Υπόθεση Schrems II: Δημοσιέυθηκαν οι προτάσεις του Εισαγγελέα του Δικαστηρίου της ΕΕ για τη διαβίβαση δεδομένων σε εκτελούντες επεξεργασία εγκατεστημένους σε τρίτες χώρες
Δημοσιεύθηκαν οι προτάσεις του γενικό εισαγγελέα του Δικαστηρίου της Ευρωπαϊκής Ένωσης, H. Saugmandsgaard Øe, στην πολύκροτη υπόθεση Schrems II.
Σύμφωνα με τον Γενικό Εισαγγελέα, η απόφαση 2010/87/ΕΕ της Επιτροπής, σχετικά με τις τυποποιημένες συμβατικές ρήτρες για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε εκτελούντες επεξεργασία εγκατεστημένους σε τρίτες χώρες, είναι έγκυρη.
Ο Γενικός Κανονισμός για την Προστασία Δεδομένων (ΓΚΠΔ) , όπως και η οδηγία για την επεξεργασία δεδομένων προσωπικού χαρακτήρα την οποία αυτός αντικατέστησε (Οδηγία 95/46/ΕΚ), προβλέπει ότι επιτρέπεται να διαβιβάζονται δεδομένα προσωπικού χαρακτήρα σε τρίτη χώρα, αν η τρίτη χώρα εξασφαλίζει ικανοποιητικό επίπεδο προστασίας των δεδομένων αυτών.
Σε περίπτωση που δεν έχει εκδοθεί από την Επιτροπή απόφαση περί του ότι στην εν λόγω τρίτη χώρα εξασφαλίζεται ικανοποιητικό επίπεδο προστασίας, ο υπεύθυνος επεξεργασίας μπορεί να προχωρήσει, παρά ταύτα, στη διαβίβαση δεδομένων, εφόσον η διαβίβαση συνοδεύεται από κατάλληλες εγγυήσεις.
Διαβάστε σχετικά: Διασυνοριακή διαβίβαση προσωπικών δεδομένων στον GDPR
Οι εγγυήσεις μπορούν να λάβουν, μεταξύ άλλων, τη μορφή σύμβασης μεταξύ του εξαγωγέα και του εισαγωγέα των δεδομένων, η οποία περιλαμβάνει τυποποιημένες ρήτρες προστασίας που προβλέπονται σε απόφαση της Επιτροπής.
Με την απόφαση 2010/87/ΕΕ1, η Επιτροπή θέσπισε τυποποιημένες συμβατικές ρήτρες για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε εκτελούντες επεξεργασία εγκατεστημένους σε τρίτες χώρες. Η παρούσα υπόθεση αφορά το κύρος της απόφασης αυτής.
Τα πραγματικά περιστατικά και το ιστορικό της διαφοράς της κύριας δίκης
Η διαφορά της κύριας δίκης έχει ανακύψει σε συνέχεια διαδικασίας την οποία είχε κινήσει ο Maximillian Schrems, Αυστριακός χρήστης του Facebook, και η οποία έχει ήδη αποτελέσει αντικείμενο απόφασης του Δικαστηρίου εκδοθείσας στις 6 Οκτωβρίου 2015 (στο εξής: απόφαση Schrems)2.
