UNIONIN TUOMIOISTUIMEN TUOMIO (suuri jaosto)
6 päivänä lokakuuta 2015 ( * )
”Ennakkoratkaisupyyntö — Henkilötiedot — Yksilöiden suojelu henkilötietojen käsittelyssä — Euroopan unionin perusoikeuskirja — 7, 8 ja 47 artikla — Direktiivi 95/46/EY — 25 ja 28 artikla — Henkilötietojen siirto kolmansiin maihin — Päätös 2000/520/EY — Henkilötietojen siirto Yhdysvaltoihin — Tietosuojan riittämätön taso — Pätevyys — Luonnollisen henkilön, jonka tiedot on siirretty Euroopan unionista Yhdysvaltoihin, tekemä kantelu — Kansallisten valvontaviranomaisten toimivalta”
Asiassa C‑362/14,
jossa on kyse SEUT 267 artiklaan perustuvasta ennakkoratkaisupyynnöstä, jonka High Court (Irlanti) on esittänyt 17.7.2014 tekemällään päätöksellä, joka on saapunut unionin tuomioistuimeen 25.7.2014, saadakseen ennakkoratkaisun asiassa
Maximillian Schrems
vastaan
Data Protection Commissioner,
Digital Rights Ireland Ltd:n
osallistuessa asian käsittelyyn,
UNIONIN TUOMIOISTUIN (suuri jaosto),
toimien kokoonpanossa: presidentti V. Skouris, varapresidentti K. Lenaerts, jaostojen puheenjohtajat A. Tizzano, R. Silva de Lapuerta, T. von Danwitz (esittelevä tuomari), S. Rodin ja K. Jürimäe sekä tuomarit A. Rosas, E. Juhász, A. Borg Barthet, J. Malenovský, D. Šváby, M. Berger, F. Biltgen ja C. Lycourgos,
julkisasiamies: Y. Bot,
kirjaaja: johtava hallintovirkamies L. Hewlett,
ottaen huomioon kirjallisessa käsittelyssä ja 24.3.2015 pidetyssä istunnossa esitetyn,
ottaen huomioon huomautukset, jotka sille ovat esittäneet
— |
Maximillian Schrems, edustajinaan N. Travers, SC, P. O’Shea, BL, solicitor G. Rudden ja Rechtsanwalt H. Hofmann, |
— |
Data Protection Commissioner, edustajinaan P. McDermott, BL, solicitor S. More O’Ferrall ja solicitor D. Young, |
— |
Digital Rights Ireland Ltd, edustajinaan F. Crehan, BL, solicitor S. McGarr ja solicitor E. McGarr, |
— |
Irlanti, asiamiehinään A. Joyce, B. Counihan ja E. Creedon, avustajanaan D. Fennelly, BL, |
— |
Belgian hallitus, asiamiehinään J.-C. Halleux ja C. Pochet, |
— |
Tšekin hallitus, asiamiehinään M. Smolek ja J. Vláčil, |
— |
Italian hallitus, asiamiehenään G. Palmieri, avustajanaan avvocato dello Stato P. Gentili, |
— |
Itävallan hallitus, asiamiehinään G. Hesse ja G. Kunnert, |
— |
Puolan hallitus, asiamiehinään M. Kamejsza, M. Pawlicka ja B. Majczyna, |
— |
Slovenian hallitus, asiamiehinään A. Grum ja V. Klemenc, |
— |
Yhdistyneen kuningaskunnan hallitus, asiamiehinään L. Christie ja J. Beeko, avustajanaan barrister J. Holmes, |
— |
Euroopan parlamentti, asiamiehinään D. Moore, A. Caiola ja M. Pencheva, |
— |
Euroopan komissio, asiamiehinään B. Schima, B. Martenczuk, B. Smulders ja J. Vondung, |
— |
Euroopan tietosuojavaltuutettu (EDPS), asiamiehinään C. Docksey, A. Buchta ja V. Pérez Asinari, |
kuultuaan julkisasiamiehen 23.9.2015 pidetyssä istunnossa esittämän ratkaisuehdotuksen,
on antanut seuraavan
tuomion
1 |
Ennakkoratkaisupyyntö koskee yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 24.10.1995 annetun Euroopan parlamentin ja neuvoston direktiivin 95/46/EY (EYVL L 281, s. 31), sellaisena kuin se on muutettuna 29.9.2003 annetulla Euroopan parlamentin ja neuvoston asetuksella (EY) N:o 1882/2003 (EUVL L 284, s. 1; jäljempänä direktiivi 95/46), 25 artiklan 6 kohdan ja 28 artiklan tulkintaa Euroopan unionin perusoikeuskirjan (jäljempänä perusoikeuskirja) 7, 8 ja 47 artiklan kannalta ja, pääasiallisesti, direktiivin 95/46 mukaisesti yksityisyyden suojaa koskevien safe harbor ‑periaatteiden antaman suojan riittävyydestä ja niihin liittyvistä Yhdysvaltojen kauppaministeriön julkaisemista tavallisimmista kysymyksistä 26.7.2000 tehdyn komission päätöksen 2000/520/EY (EYVL L 215, s. 7) pätevyyttä. |
2 |
Tämä pyyntö on esitetty asiassa, jossa ovat vastakkain Maximillian Schrems ja Data Protection Commissioner (jäljempänä tietosuojavaltuutettu) ja joka koskee sitä, että viimeksi mainittu on kieltäytynyt tutkimasta kantelua, jonka Schrems on tehnyt sen takia, että Facebook Ireland Ltd (jäljempänä Facebook Ireland) siirtää Yhdysvaltoihin käyttäjiensä henkilötietoja ja säilyttää niitä kyseisessä maassa sijaitsevilla palvelimilla. |
Asiaa koskevat oikeussäännöt
Direktiivi 95/46
3 |
Direktiivin 95/46 johdanto-osan 2, 10, 56, 57, 60, 62 ja 63 perustelukappaleessa todetaan seuraavaa:
– –
– –
– –
– –
|
4 |
Direktiivin 95/46 1, 2, 25, 26, 28 ja 31 artiklassa säädetään seuraavaa: ”1 artikla Direktiivin tavoite 1. Tämän direktiivin mukaisesti jäsenvaltioiden on henkilötietojen käsittelyssä turvattava yksilöille heidän perusoikeutensa ja ‑vapautensa ja erityisesti heidän oikeutensa yksityisyyteen. – – 2 artikla Määritelmät Tässä direktiivissä tarkoitetaan
– –
– – 25 artikla Periaatteet 1. Jäsenvaltioiden on säädettävä siitä, että käsiteltävien tai siirron jälkeen käsiteltäviksi tarkoitettujen henkilötietojen siirto kolmanteen maahan voidaan suorittaa ainoastaan, jos kyseisessä kolmannessa maassa taataan tietosuojan riittävä taso, jollei tämän direktiivin muiden säännösten mukaisesti säädetyistä kansallisista säännöksistä muuta johdu. 2. Kolmannessa maassa taattavan tietosuojan tason riittävyyttä on arvioitava kaikkien tiettyyn siirtoon tai siirtojen ryhmään liittyvien olosuhteiden osalta; erityisesti on otettava huomioon tietojen luonne, suunnitellun käsittelyn tai suunniteltujen käsittelyjen tarkoitus ja kestoaika, alkuperämaa ja lopullinen kohde, kyseisessä kolmannessa maassa voimassa olevat yleiset tai alakohtaiset oikeussäännöt sekä ammattisäännöt ja tässä maassa noudatettavat turvatoimet. 3. Jäsenvaltioiden ja komission on informoitava toisiaan, jos ne arvioivat, että tietyssä kolmannessa maassa ei taata tietosuojan riittävää tasoa 2 kohdan tarkoittamassa merkityksessä. 4. Jos komissio 31 artiklan 2 kohdassa vahvistetun menettelyn mukaisesti toteaa, että tietyssä kolmannessa maassa ei taata tietosuojan riittävää tasoa tämän artiklan 2 kohdassa tarkoitetussa merkityksessä, jäsenvaltioiden on toteutettava tarvittavat toimenpiteet kyseiseen kolmanteen maahan kohdistuvien samanluonteisten siirtojen estämiseksi. 5. Komissio aloittaa sopivalla hetkellä neuvottelut 4 kohdan mukaisesti tehdystä toteamuksesta aiheutuneen tilanteen korjaamiseksi. 6. Komissio voi 31 artiklan 2 kohdassa vahvistetun menettelyn mukaisesti todeta, että tietyssä kolmannessa maassa taataan tietosuojan riittävä taso tämän artiklan 2 kohdan tarkoittamassa merkityksessä, mikä johtuu kyseisen maan sisäisestä lainsäädännöstä tai kansainvälisistä sitoumuksista, jotka on tehty erityisesti 5 kohdassa tarkoitettujen neuvottelujen yhteydessä henkilöiden yksityiselämän ja perusoikeuksien ja ‑vapauksien turvaamiseksi. Jäsenvaltioiden on toteutettava tarvittavat toimenpiteet noudattaakseen komission päätöstä. 26 artikla Poikkeukset 1. Poiketen siitä, mitä 25 artiklassa säädetään, ja jollei erityisissä tapauksissa sovellettavasta kansallisesta lainsäädännöstä muuta johdu, jäsenvaltioiden on säädettävä siitä, että henkilötietojen siirto tai siirtojen sarja sellaiseen kolmanteen maahan, jossa ei taata 25 artiklan 2 kohdassa tarkoitettua tietosuojan riittävää tasoa, voidaan suorittaa sillä edellytyksellä, että
2. Jäsenvaltio voi hyväksyä henkilötietojen siirron tai siirtojen sarjan sellaiseen kolmanteen maahan, jossa ei taata 25 artiklan 2 kohdassa tarkoitettua tietosuojan riittävää tasoa, jos rekisterinpitäjä antaa riittävät takeet henkilöiden yksityisyyden suojasta ja perusoikeuksien ja ‑vapauksien suojasta sekä vastaavien oikeuksien soveltamisesta, sanotun kuitenkaan rajoittamatta 1 kohdan soveltamista; nämä takeet voivat erityisesti johtua soveltuvista sopimuslausekkeista. 3. Kunkin jäsenvaltion on ilmoitettava komissiolle ja muille jäsenvaltioille 2 kohdan mukaisista hyväksymisistään. Jos toinen jäsenvaltio tai komissio ilmaisee asianmukaisesti perustellun vastalauseensa henkilöiden yksityisyyteen ja perusoikeuksiin ja ‑vapauksiin viitaten, komission on toteutettava asianmukaiset toimenpiteet 31 artiklan 2 kohdassa mainitun menettelyn mukaisesti. Jäsenvaltioiden on toteutettava tarvittavat toimenpiteet noudattaakseen komission päätöstä. – – 28 artikla Valvontaviranomainen 1. Kunkin jäsenvaltion on säädettävä siitä, että jäsenvaltioiden tämän direktiivin mukaisesti toteuttamien toimenpiteiden soveltamista sen alueella valvoo yksi tai useampi julkinen viranomainen. Näiden viranomaisten on hoidettava tehtäviään itsenäisesti. 2. Kunkin jäsenvaltion on säädettävä siitä, että valvontaviranomaisia kuullaan henkilöiden oikeuksien ja vapauksien suojaamista henkilötietojen käsittelyssä koskevia lainsäädännöllisiä ja hallinnollisia toimenpiteitä suunniteltaessa. 3. Kullakin valvontaviranomaisella on erityisesti oltava:
Valvontaviranomaisen päätöksi[in], jotka antavat aihetta [muutoksenhakuun], voi [hakea muutosta] tuomioistuim[ilta]. 4. Kuka tahansa henkilö tai häntä edustava yhdistys voi esittää valvontaviranomaiselle oikeuksiensa ja vapauksiensa suojelua henkilötietojen käsittelyn osalta koskevan vaateen. Rekisteröidylle ilmoitetaan vaateen seurauksista. Kuka tahansa henkilö voi erityisesti esittää valvontaviranomaiselle vaateen käsittelyn laillisuuden tarkastamisesta sovellettaessa tämän direktiivin 13 artiklan mukaisesti toteutettuja kansallisia toimenpiteitä. Joka tapauksessa henkilölle on ilmoitettava, että tarkastus on suoritettu. – – 6. Riippumatta kyseessä olevaan käsittelyyn sovellettavasta kansallisesta oikeudesta valvontaviranomainen on toimivaltainen käyttämään jäsenvaltionsa alueella valtuuksia, jotka sille kuuluvat 3 kohdan mukaisesti. Toisen jäsenvaltion viranomainen voi pyytää valvontaviranomaista käyttämään valtuuksiaan. – – 31 artikla – – 2. Jos tähän artiklaan viitataan, sovelletaan [menettelystä komissiolle siirrettyä täytäntöönpanovaltaa käytettäessä 28.6.1999 tehdyn neuvoston] päätöksen 1999/468/EY [(EYVL L 184, s. 23)] 4 ja 7 artiklassa säädettyä menettelyä ottaen huomioon mainitun päätöksen 8 artiklan säännökset. – –” |
