Απόφαση του Γενικού Δικαστηρίου στην υπόθεση T-354/22 | Bindl κατά Επιτροπής
Το Γενικό Δικαστήριο υποχρεώνει την Επιτροπή να καταβάλει αποζημίωση σε επισκέπτη του ιστοτόπου της «Διάσκεψη για το Μέλλον της Ευρώπης» λόγω διαβίβασης δεδομένων προσωπικού χαρακτήρα στις Ηνωμένες Πολιτείες
Παραθέτοντας στην ιστοσελίδα EU Login τον υπερσύνδεσμο «Σύνδεση μέσω του Facebook», η Επιτροπή δημιούργησε τις προϋποθέσεις για τη διαβίβαση της διεύθυνσης IP του ενδιαφερομένου στην αμερικανική επιχείρηση Meta Platforms
Πολίτης που κατοικεί στη Γερμανία προσάπτει στην Επιτροπή ότι προσέβαλε το δικαίωμά του προστασίας των δεδομένων προσωπικού χαρακτήρα που τον αφορούν κατά τις επισκέψεις του το 2021 και το 2022 στον ιστότοπο «Διάσκεψη για το Μέλλον της Ευρώπης» 1, τον οποίο διαχειρίζεται η Επιτροπή. Πιο συγκεκριμένα, ο πολίτης αυτός εγγράφηκε μέσω του εν λόγω ιστοτόπου στην εκδήλωση «GoGreen», χρησιμοποιώντας την υπηρεσία ταυτοποίησης της Επιτροπής EU Login και επιλέγοντας την προσφερόμενη από τον ιστότοπο δυνατότητα σύνδεσης μέσω του λογαριασμού του στο Facebook.
Ο ενδιαφερόμενος θεωρεί ότι, κατά τις επισκέψεις του στον ως άνω ιστότοπο, διαβιβάσθηκαν σε αποδέκτες εγκατεστημένους στις Ηνωμένες Πολιτείες δεδομένα προσωπικού χαρακτήρα που τον αφορούσαν, όπως η διεύθυνση IP καθώς και πληροφορίες σχετικές με τον φυλλομετρητή και το τερματικό του.
Ειδικότερα υποστηρίζει ότι τα δεδομένα του διαβιβάσθηκαν στην αμερικανική επιχείρηση Amazon Web Services, υπό την ιδιότητά της ως διαχειρίστριας του δικτύου διανομής περιεχομένου με την ονομασία Amazon CloudFront, το οποίο χρησιμοποιείται από τον επίμαχο ιστότοπο. Προβάλλει επίσης ότι, κατά την εγγραφή του στην εκδήλωση «GoGreen» μέσω του λογαριασμού του στο Facebook, τα δεδομένα του διαβιβάσθηκαν στην αμερικανική επιχείρηση Meta Platforms, Inc.
Κατά τον ενδιαφερόμενο, οι Ηνωμένες Πολιτείες δεν διαθέτουν επαρκές επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα. Οι διαβιβάσεις των δεδομένων του δημιούργησαν τον κίνδυνο να αποκτήσουν πρόσβαση σε αυτά οι αμερικανικές υπηρεσίες ασφαλείας και πληροφοριών. Η Επιτροπή δεν ανέφερε βάσει ποιων κατάλληλων εγγυήσεων θα μπορούσαν να δικαιολογηθούν οι εν λόγω διαβιβάσεις 2.
Κατά συνέπεια, ο ενδιαφερόμενος ζητεί την καταβολή του ποσού των 400 ευρώ ως χρηματική ικανοποίηση για την ηθική βλάβη που ισχυρίζεται ότι υπέστη λόγω των επίδικων διαβιβάσεων δεδομένων.
Ζητεί επίσης, πρώτον, να ακυρωθούν οι συγκεκριμένες διαβιβάσεις, δεύτερον, να διαπιστωθεί ότι η Επιτροπή παρανόμως παρέλειψε να απαντήσει σε αίτημα παροχής πληροφοριών και, τρίτον, να υποχρεωθεί η Επιτροπή να του καταβάλει το ποσό των 800 ευρώ ως χρηματική ικανοποίηση για την ηθική βλάβη που ισχυρίζεται ότι υπέστη λόγω της προσβολής του δικαιώματός του πρόσβασης σε πληροφορίες.
Το Γενικό Δικαστήριο απορρίπτει το ακυρωτικό αίτημα ως απαράδεκτο και αποφασίζει να καταργήσει τη δίκη επί του αιτήματος για τη διαπίστωση παραλείψεως. Απορρίπτει επίσης το αίτημα αποζημιώσεως που στηρίζεται στην προσβολή του δικαιώματος πρόσβασης σε πληροφορίες, καθόσον κρίνει ότι δεν υφίσταται η προβαλλόμενη ηθική βλάβη.
Όσον αφορά το αίτημα αποζημιώσεως που στηρίζεται στις επίδικες διαβιβάσεις δεδομένων, το Γενικό Δικαστήριο απορρίπτει το αίτημα σε σχέση με τις διαβιβάσεις δεδομένων προς το Amazon CloudFront.
Ειδικότερα, το Γενικό Δικαστήριο καταλήγει στο συμπέρασμα ότι, στο πλαίσιο μίας από τις επίδικες συνδέσεις, η διαβίβαση δεδομένων δεν έλαβε χώρα προς τις Ηνωμένες Πολιτείες, αλλά, βάσει της αρχής της εγγύτητας 3, προς διακομιστή 4 που βρισκόταν στο Μόναχο της Γερμανίας. Σύμφωνα με τη σύμβαση μεταξύ της Επιτροπής και της διαχειρίστριας του Amazon CloudFront, ήτοι της λουξεμβουργιανής επιχείρησης Amazon Web Services, η τελευταία όφειλε να διασφαλίσει ότι τα δεδομένα αποθηκεύονται και διακινούνται αποκλειστικώς εντός Ευρώπης.
Στο πλαίσιο άλλης σύνδεσης, ο ίδιος ο ενδιαφερόμενος προκάλεσε την ανακατεύθυνσή του, μέσω του μηχανισμού δρομολόγησης του Amazon CloudFront, σε διακομιστές στις Ηνωμένες Πολιτείες. Ειδικότερα, λόγω ορισμένης τεχνικής ρύθμισης ως τοποθεσία του ενδιαφερομένου εμφανίζονταν οι Ηνωμένες Πολιτείες.
Αντιθέτως, όσον αφορά την εγγραφή του ενδιαφερομένου στην εκδήλωση «GoGreen», το Γενικό Δικαστήριο εκτιμά ότι η Επιτροπή δημιούργησε, μέσω του υπερσυνδέσμου «Σύνδεση μέσω του Facebook» ο οποίος εμφανίζεται στην ιστοσελίδα της EU Login, τις προϋποθέσεις για τη διαβίβαση της διεύθυνσης IP του ενδιαφερομένου στο Facebook. Η διεύθυνση IP συνιστά δεδομένο προσωπικού χαρακτήρα το οποίο, μέσω του ως άνω υπερσυνδέσμου, διαβιβάστηκε στη Meta Platforms, επιχείρηση εγκατεστημένη στις Ηνωμένες Πολιτείες. Η διαβίβαση αυτή είναι καταλογιστέα στην Επιτροπή.
Κατά τον χρόνο της διαβίβασης, ήτοι στις 30 Μαρτίου 2022, δεν υφίστατο απόφαση της Επιτροπής που να διαπιστώνει ότι οι Ηνωμένες Πολιτείες διασφαλίζουν επαρκές επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα των πολιτών της Ένωσης. Επιπροσθέτως, η Επιτροπή όχι μόνο δεν απέδειξε, αλλά ούτε καν επικαλέστηκε την ύπαρξη κάποιας κατάλληλης εγγύησης, όπως για παράδειγμα μιας τυποποιημένης ρήτρας προστασίας δεδομένων ή μιας συμβατικής ρήτρας 5. Η εμφάνιση του υπερσυνδέσμου «Σύνδεση μέσω του Facebook» στον ιστότοπο EU Login διεπόταν απλώς και μόνον από τους γενικούς όρους της πλατφόρμας Facebook.
Συνεπώς, η Επιτροπή δεν τήρησε τις προϋποθέσεις που θέτει το δίκαιο της Ένωσης για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα από θεσμικό ή άλλο όργανο ή οργανισμό της Ένωσης.
Το Γενικό Δικαστήριο κρίνει ότι η Επιτροπή διέπραξε κατάφωρη παράβαση κανόνα δικαίου ο οποίος αποσκοπεί στην απονομή δικαιωμάτων σε ιδιώτες. Ο ενδιαφερόμενος υπέστη ηθική βλάβη, καθόσον βρέθηκε σε κατάσταση ανασφάλειας ως προς την επεξεργασία δεδομένων προσωπικού χαρακτήρα που τον αφορούν, συγκεκριμένα της διεύθυνσης IP. Επιπλέον, υφίσταται αρκούντως άμεση αιτιώδης συνάφεια μεταξύ της παράβασης που διέπραξε η Επιτροπή και της ηθικής βλάβης που υπέστη ο ενδιαφερόμενος.
Δεδομένου ότι πληρούνται οι προϋποθέσεις στοιχειοθέτησης της εξωσυμβατικής ευθύνης της Ένωσης, το Γενικό Δικαστήριο υποχρεώνει την Επιτροπή να καταβάλει στον ενδιαφερόμενο το ποσό των 400 ευρώ σύμφωνα με το αίτημά του.
ΑΚΟΛΟΥΘΕΙ ΟΛΟΚΛΗΡΗ Η ΑΠΟΦΑΣΗ
ΑΠΟΦΑΣΗ ΤΟΥ ΓΕΝΙΚΟΥ ΔΙΚΑΣΤΗΡΙΟΥ (έκτο πενταμελές τμήμα)
της 8ης Ιανουαρίου 2025 (*)
« Επεξεργασία δεδομένων προσωπικού χαρακτήρα – Προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα θεσμικά και λοιπά όργανα και τους οργανισμούς της Ένωσης – Κανονισμός (ΕE) 2018/1725 – Έννοια της “διαβίβασης δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα” – Διαβίβαση δεδομένων κατά την επίσκεψη σε ιστότοπο – EU Login – Προσφυγή ακυρώσεως – Πράξη μη δεκτική προσφυγής – Απαράδεκτο – Προσφυγή κατά παραλείψεως – Λήψη θέσεως με την οποία τερματίζεται η παράλειψη – Κατάργηση της δίκης – Αγωγή αποζημιώσεως – Κατάφωρη παράβαση κανόνα δικαίου που απονέμει δικαιώματα σε ιδιώτες – Αιτιώδης συνάφεια – Ηθική βλάβη »
Στην υπόθεση T‑354/22,
Thomas Bindl, κάτοικος Μονάχου (Γερμανία), εκπροσωπούμενος από τον T. Herbrich, δικηγόρο,
προσφεύγων-ενάγων,
κατά
Ευρωπαϊκής Επιτροπής, εκπροσωπούμενης από τους A. Μπουχάγιαρ, B. Hofstötter και H. Kranenborg,
καθής-εναγομένης,
ΤΟ ΓΕΝΙΚΟ ΔΙΚΑΣΤΗΡΙΟ (έκτο πενταμελές τμήμα),
συγκείμενο από τους M. J. Costeira (εισηγήτρια), πρόεδρο, M. Kancheva, U. Öberg, P. Zilgalvis και E. Tichy-Fisslberger, δικαστές,
γραμματέας: S. Jund, διοικητική υπάλληλος,
έχοντας υπόψη την έγγραφη διαδικασία,
έχοντας υπόψη το μέτρο οργανώσεως της διαδικασίας της 21ης Ιουλίου 2023 και τις απαντήσεις της Επιτροπής και του προσφεύγοντος-ενάγοντος που κατατέθηκαν στη Γραμματεία του Γενικού Δικαστηρίου στις 7 και στις 8 Σεπτεμβρίου 2023 αντιστοίχως,
κατόπιν της επ’ ακροατηρίου συζητήσεως της 17ης Οκτωβρίου 2023,
έχοντας υπόψη το μέτρο οργανώσεως της διαδικασίας της 9ης Φεβρουαρίου 2024 και τις απαντήσεις της Επιτροπής και του προσφεύγοντος-ενάγοντος που κατατέθηκαν στη Γραμματεία του Γενικού Δικαστηρίου στις 12 και στις 13 Μαρτίου 2024 αντιστοίχως,
εκδίδει την ακόλουθη
Απόφαση
1 Με την προσφυγή-αγωγή που άσκησε δυνάμει των άρθρων 263, 265 και 268 ΣΛΕΕ, ο προσφεύγων-ενάγων [στο εξής: προσφεύγων], Thomas Bindl, ζητεί από το Γενικό Δικαστήριο, πρώτον, να ακυρώσει τις διαβιβάσεις των δεδομένων προσωπικού χαρακτήρα που τον αφορούν προς τρίτες χώρες οι οποίες δεν διαθέτουν επαρκές επίπεδο προστασίας, δεύτερον, να διαπιστώσει ότι η Ευρωπαϊκή Επιτροπή παρανόμως παρέλειψε να απαντήσει στο αίτημα παροχής πληροφοριών που ο ίδιος υπέβαλε την 1η Απριλίου 2022 και, τρίτον, να του επιδικάσει χρηματική ικανοποίηση για την ηθική βλάβη που ισχυρίζεται ότι υπέστη ακολούθως, αφενός, λόγω προσβολής του δικαιώματος πρόσβασης στις πληροφορίες και, αφετέρου, λόγω των διαβιβάσεων των δεδομένων προσωπικού χαρακτήρα που τον αφορούν.
Ιστορικό της διαφοράς και μεταγενέστερα της ασκήσεως της προσφυγής‑αγωγής πραγματικά περιστατικά
2 Ο προσφεύγων είναι Γερμανός πολίτης που ενδιαφέρεται για ζητήματα σχετικά με την πληροφορική και την προστασία των δεδομένων προσωπικού χαρακτήρα.
3 Η Γενική Διεύθυνση Επικοινωνίας της Επιτροπής είναι υπεύθυνη για την επεξεργασία δεδομένων προσωπικού χαρακτήρα στον ιστότοπο «Διάσκεψη για το Μέλλον της Ευρώπης» στη διεύθυνση «https://futureu.europa.eu» (στο εξής: ιστότοπος της ΔΜΕ).
4 Ο προσφεύγων επισκέφθηκε επανειλημμένως τον ιστότοπο της ΔΜΕ κατά τα έτη 2021 και 2022. Συγκεκριμένα, επισκέφθηκε τον ιστότοπο στις 30 Μαρτίου 2022, οπότε εγγράφηκε στην εκδήλωση «GoGreen» που περιλαμβανόταν σε αυτόν μέσω του λογαριασμού του στο Facebook, και, στις 8 Ιουνίου 2022.
5 Με μήνυμα ηλεκτρονικού ταχυδρομείου της 9ης Νοεμβρίου 2021 (στο εξής: αίτημα παροχής πληροφοριών της 9ης Νοεμβρίου 2021), ο προσφεύγων ζήτησε από τον υπεύθυνο προστασίας δεδομένων της Επιτροπής να του παράσχει πληροφορίες δυνάμει του κανονισμού (ΕΕ) 2018/1725 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 23ης Οκτωβρίου 2018, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα θεσμικά και λοιπά όργανα και τους οργανισμούς της Ένωσης και την ελεύθερη κυκλοφορία των δεδομένων αυτών, και για την κατάργηση του κανονισμού (ΕΚ) αριθ. 45/2001 και της απόφασης αριθ. 1247/2002/ΕΚ (ΕΕ 2018, L 295, σ. 39).
6 Με το ως άνω μήνυμα ηλεκτρονικού ταχυδρομείου, πρώτον, ο προσφεύγων επισήμανε ότι, όταν συνδέθηκε στον ιστότοπο της ΔΜΕ, είχε ενεργοποιηθεί σύνδεση με τρίτους παρόχους, όπως η αμερικανική επιχείρηση Amazon Web Services· δεύτερον, ζήτησε να του υποδειχθεί ποια δεδομένα προσωπικού χαρακτήρα που τον αφορούσαν είχαν υποστεί επεξεργασία ή είχαν αποθηκευτεί και ποια από αυτά είχαν διαβιβαστεί, ενδεχομένως, σε τρίτους· τρίτον, ζήτησε πληροφορίες σχετικά με τη νομική βάση της διαβίβασης καθώς και σχετικά με την ύπαρξη ενδεχόμενων εγγυήσεων όσον αφορά τη διαβίβαση προς τρίτες χώρες οι οποίες δεν διαθέτουν επαρκές επίπεδο προστασίας.
7 Με μήνυμα ηλεκτρονικού ταχυδρομείου της 3ης Δεκεμβρίου 2021, η Γενική Διεύθυνση Επικοινωνίας της Επιτροπής διαβίβασε στον προσφεύγοντα ηλεκτρονικό σύνδεσμο και τον ενημέρωσε ότι, μέσω του συνδέσμου αυτού, μπορούσε να αποκτήσει απευθείας πρόσβαση σε κατάλογο των δεδομένων προσωπικού χαρακτήρα που είχαν υποστεί επεξεργασία κατά την επίσκεψή του στον ιστότοπο της ΔΜΕ. Επιπροσθέτως, επισήμανε στον προσφεύγοντα, αφενός, ότι τα δεδομένα προσωπικού χαρακτήρα που τον αφορούσαν δεν είχαν διαβιβασθεί σε αποδέκτες εγκατεστημένους εκτός της Ευρωπαϊκής Ένωσης και, αφετέρου, ότι τα δεδομένα αυτά αποθηκεύονταν και υποβάλλονταν σε επεξεργασία από τον ιστότοπο της ΔΜΕ, ο οποίος χρησιμοποιούσε δίκτυο διανομής περιεχομένου που διαχειρίζεται η Amazon Web Services EMEA SARL (στο εξής: AWS EMEA), με έδρα στο Λουξεμβούργο (Λουξεμβούργο). Επιπλέον, η Γενική Διεύθυνση Επικοινωνίας διευκρίνισε ότι, στο πλαίσιο των συμβάσεων μεταξύ της Επιτροπής και της AWS EMEA, ο υπεύθυνος επεξεργασίας δεδομένων δεν χρησιμοποιούσε υπηρεσίες που θα απαιτούσαν διαβίβαση δεδομένων προς τους εταίρους της AWS EMEA οι οποίοι είναι εγκατεστημένοι στις Ηνωμένες Πολιτείες και ότι δεν επιτρεπόταν, καταρχήν, η διαβίβαση δεδομένων εκτός της Ένωσης.
8 Με μήνυμα ηλεκτρονικού ταχυδρομείου της 1ης Απριλίου 2022, ο προσφεύγων ζήτησε από την Επιτροπή, δυνάμει του κανονισμού 2018/1725, πληροφορίες σχετικά με την επεξεργασία των δεδομένων του (στο εξής: αίτημα παροχής πληροφοριών της 1ης Απριλίου 2022). Πρώτον, επισήμανε ότι, όταν συνδέθηκε στον ιστότοπο της ΔΜΕ, παρατήρησε ότι δημιουργήθηκε σύνδεση με τρίτους παρόχους, όπως η AWS EMEA, καθώς και σύνδεση με την επιχείρηση Microsoft, όταν χρησιμοποίησε τα δεδομένα σύνδεσης του λογαριασμού του στο Facebook για να εγγραφεί στον εν λόγω ιστότοπο. Δεύτερον, ζήτησε να του υποδειχθεί ποια δεδομένα προσωπικού χαρακτήρα που τον αφορούσαν είχαν υποστεί επεξεργασία ή είχαν αποθηκευτεί και ποια από αυτά είχαν, ενδεχομένως, διαβιβαστεί σε τρίτους. Τρίτον, ζήτησε πληροφορίες σχετικά με τη νομική βάση της διαβίβασης καθώς και σχετικά με την ύπαρξη ενδεχόμενων εγγυήσεων όσον αφορά τη διαβίβαση προς τρίτες χώρες οι οποίες δεν διαθέτουν επαρκές επίπεδο προστασίας. Τέταρτον, ζήτησε αντίγραφο των δεδομένων του, συμπεριλαμβανομένων εκείνων που αποθηκεύονται ή υποβάλλονται σε επεξεργασία από τρίτους, όπως το Facebook.
9 Με μηνύματα ηλεκτρονικού ταχυδρομείου της 22ας Απριλίου και της 2ας Μαΐου 2022, ο προσφεύγων ζήτησε εκ νέου από την Επιτροπή να απαντήσει στο αίτημα παροχής πληροφοριών της 1ης Απριλίου 2022.
10 Με δικόγραφο που κατέθεσε στη Γραμματεία του Γενικού Δικαστηρίου στις 9 Ιουνίου 2022, ο προσφεύγων άσκησε την υπό κρίση προσφυγή-αγωγή.
11 Με μήνυμα ηλεκτρονικού ταχυδρομείου της 30ής Ιουνίου 2022, η Επιτροπή ενημέρωσε τον προσφεύγοντα ότι, κατά την άποψή της, το αίτημα παροχής πληροφοριών της 1ης Απριλίου 2022 ήταν σχεδόν πανομοιότυπο με εκείνο της 9ης Νοεμβρίου 2021 και ότι είχε ήδη απαντήσει στο εν λόγω αίτημα με το μήνυμα ηλεκτρονικού ταχυδρομείου της 3ης Δεκεμβρίου 2021.
12 Η Amazon Web Services είναι επιχείρηση εγκατεστημένη στις Ηνωμένες Πολιτείες και η AWS EMEA είναι επιχείρηση εγκατεστημένη στο Λουξεμβούργο. Οι δύο αυτές επιχειρήσεις είναι θυγατρικές της επιχείρησης αμερικανικού δικαίου Amazon.com, Inc.
