i faktisk eller rättslig mening eller har hamnat på obestånd, och ingen annan enhet har till fullo övertagit uppgiftsutförarens eller uppgiftsinförares rättsliga skyldigheter enligt avtal eller lag. Skadeståndsansvaret ska i sådana fall vara begränsat till underentreprenörens egen behandling av uppgifter enligt klausulerna.”

41

I klausul 12 i bilagan till beslutet om standardavtalsklausuler, med rubriken ”Skyldigheter efter det att behandlingen av personuppgifter har upphört”, anges följande i punkt 1:

”Parterna är överens om att uppgiftsinföraren och eventuella underentreprenörer efter behandlingens upphörande och beroende på vad uppgiftsutföraren beslutar antingen ska återlämna alla överförda personuppgifter och kopior av dessa till uppgiftsutföraren, eller förstöra alla personuppgifter och intyga för uppgiftsutföraren att så skett, såvida inte den på uppgiftsinföraren tillämpliga lagstiftningen helt eller delvis hindrar honom från att återlämna eller förstöra de överförda personuppgifterna. …”

42

Genom domen av den 6 oktober 2015, Schrems (C‑362/14, EU:C:2015:650), ogiltigförklarade domstolen kommissionens beslut 2000/520/EG av den 26 juli 2000 med stöd av Europaparlamentets och rådets direktiv 95/46 om huruvida ett adekvat skydd säkerställs genom de principer om integritetsskydd (Safe Harbor Privacy Principles) i kombination med frågor och svar som Förenta staternas handelsministerium utfärdat (EUT L 215, 2000, s. 7), i vilket kommissionen hade fastställt att detta tredjeland säkerställde en adekvat skyddsnivå.

43

Med anledning av denna dom antog kommissionen beslutet om skölden för skydd av privatlivet, efter att i syfte att anta beslutet ha gjort en bedömning av Förenta staternas lagstiftning, såsom anges i skäl 65 i nämnda beslut. Detta skäl har följande lydelse:

”Kommissionen har bedömt begränsningarna och garantierna i Förenta staternas lag när det gäller tillgång till och användning av personuppgifter som överförs inom ramen för skölden för skydd av privatlivet i EU och Förenta staterna av Förenta staternas offentliga myndigheter för ändamål som rör nationell säkerhet, brottsbekämpning och andra ändamål som rör allmänintresset. Dessutom har Förenta staternas regering, via den nationella underrättelsetjänsten (Office of the Director of National Intelligence, ODNI) …, lämnat detaljerade utfästelser och försäkringar till kommissionen, som ingår i bilaga VI till detta beslut. Genom en skrivelse undertecknad av utrikesministern som bifogas som bilaga III till detta beslut har Förenta staternas regering dessutom förbundit sig att inrätta en ny tillsynsmekanism för ingrepp som hör samman med nationell säkerhet, ombudsmannen för skölden för skydd av privatlivet, som är oberoende gentemot underrättelsegemenskapen. I en framställning från Förenta staternas justitieministerium, som ingår som bilaga VII till detta beslut, beskrivs slutligen de begränsningar och garantier som gäller för offentliga myndigheters tillgång till och användning av uppgifter för brottsbekämpande ändamål och andra ändamål som rör allmänintresset. För att öka insynen och återspegla den rättsliga karaktären hos dessa åtaganden kommer samtliga dokument som förtecknas och bifogas till detta beslut att offentliggöras i Förenta staternas federala register [(U.S. Federal Register)].”

44

Kommissionens bedömning av dessa begränsningar och garantier sammanfattas i skälen 67–135 i beslutet om skölden för skydd av privatlivet, medan kommissionens slutsatser om huruvida en adekvat skyddsnivå säkerställs genom skölden för skydd av privatlivet i EU och Förenta staterna återfinns i skälen 136–141 i beslutet.

45

I skälen 68, 69, 76, 77, 109, 112–116, 120, 136 och 140 i nämnda beslut anges följande:

…

…

…

…

…

…

46

Artikel 1 i beslutet om skölden för skydd av privatlivet har följande lydelse

”1.   Vid tillämpningen av artikel 25.2 i direktiv [95/46] säkerställer Förenta staterna en adekvat skyddsnivå för personuppgifter som överförs från unionen till organisationer i Förenta staterna inom ramen för skölden för skydd av privatlivet i [Europeiska unionen] och Förenta staterna.

2.   Skölden för skydd av privatlivet i [Europeiska unionen] och Förenta staterna utgörs av de principer som utfärdades av Förenta staternas handelsministerium den 7 juli 2016 enligt vad som anges i bilaga II samt de officiella utfästelser och åtaganden som ingår i de dokument som anges i bilagorna I samt III–VII.

3.   Vid tillämpningen av punkt 1 överförs personuppgifter enligt skölden för skydd av privatlivet i [Europeiska unionen] och Förenta staterna när de överförs från unionen till organisationer i Förenta staterna som ingår i den ’förteckning över organisationer som anslutit sig till skölden’ som förvaltas och offentliggörs av Förenta staternas handelsministerium i enlighet med avsnitten I och III i de principer som anges i bilaga II.”

47

Bilaga II till beslutet om skölden för skydd av privatlivet har rubriken ”Övergripande principer för skölden för skydd av privatlivet i [Europeiska unionen] och Förenta staterna”. I punkt I.5 föreskrivs att efterlevnaden av principerna kan begränsas bland annat med hänsyn till ”krav i fråga om nationell säkerhet, allmänintresset och rättsefterlevnaden”.

48

Bilaga III till detta beslut innehåller en skrivelse av den 7 juli 2016 från John Kerry, dåvarande Secretary of State (utrikesminister, Förenta staterna), till kommissionären för rättsliga frågor, konsumentfrågor och jämställdhet. I bilaga A till skrivelsen ingår ett memorandum med rubriken ”Ombudsmannen för skölden för skydd av privatlivet i [Europeiska unionen] och Förenta staterna när det gäller signalspaning”. Där anges följande:

”Som ett erkännande av betydelsen av skölden för skydd av privatlivet i [Europeiska unionen] och Förenta staterna beskriver detta memorandum förfarandet för att inrätta en ny mekanism med avseende på signalspaning i enlighet med Presidential Policy Directive 28 (PPD-28).

… President Obama meddelade att ett nytt presidentdirektiv, PPD-28, skulle utfärdas, där det ’tydligt beskrivs vad vi gör, och inte gör, när det gäller vår utländska signalspaning’.

Enligt avsnitt 4(d) i PPD-28 ska utrikesministern utse en chefssamordnare för internationell it-diplomati, ’som ska […] fungera som kontaktpunkt för utländska regeringar som vill ta upp frågor angående Förenta staternas signalspaningsverksamhet’.

…

…”

49

Bilaga VI till beslutet om skölden för skydd av privatlivet innehåller en skrivelse av den 21 juni 2016 från chefen för den nationella underrättelseenheten (Office of the Director of National Intelligence) till Förenta staternas handelsministerium och till den internationella handelsförvaltningen, i vilken det anges att PPD-28 gör det möjligt att genom ”’bulkinsamling’ [inhämta] en relativt stor mängd signalunderrättelser under omständigheter där underrättelsegemenskapen inte kan använda en identifierare som är förknippad med ett specifikt mål … för att rikta insamlingen”.

50

Maximillian Schrems är medborgare i Österrike och bosatt i den medlemsstaten. Han har använt det sociala nätverket Facebook (nedan kallat Facebook) sedan år 2008.

51

Alla personer med hemvist inom unionen som vill använda Facebook måste i samband med att de registrerar sig ingå ett avtal med Facebook Ireland, ett dotterbolag till moderbolaget Facebook Inc., vilket i sin tur har sitt säte i Förenta staterna. Personuppgifterna om Facebookanvändare med hemvist inom unionen överförs helt eller delvis till servrar tillhörande Facebook Inc., vilka är belägna i Förenta staterna där uppgifterna behandlas.

52

Maximillian Schrems gjorde den 25 juni 2013 en anmälan till dataskyddsmyndigheten där han begärde att myndigheten skulle förbjuda Facebook Ireland att överföra personuppgifter till Förenta staterna. Maximillian Schrems gjorde gällande att gällande rätt och praxis i Förenta staterna inte säkerställde tillräckligt skydd för personuppgifter som lagras i Förenta staterna mot den övervakningsverksamhet som bedrevs av myndigheterna där. Klagomålet avslogs bland annat med motiveringen att kommissionen i beslut 2000/520 hade slagit fast att Förenta staterna säkerställer en adekvat skyddsnivå.

53

High Court (Förvaltningsöverdomstolen, Irland), till vilken Maximillian Schrems hade överklagat avslaget på hans klagomål, vände sig till EU-domstolen med en begäran om förhandsavgörande angående tolkningen och giltigheten av beslut 2000/520. I dom av den 6 oktober 2015, Schrems (C‑362/14, EU:C:2015:650), ogiltigförklarade EU-domstolen beslut 2000/520.

54

Med anledning av denna dom upphävde den hänskjutande domstolen beslutet att avslå Maximillian Schrems klagomål och återförvisade klagomålet till dataskyddsmyndigheten. Inom ramen för den utredning som inleddes av dataskyddsmyndigheten förklarade Facebook Ireland att en stor del av personuppgifterna hade överförts till Facebook Inc. på grundval av de standardiserade dataskyddsbestämmelser som återfinns i bilagan till beslutet om standardavtalsklausuler. Med beaktande av dessa omständigheter uppmanade dataskyddsmyndigheten Maximillian Schrems att omformulera sitt klagomål.

55

Maximillian Schrems ingav ett omformulerat klagomål den 1 december 2015 och gjorde bland annat gällande att Facebook Inc. enligt amerikansk rätt är skyldigt att ställa överförda personuppgifter till amerikanska myndigheters förfogande, såsom National Security Agency (NSA) och Federal Bureau of Investigation (FBI). Han hävdade att eftersom dessa uppgifter används inom ramen för olika övervakningsprogram på ett sätt som är oförenligt med artiklarna 7, 8 och 47 i stadgan, kan beslutet om standardavtalsklausuler inte motivera att nämnda uppgifter överförs till Förenta staterna. Maximillian Schrems begärde därför att dataskyddsmyndigheten skulle förbjuda eller avbryta överföringen av hans personuppgifter till Facebook Inc..

56

Den 24 maj 2016 offentliggjorde dataskyddsmyndigheten ett ”utkast till beslut” i vilket de preliminära slutsatserna av utredningen sammanfattades. I utkastet fann dataskyddsmyndigheten preliminärt att unionsmedborgares personuppgifter som överförts till Förenta staterna riskerar att utnyttjas och behandlas av amerikanska myndigheter på ett sätt som strider mot artiklarna 7 och 8 i stadgan och att amerikansk rätt inte erbjuder unionsmedborgare rättsmedel av det slag som föreskrivs i artikel 47 i stadgan. Enligt dataskyddsmyndigheten kunde de standardiserade dataskyddsbestämmelserna i bilagan till beslutet om standardavtalsklausuler inte avhjälpa denna brist, eftersom de endast ger registrerade personer avtalsenliga rättigheter gentemot uppgiftsutföraren och uppgiftsinföraren, dock utan att vara bindande för de amerikanska myndigheterna.

57

Dataskyddsmyndigheten ansåg att Maximillian Schrems omformulerade klagomål under dessa omständigheter gav upphov till en fråga om giltigheten av beslutet om standardavtalsklausuler och vände sig därför den 31 maj 2016 till High Court (Förvaltningsöverdomstolen), med hänvisning till den rättspraxis som följer av domen av den 6 oktober 2015, Schrems (C‑362/14, EU:C:2015:650, punkt 65), i syfte att High Court skulle ställa en fråga till EU-domstolen angående beslutets giltighet. Genom beslut av den 4 maj 2018 hänsköt High Court (Förvaltningsöverdomstolen) förevarande begäran om förhandsavgörande till EU-domstolen.

58

High Court (Förvaltningsöverdomstolen) har till denna begäran om förhandsavgörande bilagt en dom som meddelades den 3 oktober 2017, i vilken resultatet av prövningen av den bevisning som lagts fram vid denna domstol i det nationella förfarandet redovisades; ett förfarande i vilket den amerikanska regeringen deltagit.

59

I den domen, till vilken det hänvisas flera gånger i begäran om förhandsavgörande, påpekade den hänskjutande domstolen att den i regel inte bara har rätt utan även en skyldighet att pröva samtliga omständigheter och argument som åberopats vid den för att, på grundval av dessa omständigheter och argument, avgöra huruvida det krävs en begäran om förhandsavgörande eller inte. Under alla omständigheter är den hänskjutande domstolen skyldig att beakta eventuella ändringar i lagstiftningen som genomförts under tiden från det att talan väckts till dess förhandlingen vid denna domstol äger rum. Den hänskjutande domstolen har preciserat att dess egen bedömning i det nationella målet inte är begränsad till de ogiltighetsgrunder som dataskyddsmyndigheten har åberopat, vilket innebär att den även ex officio kan pröva andra ogiltighetsgrunder och på grundval av dessa begära ett förhandsavgörande.

60

Enligt konstaterandena i nämnda dom grundar sig de amerikanska myndigheternas underrättelseverksamhet, när det gäller personuppgifter som överförts till Förenta staterna, bland annat på section 702 FISA och på E.O. 12333.

61

När det gäller section 702 FISA har den hänskjutande domstolen i samma dom preciserat att denna bestämmelse gör det möjligt för riksåklagaren och direktören för den nationella underrättelsetjänsten att, efter FISC:s godkännande, gemensamt ge tillstånd till övervakning av icke-amerikanska medborgare utanför Förenta staterna i syfte att inhämta ”uppgifter från utländsk underrättelseinformation”, och avsnittet utgör bland annat grund för övervakningsprogrammen Prism och Upstream. Inom ramen för Prism-programmet är leverantörerna av internettjänster, enligt vad den hänskjutande domstolen har konstaterat, skyldiga att tillhandahålla NSA all kommunikation som skickats och mottagits av en ”väljare” (”selector”), varvid en del av dessa meddelanden även överförs till FBI och Central Intelligence Agency (CIA) (centrala underrättelsetjänsten).

