lagen.
EU-domstolen

Förslag till avgörande av generaladvokat Henrik Saugmandsgaard Øe föredraget den 19 december 2019

CELEX
62018CC0311
Typ
EU-domstolen

Källa

1 Originalspråk: franska.

2 Se artikel 45 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 2016, s. 1) (nedan kallad dataskyddsförordningen).

3 Se artikel 46 i dataskyddsförordningen.

4 Se artikel 49 i dataskyddsförordningen.

5 Kommissionens beslut av den 5 februari 2010 om standardavtalsklausuler för överföring av personuppgifter till registerförare etablerade i tredjeland i enlighet med Europaparlamentets och rådets direktiv 95/46/EG (EUT L 39, 2010, s. 5), i dess lydelse enligt kommissionens genomförandebeslut (EU) 2016/2297 av den 16 december 2016 (EUT L 344, 2016, s. 100) (nedan kallat beslut 2010/87).

6 Kommissionens beslut av den 12 juli 2016 enligt [direktiv 95/46] om huruvida ett adekvat skydd säkerställs genom skölden för skydd av privatlivet i EU och Förenta staterna (EUT L 207, 2016, s. 1) (nedan kallat beslutet om skölden för skydd av privatlivet).

7 Se tal av den tidigare Europeiska datatillsynsmannen (EDPS) P. Hustinx, Le droit de l’Union européenne sur la protection des données: la révision de la directive 95/46/CE et la proposition de règlement général sur la protection des données, s. 49, på adressen https://edps.europa.eu/sites/edp/files/publication/14–09–15_article_eui_fr.pdf.

8 Europaparlamentets och rådets direktiv av den 24 oktober 1995 (EGT L 281, 1995, s. 31), i dess lydelse enligt Europaparlamentets och rådets förordning (EG) nr 1882/2003 av den 29 september 2003 (EUT L 284, 2003, s. 1) (nedan kallat direktiv 95/46).

9 Kommissionens beslut 2001/497/EG av den 15 juni 2001 om standardavtalsklausuler för överföring av personuppgifter till tredje land enligt direktiv [95/46] (EGT L 181, 2001, s. 19), kommissionens beslut 2004/915/EG av den 27 december 2004 om ändring av beslut [2001/497] om standardavtalsklausuler för överföring av personuppgifter till tredje land (EUT L 385, 2004, s. 74) och beslut 2010/87.

10 Kommissionens beslut av den 16 december 2016 om ändring av beslut [2001/497] och [2010/87] rörande standardavtalsklausuler för överföring av personuppgifter till tredjeländer och till registerförare etablerade i tredjeländer i enlighet med [direktiv 95/46] (EUT L 344, 2016, s. 100).

11 Beslut av den 26 juli 2000 i enlighet med direktiv [95/46] (EGT L 215, 2000, s. 7) (nedan kallat Safe Harbor-beslutet).

12 C‑362/14 ( EU:C:2015:650) (nedan kallad domen Schrems).

13 Se domen Schrems (punkt 106).

14 50 U.S.C. 1881 a.

15 50 U.S.C. 1881 e.

16 Den hänskjutande domstolen har konstaterat att förfarandena för målinriktning avser det sätt på vilket den verkställande makten fastställer att en viss person skäligen kan antas vara en icke-amerikansk person som befinner sig utanför Förenta staterna och att målinriktning på denna person kan resultera i inhämtande av utländska underrättelseuppgifter. Förfarandena för minimering omfattar inhämtande, lagring, användning och spridning av all icke offentlig information om amerikanska personer som erhållits enligt avsnitt 702 i FISA.

17 EO 12333, punkt 3.5 e.

18 133 S.Ct. 1138 (2013).

19 Den hänskjutande domstolen har konstaterat att det emellertid finns ett undantag från principen att det inte krävs någon upplysning till den person som omfattas av en övervakningsåtgärd, nämligen om den amerikanska regeringen försöker använda uppgifter som samlats in enligt avsnitt 702 i FISA mot denna person inom ramen för ett straffrättsligt eller administrativt förfarande.

20 Den hänskjutande domstolen har särskilt påpekat att även om bestämmelserna i Privacy Act (lag om skydd för privatlivet), enligt vilken fysiska personer ska ges tillgång till information rörande dem som vissa organ innehar i samband med vissa tredjeländer, har utsträckts till unionsmedborgarna genom Judicial Redress Act (JRA) (lag om rätt till domstolsprövning), finns NSA inte med bland de organ som förtecknas i JRA.

21 Den hänskjutande domstolen har på denna punkt hänvisat till bilaga III A till beslutet om skölden för skydd av privatlivet (se punkterna 37 och 38 ovan).

22 Den hänskjutande domstolen har hänvisat till domen av den 27 januari 2005, Denuit och Cordenier ( C‑125/04, EU:C:2005:69, punkt 12).

23 I skäl 11 i beslut 2010/87 anges följande: Tillsynsmyndigheterna i medlemsstaterna har en nyckelroll i samband med denna avtalsmekanism när det gäller att se till att personuppgifter omfattas av tillräckligt skydd efter överföring. I de undantagsfall då uppgiftsutföraren vägrar eller inte kan ge uppgiftsinföraren korrekta instruktioner och det finns en överhängande risk för att de registrerade lider allvarlig skada, bör standardavtalsklausulerna medge tillsynsmyndigheterna rätten att genomföra inspektioner hos uppgiftsinförare och underentreprenörer och i förekommande fall fatta beslut som är bindande för uppgiftsinföraren eller underentreprenören. Tillsynsmyndigheterna bör ha rätt att förbjuda eller avbryta en uppgiftsöverföring eller en serie överföringar som sker enligt standardavtalsklausuler i de undantagsfall där det fastställts att en överföring på avtalsbasis sannolikt har en avsevärt skadlig inverkan på de garantier och åtaganden som ska säkerställa adekvat skydd för den registrerade.

24 Facebook Ireland överklagade beslutet om att begära förhandsavgörande till Supreme Court (Högsta domstolen, Irland). Överklagandet ogillades genom dom av den 31 maj 2019, Data Protection Commissioner mot Facebook Ireland Limited och Maximillian Schrems, överklagande nr 2018/68 (nedan kallad domen från Supreme Court (Högsta domstolen) av den 31 maj 2019).

25 BSA har uppgett att 70 % av de företag som är medlemmar i BSA och som har svarat på en undersökning rörande denna fråga har förklarat att de använder standardavtalsklausuler som den huvudsakliga grunden för överföring av personuppgifter till tredjeländer. Även Digitaleurope bedömer att standardavtalsklausulerna utgör det huvudsakliga rättsliga instrumentet till stöd för överföring av personuppgifter.

26 Även om den hänskjutande domstolen har angett att begäran om förhandsavgörande avser giltigheten av de tre besluten om standardavtalsklausuler, eftersom dessa prövades i DPC:s utkast till beslut och domen av den 3 oktober 2017, hänvisas i giltighetsfrågorna uteslutande till beslut 2010/87. Detta beror på att Facebook Ireland vid den hänskjutande domstolen angav att detta beslut utgör den rättsliga grunden för överföringen av uppgifterna rörande de europeiska användarna av det sociala nätverket Facebook till Förenta staterna. Min bedömning avser således endast detta beslut.

27 Se punkterna 167 till 186 nedan.

28 Se, bland annat, dom av den 10 december 2018, Wightman m.fl. ( C‑621/18, EU:C:2018:999, punkt 27), och dom av den 19 november 2019, A. K. m.fl. (Oberoendet för avdelningen för disciplinära mål vid högsta domstolen) ( C‑585/18, C‑624/18 och C‑625/18, EU:C:2019:982, punkt 98).

29 Se artiklarna 94.1 och 99.1 i dataskyddsförordningen.

30 Det ska betonas att enligt artikel 46.5 i dataskyddsförordningen ska de beslut som fattats av kommissionen på grundval av artikel 26.4 i direktiv 95/46 förbli i kraft tills de ändrats, ersatts eller upphävts.

31 Se, bland annat, dom av den 7 februari 1979, Frankrike/kommissionen ( 15/76 och 16/76, EU:C:1979:29, punkt 7), dom av den 17 maj 2001, IECC/kommissionen ( C‑449/98 P, EU:C:2001:275, punkt 87), och dom av den 17 oktober 2013, Schaible ( C‑101/12, EU:C:2013:661, punkt 50).

32 Se, bland annat, dom av den 16 april 2015, parlamentet/rådet ( C‑540/13, EU:C:2015:224, punkt 35), dom av den 16 april 2015, parlamentet/rådet ( C‑317/13 och C‑679/13, EU:C:2015:223, punkt 45), och dom av den 22 september 2016, parlamentet/rådet ( C‑14/15 och C‑116/15, EU:C:2016:715, punkt 48).

