ΠΡΟΤΑΣΕΙΣ ΤΟΥ ΓΕΝΙΚΟΥ ΕΙΣΑΓΓΕΛΕΑ

YVES BOT

της 23ης Σεπτεμβρίου 2015 (1)

Υπόθεση C‑362/14

Maximillian Schrems

κατά

Data Protection Commissioner

[αίτηση του High Court (Ιρλανδία)
για την έκδοση προδικαστικής αποφάσεως]

«Προδικαστική παραπομπή — Δεδομένα προσωπικού χαρακτήρα — Προστασία φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων αυτών — Χάρτης των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης — Άρθρα 7, 8 και 47 — Οδηγία 95/46/ΕΚ — Άρθρο 25 — Απόφαση 2000/520/ΕΚ — Διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τις Ηνωμένες Πολιτείες — Εκτίμηση της επάρκειας ή μη του επιπέδου προστασίας — Καταγγελία φυσικού προσώπου του οποίου τα δεδομένα διαβιβάστηκαν προς τρίτη χώρα — Εθνική αρχή ελέγχου — Εξουσίες»

I –    Εισαγωγή

1.        Όπως διαπίστωσε η Ευρωπαϊκή Επιτροπή, με την από 27 Νοεμβρίου 2013 ανακοίνωσή της (2), «[ο]ι διαβιβάσεις δεδομένων προσωπικού χαρακτήρα συνιστούν σημαντική και αναγκαία πτυχή των διατλαντικών σχέσεων. Αποτελούν αναπόσπαστο μέρος των διατλαντικών εμπορικών συναλλαγών, ιδίως στους νέους ψηφιακούς τομείς που είναι σε πλήρη άνθιση, όπως είναι τα μέσα κοινωνικής δικτυώσεως ή το υπολογιστικό νέφος, που προϋποθέτουν τη διαβίβαση μεγάλων όγκων δεδομένων της Ευρωπαϊκή Ένωσης προς τις Ηνωμένες Πολιτείες» (3).

2.        Οι εμπορικές συναλλαγές αποτελούν το αντικείμενο της αποφάσεως 2000/520/ΕΚ της Επιτροπής, της 26ης Ιουλίου 2000, συμφώνως προς την οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με την επάρκεια της προστασίας που παρέχεται από τις αρχές ασφαλούς λιμένα για την προστασία της ιδιωτικής ζωής και τις συναφείς συχνές ερωτήσεις που εκδίδονται από το Υπουργείο Εμπορίου των ΗΠΑ (4). Η απόφαση αυτή παρέχει τη νομική βάση για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα της Ένωσης σε επιχειρήσεις εγκατεστημένες στις Ηνωμένες Πολιτείες οι οποίες προσχωρούν στις αρχές ασφαλούς λιμένα.

3.        Η εν λόγω απόφαση έχει πλέον να αντιμετωπίσει την πρόκληση της ελεύθερης ροής δεδομένων μεταξύ της Ένωσης και των Ηνωμένων Πολιτειών με ταυτόχρονη διασφάλιση υψηλού επιπέδου προστασίας των δεδομένων αυτών, όπως απαιτεί το δίκαιο της Ένωσης.

4.        Πράγματι, ορισμένες αποκαλύψεις έφεραν προσφάτως στο φως την ύπαρξη αμερικανικών προγραμμάτων συλλογής πληροφοριών σε μεγάλη κλίμακα. Οι αποκαλύψεις αυτές δημιούργησαν ανησυχίες ως προς την τήρηση των κανόνων του δικαίου της Ένωσης κατά τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε επιχειρήσεις εγκατεστημένες στις Ηνωμένες Πολιτείες, καθώς και ως προς τις αδυναμίες του καθεστώτος ασφαλούς λιμένα.

5.        Με την υπό κρίση αίτηση προδικαστικής αποφάσεως καλείται το Δικαστήριο να διευκρινίσει ποια στάση πρέπει να κρατούν οι εθνικές αρχές ελέγχου και η Επιτροπή οσάκις καλούνται να αντιμετωπίσουν προβλήματα κατά την εφαρμογή της αποφάσεως 2000/520.

6.        Η οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών (5), προβλέπει, στο κεφάλαιό της IV, κανόνες σχετικά με τη διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες.

7.        Στο κεφάλαιο αυτό, το άρθρο 25, παράγραφος 1, της οδηγίας αυτής θέτει την αρχή δυνάμει της οποίας η διαβίβαση προς τρίτη χώρα δεδομένων προσωπικού χαρακτήρα, που έχουν υποστεί επεξεργασία ή πρόκειται να υποστούν επεξεργασία μετά τη διαβίβασή τους, επιτρέπεται μόνον εάν η εν λόγω τρίτη χώρα εξασφαλίζει ικανοποιητικό επίπεδο προστασίας αυτών των δεδομένων.

8.        Αντιστρόφως, όπως και ο νομοθέτης της Ένωσης επισημαίνει στην αιτιολογική σκέψη 57 της εν λόγω οδηγίας, όταν τρίτη χώρα δεν παρέχει ικανοποιητικό επίπεδο προστασίας, η διαβίβαση δεδομένων προσωπικού χαρακτήρα προς την εν λόγω χώρα πρέπει να απαγορεύεται.

9.        Δυνάμει του άρθρου 25, παράγραφος 2, της οδηγίας 95/46, «[η] επάρκεια της προστασίας που παρέχεται από τρίτη χώρα σταθμίζεται λαμβανομένων υπόψη όλων των περιστάσεων που επηρεάζουν μια διαβίβαση ή κατηγορία διαβιβάσεων δεδομένων· ειδικότερα, εξετάζονται η φύση των δεδομένων, οι σκοποί και η διάρκεια της ή των προβλεπομένων επεξεργασιών, η χώρα προέλευσης και τελικού προορισμού, οι γενικοί ή τομεακοί κανόνες δικαίου, οι επαγγελματικοί κανόνες και τα μέτρα ασφαλείας που ισχύουν στην εν λόγω τρίτη χώρα».

10.      Δυνάμει του άρθρου 25, παράγραφος 6, της οδηγίας αυτής, η Επιτροπή μπορεί να διαπιστώσει ότι τρίτη χώρα διασφαλίζει, λόγω της εσωτερικής της νομοθεσίας ή των διεθνών δεσμεύσεων που έχει αναλάβει, ικανοποιητικό επίπεδο προστασίας στα δεδομένα προσωπικού χαρακτήρα. Άπαξ η Επιτροπή εκδώσει τέτοια απόφαση, μπορεί να συντελεστεί η διαβίβαση δεδομένων προσωπικού χαρακτήρα προς την τρίτη χώρα.

11.      Προς εφαρμογή της διατάξεως αυτής, η Επιτροπή εξέδωσε την απόφαση 2000/520. Από το άρθρο 1, παράγραφος 1, της αποφάσεως αυτής συνάγεται ότι «οι “αρχές ασφαλούς λιμένα” για την προστασία της ιδιωτικής ζωής», που εφαρμόζονται συμφώνως προς την καθοδήγηση που παρέχεται από τις «συχνά υποβαλλόμενες ερωτήσεις» (6), θεωρείται ότι παρέχουν ικανοποιητικό επίπεδο προστασίας για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα από την Ένωση σε επιχειρήσεις εγκατεστημένες στις Ηνωμένες Πολιτείες.

12.      Κατά συνέπεια, η απόφαση 2000/520 επιτρέπει τη διαβίβαση δεδομένων προσωπικού χαρακτήρα από τα κράτη μέλη σε επιχειρήσεις εγκατεστημένες στις Ηνωμένες Πολιτείες που έχουν δεσμευθεί να τηρούν τις αρχές ασφαλούς λιμένα.

13.      Η απόφαση 2000/520 διατυπώνει, στο παράρτημά της Ι, ορισμένες αρχές στις οποίες οι επιχειρήσεις μπορούν να προσχωρήσουν εκουσίως, αυτές δε οι αρχές συνοδεύονται από ορισμένα όρια και από ένα ειδικό σύστημα ελέγχου. Ο αριθμός των επιχειρήσεων που απεδέχθησαν τις αρχές αυτές οι οποίες θα μπορούσαν να χαρακτηριστούν ως «κώδικας συμπεριφοράς» υπερέβαινε τις 3 200 το 2013.

14.      Το καθεστώς ασφαλούς λιμένα στηρίζεται σε μια λύση η οποία συνδυάζει την αυτοπιστοποίηση και την αυτοαξιολόγηση από τις ιδιωτικές επιχειρήσεις με την παρέμβαση της δημόσιας εξουσίας.

15.      Οι αρχές ασφαλούς λιμένα αναπτύχθηκαν «σε συνεννόηση με τη βιομηχανία και το ευρύ κοινό για να διευκολυνθούν οι συναλλαγές και το εμπόριο μεταξύ των Ηνωμένων Πολιτειών και της Ευρωπαϊκής Ένωσης [...]. Προορίζονται αποκλειστικά για χρήση από αμερικανικούς οργανισμούς που λαμβάνουν δεδομένα προσωπικού χαρακτήρα από την […] Ένωση, προκειμένου οι οργανισμοί αυτοί να πληρούν τις προϋποθέσεις του “ασφαλούς λιμένα” και να επωφελούνται από το τεκμήριο “επάρκειας” που παρέχει η ένταξη σε αυτόν» (7).