Päätös 2000/520
5 |
Komissio teki päätöksen 2000/520 direktiivin 95/46 25 artiklan 6 kohdan nojalla. |
6 |
Päätöksen johdanto-osan toisessa, viidennessä ja kahdeksannessa perustelukappaleessa todetaan seuraavaa:
– –
– –
|
7 |
Päätöksen 2000/520 1–4 artiklassa säädetään seuraavaa: ”1 artikla 1. Direktiivin 95/46/EY 25 artiklan 2 kohdan soveltamiseksi ja kaikkien direktiivin soveltamisalaan kuuluvien toimintojen osalta yksityisyyden suojaa koskevien, tämän päätöksen liitteenä I olevien safe harbor ‑periaatteiden, jäljempänä ’periaatteet’, joita sovelletaan Yhdysvaltojen kauppaministeriön 21 päivänä heinäkuuta 2000 julkaisemien ja tämän päätöksen liitteenä II olevien tavallisimpien kysymysten (Frequently Asked Questions, FAQ), jäljempänä ’FAQ’, tarjoaman ohjauksen mukaisesti, katsotaan varmistavan yhteisöstä Yhdysvaltoihin sijoittautuneille organisaatioille siirrettyjen henkilötietojen riittävän suojelun tason, ottaen huomioon seuraavat Yhdysvaltain kauppaministeriön julkaisemat asiakirjat:
2. Jokaisen tietojen siirron on täytettävä seuraavat edellytykset:
3. Edellä 2 kohdassa mainittujen edellytysten katsotaan kunkin organisaation, joka on ilmoittanut noudattavansa FAQ:iden mukaisesti sovellettavia periaatteita, osalta täyttyvän siitä päivästä alkaen, jona organisaatio antaa Yhdysvaltojen kauppaministeriölle (tai sen nimeämälle) tiedoksi edellä 2 kohdan a alakohdassa tarkoitetun julkisesti ilmoitetun sitoumuksensa ja edellä 2 kohdan b alakohdassa tarkoitetun valtiollisen elimen nimen. 2 artikla Tämä päätös koskee ainoastaan Yhdysvalloissa FAQ:iden mukaisesti sovellettavien periaatteiden tietosuojan riittävyyttä siinä tarkoituksessa, että direktiivin 95/46/EY 25 artiklan 1 kohdan vaatimukset täytettäisiin, eikä sillä ole vaikutusta direktiivin muiden, henkilötietojen käsittelyä jäsenvaltioissa koskevien säännösten, myöskään 4 artiklan, soveltamiseen. 3 artikla 1. Rajoittamatta jäsenvaltioiden toimivaltaisten viranomaisten valtuuksia toteuttaa toimenpiteitä direktiivin 95/46/EY muiden säännösten kuin 25 artiklan noudattamiseksi annettujen kansallisten säännösten noudattamisen varmistamiseksi, jäsenvaltioiden toimivaltaiset viranomaiset voivat käyttää nykyisiä toimivaltuuksiaan keskeyttää organisaatiolle, joka on ilmoittanut noudattavansa FAQ:iden mukaisesti sovellettavia periaatteita, suunnatut tietovirrat yksityishenkilöiden suojelemiseksi heitä koskevien henkilötietojen käsittelemisen osalta tapauksissa, joissa:
Keskeytystoimenpide lakkaa heti, kun FAQ:iden mukaisesti sovellettavien periaatteiden noudattaminen on varmistunut ja asianomaisille toimivaltaisille viranomaisille yhteisössä on siitä ilmoitettu. 2. Jäsenvaltiot ilmoittavat viipymättä komissiolle 1 kohdan nojalla toteutetuista toimenpiteistä. 3. Jäsenvaltiot ja komissio tiedottavat toisilleen myös tapauksista, joissa periaatteiden noudattamisesta Yhdysvalloissa vastuussa olevien elinten toiminta ei varmista FAQ:iden mukaisesti sovellettavien periaatteiden noudattamista. 4. Jos 1, 2 ja 3 kohdan mukaisesti saadut tiedot osoittavat, että jokin FAQ:iden mukaisesti sovellettavien periaatteiden noudattamisesta Yhdysvalloissa vastuussa oleva elin ei tosiasiallisesti täytä tehtäväänsä, komissio tiedottaa asiasta Yhdysvaltojen kauppaministeriölle ja esittää tarvittaessa direktiivin 95/46/EY 31 artiklassa säädetyn menettelyn mukaisesti luonnoksen toimenpiteistä, joiden tarkoituksena on kumota tämä päätös tai lykätä sen soveltamista tai rajoittaa sen soveltamisalaa. 4 artikla 1. Tätä päätöstä voidaan muuttaa milloin tahansa täytäntöönpanosta saatujen kokemusten perusteella ja/tai jos Yhdysvaltojen lainsäädäntö antaa periaatteita ja FAQ:ita paremman suojan. Komissio arvioi tämän päätöksen täytäntöönpanon käytettävissä olevien tietojen perusteella kolme vuotta sen jälkeen, kun se on annettu tiedoksi jäsenvaltioille, ja toimittaa kaikki tärkeät huomiot direktiivin 95/46/EY 31 artiklalla perustetulle komitealle, myös kaiken aineiston, joka voi vaikuttaa tämän päätöksen 1 artiklan säännösten arviointiin direktiivin 95/46/EY 25 artiklassa tarkoitetun riittävän suojan osalta ja kaikki osoitukset siitä, että tätä päätöstä pannaan täytäntöön syrjivästi. 2. Komissio esittää tarvittaessa luonnoksen toimenpiteistä [direktiivin 95/46] 31 artiklassa säädetyn menettelyn mukaisesti.” |
8 |
Päätöksen 2000/520 liitteessä I todetaan seuraavaa: ”Yhdysvaltojen kauppaministeriön 21 päivänä heinäkuuta 2000 antamat safe harbor ‑periaatteet – – Yhdysvaltojen kauppaministeriö – – on laatinut tämän asiakirjan ja tietosuojaperiaatteisiin liittyvät tavallisimmat kysymykset (Frequently Asked Questions, FAQ) osana lakisääteisiä valtuuksiansa tukea, edistää ja kehittää kansainvälistä kauppaa. Periaatteet on laadittu yhdessä elinkeinoelämän ja kuluttajien edustajien kanssa Yhdysvaltojen ja Euroopan unionin välisen kaupankäynnin helpottamiseksi. Ne on tarkoitettu käytettäviksi yksinomaan yhdysvaltalaisissa yrityksissä, jotka saavat henkilötietoja Euroopan unionista ja jotka käyttävät periaatteiden noudattamista keinona safe harbor ‑järjestelmään osallistumiselle asetettujen kelpoisuusvaatimusten täyttämiseksi ja sen luoman tietosuojan riittävyyden olettamuksen saavuttamiseksi. Koska periaatteet on laadittu nimenomaan tätä tarkoitusta varten, niiden käyttö muissa yhteyksissä saattaa olla epäasianmukaista. – – Organisaatiot päättävät täysin vapaaehtoisesti, haluavatko ne liittyä safe harbor ‑järjestelmään, ja ne voidaan hyväksyä järjestelmään eri tavoin. – – Näiden periaatteiden noudattamista voidaan rajoittaa a) siinä määrin kuin se on tarpeen kansallisen turvallisuuden, yleisen edun ja lainsäädännön vaatimusten vuoksi, b) lainsäädännöllä, [asetuksilla] tai oikeuskäytännöllä, joilla syntyy [kyseisten periaatteiden kanssa] ristiriitaisia velvoitteita tai joilla selkeästi annetaan lupa tiettyyn toimintaan, sillä edellytyksellä, että aina tällaista lupaa käyttäessään organisaatio voi osoittaa, että periaatteiden noudattamatta jättäminen rajoittuu siihen, mikä on tarpeen tällaisen lupaan liittyvän oikeutetun ja ensisijaisen tavoitteen täyttämiseksi, c) jos direktiivissä tai jäsenvaltion lainsäädännössä sallitaan poikkeuksia ja jos tällaisia poikkeuksia sovelletaan vastaavissa yhteyksissä. Yksityisyyden suojan kohentamista koskevan tavoitteen mukaisesti organisaatioiden tulisi pyrkiä toteuttamaan nämä periaatteet täysimittaisesti ja avoimesti ja osoittamaan yksityisyyden suojaa koskevassa politiikassaan, missä kohdin edellä b kohdassa sallittuja periaatteiden poikkeuksia sovelletaan säännönmukaisesti. Jos vaihtoehto on sallittu periaatteiden ja/tai Yhdysvaltojen lainsäädännön nojalla, organisaatioiden odotetaan samasta syystä noudattavan tiukempaa suojaa, kun tämä on mahdollista. – –” |
9 |
Päätöksen 2000/520 liitteessä II todetaan seuraavaa: ”Tavallisimmat kysymykset (FAQ:t) – – FAQ 6 – Oma varmennus
FAQ 11 – Riitojen ratkaisu ja järjestelmän täytäntöönpano
– –” |
10 |
Päätöksen 2000/520 liitteessä IV todetaan seuraavaa: ”Yksityisyyden suoja ja vahingonkorvaukset, lakisääteiset luvat sekä yritysfuusiot ja yritysostot Yhdysvaltojen oikeusjärjestelmässä Tämä selvitys on laadittu vastauksena Euroopan komission esittämään selvityspyyntöön, joka koskee seuraaviin osa-alueisiin sovellettavaa Yhdysvaltojen lainsäädäntöä: a) yksityisyyden loukkauksien perusteella vaadittavat vahingonkorvaukset, b) Yhdysvaltojen lakien mukaiset ’nimenomaiset luvat’, jotka koskevat henkilötietojen käyttöä safe harbor ‑periaatteista poikkeavalla tavalla ja c) yritysfuusioiden ja yritysostojen vaikutukset velvollisuuksiin, joiden noudattamiseen on sitouduttu safe harbor ‑periaatteiden mukaisesti. – – B. Nimenomainen lakisääteinen lupa Safe harbor ‑periaatteisiin sisältyy poikkeus silloin, [kun] lainsäädännöstä, hallituksen asetuksista tai oikeuskäytännöstä johtuu ’[kyseisten periaatteiden kanssa] ristiriitaisia velvoitteita tai niissä selkeästi annetaan lupa tiettyyn toimintaan[,] sillä edellytyksellä, että tällaista lupaa käyttäessään organisaatio voi osoittaa, että periaatteiden noudattamatta jättäminen rajoittuu siihen, mikä on tarpeen tällaisen lupaan liittyvän oikeutetun ja ensisijaisen tavoitteen täyttämiseksi’. On selvää, että jos Yhdysvaltojen lainsäädäntö asettaa yhdysvaltalaiselle organisaatiolle safe harbor ‑periaatteiden kanssa ristiriitaisen velvoitteen, organisaation on noudatettava lakia riippumatta siitä, kuuluuko se safe harbor ‑järjestelmään vai ei. Nimenomaisten lupien osalta voidaan todeta, että vaikka safe harbor ‑periaatteiden tarkoituksena on tasoittaa yksityisyyden suojassa Yhdysvaltojen ja Euroopan välillä esiintyviä eroja[,] Yhdysvaltojen on kunnioitettava vaaleilla valittujen lainsäätäjien valtaoikeuksia. Safe harbor ‑periaatteiden ehdottomasta noudattamisesta tehtävällä rajatulla poikkeuksella pyritään ottamaan huomioon molempien osapuolten perustellut edut. Poikkeus rajoittuu tapauksiin, joissa on olemassa nimenomainen lupa. Tämän vuoksi vähimmäisvaatimuksena on, että kyseisessä laissa, asetuksessa tai tuomioistuimen päätöksessä safe harbor ‑organisaatioiden nimenomaisesti sallitaan toimia tietyllä tavalla. Poikkeusta ei siis sovelleta, jos laissa ei ole