Στις 6 Οκτωβρίου 2015, το Δικαστήριο της Ευρωπαϊκής Ένωσης
έκρινε την υπόθεση C-362/14, Maximillian
Schrems κατά Data Protection Commissioner, και αποφάνθηκε ότι η ρύθμιση περί
ασφαλούς λιμένα (Safe Harbour) εκ μέρους της Επιτροπής είναι ανίσχυρη. Τούτη η
απόφαση έλαβε μεγάλη δημοσιότητα, καθόσον σχετίζεται τόσο με τη χρήση του Facebook όσο και με τις
αποκαλύψεις του Edward Snowden για τη δράση των υπηρεσιών πληροφοριών των ΗΠΑ,
αλλά έχει και ιδιαίτερη νομική σημασία, καθόσον ανατρέπει επί της ουσίας το
καθεστώς ασφαλούς λιμένα που ίσχυε έως τώρα για τις ΗΠΑ.
Το καθεστώς ασφαλούς
λιμένα
Πιο αναλυτικά, η οδηγία 95/46/ΕΚ περί προστασίας των δεδομένων
προσωπικού χαρακτήρα ορίζει ότι η διαβίβαση προσωπικών δεδομένων από
κράτος μέλος της Ευρωπαϊκής Ένωσης προς τρίτη χώρα επιτρέπεται, κατ’ αρχήν,
μόνον εφόσον η εν λόγω τρίτη χώρα εξασφαλίζει ικανοποιητικό επίπεδο
προστασίας των δεδομένων. Κατά την ίδια οδηγία, η Ευρωπαϊκή Επιτροπή
μπορεί να διαπιστώσει ότι τρίτη χώρα, λόγω της εθνικής της νομοθεσίας
ή διεθνών δεσμεύσεων που έχει αναλάβει, εξασφαλίζει ικανοποιητικό
επίπεδο προστασίας. Στην περίπτωση αυτή επιτρέπεται να διαβιβάζονται τα
δεδομένα προσωπικού χαρακτήρα από τα κράτη μέλη, χωρίς να είναι απαραίτητη η
παροχή πρόσθετων εγγυήσεων. Τέλος, η οδηγία προβλέπει ότι κάθε κράτος
μέλος ορίζει μία ή περισσότερες δημόσιες αρχές (εθνικές αρχές
ελέγχου) υπεύθυνες για τον έλεγχο της εφαρμογής, εντός του συγκεκριμένου
κράτους, των εθνικών διατάξεων που θεσπίζονται βάσει της οδηγίας αυτής.
Βάσει της οδηγίας 95/46/ΕΚ, λοιπόν, η Ευρωπαϊκή Επιτροπή εξέδωσε
στις 26 Ιουλίου 2000 απόφαση (γνωστή ως «απόφαση περί ασφαλούς λιμένα»)
αναγνωρίζοντας ότι οι αρχές ασϕαλούς λιμένα για την προστασία της ιδιωτικής
ζωής που εκδίδονται από το Υπουργείο Εμπορίου των ΗΠΑ παρέχουν ικανοποιητικό
επίπεδο προστασίας για τη διαβίβαση δεδομένων από την Ένωση στις ΗΠΑ. Ως εκ
τούτου, η απόφαση περί ασφαλούς λιμένα επέτρεπε τη μεταφορά προσωπικών
πληροφοριών για εμπορικούς σκοπούς από εταιρείες της ΕΕ σε εταιρείες στις ΗΠΑ
που τηρούσαν τις εν λόγω αρχές. Η λειτουργία της απόφασης περί ασφαλούς λιμένα
στηρίχθηκε σε δεσμεύσεις και αυτοπιστοποίηση των εταιρειών που συμμορφώνονταν
προς τις απαιτήσεις της απόφασης. Οι εταιρίες έπρεπε να εγγραφούν σε σχετικό
μητρώο, ενημερώνοντας το Υπουργείο Εμπορίου των ΗΠΑ, ενώ η Ομοσπονδιακή
Επιτροπή Εμπορίου των ΗΠΑ ήταν αρμόδια για την επιβολή των αρχών ασφαλούς λιμένα.
Η προσχώρηση σε τούτο το καθεστώς ήταν οικειοθελής, αλλά οι κανόνες είχαν
δεσμευτικό χαρακτήρα για όσους υπάγονταν σε αυτό.