33 Det ska särskilt påpekas att i domen Schrems bedömde domstolen giltigheten av Safe Harbor-beslutet mot bakgrund av bestämmelserna i stadgan, vilken antogs vid en senare tidpunkt än det beslutet. Se även dom av den 17 mars 2011, AJD Tuna ( C‑221/09, EU:C:2011:153, punkt 48), och dom av den 11 juni 2015, Pfeifer & Langen ( C‑51/14, EU:C:2015:380, punkt 42).

34 Se, bland annat, dom av den 15 juli 2010, Pannon Gép Centrum ( C‑368/09, EU:C:2010:441, punkterna 30–35), dom av den 10 februari 2011, Andersson ( C‑30/10, EU:C:2011:66, punkterna 20 och 21), och dom av den 25 oktober 2018, Roche Lietuva ( C‑413/17, EU:C:2018:865, punkterna 17–20).

35 Se förslag till avgörande av generaladvokaten Bobek i målet Fashion ID ( C‑40/17, EU:C:2018:1039, punkt 87).

36 Se punkt 87 ovan.

37 Se, för ett liknande resonemang, dom av den 1 april 1982, Holdijk m.fl. ( 141/81 till 143/81, EU:C:1982:122, punkt 5), och dom av den 9 december 2003, Gasser ( C‑116/02, EU:C:2003:657, punkt 27).

38 Se, för ett liknande resonemang, dom av den 30 maj 2006, parlamentet/rådet och kommissionen ( C‑317/04 och C‑318/04, EU:C:2006:346, punkt 56) (nedan kallad domen PNR), och domen Schrems (punkt 45). Artikel 4.2 i dataskyddsförordningen återger i allt väsentligt den definition av begreppet behandling som gavs i artikel 2 b i direktiv 95/46.

39 Enligt artikel 3.1 i dataskyddsförordningen ska denna förordning tillämpas på all behandling av personuppgifter inom ramen för den verksamhet som bedrivs av en personuppgiftsansvarig eller ett personuppgiftsbiträde som är etablerad i unionen, oavsett om behandlingen utförs i unionen eller inte. Frågan om huruvida unionsrätten är tillämplig på behandling som ett tredjelands underrättelsetjänster utför utanför unionen ska skiljas från frågan om relevansen av de regler och den praxis som kringgärdar denna behandling i tredjelandet i fråga när det gäller att avgöra huruvida en adekvat skyddsnivå säkerställs där. Det sistnämnda är föremål för den andra giltighetsfrågan och behandlas i punkterna 201–229 nedan.

40 I mitt förslag till avgörande i målet Ministerio Fiscal ( C‑207/16, EU:C:2018:300, punkt 47) betonade jag skillnaden mellan, å ena sidan, direkt behandling av personuppgifter inom ramen för statens regala verksamhet och, å andra sidan, kommersiell behandling som följs av att offentliga myndigheter använder personuppgifterna.

41 På samma sätt prövade domstolen i yttrande 1/15 (PNR-avtalet mellan EU och Kanada) av den 26 juli 2017 ( EU:C:2017:592) (nedan kallat yttrande 1/15) huruvida ett förslag till internationellt avtal mellan Kanada och unionen avseende personuppgifter, som när de väl överförts till Kanada var avsedda att behandlas av de offentliga myndigheterna i syfte att skydda den nationella säkerheten, var förenligt med artiklarna 7, 8 och 47 i stadgan.

42 Domen Schrems (punkt 73). Domstolen har bekräftat detta konstaterande i yttrande 1/15 (punkt 134).

43 I artikel 26.2 i direktiv 95/46 föreskrevs att en medlemsstat får tillåta en sådan överföring om den registeransvarige ställer tillräckliga garantier för att privatliv och enskilda personers grundläggande fri- och rättigheter skyddas samt för utövningen av motsvarande rättigheter (min kursivering). Begreppen tillräckliga garantier och lämpliga skyddsåtgärder, vilka används i nämnda bestämmelse respektive artikel 46.1 i dataskyddsförordningen, har enligt min mening samma innebörd.

44 I skäl 6 i dataskyddsförordningen anges att en hög skyddsnivå för personuppgifter bör säkerställas inom unionen såväl som vid överföring till tredjeländer. Se även skäl 101 i dataskyddsförordningen.

45 Se domen Schrems (punkt 73) och yttrande 1/15 (punkt 214).

46 Detta påverkar inte möjligheten att även i avsaknad av lämpliga skyddsåtgärder överföra personuppgifter i enlighet med de undantag som föreskrivs i artikel 49.1 i dataskyddsförordningen.

47 Se punkt 128 nedan.

48 Föreställ dig till exempel att ett tredjeland föreskriver en skyldighet för telekomtjänsteleverantörer att ge de offentliga myndigheterna åtkomst till de överförda uppgifterna utan några begränsningar eller garantier. Även om dessa leverantörer då inte förmår uppfylla standardavtalsklausulerna, är de företag som inte ålagts denna skyldighet dock inte förhindrade från att uppfylla dem.

49 Det ska dock påpekas att enligt klausul 5 d i är uppgiftsinföraren befriad från skyldigheten att underrätta uppgiftsutföraren om en rättsligt bindande begäran från rättsliga myndigheter i tredjelandet om utlämnande av personuppgifter, om tredjelandets lagstiftning utgör hinder för en sådan underrättelse. I ett sådant fall har uppgiftsutföraren inte möjlighet att avbryta överföringen om detta utlämnande – som han inte har kännedom om – strider mot standardklausulerna. Emellertid är uppgiftsinföraren enligt klausul 5 a fortsatt skyldig att i förekommande fall informera uppgiftsutföraren om den omständigheten att han anser att lagstiftningen i tredjelandet i fråga hindrar honom från att uppfylla sina skyldigheter enligt de överenskomna avtalsklausulerna.

50 Av rättspraxis framgår att bestämmelserna i en genomföranderättsakt ska tolkas i överensstämmelse med bestämmelserna i den grundrättsakt genom vilken lagstiftaren har godkänt antagandet av genomföranderättsakten (se, för ett liknande resonemang, bland annat, dom av den 26 juli 2017, Republiken Tjeckien/kommissionen, C‑696/15 P, EU:C:2017:595, punkt 51, dom av den 17 maj 2018, Evonik Degussa C‑229/17, EU:C:2018:323, punkt 29, och dom av den 20 juni 2019, ExxonMobil Production Deutschland, C‑682/17, EU:C:2019:518, punkt 112). Dessutom ska en unionsrättsakt så långt det är möjligt tolkas på ett sätt som inte påverkar dess giltighet och som överensstämmer med primärrätten i dess helhet, bland annat med bestämmelserna i stadgan (se, bland annat, dom av den 14 maj 2019, M m.fl. (Återkallande av flyktingstatus), C‑391/16, C‑77/17 och C‑78/17, EU:C:2019:403, punkt 77 och där angiven rättspraxis).

51 I skäl 109 i dataskyddsförordningen uppmuntras uppgiftsutföraren och uppgiftsinföraren att utöver de standardiserade dataskyddsbestämmelserna vidta ytterligare skyddsåtgärder, bland annat genom avtal.

52 Även om det i artikel 4.1 i beslut 2010/87 hänvisas till artikel 28.3 i direktiv 95/46 ska det erinras om att enligt artikel 94.2 i dataskyddsförordningen ska hänvisningar till detta direktiv anses som hänvisningar till motsvarande bestämmelser i dataskyddsförordningen.

53 Se skälen 6 och 7 i beslut 2016/2297. I punkterna 101–104 i domen Schrems fastslog domstolen att en bestämmelse i Safe Harbor-beslutet genom vilken de befogenheter som tillsynsmyndigheterna tilldelats genom artikel 28 i direktiv 95/46 begränsades till undantagsfall var ogiltig, eftersom kommissionen inte var behörig att inskränka dessa befogenheter.

54 Se domen Schrems (punkt 103).

55 Ingressen till en unionsrättsakt har i vart fall inget rättsligt bindande värde och kan inte åberopas till stöd för undantag från bestämmelserna i rättsakten. Se dom av den 19 november 1998, Nilsson m.fl. ( C‑162/97, EU:C:1998:554, punkt 54), dom av den 12 maj 2005, Meta Fackler ( C‑444/03, EU:C:2005:288, punkt 25), och dom av den 10 januari 2006, IATA och ELFAA ( C‑344/04, EU:C:2006:10, punkt 76).

56 Se, analogt, domen Schrems (punkt 63).

57 Det ska tilläggas att enligt klausul 8.2 i bilagan till beslut 2010/87 är avtalsparterna överens om att låta tillsynsmyndigheten genomföra inspektioner hos uppgiftsinföraren på samma villkor som skulle gälla för en revision hos uppgiftsutföraren enligt tillämplig lagstiftning.

58 Se, för ett liknande resonemang, domen Schrems (punkt 43).

59 Enligt skäl 141 i dataskyddsförordningen bör varje person ha rätt till ett effektivt rättsmedel i enlighet med artikel 47 i stadgan, om tillsynsmyndigheten inte agerar när så är nödvändigt för att skydda [vederbörandes] rättigheter. Se även skälen 129 och 143 i dataskyddsförordningen.

