Στο επίκεντρο η παρακολούθηση εκ μέρους των αμερικανικών αρχών – Έγκυρη, ωστόσο, η απόφαση για τις τυποποιημένες συμβατικές ρήτρες
Δημοσιεύθηκε πριν λίγη ώρα η πολυαναμενόμενη απόφαση του Δικαστηρίου της ΕΕ στην υπόθεση Schrems ΙΙ.
Με την απόφασή του το Δικαστήριο κηρύσσει ανίσχυρη την απόφαση 2016/1250 σχετικά με την επάρκεια της προστασίας που παρέχεται από την ασπίδα προστασίας της ιδιωτικής ζωής Ευρωπαϊκής Ένωσης-Ηνωμένων Πολιτειών.
Η απόφαση αναμένεται να έχει μεγάλες συνέπειες για τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα προς τις ΗΠΑ.
Υπενθυμίζεται πως και η προηγούμενη απόφαση της Ευρωπαϊκής Επιτροπής για τη διαβίβαση δεδομένων στις Ηνωμένες Πολιτείες (Safe Harbor) είχε κριθεί ανίσχυρη από το Δικαστήριο της ΕΕ, και πάλι έπειτα από προσφυγή του Max Schems (υπόθεση Schrems Ι)
Μεταξύ άλλων, το Δικαστήριο τόνισε στη νέα του απόφαση πως οι περιορισμοί της προστασίας των δεδομένων προσωπικού χαρακτήρα οι οποίοι απορρέουν από την εσωτερική κανονιστική ρύθμιση των Ηνωμένων Πολιτειών σχετικά με την πρόσβαση των αμερικανικών δημοσίων αρχών σε δεδομένα διαβιβαζόμενα από την Ένωση προς τις Ηνωμένες Πολιτείες και με την εκ μέρους τους χρήση τέτοιων δεδομένων δεν οριοθετούνται με τέτοιον τρόπο ώστε να ανταποκρίνονται σε απαιτήσεις ουσιαστικά ισοδύναμες με εκείνες τις οποίες επιβάλλει, κατά το δίκαιο της Ένωσης, η αρχή της αναλογικότητας, αφού τα προγράμματα παρακολούθησης που στηρίζονται στην κανονιστική αυτή ρύθμιση δεν περιορίζονται στο απολύτως αναγκαίο.
Βασιζόμενο στις διαπιστώσεις οι οποίες περιέχονται στην ίδια την απόφαση 2016/1250, το Δικαστήριο τονίζει ότι, σε σχέση με ορισμένα προγράμματα παρακολούθησης, ουδόλως προκύπτει από την εν λόγω κανονιστική ρύθμιση η ύπαρξη περιορισμών στην εξουσιοδότηση που παρέχεται για την εφαρμογή των προγραμμάτων αυτών, όπως δεν προκύπτει ούτε η ύπαρξη εγγυήσεων για τους μη Αμερικανούς πολίτες τους οποίους αφορούν εν δυνάμει τα σχετικά προγράμματα.
Το Δικαστήριο προσθέτει ότι η προαναφερθείσα κανονιστική ρύθμιση θέτει μεν απαιτήσεις τις οποίες οι αμερικανικές αρχές οφείλουν να τηρούν κατά την εφαρμογή των οικείων προγραμμάτων παρακολούθησης, πλην όμως δεν παρέχει στα υποκείμενα των δεδομένων εκτελεστά δικαιώματα που να μπορούν να προβληθούν έναντι των αμερικανικών αρχών ενώπιον δικαστηρίων.
Αντιθέτως, το Δικαστήριο έκρινε ότι η απόφαση 2010/87 της Επιτροπής σχετικά με τις τυποποιημένες συμβατικές ρήτρες για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε εκτελούντες επεξεργασία εγκατεστημένους σε τρίτες χώρες είναι έγκυρη.