62

Vad gäller Upstream-programmet konstaterade nämnda domstol att de telekommunikationsföretag som driver internets ”stamnät” – det vill säga kabelnätet, switchar och routrar – är skyldiga att låta NSA kopiera och filtrera trafikflödena på internet i syfte att samla in kommunikation som skickas eller mottas av eller rör en icke-amerikansk medborgare som uppmärksammats av en ”väljare”. Enligt den hänskjutande domstolen har NSA inom ramen för nämnda program åtkomst till såväl metadata som innehållet i de berörda kommunikationerna.

63

Enligt den hänskjutande domstolen gör E.O. 12333 det möjligt för NSA att få åtkomst till uppgifter som befinner sig ”i transit” på väg till Förenta staterna, genom att NSA har åtkomst till undervattenskablar på Atlantens botten, varvid NSA kan samla in och lagra dessa uppgifter innan de anländer till Förenta staterna där de omfattas av bestämmelserna i FISA. Den hänskjutande domstolen har påpekat att verksamhet som grundar sig på E.O. 12333 inte regleras i lag.

64

När det gäller gränserna för underrättelseverksamheten har den hänskjutande domstolen betonat att icke-amerikaner endast omfattas av PPD-28 och att det i denna endast anges att underrättelseverksamheten ska vara ”så riktad som möjligt” (as tailored as feasible). Mot bakgrund av dessa konstateranden bedömer den hänskjutande domstolen att Förenta staterna behandlar massuppgifter utan att säkerställa ett skydd som är väsentligen likvärdigt med det skydd som garanteras genom artiklarna 7 och 8 i stadgan.

65

Vad gäller domstolsskyddet har den hänskjutande domstolen angett att unionsmedborgare inte har tillgång till samma rättsmedel som amerikanska medborgare mot amerikanska myndigheters behandling av personuppgifter, eftersom fjärde tillägget i Constitution of the United States (Förenta staternas konstitution), som enligt amerikansk rätt utgör det starkaste skyddet mot olaglig övervakning, inte är tillämpligt på unionsmedborgare. Den hänskjutande domstolen har i detta avseende preciserat att de rättsmedel som finns kvar till deras förfogande stöter på betydande hinder, i synnerhet skyldigheten – som den anser vara orimligt svår att uppfylla – att styrka att de har talerätt. Enligt den hänskjutande domstolen omfattas inte NSA:s verksamhet på grundval av E.O. 12333 av domstolarnas tillsyn och kan inte bli föremål för rättsmedel vid domstol. Slutligen anser den hänskjutande domstolen att eftersom ombudsmannen för skölden för skydd av privatlivet inte är en domstol, i den mening som avses i artikel 47 i stadgan, säkerställer amerikansk rätt inte en skyddsnivå för unionsmedborgarna som är väsentligen likvärdig med den som garanteras av den grundläggande rättighet som stadfästs i nämnda artikel 47.

66

Den hänskjutande domstolen har i sin begäran om förhandsavgörande även angett att parterna i det nationella målet är oense om bland annat frågan huruvida unionsrätten är tillämplig på överföringar till tredjeland av personuppgifter som myndigheterna i det landet kan komma att behandla bland annat med hänsyn till nationell säkerhet, samt vilka faktorer som ska beaktas vid bedömningen av om det landet säkerställer en adekvat skyddsnivå. Den hänskjutande domstolen har särskilt påpekat att Facebook Ireland anser att kommissionens konstateranden avseende huruvida ett tredjeland säkerställer en adekvat skyddsnivå, såsom konstaterandena i beslutet om skölden för skydd av privatlivet, är bindande för tillsynsmyndigheterna även i samband med en överföring av personuppgifter som grundar sig på de standardiserade dataskyddsbestämmelserna i bilagan till beslutet om standardklausuler.

67

Vad gäller dessa standardiserade dataskyddsbestämmelser vill den hänskjutande domstolen få klarhet i huruvida beslutet om standardavtalsklausuler kan anses giltigt, trots att dessa dataskyddsbestämmelser, enligt nämnda domstol, inte är bindande för de statliga myndigheterna i det berörda tredjelandet och följaktligen inte kan avhjälpa att det landet inte säkerställer en adekvat skyddsnivå. Den hänskjutande domstolen anser i detta avseende att den möjlighet som medlemsstaternas behöriga myndigheter ges enligt artikel 4.1 a i beslut 2010/87, i dess lydelse före ikraftträdandet av genomförandebeslut 2016/2297, att förbjuda överföring av personuppgifter till ett tredjeland som ålägger uppgiftsinföraren skyldigheter som är oförenliga med garantierna i dessa klausuler, visar att rättsläget i det tredjelandet kan motivera ett förbud mot en överföring av uppgifter, även om överföringen görs med stöd av de standardiserade dataskyddsbestämmelserna i bilagan till beslutet om standardavtalsklausuler, och varigenom det framgår att dessa dataskyddsbestämmelser kan vara otillräckliga för att säkerställa ett adekvat skydd. Mot denna bakgrund vill den hänskjutande domstolen få klarhet i hur långt dataskyddsmyndighetens befogenhet att förbjuda en överföring av uppgifter som sker med stöd av dessa klausuler sträcker sig, samtidigt som den anser att ett utrymme för skönsmässig bedömning inte räcker för att säkerställa ett adekvat skydd.

68

Mot denna bakgrund beslutade High Court (Förvaltningsöverdomstolen) att vilandeförklara målet och ställa följande frågor till domstolen:

69

Facebook Ireland, den tyska regeringen och Förenade kungarikets regering har gjort gällande att begäran om förhandsavgörande inte kan tas upp till sakprövning.

70

När det gäller Facebook Irelands invändning om rättegångshinder har bolaget påpekat att de bestämmelser i direktiv 95/46 som ligger till grund för tolknings- och giltighetsfrågorna har upphävts genom DSF.

71

Domstolen framhåller att det visserligen är riktigt att direktiv 95/46 enligt artikel 94.1 DSF upphävdes med verkan från och med den 25 maj 2018, men detta direktiv var fortfarande i kraft när förevarande begäran om förhandsavgörande formulerades den 4 maj 2018. Begäran inkom till domstolen den 9 maj 2018. Dessutom har artikel 3.2 första strecksatsen, artiklarna 25 och 26 samt artikel 28.3 i direktiv 95/46, till vilka det hänvisas i tolknings- och giltighetsfrågorna, i huvudsak återgetts i artikel 2.2 respektive artiklarna 45, 46 och 58 DSF. Det ska dessutom erinras om att domstolen har till uppgift att tolka alla bestämmelser i unionsrätten som de nationella domstolarna behöver för att avgöra de mål som är anhängiga vid dem, även om dessa bestämmelser inte uttryckligen anges i de frågor som dessa domstolar har ställt (dom av den 2 april 2020, Ruska Federacija, C‑897/19 PPU, EU:C:2020:262, punkt 43 och där angiven rättspraxis). Av dessa olika skäl kan den omständigheten att den hänskjutande domstolen har formulerat tolknings- och giltighetsfrågorna enbart med hänvisning till bestämmelserna i direktiv 95/46 inte medföra att förevarande begäran om förhandsavgörande inte kan tas upp till sakprövning.

72

Den tyska regeringen har å sin sida grundat sin invändning om rättegångshinder dels på den omständigheten att dataskyddsmyndigheten endast har uttryckt tvivel, och inte en definitiv uppfattning, i fråga om giltigheten av beslutet om standardavtalsklausuler, dels på den omständigheten att den hänskjutande domstolen har underlåtit att pröva huruvida Maximillian Schrems hade lämnat ett otvivelaktigt samtycke till de överföringar av uppgifter som är i fråga i det nationella målet, vilket, om så hade varit fallet, skulle ha inneburit att ett svar på denna fråga inte var nödvändigt. Slutligen anser Förenade kungarikets regering att tolknings- och giltighetsfrågorna är hypotetiska, eftersom den hänskjutande domstolen inte har konstaterat att dessa uppgifter faktiskt har överförts med stöd av nämnda beslut.

73

Enligt EU-domstolens fasta praxis ankommer det uteslutande på den nationella domstolen, vid vilken målet anhängiggjorts och vilken har ansvaret för det rättsliga avgörandet, att mot bakgrund av de särskilda omständigheterna i målet bedöma såväl om ett förhandsavgörande är nödvändigt för att döma i saken som relevansen av de frågor som ställs till EU-domstolen. EU-domstolen är följaktligen skyldig att meddela ett förhandsavgörande när de frågor som ställts avser tolkningen eller giltigheten av en unionsbestämmelse. Av detta följer att de frågor som ställs av nationella domstolar presumeras vara relevanta. En tolkningsfråga som har hänskjutits av en nationell domstol kan bara avvisas då det är uppenbart att den begärda tolkningen av unionsrätten inte har något samband med de verkliga omständigheterna eller saken i det nationella målet eller då frågorna är hypotetiska eller EU-domstolen inte har tillgång till sådana uppgifter om de faktiska eller rättsliga omständigheterna som är nödvändiga för att kunna ge ett användbart svar på de frågor som ställts till den (dom av den 16 juni 2015, Gauweiler m.fl., C‑62/14, EU:C:2015:400, punkterna 24 och 25, dom av den 2 oktober 2018, Ministerio Fiscal, C‑207/16, EU:C:2018:788, punkt 45, och dom av den 19 december 2019, Dobersberger, C‑16/18, EU:C:2019:1110, punkterna 18 och 19).

74

I förevarande fall innehåller begäran om förhandsavgörande tillräckliga uppgifter om de faktiska och rättsliga omständigheterna för att det ska gå att förstå tolknings- och giltighetsfrågornas räckvidd. Framför allt finns det inget i handlingarna i målet som tyder på att den begärda tolkningen av unionsrätten inte har något samband med de verkliga omständigheterna eller saken i det nationella målet eller att den är hypotetisk, exempelvis på grund av att överföringen av de aktuella personuppgifterna i det nationella målet skulle grunda sig på ett uttryckligt samtycke från den registrerade som berörs av denna överföring och inte på beslutet om standardavtalsklausuler. Enligt uppgifterna i förevarande begäran om förhandsavgörande har Facebook Ireland nämligen medgett att den överför personuppgifter om sina kontoinnehavare bosatta i unionen till Facebook Inc. och att en stor del av dessa överföringar, vars lagenlighet Maximillian Schrems har bestritt, utförs på grundval av de standardiserade dataskyddsbestämmelserna i bilagan till beslutet om standardklausuler.

75

Det saknar vidare betydelse för frågan huruvida förevarande begäran om förhandsavgörande kan tas upp till sakprövning att dataskyddsmyndigheten inte har uttryckt någon definitiv uppfattning om giltigheten av detta beslut, eftersom den hänskjutande domstolen anser att svaret på frågorna om tolkningen och giltigheten av unionsrättsliga bestämmelser är nödvändigt för att avgöra det nationella målet.

76

Härav följer att begäran om förhandsavgörande kan tas upp till prövning.

77

Det ska inledningsvis erinras om att förevarande begäran om förhandsavgörande grundar sig på ett klagomål som Maximillian Schrems ingav till dataskyddsmyndigheten i syfte att denna myndighet skulle avbryta eller för framtiden förbjuda överföringen av hans personuppgifter till Facebook Inc.. Även om tolknings- och giltighetsfrågorna härför sig till bestämmelserna i direktiv 95/46, är det utrett att dataskyddsmyndighten ännu inte hade antagit ett slutgiltigt beslut angående klagomålet när detta direktiv upphävdes och ersattes av DSF, med verkan från och med den 25 maj 2018.

78

Det är avsaknaden av ett nationellt beslut som skiljer den aktuella situationen i det nationella målet från de situationer som ledde till domen av den 24 september 2019, Google (Territoriell räckvidd för rätten till borttagande av länkar) (C‑507/17, EU:C:2019:772), och domen av den 1 oktober 2019, Planet49 (C‑673/17, EU:C:2019:801), vilka avsåg beslut som antogs innan nämnda direktiv upphävdes.

79

Tolknings- och giltighetsfrågorna ska således besvaras mot bakgrund av bestämmelserna i DSF, och inte mot bakgrund av bestämmelserna i direktiv 95/46.

80

Den hänskjutande domstolen har ställt den första frågan för att få klarhet i huruvida artikel 2.1 och 2.2 a, b och d DSF, jämförda med artikel 4.2 FEU, ska tolkas så, att en överföring av personuppgifter från en näringsidkare etablerad i en medlemsstat till en annan näringsidkare etablerad i ett tredjeland omfattas av förordningens tillämpningsområde, när dessa uppgifter, under eller efter denna överföring, kan komma att behandlas av myndigheterna i det tredjelandet för ändamål som avser allmän säkerhet, försvar och nationell säkerhet.

81

Det ska inledningsvis påpekas att bestämmelsen i artikel 4.2 FEU, enligt vilken den nationella säkerheten även i fortsättningen ska vara varje medlemsstats eget ansvar, uteslutande berör unionens medlemsstater. Denna bestämmelse är följaktligen i förevarande fall inte relevant för tolkningen av artikel 2.1 och 2.2 a, b och d DSF.

82

Enligt artikel 2.1 DSF ska förordningen tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register. I artikel 4.2 i förordningen definieras ”behandling” som ”en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter” och där anges som exempel ”utlämning genom överföring, spridning eller tillhandahållande på annat sätt”, utan att det görs någon åtskillnad beroende på om verksamheten utförs inom unionen eller har samband med ett tredjeland. I förordningen föreskrivs för övrigt särskilda regler för överföring av personuppgifter till tredjeländer, vilka återfinns i kapitel V, med rubriken ”Överföring av personuppgifter till tredjeländer eller internationella organisationer”. Enligt förordningens artikel 58.2 j tillerkänns tillsynsmyndigheterna dessutom särskilda befogenheter i detta avseende.

