Μία σημαντική απόφαση, που μπορεί να λάβει μεγάλες προεκτάσεις, πήρε χθες το Ευρωπαϊκό Δικαστήριο, κρίνοντας ως “ανίσχυρο” το νομικό πλαίσιο, που επιτρέπει τη μεταφορά δεδομένων προσωπικού χαρακτήρα από τις Ε.Ε. προς τις ΗΠΑ. Με την απόφασή του, το Δικαστήριο έκρινε μη ισχύουσα τη βάση της συμφωνίας Ε.Ε. και ΗΠΑ για ανταλλαγή στοιχείων ηλεκτρονικών επικοινωνιών. Η συγκεκριμένη απόφαση αφορά τη δημοφιλή ιστοσελίδα κοινωνικής δικτύωσης Facebook, ωστόσο δεν αποκλείεται να λάβει ευρύτερες διαστάσεις σε ό,τι αφορά την ανταλλαγή δεδομένων προσωπικού χαρακτήρα ανάμεσα στις δύο πλευρές του Ατλαντικού.

Το Δικαστήριο κρίνει ότι η παλαιότερη απόφαση της Επιτροπής, σύμφωνα με την οποία οι ΗΠΑ εξασφαλίζουν ικανοποιητικό επίπεδο προστασίας των διαβιβαζόμενων δεδομένων προσωπικού χαρακτήρα, είναι άκυρηΣτην ουσία, με την απόφασή του, το Ευρωπαϊκό Δικαστήριο αποφαίνεται ότι ένας χρήστης μπορεί να ζητήσει την αναστολή της διαβίβασης δεδομένων του στις ΗΠΑ. Και αυτό καθώς, το Δικαστήριο θεωρεί “άκυρη” προηγούμενη απόφαση της Ευρωπαϊκής Επιτροπής, με την οποία η τελευταία είχε θεωρήσει από το 2000 τις ΗΠΑ ως “ψηφιακά ασφαλή” περιοχή, κρίνοντας ότι εξασφαλίζουν “κατάλληλο επίπεδο προστασίας” των μεταφερόμενων δεδομένων προσωπικού χαρακτήρα.

“Η ύπαρξη μιας απόφασης της Επιτροπής, που δηλώνει πως μια τρίτη χώρα εξασφαλίζει ένα κατάλληλο επίπεδο προστασίας των μεταφερόμενων δεδομένων προσωπικού χαρακτήρα, δεν μπορεί να ακυρώσει, ούτε να μειώσει τις εξουσίες, που διαθέτουν οι εθνικές ελεγκτικές αρχές”, έκρινε το Δικαστήριο.

Σύμφωνα με το σκεπτικό, παρ’ ότι το Δικαστήριο είναι το μόνο αρμόδιο να κηρύξει το ανίσχυρο μιας πράξης της Ένωσης, οι εθνικές αρχές ελέγχου - όταν επιλαμβάνονται σχετικής αιτήσεως, ακόμη και στην περίπτωση, που υφίσταται απόφαση της Επιτροπής, κατά την οποία τρίτη χώρα εξασφαλίζει ικανοποιητικό επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα - μπορούν να εξετάσουν αν η διαβίβαση δεδομένων ενός προσώπου προς τη χώρα αυτή είναι σύμφωνη προς τις απαιτήσεις της νομοθεσίας της Ένωσης σχετικά με την προστασία των εν λόγω δεδομένων.

Επίσης, μπορούν και να προσφύγουν, όπως και ο ενδιαφερόμενος, ενώπιον των εθνικών δικαστηρίων, ώστε τα δικαστήρια αυτά να υποβάλουν προδικαστικό ερώτημα, προκειμένου να εξετασθεί το κύρος της εν λόγω απόφασης.

Η προσφυγή
Ο Maximillian Schrems, Αυστριακός υπήκοος, χρησιμοποιεί το Facebook από το 2008. Όπως ισχύει και για τους λοιπούς χρήστες του Facebook που κατοικούν στην Ένωση, τα δεδομένα που παρέχει ο M. Schrems στο Facebook διαβιβάζονται, εν όλω ή εν μέρει, από την ιρλανδική θυγατρική της Facebook σε διακομιστές, που βρίσκονται στις Ηνωμένες Πολιτείες, όπου τα δεδομένα αυτά αποτελούν αντικείμενο επεξεργασίας.

