Yπόθεση Schremms II

Σπύρος Τάσσης, LLM
Δικηγόρος, Πρόεδρος Ένωσης Προστασίας Προσωπικών Δεδομένων και Ιδιωτικότητας

Άρθρο στο Μηνιαίο Ενημερωτικό Δελτίο ΣΕΒ – Ρυθμιστικό Περιβάλλον και Επιχειρήσεις – 26 Νοεμβρίου 2021

Η χρόνια διαμάχη του κ. Schrems (κάποτε ένας απλός Αυστριακός φοιτητής και, πλέον, ένας από τους πιο γνωστούς ακτιβιστές στον τομέα της ιδιωτικότητας) έχει οδηγήσει σε δύο αποφάσεις του Δικαστηρίου της Ε.Ε. και ισάριθμες καταρρεύσεις δύο συμφωνιών επάρκειας για την διαβίβαση δεδομένων από την ΕΕ στις ΗΠΑ. Οι συμφωνίες αυτές, που είχαν ψηφιστεί από την Ε. Επιτροπή (η συμφωνία Ασφαλούς Λιμένα ή Safe Harbor Agreement και η διάδοχη της Ασπίδα Προστασίας ή Privacy Shield) αποτέλεσαν για χρόνια την κύρια νομική βάση για την διασυνοριακή ροή προσωπικών δεδομένων προς τις ΗΠΑ και είχαν ανακοινωθεί με ιδιαίτερο ενθουσιασμό από τα θεσμικά όργανα της ΕΕ, όμως και οι δύο κρίθηκαν τελικά, μετά από τις σχετικές προσφυγές του κ. Schrems και τις σχετικές αποφάσεις που είναι γνωστές ως Schrems I και Schrems II, άκυρες διότι δεν κάλυπταν τις προϋποθέσεις επάρκειας που υποτίθεται ότι είχαν ήδη ελεγχθεί από την Ε. Επιτροπή!

Πιο συγκεκριμένα, το Δικαστήριο έκρινε ότι το σύνολο, σχεδόν, των δεδομένων από την ΕΕ στις ΗΠΑ διαβιβάζονται μέσω ηλεκτρονικών δικτύων στα οποία η NSA (National Security Agency) δύναται να έχει πρόσβαση με βάση την ομοσπονδιακή νομοθεσία (Executive Order 12333, άρθρο 702 FISA, EO12333 και PPD-28), οπότε η νομοθεσία και η πρακτική των ΗΠΑ είναι ασυμβίβαστη με τις απαιτήσεις της ΕΕ για επαρκές επίπεδο προστασίας των προσωπικών δεδομένων (adequacy). Τα όρια που βάζει το Δικαστήριο ισχύουν, μάλιστα, για όλες τις κατάλληλες εγγυήσεις βάσει του άρθρου 46 του ΓΚΠΔ οι οποίες χρησιμοποιούνται για τη διαβίβαση δεδομένων από τον ΕΟΧ σε οποιαδήποτε τρίτη χώρα.

Με δεδομένη αυτή την έλλειψη επάρκειας κάθε υπεύθυνος επεξεργασίας (με τους υπάρχοντες μηχανισμούς διαβίβασης) θα πρέπει να επιλέξει είτε τις τυποποιημένες συμβάσεις (SCC), είτε τις ad hoc συμβατικές ρήτρες, είτε τους δεσμευτικούς εταιρικούς κανόνες (BCRs), είτε συγκατάθεση είτε κάποια άλλη παρέκκλιση του άρθρου 49 του Κανονισμού. Όμως η συγκατάθεση δεν είναι ασφαλής νόμιμη βάση ενώ όπου η διαβίβαση είναι απαραίτητη δεν μπορούμε να μιλάμε για γενική άδεια διαβίβασης δεδομένων ενώ εξακολουθεί το πρόβλημα να είναι οι δημόσιες αρχές, οι οποίες, προφανώς, δεν δεσμεύονται από διατάξεις που έχουν συμφωνηθεί σε συμβάσεις μεταξύ εταιρειών ή με καταναλωτές. Η λύση που τελικά φαίνεται προτεινόμενη είναι η ευρύτερη χρήση των Standard Contractual Clauses, για την διακίνηση αυτή των δεδομένων, όμως ο τρόπος που το Δικαστήριο οριοθέτησε το πεδίο ελέγχου για την έγκριση των SCC καθιστά προβληματική την χρήση τους για την διασυνοριακή διαβίβαση, για τον απλούστατο λόγο ότι καμία εταιρεία στις ΗΠΑ δεν μπορεί να εξασφαλίσει την πλήρη συμμόρφωση ή θα αναστέλλει την μεταφορά των δεδομένων κάθε φορά που πιθανολογείται μη συμμόρφωση (π.χ. λόγω ενός νέου νόμου).

Οπότε, όπως λέει και ο EDPB, όσοι διαβιβάζουν δεδομένα πρέπει εξετάζουν τους νόμους που διέπουν την πρόσβαση και το επίπεδο προστασίας, δίνοντας έτσι ισοδύναμο βάρος τόσο στο ποιος έχει πρόσβαση στα δεδομένα όσο και με ποιες διαδικασίες και να λαμβάνουν συμπληρωματικά τεχνικά μέτρα προστασίας για τη βελτίωση του επιπέδου προστασίας των δεδομένων που διαβιβάζονται, όπως η κρυπτογράφηση, για τα δεδομένα που διαβιβάζονται υποδηλώνοντας μια σχεδόν καθολική ανάγκη για πρόσθετες διασφαλίσεις. Αν από την ανάλυση αυτή δεν προκύπτει επαρκές επίπεδο προστασίας, τότε για να συνεχιστεί η διαβίβαση αυτή θα πρέπει να ενημερωθεί η αρμόδια εποπτική αρχή.

Η απόφαση αυτή του ΔΕΕ μοιάζει να προσθέτει ένα ακόμα κομμάτι στην άτυπη «κόντρα» μεταξύ ΕΕ και ΗΠΑ για την διακυβέρνηση και εκμετάλλευση των προσωπικών δεδομένων και παράλληλα μία ακόμη σημαντική αβεβαιότητα στις εταιρείες που βασίζονταν στη συμφωνία για τη διασυνοριακή διαβίβαση δεδομένων προς τις Ηνωμένες Πολιτείες για βασικές τους εταιρικές λειτουργίες.