Συχνές ερωτήσεις για την υπόθεση CJEU

Ιουλ 12, 2020

Το CJEU έλαβε έντεκα ερωτήσεις που υπέβαλε το ιρλανδικό Ανώτατο Δικαστήριο. Το CJEU ήταν ελεύθερο να αναδιατυπώσει τις ερωτήσεις και να εξετάσει μόνο μερικές από αυτές. Αυτό το FAQ παρέχει μια απλή επισκόπηση της κρίσης και των ερωτήσεων που απαντήθηκαν. Απευθύνεται στα πιο συναφή ερωτήματα που μπορεί να έχουν οι άνθρωποι και οι εταιρείες σχετικά με την κρίση του CJEU.

(Ι) Πεδίο εφαρμογής της υπόθεσης

Ποιες μεταφορές δεδομένων ΕΕ-ΗΠΑ δεν επηρεάζονται από αυτήν την περίπτωση;

Με απλούς όρους: «Απαραίτητη» μεταφορά προσωπικών δεδομένων δεν επηρεάζεται.

Αυτή η υπόθεση αφορά κυρίως την εθελοντική «εξωτερική ανάθεση» επεξεργασίας δεδομένων προσωπικού χαρακτήρα στις Ηνωμένες Πολιτείες.

Η υπόθεση δεν αφορά: (1) δεδομένα που δεν είναι «προσωπικά δεδομένα». και (2) «απαραίτητες» μεταφορές δεδομένων στις Ηνωμένες Πολιτείες (π.χ. μηνύματα ηλεκτρονικού ταχυδρομείου προς τις ΗΠΑ, κρατήσεις στις ΗΠΑ κ.λπ.) - στις περισσότερες περιπτώσεις αυτές οι μεταφορές επωφελούνται από την «παραίτηση» που προβλέπεται στο άρθρο 49 του GDPR.

Επομένως, αυτή η υπόθεση δεν σημαίνει ότι δεν μπορεί κανείς να στείλει email ή μηνύματα από την ΕΕ στις ΗΠΑ. Οποιοσδήποτε ισχυρισμός που υποδηλώνει αυτό είναι απλώς λανθασμένος.

Παρ 'όλα αυτά, πολλές εταιρείες στην ΕΕ θα πρέπει ακόμη να επανεξετάσουν τις πρακτικές εξωτερικής ανάθεσης, εάν έχουν επεξεργαστεί προσωπικά δεδομένα από παρόχους ΗΠΑ. Οι παραλήπτες αυτών των δεδομένων στις ΗΠΑ θα πρέπει επίσης να πραγματοποιήσουν παρόμοια επανεξέταση εάν υπόκεινται σε υποχρεώσεις βάσει των σχετικών νόμων εποπτείας των ΗΠΑ, όπως το FISA 702.

Ποια είναι η διαφορά μεταξύ της «εξωτερικής ανάθεσης» της επεξεργασίας και της απολύτως «απαραίτητης» μεταφοράς δεδομένων στις ΗΠΑ, συμπεριλαμβανομένης της αποστολής email, κρατήσεων ξενοδοχείων ή επιχειρηματικών συναλλαγών;

« Απαραίτητες » μεταφορές δεδομένων : Στις περισσότερες περιπτώσεις όπου τα δεδομένα πρέπει να μεταφερθούν στις ΗΠΑ (π.χ. κράτηση ξενοδοχείου, αποστολή email σε κάποιον στις ΗΠΑ, τυπικές επιχειρηματικές συναλλαγές μεταξύ ΕΕ και ΗΠΑ κ.λπ.), οι παραιτήσεις («παρεκκλίσεις») στο άρθρο 49 του θα εφαρμοστεί ο GDPR. Επιτρέπονται τέτοιου είδους μεταφορές δεδομένων, ανεξάρτητα από την εγκυρότητα άλλων νομικών μέσων που χρησιμοποιούνται για τη μεταφορά δεδομένων, όπως οι τυπικές συμβατικές ρήτρες (SCC), το Privacy Shield ή οι δεσμευτικοί εταιρικοί κανόνες (BCRs).