60 Se, bland annat, dom av den 28 juli 2011, Samba Diouf ( C‑69/10, EU:C:2011:524, punkt 57), och dom av den 17 november 2011, Gaydarov ( C‑430/10, EU:C:2011:749, punkt 41).

61 Se dom av den 5 juni 2018, Wirtschaftsakademie Schleswig-Holstein ( C‑210/16, EU:C:2018:388, punkterna 69–73).

62 Se artikel 56.1 i dataskyddsförordningen. Enligt artikel 61 i denna förordning är tillsynsmyndigheterna skyldiga att bistå varandra. Enligt artikel 62 i samma förordning får de genomföra gemensamma insatser.

63 Se artikel 65 i dataskyddsförordningen.

64 Se artikel 64.2 i dataskyddsförordningen.

65 I artikel 83.5 c i dataskyddsförordningen föreskrivs även att den personuppgiftsansvarige ska påföras sanktionsavgifter vid överträdelse av artiklarna 44–49 i denna förordning.

66 Se punkt 175 nedan.

67 Dom av High Court (Förvaltningsöverdomstolen) av den 3 oktober 2017 (punkt 337).

68 I domen från Supreme Court (Högsta domstolen) av den 31 maj 2019 (punkt 2.7) konstateras att [t]he sole relief claimed by the DPC is, in substance, a reference to the CJEU under Article 267 [TFEU]. I punkt 2.9 i samma dom konstateras vidare följande: Here, the only issue of substance which arises before either the Irish courts or the CJEU is the question of the validity or otherwise of Union measures. Whatever the view taken by the CJEU on that issue, the Irish courts will have no further role, for the measures under question will either be found to be valid or invalid and in either event, that will be the end of the matter (min kursivering).

69 Se punkt 124 ovan.

70 Av detta samma skäl uttryckte Supreme Court (Högsta domstolen) i sin dom av den 31 maj 2019 (punkterna 8.1–8.5), även om den medgav att den inte är behörig att ifrågasätta den hänskjutande domstolens beslut att ställa giltighetsfrågor till domstolen eller ändra deras ordalydelse, tvivel om huruvida vissa av frågorna är nödvändiga. I punkt 8.5 i den domen anges särskilt följande: The sole purpose of the proceedings before the courts in Ireland was to enable the High Court to refer that question of validity to the CJEU and obtain a definitive answer from the only court which has competence to make the decision in question. It is difficult, therefore, to see how the High Court needs answers to many of the questions which have been referred, for the answers to those questions are only relevant to the question of the validity of the challenged measures….

71 Se skälen 64–141 i beslutet om skölden för skydd av privatlivet. Det ska erinras om att som det framgår av artikel 1.2 i detta beslut utgörs skölden för skydd av privatlivet inte endast av de principer som de företag som vill överföra uppgifter på grundval av nämnda beslut måste följa, utan också av de officiella utfästelser och åtaganden som erhållits från Förenta staternas regering och som framgår av de dokument som är bifogade beslutet.

72 DPC:s utkast till beslut antogs före beslutet om skölden för skydd av privatlivet. Som DPC angav i utkastet hade den, även om den preliminärt konstaterade att de garantier som föreskrivs i Förenta staternas lagstiftning åtminstone inte gör det möjligt att säkerställa att överföringar till detta tredje land är förenliga med artikel 47 i stadgan, i detta skede inte granskat eller beaktat de nya arrangemang som förutsågs i utkastet till avtal avseende skölden för skydd, eftersom detta inte ännu hade antagits. High Court (Förvaltningsöverdomstolen) konstaterade följande i punkt 307 i domen av den 3 oktober 2017: It is fair to conclude… that the decision of the Commission in regard to the adequacy of the protections afforded to EU citizens against interference by the intelligence authorities in the [U.S.] with the fundamental rights of EU citizens whose data are transferred from the [EU] to the [U.S.], conflicts with the case made by the DPC to this court.

73 Se artikel 1.1 och 1.3 samt skälen 14–16 i beslutet om skölden för skydd av privatlivet.

74 Det anhängiga målet T-738/16, La Quadrature du Net m.fl./kommissionen (EUT C 6, 2017, s. 39).

75 Det ska dessutom påpekas att DPC i sina skriftliga yttranden inte har tagit ställning till inverkan av beslutet om skölden för skydd av privatlivet på prövningen av den anmälan som ingetts till den.

76 Se domen Schrems (punkt 78).

77 Till stöd för detta påstående har Maximillian Schrems gjort gällande att när det gäller behandlingen av personuppgifter rörande användarna av det sociala nätverket Facebook bör Facebook Inc. inte endast betraktas som ett personuppgiftsbiträde, utan också som en personuppgiftsansvarig i den mening som avses i artikel 4.7 i dataskyddsförordningen. Se dom av den 5 juni 2018, Wirtschaftsakademie Schleswig-Holstein ( C‑210/16, EU:C:2018:388, punkt 30).

78 Se domen från High Court (Förvaltningsöverdomstolen) av den 3 oktober 2017 (punkt 66).

79 Se webbplatsen för skölden för skydd av uppgifter (https://www.privacyshield.gov/participant_search).

80 Se, för ett liknande resonemang, domen Schrems (punkt 59).

81 Se skäl 65 i beslutet om skölden för skydd av privatlivet.

82 Se bilagorna III–VII till beslutet om skölden för skydd av privatlivet.

83 Parlamentets resolution av den 6 april 2017 om huruvida ett adekvat skydd säkerställs genom skölden för skydd av privatlivet i EU och USA, P8_TA(2017)0131, och av den 5 juli 2018 om huruvida ett adekvat skydd säkerställs genom skölden för skydd av privatlivet i EU och USA, P8_TA(2018)0315.

84 Se Artikel 29-arbetsgruppen för skydd av personuppgifter (nedan kallad Artikel 29-arbetsgruppen), Opinion 1/2016 on the EU-U.S. Privacy Shield draft adequacy decision, 13 april 2016, WP 238; Artikel 29-arbetsgruppen, EU-US Privacy Shield – First Annual Joint Review, 28 november 2017, WP 255, och EDPB, EU-US Privacy Shield – Second Annual Joint Review, 22 januari 2019. Artikel 29-arbetsgruppen inrättades enligt artikel 29.1 i direktiv 95/46, där det angavs att den skulle vara rådgivande och oberoende. I enlighet med artikel 29.2 bestod gruppen av en företrädare för varje nationell tillsynsmyndighet, en företrädare för varje myndighet som inrättats för gemenskapens institutioner och organ samt en företrädare för kommissionen. I och med att dataskyddsförordningen trädde i kraft ersattes Artikel 29-arbetsgruppen av EDPB (se artikel 94.2 i denna förordning).

85 Se EDPS, yttrande 4/2016 av den 30 maj 2016 om utkastet till beslut om huruvida ett adekvat skydd säkerställs genom bestämmelserna om integritetsskydd mellan EU och Förenta staterna. EDPS inrättades genom artikel 1.2 i Europaparlamentets och rådets förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinstitutionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter (EGT L 8, 2001, s. 1). EDPS utövar tillsyn över tillämpningen av bestämmelserna i denna förordning.

86 Se punkt 112 ovan.

87 Det ska erinras om att en utvärdering av huruvida den skyddsnivå som garanteras av ett tredjeland är väsentligen likvärdig den som krävs inom unionen också ska göras när den personuppgiftsansvarige eller, vid behov, den behöriga tillsynsmyndigheten, inom ramen för en specifik överföring som grundar sig på de standardavtalsklausuler som föreskrivs i beslut 2010/87, kontrollerar huruvida de offentliga myndigheterna i det tredjeland som är bestämmelseland ålägger uppgiftsinföraren krav som går utöver vad som är nödvändigt i ett demokratiskt samhälle (se klausul 5 i bilagan till beslut 2010/87 och tillhörande fotnot). Se punkterna 115, 134 och 135 ovan.

88 Se punkt 117 ovan.

89 Se punkt 197 ovan.

90 Se, bland annat, dom av den 6 november 2003, Lindqvist ( C‑101/01, EU:C:2003:596, punkterna 43 och 44), domen PNR (punkt 58), dom av den 16 december 2008, Satakunnan Markkinapörssi och Satamedia ( C‑73/07, EU:C:2008:727, punkt 41), dom av den 21 december 2016, Tele2 Sverige och Watson m.fl. ( C‑203/15 och C‑698/15, EU:C:2016:970, punkt 69) (nedan kallad domen Tele2 Sverige), och dom av den 2 oktober 2018, Ministerio Fiscal ( C‑207/16, EU:C:2018:788, punkt 32) (nedan kallad domen Ministerio Fiscal).