Τα δεδομένα των χρηστών του Facebook που διαμένουν στην Ένωση, όπως ο M. Schrems, διαβιβάζονται, εν όλω ή εν μέρει, από τη Facebook Ireland, την ιρλανδική θυγατρική της Facebook Inc., σε διακομιστές που βρίσκονται στις Ηνωμένες Πολιτείες, όπου τα δεδομένα αυτά αποτελούν αντικείμενο επεξεργασίας. Το 2013 ο M. Schrems υπέβαλε καταγγελία στην ιρλανδική αρχή που είναι αρμόδια για τον έλεγχο της εφαρμογής των διατάξεων για την προστασία των δεδομένων προσωπικού χαρακτήρα (στο εξής: αρχή ελέγχου), θεωρώντας ότι βάσει των αποκαλύψεων στις οποίες προέβη ο Edward Snowden σχετικά με τις δραστηριότητες των υπηρεσιών πληροφοριών των Ηνωμένων Πολιτειών (ιδίως της National Security Agency ή «NSA»), η νομοθεσία και οι πρακτικές των Ηνωμένων Πολιτειών δεν παρέχουν ικανοποιητική προστασία από την παρακολούθηση, εκ μέρους των δημοσίων αρχών, των δεδομένων που διαβιβάζονται προς τις Ηνωμένες Πολιτείες. Η αρχή ελέγχου απέρριψε την καταγγελία αυτή, με την αιτιολογία, μεταξύ άλλων, ότι η Επιτροπή έκρινε στην από 26 Ιουλίου 2000 απόφασή της3 ότι, στο πλαίσιο του καθεστώτος «ασφαλούς λιμένα»4, οι Ηνωμένες Πολιτείες εξασφαλίζουν ικανοποιητικό επίπεδο προστασίας στα διαβιβαζόμενα δεδομένα προσωπικού χαρακτήρα.
Με την απόφαση Schrems το Δικαστήριο, απαντώντας σε ερώτημα που υπέβαλε το High Court (Ανώτατο Δικαστήριο, Ιρλανδία), έκρινε ότι η απόφαση περί «ασφαλούς λιμένα» είναι ανίσχυρη.
Μετά την έκδοση της απόφασης Schrems το αιτούν δικαστήριο ακύρωσε την απόφαση με την οποία η αρχή ελέγχου είχε απορρίψει την καταγγελία του M. Schrems και ανέπεμψε την καταγγελία στην εν λόγω αρχή για εξέταση. Η αρχή ελέγχου κίνησε διαδικασία έρευνας και κάλεσε τον M. Schrems να αναδιατυπώσει την καταγγελία του, λαμβάνοντας υπόψη ότι η απόφαση περί «ασφαλούς λιμένα» κρίθηκε ανίσχυρη.
Για τον σκοπό αυτό, ο M. Schrems ζήτησε από τη Facebook Ireland να προσδιορίσει τη νομική βάση επί της οποίας στηρίζονται οι διαβιβάσεις δεδομένων προσωπικού χαρακτήρα των χρηστών του Facebook από την Ένωση προς τις Ηνωμένες Πολιτείες. Η Facebook Ireland αναφέρθηκε σε συναφθείσα μεταξύ αυτής και της Facebook Inc. συμφωνία για τη διαβίβαση και επεξεργασία δεδομένων (data transfer processing agreement), η οποία εφαρμοζόταν από τις 20 Νοεμβρίου 2015, και επικαλέστηκε την απόφαση 2010/87.
Με την καταγγελία του, όπως αυτή αναδιατυπώθηκε, ο M. Schrems υποστηρίζει, αφενός, ότι οι ρήτρες που περιλαμβάνονται στην ανωτέρω συμφωνία δεν είναι σύμφωνες προς τις τυποποιημένες συμβατικές ρήτρες που προβλέπονται από την απόφαση 2010/87 και, αφετέρου, ότι, εν πάση περιπτώσει, οι εν λόγω τυποποιημένες συμβατικές ρήτρες δεν θα μπορούσαν να αποτελέσουν τη βάση για τη διαβίβαση των δεδομένων προσωπικού χαρακτήρα που τον αφορούν προς τις Ηνωμένες Πολιτείες. Ο M. Schrems υποστηρίζει, ειδικότερα, ότι δεν υφίσταται κανένα ένδικο βοήθημα που θα έδινε τη δυνατότητα στους ενδιαφερομένους να προβάλλουν εντός των Ηνωμένων Πολιτειών τα δικαιώματά τους για σεβασμό της ιδιωτικής ζωής και για προστασία των δεδομένων προσωπικού χαρακτήρα. Υπό τις συνθήκες αυτές, ο M. Schrems ζητεί από την αρχή ελέγχου να αναστείλει τη διαβίβαση των δεδομένων, κατ’ εφαρμογήν της απόφασης 2010/87.