Εξωτερική ανάθεση : Εξωτερική ανάθεση σημαίνει ότι τα προσωπικά δεδομένα αποθηκεύονται μόνο στις ΗΠΑ, επειδή είναι ευκολότερο, φθηνότερο ή πιο πρακτικό να τα αποθηκεύσετε σε πάροχο υπηρεσιών των ΗΠΑ από ό, τι στην Ευρώπη, παρόλο που τα δεδομένα θα μπορούσαν τεχνικά να αποθηκευτούν εντός της ΕΕ / ΕΟΧ. Εδώ, συνήθως δεν υπάρχει γενική παραίτηση («παρέκκλιση») σύμφωνα με το άρθρο 49 του ΓΚΠΔ για τη μεταφορά δεδομένων στις ΗΠΑ. Ένα νομικό μέσο όπως τα SCC, το Privacy Shield ή τα BCRs πρέπει να χρησιμοποιούνται αντ 'αυτού, αλλά αυτά τα μέσα μπορεί να κηρυχθούν άκυρα ή μη χρησιμοποιήσιμα σε ορισμένες περιπτώσεις από το CJEU. Σήμερα, το Privacy Shield κηρύχθηκε άκυρο. Επιπλέον, τα SCC δεν μπορούν να χρησιμοποιηθούν από το Facebook και άλλες αμερικανικές εταιρείες που υπόκεινται σε επιτήρηση των ΗΠΑ.

Αφορά αυτή τη μεταφορά δεδομένων σε χώρες εκτός των ΗΠΑ;

Η υπόθεση δεν αφορά άμεσα τέτοιες μεταφορές.

Ωστόσο, η υπόθεση έχει έμμεσες συνέπειες. Οι εταιρείες θα πρέπει να επανεξετάσουν το πραγματικό επίπεδο προστασίας που παρέχεται σε χώρες εκτός ΕΕ πολύ πιο προσεκτικά από ό, τι στο παρελθόν. Όσον αφορά τα SCC, για παράδειγμα, η σύγκρουση με τους νόμους επιτήρησης είναι ίσης σημασίας όσον αφορά τους νόμους σε χώρες όπως η Κίνα ή η Ρωσία.

(II) Συνέπειες για τους καταναλωτές

Μπορούν οι καταναλωτές ΕΕ / ΕΟΧ να εξακολουθούν να χρησιμοποιούν τις υπηρεσίες των ΗΠΑ (ή άλλων τρίτων χωρών) απευθείας;

Με τους πιο πρακτικούς όρους, οι χρήστες είναι ελεύθεροι να στείλουν εν γνώσει τους τα προσωπικά τους δεδομένα απευθείας σε μια τρίτη χώρα, για παράδειγμα όταν χρησιμοποιούν μια κινεζική ιστοσελίδα.

Ωστόσο, δεν είναι δυνατή η άμεση κοινοποίηση δεδομένων άλλων ατόμων (π.χ. φίλοι, συνάδελφοι) με έναν πάροχο των ΗΠΑ, εκτός εάν έχετε λάβει την ελεύθερη, συγκεκριμένη, ενημερωμένη και σαφή συγκατάθεσή τους για να το κάνετε.

Μπορούν οι καταναλωτές ΕΕ / ΕΟΧ να εξακολουθούν να χρησιμοποιούν έμμεσα τις υπηρεσίες των ΗΠΑ (ή άλλων τρίτων χωρών) (μέσω θυγατρικής της ΕΕ);

Σε πολλές περιπτώσεις, οι χρήστες ΕΕ / ΕΟΧ έχουν συνάψει σύμβαση με θυγατρική της ΕΕ μιας εταιρείας των ΗΠΑ. Παραδείγματα είναι το Google Ireland, το Facebook Ireland, το Microsoft Luxembourg ή το Amazon Luxembourg.

