Az USA nem biztosítja a személyes adatok megfelelő védelmét
Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.
Az EUB megállapította, hogy az Európai Unió és az Egyesült Államok közötti adatvédelmi pajzsot jóváhagyó bizottsági határozat érvénytelen.
Az alapügy
M. Schrems, Ausztriában lakóhellyel rendelkező osztrák állampolgár 2008 óta felhasználója a Facebook közösségi hálónak (a továbbiakban: Facebook).
Az Unió területén lakó és a Facebookot használni kívánó valamennyi személynek a regisztráció során alá kell írnia egy szerződést az Egyesült Államokban letelepedett Facebook Inc. leányvállalatával, a Facebook Irelanddel. Az Unió területén lakóhellyel rendelkező Facebook‑felhasználókra vonatkozó személyes adatokat részben vagy egészben a Facebook Inc. Egyesült Államokban található szervereire továbbítják, és azokat ott kezelik.
A 2015. december 1‑jén benyújtott ismételt panaszában Schrems többek között arra hivatkozott, hogy az amerikai jog arra kötelezi a Facebook Inc.‑t, hogy a neki továbbított személyes adatokat az amerikai hatóságok, így a National Security Agency (NSA) és a Federal Bureau of Investigation (FBI) rendelkezésére bocsássa. Azt állította, hogy mivel ezeket az adatokat különböző megfigyelési programok keretében a Charta 7., 8. és 47. cikkével összeegyeztethetetlen módon használták fel, az ÁSZF‑határozat nem igazolhatja az említett adatoknak az Egyesült Államokba történő továbbítását. E körülmények között Schrems azt kérte a biztostól, hogy tiltsa meg vagy függessze fel személyes adatainak a Facebook Inc. részére történő továbbítását.
2016. május 24‑én a biztos a vizsgálatának ideiglenes következtetéseit összefoglaló „határozattervezetet” tett közzé. Ebben a tervezetben ideiglenesen úgy ítélte meg, hogy fennáll a veszélye annak, hogy az uniós polgároknak az Egyesült Államokba továbbított személyes adataihoz az amerikai hatóságok olyan módon férnek hozzá, és azokat olyan módon kezelik, amely összeegyeztethetetlen a Charta 7. és 8. cikkével, valamint hogy az Egyesült Államok joga nem biztosít e polgárok számára a Charta 47. cikkével összeegyeztethető jogorvoslati lehetőségeket. A biztos úgy ítélte meg, hogy az ÁSZF‑határozat mellékletében szereplő általános adatvédelmi kikötések nem orvosolják ezt a hiányosságot, mivel az érintett személyek számára kizárólag szerződéses jogokat biztosítanak az adatok átadójával és átvevőjével szemben, anélkül azonban, hogy kötnék az amerikai hatóságokat.
Mivel a biztos úgy vélte, hogy e körülmények között Schrems újrafogalmazott panasza felvetette az ÁSZF‑határozat érvényességének kérdését, 2016. május 31‑én a High Courthoz (felsőbíróság) fordult a 2015. október 6‑i Schrems ítéletből (C‑362/14, EU:C:2015:650, 65. pont) eredő ítélkezési gyakorlatra támaszkodva, annak érdekében, hogy a High Court forduljon előzetes döntéshozatali kérelemmel az EUB-hoz.
Az EUB döntése
A Facebook Ireland, valamint a német kormány és az Egyesült Királyság kormánya arra hivatkozik, hogy az előzetes döntéshozatal iránti kérelem elfogadhatatlan.
A jelen ügyben az előzetes döntéshozatal iránti kérelem elegendő ténybeli és jogi elemet tartalmaz az előzetes döntéshozatalra előterjesztett kérdések terjedelmének megértéséhez.
Személyes adatok továbbítása harmadik országba
A kérdést előterjesztő bíróság lényegében arra várt választ, hogy a GDPR 2. cikkének (1) bekezdését és 2. cikke (2) bekezdésének a), b) és d) pontját az EUSZ 4. cikk (2) bekezdésével összefüggésben úgy kell‑e értelmezni, hogy e rendelet hatálya alá tartozik a személyes adatoknak a valamely tagállamban letelepedett gazdasági szereplő által harmadik országban letelepedett másik gazdasági szereplő részére végzett továbbítása, amennyiben ezeket az adatokat e továbbítás során vagy azt követően ezen ország hatóságai közbiztonsági, honvédelmi és nemzetbiztonsági célból kezelhetik.