Σκοπός της έρευνας που διεξήχθη από την αρχή ελέγχου ήταν να εξακριβωθεί αν οι Ηνωμένες Πολιτείες εξασφαλίζουν ικανοποιητική προστασία των δεδομένων προσωπικού χαρακτήρα των πολιτών της Ένωσης και, σε περίπτωση που δεν ισχύει κάτι τέτοιο, αν η χρήση των τυποποιημένων συμβατικών ρητρών παρέχει επαρκείς εγγυήσεις όσον αφορά την προστασία των θεμελιωδών ελευθεριών και δικαιωμάτων των προσώπων αυτών. Η αρχή ελέγχου, φρονώντας ότι η εξέταση της καταγγελίας του M. Schrems εξαρτάται από το ζήτημα του κύρους της απόφασης 2010/87, προσέφυγε ενώπιον του High Court, προκειμένου το δικαστήριο αυτό να ζητήσει από το Δικαστήριο να παράσχει διευκρινίσεις ως προς το συγκεκριμένο ζήτημα. Το High Court υπέβαλε αίτηση προδικαστικής απόφασης, σύμφωνα με το σχετικό αίτημα της εν λόγω αρχής.
Οι προτάσεις του Γεν. Εισαγγελέα
Με τις σημερινές προτάσεις του ο γενικός εισαγγελέας Henrik Saugmandsgaard Øe προτείνει στο Δικαστήριο να απαντήσει ότι από την εξέταση των υποβληθέντων προδικαστικών ερωτημάτων δεν προέκυψαν στοιχεία ικανά να θίξουν το κύρος της απόφασης 2010/87.
Ο γενικός εισαγγελέας επισημαίνει, κατ’ αρχάς, ότι το κρίσιμο ζήτημα στη διαφορά της κύριας δίκης είναι να κριθεί αν είναι έγκυρη η απόφαση 2010/87, με την οποία η Επιτροπή θέσπισε τις τυποποιημένες συμβατικές ρήτρες των οποίων έγινε επίκληση προς στήριξη των διαβιβάσεων τις οποίες αφορά η καταγγελία του M. Schrems.
Κατά πρώτον, ο γενικός εισαγγελέας εκτιμά ότι το δίκαιο της Ένωσης εφαρμόζεται στις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα όταν οι διαβιβάσεις αυτές εξυπηρετούν εμπορικούς σκοπούς, ακόμη και αν τα δεδομένα που διαβιβάζονται ενδέχεται να υποστούν εκ μέρους των δημόσιων αρχών της εν λόγω τρίτης χώρας επεξεργασία για σκοπούς εθνικής ασφάλειας.