Σε αυτές τις περιπτώσεις, οι εταιρείες της ΕΕ είναι υπεύθυνες για τη διασφάλιση ότι οι "εσωτερικές εταιρείες" ροές προσωπικών δεδομένων προς τις ΗΠΑ συμμορφώνονται με το GDPR. Οι εταιρείες θα πρέπει τώρα να εξετάσουν προσεκτικά όλες αυτές τις ροές δεδομένων και εάν πρέπει να φιλοξενήσουν δεδομένα στην Ευρώπη ή σε οποιαδήποτε άλλη χώρα που παρέχει καλύτερη προστασία της ιδιωτικής ζωής, αντί να μεταφερθούν στις ΗΠΑ σε μια εταιρεία που παρακολουθεί υπό τις ΗΠΑ.

(III) Συνέπειες για τις εταιρείες

Μπορούν οι εταιρείες ΕΕ / ΕΟΧ να εξακολουθούν να εκτελούν «απαραίτητες» μεταφορές προσωπικών δεδομένων στις ΗΠΑ;

Στις περισσότερες περιπτώσεις: Ναι.

Το άρθρο 49 του ΓΚΠΔ περιλαμβάνει έναν κατάλογο «παρεκκλίσεων» που επιτρέπει τέτοιες μεταφορές δεδομένων. Αυτό συνήθως καλύπτει την πραγματοποίηση παραγγελιών από επιχειρήσεις στις ΗΠΑ, την πραγματοποίηση κρατήσεων σε ξενοδοχεία των ΗΠΑ, την αποστολή μηνυμάτων ηλεκτρονικού ταχυδρομείου στις ΗΠΑ, και γενικά κάθε παροχή υπηρεσίας που λογικά χρειάζεται μεταφορά δεδομένων ΕΕ-ΗΠΑ. Τέτοιες μεταφορές δεν αποτελούν μέρος της υπόθεσης και δεν επηρεάζονται από την απόφαση.

Μπορούν οι εταιρείες ΕΕ / ΕΟΧ να συνεχίσουν την «εξωτερική ανάθεση» επεξεργασίας προσωπικών δεδομένων στις ΗΠΑ;

Στις περισσότερες περιπτώσεις: Πιθανώς όχι.

Οι πιο συχνά χρησιμοποιούμενοι επεξεργαστές δεδομένων των ΗΠΑ εμπίπτουν επίσης στους νόμους επιτήρησης των ΗΠΑ, όπως το FISA 702, οι οποίοι απαιτούν από αυτούς να αποκαλύπτουν προσωπικά δεδομένα στην κυβέρνηση των ΗΠΑ χωρίς επαρκή προστασία. Η μεταφορά δεδομένων σε επεξεργαστές βάσει τέτοιων υποχρεώσεων παραβιάζει τον GDPR, όπως καθορίζεται από το CJEU.

Μπορούν οι εταιρείες ΕΕ / ΕΟΧ να συνεχίσουν να αναθέτουν σε τρίτους την επεξεργασία προσωπικών δεδομένων σε χώρες εκτός των ΗΠΑ;

Ναι, εάν δεν υπάρχουν αντικρουόμενοι νόμοι σε αυτήν τη χώρα.

Η υπόθεση δεν αλλάζει τους κανόνες GDPR για τη μεταφορά δεδομένων. Όπως και πριν, κάθε εταιρεία της ΕΕ πρέπει να ελέγξει εάν υπάρχουν νόμοι σε μια τρίτη χώρα που ενδέχεται να παρακάμψουν τους νόμους περί απορρήτου της ΕΕ. Σε τέτοιες περιπτώσεις, τα προσωπικά δεδομένα δεν μπορούν να ανατίθενται σε αυτήν την τρίτη χώρα.

Για παράδειγμα, εάν η επεξεργασία προσωπικών δεδομένων ανατίθεται σε τρίτους στη χώρα Α, ο υπεύθυνος της ΕΕ πρέπει να διασφαλίσει ότι ο παραλήπτης έχει τις απαραίτητες ρυθμίσεις, αλλά επίσης ότι δεν υπάρχει αντίθετος νόμος που να ισχύει στη χώρα Α και να παρακάμπτει αυτές τις ρυθμίσεις.