kyseistä mainintaa. Lisäksi poikkeusta sovellettaisiin vain silloin, kun nimenomainen lupa on ristiriidassa safe harbor ‑periaatteiden noudattamisen kanssa. Tässäkin tapauksessa poikkeus ’rajoittuu siihen, mikä on tarpeen tällaisen lupaan liittyvän oikeutetun ja ensisijaisen tavoitteen täyttämiseksi’. Esimerkiksi tapauksessa, jossa laki sallii yrityksen antaa henkilötietoja valtion viranomaisille, poikkeusta ei sovellettaisi. Sen sijaan tapauksessa, jossa laki antaa yritykselle erityisluvan henkilötietojen antamiseen valtion viranomaisille ilman rekisteröidyn suostumusta, on kysymyksessä ’nimenomainen lupa’ toimia safe harbor ‑periaatteiden vastaisella tavalla. Poikkeuksen piiriin kuuluisivat myös sellaiset tapaukset, joissa erikseen myönnetään poikkeus ilmoitusvelvollisuudesta ja velvollisuudesta hankkia rekisteröidyn suostumus (koska tämä vastaa tapausta, jossa annetaan erityislupa tietojen antamiseen ilman ilmoitusta ja rekisteröidyltä hankittua suostumusta). Esimerkiksi laki, joka antaa lääkäreille luvan ilmoittaa potilaidensa potilastiedot terveysviranomaisille ilman potilailta etukäteen hankittua suostumusta, saattaisi muodostaa poikkeuksen ilmoitus- ja valintaperiaatteista. Lupa ei kuitenkaan antaisi lääkärille oikeutta ilmoittaa samoja potilastietoja terveyspalveluja tuottaville organisaatioille tai kaupallisille lääketutkimuslaboratorioille, jotka eivät lain mukaan kuulu luvan käyttötarkoituksiin eivätkä näin myöskään poikkeuksen soveltamisalaan. Lakisääteiset valtuudet voivat olla yksittäisiä lupia, jotka oikeuttavat käsittelemään henkilötietoja tietyllä tavalla, mutta kuten jäljempänä esitetyistä esimerkeistä käy ilmi, kyseessä on yleensä poikkeus soveltamisalaltaan laajempaan lakiin, jossa säädetään henkilötietojen keruusta, käytöstä ja julkistamisesta. – –” |
Tiedonanto COM(2013) 846 final
11 |
Komissio antoi 27.11.2013 Euroopan parlamentille ja neuvostolle tiedonannon, jonka otsikko on ”Luottamuksen palauttaminen EU:n ja Yhdysvaltojen väliseen tietojen siirtoon” (COM(2013) 846 final, jäljempänä tiedonanto COM(2013) 846 final). Tiedonannon liitteenä oli samoin 27.11.2013 päivätty kertomus, joka sisältää Euroopan unionin ja Yhdysvaltojen tietosuojaa käsittelevän tilapäisen työryhmän EU- yhteispuheenjohtajien päätelmät (”Report on the Findings by the EU Co-chairs of the ad hoc EU-US Working Group on Data Protection”). Kertomus oli laadittu, kuten sen 1 kohdassa todetaan, yhteistyössä Yhdysvaltojen kanssa sen paljastuksen seurauksena, jonka mukaan tässä maassa on useita tarkkailuohjelmia, joihin sisältyy henkilötietojen laajamittaista keruuta ja käsittelyä. Kertomukseen sisältyy muun muassa yksityiskohtainen tarkastelu Yhdysvaltojen oikeusjärjestyksestä siltä osin kuin kyse on erityisesti oikeusperustoista, joissa annetaan lupa tarkkailuohjelmille sekä Yhdysvaltojen viranomaisten toteuttamalle henkilötietojen keruulle ja käsittelylle. |
12 |
Komissio on todennut tiedonannon COM(2013) 846 final 1 kohdassa, että ”kauppaan liittyvistä tiedonsiirtokysymyksistä säädetään päätöksessä [2000/520]” ja että ”tämä päätös muodostaa oikeusperustan siirrettäessä henkilötietoja EU:sta safe harbor ‑periaatteita noudattaville yhdysvaltalaisyrityksille”. Samassa 1 kohdassa komissio on lisäksi korostanut henkilötietojen siirron koko ajan kasvavaa merkitystä, joka liittyy muun muassa digitaalitalouden kehitykseen; tämä kehitys nimittäin on ”johtanut siihen, että laadultaan ja luonteeltaan erilaisten tietojenkäsittelytoimien määrä on kasvanut voimakkaasti”. |
13 |
Tiedonannon 2 kohdassa komissio on huomauttanut, että ”samalla ovat – – lisääntyneet epäilykset siitä, minkä tasoisen suojan [unionin] kansalaisten henkilötiedot saavat, kun ne siirretään Yhdysvaltoihin safe harbor ‑järjestelmän mukaisesti” ja että ”järjestelmän vapaaehtoisuus ja ilmoitusluonteisuus on johtanut siihen, että sen avoimuuteen ja noudattamisen valvontaan on alettu kiinnittää yhä enemmän huomiota”. |
14 |
Komissio on lisäksi todennut samassa 2 kohdassa, että ”Yhdysvaltojen viranomaiset voivat saada käyttöönsä Yhdysvaltoihin safe harbor ‑järjestelmän mukaisesti lähetetyt [unionin] kansalaisten henkilötiedot ja käsitellä niitä edelleen tavalla, joka on ristiriidassa tietojen keruuseen [unionissa] alun perin johtaneiden perusteiden ja niiden tarkoitusten kanssa, joita varten tiedot siirrettiin Yhdysvaltoihin” ja että ”suurin osa niistä yhdysvaltalaisista internet-yrityksistä, joihin [tarkkailuohjelmat] näyttäisivät suoremmin liittyvän, ovat mukana safe harbor ‑järjestelmässä”. |
15 |
Tiedonannon COM(2013) 846 final 3.2 kohdassa komissio on huomauttanut päätöksen 2000/520 toteuttamiseen liittyvistä heikkouksista. Se on todennut yhtäältä, että jotkin safe harbor ‑järjestelmässä mukana olevat yhdysvaltalaisyritykset eivät noudata päätöksen 2000/520 1 artiklan 1 kohdassa tarkoitettuja periaatteita (jäljempänä safe harbor ‑periaatteet) ja että tämän päätöksen yhteydessä on ”pyrittävä toisaalta korjaamaan avoimuuteen ja noudattamisen valvontaan liittyvät rakenteelliset puutteet ja toisaalta tekemään parannuksia itse safe harbor ‑periaatteisiin ja kansallisen turvallisuuden perusteella sallittavia poikkeuksia koskevaan järjestelyyn”. Toisaalta komissio on huomauttanut, että ”safe harbor ‑järjestelmää voidaan käyttää [unionin] kansalaisten henkilötietojen siirtämiseen [unionista] Yhdysvaltoihin myös silloin, kun Yhdysvaltojen tiedusteluviranomaiset velvoittavat yritykset luovuttamaan tietoja tiedustelutietojen keruuohjelmien puitteissa”. |
16 |
Komissio on päätellyt samassa 3.2 kohdassa, että ”kun otetaan huomioon safe harbor ‑järjestelmässä havaitut heikkoudet, on selvää, että sen soveltamista ei voida jatkaa nykyiseen tapaan[;] safe harbor ‑päätöksen kumoaminen vaikuttaisi kuitenkin haitallisesti järjestelmään liittyneiden [unionin] ja Yhdysvaltojen yritysten etuihin”. Lopuksi komissio on todennut edelleen kyseisessä 3.2 kohdassa, että se ”aloittaa viipymättä Yhdysvaltojen viranomaisten kanssa keskustelut todetuista puutteista”. |
Tiedonanto COM(2013) 847 final
17 |
Komissio antoi samana päivänä 27.11.2013 tiedonannon Euroopan parlamentille ja neuvostolle safe harbor ‑järjestelmän toiminnasta EU:n kansalaisten ja EU:hun sijoittautuneiden yritysten näkökulmasta (COM(2013) 847 final, jäljempänä tiedonanto COM(2013) 847 final). Tämän tiedonannon 1 kohdan mukaan tiedonanto perustuu muun muassa Euroopan unionin ja Yhdysvaltojen ad hoc ‑tietosuojatyöryhmässä saatuihin tietoihin ja se on jatkoa komission kahdelle arviointikertomukselle, joista ensimmäinen julkaistiin vuonna 2002 ja toinen vuonna 2004. |
18 |
Tiedonannon 1 kohdassa täsmennetään, että päätöksen 2000/520 toiminta ”perustuu siihen osallistuvien yritysten sitoumuksiin ja omiin varmennuksiin” ja että kyseiseen ”järjestelmään liittyminen on vapaaehtoista, mutta säännöt sitovat yrityksiä, jotka ovat ilmoittaneet noudattavansa niitä”. |
19 |
Tiedonannon COM(2013) 847 final 2.2 kohdasta ilmenee lisäksi, että safe harbor ‑järjestelmässä oli 26.9.2013 mukana 3246 yritystä lukuisilta talouden ja palvelujen aloilta. Nämä yritykset tarjosivat lähinnä palveluja unionin sisämarkkinoilla, erityisesti internetin alalla, ja osa niistä oli unionin yrityksiä, joilla oli tytäryhtiöitä Yhdysvalloissa. Jotkin näistä yrityksistä käsittelivät Euroopassa asuvien työntekijöidensä henkilötietoja, joita siirrettiin Yhdysvaltoihin henkilöstöhallintosyistä. |
20 |
Komissio on korostanut samassa 2.2 kohdassa, että ”jos avoimuudessa tai täytäntöönpanossa ilmenee puutteita Yhdysvalloissa, vastuu siirtyy Euroopan tietosuojaviranomaisille ja safe harbor ‑järjestelmää hyödyntäville yrityksille”. |
21 |
Tiedonannosta COM(2013) 847 final, erityisesti sen 3–5 ja 8 kohdasta, ilmenee, että käytännössä merkittävä osa safe harbor ‑järjestelmässä mukana olleista yrityksistä ei noudattanut tai ei täysin noudattanut safe harbor ‑periaatteita. |
22 |
Lisäksi tiedonannon 7 kohdassa komissio on todennut, että ”kaikki yritykset, jotka osallistuvat PRISM-ohjelmaan [laajamittainen tiedustelutietojen keruuohjelma] ja jotka sallivat Yhdysvaltojen viranomaisten pääsyn Yhdysvalloissa tallennettuihin ja käsiteltyihin tietoihin, näyttävät kuuluvan safe harbor ‑järjestelmään” ja että ”näin safe harbor ‑järjestelmästä on tullut yksi väylistä, joiden kautta Yhdysvaltojen tiedusteluviranomaiset pääsevät keräämään alun perin [unionissa] käsiteltyjä henkilötietoja”. Tässä yhteydessä komissio on todennut kyseisen tiedonannon 7.1 kohdassa, että ”Yhdysvaltojen lainsäädäntö sisältää useita oikeusperustoja, jotka sallivat Yhdysvaltoihin sijoittautuneiden yritysten tallentamien tai muulla tavoin käsittelemien henkilötietojen laajamittaisen keräämisen ja käsittelemisen,” ja että ”koska ohjelmat ovat niin laajamittaisia, Yhdysvaltojen viranomaiset saattavat kerätä ja käsitellä safe harbor ‑järjestelmän mukaisesti siirrettyjä tietoja laajemmin kuin on ehdottoman välttämätöntä ja kohtuullista kansallisen turvallisuuden suojelemiseksi, mikä olisi vastoin [päätöksessä 2000/520] säädettyä poikkeusta”. |
23 |
Tiedonannon COM(2013) 847 final 7.2 kohdassa, jonka otsikko on ”Rajoitukset ja [muutoksenhaku]keinot”, komissio on korostanut, että ”Yhdysvaltojen lainsäädännön mukaiset suojakeinot ovat enimmäkseen vain Yhdysvaltojen kansalaisten ja Yhdysvalloissa laillisesti asuvien käytettävissä” ja että ”[unionin] tai Yhdysvaltojen rekisteröidyillä ei myöskään ole mahdollisuutta saada itseään koskevia tietoja tai saada [niitä] oikaistuksi tai poistetuksi, eivätkä he voi [hakea] hallinto- tai oikeusteitse [muutosta] Yhdysvaltojen [tarkkailu]ohjelmien puitteissa tapahtuva[an] henkilötietojensa [keruuseen ja] edelleenkäsittely[yn]”. |