Ιστορικό της υπόθεσης
Ο γενικός κανονισμός για την προστασία δεδομένων (ΓΚΠΔ) ορίζει ότι η διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα επιτρέπεται, κατ’ αρχήν, μόνον εάν η επίμαχη τρίτη χώρα εξασφαλίζει ικανοποιητικό επίπεδο προστασίας αυτών των δεδομένων. Κατά τον ως άνω κανονισμό, η Επιτροπή μπορεί να αποφανθεί ότι μια τρίτη χώρα εξασφαλίζει, μέσω της εσωτερικής της νομοθεσίας ή των διεθνών δεσμεύσεων που έχει αναλάβει, ικανοποιητικό επίπεδο προστασίας . Ελλείψει τέτοιας «αποφάσεως επάρκειας», η διαβίβαση μπορεί να πραγματοποιηθεί μόνον εφόσον ο εγκατεστημένος στην Ένωση εξαγωγέας δεδομένων παρέχει κατάλληλες εγγυήσεις, οι οποίες είναι δυνατόν να απορρέουν, μεταξύ άλλων, από τυποποιημένες ρήτρες προστασίας δεδομένων που θεσπίζονται από την Επιτροπή, και εφόσον τα υποκείμενα των δεδομένων διαθέτουν εκτελεστά δικαιώματα και αποτελεσματικά μέσα έννομης προστασίας . Εξάλλου, ο ΓΚΠΔ ορίζει επακριβώς υπό ποιες προϋποθέσεις μια τέτοια διαβίβαση μπορεί να πραγματοποιηθεί ελλείψει αποφάσεως επάρκειας ή κατάλληλων εγγυήσεων .
Ο Maximillian Schrems, Αυστριακός υπήκοος και κάτοικος Αυστρίας, είναι χρήστης του Facebook από το 2008. Τα προσωπικά δεδομένα του M. Schrems, όπως και των λοιπών χρηστών που κατοικούν εντός της Ένωσης, διαβιβάζονται εν όλω ή εν μέρει από τη Facebook Ireland σε διακομιστές που ανήκουν στη Facebook Inc. και είναι εγκατεστημένοι στις Ηνωμένες Πολιτείες, όπου τα δεδομένα αυτά υπόκεινται σε επεξεργασία. Ο M. Schrems υπέβαλε καταγγελία στην ιρλανδική αρχή ελέγχου ζητώντας, κατ’ ουσίαν, να απαγορευθούν οι διαβιβάσεις αυτές. Υποστήριξε ότι το δίκαιο και οι πρακτικές των Ηνωμένων Πολιτειών δεν προσφέρουν επαρκή προστασία έναντι της πρόσβασης των δημοσίων αρχών της χώρας αυτής στα δεδομένα που διαβιβάζονται εκεί. Η καταγγελία του απορρίφθηκε, με την αιτιολογία, ειδικότερα, ότι η Επιτροπή είχε διαπιστώσει με την απόφαση 2000/520 (γνωστή και ως απόφαση «ασφαλούς λιμένα») ότι οι Ηνωμένες Πολιτείες εξασφάλιζαν ικανοποιητικό επίπεδο προστασίας. Με απόφαση της 6ης Οκτωβρίου 2015, την οποία εξέδωσε επί προδικαστικής παραπομπής του High Court (ανώτερου δικαστηρίου, Ιρλανδία), το Δικαστήριο έκρινε την απόφαση εκείνη της Επιτροπής ανίσχυρη (στο εξής: απόφαση Schrems I) .
Κατόπιν της αποφάσεως Schrems I και της συνακόλουθης ακύρωσης, από το ιρλανδικό δικαστήριο, της απορριπτικής αποφάσεως επί της καταγγελίας του M. Schrems, η ιρλανδική αρχή ελέγχου τον κάλεσε να αναδιατυπώσει την καταγγελία του λαμβανομένης υπόψη της κήρυξης της αποφάσεως 2000/520 ως ανίσχυρης από το Δικαστήριο. Στην αναδιατυπωμένη καταγγελία του ο M. Schrems ισχυρίζεται ότι οι Ηνωμένες Πολιτείες δεν προσφέρουν επαρκή προστασία των δεδομένων που διαβιβάζονται εκεί. Ζητεί να ανασταλούν ή να απαγορευθούν, στο μέλλον, οι διαβιβάσεις δεδομένων προσωπικού χαρακτήρα από την Ένωση προς τις Ηνωμένες Πολιτείες, τις οποίες η Facebook Ireland πραγματοποιεί πλέον βάσει των τυποποιημένων ρητρών προστασίας που περιλαμβάνονται στο παράρτημα της αποφάσεως 2010/87 . Εκτιμώντας ότι η έκβαση της καταγγελίας του M. Schrems εξαρτάται, μεταξύ άλλων, από το κύρος της αποφάσεως 2010/87, η ιρλανδική αρχή ελέγχου κίνησε διαδικασία ενώπιον του High Court (ανώτερου δικαστηρίου) προκειμένου αυτό να υποβάλει στο Δικαστήριο αίτηση προδικαστικής αποφάσεως. Ενώ είχε ήδη κινηθεί η διαδικασία αυτή, η Επιτροπή εξέδωσε την απόφαση 2016/1250 σχετικά με την επάρκεια της προστασίας που παρέχεται από την ασπίδα προστασίας της ιδιωτικής ζωής Ευρωπαϊκής Ένωσης-Ηνωμένων Πολιτειών (γνωστή και ως απόφαση «ασπίδας προστασίας της ιδιωτικής ζωής»).