Αιτήματα των διαδίκων
13 Ο προσφεύγων ζητεί από το Γενικό Δικαστήριο:
– να ακυρώσει τις από 30 Μαρτίου 2022 και 8 Ιουνίου 2022 διαβιβάσεις των δεδομένων προσωπικού χαρακτήρα που τον αφορούν προς τρίτες χώρες οι οποίες δεν διαθέτουν επαρκές επίπεδο προστασίας·
– να διαπιστώσει ότι η Επιτροπή παρανόμως παρέλειψε να απαντήσει στο αίτημα παροχής πληροφοριών της 1ης Απριλίου 2022·
– να υποχρεώσει την Επιτροπή να του καταβάλει το ποσό των 1 200 ευρώ, πλέον τόκων, το οποίο περιλαμβάνει, αφενός, το ποσό των 800 ευρώ ως χρηματική ικανοποίηση για την ηθική βλάβη που υπέστη κατόπιν της προσβολής του δικαιώματός του για πρόσβαση στις πληροφορίες και, αφετέρου, το ποσό των 400 ευρώ ως χρηματική ικανοποίηση για την ηθική βλάβη που υπέστη κατόπιν των ως άνω διαβιβάσεων των δεδομένων του·
– να καταδικάσει την Επιτροπή στα δικαστικά έξοδα.
14 Η Επιτροπή ζητεί από το Γενικό Δικαστήριο:
– να απορρίψει ως απαράδεκτα τα αιτήματα ακυρώσεως και τα αιτήματα περί διαπιστώσεως παραλείψεως·
– επικουρικώς, να κρίνει ότι παρέλκει η έκδοση αποφάσεως επί των αιτημάτων περί διαπιστώσεως παραλείψεως·
– να απορρίψει τα αιτήματα αποζημιώσεως ως αβάσιμα·
– να καταδικάσει τον προσφεύγοντα στα δικαστικά έξοδα.
Σκεπτικό
Προκαταρκτικές παρατηρήσεις επί της προστασίας των δεδομένων προσωπικού χαρακτήρα από τα θεσμικά και λοιπά όργανα και τους οργανισμούς της Ένωσης
15 Το άρθρο 16, παράγραφος 1, ΣΛΕΕ και το άρθρο 8, παράγραφος 1, του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης (στο εξής: Χάρτης) ορίζουν ότι κάθε πρόσωπο έχει δικαίωμα προστασίας των δεδομένων προσωπικού χαρακτήρα που το αφορούν.
16 Ο κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων) (ΕΕ 2016, L 119, σ. 1), ορίζει τους γενικούς κανόνες που αφορούν την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και την ελεύθερη κυκλοφορία των εν λόγω δεδομένων (άρθρο 1, παράγραφος 1, του κανονισμού 2016/679).
17 Ο κανονισμός 2018/1725 θεσπίζει κανόνες που αφορούν την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα όργανα και τους οργανισμούς της Ένωσης και κανόνες που αφορούν την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα μεταξύ των εν λόγω οργάνων και οργανισμών ή προς άλλους αποδέκτες εγκατεστημένους στην Ένωση (άρθρο 1, παράγραφος 1, του κανονισμού 2018/1725). Ο εν λόγω κανονισμός προστατεύει τα θεμελιώδη δικαιώματα και τις θεμελιώδεις ελευθερίες των φυσικών προσώπων και ειδικότερα το δικαίωμά τους στην προστασία των δεδομένων προσωπικού χαρακτήρα (άρθρο 1, παράγραφος 2, κανονισμός 2018/1725). Έχει εφαρμογή στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από όλα τα όργανα και τους οργανισμούς της Ένωσης (άρθρο 2, παράγραφος 1, του κανονισμού 2018/1725).
18 Η αιτιολογική σκέψη 5 του κανονισμού 2018/1725 υπενθυμίζει ότι, σύμφωνα με τη νομολογία του Δικαστηρίου, οσάκις οι διατάξεις του κανονισμού 2018/1725 ακολουθούν τις ίδιες αρχές με τις διατάξεις του κανονισμού 2016/679, οι διατάξεις των εν λόγω δύο πράξεων θα πρέπει να ερμηνεύονται ομοιόμορφα, ιδίως διότι το σύστημα του κανονισμού 2018/1725 θα πρέπει να νοείται ως αντίστοιχο με αυτό του κανονισμού 2016/679. Συναφώς, από τον συνδυασμό των διατάξεων του άρθρου 2, παράγραφος 3, του κανονισμού 2016/679 και του άρθρου 99 του κανονισμού 2018/1725 προκύπτει επίσης ότι ο κανονισμός 2018/1725 είναι προσαρμοσμένος στις αρχές και τους κανόνες του κανονισμού 2016/679.
Επί του παραδεκτού
Παραδεκτό των αιτημάτων ακυρώσεως
19 Με το πρώτο σκέλος του αιτητικού, ο προσφεύγων ζητεί την ακύρωση των από 30 Μαρτίου 2022 και 8 Ιουνίου 2022 διαβιβάσεων δεδομένων προσωπικού χαρακτήρα που τον αφορούν προς τρίτες χώρες οι οποίες δεν διαθέτουν επαρκές επίπεδο προστασίας (στο εξής: επίδικες διαβιβάσεις).
20 Με το υπόμνημα αντικρούσεως, η Επιτροπή προβάλλει ένσταση απαραδέκτου του αιτήματος ακυρώσεως για τον λόγο ότι δεν πρόκειται για αίτημα στρεφόμενο κατά πράξεως δεκτικής προσφυγής, κατά την έννοια του άρθρου 263 ΣΛΕΕ, αλλά για αίτημα με το οποίο ζητείται από το Γενικό Δικαστήριο να απευθύνει διαταγή προς την Επιτροπή.
21 Ο προσφεύγων υποστηρίζει ότι το αίτημα ακυρώσεως είναι παραδεκτό, διότι οι επίδικες διαβιβάσεις είναι πράξεις που παράγουν δεσμευτικά έννομα αποτελέσματα και επηρεάζουν τη νομική του κατάσταση, καθόσον προσβάλλουν το θεμελιώδες δικαίωμά του στην προστασία των δεδομένων προσωπικού χαρακτήρα, το οποίο κατοχυρώνεται στο άρθρο 8 του Χάρτη. Οποιαδήποτε άλλη ερμηνεία θα προσέκρουε στο θεμελιώδες δικαίωμα αποτελεσματικής δικαστικής προστασίας, ενώ το άρθρο 64, παράγραφος 1, του κανονισμού 2018/1725 αναγνωρίζει ρητώς το δικαίωμα αυτό.
22 Όπως υπενθυμίζεται στο άρθρο 64, παράγραφος 1, και στην αιτιολογική σκέψη 79 του κανονισμού 2018/1725, κάθε πρόσωπο έχει δικαίωμα πραγματικής δικαστικής προσφυγής ενώπιον του Δικαστηρίου της Ευρωπαϊκής Ένωσης, σύμφωνα με τις Συνθήκες, εφόσον θεωρεί ότι προσβάλλονται τα δικαιώματά του βάσει του εν λόγω κανονισμού.
23 Επομένως, στο πλαίσιο του κανονισμού 2018/1725, κάθε υποκείμενο των δεδομένων έχει δικαίωμα, μεταξύ άλλων, να ασκήσει προσφυγή ακυρώσεως υπό τις προϋποθέσεις του άρθρου 263 ΣΛΕΕ.
24 Κατά πάγια νομολογία, η προσφυγή ακυρώσεως κατά το άρθρο 263 ΣΛΕΕ μπορεί να ασκείται, ανεξάρτητα από τη μορφή τους, κατά όλων των πράξεων των θεσμικών οργάνων οι οποίες αποσκοπούν στην παραγωγή δεσμευτικών έννομων αποτελεσμάτων, ικανών να θίξουν τα συμφέροντα του προσφεύγοντος, μεταβάλλοντας ουσιωδώς τη νομική του κατάσταση (βλ. αποφάσεις της 19ης Ιανουαρίου 2017, Επιτροπή κατά Total και Elf Aquitaine, C-351/15 P, EU:C:2017:27, σκέψεις 35 και 36 και εκεί μνημονευόμενη νομολογία, και της 16ης Ιουλίου 2020, Inclusion Alliance for Europe κατά Επιτροπής, C-378/16 P, EU:C:2020:575, σκέψη 71 και εκεί μνημονευόμενη νομολογία).
25 Για να διαπιστωθεί αν μια προσβαλλόμενη πράξη παράγει δεσμευτικά έννομα αποτελέσματα πρέπει, κατά πάγια νομολογία του Δικαστηρίου, να εξετάζεται η ουσία της και να εκτιμώνται τα αποτελέσματά της με γνώμονα αντικειμενικά κριτήρια, όπως το περιεχόμενο της εν λόγω πράξης, λαμβανομένων ενδεχομένως υπόψη του πλαισίου εντός του οποίου εκδόθηκε και των εξουσιών του θεσμικού οργάνου, του οργάνου ή του οργανισμού της Ένωσης που την εξέδωσε (βλ. απόφαση της 15ης Ιουλίου 2021, FBF, C-911/19, EU:C:2021:599, σκέψη 38 και εκεί μνημονευόμενη νομολογία).
26 Εν προκειμένω, ο προσφεύγων ζητεί την ακύρωση των επίδικων διαβιβάσεων, οι οποίες, κατά την άποψή του, ήταν τρεις. Πρώτον, κατά την επίσκεψή του στον ιστότοπο της ΔΜΕ στις 30 Μαρτίου 2022 (στο εξής: επίδικη διαβίβαση κατά την επίσκεψη στον ιστότοπο της ΔΜΕ στις 30 Μαρτίου 2022), δεδομένα προσωπικού χαρακτήρα που τον αφορούσαν, ιδίως η διεύθυνση IP, καθώς και πληροφορίες σχετικά με τον φυλλομετρητή και το τερματικό του, διαβιβάσθηκαν στην αμερικανική επιχείρηση Amazon Web Services, υπό την ιδιότητά της ως διαχειρίστριας του δικτύου διανομής περιεχομένου με την ονομασία Amazon CloudFront, το οποίο χρησιμοποιείται από τον εν λόγω ιστότοπο.
27 Δεύτερον, στις 30 Μαρτίου 2022, κατά τη σύνδεση που πραγματοποίησε ο προσφεύγων στην υπηρεσία ταυτοποίησης χρηστών της Επιτροπής EU Login, με τη βοήθεια του λογαριασμού του στο Facebook, προκειμένου να εγγραφεί στην εκδήλωση «GoGreen» στον ιστότοπο της ΔΜΕ (στο εξής: επίδικη διαβίβαση κατά τη σύνδεση στην EU Login στις 30 Μαρτίου 2022), δεδομένα προσωπικού χαρακτήρα που τον αφορούσαν, ιδίως η διεύθυνση IP καθώς και πληροφορίες σχετικά με τον φυλλομετρητή και το τερματικό του, διαβιβάστηκαν στην αμερικανική επιχείρηση Meta Platforms, Inc.
28 Τρίτον, κατά τις επισκέψεις του προσφεύγοντος στον ιστότοπο της ΔΜΕ στις 8 Ιουνίου 2022 (στο εξής: επίδικη διαβίβαση κατά τις επισκέψεις στον ιστότοπο της ΔΜΕ στις 8 Ιουνίου 2022), δεδομένα προσωπικού χαρακτήρα που τον αφορούσαν διαβιβάστηκαν σε διακομιστή του Amazon CloudFront εγκατεστημένο στο Newark (New Jersey, Ηνωμένες Πολιτείες).
29 Επιπροσθέτως, ο προσφεύγων αναφέρει στο δικόγραφο της προσφυγής του ότι απέκτησε πρόσβαση στον ιστότοπο της ΔΜΕ στις 9 Νοεμβρίου 2021 και ότι κατά την ημερομηνία εκείνη εγγράφηκε στον ιστότοπο της ΔΜΕ μέσω του λογαριασμού του στο Facebook. Εντούτοις, δεν επικαλείται κανένα συγκεκριμένο στοιχείο από το οποίο να μπορεί να συναχθεί ότι το αίτημα ακυρώσεως των επίδικων διαβιβάσεων αφορά τις περιστάσεις αυτές. Επομένως, πρέπει να ληφθούν υπόψη μόνον οι επίδικες διαβιβάσεις που μνημονεύονται στις σκέψεις 26 έως 28 ανωτέρω.
30 Επισημαίνεται ότι οι επίδικες διαβιβάσεις των οποίων την ακύρωση ζητεί ο προσφεύγων και οι οποίες μνημονεύονται στις σκέψεις 26 έως 28 ανωτέρω, αντιστοιχούν, κατά τον ίδιο τον προσφεύγοντα, σε ηλεκτρονικές πράξεις μεταφοράς δεδομένων από συστήματα ή υπηρεσίες πληροφορικής της Επιτροπής, ιδίως από τον ιστότοπο της ΔΜΕ, προς διακομιστές που ανήκουν σε τρίτες επιχειρήσεις εγκατεστημένες εκτός της Ένωσης.
31 Είναι βεβαίως αληθές ότι η πράξη που συνίσταται στη διαβίβαση δεδομένων προσωπικού χαρακτήρα από θεσμικό όργανο ή οργανισμό της Ένωσης προς τρίτη χώρα συνιστά, αυτή καθεαυτήν, επεξεργασία δεδομένων προσωπικού χαρακτήρα κατά την έννοια του άρθρου 3, σημείο 3, του κανονισμού 2018/1725, η οποία διενεργείται στο έδαφος της Ένωσης και επί της οποίας έχει εφαρμογή ο κανονισμός δυνάμει του άρθρου 2, παράγραφος 5, αυτού (βλ., κατ’ αναλογίαν, απόφαση της 16ης Ιουλίου 2020, Facebook Ireland και Schrems, C-311/18, στο εξής: απόφαση Schrems II, EU:C:2020:559, σκέψη 83).
32 Εντούτοις, δεν συνιστούν όλες οι πράξεις που μπορούν να οδηγήσουν σε διαβίβαση δεδομένων προσωπικού χαρακτήρα, κατά την έννοια του άρθρου 3, σημείο 3, του κανονισμού 2018/1725, πράξεις δεκτικές προσφυγής, κατά την έννοια του άρθρου 263 ΣΛΕΕ, όπως έχει ερμηνευθεί από τη νομολογία που υπομνήσθηκε στη σκέψη 24 ανωτέρω.
33 Εν προκειμένω, ακόμη και αν οι επίδικες διαβιβάσεις θεωρηθούν αποδεδειγμένες, επιβάλλεται η διαπίστωση ότι αποτελούν υλικές και όχι νομικές πράξεις. Ειδικότερα, οι επίδικες διαβιβάσεις, όπως περιγράφονται στο δικόγραφο της προσφυγής, συνιστούν ηλεκτρονικές πράξεις μεταφοράς δεδομένων από ένα τερματικό σε άλλο ή από έναν διακομιστή σε άλλον, οι οποίες προκύπτουν από τις αλληλεπιδράσεις μεταξύ του προσφεύγοντος και των συστημάτων ή υπηρεσιών πληροφορικής της Επιτροπής, κατά τις επισκέψεις του στον ιστότοπο της ΔΜΕ ή στην υπηρεσία EU Login. Αντιθέτως, οι επίδικες διαβιβάσεις δεν είναι πράξεις της Επιτροπής οι οποίες παράγουν δεσμευτικά έννομα αποτελέσματα, δηλαδή δεν αποσκοπούν στη ρύθμιση μιας νομικής καταστάσεως και, όπως προκύπτει από την ίδια τη φύση τους, η Επιτροπή ουδόλως είχε την πρόθεση να τους προσδώσει τέτοια αποτελέσματα.
34 Ως εκ τούτου, οι επίδικες διαβιβάσεις δεν είναι ικανές να παραγάγουν δεσμευτικά έννομα αποτελέσματα ικανά να θίξουν τα συμφέροντα του προσφεύγοντος, μεταβάλλοντας ουσιωδώς τη νομική του κατάσταση, σύμφωνα με τη νομολογία που υπομνήσθηκε στη σκέψη 24 ανωτέρω. Επομένως, δεν μπορούν να θεωρηθούν ως πράξεις δεκτικές προσφυγής κατά την έννοια του άρθρου 263 ΣΛΕΕ.
35 Συνεπώς, τα αιτήματα ακυρώσεως του προσφεύγοντος πρέπει να απορριφθούν ως απαράδεκτα.
Παραδεκτό των αιτημάτων περί διαπιστώσεως παραλείψεως
36 Με το δεύτερο σκέλος του αιτητικού, ο προσφεύγων ζητεί από το Γενικό Δικαστήριο να διαπιστώσει ότι η Επιτροπή παρέλειψε παρανόμως να απαντήσει στο αίτημα παροχής πληροφοριών της 1ης Απριλίου 2022.
37 Με το υπόμνημα αντικρούσεως, η Επιτροπή προβάλλει ένσταση απαραδέκτου του αιτήματος περί διαπιστώσεως παραλείψεως, καθόσον δεν είχε κληθεί να ενεργήσει κατά την έννοια του άρθρου 265, δεύτερο εδάφιο, ΣΛΕΕ. Επικουρικώς, η Επιτροπή ισχυρίζεται ότι παρέλκει πλέον η έκδοση αποφάσεως επί του αιτήματος περί διαπιστώσεως παραλείψεως, λαμβανομένης υπόψη της απάντησής της στον προσφεύγοντα με μήνυμα ηλεκτρονικού ταχυδρομείου της 30ής Ιουνίου 2022.
38 Ο προσφεύγων υποστηρίζει, κατ’ ουσίαν, ότι η Επιτροπή εξακολουθεί να είναι υποχρεωμένη να απαντήσει στο αίτημα παροχής πληροφοριών της 1ης Απριλίου 2022, διότι οι πληροφορίες που παρέσχε με το μήνυμα ηλεκτρονικού ταχυδρομείου της 30ής Ιουνίου 2022 είναι ανεπαρκείς και ανακριβείς.
39 Κατά πάγια νομολογία, θεμέλιο του ενδίκου βοηθήματος του άρθρου 265 ΣΛΕΕ είναι η ιδέα ότι η παράνομη αδράνεια του θεσμικού οργάνου παρέχει τη δυνατότητα άσκησης προσφυγής ενώπιον του δικαστή της Ένωσης προκειμένου αυτός να αποφανθεί αν η παράλειψη ενέργειας είναι αντίθετη προς τη Συνθήκη, εφόσον το οικείο θεσμικό όργανο δεν επανόρθωσε τη σχετική παράλειψη (απόφαση της 12ης Ιουλίου 1988, Κοινοβούλιο κατά Συμβουλίου, 377/87, EU:C:1988:387, σκέψη 9· βλ., επίσης, απόφαση της 16ης Δεκεμβρίου 2015, Σουηδία κατά Επιτροπής, T-521/14, μη δημοσιευθείσα, EU:T:2015:976, σκέψη 33 και εκεί μνημονευόμενη νομολογία).
40 Σε περίπτωση που η πράξη της οποίας η παράλειψη αποτελεί αντικείμενο της διαφοράς εκδόθηκε μετά την άσκηση της προσφυγής, αλλά πριν από την έκδοση της αποφάσεως, η εκ μέρους του δικαιοδοτικού οργάνου της Ένωσης αναγνώριση του παράνομου χαρακτήρα της αρχικής παράλειψης δεν μπορεί πλέον να συνεπάγεται τις προβλεπόμενες από το άρθρο 266 ΣΛΕΕ συνέπειες. Επομένως, σε μια τέτοια περίπτωση, το αντικείμενο της προσφυγής έχει εκλείψει, οπότε παρέλκει η έκδοση αποφάσεως (απόφαση της 12ης Ιουλίου 1988, Κοινοβούλιο κατά Συμβουλίου, 377/87, EU:C:1988:387, σκέψεις 10 και 11· βλ., επίσης, διάταξη της 13ης Δεκεμβρίου 2000, Sodima κατά Επιτροπής, C-44/00 P, EU:C:2000:686, σκέψη 83 και εκεί μνημονευόμενη νομολογία).
41 Εν προκειμένω, διαπιστώνεται ότι η Επιτροπή απάντησε στο αίτημα παροχής πληροφοριών της 1ης Απριλίου 2022, με το μήνυμα ηλεκτρονικού ταχυδρομείου της 30ής Ιουνίου 2022 (βλ. σκέψη 11 ανωτέρω). Επομένως, η Επιτροπή έθεσε τέρμα στην παράλειψη που της προσάπτει ο προσφεύγων στο πλαίσιο της παρούσας προσφυγής, μετά την άσκηση της προσφυγής αυτής. Κατά συνέπεια, το δεύτερο σκέλος του αιτητικού με το οποίο ζητείται να διαπιστωθεί, βάσει του άρθρου 265 ΣΛΕΕ, παράλειψη της Επιτροπής λόγω απουσίας απαντήσεως στο αίτημα παροχής πληροφοριών της 1ης Απριλίου 2022 έχει καταστεί άνευ αντικειμένου.
42 Το γεγονός ότι το περιεχόμενο του μηνύματος ηλεκτρονικού ταχυδρομείου της Επιτροπής της 30ής Ιουνίου 2022 δεν αντιστοιχεί στην απάντηση που επιθυμούσε ο προσφεύγων δεν ασκεί συναφώς επιρροή. Ειδικότερα, το γεγονός ότι η θέση που έλαβε το θεσμικό όργανο δεν ικανοποιεί τον προσφεύγοντα είναι συναφώς αδιάφορο, διότι το άρθρο 265 ΣΛΕΕ αφορά την παράλειψη του θεσμικού οργάνου να εκδώσει απόφαση ή να λάβει θέση και όχι την έκδοση πράξεως διαφορετικής από εκείνη που ο διάδικος αυτός επιθυμεί ή κρίνει αναγκαία (βλ. διάταξη της 6ης Απριλίου 2017, Brancheforeningen for Regulerkraft i Danmark κατά Επιτροπής, T-203/16, μη δημοσιευθείσα, EU:T:2017:279, σκέψη 22 και εκεί μνημονευόμενη νομολογία).