Ο M. Schrems υπέβαλε καταγγελία στην ιρλανδική αρχή ελέγχου, θεωρώντας ότι βάσει των αποκαλύψεων, στις οποίες προέβη το 2013 ο Edward Snowden σχετικά με τις δραστηριότητες των υπηρεσιών πληροφοριών των Ηνωμένων Πολιτειών (ιδίως της National Security Agency, NSA), η νομοθεσία και οι πρακτικές των Ηνωμένων Πολιτειών δεν παρέχουν ικανοποιητική προστασία από την παρακολούθηση - εκ μέρους των δημοσίων αρχών - των δεδομένων που διαβιβάζονται προς τις Ηνωμένες Πολιτείες. Η ιρλανδική αρχή ελέγχου απέρριψε την καταγγελία, με την αιτιολογία ότι η Επιτροπή, στην από 26 Ιουλίου 2000 απόφαση της, έκρινε ότι, στο πλαίσιο του καθεστώτος “ασφαλούς λιμένα”, οι ΗΠΑ εξασφαλίζουν ικανοποιητικό επίπεδο προστασίας στα διαβιβαζόμενα δεδομένα προσωπικού χαρακτήρα.

Το ιστορικό
Όπως αναφέρει το Δικαστήριο στην απόφασή του, η Οδηγία για την επεξεργασία δεδομένων προσωπικού χαρακτήρα ορίζει ότι η διαβίβαση των δεδομένων αυτών προς τρίτη χώρα, κατ’ αρχήν επιτρέπεται μόνον εφόσον η εν λόγω χώρα εξασφαλίζει ικανοποιητικό επίπεδο προστασίας των δεδομένων. Κατά την ίδια Οδηγία, η Επιτροπή μπορεί να διαπιστώσει ότι τρίτη χώρα, λόγω της εθνικής της νομοθεσίας ή διεθνών δεσμεύσεων που έχει αναλάβει, εξασφαλίζει ικανοποιητικό επίπεδο προστασίας.

Τέλος, η Οδηγία προβλέπει ότι κάθε κράτος - μέλος ορίζει μία ή περισσότερες δημόσιες αρχές υπεύθυνες για τον έλεγχο της εφαρμογής, εντός του συγκεκριμένου κράτους, των εθνικών διατάξεων που θεσπίζονται βάσει της οδηγίας αυτής (εθνικές αρχές ελέγχου).

Η απόφαση
Το Δικαστήριο κρίνει, καταρχάς, ότι καμία διάταξη της οδηγίας δεν εμποδίζει τις εθνικές αρχές να ελέγχουν τη διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τις τρίτες χώρες, για τις οποίες έχει εκδοθεί απόφαση της Επιτροπής. Έτσι, ακόμη κι όταν έχει εκδοθεί απόφαση της Επιτροπής, οι εθνικές αρχές ελέγχου στις οποίες έχει υποβληθεί σχετική αίτηση πρέπει να μπορούν να εξετάσουν αμερόληπτα, αν η διαβίβαση των δεδομένων κάποιου προσώπου προς τρίτη χώρα πληροί τους όρους, που θέτει η οδηγία. Το Δικαστήριο υπενθυμίζει, όμως, ότι είναι το μόνο αρμόδιο να διαπιστώσει την ακυρότητα πράξεως της Ένωσης, όπως της αποφάσεως της Επιτροπής.

Κατά συνέπεια, όταν εθνική αρχή ή το ίδιο το πρόσωπο, που απευθύνεται στην εθνική αρχή, θεωρεί ότι η απόφαση της Επιτροπής είναι άκυρη, η εν λόγω αρχή ή το εν λόγω πρόσωπο πρέπει να έχει τη δυνατότητα να προσφύγει ενώπιον των εθνικών δικαστικών αρχών ώστε, σε περίπτωση που και αυτές συμμερίζονται τις αμφιβολίες ως προς το κύρος της αποφάσεως της Επιτροπής, να μπορούν να παραπέμψουν την υπόθεση στο Δικαστήριο. Επομένως, το Δικαστήριο είναι αυτό στο οποίο απόκειται, τελικά, να κρίνει το κύρος μιας αποφάσεως της Επιτροπής.