Απαγορεύονται τώρα όλες οι μεταφορές δεδομένων από την ΕΕ / ΕΟΧ προς τις ΗΠΑ;

Όχι, καθόλου - για δύο λόγους:

  1. Οι περισσότερες μεταφορές δεδομένων δεν περιέχουν «προσωπικά δεδομένα» αλλά κάποια άλλη μορφή δεδομένων. Τέτοιες μεταφορές δεδομένων δεν ρυθμίζονται καν από τον GDPR.
  2. Οι περισσότερες «απαραίτητες» μεταφορές δεδομένων προσωπικών δεδομένων (π.χ. κατά την αποστολή email, μηνύματος ή κράτησης ξενοδοχείου) εξακολουθούν να υπόκεινται σε παραίτηση από το άρθρο 49. Αυτές οι μεταφορές μπορούν να συνεχιστούν μετά την απόφαση και δεν επηρεάζονται από αυτήν.

Η υπόθεση αφορά όλους τους αποδέκτες των δεδομένων της ΕΕ από τις ΗΠΑ;

Όχι , ισχύει μόνο για εταιρείες που υπόκεινται σε νόμους εποπτείας των ΗΠΑ ή για εταιρείες που χρησιμοποιούν παρόχους που εμπίπτουν σε αυτούς τους νόμους εποπτείας των ΗΠΑ.

Για παράδειγμα, το FISA 702 ισχύει μόνο για «παρόχους υπηρεσιών ηλεκτρονικών επικοινωνιών». Βιομηχανίες όπως τράπεζες, αεροπορικές εταιρείες, ξενοδοχεία, ναυτιλιακές εταιρείες, πωλήσεις αγαθών και τα παρόμοια συνήθως δεν θεωρείται ότι καλύπτονται από αυτούς τους νόμους. Υπάρχει, ωστόσο, κάποια ασάφεια σχετικά με αυτούς τους όρους και τη νομοθεσία των ΗΠΑ. Μια διευκρίνιση από την κυβέρνηση των ΗΠΑ φαίνεται απαραίτητη.

Στην πράξη, ωστόσο, μια τράπεζα (που δεν καλύπτεται από τη FISA) μπορεί η ίδια να χρησιμοποιεί έναν «πάροχο υπηρεσιών ηλεκτρονικών επικοινωνιών» (που καλύπτεται από τη FISA). Αυτό σημαίνει ότι η πρόσβαση στα δεδομένα της τράπεζας γίνεται μέσω του «παρόχου υπηρεσιών ηλεκτρονικών επικοινωνιών». Ή, μπορεί να μεταφέρει δεδομένα που δεν είναι κρυπτογραφημένα σωστά, τα οποία, για παράδειγμα, θα επέτρεπαν στα δεδομένα να «κτυπηθούν» κατά την αποστολή τους σε υποβρύχια καλώδια (όπως επιτρέπεται σύμφωνα με τον ΕΟ 12.333). Ως εκ τούτου, πρέπει να αξιολογηθεί ολόκληρη η ροή δεδομένων.

Πώς μπορεί να εφαρμοστεί στην πράξη μια απόφαση του CJEU;

Μετά την απόφαση, οι εταιρείες πρέπει να επανεξετάσουν μεμονωμένα εάν πρέπει να αλλάξουν τις πρακτικές τους. Είναι υποχρεωμένοι να σταματήσουν τη μεταφορά δεδομένων που είναι παράνομη. Αυτό δεν είναι καινούργιο. Μετά την απόφαση «Safe Harbor», πολλές εταιρείες της ΕΕ αποχώρησαν από τους παρόχους των ΗΠΑ.

Οι εταιρείες που τώρα μεταφέρουν δεδομένα σε παραλήπτες των ΗΠΑ παράνομα θα πρέπει να σταματήσουν όλες αυτές τις μεταφορές το συντομότερο δυνατό, προκειμένου να αποφευχθούν πρόστιμα έως και 20 εκατομμύρια ευρώ ή 4% του παγκόσμιου κύκλου εργασιών τους βάσει του GDPR. Οι εθνικές αρχές προστασίας δεδομένων (DPA) έχουν την ευθύνη να επιβάλουν αυτές τις κυρώσεις.

