Το ΔΕΕ ακυρώνει την Ασπίδα Ιδιωτικότητας (“Privacy Shield”) στην υπόθεση της Επιτήρησης από τις ΗΠΑ. Οι τυποποιημένες συμβατικές ρήτρες (“SCCs”) δεν μπορούν να χρησιμοποιηθούν από το Facebook και παρόμοιες εταιρείες.
Το Facebook και παρόμοιες εταιρείες δεν θα μπορούν επίσης να χρησιμοιποιούν τις τυποποιημένες συμβατικές ρήτρες για τη μεταφορά δεδομένων εφόσον η Αρχή Προστασίας Δεδομένων πρέπει να σταματήσει τις μεταφορές δεδομένων που εκτελούνται με αυτό το εργαλείο. Schrems: «Χρειαζόμαστε μεταρρύθμιση της επιτήρησης που γίνεται από τις ΗΠΑ. Το Δικαστήριο διευκρίνισε ότι δεν μπορεί να πραγματοποιηθεί καμία μεταφορά δεδομένων κατά παράβαση του δικαίου της ΕΕ.»
Η πρώτη αντίδραση του Max Schrems (προέδρου της noyb.eu και διαδίκου στην υπόθεση) στην απόφαση:
Schrems: «Είμαι πολύ χαρούμενος για την απόφαση. Φαίνεται ότι το Δικαστήριο μας ακολούθησε σε όλες τις πτυχές. Αυτό αποτελεί πλήρες πλήγμα για τον Ιρλανδό Επίτροπο Προστασίας Δεδομένων και το Facebook. Είναι σαφές ότι οι ΗΠΑ θα πρέπει να προβούν σε σοβαρές αλλαγές των νόμων τους σχετικά με την επιτήρηση, εάν οι αμερικανικές εταιρείες θέλουν να συνεχίσουν να παίζουν καθοριστικό ρόλο στην αγορά της ΕΕ. "
Η μεταρρύθμιση στην επιτήρηση από τις ΗΠΑ είναι αναπόφευκτη – το ΔΕΕ το εκφράζει φωναχτά
Το Δικαστήριο ήταν σαφές ότι οι εκτεταμένοι νόμοι των ΗΠΑ περί επιτήρησης έρχονται σε σύγκρουση με τα θεμελιώδη δικαιώματα της ΕΕ. Οι ΗΠΑ περιορίζουν τις περισσότερες προστασίες σε «άτομα των ΗΠΑ», αλλά δεν προστατεύουν δεδομένα ξένων πελατών εταιρειών των ΗΠΑ από την Εθνική Υπηρεσία Ασφάλειας. Δεδομένου ότι δεν υπάρχει τρόπος να ανακαλύψεις ότι εσύ ή η επιχείρησή σου είναι υπό επιτήρηση, δεν έχεις επίσης την επιλογή να πας στα δικαστήρια. Το ΔΕΕ διαπίστωσε παραβίαση της «ουσίας» συγκεκριμένων θεμελιωδών δικαιωμάτων της ΕΕ.
Schrems: «Το Δικαστήριο διευκρίνισε για δεύτερη φορά τώρα ότι υπάρχει σύγκρουση μεταξύ του Ευρωπαϊκού δικαίου περί προστασίας της ιδιωτικής ζωής και του Αμερικανικού νόμου περί επιτήρησης. Δεδομένου ότι η ΕΕ δεν θα αλλάξει τα θεμελιώδη δικαιώματά της για να ικανοποιήσει την NSA, ο μόνος τρόπος για να ξεπεραστεί αυτή η σύγκρουση είναι οι ΗΠΑ να εισάγουν ισχυρά δικαιώματα προστασίας της ιδιωτικής ζωής για όλους τους ανθρώπους - συμπεριλαμβανομένων των αλλοδαπών. Έτσι, η μεταρρύθμιση της εποπτείας καθίσταται κρίσιμη για τα επιχειρηματικά συμφέροντα της Silicon Valley.»
«Αυτή η απόφαση δεν αποτελεί την αιτία του περιορισμού στις μεταφορές δεδομένων, αλλά τη συνέπεια των νόμων των ΗΠΑ περί επιτήρησης. Δεν μπορείς να κατηγορήσεις το Δικαστήριο επειδή είπε το αναπόφευκτο - όταν πέφτουν σκατά στον ανεμιστήρα, δεν μπορείς να κατηγορήσεις τον ανεμιστήρα.»
Η Ευρωπαϊκή Επιτροπή ενέδωσε στις πιέσεις των ΗΠΑ
Η απόφαση καθιστά επίσης σαφές ότι η Ευρωπαϊκή Επιτροπή δεν προέβη σε ενδελεχή και ακριβή αξιολόγηση των νόμων των ΗΠΑ περί επιτήρησης υπό την Ασπίδα Ιδιωτικότητας. Αντ’ αυτού, ενέδωσε στην πίεση των ΗΠΑ εγκρίνοντας την Ασπίδα Ιδιωτικότητας.