83

Av detta följer att åtgärden att låta överföra personuppgifter från en medlemsstat till ett tredjeland i sig utgör en behandling av personuppgifter, i den mening som avses i artikel 4.2 DSF, som utförs inom en medlemsstats territorium och på vilken denna förordning är tillämplig enligt artikel 2.1 i förordningen (se, analogt, beträffande artikel 2 b och artikel 3.1 i direktiv 95/46, dom av den 6 oktober 2015, Schrems, C‑362/14, EU:C:2015:650, punkt 45 och där angiven rättspraxis).

84

Vad gäller frågan huruvida en sådan transaktion kan anses vara undantagen från DSF:s tillämpningsområde enligt artikel 2.2 i denna förordning, erinrar domstolen om att denna bestämmelse innehåller undantag från förordningens tillämpningsområde, såsom detta definierats i artikel 2.1 i förordningen, och att dessa undantag ska tolkas restriktivt (se, analogt, beträffande artikel 3.2 i direktiv 95/46, dom av den 10 juli 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, punkt 37 och där angiven rättspraxis).

85

Eftersom den aktuella överföringen av personuppgifter utförs av Facebook Ireland till Facebook Inc., det vill säga mellan två juridiska personer, omfattas inte denna överföring av artikel 2.2 c DSF, som avser behandling av uppgifter som utförs av en fysisk person som ett led i verksamhet av rent privat natur eller som har samband med hans eller hennes hushåll. Den aktuella överföringen omfattas inte heller av de verksamheter som anges i artikel 2.2 a, b och d i förordningen, eftersom de verksamheter som där nämns som exempel i samtliga fall är verksamheter som är specifika för staten eller statliga myndigheter och de omfattas inte av enskildas verksamhetsområden (se analogt, beträffande artikel 3.2 i direktiv 95/46, dom av den 10 juli 2018, Jehovan Todistajat, C‑25/17, EU:C:2018:551, punkt 38 och där angiven rättspraxis).

86

Möjligheten för myndigheterna i det berörda tredjelandet att behandla personuppgifter som överförs mellan två näringsidkare i kommersiellt syfte, under eller efter överföringen, med hänsyn till allmän säkerhet, försvar och nationell säkerhet, kan inte undanta nämnda överföring från DSF:s tillämpningsområde.

87

Genom att kommissionen uttryckligen åläggs en skyldighet att, när den bedömer huruvida skyddsnivån i ett tredjeland är adekvat, bland annat beakta ”relevant lagstiftning, både allmän lagstiftning och sektorslagstiftning, inklusive avseende allmän säkerhet, försvar, nationell säkerhet och straffrätt och offentliga myndigheters åtkomst till personuppgifter samt tillämpningen av sådan lagstiftning”, framgår det av själva ordalydelsen i artikel 45.2 a i denna förordning att det förhållandet att ett tredjelands eventuella behandling av de berörda personuppgifterna för ändamål som rör allmän säkerhet, försvar och nationell säkerhet inte påverkar denna förordnings tillämplighet på den aktuella överföringen.

88

Av detta följer att en sådan överföring inte kan undantas från DSF:s tillämpningsområde av det skälet att de aktuella uppgifterna, under eller efter denna överföring, kan komma att behandlas av myndigheterna i det berörda tredjelandet med hänsyn till allmän säkerhet, försvar och nationell säkerhet.

89

Den första frågan ska således besvaras enligt följande. Artikel 2.1 och 2.2 DSF ska tolkas så, att en överföring av personuppgifter i kommersiellt syfte från en näringsidkare etablerad i en medlemsstat till en annan näringsidkare etablerad i ett tredjeland, omfattas av denna förordnings tillämpningsområde, trots att dessa uppgifter, under eller efter denna överföring, kan komma att behandlas av myndigheterna i det tredjelandet för ändamål som avser allmän säkerhet, försvar och nationell säkerhet.

90

Den hänskjutande domstolen har ställt den andra, den tredje och den sjätte frågan för att få klarhet i vilken skyddsnivå som krävs enligt artikel 46.1 och 46.2 c DSF vid överföring av personuppgifter till ett tredjeland med stöd av standardiserade dataskyddsbestämmelser. Den hänskjutande domstolen önskar särskilt att EU-domstolen närmare anger vilka omständigheter som ska beaktas vid bedömningen av huruvida skyddsnivån säkerställs i samband med en sådan överföring.

91

När det gäller den skyddsnivå som krävs framgår det av dessa bestämmelser i förening, att om det inte har fattats något beslut om en adekvat skyddsnivå enligt artikel 45.3 i förordningen, får en personuppgiftsansvarig eller ett personuppgiftsbiträde endast överföra personuppgifter till ett tredjeland efter att ha vidtagit ”lämpliga skyddsåtgärder”, och på villkor att de registrerade förfogar över ”lagstadgade rättigheter … och effektiva rättsmedel”. Sådana lämpliga skyddsåtgärder kan bland annat införas genom standardiserade dataskyddsbestämmelser som antas av kommissionen.

92

Även om det i artikel 46 DSF inte närmare anges vilka slags krav som följer av hänvisningen till ”lämpliga skyddsåtgärder”, ”lagstadgade rättigheter” och ”effektiva rättsmedel”, ska det påpekas att denna artikel återfinns i kapitel V i förordningen. Nämnda artikel ska således läsas mot bakgrund av artikel 44 i förordningen, med rubriken ”Allmän princip för överföringar”. Där föreskrivs att ”[a]lla bestämmelser i detta kapitel ska tillämpas för att säkerställa att den nivå på skyddet av fysiska personer som säkerställs genom denna förordning inte undergrävs”. Denna skyddsnivå måste således säkerställas oberoende av vilken bestämmelse i nämnda kapitel som ligger till grund för en överföring av personuppgifter till ett tredjeland.

93

Såsom generaladvokaten har påpekat i punkt 117 i sitt förslag till avgörande syftar bestämmelserna i kapitel V i DSF till att säkerställa att den höga skyddsnivån fortsätter att gälla vid överföring av personuppgifter till ett tredjeland, i enlighet med det syfte som anges i skäl 6 i förordningen.

94

I artikel 45.1 första meningen DSF föreskrivs att personuppgifter får överföras till ett tredjeland om kommissionen har beslutat att tredjelandet, ett territorium eller en eller flera specificerade sektorer i tredjelandet säkerställer en adekvat skyddsnivå. Begreppet ”adekvat skyddsnivå” ska, utan att det krävs att det berörda tredjelandet ska säkerställa en skyddsnivå som är identisk med den som garanteras i unionens rättsordning, förstås så, vilket bekräftas av skäl 104 i förordningen, att det krävs att detta tredjeland, genom sin interna lagstiftning eller på grund av de internationella förpliktelser som åligger landet, de facto säkerställer en nivå för skyddet av grundläggande fri- och rättigheter som är väsentligen likvärdig med den skyddsnivå som garanteras inom unionen enligt förordningen, jämförd med stadgan. Om ett sådant krav inte fanns skulle det syfte som nämns i föregående punkt åsidosättas (se, analogt, beträffande artikel 25.6 i direktiv 95/46, dom av den 6 oktober 2015, Schrems, C‑362/14, EU:C:2015:650, punkt 73).

95

I detta sammanhang anges i skäl 107 DSF att när ”ett tredjeland, ett territorium eller en viss specificerad sektor i ett tredjeland … inte längre säkerställer en adekvat dataskyddsnivå … [då bör] [ö]verföring av personuppgifter till detta tredjeland … förbjudas, såvida inte kraven i denna förordning avseende överföring med stöd av lämpliga skyddsåtgärder … är uppfyllda”. I skäl 108 i förordningen anges att om det saknas ett beslut om adekvat skyddsnivå, så ska de lämpliga skyddsåtgärder som det ankommer på den personuppgiftsansvarige eller personuppgiftsbiträdet att vidta i enlighet med artikel 46.1 i förordningen ”kompensera för det bristande dataskyddet i ett tredjeland”, för att ”säkerställa iakttagande av de krav i fråga om dataskydd och registrerades rättigheter som är lämpliga för behandling inom unionen”.

96

Av detta följer, såsom generaladvokaten har påpekat i punkt 115 i sitt förslag till avgörande, att sådana lämpliga skyddsåtgärder ska vara ägnade att säkerställa att personer vars personuppgifter överförs till ett tredjeland med stöd av standardiserade dataskyddsbestämmelser, på samma sätt som vid en överföring med stöd av ett beslut om adekvat skyddsnivå, åtnjuter en skyddsnivå som är väsentligen likvärdig med den som garanteras inom unionen.

97

Den hänskjutande domstolen vill även få klarhet i huruvida den skyddsnivå som är väsentligen likvärdig med den som garanteras inom unionen ska fastställas mot bakgrund av unionsrätten, särskilt de rättigheter som garanteras i stadgan, och/eller mot bakgrund av de grundläggande rättigheter som stadfästs i Europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna (nedan kallad Europakonventionen) eller mot bakgrund av medlemsstaternas nationella rätt.

98

Även om, såsom framgår av artikel 6.3 FEU, de grundläggande rättigheterna enligt Europakonventionen ingår i unionsrätten som allmänna principer, och även om artikel 52.3 i stadgan föreskriver att rättigheterna i Europakonventionen ska ges samma innebörd och räckvidd som de som garanteras av konventionen, utgör denna konvention inte något rättsligt instrument som formellt införlivats med unionsrätten så länge som inte unionen har anslutit sig till konventionen (dom av den 26 februari 2013, Åkerberg Fransson, C‑617/10, EU:C:2013:105, punkt 44 och där angiven rättspraxis, och dom av den 20 mars 2018, Menci, C‑524/15, EU:C:2018:197, punkt 22).

99

Domstolen har mot denna bakgrund slagit fast att unionsrätten och giltigheten av unionsrättsakter ska tolkas utifrån de grundläggande rättigheter som garanteras i stadgan (se, analogt, dom av den 20 mars 2018, Menci, C‑524/15, EU:C:2018:197, punkt 24).

100

Det följer av domstolens fasta praxis att giltigheten av bestämmelser i unionsrätten och – i avsaknad av en uttrycklig hänvisning till medlemsstaternas rättsordningar – deras tolkning, inte får bedömas mot bakgrund av nationell rätt, inte ens på grundlagsnivå, särskilt grundläggande rättigheter såsom de formulerats i deras nationella författning (se, för ett liknande resonemang, dom av den 17 december 1970, Internationale Handelsgesellschaft, 11/70, EU:C:1970:114, punkt 3, dom av den 13 december 1979, Hauer, 44/79, EU:C:1979:290, punkt 14, och dom av den 18 oktober 2016, Nikiforidis, C‑135/15, EU:C:2016:774, punkt 28 och där angiven rättspraxis.

101

Av detta följer således dels att en sådan överföring av personuppgifter som den i det nationella målet, som genomförs för kommersiella syften från en näringsidkare etablerad i en medlemsstat till en annan näringsidkare etablerad i ett tredjeland, omfattas av DSF:s tillämpningsområde, vilket framgår av svaret på den första frågan, dels att denna förordning, såsom framgår av dess skäl 10, bland annat syftar till att säkerställa en enhetlig och hög skyddsnivå för fysiska personer inom unionen och för att uppnå detta ändamål säkerställa en konsekvent och enhetlig tillämpning av bestämmelserna om skydd av fysiska personers grundläggande rättigheter och friheter vid behandling av personuppgifter i hela unionen. Den skyddsnivå för grundläggande rättigheter som krävs enligt artikel 46.1 i förordningen ska därför fastställas på grundval av bestämmelserna i denna förordning, jämförda med de grundläggande rättigheter som garanteras i stadgan.

102

Den hänskjutande domstolen vill även få klarhet i vilka omständigheter som ska beaktas vid bedömningen av huruvida skyddsnivån är adekvat i samband med en överföring av personuppgifter till ett tredjeland på grundval av standardiserade dataskyddsbestämmelser som antagits i enlighet med artikel 46.2 c DSF.

103

Även om denna bestämmelse inte innehåller någon uppräkning av de olika omständigheter som ska beaktas vid bedömningen av huruvida den skyddsnivå som ska iakttas vid en sådan överföring är adekvat, preciseras det i artikel 46.1 i förordningen att de registrerade ska åtnjuta lämpliga skyddsåtgärder och förfoga över lagstadgade rättigheter och effektiva rättsmedel.

104

Vid den bedömning som krävs i samband med en sådan överföring ska bland annat hänsyn tas till såväl de avtalsvillkor som överenskommits mellan den personuppgiftsansvarige eller personuppgiftsbiträdet, som är etablerade i unionen, och mottagaren av överföringen i det berörda tredjelandet, som de relevanta delarna av rättssystemet i det tredjelandet såvitt avser den åtkomst som myndigheterna i det tredjelandet eventuellt har till överförda personuppgifter. De omständigheter som i sistnämnda hänseende ska beaktas i samband med artikel 46 i förordningen motsvarar de omständigheter som på ett icke uttömmande sätt anges i artikel 45.2 i förordningen.

105

Den andra, den tredje och den sjätte frågan ska således besvaras enligt följande. Artikel 46.1 och 46.2 c DSF ska tolkas så, att de lämpliga skyddsåtgärder, lagstadgade rättigheter och effektiva rättsmedel som krävs enligt dessa bestämmelser ska säkerställa att personer vars personuppgifter överförs till ett tredjeland med stöd av standardiserade dataskyddsbestämmelser åtnjuter en skyddsnivå som är väsentligen likvärdig med den som garanteras inom unionen genom denna förordning, jämförd med stadgan. Vid bedömningen av den skyddsnivå som säkerställs i samband med en sådan överföring ska hänsyn tas till såväl de avtalsvillkor som överenskommits mellan den personuppgiftsansvarige eller personuppgiftsbiträdet, som är etablerade i unionen, och mottagaren av överföringen i det berörda tredjelandet, som de relevanta delarna av rättssystemet i det tredjelandet, särskilt de som anges i artikel 45.2 i förordningen, såvitt avser den åtkomst som myndigheterna i det tredjelandet eventuellt har till överförda personuppgifter.