Az EUB megállapította, hogy a személyes adatok valamely tagállamból egy harmadik országba való továbbítására irányuló művelet önmagában a GDPR 4. cikkének 2. pontja értelmében vett, valamely tagállam területén végzett személyesadat‑kezelésnek minősül, amelyre a GDPR alkalmazandó.
Az EUB úgy ítélte meg, hogy a jelen ügyben, mivel a személyes adatoknak a Facebook Ireland által a Facebook Inc. részére, azaz két jogi személy között történő továbbítását a Facebook Ireland végzi, e továbbítás nem tartozik a GDPR 2. cikke (2) bekezdése c) pontjának hatálya alá, amely a természetes személyek által kizárólag személyes vagy otthoni tevékenységük keretében végzett adatkezelésre vonatkozik. Az említett adattovábbítás nem tartozik az e rendelet 2. cikke (2) bekezdésének a), b) és d) pontjában szereplő kivételek közé sem, mivel az ott példaként említett tevékenységek minden esetben az állam vagy az állami hatóságok sajátos tevékenységei, és nem tartoznak a magánszemélyek tevékenységei közé.
Márpedig az a lehetőség, hogy a két gazdasági szereplő között kereskedelmi célból továbbított személyes adatokat a továbbítás során vagy azt követően az érintett harmadik ország hatóságai által közbiztonsági, honvédelmi és nemzetbiztonsági célból adatkezelés alá vonhatják, nem zárhatja ki az említett továbbítást a GDPR hatálya alól.
A GDPR 45. cikke (2) bekezdése a) pontjának szövege is azáltal, hogy kifejezetten arra kötelezi a Bizottságot, hogy a harmadik ország által biztosított védelmi szint megfelelőségének értékelése során vegye figyelembe többek között „a vonatkozó általános és ágazati jogszabályok[at], köztük a közbiztonságra, a védelemre, valamint a nemzetbiztonságra vonatkozó és a büntetőjogi rendelkezések[et], a közhatalmi szerveknek a személyes adatokhoz való hozzáférését szabályozó rendelkezések[et], valamint e jogszabályok végrehajtás[át]”, arra helyezi a hangsúlyt, hogy a valamely harmadik ország által közbiztonsági, honvédelmi és nemzetbiztonsági célból történő adatkezelés nem kérdőjelezi meg, hogy az említett rendelet alkalmazható a szóban forgó adattovábbításra.
A megfelelő védelmi szint
A kérdést előterjesztő bíróság lényegében a személyes adatok harmadik országba történő, általános adatvédelmi kikötéseken alapuló továbbítása keretében a GDPR 46. cikkének (1) bekezdésében és 46. cikke (2) bekezdésének c) pontjában megkövetelt védelmi szintről kérdezte az EUB-ot. Azt kérte, hogy az EUB pontosítsa azokat az elemeket, amelyeket figyelembe kell venni annak meghatározása érdekében, hogy e védelmi szint biztosított‑e az ilyen adattovábbítással összefüggésben.
Ami a védelem megkövetelt szintjét illeti, e rendelkezések együttes olvasatából az következik, hogy a GPDR 45. cikkének (3) bekezdése alapján elfogadott megfelelőségi határozat hiányában az adatkezelő vagy az adatfeldolgozó csak akkor továbbíthat személyes adatokat harmadik országba, ha az „megfelelő garanciákat” írt elő, és feltéve, hogy az érintett személyek számára „érvényesíthető jogok és hatékony jogorvoslati lehetőségek állnak rendelkezésre”, és e megfelelő garanciákként különösen a Bizottság által elfogadott általános adatvédelmi kikötések szolgálhatnak.
Bár a GDPR 46. cikke nem határozza meg a „megfelelő garanciákra”, az „érvényesíthető jogokra” és a „hatékony jogorvoslati lehetőségekre” való utalásból eredő követelmények jellegét, meg kell állapítani, hogy e cikk a GDPR V. fejezetében szerepel. Következésképpen az említett cikket az GDPR-nak „Az adattovábbításra vonatkozó általános elv” című 44. cikkére tekintettel kell értelmezni, és az úgy rendelkezik, hogy „[a]z [e fejezet] valamennyi rendelkezését alkalmazni kell annak biztosítása érdekében, hogy a természetes személyek számára [az ugyanezen] rendeletben biztosított védelem szintje ne sérüljön”. E védelmi szintet következésképpen az említett fejezet azon rendelkezésétől függetlenül kell biztosítani, amely alapján a személyes adatokat harmadik országba továbbítják.
