Την Τρίτη 9 και Τετάρτη 10 Ιουλίου έλαβε χώρα η ακρόαση μίας πολύ σημαντικής υπόθεσης για την προστασία των προσωπικών δεδομένων ενώπιον του Τμήματος Μείζονος Συνθέσεως του Δικαστηρίου της Ευρωπαϊκής Ένωσης στο Λουξεμβούργο.
Η υπόθεση είναι γνωστή ως “Schrems II”, έχοντας λάβει το όνομα του ενάγοντος Max Schrems. Ο Max Schrems είναι ιδρυτής μίας από τις μεγαλύτερες οργανώσεις ψηφιακών δικαιωμάτων στην Ευρώπη, της noyb, η οποία εδρεύει στη Βιέννη. Δεν είναι η πρώτη φορά που γίνεται ακρόαση υπόθεσης από το Δικαστήριο της Ευρωπαϊκής Ένωσης με ενάγοντα τον κ. Schrems. Στην υπόθεση Schrems I (C-362/14), το Δικαστήριο έκρινε ότι οι μεταφορές προσωπικών δεδομένων στις ΗΠΑ υπό το καθεστώς “Safe Harbor”, το οποίο εφαρμοζόταν, δεν παρείχε ένα επαρκές επίπεδο ασφαλείας. Συνεπώς, οι μεταφορές δεδομένων υπό το καθεστώς αυτό ήταν παράνομες.
Σε απάντηση αυτής της απόφασης, η Ευρωπαϊκή Επιτροπή σε συνεργασία με την κυβέρνηση των ΗΠΑ δημιούργησαν ένα νέο πλαίσιο για τη μεταφορά δεδομένων μεταξύ ΕΕ και ΗΠΑ. Το πλαίσιο αυτό ονομάστηκε “Privacy Shield”.
Ο κ. Schrems στράφηκε εκ νέου κατά του πλαισίου “Privacy Shield”, υποστηρίζοντας ότι ούτε αυτό παρέχει επαρκές επίπεδο ασφαλείας για τα προσωπικά δεδομένα που διαβιβάζονται μεταξύ ΕΕ και ΗΠΑ.
Ο κ. Schrems κάνει δηλώσεις στα ΜΜΕ μετά το τέλος της ακροαματικής διαδικασίας
Ποια είναι τα κύρια σημεία της υπόθεσης;
– Η υπόθεση αφορά όλες τις διαβιβάσεις δεδομένων μεταξύ ΕΕ και ΗΠΑ; Όχι, αφορά μόνο τις διαβιβάσεις δεδομένων που υπόκεινται σε «μαζική παρακολούθηση». Στις περισσότερες περιπτώσεις, υπάρχουν απλοί τρόποι για να αποφευχθεί η μαζική παρακολούθηση και πολλοί παραγωγικοί κλάδοι (τραπεζικός, αεροπορικός, εμπόριο) δεν υπόκεινται σε τέτοιου τύπου νομοθετικό πλαίσιο. Η καταγγελία του κ. Schrems αφορά αποκλειστικά στη Facebook, η οποία σύμφωνα με τα έγγραφα που έφερε στη δημοσιότητα ο Edward Snowden το 2013, συνεισφέρει στη μαζική παρακολούθηση που διεξάγει η Αμερικάνικη Υπηρεσία Ασφαλείας NSA, με βάση το πρόγραμμα “PRISM”.
– Είναι όλες οι διαβιβάσεις δεδομένων στις ΗΠΑ προβληματικές; Όχι. Τόσο το δίκαιο των ΗΠΑ όσο και τις ΕΕ ξεκαθαρίζουν ότι υπάρχει σημαντική διαφοροποίηση ανάμεσα στις αναγκαίες διαβιβάσεις και στις μη αναγκαίες διαβιβάσεις, που γίνονται απλώς για επιχειρηματικούς λόγους (“outsourcing”).
– Τι σημαίνει αυτό; Θα μπορούμε να συνεχίσουμε να στέλνουμε emails στις ΗΠΑ ή να κλείνουμε αεροπορικά εισιτήρια; Φυσικά! Το άρθρο 49 του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR) προβλέπει «εξαιρέσεις», οι οποίες επιτρέπουν όλες τις διαβιβάσεις δεδομένων αν, για παράδειγμα, είναι αναγκαίες για την εκτέλεση μίας σύμβασης ή αν ο χρήστης έχει συγκαταθέσει ρητά στη διαβίβαση.
Για παράδειγμα, είναι απαραίτητο ένα email να σταλεί στις ΗΠΑ αν ο παραλήπτης βρίσκεται εκεί, αλλά δεν είναι απαραίτητο να αποστέλονται emails μέσω των ΗΠΑ, αν τόσο ο αποστολέας όσο και ο παραλήπτης βρίσκονται στην ΕΕ, απλώς και μόνο επειδή ο server βρίσκεται στις ΗΠΑ.
– Άρα τι είδους διαβιβάσεις θα πρέπει να σταματήσουν; Κατά βάση θα πρέπει να σταματήσει η ανάθεση επεξεργασίας δεδομένων σε τρίτους εκτός ΕΕ (outsourcing), εφόσον αυτή η επεξεργασία μπορεί να γίνει στην ΕΕ ή σε άλλες χώρες, οι οποίες παρέχουν υψηλό επίπεδο προστασίας για τα προσωπικά δεδομένα.