106

Den hänskjutande domstolen har ställt den åttonde frågan för att få klarhet i huruvida artikel 58.2 f och j DSF ska tolkas så, att den behöriga tillsynsmyndigheten är skyldig att avbryta eller förbjuda en överföring av personuppgifter till ett tredjeland med stöd av standardiserade dataskyddsbestämmelser som antagits av kommissionen, när tillsynsmyndigheten anser att dessa klausuler inte iakttas eller inte kan iakttas i det tredjelandet och att det skydd för överförda personuppgifter som krävs enligt unionsrätten, särskilt enligt artiklarna 45 och 46 DSF och stadgan, inte kan säkerställas, eller om förstnämnda bestämmelser tvärtom ska tolkas så, att utövandet av dessa befogenheter enbart avser undantagsfall.

107

I enlighet med artikel 8.3 i stadgan och artiklarna 51.1 och 57.1 a DSF har de nationella tillsynsmyndigheterna till uppgift att övervaka efterlevnaden av unionsbestämmelserna om skyddet av enskilda personer med avseende på behandlingen av personuppgifter. Varje tillsynsmyndighet har således befogenhet att kontrollera huruvida en överföring av personuppgifter från den medlemsstat till vilken myndigheten hör till ett tredjeland uppfyller de krav som följer av förordningen (se, analogt, beträffande artikel 28 i direktiv 95/46, dom av den 6 oktober 2015, Schrems, C‑362/14, EU:C:2015:650, punkt 47).

108

Det följer av dessa bestämmelser att tillsynsmyndigheternas främsta uppgift är att övervaka tillämpningen av DSF och säkerställa att den följs. Fullgörandet av detta uppdrag är av särskild betydelse i samband med en överföring av personuppgifter till tredjeland, eftersom det framgår av ordalydelsen i skäl 116 i förordningen att ”[n]är personuppgifter förs över gränser utanför unionen kan detta öka risken för att fysiska personer inte kan utöva sina dataskyddsrättigheter, i synnerhet för att skydda sig från otillåten användning eller otillåtet utlämnande av denna information”. I ett sådant fall kan, såsom anges i samma skäl, ”tillsynsmyndigheterna ställas inför den omständigheten att det är omöjligt att pröva klagomål eller genomföra undersökningar av den verksamhet som bedrivs utanför deras gränser”.

109

Enligt artikel 57.1 f DSF är varje tillsynsmyndighet dessutom skyldig att inom sitt territorium behandla klagomål som var och en enligt artikel 77.1 i förordningen har rätt att inge när vederbörande anser att en behandling av personuppgifter som rör honom eller henne utgör ett åsidosättande av nämnda förordning, och i den utsträckning det är nödvändigt pröva syftet med behandlingen. Tillsynsmyndigheten ska med vederbörlig omsorg utreda ett sådant klagomål (se, analogt, beträffande artikel 25.6 i direktiv 95/46, dom av den 6 oktober 2015, Schrems, C‑362/14, EU:C:2015:650, punkt 63).

110

Enligt artikel 78.1 och 78.2 DSF har var och en rätt till ett effektivt rättsmedel, bland annat om tillsynsmyndigheten underlåter att behandla ett klagomål. I skäl 141 i förordningen hänvisas även till denna ”rätt till ett effektivt rättsmedel i enlighet med artikel 47 i stadgan” för det fall tillsynsmyndigheten ”inte agerar när så är nödvändigt för att skydda den registrerades rättigheter”.

111

För att behandla inkomna klagomål tillerkänns varje tillsynsmyndighet enligt artikel 58.1 DSF betydande utredningsbefogenheter. När en sådan myndighet, efter att ha avslutat sin utredning, anser att den registrerade vars personuppgifter har överförts till ett tredjeland inte åtnjuter en adekvat skyddsnivå i detta land, är den enligt unionsrätten skyldig att reagera på lämpligt sätt för att avhjälpa den konstaterade bristande skyddsnivån, och detta oberoende av orsaken till eller arten av denna brist. I artikel 58.2 i denna förordning anges de olika korrigerande åtgärder som tillsynsmyndigheten kan vidta i detta sammanhang.

112

Även om det ankommer på tillsynsmyndigheten att välja en lämplig och nödvändig åtgärd, och att denna ska göra detta val med beaktande av samtliga omständigheter i samband med den aktuella överföringen av personuppgifter, är tillsynsmyndigheten icke desto mindre skyldig att fullgöra sitt uppdrag med erforderlig omsorg och att därvid tillse att DSF iakttas fullt ut.

113

Såsom generaladvokaten har påpekat i punkt 148 i sitt förslag till avgörande är tillsynsmyndigheten enligt artikel 58.2 f och j i denna förordning skyldig att avbryta eller förbjuda en överföring av personuppgifter till ett tredjeland om den, mot bakgrund av samtliga omständigheter i samband med överföring, anser att de standardiserade dataskyddsbestämmelserna inte iakttas eller inte kan iakttas i det tredjelandet, och att det skydd för personuppgifter som krävs enligt unionsrätten inte kan säkerställas med andra medel, förutsatt att den personuppgiftsansvarige eller dennes personuppgiftsbiträde som är etablerade i unionen inte själv har avbrutit eller upphört med överföringen.

114

Den tolkning som gjorts i föregående punkt påverkas inte av dataskyddsmyndighetens argument att artikel 4 i beslut 2010/87, i dess lydelse före ikraftträdandet av genomförandebeslut 2016/2297, jämförd med skäl 11 i detta beslut, innebar att tillsynsmyndigheternas befogenhet att avbryta eller förbjuda en överföring av personuppgifter till ett tredjeland begränsades till vissa undantagsfall. I artikel 4 i beslutet om standardavtalsklausuler, i dess lydelse enligt genomförandebeslut 2016/2297, hänvisas nämligen till den befogenhet som dessa myndigheter numera har enligt artikel 58.2 f och j DSF att avbryta eller förbjuda en sådan överföring, utan att på något sätt begränsa utövandet av denna befogenhet till undantagsfall.

115

De genomförandebefogenheter som unionslagstiftaren gett kommissionen i artikel 46.2 c DSF att anta standardiserade dataskyddsbestämmelser ger emellertid inte denna institution befogenheten att inskränka tillsynsmyndigheternas befogenheter enligt artikel 58.2 i denna förordning (se, analogt, beträffande artikel 25.6 och artikel 28 i direktiv 95/46, dom av den 6 oktober 2015, Schrems, C‑362/14, EU:C:2015:650, punkterna 102 och 103). I skäl 5 i genomförandebeslut 2016/2297 bekräftas för övrigt att beslutet om standardavtalsklausuler inte ”hindrar … en … tillsynsmyndighet från att utöva sina befogenheter att kontrollera dataflödena, inbegripet befogenheten att tillfälligt eller slutligt förbjuda överföring av personuppgifter, om den fastställer att överföringen sker i strid med [Europeiska unionens] eller nationell dataskyddslagstiftning”.

116

Det ska emellertid preciseras att den behöriga tillsynsmyndighetens befogenheter ska utövas med iakttagande av ett beslut genom vilket kommissionen i förekommande fall med tillämpning av artikel 45.1 första meningen DSF slår fast att ett visst tredjeland säkerställer en adekvat skyddsnivå. I ett sådant fall framgår det nämligen av artikel 45.1 andra meningen i förordningen, jämförd med skäl 103 i samma förordning, att överföringar av personuppgifter till det berörda tredjelandet får ske utan att något särskilt tillstånd krävs.

117

Enligt artikel 288 fjärde stycket FEUF är ett kommissionsbeslut om adekvat skyddsnivå till alla delar bindande för samtliga medlemsstater som det riktar sig till och det är således bindande för samtliga organ i medlemsstaterna, i den mån det i beslutet konstateras att det berörda tredjelandet säkerställer en adekvat skyddsnivå och det innebär att sådana överföringar av uppgifter är tillåtna (se, analogt, beträffande artikel 25.6 i direktiv 95/46, dom av den 6 oktober 2015, Schrems, C‑362/14, EU:C:2015:650, punkt 51 och där angiven rättspraxis).

118

Så länge som beslutet om adekvat skydd inte har ogiltigförklarats av domstolen, kan medlemsstaterna och deras organ, däribland deras oberoende tillsynsmyndigheter, inte vidta åtgärder som strider mot detta beslut, såsom rättsakter som syftar till att med bindande verkan fastställa att det tredjeland som avses i beslutet inte säkerställer en adekvat skyddsnivå (dom av den 6 oktober 2015, Schrems, C‑362/14, EU:C:2015:650, punkt 52 och där angiven rättspraxis), och kan följaktligen inte avbryta eller förbjuda överföring av personuppgifter till detta tredjeland.

119

Ett beslut om adekvat skyddsnivå som antagits av kommissionen i enlighet med artikel 45.3 DSF kan emellertid inte hindra personer vars personuppgifter har överförts eller kan komma att överföras till ett tredjeland från att, med tillämpning av artikel 77.1 DSF, vända sig till den behöriga nationella tillsynsmyndigheten med klagomål avseende skyddet för deras rättigheter och friheter när det gäller behandlingen av dessa uppgifter. Ett sådant beslut kan inte heller omintetgöra eller inskränka de nationella tillsynsmyndigheternas uttryckliga befogenheter enligt artikel 8.3 i stadgan samt artiklarna 51.1 och 57.1 a i nämnda förordning. (se, analogt, beträffande artikel 28 i direktiv 95/46, dom av den 6 oktober 2015, Schrems, C‑362/14, EU:C:2015:650, punkt 53).

120

Även när det föreligger ett kommissionsbeslut om adekvat skyddsnivå ska den behöriga nationella tillsynsmyndigheten – till vilken en person har ingett klagomål angående skyddet för sina fri- och rättigheter med avseende på behandlingen av personuppgifter som rör honom eller henne – kunna göra en fullständigt oberoende prövning av huruvida överföringen av uppgifterna uppfyller de krav som uppställs i DSF och, i förekommande fall, inleda ett förfarande vid nationella domstolar i syfte att dessa domstolar, om de delar myndighetens tvivel angående giltigheten av beslutet om adekvat skydd, ska kunna hänskjuta en begäran om förhandsavgörande för att få beslutets giltighet prövad (se, analogt, beträffande artiklarna 25.6 och 28 i direktiv 95/46, dom av den 6 oktober 2015, Schrems, C‑362/14, EU:C:2015:650, punkterna 57 och 65).

121

Mot bakgrund av det ovan anförda ska den åttonde frågan besvaras enligt följande. Artikel 58.2 f och j DSF ska tolkas så, att såvida det inte finns ett giltigt kommissionsbeslut om adekvat skyddsnivå är den behöriga tillsynsmyndigheten skyldig att avbryta eller förbjuda en överföring av uppgifter till ett tredjeland på grundval av standardiserade dataskyddsbestämmelser som antagits av kommissionen, när tillsynsmyndigheten, med beaktande av samtliga omständigheter i samband med denna överföring, anser att dessa klausuler inte iakttas eller inte kan iakttas i det tredjelandet och att det skydd för överförda personuppgifter som krävs enligt unionsrätten, särskilt enligt artiklarna 45 och 46 DSF samt stadgan, inte kan säkerställas med andra medel, förutsatt att den personuppgiftsansvarige eller dennes personuppgiftsbiträde som är etablerade i unionen inte själv har avbrutit eller upphört med överföringen.

122

Den hänskjutande domstolen har ställt den sjunde och den elfte frågan, vilka ska prövas tillsammans, för att få klarhet i huruvida beslutet om standardavtalsklausuler är giltigt mot bakgrund av artiklarna 7, 8 och 47 i stadgan.

123

Såsom framgår av den sjunde frågans lydelse och tillhörande förklaringar i begäran om förhandsavgörande, vill den hänskjutande domstolen särskilt få klarhet i huruvida beslutet om standardavtalsklausuler kan säkerställa en adekvat skyddsnivå för personuppgifter som överförs till tredjeländer, med hänsyn till att de standardiserade dataskyddsbestämmelser som föreskrivs i beslutet inte är bindande för myndigheterna i dessa tredjeländer.

124

I artikel 1 i beslutet om standardavtalsklausuler föreskrivs att de standardiserade dataskyddsbestämmelserna i bilagan till detta beslut ska anses ge tillräckliga garantier för skydd av den personliga integriteten och enskildas grundläggande rättigheter och friheter i enlighet med vad som föreskrivs i artikel 26.2 i direktiv 95/46. Denna sistnämnda bestämmelse har i huvudsak överförts till artikel 46.1 och 46.2 c DSF.

125

Även om dessa klausuler är bindande för den personuppgiftsansvarige som är etablerad i unionen och för mottagaren av överföringen av personuppgifter som är etablerad i ett tredjeland, när de har ingått ett avtal med hänvisning till dessa klausuler, är det emellertid utrett att dessa klausuler inte kan vara bindande för myndigheterna i det tredjelandet, eftersom dessa inte är parter i avtalet.

126

Även om det således finns situationer där mottagaren av en sådan överföring, beroende på rättsläget och gällande praxis i det berörda tredjelandet, kan garantera det nödvändiga skyddet av uppgifter enbart med stöd av de standardiserade dataskyddsbestämmelserna, finns det andra situationer i vilka bestämmelserna i dessa klausuler inte kan vara ett tillräckligt medel för att i praktiken säkerställa ett effektivt skydd av de personuppgifter som överförs till det berörda tredjelandet. Så är bland annat fallet när lagstiftningen i det tredjelandet tillåter att myndigheterna i detta tredjeland gör ingrepp i de registrerade personernas rättigheter avseende dessa uppgifter.

