Μεταφορές δεδομένων ΕΕ-ΗΠΑ

Ιστορικό

Στην ουσία, αυτή η υπόθεση αφορά μια σύγκρουση νόμων μεταξύ των νόμων επιτήρησης των ΗΠΑ που απαιτούν επιτήρηση και νόμους περί προστασίας δεδομένων της ΕΕ που απαιτούν προστασία της ιδιωτικής ζωής.

Πρόβλημα: Νόμοι επιτήρησης των ΗΠΑ

Το 2013, ο Edward Snowden αποκάλυψε δημόσια ότι οι υπηρεσίες πληροφοριών των ΗΠΑ έχουν πρόσβαση στα προσωπικά δεδομένα των ευρωπαίων χρηστών με τη βοήθεια προγραμμάτων παρακολούθησης όπως το PRISM. Αυτή η πρόσβαση διευκολύνθηκε από έναν νόμο των ΗΠΑ που δεν είναι γνωστό ότι χρησιμοποιείται για να επιτρέψει μια τέτοια ευρεία παρακολούθηση, που ονομάζεται 50 USC §1881a (ή FISA 702). Το FISA 702 εγκρίθηκε το 2008 και επέκτεινε ουσιαστικά τις επιλογές παρακολούθησης και πρόσβασης δεδομένων για τις αρχές των ΗΠΑ. Ταυτόχρονα με αυτήν την επέκταση, όλο και περισσότερα προσωπικά δεδομένα συλλέγονταν από τους παρόχους υπηρεσιών ηλεκτρονικών επικοινωνιών των ΗΠΑ (όπως η Apple, η Microsoft, το Facebook, το Google και το Yahoo). Σε συνδυασμό, αυτό οδηγεί σε ολοένα και περισσότερο επιζήμιο αντίκτυπο στην ιδιωτική ζωή των ευρωπαίων χρηστών.

Σύμφωνα με το FISA 702, οι "πάροχοι υπηρεσιών ηλεκτρονικών επικοινωνιών" των ΗΠΑ (όπως ορίζονται στο 50 USC §1881 (4) ) μπορούν να υποχρεωθούν να δώσουν στις αρχές ασφαλείας των ΗΠΑ πρόσβαση στα προσωπικά δεδομένα των "μη ΗΠΑ", τα οποία ορίζονται ως οποιοσδήποτε δεν είναι πολίτης των ΗΠΑ ή μόνιμος κάτοικος των ΗΠΑ. Οι εντολές επιτήρησης βάσει αυτού του νόμου δεν απαιτείται να είναι συγκεκριμένες για έναν μεμονωμένο στόχο, αλλά μάλλον επιτρέπουν ένα ολόκληρο πρόγραμμα παρακολούθησης γενικής χρήσης, όπως το PRISM ή το Upstream. Δεν υπάρχει εξατομικευμένη δικαστική έγκριση για άτομα εκτός των ΗΠΑ. Το FISA 702 επιτρέπει επίσης την επιτήρηση για αρκετά ευρείς σκοπούς, όπως "πληροφορίες που ... σχετίζονται με ... τη διεξαγωγή των εξωτερικών υποθέσεων των Ηνωμένων Πολιτειών" ( βλ. 50 USC §1801 (ε) ).

Υπάρχουν επίσης δυνάμεις εποπτείας των ΗΠΑ που βασίζονται στην «εγγενή εξουσία του προέδρου των ΗΠΑ» και καθορίζονται περαιτέρω σε εκτελεστική εντολή ( ΕΟ 12.333 ), ενώ άλλα στοιχεία περιγράφονται στην οδηγία για την προεδρική πολιτική 28 ( PPD-28 ). Και οι δύο είναι εσωτερικές εντολές εντός του εκτελεστικού κλάδου που δεν δημιουργούν καθήκοντα ή δικαιώματα για ιδιωτικές οντότητες, αλλά επιτρέπουν την επιτήρηση προσώπων εκτός ΗΠΑ.