Ιστορικό της υπόθεσης
Η υπόθεση επικεντρώνεται σε μια καταγγελία από τον δικηγόρο προστασίας προσωπικών δεδομένων Max Schrems κατά του Facebook το 2013. Πριν από έξι χρόνια, ο Edward Snowden αποκάλυψε ότι το Facebook επιτρέπει στις αμερικανικές υπηρεσίες πληροφοριών να έχουν πρόσβαση σε προσωπικά δεδομένα των Ευρωπαίων υπό προγράμματα επιτήρησης όπως το PRISM. Η καταγγελία επιδιώκει να σταματήσει τις διαβιβάσεις δεδομένων του Facebook από ΕΕ- ΗΠΑ.
Μέχρι στιγμής, ο Ιρλανδός Επίτροπος για την Προστασία Δεδομένων δεν έχει προβεί σε συγκεκριμένες ενέργειες για να σταματήσει τις εν λόγω διαβιβάσεις.
Πρώτη απόρριψη και απόφαση ΔΕΕ σχετικά με το Safe Harbor
Η υπόθεση απορρίφθηκε για πρώτη φορά από τον Ιρλανδό Επίτροπο Προστασίας Δεδομένων (DPC) το 2013, κατόπιν υποβλήθηκε σε δικαστικό έλεγχο στην Ιρλανδία και παραπέμφθηκε στο Δικαστήριο της Ευρωπαϊκής Ένωσης (ΔΕΕ). Το ΔΕΕ αποφάνθηκε το 2015 ότι η λεγόμενη συμφωνία Safe Harbor που επέτρεπε τη μεταφορά δεδομένων ΕΕ-ΗΠΑ ήταν άκυρη και ότι ο Ιρλανδός Επίτροπος έπρεπε να διερευνήσει την υπόθεση, τo οποίο αρχικά είχε αρνηθεί.
Πληροφορίες σχετικά με τη χρήση των “τυποποιημένων συμβατικών ρητρών”
Παραδόξως, ο Ιρλανδός Επίτροπος ενημέρωσε τον κ. Schrems στα τέλη του 2015 ότι το Facebook στην πραγματικότητα δεν είχε ποτέ βασιστεί στη συμφωνία του Safe Harbor η οποία ακυρώθηκε, αλλά στηρίχθηκε ήδη το 2013 στις “τυποποιημένες συμβατικές ρήτρες” (άλλος μηχανισμός μεταφοράς δεδομένων από την ΕΕ προς τις ΗΠΑ). Αυτή η εξέλιξη κατέστησε την πρώτη απόφαση του ΔΕΕ άνευ σημασίας για την υπόθεση.
Δεύτερη έρευνα και αγωγή
Ο κ. Schrems προσάρμοσε την καταγγελία του στις διαβιβάσεις που έγιναν σύμφωνα με τις «τυποποιημένες συμβατικές ρήτρες» και ζήτησε τη λήξη των διαβιβάσεων δεδομένων στο Facebook ΗΠΑ, με βάση το επιχείρημα ότι η εν λόγω εταιρεία δίνει πρόσβαση στα δεδομένα στην Αμερικάνικη Υπηρεσία Ασφαλείας NSA. Η έρευνα του Ιρλανδού Επιτρόπου διήρκεσε μόνο δύο μήνες: από τον Δεκέμβριο του 2015 έως την άνοιξη του 2016. Αντί να αποφασίσει για την καταγγελία, ο Επίτροπος κατέθεσε αγωγή κατά της Facebook και του κ. Schrems (και οι δύο κατηγορούνται τώρα) στο ιρλανδικό ανώτατο δικαστήριο το 2016, με σκοπό να υποβάλει περαιτέρω ερωτήσεις στο ΔΕΕ. Μετά από περισσότερες από έξι εβδομάδες ακροάσεων που πραγματοποιήθηκαν κατά κύριο λόγο το 2017, το Ανώτατο Δικαστήριο της Ιρλανδίας διαπίστωσε ότι η αμερικανική κυβέρνηση ασχολείται με τη “μαζική επεξεργασία” προσωπικών δεδομένων Ευρωπαίων πολιτών και υπέβαλε στο ΔΕΕ έντεκα ερωτήσεις για δεύτερη φορά το 2018. Το ΔΕΕ καλείται πλέον να απαντήσει στα ερωτήματα αυτά.
Επόμενα βήματα
Το ΔΕΕ ανέφερε την υπόθεση στο πλαίσιο της υπόθεσης C-311/18 και μία δεύτερη ακρόαση έγινε στις 9 και 10 Ιουλίου 2019 – περίπου έξι χρόνια από την κατάθεση της αρχικής καταγγελίας. Η απόφαση αναμένεται πριν από το τέλος του έτους. Μετά την απόφαση του ΔΕΕ, ο Ιρλανδός Επίτροπος θα πρέπει τελικά να αποφασίσει για την καταγγελία του κ. Schrems. Η απόφαση μπορεί και πάλι να προσβληθεί με προσφυγές της Facebook ή του κ. Schrems.
Η Homo Digitalis είναι ιδιαίτερα χαρούμενη, καθώς η Μαριλίζα Μπάκα, μέλος της οργάνωσής μας και ασκούμενη δικηγόρος στη noyb, βρίσκεται αυτές τις ημέρες στο Δικαστήριο της Ευρωπαϊκής Ένωσης στο Λουξεμβούργο και παρακολουθεί την εξέλιξη της υπόθεσης κατά την ακροαματική διαδικασία.
Θα σας ενημερώσουμε για οποιαδήποτε εξέλιξη στην πολύ σημαντική αυτή υπόθεση.
Η ομάδα της noyb στο Δικαστήριο της Ευρωπαϊκής Ένωσης. Πρώτη από δεξιά η Μαριλίζα Μπάκα