91 För att undvika förvirring på denna punkt ska det betonas att kommissionen i beslutet om skölden för skydd av privatlivet inte kunde avgöra om Förenta staterna faktiskt avlyssnar kommunikationer under överföringen via de transatlantiska kablarna, eftersom de amerikanska myndigheterna inte hade vare sig bekräftat eller tillbakavisat detta påstående (se skäl 75 i detta beslut och skrivelsen från Robert Litt av den 22 februari 2016, som är bifogad i bilaga VI.I a till beslutet). Eftersom Förenta staternas regering inte hade förnekat att uppgifter som är under överföring samlas in med stöd av EO 12333, borde kommissionen emellertid enligt min mening, innan den konstaterade att skyddet var tillräckligt, ha erhållit försäkringar från den amerikanska regeringen om att en sådan insamling, för det fallet att den äger rum, kringgärdas av tillräckliga garantier mot riskerna för missbruk. Det var mot denna bakgrund som kommissionen i skälen 68–77 i nämnda beslut granskade de begränsningar och garantier som i enlighet med PPD 28 ska tillämpas i en sådan situation.

92 Det rörde sig om kommissionens beslut 2004/535/EG av den 14 maj 2004 om adekvat skydd av personuppgifter som finns i Passenger Name Record för flygpassagerare som överförs till Förenta staternas tull- och gränsskyddsmyndighet (EUT L 235, 2004, s. 11).

93 Domen PNR (punkterna 56–58). I domen av den 10 februari 2009, Irland/parlamentet och rådet ( C‑301/06, EU:C:2009:68, punkterna 90 och 91) fastslog domstolen vidare att resonemanget i domen PNR inte kunde överföras på den behandling som avsågs i Europaparlamentets och rådets direktiv 2006/24/EG av den 15 mars 2006 om lagring av uppgifter som genererats eller behandlats i samband med tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät och om ändring av direktiv 2002/58/EG (EUT L 105, 2006, s. 54). Domstolen motiverade detta konstaterande med den omständigheten att till skillnad från det beslut som avsågs i domen PNR reglerade direktiv 2006/24 uteslutande tjänsteleverantörers verksamhet på den inre marknaden och innebar inte någon reglering av offentliga brottsbekämpande myndigheters verksamhet. Genom detta resonemang verkar det som om domstolen e contrario ansåg att resonemanget i domen PNR kunde ha överförts på bestämmelser om dessa myndigheters tillgång till eller användning av de lagrade uppgifterna.

94 Domen Tele2 Sverige (punkterna 67–81).

95 Europaparlamentets och rådets direktiv av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation) (EGT L 201, 2002, s. 37).

96 Eftersom direktiv 2002/58 konkretiserar kraven i direktiv 95/46, vilket har upphävts genom dataskyddsförordningen som till stor del har samma innehåll, är rättspraxisen avseende tolkningen av artikel 1.3 i direktiv 2002/58 enligt min mening analogt tillämplig på tolkningen av artikel 2.2 i dataskyddsförordningen. Se, för ett liknande resonemang, domen Tele2 Sverige (punkt 69) och domen Ministerio Fiscal (punkt 32).

97 Domen Ministerio Fiscal (punkterna 34, 35 och 37).

98 Samma fråga har ställts i ytterligare tre begäranden om förhandsavgörande som är anhängiga vid domstolen. Se mål C‑623/17, Privacy International (EUT C 22, 2018, s. 29) och de förenade målen C‑511/18 och C‑512/18, La Quadrature du Net m.fl. och French Data Network m.fl. (EUT C 392, 2018, s. 7).

99 Även om domstolen i domen Tele2 Sverige koncentrerade sig på att pröva huruvida de ingrepp som följde av de ifrågavarande åtgärderna för lagring och åtkomst var motiverade mot bakgrund av syftet att bekämpa brottsligheten, gäller den slutsats som den kom fram till även, med nödvändig anpassning, när sådana åtgärder syftar till att skydda den nationella säkerheten. I artikel 15.1 i direktiv 2002/58 anges nämligen, bland de syften som kan motivera sådana åtgärder, såväl brottsbekämpning som skyddet av den nationella säkerheten. Enligt artikel 1.3 i direktiv 2002/58 och artikel 2.2 i dataskyddsförordningen är dessutom statens verksamhet inom såväl området nationell säkerhet som det straffrättsliga området uteslutna från tillämpningsområdet för dessa rättsakter. De åtgärder som avsågs i det mål som föranledde domen Tele2 Sverige hade dessutom även ett syfte som var kopplat till den nationella säkerheten. I punkt 119 i den domen uttalade sig domstolen uttryckligen om huruvida åtgärder som avsåg lagring och åtkomst till trafik- och lokaliseringsuppgifter var motiverade mot bakgrund av syftet att skydda den nationella säkerheten, i den del det omfattade kampen mot terrorism.

100 Domen Tele2 Sverige (punkt 78, min kursivering). Som användningen av ordet dessutom visar var det endast till stöd för sitt konstaterande avseende tillämpligheten av direktiv 2002/58 som domstolen, i punkt 79 i den domen, betonade det nära sambandet mellan skyldigheten att lagra uppgifterna i fråga i det mål som föranlett den domen och bestämmelserna om de nationella myndigheternas åtkomst till de lagrade uppgifterna.

101 Domen Ministerio Fiscal (punkt 37, min kursivering).

102 Se, för ett liknande resonemang, domen Ministerio Fiscal (punkt 38).

103 Se, för ett liknande resonemang, dom av den 13 maj 2014, Google Spain och Google ( C‑131/12, EU:C:2014:317, punkt 28).

104 Domen Schrems (punkterna 91–96). I skälen 90, 124 och 141 i beslutet om skölden för skydd av privatlivet hänvisar kommissionen dessutom till bestämmelserna i stadgan och godtar således principen att begränsningar av de grundläggande rättigheterna i syfte att skydda den nationella säkerheten måste vara förenliga med stadgan.

105 Se, för ett liknande resonemang, domen Schrems (punkterna 74 och 75).

106 Se, för ett liknande resonemang, EDPB, EU-US Privacy Shield – Second Annual Joint Review, 22 januari 2019 (s. 17, punkt 86).

107 Se artikel 45.5 i dataskyddsförordningen. Se även domen Schrems (punkt 76).

108 Således förklarades Safe Harbor-beslutet ogiltigt av det skälet att kommissionen i sitt beslut inte hade angett att Förenta staterna faktiskt säkerställde en adekvat skyddsnivå i sin interna lagstiftning eller på grund av sina internationella förpliktelser (domen Schrems, punkt 97). Framför allt hade kommissionen inte konstaterat att det fanns vare sig regler som staten antagit i syfte att begränsa eventuella ingrepp i de registrerades grundläggande rättigheter (domen Schrems, punkt 88) eller ett effektivt rättsligt skydd mot sådana ingrepp (domen Schrems, punkt 89).

109 Dess konstateranden sammanfattas i punkterna 54–73 ovan.

110 Se, bland annat, dom av den 4 maj 1999, Sürül ( C‑262/96, EU:C:1999:228, punkt 95), dom av den 11 september 2008, Eckelkamp m.fl. ( C‑11/07, EU:C:2008:489, punkt 32), och dom av den 26 oktober 2016, Senior Home ( C‑195/15, EU:C:2016:804, punkt 20).

111 Se dom från Supreme Court (Högsta domstolen) av den 31 maj 2019 (punkt 6.18).

112 Se dom av den 13 maj 1981, International Chemical Corporation ( 66/80, EU:C:1981:102, punkterna 12 och 13).

113 Se dom av den 22 mars 2012, GLS ( C‑338/10, EU:C:2012:158, punkterna 15, 33 och 34), i vilken domstolen, vid bedömningen av giltigheten av en förordning om införande av en antidumpningstull, beaktade statistik från Eurostat som kommissionen hade lagt fram på begäran av domstolen. Se även dom av den 22 oktober 1991, Nölle ( C‑16/90, EU:C:1991:402, punkterna 17, 23 och 24). Likaså beaktade domstolen i domen Schrems (punkt 90) vissa meddelanden från kommissionen inom ramen för sin prövning av huruvida Safe Harbor-beslutet var giltigt.

114 Domen Schrems (punkterna 73 och 74).

115 Se, för ett liknande resonemang, Artikel 29-arbetsgruppen, Adequacy Referential (updated), 28 november 2017, WP 254 (s. 3, 4 och 9).

116 I artikel 8.2 i Europakonventionen används emellertid inte begreppet det väsentliga innehållet i rätten till respekt för privatlivet. Se fotnot 161 nedan.

117 Europadomstolen, 19 juni 2018 (CE:ECHR:2018:0619JUD003525208) (nedan kallad domen Centrum för Rättvisa).

118 Europadomstolen, 13 september 2018 (CE:ECHR:2018:0913JUD005817013) (nedan kallad domen Big Brother Watch).

119 Se de mål som det hänvisas till i fotnot 98 ovan och målet C‑520/18, Ordre des barreaux francophones et germanophone m.fl. (EUT C 408, 2018, s. 39).