24 |
Tiedonannon COM(2013) 847 final 8 kohdan mukaan safe harbor ‑järjestelmässä oli mukana ”Googlen, Facebookin, Microsoftin, Applen ja Yahoon kaltais[ia] verkkoyhtiöi[tä]”, joilla on ”Euroopassa satoja miljoonia asiakkaita” ja jotka siirtävät henkilötietoja käsiteltäviksi Yhdysvaltoihin. |
25 |
Komissio on esittänyt samassa 8 kohdassa päätelmänään, että ”koska tiedustelupalvelut ovat keränneet laajamittaisesti safe harbor ‑järjestelmään kuuluvien yritysten Yhdysvaltoihin siirtämiä tietoja, on – – syytä pohtia vakavasti, toteutuvatko eurooppalaisten tietosuojaoikeudet senkin jälkeen, kun heidän tietonsa on siirretty Yhdysvaltoihin”. |
Pääasia ja ennakkoratkaisukysymykset
26 |
Maximillian Schrems, joka on Itävallan kansalainen ja asuu Itävallassa, on ollut Facebook-verkkoyhteisöpalvelun (jäljempänä Facebook) käyttäjä vuodesta 2008. |
27 |
Kukin unionin alueella asuva henkilö, joka haluaa käyttää Facebookia, joutuu siihen liittyessään tekemään sopimuksen Facebook Irelandin kanssa; tämä on Facebook Inc:n, jonka kotipaikka on Yhdysvalloissa, tytäryhtiö. Unionin alueella asuvien Facebookin käyttäjien henkilötiedot siirretään kokonaan tai osittain käsiteltäviksi Facebook Inc:lle kuuluville palvelimille, jotka sijaitsevat Yhdysvaltojen alueella. |
28 |
Schrems teki 25.6.2013 tietosuojavaltuutetulle kantelun, jossa hän pääasiallisesti vaati tätä käyttämään lakisääteistä toimivaltaansa ja kieltämään Facebook Irelandia siirtämästä hänen henkilötietojaan Yhdysvaltoihin. Hänen mielestään tässä maassa voimassa olevat oikeussäännöt ja käytännöt eivät takaa Yhdysvaltojen alueella säilytetyille henkilötiedoille riittävää suojaa viranomaisten siellä harjoittamalta tarkkailutoiminnalta. Schrems viittaa tässä yhteydessä paljastuksiin, jotka Edward Snowden on tehnyt Yhdysvaltojen tiedustelupalvelujen, erityisesti National Security Agencyn (jäljempänä NSA), toiminnasta. |
29 |
Tietosuojavaltuutettu ei katsonut olevansa velvollinen tutkimaan Schremsin kantelussaan esittämiä seikkoja, joten se hylkäsi kantelun perusteettomana. Tietosuojavaltuutetun mukaan nimittäin siitä, että NSA olisi päässyt asianomaisen henkilötietoihin, ei ole näyttöä. Tietosuojavaltuutettu totesi lisäksi, ettei Schremsin kantelussaan esittämiä väitteitä voida pitää tehokkaina, koska kaikki kysymykset henkilötietojen suojan riittävyydestä Yhdysvalloissa on ratkaistava päätöksen 2000/520 mukaisesti ja tässä päätöksessä komissio on todennut Yhdysvaltojen takaavan tietosuojan riittävän tason. |
30 |
Schrems nosti pääasiassa kyseessä olevasta päätöksestä kanteen High Courtissa. Pääasian asianosaisten esittämän näytön tutkittuaan tämä tuomioistuin on todennut, että unionista Yhdysvaltoihin siirrettyjen henkilötietojen sähköinen tarkkailu ja kaappaus vastaavat yleisen edun mukaisia tarpeellisia ja välttämättömiä tavoitteita. Kyseinen tuomioistuin katsoo kuitenkin lisäksi Snowdenin tekemien paljastusten osoittaneen, että NSA ja muut liittovaltion elimet ovat ”ylittäneet hyväksyttävyyden rajat merkittävällä tavalla”. |
31 |
Saman tuomioistuimen mukaan unionin kansalaisilla ei ole mitään tehokasta oikeutta tulla kuulluiksi. Tiedustelupalvelujen toimintaa valvotaan salaisessa menettelyssä, joka ei ole kontradiktorinen. Kun henkilötiedot on siirretty Yhdysvaltoihin, NSA ja muut liittovaltion elimet, kuten Federal Bureau of Investigation (FBI), voivat päästä niihin harjoittamansa laajamittaisen erottelemattoman tarkkailun ja tietokaappauksen yhteydessä. |
32 |
High Court toteaa, että Irlannin oikeudessa kielletään henkilötietojen siirto maan alueen ulkopuolelle paitsi tapauksissa, joissa kyseessä oleva kolmas maa takaa yksityiselämän sekä perusoikeuksien ja ‑vapauksien suojan riittävän tason. Irlannin perustuslaissa taattujen yksityiselämän kunnioittamista ja kotirauhaa koskevien oikeuksien tärkeys edellyttää, että kaikki puuttuminen näihin oikeuksiin on oikeasuhteista ja laissa säädettyjen vaatimusten mukaista. |
33 |
High Courtin mukaan massiivinen ja erottelematon pääsy henkilötietoihin on selvästi vastoin suhteellisuusperiaatetta ja Irlannin perustuslaissa suojattuja perusarvoja. Jotta sähköisen viestinnän kaappausta voitaisiin pitää kyseisen perustuslain mukaisena, olisi osoitettava, että kaappaus on kohdennettua, että tiettyjen henkilöiden tai henkilöryhmien tarkkailu on objektiivisesti perusteltua kansallisen turvallisuuden tai rikollisuuden torjunnan kannalta ja että on olemassa riittävät ja todennettavissa olevat takeet. Näin ollen High Court katsoo, että jos pääasia olisi ratkaistava yksinomaan Irlannin oikeuden perusteella, olisi todettava, että – kun otetaan huomioon, että siitä, takaako Yhdysvallat henkilötietojen suojan riittävän tason, on olemassa vakava epäilys – tietosuojavaltuutetun olisi pitänyt tutkia Schremsin kantelussaan esittämät seikat ja että se on virheellisesti hylännyt kantelun. |
34 |
High Court katsoo kuitenkin, että tämä asia koskee perusoikeuskirjan 51 artiklassa tarkoitettua unionin oikeuden soveltamista, joten pääasiassa kyseessä olevan päätöksen laillisuutta on arvioitava unionin oikeuden kannalta. Kyseisen tuomioistuimen mukaan päätös 2000/520 ei täytä vaatimuksia, jotka johtuvat sekä perusoikeuskirjan 7 ja 8 artiklasta että unionin tuomioistuimen tuomiossa Digital Rights Ireland ym. (C-293/12 ja C-594/12, EU:C:2014:238) esittämistä periaatteista. Yksityiselämän kunnioitusta koskeva oikeus, joka taataan perusoikeuskirjan 7 artiklassa ja jäsenvaltioiden perinteille yhteisissä keskeisissä arvoissa, jäisi täysin merkityksettömäksi, jos valtion viranomaisten sallittaisiin päästä sähköiseen viestintään sattumanvaraisesti ja yleisesti ilman mitään sellaisia objektiivisia perusteluja, jotka perustuisivat kansallista turvallisuutta tai rikollisuuden ehkäisemistä koskeviin asianomaiseen henkilöön erikseen liittyviin syihin, ja ilman tällaisiin käytäntöihin liittyviä riittäviä ja todennettavissa olevia takeita. |
35 |
High Court toteaa lisäksi, että Schrems riitauttaa kanteessaan itse asiassa päätöksellä 2000/520 perustetun ja pääasiassa kyseessä olevan päätöksen taustalla olevan safe harbor ‑järjestelmän laillisuuden. On siis niin, että vaikkei Schrems ole muodollisesti riitauttanut direktiivin 95/46 eikä päätöksen 2000/520 pätevyyttä, kyseisen tuomioistuimen mukaan on kysyttävä, oliko tietosuojavaltuutettu mainitun direktiivin 25 artiklan 6 kohdan nojalla velvollinen noudattamaan komission kyseisessä päätöksessä tekemää toteamusta, jonka mukaan Yhdysvallat takaa tietosuojan riittävän tason, vai oliko tietosuojavaltuutetulla perusoikeuskirjan 8 artiklan nojalla oikeus tarvittaessa sivuuttaa kyseinen toteamus. |
36 |
Tässä tilanteessa High Court on päättänyt lykätä asian käsittelyä ja esittää unionin tuomioistuimelle seuraavat ennakkoratkaisukysymykset:
|
Ennakkoratkaisukysymysten tarkastelu
37 |
Ennakkoratkaisua pyytänyt tuomioistuin tiedustelee ennakkoratkaisukysymyksillään, jotka on tutkittava yhdessä, pääasiallisesti, onko – ja jos on, missä määrin – direktiivin 95/46 25 artiklan 6 kohtaa, luettuna perusoikeuskirjan 7, 8 ja 47 artiklan valossa, tulkittava siten, että kyseiseen säännökseen perustuva päätöksen 2000/520 kaltainen päätös, jolla komissio toteaa kolmannen maan takaavan tietosuojan riittävän tason, on esteenä sille, että direktiivin 28 artiklassa tarkoitettu jäsenvaltion valvontaviranomainen voi tutkia vaatimuksen, jonka henkilö on esittänyt oikeuksiensa ja vapauksiensa suojasta jäsenvaltiosta kyseiseen kolmanteen maahan siirrettyjen henkilötietojensa käsittelyssä, kun henkilön mukaan kyseisessä maassa voimassa olevat oikeussäännöt ja käytännöt eivät takaa tietosuojan riittävää tasoa. |
Direktiivin 95/46 28 artiklassa tarkoitettu kansallisten valvontaviranomaisten toimivalta, kun kyse on direktiivin 25 artiklan 6 kohtaan perustuvasta komission päätöksestä
38 |
Aluksi on muistutettava, että niitä direktiivin 95/46 säännöksiä, joilla säännellään henkilötietojen käsittelyä, joka saattaa loukata perusvapauksia ja varsinkin oikeutta yksityisyyteen, on välttämättä tulkittava perusoikeuskirjassa taattujen perusoikeuksien valossa (ks. tuomio Österreichischer Rundfunk ym., C‑465/00, C‑138/01 ja C‑139/01, EU:C:2003:294, 68 kohta; tuomio Google Spain ja Google, C‑131/12, EU:C:2014:317, 68 kohta ja tuomio Ryneš, C‑212/13, EU:C:2014:2428, 29 kohta). |
39 |
Direktiivin 95/46 1 artiklasta sekä johdanto-osan toisesta ja kymmenennestä perustelukappaleesta ilmenee, että direktiivillä on tarkoitus turvata paitsi tehokas ja kattava suoja yksilöiden perusvapauksille ja ‑oikeuksille, muun muassa perusoikeudelle yksityiselämän kunnioitukseen henkilötietojen käsittelyssä, myös näiden perusvapauksien ja ‑oikeuksien korkeatasoinen suoja. Sekä yksityiselämän kunnioitusta koskevan perusoikeuden, joka taataan perusoikeuskirjan 7 artiklassa, että henkilötietojen suojaa koskevan perusoikeuden, joka taataan perusoikeuskirjan 8 artiklassa, tärkeyttä korostetaan lisäksi unionin tuomioistuimen oikeuskäytännössä (ks. tuomio Rijkeboer, C‑553/07, EU:C:2009:293, 47 kohta; tuomio Digital Rights Ireland ym., C‑293/12 ja C‑594/12, EU:C:2014:238, 53 kohta ja tuomio Google Spain ja Google, C‑131/12, EU:C:2014:317, 53, 66 ja 74 kohta oikeuskäytäntöviittauksineen). |
40 |