A GDPR (104) preambulumbekezdése megerősíti, hogy a megfelelő védelmi szintet – úgy kell érteni, mint amely megköveteli, hogy e harmadik ország – belföldi joga, vagy vállalt nemzetközi kötelezettségei alapján – az említett – Chartával összefüggésben értelmezett – rendelet által az Unióban biztosított védelmi szinttel lényegében azonos védelmi szintet biztosítson ténylegesen az alapvető jogok és szabadságok számára.
Amint arra a főtanácsnok az indítványának 115. pontjában rámutatott, hogy e megfelelő garanciáknak olyannak kell lenniük, hogy biztosítsák, hogy azon személyeket, akiknek az adatait az általános adatvédelmi kikötések alapján továbbítják, – mint a megfelelőségi határozaton alapuló adattovábbítás esetében is – az Unióban biztosított védelmi szinttel lényegében azonos védelmi szint illesse meg.
Mivel egyrészt a személyes adatoknak, a valamely tagállamban letelepedett gazdasági szereplő által valamely harmadik országban letelepedett másik gazdasági szereplő részére kereskedelmi célból történő továbbítása – amint az az első kérdésre adott válaszból kitűnik – a GDPR hatálya alá tartozik, másrészt pedig e rendelet – amint az a (10) preambulumbekezdéséből kitűnik – többek között arra irányul, hogy biztosítsa a természetes személyek következetes és magas szintű védelmét az Unión belül, és e célból biztosítsa e személyeknek a személyes adataik kezeléséhez kapcsolódó alapvető jogai és szabadságai védelmére vonatkozó szabályok következetes és egységes alkalmazását az Unió egész területén, az alapvető jogok védelmének az említett rendelet 46. cikkének (1) bekezdésében megkövetelt szintjét ugyanezen rendeletnek – a Charta által biztosított alapvető jogok fényében értelmezett – rendelkezései alapján kell meghatározni.
A GDPR 46. cikkének (1) bekezdése pontosítja, hogy az érintett személyeknek megfelelő garanciákkal, valamint érvényesíthető jogokkal és hatékony jogorvoslati lehetőségekkel kell rendelkezniük.
Az ilyen továbbítással összefüggésben ehhez megkövetelt értékelésnek figyelembe kell vennie többek között mind az Unióban letelepedett adatkezelő vagy az ott letelepedett adatfeldolgozója és a továbbításnak az érintett harmadik országban letelepedett címzettje között létrejött szerződéses kikötéseket, mind pedig – e harmadik ország hatóságainak a továbbított személyes adatokhoz való esetleges hozzáférését illetően – az ezen ország jogrendszerének releváns elemeit.
A személyes adatok továbbításának felfüggesztése vagy megtiltása
A kérdést előterjesztő bíróság lényegében arra kereste a választ, hogy a GDPR 58. cikke (2) bekezdésének f) és j) pontját úgy kell‑e értelmezni, hogy az illetékes felügyeleti hatóság köteles felfüggeszteni vagy megtiltani a személyes adatoknak a Bizottság által elfogadott általános adatvédelmi kikötéseken alapuló, harmadik országba irányuló továbbítását, amennyiben e felügyeleti hatóság úgy ítéli meg, hogy e kikötéseket e harmadik országban nem tartják be, vagy azokat ott nem lehet tiszteletben tartani, és hogy a továbbított adatok védelme, amelyet az uniós jog, különösen a GDPR 45. és 46. cikke, valamint a Charta megkövetel, nem biztosítható, vagy abban az értelemben, hogy e hatáskörök gyakorlása csak kivételes esetekre korlátozódik.
Az EU Alapjogi Chartájának 8. cikke (3) bekezdésének, valamint a GDPR 51. cikke (1) bekezdésének és 57. cikke (1) bekezdése a) pontjának megfelelően a nemzeti felügyeleti hatóságok feladata a személyes adatok kezelése vonatkozásában a természetes személyek védelmére vonatkozó uniós szabályok tiszteletben tartásának ellenőrzése. Ezért mindegyik hatóság hatáskörrel rendelkezik annak ellenőrzésére, hogy a személyes adatoknak azon tagállamból valamely harmadik országba való továbbítása, amelyre a hatóság joghatósága kiterjed, tiszteletben tartja‑e az e rendeletben támasztott követelményeket.