Οι χρήστες εταιρειών της ΕΕ μπορούν να ζητήσουν από αυτές τις εταιρείες να σταματήσουν να μεταφέρουν τα προσωπικά τους δεδομένα στις ΗΠΑ. Εάν οι εταιρείες δεν ακολουθήσουν αυτά τα αιτήματα, οι χρήστες μπορούν να υποβάλουν καταγγελίες με DPA ή να υποβάλουν αγωγή στο τοπικό δικαστήριο. Αυτό μπορεί να οδηγήσει σε προκαταρκτικές διαταγές ή / και συναισθηματικές βλάβες. Σε πολλές χώρες της ΕΕ, ομάδες καταναλωτών, συμβούλια εργαζομένων και άλλοι φορείς μπορούν επίσης να υποβάλουν συλλογικές ή ταξικές αγωγές εάν μια εταιρεία συνεχίσει να μεταφέρει προσωπικά δεδομένα χωρίς νομική βάση.

Τι μπορούν να κάνουν οι εταιρείες ΕΕ / ΕΟΧ;

Οι εταιρείες πρέπει να αξιολογήσουν εάν η επεξεργασία των προσωπικών τους δεδομένων πρέπει να ανατεθεί σε εξωτερικούς συνεργάτες σε μεταποιητές των ΗΠΑ. Εάν ναι, πρέπει να προσδιορίσουν τη νομική βάση για τη μεταφορά δεδομένων (π.χ. παρεκκλίσεις στο άρθρο 49 GDPR, SCCs, Privacy Shield ή BCRs).

Οι περισσότεροι πάροχοι υπηρεσιών cloud των ΗΠΑ χαρακτηρίζονται ως «πάροχοι υπηρεσιών ηλεκτρονικών επικοινωνιών» και επομένως εμπίπτουν στους σχετικούς νόμους επιτήρησης των ΗΠΑ, όπως το FISA 702.

Ενώ οι περισσότεροι άλλοι κλάδοι του κλάδου δεν εμπίπτουν στους νόμους αυτούς, ενδέχεται να χρησιμοποιούν «παρόχους υπηρεσιών ηλεκτρονικών επικοινωνιών» που κάνουν, πράγμα που δίνει έμμεση πρόσβαση στα δεδομένα. Πρέπει επίσης να ληφθούν υπόψη και άλλα όργανα επιτήρησης, όπως το EO 12.333. Ο ΕΟ 12.333 επιτρέπει την «επιτήρηση υπό διαμετακόμιση», όπως η πρόσβαση σε δεδομένα που δεν είναι κρυπτογραφημένα σωστά ενώ διέρχεται από διατλαντικά καλώδια.

Εάν δεν μπορούν να χρησιμοποιήσουν κανένα από τα νομικά μέσα που επιτρέπουν τη μεταφορά όπως προβλέπεται στα άρθρα 44-50 του GDPR, οι εταιρείες θα πρέπει να μεταφέρουν όλα τα σχετικά προσωπικά δεδομένα πίσω στην ΕΕ / ΕΟΧ και να βρουν έναν επεξεργαστή εντός της ΕΕ / ΕΟΧ ή σε οποιοδήποτε άλλη χώρα όπου εξασφαλίζεται επαρκής προστασία των προσωπικών δεδομένων.

Τι μπορούν να κάνουν οι αμερικανικές εταιρείες;

Οι εταιρείες των ΗΠΑ πρέπει να ελέγξουν εάν αυτές ή οι υπεργολάβοι τους υπόκεινται σε σχετικούς νόμους επιτήρησης των ΗΠΑ και εάν οι μεταφορές δεδομένων τους είναι κρυπτογραφημένες σε επίπεδο που διασφαλίζει ότι δεν είναι δυνατή η «κτύπημα» κατά τη μεταφορά. Μετά από μια τέτοια επανεξέταση, θα πρέπει να επικοινωνήσουν με τους πελάτες τους στην ΕΕ / ΕΟΧ εάν η επεξεργασία των προσωπικών τους δεδομένων επηρεάζεται από την απόφαση.

