Ι. Ιστορική Αναδρομή – Από το Safe Harbor Framework μέχρι σήμερα

Το ζήτημα της διαβιβάσεως προσωπικών δεδομένων είναι ένα ζήτημα έντονου προβληματισμού. Η παγκοσμιοποίηση της πληροφορίας, η απόδοση μεγάλης οικονομικής σημασίας στη διαβίβαση των δεδομένων σε χώρες εκτός Ε.Ε. σε συνδυασμό με το εξαιρετικά χαμηλότερο κόστος της επεξεργασίας δεδομένων στις χώρες αυτές, αλλά και η ανάγκη ουσιαστικής προστασίας των δεδομένων όλων όσοι ευρίσκονται εντός Ε.Ε. οδήγησε σε μια νέα θεώρηση της προστασίας.^[1] Και αυτό διότι η διαρροή δεδομένων από μια ασφαλή χώρα σε μια άλλη μη ασφαλή θέτει υπό διακινδύνευση την προστασία δεδομένων σε ενωσιακό επίπεδο.^[2] Σε επίπεδο δημιουργίας καθεστώτων ασφαλούς διαβιβάσεως δεδομένων προσωπικού χαρακτήρα, τα τελευταία χρόνια, λαμβάνουν χώρα συνεχείς εξελίξεις που πυροδοτούνται από περιπτώσεις παραβιάσεων προσωπικών δεδομένων, οι οποίες καταλήγουν στο Δ.Ε.Ε., ενώ οι αποφάσεις που προκύπτουν, διαπλάθουν και μεταλλάσσουν τα καθεστώτα αυτά.^[3]

Το 2015 και κατόπιν της εκδόσεως της αποφάσεως Schrems Ι^[4], το Δ.Ε.Ε. κήρυξε ανίσχυρη την απόφαση της Ευρωπαϊκής Επιτροπής 2000/520, σχετικά με την επάρκεια του καθεστώτος του Safe Harbor (Safe Harbor Framework) μεταξύ Ε.Ε. και Η.Π.Α. Το Δ.Ε.Ε. έκρινε ότι δεν επιτυγχάνεται ισοδυναμία (equivalence) στο επίπεδο προστασίας προσωπικών δεδομένων που διασφαλίζουν Ε.Ε. και Η.Π.Α. Συγκεκριμένα, επικαλέστηκε ότι στις Η.Π.Α. ελλείπουν αποδείξεις ότι εφαρμόζονται οι απαραίτητοι νόμοι και οι κατάλληλες πρακτικές που ελαχιστοποιούν τις παραβάσεις προσωπικών δεδομένων. Παράλληλα, δε, έκρινε ότι δεν αποδεικνύεται πως υπάρχουν αποτελεσματικά ένδικα μέσα για τα εμπλεκόμενα πρόσωπα σε περίπτωση παραβιάσεως. Η ακύρωση του Safe Harbor προκάλεσε νομική αβεβαιότητα και την ανάγκη για νέα συμφωνία ανάμεσα σε Ε.Ε. και Η.Π.Α.. Στο μεσολαβούν διάστημα οι εμπορικές επιχειρήσεις έλαβαν άλλα μέτρα, όπως η εφαρμογή δεσμευτικών εταιρικών κανόνων (Binding Corporate Rules-BCRs) ή τυποποιημένων συμβατικών ρητρών (Standard Contractual Clauses- SCCs).

Το 2016 έλαβε χώρα νέα συμφωνία κατόπιν και της αποφάσεως 2016/1250 της Επιτροπής, η οποία υιοθετούσε τον μηχανισμό του Privacy Shield (EU-U.S. Privacy Shield), που αφορούσε στη διατλαντική διαβίβαση προσωπικών δεδομένων. Εν τω μεταξύ, το 2017 ακολούθησε κοινή ετήσια αναθεώρηση του Privacy Shield, κατά την οποία, αν και θεωρήθηκε ότι o μηχανισμός λειτουργούσε ικανοποιητικά, διατυπώθηκαν αρκετές ανησυχίες που πυροδοτήθηκαν από το πρόσφατο τότε σκάνδαλο Facebook/Cambridge Analytica^[5]. Στη συνέχεια, λαμβάνοντας υπ’ όψιν τον αντίκτυπο που είχε η υπόθεση Schrems Ι στην εξέλιξη της προστασίας των προσωπικών δεδομένων κατά τη διαβίβασή τους εκτός Ε.Ε. και προς τις Η.Π.Α., τον Ιούλιο του 2019, έλαβε χώρα ακρόαση από το Δ.Ε.Ε. για τη συνέχεια της υποθέσεως Schrems Ι, την υπόθεση Schrems II^[6]. Στην υπόθεση αυτή, οι λόγοι προσφυγής ήταν αφενός η ακύρωση του Safe Harbor Framework και αφετέρου η παραβίαση προσωπικών δεδομένων που λάμβανε χώρα μέσω του μηχανισμού νομιμοποιήσεως της διαβιβάσεως προσωπικών δεδομένων του Facebook, έχοντας τις ίδιες νομικές βάσεις με την πρώτη υπόθεση. Στην ακρόαση της υποθέσεως δε, ο προσφεύγων ζητούσε και την ακύρωση του Privacy Shield.