127

Frågan uppkommer således huruvida ett beslut av kommissionen angående standardiserade dataskyddsbestämmelser, som antagits med stöd av artikel 46.2 c DSF, är ogiltigt om beslutet inte innehåller några garantier som kan göras gällande mot offentliga myndigheter i tredjeländer till vilka personuppgifter överförs eller skulle kunna överföras med stöd av dessa dataskyddsbestämmelser.

128

I artikel 46.1 DSF föreskrivs att i avsaknad av ett beslut om adekvat skyddsnivå, får en personuppgiftsansvarig eller ett personuppgiftsbiträde endast överföra personuppgifter till ett tredjeland efter att ha vidtagit lämpliga skyddsåtgärder, och på villkor att lagstadgade rättigheter och effektiva rättsmedel för registrerade finns tillgängliga. Enligt artikel 46.2 c i förordningen kan dessa skyddsåtgärder tillhandahållas genom standardiserade dataskyddsbestämmelser som antas av kommissionen. I dessa bestämmelser anges emellertid inte att samtliga dessa skyddsåtgärder nödvändigtvis måste föreskrivas i ett beslut av kommissionen såsom beslutet om standardavtalsklausuler.

129

Det ska härvid påpekas att ett sådant beslut skiljer sig från ett beslut om adekvat skyddsnivå som antagits med stöd av artikel 45.3 DSF, vilket, efter en prövning av lagstiftningen i det berörda tredjelandet med beaktande av bland annat relevant nationell lagstiftning avseende nationell säkerhet och offentliga myndigheters åtkomst till personuppgifter, syftar till att med bindande verkan fastställa att ett tredjeland, ett territorium eller en eller flera specificerade sektorer inom det landet säkerställer en adekvat skyddsnivå. Det förhållandet att det tredjelandets myndigheter har åtkomst till sådana uppgifter utgör därför inte hinder för att överföra dessa uppgifter till detta tredjeland. Ett sådant beslut om adekvat skyddsnivå kan således endast antas av kommissionen under förutsättning att den har slagit fast att den relevanta lagstiftningen i detta tredjeland verkligen innehåller samtliga nödvändiga skyddsåtgärder som gör det möjligt att anse att lagstiftningen säkerställer en adekvat skyddsnivå.

130

När det däremot gäller ett beslut av kommissionen att anta standardiserade dataskyddsbestämmelser, såsom beslutet om standardavtalsklausuler, går det inte att utläsa av artikel 46.1 och 46.2 c DSF – eftersom ett sådant beslut inte avser ett tredjeland, ett visst territorium eller en eller flera specificerade sektorer där – att kommissionen, innan den antar ett sådant beslut, är skyldig göra en bedömning av huruvida de tredjeländer till vilka personuppgifter skulle kunna överföras på grundval av sådana klausuler, säkerställer en adekvat skyddsnivå.

131

Domstolen erinrar om att enligt artikel 46.1 DSF ankommer det på den personuppgiftsansvarige eller personuppgiftsbiträdet som är etablerade i unionen, i avsaknad av ett kommissionsbeslut om adekvat skyddsnivå, att bland annat föreskriva lämpliga skyddsåtgärder. I skälen 108 och 114 i nämnda förordning bekräftas att när kommissionen inte har antagit beslut om adekvat skyddsnivå i ett tredjeland bör den personuppgiftsansvarige eller i förekommande fall personuppgiftsbiträdet ”vidta åtgärder för att kompensera för det bristande dataskyddet i ett tredjeland med hjälp av lämpliga skyddsåtgärder för den registrerade”, varvid ”[d]essa skyddsåtgärder bör säkerställa iakttagande av de krav i fråga om dataskydd och registrerades rättigheter som är lämpliga för behandling inom unionen, inbegripet huruvida bindande rättigheter för de registrerade och effektiva rättsmedel är tillgängliga … i unionen eller i ett tredjeland”.

132

Såsom framgår av punkt 125 ovan följer det av den avtalsrättsliga karaktären hos standardiserade dataskyddsbestämmelser att de inte är bindande för offentliga myndigheter i tredjeland, men att det enligt artiklarna 44, 46.1 och 46.2 c DSF, tolkade mot bakgrund av artiklarna 7, 8 och 47 i stadgan, uppställs krav på att skyddsnivån för fysiska personer som säkerställs genom denna förordning inte får undergrävas, vilket innebär att det kan visa sig nödvändigt att komplettera skyddsåtgärderna i dessa standardiserade dataskyddsbestämmelser. I skäl 109 i nämnda förordning anges att ”[p]ersonuppgiftsansvarigas … möjlighet att använda standardiserade dataskyddsbestämmelser som antagits av kommissionen … bör inte hindra att de … lägger till andra bestämmelser eller ytterligare skyddsåtgärder” och det anges särskilt att dessa ”bör uppmuntras att tillhandahålla ytterligare skyddsåtgärder … som kompletterar de standardiserade skyddsbestämmelserna”.

133

Det framgår således att de standardiserade dataskyddsbestämmelser som kommissionen antagit med stöd av artikel 46.2 c i samma förordning endast syftar till att tillhandahålla de personuppgiftsansvariga eller deras personuppgiftsbiträden etablerade i unionen avtalsenliga skyddsåtgärder som tillämpas på ett enhetligt sätt i alla tredjeländer och således oberoende av den skyddsnivå som säkerställs i vart och ett av dessa länder. Eftersom dessa standardiserade dataskyddsbestämmelser, med hänsyn till deras art, inte kan leda till skyddsåtgärder som går utöver en avtalsenlig skyldighet att säkerställa att den skyddsnivå som krävs enligt unionsrätten iakttas, kan det vara nödvändigt, beroende på den situation som råder i ett visst tredjeland, för den personuppgiftsansvarige att vidta ytterligare åtgärder för att säkerställa att skyddsnivån iakttas.

134

Såsom generaladvokaten har påpekat i punkt 126 i sitt förslag till avgörande bygger den avtalsmekanism som föreskrivs i artikel 46.2 c DSF på att den personuppgiftsansvarige eller personuppgiftsbiträdet som är etablerade i unionen är ansvarig eller, i andra hand, den behöriga tillsynsmyndigheten. Det ankommer således framför allt på den personuppgiftsansvarige eller personuppgiftsbiträdet att i varje enskilt fall och, i förekommande fall, i samarbete med mottagaren av överföringen, kontrollera huruvida lagstiftningen i mottagarlandet säkerställer ett lämpligt skydd med hänsyn till unionsrätten för personuppgifter som överförts med stöd av standardiserade dataskyddsbestämmelser och att vid behov tillhandahålla ytterligare skyddsåtgärder utöver dem som erbjuds genom dessa klausuler.

135

Om den personuppgiftsansvarige eller personuppgiftsbiträdet som är etablerade i unionen inte kan vidta ytterligare åtgärder som är tillräckliga för att säkerställa ett sådant skydd, är dessa eller, i andra hand, den behöriga tillsynsmyndigheten, skyldiga att avbryta eller upphöra med överföringen av personuppgifter till det berörda tredjelandet. Så är bland annat fallet när lagstiftningen i det tredjelandet ålägger mottagaren av en överföring av personuppgifter från unionen skyldigheter som strider mot nämnda klausuler, vilket följaktligen kan äventyra den avtalsenliga garantin om adekvat skydd mot att offentliga myndigheter i det berörda tredjelandet får åtkomst till dessa uppgifter.

136

Enbart den omständigheten att standardiserade dataskyddsbestämmelser i ett beslut som kommissionen antagit med stöd av artikel 46.2 c DSF, såsom dataskyddsbestämmelserna i bilagan till beslutet om standardavtalsklausuler, inte är bindande för myndigheterna i sådana tredjeländer till vilka personuppgifter kan komma att överföras påverkar inte det beslutets giltighet.

137

Denna giltighet beror däremot på huruvida ett sådant beslut, i enlighet med kravet i artikel 46.1 och 46.2 c DSF, tolkade mot bakgrund av artiklarna 7, 8 och 47 i stadgan, innehåller effektiva mekanismer som i praktiken gör det möjligt att säkerställa att den skyddsnivå som krävs enligt unionsrätten iakttas och att överföringar av personuppgifter med stöd av sådana dataskyddsbestämmelser avbryts eller förbjuds om dessa bestämmelser åsidosätts eller är omöjliga att iaktta.

138

När det gäller de skyddsåtgärder som föreskrivs i de standardiserade dataskyddsbestämmelserna i bilagan till beslutet om standardavtalsklausuler, framgår det av klausul 4 a och b, klausul 5 a, klausul 9 och klausul 11.1 att den personuppgiftsansvarige som är etablerad i unionen, mottagaren av överföringen av personuppgifter och ett eventuellt personuppgiftsbiträde, förbinder sig ömsesidigt att säkerställa att behandlingen av uppgifterna, inbegripet överföringen av dem, har skett och även i fortsättningen kommer att ske i enlighet med ”tillämplig uppgiftsskyddslagstiftning”. Enligt definitionen i artikel 3 f i detta beslut avses därmed ”sådan lagstiftning som avser att skydda personers grundläggande fri- och rättigheter, särskilt deras personliga integritet i samband med behandling av personuppgifter, och som är tillämplig på [personuppgiftsansvariga] i den medlemsstat där uppgiftsutföraren är etablerad”. Bestämmelserna i DSF, tolkade mot bakgrund av stadgan, utgör en del av denna lagstiftning.

139

Vidare förbinder sig mottagaren av överföringen av personuppgifter, som är etablerad i ett tredjeland, enligt klausul 5 a att omedelbart underrätta den personuppgiftsansvarige som är etablerad i unionen om sin eventuella oförmåga att uppfylla sina skyldigheter enligt det ingångna avtalet. Enligt klausul 5 b ska mottagaren särskilt intyga att vederbörande inte har anledning att förmoda att den lagstiftning som är tillämplig på mottagaren hindrar denne från att uppfylla sina skyldigheter enligt det ingångna avtalet och mottagaren förbinder sig att utan dröjsmål, efter att ha tagit del av dem, underrätta den personuppgiftsansvarige om varje ändring av den nationella lagstiftningen som kan få betydande negativa konsekvenser för de skyddsåtgärder och skyldigheter som tillhandahålls i de standardiserade dataskyddsbestämmelserna i bilagan till beslutet om standardavtalsklausuler. Enligt klausul 5 d punkt i är det tillåtet för mottagaren av en överföring av personuppgifter att underlåta att underrätta den personuppgiftsansvarige som är etablerad i unionen om en bindande begäran från rättsliga myndigheter om utlämnande av personuppgifter, om det föreligger lagstiftning som förhindrar det, såsom ett straffrättsligt förbud som syftar till att skydda sekretess vid brottsutredningar, men vederbörande är emellertid, enligt klausul 5 a i bilagan till beslutet om standardavtalsklausuler, skyldig att informera den personuppgiftsansvarige om att denne inte kan iaktta de standardiserade dataskyddsbestämmelserna.

140

I de två fall som avses i nämnda klausul 5 a och b har den personuppgiftsansvarige som är etablerad i unionen rätt att avbryta överföringen av uppgifter och/eller häva avtalet. Med hänsyn till de krav som följer av artikel 46.1 och 46.2 c DSF, jämförda med artiklarna 7 och 8 i stadgan, är det obligatoriskt för den personuppgiftsansvarige att avbryta överföringen av uppgifter och/eller häva avtalet när mottagaren av överföringen inte kan, eller inte längre kan, iaktta de standardiserade dataskyddsbestämmelserna. I annat fall skulle den personuppgiftsansvarige åsidosätta de krav som åligger denne enligt klausul 4 a i bilagan till beslutet om standardavtalsklausuler, tolkad mot bakgrund av bestämmelserna i DSF och stadgan.

141

Det framgår således att klausulerna 4 a och 5 a och b i denna bilaga innebär en skyldighet för den personuppgiftsansvarige som är etablerad i unionen och för mottagaren av överföringen av personuppgifter att försäkra sig om att lagstiftningen i det mottagande tredjelandet gör det möjligt för mottagaren att följa de standardiserade dataskyddsbestämmelserna i bilagan till beslutet om standardavtalsklausuler, innan vederbörande överför personuppgifter till detta tredjeland. Vad gäller denna kontroll preciseras det i fotnoten till klausul 5 att obligatoriska krav i denna lagstiftning som inte går utöver vad som är nödvändigt i ett demokratiskt samhälle för att bland annat skydda nationell säkerhet, försvaret och allmän säkerhet, inte strider mot dessa standardiserade dataskyddsbestämmelser. Såsom generaladvokaten har framhållit i punkt 131 i sitt förslag till avgörande ska däremot fullgörandet av en skyldighet enligt lagstiftningen i det mottagande tredjelandet som går utöver vad som är nödvändigt för detta ändamål, anses utgöra ett åsidosättande av dessa klausuler. Aktörernas bedömning av den nödvändiga karaktären av en sådan skyldighet ska i förekommande fall beakta konstaterandet i ett kommissionsbeslut om adekvat skyddsnivå, vilket antagits enligt artikel 45.3 DSF, att den skyddsnivå som säkerställs i det berörda tredjelandet är adekvat.

142

Härav följer att den personuppgiftsansvarige som är etablerad i unionen och mottagaren av överföringen av personuppgifter är skyldiga att i förväg kontrollera att den skyddsnivå som krävs enligt unionsrätten iakttas i det berörda tredjelandet. Mottagaren av denna överföring är i förekommande fall skyldig, enligt nämnda klausul 5 b, att informera den personuppgiftsansvarige om att mottagaren eventuellt inte kan iaktta dessa klausuler, varvid det åligger den personuppgiftsansvarige att avbryta överföringen av uppgifter och/eller häva avtalet.