Τα έγγραφα που αποκαλύφθηκαν από τον Edward Snowden απαριθμούσαν ορισμένες αμερικανικές εταιρείες που παρέχουν δεδομένα στην κυβέρνηση των ΗΠΑ για προγράμματα παρακολούθησης όπως το PRISM ή το Upstream βάσει αυτών των διατάξεων, συμπεριλαμβανομένων των Apple, Microsoft, Facebook, Google και Yahoo.

Αντίδραση: Ο GDPR περιορίζει τις μεταφορές δεδομένων

Οι ευρωπαϊκοί νόμοι περί απορρήτου (προηγουμένως η οδηγία 95/46 και τώρα ο GDPR) βασίζονται στην έννοια της ελεύθερης ροής προσωπικών δεδομένων, αλλά μόνο σε μια σφαίρα που προστατεύει το απόρρητο των χρηστών. Εάν τα προσωπικά δεδομένα προστατεύονταν μόνο εντός της Ευρωπαϊκής Ένωσης, αλλά μπορούσαν να μεταφερθούν εκτός της δικαιοδοσίας της ΕΕ χωρίς περιορισμούς, το υψηλό επίπεδο προστασίας των προσωπικών δεδομένων που απαιτείται εντός της ΕΕ θα μπορούσε εύκολα να υπονομευθεί.

Ωστόσο, η νομοθεσία της ΕΕ προέβλεπε πάντοτε ταυτόχρονα εξαιρέσεις από αυτήν την αρχή του περιορισμού των μεταφορών, όπως όταν τα προσωπικά δεδομένα πρέπει απαραίτητα να μεταφερθούν (π.χ. κατά την κράτηση υπηρεσίας στο εξωτερικό ή κατά την αποστολή email) ή όταν ένας χρήστης συναινεί ελεύθερα σε μια μεταφορά. Αυτές οι παρεκκλίσεις για μη διαρθρωτικές μεταφορές κωδικοποιούνται επί του παρόντος στο άρθρο 49 του GDPR .

Επιπλέον, η νομοθεσία της ΕΕ αναγνωρίζει ότι ενδέχεται να υπάρχουν καταστάσεις όπου εταιρείες εκτός ΕΕ παρέχουν ισοδύναμο επίπεδο προστασίας για τα προσωπικά δεδομένα. Σε ορισμένες χώρες το εθνικό δίκαιο είναι παρόμοιο με το δίκαιο της ΕΕ (π.χ. Ελβετία, Ισραήλ, Καναδάς ή Ιαπωνία) και σε άλλες χώρες οι εταιρείες μπορούν να δεσμευτούν οικειοθελώς στις αρχές της ΕΕ υπογράφοντας ρυθμίσεις αστικού δικαίου, όπως τυποποιημένες συμβατικές ρήτρες (SCC), δεσμευτικοί εταιρικοί κανόνες ή η ασπίδα προστασίας προσωπικών δεδομένων ΕΕ-ΗΠΑ. Αυτές οι τελευταίες νομικές βάσεις βρίσκονται στα άρθρα 46 έως 48 του GDPR και χρησιμοποιούνται σε μεγάλο βαθμό για καταστάσεις που περιγράφονται καλύτερα ως "εξωτερική ανάθεση" της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από εταιρείες σε χώρες εκτός ΕΕ.