16.      Οι αρχές ασφαλούς λιμένα, που περιλαμβάνονται στο παράρτημα I της αποφάσεως 2000/520, προβλέπουν, μεταξύ άλλων:

–        την υποχρέωση ενημερώσεως δυνάμει της οποίας «[έ]νας οργανισμός οφείλει να ενημερώνει τα πρόσωπα σχετικά με τους σκοπούς για τους οποίους συλλέγει και χρησιμοποιεί πληροφορίες που τα αφορούν, τον τρόπο επικοινωνίας με τον οργανισμό για τυχόν αιτήσεις πληροφοριών ή παράπονα, τους τρίτους στους οποίους γνωστοποιεί τις πληροφορίες, καθώς και τις επιλογές και τα μέσα που προσφέρει ο οργανισμός στα πρόσωπα για τον περιορισμό της χρήσης και της γνωστοποίησης των πληροφοριών. Η κοινοποίηση […] πρέπει να παρέχεται σε σαφή και ευδιάκριτη γλώσσα κατά την πρώτη αίτηση παροχής πληροφοριών προσωπικού χαρακτήρα που απευθύνει στα πρόσωπα ο οργανισμός ή το συντομότερο δυνατό μετά ταύτα, αλλά οπωσδήποτε προτού προβεί ο οργανισμός είτε στη χρήση των πληροφοριών αυτών για σκοπό άλλον από εκείνο για τον οποίο συνελέγησαν αρχικά ή για τον οποίο υπέστησαν επεξεργασία από τον διαβιβάζοντα οργανισμό, είτε στη γνωστοποίηση των πληροφοριών σε τρίτο μέρος για πρώτη φορά» (8),

–        την υποχρέωση των οργανισμών να παρέχουν στα πρόσωπα την ευκαιρία να επιλέγουν εάν τα δεδομένα που τα αφορούν μπορούν να γνωστοποιηθούν σε ένα τρίτο μέρος ή να χρησιμοποιηθούν για σκοπό ο οποίος δεν συνάδει προς τον σκοπό ή τους σκοπούς για τους οποίους συνελέγησαν αρχικώς ή για τους οποίους εγκρίθηκαν στη συνέχεια από τα εν λόγω πρόσωπα. Όσον αφορά τις ευαίσθητες πληροφορίες, «πρέπει να παρέχεται καταφατική ή ρητή επιλογή (οικειοθελής συμμετοχή) όποτε οι πληροφορίες πρόκειται να γνωστοποιηθούν σε τρίτο μέρος ή να χρησιμοποιηθούν για σκοπό άλλο από εκείνο για τον οποίο συνελέγησαν αρχικά ή τον οποίο ενέκρινε το ενδιαφερόμενο πρόσωπο μεταγενέστερα ασκώντας την επιλογή της οικειοθελούς συμμετοχής» (9),

–        κανόνες σχετικά με την περαιτέρω διαβίβαση των δεδομένων. Έτσι, «[γ]ια να γνωστοποιούν πληροφορίες σε τρίτο μέρος, οι οργανισμοί πρέπει να εφαρμόζουν τις αρχές της κοινοποιήσεως και της επιλογής» (10),

–        ως προς την ασφάλεια των δεδομένων, την υποχρέωση «[των] οργανισμ[ών] που δημιουργούν, διατηρούν, χρησιμοποιούν ή διαδίδουν πληροφορίες προσωπικού χαρακτήρα [να λαμβάνουν] εύλογες προφυλάξεις για την προστασία των πληροφοριών αυτών από τυχόν απώλεια, κατάχρηση και μη εγκεκριμένη πρόσβαση, γνωστοποίηση, αλλαγή και καταστροφή» (11),

–        ως προς την ακεραιότητα των δεδομένων, την υποχρέωση των οργανισμών «[να λαμβάνουν] εύλογα μέτρα για να εξασφαλίσ[ουν] ότι τα δεδομένα είναι χρησιμοποιήσιμα, ακριβή, πλήρη και ενημερωμένα» (12),

–        ότι τα πρόσωπα, των οποίων τα δεδομένα κατέχει ένας οργανισμός πρέπει, κατ’ αρχήν, «να έχουν τη δυνατότητα να διορθώνουν, να τροποποιούν και να εξαλείφουν τις πληροφορίες αυτές όποτε είναι ανακριβείς» (13),

–        την υποχρέωση προβλέψεως «μηχανισμ[ών] που να εξασφαλίζουν τη συμμόρφωση με τις αρχές, μέσα προσφυγής για τα πρόσωπα περί των οποίων πρόκειται και τα οποία θίγονται από τη μη συμμόρφωση με τις αρχές καθώς και συνέπειες για τον οργανισμό σε περίπτωση μη τήρησης των αρχών» (14).

17.      Αμερικανικός οργανισμός που επιθυμεί να προσχωρήσει στις αρχές ασφαλούς λιμένα υποχρεούται να κάνει σαφές, στο πλαίσιο της πολιτικής του για την προστασία της ιδιωτικής ζωής, ότι δημοσιοποιεί το γεγονός ότι προσχωρεί στις αρχές αυτές και συμμορφώνεται πράγματι σε αυτές και να αυτοπιστοποιηθεί δηλώνοντας στο Υπουργείο Εμπορίου των Ηνωμένων Πολιτειών ότι συμμορφώνεται προς τις εν λόγω αρχές (15).

18.      Οι οργανισμοί διαθέτουν πλειάδα μέσων προκειμένου να συμμορφωθούν προς τις αρχές ασφαλούς λιμένα. Έτσι, μπορούν, επί παραδείγματι, «[να γίνουν] μέλ[η] ενός αυτορρυθμιστικού προγράμματος προστασίας της ιδιωτικής ζωής, το οποίο τηρεί τις αρχές αυτές [ή] να ανταποκριθ[ούν] στις εν λόγω προϋποθέσεις αναπτύσσοντας τους δικούς του[ς] κανόνες περί ιδιωτικής ζωής, εφόσον συμμορφώνονται με τις αρχές. […] Επιπρόσθετα, οι οργανισμοί που υπόκεινται σε δέσμη νομοθετικών, κανονιστικών, διοικητικών ή άλλων νομικών διατάξεων (ή κανόνων), οι οποίες προστατεύουν αποτελεσματικά το απόρρητο των δεδομένων προσωπικού χαρακτήρα, μπορούν επίσης να επωφελούνται των πλεονεκτημάτων του ασφαλούς λιμένα» (16).

19.      Υπάρχουν διάφοροι μηχανισμοί, οι οποίοι συνδυάζουν την ιδιωτική διαιτησία με τον έλεγχο από τις δημόσιες εξουσίες, προκειμένου να διαπιστώνεται η τήρηση των αρχών ασφαλούς λιμένα. Έτσι, ο έλεγχος μπορεί να διασφαλιστεί μέσω ενός συστήματος εξωδικαστικής διευθετήσεως των διαφορών από έναν ανεξάρτητο τρίτο. Εξάλλου, οι επιχειρήσεις μπορούν να αναλάβουν τη δέσμευση ότι θα συνεργάζονται με την επιτροπή της Ένωσης περί της προστασίας των δεδομένων. Τέλος, η Ομοσπονδιακή Επιτροπή Εμπορίου (Federal Trade Commission, στο εξής: FTC), βάσει των εξουσιών που της παρέχονται δυνάμει του άρθρου 5 του νόμου για την Ομοσπονδιακή Επιτροπή Εμπορίου (Federal Trade Commission Act), και το Υπουργείο Μεταφορών (Department of Transportation), βάσει των εξουσιών που του παρέχονται δυνάμει του άρθρου 41712 του Κώδικα των Ηνωμένων Πολιτειών (United States Code) που περιλαμβάνεται στον τίτλο του 49, έχουν την αρμοδιότητα να επιλαμβάνονται καταγγελιών.

20.      Κατά το τέταρτο εδάφιο του παραρτήματος I της αποφάσεως 2000/520, η προσχώρηση στις αρχές ασφαλούς λιμένα δύναται να περιοριστεί, ιδίως, «στο μέτρο που είναι αναγκαίο για να πληρούνται απαιτήσεις εθνικής ασφάλειας, δημόσιου συμφέροντος και εφαρμογής του νόμου των [ΗΠΑ]» και «από νομοθετικές, κυβερνητικές ή νομολογιακές διατάξεις οι οποίες δημιουργούν αντιφατικές υποχρεώσεις ή ρητή έγκριση, υπό τον όρο ότι, κατά την άσκηση οποιασδήποτε παρόμοιας έγκρισης, ο οργανισμός μπορεί να αποδείξει ότι η μη συμμόρφωσή του με τις αρχές περιορίζεται στο μέτρο που είναι αναγκαίο για να πληρούνται τα υπερισχύοντα νόμιμα συμφέροντα τα οποία εξυπηρετεί η εν λόγω έγκριση» (17).