E rendelkezésekből következik, hogy a felügyeleti hatóságok elsődleges feladata, hogy ellenőrizzék a GDPR alkalmazását, és gondoskodjanak annak tiszteletben tartásáról. E feladat ellátása különös jelentőséggel bír a személyes adatok harmadik országba irányuló továbbításával összefüggésben, mivel – amint az e rendelet (116) preambulumbekezdésének szövegéből kitűnik – „[a] személyes adatok uniós külső határokat átlépő továbbításakor megnövekedhet annak a kockázata, hogy a természetes személyek adatvédelmi jogaikat nem képesek gyakorolni, különösen ami az adatok jogellenes felhasználása vagy közlése elleni védelmet illeti”. Ebben az esetben, amint azt ugyanezen preambulumbekezdés kimondja, „a felügyeleti hatóságok nem tudnak az országuk határaikon kívül folyó tevékenységek tekintetében a panaszok kapcsán eljárni vagy vizsgálatot lefolytatni”.
A benyújtott panaszok elbírálása érdekében a GDPR 58. cikkének (1) bekezdése az egyes felügyeleti hatóságokat jelentős vizsgálati hatáskörökkel ruházza fel. Amennyiben egy ilyen hatóság a vizsgálata végén úgy ítéli meg, hogy az érintett személy, akinek a személyes adatait valamely harmadik országba továbbították, ott nem részesül megfelelő szintű védelemben, az uniós jog alapján köteles megfelelően reagálni a megállapított hiányosság orvoslása érdekében, mégpedig függetlenül e hiányosság eredetétől vagy jellegétől. E célból e rendelet 58. cikkének (2) bekezdése felsorolja azokat a különböző korrekciós intézkedéseket, amelyeket a felügyeleti hatóság elfogadhat.
Noha a megfelelő és szükséges eszköz megválasztása a felügyeleti hatóság feladata, és e hatóságnak e választást a személyes adatok szóban forgó továbbítása valamennyi körülményének figyelembevételével kell meghoznia, e hatóságnak a GDPR teljes körű tiszteletben tartásának biztosításában álló feladatát is kellő gondossággal kell ellátnia.
Amint arra a főtanácsnok az indítványának 148. pontjában szintén rámutatott, az említett hatóság e rendelet 58. cikke (2) bekezdésének f) és j) pontja értelmében köteles felfüggeszteni vagy megtiltani a személyes adatok harmadik országba irányuló továbbítását, ha az e továbbítás sajátos körülményeinek összességére tekintettel úgy ítéli meg, hogy az általános adatvédelmi kikötéseket e harmadik országban nem tartják be, vagy azokat ott nem lehet tiszteletben tartani, és hogy a továbbított adatok uniós jog által megkövetelt védelme más eszközzel nem biztosítható, amennyiben az Unióban letelepedett adatkezelő vagy az ott letelepedett adatfeldolgozója maga nem függesztette fel vagy fejezte be az adattovábbítást.
Az EUMSZ 288. cikk negyedik bekezdése értelmében a Bizottság megfelelőségi határozata minden elemében kötelező valamennyi címzett tagállamra nézve, és így valamennyi szervükre is kötelező, amennyiben megállapítja, hogy az érintett harmadik ország megfelelő védelmi szintet biztosít, és az a következménye, hogy engedélyezi ezeket az adattovábbításokat.
Így, amíg az EUBB nem állapítja meg a megfelelőségi határozat érvénytelenségét, a tagállamok és a szerveik, köztük a független felügyeleti hatóságaik, nem fogadhatnak el e határozattal ellentétes olyan intézkedéseket, mint az annak kötelező erejű megállapítására irányuló jogi aktusok, hogy az a harmadik ország, amelyre az említett határozat vonatkozik, nem biztosít megfelelő védelmi szintet.
A Bizottság által a GDPR 45. cikkének (3) bekezdése alapján elfogadott megfelelőségi határozat azonban nem akadályozhatja meg azokat a személyeket, akiknek a személyes adatait valamely harmadik országba továbbították vagy továbbíthatják, hogy a GDPR 77. cikkének (1) bekezdése alapján panaszt nyújtsanak be az illetékes nemzeti felügyeleti hatósághoz ezen adatok kezelése vonatkozásában a jogaik vagy szabadságaik védelmével kapcsolatban.
Így még a Bizottság megfelelőségi határozata esetében is a valamely személy által a rá vonatkozó személyes adatok kezelése vonatkozásában a jogainak vagy szabadságainak védelmével kapcsolatban benyújtott panaszt elbíráló nemzeti felügyeleti hatóságnak jogosultnak kell lennie arra, hogy teljes függetlenséggel megvizsgálja, hogy ezen adattovábbítás tiszteletben tartja‑e a GDPR‑ban támasztott követelményeket, és adott esetben a nemzeti bíróságok előtt keresetet indítson annak érdekében, hogy amennyiben az utóbbiak osztják e hatóságnak a megfelelőségi határozat érvényessége tekintetében fennálló kétségeit, előzetes döntéshozatali eljárást kezdeményezhessenek ezen érvényesség vizsgálata céljából.