Το ιστορικό της
υπόθεσης
Ο Αυστριακός Maximillian Schrems είναι χρήστης του Facebook από το 2008. Όπως
ισχύει και για τους λοιπούς χρήστες του Facebook που κατοικούν στην Ένωση,
τα δεδομένα που παρέχει ο M. Schrems στο Facebook διαβιβάζονται, εν όλω ή
εν μέρει, από την ιρλανδική θυγατρική της Facebook σε διακομιστές που
βρίσκονται στις ΗΠΑ, όπου τα δεδομένα αυτά αποτελούν αντικείμενο
επεξεργασίας. Ο M. Schrems υπέβαλε καταγγελία στην ιρλανδική αρχή
ελέγχου, θεωρώντας ότι βάσει των αποκαλύψεων στις οποίες προέβη το 2013
ο E. Snowden σχετικά με τις δραστηριότητες των υπηρεσιών πληροφοριών των
Ηνωμένων Πολιτειών (ιδίως της National Security Agency, NSA), η νομοθεσία
και οι πρακτικές των ΗΠΑ δεν παρέχουν ικανοποιητική προστασία από την
παρακολούθηση, εκ μέρους των δημοσίων αρχών, των δεδομένων που
διαβιβάζονται προς τις ΗΠΑ. Η ιρλανδική αρχή ελέγχου απέρριψε την
καταγγελία, με την αιτιολογία ότι η Επιτροπή, στην από 26 Ιουλίου 2000
απόφασή της έκρινε ότι, στο πλαίσιο του καθεστώτος «ασφαλούς λιμένα» οι
Ηνωμένες Πολιτείες εξασφαλίζουν ικανοποιητικό επίπεδο προστασίας στα
διαβιβαζόμενα δεδομένα προσωπικού χαρακτήρα.
Το Ανώτατο Δικαστήριο της Ιρλανδίας, το οποίο εξέτασε την
υπόθεση, ζήτησε να διευκρινισθεί από το Δικαστήριο της Ευρωπαϊκής Ένωσης (ΔΕΕ) αν
η απόφαση αυτή της Επιτροπής εμποδίζει εθνική αρχή ελέγχου να ερευνήσει
καταγγελία κατά την οποία τρίτη χώρα δεν εξασφαλίζει ικανοποιητικό
επίπεδο προστασίας, και, εφόσον χρειάζεται, να αναστείλει τη διαβίβαση
των επίμαχων δεδομένων.
Η απόφαση του ΔΕΕ
Με την απόφασή του το ΔΕΕ έκρινε ότι η ύπαρξη απόφασης της
Επιτροπής με την οποία διαπιστώνεται ότι τρίτη χώρα εξασφαλίζει
ικανοποιητικό επίπεδο προστασίας στα διαβιβαζόμενα δεδομένα προσωπικού
χαρακτήρα δεν εξαφανίζει ούτε περιορίζει την εξουσία που έχουν οι
εθνικές αρχές ελέγχου βάσει του Χάρτη των θεμελιωδών δικαιωμάτων της
Ευρωπαϊκής Ένωσης και της οδηγίας 95/46/ΕΚ. Επισήμανε ότι καμία διάταξη
της οδηγίας δεν εμποδίζει τις εθνικές αρχές να ελέγχουν τη διαβίβαση
δεδομένων προσωπικού χαρακτήρα προς τις τρίτες χώρες για τις οποίες έχει
εκδοθεί απόφαση της Επιτροπής. Έτσι, ακόμη και όταν έχει εκδοθεί
απόφαση της Επιτροπής, οι εθνικές αρχές ελέγχου στις οποίες έχει
υποβληθεί σχετική αίτηση πρέπει να μπορούν να εξετάσουν αμερόληπτα αν η
διαβίβαση των δεδομένων κάποιου προσώπου προς τρίτη χώρα πληροί τους
όρους που θέτει η οδηγία.