143

Om mottagaren av överföringen av personuppgifter till ett tredjeland i enlighet med klausul 5 b i bilagan till beslutet om standardavtalsklausuler har underrättat den personuppgiftsansvarige om att lagstiftningen i det berörda tredjelandet inte gör det möjligt för mottagaren att iaktta de standardiserade dataskyddsbestämmelserna i nämnda bilaga, följer det av klausul 12 i nämnda bilaga att de uppgifter som redan har överförts till detta tredjeland jämte kopior av dessa i sin helhet ska återlämnas eller förstöras. Under alla omständigheter föreskrivs i klausul 6 i bilagan en påföljd för åsidosättande av dessa standardklausuler genom att den registrerade ges rätt till ersättning för den lidna skadan.

144

Det ska tilläggas att enligt klausul 4 f i bilagan till beslutet om standardavtalsklausuler förbinder sig den personuppgiftsansvarige som är etablerad i unionen, när särskilda kategorier av uppgifter skulle kunna överföras till ett tredjeland som inte tillhandahåller en adekvat skyddsnivå, att informera den registrerade om detta före överföringen eller så snart som möjligt därefter. Denna information kan göra det möjligt för den registrerade att utöva rätten enligt klausul 3.1 i nämnda bilaga att väcka talan gentemot den personuppgiftsansvarige för att denne ska avbryta den planerade överföringen, häva avtalet med mottagaren av personuppgifterna eller, i förekommande fall, begära att den personuppgiftsansvarige ska återlämna eller förstöra de överförda uppgifterna.

145

Av klausul 4 g i nämnda bilaga följer att för det fall mottagaren av en överföring av personuppgifter underrättar den personuppgiftsansvarige som är etablerad i unionen i enlighet med klausul 5 b i bilagan om att den lagstiftning som berör mottagaren ändrats på ett sätt som kan få betydande negativa konsekvenser för de skyddsåtgärder och de skyldigheter som föreskrivs i de standardiserade dataskyddsbestämmelserna, är den personuppgiftsansvarige skyldig att vidarebefordra denna anmälan till den behöriga tillsynsmyndigheten om den personuppgiftsansvarige trots denna anmälan beslutar att fortsätta överföringen eller häva avbrottet. Vidarebefordran av en sådan anmälan till tillsynsmyndigheten och myndighetens rätt att utföra inspektioner hos mottagaren av överföringen av personuppgifter med tillämpning av klausul 8.2 i bilagan gör det möjligt för tillsynsmyndigheten att kontrollera huruvida det finns anledning att avbryta eller förbjuda den planerade överföringen för att säkerställa en adekvat skyddsnivå.

146

Artikel 4 i beslutet om standardavtalsklausuler, jämförd med skäl 5 i genomförandebeslut 2016/2297, bekräftar härvidlag att beslutet om standardavtalsklausuler inte på något sätt hindrar den behöriga tillsynsmyndigheten från att avbryta eller, i förekommande fall, förbjuda en överföring av personuppgifter till ett tredjeland som äger rum med stöd av de standardiserade dataskyddsbestämmelserna i bilagan till detta beslut. Såsom framgår av svaret på den åttonde frågan är den behöriga tillsynsmyndigheten, såvida det inte finns ett giltigt beslut om adekvat skyddsnivå som antagits av kommissionen enligt artikel 58.2 f och j DSF, skyldig att avbryta eller förbjuda en sådan överföring, om den, mot bakgrund av samtliga omständigheter i samband med denna överföring, anser att dessa klausuler inte iakttas, eller inte kan iakttas, i detta tredjeland och att det skydd för överförda uppgifter som krävs enligt unionsrätten inte kan säkerställas med andra medel, förutsatt att den personuppgiftsansvarige eller dennes personuppgiftsbiträde som är etablerade i unionen inte själv har avbrutit eller upphört med överföringen.

147

Vad gäller den av dataskyddsmyndigheten åberopade omständigheten att överföringar av personuppgifter till ett sådant tredjeland eventuellt skulle kunna bli föremål för olika beslut från tillsynsmyndigheterna i olika medlemsstater, påpekar domstolen att det framgår av artiklarna 55.1 och 57.1 a DSF att uppgiften att säkerställa att förordningen efterlevs i princip tillkommer varje tillsynsmyndighet i respektive medlemsstat. För att undvika att olika beslut skiljer sig åt föreskrivs dessutom i artikel 64.2 i förordningen en möjlighet för en tillsynsmyndighet som anser att överföring av uppgifter till tredjeland generellt ska vara förbjuden att inhämta yttrande från Europeiska dataskyddsstyrelsen (EDPB). Denna myndighet kan enligt artikel 65.1 c i nämnda förordning anta ett bindande beslut, bland annat när en tillsynsmyndighet inte följer ett yttrande som dataskyddsstyrelsen avgett.

148

Härav följer att beslutet om standardavtalsklausuler innehåller effektiva mekanismer som i praktiken gör det möjligt att säkerställa att överföringen av personuppgifter till ett tredjeland med stöd av de standardiserade dataskyddsbestämmelserna i bilagan till detta beslut ska avbrytas eller förbjudas om mottagaren av överföringen inte iakttar nämnda bestämmelser eller inte kan iaktta dem.

149

Mot bakgrund av det ovanstående ska den sjunde och den elfte frågan besvaras enligt följande. Vid prövningen av beslutet om standardavtalsklausuler mot bakgrund av artiklarna 7, 8 och 47 i stadgan har det inte framkommit någon omständighet som påverkar beslutets giltighet.

150

Den hänskjutande domstolen har ställt den nionde frågan för att få klarhet i huruvida och i vilken utsträckning en tillsynsmyndighet i en medlemsstat är bunden av konstaterandet i beslutet om skölden för skydd av privatlivet att Förenta staterna säkerställer en adekvat skyddsnivå. Den hänskjutande domstolen har ställt den fjärde, den femte och den tionde frågan för att få klarhet i huruvida överföringen till Förenta staterna av personuppgifter med stöd av de standardiserade dataskyddsbestämmelserna i bilagan till beslutet om standardavtalsklausuler, med hänsyn till den hänskjutande domstolens egna konstateranden avseende lagstiftningen i Förenta staterna, strider mot de rättigheter som garanteras i artiklarna 7, 8 och 47 i stadgan och i synnerhet huruvida inrättandet av den ombudsman som anges i bilaga III till beslutet om skölden för skydd av privatlivet är förenligt med nämnda artikel 47.

151

Det ska inledningsvis påpekas att även om dataskyddsmyndighetens talan i det nationella målet enbart avser att ifrågasätta giltigheten av beslutet om standardavtalsklausuler, så väcktes denna talan vid den hänskjutande domstolen innan beslutet om skölden för skydd av privatlivet hade antagits. Eftersom den hänskjutande domstolen har ställt den fjärde och den femte frågan för att få klarhet i vilket skydd som enligt artiklarna 7, 8 och 47 i stadgan generellt ska säkerställas i samband med en sådan överföring, ska EU-domstolen därför vid sin prövning beakta följderna av att beslutet om skölden för skydd av privatlivet antagits under tiden. Detta gäller i än högre grad då den hänskjutande domstolen genom sin tionde fråga uttryckligen vill få klarhet i huruvida det skydd som föreskrivs i artikel 47 i stadgan säkerställs genom den ombudsman som nämns i sistnämnda beslut.

152

Det framgår dessutom av uppgifterna i begäran om förhandsavgörande att Facebook Ireland, i det nationella målet, har gjort gällande att beslutet om skölden för skydd av privatlivet har bindande verkningar för dataskyddsmyndigheten när det gäller konstaterandet att Förenta staterna säkerställer en adekvat skyddsnivå och därmed beträffande lagenligheten av en överföring av personuppgifter till detta tredjeland som äger rum med stöd av de standardiserade dataskyddsbestämmelserna i bilagan till beslutet om standardavtalsklausuler.

153

Såsom framgår av punkt 59 i förevarande dom underströk den hänskjutande domstolen i sin dom av den 3 oktober 2017, som bilagts begäran om förhandsavgörande, att den var skyldig att beakta de ändringar i lagstiftningen som skett under tiden från det att talan väcktes till dess att förhandlingen ägde rum vid denna domstol. Den hänskjutande domstolen förefaller således vara skyldig att, för att avgöra det nationella målet, beakta de förändrade omständigheterna till följd av antagandet av beslutet om skölden för skydd av privatlivet och de eventuella bindande verkningarna av det beslutet.

154

Frågan huruvida konstaterandet i beslutet om skölden för skydd av privatlivet angående en adekvat skyddsnivå i Förenta staterna har bindande verkningar är relevant för dels bedömningen av de ovan i punkterna 141 och 142 angivna skyldigheterna som åligger den personuppgiftsansvarige och mottagaren av en överföring till ett tredjeland av personuppgifter med stöd av de standardiserade dataskyddsbestämmelserna i bilagan till beslutet om standardavtalsklausuler, dels bedömningen av de skyldigheter som i förekommande fall åligger tillsynsmyndigheten att avbryta eller förbjuda en sådan överföring.

155

När det gäller de bindande verkningarna av beslutet om skölden för skydd av privatlivet, föreskrivs nämligen i artikel 1.1 i det beslutet att vid tillämpningen av artikel 45.1 DSF ”säkerställer Förenta staterna en adekvat skyddsnivå för personuppgifter som överförs från unionen till organisationer i Förenta staterna inom ramen för skölden för skydd av privatlivet i EU och Förenta staterna”. Enligt artikel 1.3 i beslutet ska personuppgifter anses ha överförts under skydd av denna sköld när de överförs från unionen till organisationer i Förenta staterna som ingår i den förteckning över organisationer som ansluter sig till skölden, som förvaltas och offentliggörs av Förenta staternas handelsministerium i enlighet med avsnitten I och III i de principer som anges i bilaga II till detta beslut.

156

Såsom framgår av den rättspraxis som det erinrats om i punkterna 117 och 118 i förevarande dom är beslutet om skölden för skydd av privatlivet bindande för tillsynsmyndigheterna, eftersom det däri fastställs att Förenta staterna säkerställer en adekvat skyddsnivå. Detta får till följd att överföring av personuppgifter enligt skölden för skydd av privatlivet i Europeiska unionen och Förenta staterna är tillåten. Så länge som detta beslut inte har ogiltigförklarats av EU-domstolen, kan den behöriga tillsynsmyndigheten således inte avbryta eller förbjuda en överföring av personuppgifter till en organisation som anslutit sig till skölden av det skälet att tillsynsmyndigheten, tvärtemot kommissionens bedömning i nämnda beslut, anser att lagstiftningen i Förenta staterna om åtkomst till personuppgifter som överförs enligt skölden och de offentliga myndigheternas användning av dessa personuppgifter i detta tredjeland för ändamål som rör nationell säkerhet, brottsbekämpning och andra ändamål som rör allmänintresset, inte säkerställer en adekvat skyddsnivå.

157

I enlighet med den rättspraxis som det erinrats om i punkterna 119 och 120 i förevarande dom ska den behöriga tillsynsmyndigheten, när en person inger ett klagomål till myndigheten, göra en helt oberoende prövning av huruvida den aktuella överföringen av personuppgifter uppfyller kraven i DSF och, för det fall att den anser att det finns fog för de invändningar som denna person har anfört i syfte att ifrågasätta giltigheten av ett beslut om adekvat skyddsnivå, väcka talan vid nationell domstol i syfte att få den nationella domstolen att vända sig till EU-domstolen med en begäran om förhandsavgörande.

158

Ett klagomål enligt artikel 77.1 DSF, genom vilket en person, vars personuppgifter har överförts eller kan komma att överföras till ett tredjeland, gör gällande att lagstiftning och praxis i det landet inte säkerställer en adekvat skyddsnivå trots kommissionens konstaterande i ett beslut som antagits med stöd av artikel 45.3 i denna förordning, ska nämligen förstås så, att det i huvudsak avser beslutets förenlighet med skyddet för privatlivet och enskildas grundläggande fri- och rättigheter (se, analogt, beträffande artikel 25.6 och artikel 28.4 i direktiv 95/46, dom av den 6 oktober 2015, Schrems, C‑362/14, EU:C:2015:650, punkt 59).

159

I förevarande fall har Maximillian Schrems begärt att dataskyddsmyndigheten ska förbjuda eller avbryta överföringen av hans personuppgifter till Facebook Inc., etablerat i Förenta staterna, med motiveringen att detta tredjeland inte säkerställer en adekvat skyddsnivå. Efter en utredning av Maximillian Schrems påståenden väckte dataskyddsmyndigheten talan vid den hänskjutande domstolen, och denna domstol förefaller, mot bakgrund av åberopad bevisning och det kontradiktoriska förfarande som genomförts vid denna domstol, vilja få klarhet i huruvida det finns grund för Maximillian Schrems tvivel vad gäller en adekvat skyddsnivå i detta tredjeland, trots det konstaterande som kommissionen under tiden gjort i beslutet om skölden för skydd av privatlivet. Detta förhållande har föranlett den hänskjutande domstolen att ställa den fjärde, den femte och den tionde tolkningsfrågan till domstolen.

160

Såsom generaladvokaten har påpekat i punkt 175 i sitt förslag till avgörande ska dessa tolkningsfrågor således förstås så, att de i huvudsak ifrågasätter kommissionens konstaterande, i beslutet om skölden för skydd av privatlivet, att Förenta staterna säkerställer en adekvat skyddsnivå för de personuppgifter som överförs från unionen till detta tredjeland, och därmed beslutets giltighet.

161

Mot bakgrund av de omständigheter som angetts i punkterna 121 och 157–160 ovan och i syfte att ge den hänskjutande domstolen ett fullständigt svar, ska det således prövas huruvida beslutet om skölden för skydd av privatlivet uppfyller de krav som följer av DSF, jämförd med stadgan (se, analogt, dom av den 6 oktober 2015, Schrems, C‑362/14, EU:C:2015:650, punkt 67).