Ο Herwig Hofmann, καθηγητής νομικής στο Πανεπιστήμιο του Λουξεμβούργου και ένας από τους δικηγόρους υπεράσπισης των υποθέσεων του Schrems ενώπιον του ΔΕΕ: «Το ΔΕΕ ακύρωσε τη δεύτερη απόφαση της Επιτροπής που παραβιάζει τα θεμελιώδη δικαιώματα προστασίας δεδομένων της ΕΕ. Δεν μπορεί να υπάρξει μεταφορά δεδομένων σε μια χώρα που παρουσιάζει μορφές μαζικής επιτήρησης. Εφόσον ο νόμος των ΗΠΑ δίνει στην κυβέρνησή του τις εξουσίες να συλλέξει δεδομένα της ΕΕ που διαβιβάζονται στις ΗΠΑ, τέτοια εργαλεία θα ακυρώνονται ξανά και ξανά. Η αποδοχή από την Επιτροπή των αμερικανικών νόμων περί επιτήρησης στην απόφαση για την Ασπίδα Προστασίας τους άφησε χωρίς υπεράσπιση.»
Οι Αρχές Προστασίας Δεδομένων έχουν «καθήκον να ενεργούν» - Σημαντική ενίσχυση για τον ΓΚΠΔ (GDPR)
Το Δικαστήριο επίσης διευκρίνισε ότι οι Αρχές Προστασίας Δεδομένων της ΕΕ έχουν καθήκον να ενεργούν. Το Δικαστήριο τόνισε ότι οι Αρχές «υποχρεούνται να εκτελούν την ευθύνη τους για τη διασφάλιση της πλήρους επιβολής του ΓΚΠΔ με κάθε δέουσα επιμέλεια». Μέχρι στιγμής, πολλές Αρχές θεωρούν ότι έχουν απεριόριστη διακριτική ευχέρεια για να «κάνουν τα στραβά μάτια». Το Δικαστήριο βάζει τέλος πλέον σε αυτήν την πρακτική.
Schrems: «Το Δικαστήριο δεν λέει μόνο στον Ιρλανδό Επίτροπο να κάνει τη δουλειά του μετά από επτά χρόνια αδράνειας, αλλά λέει επίσης σε όλες τις Ευρωπαϊκές Αρχές Προστασίας Δεδομένων ότι έχουν καθήκον να αναλαμβάνουν δράση και δεν μπορούν απλώς να «κάνουν τα στραβά μάτια». Πρόκειται για μια θεμελιώδη αλλαγή που υπερβαίνει τις μεταφορές δεδομένων μεταξύ ΕΕ-ΗΠΑ. Αρχές όπως Ιρλανδό Επίτροπος έχουν μέχρι στιγμής υπονομεύσει την επιτυχία του ΓΚΠΔ απλά με το να μην επεξεργάζονται καταγγελίες. Το Δικαστήριο είπε σαφώς στις Αρχές να προχωρήσουν και να επιβάλουν τον νόμο.»
Οι τυποποιημένες συμβατικές ρήτρες δεν μπορούν πλέον να χρησιμοποιούνται από το Facebook και Αμερικανικές εταιρείες οι οποίες υπάγονται σε Αμερικανική επιτήρηση
Το Δικαστήριο συμμερίστηκε επίσης την άποψη του κ. Schrems ότι σε πρώτο στάδιο οι εταιρείες της ΕΕ και οι παραλήπτες δεδομένων εκτός ΕΕ πρέπει να επανεξετάσουν τη νομοθεσία στην αντίστοιχη τρίτη χώρα. Μόνο εάν δεν υπάρχει αντιφατικός νόμος μπορούν να χρησιμοποιήσουν τις τυποποιημένες συμβατικές ρήτρες. Ως δεύτερο επίπεδο προστασίας, η σχετική Αρχή Προστασίας Δεδομένων πρέπει να χρησιμοποιήσει την «ρήτρα έκτακτης ανάγκης» που περιέχεται στις τυποποιημένες συμβατικές ρήτρες (Άρθρο 4 της Απόφασης για τις Τυποποιημένες Συμβατικές Ρήτρες). Σε περιπτώσεις νόμων των ΗΠΑ περί επιτήρησης που παραβιάζουν τις αρχές προστασίας δεδομένων της ΕΕ, οι εταιρείες δεν έλαβαν δράση. Ο Επίτροπος αντιμάχεται αυτή την ιδέα από το 2016 με τον ψευδή ισχυρισμό ότι είχε διακριτική ευχέρεια να μην κάνει τίποτα ενόψει της μαζικής επιτήρησης από ξένες δυνάμεις. Συνοπτικά, αυτό σημαίνει ότι το Facebook δεν μπορεί πλέον να χρησιμοποιεί τις τυποποιημένες συμβατικές ρήτρες για μεταφορές δεδομένων μεταξύ ΕΕ-ΗΠΑ και εάν αυτές συνεχίσουν να παραβιάζουν το νόμο, ο Επίτροπος πρέπει να αναλάβει επείγουσα δράση - σε αντίθεση με κάποιους ισχυρισμούς στις πρώτες αντιδράσεις στην απόφαση.