120 Även om en behandling samtidigt kan strida mot både artikel 7 och artikel 8 i stadgan är den relevanta bedömningsramen vad gäller tillämpningen av artikel 8 strukturellt olik den som gäller för artikel 7. Rätten till skydd för personuppgifter innebär enligt artikel 8.2 i stadgan att [d]essa uppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund och att [v]ar och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem. En kränkning av denna rättighet förutsätter att personuppgifterna har behandlats i strid med dessa krav. Detta är fallet bland annat om behandlingen inte vilar vare sig på den registrerades samtycke eller på någon annan legitim och lagenlig grund. Medan frågan om huruvida ett ingrepp föreligger och frågan om huruvida ingreppet är motiverat är konceptuellt olika frågor inom ramen för artikel 7 överlappar de varandra när det gäller artikel 8 i stadgan.

121 I artikel 2 andra stycket led b i direktiv 2002/58 definieras begreppet trafikuppgifter som alla uppgifter som behandlas i syfte att överföra en kommunikation via ett elektroniskt kommunikationsnät eller för att fakturera den.

122 Se dom av den 8 april 2014, Digital Rights Ireland m.fl. ( C‑293/12 och C‑594/12, EU:C:2014:238, punkt 27) (nedan kallad domen Digital Rights Ireland), och domen Tele2 Sverige (punkt 99). Se även Europadomstolen, 2 augusti 1984, Malone mot Förenade kungariket (CE:ECHR:1984:0802JUD000869179, § 84), och 8 februari 2018, Ben Faiza mot Frankrike (CE:ECHR:2018:0208JUD003144612, § 66).

123 Se domen Digital Rights Ireland (punkt 33), yttrande 1/15 (punkt 124) och domen Ministerio Fiscal (punkt 51).

124 Se skälen 78–81 och bilaga VI.II till beslutet om skölden för skydd av privatlivet.

125 Se domen Digital Rights Ireland (punkt 32).

126 Se, för ett liknande resonemang, yttrande 1/15 (punkterna 124 och 125), varav det framgår att utlämnande av personuppgifter till tredje man utgör ett ingrepp i utövandet av de grundläggande rättigheterna för de berörda personerna oavsett hur de används senare.

127 Se, för ett liknande resonemang, domen Digital Rights Ireland (punkt 35), domen Schrems (punkt 87) och yttrande 1/15 (punkterna 123–126).

128 Se punkt 60 ovan.

129 PCLOB, Report on the Surveillance Program Operated Pursuant to Section 702 of the [FISA], 2 juli 2014 (nedan kallad rapporten från PCLOB), s. 84 och 111. Se även Artikel 29-arbetsgruppen, EU-U.S. Privacy Shield – First Annual Joint Review, 28 november 2017, WP 255 (B.1.1, s. 15).

130 Se fotnot 126 ovan.

131 Se punkt 222 ovan.

132 Se yttrande 1/15 (punkt 123 och där angiven rättspraxis).

133 Se, bland annat, yttrande 1/15 (punkt 146).

134 Se, bland annat, Europadomstolen, 2 augusti 1984, Malone mot Förenade kungariket (CE:ECHR:1984:0802JUD000869179, § 66), beslut av den 29 juni 2006, Weber och Saravia mot Tyskland (CE:ECHR:2006:0629DEC005493400, § 84 och där angiven rättspraxis) (nedan kallat beslutet Weber och Saravia) och dom av den 4 december 2015, Zakharov mot Ryssland (CE:ECHR:2015:1204JUD004714306, § 228) (nedan kallad domen Zakharov).

135 Se, bland annat, domen Digital Rights Ireland (punkterna 54 och 65), domen Schrems (punkt 91), domen Tele2 Sverige (punkt 109) och yttrande 1/15 (punkt 141).

136 Se, bland annat, beslut Weber och Saravia (§ 94 och 95), domen Zakharov (§ 236) och Europadomstolen, 12 januari 2016, Szabó och Vissy mot Ungern (CE:ECHR:2016:0112JUD003713814, § 59) (nedan kallad domen Szabó och Vissy).

137 Se domen Tele2 Sverige (punkt 117) och yttrande 1/15 (punkt 190). Se även, bland annat, Europadomstolen, 2 augusti 1984, Malone mot Förenade kungariket (CE:ECHR:1984:0802JUD000869179, § 67), domen Zakharov (§ 229) och domen Szabó och Vissy (§ 62). Europadomstolen har i dessa domar preciserat att kravet på förutsebarhet inte har samma innebörd i fråga om avlyssning av kommunikationer som inom andra områden. I samband med hemliga övervakningsåtgärder kan kravet på förutsebarhet inte innebära att enskilda måste ges möjlighet att förutse om och när hans eller hennes kommunikationer riskerar att avlyssnas av myndigheterna, så att vederbörande kan anpassa sitt beteende därefter.

138 Yttrande 1/15 (punkt 139). Se även, för ett liknande resonemang, Europadomstolen, 25 mars 1983, Silver m.fl. mot Förenade kungariket (CE:ECHR:1983:0325JUD000594772, § 88 och 89).

139 Skälen 69–77 och bilaga VI.I till beslutet om skölden för skydd av privatlivet innehåller en redogörelse för PPD 28. Där anges att detta presidentdirektiv är tillämpligt på såväl underrättelseverksamhet som grundar sig på avsnitt 702 i FISA som på underrättelseverksamhet som genomförs utanför Förenta staterna.

140 I punkt 3.7 c i EO 12333 anges följande: [t]his order is intended only to improve the internal management of the executive branch and is not intended to, and does not, create any right or benefit, substantive or procedural, enforceable at law or in equity, by any party against the United States, its departments, agencies or entities, its officers, employees, or agents, or any other person. I artikel 6 d i PPD 28 föreskrivs följande: This directive is not intended to, and does not, create any right or benefit, substantive or procedural, enforceable at law or in equity by any party against the United States, its departments, agencies, or entities, its officers, employees, or agents, or any other person.

141 Se, för ett liknande resonemang, EDPB, EU-U.S. Privacy Shield – Second Annual Joint Review, 22 januari 2019 (punkt 99).

142 Se skälen 69 och 77 i beslutet om skölden för skydd av privatlivet.

143 Skäl 76 i beslutet om skölden för skydd av privatlivet.

144 Se Europadomstolen, 25 mars 1983, Silver m.fl. mot Förenade kungariket (CE:ECHR:1983:0325JUD000594772, § 26 och 86).

145 Se punkterna 295–301 nedan. I domen Tele2 Sverige (punkterna 116 och 117) och yttrande 1/15 (punkterna 140 och 141) beskrevs villkoret att lagen ska vara förutsebar så, att det har ett nära samband med villkoret att ingreppet ska vara nödvändigt och proportionerligt. På samma sätt är förekomsten av effektiva garantier mot riskerna för missbruk enligt Europadomstolens rättspraxis en del av såväl villkoret att ingreppet ska vara förutsebart som villkoret att ingreppet ska vara nödvändigt i ett demokratiskt samhälle, och iakttagandet av dessa båda villkor prövas tillsammans. Se, bland annat, Europadomstolen, 18 maj 2010, Kennedy mot Förenade kungariket (CE:ECHR:2010:0518JUD002683905, § 155), domen Zakharov (§ 236), domen Centrum för Rättvisa (§ 107) och domen Big Brother Watch (§ 322).

146 Se även skäl 104 i dataskyddsförordningen.

147 Se domen Schrems (punkt 94). Se även domen Digital Rights Ireland (punkt 39) och domen Tele2 Sverige (punkt 101). Med beaktande av det nära sambandet mellan rätten till respekt för privatlivet och rätten till skydd för personuppgifter anser jag att en nationell åtgärd som ger offentliga myndigheter generell åtkomst till innehållet i kommunikationer också kränker det väsentliga innehållet i den rättighet som stadfästs i artikel 8 i stadgan.

148 Se punkt 257 ovan. I domen Tele2 (punkt 99) betonade domstolen att metadata särskilt gör det möjligt att kartlägga de berörda personerna. Artikel 29-arbetsgruppen påpekade i sitt yttrande 4/2014 om övervakning av elektronisk kommunikation för ändamål som rör underrättelse och nationell säkerhet av den 10 april 2014, WP 215 (s. 5) att metadata tack vare sin strukturerade karaktär är enklare att aggregera och analysera än datainnehållet.

149 Se domen Tele2 Sverige (punkt 99). Vissa kommentatorer har frågat sig huruvida åtskillnaden mellan generell åtkomst till innehållet i kommunikationerna och generell åtkomst till metadata är välgrundad, mot bakgrund av den tekniska utvecklingen och utvecklingen av kommunikationssätten. Se Falot, N. och Hijmans, H., Tele2: de afweging tussen privacy en veiligheid nader omlijnd, Nederlands Tijdschrift voor Europees Recht, nr 3, 2017 (s. 48) och Ojanen, T., Making essence of the rights real: the Court of Justice of the European Union clarifies the structure of fundamental rights under the Charter (kommentar till domen Schrems), European Constitutional Law Review, 2016 (s. 5).