Τον Ιούλιο του 2020 το Δ.Ε.Ε. αποφάσισε την ακύρωση του Privacy Shield λόγω αδυναμίας παροχής ικανοποιητικού και ισοδύναμου προς την Ε.Ε. επιπέδου προστασίας από την πλευρά των Η.Π.Α.. Η ακύρωση του Privacy Shield – ελλείψει νέου μηχανισμού- δημιούργησε αβεβαιότητα και ερωτηματικά στις επιχειρήσεις που εξήγαγαν δεδομένα, σχετικά με τον τρόπο με τον οποίο θα πραγματοποιούνταν στο επόμενο διάστημα οι διαβιβάσεις δεδομένων προσωπικού χαρακτήρα μεταξύ Ε.Ε. και Η.Π.Α. Γι’ αυτόν τον λόγο, στις 4 Ιουνίου 2021^[7], η Ευρωπαϊκή Επιτροπή εισήγαγε «Νέες Τυποποιημένες Συμβατικές Ρήτρες (SCCs)», με βάση τις οποίες θα πραγματοποιούνταν στο εξής οι διαβιβάσεις δεδομένων προσωπικού χαρακτήρα από την Ε.Ε. και την Ευρωπαϊκή Οικονομική Ζώνη – Ε.Ο.Ζ. (European Economic Area -E.E.A.) προς τρίτες χώρες, των οποίων τα καθεστώτα προστασίας δεδομένων δεν έχουν κριθεί από την Επιτροπή. Σύμφωνα με το Eυρωπαϊκό Συμβούλιο Προστασίας Δεδομένων, όταν δεν υπάρχει Απόφαση Επάρκειας της Επιτροπής, ο υπεύθυνος επεξεργασίας είναι αρμόδιος να κρίνει το καθεστώς του κράτους μέλους. Το ίδιο αποφάνθηκε και το Δ.Ε.Ε. στην Απόφαση Schrems II. Στην υιοθέτηση των Νέων Τυποποιημένων Συμβατικών Ρητρών, η απόφαση Schrems II του Δ.Ε.Ε. διαδραμάτισε αδιαμφισβήτητα σημαντικό ρόλο, καθώς φαίνεται πως οι νέες ρήτρες είναι προσαρμοσμένες στις νέες τεχνολογικές εξελίξεις και προκλήσεις, αφού οι διαβιβάσεις δεδομένων προς τρίτες χώρες μπορεί να έχουν αφενός και εξωεδαφική εφαρμογή και αφετέρου να πραγματοποιούνται με επιπλέον «σχήματα» εξαγωγέων και εισαγωγέων δεδομένων.

ΙΙ. Η μέχρι τώρα προκληθείσα αμηχανία

Το πρόβλημα της ελλείψεως ασφαλούς διαβιβάσεως δεδομένων εκτός Ε.Ο.Ζ. οδήγησε πολλές εταιρείες και οργανισμούς σε αμηχανία. Οι περισσότερες εταιρείες έχουν ενσωματώσει το εργαλείο Google Analytics για την επεξεργασία δεδομένων των χρηστών τους. Η αφαίρεση αυτού ένεκα της μη ασφαλούς διαβιβάσεως εκτός Ε.Ο.Ζ. δεν ήταν απροβλημάτιστη. Δεν ήταν ευχερής η ανεύρεση μιας εταιρείας που παρέχει τις υπηρεσίες αναλύσεως και εγγυάται την μη εξαγωγή εκτός Ε.Ο.Ζ. των υπό επεξεργασία δεδομένων. Επιπρόσθετα, δεν πρέπει να διαλάθει της προσοχής μας ότι ο έλεγχος του εκτελούντος την επεξεργασία, όπως της Google, από τις εταιρείες που τη χρησιμοποιούσαν ήταν ουτοπικός. Εν προκειμένω, παρατηρείται μια μεγάλη ανισότητα οικονομικών πόρων και διαπραγματευτικής δυνάμεως μεταξύ του κολοσσού της Google και οποιουδήποτε από τους πελάτες της, πολύ περισσότερο μιας μικρομεσαίας επιχειρήσεως. Η Google έχει δεσπόζουσα θέση σε παγκόσμιο επίπεδο. Η απόπειρα ασκήσεως των ελεγκτικών δικαιωμάτων μιας εταιρείας ως προς την συμμόρφωση της Google καθίσταται δυστοπική. Και αυτό διότι δεν είναι δυνατόν μια μικρομεσαία επιχείρηση να ελέγξει την Google, αφενός γιατί ένας τέτοιος έλεγχος (ακόμη και αν υποθέσουμε ότι η Google θα έθετε στη διάθεσή της τα συστήματά της) θα συνεπαγόταν έξοδα δυσανάλογα μεγάλα (αν όχι απαγορευτικά) για τον προϋπολογισμό της, αφετέρου γιατί δεν θα μπορούσε να είναι αποτελεσματικός. Πώς μπορούν να ελεγχθούν τα συστήματα της Google που είναι γεωγραφικά διεσπαρμένα σε όλο τον κόσμο; Στις περιπτώσεις στις οποίες κολοσσοί του μεγέθους της Google αναλαμβάνουν τον ρόλο του εκτελούντος την επεξεργασία, μόνον οι επίσημες ελεγκτικές αρχές είναι σε θέση εκ των πραγμάτων να διενεργήσουν ουσιαστικούς και αποτελεσματικούς ελέγχους στα συστήματά τους. Αποτελεί μάλιστα υποχρέωση των ελεγκτικών αρχών να διενεργούν τέτοιους ελέγχους σε εταιρείες με τόσο απόλυτα δεσπόζουσα θέση στην παγκόσμια αγορά, ώστε να διασφαλίζεται η προστασία των προσωπικών δεδομένων των υποκειμένων. Είναι γεγονός ότι ο Γ.Κ.Π.Δ. αποδίδει στο άρθρο 28 παρ. 3 ζ΄ στον υπεύθυνο επεξεργασίας την υποχρέωση ελέγχου της συμμορφώσεως του εκτελούντος την επεξεργασία. Σε περιπτώσεις ακραίας διαπραγματευτικής και οικονομικής ανισότητας μεταξύ υπευθύνου επεξεργασίας και εκτελούντος την επεξεργασία (όπως αυτή που χαρακτηρίζει τη σχέση της Google με οποιονδήποτε πελάτη της), το να εμμένει κανείς στο γράμμα του νόμου, ενώ αυτό είναι πρακτικά ανεφάρμοστο, θα αποτελούσε εννοιοκρατικό νομικό σχολαστικισμό.

Η απόφαση σχετικά με την ακύρωση του Privacy Shield επηρέασε τη συντριπτική πλειοψηφία των ιστότοπων της Ευρωπαϊκής Ενώσεως, δεδομένου ότι οι περισσότερες έχουν ενσωματωμένο τον κώδικα της Google Analytics. Ενώ η απόφαση του Δ.Ε.Ε. ήταν σαφής ως προς την κήρυξη του Privacy Shield ως ανίσχυρου, δεν ήταν εξίσου σαφής ως προς τους όρους υπό τους οποίους θα μπορούσε να γίνεται εφεξής διαβίβαση δεδομένων στις Η.Π.Α.. Σύμφωνα με την απόφαση, εξακολουθούν να ισχύουν τα standard contractual clauses, αλλά απαιτούνται κάποια συμπληρωματικά μέτρα («supplementary measures»), τα οποία, όμως, δεν διευκρινίστηκαν στη συγκεκριμένη απόφαση του Δικαστηρίου. Επιπλέον, αμέσως μετά την έκδοση της αποφάσεως δεν δημοσιεύθηκαν συγκεκριμένες και επαρκείς κατευθυντήριες γραμμές από το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (E.Σ.Π.Δ.), προκειμένου οι υπεύθυνοι επεξεργασίας του δημοσίου και ιδιωτικού τομέα της Ε.Ε. να μπορέσουν να αντεπεξέλθουν στη μεγάλη πρόκληση. Ναι μεν το εν λόγω όργανο εξέδωσε ανακοίνωση την επομένη της δημοσιεύσεως της Αποφάσεως του Δικαστηρίου^[8], ωστόσο, οι σχετικές οδηγίες στερούνταν πρακτικού χαρακτήρα. Οι ειδικοί ανέμεναν ότι, επειδή το θέμα είναι γενικού ενδιαφέροντος, αφού αφορούσε εκατομμύρια ιστοσελίδες στην Ε.Ε., γρήγορα τα αρμόδια όργανα της Ε.Ε. θα ανταποκρίνονταν στον θεσμικό τους ρόλο και θα έδιναν τις απαιτούμενες διευκρινίσεις, έτσι ώστε να μπορέσουν οι υπεύθυνοι επεξεργασίας να συμμορφωθούν στην δυσερμήνευτη απόφαση του Δικαστηρίου. To Ε.Σ.Π.Δ. εξέδωσε εν τέλει συστάσεις οι οποίες δεν επιλύουν πρακτικά ζητήματα.^[9] Την προηγούμενη φορά που κηρύχθηκε ο μηχανισμός πιστοποιήσεως του Safe Harbor ως ανίσχυρος και μέχρι να εγκριθεί η πιστοποίηση της διάδοχης καταστάσεως, δηλαδή του Privacy Shield, μεσολάβησε μια μεταβατική περίοδος «χάριτος» κατά την οποία οι εποπτικές αρχές, γνωρίζοντας την καθολικότητα του προβλήματος που είχε προκύψει, δεν προέβησαν σε ελέγχους και επιβολές προστίμων για το συγκεκριμένο ζήτημα (δηλαδή διαβίβαση δεδομένων στις Η.Π.Α., ενώ είχε ακυρωθεί το σύστημα πιστοποιήσεως του Safe Harbor). Μια πρόχειρη έρευνα καταδεικνύει ότι στην πλειονότητά τους οι εταιρείες παροχής λογισμικών analytics είτε είχαν έδρα στις Η.Π.Α. είτε συνεργάζονταν για τους σκοπούς αποθηκεύσεως των δεδομένων με «υποεκτελούντες» («sub-processors») εγκατεστημένους στις Η.Π.Α.. Αξίζει επίσης να σημειωθεί ότι αντίστοιχα λογισμικά εντός Ε.Ο.Ζ. απαιτούσαν δυσανάλογο κόστος για μια μικρομεσαία εταιρεία σε σχέση με τον επιδιωκόμενο σκοπό της συλλογής στατιστικών στοιχείων, δεδομένου ότι προϋπέθεταν την μίσθωση πολύ ακριβών servers προκειμένου να ανταπεξέλθουν στην επισκεψιμότητα του ιστοτόπου. Σημειωτέον ότι οι αντίστοιχες υπηρεσίες της Google Analytics είναι δωρεάν και δεν προϋποθέτουν τη μίσθωση servers. Με την έκδοση της Αποφάσεως του Δ.Ε.Ε. η πλειονότητα των εταιρειών που είχαν ενσωματώσει το Εργαλείο της Google στους ιστότοπούς τους βρέθηκαν ουσιαστικά «εκτεθειμένες», λόγω της πολυπλοκότητας του θέματος, αλλά και της θεαματικής αποστασιοποιήσεως του Eυρωπαϊκού Συμβουλίου Προστασίας Δεδομένων. Στην προκειμένη, όμως, περίπτωση, η παροχή συγκεκριμένων και πρακτικών κατευθύνσεων -και όχι αφηρημένων-ήταν απολύτως αναγκαία, ιδίως λόγω της εμπλοκής της Google, η οποία έχει δεσπόζουσα θέση στην παγκόσμια αγορά και έναν συνακόλουθα υψηλό βαθμό παρεισφρήσεως στο Διαδίκτυο σε ολόκληρη την Ε.Ε.. Είναι πολύ ενδιαφέρον, πάντως, ότι πάρα πολλοί δημόσιοι οργανισμοί και εθνικές αρχές (μεταξύ αυτών και κάποιες με αντικείμενο εξειδικεύσεως σε θέματα ασφάλειας), όχι μόνο στην Ελλάδα, αλλά σε ολόκληρη των Ε.Ε., ενσωματώνουν ακόμη στις ιστοσελίδες τους τον Κώδικα του Εργαλείου της Google Analytics. Πράγματι, σε συνέχεια σχετικής έρευνας ιδίως μέσω του εργαλείου «cookiebot» (https://www.cookiebot.com) και των αντίστοιχων αναρτημένων πολιτικών ενημερώσεως για τη χρήση «cookies», που αφορούσε στην κατάσταση των ιστοσελίδων άλλων υπεύθυνων επεξεργασίας, διαπιστώνει κανείς ότι φορείς ευρείας επισκεψιμότητας, τόσο του δημοσίου όσο και του ιδιωτικού τομέα, έχουν εγκατεστημένο και εξακολουθούν να χρησιμοποιούν το Εργαλείο «Google Analytics».

Την ανωτέρω προκληθείσα αμηχανία ενστερνίστηκαν αλλοδαπές εποπτικές αρχές. Τον Ιανουάριο του 2022, η Αυστριακή Αρχή Προστασίας Δεδομένων εξέδωσε απόφαση^[10], η οποία κατέληξε στο συμπέρασμα ότι η συνεχής χρήση του Google Analytics παραβιάζει τον Γ.Κ.Π.Δ.. Σύμφωνα με την αυστριακή αρχή, όταν επισκέπτεται κανείς έναν ιστότοπο που χρησιμοποιεί το Google Analytics, εκχωρείται ένας αριθμός αναγνωρίσεως του Google Analytics στο πρόγραμμα περιηγήσεως του επισκέπτη. Οι επισκέπτες μπορούν να εξατομικεύονται και να τυγχάνουν διαφορετικής μεταχειρίσεως με βάση αυτόν τον αριθμό αναγνωρίσεως. Επιπλέον, είναι δυνατόν να συνδυασθεί αυτός ο αριθμός αναγνωρίσεως με περαιτέρω πληροφορίες, όπως η διεύθυνση IP ή ορισμένα δεδομένα του προγράμματος περιηγήσεως. Αυτός ο συνδυασμός δημιουργεί ένα μοναδικό ψηφιακό αποτύπωμα που μπορεί να αποδοθεί στον χρήστη του προγράμματος περιηγήσεως. Εάν ένας επισκέπτης είναι συνδεδεμένος στο λογαριασμό του Google κατά την επίσκεψη σε έναν τέτοιο ιστότοπο, οι πληροφορίες σχετικά με την επίσκεψη στον ιστότοπο μπορούν επίσης να αποδοθούν στον αντίστοιχο λογαριασμό Google. Κατά τη διαδικασία καταγγελίας, διαπιστώθηκε ότι αυτό το ψηφιακό αποτύπωμα διαβιβάστηκε επίσης στους διακομιστές της Google LLC, η οποία εδρεύει στις Η.Π.Α.. Ο διαχειριστής του ιστότοπου και η Google LLC έχουν συνάψει τυποποιημένες ρήτρες προστασίας δεδομένων (όπως τροποποιήθηκε από την εκτελεστική απόφαση 2010/87/ΕΕ της Ευρωπαϊκής Επιτροπής της 5ης Φεβρουαρίου 2010). Με βάση τη νομολογία του Δ.Ε.Ε. στην υπόθεση C-311/18 (“Schrems II”), η εν λόγω διαβίβαση δεδομένων κρίθηκε παράνομη, διότι δεν υπήρχε επαρκές επίπεδο προστασίας για τα διαβιβαζόμενα δεδομένα προσωπικού χαρακτήρα, όπως απαιτεί το άρθρο 44 του ΓΚΠΔ. Κατά την άποψη της αυστριακής αρχής, τα μέτρα που εφαρμόστηκαν επιπλέον των τυποποιημένων ρητρών προστασίας δεδομένων δεν ήταν αποτελεσματικά, καθώς δεν εξάλειψαν τις δυνατότητες παρακολουθήσεως και προσβάσεως από τις αμερικανικές υπηρεσίες πληροφοριών που εντόπισε το Δ.Ε.Ε.. Ως εκ τούτου, η αυστριακή αρχή εξέδωσε απόφαση στην οποία αναφέρει ότι οι φορείς εκμεταλλεύσεως ιστότοπων δεν μπορούν να χρησιμοποιούν το εργαλείο Google Analytics σύμφωνα με τον Γ.Κ.Π.Δ. (τουλάχιστον βάσει των πραγματικών περιστατικών που καθορίζονται στην απόφαση).

Στη συνέχεια, ακολούθησε και η Γαλλική Αρχή Προστασίας Δεδομένων, η οποία με απόφασή της^[11], αξίωσε από τρεις γαλλικούς ιστότοπους που χρησιμοποιούσαν το Google Analytics, να συμμορφωθούν με τον Γ.Κ.Π.Δ.. Παρόλο που η Google είχε λάβει πρόσθετα μέτρα σχετικά με τη διαβίβαση δεδομένων στο πλαίσιο αυτό, η γαλλική αρχή κατέληξε στο συμπέρασμα ότι τα μέτρα αυτά δεν ήταν επαρκή, ώστε να αποτρέψουν την πρόσβαση των αμερικανικών υπηρεσιών πληροφοριών στα προσωπικά δεδομένα^[12]. Πιο αναλυτικά, η γαλλική αρχή αξίωσε από τους διαχειριστές των ιστότοπων να προβούν σε συμμόρφωση με τον Γ.Κ.Π.Δ. για την επεξεργασία προσωπικών δεδομένων, εντός ενός μηνός. Η πρόταση της γαλλικής αρχής ήταν είτε να παύσει εντελώς η χρήση του Google Analytics στην τρέχουσα μορφή της, είτε στο εξής να χρησιμοποιούνται εργαλεία παρακολουθήσεως που δεν συνεπάγονται τη διαβίβαση δεδομένων προσωπικού χαρακτήρα εκτός Ε.Ε.. Επίσης, διευκρίνισε ότι εξέδωσε παρόμοιες συστάσεις και προς άλλους φορείς διαχειρίσεως ιστότοπων που χρησιμοποιούν το Google Analytics. Τέλος, η γαλλική αρχή απηύθυνε γενική σύσταση προς τους υπευθύνους επεξεργασίας, να χρησιμοποιούν υπηρεσίες μετρήσεως και αναλύσεως της επισκεψιμότητας των ιστότοπων, που παράγουν μόνο ανώνυμα στατιστικά δεδομένα, σημειώνοντας ότι με τον τρόπο αυτό θα μπορούσε ενδεχομένως να αποφευχθεί η απαίτηση λήψεως συγκαταθέσεως των χρηστών, υπό την προϋπόθεση ότι δεν υπάρχουν παράνομες διαβιβάσεις. Η γαλλική αρχή αξιολογεί επί του παρόντος ποιες λύσεις θα μπορούσαν ενδεχομένως να εμπίπτουν σε αυτή την εξαίρεση.

Αυτές οι αποφάσεις των ευρωπαϊκών ανεξάρτητων αρχών, βασίστηκαν στις 101 καταγγελίες του Noyb^[13], οι οποίες υποβλήθηκαν μετά από την απόφαση του Δ.Ε.Ε. που ακύρωσε το Privacy Shield, ενώ το Νoyb αναμένει την έκδοση και άλλων παρόμοιων αποφάσεων και από τις άλλες αρχές. Σύμφωνα με τον επίτιμο πρόεδρο και συνιδρυτή του Noyb, Maximilian Schrems, “είναι ενδιαφέρον να βλέπουμε ότι οι διάφορες ευρωπαϊκές αρχές προστασίας δεδομένων καταλήγουν όλες στο ίδιο συμπέρασμα: η χρήση του Google Analytics είναι παράνομη. Υπάρχει μια ευρωπαϊκή ομάδα εργασίας και υποθέτουμε ότι η δράση αυτή είναι συντονισμένη και ότι και άλλες αρχές θα αποφασίσουν παρόμοια”. Οι εν λόγω καταγγελίες υποβλήθηκαν σε διάφορες αρχές προστασίας δεδομένων της Ε.Ε. και της Ε.Ο.Ζ. κατά ορισμένων ιστότοπων με έδρα την Ε.Ε., οι οποίοι, σύμφωνα με τους ισχυρισμούς της Νoyb, διαβίβαζαν δεδομένα χρηστών στις Η.Π.Α. κατά παράβαση της αποφάσεως του Δ.Ε.Ε. στην υπόθεση Schrems II. Ενώ η ακύρωση του Privacy Shield προκάλεσε αναστάτωση στον κλάδο της τεχνολογίας, οι πάροχοι των Η.Π.Α. και οι εξαγωγείς δεδομένων της Ε.Ε. αγνόησαν σε μεγάλο βαθμό την απόφαση του Δ.Ε.Ε.. Συγκεκριμένα, η Google (παρομοίως και η Microsoft, το Facebook και η Amazon), βασίστηκε στις λεγόμενες «Τυποποιημένες Συμβατικές Ρήτρες» για να συνεχίσει τη διαβίβαση δεδομένων και να καθησυχάσει τους ευρωπαίους επιχειρηματικούς εταίρους της. Σχετικά με τις διαβιβάσεις δεδομένων από ιστότοπους της Ε.Ε. προς τις Η.Π.Α., το Google Analytics είναι το πιο διαδεδομένο στατιστικό πρόγραμμα. Παρόλο που υπάρχουν πολλές εναλλακτικές λύσεις στην Ευρώπη, πολλοί ιστότοποι βασίζονται στην Google Analytics και έτσι διαβιβάζουν τα δεδομένα των χρηστών τους στην αμερικανική πολυεθνική. Το γεγονός ότι οι ευρωπαϊκές αρχές προστασίας δεδομένων ενδέχεται πλέον να κηρύξουν σταδιακά τις αμερικανικές υπηρεσίες παράνομες, ασκεί πρόσθετη πίεση στις εταιρείες της Ε.Ε. και στους παρόχους των Η.Π.Α., ώστε να στραφούν προς ασφαλείς και νόμιμες επιλογές, όπως η φιλοξενία εκτός των Η.Π.Α.. Μακροπρόθεσμα, φαίνεται να υπάρχουν δύο επιλογές: Είτε οι Η.Π.Α. να προσαρμόσουν τις πολιτικές προστασίας για τους Ευρωπαίους, για να στηρίξουν την τεχνολογική τους βιομηχανία, είτε οι πάροχοι των Η.Π.Α. να μη φιλοξενούν στο εξής τα δεδομένα των Ευρωπαίων εκτός των Η.Π.Α..

Tην αυτή δυσθυμία για τις διαβιβάσεις εκτός Ε.Ο.Ζ. εξέφρασε και η ελληνική Α.Π.Δ.Π.Χ στην απόφαση 50/2021, αναφορικά με τη διαδικασία σύγχρονης εξ αποστάσεως εκπαίδευσης από το Υπουργείο Παιδείας. Η Αρχή διαπίστωσε ότι πραγματοποιείται διαβίβαση δεδομένων από το Υπουργείο με την ιδιότητά του ως υπευθύνου επεξεργασίας προς την εδρεύουσα στις Η.Π.Α. Cisco. Οι δραστηριότητες επεξεργασίας εξειδικεύονται στο παράρτημα των ρητρών στους εξής επιμέρους σκοπούς: εγγραφή του πελάτη στην υπηρεσία, εμφάνιση της εικόνας avatar ενός χρήστη σε άλλους χρήστες, παροχή υποστηρίξεως, κατανόηση του τρόπου λειτουργίας, διάγνωση τεχνικών θεμάτων, βελτίωση της υπηρεσίας με ανάλυση συγκεντρωτικών στοιχείων, απάντηση σε αιτήματα πελάτη, παροχή προαιρετικών συστατικών της υπηρεσίας, επίβλεψη ποιότητας της υπηρεσίας, ανάλυση της υπηρεσίας. Κατά την Αρχή, η εταιρεία Cisco (εν προκειμένω ο όμιλος και οι εταιρείες του) υπόκειται στο δίκαιο των Η.Π.Α., συνεπώς, κατ’ αρχήν, δεν εξασφαλίζεται επαρκές επίπεδο προστασίας προσωπικών δεδομένων. Επομένως, κάθε διαβίβαση πρέπει να εξετάζεται ξεχωριστά ως προς τη νομιμότητά της.

Τα ανακύπτοντα ζητήματα είναι πολλά και δισεπίλυτα. Ο έλεγχος των εποπτικών αρχών δύναται να εγείρει ζητήματα μη ισότιμης μεταχειρίσεως των μεγάλων ελεγχόμενων εταιρειών που αναγκάζονται να συμμορφωθούν και των μικρομεσαίων και μικρών επιχειρήσεων που δεν συμμορφώνονται ένεκα απουσίας ελέγχου από τις εποπτικές αρχές. Με τον τρόπο αυτό τίθενται σε μειονεκτική θέση οι ελεγχόμενες εταιρείες οι οποίες αναγκάζονται να εγκαταλείψουν το εργαλείο της Google Analytics έναντι των ανταγωνιστών της, οι οποίοι εξακολουθούν να ενσωματώνουν το εργαλείο δωρεάν.

ΙΙΙ. Συμφωνία Ε.Ε. και Η.Π.Α. για την υιοθέτηση νέου μηχανισμού διατλαντικών διαβιβάσεων – ‘’Trans-Atlantic Data Privacy Framework’’

Στις 25 Μαρτίου 2022, ο πρόεδρος των Η.Π.Α., Joe Biden, και η Πρόεδρος της Ευρωπαϊκής Επιτροπής, Ursula von der Leyen, ανακοίνωσαν ότι συμφώνησαν καταρχήν και έπειτα από πολύμηνες διαπραγματεύσεις στην κατάρτιση νέου πλαισίου για τις διατλαντικές διαβιβάσεις δεδομένων προσωπικού χαρακτήρα. Το νέο πλαίσιο (Trans-Atlantic Data Privacy Framework), θα έχει ως στόχο του την επίλυση των ζητημάτων σχετικά με την ασφάλεια των διατλαντικών διαβιβάσεων δεδομένων προσωπικού χαρακτήρα, όπως αναδείχθηκαν από την απόφαση Schrems II του Δ.Ε.Ε. τον Ιούλιο του 2020, καθώς και την καθιέρωση της «προβλεψιμότητας» για τις ζωτικής σημασίας για την οικονομία διατλαντικές ροές δεδομένων προσωπικού χαρακτήρα.

Οι διαπραγματεύσεις για τον νέο μηχανισμό βασίστηκαν σε δύο πυλώνες:

1) Το νέο πλαίσιο για τις διατλαντικές διαβιβάσεις δεδομένων προσωπικού χαρακτήρα θα πρέπει να πληροί τις προϋποθέσεις που θέτουν τα ευρωπαϊκά πρότυπα σχετικά με την τήρηση από την πλευρά των Η.Π.Α. των κριτηρίων της «αναγκαιότητας» και την «αναλογικότητας» (που αποτελούν και το στενό πυρήνα της θεμελιώδους αρχής της αναλογικότητας του συνταγματικού δικαίου), όταν πρόκειται για την πρόσβαση των αμερικανικών αρχών πληροφοριών σε δεδομένα προσωπικού χαρακτήρα που διαβιβάζονται από την Ε.Ε., για δραστηριότητες που αφορούν στην εθνική ασφάλεια.

2) Το νέο πλαίσιο, θα πρέπει να παρέχει έναν επαρκή και αποτελεσματικό μηχανισμό προσφυγής για τους Ευρωπαίους πολίτες/κατοίκους, των οποίων τα δεδομένα προσωπικού χαρακτήρα έχουν υποστεί παράνομη επεξεργασία.

Οι ανακοινώσεις εκ μέρους του Λευκού Οίκου και της Ευρωπαϊκής Επιτροπής αναφέρουν ότι οι Η.Π.Α. έχουν δεσμευτεί να εφαρμόσουν νέες δικλείδες ασφαλείας, οι οποίες θα εγγυώνται ότι η πρόσβαση των αμερικανικών αρχών πληροφοριών στα δεδομένα αυτά θα πραγματοποιείται μόνον όταν αυτή είναι «αναγκαία» για την εξυπηρέτηση των στόχων εθνικής ασφάλειας και χωρίς να εγείρονται δυσανάλογες επιπτώσεις στην προστασία του ιδιωτικού βίου και των ατομικών ελευθεριών. Επιπλέον, δεσμεύονται ότι το νέο πλαίσιο θα προβλέπει ένα ανεξάρτητο «διμερές σύστημα προσφυγής», με δεσμευτική αρμοδιότητα για την άμεση λήψη διορθωτικών μέτρων και την ενίσχυση της αυστηρής και πολυεπίπεδης εποπτείας των δραστηριοτήτων πληροφοριών σημάτων – «Νοημοσύνης Σημάτων» (Signals Intelligence Activities^[14]), προκειμένου να διασφαλισθεί η συμμόρφωση με τους περιορισμούς στις δραστηριότητες επιτηρήσεως. Παράλληλα, προβλέπεται η λειτουργία Ανεξάρτητης Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα καθώς και Δικαστηρίου Ελέγχου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.

Συγκεκριμένα, ο πρόεδρος των Η.Π.Α., Joe Biden, δήλωσε ότι «η νέα συμφωνία περιλαμβάνει μια άνευ προηγουμένου προστασία της ιδιωτικής ζωής και της ασφάλειας των δεδομένων και υπογραμμίζει την κοινή μας δέσμευση για την προστασία της ιδιωτικής ζωής, την προστασία των δεδομένων προσωπικού χαρακτήρα και το κράτος δικαίου», ενώ η πρόεδρος της Ευρωπαϊκής Επιτροπής, Ursula von der Leyen, δήλωσε ότι «η νέα συμφωνία θα επιτρέψει την προβλέψιμη και αξιόπιστη ροή δεδομένων μεταξύ της Ε.Ε. και των Η.Π.Α., διασφαλίζοντας την προστασία της ιδιωτικής ζωής και των ατομικών ελευθεριών».

Σύμφωνα με το Δελτίο Τύπου της Ευρωπαϊκής Επιτροπής, ^[15] το διατλαντικό πλαίσιο προστασίας των προσωπικών δεδομένων αντανακλά περισσότερο από ένα έτος λεπτομερών διαπραγματεύσεων μεταξύ των Η.Π.Α. και της Ε.Ε., με επικεφαλής την Υπουργό Εμπορίου των Η.Π.Α., Gina Raimondo, και τον Επίτροπο Δικαιοσύνης της Ε.Ε., Didier Reynders. Το νέο πλαίσιο θα παρέχει μια διαρκή βάση για τις διατλαντικές ροές δεδομένων, οι οποίες είναι κρίσιμες για την προστασία των δικαιωμάτων των πολιτών και την ενίσχυση του διατλαντικού εμπορίου. Περαιτέρω, με την ενίσχυση των διασυνοριακών ροών δεδομένων, το νέο πλαίσιο θα προωθήσει μια ψηφιακή οικονομία χωρίς αποκλεισμούς, στην οποία θα μπορούν να συμμετέχουν όλοι και στην οποία, επιχειρήσεις όλων των μεγεθών μπορούν να ευδοκιμήσουν.

Η ανακοίνωση αυτή αποτελεί και μια απόδειξη της ισχύος της σχέσεως Η.Π.Α.-Ε.Ε., δεδομένου ότι με το νέο πλαίσιο ενισχύεται η μεταξύ τους συνεργασία, ως μια ευρύτερη κοινότητα δημοκρατιών, με απώτερο σκοπό την επίτευξη της ασφάλειας, τον σεβασμό της ιδιωτικής ζωής, αλλά και τη δημιουργία οικονομικών ευκαιριών για τις επιχειρήσεις και τους πολίτες. Τους σκοπούς αυτούς θα εξυπηρετεί και το Συμβούλιο Εμπορίου και Τεχνολογίας Ε.Ε.-Η.Π.Α.^[16] αλλά και άλλοι οργανισμοί, όπως ο Οργανισμός Οικονομικής Συνεργασίας και Αναπτύξεως, σχετικά με τις ψηφιακές πολιτικές.

Στο επόμενο διάστημα, η Ε.Ε. και οι Η.Π.Α. θα συνεχίσουν τη συνεργασία τους, ώστε να μετουσιώσουν τη συμφωνία αυτή υπό τη μορφή νομικών εγγράφων, τα οποία πρέπει να εγκριθούν αμφοτέρωθεν, ώστε να τεθεί σε εφαρμογή το Trans-Atlantic Data Protection Framework. Για τον σκοπό αυτό, οι εν λόγω δεσμεύσεις από την πλευρά των Η.Π.Α. θα συμπεριληφθούν σε εκτελεστικό διάταγμα, το οποίο θα αποτελέσει το θεμέλιο της για μια μελλοντική της απόφαση επάρκειας από την Ευρωπαϊκή Επιτροπή.

ΙV. Επίλογος

Η πρόσφατη συμφωνία μεταξύ Ε.Ε. και Η.Π.Α. για δημιουργία νέου πλαισίου διατλαντικών διαβιβάσεων δεδομένων προσωπικού χαρακτήρα αποτελεί αδιαμφισβήτητα μια πολύ σημαντική εξέλιξη για το δίκαιο της προστασίας δεδομένων προσωπικού χαρακτήρα. Η απόφαση Schrems II του 2020 και η ακύρωση του Privacy Shield συνετέλεσαν στη σημερινή συμφωνία, φέρνοντας στο φως όλες τις παθογένειες του προηγούμενου πλαισίου, κυρίως ως προς την αποτυχία ουσιαστικής προστασίας των δεδομένων προσωπικού χαρακτήρα. Συγκεκριμένα, η αδυναμία παροχής ικανοποιητικού και ισοδύναμου προς την Ε.Ε. επιπέδου προστασίας, οι παραβιάσεις δεδομένων προσωπικού χαρακτήρα Ευρωπαίων από τις αμερικάνικες αρχές πληροφοριών μέσω δραστηριοτήτων παρακολουθήσεως πληροφοριών υπό την επίκληση λόγων εθνικής ασφάλειας, καθώς και η ανεπάρκεια των μηχανισμών προσφυγής ήταν παράγοντες που συνέτειναν άρδην στην αμφισβήτηση και εν τέλει ακύρωση του Privacy Shield. Το νέο πλαίσιο, το οποίο στοχεύει ευθέως στην επίλυση των ανωτέρω ζητημάτων, ευελπιστούμε πως θα υπερακοντίσει τα προβλήματα του παρελθόντος, προβλέποντας σαφείς και οριοθετημένες προϋποθέσεις σχετικά με την ασφαλή διαβίβαση δεδομένων προσωπικού χαρακτήρα, θα θέσει περιορισμούς ως προς την τήρηση του «αναγκαίου» και του «αναλογικού» της προσβάσεως που δύνανται να έχουν οι Η.Π.Α. σε διαβιβαζόμενα δεδομένα προσωπικού χαρακτήρα, και πως, τέλος, θα δημιουργήσει ασφάλεια δικαίου μέσω της λειτουργία αποτελεσματικών μηχανισμών ελέγχου συμμορφώσεως. Το Trans-Atlantic Data Privacy Framework, εάν καταφέρει να λειτουργήσει σωστά, εγκαθιδρύοντας την ασφάλεια και την προβλεψιμότητα, την οποία έχουν ανάγκη τόσο τα υποκείμενα όσο και οι επιχειρήσεις που μετέχουν στις διαβιβάσεις δεδομένων, θα διευκολύνει την απελευθέρωση των – ζωτικής σημασίας για την συνεχώς «ψηφιοποιούμενη» οικονομία Ε.Ε. και Η.Π.Α.- διατλαντικών διαβιβάσεων δεδομένων προσωπικού χαρακτήρα. Έτσι, σε ένα πιθανό κλίμα σταθερότητας που μπορεί να επιφέρει η εφαρμογή του, θα μπορούν να συμμετέχουν χωρίς ανασφάλεια και αμφιβολίες και μικρές και μικρομεσαίες επιχειρήσεις και να ενισχυθεί το διατλαντικό εμπόριο. Εν κατακλείδι, φαίνεται πως η πρόσφατη συμφωνία, αντανακλά τη φιλοδοξία να τεθούν στόχοι μακροπρόθεσμοι, που ως επίκεντρό τους θα έχουν αφενός την ενδελεχή προστασία των υποκειμένων των δεδομένων προσωπικού χαρακτήρα – αποκρυσταλλώνοντας τον σκοπό του Γ.Κ.Π.Δ. – και αφετέρου την ενίσχυση της οικονομίας και των διατλαντικών σχέσεων. Ας ελπίσουμε ότι η νέα συμφωνία θα είναι επιτυχής και δεν θα καταλήξει σε μια νέα απόφαση Schrems III.

Σουζάνα Παπακωνσταντίνου
Υπ. Δρ Παντείου Πανεπιστημίου, Μ.Δ.Ε. (Ε.Κ.Π.Α.)*

Φερενίκη Παναγοπούλου
Επίκ. Καθηγήτρια Παντείου Πανεπιστημίου
Δ.Ν. (Humboldt), Μ.Δ.Ε. (Ε.Κ.Π.Α.), M.P.H. (Harvard) **

Υποσημειώσεις:

* Η Σουζάνα Παπακωνσταντίνου έγραψε τα Κεφάλαια Ι, ΙΙΙ και ΙV.

** H Φερενίκη Παναγοπούλου έγραψε το Κεφάλαιο ΙΙ.

[1] Βλ. Γ. Ν. Γιαννόπουλο, Προστασία προσωπικών δεδομένων και διασυνοριακή ροή πληροφοριών: το πρόβλημα του «ικανοποιητικού επιπέδου προστασίας», ΔτΑ 2001, σ. 733 επ. (741)∙ Φ. Παναγοπούλου-Κουτνατζή, Συνταγματικές προεκτάσεις των μηχανισμών διευρύνσεως της προστασίας δεδομένων προσωπικού χαρακτήρα πέραν της ΕΕ: Εξωεδαφική εφαρμογή του ΓΚΠΔ και διασυνοριακή διαβίβαση δεδομένων, ΔiMEE 2019, σ. 504 επ. (504).

[2] Βλ. Σπ. Βλαχόπουλο, Διασυνοριακή μεταβίβαση δεδομένων προσωπικού χαρακτήρα από την Ευρωπαϊκή Ένωση προς τρίτες χώρες: Οι τελευταίες εξελίξεις, σε: Β. Τζώρτζη (επιμ.), Προστασία των δεδομένων προσωπικού χαρακτήρα, Εκδόσεις Σάκκουλα, Αθήνα-Θεσσαλονίκη 2018, σ. 27 επ. (27).

[3] Για το πλαίσιο διαβιβάσεων υπό το καθεστώς του Γ.Κ.Π.Δ., βλ. διεξοδ. Κ. Λωσταράκου, Διεθνείς διαβιβάσεις δεδομένων υπό τον Νέο Κανονισμό, σε: Λ. Μενουδάκο/Λ. Κοτσαλή (επιμ.), Γενικός Κανονισμός για την Προστασία των Προσωπικών Δεδομένων (GDPR), Nομική διάσταση και πρακτική εφαρμογή, 2^η έκδοση, Εκδόσεις Νομική Βιβλιοθήκη, Αθήνα 2021, σ. 355 επ..

[4] Βλ. Δ.Ε.Ε., C-362/14 (Grand Chamber), Maximillian Schrems v. Data Protection Commissioner, 6.10.2015, διαθέσιμη σε: https://curia.europa.eu/juris/liste.jsf?num=C-362/14.

[5] Πηγή: https://en.wikipedia.org/wiki/Facebook%E2%80%93Cambridge_Analytica_data_scandal.

[6] Βλ. Δ.Ε.Ε., C-311/18 (Grand Chamber), Data Protection Commissioner v. Facebook Ireland Limited and Maximillian Schrems, 16.7.2020, διαθέσιμη σε: https://curia.europa.eu/juris/liste.jsf?num=C-311/18.

[7] Βλ.Ευρωπαϊκή Επιτροπή, European Commission adopts new tools for safe exchanges of personal data, δελτίο τύπου, 4.6.2021, διαθέσιμο σε: https://ec.europa.eu/commission/presscorner/detail/el/ip_21_2847.

[8]Βλ. Ε.D.P.B., Statement on the Court of Justice of the European Union Judgment in Case C-311/18 – Data Protection Commissioner v. Facebook Ireland and Maximillian Schrems, 17.7.2020, διαθέσιμο σε: https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_statement_20200717_cjeujudgme
ntc-311_18_en.pdf.

[9] Βλ. Ε.D.P.B., Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data, 18.6.2021, διαθέσιμο σε: https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_en.

[10] Βλ. Datenschutz Behörde, D155.027, 2021-0.586.257, διαθέσιμο σε: https://www.dsb.gv.at/download-links/bekanntmachungen.html#Google_Analytics.

[11] Βλ. CNIL, Use of Google Analytics and data transfers to the United States: the CNIL orders a website manager/operator to comply, 10.2.2022, διαθέσιμη σε: https://www.cnil.fr/en/use-google-analytics-and-data-transfers-united-states-cnil-orders-website-manageroperator-comply.

[12] Βλ. N. Parker, L.A. Ancenys, N. Wolters Ruckert, C. Di Lorenzo, CNIL concludes that data transfers to the US through the use of Google Analytics violate GDPR’, ALLEN & OVERY, 15.2.2022, διαθέσιμο σε: https://www.allenovery.com/en-gb/global/blogs/digital-hub/cnil-concludes-that-data-transfers-to-the-us-through-the-use-of-google-analytics-violate-gdpr.

[13] Noyb: European Center for Digital Rights (‘’None of your bussiness’’). To Noyb είναι ένας μη κερδοσκοπικός οργανισμός με έδρα τη Βιέννη της Αυστρίας, που ιδρύθηκε το 2017 και έχει πανευρωπαϊκή δράση. Συνιδρυτής του και επίτιμος πρόεδρός του είναι ο Maximilian Schrems. Στόχοι του Noyb είναι η εκκίνηση στρατηγικών δικαστικών υποθέσεων και η λήψη πρωτοβουλιών στα μέσα μαζικής ενημερώσεως προς υποστήριξη του Γ.Κ.Π.Δ., του σχεδίου Κανονισμού ePrivacy και την προστασία της ιδιωτικής ζωής και της πληροφορίας γενικά.

Βλ. σχετ. https://en.wikipedia.org/wiki/NOYB και https://noyb.eu/en.

[14] Πηγή: https://en.wikipedia.org/wiki/Signals_intelligence.

[15] Βλ. Εuropean Commission, European Commission and United States Joint Statement on Trans-Atlantic Data Privacy Framework, δελτίο τύπου, 25.3.2022, διαθέσιμο σε: https://ec.europa.eu/commission/presscorner/detail/en/ip_22_2087.

[16] Bλ. Ευρωπαϊκή Επιτροπή, Σύσταση του Συμβουλίου Εμπορίου και Τεχνολογίας ΕΕ-ΗΠΑ, που θα λειτουργήσει ως αιχμή του δόρατος για έναν παγκόσμιο ψηφιακό μετασχηματισμό βασισμένο σε αξίες, δελτίο τύπου, 15.6.2021, διαθέσιμο σε: https://ec.europa.eu/commission/presscorner/detail/el/IP_21_2990.