Δεδομένου ότι οι ΗΠΑ δεν έχουν πανομοιότυπο ή ομοσπονδιακό νόμο περί απορρήτου, οι εταιρείες των ΗΠΑ πρέπει να βασίζονται σε μία από αυτές τις συμβατικές επιλογές στα άρθρα 46 έως 48 του GDPR για εξωτερική ανάθεση. Ωστόσο, για εταιρείες που εμπίπτουν στους νόμους επιτήρησης των ΗΠΑ, η χρήση αυτών των συμβατικών επιλογών είναι αδύνατο Στην πράξη, καθώς η νομοθεσία των ΗΠΑ απαιτεί από αυτές να παραβιάζουν τις υποχρεώσεις τους σύμφωνα με το δίκαιο της ΕΕ. Αυτό το πρόβλημα βρίσκεται στον πυρήνα όλων των περιπτώσεων μεταξύ του κ. Schrems, του Ιρλανδού Επιτρόπου Προστασίας Δεδομένων (DPC) και του Facebook, καθώς το Facebook εμπίπτει σαφώς στους νόμους επιτήρησης των ΗΠΑ και συμμετείχε σε προγράμματα όπως το PRISM, ενώ υπέγραψε αντιφατικά SCCs, Safe Harbor και τώρα Privacy Shield (η απόφαση για τη διαβίβαση δεδομένων ΕΕ-ΗΠΑ για την αντικατάσταση του Safe Harbor).

Πρώτη αναφορά στο CJEU το 2013-2015 ("Safe Harbor")

Διαδικασία ενώπιον του Ιρλανδού Επιτρόπου Προστασίας Δεδομένων (DPC)

Μετά τις γνωστοποιήσεις του Snowden, ο κ. Schrems (τότε φοιτητής της Αυστρίας) υπέβαλε καταγγελία εναντίον του Facebook Ireland Ltd ενώπιον του Ιρλανδού Επιτρόπου Προστασίας Δεδομένων (DPC). Η καταγγελία ισχυρίστηκε ότι βάσει της απόφασης 2000/520 / ΕΚ Safe Harbor ΕΕ-ΗΠΑ (εκτελεστική απόφαση της Ευρωπαϊκής Επιτροπής το 2000) τα προσωπικά δεδομένα του κ. Schrems δεν πρέπει να αποστέλλονται από την Facebook Ireland Ltd (εξυπηρετούν χρήστες Facebook εκτός των ΗΠΑ και τον Καναδά) στην Facebook Inc. (η μητρική εταιρεία των ΗΠΑ), δεδομένου ότι το Facebook πρέπει να παραχωρήσει στην Υπηρεσία Εθνικής Ασφάλειας των ΗΠΑ πρόσβαση σε τέτοια δεδομένα.

Η Ιρλανδική DPC απέρριψε την καταγγελία του κ. Schrems ως «επιπόλαιη και ενοχλητική», υποστηρίζοντας ότι το Facebook στηρίχθηκε στην απόφαση Safe Harbor για τη διενέργεια των δεδομένων τους στις ΗΠΑ. Κατά την άποψη της DPC, η Ευρωπαϊκή Επιτροπή είχε αποδεχτεί ότι ο νόμος των ΗΠΑ είναι επαρκής στην απόφαση από το 2000 (8 χρόνια πριν από την έγκριση των 50 USC § 1881a) και ότι η DPC δεσμεύθηκε απολύτως από την απόφαση της Επιτροπής.

Δικαστικός έλεγχος κατά του DPC

Τον Οκτώβριο του 2013, ο κ. Schrems υπέβαλε αίτηση για δικαστική επανεξέταση της απόφασης DPC, υποστηρίζοντας ότι το DPC θα μπορούσε να χρησιμοποιήσει μια «ρήτρα έκτακτης ανάγκης» στην απόφαση Safe Harbour για την αναστολή της μεταφοράς δεδομένων και ότι, εν πάση περιπτώσει, η απόφαση Safe Harbor ήταν άκυρη. Σε απόφαση της 18.6.2014 [2014] IEHC 310, το ιρλανδικό Ανώτατο Δικαστήριο σταμάτησε τη διαδικασία και παρέπεμψε την υπόθεση στο Δικαστήριο της Ευρωπαϊκής Ένωσης (ΔΕΕ). Το ιρλανδικό Ανώτατο Δικαστήριο συμφώνησε σε μεγάλο βαθμό για το γεγονός ότι υπάρχει "μαζική επιτήρηση" σύμφωνα με τη νομοθεσία των ΗΠΑ, αλλά έκρινε ότι δεν μπορούσε να λάβει τελική απόφαση για την υπόθεση του κ. Schrems χωρίς να καθορίσει πρώτα την εγκυρότητα της απόφασης Safe Harbor. Σύμφωνα με το δίκαιο της ΕΕ μόνο το CJEU μπορεί να αποφασίζει για την εγκυρότητα των πράξεων της ΕΕ, όπως η απόφαση Safe Harbor, πράγμα που σήμαινε ότι το ιρλανδικό Ανώτατο Δικαστήριο έπρεπε να παραπέμψει την υπόθεση στο CJEU.