43 Παρέλκει, συνεπώς, η έκδοση αποφάσεως επί των αιτημάτων του προσφεύγοντος περί διαπιστώσεως παραλείψεως καθώς και επί του προβληθέντος από την Επιτροπή απαραδέκτου των αιτημάτων αυτών.
Επί των αιτημάτων αποζημιώσεως
44 Με το τρίτο σκέλος του αιτητικού, ο προσφεύγων διατυπώνει δύο αιτήματα αποζημιώσεως. Πρώτον, ζητεί την καταβολή 800 ευρώ ως χρηματική ικανοποίηση για την ηθική βλάβη που ισχυρίζεται ότι υπέστη λόγω προσβολής, εκ μέρους της Επιτροπής, του δικαιώματός του για πρόσβαση στις πληροφορίες, κατά παράβαση του άρθρου 14, παράγραφοι 3 και 4, και του άρθρου 17, παράγραφοι 1 και 2, του κανονισμού 2018/1725, καθώς και λόγω παραβίασης της αρχής της διαφάνειας που προβλέπεται στο άρθρο 4, παράγραφος 1, στοιχείο αʹ, του εν λόγω κανονισμού. Δεύτερον, ζητεί την καταβολή 400 ευρώ ως χρηματική ικανοποίηση για την ηθική βλάβη που ισχυρίζεται ότι υπέστη λόγω των επίδικων διαβιβάσεων, οι οποίες πραγματοποιήθηκαν κατά παράβαση του άρθρου 46 και του άρθρου 48, παράγραφος 1 και παράγραφος 2, στοιχείο βʹ, του κανονισμού 2018/1725.
45 Η Επιτροπή ζητεί την απόρριψη των αιτημάτων αποζημιώσεως.
Προκαταρκτικές παρατηρήσεις επί των προϋποθέσεων για τη στοιχειοθέτηση της εξωσυμβατικής ευθύνης της Ένωσης στο πλαίσιο του κανονισμού 2018/1725
46 Το άρθρο 65 του κανονισμού 2018/1725 προβλέπει ότι κάθε πρόσωπο το οποίο υπέστη υλική ή μη υλική ζημία ως αποτέλεσμα παραβίασης του εν λόγω κανονισμού δικαιούται αποζημίωση από το όργανο ή τον οργανισμό της Ένωσης για τη ζημία που υπέστη, υπό τις «προϋποθέσεις που προβλέπονται στις Συνθήκες».
47 Το άρθρο 65 του κανονισμού 2018/1725 προβλέπει, κατ’ ορθή ερμηνεία, ότι το δικαίωμα αποκατάστασης, εκ μέρους του θεσμικού οργάνου ή του οργανισμού της Ένωσης, της ζημίας που προκλήθηκε λόγω παράβασης του κανονισμού εξαρτάται από τις προϋποθέσεις του άρθρου 340, δεύτερο εδάφιο, ΣΛΕΕ, δυνάμει του οποίου η Ένωση υποχρεούται, σύμφωνα με τις γενικές αρχές του δικαίου που είναι κοινές στα δίκαια των κρατών μελών, να αποκαθιστά τη ζημία που προξενούν τα θεσμικά όργανα ή οι υπάλληλοί της κατά την άσκηση των καθηκόντων τους.
48 Κατά πάγια νομολογία, για να στοιχειοθετηθεί η εξωσυμβατική ευθύνη της Ένωσης απαιτείται να συντρέχουν σωρευτικώς τρεις προϋποθέσεις, ήτοι ο παράνομος χαρακτήρας της συμπεριφοράς που προσάπτεται στα θεσμικά όργανα, το υποστατό της ζημίας και η ύπαρξη αιτιώδους συνάφειας μεταξύ της εν λόγω συμπεριφοράς και της προβαλλόμενης ζημίας (πρβλ. αποφάσεις της 4ης Ιουλίου 2000, Bergaderm και Goupil κατά Επιτροπής, C-352/98 P, EU:C:2000:361, σκέψεις 39 έως 42, και της 28ης Οκτωβρίου 2021, Vialto Consulting κατά Επιτροπής, C-650/19 P, EU:C:2021:879, σκέψη 138).
49 Ο σωρευτικός χαρακτήρας των προϋποθέσεων αυτών συνεπάγεται ότι, εφόσον δεν πληρούται μία εξ αυτών, η αγωγή αποζημιώσεως πρέπει να απορριφθεί στο σύνολό της χωρίς να απαιτείται να εξεταστούν οι λοιπές προϋποθέσεις (απόφαση της 9ης Σεπτεμβρίου 1999, Lucaccioni κατά Επιτροπής, C‑257/98 P, EU:C:1999:402, σκέψεις 14 και 63· βλ., επίσης, απόφαση της 25ης Φεβρουαρίου 2021, Dalli κατά Επιτροπής, C-615/19 P, EU:C:2021:133, σκέψη 42 και εκεί μνημονευόμενη νομολογία).
50 Όσον αφορά την πρώτη προϋπόθεση, απαιτείται, κατά τη νομολογία, η απόδειξη κατάφωρης παράβασης κανόνα δικαίου ο οποίος αποσκοπεί στην απονομή δικαιωμάτων στους ιδιώτες (βλ. απόφαση της 4ης Ιουλίου 2000, Bergaderm και Goupil κατά Επιτροπής, C-352/98 P, EU:C:2000:361, σκέψη 42 και εκεί μνημονευόμενη νομολογία).
51 Η απαίτηση περί κατάφωρης παραβίασης του δικαίου της Ένωσης έχει ως σκοπό, ανεξαρτήτως της φύσεως της επίμαχης παράνομης πράξης, να μην εμποδίζει ο κίνδυνος πρόκλησης της προβαλλόμενης από τους ενδιαφερομένους ζημίας το θεσμικό όργανο να ασκεί πλήρως τις αρμοδιότητές του προς εξυπηρέτηση του γενικού συμφέροντος, τόσο στο πλαίσιο της κανονιστικής δραστηριότητάς του ή της δραστηριότητας που συνεπάγεται επιλογές οικονομικής πολιτικής όσο και στη σφαίρα της διοικητικής του αρμοδιότητας, χωρίς, ωστόσο, να επιρρίπτεται σε ιδιώτες το βάρος των συνεπειών καταφανών και ασύγγνωστων παραβάσεων (πρβλ. απόφαση της 14ης Δεκεμβρίου 2018, East West Consulting κατά Επιτροπής, T-298/16, EU:T:2018:967, σκέψη 124 και εκεί μνημονευόμενη νομολογία).
52 Το καθοριστικής σημασίας κριτήριο προκειμένου να γίνει δεκτό ότι υφίσταται κατάφωρη παραβίαση συνίσταται στην πρόδηλη και σοβαρή υπέρβαση εκ μέρους του θεσμικού οργάνου των ορίων που επιβάλλονται στη διακριτική του ευχέρεια. Όταν το περιθώριο εκτίμησης που το εν λόγω όργανο ή ο εν λόγω οργανισμός διαθέτει είναι σημαντικά περιορισμένο, ή και ανύπαρκτο, δύναται να αρκεί η απλή παραβίαση του δικαίου της Ένωσης προς απόδειξη της ύπαρξης κατάφωρης παράβασης (βλ. απόφαση της 10ης Δεκεμβρίου 2002, Επιτροπή κατά Camar και Tico, C-312/00 P, EU:C:2002:736, σκέψη 54 και εκεί μνημονευόμενη νομολογία). Ωστόσο, από τη νομολογία αυτή δεν απορρέει αυτομάτως σχέση μεταξύ, αφενός, της έλλειψης εξουσίας εκτιμήσεως του οικείου οργάνου και, αφετέρου, του χαρακτηρισμού της παραβάσεως ως κατάφωρης παραβίασης του δικαίου της Ένωσης (απόφαση της 3ης Μαρτίου 2010, Artegodan κατά Επιτροπής, T-429/05, EU:T:2010:60, σκέψη 59). Συγκεκριμένα, μολονότι η έκταση της διακριτικής ευχέρειας του οικείου θεσμικού οργάνου έχει αποφασιστικό χαρακτήρα, εντούτοις δεν αποτελεί αποκλειστικό κριτήριο. Συναφώς, το Δικαστήριο έχει υπενθυμίσει επανειλημμένως ότι το σύστημα που έχει διαμορφωθεί βάσει του άρθρου 340, δεύτερο εδάφιο, ΣΛΕΕ λαμβάνει, μεταξύ άλλων, υπόψη την πολυπλοκότητα των προς διευθέτηση καταστάσεων και τις δυσχέρειες εφαρμογής ή ερμηνείας των νομοθετικών κειμένων (βλ. απόφαση της 23ης Νοεμβρίου 2011, Sison κατά Συμβουλίου, T-341/07, EU:T:2011:687, σκέψεις 36 και 37 και εκεί μνημονευόμενη νομολογία) ή, γενικότερα, τον τομέα, τις προϋποθέσεις και το πλαίσιο εντός των οποίων το οικείο θεσμικό ή άλλο όργανο της Ένωσης υπέχει την εν λόγω υποχρέωση (βλ. απόφαση της 4ης Απριλίου 2017, Διαμεσολαβητής κατά Staelen, C‑337/15 P, EU:C:2017:256, σκέψη 40 και εκεί μνημονευόμενη νομολογία).
53 Επομένως, η ευθύνη της Ένωσης δύναται να στοιχειοθετηθεί μόνον εφόσον διαπιστωθεί παρατυπία την οποία δεν θα διέπραττε, υπό ανάλογες συνθήκες, μια συνήθως συνετή και επιμελής διοίκηση. Συνεπώς, εναπόκειται στον δικαστή της Ένωσης, αφού καθορίσει εάν το οικείο θεσμικό όργανο διέθετε περιθώριο εκτιμήσεως, να λάβει υπόψη του την πολυπλοκότητα της προς διευθέτηση καταστάσεως, τις δυσχέρειες εφαρμογής ή ερμηνείας των νομοθετικών κειμένων, τον βαθμό σαφήνειας και ακρίβειας του παραβιασθέντος κανόνα δικαίου και τον εσκεμμένο ή ασύγγνωστο χαρακτήρα του διαπραχθέντος σφάλματος (απόφαση της 3ης Μαρτίου 2010, Artegodan κατά Επιτροπής, T-429/05, EU:T:2010:60, σκέψη 62).
54 Όσον αφορά την προϋπόθεση σχετικά με το υποστατό της ζημίας, η ζημία πρέπει να είναι πραγματική και βέβαιη, όπερ εναπόκειται στον προσφεύγοντα να αποδείξει (βλ. απόφαση της 9ης Νοεμβρίου 2006, Agraz κ.λπ. κατά Επιτροπής, C-243/05 P, EU:C:2006:708, σκέψη 27 και εκεί μνημονευόμενη νομολογία). Αντιθέτως, ζημία εντελώς υποθετική και αόριστη δεν γεννά αξίωση αποζημιώσεως (βλ. απόφαση της 26ης Οκτωβρίου 2011, Dufour κατά ΕΚΤ, T‑436/09, EU:C:2011:634, σκέψη 192 και εκεί μνημονευόμενη νομολογία).
55 Η προϋπόθεση περί αιτιώδους συνάφειας αφορά την ύπαρξη αρκούντως άμεσης σχέσης αιτίου προς αιτιατό μεταξύ της προσαπτόμενης στο θεσμικό όργανο πράξης ή παράλειψης και της ζημίας, η δε απόδειξη της σχέσης αυτής απόκειται στον προσφεύγοντα, με αποτέλεσμα η προσαπτόμενη πράξη ή παράλειψη να πρέπει να αποτελεί την καθοριστική αιτία της ζημίας (βλ. απόφαση της 13ης Δεκεμβρίου 2018, Ευρωπαϊκή Ένωση κατά ASPLA και Armando Álvarez, C-174/17 P και C‑222/17 P, EU:C:2018:1015, σκέψη 23 και εκεί μνημονευόμενη νομολογία).
56 Επιπροσθέτως, υπενθυμίζεται ότι η αγωγή αποζημιώσεως, η οποία στηρίζεται στο άρθρο 340, δεύτερο εδάφιο, ΣΛΕΕ, έχει θεσπιστεί ως αυτοτελές ένδικο βοήθημα, το οποίο έχει ειδική λειτουργία στο πλαίσιο του συστήματος των ενδίκων βοηθημάτων και μέσων, η δε άσκησή του εξαρτάται από προϋποθέσεις που διαμορφώθηκαν με γνώμονα το ειδικό αντικείμενό του, με αποτέλεσμα η απόρριψη του ακυρωτικού αιτήματος ως απαράδεκτου να μη συνεπάγεται αυτομάτως την απόρριψη του αιτήματος αποζημιώσεως (βλ. απόφαση της 5ης Σεπτεμβρίου 2019, Ευρωπαϊκή Ένωση κατά Guardian Europe και Guardian Europe κατά Ευρωπαϊκής Ένωσης, C-447/17 P και C-479/17 P, EU:C:2019:672, σκέψη 49 και εκεί μνημονευόμενη νομολογία).
57 Ως εκ τούτου, η απόρριψη του αιτήματος ακυρώσεως ως απαράδεκτου και η απόρριψη του αιτήματος περί διαπιστώσεως παραλείψεως λόγω του ότι παρέλκει η έκδοση απόφασης επ’ αυτού, σύμφωνα με τις σκέψεις 35 και 43 ανωτέρω, δεν οδηγούν, κατά συνέπεια, στην απόρριψη των αιτημάτων αποζημιώσεως που μνημονεύονται στη σκέψη 44 ανωτέρω ως απαράδεκτων.
58 Υπό το πρίσμα αυτών ακριβώς των σκέψεων πρέπει να εξεταστούν οι αιτιάσεις που προβάλλει ο προσφεύγων στο πλαίσιο των αιτημάτων αποζημιώσεως.
Επί του πρώτου αιτήματος αποζημιώσεως, με το οποίο ζητείται η ικανοποίηση της ηθικής βλάβης που προκλήθηκε λόγω προσβολής του δικαιώματος πρόσβασης στις πληροφορίες
59 Με το πρώτο αίτημα αποζημιώσεως, ο προσφεύγων ζητεί να υποχρεωθεί η Επιτροπή να του καταβάλει το ποσό των 800 ευρώ ως χρηματική ικανοποίηση για την ηθική βλάβη που υπέστη λόγω της προσβολής του δικαιώματός του για πρόσβαση στις πληροφορίες.
60 Κατ’ αρχάς, ο προσφεύγων προσάπτει στην Επιτροπή ότι δεν απάντησε στο αίτημα παροχής πληροφοριών της 1ης Απριλίου 2022 εντός της ταχθείσας προθεσμίας και ότι δεν του γνωστοποίησε τους λόγους της αδράνειάς της, κατά παράβαση του άρθρου 14, παράγραφοι 3 και 4, και του άρθρου 17, παράγραφοι 1 και 2, του κανονισμού 2018/1725, καθώς και κατά παραβίαση της αρχής της διαφάνειας που προβλέπεται στο άρθρο 4, παράγραφος 1, στοιχείο αʹ, του κανονισμού. Επιπλέον, η Επιτροπή παρέβη το άρθρο 17, παράγραφος 1, στοιχείο γʹ, και παράγραφος 2, του κανονισμού 2018/1725, στο μέτρο που η δήλωση περί προστασίας της ιδιωτικής ζωής, η οποία περιλαμβάνεται στον ιστότοπο της ΔΜΕ, δεν περιέχει πληροφορίες σχετικές με τη διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες και με ενδεχόμενες κατάλληλες εγγυήσεις στις οποίες υπόκειται η διαβίβαση, όπως απαιτεί το άρθρο 48 του κανονισμού. Επιπροσθέτως, με το μήνυμα ηλεκτρονικού ταχυδρομείου της 3ης Δεκεμβρίου 2021, η Επιτροπή παρέσχε εσφαλμένες πληροφορίες, στο μέτρο που αρνήθηκε ότι πραγματοποιήθηκε διαβίβαση δεδομένων προσωπικού χαρακτήρα του προσφεύγοντος προς αποδέκτες εγκατεστημένους στις Ηνωμένες Πολιτείες.
61 Εν συνεχεία, ο προσφεύγων υποστηρίζει ότι η υπαίτια αδράνεια της Επιτροπής τον εμπόδισε να ελέγξει την επεξεργασία των δεδομένων προσωπικού χαρακτήρα που τον αφορούσαν, γεγονός που συνιστά ηθική βλάβη κατά την έννοια της αιτιολογικής σκέψης 46 του κανονισμού 2018/1725. Τέλος, ισχυρίζεται ότι η εν λόγω ηθική βλάβη, την οποία αποτιμά σε 800 ευρώ, προκλήθηκε ευθέως από την παράνομη συμπεριφορά της Επιτροπής.
62 Η Επιτροπή αντικρούει τα επιχειρήματα αυτά, υποστηρίζοντας, κατ’ ουσίαν, ότι εν προκειμένω δεν πληρούται καμία από τις προϋποθέσεις στοιχειοθέτησης της εξωσυμβατικής ευθύνης.
63 Κατ’ αρχάς, όσον αφορά την προϋπόθεση του παράνομου χαρακτήρα της προσαπτόμενης συμπεριφοράς, πρέπει να εξακριβωθεί αν ο προσφεύγων επικαλέστηκε την παράβαση κανόνων δικαίου που αποσκοπούν στην απονομή δικαιωμάτων σε ιδιώτες.
64 Συναφώς, παρατηρείται ότι το άρθρο 17, παράγραφος 1, στοιχείο γʹ, του κανονισμού 2018/1725 καθιερώνει δικαίωμα πρόσβασης του υποκειμένου των δεδομένων σε πληροφορίες που αφορούν τους αποδέκτες στους οποίους κοινολογήθηκαν τα δεδομένα προσωπικού χαρακτήρα που το αφορούν, ιδίως τους αποδέκτες που είναι εγκατεστημένοι σε τρίτες χώρες. Επομένως, η διάταξη αυτή συγκεκριμενοποιεί την αρχή που κατοχυρώνεται στο άρθρο 4, παράγραφος 1, στοιχείο αʹ, του κανονισμού 2018/1725, κατά την οποία κάθε πληροφορία και κάθε ανακοίνωση σχετική με την επεξεργασία δεδομένων προσωπικού χαρακτήρα πρέπει να είναι εύκολα προσβάσιμη.
65 Επιπροσθέτως, το άρθρο 14, παράγραφος 3, του κανονισμού 2018/1725 τάσσει προθεσμία ενός μηνός στον υπεύθυνο επεξεργασίας των δεδομένων προσωπικού χαρακτήρα για να απαντήσει στα αιτήματα παροχής πληροφοριών. Επιπλέον, το άρθρο 14, παράγραφος 4, του κανονισμού επιβάλλει στον υπεύθυνο επεξεργασίας δεδομένων προσωπικού χαρακτήρα, σε περίπτωση που αποφασίσει να μην ενεργήσει επί του αιτήματος, να ενημερώσει τον αιτούντα, εντός ενός μηνός, για τους λόγους για τους οποίους δεν ενήργησε, καθώς και για τη δυνατότητα υποβολής καταγγελίας στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων (ΕΕΠΔ) και τη δυνατότητα άσκησης δικαστικής προσφυγής. Συνεπώς, οι ως άνω διατάξεις συνιστούν κανόνες διοικητικής διαδικασίας που διευκολύνουν την εφαρμογή του δικαιώματος πρόσβασης στις πληροφορίες ως προς τα δεδομένα προσωπικού χαρακτήρα του υποκειμένου των δεδομένων, συγκεκριμενοποιώντας και ρυθμίζοντας το εν λόγω δικαίωμα. Επιπλέον, οι διατάξεις αυτές συμβάλλουν ώστε να συγκεκριμενοποιηθεί το δικαίωμα που παρέχεται σε κάθε πρόσωπο, δυνάμει του άρθρου 41 του Χάρτη, για εξέταση εντός εύλογης προθεσμίας της υπόθεσής του από τα όργανα και τους οργανισμούς της Ένωσης.
66 Κατά συνέπεια, οι διατάξεις του άρθρου 4, παράγραφος 1, στοιχείο αʹ, του άρθρου 14, παράγραφοι 3 και 4, και του άρθρου 17, παράγραφος 1, στοιχείο γʹ, του κανονισμού 2018/1725, συνδυαζόμενες, συνιστούν κανόνες δικαίου που αποσκοπούν στην απονομή δικαιωμάτων σε ιδιώτες, κατά την έννοια της νομολογίας που μνημονεύθηκε στη σκέψη 50 ανωτέρω.
67 Στη συνέχεια, πρέπει να εξεταστεί αν αποδεικνύεται εν προκειμένω παράβαση των διατάξεων αυτών από την Επιτροπή.
68 Αφενός, ο προσφεύγων υποστηρίζει ότι η Επιτροπή παρέβη το άρθρο 17, παράγραφος 1, στοιχείο γʹ, και παράγραφος 2, του κανονισμού 2018/1725, στο μέτρο που η δήλωση περί προστασίας της ιδιωτικής ζωής που περιλαμβάνεται στον ιστότοπο της ΔΜΕ δεν περιείχε πληροφορίες σχετικές με τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε αποδέκτες εγκατεστημένους σε τρίτες χώρες, με ενδεχόμενες κατάλληλες εγγυήσεις ως προς την εν λόγω διαβίβαση ή με τον προσδιορισμό των συμβαλλομένων ως αποδεκτών των δεδομένων αυτών.