Ωστόσο, το ΔΕΕ είναι το μόνο αρμόδιο να διαπιστώσει την
ακυρότητα πράξης της Ένωσης, όπως της απόφασης της Επιτροπής. Εξετάζοντας,
λοιπόν, το κύρος της απόφασης περί ασφαλούς λιμένα της Επιτροπής, το ΔΕΕ
τόνισε ότι η Επιτροπή όφειλε να διαπιστώσει αν οι ΗΠΑ εξασφαλίζουν
πράγματι, λόγω της εθνικής τους νομοθεσίας και των διεθνών δεσμεύσεων που
έχουν αναλάβει, επίπεδο προστασίας των θεμελιωδών δικαιωμάτων ουσιαστικά
ισοδύναμο με αυτό που παρέχεται εντός της Ένωσης. Επισήμανε, συναφώς, ότι
η Επιτροπή δεν προέβη σε τέτοια διαπίστωση αλλά αρκέστηκε, απλώς, στην
εξέταση του καθεστώτος του ασφαλούς λιμένα.
Το ΔΕΕ, χωρίς να χρειάζεται να εξετάσει αν το καθεστώς
αυτό εξασφαλίζει επίπεδο προστασίας ουσιαστικά ισοδύναμο με αυτό που
παρέχεται εντός της Ένωσης, υπογράμμισε ότι το εν λόγω καθεστώς
εφαρμόζεται μόνο στις αμερικανικές επιχειρήσεις που προσχωρούν σε αυτό,
χωρίς να δεσμεύει τις ίδιες τις δημόσιες αρχές των ΗΠΑ. Εξάλλου, οι
απαιτήσεις που σχετίζονται με την εθνική ασφάλεια, το δημόσιο συμφέρον
και την τήρηση των νόμων των ΗΠΑ υπερέχουν έναντι του καθεστώτος ασφαλούς
λιμένα, με αποτέλεσμα οι αμερικανικές επιχειρήσεις να οφείλουν να
αποκλίνουν, χωρίς περιορισμό, από τους κανόνες προστασίας που προβλέπει
το καθεστώς αυτό, όταν οι εν λόγω αρχές συγκρούονται με τις ανωτέρω
απαιτήσεις. Έτσι, το αμερικανικό καθεστώς ασφαλούς λιμένα επιτρέπει
επεμβάσεις εκ μέρους των αμερικανικών δημόσιων αρχών στα θεμελιώδη
δικαιώματα των προσώπων, δεδομένου ότι η απόφαση της Επιτροπής δεν
αναφέρει ούτε την ύπαρξη κανόνων στις ΗΠΑ για τον περιορισμό τυχόν
επεμβάσεων ούτε την ύπαρξη αποτελεσματικής δικαστικής προστασίας από τις
επεμβάσεις αυτές.
Το ΔΕΕ έκρινε ότι η ανωτέρω ανάλυση σε σχέση με το
συγκεκριμένο καθεστώς ενισχύεται από δύο ανακοινώσεις της Επιτροπής από
τις οποίες προκύπτει ότι οι αρχές των ΗΠΑ μπορούν να έχουν πρόσβαση στα
δεδομένα προσωπικού χαρακτήρα που διαβιβάζονται από τα κράτη μέλη προς
τις ΗΠΑ και να τα επεξεργάζονται κατά τρόπο ασυμβίβαστο με τον σκοπό για τον
οποίο διαβιβάστηκαν, καθ’ υπέρβαση αυτού που κατά την Επιτροπή είναι το
όριο του απολύτως αναγκαίου και του αναλογικού για την προστασία της
εθνικής ασφάλειας. Ομοίως, η Επιτροπή διαπίστωσε ότι για τους
ενδιαφερόμενους δεν υπάρχει η δυνατότητα μέσω της διοικητικής ή της
δικαστικής οδού να έχουν πρόσβαση στα δεδομένα που τους αφορούν, να
εξασφαλίσουν την τροποποίηση ή τη διαγραφή τους.