21.      Περαιτέρω, η δυνατότητα που έχουν οι αρμόδιες αρχές των κρατών μελών να αναστέλλουν τις ροές δεδομένων υπόκειται σε διάφορες προϋποθέσεις τις οποίες προβλέπει το άρθρο 3, παράγραφος 1, της αποφάσεως 2000/520.

22.      Η απάντηση στα εν προκειμένω προδικαστικά ερωτήματα απαιτεί τη διερεύνηση του περιεχομένου της αποφάσεως 2000/520, υπό το πρίσμα των άρθρων 7, 8 και 47 του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης (στο εξής: Χάρτης) καθώς και των άρθρων 25, παράγραφος 6, και 28 της οδηγίας 95/46. Η αίτηση αυτή υποβλήθηκε στο πλαίσιο διαφοράς μεταξύ του M. Schrems και του Data Protection Commissioner (επίτροπος προστασίας δεδομένων, στο εξής: επίτροπος) κατόπιν της αρνήσεως αυτού του τελευταίου να ερευνήσει καταγγελία που υπέβαλε ο M. Schrems λόγω του γεγονότος ότι η Facebook Ireland Ltd (στο εξής: Facebook Ireland) διατηρεί τα δεδομένα προσωπικού χαρακτήρα των συνδρομητών της σε διακομιστές εγκατεστημένους στις Ηνωμένες Πολιτείες.

23.      Ο M. Schrems έχει την αυστριακή ιθαγένεια και διαμένει στην Αυστρία. Είναι συνδρομητής στο μέσο κοινωνικής δικτυώσεως Facebook από το 2008.

24.      Από όλους τους συνδρομητές του Facebook που διαμένουν στο έδαφος της Ένωσης ζητείται να υπογράψουν σύμβαση με τη Facebook Ireland η οποία είναι θυγατρική της μητρικής εταιρείας Facebook Inc., που έχει την έδρα της στις Ηνωμένες Πολιτείες (στο εξής: Facebook USA). Τα δεδομένα των συνδρομητών της Facebook Ireland που κατοικούν στο έδαφος της Ένωσης διαβιβάζονται, εν όλω ή εν μέρει, σε εγκατεστημένους στο έδαφος των Ηνωμένων Πολιτειών διακομιστές της Facebook USA όπου και διατηρούνται.

25.      Στις 25 Ιουνίου 2013, ο M. Schrems υπέβαλε καταγγελία ενώπιον του επιτρόπου υποστηρίζοντας κατ’ ουσίαν ότι δεν παρεχόταν καμία ουσιαστική προστασία στη νομοθεσία και στην πρακτική των Ηνωμένων Πολιτειών, σε σχέση με τα διαβιβαζόμενα στη χώρα αυτή δεδομένα, έναντι της παρακολουθήσεως από το κράτος. Τα ανωτέρω ερείδονταν επί των αποκαλύψεων στις οποίες είχε προβεί από τον Μάιο του 2013 και εφεξής ο E. Snowden σε σχέση με τις δραστηριότητες των αμερικανικών υπηρεσιών πληροφοριών και, ιδίως, της National Security Agency (στο εξής: NSA).

26.      Από τις αποκαλύψεις αυτές συνάγεται, μεταξύ άλλων, ότι η NSA είχε δημιουργήσει ένα πρόγραμμα με την ονομασία «PRISM» στο πλαίσιο του οποίου η υπηρεσία αυτή είχε ελεύθερη πρόσβαση στα μαζικά δεδομένα που ήσαν αποθηκευμένα στους εγκατεστημένους στις Ηνωμένες Πολιτείες διακομιστές, τα οποία βρίσκονταν στην κατοχή ή υπό τον έλεγχο μιας σειράς εταιρειών δραστηριοποιούμενων στον τομέα του Διαδικτύου και της τεχνολογίας όπως είναι η Facebook USA.

27.      Ο επίτροπος εκτίμησε ότι δεν ήταν υποχρεωμένος να ερευνήσει την καταγγελία, στον βαθμό που αυτή στερείτο νομικής βάσεως. Έκρινε ότι δεν υπήρχαν αποδείξεις ότι η NSA είχε πρόσβαση στα δεδομένα του M. Schrems. Περαιτέρω, η καταγγελία έπρεπε, κατά την άποψή του, να απορριφθεί λόγω της αποφάσεως 2000/520 με την οποία η Επιτροπή διαπίστωσε ότι οι Ηνωμένες Πολιτείες διασφαλίζουν, στο πλαίσιο του καθεστώτος ασφαλούς λιμένα, ικανοποιητικό επίπεδο προστασίας στα διαβιβαζόμενα δεδομένα προσωπικού χαρακτήρα. Απεφάνθη ότι οποιοδήποτε ζήτημα σχετικά με την επάρκεια της προστασίας των δεδομένων αυτών στις Ηνωμένες Πολιτείες έπρεπε να επιλύεται με γνώμονα την απόφαση αυτή η οποία τον εμπόδιζε να εξετάσει το πρόβλημα που έθετε η καταγγελία.

28.      Η εθνική νομοθεσία βάσει της οποίας ο επίτροπος απέρριψε την καταγγελία είναι η ακόλουθη.

29.      Το άρθρο 10, παράγραφος 1, του νόμου του 1988 περί της προστασίας των δεδομένων (Data Protection Act 1988), όπως αυτός τροποποιήθηκε με τον νόμο του 2003 περί της προστασίας των δεδομένων [Data Protection (Amendment) Act 2003, στο εξής: νόμος περί της προστασίας των δεδομένων] του παρέχει την εξουσία να εξετάζει τις καταγγελίες και ορίζει:

«a)      Ο επίτροπος δύναται να εξετάσει ή να δώσει εντολή να εξεταστεί εάν παραβιάστηκαν ή υπάρχει κίνδυνος να παραβιαστούν διατάξεις του παρόντος νόμου εις βάρος συγκεκριμένου προσώπου, είτε το πρόσωπο αυτό υποβάλλει καταγγελία ενώπιόν του για παράβαση κάποιας εκ των διατάξεων αυτών είτε ο επίτροπος φρονεί ότι ενδέχεται να στοιχειοθετείται μια τέτοια παράβαση.

b)      Όταν κάποιο πρόσωπο υποβάλλει καταγγελία ενώπιον του επιτρόπου δυνάμει του στοιχείου a της παρούσας παραγράφου, ο επίτροπος:

i)      διεξάγει έρευνα ή δίνει εντολή να διεξαχθεί έρευνα σε σχέση με την καταγγελία, εκτός και εάν φρονεί ότι η καταγγελία αυτή είναι άσκοπη ή κακόβουλη, και,

ii)      εάν αυτός ή αυτή δεν δύναται, εντός εύλογης προθεσμίας, να επιτύχει μεταξύ των εμπλεκομένων μερών φιλική διευθέτηση σχετικά με το αντικείμενο της καταγγελίας, ενημερώνει εγγράφως τον καταγγέλλοντα για την απόφασή του επ’ αυτής επισημαίνοντας ότι εάν η απόφαση αυτή είναι βλαπτική για αυτόν, ο καταγγέλλων μπορεί να την προσβάλλει με προσφυγή ενώπιον των δικαστηρίων δυνάμει του άρθρου 26 του παρόντος νόμου, εντός προθεσμίας 21 ημερών από της λήψεως της κοινοποιήσεώς της.»

30.      Εν προκειμένω, ο επίτροπος κατέληξε ότι η καταγγελία του M. Schrems ήταν «άσκοπη ή κακόβουλη» υπό την έννοια ότι δεν επρόκειτο να ευδοκιμήσει διότι στερείτο νομικής βάσεως. Για τον λόγο αυτόν αρνήθηκε να διεξαγάγει έρευνα για την καταγγελία αυτή.

31.      Το άρθρο 11 του νόμου περί προστασίας των δεδομένων διέπει τη διαβίβαση δεδομένων προσωπικού χαρακτήρα εκτός του εθνικού εδάφους. Το άρθρο 11, παράγραφος 2, στοιχείο a, του νόμου αυτού προβλέπει:

«Οσάκις, στο πλαίσιο κάθε διαδικασίας που διέπεται από τον παρόντα νόμο, αναφύεται ζήτημα:

i)      προκειμένου να καθοριστεί εάν διασφαλίζεται ικανοποιητικό επίπεδο προστασίας περί του οποίου διαλαμβάνει αναλυτικώς η παράγραφος 1 του παρόντος άρθρου από χώρα ή έδαφος εκτός του Ευρωπαϊκού Οικονομικού Χώρου [(EΟΧ)] προς την οποία ή το οποίο πρόκειται να διαβιβαστούν δεδομένα προσωπικού χαρακτήρα, και

ii)      η Ένωση έχει προβεί σε διαπίστωση όσον αφορά το είδος των εν λόγω διαβιβάσεων,

το ζήτημα θα επιλύεται με γνώμονα τη διαπίστωση αυτή.»

