C‑311/18 Screms II
Η απόφαση του ΔΕΕ στην υπόθεση Schrems II
Στην απόφασή Schrems ΙΙ που δημοσιεύτηκε τον Ιούλιο του 2020, το Δικαστήριο της Ευρωπαϊκής Ένωσης (ΔΕΕ) κήρυξε την απόφαση της Ευρωπαϊκής Επιτροπής για την προστασία της ιδιωτικής ζωής άκυρη λόγω των επεμβατικών προγραμμάτων επιτήρησης των ΗΠΑ, καθιστώντας έτσι τη διαβίβαση προσωπικών δεδομένων βάσει της απόφασης περί προστασίας της ιδιωτικής ζωής παράνομη. Επιπλέον, το Δικαστήριο όρισε αυστηρότερες προϋποθέσεις για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα βάσει τυποποιημένων συμβατικών ρητρών (SCC). Οι υπεύθυνοι επεξεργασίας δεδομένων ή οι επεξεργαστές που σκοπεύουν να μεταφέρουν δεδομένα βάσει SCC πρέπει να διασφαλίζουν ότι το υποκείμενο των δεδομένων διαθέτει επίπεδο προστασίας ουσιαστικά ισοδύναμο με εκείνο που εγγυάται ο Γενικός Κανονισμός Προστασίας Δεδομένων (GDPR) και ο Χάρτης Θεμελιωδών Δικαιωμάτων της ΕΕ – εάν είναι απαραίτητο με πρόσθετα μέτρα για την αντιστάθμιση των κενών στην προστασία των νομικών συστημάτων τρίτων χωρών. Σε αντίθετη περίπτωση, οι φορείς εκμετάλλευσης πρέπει να αναστείλουν τη μεταφορά προσωπικών δεδομένων εκτός ΕΕ.
Ιστορικό πλαίσιο
Το πλαίσιο Privacy Shield προβλέπει τη δυνατότητα νόμιμης μεταφοράς προσωπικών δεδομένων από την ΕΕ στις Ηνωμένες Πολιτείες (ΗΠΑ), διασφαλίζοντας ταυτόχρονα ένα ισχυρό σύνολο απαιτήσεων και διασφαλίσεων προστασίας δεδομένων. Με βάση αυτό το πλαίσιο, οι επιχειρήσεις της ΕΕ (και αργότερα του Ευρωπαϊκού Οικονομικού Χώρου, ΕΟΧ) μπόρεσαν να μεταφέρουν νόμιμα δεδομένα προσωπικού χαρακτήρα σε εταιρείες με έδρα τις ΗΠΑ που περιλαμβάνονται στη λίστα Privacy Shield. Η είσοδος σε αυτήν τη λίστα διοικείται από το Υπουργείο Εμπορίου των ΗΠΑ, ενώ η Ομοσπονδιακή Επιτροπή Εμπορίου των ΗΠΑ παρακολουθεί τη συμμόρφωση. Εάν και η συμμετοχή είναι εθελοντική, οι εταιρείες που έχουν πιστοποιηθεί υποχρεούνται να συμμορφώνονται με τις Αρχές αυτές, καθώς έγιναν εκτελεστές σύμφωνα με τη νομοθεσία των ΗΠΑ. Μια περίπτωση αδικαιολόγητης μη συμμόρφωσης θα μπορούσε να προκαλέσει μια υπόθεση σύμφωνα με το Άρθρο 5 του νόμου της Επιτροπής Ελευθέρων Συναλλαγών ή να οδηγήσει στην κατάργηση του οργανισμού από τη λίστα Privacy Shield.
Η απόφαση του Ιουλίου 2020 συνάδει με τη συνεχή ενίσχυση του επιπέδου προστασίας του Δικαστηρίου τα τελευταία χρόνια. Συγκεκριμένα, το DEE ακύρωσε το 2006 τη συμφωνία καταχώρησης ονομάτων επιβατών (PNR) του 2004 μεταξύ της ΕΕ και των ΗΠΑ, αντιτάχθηκε στην έναρξη ισχύος της συμφωνίας PNR μεταξύ ΕΕ-Καναδά με τη γνωμοδότησή 1/15 ακυρώνοντας την απόφαση Safe Harbor στην απόφαση Schrems I το 2015. Οι αρχές Privacy Shield ξεκίνησαν να λειτουργούν ως αντικατασταθείσες των ακυρωμένων αρχών του Safe Harbor την 1η Αυγούστου 2016. Αν και αντιμετωπίστηκαν πολλά από τα ελαττώματα των Safe Harbour, το εναπομείναν απόρρητο της la cunae επικρίθηκε επανειλημμένα, ιδίως σε ψήφισμα του Ευρωπαϊκού Κοινοβουλίου το 2018 και από το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (EDPB). Τον Φεβρουάριο του 2020, ο Πρόεδρος της Επιτροπής Πολιτικών Ελευθεριών του Κοινοβουλίου εξέφρασε επίσης τις ανησυχίες του μετά από επίσκεψη αντιπροσωπείας στις Ηνωμένες Πολιτείες. Η Ευρωπαϊκή Επιτροπή, αντιθέτως, επιβεβαίωσε εκ νέου τον μηχανισμό υποστηρίζοντας ότι το επίπεδο προστασίας δεδομένων των ΗΠΑ ήταν επαρκές κατά την τρίτη ετήσια αναθεώρηση του 2019 για το Privacy Shield.