69 Όπως αναφέρθηκε στη σκέψη 64 ανωτέρω, το άρθρο 17, παράγραφος 1, στοιχείο γʹ, και παράγραφος 2, του κανονισμού 2018/1725 προβλέπει ότι το υποκείμενο των δεδομένων έχει, μεταξύ άλλων, το δικαίωμα να λαμβάνει πληροφορίες σχετικές με τους αποδέκτες που είναι εγκατεστημένοι σε τρίτες χώρες, στους οποίους κοινολογήθηκαν τα δεδομένα προσωπικού χαρακτήρα, καθώς και πληροφορίες σχετικές με τις κατάλληλες εγγυήσεις στις οποίες υπόκειται η διαβίβαση δεδομένων στους αποδέκτες αυτούς.
70 Ως εκ τούτου, οι ως άνω διατάξεις καθιερώνουν μεν δικαίωμα πρόσβασης του υποκειμένου των δεδομένων σε ορισμένες πληροφορίες, πλην όμως δεν προβλέπουν ότι οι εν λόγω πληροφορίες πρέπει υποχρεωτικώς να περιλαμβάνονται σε συγκεκριμένο έγγραφο, ή ακόμη και σε δήλωση σχετική με την προστασία της ιδιωτικής ζωής, όπως αυτή που περιλαμβάνεται στον ιστότοπο της ΔΜΕ. Με άλλα λόγια, από τις ως άνω διατάξεις δεν προκύπτει ότι οι επίμαχες πληροφορίες πρέπει να δημοσιοποιούνται μέσω της δήλωσης αυτής. Ωστόσο, ο προσφεύγων, όπως κάθε υποκείμενο δεδομένων, διατηρεί το δικαίωμα να λαμβάνει τέτοιες πληροφορίες ασκώντας το δικαίωμά του για πρόσβαση στις πληροφορίες, το οποίο κατοχυρώνεται στο άρθρο 17, παράγραφος 1, στοιχείο γʹ, και παράγραφος 2, του κανονισμού 2018/1725, ζήτημα που βαίνει πέραν το περιεχόμενο της παράνομης πράξης την οποία προσάπτει ο προσφεύγων στην Επιτροπή και η οποία αφορά μόνον το περιεχόμενο της δήλωσης περί προστασίας της ιδιωτικής ζωής (βλ. σκέψη 68 ανωτέρω).
71 Εν πάση περιπτώσει, εν προκειμένω, από τη διατύπωση της εν λόγω δήλωσης περί προστασίας της ιδιωτικής ζωής, η οποία επισυνάπτεται στο δικόγραφο της προσφυγής, προκύπτει ότι η δήλωση αυτή περιέχει πληροφορίες σχετικές με τους αποδέκτες ή τις κατηγορίες αποδεκτών στους οποίους κοινοποιήθηκαν ή πρόκειται να κοινοποιηθούν τα δεδομένα προσωπικού χαρακτήρα. Συγκεκριμένα, στο σημείο 7 της εν λόγω δήλωσης αναφέρεται, μεταξύ άλλων, ότι η πρόσβαση στα δεδομένα «παρέχεται στο εξουσιοδοτημένο προσωπικό της [Επιτροπής] και των εξωτερικών της συνεργατών που είναι αρμόδιο για την εκτέλεση της εν λόγω πράξης επεξεργασίας, σύμφωνα με την αρχή της “ανάγκης γνώσης”». Επιπροσθέτως, το επιχείρημα του προσφεύγοντος ότι η εν λόγω δήλωση δεν περιέχει πληροφορίες σχετικές με τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε αποδέκτες εγκατεστημένους σε τρίτες χώρες στηρίζεται στην παραδοχή ότι η επίσκεψη στον ιστότοπο της ΔΜΕ συνεπάγεται διαβίβαση δεδομένων προσωπικού χαρακτήρα των χρηστών προς τρίτη χώρα. Εντούτοις, το υπό κρίση αίτημα αποζημιώσεως στηρίζεται στην προσβολή του δικαιώματος πρόσβασης στις πληροφορίες και όχι στην παράβαση των διατάξεων που αφορούν τη διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες, η οποία, εξάλλου, αποτελεί τη βάση του δευτέρου αιτήματος αποζημιώσεως.
72 Συνεπώς, δεν αποδεικνύεται εν προκειμένω ότι η Επιτροπή παρέβη το άρθρο 17, παράγραφος 1, στοιχείο γʹ, και παράγραφος 2, του κανονισμού 2018/1725, όσον αφορά τη δήλωση περί προστασίας της ιδιωτικής ζωής που περιλαμβάνεται στον ιστότοπο της ΔΜΕ.
73 Αφετέρου, ο προσφεύγων προσάπτει στην Επιτροπή ότι δεν απάντησε στο αίτημα παροχής πληροφοριών της 1ης Απριλίου 2022 εντός της ταχθείσας προθεσμίας και ότι δεν του γνωστοποίησε τους λόγους της αδράνειάς της, κατά παράβαση του άρθρου 14, παράγραφοι 3 και 4, και του άρθρου 17, παράγραφοι 1 και 2, του κανονισμού 2018/1725, καθώς και κατά παραβίαση της αρχής της διαφάνειας. Επιπλέον, φρονεί ότι, με το μήνυμα ηλεκτρονικού ταχυδρομείου της 3ης Δεκεμβρίου 2021, η Επιτροπή του γνωστοποίησε εσφαλμένες πληροφορίες.
74 Παρατηρείται εκ προοιμίου ότι ο προσφεύγων δεν προβάλλει κανένα συγκεκριμένο επιχείρημα προς στήριξη της παραβίασης της αρχής της διαφάνειας. Επομένως, το επιχείρημα αυτό δεν έχει αυτοτελές περιεχόμενο σε σχέση με την αιτίαση που αφορά παραβίαση της προθεσμίας απάντησης στο αίτημα παροχής πληροφοριών καθώς και παραβίαση της υποχρέωσης γνωστοποίησης των λόγων υπέρβασης της εν λόγω προθεσμίας.
75 Επιπροσθέτως, τα επιχειρήματα του προσφεύγοντος που αφορούν παράβαση του άρθρου 17, παράγραφοι 1 και 2, του κανονισμού 2018/1725 καθώς και γνωστοποίηση εσφαλμένων πληροφοριών εκ μέρους της Επιτροπής, με το μήνυμα ηλεκτρονικού ταχυδρομείου της 3ης Δεκεμβρίου 2021, στηρίζονται στην παραδοχή ότι η επίσκεψη στον ιστότοπο της ΔΜΕ συνεπάγεται διαβίβαση δεδομένων προσωπικού χαρακτήρα των χρηστών προς τρίτη χώρα. Όπως αναφέρεται στη σκέψη 71 ανωτέρω, το υπό κρίση αίτημα αποζημιώσεως στηρίζεται στην προσβολή του δικαιώματος πρόσβασης στις πληροφορίες και όχι στην παράβαση των διατάξεων που αφορούν τη διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες, η οποία, εξάλλου, αποτελεί τη βάση του δευτέρου αιτήματος αποζημιώσεως.
76 Επομένως, δεν αποδεικνύεται εν προκειμένω ότι η Επιτροπή παρέβη το άρθρο 17, παράγραφοι 1 και 2, του κανονισμού 2018/1725.
77 Όσον αφορά την αιτίαση του προσφεύγοντος περί παραβάσεως του άρθρου 14, παράγραφοι 3 και 4, του κανονισμού 2018/1725, από τη δικογραφία προκύπτει ότι η Επιτροπή απάντησε στο αίτημα παροχής πληροφοριών της 9ης Νοεμβρίου 2021 εντός της προθεσμίας του ενός μηνός που προβλέπει το άρθρο 14, παράγραφος 3, του κανονισμού 2018/1725 (βλ. σκέψεις 5 και 7 ανωτέρω). Όσον αφορά το αίτημα παροχής πληροφοριών της 1ης Απριλίου 2022, η Επιτροπή, με μήνυμα ηλεκτρονικού ταχυδρομείου της 30ής Ιουνίου 2022, ενημέρωσε τον προσφεύγοντα ότι, κατά την άποψή της, το αίτημα παροχής πληροφοριών της 1ης Απριλίου 2022 ήταν σχεδόν πανομοιότυπο με εκείνο της 9ης Νοεμβρίου 2021 και ότι είχε ήδη απαντήσει στο εν λόγω αίτημα με το μήνυμα ηλεκτρονικού ταχυδρομείου της 3ης Δεκεμβρίου 2021 (βλ. σκέψη 11 ανωτέρω).
78 Ως εκ τούτου, όσον αφορά το αίτημα παροχής πληροφοριών της 1ης Απριλίου 2022, η Επιτροπή δεν τήρησε την προθεσμία του ενός μηνός που προβλέπεται στο άρθρο 14, παράγραφος 4, του κανονισμού 2018/1725 (βλ. σκέψη 65 ανωτέρω).
79 Από τις σκέψεις 68 έως 78 ανωτέρω προκύπτει ότι η μόνη παράνομη πράξη που προσάπτεται στην Επιτροπή και αποδεικνύεται εν προκειμένω είναι αυτή της μη τήρησης της προθεσμίας του άρθρου 14, παράγραφος 4, του κανονισμού 2018/1725.
80 Υπό τις συνθήκες αυτές, και ανεξαρτήτως του ζητήματος αν η μη τήρηση της εν λόγω προθεσμίας από την Επιτροπή συνιστά κατάφωρη παράβαση κανόνα δικαίου, πρέπει να εξεταστεί ευθύς εξαρχής αν η μη τήρηση της προθεσμίας προκάλεσε στον προσφεύγοντα πραγματική και βέβαιη ηθική βλάβη, κατά την έννοια της νομολογίας που υπομνήσθηκε στη σκέψη 54 ανωτέρω.
81 Όσον αφορά το υποστατό της ηθικής βλάβης που ο προσφεύγων ισχυρίζεται ότι υπέστη, υπενθυμίζεται ότι, μολονότι η προσκόμιση απόδειξης δεν θεωρείται κατ’ ανάγκην προϋπόθεση για την αναγνώριση της ηθικής βλάβης, εντούτοις στον προσφεύγοντα εναπόκειται τουλάχιστον να αποδείξει ότι η προσαπτόμενη στο οικείο θεσμικό όργανο συμπεριφορά μπορούσε να του προκαλέσει τέτοια βλάβη (απόφαση της 16ης Ιουλίου 2009, SELEX Sistemi Integrati κατά Επιτροπής, C‑481/07 P, μη δημοσιευθείσα, EU:C:2009:461, σκέψη 38· βλ., επίσης, απόφαση της 2ας Ιουλίου 2019, Fulmen κατά Συμβουλίου, T-405/15, EU:T:2019:469, σκέψη 188 και εκεί μνημονευόμενη νομολογία).
82 Εν προκειμένω, ο προσφεύγων ζητεί χρηματική ικανοποίηση για ηθική βλάβη ύψους 800 ευρώ, υποστηρίζοντας ότι η προσαπτόμενη στην Επιτροπή συμπεριφορά τον εμπόδισε να ελέγξει την επεξεργασία των δεδομένων προσωπικού χαρακτήρα που τον αφορούν.
83 Εντούτοις, επιβάλλεται η διαπίστωση ότι τέτοια ηθική βλάβη δεν αποδείχθηκε εν προκειμένω. Ειδικότερα, η μόνη παράνομη πράξη που διαπιστώνεται στην υπό κρίση υπόθεση είναι η μη τήρηση, εκ μέρους της Επιτροπής, της προθεσμίας του ενός μηνός που προβλέπει το άρθρο 14, παράγραφος 4, του κανονισμού 2018/1725 (βλ. σκέψη 79 ανωτέρω). Ωστόσο, δεν υπήρξε υπέρβαση της προθεσμίας αυτής πέραν των δύο μηνών (βλ. σκέψη 77 ανωτέρω). Επιπλέον, τα αιτήματα παροχής πληροφοριών της 9ης Νοεμβρίου 2021 και της 1ης Ιουνίου 2022 ήταν κατ’ ουσίαν τα ίδια (βλ. σκέψεις 5 και 8 ανωτέρω) και, ως εκ τούτου, ο προσφεύγων είχε ήδη λάβει απάντηση, εν μέρει τουλάχιστον, στο αίτημα παροχής πληροφοριών στις 3 Δεκεμβρίου 2021, ημερομηνία κατά την οποία η Επιτροπή απάντησε στο αίτημα παροχής πληροφοριών της 9ης Νοεμβρίου 2021 (βλ. σκέψη 7 ανωτέρω).
84 Επιπροσθέτως, το επιχείρημα του προσφεύγοντος περί γνωστοποιήσεως εσφαλμένων πληροφοριών (βλ. σκέψη 75 ανωτέρω) αφορά το βάσιμο των πληροφοριών και όχι την τήρηση του διαδικαστικού κανόνα του οποίου η παράβαση αποδείχθηκε στη σκέψη 78 ανωτέρω και το οποίο δεν είναι, συνεπώς, κρίσιμο για την απόδειξη της προβαλλόμενης ηθικής βλάβης.
85 Δεν αποδεικνύεται, συνεπώς, ότι η μη τήρηση, εκ μέρους της Επιτροπής, της προθεσμίας του άρθρου 14, παράγραφος 4, του κανονισμού 2018/1725 ήταν ικανή να προκαλέσει στον προσφεύγοντα την προβαλλόμενη ηθική βλάβη.
86 Συνεπώς, δεδομένου ότι δεν συντρέχει μία από τις σωρευτικές προϋποθέσεις για τη στοιχειοθέτηση της εξωσυμβατικής ευθύνης της Ένωσης, δυνάμει του άρθρου 340, δεύτερο εδάφιο, ΣΛΕΕ, πρέπει να απορριφθεί το πρώτο αίτημα αποζημιώσεως του προσφεύγοντος.
Επί του δευτέρου αιτήματος αποζημιώσεως, με το οποίο ζητείται η ικανοποίηση της ηθικής βλάβης που προκλήθηκε λόγω των επίδικων διαβιβάσεων
87 Με το δεύτερο αίτημα αποζημιώσεως, ο προσφεύγων ζητεί την καταβολή 400 ευρώ ως χρηματική ικανοποίηση για την ηθική βλάβη που ισχυρίζεται ότι υπέστη λόγω των επίδικων διαβιβάσεων που μνημονεύονται στις σκέψεις 26 έως 28 ανωτέρω, ήτοι λόγω της επίδικης διαβίβασης κατά την επίσκεψη στον ιστότοπο της ΔΜΕ στις 30 Μαρτίου 2022, της επίδικης διαβίβασης κατά τη σύνδεση στην EU Login στις 30 Μαρτίου 2022 και της επίδικης διαβίβασης κατά την επίσκεψη στον ιστότοπο της ΔΜΕ στις 8 Ιουνίου 2022.
88 Ο προσφεύγων υποστηρίζει, κατ’ ουσίαν, ότι οι επίδικες διαβιβάσεις πραγματοποιήθηκαν προς αποδέκτες εγκατεστημένους στις Ηνωμένες Πολιτείες, χώρα η οποία δεν διαθέτει επαρκές επίπεδο προστασίας. Η Επιτροπή δεν ανέφερε βάσει ποιων κατάλληλων εγγυήσεων θα μπορούσαν να δικαιολογηθούν οι εν λόγω διαβιβάσεις, όπως προβλέπεται στο κεφάλαιο V του κανονισμού 2018/1725, και, ως εκ τούτου, παρέβη το άρθρο 46 και το άρθρο 48, παράγραφος 1, και παράγραφος 2, στοιχείο βʹ, του κανονισμού αυτού, καθώς και τα άρθρα 7, 8 και 47 του Χάρτη. Κατά την άποψη του προσφεύγοντος, οι επίδικες διαβιβάσεις δημιούργησαν τον κίνδυνο να αποκτήσουν πρόσβαση στα δεδομένα που τον αφορούν οι υπηρεσίες ασφαλείας και πληροφοριών των Ηνωμένων Πολιτειών, και, κατά συνέπεια, του προκάλεσαν ηθική βλάβη, κατά την έννοια της αιτιολογικής σκέψης 46 του κανονισμού 2018/1725, στο μέτρο που στερήθηκε των δικαιωμάτων και των ελευθεριών του και δεν μπόρεσε να ασκήσει έλεγχο επί των δεδομένων του.
89 Η Επιτροπή αντικρούει τα ως άνω επιχειρήματα, υποστηρίζοντας, κατ’ ουσίαν, ότι οι προϋποθέσεις στοιχειοθέτησης της εξωσυμβατικής ευθύνης δεν πληρούνται εν προκειμένω.
– Προκαταρκτικές παρατηρήσεις επί των διατάξεων που αφορούν τη διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα
90 Πρώτον, παρατηρείται ότι, κατά το άρθρο 2, παράγραφος 5, του κανονισμού 2018/1725, ο κανονισμός αυτός εφαρμόζεται τόσο στην εν όλω ή εν μέρει αυτοματοποιημένη όσο και στη μη αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα που περιλαμβάνονται ή πρόκειται να περιληφθούν σε σύστημα αρχειοθέτησης.
91 Δεύτερον, τα «δεδομένα προσωπικού χαρακτήρα» πρέπει να ερμηνευθούν υπό την έννοια ότι αντιστοιχούν σε κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο, σύμφωνα με το άρθρο 3, σημείο 1, του κανονισμού 2018/1725.
92 Τρίτον, παρατηρείται ότι η διαβίβαση δεδομένων συνιστά πράξη «επεξεργασίας» δεδομένων, κατά την έννοια του άρθρου 3, σημείο 3, του κανονισμού 2018/1725.
93 Τέταρτον, επισημαίνεται ότι οι «διαβιβάσεις δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες ή διεθνείς οργανισμούς» διέπονται από το κεφάλαιο V του κανονισμού 2018/1725, το οποίο ωστόσο δεν τις ορίζει.
94 Εντούτοις, από την αιτιολογική σκέψη 63 του κανονισμού 2018/1725 προκύπτει ότι οι διαβιβάσεις για τις οποίες κάνουν λόγο οι διατάξεις του κεφαλαίου V του κανονισμού αυτού αφορούν τα δεδομένα προσωπικού χαρακτήρα που διαβιβάζονται από όργανα και οργανισμούς της Ένωσης σε υπευθύνους επεξεργασίας, εκτελούντες επεξεργασία ή άλλους αποδέκτες σε τρίτες χώρες ή σε διεθνείς οργανισμούς.
95 Επιπλέον, από τη συστηματική ερμηνεία του κανονισμού 2018/1725 προκύπτει ότι η διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες, κατά την έννοια του άρθρου 46, απαιτεί, πρώτον, ο υπεύθυνος της επίμαχης επεξεργασίας των δεδομένων να ανήκει σε θεσμικό όργανο ή οργανισμό της Ένωσης και, ως εκ τούτου, να υπόκειται στον εν λόγω κανονισμό (άρθρο 1 του κανονισμού 2018/1725), δεύτερον, ο υπεύθυνος της επεξεργασίας να θέτει, με διαβίβαση ή με άλλον τρόπο, τα δεδομένα προσωπικού χαρακτήρα στη διάθεση του αποδέκτη της επεξεργασίας, ήτοι στη διάθεση, μεταξύ άλλων, άλλου φυσικού ή νομικού προσώπου (άρθρο 3, σημεία 3 και 13, του κανονισμού 2018/1725) και, τρίτον, ο αποδέκτης αυτός να είναι εγκατεστημένος σε τρίτη χώρα (άρθρο 46 του κανονισμού 2018/1725), δηλαδή σε χώρα που δεν είναι μέλος της Ένωσης ή του Ευρωπαϊκού Οικονομικού Χώρου (ΕΟΧ).
96 Πέμπτον, διαπιστώνεται ότι οι διατάξεις του κεφαλαίου V του κανονισμού 2018/1725 αποσκοπούν στη διατήρηση, κατά τη διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες ή διεθνείς οργανισμούς, του επιπέδου προστασίας των φυσικών προσώπων που διασφαλίζεται εντός της Ένωσης, σύμφωνα με τον σκοπό που διευκρινίζεται στην αιτιολογική του σκέψη 63.
97 Έκτον, το άρθρο 46 του κανονισμού 2018/1725 προβλέπει γενική αρχή σύμφωνα με την οποία η διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα ή διεθνή οργανισμό πραγματοποιείται μόνον εάν, με την επιφύλαξη των λοιπών διατάξεων του εν λόγω κανονισμού, ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία τηρούν τις προϋποθέσεις που καθορίζονται στο κεφάλαιο V.
98 Έβδομον, όσον αφορά τις προϋποθέσεις που καθορίζονται στο κεφάλαιο V του κανονισμού 2018/1725, παρατηρείται ότι το άρθρο 47, παράγραφος 1, του κανονισμού προβλέπει ότι η διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα ή διεθνή οργανισμό μπορεί να πραγματοποιηθεί εφόσον η Επιτροπή έχει αποφασίσει, με απόφαση επάρκειας εκδιδόμενη, μεταξύ άλλων, δυνάμει του άρθρου 45, παράγραφος 3, του κανονισμού 2016/679, ότι η εν λόγω τρίτη χώρα ή ο διεθνής οργανισμός εξασφαλίζει επαρκές επίπεδο προστασίας και εφόσον η διαβίβαση των δεδομένων προσωπικού χαρακτήρα αποβλέπει αποκλειστικά στο να διευκολύνει την εκτέλεση καθήκοντος που εμπίπτει στην αρμοδιότητα του υπεύθυνου επεξεργασίας.
