Ο Γενικός Κανονισμός είναι εξαιρετικά σαφής, στο άρθρο 45, σε ό, τι αφορά τις διαβιβάσεις προσωπικών δεδομένων εκτός ΕΟΧ: Η διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα ή διεθνή οργανισμό μπορεί να πραγματοποιηθεί, εφόσον η Επιτροπή έχει αποφασίσει ότι διασφαλίζεται επαρκές επίπεδο προστασίας από την τρίτη χώρα, από έδαφος ή από έναν ή περισσότερους συγκεκριμένους τομείς στην εν λόγω τρίτη χώρα ή από τον εν λόγω διεθνή οργανισμό. Για μια τέτοια διαβίβαση δεν απαιτείται ειδική άδεια.
Στην δε παράγραφο 2 του ίδιου άρθρου, θέτει τα κριτήρια εκείνα που θα πρέπει να προσμετρηθούν για να διαπιστωθεί ότι διασφαλίζεται το απαιτούμενο επαρκές επίπεδο και αυτά αφορούν τον σεβασμό των ανθρώπινων δικαιωμάτων και των θεμελιωδών ελευθεριών, τη σχετική νομοθεσία, τόσο τη γενική όσο και την τομεακή, μεταξύ άλλων, όσον αφορά τη δημόσια ασφάλεια, την άμυνα, την εθνική ασφάλεια και το ποινικό δίκαιο και την πρόσβαση των δημόσιων αρχών σε δεδομένα προσωπικού χαρακτήρα, την ύπαρξη και την αποτελεσματική λειτουργία μίας ή περισσότερων ανεξάρτητων εποπτικών αρχών οι οποίες βρίσκονται στην εν λόγω τρίτη χώρα ή στις οποίες υπόκειται ένας διεθνής οργανισμός και τις διεθνείς δεσμεύσεις που έχει αναλάβει η εν λόγω τρίτη χώρα ή ο διεθνής οργανισμός ή άλλες υποχρεώσεις, οι οποίες απορρέουν από νομικά δεσμευτικές συμβάσεις ή πράξεις.
Ο κος Schrems, με έδρα την Αυστρία, είναι γνωστός για τη μακρόχρονη δικαστική του διαμάχη ενάντια στο Facebook, μία διαμάχη που, εν πολλοίς, οδήγησε στην κατάρρευση δύο μηχανισμών διασφάλισης επαρκούς επιπέδου προστασίας και σεβασμού των προσωπικών δεδομένων των ευρωπαίων πολιτών, κατά την επεξεργασία τους από εταιρείες στις ΗΠΑ, της γνωστής συμφωνίας Ασφαλούς Λιμένα ή Safe Harbor Agreement και της διάδοχης Ασπίδας Προστασίας ή Privacy Shield, τίτλων μάλλον πολιτικών παρά ουσίας, όπως εξάλλου αποδεικνύεται συνεχώς, μέσα από τις επαναλαμβανόμενες αποκαλύψεις διαρροής ή κακής χρήσης προσωπικών δεδομένων μέσα από διαδικτυακές εφαρμογές και υπηρεσίες, κυρίως Αμερικάνικες (Facebook, Twitter κλπ.).
Σύμφωνα με την τότε αρμόδια Επίτροπο (το 2016), η Ασπίδα Προστασίας για την ιδιωτικότητα κρίθηκε ότι ανταποκρίνεται επαρκώς στις απαιτήσεις του Ευρωπαϊκού Δικαστηρίου, όπως αυτές διατυπώνονται στην απόφασή του Schrems I (C-362/2014), διότι έφερνε ισχυρότερες υποχρεώσεις για τις εταιρείες στις ΗΠΑ σε ό, τι αφορά την προστασία των προσωπικών δεδομένων των Ευρωπαίων και αυστηρότερη παρακολούθηση και επιβολή της νομοθεσίας από το αμερικανικό Υπουργείο Εμπορίου και την αμερικανική Ομοσπονδιακή Επιτροπή Εμπορίου, μεταξύ άλλων, και μέσω της αυξημένης συνεργασίας με τις ευρωπαϊκές αρχές προστασίας των δεδομένων.
Στο πλαίσιο αυτό, μάλιστα, οι ΗΠΑ δεσμεύθηκαν ότι οι δημόσιες αρχές των ΗΠΑ (που, βάσει της νομοθεσίας τους, έχουν πρόσβαση στα δεδομένα προσωπικού χαρακτήρα που θα διαβιβάζονται) με τη νέα ρύθμιση θα το πράττουν υπό σαφείς προϋποθέσεις, περιορισμούς και επίβλεψη, ώστε να αποτραπεί η γενικευμένη πρόσβαση.