Απόφαση
Μετά την απόφαση Schrems I, το Facebook Ireland εξήγησε ότι μετέφερε μεγάλο μέρος των δεδομένων στη μητρική εταιρεία των ΗΠΑ βάσει των SCC. Την 1η Δεκεμβρίου 2015, ο Max Schrems αναδιατύπωσε την καταγγελία του που υπέβαλε στην Ιρλανδική Επιτροπή Προστασίας Δεδομένων ότι η απόφαση SCC δεν μπόρεσε να δικαιολογήσει τη μεταφορά προσωπικών δεδομένων στις ΗΠΑ, καθώς τα προγράμματα επιτήρησης των ΗΠΑ παρενέβησαν στα θεμελιώδη δικαιώματά του στην προστασία της ιδιωτικής ζωής, στην προστασία δεδομένων και στην αποτελεσματική δικαστική προστασία. Σε ένα σχέδιο απόφασης, η Ιρλανδική Επιτροπή συμμερίστηκε τις ανησυχίες του Schrems και άσκησε προσφυγή ενώπιον του Ιρλανδικού Ανωτάτου Δικαστηρίου, το οποίο στη συνέχεια παρέπεμψε στο Δικαστήριο για προκαταρκτική ακρόαση. Εν τω μεταξύ, ένας άλλος μηχανισμός μεταφοράς, η Απόφαση Privacy Shield, ήταν συναφής με την υπόθεση, η οποία ώθησε το ΔΕΕ να αποφασίσει επίσης για την εγκυρότητα αυτού του μέσου.
Στις 16 Ιουλίου 2020, το ΔΕΕ (i) κήρυξε άκυρη την απόφαση περί προστασίας της ιδιωτικής ζωής της Ευρωπαϊκής Επιτροπής και (ii) επιβεβαίωσε την εγκυρότητα της απόφασης SCC, ορίζοντας παράλληλα αυστηρότερες απαιτήσεις για μεταφορές βάσει SCC. (i) Το Δικαστήριο έκρινε ότι οι ΗΠΑ δεν προβλέπουν ουσιαστικά ισοδύναμο, και επομένως επαρκές, επίπεδο προστασίας όπως εγγυάται ο ΓΚΠΠΔ και ο Χάρτης Θεμελοωδών Δικαιωμάτων. Οι νομικές βάσεις των προγραμμάτων επιτήρησης των ΗΠΑ, όπως το PRISM και το UPSTREAM, δεν περιορίζονται σε αυτό που είναι απολύτως απαραίτητο και θα θεωρηθεί δυσανάλογη παρέμβαση στα δικαιώματα προστασίας των δεδομένων και της ιδιωτικής ζωής (Άρθρο 45 παράγραφος 1 του ΓΚΠΠΔ, που διαβάζεται υπό το φως των Άρθρων 7) , 8 και 52 (1) του Χάρτη), δεδομένου ότι δεν περιορίζουν επαρκώς τις εξουσίες που έχουν ανατεθεί στις αρχές των ΗΠΑ και δεν διαθέτουν δικαιώματα για τα υποκείμενα της ΕΕ εναντίον των αρχών των ΗΠΑ. Σε αντίθεση με τα πορίσματα της επάρκειας της Ευρωπαϊκής Επιτροπής, ο μηχανισμός διαμεσολάβησης δεν διορθώνει, αλλά επιδεινώνει αυτές τις ελλείψεις, καθώς ο μηχανισμός παρεμβαίνει στο δικαίωμα αποτελεσματικής δικαστικής προστασίας (άρθρο 45 παράγραφος 1 του GDPR, που διαβάζεται υπό το φως του άρθρου 47) του Χάρτη), λόγω ανησυχιών για την ανεξαρτησία του ιδρύματος και για την εκτελεστότητα των αποφάσεών του.