32.      Το άρθρο 11, παράγραφος 2, στοιχείο b, του νόμου περί προστασίας των δεδομένων ορίζει την έννοια της γενομένης σε επίπεδο της Ένωσης διαπιστώσεως ως εξής:

«Στο στοιχείο a της παρούσας παραγράφου, ο όρος “διαπίστωση της Ένωσης” υποδηλώνει διαπίστωση στην οποία η Επιτροπή [...] έχει προβεί στο πλαίσιο της παραγράφου 4 ή της παραγράφου 6 του άρθρου 25 της οδηγίας [95/46], στο πλαίσιο της διαδικασίας που προβλέπει το άρθρο 31, παράγραφος 2, [αυτής] προκειμένου να καθοριστεί εάν διασφαλίζεται το ικανοποιητικό επίπεδο προστασίας περί του οποίου διαλαμβάνει αναλυτικώς η παράγραφος 1 του παρόντος άρθρου από χώρα ή έδαφος εκτός του [EΟΧ].»

33.      Ο επίτροπος παρατήρησε ότι η απόφαση 2000/520 αποτελούσε «διαπίστωση της Ένωσης» κατά την έννοια του άρθρου 11, παράγραφος 2, στοιχείο a, του νόμου περί της προστασίας των δεδομένων, οπότε, δυνάμει του νόμου αυτού, οποιοδήποτε ζήτημα σχετικά με την επάρκεια της προστασίας των δεδομένων στην τρίτη χώρα προς την οποία γίνεται η διαβίβασή τους έπρεπε να επιλύεται συμφώνως προς τη διαπίστωση αυτή. Στον βαθμό που αυτό ήταν το βασικό ζήτημα της καταγγελίας του M. Schrems, ήτοι το γεγονός ότι δεδομένα προσωπικού χαρακτήρα διαβιβάζονται προς τρίτη χώρα η οποία, στην πράξη, δεν διασφαλίζει ικανοποιητικό επίπεδο προστασίας, ο επίτροπος έκρινε ότι η ίδια η φύση και η ύπαρξη της αποφάσεως 2000/520 τον εμπόδιζαν να εξετάσει το ζήτημα αυτό.

34.      Ο M. Schrems άσκησε προσφυγή ενώπιον του High Court κατά της αποφάσεως του επιτρόπου να απορρίψει την καταγγελία του. Αφού εξέτασε τα αποδεικτικά στοιχεία που είχαν υποβληθεί στο πλαίσιο της κύριας δίκης, το δικαστήριο αυτό διαπίστωσε ότι η ηλεκτρονική παρακολούθηση και η υποκλοπή δεδομένων προσωπικού χαρακτήρα εξυπηρετούν αναγκαίους και απαραίτητους για το δημόσιο συμφέρον σκοπούς, ήτοι τη διαφύλαξη της εθνικής ασφάλειας και την πρόληψη σοβαρών εγκλημάτων. Το High Court επισημαίνει, συναφώς, ότι η παρακολούθηση και η υποκλοπή δεδομένων προσωπικού χαρακτήρα που διαβιβάζονται από την Ένωση προς τις Ηνωμένες Πολιτείες εξυπηρετούν νόμιμους σκοπούς που συνδέονται με την καταπολέμηση της τρομοκρατίας.

35.      Κατά το ίδιο αυτό δικαστήριο, οι αποκαλύψεις στις οποίες προέβη ο Ε. Snowden κατέδειξαν εντούτοις ότι η NSA και άλλοι παρεμφερείς οργανισμοί είχαν διαπράξει σημαντικές υπερβάσεις. Μολονότι το Foreign Intelligence Surveillance Court (στο εξής: FISC), το οποίο επιλαμβάνεται στο πλαίσιο του νόμου του 1978 περί της εποπτείας των αλλοδαπών υπηρεσιών πληροφοριών (Foreign Intelligence Surveillance Act of 1978) (18), ασκεί έλεγχο, εντούτοις η διαδικασία ενώπιόν του είναι μυστική και όχι κατ’ αντιμωλίαν. Περαιτέρω, παρά το γεγονός ότι οι αποφάσεις για την πρόσβαση στα δεδομένα προσωπικού χαρακτήρα λαμβάνονταν επί τη βάσει της αμερικανικής νομοθεσίας, οι πολίτες της Ένωσης δεν έχουν πραγματικό δικαίωμα ακροάσεως για το ζήτημα της παρακολουθήσεως και της υποκλοπής των δεδομένων τους.

36.      Από τα ογκώδη έγγραφα που συνοδεύουν τις επίσημες δηλώσεις που έγιναν στο πλαίσιο της κύριας δίκης συνάγεται σαφώς ότι η ακρίβεια ενός μεγάλου αριθμού αποκαλύψεων του E. Snowden δεν τίθεται εν αμφιβόλω. Ως εκ τούτου, το High Court κατέληξε ότι, άπαξ τα δεδομένα προσωπικού χαρακτήρα διαβιβάζονται στις Ηνωμένες Πολιτείες, η NSA καθώς και οι λοιποί αμερικανικοί οργανισμοί ασφαλείας, όπως είναι το Federal Bureau of Investigation (FBI), μπορούν να έχουν πρόσβαση σε αυτά στο πλαίσιο μαζικών και άνευ διακρίσεων παρακολουθήσεων και υποκλοπών.

37.      Το High Court διαπιστώνει ότι, στο ιρλανδικό δίκαιο, η σημασία των συνταγματικών δικαιωμάτων στην ιδιωτική ζωή και στο απαραβίαστο της κατοικίας απαιτεί όπως κάθε επέμβαση στα δικαιώματα αυτά είναι σύμφωνη προς τις απαιτήσεις του νόμου και την αρχή της αναλογικότητας. Η μαζική και άνευ διακρίσεων πρόσβαση σε δεδομένα προσωπικού χαρακτήρα ουδόλως ανταποκρίνεται στην απαίτηση της αναλογικότητας και, ως εκ τούτου, μπορεί να θεωρηθεί αντίθετη προς το ιρλανδικό Σύνταγμα (19).

38.      Το High Court επισημαίνει ότι, προκειμένου οι υποκλοπές ηλεκτρονικών επικοινωνιών να μπορούν να θεωρηθούν συνταγματικές, πρέπει να αποδεικνύεται ότι συγκεκριμένες υποκλοπές επικοινωνιών και η παρακολούθηση ορισμένων προσώπων ή ορισμένων ομάδων προσώπων δικαιολογούνται αντικειμενικώς προς το συμφέρον της εθνικής ασφάλειας και της καταστολής της εγκληματικότητας και ότι υπάρχουν επαρκείς και ελέγξιμες εγγυήσεις.

39.      Συνεπώς, το High Court επισημαίνει ότι, εάν η παρούσα υπόθεση επρόκειτο να εξεταστεί αποκλειστικά βάσει του ιρλανδικού δικαίου, θα ετίθετο ένα σοβαρό πρόβλημα ως προς το κατά πόσον οι Ηνωμένες Πολιτείες «διασφαλίζουν ικανοποιητικό επίπεδο προστασίας της ιδιωτικής ζωής καθώς και των θεμελιωδών ελευθεριών και δικαιωμάτων», κατά την έννοια του άρθρου 11, παράγραφος 1, του νόμου περί προστασίας των δεδομένων. Συνεπώς, βάσει του ιρλανδικού δικαίου, και ειδικότερα βάσει των συνταγματικών απαιτήσεών του, ο επίτροπος δεν θα μπορούσε να απορρίψει την καταγγελία του M. Schrems, αλλά θα έπρεπε να εξετάσει το ζήτημα αυτό.

40.      Εντούτοις, το High Court διαπιστώνει ότι η υπόθεση της οποίας έχει επιληφθεί αφορά την εφαρμογή του δικαίου της Ένωσης κατά την έννοια του άρθρου 51, παράγραφος 1, του Χάρτη, οπότε η νομιμότητα της αποφάσεως του επιτρόπου θα πρέπει να εκτιμηθεί υπό το πρίσμα του δικαίου της Ένωσης.

41.      Το πρόβλημα έναντι του οποίου βρέθηκε ο επίτροπος εξηγείται από το High Court ως εξής. Δυνάμει του άρθρου 11, παράγραφος 2, στοιχείο a, του νόμου περί της προστασίας των δεδομένων, ο επίτροπος υποχρεούται να επιλύσει το ζήτημα της επάρκειας της προστασίας στην τρίτη χώρα «συμφώνως» προς διαπίστωση της Ένωσης στην οποία προβαίνει η Επιτροπή κατ’ εφαρμογήν του άρθρου 25, παράγραφος 6, της οδηγίας 95/46. Συνεπώς, ο επίτροπος δεν μπορούσε να αποστεί από μια τέτοια διαπίστωση. Δεδομένου ότι η Επιτροπή διαπίστωσε με την απόφασή της 2000/520 ότι οι Ηνωμένες Πολιτείες διασφαλίζουν ικανοποιητικό επίπεδο προστασίας όσον αφορά την επεξεργασία των δεδομένων από τις εταιρείες που προσχωρούν στις αρχές ασφαλούς λιμένα, καταγγελία σχετικά με την ανεπάρκεια μιας τέτοιας προστασίας θα πρέπει κατ’ ανάγκην να απορριφθεί από τον επίτροπο.