A Facebook ÁSZF-re vonatkozó határozat érvényességéről
Az ÁSZF‑határozat 1. cikke úgy rendelkezik, hogy az e rendelet mellékletében szereplő általános szerződési feltételek megfelelő biztosítékot nyújtónak minősülnek, tekintettel az egyének magánélethez való jogának, alapvető jogainak és szabadságjogainak védelmére, valamint a [95/46] irányelv 26. cikkének (2) bekezdése által előírt megfelelő jogok gyakorlására. Ez utóbbi rendelkezést lényegében átvette a GDPR 46. cikkének (1) bekezdése és 46. cikke (2) bekezdésének c) pontja.
Noha e kikötések kötelezőek az Unióban letelepedett adatkezelőre és a személyes adatok továbbításának harmadik országban letelepedett címzettjére nézve abban az esetben, ha e kikötésekre hivatkozva kötöttek szerződést, nem vitatott, hogy az említett kikötések nem kötelezhetik e harmadik ország hatóságait, mivel ez utóbbiak nem szerződő felek.
Amennyiben tehát léteznek olyan helyzetek, amelyekben az ilyen továbbítás címzettje az érintett harmadik országban fennálló jogi helyzettől és gyakorlattól függően képes biztosítani a szükséges adatok védelmét kizárólag az általános adatvédelmi kikötések alapján, léteznek más olyan helyzetek, amelyekben az e kikötésekben szereplő rendelkezések esetleg nem jelenthetnek elegendő eszközt az érintett harmadik országba továbbított személyes adatok hatékony védelmének a gyakorlatban történő biztosítására. Ez az eset áll fenn különösen akkor, ha e harmadik ország joga lehetővé teszi ezen ország hatóságai számára az érintett személyek ezen adatokkal kapcsolatos jogaiba való beavatkozást.
A GDPR 46. cikkének (1) bekezdése előírja, hogy megfelelőségi határozat hiányában az adatkezelő vagy az adatfeldolgozó csak akkor továbbíthat személyes adatokat egy harmadik országba, ha megfelelő garanciákat nyújtott, és feltéve, hogy az érintett személyek érvényesíthető jogokkal és hatékony jogorvoslati lehetőségekkel rendelkeznek. E rendelet 46. cikke (2) bekezdésének c) pontja szerint és e garanciákként különösen a Bizottság által elfogadott általános adatvédelmi kikötések szolgálhatnak. Márpedig e rendelkezések nem írják elő, hogy az említett garanciák összességét szükségszerűen tartalmaznia kell egy olyan bizottsági határozatnak, mint amilyen az ÁSZF‑határozat.
E tekintetben meg kell állapítani, hogy az ilyen határozat különbözik a GDPR 45. cikkének (3) bekezdése alapján elfogadott megfelelőségi határozattól, amely az érintett harmadik ország szabályozásának vizsgálatát követően – figyelembe véve többek között a nemzetbiztonságra és a hatóságok személyes adatokhoz való hozzáférésére vonatkozó releváns jogszabályokat – arra irányul, hogy kötelező erővel állapítsa meg, hogy valamely harmadik ország, ennek valamely területe, vagy egy vagy több meghatározott ágazata megfelelő védelmi szintet biztosít, és hogy ezért az említett harmadik ország hatóságainak ezen adatokhoz való hozzáférése nem képezi akadályát annak, hogy azokat ugyanezen harmadik országba továbbítsák. Ilyen megfelelőségi határozatot a Bizottság tehát csak akkor fogadhat el, ha megállapította, hogy e harmadik ország vonatkozó jogszabályai ténylegesen tartalmazzák az összes olyan szükséges garanciát, amely lehetővé teszi annak megállapítását, hogy megfelelő védelmi szintet biztosít.
Ezzel szemben, ami az általános adatvédelmi kikötéseket elfogadó, ÁSZF‑határozathoz hasonló bizottsági határozatot illeti, amennyiben az ilyen határozat nem valamely harmadik országra, ennek valamely területére, vagy egy vagy több meghatározott ágazatára vonatkozik, a GDPR 46. cikkének (1) bekezdéséből és 46. cikke (2) bekezdésének c) pontjából nem vonható le az a következtetés, hogy a Bizottság az ilyen határozat elfogadása előtt köteles lenne értékelni azon harmadik ország által biztosított védelem szintjének megfelelő jellegét, amelybe a személyes adatokat ilyen kikötések alapján továbbíthatják.