(ii) Επιπροσθέτως, το Δικαστήριο επιβεβαίωσε την εγκυρότητα της απόφασης SCC και έκρινε ότι τα SCC δεν αντιτίθενται, καθαυτά, νόμιμα ή παράνομα έγγραφα για τη μεταφορά δεδομένων. Το ΔΕΕ όρισε επίσης ότι οι υπεύθυνοι επεξεργασίας δεδομένων ή οι χειριστές που επιδιώκουν τη μεταφορά δεδομένων με βάση SCC, πρέπει να διασφαλίζουν ότι το υποκείμενο των δεδομένων παρέχει ένα επίπεδο προστασίας ουσιαστικά ισοδύναμο με αυτό που εγγυάται ο ΓΚΠΠΔ και ο Χάρτης – εάν είναι απαραίτητο με πρόσθετα μέτρα για την αντιστάθμιση του la σε περίπτωση προστασίας των νομικών συστημάτων τρίτων χωρών. Σε αντίθετη περίπτωση, οι χειριστές πρέπει να αναστείλουν τη μεταφορά δεδομένων. Οι εποπτικές αρχές πρέπει να ελέγχουν τις μεταφορές και υποχρεούνται να απαγορεύουν τις μεταφορές όταν διαπιστώνουν ότι στα υποκείμενα των δεδομένων δεν παρέχεται ουσιαστικά ισοδύναμη προστασία.
Επιπτώσεις και πρώτες αντιδράσεις
Επιπτώσεις για τις εμπορικές μεταφορές δεδομένων
Ως αποτέλεσμα της απόφασης του Δικαστηρίου, οι εταιρείες της ΕΕ δεν μπορούν πλέον να μεταφέρουν νόμιμα δεδομένα στις ΗΠΑ βάσει του πλαισίου Privacy Shield. Οι εταιρείες που συνεχίζουν να διαβιβάζουν δεδομένα βάσει μη έγκυρου μηχανισμού κινδυνεύουν να επιβάλουν πρόστιμο ύψους 20 εκατομμυρίων ευρώ ή 4% του συνολικού κύκλου εργασιών τους, σύμφωνα με το άρθρο 83 παράγραφος 5 στοιχείο γ) του ΓΚΠΠΔ.
Ωστόσο, οι σχολιαστές διαφωνούν για τις ευρύτερες επιπτώσεις της απόφασης του Δικαστηρίου για τους φορείς εκμετάλλευσης. Ορισμένοι σχολιαστές πιστεύουν ότι η συντριπτική πλειοψηφία των εταιρειών μπορεί να συνεχίσει να χρησιμοποιεί τα συμβατικά SCC, ενώ άλλες υποστηρίζουν ότι οι εταιρείες θα πρέπει – αν όχι καθόλου – να χρησιμοποιούν μόνο SCC για μεταφορές προς τις ΗΠΑ, εάν (i) δεν υπόκεινται στον αντίστοιχο νόμο επιτήρησης, ή εάν (ii) προβλέπουν «πρόσθετες διασφαλίσεις». Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (Αρχή Προστασίας) της Βόρειας Ρηνανίας-Βεστφαλίας επεσήμανε ότι τυχόν εταιρείες που χρησιμοποιούν υπηρεσίες επικοινωνίας των ΗΠΑ ή διατλαντικά καλώδια ενδέχεται να υπόκεινται σε μηχανισμούς παρακολούθησης των ΗΠΑ. Προκειμένου να διασωθούν οι μεταφορές δεδομένων με βάση το SCC, τέτοιες εταιρείες θα πρέπει να αντισταθμίσουν τα κενά στην προστασία με τις -μέχρι στιγμής απροσδιόριστες – “πρόσθετες διασφαλίσεις”. Το Δικαστήριο τόνισε ότι οι ρήτρες προστατευτικών συμβάσεων δεν είναι δεσμευτικές για τρίτα μέρη ή αρχές και, ως εκ τούτου, ενδέχεται να είναι αναποτελεσματικές, ενώ οι προσπάθειες ηλεκτρονικής και κβαντικής πληροφορικής των υπηρεσιών πληροφοριών αυξάνουν ανησυχίες σχετικά με την αποτελεσματικότητα προστατευτικών τεχνικών μέτρων όπως η κρυπτογράφηση.