Η Privacy Shield περιλάμβανε τα ακόλουθα στοιχεία:
- Αυστηρές υποχρεώσεις για τις εταιρείες σε ό, τι αφορά τον χειρισμό των δεδομένων προσωπικού χαρακτήρα των Ευρωπαίων και σθεναρή επιβολή περιορισμών
- Ρητές διασφαλίσεις και υποχρεώσεις διαφάνειας για την πρόσβαση από την κυβέρνηση των ΗΠΑ
- Αποτελεσματική προστασία των πολιτών της Ε.Ε. με αρκετές δυνατότητες για έννομη προστασία
Όμως, όλα αυτά δεν φάνηκαν να είναι αρκετά για το Δικαστήριο. Ο λόγος είναι ότι το σύνολο, σχεδόν, των δεδομένων μεταφέρονται μέσω δικτύων στα οποία, σύμφωνα με την ομοσπονδιακή νομοθεσία (Executive Order 12333), η NSA (National Security Agency) έχει εξουσία πρόσβασης, συλλογής και διατήρησης των δεδομένων που διακινούνται, πριν καν φτάσουν στις ΗΠΑ. Το ΔΕΕ, λοιπόν, συνάγει ότι «η σχετική νομοθεσία στις ΗΠΑ (άρθρο 702 FISA, EO12333 και PPD-28) δεν ανταποκρίνεται στις ελάχιστες απαιτήσεις που συνδέονται, κατά το δίκαιο της Ένωσης, με την αρχή της αναλογικότητας, οπότε δεν μπορεί να γίνει δεκτό ότι τα προγράμματα παρακολούθησης, τα οποία στηρίζονται στις διατάξεις αυτές, περιορίζονται στο απολύτως αναγκαίο».
Και καταλήγει, λέγοντας ότι «Υπό τις συνθήκες αυτές, οι περιορισμοί της προστασίας των δεδομένων προσωπικού χαρακτήρα, οι οποίοι απορρέουν από την εσωτερική νομοθεσία των Ηνωμένων Πολιτειών σχετικά με την πρόσβαση των αμερικανικών δημοσίων αρχών σε δεδομένα που διαβιβάζονται από την Ένωση στις Ηνωμένες Πολιτείες και με την εκ μέρους τους χρήση τέτοιων δεδομένων, περιορισμοί οι οποίοι αξιολογήθηκαν από την Επιτροπή στην απόφαση ΑΠΙΖ, δεν οριοθετούνται με τέτοιον τρόπο, ώστε να ανταποκρίνονται σε απαιτήσεις ουσιαστικά ισοδύναμες με εκείνες που επιβάλλει το δίκαιο της Ένωσης με το άρθρο 52, παράγραφος 1, δεύτερη περίοδος, του Χάρτη.»
Ουσιαστικά το Δικαστήριο έκρινε ότι η νομοθεσία και η πρακτική των ΗΠΑ είναι ασυμβίβαστη με τις απαιτήσεις της Ε.Ε.
Ουσιαστικά, δηλαδή, το Δικαστήριο έκρινε ότι η νομοθεσία και η πρακτική των ΗΠΑ είναι ασυμβίβαστη με τις απαιτήσεις της Ε.Ε. Και αφού το δίκαιο της χώρας, στην οποία διαβιβάζονται τα δεδομένα, πρέπει να ληφθεί υπόψη πριν την διαβίβαση, η απόφαση επηρεάζει ακόμα και τα SCC αλλά και τα BCRs (BindingCorporate Rules), ακόμα και αν προβλέπουν τις “κατάλληλες διασφαλίσεις” του Κανονισμού (αιτ. σκέψεις 108 και 109).
Η δυνατότητα να ισχύσει παρέκκλιση (άρθρο 49) στην πράξη, είναι δύσκολο να εφαρμοστεί αφού η συγκατάθεση δεν είναι ασφαλής νόμιμη βάση (ελεύθερα και οποτεδήποτε ανακλητή) ενώ, όπου η διαβίβαση είναι απαραίτητη για την εκτέλεση σύμβασης μεταξύ του υποκειμένου των δεδομένων και του υπευθύνου επεξεργασίας ή για την εφαρμογή προσυμβατικών μέτρων, τα οποία λαμβάνονται κατόπιν αιτήματος του υποκειμένου των δεδομένων, και σε αυτή την περίπτωση δεν μπορούμε να μιλάμε για γενική άδεια διαβίβασης δεδομένων, ενώ εξακολουθεί το πρόβλημα να είναι οι δημόσιες αρχές, οι οποίες, προφανώς, δεν δεσμεύονται από διατάξεις που έχουν συμφωνηθεί σε συμβάσεις μεταξύ εταιρειών ή με καταναλωτές.