Όσον αφορά το επίπεδο προστασίας που είναι ουσιαστικά
ισοδύναμο με τα θεμελιώδη δικαιώματα και τις ελευθερίες που προστατεύονται
εντός της Ένωσης, το ΔΕΕ επισήμανε ότι στο δίκαιο της Ένωσης μια ρύθμιση
δεν περιορίζεται στο αναγκαίο μέτρο όταν επιτρέπει κατά γενικό τρόπο τη
διατήρηση όλων των δεδομένων προσωπικού χαρακτήρα όλων των προσώπων των
οποίων τα δικαιώματα διαβιβάζονται από την Ένωση προς τις ΗΠΑ χωρίς
καμία διαφοροποίηση, περιορισμό ή εξαίρεση σε σχέση με τον επιδιωκόμενο
σκοπό και χωρίς να προβλέπονται αντικειμενικά κριτήρια για την οριοθέτηση
της πρόσβασης των δημόσιων αρχών στα δεδομένα και τη μεταγενέστερη χρήση
τους. Πρόσθεσε, επίσης, ότι ρύθμιση που επιτρέπει στις δημόσιες αρχές την
πρόσβαση κατά γενικευμένο τρόπο στο περιεχόμενο των ηλεκτρονικών
επικοινωνιών πρέπει να θεωρηθεί ότι προσβάλλει το ουσιαστικό περιεχόμενο
του θεμελιώδους δικαιώματος σεβασμού της ιδιωτικής ζωής.
Κατά το ΔΕΕ, ρύθμιση που δεν προβλέπει ένδικα βοηθήματα
προκειμένου ο ενδιαφερόμενος να έχει πρόσβαση στα δεδομένα προσωπικού
χαρακτήρα που τον αφορούν ή να επιτύχει την τροποποίηση ή την κατάργηση
τέτοιων δεδομένων, προσβάλλει το ουσιαστικό περιεχόμενο του θεμελιώδους
δικαιώματος αποτελεσματικής δικαστικής προστασίας, καθόσον η πρόβλεψη μιας
τέτοιας δυνατότητας είναι αναπόσπαστα συνδεδεμένη με την ύπαρξη κράτους
δικαίου. Έκρινε, λοιπόν, ότι η επίμαχη απόφαση της Επιτροπής στερεί από
τις εθνικές αρχές ελέγχου τις εξουσίες τους, σε περίπτωση που κάποιο
πρόσωπο αμφισβητεί τη συμφωνία της απόφασης με την προστασία της ιδιωτικής
ζωής και των θεμελιωδών δικαιωμάτων και ελευθεριών, αλλά η Επιτροπή δεν
είχε την αρμοδιότητα να περιορίσει κατ’ αυτόν τον τρόπο τις εξουσίες των
εθνικών αρχών ελέγχου.
Κατά συνέπεια, το ΔΕΕ αποφάνθηκε ότι η από 26 Ιουλίου 2000
απόφαση της Επιτροπής είναι ανίσχυρη. Ως εκ τούτου, η ιρλανδική αρχή
ελέγχου οφείλει να εξετάσει την καταγγελία του M. Schrems με τη δέουσα
επιμέλεια και σε αυτήν απόκειται, κατά την ολοκλήρωση της έρευνάς της,
να κρίνει αν βάσει της οδηγίας πρέπει να αναστείλει τη διαβίβαση
δεδομένων των Ευρωπαίων χρηστών του Facebook προς τις ΗΠΑ, με την
αιτιολογία ότι η χώρα αυτή δεν εξασφαλίζει ικανοποιητικό επίπεδο
προστασίας των προσωπικών δεδομένων.
Οι συνέπειες της
απόφασης
Η ανωτέρω απόφαση οδήγησε την Επιτροπή σε άμεση επανεξέταση του καθεστώτος
ασφαλούς λιμένα, με σκοπό να εξασφαλίσει στην πράξη ένα επαρκές επίπεδο
προστασίας των δεδομένων. Η Επιτροπή, λοιπόν, επιτάχυνε τις
διαπραγματεύσεις με τις ΗΠΑ για τη διαμόρφωση νέου πλαισίου διαβίβασης
προσωπικών δεδομένων. Στο πλαίσιο αυτό, ήδη στις 15 Οκτωβρίου, οι αρμόδιοι επίτροποι
συναντήθηκαν με εκπροσώπους των επιχειρήσεων και της βιομηχανίας, οι οποίοι
ζήτησαν μια σαφή και ομοιόμορφη ερμηνεία της απόφασης, καθώς και μεγαλύτερη
σαφήνεια σχετικά με τα μέσα που θα μπορούσαν να χρησιμοποιούν για τη διαβίβαση
δεδομένων. Στόχος της Επιτροπής είναι η ολοκλήρωση των συζητήσεων εντός τριών
μηνών. Στο μεταξύ, οι εταιρείες πρέπει να συμμορφωθούν με την απόφαση και να
βασίζονται σε εναλλακτικά εργαλεία διαβίβασης όπου αυτό είναι δυνατό. Η
Επιτροπή έχει εκδώσει οδηγίες
για τις δυνατότητες διαβίβασης διατλαντικών δεδομένων σύμφωνα με την απόφαση
έως ότου τεθεί σε εφαρμογή το νέο πλαίσιο. Σε επεξηγηματική ανακοίνωση αναλύονται
οι συνέπειες της απόφασης και καθορίζονται εναλλακτικοί μηχανισμοί για τη
διαβίβαση προσωπικών δεδομένων στις ΗΠΑ.