Απόφαση του ΔΕΕ στις 6 Οκτωβρίου 2015 (C-362/14)

Σε μια πρωτοποριακή απόφαση (C-362/14 Schrems ), το CJEU κήρυξε την απόφαση Safe Harbor άκυρη, ακολουθώντας σε μεγάλο βαθμό τα επιχειρήματα του κ. Schrems. Το Δικαστήριο έκρινε ότι μια τρίτη χώρα, όπως οι ΗΠΑ, πρέπει να παρέχει ένα « ουσιαστικά ισοδύναμο » επίπεδο προστασίας με αυτό που παρέχεται από το δίκαιο της ΕΕ και ότι «η νομοθεσία που επιτρέπει στις δημόσιες αρχές να έχουν πρόσβαση σε γενικευμένη βάση » παραβίασε την ουσία του θεμελιώδους χαρακτήρα της ΕΕ δικαίωμα στην ιδιωτική ζωή σύμφωνα με το άρθρο 7 του Χάρτη Θεμελιωδών Δικαιωμάτων της ΕΕ (ΚΠΑ). Ομοίως, η έλλειψη νομικής προσφυγής στις ΗΠΑ για άτομα εκτός των ΗΠΑ παραβιάζει το θεμελιώδες δικαίωμα δικαστικής προσφυγής σύμφωνα με το άρθρο 47 του ΚΠΑ.

Μετά την απόφαση του CJEU, το ιρλανδικό Ανώτατο Δικαστήριο ολοκλήρωσε τη διαδικασία στα ιρλανδικά δικαστήρια, καθώς το DPC δεσμεύθηκε να εφαρμόσει γρήγορα την απόφαση του CJEU.

Δεύτερη αναφορά στο CJEU το 2015-20 (SCCs & Privacy Shield)

Πληροφορίες που το Facebook βασίστηκε πραγματικά στα SCC

Προς μεγάλη έκπληξη του κ. Schrems, τον Νοέμβριο του 2015, το DPC τον ενημέρωσε ότι η απόφαση του CJEU σχετικά με την απόφαση του Safe Harbor δεν είχε σχέση με την αρχική του καταγγελία, επειδή το Facebook στηριζόταν πάντοτε στις λεγόμενες «Τυπικές συμβατικές ρήτρες». (SCC) για να πραγματοποιήσουν τις μεταφορές δεδομένων τους. Το DPC δεν είχε αποκαλύψει αυτές τις πληροφορίες στον κ. Schrems, κάνοντάς τον να πιστέψει ότι το Facebook βασίστηκε στο Safe Harbour, παρά τη λήψη αυτών των πληροφοριών από το Facebook ήδη σε απάντηση μέσω email στην καταγγελία το 2013.

Κατά συνέπεια, ο κ. Schrems αναδιατύπωσε την καταγγελία του για να συμπεριλάβει τώρα τα SCC και οποιαδήποτε άλλη νομική βάση για τη μεταφορά δεδομένων που θα μπορούσε να βασιστεί στο Facebook και παρείχε στο DPC μια ενημερωμένη καταγγελία την 1η Δεκεμβρίου 2015 . Ο κ. Schrems υποστήριξε ότι το DPC πρέπει να χρησιμοποιήσει το άρθρο 4 της απόφασης SCC για την αναστολή των μεταφορών, δεδομένου ότι το άρθρο 4 επιτρέπει στο DPC να αναστείλει τη μεταφορά δεδομένων σε περίπτωση παραβίασης των θεμελιωδών δικαιωμάτων των χρηστών.