Toimivallasta, joka kansallisilla valvontaviranomaisilla on henkilötietojen siirroissa kolmansiin maihin, on todettava, että direktiivin 95/46 28 artiklan 1 kohdassa jäsenvaltiot velvoitetaan perustamaan yksi tai useampi viranomainen, jonka tehtävänä on valvoa täysin itsenäisesti yksilöiden suojelua henkilötietojen käsittelyssä koskevien unionin sääntöjen noudattamista. Tällainen vaatimus perustuu myös unionin primaarioikeuteen, muun muassa perusoikeuskirjan 8 artiklan 3 kohtaan ja SEUT 16 artiklan 2 kohtaan (ks. vastaavasti tuomio komissio v. Itävalta, C-614/10, EU:C:2012:631, 36 kohta ja tuomio komissio v. Unkari, C-288/12, EU:C:2014:237, 47 kohta). |
41 |
Kansallisten valvontaviranomaisten itsenäisyyden takaamisella pyritään varmistamaan yksilöiden suojelua henkilötietojen käsittelyssä koskevien säännösten ja määräysten noudattamisen valvonnan tehokkuus ja luotettavuus, ja sitä on tulkittava tämän tavoitteen valossa. Se on otettu käyttöön niille henkilöille ja elimille, joita kyseisten viranomaisten päätökset koskevat, annettavan suojan vahvistamiseksi. Itsenäisten valvontaviranomaisten perustaminen jäsenvaltioissa on siis, kuten direktiivin 95/46 johdanto-osan 62 perustelukappaleessa todetaan, keskeinen tekijä yksilöiden suojelussa henkilötietojen käsittelyssä (ks. tuomio komissio v. Saksa, C-518/07, EU:C:2010:125, 25 kohta ja tuomio komissio v. Unkari, C‑288/12, EU:C:2014:237, 48 kohta oikeuskäytäntöviittauksineen). |
42 |
Tämän suojelun varmistamiseksi kansallisten valvontaviranomaisten on muun muassa huolehdittava siitä, että yhtäältä yksityiselämää koskevan perusoikeuden kunnioituksen ja toisaalta henkilötietojen vapaata liikkuvuutta edellyttävien intressien välillä saavutetaan oikea tasapaino (ks. vastaavasti tuomio komissio v. Saksa, C‑518/07, EU:C:2010:125, 24 kohta ja tuomio komissio v. Unkari, C‑288/12, EU:C:2014:237, 51 kohta). |
43 |
Tätä varten kyseisillä viranomaisilla on laaja valikoima toimivaltuuksia, ja näitä valtuuksia, jotka luetellaan – muttei tyhjentävästi – direktiivin 95/46 28 artiklan 3 kohdassa, on pidettävä tarvittavina keinoina kyseisten viranomaisten tehtävien suorittamiseksi, kuten direktiivin johdanto-osan 63 perustelukappaleessa korostetaan. Niinpä näillä viranomaisilla on muun muassa tutkintavaltuudet, kuten valtuudet kerätä kaikki valvontatehtävänsä suorittamiseksi tarvittavat tiedot, tehokkaat toimintavaltuudet, kuten valtuudet kieltää tietojen käsittely väliaikaisesti tai lopullisesti, tai valtuudet olla asianosaisena oikeudenkäynnissä. |
44 |
Direktiivin 95/46 28 artiklan 1 ja 6 kohdasta tosin ilmenee, että kansallisten valvontaviranomaisten toimivalta koskee jäsenvaltion, johon nämä viranomaiset kuuluvat, alueella toteutettuja henkilötietojen käsittelyjä, joten niillä ei ole mainitun 28 artiklan nojalla toimivaltaa siltä osin kuin kyse on kolmannen maan alueella toteutetuista henkilötietojen käsittelyistä. |
45 |
On kuitenkin niin, että toimenpiteessä, jolla henkilötietoja siirretään jäsenvaltiosta kolmanteen maahan, on sellaisenaan kyse direktiivin 95/46 2 artiklan b alakohdassa tarkoitetusta henkilötietojen käsittelystä (ks. vastaavasti tuomio parlamentti v. neuvosto ja komissio, C‑317/04 ja C‑318/04, EU:C:2006:346, 56 kohta) jäsenvaltion alueella. Mainitussa säännöksessä nimittäin määritellään ”henkilötietojen käsittely” siten, että sillä tarkoitetaan ”kaikenlaisia sellaisia toimintoja tai toimintojen kokonaisuuksia, joita kohdistetaan henkilötietoihin joko automaattisen tietojenkäsittelyn avulla tai manuaalisesti”, ja siinä mainitaan esimerkkinä ”luovuttaminen siirtämällä, levittämällä tai asettamalla muutoin saataville”. |
46 |
Direktiivin 95/46 johdanto-osan 60 perustelukappaleessa täsmennetään, että henkilötietoja voidaan siirtää kolmansiin maihin vain noudattaen jäsenvaltioiden tämän direktiivin mukaisesti toteuttamia toimenpiteitä. Tässä yhteydessä on huomattava, että direktiivin IV luvussa, johon direktiivin 25 ja 26 artikla sisältyvät, on perustettu järjestelmä, jonka tarkoituksena on turvata se, että jäsenvaltiot kykenevät valvomaan henkilötietojen siirtoja kolmansiin maihin. Tämä järjestelmä täydentää saman direktiivin II luvussa, jossa säädetään henkilötietojen käsittelyn laillisuutta koskevista yleisistä säännöistä, perustettua yleistä järjestelmää (ks. vastaavasti tuomio Lindqvist, C‑101/01, EU:C:2003:596, 63 kohta). |
47 |
Kansallisilla valvontaviranomaisilla on perusoikeuskirjan 8 artiklan 3 kohdan ja direktiivin 95/46 28 artiklan mukaisesti tehtävänä valvoa yksilöiden suojaa henkilötietojen käsittelyssä koskevien unionin sääntöjen noudattamista, joten kukin niistä on toimivaltainen selvittämään, onko henkilötietojen siirto kolmanteen maahan jäsenvaltiosta, johon kyseinen viranomainen kuuluu, direktiivissä 95/46 säädettyjen vaatimusten mukaista. |
48 |
Vaikka direktiivin 95/46 johdanto-osan 56 perustelukappaleessa myönnetään, että henkilötietojen siirrot jäsenvaltioista kolmansiin maihin ovat tarpeen kansainvälisen kaupan kehittämiseksi, sen 25 artiklan 1 kohdassa asetetaan lähtökohdaksi se, että tällaiset siirrot ovat sallittuja ainoastaan, jos kyseisissä kolmansissa maissa taataan tietosuojan riittävä taso. |
49 |
Lisäksi direktiivin johdanto-osan 57 perustelukappaleessa täsmennetään, että henkilötietojen siirrot kolmansiin maihin, joissa ei taata tietosuojan riittävää tasoa, on kiellettävä. |
50 |
Jotta henkilötietojen siirtoja kolmansiin maihin voidaan valvoa näille tiedoille kussakin näistä maista annetun tietosuojan tason mukaan, direktiivin 95/46 25 artiklassa jäsenvaltioille ja komissiolle asetetaan joukko velvollisuuksia. Mainitusta artiklasta ilmenee muun muassa, että toteamus, jonka mukaan kolmas maa takaa tietosuojan riittävän tason tai ei takaa sitä, voi olla joko jäsenvaltioiden tai komission tekemä, kuten julkisasiamies on todennut ratkaisuehdotuksensa 86 kohdassa. |
51 |
Komissio voi tehdä direktiivin 95/46 25 artiklan 6 kohdan nojalla päätöksen, jossa se toteaa, että kolmas maa takaa tietosuojan riittävän tason. Tällaisen päätöksen adressaatteina ovat mainitun säännöksen toisen alakohdan mukaisesti jäsenvaltiot, joiden on toteutettava tarvittavat toimenpiteet noudattaakseen kyseistä päätöstä. Päätös sitoo SEUT 288 artiklan neljännen kohdan nojalla kaikkia jäsenvaltioita, joille se on osoitettu, ja velvoittaa siten kaikkia niiden elimiä (ks. vastaavasti tuomio Albako Margarinefabrik, 249/85, EU:C:1987:245, 17 kohta ja tuomio Mediaset, C‑69/13, EU:C:2014:71, 23 kohta) siltä osin kuin sen vaikutuksesta henkilötietoja on sallittua siirtää jäsenvaltioista kyseisen päätöksen kohteena olevaan kolmanteen maahan. |
52 |
Niin kauan kuin unionin tuomioistuin ei ole todennut komission päätöstä pätemättömäksi, jäsenvaltiot ja niiden elimet, joihin niiden itsenäiset valvontaviranomaiset kuuluvat, eivät siis voi toteuttaa kyseisen päätöksen vastaisia toimenpiteitä, kuten toimia, joilla olisi tarkoitus todeta sitovasti, ettei päätöksen kohteena oleva kolmas maa takaa tietosuojan riittävää tasoa. Unionin toimielinten toimia nimittäin koskee pääsääntöisesti lainmukaisuusolettama, ja niillä on näin ollen oikeusvaikutuksia niin kauan kuin niitä ei ole peruutettu, kumottu kumoamiskanteen johdosta tai todettu pätemättömiksi ennakkoratkaisupyynnön tai lainvastaisuusväitteen seurauksena (tuomio komissio v. Kreikka, C-475/01, EU:C:2004:585, 18 kohta oikeuskäytäntöviittauksineen). |
53 |
Päätöksen 2000/520 kaltainen direktiivin 95/46 25 artiklan 6 kohtaan perustuva komission päätös ei kuitenkaan voi estää henkilöitä, joiden henkilötiedot on siirretty tai voitaisiin siirtää kolmanteen maahan, saattamasta kansallisten valvontaviranomaisten käsiteltäväksi direktiivin 28 artiklan 4 kohdassa tarkoitettua vaatimusta oikeuksiensa ja vapauksiensa suojelusta henkilötietojen käsittelyssä. Tällainen päätös ei myöskään voi – kuten julkisasiamies on todennut erityisesti ratkaisuehdotuksensa 61, 93 ja 116 kohdassa – tehdä tyhjäksi eikä heikentää toimivaltaa, joka kansallisille valvontaviranomaisille nimenomaisesti annetaan perusoikeuskirjan 8 artiklan 3 kohdassa ja mainitun direktiivin 28 artiklassa. |
54 |
Perusoikeuskirjan 8 artiklan 3 kohdassa ja direktiivin 95/46 28 artiklassa ei suljeta kansallisten valvontaviranomaisten toimivallan alasta pois valvontaa, joka koskee henkilötietojen siirtoja direktiivin 25 artiklan 6 kohtaan perustuvan komission päätöksen kohteena oleviin kolmansiin maihin. |
55 |
Erityisesti on huomattava, että direktiivin 95/46 28 artiklan 4 kohdan ensimmäisessä alakohdassa, jonka mukaan ”kuka tahansa henkilö” voi esittää kansallisille valvontaviranomaisille ”oikeuksiensa ja vapauksiensa suojelua henkilötietojen käsittelyn osalta koskevan vaateen”, ei säädetä tässä yhteydessä minkäänlaisesta poikkeuksesta sellaisen tilanteen varalta, jossa komissio olisi tehnyt kyseisen direktiivin 25 artiklan 6 kohtaan perustuvan päätöksen. |
56 |
Olisi lisäksi direktiivillä 95/46 perustetun järjestelmän sekä direktiivin 25 ja 28 artiklan tarkoituksen vastaista, että direktiivin 25 artiklan 6 kohtaan perustuvan komission päätöksen vaikutuksesta kansallinen valvontaviranomainen olisi estynyt tutkimasta henkilön vaatimusta oikeuksiensa ja vapauksiensa suojelusta sellaisten henkilötietojensa käsittelyssä, jotka on siirretty tai voitaisiin siirtää jäsenvaltiosta kyseisen päätöksen kohteena olevaan kolmanteen maahan. |
57 |
Direktiivin 95/46 28 artiklaa sovelletaan päinvastoin jo sen luonteenkin perusteella kaikkeen henkilötietojen käsittelyyn. Niinpä silloinkin, kun komissio on tehnyt direktiivin 25 artiklan 6 kohtaan perustuvan päätöksen, kansallisten valvontaviranomaisten, joiden käsiteltäväksi henkilö on saattanut vaatimuksen oikeuksiensa ja vapauksiensa suojelusta henkilötietojensa käsittelyssä, on voitava tutkia täysin itsenäisesti, noudatetaanko näiden tietojen siirrossa kyseisessä direktiivissä säädettyjä vaatimuksia. |