Σύμφωνα με το Eυρωπαίκό Συμβούλιο Προστασίας Δεδομένων και τη Διάσκεψη των Γερμανικών Αρχών Προστασίας Δεδομένων (DSK), οι εταιρείες μπορούν να μεταφέρουν δεδομένα βάσει δεσμευτικών εταιρικών κανόνων, αλλά θα πρέπει, επίσης, να διασφαλίσουν την ουσιαστική ισοδυναμία. Παρόλο που το Ευρωπαϊκό Συμβούλιο επιβεβαιώνει τη δυνατότητα μεταφοράς δεδομένων βάσει παρεκκλίσεων που προβλέπονται στο Άρθρο 49 παράγραφος 1 στοιχείο α) του ΓΚΠΠΔ, οι κατευθυντήριες γραμμές του εγείρουν αμφιβολίες σχετικά με την καταλληλότητά τους να νομιμοποιήσουν τις μεταφορές. Επιπλέον, το Ευρωπαϊκό Συμβούλιο ανακοίνωσε ότι δεν θα αναστείλει την επιβολή για κανονιστική περίοδο χάριτος. Οι Αρχές Προστασίας του Βερολίνου, του Αμβούργου και της Ολλανδίας συμβούλευσαν να σταματήσουν οι μεταφορές προς τις ΗΠΑ. Η Αρχή Προστασίας του Βερολίνου συμβούλευσε ακόμη και να ανακτήσει δεδομένα από τις ΗΠΑ. Πολλές Αρχές Προστασίας υπογραμμίζουν την ανάγκη για περαιτέρω ανάλυση και εκτιμήσεις κατά περίπτωση.
Επιπτώσεις στις διεθνείς σχέσεις
Ο υπουργός Εμπορίου των ΗΠΑ Wilbur Ross και ο υπουργός Εξωτερικών των ΗΠΑ Mike Pompeo εξέφρασαν τη βαθιά απογοήτευσή τους για την απόφαση και πρότειναν πιθανές δυσμενείς επιπτώσεις στη διατλαντική οικονομική σχέση 7,1 εκατομμυρίων δολαρίων. Και οι δύο τόνισαν τη σημασία της ροής των δεδομένων για την οικονομική ανάπτυξη καθώς και για την ανάκαμψη μετά τον Covid-19 και δεσμεύτηκαν να συνεργαστούν στενά με την ΕΕ. Ο Αντιπρόεδρος της Ευρωπαϊκής Επιτροπής Věra Jourová και ο Επίτροπος Didier Reynders δεσμεύθηκαν για κοινές προσπάθειες και πρότειναν τον εκσυγχρονισμό των τυποποιημένων συμβάσεων ρήτρες. Εάν και η DigitalEurope και άλλοι θα καλωσόριζαν μια παράξενη μακροχρόνια συμφωνία επάρκειας, η Business Europe υποστηρίζει μια πρόσθετη ενδιάμεση λύση για την αποφυγή αρνητικών επιπτώσεων στην οικονομία. Ο Max Schrems και ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων ενθαρρύνουν τις Ηνωμένες Πολιτείες να μεταρρυθμίσουν τους νόμους εποπτείας, ώστε να πληρούνται τις απαιτήσεις του Δικαστηρίου. Ωστόσο, αναφέρεται ότι οι ανώτεροι αξιωματούχοι των ΗΠΑ δεν θεωρούν μια τέτοια αναθεώρηση «σκόπιμη» ή «πιθανή» βραχυπρόθεσμα. Το σκεπτικό αυτής της απόφασης θα επηρεάσει ιδιαίτερα εκείνες τις τρίτες χώρες που διεξάγουν εκτενή παρακολούθηση της εθνικής ασφάλειας. Αυτό μπορεί να καταστεί σημαντικό για το Ηνωμένο Βασίλειο, καθώς θα αντιμετωπίζεται ως τρίτη χώρα μετά το Brexit. Ορισμένοι σχολιαστές προτείνουν ότι αυτή η απόφαση δημιουργεί έναν κόσμο χωρισμένο σε σφαίρες επιρροής με βάση τα δεδομένα. Αντίθετα, η απόφαση θα μπορούσε να ενισχύσει τον στόχο της Ευρωπαϊκής Επιτροπής να «προωθήσει τη σύγκλιση των προτύπων προστασίας δεδομένων σε διεθνές επίπεδο, ως τρόπο διευκόλυνσης της ροής δεδομένων και επομένως του εμπορίου».
*Περισσότερες πληροφορίες μπορείτε να βρείτε εδώ (διαθέσιμο μόνο στα Αγγλικά).