Αγωγή από το DPC εναντίον του Facebook και του κ. Schrems

Αντί να αποφασίσει γρήγορα για την υπόθεση, το DPC υπέβαλε εκπληκτικά αγωγή εναντίον της Facebook Ireland Ltd και του κ. Schrems λίγο μετά την έναρξη της «έρευνας» για την αναδιατυπωμένη καταγγελία που αφορούσε τα δύο μέρη. Κατά την άποψη του DPC, τα δύο μέρη ήταν οι «φυσικοί κατηγορούμενοι» στην παρούσα υπόθεση, και το DPC αναγκάστηκε να καλέσει το Ανώτατο Δικαστήριο να εκδώσει άλλη παραπομπή στο Δικαστήριο της ΕΕ. Ο κ. Schrems αμφισβήτησε την υπόθεση, υποστηρίζοντας ότι το DPC μπορεί να παραπέμψει στο CJEU μόνο για δεύτερη φορά μετά τη διερεύνηση όλων των γεγονότων και ζητημάτων.

Πολλοί διάδικοι ζήτησαν να ενταχθούν ως amicus (ουδέτεροι βοηθοί του δικαστηρίου) στην υπόθεση η κυβέρνηση των ΗΠΑ, το EPIC.org και δύο ομάδες λόμπι της βιομηχανίας ενώθηκαν σε αυτήν.

Στην αγωγή, το DPC υποστήριξε ότι δεν θα συμμετείχε μόνο στις απόψεις του κ. Schrems στις ανησυχίες του σχετικά με τον νόμο επιτήρησης των ΗΠΑ, αλλά, πέρα από αυτό, είχε επίσης σοβαρές ανησυχίες σχετικά με την εγκυρότητα των SCC που χρησιμοποιεί το Facebook. Το DPC έκρινε ότι τα SCC δεν προβλέπουν νόμιμο μηχανισμό μεταφοράς δεδομένων, εάν μια τρίτη χώρα όπως οι ΗΠΑ έχει εκδώσει νόμους που έρχονται σε διένεξη με τα SCC. Το Facebook και ο κ. Schrems δεν ασχολήθηκαν με τα ίδια τα SCC και συμφώνησαν ότι σε μια τέτοια περίπτωση το άρθρο 4 της απόφασης SCC (ΕΕ) 2010/87 θα επέτρεπε τη λύση.

Σε αντίθεση με τον κ. Schrems και το DPC, το Facebook δεν αντιμετώπισε κανένα πρόβλημα με τους νόμους επιτήρησης των ΗΠΑ και έκρινε ότι η ΕΕ δεν έχει δικαιοδοσία για θέματα «εθνικής ασφάλειας». Το Facebook βασίστηκε επίσης στην Απόφαση Ασπίδας Προστασίας Προσωπικών Δεδομένων (ΕΕ) 2016/1250 από την Ευρωπαϊκή Επιτροπή, η οποία αντικατέστησε την ακυρωμένη απόφαση Safe Harbor. Σε αυτήν την απόφαση, η Ευρωπαϊκή Επιτροπή διαπίστωσε ότι δεν υπάρχει σύγκρουση μεταξύ των νόμων επιτήρησης των ΗΠΑ και των θεμελιωδών δικαιωμάτων της ΕΕ. Σύμφωνα με το Facebook, αυτό το εύρημα στην απόφαση Privacy Shield πρέπει επίσης να ισχύει για μεταφορές βάσει των SCC. Ο κ. Schrems έκρινε ότι η ίδια η απόφαση για την προστασία της ιδιωτικής ζωής είναι άκυρη, καθώς ουσιαστικά παραπλανά τους νόμους περί επιτήρησης των ΗΠΑ και, ως εκ τούτου, δεν είναι αρμόδια να ερμηνεύσει τα SCC.