Μια λύση που διαφαίνεται είναι η ευρύτερη χρήση των Standard Contractual Clauses, για την διακίνηση αυτή των δεδομένων. Βάσει αυτών, επιδιώκεται ο έλεγχος ότι υφίστανται οι “κατάλληλες διασφαλίσεις” ότι η επεξεργασία είναι και θα παραμείνει νόμιμη, λαμβάνοντας υπόψη κάθε πιθανή χρήση ή πρόσβαση των δεδομένων, ακόμα και από δημόσιες αρχές.
Ο τρόπος που το Δικαστήριο οριοθέτησε το πεδίο ελέγχου για την έγκριση των SCC καθιστά προβληματική την χρήση τους για την διασυνοριακή διαβίβαση
Όμως, ο τρόπος που το Δικαστήριο οριοθέτησε το πεδίο ελέγχου για την έγκριση των SCC καθιστά προβληματική την χρήση τους για την διασυνοριακή διαβίβαση, για τον απλούστατο λόγο ότι καμία εταιρεία στις ΗΠΑ δεν μπορεί να εξασφαλίσει την πλήρη συμμόρφωση ή θα αναστέλλει τη μεταφορά των δεδομένων, κάθε φορά που πιθανολογείται μη συμμόρφωση (π.χ. λόγω ενός νέου νόμου).
Από την άλλη πλευρά (του Ατλαντικού), βέβαια, εδώ και πολλά χρόνια διαμαρτύρονται για μία προσπάθεια επιβολής παγκοσμιοποιημένων ρυθμιστικών κανόνων (Unilateral Regulatory Globalization) από την Ε.Ε., το οποίο μεταφράζεται σε επιβολή από έναν (μεγάλο) παίκτη της παγκόσμιας αγοράς των δικών του ρυθμιστικών όρων.
Στην προκειμένη περίπτωση, η Ε.Ε. κατηγορείται ότι, αφού δημιούργησε μία σειρά κανόνων πολύ αυστηρότερων από τις άλλες δικαιοδοσίες, καθιστώντας, μάλιστα, το σχετικό δικαίωμα ως θεμελιώδες δικαίωμα του ανθρώπου, οδήγησε στην επιβολή εξαιρετικά περιοριστικών μέτρων για την επίβλεψη των δεσμευτικών κανόνων, τόσο από ιδιώτες όσο και από δημόσιους φορείς. Αυτοί που πλήττονται περισσότερο από μία τέτοια αυστηροποίηση είναι οι μεγάλοι αμερικανικοί κολοσσοί της πληροφορικής και του Διαδικτύου, αλλά και οι υπηρεσίες ασφαλείας της χώρας.
Η απόφαση αυτή του ΔΕΕ μοιάζει να προσθέτει, λοιπόν, μία ακόμη σημαντική αβεβαιότητα στις εταιρείες που βασίζονται στη συμφωνία για τη διασυνοριακή μεταφορά δεδομένων, είτε πρόκειται για τα εσωτερικά τους δεδομένα, είτε για τα δεδομένα που συλλέγουν από τις δικές τους ηλεκτρονικές υπηρεσίες και αποθηκεύονται σε φορείς υπηρεσιών αποθήκευσης δεδομένων, που, με τη σειρά τους, βασίζονται στη συμφωνία ασφαλούς λιμένος για τη μεταφορά στις Ηνωμένες Πολιτείες.
Καθίσταται, έτσι, επιτακτική και άμεση η ανάγκη για εναλλακτικές μεθόδους, αν και παρά την ακύρωση της συμφωνίας εναπόκειται στις εθνικές ΑΠΔΠΧ να προσδιορίσουν ποιες διασυνοριακές μεταφορές δεν καλύπτονται και ποια διοικητικά μέτρα (όπως η εξαίρεση) θα εφαρμοστούν. Διότι η πραγματικότητα σήμερα, για χιλιάδες επιχειρήσεις και από τις δύο πλευρές του Ατλαντικού, είναι ότι αποτελεί αναπόσπαστο κομμάτι της επιχειρηματικής τους δράσης η διασυνοριακή μεταφορά δεδομένων, και μάλιστα χωρίς καν να υπάρχει ενσυνείδητη επιλογή, αλλά απλώς επειδή έτσι είναι δομημένες κάποιες διαδικτυακές υπηρεσίες και, ιδίως, οι υπηρεσίες cloud.