C-362/14 Schrems I

C-362/14 Schrems I

Η απόφαση ΔΕΕ στην υπόθεση Schrems I

Το 2013 ο Maximilian Schrems υπέβαλε καταγγελία εναντίον της Facebook Ireland Ltd με την Ιρλανδική Επιτροπή Προστασίας Δεδομένων, με την Ιρλανδία να είναι η χώρα όπου το Facebook έχει την Ευρωπαϊκή του έδρα. Η καταγγελία είχε ως στόχο την απαγόρευση του Facebook να μεταφέρει περαιτέρω δεδομένα από την Ιρλανδία στις Ηνωμένες Πολιτείες, δεδομένης της φερόμενης εμπλοκής του Facebook USA στο πρόγραμμα μαζικής παρακολούθησης PRISM. Ο Schrems βασίστηκε στην καταγγελία του στη νομοθεσία της ΕΕ για την προστασία των δεδομένων, η οποία δεν επιτρέπει τη μεταφορά δεδομένων σε χώρες εκτός ΕΕ, εκτός εάν μια εταιρεία μπορεί να εγγυηθεί «επαρκή προστασία». Η Ιρλανδική Επιτροπή Προστασίας Δεδομένων απέρριψε την καταγγελία, λέγοντας ότι ήταν «επιπόλαιο και ενοχλητικό» και ότι δεν υπήρχε περίπτωση να απαντηθεί. Ο Schrems υπέβαλε αίτηση δικαστικού ελέγχου στο Ανώτατο Δικαστήριο της Ιρλανδίας σχετικά με την αδράνεια της Ιρλανδικής Επιτροπής Προστασίας Δεδομένων, η οποία εγκρίθηκε. Στις 18 Ιουνίου 2014, ο κ. Justice Hogan ανέστειλε την υπόθεση εν αναμονή της παραπομπής στο Δικαστήριο της Ευρωπαϊκής Ένωσης (ΔΕΕ). Ανέφερε σχετικά ότι η ιρλανδική νομοθεσία σχετικά με την προστασία της ιδιωτικής ζωής είχε προηγουμένως εγκριθεί από τον ευρωπαϊκό νόμο και ότι το βασικό ζήτημα ήταν εάν οι σχετικές οδηγίες πρέπει να επανεξεταστούν υπό το φως της επακόλουθης έναρξης ισχύος του άρθρου 8 (προστασία των προσωπικών δεδομένων) του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης.

Η Ευρωπαϊκή Επιτροπή διαπίστωσε στην εκτελεστική απόφαση 2000/520 / ΕΚ ότι οι λεγόμενες αρχές “Safe Harbour” ΕΕ-ΗΠΑ θα παρέχουν «επαρκή προστασία» σύμφωνα με το Άρθρο 25 της Οδηγίας 95/56 / ΕΚ, όσον αφορά τη μεταφορά προσωπικών πληροφοριών από την ΕΕ προς τις ΗΠΑ. Αυτή η εκτελεστική απόφαση της Ευρωπαϊκής Επιτροπής αμφισβητήθηκε από τις αποκαλύψεις του Edward Snowden του 2013. Στην ουσία, ο Schrems υποστήριξε ότι το σύστημα Safe Harbour θα παραβίαζε το θεμελιώδες δικαίωμά του στην προστασία της ιδιωτικής ζωής, την προστασία των δεδομένων και το δικαίωμα σε δίκαιη δίκη βάσει του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης.

Η προφορική ακρόαση ενώπιον του ΔΕΕ πραγματοποιήθηκε στις 24 Μαρτίου 2015. Ο Γενικός Εισαγγελέας του δικαστηρίου για την υπόθεση ήταν ο Yves Bot. Κατά τη διάρκεια της ακρόασης, ο Bot ρώτησε τον δικηγόρο της Ευρωπαϊκής Επιτροπής Bernhard Schima ποιες συμβουλές θα μπορούσε να του δώσει εάν ανησυχεί για τα δεδομένα του που βρίσκονται στη διάθεση των αμερικανικών αρχών. Ο Schima απάντησε ότι μπορεί να εξετάσει το ενδεχόμενο να κλείσει τον λογαριασμό του στο Facebook, εάν είχε. Είπε ότι η Ευρωπαϊκή Επιτροπή δεν ήταν σε θέση να εγγυηθεί ότι τηρούνται «επαρκείς» διασφαλίσεις για την προστασία των δεδομένων, μια παρατήρηση που είπε ο Schrems ότι ήταν το πιο εντυπωσιακό πράγμα που άκουσε κατά την ακρόαση.