Úgy tűnik tehát, hogy a Bizottság által az ugyanezen rendelet 46. cikke (2) bekezdésének c) pontja alapján elfogadott általános adatvédelmi kikötések kizárólag arra irányulnak, hogy az Unióban letelepedett adatkezelőknek vagy az ott letelepedett adatfeldolgozóiknak minden harmadik országban egységesen alkalmazandó szerződéses garanciákat biztosítsanak, és ennélfogva függetlenül az egyes országokban biztosított védelem szintjétől. Mivel ezen általános adatvédelmi kikötések – jellegükre tekintettel – nem nyújthatnak az uniós jog által megkövetelt védelmi szint tiszteletben tartásának biztosítására irányuló szerződéses kötelezettségen túlmenő garanciákat, az egyes harmadik országokban fennálló helyzettől függően szükségessé tehetik, hogy az adatkezelő további intézkedéseket hozzon e védelmi szint tiszteletben tartásának biztosítása érdekében.
Mindenekelőtt ezen adatkezelőnek vagy adatfeldolgozójának feladata, hogy esetről esetre és adott esetben a továbbítás címzettjével együttműködve ellenőrizze, hogy a célországnak számító harmadik ország joga megfelelő védelmet biztosít‑e az uniós jog tekintetében az általános adatvédelmi kikötések alapján továbbított személyes adatoknak, szükség esetén az e kikötések által biztosított garanciákon felül további garanciákat nyújtva.
Ha az Unióban letelepedett adatkezelő vagy adatfeldolgozója nem hozhat az ilyen védelem biztosításához szükséges további intézkedéseket, az adatkezelő, vagy másodlagosan az illetékes felügyeleti hatóság köteles felfüggeszteni vagy megszüntetni a személyes adatoknak az érintett harmadik országba irányuló továbbítását. Ez az eset áll fenn különösen akkor, ha e harmadik ország joga az Unióból származó személyes adatok továbbításának címzettjével szemben olyan kötelezettségeket ír elő, amelyek ellentétesek az említett kikötésekkel, és amelyek ennélfogva megkérdőjelezhetik az említett harmadik ország hatóságainak ezen adatokhoz való hozzáférésével szembeni megfelelő szintű védelem szerződéses garanciáját.
A bizottsági érvényesség viszont attól függ, hogy a Charta 7., 8. és 47. cikkével összefüggésben értelmezett, a GDPR 46. cikkének (1) bekezdéséből és 46. cikke (2) bekezdésének c) pontjából eredő követelménynek megfelelően az ilyen határozat tartalmaz‑e olyan hatékony mechanizmusokat, amelyek a gyakorlatban lehetővé teszik annak biztosítását, hogy az uniós jog által megkövetelt védelmi szintet tiszteletben tartsák, és hogy a személyes adatok ilyen kikötéseken alapuló továbbítását az e kikötések megsértése, illetve
Az ÁSZF melléklet 4. általános szerződési feltételének g) pontja értelmében az Unióban letelepedett adatkezelő, ha a személyes adatok továbbításának címzettje e melléklet 5. általános szerződési feltételének b) pontja alapján közli vele, hogy a rá vonatkozó jogszabályok olyan módosítás tárgyát képezik, amely jelentősen hátrányos hatással járhat az általános adatvédelmi kikötések által nyújtott biztosítékokra és előírt kötelezettségekre nézve, köteles ezt az értesítést továbbítani az illetékes felügyeleti hatóságnak, ha az említett értesítés ellenére úgy dönt, hogy folytatja az adattovábbítást vagy megszünteti a felfüggesztést. Az ilyen értesítésnek e felügyeleti hatóság részére történő továbbítása, valamint e hatóságnak a személyes adatok továbbításának címzettjével szembeni, ugyanezen melléklet 8. általános szerződési feltételének (2) bekezdése szerinti ellenőrzési joga lehetővé teszi az említett felügyeleti hatóság számára annak ellenőrzését, hogy a megfelelő védelmi szint biztosítása érdekében fel kell‑e függeszteni, vagy meg kell‑e tiltani a tervezett továbbítást.