Schrems: «Η απόφαση καθιστά σαφές ότι οι εταιρείες δεν μπορούν απλώς να υπογράφουν τις τυποποιημένες συμβατικές ρήτρες, αλλά πρέπει επίσης να ελέγχουν εάν αυτές μπορούν να τηρηθούν στην πράξη. Σε περιπτώσεις όπως το Facebook, όπου δεν αναλαμβάνουν δράση, ο Επίτροπος είχε τη λύση για αυτήν την υπόθεση στα χέρια του όλον αυτόν τον καιρό. Θα μπορούσε να δώσει εντολή στο Facebook να σταματήσει τις μεταφορές χρόνια πριν. Στην καταγγελία μας, ζητήσαμε να εκδώσει μια ειδοποίηση απαγόρευσης με εύλογη περίοδο εφαρμογής ώστε να επιτρέψει στο Facebook να λάβει όλα τα απαραίτητα μέτρα. Αντ’ αυτού, στράφηκε στο ΔΕΕ για να ακυρώσει τις τυποποιημένες συμβατικές ρήτρες, οι οποίες είναι έγκυρες. Είναι σαν να ουρλιάζεις για την Ευρωπαϊκή πυροσβεστική υπηρεσία, επειδή απλά δεν θες να σβήσεις ένα κερί μόνος σου.»
Οι χρήστες πρέπει να ενωθούν & εξαιρετικά υψηλά έξοδα
Το γεγονός ότι αυτή η υπόθεση έχει συνεχιστεί για 7 χρόνια και ο Επίτροπος μόνο έχει δαπανήσει σχεδόν 3 εκατομμύρια ευρώ για να καταπολεμήσει την καταγγελία του κ. Schrems αντί να λάβει αποφασιστική δράση για την προστασία των δικαιωμάτων των Ευρωπαίων, δείχνει επίσης κάποια θεμελιώδη ελαττώματα στο σύστημα επιβολής του ΓΚΠΔ. Προς το παρόν, είναι αδύνατο για ένα μέσο άτομο να διασφαλίσει ότι τα δικαιώματα του βάσει του ΓΚΠΔ δεν είναι απλώς μια κενή υπόσχεση, αλλά αντίθετα γίνονται ένα κανονικό κομμάτι της ψηφιακής μας ζωής.
Schrems: «Ο Επίτροπος έχει επενδύσει 2,9 εκατ. ευρώ εναντίον μας - και στην ουσία έχασε. Δεν θέλω καν να μάθω πόσα εκατομμύρια ξόδεψε το Facebook σε αυτήν την υπόθεση. Οι οικονομικές επιπτώσεις αυτής της υπόθεσης θα αποφασιστούν τώρα από τα Ιρλανδικά Δικαστήρια. Σύμφωνα με τη νομοθεσία της ΕΕ, πρέπει να υπάρχει δωρεάν και γρήγορος χειρισμός της καταγγελίας ενός πολίτη. Ωστόσο, σε αυτήν την περίπτωση, βρισκόμαστε στα δικαστήρια για 7 χρόνια με περισσότερες από 45.000 σελίδες υποβληθέντων εγγράφων. Ο μύθος ότι ένας φοιτητής νομικής μπορεί απλά να κάνει κάτι τέτοιο μόνος του είναι δυστυχώς λάθος.»
Οι "απαραίτητες" μεταφορές δεδομένων προς τις ΗΠΑ μπορούν να συνεχιστούν
Παρά τις ακυρώσεις που έγιναν με την απόφαση, οι απολύτως «απαραίτητες» μεταφορές δεδομένων μπορούν να συνεχίσουν να διεξάγονται σύμφωνα με το Άρθρο 49 του ΓΚΠΔ. Οποιαδήποτε κατάσταση όπου οι χρήστες θέλουν τα δεδομένα τους να μεταφέρονται στο εξωτερικό εξακολουθούν να είναι νόμιμες, καθώς αυτό μπορεί να βασίζεται στην ενημερωμένη συγκατάθεση του χρήστη, η οποία μπορεί να ανακληθεί ανά πάσα στιγμή. Ομοίως, ο νόμος επιτρέπει μεταφορές δεδομένων για ό, τι είναι «απαραίτητο» για την εκπλήρωση μιας σύμβασης. Αυτή είναι μια σταθερή βάση για τις περισσότερες νομικές συναλλαγές με τις ΗΠΑ. Με απλά λόγια: οι ΗΠΑ έχουν πλέον επανέλθει στην «κανονική» κατάσταση που έχει η ΕΕ με τις περισσότερες άλλες τρίτες χώρες, αλλά έχασε την ειδική της πρόσβαση στην αγορά της ΕΕ λόγω της επιτήρησης από τις ΗΠΑ.
Schrems: «Το Δικαστήριο υπογράμμισε ρητά ότι η ακύρωση της Ασπίδας Προστασίας δεν θα δημιουργήσει «νομικό κενό» καθώς απολύτως απαραίτητες μεταφορές δεδομένων θα μπορούν να συνεχίσουν να πραγματοποιούνται. Οι ΗΠΑ τώρα απλώς επανατοποθετούνται στη θέση μιας μέσης χώρας χωρίς ειδική πρόσβαση σε δεδομένα της ΕΕ.»
v1