Με την αίτηση προδικαστικής αποφάσεως, το αιτούν δικαστήριο ζητεί από το Δικαστήριο διευκρινίσεις ως προς το κατά πόσον ο ΓΚΠΔ έχει εφαρμογή επί των διαβιβάσεων προσωπικών δεδομένων οι οποίες στηρίζονται στις τυποποιημένες ρήτρες προστασίας που περιλαμβάνονται στην απόφαση 2010/87, ως προς το επίπεδο προστασίας το οποίο απαιτείται βάσει του εν λόγω κανονισμού στην περίπτωση τέτοιας διαβίβασης και ως προς τις υποχρεώσεις που υπέχουν οι αρχές ελέγχου στο πλαίσιο αυτό. Επιπλέον, το High Court θέτει το ζήτημα του κύρους τόσο της αποφάσεως 2010/87 όσο και της αποφάσεως 2016/1250.
Απόφαση του Δικαστηρίου της ΕΕ
Με τη σημερινή του απόφαση, το Δικαστήριο διαπιστώνει ότι από την εξέταση της αποφάσεως 2010/87 υπό το πρίσμα του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης (στο εξής: Χάρτης) δεν προκύπτει κανένα στοιχείο ικανό να θίξει το κύρος της. Αντιθέτως, κηρύσσει ανίσχυρη την απόφαση 2016/1250.
Το Δικαστήριο κρίνει, κατ’ αρχάς, ότι το δίκαιο της Ένωσης, και ειδικότερα ο ΓΚΠΔ, έχει εφαρμογή στην περίπτωση διαβίβασης δεδομένων προσωπικού χαρακτήρα η οποία πραγματοποιείται για εμπορικούς σκοπούς από οικονομικό φορέα εγκατεστημένο σε κράτος μέλος προς άλλον οικονομικό φορέα εγκατεστημένο σε τρίτη χώρα, ακόμη και αν, είτε κατά τη διάρκεια είτε κατόπιν της διαβίβασης αυτής, τα δεδομένα ενδέχεται να υποστούν επεξεργασία από τις αρχές της αντίστοιχης τρίτης χώρας για λόγους δημόσιας ασφάλειας, εθνικής άμυνας και ασφάλειας του κράτους. Προσθέτει δε ότι αυτού του είδους η επεξεργασία από τις αρχές τρίτης χώρας δεν συνεπάγεται ότι η διαβίβαση πρέπει να εξαιρείται από το πεδίο εφαρμογής του κανονισμού.
Όσον αφορά το απαιτούμενο επίπεδο προστασίας στο πλαίσιο μιας τέτοιας διαβίβασης, το Δικαστήριο αποφαίνεται ότι οι απαιτήσεις που προβλέπονται συναφώς από τις διατάξεις του ΓΚΠΔ και συνίστανται στην ύπαρξη κατάλληλων εγγυήσεων, εκτελεστών δικαιωμάτων και αποτελεσματικών μέσων έννομης προστασίας έχουν την έννοια ότι τα άτομα των οποίων τα δεδομένα προσωπικού χαρακτήρα διαβιβάζονται προς τρίτη χώρα βάσει τυποποιημένων ρητρών προστασίας πρέπει να απολαύουν επιπέδου προστασίας ουσιαστικά ισοδύναμου με εκείνο που εγγυάται εντός της Ένωσης ο ως άνω κανονισμός, σε συνδυασμό με τον Χάρτη.