A fenti megfontolások összességére tekintettel a hetedik és a tizenegyedik kérdésre azt a választ kell adni, hogy az ÁSZF‑határozatnak a Charta 7., 8. és 47. cikkére tekintettel történő vizsgálata nem tárt fel olyan tényezőt, amely e határozat érvényességét érintené.
Az Egyesült Államok által nyújtott védelmi szintről
A kérdést előterjesztő bíróság arra is választ keresett az EUB előtt, hogy kötik‑e, és ha igen, milyen mértékben valamely tagállam felügyeleti hatóságát az AVP‑határozatban szereplő azon megállapítások, amelyek szerint az Egyesült Államok megfelelő védelmi szintet biztosít.
A többi kérdésével a bíróság lényegében arra várt választ, hogy – figyelembe véve az Egyesült Államok jogára vonatkozó saját megállapításait – a személyes adatoknak az ÁSZF‑határozat mellékletében szereplő általános adatvédelmi kikötések alapján történő továbbítása e harmadik országba sérti‑e a Charta 7., 8. és 47. cikkében biztosított jogokat, és különösen azt kérdezi a Bíróságtól, hogy az AVP‑határozat III. mellékletében említett ombudsman létrehozása összeegyeztethető‑e ezen 47. cikkel.
Az AVP‑határozat határozat 1. cikkének (1) bekezdése úgy rendelkezik, hogy a GDPR 45. cikkének (1) bekezdése alkalmazásában „az Egyesült Államok megfelelő szintű védelmet biztosít az [Európai Unió–Egyesült Államok] adatvédelmi pajzs keretében az Unióból az egyesült államokbeli szervezetekhez továbbított személyes adatok tekintetében”.
A jelen ügyben Schrems lényegében azt kérte a biztostól, hogy tiltsa meg vagy függessze fel személyes adatainak a Facebook Ireland által az Egyesült Államokban letelepedett Facebook Inc. részére történő továbbítását, azzal az indokkal, hogy e harmadik ország nem biztosít megfelelő védelmi szintet.
Amint arra a főtanácsnok az indítványának 175. pontjában rámutatott, az ír High Court által előzetes döntéshozatalra előterjesztett kérdéseket úgy kell értelmezni, hogy azok lényegében a Bizottságnak az AVP‑határozatban szereplő azon megállapítását kérdőjelezik meg, amely szerint az Egyesült Államok megfelelő szintű védelmet biztosít az Unióból e harmadik országba továbbított személyes adatok tekintetében, és ennélfogva e határozat érvényességét vonják kétségbe.
A kérdést előterjesztő bíróságnak kétségei vannak azzal kapcsolatban, hogy az Egyesült Államok joga ténylegesen biztosítja‑e a Charta 7., 8. és 47. cikkében biztosított alapvető jogok fényében értelmezett GDPR 45. cikkében előírt megfelelő védelmi szintet. Az USA joga nem írja elő a nemzeti szabályozása által engedélyezett beavatkozások tekintetében szükséges korlátozásokat és garanciákat, valamint az ilyen beavatkozásokkal szembeni hatékony bírói jogvédelmet sem biztosítja. Ez utóbbi tekintetben hozzáteszi, hogy az adatvédelmi pajzs ombudsmanja intézményének létrehozása szerinte nem orvosolhatja e hiányosságokat.
Így valamely természetes személy személyes adataihoz a megőrzésük vagy felhasználásuk érdekében való hozzáférés sérti e személynek a Charta 7. cikkében biztosított, a magánélet tiszteletben tartásához való alapvető jogát, mivel e jog az azonosított vagy azonosítható természetes személyre vonatkozó valamennyi információra vonatkozik. Így a GDPR szerinti személyesadat‑kezelésnek minősülnek.
Azonban a Charta 7. és 8. cikkében biztosított jogok nem korlátlan jogosultságokat jelentenek, hanem azokat a társadalomban betöltött szerepük alapján kell megítélni.
E tekintetben meg kell állapítani azt is, hogy a Charta 8. cikkének (2) bekezdése szerint a személyes adatokat többek között csak „meghatározott célokra, az érintett személy hozzájárulása alapján vagy valamilyen más, a törvényben rögzített jogos okból lehet kezelni”.
Továbbá a Charta 52. cikke (1) bekezdésének első mondata szerint a Chartában elismert jogok és szabadságok gyakorlása csak a törvény által, és e jogok és szabadságok lényeges tartalmának tiszteletben tartásával korlátozható. A Charta 52. cikke (1) bekezdésének második mondata szerint az arányosság elvére figyelemmel, e jogok és szabadságok korlátozására csak akkor és annyiban kerülhet sor, ha és amennyiben az elengedhetetlen és ténylegesen az Unió által elismert általános érdekű célkitűzéseket vagy mások jogainak és szabadságainak védelmét szolgálja.