58 |
Jos näin ei olisi, henkilöiltä, joiden henkilötiedot on siirretty tai voitaisiin siirtää asianomaiseen kolmanteen maahan, vietäisiin perusoikeuskirjan 8 artiklan 1 ja 3 kohdassa taattu oikeus saattaa kansallisten valvontaviranomaisten käsiteltäväksi vaatimus perusoikeuksiensa suojaamisesta (ks. analogisesti tuomio Digital Rights Ireland ym., C‑293/12 ja C‑594/12, EU:C:2014:238, 68 kohta). |
59 |
Direktiivin 95/46 28 artiklan 4 kohdassa tarkoitettu vaatimus, jolla henkilö, jonka henkilötiedot on siirretty tai voitaisiin siirtää kolmanteen maahan, vetoaa – kuten pääasiassa – siihen, ettei kyseisen maan oikeudessa ja käytännöissä taata tietosuojan riittävää tasoa huolimatta siitä, mitä komissio on todennut direktiivin 25 artiklan 6 kohtaan perustuvassa päätöksessä, on ymmärrettävä siten, että se koskee pääasiallisesti kyseisen päätöksen yhteensoveltuvuutta henkilöiden yksityiselämän sekä perusvapauksien ja ‑oikeuksien suojan kanssa. |
60 |
Tässä yhteydessä on muistutettava unionin tuomioistuimen vakiintuneesta oikeuskäytännöstä, jonka mukaan unioni on oikeusunioni, jossa kaikki sen toimielinten toimet ovat sellaisen valvonnan alaisia, jonka kohteena on niiden yhteensoveltuvuus etenkin perussopimusten, yleisten oikeusperiaatteiden ja perusoikeuksien kanssa (ks. vastaavasti tuomio komissio ym. v. Kadi, C‑584/10 P, C‑593/10 P ja C‑595/10 P, EU:C:2013:518, 66 kohta; tuomio Inuit Tapiriit Kanatami ym. v. parlamentti ja neuvosto, C‑583/11 P, EU:C:2013:625, 91 kohta ja tuomio Telefónica v. komissio, C‑274/12 P, EU:C:2013:852, 56 kohta). Direktiivin 95/46 25 artiklan 6 kohtaan perustuvat komission päätökset eivät siis voi välttyä tällaiselta valvonnalta. |
61 |
On kuitenkin niin, että vain unionin tuomioistuimella on toimivalta todeta unionin toimen, kuten direktiivin 95/46 25 artiklan 6 kohtaan perustuvan komission päätöksen, pätemättömyys, koska tämän toimivallan yksinomaisuuden tarkoituksena on taata oikeusvarmuus varmistamalla, että unionin oikeutta sovelletaan yhtenäisesti (ks. tuomio Melki ja Abdeli, C‑188/10 ja C‑189/10, EU:C:2010:363, 54 kohta ja tuomio CIVAD, C‑533/10, EU:C:2012:347, 40 kohta). |
62 |
Vaikka kansallisilla tuomioistuimilla tosin onkin oikeus tutkia direktiivin 95/46 25 artiklan 6 kohtaan perustuvan komission päätöksen kaltaisen unionin toimen pätevyys, niillä ei ole toimivaltaa itse todeta tällaista toimea pätemättömäksi (ks. vastaavasti tuomio Foto-Frost, 314/85, EU:C:1987:452, 15–20 kohta ja tuomio IATA ja ELFAA, C‑344/04, EU:C:2006:10, 27 kohta). A fortiori on katsottava, että tutkiessaan direktiivin 28 artiklan 4 kohdassa tarkoitetun vaatimuksen, joka koskee direktiivin 25 artiklan 6 kohtaan perustuvan komission päätöksen yhteensoveltuvuutta henkilöiden yksityiselämän sekä perusvapauksien ja ‑oikeuksien suojan kanssa, kansallisilla valvontaviranomaisilla ei ole oikeutta itse todeta tällaisen päätöksen pätemättömyyttä. |
63 |
Näiden näkökohtien perusteella on niin, että kun henkilö, jonka henkilötiedot on siirretty tai voitaisiin siirtää direktiivin 95/46 25 artiklan 6 kohtaan perustuvan komission päätöksen kohteena olevaan kolmanteen maahan, saattaa kansallisen valvontaviranomaisen käsiteltäväksi vaatimuksen oikeuksiensa ja vapauksiensa suojelusta näiden tietojen käsittelyssä ja riitauttaa tällaisen vaatimuksen yhteydessä, kuten pääasiassa, kyseisen päätöksen yhteensoveltuvuuden henkilöiden yksityiselämän sekä perusvapauksien ja ‑oikeuksien suojan kanssa, mainitun viranomaisen asiana on tutkia kyseinen vaatimus kaikkea asianmukaista huolellisuutta noudattaen. |
64 |
Mikäli kyseinen viranomainen päätyy katsomaan, että tällaisen vaatimuksen tueksi esitetyt seikat ovat perusteettomia, ja tästä syystä hylkää vaatimuksen, henkilöllä, joka kyseisen vaatimuksen on esittänyt, on oltava – kuten ilmenee direktiivin 95/46 28 artiklan 3 kohdan toisesta alakohdasta, luettuna perusoikeuskirjan 47 artiklan valossa – mahdollisuus käyttää tuomioistuimissa oikeussuojakeinoja, joiden avulla hän voi riitauttaa kyseisen itselleen vastaisen päätöksen kansallisissa tuomioistuimissa. Tämän tuomion 61 ja 62 kohdassa mainitun oikeuskäytännön perusteella näiden tuomioistuinten on lykättävä asian käsittelyä ja pyydettävä unionin tuomioistuimelta pätevyyden arviointia ennakkoratkaisumenettelyssä, kun ne katsovat, että yksi tai useampi asianosaisten esittämistä tai mahdollisesti viran puolesta tutkittavista pätemättömyysperusteista on perusteltu (ks. vastaavasti tuomio T & L Sugars ja Sidul Açúcares v. komissio, C‑456/13 P, EU:C:2015:284, 48 kohta oikeuskäytäntöviittauksineen). |
65 |
Päinvastaisessa tapauksessa, jossa kyseinen viranomainen pitää henkilön, joka on saattanut sen käsiteltäväksi vaatimuksen oikeuksiensa ja vapauksiensa suojelusta henkilötietojensa käsittelyssä, esittämiä perusteita perusteltuina, on niin, että saman viranomaisen on direktiivin 95/46 28 artiklan 3 kohdan ensimmäisen alakohdan kolmannen luetelmakohdan, luettuna erityisesti perusoikeuskirjan 8 artiklan 3 kohdan valossa, mukaisesti voitava olla asianosaisena oikeudenkäynnissä. Tässä yhteydessä kansallisen lainsäätäjän asiana on säätää oikeussuojakeinoista, joiden avulla asianomainen kansallinen valvontaviranomainen voi esittää perusteltuina pitämänsä perusteet kansallisissa tuomioistuimissa, jotta nämä voisivat, mikäli ne kyseisen viranomaisen tavoin epäilevät komission päätöksen pätevyyttä, pyytää ennakkoratkaisua päätöksen pätevyyden tutkimiseksi. |
66 |
Esitettyihin kysymyksiin on vastattava edellä esitetyn perusteella, että direktiivin 95/46 25 artiklan 6 kohtaa, luettuna perusoikeuskirjan 7, 8 ja 47 artiklan valossa, on tulkittava siten, että kyseiseen säännökseen perustuva päätöksen 2000/520 kaltainen päätös, jolla komissio toteaa kolmannen maan takaavan tietosuojan riittävän tason, ei ole esteenä sille, että direktiivin 28 artiklassa tarkoitettu jäsenvaltion valvontaviranomainen tutkii vaatimuksen, jonka henkilö on esittänyt oikeuksiensa ja vapauksiensa suojasta jäsenvaltiosta kyseiseen kolmanteen maahan siirrettyjen henkilötietojensa käsittelyssä, kun henkilön mukaan kyseisessä maassa voimassa olevat oikeussäännöt ja käytännöt eivät takaa tietosuojan riittävää tasoa. |
Päätöksen 2000/520 pätevyys
67 |
Kuten ennakkoratkaisua pyytäneen tuomioistuimen esittämistä ennakkoratkaisukysymyksiä koskevista selityksistä ilmenee, Schrems vetoaa pääasiassa siihen, ettei Yhdysvaltojen oikeussäännöissä ja käytännöissä taata direktiivin 95/46 25 artiklassa tarkoitettua tietosuojan riittävää tasoa. Kuten julkisasiamies on todennut ratkaisuehdotuksensa 123 ja 124 kohdassa, Schrems epäilee päätöksen 2000/520 pätevyyttä, mistä kansallinen tuomioistuin näyttää sitä paitsi olevan pääosin samaa mieltä. Tämän tuomion 60–63 kohdassa tehtyjen toteamusten perusteella ja kattavan vastauksen antamiseksi kyseiselle tuomioistuimelle on siis tutkittava, onko mainittu päätös direktiivistä, luettuna perusoikeuskirjan valossa, johtuvien vaatimusten mukainen. |
Direktiivin 95/46 25 artiklan 6 kohdasta johtuvat vaatimukset
68 |
Kuten tämän tuomion 48 ja 49 kohdassa jo on todettu, direktiivin 95/46 25 artiklan 1 kohdassa kielletään henkilötietojen siirrot kolmanteen maahan, joka ei takaa tietosuojan riittävää tasoa. |
69 |
Direktiivin 25 artiklan 6 kohdan ensimmäisessä alakohdassa säädetään kuitenkin tällaisten siirtojen valvontaa varten, että komissio ”voi – – todeta, että tietyssä kolmannessa maassa taataan tietosuojan riittävä taso tämän artiklan 2 kohdan tarkoittamassa merkityksessä, mikä johtuu kyseisen maan sisäisestä lainsäädännöstä tai kansainvälisistä sitoumuksista – – henkilöiden yksityiselämän ja perusoikeuksien ja ‑vapauksien turvaamiseksi”. |
70 |
Direktiivin 95/46 25 artiklan 2 kohta tai muu direktiivin säännös ei tosin sisällä tietosuojan riittävän tason käsitteen määritelmää. Erityisesti on huomattava, että direktiivin 25 artiklan 2 kohdassa tyydytään toteamaan, että kolmannessa maassa taattavan tietosuojan tason riittävyyttä ”on arvioitava kaikkien tiettyyn siirtoon tai siirtojen ryhmään liittyvien olosuhteiden osalta”, ja siinä luetellaan – muttei tyhjentävästi – tällaisen arvioinnin yhteydessä huomioon otettavat olosuhteet. |
71 |
On kuitenkin todettava yhtäältä, että direktiivin 95/46 25 artiklan 6 kohdassa vaaditaan, kuten tämän säännöksen sanamuodostakin jo ilmenee, että kolmannessa maassa ”taataan” tietosuojan riittävä taso maan sisäisen lainsäädännön tai kansainvälisten sitoumusten johdosta. Toisaalta saman säännöksen mukaan kolmannen maan takaaman suojan riittävyyttä on arvioitava ”henkilöiden yksityiselämän ja perusoikeuksien ja ‑vapauksien turvaamiseksi”. |
72 |
Niinpä direktiivin 95/46 25 artiklan 6 kohdassa on kyse perusoikeuskirjan 8 artiklan 1 kohdassa tarkoitetun nimenomaisen henkilötietojen suojaa koskevan velvollisuuden toteuttamisesta ja sen tavoitteena on varmistaa, kuten julkisasiamies on todennut ratkaisuehdotuksensa 139 kohdassa, kyseisen suojan korkean tason jatkuvuus siirrettäessä henkilötietoja kolmanteen maahan. |
73 |