Μετά από αρκετά διαδικαστικά βήματα και περισσότερες από πέντε εβδομάδες ακροάσεων με πολλούς ειδικούς μάρτυρες σχετικά με το νόμο περί επιτήρησης των ΗΠΑ, το ιρλανδικό Ανώτατο Δικαστήριο αναγνώρισε την ύπαρξη προγραμμάτων μαζικής παρακολούθησης από την κυβέρνηση των ΗΠΑ. Σε απόφαση της 3ης Οκτωβρίου 2017 [2017] IEHC 545 , το Ιρλανδικό Ανώτατο Δικαστήριο συνόψισε όλα τα πραγματικά περιστατικά, επισημαίνοντας ότι οι ΗΠΑ διεξάγουν "μαζική επεξεργασία" προσωπικών δεδομένων, όταν, για παράδειγμα, φιλτράρουν ολόκληρη την κίνηση στο Διαδίκτυο που διατρέχει τμήματα του Διαδικτύου σπονδυλική στήλη. Στις 13 Απριλίου 2018, υπέβαλε έντεκα ερμηνευτικές ερωτήσεις στο CJEU για προσδιορισμό. Οι ερωτήσεις συντάχθηκαν σε μεγάλο βαθμό από το DPC.

Μετά την αναφορά, το Facebook ζήτησε από το Ανώτατο Δικαστήριο της Ιρλανδίας να προσπαθήσει να σταματήσει την αναφορά από το Ανώτατο Δικαστήριο, αλλά η έφεση απορρίφθηκε τελικά στις 31 Μαΐου 2019 .

Διαδικασία ενώπιον του CJEU (C-311/18)

Στις 30 Αυγούστου 2018 τα μέρη έπρεπε να υποβάλουν τις γραπτές παρατηρήσεις τους.

Στις 19 Ιουλίου 2019, το ΔΕΕ άκουσε την υπόθεση ενώπιον του Μεγάλου Επιμελητηρίου (η μεγαλύτερη σύνθεση του Δικαστηρίου, με 15 δικαστές) , ακρόαση των τριών διαδίκων, των τεσσάρων amicus , της Ευρωπαϊκής Επιτροπής, του Ευρωπαϊκού Κοινοβουλίου, του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων ( EDPB), και ένας μεγάλος αριθμός κυβερνήσεων των κρατών μελών της ΕΕ. Οι ερωτήσεις των δικαστών επικεντρώθηκαν συγκεκριμένα σε ζητήματα που αφορούν τους νόμους επιτήρησης των ΗΠΑ και την εγκυρότητα της απόφασης της ασπίδας προστασίας.

Στις 19 Δεκεμβρίου 2019, ο γενικός εισαγγελέας (AG) του Δικαστηρίου εξέδωσε τη μη δεσμευτική συμβουλευτική γνώμη του για την υπόθεση, ενώνοντας σε μεγάλο βαθμό τη θέση του κ. Schrems. Σύμφωνα με τη γνώμη, οι νόμοι επιτήρησης των ΗΠΑ είναι ασυμβίβαστοι με τα θεμελιώδη δικαιώματα της ΕΕ, αλλά η λύση στο ασυμβίβαστο έγκειται στο DPC που διατάζει την αναστολή της διαβίβασης δεδομένων σύμφωνα με το άρθρο 4 της απόφασης SCC. Ενώ η AG επέκρινε ρητά την Απόφαση για την Ασπίδα Προστασίας Προσωπικών Δεδομένων, έκρινε ότι το ζήτημα της εγκυρότητάς του δεν αποτελεί αναπόσπαστο μέρος της υπόθεσης.

Η τελική απόφαση επί του θέματος από το CJEU θα εκδοθεί στις 16 Ιουλίου 2020 από τις 09:30 CET περίπου.