Κατά δεύτερον, ο γενικός εισαγγελέας διαπιστώνει ότι οι διατάξεις του ΓΚΠΔ σχετικά με τις διαβιβάσεις προς τρίτες χώρες έχουν ως σκοπό να διασφαλίζουν τη συνέχεια ενός υψηλού επιπέδου προστασίας των δεδομένων προσωπικού χαρακτήρα, είτε τα δεδομένα διαβιβάζονται βάσει απόφασης περί επαρκούς προστασίας είτε δυνάμει κατάλληλων εγγυήσεων που παρέχονται από τον εξαγωγέα. Ωστόσο, κατά την άποψή του, ο τρόπος με τον οποίο επιτυγχάνεται ο σκοπός αυτός διαφέρει ανάλογα με τη νομική βάση στην οποία στηρίζεται η διαβίβαση. Αφενός, η απόφαση περί επαρκούς προστασίας έχει ως αντικείμενο τη διαπίστωση ότι, λόγω της νομοθεσίας και των πρακτικών που εφαρμόζονται σε συγκεκριμένη τρίτη χώρα, το επίπεδο προστασίας που εξασφαλίζει η χώρα αυτή για τα θεμελιώδη δικαιώματα των προσώπων των οποίων τα δεδομένα διαβιβάζονται είναι ουσιαστικά ισοδύναμο με αυτό που απορρέει από τον ΓΚΠΔ, όπως αυτός ερμηνεύεται υπό το πρίσμα του Χάρτη. Αφετέρου, στην περίπτωση των κατάλληλων εγγυήσεων που παρέχονται από τον εξαγωγέα, μεταξύ άλλων, με τη μορφή σύμβασης, πρέπει να εξασφαλίζεται από τις ίδιες τις εγγυήσεις ένα τέτοιο επίπεδο προστασίας. Στο πλαίσιο αυτό, οι τυποποιημένες συμβατικές ρήτρες που έχουν εγκριθεί από την Επιτροπή προβλέπουν έναν γενικό μηχανισμό που εφαρμόζεται στις διαβιβάσεις δεδομένων, όποια και αν είναι η τρίτη χώρα προορισμού και το επίπεδο προστασίας που εξασφαλίζεται σε αυτήν.
Κατά τρίτον, ο γενικός εισαγγελέας εξετάζει το κύρος της απόφασης 2010/87 υπό το πρίσμα του Χάρτη. Εκτιμά ότι το γεγονός ότι η εν λόγω απόφαση και οι τυποποιημένες συμβατικές ρήτρες που περιλαμβάνονται σε αυτή δεν δεσμεύουν τις αρχές της τρίτης χώρας προορισμού και, επομένως, δεν τις εμποδίζουν να επιβάλουν στον εισαγωγέα υποχρεώσεις που δεν συνάδουν με την τήρηση αυτών των ρητρών δεν καθιστά, αφεαυτού, την απόφαση ανίσχυρη. Η συμβατότητα της απόφασης 2010/87 με τον Χάρτη εξαρτάται από το κατά πόσον υφίστανται επαρκώς αποτελεσματικοί μηχανισμοί που εξασφαλίζουν ότι οι διαβιβάσεις δεδομένων οι οποίες βασίζονται σε τυποποιημένες συμβατικές ρήτρες αναστέλλονται ή απαγορεύονται σε περίπτωση παραβιάσεως ή αδυναμίας τηρήσεως των ρητρών αυτών.
Κατά την άποψη του γενικού εισαγγελέα, κάτι τέτοιο ισχύει στο μέτρο που υφίσταται υποχρέωση –των υπεύθυνων της επεξεργασίας και, σε περίπτωση αδράνειας αυτών, των αρχών ελέγχου– για την αναστολή ή την απαγόρευση της διαβίβασης, όταν, λόγω σύγκρουσης μεταξύ των υποχρεώσεων που απορρέουν από τις τυποποιημένες ρήτρες και εκείνων που επιβάλλονται από τη νομοθεσία της τρίτης χώρας προορισμού, δεν είναι δυνατή η συμμόρφωση προς τις εν λόγω ρήτρες.
Επιπλέον, ο γενικός εισαγγελέας διαπιστώνει ότι το αιτούν δικαστήριο αμφισβητεί εμμέσως ορισμένες από τις εκτιμήσεις που διατυπώθηκαν από την Επιτροπή στην απόφαση της 12ης Ιουλίου 2016, η οποία είναι γνωστή ως απόφαση «ασπίδα προστασίας της ιδιωτικής ζωής»5.