99 Συναφώς, υπενθυμίζεται ότι οι δύο αποφάσεις επάρκειας της Επιτροπής που αφορούσαν τις Ηνωμένες Πολιτείες κηρύχθηκαν ανίσχυρες. Αφενός, με την απόφαση της 6ης Οκτωβρίου 2015, Schrems (C-362/14, EU:C:2015:650), το Δικαστήριο κήρυξε ανίσχυρη την απόφαση 2000/520/ΕΚ της Επιτροπής, της 26ης Ιουλίου 2000, βάσει της οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με την επάρκεια της προστασίας που παρέχεται από τις αρχές ασφαλούς λιμένα για την προστασία της ιδιωτικής ζωής και τις συναφείς συχνές ερωτήσεις που εκδίδονται από το Υπουργείο Εμπορίου των ΗΠΑ (ΕΕ 2000, L 215, σ. 7). Αφετέρου, με την απόφαση Schrems II, το Δικαστήριο κήρυξε ανίσχυρη την εκτελεστική απόφαση (ΕΕ) 2016/1250 της Επιτροπής, της 12ης Ιουλίου 2016, βάσει της οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με την επάρκεια της προστασίας που παρέχεται από την ασπίδα προστασίας της ιδιωτικής ζωής ΕΕ-ΗΠΑ (ΕΕ 2016, L 207, σ. 1).
100 Επομένως, κατά τον χρόνο των επίδικων διαβιβάσεων, δεν υφίστατο όσον αφορά τις Ηνωμένες Πολιτείες καμία απόφαση περί επάρκειας, κατά την έννοια του άρθρου 47 του κανονισμού 2018/1725.
101 Ελλείψει απόφασης περί επάρκειας της Επιτροπής για τις Ηνωμένες Πολιτείες, εφαρμόζεται το άρθρο 48, παράγραφος 1, του κανονισμού 2018/1725, κατά το οποίο ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία μπορεί να διαβιβάσει δεδομένα προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό μόνον εάν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία έχει παράσχει κατάλληλες εγγυήσεις και υπό την προϋπόθεση ότι υφίστανται εκτελεστά δικαιώματα και αποτελεσματικά ένδικα μέσα για τα υποκείμενα των δεδομένων.
102 Οι κατά το άρθρο 48, παράγραφος 1, του κανονισμού 2018/1725 κατάλληλες εγγυήσεις, οι οποίες απαριθμούνται στο άρθρο 48, παράγραφοι 2 και 3, του, μπορούν να παρέχονται, μεταξύ άλλων, με τυποποιημένες ρήτρες προστασίας δεδομένων οι οποίες θεσπίζονται από την Επιτροπή, σύμφωνα με το άρθρο 48, παράγραφος 2, στοιχείο βʹ.
103 Ωστόσο, οι τυποποιημένες ρήτρες προστασίας δεδομένων που προβλέπονται στο άρθρο 48, παράγραφος 2, στοιχείο βʹ, του κανονισμού 2018/1725 ενδέχεται να απαιτούν τη λήψη πρόσθετων μέτρων προκειμένου να διασφαλίζεται η τήρηση του κατάλληλου επιπέδου προστασίας, υπό το πρίσμα του δικαίου της Ένωσης (βλ., κατ’ αναλογίαν, απόφαση Schrems II, σκέψεις 133 και 134).
104 Επιπλέον, οι προβλεπόμενες στο άρθρο 48, παράγραφος 1, του κανονισμού 2018/1725 κατάλληλες εγγυήσεις μπορούν να παρέχονται, μεταξύ άλλων, μέσω συμβατικών ρητρών δυνάμει του άρθρου 48, παράγραφος 3, στοιχείο αʹ, του εν λόγω κανονισμού, οι οποίες συνάπτονται μεταξύ, αφενός, του υπευθύνου της επεξεργασίας ή του εκτελούντος την επεξεργασία και, αφετέρου, του υπευθύνου επεξεργασίας, του εκτελούντος την επεξεργασία ή του αποδέκτη των δεδομένων προσωπικού χαρακτήρα στην τρίτη χώρα, υπό την επιφύλαξη της έγκρισης του ΕΕΠΔ.
105 Επιπροσθέτως, υπενθυμίζεται ότι τα άρθρα 7, 8 και 47 του Χάρτη καθιερώνουν, αντιστοίχως, το δικαίωμα στον σεβασμό της ιδιωτικής ζωής, το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα και το δικαίωμα πραγματικής προσφυγής και αμερόληπτου δικαστηρίου.
106 Εν προκειμένω, επισημαίνεται εκ προοιμίου ότι το δεύτερο αίτημα αποζημιώσεως του προσφεύγοντος στηρίζεται σε παράβαση εκ μέρους της Επιτροπής των διατάξεων του άρθρου 46 και του άρθρου 48, παράγραφος 1, και παράγραφος 2, στοιχείο βʹ, του κανονισμού 2018/1725, καθώς και των άρθρων 7, 8 και 47 του Χάρτη. Από τις σκέψεις 91 έως 105 ανωτέρω προκύπτει ότι οι εν λόγω διατάξεις του κανονισμού 2018/1725 συγκεκριμενοποιούν θεμελιώδη δικαιώματα, όπως αυτά που κατοχυρώνονται στα άρθρα 7 και 8 του Χάρτη, και αποσκοπούν, στο σύνολό τους, στη διασφάλιση της συνέχειας του υψηλού επιπέδου προστασίας των δεδομένων προσωπικού χαρακτήρα σε περίπτωση διαβίβασης των δεδομένων προς τρίτες χώρες ή διεθνείς οργανισμούς.
107 Ως εκ τούτου, οι διατάξεις των οποίων την παράβαση επικαλείται ο προσφεύγων προς στήριξη του δευτέρου αιτήματος αποζημιώσεως κατατείνουν στην προστασία του ατομικού συμφέροντος των υποκειμένων των δεδομένων και συνιστούν, επομένως, κανόνες δικαίου που αποσκοπούν στην απονομή δικαιωμάτων σε ιδιώτες, κατά την έννοια της νομολογίας που υπομνήσθηκε στη σκέψη 50 ανωτέρω.
108 Πρέπει στο εξής να εξακριβωθεί αν πληρούνται οι προϋποθέσεις στοιχειοθέτησης της εξωσυμβατικής ευθύνης της Επιτροπής για καθεμία από τις τρεις επίδικες διαβιβάσεις που μνημονεύονται στη σκέψη 87 ανωτέρω.
109 Δεδομένου ότι οι επίδικες διαβιβάσεις που μνημονεύονται στις σκέψεις 26 και 28 ανωτέρω πραγματοποιήθηκαν λόγω της χρήσης, στον ιστότοπο της ΔΜΕ, του δικτύου διανομής περιεχομένου (στα αγγλικά «content delivery network» ή «CDN») με την ονομασία Amazon CloudFront (στο εξής: υπηρεσία Amazon CloudFront), πρέπει κατ’ αρχάς να διερευνηθούν οι συνθήκες λειτουργίας της υπηρεσίας αυτής στο πλαίσιο του συγκεκριμένου ιστοτόπου.
– Επί της λειτουργίας της υπηρεσίας Amazon CloudFront στο πλαίσιο του ιστοτόπου της ΔΜΕ
110 Εν προκειμένω, δεν αμφισβητείται ότι ο ιστότοπος της ΔΜΕ χρησιμοποιεί το δίκτυο διανομής περιεχομένου Amazon CloudFront και ότι το δίκτυο αυτό ενεργοποιείται σε κάθε επίσκεψη χρήστη στον εν λόγω ιστότοπο.
111 Από τη δικογραφία, και δη από τις απαντήσεις των διαδίκων στο μέτρο οργανώσεως της διαδικασίας της 21ης Ιουλίου 2023 καθώς και από τις αγορεύσεις και τις απαντήσεις τους κατά την επ’ ακροατηρίου συζήτηση της 17ης Οκτωβρίου 2023 προκύπτει ότι, πρώτον, η υπηρεσία Amazon CloudFront είναι μια υπηρεσία διαδικτύου που επιταχύνει τη διανομή περιεχομένου του διαδικτύου προς τους χρήστες, εν προκειμένω του περιεχομένου του ιστοτόπου της ΔΜΕ. Η υπηρεσία Amazon CloudFront διανέμει το περιεχόμενο μέσω ενός παγκόσμιου δικτύου διακομιστών ή κέντρων δεδομένων που ονομάζονται «περιφερειακές θέσεις» ή «περιφερειακοί διακομιστές».
112 Δεύτερον, η υπηρεσία Amazon CloudFront στηρίζεται σε μηχανισμό δρομολόγησης ο οποίος κατευθύνει το αίτημα χρήστη του ιστοτόπου της ΔΜΕ προς τον περιφερειακό διακομιστή που παρέχει τον μικρότερο χρόνο αναμονής, σύμφωνα με την αρχή της εγγύτητας με το τερματικό του χρήστη, προκειμένου το περιεχόμενο να μεταδίδεται στον χρήστη υπό τις καλύτερες δυνατές συνθήκες. Αν, λόγω, ιδίως, τεχνικών δυσχερειών, δεν είναι διαθέσιμος ο περιφερειακός διακομιστής με τον μικρότερο χρόνο αναμονής, η σύνδεση πραγματοποιείται με εκείνον που παρέχει τον δεύτερο μικρότερο χρόνο και ούτω καθεξής.
113 Τρίτον, η υπηρεσία Amazon CloudFront χρησιμοποιείται για τον ιστότοπο της ΔΜΕ βάσει της σύμβασης 2020-1742, η οποία υπογράφηκε μεταξύ της Επιτροπής και της AWS EMEA η οποία είναι θυγατρική της εταιρίας αμερικανικού δικαίου Amazon.com και εδρεύει στο Λουξεμβούργο (βλ. σκέψη 12 ανωτέρω).
114 Τέταρτον, στο πλαίσιο της ως άνω σύμβασης, η Επιτροπή επέλεξε, όσον αφορά τον ιστότοπο της ΔΜΕ, τη γεωγραφική περιοχή με την ονομασία «Βόρεια Αμερική (Ηνωμένες Πολιτείες, Μεξικό, Καναδάς), Ευρώπη και Ισραήλ». Τούτο σημαίνει ότι η διάδοση του περιεχομένου του εν λόγω ιστοτόπου δεν πραγματοποιείται μέσω του παγκόσμιου δικτύου περιφερειακών θέσεων της Amazon CloudFront, αλλά μόνο μέσω των περιφερειακών θέσεων που βρίσκονται στις προαναφερθείσες γεωγραφικές περιοχές, ήτοι στις Ηνωμένες Πολιτείες, το Μεξικό, τον Καναδά, την Ευρώπη και το Ισραήλ.
115 Πέμπτον, λόγω της αρχής της εγγύτητας που μνημονεύθηκε στη σκέψη 112 ανωτέρω, τα αιτήματα επίσκεψης του ιστοτόπου της ΔΜΕ εκ μέρους των χρηστών της Ένωσης συνήθως απευθύνονται σε περιφερειακούς διακομιστές του δικτύου Amazon CloudFront που βρίσκονται στην εν λόγω περιοχή, ενώ οι περιπτώσεις στις οποίες τα αιτήματα αυτά απευθύνονται σε διακομιστές εκτός της Ένωσης είναι σπάνιες.
116 Έκτον, όσον αφορά την υποδομή του δικτύου περιφερειακών θέσεων της Amazon CloudFront, από τη δικογραφία προκύπτει ότι η υποδομή αυτή παρέχεται από ένα σύνολο επιχειρήσεων, ορισμένες εκ των οποίων ανήκουν στον όμιλο Amazon, ενώ άλλες είναι τρίτες επιχειρήσεις, και των οποίων ο κατάλογος είναι διαθέσιμος στον ιστότοπο της Amazon Web Services, ανάλογα με την οικεία γεωγραφική περιοχή. Όσον αφορά τη γεωγραφική περιοχή με την ονομασία «Βόρεια Αμερική (Ηνωμένες Πολιτείες, Μεξικό, Καναδάς), Ευρώπη και Ισραήλ», οι οικείες επιχειρήσεις είναι εγκατεστημένες τόσο σε κράτη μέλη της Ένωσης όσο και εκτός της Ένωσης, ιδίως στις Ηνωμένες Πολιτείες, το Ισραήλ, το Μεξικό, την Ελβετία ή το Ηνωμένο Βασίλειο. Κάθε επιχείρηση εκμεταλλεύεται διακομιστές στη χώρα όπου είναι εγκατεστημένη και, κατά συνέπεια, η γεωγραφική θέση των διακομιστών που εμπλέκονται στην παροχή της υπηρεσίας Amazon CloudFront εξαρτάται επίσης από τον τόπο εγκατάστασης των οικείων επιχειρήσεων.
117 Έβδομον, οι ρήτρες της σύμβασης μεταξύ της Επιτροπής και της AWS EMEA προβλέπουν, μεταξύ άλλων, τα εξής:
– η AWS EMEA πρέπει να είναι σε θέση να διασφαλίζει ότι τα δεδομένα αποθηκεύονται και διαβιβάζονται αποκλειστικώς εντός του εδάφους του ΕΟΧ (τμήμα 11.2 της σύμβασης)·
– η AWS EMEA δεν επιτρέπεται να αλλάξει την τοποθεσία της επεξεργασίας των δεδομένων χωρίς προηγούμενη έγκριση της Επιτροπής [τμήμα 12.2.3 (a) της σύμβασης]·
– οποιαδήποτε διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες ή διεθνείς οργανισμούς στο πλαίσιο της σύμβασης πρέπει να συνάδει πλήρως με τις απαιτήσεις του κεφαλαίου V του κανονισμού 2018/1725 [τμήμα 12.2.3 (b) της σύμβασης]·
– η AWS EMEA δεν μπορεί να διαβιβάσει δεδομένα προσωπικού χαρακτήρα σε χώρα εκτός του ΕΟΧ, εκτός εάν η Επιτροπή έχει δώσει την προηγούμενη γραπτή έγκρισή της για την εν λόγω διαβίβαση και η διαβίβαση πραγματοποιείται σύμφωνα με τους όρους του εν λόγω κεφαλαίου V (τμήμα 1.8.9 της σύμβασης)·
– η AWS EMEA οφείλει να διαβιβάζει στην Επιτροπή κάθε αίτημα πρόσβασης σε δεδομένα προσωπικού χαρακτήρα και οφείλει να κάνει χρήση όλων των διαθέσιμων μέσων έννομης προστασίας κατά των εν λόγω αιτημάτων (τμήματα 1.8.3, 1.8.4 και 1.8.5 της σύμβασης)·
– η AWS EMEA πρέπει να διασφαλίζει ότι τα μέτρα αυτά εφαρμόζονται επίσης από τους εκτελούντες την επεξεργασία που ενδεχομένως χρησιμοποιεί (τμήμα 1.8.8 της σύμβασης).
118 Όγδοον, η Επιτροπή ζήτησε τη γνώμη του ΕΕΠΔ σχετικά με τις προαναφερθείσες συμβατικές ρήτρες, ωστόσο οι ρήτρες αυτές δεν έχουν εγκριθεί επισήμως από τον ΕΕΠΔ, κατά τα οριζόμενα στο άρθρο 48, παράγραφος 3, στοιχείο αʹ, του κανονισμού 2018/1725.
– Επίδικη διαβίβαση κατά την επίσκεψη στον ιστότοπο της ΔΜΕ στις 30 Μαρτίου 2022
119 Ο προσφεύγων υποστηρίζει, κατ’ ουσίαν, ότι, κατά την επίσκεψή του στον ιστότοπο της ΔΜΕ στις 30 Μαρτίου 2022, ορισμένα δεδομένα προσωπικού χαρακτήρα που τον αφορούσαν, ιδίως η διεύθυνση IP και πληροφορίες σχετικά με τον φυλλομετρητή και το τερματικό του, είχαν διαβιβαστεί στις Ηνωμένες Πολιτείες. Ειδικότερα, πρώτον, ο εν λόγω ιστότοπος χρησιμοποιεί δίκτυο διανομής περιεχομένου με την ονομασία «Amazon CloudFront», του οποίου διαχειριστής είναι η Amazon Web Services, αμερικανική επιχείρηση, θυγατρική της επίσης αμερικανικής επιχειρήσεως Amazon.com. Δεύτερον, κατά την ως άνω επίσκεψη, τα δεδομένα προσωπικού χαρακτήρα του προσφεύγοντος απεστάλησαν στην υπηρεσία Amazon CloudFront, και πιο συγκεκριμένα στον διακομιστή της Amazon.com που βρίσκεται στο Seattle (Ουάσινγκτον, Ηνωμένες Πολιτείες), του οποίου η διεύθυνση IP είναι 18.66.192.74. Τρίτον, το κλειδί ασφαλείας που χρησιμοποιήθηκε από τον ιστότοπο της ΔΜΕ (αποκαλούμενο «πιστοποιητικό SSL») είχε παρασχεθεί από την Amazon, λόγος για τον οποίο έπρεπε να θεωρηθεί ότι η Amazon είχε τη δυνατότητα να αποκρυπτογραφήσει το σύνολο των δεδομένων προσωπικού χαρακτήρα του προσφεύγοντος που διαβιβάστηκαν στους διακομιστές της, συμπεριλαμβανομένων των απόψεών του για το μέλλον της Ευρώπης. Τέταρτον, η επιχείρηση που παρέχει την υπηρεσία Amazon CloudFront υπόκειται στην αμερικανική νομοθεσία και, ως εκ τούτου, υποχρεούται να κοινοποιεί πληροφορίες στις υπηρεσίες ασφαλείας και εποπτείας των Ηνωμένων Πολιτειών, τούτο δε ακόμη και στην περίπτωση που οι διακομιστές δεν βρίσκονται εντός της συγκεκριμένης χώρας. Επιπλέον, η Επιτροπή δεν έλαβε «πρόσθετα μέτρα», κατά την έννοια της αποφάσεως Schrems II, προκειμένου να διασφαλίσει επαρκές επίπεδο προστασίας των δεδομένων που διαβιβάζονται στις Ηνωμένες Πολιτείες.
120 Η Επιτροπή αντικρούει τα ανωτέρω επιχειρήματα.
121 Όσον αφορά την επίσκεψη στον ιστότοπο της ΔΜΕ στις 30 Μαρτίου 2022, από τη δικογραφία προκύπτει ότι ο προσφεύγων επισκέφθηκε τον εν λόγω ιστότοπο κατά την ημερομηνία αυτή (βλ. σκέψη 3 ανωτέρω) και ότι, κατά την ως άνω επίσκεψη, έλαβε χώρα διαβίβαση της διεύθυνσής του ΙΡ και των πληροφοριών του φυλλομετρητή του και του αντίστοιχου τερματικού.
122 Συναφώς, επιβάλλεται η διαπίστωση ότι η διεύθυνση IP πρέπει να χαρακτηριστεί ως δεδομένο προσωπικού χαρακτήρα, κατά την έννοια του άρθρου 3, σημείο 1, του κανονισμού 2018/1725, δεδομένου ότι πληροί τις δύο προϋποθέσεις που προβλέπει το άρθρο αυτό. Η συγκεκριμένη πληροφορία αφορά, αφενός, φυσικό πρόσωπο και, αφετέρου, πρόσωπο ταυτοποιημένο ή ταυτοποιήσιμο, εν προκειμένω τον προσφεύγοντα (απόφαση της 26ης Απριλίου 2023, ΕΣΕ κατά ΕΕΠΔ, T-557/20, κατά της οποίας εκκρεμεί αίτηση αναιρέσεως, EU:T:2023:219, σκέψη 59· πρβλ. επίσης, κατ’ αναλογίαν, αποφάσεις της 24ης Νοεμβρίου 2011, Scarlet Extended, C-70/10, EU:C:2011:771, σκέψη 51, και της 19ης Οκτωβρίου 2016, Breyer, C-582/14, EU:C:2016:779, σκέψη 49). Ειδικότερα, ακόμη και οι λεγόμενες «δυναμικές» διευθύνσεις IP, οι οποίες εκ φύσεως μεταβάλλονται, αντιστοιχούν σε συγκεκριμένη ταυτότητα σε δεδομένο χρονικό σημείο, το οποίο, στην υπό κρίση υπόθεση, συμπίπτει με το χρονικό σημείο κατά το οποίο πραγματοποιήθηκε η επίσκεψη στον ιστότοπο της ΔΜΕ.
123 Αποδεικνύεται επίσης ότι η διαβίβαση δεδομένων που μνημονεύεται στη σκέψη 121 ανωτέρω άρχισε από τον ιστότοπο της ΔΜΕ, μέσω της υπηρεσίας Amazon CloudFront, προς διακομιστή με τη διεύθυνση IP 18.66.192.74.
124 Αποδεικνύεται ακόμη ότι, κατά τον χρόνο των πραγματικών περιστατικών, η διεύθυνση IP 18.66.192.74 αντιστοιχούσε σε διακομιστή που βρισκόταν στο Μόναχο (Γερμανία) και ότι ο διακομιστής αυτός ανήκε στην επιχείρηση A 100 ROW GmbH, η οποία ήταν εγκατεστημένη στη Γερμανία και περιλαμβανόταν στον κατάλογο επιχειρήσεων που μνημονεύθηκε στη σκέψη 116 ανωτέρω.
125 Είναι, συνεπώς, βέβαιον ότι, κατά την επίσκεψη στον ιστότοπο της ΔΜΕ στις 30 Μαρτίου 2022, υπήρξε διαβίβαση δεδομένων προσωπικού χαρακτήρα του προσφεύγοντος, κατά την έννοια του άρθρου 3, σημείο 1, του κανονισμού 2018/1725, ιδίως δε της διεύθυνσης IP του.