Πιο συγκεκριμένα, στη σχετική ανακοίνωση επισημαίνεται ότι η
ρύθμιση περί ασφαλούς λιμένα δεν μπορεί να αποτελεί πλέον τη νομική βάση για τη
διαβίβαση προσωπικών δεδομένων στις ΗΠΑ και ότι η Επιτροπή θα συνεχίσει και θα
ολοκληρώσει τις διαπραγματεύσεις για ένα ανανεωμένο και ασφαλές πλαίσιο για τις
διατλαντικές διαβιβάσεις προσωπικών δεδομένων, το οποίο πρέπει να πληροί τις
προϋποθέσεις της απόφασης του Δικαστηρίου, ιδίως όσον αφορά τους περιορισμούς
και τις διασφαλίσεις για την πρόσβαση των δημοσίων αρχών των ΗΠΑ σε προσωπικά
δεδομένα. Επίσης, άλλες αντίστοιχες αποφάσεις περί επαρκούς προστασίας θα
πρέπει να τροποποιηθούν, ώστε να διασφαλιστεί ότι οι εθνικές αρχές προστασίας
δεδομένων θα παραμείνουν ελεύθερες να διερευνούν καταγγελίες που ασκούνται από
ιδιώτες.
Τέλος, στην ανακοίνωση παρατίθενται και εναλλακτικές
δυνατότητες για τη διαβίβαση προσωπικών δεδομένων στις ΗΠΑ, με την επιφύλαξη
της ανεξαρτησίας και της εξουσίας των εθνικών αρχών προστασίας δεδομένων να
εξετάζουν τη νομιμότητα κάθε τέτοιας διαβίβασης. Οι επιχειρήσεις μπορούν να
διαβιβάζουν επί του παρόντος δεδομένα με βάση:
-Συμβατικές λύσεις: οι συμβατικοί κανόνες πρέπει να
επιβάλλουν την τήρηση ορισμένων υποχρεώσεων, όπως η θέσπιση μέτρων ασφαλείας, η
ενημέρωση του ατόμου το οποίο αφορούν τα δεδομένα, η παροχή διασφαλίσεων σε
περίπτωση διαβίβασης ευαίσθητων δεδομένων κ.λπ.
-Δεσμευτικούς εταιρικούς κανόνες για διαβίβαση δεδομένων
εντός του ίδιου ομίλου: οι κανόνες αυτοί επιτρέπουν την ελεύθερη κυκλοφορία
προσωπικών δεδομένων μεταξύ των διαφόρων υποκαταστημάτων πολυεθνικής εταιρείας.
Η κυκλοφορία αυτή πρέπει να εγκρίνεται από την αρχή προστασίας δεδομένων κάθε
κράτους μέλους από το οποίο η πολυεθνική εταιρεία επιθυμεί τη διαβίβαση
δεδομένων.
-Παρεκκλίσεις: αυτές προβλέπονται με σκοπό τη σύναψη
ή εκτέλεση σύμβασης, π.χ. διαβίβαση προσωπικών δεδομένων για κράτηση ξενοδοχείο
των ΗΠΑ, τη θεμελίωση, άσκηση ή υπεράσπιση νομικών αξιώσεων, καθώς και σε
περίπτωση ελεύθερης και συνειδητής συναίνεσης του ατόμου.
ΣΧΕΤΙΚΑ LINKS:
Το κείμενο της απόφασης Schrems:
Η οδηγία 95/46/ΕΚ:
Η απόφαση περί ασφαλούς λιμένα:
Οι οδηγίες εκ μέρους της Επιτροπής:
Βλ. επίσης:
http://verfassungsblog.de/the-force-awakens-the-schrems-case-from-a-german-perspective/