Direktiivin 95/46 25 artiklan 6 kohtaan sisältyvä ilmaus ”riittävä” merkitsee tosin sitä, ettei kolmatta maata voida vaatia takaamaan tietosuojan tasoa, joka olisi täysin sama kuin unionin oikeusjärjestyksessä taattu taso. Kuten julkisasiamies on todennut ratkaisuehdotuksensa 141 kohdassa, ilmaisu ”tietosuojan riittävä taso” on kuitenkin ymmärrettävä siten, että sillä tarkoitetaan vaatimusta, että kolmas maa tosiasiallisesti takaa maan sisäisen lainsäädäntönsä tai kansainvälisten sitoumustensa johdosta perusvapauksien ja ‑oikeuksien suojan sellaisen tason, joka pääosiltaan vastaa tasoa, joka taataan unionissa direktiivin 95/46, luettuna perusoikeuskirjan valossa, nojalla. On nimittäin niin, että jollei tällaista vaatimusta asetettaisi, tämän tuomion edellisessä kohdassa mainittu tavoite jäisi huomiotta. Lisäksi direktiivillä 95/46, luettuna perusoikeuskirjan valossa, taattua suojan korkeaa tasoa voitaisiin helposti kiertää siirtämällä henkilötietoja unionista kolmansiin maihin käsiteltäviksi näissä maissa. |
74 |
Direktiivin 95/46 25 artiklan 6 kohdan nimenomaisesta sanamuodosta ilmenee, että tietosuojan riittävä taso on taattava komission päätöksen kohteena olevan kolmannen maan oikeusjärjestyksessä. Vaikka keinot, joita kyseinen kolmas maa tässä yhteydessä käyttää taatakseen tällaisen suojan tason, voivat poiketa niistä, joita unionissa käytetään direktiivistä, luettuna perusoikeuskirjan valossa, johtuvien vaatimusten noudattamiseksi, keinojen on käytännössä osoittauduttava tehokkaiksi takaamaan suoja, joka pääosiltaan vastaa unionissa taattua suojaa. |
75 |
Komissio on siis kolmannen maan tarjoamaa tietosuojan tasoa tutkiessaan velvollinen arvioimaan tämän maan sisäisen lainsäädännön tai kansainvälisten sitoumusten johdosta tässä maassa sovellettavien sääntöjen sisältöä ja näiden sääntöjen noudattamisen varmistamiseen tarkoitettua käytäntöä, koska komission on direktiivin 95/46 25 artiklan 2 kohdan mukaisesti otettava huomioon kaikki olosuhteet, jotka liittyvät henkilötietojen siirtoon kolmanteen maahan. |
76 |
Samoin on niin, että koska kolmannen maan takaama tietosuojan taso voi muuttua, komission asiana on direktiivin 95/46 25 artiklan 6 kohtaan perustuvan päätöksen tekemisen jälkeen tarkastaa säännöllisin väliajoin, onko kyseessä olevan kolmannen maan takaamasta tietosuojan riittävästä tasosta tehty toteamus edelleen perusteltu tosiasiallisesti ja oikeudellisesti. Tällainen tarkastus on joka tapauksessa tehtävä silloin, kun asiasta herää epäilyksiä. |
77 |
Kuten julkisasiamies on huomauttanut ratkaisuehdotuksensa 134 ja 135 kohdassa, direktiivin 95/46 25 artiklan 6 kohtaan perustuvan komission päätöksen pätevyyden tutkimisessa on lisäksi otettava huomioon päätöksen tekemisen jälkeiset olosuhteet. |
78 |
Tässä yhteydessä on todettava, että kun otetaan huomioon yhtäältä henkilötietojen suojan tärkeä rooli yksityiselämän kunnioitusta koskevan perusoikeuden kannalta ja toisaalta sellaisten henkilöiden merkittävä määrä, joiden perusoikeudet voivat tulla loukatuiksi siirrettäessä henkilötietoja kolmanteen maahan, joka ei takaa tietosuojan riittävää tasoa, komission harkintavalta kolmannen maan takaaman tietosuojan tason riittävyyden arvioinnissa on pieni, joten direktiivin 95/46 25 artiklasta, luettuna perusoikeuskirjan valossa, johtuvien vaatimusten valvonnan on oltava tarkkaa (ks. analogisesti tuomio Digital Rights Ireland ym., C‑293/12 ja C‑594/12, EU:C:2014:238, 47 ja 48 kohta). |
Päätöksen 2000/520 1 artikla
79 |
Komissio on katsonut päätöksen 2000/520 1 artiklan 1 kohdassa, että päätöksen liitteessä I tarkoitetut periaatteet, joita sovelletaan päätöksen liitteessä II olevien tavallisimpien kysymysten (FAQ) tarjoaman ohjauksen mukaisesti, varmistavat unionista Yhdysvaltoihin sijoittautuneille organisaatioille siirrettyjen henkilötietojen riittävän suojelun tason. Mainitusta säännöksestä ilmenee, että niin kyseiset periaatteet kuin mainitut tavallisimmat kysymyksetkin ovat Yhdysvaltojen kauppaministeriön julkaisemia. |
80 |
Ilmoitus siitä, että organisaatio alkaa noudattaa safe harbor ‑periaatteita, tehdään oma varmennus ‑järjestelmän perusteella, kuten päätöksen 1 artiklan 2 ja 3 kohdasta, luettuna yhdessä päätöksen liitteessä II olevan FAQ 6:n kanssa, ilmenee. |
81 |
Vaikka se, että kolmas maa käyttää oma varmennus ‑järjestelmää, ei sinällään olekaan vastoin direktiivin 95/46 25 artiklan 6 kohdassa säädettyä vaatimusta, jonka mukaan asianomaisen kolmannen maan on taattava tietosuojan riittävä taso kyseisen maan ”sisäisen lainsäädännön tai kansainvälisten sitoumusten” johdosta, tällaisen järjestelmän luotettavuus kyseisen vaatimuksen kannalta perustuu pääasiallisesti sellaisten tehokkaiden havaitsemis- ja valvontamekanismien käyttöönottoon, joiden avulla voidaan käytännössä yksilöidä ja sanktioida mahdollisia perusoikeuksien – muun muassa yksityiselämän kunnioitusta koskevan oikeuden ja henkilötietojen suojaa koskevan oikeuden – suojan takaamiseksi annettujen sääntöjen rikkomisia. |
82 |
Nyt käsiteltävässä asiassa on huomattava, että safe harbor ‑periaatteet on päätöksen 2000/520 liitteessä I olevan toisen kohdan mukaan ”tarkoitettu käytettäviksi yksinomaan yhdysvaltalaisissa yrityksissä, jotka saavat henkilötietoja Euroopan unionista ja jotka käyttävät periaatteiden noudattamista keinona safe harbor ‑järjestelmään osallistumiselle asetettujen kelpoisuusvaatimusten täyttämiseksi ja sen luoman tietosuojan riittävyyden olettamuksen saavuttamiseksi”. Periaatteita sovelletaan siis vain oman varmennuksensa antaneisiin henkilötietoja unionista saaviin yhdysvaltalaisiin organisaatioihin, mutta vaatimuksena ei ole, että Yhdysvaltain viranomaiset noudattaisivat kyseisiä periaatteita. |
83 |
Lisäksi päätöksen 2000/520 2 artiklan mukaan tämä päätös ”koskee ainoastaan Yhdysvalloissa FAQ:iden mukaisesti sovellettavien [safe harbor] ‑periaatteiden [nojalla annettavan] tietosuojan riittävyyttä siinä tarkoituksessa, että direktiivin [95/46] 25 artiklan 1 kohdan vaatimukset täytettäisiin”, mutta siihen ei sisälly riittäviä toteamuksia toimenpiteistä, joilla Yhdysvallat takaa sisäisen lainsäädäntönsä tai kansainvälisten sitoumustensa johdosta direktiivin 25 artiklan 6 kohdassa tarkoitetun tietosuojan riittävän tason. |
84 |
Tähän on lisättävä, että päätöksen 2000/520 liitteessä I olevan neljännen kohdan mukaan kyseisten periaatteiden sovellettavuutta voidaan rajoittaa muun muassa ”siinä määrin kuin se on tarpeen kansallisen turvallisuuden, yleisen edun ja lainsäädännön vaatimusten vuoksi” sekä ”lainsäädännöllä, [asetuksilla] tai oikeuskäytännöllä, joilla syntyy [kyseisten periaatteiden kanssa] ristiriitaisia velvoitteita tai joilla selkeästi annetaan lupa tiettyyn toimintaan, sillä edellytyksellä, että aina tällaista lupaa käyttäessään organisaatio voi osoittaa, että periaatteiden noudattamatta jättäminen rajoittuu siihen, mikä on tarpeen tällaisen lupaan liittyvän oikeutetun ja ensisijaisen tavoitteen täyttämiseksi”. |
85 |
Tässä yhteydessä päätöksen 2000/520 liitteessä IV olevassa B kohdassa korostetaan safe harbor ‑periaatteiden sovellettavuuden rajoituksista, että ”on selvää, että jos Yhdysvaltojen lainsäädäntö asettaa yhdysvaltalaiselle organisaatiolle safe harbor ‑periaatteiden kanssa ristiriitaisen velvoitteen, organisaation on noudatettava lakia riippumatta siitä, kuuluuko se safe harbor ‑järjestelmään vai ei”. |
86 |
Niinpä päätöksessä 2000/520 vahvistetaan ”kansallisen turvallisuuden, yleisen edun ja lainsäädännön vaatimusten” ensisijaisuus safe harbor- periaatteisiin nähden, ensisijaisuus, jonka nojalla yhdysvaltalaisorganisaatiot, jotka ovat antaneet oman varmennuksensa ja jotka saavat henkilötietoja unionista, ovat velvollisia syrjäyttämään mainitut periaatteet rajoituksetta silloin, kun nämä ovat ristiriidassa ja osoittautuvat siis yhteensoveltumattomiksi kyseisten vaatimusten kanssa. |
87 |
Kun päätöksen 2000/520 liitteessä I olevaan neljänteen kohtaan sisältyvän poikkeuksen yleinen luonne otetaan huomioon, päätös mahdollistaa siten Yhdysvaltojen kansallisen turvallisuuden ja yleisen edun tai sisäisen lainsäädännön vaatimuksiin perustuvan puuttumisen niiden henkilöiden perusoikeuksiin, joiden henkilötiedot siirretään tai voitaisiin siirtää unionista Yhdysvaltoihin. Tässä yhteydessä on todettava, että sen osoittamisessa, että kyse on puuttumisesta yksityiselämän kunnioitusta koskevaan perusoikeuteen, ei ole merkitystä sillä, ovatko kyseessä olevat yksityiselämään liittyvät tiedot arkaluonteisia vai eivät tai onko asianomaisille mahdollisesti aiheutunut haittaa tästä puuttumisesta (tuomio Digital Rights Ireland ym., C‑293/12 ja C‑594/12, EU:C:2014:238, 33 kohta oikeuskäytäntöviittauksineen). |
88 |
Päätös 2000/520 ei myöskään sisällä mitään toteamusta siitä, että Yhdysvalloissa olisi valtiollisia sääntöjä, joilla olisi tarkoitus rajoittaa mahdollista puuttumista henkilöiden, joiden tietoja siirretään unionista Yhdysvaltoihin, perusoikeuksiin, puuttumista, joka olisi kyseisen maan valtiollisille elimille sallittua niiden pyrkiessä kansallisen turvallisuuden kaltaisiin legitiimeihin tavoitteisiin. |
89 |
Tähän on lisättävä se, ettei päätöksessä 2000/520 mainita, että tällaista puuttumista vastaan on olemassa tehokasta oikeussuojaa. Kuten julkisasiamies on todennut ratkaisuehdotuksensa 204–206 kohdassa, yksityisen välitysmenettelyn mekanismit ja menettelyt liittovaltion kauppakomissiossa (Federal Trade Commission), jonka toimivalta – joka kuvataan muun muassa kyseisen päätöksen liitteessä II olevassa FAQ 11:ssa – rajoittuu kaupallisiin riitoihin, koskevat sitä, noudattavatko yhdysvaltalaisyritykset safe harbor ‑periaatteita, eikä niitä voida panna täytäntöön sellaisten riitojen yhteydessä, jotka koskevat sitä, onko valtiolähtöisistä toimenpiteistä johtuva puuttuminen perusoikeuksiin laillista. |
90 |