126 Εντούτοις, δεν αποδεικνύεται εν προκειμένω ότι, κατά την επίσκεψη στον ιστότοπο της ΔΜΕ στις 30 Μαρτίου 2022, πραγματοποιήθηκε διαβίβαση δεδομένων προσωπικού χαρακτήρα του προσφεύγοντος προς τρίτη χώρα και, ειδικότερα, προς τις Ηνωμένες Πολιτείες.
127 Αντιθέτως, από τις σκέψεις 121 έως 124 ανωτέρω προκύπτει ότι, κατά την επίσκεψη στον ιστότοπο της ΔΜΕ στις 30 Μαρτίου 2022, η διαβίβαση των δεδομένων προσωπικού χαρακτήρα του προσφεύγοντος άρχισε από τον ιστότοπο της ΔΜΕ, μέσω της υπηρεσίας Amazon CloudFront, προς διακομιστή που βρισκόταν στο Μόναχο. Ο εν λόγω διακομιστής ανήκε σε επιχείρηση εγκατεστημένη στη Γερμανία, η οποία αποτελούσε μέρος του δικτύου παρόχων της υποδομής της υπηρεσίας Amazon CloudFront, η οποία παρέχεται στην Επιτροπή βάσει σύμβασης με την AWS EMEA, επιχείρηση εγκατεστημένη στο Λουξεμβούργο.
128 Ως εκ τούτου, κατά την επίσκεψη στον ιστότοπο της ΔΜΕ στις 30 Μαρτίου 2022, τα δεδομένα προσωπικού χαρακτήρα του προσφεύγοντος διαβιβάστηκαν σε αποδέκτη εγκατεστημένο στην Ένωση.
129 Εξάλλου, ακόμη και αν γίνει δεκτό ότι τα δεδομένα προσωπικού χαρακτήρα του προσφεύγοντος δεν εγκατέλειψαν το έδαφος της Ένωσης, διαβιβάστηκαν εντούτοις σε διακομιστή που ανήκει στο δίκτυο περιφερειακών θέσεων της υπηρεσίας Amazon CloudFront, το οποίο καλύπτει, όσον αφορά τη διανομή του περιεχομένου του ιστοτόπου της ΔΜΕ, ένα δίκτυο περιφερειακών θέσεων που δεν περιορίζεται στο έδαφος του ΕΟΧ, αλλά επεκτείνεται πέραν αυτού (βλ. σκέψη 116 ανωτέρω).
130 Εντούτοις, οι συγκεκριμένες περιστάσεις που περιγράφονται στη σκέψη 127 ανωτέρω δεν αποδεικνύουν την ύπαρξη διαβίβασης δεδομένων προσωπικού χαρακτήρα προς αποδέκτες εγκατεστημένους εκτός του εδάφους του ΕΟΧ, και δη προς τις Ηνωμένες Πολιτείες.
131 Επομένως, η επίδικη διαβίβαση κατά την επίσκεψη στον ιστότοπο της ΔΜΕ στις 30 Μαρτίου 2022 δεν αντιστοιχεί σε διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα, κατά την έννοια του άρθρου 46 του κανονισμού 2018/1725, δεδομένου ότι η έννοια της διαβίβασης προς τρίτη χώρα απαιτεί τα δεδομένα προσωπικού χαρακτήρα να τίθενται στη διάθεση αποδέκτη εγκατεστημένου εκτός του ΕΟΧ (βλ. σκέψη 93 ανωτέρω).
132 Το επιχείρημα του προσφεύγοντος ότι η AWS EMEA υποχρεούται, ως θυγατρική αμερικανικής επιχειρήσεως, να διαβιβάζει δεδομένα προσωπικού χαρακτήρα στις αμερικανικές αρχές, ακόμη και όταν τα δεδομένα αυτά είναι αποθηκευμένα εντός της Ένωσης, δεν κλονίζει το ως άνω συμπέρασμα.
133 Είναι βεβαίως αληθές ότι η πρόσβαση των αρχών τρίτης χώρας σε δεδομένα προσωπικού χαρακτήρα τα οποία υποβάλλονται σε επεξεργασία εντός του ΕΟΧ, δυνάμει της νομοθεσίας της χώρας αυτής, συνιστά διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα, κατά την έννοια του άρθρου 46 του κανονισμού 2018/1725, πλην όμως εν προκειμένω δεν αποδεικνύεται ότι πραγματοποιήθηκε τέτοια πρόσβαση. Συγκεκριμένα, ο προσφεύγων ούτε απέδειξε ούτε επικαλέστηκε την ύπαρξη διαβίβασης στις αμερικανικές αρχές οποιουδήποτε δεδομένου προσωπικού χαρακτήρα που τον αφορά ή την ύπαρξη αιτήματος των αρχών αυτών σχετικά με τα δεδομένα που διαβιβάστηκαν στον διακομιστή της Amazon CloudFront που βρίσκεται στο Μόναχο.
134 Επομένως, το επιχείρημα του προσφεύγοντος δεν αφορά ευθέως παράβαση των διατάξεων του κεφαλαίου V του κανονισμού 2018/1725, αλλά μόνον τον κίνδυνο τέτοιας παράβασης, στην περίπτωση που η AWS EMEA, λόγω της ιδιότητάς της ως θυγατρικής αμερικανικής επιχείρησης, δεν είναι σε θέση να αντιταχθεί σε αίτημα των αμερικανικών αρχών σχετικά με την πρόσβαση σε δεδομένα αποθηκευμένα σε διακομιστές εγκατεστημένους στο έδαφος του ΕΟΧ.
135 Πάντως, ο κίνδυνος πρόσβασης, εκ μέρους τρίτης χώρας, σε δεδομένα προσωπικού χαρακτήρα δεν μπορεί να αντιστοιχεί σε διαβίβαση δεδομένων, κατά την έννοια του άρθρου 46 του κανονισμού 2018/1725, όπως αυτό ερμηνεύθηκε στη σκέψη 93 ανωτέρω, δεδομένου ότι δεν αποδεικνύεται ότι υπήρξε διαβίβαση ή άλλου είδους διάθεση δεδομένων προσωπικού χαρακτήρα του προσφεύγοντος σε αποδέκτη εγκατεστημένο σε τρίτη χώρα. Με άλλα λόγια, ο κίνδυνος παράβασης του εν λόγω άρθρου 46 δεν μπορεί να εξομοιωθεί με άμεση παράβαση της διάταξης αυτής.
136 Επιπροσθέτως, υπενθυμίζεται ότι, στο πλαίσιο του υπό κρίση αιτήματος αποζημιώσεως, η εξέταση του Γενικού Δικαστηρίου αφορά την εξακρίβωση των προϋποθέσεων στοιχειοθέτησης της εξωσυμβατικής ευθύνης της Επιτροπής και ιδίως την προϋπόθεση του παράνομου χαρακτήρα της συμπεριφοράς της Επιτροπής, η οποία απαιτεί να αποδεικνύεται κατάφωρη παράβαση των διατάξεων του κανονισμού 2018/1725 και του Χάρτη τις οποίες επικαλείται ο προσφεύγων.
137 Συναφώς, μόνον ο κίνδυνος παράβασης των διατάξεων του κεφαλαίου V του κανονισμού 2018/1725 δεν αρκεί, εν πάση περιπτώσει, για να αποδειχθεί η ύπαρξη παράνομης συμπεριφοράς της Επιτροπής αντιστοιχούσας σε κατάφωρη παράβαση των διατάξεων αυτών.
138 Το ως άνω συμπέρασμα δεν αναιρείται από το επιχείρημα του προσφεύγοντος που αφορά την απόφαση Schrems II. Ειδικότερα, παρατηρείται ότι, με την εν λόγω απόφαση, το Δικαστήριο αποφάνθηκε επί ορισμένων προϋποθέσεων υπό τις οποίες μπορούν να πραγματοποιούνται διαβιβάσεις δεδομένων προσωπικού χαρακτήρα προς τις Ηνωμένες Πολιτείες και όχι επί των προϋποθέσεων υπό τις οποίες τα δεδομένα αυτά μπορούν να υποστούν επεξεργασία στο έδαφος του ΕΟΧ από θυγατρικές εταιριών αμερικανικού δικαίου, όπως η AWS EMEA.
139 Από το σύνολο των προεκτεθέντων προκύπτει ότι, όσον αφορά την επίμαχη διαβίβαση κατά την επίσκεψη στον ιστότοπο της ΔΜΕ στις 30 Μαρτίου 2022, ο προσφεύγων δεν απέδειξε ότι η Επιτροπή διέπραξε κατάφωρη παράβαση, κατά την έννοια της νομολογίας που υπομνήσθηκε στη σκέψη 50 ανωτέρω, των διατάξεων του άρθρου 46 και του άρθρου 48, παράγραφος 1 και παράγραφος 2, στοιχείο βʹ, του κανονισμού 2018/1725, καθώς και των άρθρων 7, 8 και 47 του Χάρτη.
140 Κατά συνέπεια, εφόσον δεν πληρούται μία από τις σωρευτικές προϋποθέσεις για τη στοιχειοθέτηση της εξωσυμβατικής ευθύνης της Ένωσης, οι οποίες προβλέπονται στο άρθρο 340, δεύτερο εδάφιο, ΣΛΕΕ, πρέπει να απορριφθεί το δεύτερο αίτημα αποζημιώσεως ως προς την επίδικη διαβίβαση κατά την επίσκεψη στον ιστότοπο της ΔΜΕ στις 30 Μαρτίου 2022, χωρίς να χρειάζεται να εξεταστούν τα λοιπά επιχειρήματα του προσφεύγοντος.
– Επίδικη διαβίβαση κατά τις επισκέψεις στον ιστότοπο της ΔΜΕ στις 8 Ιουνίου 2022
141 Ο προσφεύγων υποστηρίζει ότι, κατά τις επισκέψεις του στον ιστότοπο της ΔΜΕ στις 8 Ιουνίου 2022, πραγματοποιήθηκε διαβίβαση των προσωπικών του δεδομένων, και συγκεκριμένα της διεύθυνσης IP, προς διακομιστές της Amazon CloudFront εγκατεστημένους στις Ηνωμένες Πολιτείες.Κατά τον προσφεύγοντα, οι διαβιβάσεις αυτές δεν απορρέουν από τη δραστηριότητά του ως χρήστη του ιστοτόπου, αλλά είναι το αποτέλεσμα της λειτουργίας της υπηρεσίας Amazon CloudFront, στο πλαίσιο της οποίας ο κίνδυνος διαβίβασης δεδομένων προς τις Ηνωμένες Πολιτείες είναι συνυφασμένος με την παγκόσμια υποδομή στην οποία στηρίζεται η υπηρεσία αυτή. Η κατάσταση του προσφεύγοντος δεν διαφέρει από εκείνη ενός πολίτη της Ένωσης που επισκέπτεται τον ιστότοπο της ΔΜΕ κατά τη διάρκεια ταξιδιού, παραδείγματος χάριν, στις Ηνωμένες Πολιτείες για επαγγελματικούς λόγους. Η Επιτροπή δεν επέδειξε, κατά τον προσφεύγοντα, τη δέουσα επιμέλεια προκειμένου να αποφύγει τις διαβιβάσεις δεδομένων προς τις Ηνωμένες Πολιτείες, καθόσον επέλεξε δίκτυο διανομής περιεχομένου στηριζόμενο σε παγκόσμια δομή, αντί μιας αμιγώς ευρωπαϊκής λύσης φιλοξενίας του δικτύου.
142 Κατά τον προσφεύγοντα, η εν λόγω διαβίβαση δεδομένων προσωπικού χαρακτήρα του προκάλεσε ηθική βλάβη, κατά την έννοια της αιτιολογικής σκέψης 46 του κανονισμού 2018/1725, στο μέτρο που απώλεσε τον έλεγχο των δεδομένων του, τα οποία διαβιβάστηκαν στις Ηνωμένες Πολιτείες και υποβλήθηκαν σε παράνομη παρακολούθηση από τις αμερικανικές αρχές, και στερήθηκε των δικαιωμάτων και ελευθεριών του.
143 Η Επιτροπή αντικρούει τα ανωτέρω επιχειρήματα.
144 Προκαταρκτικώς και λαμβανομένης υπόψη της επιχειρηματολογίας του προσφεύγοντος, υπενθυμίζεται ότι, στο πλαίσιο του υπό κρίση αιτήματος αποζημιώσεως, η εξέταση του Γενικού Δικαστηρίου δεν αφορά άμεσα τη νομιμότητα της αποφάσεως της Επιτροπής να χρησιμοποιήσει την υπηρεσία Amazon CloudFront για τη διανομή του περιεχομένου του ιστοτόπου της ΔΜΕ, αλλά την εξακρίβωση των προϋποθέσεων στοιχειοθέτησης της εξωσυμβατικής ευθύνης της Επιτροπής ως προς την επίμαχη διαβίβαση κατά τις επισκέψεις στον ιστότοπο της ΔΜΕ στις 8 Ιουνίου 2022.
145 Εν προκειμένω, το Γενικό Δικαστήριο κρίνει σκόπιμο να εξετάσει ευθύς εξαρχής την προϋπόθεση περί ύπαρξης αιτιώδους συνάφειας μεταξύ της φερόμενης ως παράνομης συμπεριφοράς της Επιτροπής και της προβαλλόμενης ηθικής βλάβης.
146 Από τη νομολογία που υπομνήσθηκε στη σκέψη 55 ανωτέρω προκύπτει ότι η προϋπόθεση περί αιτιώδους συνάφειας αφορά την ύπαρξη αρκούντως άμεσης σχέσης αιτίου προς αιτιατό μεταξύ της προσαπτόμενης στο θεσμικό όργανο πράξης ή παράλειψης και της ζημίας, η δε απόδειξη της σχέσης αυτής απόκειται στον προσφεύγοντα, με αποτέλεσμα η προσαπτόμενη πράξη ή παράλειψη να πρέπει να αποτελεί την καθοριστική αιτία της ζημίας.
147 Επιπροσθέτως, από τη νομολογία προκύπτει ότι η αιτιώδης συνάφεια που απαιτείται για τη στοιχειοθέτηση εξωσυμβατικής ευθύνης της Ένωσης, κατά την έννοια του άρθρου 340, δεύτερο εδάφιο, ΣΛΕΕ, συντρέχει εφόσον η ζημία αποτελεί άμεση συνέπεια της επίδικης παράνομης πράξεως (απόφαση της 28ης Ιουνίου 2007, Internationaler Hilfsfonds κατά Επιτροπής, C-331/05 P, EU:C:2007:390, σκέψη 23).
148 Όσον αφορά τον άμεσο χαρακτήρα της αιτιώδους συνάφειας, το Γενικό Δικαστήριο έχει κρίνει ότι η ζημία πρέπει να προκύπτει ευθέως από την προβαλλόμενη παράνομη πράξη και όχι από επιλογή του προσφεύγοντος όσον αφορά τον τρόπο αντιδράσεως στη φερόμενη ως παράνομη πράξη. Ειδικότερα, κρίθηκε ότι το γεγονός απλώς και μόνον ότι η παράνομη συμπεριφορά αποτέλεσε αναγκαία προϋπόθεση (conditio sine qua non) επελεύσεως της ζημίας, υπό την έννοια ότι η ζημία δεν θα είχε επέλθει ελλείψει της εν λόγω συμπεριφοράς, δεν αρκεί προκειμένου να αποδειχθεί η ύπαρξη αρκούντως άμεσης αιτιώδους συνάφειας κατά την έννοια της νομολογίας της Ένωσης (πρβλ., κατ’ αναλογίαν, αποφάσεις της 30ής Νοεμβρίου 2011, Transnational Company «Kazchrome» και ENRC Marketing κατά Συμβουλίου και Επιτροπής, T-107/08, EU:T:2011:704, σκέψη 80 και εκεί μνημονευόμενη νομολογία, και της 23ης Μαΐου 2019, Remag Metallhandel και Jaschinsky κατά Επιτροπής, T-631/16, μη δημοσιευθείσα, EU:T:2019:352, σκέψη 52 και εκεί μνημονευόμενη νομολογία).
149 Συνεπώς, από τη νομολογία προκύπτει ότι μια τέτοιου είδους αιτιώδης συνάφεια δεν αποδεικνύεται όταν η προβαλλόμενη ζημία είναι η άμεση συνέπεια απόφασης του ίδιου του προσφεύγοντος ή ελεύθερης επιλογής του και δεν μπορεί, ως εκ τούτου, να αποδοθεί στο οικείο θεσμικό όργανο ή οργανισμό (πρβλ., κατ’ αναλογίαν, αποφάσεις της 28ης Ιουνίου 2007, Internationaler Hilfsfonds κατά Επιτροπής, C-331/05 P, EU:C:2007:390, σκέψεις 22 έως 29, της 17ης Φεβρουαρίου 2017, Novar κατά EUIPO, T-726/14, EU:T:2017:99, σκέψεις 31 και 32, και της 28ης Φεβρουαρίου 2018, Βακάκης και Συνεργάτες κατά Επιτροπής, T-292/15, EU:T:2018:103, σκέψη 173 και εκεί μνημονευόμενη νομολογία).
150 Εν προκειμένω, πρέπει επομένως να εξεταστεί αν η συμπεριφορά που προσάπτεται στην Επιτροπή, ήτοι η χρήση της υπηρεσίας Amazon CloudFront ως δικτύου διανομής περιεχομένου του ιστοτόπου της ΔΜΕ, αποτελεί την άμεση αιτία της προβαλλόμενης ηθικής βλάβης, η οποία συνίσταται στην απώλεια του ελέγχου επί των δεδομένων προσωπικού χαρακτήρα του προσφεύγοντος τα οποία, κατά τον ίδιο, διαβιβάστηκαν στις Ηνωμένες Πολιτείες κατά τις επισκέψεις του στον εν λόγω ιστότοπο στις 8 Ιουνίου 2022.
151 Συναφώς, πρώτον, από τη δικογραφία καθώς και από τις απαντήσεις των διαδίκων στις ερωτήσεις που τέθηκαν κατά την επ’ ακροατηρίου συζήτηση προκύπτει ότι στις 8 Ιουνίου 2022 ο προσφεύγων βρισκόταν στο Μόναχο και επισκέφθηκε πολλές φορές τον ιστότοπο της ΔΜΕ. Κατά τη διάρκεια των επισκέψεων αυτών, η διεύθυνση IP του προσφεύγοντος δημιούργησε διαδοχικές συνδέσεις με διάφορους διακομιστές της υπηρεσίας Amazon CloudFront, οι οποίοι ήταν, από γεωγραφικής απόψεως, απομακρυσμένοι μεταξύ τους. Συγκεκριμένα, συνδέθηκε στις 7:13 με διακομιστή ευρισκόμενο στο Μόναχο, στις 11:13 με διακομιστή ευρισκόμενο στο Λονδίνο (Ηνωμένο Βασίλειο), στις 12:56 με διακομιστή ευρισκόμενο στο Hillsboro (Oregon, Ηνωμένες Πολιτείες), στις 13:05 με διακομιστή ευρισκόμενο στο Newark και στις 19:12 με διακομιστή ευρισκόμενο στη Φρανκφούρτη επί του Μάιν (Γερμανία).
152 Δεύτερον, από τη δικογραφία προκύπτει ότι η διεύθυνση IP του προσφεύγοντος διαβιβάστηκε στους διάφορους διακομιστές της υπηρεσίας Amazon CloudFront που μνημονεύονται στη σκέψη 151 ανωτέρω, συμπεριλαμβανομένων εκείνων που βρίσκονταν στις Ηνωμένες Πολιτείες.
153 Τρίτον, υπενθυμίζεται ότι η διεύθυνση IP του προσφεύγοντος συνιστά δεδομένο προσωπικού χαρακτήρα.
154 Τέταρτον, παρατηρείται ότι στις 8 Ιουνίου 2022 ο ιστότοπος της ΔΜΕ καταχώρισε 4 548 προσβάσεις και 18 διαφορετικές διευθύνσεις IP. Μεταξύ αυτών, μία μόνον διεύθυνση IP, ήτοι εκείνη του προσφεύγοντος, δημιούργησε σύνδεση με διακομιστές εγκατεστημένους εκτός της Ένωσης, ήτοι στις Ηνωμένες Πολιτείες και στο Ηνωμένο Βασίλειο. Συναφώς, παρατηρείται ότι όχι μόνο δεν αποδείχθηκε, αλλά ούτε καν υποστηρίχθηκε ότι στις 8 Ιουνίου 2022 η υπηρεσία Amazon CloudFront του ιστοτόπου της ΔΜΕ είχε προβλήματα τεχνικής ή άλλης φύσεως που θα μπορούσαν να εμποδίσουν την ομαλή λειτουργία του μηχανισμού δρομολόγησης σύμφωνα με την αρχή της εγγύτητας, η οποία κατευθύνει τα αιτήματα των χρηστών του ιστοτόπου της ΔΜΕ προς τον περιφερειακό διακομιστή με το μικρότερο χρόνο αναμονής ανάλογα με τη γεωγραφική θέση του χρήστη (βλ. σκέψη 112 ανωτέρω).
155 Πέμπτον, όσον αφορά τις περιστάσεις υπό τις οποίες πραγματοποιήθηκαν οι συνδέσεις από τη διεύθυνση IP του προσφεύγοντος με διακομιστές εγκατεστημένους στις Ηνωμένες Πολιτείες, αφενός, από τη δικογραφία καθώς και από τις απαντήσεις των διαδίκων κατά την επ’ ακροατηρίου συζήτηση προκύπτει ότι ο προσφεύγων υποστηρίζει ότι οι συνδέσεις αυτές ήταν το αποτέλεσμα της λειτουργίας της υπηρεσίας Amazon CloudFront και όχι κάποιου χειρισμού στον οποίο προέβη ο ίδιος. Αφετέρου, η Επιτροπή παρατηρεί ότι οι εν λόγω συνδέσεις ήταν ασυνήθιστες και μπορούν να εξηγηθούν μόνον από χειρισμό τεχνικής φύσεως εκ μέρους του προσφεύγοντος.