42.      Μολονότι διαπιστώνει ότι ο επίτροπος επέδειξε με τον τρόπο αυτόν άκρα ευσυνειδησία στην κατά γράμμα εφαρμογή της οδηγίας 95/46 και της αποφάσεως 2000/520, το High Court επισημαίνει ότι ο M. Schrems ενίσταται στην πραγματικότητα περισσότερο για τους όρους του ίδιου του καθεστώτος ασφαλούς λιμένα παρά για τον τρόπο με τον οποίον το εφάρμοσε ο επίτροπος, τονίζοντας ταυτοχρόνως ότι δεν αμφισβήτησε ευθέως το κύρος της οδηγίας 95/46 ούτε αυτό της αποφάσεως 2000/520.

43.      Κατά το High Court, το ουσιώδες ζήτημα είναι επομένως εάν, λαμβανομένου υπόψη του δικαίου της Ένωσης και συνεκτιμωμένης, μεταξύ άλλων, της μεταγενέστερης θέσεως σε ισχύ των άρθρων 7 και 8 του Χάρτη, ο επίτροπος δεσμεύεται απολύτως από τη διαπίστωση της Επιτροπής στην οποία αυτή προέβη με την απόφαση 2000/520 σχετικά με την επάρκεια της νομοθεσίας και των πρακτικών σε ζητήματα προστασίας δεδομένων προσωπικού χαρακτήρα στις Ηνωμένες Πολιτείες.

44.      Το High Court διευκρινίζει ότι, περαιτέρω, στην προσφυγή της οποίας έχει επιληφθεί, ουδεμία αιτίαση προβλήθηκε σε σχέση με τις δράσεις της Facebook Ireland και της Facebook USA καθ’ εαυτές. Πάντως, το άρθρο 3, παράγραφος 1, στοιχείο βʹ, της αποφάσεως 2000/520, το οποίο παρέχει τη δυνατότητα στις αρμόδιες εθνικές αρχές να διατάξουν επιχείρηση να αναστείλει τις ροές δεδομένων προς τρίτη χώρα, δεν εφαρμόζεται, κατά το ανωτέρω δικαστήριο, παρά μόνο στις περιπτώσεις που η καταγγελία στρέφεται κατά της συμπεριφοράς της οικείας επιχειρήσεως, όπερ δεν συνέβη εν προκειμένω.

45.      Συνεπώς, το High Court τονίζει ότι στην πραγματικότητα η καταγγελία δεν στρέφεται κατά της συμπεριφοράς της Facebook USA καθ’ εαυτήν, αλλά κατά του γεγονότος ότι η Επιτροπή εκτίμησε ότι η νομοθεσία και οι πρακτικές σε ζητήματα προστασίας δεδομένων στις Ηνωμένες Πολιτείες διασφαλίζουν επαρκή προστασία, ενώ από τις αποκαλύψεις του Ε. Snowden συνάγεται σαφώς ότι οι αμερικανικές αρχές μπορούν να έχουν μαζική και άνευ διακρίσεων πρόσβαση στα δεδομένα προσωπικού χαρακτήρα του πληθυσμού που ζει στο έδαφος της Ένωσης (20).

46.      Ως προς το ζήτημα αυτό, το High Court φρονεί ότι είναι δύσκολο να εκτιμηθεί με ποιον τρόπο η απόφαση 2000/520 θα μπορούσε, στην πράξη, να ικανοποιεί τις απαιτήσεις των άρθρων 7 και 8 του Χάρτη, κατά μείζονα λόγο αν ληφθούν υπόψη οι αρχές που έχει διατυπώσει το Δικαστήριο με την απόφασή του Digital Rights Ireland κ.λπ. (21). Ειδικότερα, η διασφάλιση που προβλέπει το άρθρο 7 του Χάρτη και η οποία στηρίζεται στις θεμελιώδεις αξίες που είναι κοινές στις παραδόσεις των κρατών μελών θα διακυβευόταν εάν επιτρεπόταν στις δημόσιες αρχές να έχουν πρόσβαση στις ηλεκτρονικές επικοινωνίες, κατά τρόπο γενικευμένο και βάσει τυχαίων δειγμάτων, χωρίς την υποχρέωση να παρέχεται αντικειμενική δικαιολογία στηριζόμενη σε λόγους εθνικής ασφάλειας ή προλήψεως της εγκληματικότητας οι οποίοι να συνδέονται ειδικώς με τα οικεία άτομα και χωρίς καμία επαρκή και επαληθεύσιμη εγγύηση. Δεδομένου ότι ο M. Schrems υποστηρίζει με την προσφυγή του ότι η απόφαση 2000/520 θα μπορούσε, in abstracto, να μη συνάδει προς τα άρθρα 7 και 8 του Χάρτη, το Δικαστήριο θα μπορούσε να εκτιμήσει ότι είναι δυνατό να ερμηνευθεί η οδηγία 95/46, και ειδικότερα το άρθρο της 25, παράγραφος 6, καθώς και η απόφαση 2000/520 κατά τρόπο ώστε να παρέχεται η δυνατότητα στις εθνικές αρχές να διεξάγουν τις δικές τους έρευνες προκειμένου να διαπιστώνουν εάν η διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα πληροί τις απαιτήσεις των άρθρων 7 και 8 του Χάρτη.

47.      Υπό τις περιστάσεις αυτές, το High Court ανέστειλε τη διαδικασία και αποφάσισε να υποβάλει στο Δικαστήριο τα ακόλουθα προδικαστικά ερωτήματα:

«Σε περίπτωση όπου ενώπιον του επιτρόπου κατατέθηκε καταγγελία σύμφωνα με την οποία δεδομένα προσωπικού χαρακτήρα διαβιβάζονται σε τρίτη χώρα (στην υπό κρίση υπόθεση, στις Ηνωμένες Πολιτείες Αμερικής) της οποίας η νομοθεσία και η πρακτική δεν παρέχουν ικανοποιητικό επίπεδο προστασίας στα υποκείμενα των δεδομένων, δεσμεύεται πλήρως η εν λόγω αρχή από την σε επίπεδο της Ένωσης διαπίστωση περί του αντιθέτου, όπως η διαπίστωση αυτή εκτίθεται στην απόφαση 2000/520, λαμβανομένων υπόψη των άρθρων 7, 8 και 47 του Χάρτη, υπό την επιφύλαξη των διατάξεων του άρθρου 25, παράγραφος 6, της οδηγίας 95/46;

Ή, επικουρικώς, μπορεί και/ή πρέπει η αρχή να διεξαγάγει τη δική της έρευνα ως προς το εν λόγω ζήτημα υπό το φως των πραγματικών εξελίξεων που επήλθαν από τότε που δημοσιεύθηκε για πρώτη φορά η απόφαση 2000/520;»

II – Η ανάλυσή μου

48.      Τα δύο ερωτήματα που διατύπωσε το High Court καλούν το Δικαστήριο να διευκρινίσει τις εξουσίες που διαθέτουν οι εθνικές αρχές ελέγχου οσάκις επιλαμβάνονται καταγγελίας που αφορά τη διαβίβαση δεδομένων προσωπικού χαρακτήρα προς επιχείρηση εγκατεστημένη σε τρίτη χώρα και οσάκις προβάλλεται, προς στήριξη της καταγγελίας αυτής, ότι αυτή η τρίτη χώρα δεν διασφαλίζει ικανοποιητικό επίπεδο προστασίας στα διαβιβαζόμενα δεδομένα, μολονότι η Επιτροπή έχει εκδώσει, βάσει του άρθρου 25, παράγραφος 6, της οδηγίας 95/46, απόφαση με την οποία αναγνωρίζει ως ικανοποιητικό το επίπεδο προστασίας που διασφαλίζει η εν λόγω τρίτη χώρα.

49.      Επισημαίνω ότι η καταγγελία που υπέβαλε ο M. Schrems ενώπιον του επιτρόπου έχει διττή διάσταση. Με αυτήν διατυπώνει ενστάσεις ως προς τη διαβίβαση δεδομένων προσωπικού χαρακτήρα από τη Facebook Ireland στη Facebook USA. Ο M. Schrems ζητεί να παύσει η διαβίβαση αυτή στον βαθμό που, κατά την εκτίμησή του, οι Ηνωμένες Πολιτείες δεν διασφαλίζουν ικανοποιητικό επίπεδο προστασίας στα δεδομένα προσωπικού χαρακτήρα τα οποία διαβιβάζονται στο πλαίσιο του καθεστώτος ασφαλούς λιμένα. Ειδικότερα, προσάπτει σε αυτήν την τρίτη χώρα ότι έθεσε σε εφαρμογή το πρόγραμμα PRISM που παρέχει τη δυνατότητα στην NSA να έχει ελεύθερη πρόσβαση στα μαζικά δεδομένα που αποθηκεύονται σε διακομιστές ευρισκόμενους στις Ηνωμένες Πολιτείες. Έτσι, η καταγγελία αφορά ειδικώς τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα από τη Facebook Ireland στη Facebook USA αμφισβητώντας ταυτοχρόνως ευρύτερα το επίπεδο προστασίας που διασφαλίζεται στα δεδομένα αυτά στο πλαίσιο του καθεστώτος ασφαλούς λιμένα.