150 Se fotnot 87 i beslutet om skölden för skydd av privatlivet. Enligt vad EPIC har angett i sina synpunkter och enligt det skriftliga svaret från Förenta staternas regering på de frågor som domstolen ställt krävde FISC emellertid år 2017 att sökningarna rörande en urvalsterm skulle upphöra på grund av oegentligheter som förekommit vid sökningar av denna typ. Kongressen har dock, i den akt om nytt godkännande av FISA som antogs 2018, föreskrivit möjligheten att återinföra denna typ av sökningar efter medgivande av FISC och kongressen. Se även EDPB, EU-U.S. Privacy Shield – Second Annual Joint Review, 22 januari 2019 (s. 27, punkt 55).

151 Den hänskjutande domstolen gjorde i punkterna 188 och 189 i sin dom av den 3 oktober 2017 åtskillnad mellan å ena sidan sökning i bulk och å andra sidan inhämtning, insamling eller lagring i bulk. Den hänskjutande domstolen anser att även om programmet Upstream innebär sökning i bulk i alla de flöden av uppgifter som överförs via ryggraden för telekommunikationer, är inhämtningen, insamlingen och lagringen riktade i den meningen att de endast avser de uppgifter som innehåller urvalstermerna i fråga.

152 Se, för ett liknande resonemang, domen från Supreme Court (Högsta domstolen) av den 31 maj 2019 (punkterna 11.2 och 11.3). I denna dom konstaterades följande: [I]t is inevitable that any screening process designed to identify data of interest will necessarily involve all of the data available, for the whole point of the screening process is to identify within that entire universe of available data the relevant material which may be of interest and thus require closer scrutiny. Perhaps part of the problem lies in the fact that the term processing covers a wide range of activity, apparently, in the view of the DPC, including screening. On the assumption that that is a correct view of the law, then it is technically correct to describe bulk screening as involving indiscriminate processing. But the use of that terminology might be taken to imply that other forms of processing, which are significantly more invasive, are carried out on an indiscriminate basis.

153 Se yttrande 1/15 (punkt 122). Se även rapporten från Europeiska kommissionen för demokrati genom lag (Venedigkommissionen) Rapport sur le contrôle démocratique des agences de collecte de renseignements d’origine électromagnétique, 15 december 2015, studie nr 719/2013 (CDL-AD(2015)011, s. 11): Frågan om huruvida denna process på ett lämpligt sätt begränsar onödiga intrång i oskyldiga personliga kommunikationer betyder i praktiken att det måste avgöras huruvida urvalstermen är tillräckligt relevant och specifik och huruvida algoritmen i det program som används för att identifiera relevanta uppgifter inom ramen för de valda parametrarna är av tillfredsställande kvalitet….

154 Se punkterna 297–301 nedan.

155 Yttrande 1/15 (punkt 150).

156 Se skälen 70, 103 och 109 i beslutet om skölden för skydd av privatlivet.

157 Se skälen 83–87 och bilaga VI.I c till beslutet om skölden för skydd av privatlivet. Det ska påpekas att enligt rapporten från PCLOB (s. 51–66) avser de flesta aspekterna av NSA:s förfaranden för minimering i enlighet med avsnitt 702 i FISA endast amerikanska personer. PPD 28 syftar till att utsträcka de tillämpliga garantierna till icke-amerikanska personer. Se PCLOB, Report to the President on the Implementation of [PPD 28]: Signals Intelligence Activities, som finns på adressen https://www.pclob.gov/reports/report-PPD28/(s. 2). Med detta sagt omfattas enligt min mening lagringen och användningen av uppgifterna i syften som avser den nationella säkerheten efter det att de offentliga myndigheterna har inhämtat dem inte av unionsrättens tillämpningsområde (se punkt 226 ovan). Huruvida den skyddsnivå som säkerställs inom ramen för denna verksamhet är adekvat ska således bedömas endast mot bakgrund av artikel 8 i Europakonventionen.

158 Se punkterna 283–289 nedan.

159 I skäl 127 i beslutet om skölden för skydd av privatlivet konstaterade kommission särskilt att det fjärde tillägget till Förenta staternas konstitution inte är tillämpligt på icke-amerikanska personer.

160 Se skälen 73 och 74 samt bilaga VI.I b till beslutet om skölden för skydd av privatlivet. Dessa ändamål inbegriper kampen mot spionage och andra hot och verksamheter som utländska makter riktar mot Förenta staterna och dess intressen, hot från terrorister, hot som följer av utveckling, innehav, spridning eller användning av massförstörelsevapen, hot mot cybersäkerheten, hot mot den amerikanska försvarsmakten eller Förenta staternas allierade och hot från gränsöverskridande brottslighet. Enligt fotnot 5 i PPD 28 är begränsningen av de ändamål som motiverar användning av uppgifter som samlats in i bulk inte tillämplig när insamlingen endast är tillfällig och avsedd att underlätta en riktad insamling.

161 Även om bestämmelserna i Europakonventionen inte innehåller begreppet det väsentliga innehållet i de grundläggande rättigheterna, används det motsvarande begreppet själva kärnan i en grundläggande rättighet i Europadomstolens praxis avseende vissa av dessa bestämmelser. Se bland annat, vad gäller själva kärnan i rätten till en rättvis rättegång, vilken garanteras i artikel 6 i Europakonventionen, Europadomstolen, 25 maj 1985, Ashingdane mot Förenade kungariket (CE:ECHR:1985:0528JUD000822578, § 57 och 59), 21 december 2000, Heaney and McGuinness mot Irland (CE:ECHR:2000:1221JUD003472097, § 55 och 58), och 23 juni 2016, Baka mot Ungern (CE:ECHR:2016:0623JUD002026112, § 121). När det gäller själva kärnan i rätten att ingå äktenskap, vilken stadfästs i artikel 12 i Europakonventionen, se Europadomstolen, 11 juli 2002, Christine Goodwin mot Förenade kungariket (CE:ECHR:2002:0711JUD002895795, § 99 och 101). Beträffande själva kärnan i rätten till undervisning, vilken garanteras i artikel 2 i protokoll nr 1 till Europakonventionen, se Europadomstolen, 23 juli 1968, belgiska språkmålet (CE:ECHR:1968:0723JUD000147462, § 5).

162 Se, särskilt, domen Centrum för Rättvisa (§ 112–114 och där angiven rättspraxis) och domen Big Brother Watch (§ 337).

163 Se punkt 197 ovan.

164 Se artikel 23.1 a i dataskyddsförordningen.

165 Se domen Schrems (punkt 88). Domstolen har betraktat det närliggande begreppet allmän säkerhet, i den mening som avses i de bestämmelser i FEUF som tillåter undantag från de grundläggande friheter som garanteras i fördraget, som ett självständigt unionsrättsligt begrepp som omfattar såväl en medlemsstats inre som yttre säkerhet (se, bland annat, dom av den 26 oktober 1999, Sirdar, C‑273/97, EU:C:1999:523, punkt 17, och dom av den 13 september 2016, CS, C‑304/14, EU:C:2016:674, punkt 39 och där angiven rättspraxis). Medan den inre säkerheten kan påverkas bland annat genom ett direkt hot mot befolkningens trygghet och fysiska säkerhet i den berörda medlemsstaten, kan den yttre säkerheten påverkas bland annat av risken för en allvarlig störning i de yttre förbindelserna eller i den fredliga samexistensen mellan folken. Utan att unilateralt kunna fastställa innehållet i dessa begrepp har varje medlemsstat ett visst utrymme för skönsmässig bedömning när det gäller att fastställa sina väsentliga säkerhetsintressen. Se särskilt dom av den 2 maj 2018, K. och H. F. (Uppehållsrätt och anklagelser om krigsförbrytelser) ( C‑331/16 och C‑366/16, EU:C:2018:296, punkterna 40–42 och där angiven rättspraxis). Dessa konstateranden kan enligt min mening överföras på tolkningen av begreppet nationell säkerhet, som ett intresse vars skydd kan motivera begränsningar av bestämmelserna i dataskyddsförordningen och av de rättigheter som garanteras i artiklarna 7 och 8 i stadgan.

166 Se skäl 89 och fotnot 97 i beslutet om skölden för skydd av privatlivet.

167 Se punkt 55 ovan.

168 Se punkt 61 ovan.

169 I domen Centrum för Rättvisa (§ 111) slog Europadomstolen fast att övervakningsverksamhet som var avsedd att stödja Sveriges utrikespolitik, försvarspolitik och säkerhetspolitik samt identifiera externa hot som organiserades i Sverige syftade till legitima mål som avsåg den nationella säkerheten.