156 Συναφώς, διαπιστώνεται ότι οι περιστάσεις που περιγράφονται στη σκέψη 151 ανωτέρω αποδεικνύουν ότι οι διαφορετικές τοποθεσίες των διακομιστών με τους οποίους συνδέθηκε η διεύθυνση IP του προσφεύγοντος δεν θα μπορούσαν να προκύψουν λόγω φυσικών μετακινήσεων του προσφεύγοντος την ίδια ημέρα, οι οποίες θα ήταν αδύνατες λόγω των αποστάσεων και των αντίστοιχων χρονικών διαστημάτων. Επιπλέον, ούτε αποδείχθηκε ούτε προβλήθηκε δυσλειτουργία της υπηρεσίας Amazon CloudFront, όπερ οδηγεί στο συμπέρασμα ότι στις 8 Ιουνίου 2022 η υπηρεσία αυτή λειτουργούσε σύμφωνα με την αρχή της εγγύτητας με το τερματικό του χρήστη, δεδομένου ότι ο μηχανισμός δρομολογήσεώς της κατεύθυνε τα αιτήματα των χρηστών του ιστοτόπου της ΔΜΕ προς τον περιφερειακό διακομιστή ο οποίος παρείχε τον μικρότερο χρόνο αναμονής (βλ. σκέψη 154 ανωτέρω).
157 Υπό τις συνθήκες αυτές, οι συνδέσεις της διεύθυνσης IP του προσφεύγοντος με διακομιστές που βρίσκονταν στις Ηνωμένες Πολιτείες ενώ ο ίδιος βρισκόταν στη Γερμανία, δεν μπορούσαν να είναι αποτέλεσμα κανονικής λειτουργίας της υπηρεσίας Amazon CloudFront, αλλά οφείλονται μάλλον σε τεχνική ρύθμιση στην οποία προέβη ο προσφεύγων προκειμένου να μεταβάλει τη φαινόμενη τοποθεσία του, παρουσιαζόμενος στον ψηφιακό κόσμο σαν να βρισκόταν την ίδια ημέρα διαδοχικά σε μέρη κοντά στο Μόναχο, το Λονδίνο, το Hillsboro, το Newark και τη Φρανκφούρτη επί του Μάιν.
158 Είναι, συνεπώς, βέβαιον ότι οι συνδέσεις της διεύθυνσης ΙΡ του προσφεύγοντος με διακομιστές της Amazon CloudFront στις Ηνωμένες Πολιτείες κατά τις επισκέψεις στον ιστότοπο της ΔΜΕ κατέστησαν δυνατές λόγω αυτής της λειτουργίας της υπηρεσίας Amazon CloudFront, μέσω του μηχανισμού δρομολογήσεώς της ο οποίος λειτουργεί σύμφωνα με την αρχή της εγγύτητας και καλύπτει γεωγραφική περιοχή ευρύτερη από το έδαφος του ΕΟΧ, περιλαμβάνουσα, μεταξύ άλλων, τις Ηνωμένες Πολιτείες (βλ. σκέψεις 112 και 114 ανωτέρω).
159 Εντούτοις, μολονότι η χρήση, από την Επιτροπή, της υπηρεσίας Amazon CloudFront αποτελεί αναγκαία προϋπόθεση για την πραγματοποίηση των διαβιβάσεων δεδομένων προσωπικού χαρακτήρα προς τις Ηνωμένες Πολιτείες, οι οποίες μνημονεύονται στη σκέψη 152 ανωτέρω, η περίσταση αυτή εντούτοις δεν αρκεί, υπό τις συνθήκες της υπό κρίση υποθέσεως, για να αποδειχθεί αρκούντως άμεση αιτιώδης συνάφεια μεταξύ της ηθικής βλάβης που προβάλλει ο προσφεύγων και της φερόμενης ως παράνομης συμπεριφοράς της Επιτροπής, η οποία συνίσταται στη χρήση μιας τέτοιας υπηρεσίας κατά παράβαση των διατάξεων του κεφαλαίου V του κανονισμού 2018/1725.
160 Συγκεκριμένα, ως ευθεία και άμεση αιτία της προβαλλόμενης ηθικής βλάβης πρέπει να θεωρηθεί η συμπεριφορά του προσφεύγοντος και όχι το σφάλμα στο οποίο φέρεται να υπέπεσε η Επιτροπή χρησιμοποιώντας την υπηρεσία Amazon CloudFront.
161 Επομένως, ο προσφεύγων είναι εκείνος που δημιούργησε τις αναγκαίες συνθήκες ώστε να δημιουργηθούν συνδέσεις με διακομιστές εγκατεστημένους στις Ηνωμένες Πολιτείες μέσω της λειτουργίας της υπηρεσίας Amazon CloudFront. Η συμπεριφορά του προσφεύγοντος είναι αυτή που προκάλεσε την ανακατεύθυνση, μέσω του μηχανισμού δρομολόγησης της υπηρεσίας Amazon CloudFront, των αιτημάτων του να επισκεφθεί τον ιστότοπο της ΔΜΕ σε διακομιστές ευρισκόμενους στις Ηνωμένες Πολιτείες, δεδομένου ότι οι τελευταίοι παρουσίαζαν το μικρότερο χρόνο αναμονής σε σχέση με τη φαινόμενη τοποθεσία του προσφεύγοντος στον ψηφιακό κόσμο, παρόλο που η τοποθεσία αυτή δεν αντιστοιχούσε στην πραγματική τοποθεσία του.
162 Επιπροσθέτως, ο προσφεύγων δεν μπορεί δικαιολογημένως να υιοθετεί συμπεριφορά που αποσκοπεί στην πρόκληση ορισμένου αποτελέσματος (ήτοι στη διαβίβαση των δεδομένων προσωπικού χαρακτήρα που τον αφορούν προς τρίτη χώρα) και, στη συνέχεια, να ζητεί την αποκατάσταση της ζημίας που φέρεται να προκλήθηκε από το αποτέλεσμα αυτό, του οποίου άμεση αιτία ήταν η συμπεριφορά του. Συνεπώς, αντιθέτως προς όσα υποστηρίζει ο προσφεύγων, στο πλαίσιο αγωγής αποζημιώσεως όπως εν προκειμένω, η κατάστασή του δεν μπορεί να εκτιμηθεί κατά τρόπο παρεμφερή με εκείνον ενός χρήστη ο οποίος μετακινήθηκε πράγματι στις Ηνωμένες Πολιτείες και ο οποίος, κατά συνέπεια, απέκτησε πρόσβαση στον ιστότοπο της ΔΜΕ από τη χώρα αυτή.
163 Από το σύνολο των προεκτεθέντων προκύπτει ότι, όσον αφορά την επίδικη διαβίβαση κατά τις επισκέψεις του προσφεύγοντος στον ιστότοπο της ΔΜΕ στις 8 Ιουνίου 2022, δεν αποδείχθηκε αρκούντως άμεση αιτιώδης συνάφεια μεταξύ της φερόμενης ως παράνομης συμπεριφοράς της Επιτροπής και της προβαλλόμενης ηθικής βλάβης.
164 Εφόσον δεν πληρούται μία από τις σωρευτικές προϋποθέσεις για τη στοιχειοθέτηση της εξωσυμβατικής ευθύνης της Ένωσης, πρέπει να απορριφθεί το δεύτερο αίτημα αποζημιώσεως στο μέτρο που αφορά την επίδικη διαβίβαση κατά την επίσκεψη στον ιστότοπο της ΔΜΕ στις 8 Ιουνίου 2022, χωρίς να χρειάζεται να εξεταστούν οι λοιπές προϋποθέσεις στοιχειοθέτησης της εξωσυμβατικής ευθύνης της Ένωσης.
– Επίδικη διαβίβαση κατά τη σύνδεση στην EU Login στις 30 Μαρτίου 2022
165 Ο προσφεύγων υποστηρίζει ότι, στις 30 Μαρτίου 2022, κατά την εγγραφή του στην εκδήλωση «GoGreen», η οποία ήταν διαθέσιμη στον ιστότοπο της ΔΜΕ, η διεύθυνσή του IP καθώς και πληροφορίες σχετικά με τον φυλλομετρητή και το τερματικό του διαβιβάσθηκαν στην εγκατεστημένη στις Ηνωμένες Πολιτείες επιχείρηση Meta Platforms, η οποία είναι ιδιοκτήτρια του μέσου κοινωνικής δικτύωσης Facebook. Συγκεκριμένα, κατά την εγγραφή εκείνη, ο προσφεύγων κατευθύνθηκε στην υπηρεσία ταυτοποίησης της Ένωσης EU Login, η οποία προτείνει, μεταξύ άλλων, στους χρήστες να συνδεθούν μέσω διαφόρων κοινωνικών δικτύων. Ο προσφεύγων επέλεξε τη σύνδεση μέσω του λογαριασμού του στο Facebook και, όταν επέλεξε τον υπερσύνδεσμο που τον ανακατευθύνει στο Facebook, ο εν λόγω υπερσύνδεσμος οδήγησε στη διαβίβαση της διεύθυνσης IP του προσφεύγοντος στο Facebook. Ο προσφεύγων αποδέχθηκε μόνον τα «αναγκαία cookies» του Facebook. Άλλα δεδομένα προσωπικού χαρακτήρα του προσφεύγοντος, ήτοι η διεύθυνση ηλεκτρονικού ταχυδρομείου, το ονοματεπώνυμό του και η φωτογραφία προφίλ του, συλλέχθηκαν από το Facebook με τη βοήθεια cookies, όπως, μεταξύ άλλων, το cookie με την ονομασία «sb», και διαβιβάστηκαν στους διακομιστές της Meta Platforms. Από τη νομολογία προκύπτει ότι οι διαχειριστές ιστοτόπων που χρησιμοποιούν το Facebook στους ιστοτόπους τους, όπως η Επιτροπή, είναι υπεύθυνοι, από κοινού με το Facebook, για την τήρηση του δικαίου της Ένωσης σχετικά με την προστασία των δεδομένων. Συνεπώς, η Επιτροπή είναι συνυπεύθυνη για την τοποθεσία των cookies που αποθηκεύονται από το Facebook. Ο προσφεύγων ισχυρίζεται ότι απώλεσε τον έλεγχο επί των δεδομένων προσωπικού χαρακτήρα που είχαν διαβιβαστεί στο Facebook και στερήθηκε των δικαιωμάτων και των ελευθεριών του, γεγονός που συνιστά ηθική βλάβη κατά την έννοια της αιτιολογικής σκέψης 46 του κανονισμού 2018/1725.
166 Η Επιτροπή αντικρούει τα ανωτέρω επιχειρήματα. Υποστηρίζει, κατ’ ουσίαν, ότι δεν διενεργήθηκαν ούτε άρχισαν από αυτήν οι διαβιβάσεις δεδομένων στη Meta Platforms. Ο προσφεύγων δεν ήταν υποχρεωμένος να εγγραφεί μέσω της υπηρεσίας EU Login για τη συμμετοχή του στην εκδήλωση «GoGreen» και, ακόμα και με τη χρήση της EU Login, είχε διάφορες δυνατότητες ταυτοποίησης, συμπεριλαμβανομένων δυνατοτήτων που δεν απαιτούσαν τη χρήση λογαριασμού στα μέσα κοινωνικής δικτύωσης. Επομένως, ο ίδιος ο προσφεύγων επέλεξε να συνδεθεί στην υπηρεσία EU Login με τον λογαριασμό του στο Facebook και, ως εκ τούτου, ήταν αυτός, και όχι η Επιτροπή, που έδωσε το έναυσμα για την πρόσβασή του στον ιστότοπο του Facebook. Επιπλέον, από τεχνικής απόψεως, η επιλογή ταυτοποίησης μέσω του Facebook πραγματοποιείται μέσω του υπερσυνδέσμου που εμφανίζεται στον ιστότοπο EU Login, ο οποίος δεν περιέχει δεδομένα προσωπικού χαρακτήρα του χρήστη. Αντιθέτως προς όσα υποστηρίζει ο προσφεύγων, τα δεδομένα που συλλέγονται από τα cookies που χρησιμοποιεί το Facebook δεν διαβιβάστηκαν στην Επιτροπή κατά τη σύνδεση στην EU Login και δεν εμπίπτουν στην ευθύνη της Επιτροπής. Τα cookies αυτά προκύπτουν από τις αλληλεπιδράσεις μεταξύ του Facebook και του προσφεύγοντος, βάσει συγκαταθέσεων του ίδιου, δεδομένου ότι η Επιτροπή δεν εμπλέκεται στις εν λόγω αλληλεπιδράσεις. Επιπροσθέτως, η Επιτροπή υποστηρίζει ότι η νομολογία την οποία επικαλείται ο προσφεύγων δεν έχει εφαρμογή εν προκειμένω και ότι, εν πάση περιπτώσει, το επιχείρημα του προσφεύγοντος που αφορά από κοινού ευθύνη της Επιτροπής και της Meta Platforms αποτελεί νέο ισχυρισμό ο οποίος προβάλλεται για πρώτη φορά με το υπόμνημα απαντήσεως και ο οποίος είναι, κατά συνέπεια, απαράδεκτος.
167 Εν προκειμένω, πρέπει κατ’ αρχάς να εξεταστεί το πραγματικό πλαίσιο στο οποίο εντάσσεται η επίδικη διαβίβαση κατά τη σύνδεση στην EU Login στις 30 Μαρτίου 2022, λαμβανομένων υπόψη των στοιχείων που προκύπτουν από τη δικογραφία, καθώς και των απαντήσεων των διαδίκων στις ερωτήσεις που έθεσε το Γενικό Δικαστήριο κατά την επ’ ακροατηρίου συζήτηση και στις ερωτήσεις που τέθηκαν με το μέτρο οργανώσεως της διαδικασίας της 9ης Φεβρουαρίου 2024.
168 Συναφώς, διαπιστώνεται ότι η εκδήλωση «GoGreen», που διοργανώθηκε από οργανισμό με έδρα στις Κάτω Χώρες, ανακοινώθηκε στον ιστότοπο της ΔΜΕ. Η εγγραφή στην εκδήλωση αυτή μπορούσε να γίνει, μεταξύ άλλων, στον ιστότοπο της ΔΜΕ, μέσω της υπηρεσίας EU Login.
169 Ο προσφεύγων επέλεξε να εγγραφεί στον ιστότοπο της ΔΜΕ χρησιμοποιώντας την EU Login.
170 Η EU Login είναι η υπηρεσία ταυτοποίησης χρηστών της Επιτροπής, η οποία προστατεύει εκατοντάδες ιστοσελίδες και εφαρμογές που σχετίζονται με την Ένωση. Εν προκειμένω, η σύνδεση στην EU Login, για τους σκοπούς της εγγραφής στην εκδήλωση «GoGreen», είχε ως σκοπό να διασφαλίσει ότι η εγγραφή αυτή γινόταν από επαληθευμένη διεύθυνση ηλεκτρονικού ταχυδρομείου, μειώνοντας τους κινδύνους που συνδέονται με την εγγραφή μη πραγματικών προσώπων ή την πλαστοπροσωπία.
171 Η EU Login εμφανίζει διάφορες επιλογές σύνδεσης στην ιστοσελίδα της. Η πρώτη επιλογή είναι η απευθείας σύνδεση στην EU Login, είτε μέσω της συμπλήρωσης των δεδομένων σύνδεσης για ήδη υπάρχοντα λογαριασμό EU Login είτε μέσω της δημιουργίας λογαριασμού για την εν λόγω υπηρεσία. Η δεύτερη επιλογή είναι η χρήση ηλεκτρονικού δελτίου ταυτότητας «eID», το οποίο είναι διαθέσιμο για τους πολίτες ορισμένων κρατών μελών. Η τρίτη επιλογή, η οποία είναι διαθέσιμη για περιορισμένο αριθμό υπηρεσιών, συνίσταται στη χρήση λογαριασμού που ο χρήστης διαθέτει ήδη στο Facebook, στο Twitter ή στην Google, μέσω της επιλογής του αντίστοιχου υπερσυνδέσμου, ο οποίος είναι εμφανής στον ιστότοπο της EU Login.
172 Η δυνατότητα σύνδεσης στην EU Login μέσω λογαριασμού Facebook απορρέει από το γεγονός ότι η Επιτροπή εκτίμησε ότι θα πρέπει να δοθεί στους χρήστες η επιλογή να συνδεθούν στην EU Login μέσω ήδη υπαρχόντων λογαριασμών σε πλατφόρμες, προκειμένου να τους παρέχεται ευκολότερη και ταχύτερη πρόσβαση, καθώς και η δυνατότητα ταυτοποίησης χωρίς να είναι απαραίτητη η δημιουργία λογαριασμού EU Login και, ως εκ τούτου, να αποφεύγεται ο πολλαπλασιασμός του αριθμού των λογαριασμών και των οντοτήτων με τις οποίες οι χρήστες πρέπει να μοιράζονται τα δεδομένα προσωπικού χαρακτήρα που τους αφορούν. Επιπροσθέτως, η Επιτροπή θεώρησε ότι το Facebook ήταν αξιόπιστο για τον σκοπό επαλήθευσης των διευθύνσεων ηλεκτρονικού ταχυδρομείου των χρηστών, λαμβανομένων υπόψη των μέτρων που το Facebook εφαρμόζει. Εντούτοις, ο υπερσύνδεσμος που παρέχει στους χρήστες τη δυνατότητα να συνδεθούν μέσω ήδη υπάρχοντος λογαριασμού στο Facebook είναι διαθέσιμος στην EU Login μόνο για ιστοτόπους ή εφαρμογές που απαιτούν απλώς ένα βασικό επίπεδο ασφάλειας.
173 Ο προσφεύγων επέλεξε να συνδεθεί στην EU Login μέσω του λογαριασμού του στο Facebook, χρησιμοποιώντας τον υπερσύνδεσμο «Sign in with Facebook» που εμφανίζεται στον ιστότοπο του EU Login (στο εξής: υπερσύνδεσμος «Σύνδεση μέσω του Facebook»).
174 Ο υπερσύνδεσμος «Σύνδεση μέσω του Facebook» περιέχει σύνδεσμο προς ιστότοπο που δεν σχετίζεται με την Επιτροπή. Ο υπερσύνδεσμος αυτός, όταν ενεργοποιηθεί κατόπιν επιλογής του χρήστη, παρέχει πρόσβαση σε διεύθυνση URL του ιστοτόπου Facebook, δηλαδή σε μοναδική διεύθυνση του ιστοτόπου αυτού.
175 Η πρόσβαση στη διεύθυνση URL του ιστοτόπου του Facebook συνεπάγεται επικοινωνία μεταξύ του φυλλομετρητή του χρήστη και του εν λόγω ιστοτόπου, στο πλαίσιο της οποίας ο φυλλομετρητής διαβιβάζει τη διεύθυνση IP του χρήστη στον επίμαχο ιστότοπο. Η διαβίβαση αυτή είναι παρόμοια με εκείνη που λαμβάνει χώρα όταν ο χρήστης χρησιμοποιεί απευθείας τη διεύθυνση URL οποιουδήποτε ιστοτόπου στον φυλλομετρητή του, στο μέτρο που η διεύθυνση IP πρέπει οπωσδήποτε να γνωστοποιείται από οποιονδήποτε χρήστη του διαδικτύου επιθυμεί να αποκτήσει πρόσβαση σε ιστότοπο.
176 Μέσω του υπερσυνδέσμου «Σύνδεση μέσω του Facebook», το EU Login αποστέλλει ορισμένες πληροφορίες στο Facebook, οι οποίες είναι απαραίτητες για τη διαδικασία ταυτοποίησης και λαμβάνουν τη μορφή του ακόλουθου παραδείγματος:
177 Ειδικότερα, οι πληροφορίες που περιέχονται στον υπερσύνδεσμο «Σύνδεση μέσω του Facebook» είναι οι ακόλουθες:
– πρώτον, το τμήμα «client_id=1200572836629487» περιέχει έναν «μοναδικό κωδικό ταυτοποίησης», ο οποίος αναγνωρίζει την EU Login ως εφαρμογή. Ο εν λόγω αριθμός ταυτοποίησης είναι ο ίδιος για όλους τους χρήστες που επιθυμούν να ταυτοποιηθούν στην EU Login χρησιμοποιώντας το Facebook·
– δεύτερον, το τμήμα «redirect_uri=https%3A%2F%2Fecas.ec.europa.eu%2Fcas%2FoAuthCallback» περιέχει τη γενική διεύθυνση URL της EU Login, η οποία είναι η διεύθυνση στην οποία το Facebook πρέπει να ανακατευθύνει τον χρήστη αφού ο ίδιος δώσει τη συγκατάθεσή του για τη διαβίβαση των δεδομένων προσωπικού χαρακτήρα που τον αφορούν από το Facebook στην EU Login·
– τρίτον, το τμήμα «scope=email» περιέχει τα δεδομένα που πρέπει να διαβιβάζει η Facebook στην EU Login προκειμένου να διασφαλίζεται η επιτυχής ταυτοποίηση του χρήστη, ιδίως δε τη διεύθυνση ηλεκτρονικού ταχυδρομείου του χρήστη, καθώς και το ονοματεπώνυμο που αναγράφεται στον ιστότοπο του Facebook κατά τη δημιουργία σχετικού λογαριασμού·
– τέταρτον, το τμήμα «state=useFacebook» υποδεικνύει ότι η μακρά σειρά χαρακτήρων που ακολουθεί είναι μια τυχαία τιμή ασφαλείας, η οποία χρησιμοποιείται για την αποφυγή επιθέσεων ασφαλείας και έχει περιορισμένη χρονική διάρκεια ισχύος. Αυτή η τυχαία τιμή ασφαλείας δημιουργείται τυχαία από την EU Login και επιτελεί τη λειτουργία μυστικής φράσης, την οποία το Facebook πρέπει να επαναλάβει κατά τη διαβίβαση δεδομένων στην EU Login, ώστε να είναι σε θέση η EU Login να γνωρίζει ότι η διεύθυνση ηλεκτρονικού ταχυδρομείου και το ονοματεπώνυμο που της γνωστοποιούνται αφορούν τον χρήστη που έθεσε σε λειτουργία τη μέθοδο ταυτοποίησης. Όταν εκπνεύσει η προθεσμία ή έχει ήδη ταυτοποιηθεί ο χρήστης, δεν είναι πλέον δυνατή η χρήση της τιμής ασφαλείας· και
– πέμπτον, το τμήμα «response_type=code» υποδεικνύει ότι η διαβίβαση δεδομένων από το Facebook στην EU Login συνοδεύεται ακόμη από έναν μοναδικό κωδικό. Ο μοναδικός αυτός κωδικός περιλαμβάνει την προαναφερθείσα τυχαία τιμή ασφαλείας. Ο μοναδικός κωδικός είναι ένας μοναδικός αριθμός καταχώρισης ή ένας αύξων αριθμός που επαληθεύει τα δεδομένα που διαβιβάζονται από το Facebook στην EU Login.
