Hof van Justitie EU 16 juli 2020 (Schrems II), zaak C‑311/18, ECLI:EU:C:2020:559

Hof van Justitie EU 16 juli 2020 (Schrems II), zaak C‑311/18, ECLI:EU:C:2020:559

Artikel 2, leden 1 en 2, van verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (Algemene Verordening Gegevensbescherming; AVG) moet aldus worden uitgelegd dat de doorgifte van persoonsgegevens voor commerciële doeleinden door een in een lidstaat gevestigde marktdeelnemer aan een andere, in een derde land gevestigde marktdeelnemer binnen de werkingssfeer van deze verordening valt, ook al kunnen deze gegevens tijdens of na die doorgifte door de autoriteiten van het betrokken derde land worden verwerkt ten behoeve van de openbare veiligheid, defensie en de veiligheid van de staat.

Artikel 46, lid 1 en lid 2, onder c), van verordening 2016/679 moet aldus worden uitgelegd dat de door deze bepaling vereiste passende waarborgen, afdwingbare rechten en doeltreffende rechtsmiddelen moeten verzekeren dat de rechten van personen wier persoonsgegevens op basis van standaardbepalingen inzake gegevensbescherming naar een derde land worden doorgegeven, in grote lijnen overeenkomen met het beschermingsniveau dat binnen de Europese Unie wordt gewaarborgd door die verordening, gelezen in het licht van het Handvest van de grondrechten van de Europese Unie. Daartoe moet bij de beoordeling van het bij een dergelijke doorgifte gewaarborgde beschermingsniveau rekening worden gehouden met zowel de contractuele bepalingen die zijn overeengekomen tussen de in de Europese Unie gevestigde verwerkingsverantwoordelijke of zijn in de Europese Unie gevestigde verwerker en de in het betrokken derde land gevestigde ontvanger van de doorgifte, als, wat een eventuele toegang van de overheidsinstanties van dat derde land tot de doorgegeven persoonsgegevens betreft, de relevante aspecten van het rechtsstelsel van dat derde land, met name die welke worden vermeld in artikel 45, lid 2, van die verordening.

Artikel 58, lid 2, onder f) en j), van verordening 2016/679 moet aldus worden uitgelegd dat de bevoegde toezichthoudende autoriteit, tenzij de Europese Commissie op geldige wijze een adequaatheidsbesluit heeft vastgesteld, ertoe verplicht is om de doorgifte van gegevens naar een derde land op basis van door de Commissie vastgestelde standaardbepalingen inzake gegevensbescherming op te schorten of te verbieden, wanneer deze toezichthoudende autoriteit, gelet op alle omstandigheden van die doorgifte, van oordeel is dat die bepalingen in dat derde land niet worden of niet kunnen worden nageleefd en dat de bescherming van de doorgegeven gegevens, zoals vereist door het Unierecht, inzonderheid door de artikelen 45 en 46 van deze verordening en door het Handvest van de grondrechten, niet kan worden gewaarborgd met andere middelen, indien de in de Unie gevestigde verwerkingsverantwoordelijke of zijn in de Unie gevestigde verwerker niet zelf de doorgifte heeft opgeschort of beëindigd.

Bij de toetsing van besluit 2010/87/EU van de Commissie van 5 februari 2010 betreffende modelcontractbepalingen voor de doorgifte van persoonsgegevens aan in derde landen gevestigde verwerkers krachtens richtlijn 95/46/EG van het Europees Parlement en de Raad, zoals gewijzigd bij uitvoeringsbesluit (EU) 2016/2297 van de Commissie van 16 december 2016, aan de artikelen 7, 8 en 47 van het Handvest van de grondrechten is niet gebleken van feiten of omstandigheden die de geldigheid van dat besluit kunnen aantasten.

Uitvoeringsbesluit (EU) 2016/1250 van de Commissie van 12 juli 2016 overeenkomstig richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de gepastheid van de door het EU-VS-privacyschild (Privacy Shield) geboden bescherming, is ongeldig.

Categorieën: Gegevensbeschermingsrecht

Tags: , , , , , , , , , ,