170 Se domen Tele2 Sverige (punkt 115) och domen Ministerio Fiscal (punkt 55). I dessa domar betonade domstolen att det intresse som har åberopats för att motivera ett ingrepp måste stå i proportion till hur allvarligt ingreppet är.

171 Artikel 29-arbetsgruppen har i sitt arbetsdokument Working Document on surveillance of electronic communications for intelligence and national security purposes av den 5 december 2014, WP 228 (s. 27), insisterat på vikten av att kritiskt utvärdera om övervakningen faktiskt genomförs i syften som avser den nationella säkerheten.

172 Se yttrande 1/15 (punkt 181), i vilket domstolen slog fast att ordalydelsen i de lagbestämmelser i vilka ingreppen föreskrevs inte uppfyllde kraven på tydlighet och precision, vilket innebar att dessa ingrepp inte var begränsade till vad som var strängt nödvändigt. Enligt samma synsätt ansåg generaladvokaten Bot i sitt förslag till avgörande i målet Schrems ( C‑362/14, EU:C:2015:627, punkterna 181–184) att syftena med övervakningsåtgärderna var alltför allmänt formulerade för att betraktas som mål av allmänintresse, utom vad gällde den nationella säkerheten.

173 EDPS uttryckte liknande tvivel i sitt yttrande 4/2016 av den 30 maj 2016 om utkastet till beslut om huruvida ett adekvat skydd säkerställs genom bestämmelserna om integritetsskydd mellan EU och Förenta staterna (s. 8).

174 Se dom av den 9 november 2010, Volker und Markus Schecke och Eifert ( C‑92/09 och C‑93/09, EU:C:2010:662, punkt 48), yttrande 1/15 (punkt 136) och dom av den 24 september 2019, Google (Territoriell räckvidd för borttagandet av länkar) ( C‑507/17, EU:C:2019:772, punkt 60).

175 Se, bland annat, dom av den 16 december 2008, Satakunnan Markkinapörssi och Satamedia ( C‑73/07, EU:C:2008:727, punkt 56), domen Digital Rights Ireland (punkterna 48 och 52), domen Schrems (punkterna 78 och 92) och yttrande 1/15 (punkterna 139 och 140). Se även skäl 140 i beslutet om skölden för skydd av privatlivet.

176 Domen Schrems (punkt 93). Se även, för ett liknande resonemang, domen Digital Rights Ireland (punkt 60).

177 Se domen Tele2 Sverige (punkt 120) och yttrande 1/15 (punkt 202).

178 I rapporten från PCLOB (s. 45) anges följande: With respect to the foreign intelligence purpose, the NSA targeting procedures require the analyst only to identify the foreign power or foreign territory regarding which the foreign intelligence information is to be acquired. By policy, but not as a requirement of the targeting procedures, the NSA also requires that all taskings be accompanied by a very brief statement (typically no more than one sentence long) that further explains the analyst’s rationale for assessing that tasking the selector in question will result in the acquisition of the types of foreign intelligence information authorized by the Section 702 certification.

179 Se, för ett liknande resonemang, Artikel 29-arbetsgruppen, Opinion 1/2016 on the EU-U.S. Privacy Shield draft adequacy decision, 13 april 2016, WP 238 (punkt 3.3.1, s. 38), parlamentets resolution av den 6 april 2017 om huruvida ett adekvat skydd säkerställs genom skölden för skydd av privatlivet i EU och USA, P8_TA(2017)0131 (punkt 17), och parlamentets betänkande av den 20 februari 2017 om stordatas effekter på de grundläggande rättigheterna: integritet, uppgiftsskydd, icke-diskriminering, säkerhet och brottsbekämpning, A8–0044/2017 (punkt 17).

180 Se, för ett liknande resonemang, Artikel 29-arbetsgruppen, EU-U.S. Privacy Shield – First Annual Joint Review, 28 november 2017, WP 255 (s. 3), parlamentets resolution av den 5 juli 2018 om huruvida ett adekvat skydd säkerställs genom skölden för skydd av privatlivet i EU och USA, P8_TA(2018)0315 (punkt 22), och EDPB, EU-U.S. Privacy Shield – Second Annual Joint Review, 22 januari 2019 (punkterna 81–83 och 87).

181 Se, bland annat, domen Zakharov (§ 232) och domen Szabó och Vissy (§ 57).

182 Se, bland annat, domen Zakharov (§ 237), domen Centrum för Rättvisa (§ 111) och domen Big Brother Watch (§ 322).

183 Se, bland annat, beslut Weber och Saravia (§ 95), Europadomstolen, 28 juni 2007, Association pour l’intégration européenne et les droits de l’homme och Ekimdjiev (CE:ECHR:2007:0628JUD006254000, § 76) och domen Zakharov (§ 231).

184 Se, bland annat, beslut Weber och Saravia (§ 106), domen Zakharov (§ 232) och domen Centrum för Rättvisa (§ 104).

185 Se, bland annat, Europadomstolen, 6 september 1978, Klass m.fl. mot Tyskland (CE:ECHR:1978:0906JUD000502971, § 55), domen Zakharov (§ 233) och domen Centrum för Rättvisa (§ 105).

186 Se, bland annat, domen Klass (§ 56), Europadomstolen, 18 maj 2010, Kennedy mot Förenade kungariket (CE:ECHR:2010:0518JUD002683905, § 167) och domen Zakharov (§ 233 och 258).

187 Se domen Szabó och Vissy (§ 77) och domen Centrum för Rättvisa (§ 133).

188 Detta gäller desto mer med beaktande av konstaterandena i punkt 281 ovan.

189 Se punkterna 330 och 331 nedan.

190 I förklaringarna avseende stadgan anges i detta hänseende att [e]nligt unionsrätten är skyddet [som föreskrivs i artikel 47 i stadgan] ännu mer omfattande [än det som erhålls genom artikel 13 i Europakonventionen], eftersom var och en har rätt att inför en behörig domstol använda sig av ett effektivt rättsmedel. Se även förslag till avgörande av generaladvokaten Wathelet i målet Berlioz Investment Fund ( C‑682/15, EU:C:2017:2, punkt 37).

191 Vid bedömningen av huruvida ett organ utgör en domstol i den mening som avses i artikel 47 i stadgan ska ett antal omständigheter beaktas, såsom huruvida organet är upprättat enligt lag, organet är av stadigvarande karaktär, dess jurisdiktion är av tvingande art, förfarandet är kontradiktoriskt, organet tillämpar rättsregler och huruvida det har en oberoende ställning. Se dom av den 27 februari 2018, Associação Sindical dos Juízes Portugueses ( C‑64/16, EU:C:2018:117, punkt 38 och där angiven rättspraxis).

192 Se, bland annat, dom av den 25 juli 2018, Minister for Justice and Equality (Brister i domstolssystemet) ( C‑216/18 PPU, EU:C:2018:586, punkterna 59 och 63), dom av den 5 november 2019, kommissionen/Polen (Allmänna domstolars oavhängighet) ( C‑192/18, EU:C:2019:924, punkt 106), och dom av den 19 november 2019, A. K. m.fl. (Oberoendet för avdelningen för disciplinära mål vid högsta domstolen) ( C‑585/18, C‑624/18 och C‑625/18, EU:C:2019:982, punkt 120).

193 Se punkt 293 ovan. I artikel 45.3 a i dataskyddsförordningen föreskrivs att kommissionen vid bedömningen av om skyddsnivån i ett tredjeland är adekvat ska beakta de faktiska möjligheterna till effektiv administrativ och rättslig prövning för de registrerade vars personuppgifter överförs (min kursivering). På samma sätt anges i skäl 104 i dataskyddsförordningen att som ett villkor för antagandet av ett beslut om adekvat skyddsnivå bör det krävas att de registrerade tillförsäkras effektiv administrativ och rättslig prövning i tredjelandet i fråga (min kursivering). Se även Artikel 29-arbetsgruppen, EU-U.S. Privacy Shield – First Annual Joint Review, 28 november 2017, WP 255 (punkt B.3), parlamentets resolution av den 5 juli 2018 om huruvida ett adekvat skydd säkerställs genom skölden för skydd av privatlivet i EU och USA, P8_TA(2018)0315 (punkterna 25 och 30), och EDPB, EU-U.S. Privacy Shield – Second Annual Joint Review, 22 januari 2019 (punkterna 94–97).

194 Se, för ett liknande resonemang, dom av den 28 februari 2013, Omprövning av domen Arango Jaramillo m.fl./EIB ( C‑334/12 RX-II, EU:C:2013:134, punkt 43).

195 Domen Schrems (punkt 95).

196 I artikel 15.1 i dataskyddsförordningen, under rubriken Den registrerades rätt till tillgång, föreskrivs att den registrerade ska ha rätt att av den personuppgiftsansvarige få bekräftelse på huruvida personuppgifter som rör honom eller henne håller på att behandlas och i så fall få tillgång till personuppgifterna. Den princip om tillgång som föreskrivs i punkt II.8 a i bilaga II till beslutet om skölden för skydd av privatlivet har samma innebörd.