Ο Bot εξέφρασε αποφάνθηκε στις 23 Σεπτεμβρίου 2015. Με την απόφασή του κήρυξε άκυρη τη συμφωνία Safe Harbor και σημείωσε ότι οι μεμονωμένες αρχές προστασίας δεδομένων θα μπορούσαν να αναστείλουν τη μεταφορά δεδομένων σε τρίτες χώρες εάν παραβίαζαν τα δικαιώματα της ΕΕ.

Στις 6 Οκτωβρίου 2015, το Δικαστήριο της Ευρωπαϊκής Ένωσης αποφάσισε ότι, (1) οι εθνικές εποπτικές αρχές εξακολουθούν να έχουν την εξουσία να εξετάζουν τη διαβίβαση δεδομένων από την ΕΕ στις ΗΠΑ παρά την υπάρχουσα απόφαση της Επιτροπής (όπως η απόφαση Safe Harbor το 2000, η οποία αποφάσισε ότι οι εταιρείες των ΗΠΑ που συμμορφώνονται με τις αρχές είχαν τη δυνατότητα να μεταφέρουν δεδομένα από την ΕΕ στις ΗΠΑ) και (2) το πλαίσιο Safe Harbor δεν είναι έγκυρο. Το Συνέδριο διαπίστωσε ότι το πλαίσιο αυτό είναι άκυρο για διάφορους λόγους: το σύστημα επιτρέπει την κυβερνητική παρέμβαση, δεν παρέχει νομικά μέσα για άτομα που επιδιώκουν να αποκτήσουν πρόσβαση σε δεδομένα που σχετίζονται με αυτά ή έχουν διαγραφεί ή τροποποιηθεί και εμποδίζει τις εθνικές εποπτικές αρχές από την άσκηση των εξουσιών τους. Σύμφωνα με τη νομοθεσία της ΕΕ, απαγορεύεται η κοινή χρήση δεδομένων με χώρες που θεωρείται ότι έχουν χαμηλότερα πρότυπα προστασίας, συμπεριλαμβανομένων των ΗΠΑ. Τέτοιες δραστηριότητες θα είναι δυνατές μόνο με πιο ακριβές και χρονοβόρες μεθόδους.

Στις 2 Δεκεμβρίου 2015, ο Schrems υπέβαλε εκ νέου την αρχική του καταγγελία στο Facebook με την Ιρλανδική Επιτροπή Προστασίας Δεδομένων. Έστειλε επίσης παρόμοια παράπονα στις αρχές προστασίας δεδομένων του Αμβούργου και του Βελγίου, οι οποίες αμφότερες αποτελούν τόπο δικαιοδοσίας του Facebook. Οι καταγγελίες έγιναν για την εφαρμογή της απόφασης του ΔΕΕ από το Facebook, η οποία επί του παρόντος δεν βασίζεται στο Safe Harbor για τη μεταφορά δεδομένων της. Αντ ‘αυτού, το Facebook βασίζεται σε προ-εγκεκριμένες συμβατικές συμφωνίες που ονομάζονται «πρότυπες ρήτρες». Ο Schrems υποστηρίζει ότι αυτές οι συμφωνίες ενσωματώνουν επίσης εξαιρέσεις για περιπτώσεις παράνομης μαζικής επιτήρησης, και συνεπώς ότι η απόφαση του ΔΕΕ ισχύει και για αυτές τις συμφωνίες.

Η Ιρλανδική Επιτροπή Προστασίας Δεδομένων έκρινε ότι ο Schrems είχε εγείρει «βάσιμες» αντιρρήσεις, αλλά ότι χρειάζεται περαιτέρω καθοδήγηση από το ΔΕΕ για τον προσδιορισμό της καταγγελίας. Μετά τη διαδικασία τον Φεβρουάριο / Μάρτιο του 2017, η κ. Justice Costello του Ιρλανδικού Ανώτατου Δικαστηρίου παρέδωσε την εκτελεστική περίληψη στις 3 Οκτωβρίου 2017, παραπέμποντας την υπόθεση στο ΔΕΕ.

*Μπορείτε να βρείτε την περίληψη την απόφασης στον ακόλουθο σύνδεσμο, εδώ.