A FISA 702. cikkén alapuló megfigyelési programokat illetően a Bizottság az AVP‑határozat (109) preambulumbekezdésében megállapította, hogy az említett cikk szerint „a FISC nem egyéni megfigyelési intézkedéseket, hanem megfigyelési programokat (mint a PRISM, UPSTREAM) engedélyez a legfőbb ügyész és a nemzeti hírszerzési igazgató által készített éves tanúsítványok alapján”. Amint az ugyanezen preambulumbekezdésből kitűnik, a FISC által végzett ellenőrzés így annak vizsgálatára irányul, hogy e megfigyelési programok megfelelnek‑e a külföldi hírszerzési információk megszerzésére irányuló célnak, de nem terjed ki arra a kérdésre, hogy „az egyéneket megfelelően veszik‑e célba a külföldi hírszerzési információk megszerzéséhez”.
Az EUB szerint az a lehetőség, amely az amerikai megfigyelési programok keretében megengedi az Egyesült Államokba továbbított adatokhoz való hozzáférést anélkül, hogy e hozzáférés bármiféle bírósági felügyelet alá tartozna, semmi esetre sem szabályozza kellőképpen egyértelműen és pontosan a személyes adatok ilyen tömeges gyűjtésének terjedelmét.
Az EUB emlékeztetett, hogy a Charta 47. cikke előírja, hogy mindenkinek, akinek az Unió joga által biztosított jogait és szabadságait megsértették joga van a bíróság előtti hatékony jogorvoslathoz. E cikk második bekezdése szerint mindenkinek joga van arra, hogy ügyét független és pártatlan bíróság tárgyalja. Az állandó ítélkezési gyakorlat szerint az uniós jogi rendelkezések tiszteletben tartásának biztosítására irányuló hatékony bírói felülvizsgálat fennállása a jogállamiság létének velejárója. Így az olyan szabályozás, amely nem biztosít a jogalany számára semmilyen jogorvoslati lehetőséget abból a célból, hogy a rá vonatkozó személyes adatokhoz hozzáférést kapjon, vagy azokat helyesbíttesse, illetve töröltesse, nem tartja tiszteletben a hatékony bírói jogvédelemhez való jog lényegét.
A Bizottság azonban az AVP‑határozat (115) és (116) preambulumbekezdésében megállapította, hogy az amerikai hatóságok által bevezetett ombudsmani mechanizmus fennállása miatt, úgy tekinthető, hogy az Egyesült Államok a Charta 47. cikkében biztosított védelmi szinttel lényegében azonos védelmi szintet biztosít.
Az adatvédelmi pajzs ombudsmanja „közvetlenül a külügyminiszternek tesz jelentést, aki biztosítja, hogy az ombudsman tárgyilagosan az adandó válasz megváltoztatására alkalmas, helytelen befolyásolásától mentesen láthassa el a feladatát”. Őt a külügyminiszter nevezi ki, és az Egyesült Államok külügyminisztériumának szerves részét képezi, az említett határozatban – amint azt a főtanácsnok az indítványának 337. pontjában megállapította – nincs arra vonatkozó utalás, hogy az ombudsman visszahívásához vagy kinevezésének megszüntetéséhez bármilyen különös garancia kapcsolódna, ami olyan jellegű, hogy megkérdőjelezi az ombudsmannak a végrehajtó hatalomtól való függetlenségét.
A Bizottság azzal, hogy az AVP‑határozat 1. cikkének (1) bekezdésében megállapította, hogy az Egyesült Államok megfelelő szintű védelmet biztosít az Unióból az Európai Unió–Egyesült Államok adatvédelmi pajzs keretében az e harmadik országban letelepedett szervezetek részére továbbított személyes adatok tekintetében, megsértette a Charta 7., 8. és 47. cikkével összefüggésben értelmezett GDPR 45. cikkének (1) bekezdéséből eredő követelményeket. Ebből következik, hogy az AVP‑határozat 1. cikke összeegyeztethetetlen a Charta 7., 8. és 47. cikkével összefüggésben értelmezett GDPR 45. cikkének (1) bekezdésével, és ezért érvénytelen. Ez a cikk elválaszthatatlan a 2–6. cikktől, valamint az AVP határozat mellékleteitől, így az 1. cikk érvénytelensége a határozat egészének érvénytelenségéhez vezet.
(curia.europa.eu)