197 Domen Tele2 Sverige (punkt 121) och yttrande 1/15 (punkt 220). Som Facebook Ireland har påpekat kan upplysning om att de offentliga myndigheterna fått tillgång till uppgifterna således inte krävas systematiskt. Europadomstolen har i detta sammanhang ansett att [d]et är kanske inte praktiskt möjligt att kräva en upplysning i efterhand, eftersom det hot som är föremål för övervakningsåtgärder kan bestå i åratal och till och med decennier efter det att åtgärderna har upphört, vilket innebär att upplysningen kan skada det långsiktiga syfte som ursprungligen motiverade övervakningen och avslöja underrättelsetjänsternas arbetsmetoder, deras verksamhetsområden och… deras agenters identitet (domen Zakharov, § 287 och där angiven rättspraxis). I avsaknad av en upplysning kan – även om de rättsmedel som är tillgängliga för enskilda då inte kan användas för det fallet att de rättsliga kraven har åsidosatts – andra garantier räcka för att skydda rätten till respekt för privatlivet (se även domen Centrum för Rättvisa, § 164–167 och 171–178). Se punkt 330 nedan.

198 Se fotnot 210 nedan.

199 Se punkt 67 ovan.

200 Se EDPB, EU-U.S. Privacy Shield – Second Annual Joint Review, 22 januari 2019 (s. 18, punkt 97).

201 Se, bland annat, dom av den 11 juli 1991, Verholen m.fl. ( C‑87/90C‑89/90, EU:C:1991:314, punkt 24 och där angiven rättspraxis), och dom av den 28 februari 2013, Réexamen Arango Jaramillo m.fl./EIB ( C‑334/12 RX-II, EU:C:2013:134, punkt 43).

202 Förenta staternas regering har emellertid, liksom den hänskjutande domstolen, preciserat att den person som en övervakningsåtgärd i enlighet med avsnitt 702 i FISA inriktas på ska informeras om åtgärden, om de insamlade uppgifterna används mot vederbörande inom ramen för ett domstolsförfarande.

203 Dom av den 20 maj 2003, Österreichischer Rundfunk m.fl. ( C‑465/00, C‑138/01 och C‑139/01, EU:C:2003:294, punkt 75), domen Digital Rights Ireland (punkt 33), domen Schrems (punkt 87) och yttrande 1/15 (punkt 124).

204 Dessa mekanismer beskrivs i skälen 95–110 i beslutet om skölden för skydd av privatlivet, där kommissionen, i kategorin regler som rör ett effektivt rättsligt skydd, skiljer mellan tillsynsmekanismer (se skälen 92–110) och rättslig prövning för enskilda (se skälen 111–124).

205 Se punkt 298 ovan.

206 I skäl 109 i beslutet om skölden för skydd av privatlivet anges att [j]ustitieministern och chefen för [NSA] kontrollerar efterlevnaden, och underrättelsetjänsterna är skyldiga att rapportera eventuella fall av bristande efterlevnad till FISC….

207 Se punkterna 333–340 nedan.

208 Se punkt 305 ovan.

209 I sin praxis avseende åtgärder för övervakning av telekommunikationer har Europadomstolen behandlat frågan om rättsmedel i samband med prövningen av huruvida ett ingrepp i utövandet av den rätt som garanteras i artikel 8 i Europakonventionen hade egenskapen av lag och var nödvändigt (se, bland annat, domen Zakharov, § 236, och domen Centrum för Rättvisa, § 107). I domen av den 1 juli 2008, Liberty m.fl. mot Förenade kungariket (CE:ECHR:2008:0701JUD005824300, § 73), och domen Zakharov, § 307, bedömde Europadomstolen, efter att ha konstaterat att artikel 8 i Europakonventionen hade åsidosatts, att det inte var nödvändigt att separat pröva en invändning som grundade sig på artikel 13 i denna konvention.

210 Europadomstolen har slagit fast att även om avsaknaden av upplysning i ett visst skede inte nödvändigtvis hindrar att en övervakningsåtgärd uppfyller villkoret nödvändighet i ett demokratiskt samhälle, hindrar det tillgången till domstol och följaktligen till ett effektivt rättsmedel (se, bland annat, dom av den 6 september 1978, Klass m.fl. mot Tyskland, CE:ECHR:1978:0906JUD000502971, § 57 och 58, beslut Weber och Saravia, § 135, och domen Zakharov, § 302).

211 Se, för ett liknande resonemang, domen Centrum för Rättvisa (§ 105).

212 I domen Big Brother Watch (§ 317) har Europadomstolen vägrat att bland de minimigarantier som är tillämpliga på en övervakningsordning som kännetecknas av massavlyssning av elektroniska kommunikationer infoga ett krav på att de berörda personerna ska upplysas om övervakningen. Se även domen Centrum för Rättvisa (§ 164). Dessa domar har hänskjutits till Europadomstolens stora avdelning i syfte att bland annat erhålla en omprövning av detta konstaterande.

213 Begreppet oberoende har för det första en extern aspekt, som förutsätter att den berörda instansen är skyddad mot yttre inblandning eller påtryckningar som kan äventyra dess ledamöters oberoende prövning av de tvister de har att avgöra. För det andra har detta begrepp en intern aspekt som sammanfaller med begreppet opartiskhet och som handlar om att avståndet gentemot parterna och deras respektive intressen vad gäller saken i målet ska vara detsamma. Se, bland annat, dom av den 19 september 2006, Wilson ( C‑506/04, EU:C:2006:587, punkterna 50–52), dom av den 25 juli 2018, Minister for Justice and Equality (Brister i domstolssystemet) ( C‑216/18 PPU, EU:C:2018:586, punkterna 63 och 65), och dom av den 19 november 2019, A. K. m.fl. (Oberoendet för avdelningen för disciplinära mål vid högsta domstolen) ( C‑585/18, C‑624/18 och C‑625/18, EU:C:2019:982, punkterna 121 och 122). I enlighet med principen om maktdelning ska domstolarnas oberoende garanteras bland annat gentemot den verkställande makten. Se dom av den 19 november 2019, A. K. m.fl. (Oberoendet för avdelningen för disciplinära mål vid högsta domstolen) ( C‑585/18, C‑624/18 och C‑625/18, EU:C:2019:982, punkt 127 och där angiven rättspraxis).

214 I bilaga III A till beslutet om skölden för skydd av privatlivet hänvisas i detta sammanhang till avsnitt 4 d i PPD 28.

215 Se skäl 116 i beslutet om skölden för skydd av privatlivet.

216 I domen av den 31 maj 2005, Syfait m.fl. ( C‑53/03, EU:C:2005:333, punkt 31), betonade domstolen betydelsen av sådana garantier för att uppfylla villkoret avseende oavhängighet. Se även dom av den 24 juni 2019, kommissionen/Polen (Högsta domstolens oavhängighet) ( C‑619/18, EU:C:2019:531, punkt 76), och dom av den 5 november 2019, kommissionen/Polen (Allmänna domstolars oavhängighet) ( C‑192/18, EU:C:2019:924, punkt 113).

217 Se skälen 65 och 121 samt bilaga III A.1 till beslutet om skölden för skydd av privatlivet.

218 I skäl 121 i beslutet om skölden för skydd av privatlivet anges dessutom att ombudsmannen kommer att behöva bekräfta att i) klagomålet har blivit ordentligt utrett och att ii) Förenta staternas relevanta lagstiftning – inklusive i synnerhet de begränsningar och garantier som anges i bilaga VI – har följts eller, vid bristande efterlevnad, sådana brister har åtgärdats.

219 Vid den tredje årliga översynen av skölden för skydd av uppgifter konstaterade kommissionen att enligt förklaringarna från Förenta staternas regering ska FISC, för det fallet att ombudsmannens utredning visar att de förfaranden för målinriktning och minimering som har godkänts av FISC har åsidosatts, uppmärksammas på detta åsidosättande. FISC ska då utföra en oberoende utredning och ska om nödvändigt förelägga den berörda underrättelsetjänsten att avhjälpa åsidosättandet. Se Commission staff working document accompanying the report from the Commission to the European Parliament and the Council on the third annual review of the functioning of the EU-U.S. Privacy Shield, 23 oktober 2019, SWD(2019) 390 final, s. 28. Kommissionen hänvisar där till dokumentet Privacy Shield Ombudsperson Mechanism Unclassified Implementation Procedure, som finns på adressen https://www.state.gov/wp-content/uploads/2018/12/Ombudsperson-Mechanism-Implementation-Procedures-UNCLASSIFIED.pdf (s. 4 och 5).

220 Se dom av den 16 maj 2017, Berlioz Investment Fund ( C‑682/15, EU:C:2017:373, punkt 55), och dom av den 13 december 2017, El Hassani ( C‑403/16, EU:C:2017:960, punkt 39).