Μακροπρόθεσμα, μπορεί να είναι σκόπιμο να μετατοπιστεί ορισμένη επεξεργασία από τις ΗΠΑ ή να μιλήσετε με εκλεγμένους αντιπροσώπους σχετικά με το αποτέλεσμα που έχουν οι νόμοι επιτήρησης των ΗΠΑ σχετικά με την ικανότητα των αμερικανικών εταιρειών να διαπραγματεύονται με ξένους πελάτες. Ελπίζουμε επίσης ότι οι αμερικανικές επιχειρήσεις θα μιλήσουν με τον αμερικανικό νομοθέτη για την έλλειψη προστασίας που παρέχεται στους διεθνείς πελάτες τους.

(IV) ΠΟΛΙΤΙΚΕΣ ΣΥΝΕΠΕΙΕΣ

Πώς μπορεί να επιλυθεί μακροπρόθεσμα η σύγκρουση μεταξύ των νόμων επιτήρησης των ΗΠΑ και της νομοθεσίας περί απορρήτου της ΕΕ;

Εάν οι ΗΠΑ θέλουν να διατηρήσουν τη θέση τους ως ο κύριος πάροχος υπηρεσιών πληροφορικής στον κόσμο, οι νόμοι επιτήρησης των ΗΠΑ θα πρέπει να μεταρρυθμιστούν επειγόντως. Οι ΗΠΑ θα πρέπει να εισαγάγουν βασικές προστασίες προστασίας της ιδιωτικής ζωής που είναι τουλάχιστον ισοδύναμες με αυτές που έχουν ήδη χορηγηθεί σε πολίτες των ΗΠΑ. Διαφορετικά, είναι πολύ απίθανο οι αλλοδαποί πελάτες να συνεχίσουν να χρησιμοποιούν παρόχους υπηρεσιών στις ΗΠΑ.

Μόλις οι νόμοι επιτήρησης των ΗΠΑ αναμορφωθούν με αυτόν τον τρόπο, οι εταιρείες της ΕΕ θα μπορούν να συνεχίσουν ξανά τα δεδομένα μεταφορών ΕΕ-ΗΠΑ και η Ευρωπαϊκή Επιτροπή θα είναι σε θέση να εκδώσει νέα σταθερά μέσα για να το επιτρέψει αυτό.

Πώς θα μπορούσε να συνεχιστεί η μεταφορά δεδομένων ΕΕ-ΗΠΑ στο μέλλον;

Βασικά, αντιμετωπίζουμε μια σύγκρουση μεταξύ της ιδιωτικής ζωής της ΕΕ και των νόμων επιτήρησης των ΗΠΑ: Οι νόμοι της ΕΕ απαιτούν την προστασία των προσωπικών δεδομένων, ενώ οι νόμοι των ΗΠΑ απαιτούν επιτήρηση.

Το δικαίωμα στην προστασία της ιδιωτικής ζωής και των δεδομένων είναι θεμελιώδη δικαιώματα στην Ευρώπη, όπως κατοχυρώνονται στα άρθρα 7 και 8 του Χάρτη Θεμελιωδών Δικαιωμάτων της ΕΕ. Και τα 27 κράτη μέλη θα πρέπει να συμφωνήσουν, ομόφωνα, για οποιαδήποτε αλλαγή σε αυτά τα θεμελιώδη δικαιώματα. Η Ευρωπαϊκή Επιτροπή προσπάθησε να εγκρίνει εξαιρέσεις όπως το "Safe Harbour" και το "Privacy Shield", αλλά χωρίς την απαραίτητη μεταρρύθμιση των νόμων επιτήρησης των ΗΠΑ, αυτοί συνεχώς δεν ικανοποιούν τα θεμελιώδη δικαιώματα της ΕΕ. Το αποτέλεσμα είναι αποφάσεις όπως αυτή, καθιστώντας τις εξαιρέσεις άκυρες.