162

För att kommissionen ska kunna anta ett beslut om adekvat skyddsnivå enligt artikel 45.3 DSF krävs det att kommissionen genom ett vederbörligen motiverat konstaterande har fastställt att det berörda tredjelandet, genom sin interna lagstiftning eller på grund av sina internationella åtaganden, faktiskt säkerställer en skyddsnivå för de grundläggande rättigheterna som är väsentligen likvärdig med den som garanteras i unionens rättsordning (se, analogt, beträffande artikel 25.6 i direktiv 95/46, dom av den 6 oktober 2015, Schrems, C‑362/14, EU:C:2015:650, punkt 96).

163

Kommissionen har i artikel 1.1 i beslutet om skölden för skydd av privatlivet konstaterat att Förenta staterna säkerställer en adekvat skyddsnivå för personuppgifter som överförs från unionen till organisationer i Förenta staterna inom ramen för skölden för skydd av privatlivet i Europeiska unionen och Förenta staterna. Enligt artikel 1.2 i detta beslut innefattar skölden för skydd av privatlivet bland annat de principer som angavs av Förenta staternas handelsministerium den 7 juli 2016, vilka återfinns i beslutets bilaga II, samt de officiella utfästelser och åtaganden som ingår i de dokument som anges i bilagorna I samt III–VII till nämnda beslut.

164

I beslutet om skölden för skydd av privatlivet anges emellertid mer specifikt, i punkt I.5. i beslutets bilaga II, som har rubriken ”Övergripande principer för skölden för skydd av privatlivet i [Europeiska unionen] och Förenta staterna”, att efterlevnaden av dessa principer kan begränsas bland annat med hänsyn till ”krav i fråga om nationell säkerhet, allmänintresset och rättsefterlevnaden”. I detta beslut slås, i likhet med beslut 2000/520, därmed fast att dessa krav har företräde framför dessa principer. Detta innebär att självcertifierade amerikanska organisationer som erhåller personuppgifter från unionen är skyldiga att utan inskränkning frångå dessa principer när de står i konflikt med ovannämnda krav, och således visar sig vara oförenliga med kraven (se, analogt, beträffande beslut 2000/520, dom av den 6 oktober 2015, Schrems, C‑362/14, EU:C:2015:650, punkt 86).

165

Undantaget i punkt I.5. i bilaga II till beslutet om skölden för skydd av privatlivet är av generell karaktär och möjliggör således ingrepp – grundade på krav avseende nationell säkerhet och allmänintresset eller intern lagstiftning i Förenta staterna – i de grundläggande rättigheterna för personer vilkas personuppgifter överförs eller kan komma att överföras från unionen till Förenta staterna (se, analogt, beträffande beslut 2000/520, dom av den 6 oktober 2015, Schrems, C‑362/14, EU:C:2015:650, punkt 87). Såsom konstaterats i beslutet om skölden för skydd av privatlivet kan sådana ingrepp i synnerhet följa av åtkomsten till de personuppgifter som överförs från unionen till Förenta staterna och av de amerikanska myndigheternas användning av dessa uppgifter inom ramen för övervakningsprogrammen Prism och Upstream som grundar sig på section 702 FISA och på E.O. 12333.

166

I detta sammanhang har kommissionen i skälen 67–135 i beslutet om skölden för skydd av privatlivet analyserat begränsningarna och garantierna i Förenta staternas lagstiftning, särskilt section 702 FISA, E.O.12333 och PPD-28, när det gäller myndigheternas åtkomst i Förenta staterna till personuppgifter som överförs inom ramen för skölden för skydd av privatlivet i Europeiska unionen och Förenta staterna och användningen av dessa uppgifter för ändamål som rör nationell säkerhet, brottsbekämpning och andra ändamål som rör allmänintresset.

167

Efter denna analys drog kommissionen i skäl 136 i detta beslut slutsatsen att ”Förenta staterna säkerställer en adekvat skyddsnivå för skydd av personuppgifter som överförs från unionen till självcertifierade organisationer i Förenta staterna” och fann i skäl 140 i nämnda beslut att ”på grundval av tillgänglig information om Förenta staternas rättsordning, … anser kommissionen att eventuella ingrepp från Förenta staternas myndigheter i de grundläggande rättigheterna för personer vars uppgifter överförs från unionen till Förenta staterna inom ramen för skölden för ändamål som rör brottsbekämpning, nationell säkerhet eller andra ändamål som rör allmänintresset, samt de påföljande begränsningar som införs för självcertifierade organisationer med avseende på deras anslutning till principerna, begränsas till vad som är absolut nödvändigt för att uppnå det legitima målet i fråga, och att det finns ett effektivt rättsligt skydd mot sådana ingrepp”.

168

Mot bakgrund av de omständigheter som kommissionen har nämnt i beslutet om skölden för skydd av privatlivet och de omständigheter som den hänskjutande domstolen fastställt i det nationella målet, är den hänskjutande domstolen osäker på huruvida lagstiftningen i Förenta staterna faktiskt säkerställer den nivå av adekvat skydd som krävs enligt artikel 45 DSF, jämförd med de grundläggande rättigheter som garanteras i artiklarna 7, 8 och 47 i stadgan. Den hänskjutande domstolen anser särskilt att lagstiftningen i detta tredjeland inte föreskriver de begränsningar och garantier som är nödvändiga med avseende på de ingrepp som är tillåtna enligt den nationella lagstiftningen och inte heller säkerställer ett effektivt domstolsskydd mot sådana ingrepp. I det sistnämnda avseendet har den hänskjutande domstolen påpekat att inrättandet av en ombudsman för skölden för skydd av privatlivet inte kan avhjälpa dessa brister, eftersom ombudsmannen inte kan likställas med en domstol i den mening som avses i artikel 47 i stadgan.

169

Vad för det första gäller artiklarna 7 och 8 i stadgan, som utgör en del av den skyddsnivå som krävs inom unionen, vars efterlevnad kommissionen ska fastställa innan den fattar ett beslut om adekvat skyddsnivå enligt artikel 45.1 DSF, erinrar domstolen om att artikel 7 i stadgan garanterar var och en rätten till respekt för sitt privatliv och familjeliv, sin bostad och sina kommunikationer. I artikel 8.1 i stadgan ges var och en dessutom uttryckligen rätt till skydd av de personuppgifter som rör honom eller henne.

170

Åtkomst till en fysisk persons personuppgifter för lagring eller användning påverkar således denna persons grundläggande rätt till respekt för privatlivet, vilken garanteras i artikel 7 i stadgan. Denna rätt omfattar all information som avser en identifierad eller identifierbar fysisk person. Nämnda behandlingar av personuppgifter omfattas även av artikel 8 i stadgan på grund av att de utgör behandlingar av personuppgifter i den mening som avses i den artikeln och de måste därför uppfylla de krav på skydd av uppgifter som följer av den artikeln (se, för ett liknande resonemang, dom av den 9 november 2010, Volker und Markus Schecke och Eifert, C‑92/09 och C‑93/09, EU:C:2010:662, punkterna 49 och 52, och dom av den 8 april 2014, Digital Rights Ireland m.fl., C‑293/12 och C‑594/12, EU:C:2014:238, punkt 29, samt yttrande 1/15 (PNR-avtal mellan EU och Kanada) av den 26 juli 2017, EU:C:2017:592, punkterna 122 och 123).

171

Domstolen har redan slagit fast att utlämnande av personuppgifter till tredjeman, såsom en myndighet, utgör ett ingrepp i de grundläggande rättigheter som slås fast i artiklarna 7 och 8 i stadgan, oavsett hur de lämnade uppgifterna senare används. Det förhåller sig på samma sätt med lagringen av personuppgifter och åtkomsten till sådana uppgifter i syfte att myndigheter ska använda sig av dem. Det har i detta hänseende föga betydelse huruvida de uppgifter som avser privatlivet är av känslig art eller huruvida de berörda har fått utstå eventuella olägenheter på grund av ingreppet eller inte (se, för ett liknande resonemang, dom av den 20 maj 2003, Österreichischer Rundfunk m.fl., C‑465/00, C‑138/01 och C‑139/01, EU:C:2003:294, punkterna 74 och 75, och dom av den 8 april 2014, Digital Rights Ireland m.fl., C‑293/12 och C‑594/12, EU:C:2014:238, punkterna 33–36, samt yttrande 1/15 (PNR-avtal mellan EU och Kanada) av den 26 juli 2017, EU:C:2017:592, punkterna 124 och 126).

172

De rättigheter som slås fast i artiklarna 7 och 8 i stadgan är emellertid inte några absoluta rättigheter, utan måste bedömas utifrån deras funktion i samhället (se, för ett liknande resonemang, dom av den 9 november 2010, Volker und Markus Schecke och Eifert, C‑92/09 och C‑93/09, EU:C:2010:662, punkt 48 och där angiven rättspraxis, och dom av den 17 oktober 2013, Schwarz, C‑291/12, EU:C:2013:670, punkt 33 och där angiven rättspraxis, samt yttrande 1/15 (PNR-avtal mellan EU och Kanada) av den 26 juli 2017, EU:C:2017:592, punkt 136).

173

Enligt artikel 8.2 i stadgan ska personuppgifter bland annat behandlas ”för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund”.

174

Av artikel 52.1 första meningen i stadgan följer vidare att varje begränsning i utövandet av de rättigheter och friheter som erkänns i stadgan ska vara föreskriven i lag och förenlig med det väsentliga innehållet i dessa rättigheter och friheter. Enligt artikel 52.1 andra meningen i stadgan får begränsningar av dessa rättigheter och friheter, med beaktande av proportionalitetsprincipen, endast göras om de är nödvändiga och faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av unionen eller av behovet av skydd för andra människors rättigheter och friheter.

175

Det ska tilläggas att kravet på att samtliga begränsningar i utövandet av grundläggande rättigheter ska vara föreskrivna i lag, innebär att den rättsliga grund som gör ingreppet i rättigheterna möjligt i sig ska definiera räckvidden av begränsningen i utövandet av den aktuella rättigheten (se yttrande 1/15 (PNR-avtal mellan EU och Kanada) av den 26 juli 2017, EU:C:2017:592, punkt 139 och där angiven rättspraxis).

176

För att uppfylla kravet på proportionalitet, enligt vilket undantag från och inskränkningar i skyddet av personuppgifter ska begränsas till vad som är strikt nödvändigt, måste den aktuella lagstiftning som innebär ett ingrepp innehålla tydliga och precisa bestämmelser som reglerar räckvidden och tillämpningen av den aktuella åtgärden och som fastställer minimikrav, så att de personer vilkas uppgifter har överförts har tillräckliga garantier som möjliggör ett effektivt skydd av deras personuppgifter mot riskerna för missbruk. Lagstiftningen måste i synnerhet precisera under vilka omständigheter och på vilka villkor en åtgärd för behandling av personuppgifter får vidtas, vilket säkerställer att ingreppet begränsas till vad som är strikt nödvändigt. Nödvändigheten av sådana garantier är av än större betydelse när personuppgifterna är föremål för automatisk behandling (se, för ett liknande resonemang, yttrande 1/15 (PNR-avtal mellan EU och Kanada) av den 26 juli 2017, EU:C:2017:592, punkterna 140 och 141 och där angiven rättspraxis).

177

I artikel 45.2 a i DSF preciseras i detta avseende att kommissionen, när den bedömer huruvida ett tredjeland säkerställer en adekvat skyddsnivå, ska beakta bland annat ”faktiska och verkställbara rättigheter för registrerade” vars personuppgifter har överförts.

178

I förevarande fall har kommissionens konstaterande i beslutet om skölden för skydd av privatlivet att Förenta staterna säkerställer en skyddsnivå som är väsentligen likvärdig med den skyddsnivå som garanteras inom unionen enligt DSF, jämförd med artiklarna 7 och 8 i stadgan, ifrågasatts bland annat på grund av att de ingrepp som följer av de övervakningsprogram som grundar sig på section 702 FISA och E.O. 12333 inte omfattas av krav som, med iakttagande av proportionalitetsprincipen, säkerställer en skyddsnivå som är väsentligen likvärdig med den skyddsnivå som garanteras genom artikel 52.1 andra meningen i stadgan. Det ska således prövas huruvida dessa övervakningsprogram genomförs med iakttagande av sådana krav, utan att det är nödvändigt att först kontrollera huruvida detta tredjeland uppfyller villkor som i huvudsak motsvarar dem som föreskrivs i artikel 52.1 första meningen i stadgan.

179

När det gäller de övervakningsprogram som grundar sig på section 702 FISA konstaterade kommissionen, i skäl 109 i beslutet om skölden för skydd av privatlivet, att enligt denna bestämmelse ”godkänner FISC dock inte individuella övervakningsåtgärder, utan snarare övervakningsprogram (såsom Prism och Upstream) på grundval av årliga certifieringar som utarbetas av justitieministern och chefen för den nationella underrättelsetjänsten”. Såsom framgår av samma skäl syftar den kontroll som utförs av FISC således till att kontrollera om dessa övervakningsprogram överensstämmer med syftet att erhålla utländska underrättelseuppgifter, men den avser inte ”huruvida målinriktningen för de utvalda personerna är lämplig för att inhämta utländska underrättelseuppgifter”.

180

Det framgår således att det inte av section 702 FISA går att utläsa att det föreligger några begränsningar av behörigheten enligt denna artikel att genomföra övervakningsprogram för att inhämta utländska underrättelseuppgifter, och inte heller att det finns några garantier för icke-amerikaner som eventuellt omfattas av dessa program. Mot denna bakgrund kan denna bestämmelse, såsom även generaladvokaten har påpekat i punkterna 291, 292 och 297 i sitt förslag till avgörande, inte säkerställa en skyddsnivå som är väsentligen likvärdig med den som garanteras i stadgan, såsom den tolkats i den rättspraxis som anges i punkterna 175 och 176 ovan. Enligt denna rättspraxis måste en rättslig grund som gör ingreppet i de grundläggande rättigheterna möjligt – för att uppfylla kraven enligt proportionalitetsprincipen – i sig definiera räckvidden av begränsningen i utövandet av den aktuella rättigheten och innehålla tydliga och precisa bestämmelser som reglerar räckvidden och tillämpningen av den aktuella åtgärden samt fastställer minimikrav.