Στο πλαίσιο αυτό, το Δικαστήριο διευκρινίζει ότι κατά την αξιολόγηση αυτού του επιπέδου προστασίας πρέπει να λαμβάνονται υπόψη τόσο οι συμβατικοί όροι που έχουν συμφωνηθεί μεταξύ του εγκατεστημένου στην Ένωση υπευθύνου της επεξεργασίας και του εγκατεστημένου στην οικεία τρίτη χώρα αποδέκτη της διαβίβασης όσο και, σε σχέση με την ενδεχόμενη πρόσβαση των δημοσίων αρχών της εν λόγω τρίτης χώρας στα δεδομένα τα οποία διαβιβάζονται κατ’ αυτόν τον τρόπο, τα κρίσιμα στοιχεία του νομικού συστήματος της συγκεκριμένης χώρας.
Όσον αφορά τις υποχρεώσεις που υπέχουν οι αρχές ελέγχου στην περίπτωση μιας τέτοιας διαβίβασης, το Δικαστήριο κρίνει ότι, εάν δεν υφίσταται απόφαση επάρκειας εκδοθείσα εγκύρως από την Επιτροπή, οι αρχές αυτές υποχρεούνται να αναστέλλουν ή να απαγορεύουν τη διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα σε περίπτωση που εκτιμούν, λαμβανομένων υπόψη των περιστάσεων της διαβίβασης, ότι οι τυποποιημένες ρήτρες προστασίας δεδομένων δεν τηρούνται ή δεν είναι δυνατόν να τηρηθούν στην επίμαχη τρίτη χώρα και ότι η απαιτούμενη από το δίκαιο της Ένωσης προστασία των διαβιβαζόμενων δεδομένων δεν μπορεί να διασφαλιστεί με άλλα μέσα, εφόσον ο εγκατεστημένος στην Ένωση εξαγωγέας δεν έχει αναστείλει ή τερματίσει ο ίδιος τη διαβίβαση.
Το Δικαστήριο εξετάζει εν συνεχεία το κύρος της αποφάσεως 2010/87. Κατά το Δικαστήριο, το κύρος της αποφάσεως αυτής δεν θίγεται απλώς και μόνον επειδή οι εκεί περιεχόμενες τυποποιημένες ρήτρες προστασίας δεν δεσμεύουν, λόγω του συμβατικού τους χαρακτήρα, τις αρχές της τρίτης χώρας προς την οποία θα μπορούσαν να διαβιβαστούν τα δεδομένα. Αντιθέτως, όπως καθιστά σαφές το Δικαστήριο, το κύρος της εν λόγω αποφάσεως εξαρτάται από το αν αυτή περιλαμβάνει αποτελεσματικούς μηχανισμούς που να διασφαλίζουν, στην πράξη, ότι τηρείται το απαιτούμενο από το δίκαιο της Ένωσης επίπεδο προστασίας και ότι οι διαβιβάσεις δεδομένων προσωπικού χαρακτήρα βάσει τέτοιων ρητρών αναστέλλονται ή απαγορεύονται σε περίπτωση παράβασης των τυποποιημένων ρητρών προστασίας ή αδυναμίας τήρησής τους.
Το Δικαστήριο διαπιστώνει ότι η απόφαση 2010/87 προβλέπει τέτοιους μηχανισμούς. Επ’ αυτού, υπογραμμίζει ιδίως ότι η προαναφερθείσα απόφαση, αφενός, ιδρύει υποχρέωση του εξαγωγέα των δεδομένων και του αποδέκτη της διαβίβασης να ελέγχουν εκ των προτέρων ότι το απαιτούμενο επίπεδο προστασίας τηρείται στην οικεία τρίτη χώρα και, αφετέρου, επιβάλλει στον αποδέκτη της διαβίβασης την υποχρέωση να ενημερώνει τον εξαγωγέα των δεδομένων σε περίπτωση τυχόν αδυναμίας του να συμμορφωθεί με τις τυποποιημένες ρήτρες προστασίας, οπότε ο εξαγωγέας οφείλει να αναστείλει τη διαβίβαση δεδομένων και/ή να καταγγείλει τη σύμβαση την οποία έχει συνάψει με τον αποδέκτη.
Το Δικαστήριο εξετάζει, τέλος, το κύρος της αποφάσεως 2016/1250 υπό το πρίσμα των απαιτήσεων που απορρέουν από τον ΓΚΠΔ, σε συνδυασμό με τις διατάξεις του Χάρτη οι οποίες εγγυώνται τον σεβασμό της ιδιωτικής και οικογενειακής ζωής, την προστασία των δεδομένων προσωπικού χαρακτήρα και το δικαίωμα αποτελεσματικής δικαστικής προστασίας.