Με την απόφαση αυτή η Επιτροπή διαπίστωσε ότι οι Ηνωμένες Πολιτείες εξασφαλίζουν επαρκές επίπεδο προστασίας των δεδομένων που διαβιβάζονται από την Ένωση στο πλαίσιο του καθεστώτος που θεσπίζεται με την απόφαση αυτή, λαμβανομένων υπόψη, μεταξύ άλλων, των διασφαλίσεων που προβλέπονται σε σχέση με την πρόσβαση των αμερικανικών αρχών πληροφοριών στα δεδομένα καθώς και της έννομης προστασίας που παρέχεται στα πρόσωπα των οποίων τα δεδομένα διαβιβάζονται . Κατά τον γενικό εισαγγελέα, για την επίλυση της διαφοράς της κύριας δίκης δεν απαιτείται το Δικαστήριο να αποφανθεί επί του κύρους της απόφασης «ασπίδα προστασίας της ιδιωτικής ζωής», δεδομένου ότι η επίμαχη διαφορά αφορά αποκλειστικά και μόνο το κύρος της απόφασης 2010/87. Ωστόσο, ο γενικός εισαγγελέας εκθέτει επικουρικώς τους λόγους για τους οποίους διατηρεί αμφιβολίες ως προς το κύρος της απόφασης «ασπίδα προστασίας της ιδιωτικής ζωής», υπό το πρίσμα των δικαιωμάτων σεβασμού της ιδιωτικής ζωής και προστασίας των δεδομένων προσωπικού χαρακτήρα, καθώς και του δικαιώματος αποτελεσματικής προσφυγής.
Οι προτάσεις του γενικού εισαγγελέα δεν δεσμεύουν το Δικαστήριο. Έργο του γενικού εισαγγελέα είναι να προτείνει στο Δικαστήριο, με πλήρη ανεξαρτησία, νομική λύση για την υπόθεση που του έχει ανατεθεί. Η υπόθεση τελεί υπό διάσκεψη στο Δικαστήριο. Η απόφαση θα εκδοθεί αργότερα.
Το πλήρες κείμενο των προτάσεων είναι διαθέσιμο στην ιστοσελίδα CURIA από την ημερομηνία δημοσιεύσεώς τους
- 1.Απόφαση της Επιτροπής, της 5ης Φεβρουαρίου 2010, σχετικά με τις τυποποιημένες συμβατικές ρήτρες για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε εκτελούντες επεξεργασία εγκατεστημένους σε τρίτες χώρες βάσει της οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (ΕΕ 2010, L 39, σ. 5), όπως τροποποιήθηκε με την εκτελεστική απόφαση (ΕΕ) 2016/2297 της Επιτροπής, της 16ης Δεκεμβρίου 2016 (ΕΕ 2016, L 344, σ. 100)
- 2.Απόφαση του Δικαστηρίου της 6ης Οκτωβρίου 2015, Schrems, C-362/14, βλ., επίσης, ΑΤ αριθ. 117/15)
- 3.Απόφαση 2000/520/ΕΚ της Επιτροπής, της 26ης Ιουλίου 2000, βάσει της οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, σχετικά με την επάρκεια της προστασίας που παρέχεται από τις αρχές ασφαλούς λιμένα για την προστασία της ιδιωτικής ζωής και τις συναφείς συχνές ερωτήσεις που εκδίδονται από το Υπουργείο Εμπορίου των ΗΠΑ (ΕΕ 2000, L 215, σ. 7).
- 4.Το καθεστώς ασφαλούς λιμένα περιλαμβάνει αρχές που αφορούν την προστασία των δεδομένων προσωπικού χαρακτήρα, τις οποίες μπορούν να υιοθετήσουν οικειοθελώς οι αμερικανικές επιχειρήσεις.
- 5.Εκτελεστική απόφαση (ΕΕ) 2016/1250 της Επιτροπής, της 12ης Ιουλίου 2016, σχετικά με την επάρκεια της προστασίας που παρέχεται από την ασπίδα προστασίας της ιδιωτικής ζωής ΕΕ-ΗΠΑ βάσει της [οδηγίας 95/46] (ΕΕ 2016, L 207, σ. 1).