181

Enligt konstaterandena i beslutet om skölden för skydd av privatlivet måste övervakningsprogrammen som grundas på section 702 FISA visserligen genomföras med iakttagande av kraven enligt PPD-28. Även om kommissionen i skälen 69 och 77 i beslutet om skölden för skydd av privatlivet har framhållit att kraven som följer av PPD-28 är bindande för de amerikanska underrättelsetjänsterna, har emellertid den amerikanska regeringen som svar på en fråga från EU-domstolen medgett att PPD-28 inte ger registrerade personer bindande rättigheter som kan göras gällande mot amerikanska myndigheter. PPD-28 kan således inte säkerställa en skyddsnivå som är väsentligen likvärdig med den som följer av stadgan, vilket strider mot kraven enligt artikel 45.2 a DSF. Enligt denna bestämmelse är bedömningen av om en sådan nivå föreligger beroende av bland annat förekomsten av faktiska och verkställbara rättigheter för registrerade vars personuppgifter har överförts till det berörda tredjelandet.

182

Vad gäller de övervakningsprogram som grundar sig på E.O. 12333 framgår det av handlingarna i målet att det dekretet inte heller ger några rättigheter som kan göras gällande mot amerikanska myndigheter vid domstol.

183

Det ska tilläggas att PPD-28, som ska iakttas vid tillämpningen av de program som avses i de två föregående punkterna, gör det möjligt att genomföra ”’bulkinsamling’ … av en relativt stor mängd signalunderrättelser under omständigheter där underrättelsegemenskapen inte kan använda en identifierare som är förknippad med ett specifikt mål … för att rikta insamlingen”. Detta har preciserats i en skrivelse av den 21 juni 2016 från den nationella underrättelsetjänsten (Office of the Director of National Intelligence) till amerikanska handelsministeriet och Internationella handelsförvaltningen, vilken återfinns i bilaga VI till beslutet om skölden för skydd av privatlivet. Denna möjlighet – som inom ramen för övervakningsprogram som grundar sig på E.O. 12333 gör det möjligt att få åtkomst till uppgifter som befinner sig i transit till Förenta staterna utan att denna åtkomst är underkastad någon som helst domstolskontroll – fastställs under alla omständigheter inte på ett sätt som tillräckligt tydligt och precist reglerar omfattningen av en sådan bulkinsamling av personuppgifter.

184

Det står således klart att varken section 702 FISA eller E.O. 12333, jämförda med PPD-28, motsvarar de minimikrav som i unionsrätten gäller enligt proportionalitetsprincipen, varför det inte kan anses att de övervakningsprogram som grundar sig på dessa bestämmelser är begränsade till vad som är strikt nödvändigt.

185

Mot denna bakgrund är de begränsningar av skyddet av personuppgifter som följer av Förenta staternas interna bestämmelser om åtkomst till och användning av sådana uppgifter som överförts från unionen till Förenta staterna, vilka kommissionen har bedömt i beslutet om skölden för skydd av privatlivet, inte reglerade på ett sådant sätt att de uppfyller krav som är väsentligen likvärdiga med dem som uppställs i unionsrätten enligt artikel 52.1 andra meningen i stadgan.

186

Vad för det andra gäller artikel 47 i stadgan, vilken även den ingår i den skyddsnivå som krävs i unionen och vars iakttagande kommissionen måste slå fast innan den antar ett beslut om adekvat skyddsnivå enligt artikel 45.1 DSF, ska det erinras om att det i stadgans artikel 47 första stycket föreskrivs att var och en vars unionsrättsligt garanterade fri- och rättigheter har kränkts har rätt till ett effektivt rättsmedel inför en domstol, med beaktande av de villkor som föreskrivs i den artikeln. Enligt andra stycket i denna artikel har var och en rätt att få sin sak prövad inför en oavhängig och opartisk domstol.

187

Enligt fast rättspraxis är själva möjligheten till en effektiv domstolsprövning i syfte att säkerställa iakttagandet av unionsrätten en grundförutsättning för en rättsstat. En lagstiftning i vilken det inte föreskrivs någon möjlighet för enskilda att använda rättsmedel för att erhålla tillgång till, rätta eller radera personuppgifter som rör dem, respekterar inte det väsentliga innehållet i den grundläggande rätten till effektivt domstolsskydd, vilken är stadfäst i artikel 47 i stadgan (dom av den 6 oktober 2015, Schrems,C‑362/14, EU:C:2015:650, punkt 95 och där angiven rättspraxis).

188

Enligt artikel 45.2 a DSF krävs i detta avseende att kommissionen, när den bedömer huruvida ett tredjeland säkerställer en adekvat skyddsnivå, beaktar bland annat möjligheten till ”effektiv administrativ och rättslig prövning för de registrerade vars personuppgifter överförs”. I skäl 104 DSF framhålls i detta avseende att det tredjelandet bör ”säkerställa en effektiv oberoende dataskyddsövervakning och sörja för samarbetsmekanismer med medlemsstaternas dataskyddsmyndigheter”, varvid det preciseras att ”de registrerade bör tillförsäkras effektiva och lagstadgade rättigheter samt effektiv administrativ och rättslig prövning”.

189

Förekomsten av sådana möjligheter till effektiv rättslig prövning i det berörda tredjelandet är av särskild betydelse i samband med en överföring av personuppgifter till detta tredjeland, eftersom de registrerade personerna, såsom framgår av skäl 116 DSF, kan hamna i den situationen att medlemsstaternas administrativa och rättsliga myndigheter inte har tillräckliga befogenheter och resurser för att kunna vidta åtgärder med anledning av deras klagomål som grundar sig på en påstått olaglig behandling av deras överförda personuppgifter i detta tredjeland. Detta kan göra det nödvändigt för de registrerade att vända sig till de nationella myndigheterna och de nationella domstolarna i det tredjelandet.

190

I förevarande fall har kommissionens konstaterande i beslutet om skölden för skydd av privatlivet, att Förenta staterna säkerställer en skyddsnivå som är väsentligen likvärdig med den som garanteras i artikel 47 i stadgan, ifrågasatts bland annat på grund av att inrättandet av en ombudsman för skölden inte kan avhjälpa de brister som kommissionen själv har konstaterat vad gäller domstolsskydd för personer vars personuppgifter överförs till detta tredjeland.

191

Kommissionen har i skäl 115 i beslutet om skölden för skydd av privatlivet påpekat att även om ”[e]nskilda personer, inklusive registrerade i [unionen], har … ett antal möjligheter till rättslig prövning när de har varit föremål för olaglig (elektronisk) övervakning av nationella säkerhetsskäl, [står] det … också klart att åtminstone några av de rättsliga grunder som Förenta staternas underrättelsemyndigheter kan tillämpa (t.ex. E.O. 12333) inte omfattas.” När det gäller E.O. 12333 har kommissionen i nämnda skäl 115 lagt tyngdpunkten på att det helt saknas rättsmedel. Enligt den rättspraxis som det har erinrats om i punkt 187 i förevarande dom utgör ett sådant bristande domstolsskydd med avseende på ingrepp i samband med de program för underrättelseinhämtning som grundar sig på detta presidentdekret hinder för slutsatsen, som kommissionen har dragit i beslutet om skölden för skydd av privatlivet, att Förenta staternas lagstiftning säkerställer en skyddsnivå som är väsentligen likvärdig med den som garanteras i artikel 47 i stadgan.

192

Vad vidare gäller övervakningsprogram som grundar sig på section 702 FISA och de övervakningsprogram som grundar sig på E.O. 12333, har det påpekats i punkterna 181 och 182 i denna dom att vare sig PPD-28 eller E.O. 12333 ger de registrerade rättigheter som kan göras gällande mot amerikanska myndigheter i domstol, vilket innebär att dessa personer inte har någon rätt till ett effektivt rättsmedel.

193

Kommissionen har emellertid i skälen 115 och 116 i beslutet om skölden för skydd av privatlivet konstaterat, att på grund av den ombudsmannamekanism som inrättats av de amerikanska myndigheterna, vilken beskrivs i skrivelsen av den 7 juli 2016 från den amerikanska utrikesministern till Europeiska kommissionären för rättsliga frågor, konsumentfrågor och jämställdhet, som återfinns i bilaga III till detta beslut, och arten av det uppdrag som ombudsmannen anförtrotts, i förevarande fall som ”chefssamordnare för internationell it-diplomati”, kunde Förenta staterna anses säkerställa en skyddsnivå som är väsentligen likvärdig med den som garanteras enligt artikel 47 i stadgan.

194

Prövningen av frågan huruvida den ombudsmannamekanism som avses i beslutet om skölden för skydd av privatlivet verkligen kan kompensera för de inskränkningar i rätten till domstolsskydd som konstaterats av kommissionen ska, i enlighet med de krav som följer av artikel 47 i stadgan och den rättspraxis som det erinrats om i punkt 187 ovan, utgå från principen att enskilda ska ha möjlighet att utöva sin rätt till rättslig prövning inför en oavhängig och opartisk domstol för att erhålla tillgång till, rätta eller radera personuppgifter som rör dem.

195

I den skrivelse som nämns i punkt 193 i förevarande dom anges att ombudsmannen för skölden – trots att han eller hon beskrivs som ”oberoende av underrättelsegemenskapen” – ”rapporterar direkt till utrikesministern som ska se till att ombudsmannen utför sina arbetsuppgifter objektivt och fritt från otillbörlig påverkan som kan påverka de svar som ska ges”. Förutom den omständigheten att ombudsmannen, såsom kommissionen har konstaterat i skäl 116 i detta beslut, utses av utrikesministern och utgör en integrerad del av Förenta staternas utrikesdepartement, finns det i nämnda beslut, såsom generaladvokaten har påpekat i punkt 337 i sitt förslag till avgörande, inte något som tyder på att ett återkallat förordnande eller en ogiltigförklaring av ombudsmannens tillsättning skulle omfattas av särskilda garantier, vilket kan äventyra ombudsmannens oavhängighet i förhållande till den verkställande makten (se, för ett liknande resonemang, dom av den 21 januari 2020, Banco de Santander, C‑274/14, EU:C:2020:17, punkterna 60 och 63, och där angiven rättspraxis).

196

Generaladvokaten har vidare, i punkt 338 i sitt förslag till avgörande, påpekat att skäl 120 i beslutet om skölden för skydd av privatlivet visserligen innebär ett åtagande från den amerikanska regeringens sida att se till att den berörda delen av underrättelsetjänsterna är skyldig att åtgärda överträdelser av tillämpliga normer som har upptäckts av ombudsmannen för skölden. Beslutet innehåller emellertid inte någon uppgift om att ombudsmannen skulle vara behörig att fatta bindande beslut i förhållande till dessa myndigheter och beslutet innehåller inte heller någon hänvisning till att åtagandet skulle omfattas av några rättsliga garantier som de registrerade skulle kunna göra gällande.

197

Den ombudsmannamekanism som avses i beslutet om skölden för skydd av privatlivet tillhandahåller således inte något rättsmedel som kan användas inför ett organ som ger personer vars uppgifter överförs till Förenta staterna garantier som är väsentligen likvärdiga med dem som krävs enligt artikel 47 i stadgan.

198

Kommissionen har således åsidosatt de krav som följer av artikel 45.1 DSF, jämförd med artiklarna 7, 8 och 47 i stadgan, genom att i artikel 1.1 i beslutet om skölden för skydd av privatlivet konstatera att Förenta staterna säkerställer en adekvat skyddsnivå för personuppgifter som överförs från unionen till organisationer som är etablerade i detta tredjeland inom ramen för skölden för skydd av privatlivet i Europeiska unionen och Förenta staterna.

199

Härav följer att artikel 1 i beslutet om skölden för skydd av privatlivet strider mot artikel 45.1 DSF, jämförd med artiklarna 7, 8 och 47 i stadgan, och denna artikel är därför ogiltig.

200

Eftersom artikel 1 i beslutet om skölden för skydd av privatlivet inte kan skiljas från artiklarna 2–6 och bilagorna till detta beslut, påverkar denna artikels ogiltighet giltigheten av beslutet i dess helhet.

201

Mot bakgrund av det ovan anförda finner domstolen att beslutet om skölden för skydd av privatlivet är ogiltigt.

202

När det gäller frågan huruvida verkningarna av detta beslut ska bestå för att undvika att det skapas ett rättsligt tomrum (se, för ett liknande resonemang, dom av den 28 april 2016, Borealis Polyolefine m.fl., C‑191/14, C‑192/14, C‑295/14, C‑389/14 och C‑391/14–C‑393/14, EU:C:2016:311, punkt 106), ska det påpekas att en ogiltigförklaring av ett sådant beslut om adekvat skyddsnivå som beslutet om skölden för skydd av privatlivet – med hänsyn till artikel 49 DSF – under alla omständigheter inte kan skapa ett sådant rättsligt tomrum. I denna artikel fastställs nämligen exakt under vilka villkor överföring av personuppgifter till tredjeländer får ske när det saknas ett beslut om adekvat skyddsnivå enligt artikel 45.3 i förordningen eller lämpliga skyddsåtgärder enligt artikel 46 i samma förordning.

203

Eftersom förfarandet i förhållande till parterna i det nationella målet utgör ett led i beredningen av samma mål, ankommer det på den hänskjutande domstolen att besluta om rättegångskostnaderna. De kostnader för att avge yttrande till domstolen som andra än nämnda parter har haft är inte ersättningsgilla.

Mot denna bakgrund beslutar domstolen (stora avdelningen) följande: