1. Από το καθεστώς Safe Harbor στο καθεστώς Privacy Shield
1.1 Tο Safe Harbor
Ακολουθώντας, λοιπόν, την εκ μέρους της ευρωπαϊκής πλευράς υιοθέτηση της Οδηγίας DPD το 1995, η Ευρώπη και οι Η.Π.Α. εκκίνησαν διαδικασίες διαπραγματεύσεων για την εκπόνηση και την καθιέρωση ενός μηχανισμού, ο οποίος θα επέτρεπε στους αμερικάνικους οργανισμούς και επιχειρήσεις να πληρούν κάποιες βασικές προϋποθέσεις – δικλείδες ασφαλείας απαραίτητα υπό το καθεστώς της ευρωπαϊκής DPD. Συγκεκριμένα, στόχος των διαπραγματεύσεων υπήρξε η ανεύρεση ενός ασφαλούς συστήματος για τη ροή δεδομένων από την Ευρώπη στις Η.Π.Α.. Απόρροια των ως άνω διαπραγματεύσεων ήταν η υιοθέτηση, το έτος 2000, του μηχανισμού Safe Harbor (Ασφαλής Λιμένας), μιας σειράς αρχών, από το Υπουργείο Εμπορίου των Η.Π.Α1. Η Ευρωπαϊκή Επιτροπή αναγνώρισε ότι οι αμερικάνικες επιχειρήσεις, οι οποίες συμμορφώνονται με τις ως άνω αρχές, πληρούν τις προϋποθέσεις και – επομένως – η ροή των δεδομένων από την Ευρώπη προς αυτές καθίστατο επιτρεπτή.
Υπό το καθεστώς του Safe Harbor μια εταιρεία, κάθε επιχείρηση ή οργανισμός των Η.Π.Α. είχε τη δυνατότητα να «αυτοπιστοποιηθεί» ετησίως με σχετική αναφορά στο Υπουργείο Εμπορίου των Η.Π.Α., βεβαιώνοντας ότι συμμορφώνεται με επτά βασικές αρχές2 και περαιτέρω σχετικές προϋποθέσεις, προκειμένου να κριθεί ως επαρκής σε επίπεδο ασφάλειας και προστασίας. Δυνατότητα συμμετοχής στο καθεστώς του Safe Harbor είχε κάθε αμερικάνικη ένωση, η οποία υπαγόταν στο FTC3. Αυτό πρακτικά σήμαινε ότι σχεδόν όλες οι ενώσεις μπορούσαν να υπαχθούν στο καθεστώς, εκτός από τις non profit εταιρείες, τις τράπεζες κτλ.4.
1.2 Η απόφαση Schrems I
Τον Οκτώβριο του 2015 το Δικαστήριο της Ευρωπαϊκής Ένωσης (ΔΕΕ) εξέδωσε μια σημαντική απόφαση, η οποία ακύρωσε τη συμφωνία Safe Harbor4. Η υπόθεση αυτή ξεκίνησε – αρχικώς – ενώπιον της Ιρλανδικής Αρχής Προστασίας Δεδομένων (εφεξής: DPA) από τον Αυστριακό ακτιβιστή, Maximillian Schrems και αφορούσε τη μεταφορά δεδομένων του μέσου κοινωνικής δικτύωσης Facebook από τους servers της Ιρλανδίας στους servers των Η.Π.Α.. Ο Schrems εκκίνησε τη διαδικασία ενώπιον της Αρχής, με αφορμή κάποιες διαρροές εγγράφων που απεδείκνυαν κατασκοπεία εκ μέρους της αμερικάνικης πλευράς5. Αρχικώς, η προσφυγή του Schrems ενώπιον της Αρχής δεν ευδοκίμησε. Εν συνεχεία, ο Schrems προσέφυγε ενώπιον του Ιρλανδικού High Court, το οποίο παρέπεμψε την υπόθεση στο ΔΕΕ.
Στην απόφαση του ΔΕΕ – η οποία έγινε γνωστή ως Schrems I – το Δικαστήριο διαπίστωσε ότι η Ευρωπαϊκή Επιτροπή παρέκαμψε την εξέταση των εσωτερικών νόμων ή τις διεθνών δεσμεύσεων των ΗΠΑ (όπως απαιτείται από την Οδηγία DPD), πριν καταλήξει στο ότι οι αρχές του Safe Harbor παρείχαν επαρκές επίπεδο προστασίας για τα προσωπικά δεδομένα των πολιτών της Ε.Ε.. Επιπλέον, η απόφαση του ΔΕΕ κατέληξε στο ότι οι απαιτήσεις εθνικής ασφάλειας, δημόσιου συμφέροντος και επιβολής του νόμου των Η.Π.Α. φαίνεται να είχαν την πρωτοκαθεδρία σε σχέση με τις αρχές του Safe Harbor, καθώς και ότι – πολύ πιθανόν – οι ΗΠΑ, χάριν των ανωτέρω απαιτήσεων, να αγνοήσουν, χωρίς περιορισμούς, τους προστατευτικούς κανόνες, που θεσπίστηκαν από το Safe Harbor, όπου έρχονται σε αντίθεση με τις ως άνω αμερικάνικες απαιτήσεις. Κατά συνέπεια, το ΔΕΕ κατέληξε στο συμπέρασμα ότι το Safe Harbor «επιτρέπει την παρέμβαση» από τις αρχές των ΗΠΑ «στα θεμελιώδη δικαιώματα των προσώπων των οποίων τα προσωπικά δεδομένα μεταφέρονται ή θα μπορούσαν να μεταφερθούν από την Ευρωπαϊκή Ένωση στις Ηνωμένες Πολιτείες». Επιπλέον, το Δικαστήριο σημείωσε ότι η Ευρωπαϊκή Επιτροπή δεν εξέτασε ούτε την ύπαρξη κανόνων του αμερικανικού δικαίου, αλλά ούτε και την ύπαρξη (ή μη) αποτελεσματικών νομικών διαδικασιών, που θα αποσκοπούσαν στον περιορισμό αυτής της παρέμβασης, όπως – λ.χ.- ένδικα μέσα κλπ6.
Την ίδια περίοδο που εξεδόθη η απόφαση Schrems I του ΔΕΕ, περίπου 4.500 εταιρείες και οργανισμοί συμμετείχαν στο Safe Harbor. Αμερικανοί αξιωματούχοι και επιχειρηματίες απογοητεύτηκαν από την απόφαση και εξέφρασαν ανησυχίες ότι το αποτέλεσμα θα μπορούσε να διαταράξει σημαντικά τις ροές δεδομένων από την Ε.Ε. προς τις Η.Π.Α., με αρνητικές επιπτώσεις στις εμπορικές και οικονομικές σχέσεις των δύο μερών. Ωστόσο, οι ευρωπαϊκές αρχές προστασίας δεδομένων ανακοίνωσαν «περίοδο χάριτος» τεσσάρων μηνών, κατά τη διάρκεια της οποίας, συμφώνησαν να μην επιβάλουν την απόφαση, ενώ – ταυτοχρόνως – οι Η.Π.Α. και Ε.Ε. επανήλθαν εκ νέου σε διαπραγματεύσεις για μια νέα συμφωνία.
1.3 Το Privacy Shield
Αν και ο μηχανισμός του Safe Harbor εφαρμοζόταν σε ένα ευρύ φάσμα επιχειρήσεων και οργανισμών, που συγκεντρώνουν και διατηρούν προσωπικά δεδομένα, το Διαδίκτυο βρισκόταν ακόμη στη εμβρυική φάση του το έτος 2000. Είναι δηλαδή αυτονόητο ότι εύρος των επιχειρήσεων και των οργανισμών (δημόσιων είτε ιδιωτικών), που επεξεργάζονταν μαζικώς δεδομένα και έτι περαιτέρω διασυνοριακά ήταν πολύ πιο περιορισμένος από τον αντίστοιχο σημερινό. Η ως άνω απόφαση του ΔΕΕ, λοιπόν, έδωσε νέα πνοή στις ήδη υπάρχουσες – από το έτος 2013 – διαδικασίες επαναδιαπραγματεύσεων μεταξύ Ευρώπης και Η.Π.Α., προκειμένου το Safe Harbor να καταστεί ασφαλέστερο7. Οι διαδικασίες αυτές αποτελούσαν μέρος πολλών πρωτοβουλιών, που είχαν στόχο την αποκατάσταση της εμπιστοσύνης όσον αφορά τη διασυνοριακή ροή δεδομένων μεταξύ των μερών, κατόπιν διαφόρων διαρροών και σκανδάλων.
Το Φεβρουάριο του έτους 2016 τα δύο μέρη κατέληξαν σε συμφωνία, ανακοινώνοντας τον «αντικαταστάτη» του Safe Harbor, ήτοι το Privacy Shield. Όπως ακριβώς το Safe Harbor, έτσι και ο μηχανισμός του Privacy Shield επιτάσσει τη συμμόρφωση των αμερικάνικων οργανισμών και εταιρειών με επτά βασικές αρχές. Ωστόσο, σε αντίθεση με τον προκάτοχό του, το Privacy Shield, επιχείρησε να αντιμετωπίσει τα ζητήματα που επισημάνθηκαν ως αδυναμίες του προισχύσαντος συστήματος στην απόφαση Schrems I. Συγκεκριμένα, η διαφάνεια του ίδιου του αμερικάνικου συστήματος αποτέλεσε στόχο, με το Privacy Shield να εμπεριέχει γραπτές διαβεβαιώσεις από την αμερικάνικη κυβέρνηση ότι η επεξεργασία των δεδομένων των Ευρωπαίων πολιτών θα υπόκειται σε περιορισμούς, με την ύπαρξη ορισμένων και συγκεκριμένων μηχανισμών προσφυγών, ως επιπλέον δικλείδα ασφαλείας. Ένας από τους μηχανισμούς inter alia ήταν ο θεσμός του Privacy Shield Ombudsman8, υπεύθυνος για τη διαχείριση των παραπόνων σχετικά με την πρόσβαση στα δεδομένα τους από τις αμερικάνικες αρχές.
Τον Ιούλιο του έτους 2016, η Ευρωπαϊκή Επιτροπή ενέκρινε το μηχανισμό Privacy Shield, δηλώνοντας επισήμως ότι επρόκειτο για έναν ασφαλή τρόπο ροής των δεδομένων των Ευρωπαίων πολιτών στις Η.Π.Α. Με εμφανή αυτοπεποίθηση η Επιτροπή δήλωσε ότι «οποιαδήποτε παρέμβαση εκ μέρους των αμερικάνικων αρχών στα θεμελιώδη δικαιώματα των ατόμων, των οποίων τα δεδομένα μεταφέρονται, θα περιορισθεί σε αυτό που είναι αυστηρώς απαραίτητο για την επίτευξη του επιδιωκόμενου σκοπού» και διαβεβαίωσε ότι «υπάρχει επαρκές νομική προστασία απέναντι σε τέτοιες παρεμβολές»9.
Το Privacy Shield άρχισε να εφαρμόζεται την 1η Αυγούστου του 2016 με τα μέρη να δηλώνουν αισιόδοξα, διότι έκριναν ότι, σε αντίθεση με το Safe Harbor, το Privacy Shield εμπεριείχε σημαντικώς περισσότερη προστασία, περισσότερους μηχανισμούς προσφυγής και – εν γένει – περισσότερες δικλείδες ασφαλείας.
Κρίσιμο είναι να ρίξει κανείς μια πιο εμπεριστατωμένη ματιά στον τρόπο λειτουργίας του μηχανισμού Privacy Shield10. Αρχικώς, πρόκειται για μια πολύ πιο μακροσκελή και λεπτομερειακή συμφωνία σε σχέση με το Safe Harbor. Όπως ειπώθηκε ανωτέρω, η εφαρμογή του Privacy Shield απαιτεί την αυστηρή τήρηση επτά αρχών, ήτοι τη λογοδοσία για περαιτέρω διαβίβαση, την κοινοποίηση (ενημέρωση), την πρόσβαση, την επιλογή (αντίρρηση), την ακεραιότητα των δεδομένων και τον περιορισμό του σκοπού, την ασφάλεια, την προσφυγή, την επιβολή και την ευθύνη.
Επιπλέον, το πλαίσιο ορίζει δεκαέξι συμπληρωματικές αρχές, ήτοι περί των ευαίσθητων δεδομένων, τις εξαιρέσεις για δημοσιογραφικούς σκοπούς, τη δευτερεύουσα ευθύνη, την επίδειξη δέουσας επιμέλειας και τη διενέργεια ελέγχων, τον καθοριστικό ρόλο των αρχών προστασίας δεδομένων, την αυτοπιστοποίηση, την επαλήθευση, ειδικότερες ρυθμίσεις για την πρόσβαση, περί των δεδομένων ανθρώπινου δυναμικού, τις υποχρεωτικές συμβάσεις για περαιτέρω διαβιβάσεις, την επίλυση διαφορών και την επιβολή, την επιλογή – χρονική στιγμή εξαίρεσης (opt out), τις ταξιδιωτικές πληροφορίες, περί των φαρμακευτικών και ιατρικών προϊόντων, τις πληροφορίες δημοσίων αρχείων και δημοσιοποιημένες πληροφορίες και τα αιτήματα πρόσβασης από δημόσιες αρχές.
Προκειμένου μια εταιρεία ή ένας οργανισμός να συμμετείχε στο Privacy Shield όφειλε να αυτοπιστοποιείται ετησίως στο Υπουργείο Εμπορίου των Η.Π.Α.. Ενώ η απόφαση μιας εταιρείας ή ενός οργανισμού να ενταχθούν στο Privacy Shield ήταν σε εθελοντική βάση, από τη στιγμή που συμμετείχε, έπρεπε υποχρεωτικώς να συμμορφώνεται στις ως άνω αναφερόμενες αρχές.
Όπως ειπώθηκε ανωτέρω, υπό το καθεστώς του Privacy Shield, κάθε Ευρωπαίος πολίτης που θεωρεί ότι οι αμερικάνικες αρχές έχουν επέμβει στα μεταφερθέντα δεδομένα του, έχει δικαίωμα να προσφύγει διαμαρτυρόμενος, είτε απευθείας στις ίδιες τις εταιρείες, είτε στην αρχή δεδομένων προσωπικού χαρακτήρα της χώρας του, οι οποίες δύνανται να απευθυνθούν στο αμερικάνικο FTC. Επιπροσθέτως, το Privacy Shield θέσπισε δωρεάν εναλλακτικές διαδικασίες επίλυσης των υποθέσεων, σε περίπτωση που το FTC (για οποιοδήποτε λόγο) δεν εκκινούσε τη διαδικασία.
2. Από την απόφαση Schrems ΙΙ στο… Privacy Shield 2
2.1 Η απόφαση Schrems II
Πίσω στο έτος 2015, κατόπιν της αποφάσεως Schrems I, το Facebook της Ιρλανδίας ανακοίνωσε ότι ο τρόπος διαβίβασης των δεδομένων των Ευρωπαίων πολιτών, που χρησιμοποιούσε ήταν οι λεγόμενες Τυποποιημένες Συμβατικές Ρήτρες (εφεξής: SCCs). Οι SCCs αποτελούν έναν άλλον, επιτρεπόμενο από την Ε.Ε. τρόπο ροής δεδομένων σε τρίτες χώρες. Πρόκειται αυτές – επί της ουσίας- για συμβόλαια, τα οποία εμπεριέχουν προεγκεκριμένους από την ευρωπαϊκή πλευρά όρους, διατυπωμένους έτσι, ώστε να ανταποκρίνονται στα επιθυμητά επίπεδα ασφαλείας. Και σε αυτή την περίπτωση, λοιπόν, ο Αυστριακός Maximillian Schrems προσέφυγε ενώπιον της Ιρλανδικής Αρχής, επισημαίνοντας την πραγματική αδυναμία των SCCs να παρέχουν ασφάλεια, δεδομένου ότι ο αμερικανικός νόμος μπορούσε να δώσει τη δυνατότητα στις αμερικάνικες αρχές να αποκτήσουν πρόσβαση στα προσωπικά δεδομένα των Ευρωπαίων πολιτών. Η Αρχή παρέπεμψε, λοιπόν, την υπόθεση ενώπιον του High Court, το οποίο, με τη σειρά του, απηύθυνε ερώτημα στο ΔΕΕ σχετικά με την εγκυρότητα των SCCs.
Ο Schrems δεν ήταν ο μόνος ο οποίος μίλησε για τη νομιμότητα (ή μη) των SCCs, ως τρόπο διαβίβασης των δεδομένων σε τρίτες χώρες. Πράγματι, το 2016, η Γαλλική La Quadrature du Net προσέφυγε ξεχωριστά κατά του Privacy Shield ενώπιον του ΔΕΕ. Η ως άνω ακτιβιστική οργάνωση ισχυρίστηκε ότι το Privacy Shield, όπως ακριβώς και το Safe Harbor, αποτυγχάνει – επί της ουσίας – να προστατέψει τα δεδομένα των Ευρωπαίων πολιτών, αν κανείς αναλογιστεί τις δυνατότητες παρακολούθησης που παρέχει ο Αμερικάνικος νόμος11.
Στην από Ιούλιο του 2020 κρίση του, γνωστή ως Schrems II, το ΔΕΕ αποφάσισε να κρίνει τη νομιμότητα αμφότερων, του Privacy Shield και των SSCs, διότι και στις δύο υποθέσεις προέκυπταν τα ίδια ζητήματα12. Συγκεκριμένα, το ΔΕΕ έκρινε ότι:
Αρχικώς, το Privacy Shield δεν είναι έγκυρος μηχανισμός για τη μεταφορά προσωπικών δεδομένων από την Ε.Ε. προς τις Η.Π.Α.. Το ΔΕΕ απέρριψε την απόφαση της Ευρωπαϊκής Επιτροπής ότι, δηλαδή, οι Ηνωμένες Πολιτείες διασφαλίζουν ένα επαρκές επίπεδο προστασίας για τα δεδομένα, που μεταφέρονται υπό το καθεστώς του Privacy Shield. Τούτο, φυσικά, υποστηρίχθηκε, δεδομένου του εύρους των εξουσιών των αμερικάνικων αρχών, που παρέχονται από τους νόμους περί ηλεκτρονικής επιτήρησης των ΗΠΑ, αλλά και την παντελή έλλειψη διαδικασιών προσφυγής για τους Ευρωπαίους πολίτες. Συγκεκριμένα, το ΔΕΕ διαπίστωσε ότι το άρθρο 702 του νόμου Foreign Intelligence Surveillance Act (εφεξής: FISA) και η Ε.Ο. 12333 — το οποίο εξουσιοδοτεί την παρακολούθηση προσώπων που βρίσκονται εκτός των Ηνωμένων Πολιτειών— επιτρέπουν στις υπηρεσίες πληροφοριών των ΗΠΑ να συλλέγουν περισσότερα δεδομένα και πληροφορίες από ό,τι είναι αυστηρώς απαραίτητο. Επιπλέον, αν και η Προεδρική Πολιτική Οδηγία 28 (PPD-28) που εξεδόθη υπό την Προεδρία του Μπαράκ Ομπάμα απαγορεύει ορισμένες μαζικές συλλογές δεδομένων και επιβάλλει περιορισμούς στη διατήρηση των πληροφοριών για τα πρόσωπα εκτός των Η.Π.Α, η απόφαση του ΔΕΕ υποστήριξε ότι «Το PPD-28 δεν παρέχει στα υποκείμενα των δεδομένων δικαιώματα ενώπιον των δικαστηρίων κατά των αρχών των Η.Π.Α.»13. Το ΔΕΕ αμφισβήτησε επίσης την ανεξαρτησία του Διαμεσολαβητή του Privacy Shield και έκρινε ότι ο θεσμός του Διαμεσολαβητή δεν μπορούσε να θεωρηθεί επαρκές ένδικο μέσο, διότι δεν ήταν προφανές εάν ο Διαμεσολαβητής έχει την εξουσία λήψης δεσμευτικών αποφάσεων για τις υπηρεσίες πληροφοριών των Η.Π.Α..
Επιπλέον, το ΔΕΕ έκρινε ότι οι SCCs παραμένουν σε ισχύ, αλλά οι εξαγωγείς δεδομένων υποχρεούνται να λαμβάνουν υπόψη τους τα εκάστοτε νομικά συστήματα των τρίτων χωρών, προκειμένου να εξασφαλιστεί ένα επαρκές επίπεδο προστασίας. Το ΔΕΕ υποστήριξε ότι τα SCCs έχουν εγγενώς «συμβατικό χαρακτήρα» και επομένως «δεν μπορεί να δεσμεύσουν τις αρχές των τρίτων χωρών.” Η απόφαση του ΔΕΕ, ωστόσο, αυξάνει – ουσιαστικά – την υποχρέωση δέουσας επιμέλειας για τις εταιρείες και τους οργανισμούς, που χρησιμοποιούν τις SCCs για τη μεταφορά προσωπικών δεδομένων εκτός της Ε.Ε. Συγκεκριμένα, το ΔΕΕ έκρινε ότι, σε περίπτωση χρήσης του μηχανισμού των SCCs, οι εξαγωγείς πρέπει να «επαληθεύουν, κατά περίπτωση» εάν οι νόμοι της τρίτης χώρας παρέχουν ένα επαρκές επίπεδο προστασίας δεδομένων, ισοδύναμο με αυτό που εγγυάται η νομοθεσία της Ε.Ε. και – εφόσον χρειαστεί – να λάβει «συμπληρωματικά μέτρα», προκειμένου να αντισταθμίσει τυχόν ελλείψεις. Εάν τα πρόσθετα μέτρα δεν μπορούν να εγγυηθούν επαρκή προστασία των μεταφερθέντων δεδομένων, οι εξαγωγείς πρέπει να αναστείλουν τις διαβιβάσεις14.
2.2 Συνέπειες της απόφασης
Όπως είναι λογικό, οι συνέπειες της απόφασης Schrems II ήταν (και παραμένουν) εξαιρετικά σημαντικές. Σε αντίθεση με την απόφαση Schrems I, κατόπιν της αποφάσεως Schrems II, η Ε.Ε. δεν παρείχε καμία περίοδο χάριτος, προκειμένου οι αμερικανικές εταιρίες να αφουγκραστούν τις συνέπειες της απόφασης αλλά και τις επιπτώσεις αυτής (της ακύρωσης) στον τρόπο λειτουργίας τους. Σε καμία περίπτωση, δε, δε δόθηκε χρόνος συνέχισης της χρήσης του Privacy Shield, μέχρι οι εταιρείες να καταλήξουν σε κάποιο άλλο μηχανισμό για τη ροή των δεδομένων.
Τον Ιούλιο του 2020 το European Data Protection Board (εφεξής: EDPB) εξέδωσε σχετικό έγγραφο, προκειμένου να βοηθήσει τους οργανισμούς που χρησιμοποιούσαν στο μηχανισμό Privacy Shield να κατανοήσουν τις επιπτώσεις της απόφασης Schrems II και τις επιλογές που έχουν για να συνεχίσουν να πραγματοποιούν διαβιβάσεις προσωπικών δεδομένων15. Το έγγραφο διευκρίνισε ότι το βάρος πέφτει στον επιμέρους οργανισμό να λάβει επιπλέον μέτρα, προκειμένου να εξασφαλίσει τη συμμόρφωση με την δικαστική απόφαση. Το EDPB εξέδωσε αργότερα οδηγίες και συστάσεις για οργανώσεις που χρησιμοποιούν το μηχανισμό των SCCs, παρέχοντας συμπληρωματικές πληροφορίες και σκιαγραφώντας συγκεκριμένα μέτρα (όπως κρυπτογράφηση ή ψευδωνυμοποίηση), τα οποία θα μπορούσαν να κάνουν οι εταιρείες για να βεβαιωθούν ότι πληρούν την ΕΕ απαιτήσεις προστασίας δεδομένων16. Πολύ σημαντική εξέλιξη αποτελεί το ότι τον Ιούνιο του 2021 η Ε.Ε. ενημέρωσε τις SCCs για να συμμορφώνονται καλύτερα στις απαιτήσεις του ΓΚΠΔ και, υπό το φως της απόφασης Schrems II, να διασφαλιστεί ότι τα προσωπικά δεδομένα που μεταφέρονται με τη χρήση των SCCs λαμβάνουν επίπεδο προστασίας ισοδύναμο με εκείνο που προβλέπει η νομοθεσία της ΕΕ17. Συγκεκριμένα, οι ανωτέρω SCCs αποσκοπούν στον εκσυγχρονισμό των υφιστάμενων ρητρών υπό το πρίσμα των σημαντικών εξελίξεων στην ψηφιακή οικονομία, των ολοένα και πιο σύνθετων πράξεων επεξεργασίας και των νέων απαιτήσεων βάσει του GDPR. Προσφέρουν αυξημένη ευελιξία για τις διεθνείς δραστηριότητες επεξεργασίας στις οποίες συμμετέχουν πολλά μέρη, ενώ παράλληλα καθορίζουν συγκεκριμένες εγγυήσεις και πρόσθετες απαιτήσεις υπό το πρίσμα της νομολογίας του ΔΕΕ, ιδίως της απόφασης Schrems II.
Tον Σεπτέμβριο του 2020, λίγο μετά την απόφαση Schrems II, το Υπουργείο Εμπορίου των Η.Π.Α. εξέδωσε σχετικό white paper, προκειμένου να βοηθήσει τους οργανισμούς, που συνεχίζουν να συμμετέχουν στο Privacy Shield να αξιολογήσουν εάν οι διαβιβάσεις εξασφαλίζουν την κατάλληλη προστασία δεδομένων, σύμφωνα με την απόφαση του ΔΕΕ18. Το έγγραφο παρέχει ένα ευρύ φάσμα πληροφοριών σχετικά με την προστασία του απορρήτου σύμφωνα με την τρέχουσα νομοθεσία και πρακτική των Η.Π.Α., που σχετίζονται με την κυβερνητική πρόσβαση σε δεδομένα για σκοπούς εθνικής ασφάλειας. Το ως άνω white paper είναι δημόσιo, ώστε οι οργανισμοί να μπορούν να ενισχύσουν τις διαδικασίες που ακολουθούν για τη μεταφορά δεδομένων και να αξιολογήσουν τον κίνδυνο μη συμμόρφωσης με την απόφαση του ΔΕΕ. Διευκρινίζει ότι «Δεν εμπλέκονται σε διαβιβάσεις δεδομένων που παρουσιάζουν το είδος των κινδύνων για το απόρρητο που φαίνεται να έχουν απασχολήσει το ΔΕΕ στην απόφαση Schrems II»19.
Σύμφωνα με μελέτη, η ακύρωση του Privacy Shield μπορεί να οδηγήσει σε μείωση ποσοστών 5% με 6% στις εισαγωγές και εξαγωγές ψηφιακών υπηρεσιών και να οδηγήσει σε μείωση ύψους 19-31 δισεκατομμύρια ευρώ της οικονομίας της ΕΕ ετησίως20. Κατά την περίοδο που εξεδόθη η Schrems II, το Privacy Shield μετρούσε 5.380 συμμετέχοντες, το 75% των οποίων μικρές και μεσαίες επιχειρήσεις (SMEs). Ενδεικτικά, στο Privacy Shield συμμετείχαν επιχειρήσεις και άλλοι οργανισμοί των ΗΠΑ, θυγατρικές των ΗΠΑ στην Ευρώπη και 250 οντότητες με έδρα στην Ευρώπη. Μέχρι τον Ιούνιο του 2021, περίπου ένας χρόνος μετά την απόφαση Schrems II, ο αριθμός των οργανισμών που συμμετείχαν στο Privacy Shield μειώθηκε σε 4.166, καθώς πολλοί αναζήτησαν εναλλακτικές λύσεις ή επέλεξαν να εξέλθουν από την αγορά της ΕΕ21.
Κρίσιμο είναι να μελετηθούν οι εναπομείνασες πρακτικές λύσεις, τη δεδομένη στιγμή. Εκτός από το Privacy Shield, οι εταιρείες των ΗΠΑ έχουν περιορισμένες επιλογές για διασυνοριακές ροές δεδομένων με την ΕΕ. Μεταξύ αυτών:
- Η δημιουργία των λεγόμενων Binding Corporate Rules22 (εφεξής: BCRs), τις οποίες η Ε.Ε. πρέπει να εγκρίνει σε κάθε εταιρεία ξεχωριστά.
- Εφαρμογή ενημερωμένων εγκεκριμένων από την ΕΕ SCCs και επανεκτίμηση για επαρκείς διασφαλίσεις σύμφωνα με την Schrems
- Χρήση των εμπορικών υπηρεσιών cloud που παρέχονται από μεγάλες εταιρείες τεχνολογίας που χρησιμοποιούν εγκεκριμένα BCRs ή ενημερωμένα SCCs (π.χ. Microsoft, IBM).
- Αποθήκευση των προσωπικών δεδομένων των πολιτών της ΕΕ μόνο στην ΕΕ ή σε άλλη εγκεκριμένη χώρα (γνωστή ως data localization), μια ιδέα που υποστηρίζεται από ορισμένες ευρωπαϊκές ΑΔΠΧ και ορισμένους stakeholders.
- Λήψη της συναίνεσης από τα άτομα για κάθε μεμονωμένη μεταφορά δεδομένων προσωπικού χαρακτήρα, πιθανώς μια υλικοτεχνικά προκλητική και δαπανηρή επιλογή για πολλές οντότητες.
2.3 Από το Privacy Shield 2 και… εφεξής
Έχοντας εκθέσει τα ανωτέρω είναι αυτονόητο το τεράστιο κενό που δημιουργήθηκε με την ακύρωση του Privacy Shield. Η ανασφάλεια για τις επιχειρήσεις και το μεγάλο οικονομικό διακύβευμα κατέστησαν σαφή την ανάγκη δημιουργίας ενός νομικού πλαισίου.
Πράγματι, στις 25 Μαρτίου 2022, η Ευρωπαϊκή Επιτροπή ανακοίνωσε ότι η Ευρωπαϊκή Ένωση και οι Η.Π.Α. κατέληξαν, κατ’ αρχήν, σε συμφωνία σχετικά με ένα νέο πλαίσιο μεταφοράς δεδομένων. Η νέα συμφωνία προοριζόταν να αντικαταστήσει το καταργημένο Privacy Shield και ονομάζεται Privacy Shield 223.
Παρόλο που η ανακοίνωση είναι το πρώτο βήμα για την εξεύρεση λύσης στην προβληματική κατάσταση σχετικά με τις διαβιβάσεις προσωπικών δεδομένων στις Ηνωμένες Πολιτείες, είναι σημαντικό να σημειωθεί ότι δεν υπάρχει συμφωνία ή γραπτό κείμενο έως και σήμερα. Ως εκ τούτου, η ανακοίνωση δεν αλλάζει, πρακτικά, την κατάσταση για τους υπεύθυνους επεξεργασίας και τους επεξεργαστές προσωπικών δεδομένων που σκοπεύουν να χρησιμοποιήσουν παρόχους υπηρεσιών που εδρεύουν στις ΗΠΑ. Προκειμένου να συμμορφωθούν με τον ΓΚΠΔ, αυτά τα μέρη πρέπει να βεβαιωθούν ότι οποιαδήποτε μεταφορά προσωπικών δεδομένων στις Ηνωμένες Πολιτείες συμμορφώνεται με το Κεφάλαιο 5 του ΓΚΠΔ και τις συστάσεις EDPB.
Επιπλέον, αυτή τη στιγμή, υπάρχουν ελάχιστες πληροφορίες σχετικά με το περιεχόμενο της συμφωνίας και δεν έχει δημοσιοποιηθεί σχέδιο νομικού κειμένου. Ωστόσο, η ανακοίνωση αποτελεί ένδειξη ότι τα μέρη έχουν βρει κοινό έδαφος για το περίγραμμα μιας συμφωνίας.
Επίσης, είναι σημαντικό να σημειωθεί ότι η τελική συμφωνία απέχει μήνες. Ακόμη και αν η Ευρωπαϊκή Επιτροπή και οι Η.Π.Α. μπορούν να συμφωνήσουν για τους όρους της, οποιαδήποτε τέτοια συμφωνία δεν θα είναι διμερής συμφωνία, αλλά εκτελεστική απόφαση της Ευρωπαϊκής Επιτροπής. Μια τέτοια απόφαση θα πρέπει πρώτα να επανεξεταστεί από το EDPB. Αυτή η διαδικασία αναθεώρησης μπορεί να ξεκινήσει μόνο μετά τη θέσπιση του νομικού κειμένου. Ως εκ τούτου, είναι πιθανό ότι οποιαδήποτε πραγματική «απόφαση επάρκειας» από την Ευρωπαϊκή Επιτροπή με βάση τη συμφωνία απέχει ακόμη πολλούς μήνες.
Ενδιαφέρον εδώ παρουσιάζει το σχόλιο του ίδιου του Schrems με αφορμή την ανακοίνωση του Privacy Shield 2. Αναλυτικότερα, δήλωσε ότι:
«Είχαμε ήδη μια καθαρά πολιτική συμφωνία το 2015 που δεν είχε νομική βάση. Από ό,τι ακούτε θα μπορούσαμε να παίξουμε το ίδιο παιχνίδι και τρίτη φορά τώρα. Η συμφωνία ήταν προφανώς ένα σύμβολο που ήθελε η von der Leyen, αλλά δεν έχει υποστήριξη από τους ειδικούς στις Βρυξέλλες, καθώς οι ΗΠΑ δεν κινήθηκαν. Είναι ιδιαίτερα αποτρόπαιο το γεγονός ότι οι ΗΠΑ φέρεται να χρησιμοποίησαν τον πόλεμο κατά της Ουκρανίας για να πιέσουν την ΕΕ σε αυτό το οικονομικό θέμα».
«Το τελικό κείμενο θα χρειαστεί περισσότερο χρόνο, μόλις φτάσει θα το αναλύσουμε σε βάθος, μαζί με τους νομικούς μας εμπειρογνώμονες των ΗΠΑ. Εάν δεν είναι σύμφωνο με το δίκαιο της ΕΕ, εμείς ή άλλη ομάδα πιθανότατα θα το αμφισβητήσουμε. Στο τέλος, το Δικαστήριο των Ευρωπαϊκών Κοινοτήτων θα αποφασίσει για τρίτη φορά. Αναμένουμε ότι αυτό θα επανέλθει εντός μηνών».
«Είναι λυπηρό το γεγονός ότι η ΕΕ και οι ΗΠΑ δεν χρησιμοποίησαν αυτή την κατάσταση για να καταλήξουν σε μια συμφωνία χωρίς την πρόθεση κατασκοπείας, με βασικές εγγυήσεις μεταξύ των ομοϊδεατών δημοκρατιών. Οι πελάτες και οι επιχειρήσεις αντιμετωπίζουν περισσότερα χρόνια νομικής αβεβαιότητας.»24
Τέλος, και για την πληρότητα επί του θέματος, αξίζει να αναφερθεί ότι στις 16 Ιουνίου 2022 το EDPB υιοθέτησε νέες οδηγίες και κατευθυντήριες γραμμές σχετικά με την πιστοποίηση (certification) ως μηχανισμό για τις διαβιβάσεις δεδομένων. Το κείμενο έχει δημοσιευτεί και είναι διαθέσιμο προς δημόσια διαβούλευση έως τις 30 Σεπτεμβρίου 202244.
Οι Κατευθυντήριες γραμμές διευκρινίζουν ότι το αντικείμενο της πιστοποίησης μπορεί να είναι μια ενιαία πράξη επεξεργασίας ή ένα σύνολο πράξεων και μπορεί να περιλαμβάνει διαδικασίες διακυβέρνησης (ως οργανωτικά μέτρα), που αποτελούν αναπόσπαστο μέρος μιας διαδικασίας επεξεργασίας. Επιπλέον, oι κατευθυντήριες γραμμές διευκρινίζουν ότι οι εξαγωγείς δεδομένων μπορούν να βασίζονται στην πιστοποίηση ως εργαλείο διαβίβασης, για να αποδείξουν την ύπαρξη κατάλληλης διασφάλισης, που παρέχεται από τους υπεύθυνους επεξεργασίας ή τους εκτελούντες την επεξεργασία. Ο εξαγωγέας δεδομένων πρέπει να επαληθεύσει ότι η πιστοποίηση του εισαγωγέα δεδομένων είναι έγκυρη, δεν έχει λήξει, ότι καλύπτει τη συγκεκριμένη μεταφορά, που πρόκειται να πραγματοποιηθεί και εάν η διαβίβαση δεδομένων εμπίπτει στο πεδίο εφαρμογής της πιστοποίησης. Πρέπει επίσης να ελέγξει εάν πρόκειται για μετέπειτα μεταφορές και ότι υπάρχει επαρκής τεκμηρίωση για αυτές τις μεταφορές. Επιπλέον, ο εξαγωγέας πρέπει να επαληθεύσει ότι υπάρχει ένα νομικά δεσμευτικό έγγραφο (π.χ. σύμβαση ή «συμφωνία πιστοποίησης») μεταξύ του φορέα πιστοποίησης και του εισαγωγέα δεδομένων με δεσμεύσεις του εισαγωγέα να εφαρμόζει τα κριτήρια πιστοποίησης σε όλα τα προσωπικά δεδομένα που διαβιβάζονται βάσει της παρούσας πιστοποίησης. Η χρήση της πιστοποίησης ως εργαλείου μεταφοράς θα πρέπει επίσης να αναφέρεται στη συμφωνία υπευθύνου επεξεργασίας-υπεύθυνου επεξεργασίας ή στη συμφωνία κοινής χρήσης δεδομένων, ανάλογα με τους ρόλους των μερών.
Επιπλέον, το EDPB δηλώνει ότι ο εξαγωγέας δεδομένων πρέπει να πραγματοποιήσει εκτίμηση επιπτώσεων κατά τη μεταφορά, προκειμένου να διαπιστώσει εάν η πιστοποίηση θα αποτελεί αποτελεσματικό εργαλείο υπό το φως της νομοθεσίας και των πρακτικών στην τρίτη χώρα. Εάν είναι απαραίτητο, ενδέχεται να χρειαστεί να τεθούν σε εφαρμογή πρόσθετα συμπληρωματικά μέτρα, πέραν των μέτρων που παρέχονται ως μέρος της πιστοποίησης, σε συγκεκριμένες περιπτώσεις.
Ορίζονται περαιτέρω πολλές πρακτικές πτυχές των κριτηρίων πιστοποίησης, πρόσθετες διασφαλίσεις εξαγωγέα, συνθήκες όπου η εθνική νομοθεσία εμποδίζει τη συμμόρφωση με δεσμεύσεις που αναλαμβάνονται ως μέρος της πιστοποίησης, εφαρμογή δεσμευτικών και εκτελεστών δεσμεύσεων (συμπεριλαμβανομένων ελάχιστων απαιτήσεων για το περιεχόμενο μιας σύμβασης ή παρόμοιου εγγράφου που περιέχει αυτές τις δεσμεύσεις) και ένα παράρτημα με παραδείγματα συμπληρωματικών μέτρων που μπορούν να εφαρμοστούν από τον εισαγωγέα δεδομένων σε περίπτωση που το πεδίο της πιστοποίησης καλύπτει τη διαβίβαση δεδομένων.
Τέλος, η πλέον πρόσφατη και εξόχως σημαντική εξέλιξη επί της προβληματικής αποτελεί η εκ μέρους του Προέδρου των Η.Π.Α., Τζο Μπάιντεν υπογραφή ενός εκτελεστικού διατάγματος (executive order) στις 7 Οκτωβρίου του έτους 2022 για την εφαρμογή πλαισίου μεταφοράς των δεδομένων από την Ευρώπη στις Η.Π.Α., σύμφωνα με τις προσταγές του Δικαστηρίου. Σε αυτό το πλαίσιο, η αμερικάνικη πλευρά υπερτονίζει ότι το ως άνω βήμα αποτελεί τεράστια πρόοδο και εξέλιξη σε σχέση με τα προηγούμενα καθεστώτα, κυρίως για δύο λόγους:
i) χρήση εκ μέρους της αμερικάνικης πλευράς της «ευρωπαϊκής φρασεολογίας», ήτοι χρήση των λέξεων «necessary» και «proportionate» αντί για «as tailored as feasible» του προηγούμενου καθεστώτος (PPD-28) και
ii) η επιβολή ενός πληρέστερου μηχανισμού προσφυγής με τη θεσμοθέτηση μια διαδικασίας δύο φάσεων (two step procedure) με το πρώτο βήμα να είναι ένα στέλεχος υπαγόμενο στον Director of
National Intelligence και η θεσμοθέτηση ενός οργάνου, του «Data Protection Review Court». Τα επόμενα βήματα, σύμφωνα με το άρθρο 45 του ΓΚΠΔ είναι η έκδοση εκ μέρους της Επιτροπής σχετικής απόφασης σχετικά με την επάρκεια ή μη της ασφάλειας του ως άνω εκτελεστικού διατάγματος και η ακρόαση της γνώμης του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων (EDPB), δίχως – ωστόσο – να δεσμεύεται από τη γνωμοδότηση αυτού.
Ενδιαφέρον παρουσιάζει η άμεση αντίδραση εκ μέρους της NOYB η οποία τόνισε τις αδυναμίες του συστήματος, δηλώνοντας ότι – επί της ουσίας – αυτό δε διορθώνει κανένα σημείο και δεν αποτελεί πρόοδο σε σχέση με τα προηγούμενα συστήματα25. Ενδεικτικώς, αρχικώς, αναφέρει ότι ναι μεν η αμερικάνικη πλευρά χρησιμοποιεί την ευρωπαϊκή φρασεολογία, ωστόσο της δίνει ένα εντελώς διαφορετικό νομικό νόημα. Σε σχέση με το σύστημα της προσφυγής, σημειώνει ότι το ως άνω όργανο δεν αποτελεί «Δικαστήριο», σύμφωνα με το Άρθρο 47 του Αμερικάνικου Συντάγματος, αλλά – απλώς – ένα σώμα απαρτιζόμενο από Αμερικάνους αξιωματούχους. Τέλος, δριμεία κριτική ασκείται και στον ίδιο τον τρόπο λειτουργίας του ως άνω οργάνου, καθώς αυτό (το όργανο) δε θα παρέχει στο υποκείμενο λεπτομέρειες σχετικά με την παραβίαση, αλλά θα απαντά – ανεξαρτήτως των συνθηκών της εκάστοτε υποθέσεως ή των ισχυρισμών του υποκειμένου – είτε ότι δεν υπήρξε παραβίαση, είτε – αν έχει υπάρξει – ότι αυτή έχει θεραπευτεί26.
3. Συμπερασματικές σκέψεις: μια πορεία συνεχών ανακατευθύνσεων
Έχοντας εκθέσει τα ανωτέρω είναι δεδομένο ότι η ανεύρεση μιας χρυσής τομής όσον αφορά το προβληματικό (επίσης για τους λόγους που εξετέθησαν ανωτέρω) είναι επιβεβλημένη. Το διακύβευμα του εγχειρήματος είναι μεγάλο και αυτό καθιστά την ανάγκη δράσης ακόμη πιο επιβεβλημένη.
Η εκτενής αναφορά στη φιλοσοφία περί ιδιωτικότητας καθενός από τα δύο μέρη στο πρώτο μέρος της παρούσας μελέτης έγινε με σκοπό, ώστε σε συνδυασμό με τις μετέπειτα πληροφορίες της εργασίας, να φτάσει κανείς με ασφάλεια στο δικό του συμπέρασμα. Προσωπική συμπερασματική σκέψη του γράφοντος είναι ότι η ανεύρεση ενός ικανοποιητικού νομικού πλαισίου ομοιάζει με ένα παιχνίδι διελκυστίνδας. Από τη μια, το ευρωπαϊκό μέρος του «παιχνιδιού» αυτού επιδιώκει την ανεύρεση ενός συστήματος, το οποίο θα ικανοποίει τις υψηλές απαιτήσεις ασφάλειας και ιδιωτικότητας. Από την άλλη, η αμερικανική πλευρά δείχνει – δυστυχώς – να δίνει βάση περισσότερο στην οικονομική πτυχή του ζητήματος. Αυτό έχει ως απόρροια τη δυσχέρεια στην ανεύρεση ενός μηχανισμού που να ικανοποιεί τις θελήσεις και των δύο μερών και να καλύπτει το χάσμα μεταξύ τους.
Αναμένονται με ενδιαφέρον οι εξελίξεις, με την ελπίδα να μην υπάρξει και η Schrems III!