Lisäksi edellä esitetty päätöksen 2000/520 tarkastelu saa tukea arvioinnista, jonka komissio itsekin on tehnyt kyseisen päätöksen toteuttamisesta johtuvasta tilanteesta. Kyseinen toimielin nimittäin on todennut erityisesti tiedonannon COM(2013) 846 final 2 ja 3.2 kohdassa ja tiedonannon COM(2013) 847 final 7.1, 7.2 ja 8 kohdassa, joista ensin mainittujen sisältö esitetään tämän tuomion 13–16 kohdassa ja jälkimmäisten puolestaan tämän tuomion 22, 23 ja 25 kohdassa, että Yhdysvaltain viranomaisilla on mahdollisuus päästä jäsenvaltioista Yhdysvaltoihin siirrettyihin henkilötietoihin ja käsitellä niitä muun muassa niiden siirron tarkoitusten vastaisella tavalla ja laajemmin kuin on ehdottomasti tarpeen ja oikeasuhteista kansallisen turvallisuuden suojelemisen kannalta. Komissio on todennut samoin, ettei asianomaisilla henkilöillä ole mahdollisuutta hakea hallinto- tai oikeusteitse oikeussuojaa, jonka avulla he muun muassa voisivat saada tutustua itseään koskeviin tietoihin ja saada ne tarvittaessa oikaistuiksi tai poistetuiksi. |
91 |
Siltä osin kuin kyse on unionissa taatusta perusvapauksien ja ‑oikeuksien suojan tasosta, unionin säännöstössä, jolla puututaan perusoikeuskirjan 7 ja 8 artiklassa taattuihin perusoikeuksiin, on unionin tuomioistuimen vakiintuneen oikeuskäytännön mukaan säädettävä selvistä ja täsmällisistä toimenpiteen laajuutta ja soveltamista koskevista säännöistä, joissa asetetaan vähimmäisvaatimukset, jotta henkilöillä, joiden henkilötiedot ovat kyseessä, on riittävät takeet, joiden avulla heidän tietonsa voidaan tehokkaasti suojata väärinkäytön vaaroilta sekä kaikenlaiselta näiden tietojen laittomalta saannilta ja käytöltä. Tarve tällaisista takeista on tärkeä varsinkin silloin, kun henkilötietoja käsitellään automaattisesti ja on olemassa huomattava vaara laittomasta pääsystä näihin tietoihin (tuomio Digital Rights Ireland ym., C‑293/12 ja C‑594/12, EU:C:2014:238, 54 ja 55 kohta oikeuskäytäntöviittauksineen). |
92 |
Lisäksi ja varsinkin on huomattava, että yksityiselämän kunnioitusta koskevan perusoikeuden suoja unionin tasolla edellyttää, että henkilötietojen suojaa koskevat poikkeukset ja rajoitukset toteutetaan sen rajoissa, mikä on ehdottomasti tarpeen (tuomio Digital Rights Ireland ym., C‑293/12 ja C‑594/12, EU:C:2014:238, 52 kohta oikeuskäytäntöviittauksineen). |
93 |
Siihen, mikä on ehdottomasti tarpeen, ei siis rajoitu säännöstö, jossa sallitaan yleisesti kaikkien henkilöiden, joiden henkilötiedot on siirretty unionista Yhdysvaltoihin, kaikkien henkilötietojen säilyttäminen tekemättä mitään erottelua, rajoitusta tai poikkeusta tavoiteltavan päämäärän mukaan ja säätämättä objektiivisesta perusteesta, jolla voitaisiin rajoittaa viranomaisten pääsyä tietoihin ja rajata niiden myöhempi käyttö tarkoituksiin, jotka ovat täsmällisiä, täysin rajallisia ja omiaan oikeuttamaan puuttumisen, jota niin henkilötietoihin pääsy kuin niiden käyttökin merkitsevät (ks. vastaavasti yleisesti saatavilla olevien sähköisten viestintäpalvelujen tai yleisten viestintäverkkojen yhteydessä tuotettavien tai käsiteltävien tietojen säilyttämisestä ja direktiivin 2002/58/EY muuttamisesta 15.3.2006 annetun Euroopan parlamentin ja neuvoston direktiivin 2006/24/EY (EUVL L 105, s. 54) osalta tuomio Digital Rights Ireland ym., C‑293/12 ja C‑594/12, EU:C:2014:238, 57–61 kohta). |
94 |
Säännöstöstä, jonka nojalla viranomaiset pääsevät yleisesti sähköisen viestinnän sisältöön, on erityisesti katsottava, että sillä loukataan yksityiselämän kunnioitusta koskevan perusoikeuden, sellaisena kuin se taataan perusoikeuskirjan 7 artiklassa, keskeistä sisältöä (ks. vastaavasti tuomio Digital Rights Ireland ym., C‑293/12 ja C‑594/12, EU:C:2014:238, 39 kohta). |
95 |
Myöskään säännöstö, jossa yksityisille ei anneta mitään mahdollisuutta käyttää oikeussuojakeinoja, jotta he saisivat tutustua henkilötietoihinsa tai voisivat saada tällaiset tiedot oikaistuiksi tai poistetuiksi, ei ole tehokasta oikeussuojaa koskevan perusoikeuden, sellaisena kuin se vahvistetaan perusoikeuskirjan 47 artiklassa, keskeisen sisällön mukainen. Perusoikeuskirjan 47 artiklan ensimmäisessä kohdassa nimittäin edellytetään, että jokaisella, jonka unionin oikeudessa taattuja oikeuksia ja vapauksia on loukattu, on oltava tässä artiklassa määrättyjen edellytysten mukaisesti käytettävissään tehokkaat oikeussuojakeinot tuomioistuimessa. Tässä yhteydessä on huomattava, että unionin oikeuden määräysten ja säännösten noudattamisen varmistamiseen tarkoitetun tehokkaan tuomioistuinvalvonnan itse olemassaolo kuuluu erottamattomana osana oikeusvaltioon (ks. vastaavasti tuomio Les Verts v. parlamentti, 294/83, EU:C:1986:166, 23 kohta; tuomio Johnston, 222/84, EU:C:1986:206, 18 ja 19 kohta; tuomio Heylens ym., 222/86, EU:C:1987:442, 14 kohta ja tuomio UGT-Rioja ym., C-428/06–C-434/06, EU:C:2008:488, 80 kohta). |
96 |
Kuten erityisesti tämän tuomion 71, 73 ja 74 kohdassa on todettu, komissio voi tehdä direktiivin 95/46 25 artiklan 6 kohtaan perustuvan päätöksen sillä edellytyksellä, että se toteaa asianmukaisin perusteluin, että asianomainen kolmas maa tosiasiallisesti takaa sisäisen lainsäädäntönsä tai kansainvälisten sitoumustensa johdosta perusoikeuksien suojan sellaisen tason, joka pääosiltaan vastaa unionin oikeusjärjestyksessä taattua tasoa, sellaisena kuin tämä taso ilmenee erityisesti tämän tuomion edellisistä kohdista. |
97 |
On huomattava, ettei komissio ole todennut päätöksessä 2000/520, että Yhdysvallat tosiasiallisesti takaa tietosuojan riittävän tason sisäisen lainsäädäntönsä tai kansainvälisten sitoumustensa johdosta. |
98 |
Niinpä on katsottava tarvitsematta tutkia safe harbor ‑periaatteiden sisältöä, että mainitun päätöksen 1 artiklassa jätetään huomiotta vaatimukset, joista säädetään direktiivin 95/46 25 artiklan 6 kohdassa, luettuna perusoikeuskirjan valossa, joten kyseinen 1 artikla on pätemätön. |
Päätöksen 2000/520 3 artikla
99 |
Tämän tuomion 53, 57 ja 63 kohdassa esitetystä ilmenee, että kun otetaan huomioon direktiivin 95/46 28 artikla, luettuna erityisesti perusoikeuskirjan 8 artiklan valossa, kansallisten valvontaviranomaisten on voitava tutkia täysin itsenäisesti vaatimus, jonka henkilö on esittänyt oikeuksiensa ja vapauksiensa suojasta henkilötietojensa käsittelyssä. Näin on erityisesti silloin, kun tällaisen vaatimuksen yhteydessä henkilö nostaa esiin kysymyksiä direktiivin 25 artiklan 6 kohtaan perustuvan komission päätöksen yhteensoveltuvuudesta henkilöiden yksityiselämän sekä perusvapauksien ja ‑oikeuksien suojan kanssa. |
100 |
Päätöksen 2000/520 3 artiklan 1 kohdan ensimmäisessä alakohdassa on kuitenkin erityisiä säännöksiä toimivallasta, joka kansallisilla valvontaviranomaisilla on suhteessa toteamukseen, jonka komissio on tehnyt direktiivin 95/46 25 artiklassa tarkoitetusta tietosuojan riittävästä tasosta. |
101 |
Niinpä mainitun säännöksen mukaan kyseiset viranomaiset voivat – ”[ilman että rajoitetaan niiden] valtuuksia toteuttaa toimenpiteitä direktiivin [95/46] muiden säännösten kuin 25 artiklan noudattamiseksi annettujen kansallisten säännösten noudattamisen varmistamiseksi” – ”keskeyttää organisaatiolle, joka on ilmoittanut noudattavansa [päätöksen 2000/520] mukaisesti sovellettavia periaatteita, suunnatut tietovirrat” sellaisin rajoittavin edellytyksin, jotka merkitsevät korkeaa kynnystä kyseisten viranomaisten toimille. Kyseisessä säännöksessä ei rajoiteta mainittujen viranomaisten toimivaltaa toteuttaa toimenpiteitä direktiivin soveltamiseksi annettujen kansallisten säännösten noudattamisen varmistamiseksi, mutta siinä suljetaan sitä vastoin pois kyseisten viranomaisten mahdollisuus toteuttaa toimenpiteitä saman direktiivin 25 artiklan noudattamisen varmistamiseksi. |
102 |
Päätöksen 2000/520 3 artiklan 1 kohdan ensimmäinen alakohta on siis ymmärrettävä siten, että se estää kansallisia valvontaviranomaisia käyttämästä valtuuksia, jotka niillä on direktiivin 95/46 28 artiklan nojalla, kun henkilö esittää tähän säännökseen perustuvan vaatimuksen yhteydessä seikkoja, jotka voivat kyseenalaistaa komission päätöksen, jossa on kyseisen direktiivin 25 artiklan 6 kohdan nojalla todettu kolmannen maan takaavan tietosuojan riittävän tason, yhteensoveltuvuuden henkilöiden yksityiselämän sekä perusvapauksien ja ‑oikeuksien suojan kanssa. |
103 |
Unionin lainsäätäjän komissiolle direktiivin 95/46 25 artiklan 6 kohdassa antama täytäntöönpanovalta ei merkitse komissiolle toimivaltaa rajoittaa tämän tuomion edellisessä kohdassa tarkoitettuja kansallisten valvontaviranomaisten valtuuksia. |
104 |
Niinpä on todettava, että päätöksen 2000/520 3 artiklalla komissio on ylittänyt toimivallan, joka sille annetaan direktiivin 95/46 25 artiklan 6 kohdassa, luettuna perusoikeuskirjan valossa, joten kyseinen 3 artikla on pätemätön. |
105 |
Koska päätöksen 2000/520 1 ja 3 artiklaa ei voida erottaa päätöksen 2 ja 4 artiklasta eikä päätöksen liitteistä, niiden pätemättömyys vaikuttaa koko päätöksen pätevyyteen. |
106 |
Kaiken edellä esitetyn perusteella on katsottava, että päätös 2000/520 on pätemätön. |
Oikeudenkäyntikulut
107 |
Pääasian asianosaisten osalta asian käsittely unionin tuomioistuimessa on välivaihe kansallisessa tuomioistuimessa vireillä olevan asian käsittelyssä, minkä vuoksi kansallisen tuomioistuimen asiana on päättää oikeudenkäyntikulujen korvaamisesta. Oikeudenkäyntikuluja, jotka ovat aiheutuneet muille kuin näille asianosaisille huomautusten esittämisestä unionin tuomioistuimelle, ei voida määrätä korvattaviksi. |
Näillä perusteilla unionin tuomioistuin (suuri jaosto) on ratkaissut asian seuraavasti: |
|
|
Allekirjoitukset |
( * ) Oikeudenkäyntikieli: englanti.