Οι ΗΠΑ θέσπισαν εκτεταμένους νόμους εποπτείας για άτομα εκτός των ΗΠΑ το 2008. Εάν οι ΗΠΑ επρόκειτο να ανατρέψουν αυτούς τους νόμους επιτήρησης ή να εγγυηθούν τις ίδιες προστασίες για άτομα εκτός των ΗΠΑ με εκείνα που ισχύουν για άτομα των ΗΠΑ, τότε θα ήταν πολύ είναι πιθανό ότι οι ΗΠΑ θα θεωρηθούν ως χώρα που διασφαλίζει «επαρκή προστασία» στα προσωπικά δεδομένα σύμφωνα με το δίκαιο της ΕΕ εάν υπάρχει επαρκής επανόρθωση.

Μπορεί η ΕΕ απλώς να εκδώσει άλλη απόφαση εάν η Ασπίδα απορρήτου ακυρωθεί;

Θεωρητικά, η Ευρωπαϊκή Επιτροπή θα μπορούσε (εν γνώσει) να εκδώσει μια άλλη άκυρη απόφαση εάν το CJEU ακυρώσει το "Privacy Shield". Δεδομένου ότι το πρόβλημα βρίσκεται στη νομοθεσία των ΗΠΑ, αυτό πιθανότατα θα οδηγήσει σε νομική πρόκληση που θα είχε ως αποτέλεσμα την ακύρωση της νέας απόφασης από το CJEU. Είναι πολύ απίθανο αυτό να είναι πολιτικά αποδεκτό. Οι επιχειρήσεις χρειάζονται επίσης μια νομικά σταθερή λύση.

Αυτή η απόφαση και η προηγούμενη σε σχέση με το "Safe Harbour" βασίζονται και οι δύο στον Χάρτη των Θεμελιωδών Δικαιωμάτων. Θα απαιτηθεί ομόφωνη συμφωνία μεταξύ των 27 κρατών μελών της ΕΕ για την αλλαγή των συνθηκών της ΕΕ, ώστε η Ευρωπαϊκή Επιτροπή να εκδώσει μια νομικά ορθή απόφαση μεταφοράς δεδομένων για τις μεταφορές ΕΕ-ΗΠΑ.

Η λύση, επομένως, βρίσκεται στα χέρια του νομοθέτη των ΗΠΑ, ο οποίος πρέπει να προσαρμόσει ή να επαναφέρει τους ισχύοντες νόμους περί επιτήρησης των ΗΠΑ.

Δεν είναι αυτός ο προστατευτισμός από την ΕΕ;

Όχι . Αυτή η υπόθεση ασκείται κατά της Ευρωπαϊκής Επιτροπής. Η νομοθεσία της ΕΕ επιτρέπει πολλές επιλογές για διεθνείς διαβιβάσεις δεδομένων - εφόσον τηρούνται οι βασικές προστασίες προστασίας της ιδιωτικής ζωής.

Στην πραγματικότητα, ο πολιτικός βραχίονας της ΕΕ (η Ευρωπαϊκή Επιτροπή και τα κράτη μέλη) υποστηρίζει τη διαβίβαση δεδομένων ΕΕ-ΗΠΑ, αλλά το CJEU έχει προκαλέσει αμφιβολίες πριν για τη νομιμότητα αυτών των συμφωνιών με τις ΗΠΑ, δεδομένης της πιθανής παραβίασης των θεμελιωδών δικαιωμάτων της ΕΕ. Ομοίως, το Ευρωπαϊκό Κοινοβούλιο έχει επίσης δημιουργήσει αμφιβολίες για αυτές τις συμφωνίες.

Συγκρίνοντας το "Privacy Shield" όπως ισχύει για τις εταιρείες των ΗΠΑ με τον εσωτερικό GDPR της ΕΕ, είναι σαφές ότι οι αμερικανικές εταιρείες μπορούν να έχουν πρόσβαση στη μεγάλη αγορά της ΕΕ ακολουθώντας πολύ πιο αδύναμους κανόνες από ό, τι οι εταιρείες της ΕΕ πρέπει να ακολουθούν. Αυτό δίνει στις αμερικανικές εταιρείες ανταγωνιστικό πλεονέκτημα.