50.      Ο επίτροπος εκτίμησε ότι η ίδια η ύπαρξη αποφάσεως της Επιτροπής με την οποία αναγνωρίζεται ότι οι Ηνωμένες Πολιτείες διασφαλίζουν, στο πλαίσιο του καθεστώτος ασφαλούς λιμένα, ικανοποιητικό επίπεδο προστασίας, τον εμπόδιζε να προβεί σε έρευνα της καταγγελίας.

51.      Επομένως, πρέπει να συνεξεταστούν τα δύο ερωτήματα με τα οποία ερωτάται, κατ’ ουσίαν, εάν το άρθρο 28 της οδηγίας 95/46, υπό το φως των άρθρων 7 και 8 του Χάρτη πρέπει να ερμηνευθεί υπό την έννοια ότι η ύπαρξη αποφάσεως εκδοθείσας από την Επιτροπή επί τη βάσει του άρθρου 25, παράγραφος 6, της οδηγίας αυτής έχει ως αποτέλεσμα να εμποδίζει την εθνική αρχή ελέγχου να ερευνήσει καταγγελία με την οποία προβάλλεται ότι τρίτη χώρα δεν διασφαλίζει ικανοποιητικό επίπεδο προστασίας στα διαβιβαζόμενα δεδομένα προσωπικού χαρακτήρα και, εφόσον παρίσταται ανάγκη, να αναστέλλει τη διαβίβαση των δεδομένων αυτών.

52.      Το άρθρο 7 του Χάρτη κατοχυρώνει το δικαίωμα στον σεβασμό της ιδιωτικής ζωής, ενώ το άρθρο 8 του Χάρτη διακηρύσσει ρητώς το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα. Οι παράγραφοι 2 και 3 του τελευταίου αυτού άρθρου διευκρινίζουν ότι η επεξεργασία των δεδομένων αυτών πρέπει να γίνεται νόμιμα, για καθορισμένους σκοπούς και με βάση τη συγκατάθεση του ενδιαφερομένου ή για άλλους θεμιτούς λόγους που προβλέπονται από τον νόμο, ότι κάθε πρόσωπο δικαιούται να έχει πρόσβαση στα συλλεγέντα δεδομένα που το αφορούν και να επιτυγχάνει τη διόρθωσή τους και ότι ο σεβασμός των ως άνω κανόνων υπόκειται στον έλεγχο ανεξάρτητης αρχής.

 Α —      Επί των εξουσιών των εθνικών αρχών ελέγχου στην περίπτωση αποφάσεως της Επιτροπής περί υπάρξεως επαρκούς προστασίας

53.      Όπως επισημαίνει ο M. Schrems στις παρατηρήσεις του, σε σχέση με την καταγγελία που αποτελεί το αντικείμενο της κύριας δίκης, το κεντρικό ζήτημα είναι αυτό της διαβιβάσεως δεδομένων προσωπικού χαρακτήρα από τη Facebook Ireland στη Facebook USA υπό το φως της γενικευμένης προσβάσεως από την NSA και λοιπούς αμερικανικούς οργανισμούς ασφαλείας στα δεδομένα που είναι αποθηκευμένα στη Facebook USA δυνάμει των εξουσιών που τους παρέχει η αμερικανική νομοθεσία.

54.      Επιλαμβανόμενη καταγγελίας που σκοπεί να θέσει εν αμφιβόλω τη διαπίστωση ότι τρίτη χώρα διασφαλίζει ικανοποιητικό επίπεδο προστασίας στα διαβιβαζόμενα δεδομένα, η εθνική αρχή ελέγχου έχει, κατά τον M. Schrems, την εξουσία, εάν διαθέτει στοιχεία που θεμελιώνουν τη βασιμότητα των ισχυρισμών της καταγγελίας αυτής, να διατάξει την αναστολή της διαβιβάσεως δεδομένων στην οποία προβαίνει η κατονομαζόμενη στην εν λόγω καταγγελία επιχείρηση.

55.      Λαμβανομένων υπόψη των υποχρεώσεων του επιτρόπου να προστατεύει τα θεμελιώδη δικαιώματα του M. Schrems, αυτός υποστηρίζει ότι ο επίτροπος έχει την υποχρέωση όχι μόνο να διεξαγάγει έρευνα, αλλά επίσης, εάν η καταγγελία γίνει δεκτή, να χρησιμοποιήσει τις εξουσίες του προκειμένου να αναστείλει τη ροή δεδομένων μεταξύ Facebook Ireland και Facebook USA.

56.      Πάντως, ο επίτροπος απέρριψε την καταγγελία επί τη βάσει των διατάξεων του νόμου περί προστασίας των δεδομένων οι οποίες απαριθμούν τις εξουσίες του. Το συμπέρασμα αυτό στηριζόταν στην άποψη του επιτρόπου ότι δεσμευόταν από την απόφαση 2000/520.

57.      Επομένως, το κεντρικό πρόβλημα στην υπό κρίση υπόθεση είναι το κατά πόσον η εκτίμηση της Επιτροπής ως προς την επάρκεια του επιπέδου προστασίας την οποία διατύπωσε με την απόφαση 2000/520 δεσμεύει απολύτως την εθνική αρχή προστασίας δεδομένων και την εμποδίζει να προβεί σε έρευνα επί των ισχυρισμών που θέτουν εν αμφιβόλω τη διαπίστωση αυτή. Επομένως, τα προδικαστικά ερωτήματα αφορούν την έκταση των εξουσιών έρευνας των εθνικών αρχών προστασίας των δεδομένων οσάκις υφίσταται απόφαση περί υπάρξεως επαρκούς προστασίας της Επιτροπής.

58.      Κατά την Επιτροπή, πρέπει να λαμβάνεται υπόψη η διάρθρωση μεταξύ των εξουσιών της ιδίας και των εθνικών αρχών προστασίας των δεδομένων. Οι αρμοδιότητες αυτών των τελευταίων επικεντρώνονται στην εφαρμογή της συναφούς νομοθεσίας επί ατομικών περιπτώσεων, ενώ ο γενικός επανέλεγχος της εφαρμογής της αποφάσεως 2000/520, περιλαμβανομένης κάθε αποφάσεως που αφορά την αναστολή ή την κατάργησή της, εμπίπτει στην αρμοδιότητα της Επιτροπής.

59.      Η Επιτροπή υποστηρίζει ότι ο M. Schrems δεν προέβαλε ειδικά επιχειρήματα από τα οποία να προκύπτει ότι διατρέχει επικείμενο κίνδυνο να υποστεί σοβαρές βλάβες λόγω της διαβιβάσεως δεδομένων μεταξύ Facebook Ireland και Facebook USA. Αντιθέτως, λόγω του αφηρημένου και γενικού χαρακτήρα του, ο προβληματισμός που εκφράζει ο M. Schrems σε σχέση με τα προγράμματα παρακολουθήσεως που εφαρμόζουν οι αμερικανικές υπηρεσίες ασφαλείας είναι ταυτόσημος με αυτόν που οδήγησε την Επιτροπή να προβεί σε επανεξέταση της αποφάσεως 2000/520.

60.      Κατά την Επιτροπή, οι εθνικές αρχές ελέγχου θα υπεισέρχονταν στην αρμοδιότητά της να επαναδιαπραγματευθεί τους όρους της αποφάσεως αυτής με τις Ηνωμένες Πολιτείες ή, εν ανάγκη, να την αναστείλει, εάν οι αρχές αυτές ελάμβαναν μέτρα επί τη βάσει καταγγελιών στηριζόμενων αποκλειστικώς σε θεωρητικό προβληματισμό για διαρθρωτικά ζητήματα.

61.      Δεν συμμερίζομαι την άποψη της Επιτροπής. Φρονώ ότι η ύπαρξη αποφάσεως εκδοθείσας από την Επιτροπή επί τη βάσει του άρθρου 25, παράγραφος 6, της οδηγίας 95/46 δεν μπορεί ούτε να εκμηδενίσει ούτε καν να μειώσει τις εξουσίες που διαθέτουν οι εθνικές αρχές ελέγχου δυνάμει του άρθρου 28 της οδηγίας αυτής. Εν αντιθέσει προς όσα υποστηρίζει η Επιτροπή, εάν οι εθνικές αρχές ελέγχου επιλαμβάνονται ατομικών καταγγελιών, τούτο δεν τις εμποδίζει, κατά την άποψή μου, δυνάμει των εξουσιών τους έρευνας και της ανεξαρτησίας τους, να μορφώνουν τη δική τους άποψη για το εν γένει επίπεδο προστασίας που διασφαλίζει η τρίτη χώρα και να αντλούν τις εντεύθεν συνέπειες οσάκις αποφαίνονται επί ατομικών περιπτώσεων.

62.      Κατά πάγια νομολογία του Δικαστηρίου, για την ερμηνεία διατάξεως του δικαίου της Ένωσης πρέπει να λαμβάνονται υπόψη όχι μόνον το γράμμα της, αλλά και το πλαίσιό της και οι σκοποί της ρυθμίσεως της οποίας αποτελεί μέρος (22).

63.      Από την αιτιολογική σκέψη 62 της οδηγίας 95/46 συνάγεται ότι «η σύσταση σε κάθε κράτος μέλος ανεξαρτήτων αρχών ελέγχου αποτελεί ουσιώδες στοιχείο της προστασίας των προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα».