178 Μόλις ο χρήστης αποκτήσει πρόσβαση στη διεύθυνση URL του Facebook, βρίσκεται στον εν λόγω ιστότοπο, στον οποίο, κατ’ αρχάς, εμφανίζεται παράθυρο με το οποίο ζητείται από τον χρήστη να δεχθεί τη χρήση αποδεικτικών σύνδεσης ή «cookies» από το Facebook. Στη συνέχεια, εάν τα cookies γίνουν δεκτά, ανοίγεται ένα άλλο παράθυρο στο οποίο μπορεί να συμπληρωθεί το όνομα χρήστη και ο κωδικός πρόσβασης του λογαριασμού χρήστη στο Facebook. Τέλος, αφού συνδεθεί στον λογαριασμό του στο Facebook, ο χρήστης μπορεί να παράσχει στο Facebook τη δυνατότητα να χρησιμοποιεί cookies σε άλλες εφαρμογές και ιστοτόπους, απαντώντας στο ερώτημα «Αllow Facebook to use cookies and similar technologies placed on other apps and website?». Εάν ο χρήστης συναινέσει, θα κληθεί στη συνέχεια να συναινέσει στην παροχή από το Facebook στην EU Login του ονοματεπωνύμου, της φωτογραφίας προφίλ και της διεύθυνσης ηλεκτρονικού ταχυδρομείου που συνδέονται με τον λογαριασμό του στο Facebook. Επιπροσθέτως, καθ’ όλη τη διάρκεια της εν λόγω διαδικασίας, ο χρήστης μπορεί να διακόψει την ταυτοποίηση μέσω του λογαριασμού του στο Facebook, επιλέγοντας «Cancel». Στην περίπτωση αυτή, ανακατευθύνεται στον ιστότοπο της EU Login, όπου εμφανίζεται εκ νέου η ιστοσελίδα με τις επιλογές σύνδεσης.
179 Εν προκειμένω, όταν ο προσφεύγων επέλεξε τον υπερσύνδεσμο «Σύνδεση μέσω του Facebook», ο φυλλομετρητής διαδικτύου που χρησιμοποιούσε απέκτησε πρόσβαση στη διεύθυνση URL του ιστοτόπου του Facebook και, ως εκ τούτου, γνωστοποίησε τη διεύθυνση IP του προσφεύγοντος στον εν λόγω ιστότοπο. Εν συνεχεία, ενόσω βρισκόταν στον ιστότοπο του Facebook, ο προσφεύγων επέλεξε τις δυνατότητες χρήσης αναγκαίων μόνον cookies από το Facebook, στη συνέχεια συνδέθηκε στον λογαριασμό του στο Facebook και, τέλος, επέτρεψε στο Facebook να κοινοποιήσει στην EU Login το ονοματεπώνυμο, τη φωτογραφία προφίλ και τη διεύθυνση ηλεκτρονικού ταχυδρομείου, όπως τα είχε συμπληρώσει στον λογαριασμό του στο Facebook.
180 Κατόπιν των ως άνω συγκαταθέσεων που χορήγησε ο προσφεύγων, το Facebook τον ανακατεύθυνε στον ιστότοπο της EU Login, σύμφωνα με τα στοιχεία που περιέχονται στον υπερσύνδεσμο «Σύνδεση μέσω του Facebook» (βλ. σκέψη 177, πρώτη και δεύτερη περίπτωση, ανωτέρω).
181 Ταυτόχρονα, το Facebook γνωστοποίησε στην EU Login την τυχαία τιμή ασφαλείας και τον μοναδικό κωδικό που μνημονεύονται στη σκέψη 177, τέταρτη και πέμπτη περίπτωση, ανωτέρω. Αφενός, η γνωστοποίηση αυτή από το Facebook κατέστησε σαφές στην EU Login ότι τα δεδομένα προσωπικού χαρακτήρα που έθετε στη διάθεσή της το Facebook αφορούσαν τον χρήστη που είχε κινήσει τη διαδικασία ταυτοποίησης, ήτοι, εν προκειμένω, τον προσφεύγοντα. Αφετέρου, παρέσχε στην EU Login τη δυνατότητα πρόσβασης, για περιορισμένο χρονικό διάστημα, στα δεδομένα προσωπικού χαρακτήρα που μνημονεύθηκαν στη σκέψη 177, τρίτη περίπτωση, ανωτέρω, ήτοι, μεταξύ άλλων, στο ονοματεπώνυμο και στη διεύθυνση ηλεκτρονικού ταχυδρομείου του προσφεύγοντος, όπως τα είχε συμπληρώσει στον λογαριασμό του στο Facebook. Η διαβίβαση των εν λόγω δεδομένων από το Facebook στην EU Login πραγματοποιήθηκε μέσω κρυπτογραφημένης σύνδεσης μεταξύ τους. Η EU Login επαλήθευσε τη διεύθυνση ηλεκτρονικού ταχυδρομείου του προσφεύγοντος βάσει ακριβώς αυτών των δεδομένων που τέθηκαν στη διάθεσή της από το Facebook.
182 Επιπροσθέτως, παρατηρείται ότι το μέσο κοινωνικής δικτύωσης Facebook ανήκει στη Meta Platforms, επιχείρηση εγκατεστημένη στις Ηνωμένες Πολιτείες.
183 Επιπλέον, επισημαίνεται ότι η εμφάνιση του υπερσυνδέσμου αυτού στον ιστότοπο της EU Login διέπεται από τους γενικούς όρους και προϋποθέσεις της πλατφόρμας Facebook, οι οποίοι είναι διαθέσιμοι στην ηλεκτρονική διεύθυνση «https://developers.facebook.com/terms».
184 Υπό το πρίσμα ακριβώς των ανωτέρω σκέψεων πρέπει να εξεταστεί αν πληρούνται οι προϋποθέσεις στοιχειοθέτησης της εξωσυμβατικής ευθύνης της Επιτροπής.
185 Ο προσφεύγων υποστηρίζει, κατ’ ουσίαν, ότι κατά τη σύνδεσή του στην EU Login στις 30 Μαρτίου 2022 έλαβε χώρα διαβίβαση δεδομένων προσωπικού χαρακτήρα που τον αφορούσαν, ιδίως της διεύθυνσης IP, σε διακομιστές του μέσου κοινωνικής δικτύωσης Facebook, το οποίο ανήκει σε εταιρία εγκατεστημένη στις Ηνωμένες Πολιτείες. Η διαβίβαση αυτή πραγματοποιήθηκε κατά παράβαση του άρθρου 46 του κανονισμού 2018/1725 και προκάλεσε στον προσφεύγοντα ηθική βλάβη συνιστάμενη σε απώλεια του ελέγχου των δεδομένων του και σε στέρηση των δικαιωμάτων και ελευθεριών του.
186 Προκαταρκτικώς, υπενθυμίζεται ότι, όπως προκύπτει από τη σκέψη 95 ανωτέρω, η διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα, κατά την έννοια του άρθρου 46 του κανονισμού 2018/1725, απαιτεί θεσμικό ή άλλο όργανο ή οργανισμός της Ένωσης να θέτει, με διαβίβαση ή με άλλον τρόπο, δεδομένα προσωπικού χαρακτήρα στη διάθεση αποδέκτη εγκατεστημένου σε τρίτη χώρα, ήτοι σε χώρα που δεν είναι μέλος ούτε της Ένωσης ούτε του ΕΟΧ.
187 Εν προκειμένω, αποδεικνύεται ότι, πρώτον, μεταξύ των επιλογών σύνδεσης στην EU Login, ο προσφεύγων επέλεξε να συνδεθεί με τον λογαριασμό του στο Facebook. Δεύτερον, ο υπερσύνδεσμος «Σύνδεση μέσω του Facebook» περιέχει σύνδεσμο προς τη διεύθυνση URL του ιστοτόπου Facebook. Τρίτον, όταν ο προσφεύγων ενεργοποίησε τον εν λόγω υπερσύνδεσμο επιλέγοντάς τον, ο φυλλομετρητής του απέκτησε πρόσβαση στη διεύθυνση URL του ιστοτόπου Facebook και, στη συνέχεια, διαβίβασε τη διεύθυνση IP του προσφεύγοντος στο Facebook (βλ. σκέψεις 173 έως 175 ανωτέρω).
188 Ως εκ τούτου, η Επιτροπή, μέσω του υπερσυνδέσμου «Σύνδεση μέσω του Facebook», ο οποίος εμφανίζεται στην ιστοσελίδα EU Login, δημιούργησε τις προϋποθέσεις που κατέστησαν δυνατή τη διαβίβαση της διεύθυνσης IP του προσφεύγοντος στο Facebook. Η εν λόγω διεύθυνση IP αποτελεί δεδομένο προσωπικού χαρακτήρα του προσφεύγοντος (βλ. σκέψη 122 ανωτέρω) το οποίο, μέσω του εν λόγω υπερσυνδέσμου, διαβιβάστηκε στη Meta Platforms, επιχείρηση εγκατεστημένη στις Ηνωμένες Πολιτείες. Επομένως, η διαβίβαση αυτή αντιστοιχεί σε διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα, κατά την έννοια του άρθρου 46 του κανονισμού 2018/1725.
189 Επιπροσθέτως, αποδεικνύεται εν προκειμένω ότι, κατά τον χρόνο της διαβίβασης των δεδομένων, ήτοι στις 30 Μαρτίου 2022, δεν υφίστατο καμία απόφαση επάρκειας, κατά την έννοια του άρθρου 47 του κανονισμού 2018/1725, όσον αφορά τις Ηνωμένες Πολιτείες (βλ. σκέψη 100 ανωτέρω).
190 Ελλείψει απόφασης περί επάρκειας της Επιτροπής όσον αφορά τις Ηνωμένες Πολιτείες, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία μπορεί να διαβιβάσει δεδομένα προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό μόνον εάν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία έχει παράσχει κατάλληλες εγγυήσεις και υπό την προϋπόθεση ότι υφίστανται εκτελεστά δικαιώματα και αποτελεσματικά ένδικα μέσα για τα υποκείμενα των δεδομένων, σύμφωνα με το άρθρο 48, παράγραφος 1, του κανονισμού 2018/1725 (βλ. σκέψη 101 ανωτέρω).
191 Στην προκειμένη περίπτωση, η Επιτροπή όχι μόνο δεν απέδειξε, αλλά ούτε καν επικαλέστηκε την ύπαρξη κατάλληλης εγγυήσεως, όπως είναι, μεταξύ άλλων, η τυποποιημένη ρήτρα προστασίας δεδομένων ή η συμβατική ρήτρα, οι οποίες θεσπίζονται υπό τους όρους που προβλέπονται στο άρθρο 48, παράγραφοι 2 και 3, του κανονισμού 2018/1725. (βλ. σκέψεις 102 έως 104 ανωτέρω). Αντιθέτως, αποδεικνύεται ότι η εμφάνιση του υπερσυνδέσμου «Σύνδεση μέσω του Facebook» στον ιστότοπο της EU Login διέπεται απλώς και μόνον από τους γενικούς όρους και προϋποθέσεις της πλατφόρμας Facebook (βλ. σκέψη 183 ανωτέρω).
192 Κατά συνέπεια, η Επιτροπή δημιούργησε τις προϋποθέσεις για την πραγματοποίηση της διαβίβασης δεδομένων προσωπικού χαρακτήρα του προσφεύγοντος προς τρίτη χώρα, χωρίς ωστόσο να τηρήσει τους όρους που θέτει το άρθρο 46 του κανονισμού 2018/1725.
193 Επομένως, πρέπει να γίνει δεκτό, χωρίς να χρειάζεται να εξεταστούν τα λοιπά επιχειρήματα του προσφεύγοντος, ότι η Επιτροπή διέπραξε κατάφωρη παράβαση, κατά την έννοια της νομολογίας που υπομνήσθηκε στη σκέψη 50 ανωτέρω, του άρθρου 46 του κανονισμού 2018/1725, όσον αφορά την επίδικη διαβίβαση κατά τη σύνδεση στην EU Login στις 30 Μαρτίου 2022.
194 Συνεπώς, πρέπει να εξεταστεί αν πληρούνται εν προκειμένω οι λοιπές προϋποθέσεις στοιχειοθέτησης της εξωσυμβατικής ευθύνης της Επιτροπής, οι οποίες αφορούν τη ζημία και την αιτιώδη συνάφεια.
195 Ο προσφεύγων ισχυρίζεται ότι η παράνομη διαβίβαση της διεύθυνσης IP του σε εταιρία εγκατεστημένη στις Ηνωμένες Πολιτείες του προκάλεσε ηθική βλάβη, η οποία συνίσταται στην απώλεια του ελέγχου των δεδομένων του και στη στέρηση των δικαιωμάτων και των ελευθεριών του.
196 Συναφώς, πρέπει να γίνει δεκτό ότι το άρθρο 65 του κανονισμού 2018/1725 θεμελιώνει δικαίωμα αποζημιώσεως όχι μόνο για υλική ζημία, αλλά και για μη υλική ζημία που επήλθε εξαιτίας παράβασης του εν λόγω κανονισμού, χωρίς να θέτε κανένα ελάχιστο όριο ως προς τη βαρύτητά της [πρβλ., και κατ’ αναλογίαν, απόφαση της 4ης Μαΐου 2023, Österreichische Post (Μη υλική ζημία λόγω της επεξεργασίας δεδομένων προσωπικού χαρακτήρα), C-300/21, EU:C:2023:370, σκέψεις 45 και 51].
197 Εν προκειμένω, η προβαλλόμενη από τον προσφεύγοντα ηθική βλάβη πρέπει να θεωρηθεί πραγματική και βέβαιη, κατά την έννοια της νομολογίας που υπομνήσθηκε στη σκέψη 54 ανωτέρω, στο μέτρο που η διαβίβαση που μνημονεύεται στη σκέψη 188 ανωτέρω, η οποία πραγματοποιήθηκε κατά παράβαση του άρθρου 46 του κανονισμού 2018/1725, τον περιήγαγε σε κατάσταση ανασφάλειας ως προς την επεξεργασία των δεδομένων προσωπικού χαρακτήρα που τον αφορούν, όπως, μεταξύ άλλων, της διεύθυνσης IP.
198 Επιπλέον, υφίσταται αρκούντως άμεση αιτιώδη συνάφεια, κατά την έννοια της νομολογίας που υπομνήσθηκε στη σκέψη 55 ανωτέρω, μεταξύ της παράβασης, εκ μέρους της Επιτροπής, του άρθρου 46 του κανονισμού 2018/1725 και της ηθικής βλάβης που υπέστη ο προσφεύγων.
199 Υπό τις περιστάσεις της υπό κρίση υποθέσεως, το ύψος της ηθικής βλάβης που προκάλεσε η Επιτροπή πρέπει να εκτιμηθεί ex æquo et bono στο ποσό των 400 ευρώ.
200 Κατά συνέπεια, η Επιτροπή πρέπει να υποχρεωθεί να καταβάλει στον προσφεύγοντα το ποσό των 400 ευρώ ως χρηματική ικανοποίηση για την ηθική βλάβη που υπέστη λόγω της επίδικης διαβίβασης κατά τη σύνδεση στην EU Login στις 30 Μαρτίου 2022.
Επί των δικαστικών εξόδων
201 Κατά το άρθρο 134, παράγραφος 3, του Κανονισμού Διαδικασίας του Γενικού Δικαστηρίου, σε περίπτωση μερικής ήττας των διαδίκων, κάθε διάδικος φέρει τα δικαστικά έξοδά του. Πάντως, αν τούτο δικαιολογείται από τις περιστάσεις της συγκεκριμένης υπόθεσης, το Γενικό Δικαστήριο μπορεί να αποφασίσει ότι ένας διάδικος, πέραν των δικαστικών εξόδων του, φέρει και μέρος των εξόδων του αντιδίκου.
202 Εν προκειμένω, ο προσφεύγων ηττήθηκε ως προς το πρώτο και το δεύτερο σκέλος του αιτητικού, καθώς και ως προς ένα μέρος του τρίτου σκέλους. Εντούτοις, το τρίτο σκέλος του αιτητικού έγινε εν μέρει δεκτό και η Επιτροπή υποχρεούται να καταβάλει την αποζημίωση την οποία ζήτησε ο προσφεύγων ως χρηματική ικανοποίηση για την ηθική βλάβη που υπέστη λόγω της επίδικης διαβίβασης κατά τη σύνδεση στην EU Login στις 30 Μαρτίου 2022. Υπό τις συνθήκες αυτές, κρίνεται ότι η Επιτροπή πρέπει να φέρει τα δικαστικά έξοδά της και το ήμισυ των δικαστικών εξόδων στα οποία υποβλήθηκε ο πρoσφεύγων. Ο προσφεύγων φέρει το ήμισυ των δικών του δικαστικών εξόδων.
Για τους λόγους αυτούς,
ΤΟ ΓΕΝΙΚΟ ΔΙΚΑΣΤΗΡΙΟ (έκτο πενταμελές τμήμα)
αποφασίζει:
1) Απορρίπτει την προσφυγή ως απαράδεκτη όσον αφορά τα αιτήματα ακυρώσεως.
2) Παρέλκει η έκδοση αποφάσεως επί των αιτημάτων με τα οποία ζητείται να διαπιστωθεί ότι η Ευρωπαϊκή Επιτροπή παρανόμως παρέλειψε να απαντήσει στο αίτημα παροχής πληροφοριών που υπέβαλε ο Thomas Bindl την 1η Απριλίου 2022.
3) Η Επιτροπή καταδικάζεται να καταβάλει στον Thomas Bindl το ποσό των 400 ευρώ ως χρηματική ικανοποίηση για την ηθική βλάβη που υπέστη.
4) Τα αιτήματα αποζημιώσεως απορρίπτονται κατά τα λοιπά.
5) Η Επιτροπή φέρει τα δικαστικά έξοδά της καθώς και το ήμισυ των δικαστικών εξόδων του Thomas Bindl.
6) Ο Thomas Bindl φέρει το ήμισυ των δικαστικών εξόδων του.
| Costeira | Kancheva | Öberg |
| Zilgalvis | Tichy-Fisslberger |
Δημοσιεύθηκε σε δημόσια συνεδρίαση στο Λουξεμβούργο στις 8 Ιανουαρίου 2025.
(υπογραφές)
Περιεχόμενα
Ιστορικό της διαφοράς και μεταγενέστερα της ασκήσεως της προσφυγής-αγωγής πραγματικά περιστατικά
Αιτήματα των διαδίκων
Σκεπτικό
Προκαταρκτικές παρατηρήσεις επί της προστασίας των δεδομένων προσωπικού χαρακτήρα από τα θεσμικά και λοιπά όργανα και τους οργανισμούς της Ένωσης
Επί του παραδεκτού
Παραδεκτό των αιτημάτων ακυρώσεως
Παραδεκτό των αιτημάτων περί διαπιστώσεως παραλείψεως
Επί των αιτημάτων αποζημιώσεως
Προκαταρκτικές παρατηρήσεις επί των προϋποθέσεων για τη στοιχειοθέτηση της εξωσυμβατικής ευθύνης της Ένωσης στο πλαίσιο του κανονισμού 2018/1725
Επί του πρώτου αιτήματος αποζημιώσεως, με το οποίο ζητείται η ικανοποίηση της ηθικής βλάβης που προκλήθηκε λόγω προσβολής του δικαιώματος πρόσβασης στις πληροφορίες
Επί του δευτέρου αιτήματος αποζημιώσεως, με το οποίο ζητείται η ικανοποίηση της ηθικής βλάβης που προκλήθηκε λόγω των επίδικων διαβιβάσεων
– Προκαταρκτικές παρατηρήσεις επί των διατάξεων που αφορούν τη διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα
– Επί της λειτουργίας της υπηρεσίας Amazon CloudFront στο πλαίσιο του ιστοτόπου της ΔΜΕ
– Επίδικη διαβίβαση κατά την επίσκεψη στον ιστότοπο της ΔΜΕ στις 30 Μαρτίου 2022
– Επίδικη διαβίβαση κατά τις επισκέψεις στον ιστότοπο της ΔΜΕ στις 8 Ιουνίου 2022
– Επίδικη διαβίβαση κατά τη σύνδεση στην EU Login στις 30 Μαρτίου 2022
Επί των δικαστικών εξόδων