Ως προς το ζήτημα αυτό, το Δικαστήριο επισημαίνει ότι η ως άνω απόφαση, όπως και η απόφαση 2000/520, καθιερώνει την υπεροχή των απαιτήσεων που συνδέονται με την εθνική ασφάλεια, με το δημόσιο συμφέρον και με την τήρηση της αμερικανικής νομοθεσίας, καθιστώντας έτσι δυνατές τις επεμβάσεις στα θεμελιώδη δικαιώματα των ατόμων των οποίων τα δεδομένα διαβιβάζονται προς τη συγκεκριμένη τρίτη χώρα.
Κατά το Δικαστήριο, οι περιορισμοί της προστασίας των δεδομένων προσωπικού χαρακτήρα οι οποίοι απορρέουν από την εσωτερική κανονιστική ρύθμιση των Ηνωμένων Πολιτειών σχετικά με την πρόσβαση των αμερικανικών δημοσίων αρχών σε δεδομένα διαβιβαζόμενα από την Ένωση προς τις Ηνωμένες Πολιτείες και με την εκ μέρους τους χρήση τέτοιων δεδομένων, περιορισμοί που αξιολογήθηκαν από την Επιτροπή στην απόφαση 2016/1250, δεν οριοθετούνται με τέτοιον τρόπο ώστε να ανταποκρίνονται σε απαιτήσεις ουσιαστικά ισοδύναμες με εκείνες τις οποίες επιβάλλει, κατά το δίκαιο της Ένωσης, η αρχή της αναλογικότητας, αφού τα προγράμματα παρακολούθησης που στηρίζονται στην κανονιστική αυτή ρύθμιση δεν περιορίζονται στο απολύτως αναγκαίο.
Βασιζόμενο στις διαπιστώσεις οι οποίες περιέχονται στην ίδια την απόφαση 2016/1250, το Δικαστήριο τονίζει ότι, σε σχέση με ορισμένα προγράμματα παρακολούθησης, ουδόλως προκύπτει από την εν λόγω κανονιστική ρύθμιση η ύπαρξη περιορισμών στην εξουσιοδότηση που παρέχεται για την εφαρμογή των προγραμμάτων αυτών, όπως δεν προκύπτει ούτε η ύπαρξη εγγυήσεων για τους μη Αμερικανούς πολίτες τους οποίους αφορούν εν δυνάμει τα σχετικά προγράμματα. Το Δικαστήριο προσθέτει ότι η προαναφερθείσα κανονιστική ρύθμιση θέτει μεν απαιτήσεις τις οποίες οι αμερικανικές αρχές οφείλουν να τηρούν κατά την εφαρμογή των οικείων προγραμμάτων παρακολούθησης, πλην όμως δεν παρέχει στα υποκείμενα των δεδομένων εκτελεστά δικαιώματα που να μπορούν να προβληθούν έναντι των αμερικανικών αρχών ενώπιον δικαστηρίων.
Όσον αφορά την απαίτηση δικαστικής προστασίας, το Δικαστήριο αποφαίνεται ότι, αντιθέτως προς ό,τι έκρινε η Επιτροπή με την απόφαση 2016/1250, ο προβλεπόμενος στην απόφαση αυτή μηχανισμός διαμεσολάβησης δεν παρέχει στα υποκείμενα των δεδομένων μέσο δικαστικής προστασίας ενώπιον οργάνου που να προσφέρει εγγυήσεις ουσιαστικά ισοδύναμες με εκείνες τις οποίες επιβάλλει το δίκαιο της Ένωσης, ώστε να διασφαλίζεται τόσο η ανεξαρτησία του θεσμού διαμεσολαβητή που ιδρύεται στο πλαίσιο του επίμαχου μηχανισμού όσο και η ύπαρξη κανόνων οι οποίοι να εξουσιοδοτούν τον διαμεσολαβητή να εκδίδει αποφάσεις δεσμευτικές για τις αμερικανικές Υπηρεσίες Πληροφοριών. Για όλους αυτούς τους λόγους, το Δικαστήριο κηρύσσει ανίσχυρη την απόφαση 2016/1250.
Το πλήρες κείμενο της αποφάσεως είναι διαθέσιμο στην ιστοσελίδα CURIA