64.      Δυνάμει του άρθρου 28, παράγραφος 1, πρώτο εδάφιο, της οδηγίας αυτής, «[κ]άθε κράτος μέλος προβλέπει ότι μία ή περισσότερες δημόσιες αρχές επιφορτίζονται με τον έλεγχο της εφαρμογής, στο έδαφός του, των εθνικών διατάξεων που έχουν θεσπισθεί από τα κράτη μέλη, κατ’ εφαρμογή της παρούσας οδηγίας». Το άρθρο 28, παράγραφος 1, δεύτερο εδάφιο, της εν λόγω οδηγίας ορίζει ότι «[ο]ι εν λόγω αρχές ασκούν τα καθήκοντα που τους ανατίθενται με πλήρη ανεξαρτησία».

65.      Το άρθρο 28, παράγραφος 3, της οδηγίας 95/46 απαριθμεί τις εξουσίες που διαθέτει κάθε αρχή ελέγχου, ήτοι εξουσίες διεξαγωγής έρευνας, αποτελεσματικές εξουσίες παρεμβάσεως που της παρέχουν τη δυνατότητα, μεταξύ άλλων, να απαγορεύει προσωρινά ή οριστικά την επεξεργασία καθώς και την εξουσία να παρίσταται ενώπιον δικαστηρίου σε περίπτωση παραβάσεων των εθνικών διατάξεων που έχουν θεσπισθεί κατ’ εφαρμογή της οδηγίας αυτής ή την εξουσία να επισημαίνει τις παραβάσεις αυτές στις δικαστικές αρχές.

66.      Εξάλλου, δυνάμει του άρθρου 28, παράγραφος 4, πρώτο εδάφιο, της οδηγίας 95/46, «[κ]άθε πρόσωπο [...] μπορεί να υποβάλει σε κάθε αρχή ελέγχου αίτηση σχετικά με την προστασία των δικαιωμάτων και ελευθεριών του έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα». Το άρθρο 28, παράγραφος 4, δεύτερο εδάφιο, της οδηγίας αυτής διευκρινίζει ότι «[κ]άθε πρόσωπο μπορεί ιδίως να υποβάλει σε κάθε αρχή ελέγχου αίτηση εξακρίβωσης της νομιμότητας μιας επεξεργασίας, εφόσον εφαρμόζονται οι εθνικές διατάξεις που έχουν θεσπισθεί δυνάμει του άρθρου 13 της [εν λόγω] οδηγίας». Διευκρινίζω ότι η τελευταία αυτή διάταξη παρέχει τη δυνατότητα στα κράτη μέλη να περιορίζουν με νομοθετικά μέτρα την εμβέλεια διαφόρων υποχρεώσεων και δικαιωμάτων που προβλέπει η οδηγία 95/46, οσάκις ένας τέτοιος περιορισμός αποτελεί αναγκαίο μέτρο, ιδίως, για λόγους εθνικής ασφάλειας, άμυνας, δημόσιας ασφάλειας και προλήψεως, διερευνήσεως, διαπιστώσεως και διώξεως αξιόποινων πράξεων.

67.      Όπως το Δικαστήριο έχει ήδη τονίσει, η απαίτηση να ελέγχεται από ανεξάρτητη αρχή η τήρηση των κανόνων του δικαίου της Ένωσης σχετικά με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα απορρέει και από το πρωτογενές δίκαιο της Ένωσης, ιδίως από το άρθρο 8, παράγραφος 3, του Χάρτη και από το άρθρο 16, παράγραφος 2, ΣΛΕΕ (23). Υπενθύμισε επίσης ότι «[η] σύσταση ανεξάρτητων αρχών ελέγχου εντός των κρατών μελών συνιστά επίσης ουσιώδες στοιχείο του σεβασμού της προστασίας των ατόμων από την επεξεργασία των δεδομένων προσωπικού χαρακτήρα» (24).

68.      Το Δικαστήριο έχει ήδη κρίνει ότι «το άρθρο 28, παράγραφος 1, δεύτερο εδάφιο, της οδηγίας 95/46 έχει την έννοια ότι οι αρχές ελέγχου που είναι αρμόδιες για την επίβλεψη της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα πρέπει να απολαύουν ανεξαρτησίας η οποία τους παρέχει τη δυνατότητα να ασκούν τα καθήκοντά τους χωρίς εξωτερική επιρροή. Η ανεξαρτησία αυτή αποκλείει ιδίως κάθε εντολή και κάθε άλλης μορφής εξωτερική επιρροή, άμεση ή έμμεση, οι οποίες θα μπορούσαν να κατευθύνουν τις αποφάσεις τους, διακυβεύοντας, συνεπώς, την εκ μέρους των εν λόγω αρχών εκπλήρωση των καθηκόντων τους, συνιστάμενη στην επίτευξη της προσήκουσας ισορροπίας μεταξύ της προστασίας του δικαιώματος στην ιδιωτική ζωή και της ελεύθερης κυκλοφορίας των δεδομένων προσωπικού χαρακτήρα» (25).

69.      Το Δικαστήριο διευκρίνισε επίσης ότι «[η] εγγύηση της ανεξαρτησίας των εθνικών αρχών ελέγχου σκοπεί στη διασφάλιση της αποτελεσματικότητας και της αξιοπιστίας του ελέγχου της τηρήσεως των διατάξεων περί προστασίας των φυσικών προσώπων από την επεξεργασία των δεδομένων προσωπικού χαρακτήρα» (26). Αυτή η εγγύηση ανεξαρτησίας έχει θεσπισθεί «προκειμένου να ενισχυθεί η προστασία των ατόμων και των οργανισμών τους οποίους αφορούν οι αποφάσεις [αυτών των εθνικών αρχών ελέγχου]» (27).

70.      Όπως προκύπτει μεταξύ άλλων από την αιτιολογική σκέψη 10 και από το άρθρο 1 της οδηγίας 95/46, αυτή έχει ως σκοπό να εγγυηθεί, εντός της Ένωσης, «υψηλό επίπεδο προστασίας των θεμελιωδών δικαιωμάτων και ελευθεριών από την επεξεργασία των δεδομένων προσωπικού χαρακτήρα» (28). Κατά το Δικαστήριο, «[σ]υνεπώς, οι αρχές ελέγχου του άρθρου 28 της οδηγίας 95/46 είναι οι θεματοφύλακες των εν λόγω θεμελιωδών δικαιωμάτων και ελευθεριών» (29).

71.      Λαμβανομένης υπόψη της σημασίας του ρόλου που διαδραματίζουν οι εθνικές αρχές ελέγχου στον τομέα της προστασίας των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα, οι εξουσίες τους παρεμβάσεως πρέπει να παραμένουν ακέραιες και στην περίπτωση που η Επιτροπή εκδώσει απόφαση επί τη βάσει του άρθρου 25, παράγραφος 6, της οδηγίας 95/46.

72.      Συναφώς, παρατηρώ ότι τίποτα δεν ορίζει ότι τα καθεστώτα διαβιβάσεως δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες εξαιρούνται από το καθ’ ύλην πεδίο εφαρμογής του άρθρου 8, παράγραφος 3, του Χάρτη το οποίο κατοχυρώνει στο υψηλότερο επίπεδο ιεραρχίας των κανόνων του δικαίου της Ένωσης τη σημασία του ελέγχου που ασκείται από ανεξάρτητη αρχή όσον αφορά την τήρηση των κανόνων σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα.

73.      Εάν οι εθνικές αρχές ελέγχου δεσμεύονταν απολύτως από τις αποφάσεις που εκδίδει η Επιτροπή, τούτο αφεύκτως θα περιόριζε την όλη ανεξαρτησία τους. Συμφώνως προς τον ρόλο τους ως θεματοφυλάκων των θεμελιωδών δικαιωμάτων και ελευθεριών, οι εθνικές αρχές ελέγχου πρέπει να έχουν τη δυνατότητα να ερευνούν, με απόλυτη ανεξαρτησία, τις καταγγελίες που τους υποβάλλονται, προς το υπέρτερο συμφέρον της προστασίας των ατόμων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα.

74.      Περαιτέρω, όπως ορθώς επισήμανε η Βελγική Κυβέρνηση και το Ευρωπαϊκό Κοινοβούλιο κατά την επ’ ακροατηρίου συζήτηση, ουδεμία ιεραρχική σχέση υφίσταται μεταξύ του κεφαλαίου IV της οδηγίας 95/46 σχετικά με τη διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες και του κεφαλαίου VI της εν λόγω οδηγίας που αφορά, μεταξύ άλλων, τον ρόλο των εθνικών αρχών ελέγχου. Από καμία διάταξη αυτού του κεφαλαίου VI δεν συνάγεται ότι οι διατάξεις σχετικά με τις εθνικές αρχές ελέγχου είναι με οποιονδήποτε τρόπο υποδεέστερες έναντι των διακριτών διατάξεων για τις διαβιβάσεις που περιλαμβάνονται στο κεφάλαιο IV της οδηγίας 95/46.

75.      Αντιθέτως, από το άρθρο 25, παράγραφος 1, της οδηγίας αυτής, που περιλαμβάνεται στο κεφάλαιό της IV, ρητώς συνάγεται ότι επιτρέπεται η διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα που διασφαλίζει ικανοποιητικό επίπεδο προστασίας μόνον υπό τον όρο της τηρήσεως των εθνικών διατάξεων που θεσπίζονται συμφώνως προς τις λοιπές διατάξεις της εν λόγω οδηγίας.

76.      Συναφώς, υπενθυμίζω ότι, δυνάμει της διατάξεως αυτής, τα κράτη μέλη πρέπει να προβλέπουν στην εθνική νομοθεσία τους ότι η διαβίβαση προς τρίτη χώρα δεδομένων προσωπικού χαρακτήρα που έχουν υποστεί επεξεργασία ή πρόκειται να υποστούν επεξεργασία μετά τη διαβίβασή τους επιτρέπεται μόνον εάν, τηρουμένων των εθνικών διατάξεων που θεσπίζονται συμφώνως προς τις λοιπές διατάξεις της οδηγίας 95/46, η εν λόγω τρίτη χώρα διασφαλίζει ικανοποιητικό επίπεδο προστασίας.

77.      Συμφώνως προς το άρθρο 28, παράγραφος 1, της οδηγίας αυτής, οι εθνικές αρχές ελέγχου επιφορτίζονται με τον έλεγχο της εφαρμογής, στο έδαφος εκάστου κράτους μέλους, των διατάξεων που έχουν θεσπισθεί από τα κράτη μέλη, κατ’ εφαρμογήν της εν λόγω οδηγίας.

78.      Η συγκριτική εξέταση αυτών των δύο διατάξεων οδηγεί στο συμπέρασμα ότι ο κανόνας που διατυπώνεται στο άρθρο 25, παράγραφος 1, της οδηγίας 95/46, κατά την οποία η διαβίβαση δεδομένων προσωπικού χαρακτήρα επιτρέπεται μόνον εάν η τρίτη χώρα που είναι αποδέκτρια διασφαλίζει ικανοποιητικό επίπεδο προστασίας των δεδομένων αυτών, συγκαταλέγεται μεταξύ των κανόνων για την εφαρμογή των οποίων πρέπει να επαγρυπνούν οι εθνικές αρχές ελέγχου.

79.      Πρέπει να ερμηνεύονται διασταλτικώς, συμφώνως προς το άρθρο 8, παράγραφος 3, του Χάρτη, οι εξουσίες των εθνικών αρχών ελέγχου προκειμένου αυτές να ερευνούν με απόλυτη ανεξαρτησία τις καταγγελίες που υποβάλλονται ενώπιόν τους δυνάμει του άρθρου 28 της οδηγίας 95/46. Ως εκ τούτου, οι εξουσίες αυτές δεν μπορούν να περιοριστούν από τις εξουσίες που παρέχει ο νομοθέτης της Ένωσης στην Επιτροπή, δυνάμει του άρθρου 25, παράγραφος 6, της οδηγίας αυτής, προκειμένου αυτή να διαπιστώνει την επάρκεια του επιπέδου προστασίας που προσφέρει η τρίτη χώρα.

80.      Λόγω του σημαντικού ρόλου που διαδραματίζουν για την προστασία των δεδομένων προσωπικού χαρακτήρα, οι εθνικές αρχές ελέγχου πρέπει να έχουν τη δυνατότητα να προβαίνουν σε έρευνα στην περίπτωση που επιλαμβάνονται καταγγελίας στηριζόμενης σε στοιχεία τα οποία θα μπορούσαν να θέσουν εν αμφιβόλω το επίπεδο προστασίας που διασφαλίζει η τρίτη χώρα, καθώς και στην περίπτωση που η Επιτροπή έχει διαπιστώσει, με απόφαση ληφθείσα επί τη βάσει του άρθρου 25, παράγραφος 6, της οδηγίας 95/46, ότι η οικεία τρίτη χώρα διασφαλίζει ικανοποιητικό επίπεδο προστασίας.

81.      Εάν, μετά την ολοκλήρωση ερευνών τις οποίες διεξήγαγε εθνική αρχή ελέγχου, αυτή εκτιμά ότι η διαβίβαση δεδομένων θίγει την προστασία που πρέπει να απολαύουν οι πολίτες της Ένωσης όσον αφορά την προστασία των δεδομένων τους, έχει την εξουσία να αναστείλει την εν λόγω διαβίβαση δεδομένων, και τούτο ανεξαρτήτως της γενικής εκτιμήσεως στην οποία έχει προβεί η Επιτροπή με την απόφασή της.

82.      Πράγματι, δεν αμφισβητείται ότι, δυνάμει του άρθρου 25, παράγραφος 2, της οδηγίας 95/46, η επάρκεια του επιπέδου προστασίας που παρέχεται από τρίτη χώρα εκτιμάται λαμβανομένου υπόψη ενός συνόλου πραγματικών και νομικών περιστάσεων. Εάν κάποια από τις περιστάσεις αυτές μεταβληθεί και φανεί ότι δύναται να θέσει εν αμφιβόλω την επάρκεια του επιπέδου προστασίας που παρέχει μια τρίτη χώρα, η εθνική αρχή ελέγχου που έχει επιληφθεί καταγγελίας πρέπει να έχει τη δυνατότητα να συναγάγει τις εντεύθεν συνέπειες σε σχέση με την επίμαχη διαβίβαση.

83.      Βεβαίως, όπως επισήμανε η Ιρλανδία, ο επίτροπος, όπως και οι λοιπές κρατικές αρχές, δεσμεύεται από την απόφαση 2000/520. Συγκεκριμένα, από το άρθρο 288, τέταρτο εδάφιο, ΣΛΕΕ συνάγεται ότι απόφαση ληφθείσα από όργανο της Ένωσης είναι υποχρεωτική ως προς όλα τα στοιχεία της. Ως εκ τούτου, η απόφαση 2000/520 είναι υποχρεωτική για τα κράτη μέλη στα οποία απευθύνεται.

84.      Συναφώς, επισημαίνω ότι η ίδια η απόφαση 2000/520 ορίζει, στο άρθρο της 5, ότι «[τ]α κράτη μέλη λαμβάνουν όλα τα απαραίτητα μέτρα για να συμμορφωθούν με [αυτήν] το αργότερο ενενήντα ημέρες μετά την ημερομηνία κοινοποίησής της στα κράτη μέλη». Περαιτέρω, το άρθρο 6 της αποφάσεως αυτής επιβεβαιώνει ότι «[η] απόφαση [αυτή] απευθύνεται στα κράτη μέλη».

85.      Ωστόσο, φρονώ ότι, λαμβανομένων υπόψη των προπαρατεθεισών διατάξεων της οδηγίας 95/46 και του Χάρτη, ο δεσμευτικός χαρακτήρας της αποφάσεως 2000/520 δεν μπορεί να αποκλείσει κάθε είδους έρευνα του επιτρόπου σε σχέση με καταγγελίες με τις οποίες προβάλλεται ότι διαβιβάσεις δεδομένων προσωπικού χαρακτήρα που πραγματοποιούνται προς τις Ηνωμένες Πολιτείες στο πλαίσιο της αποφάσεως αυτής δεν περιβάλλονται με τις αναγκαίες εγγυήσεις προστασίας που απαιτεί το δίκαιο της Ένωσης. Με άλλα λόγια, αυτός ο δεσμευτικός χαρακτήρας δεν μπορεί να καθιστά επιβεβλημένη την απόρριψη κάθε καταγγελίας αυτού του είδους, ήτοι πάραυτα και χωρίς εξέταση της βασιμότητάς της.

86.      Συνάγεται, περαιτέρω, από την όλη οικονομία του άρθρου 25 της οδηγίας 95/46 ότι η διαπίστωση κατά την οποία τρίτη χώρα διασφαλίζει ή όχι ικανοποιητικό επίπεδο προστασίας μπορεί να πραγματοποιείται είτε από τα κράτη μέλη είτε από την Επιτροπή. Επομένως, πρόκειται για συντρέχουσα αρμοδιότητα.

87.      Από το άρθρο 25, παράγραφος 6, της οδηγίας αυτής συνάγεται ότι, άπαξ η Επιτροπή διαπιστώσει ότι τρίτη χώρα διασφαλίζει ικανοποιητικό επίπεδο προστασίας, κατά την έννοια του άρθρου 25, παράγραφος 2, της εν λόγω οδηγίας, τα κράτη μέλη πρέπει να λαμβάνουν τα αναγκαία μέτρα προκειμένου να συμμορφωθούν προς την απόφαση της Επιτροπής.

88.      Ως εκ τούτου, δεδομένου ότι μια τέτοια απόφαση έχει ως αποτέλεσμα να επιτρέπονται οι διαβιβάσεις δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα της οποίας το επίπεδο προστασίας κρίνεται από την Επιτροπή ως επαρκές, τα κράτη μέλη πρέπει, κατ’ αρχήν, να επιτρέπουν την πραγματοποίηση τέτοιων διαβιβάσεων από επιχειρήσεις εγκατεστημένες στο έδαφός τους.

89.      Εντούτοις, το άρθρο 25 της οδηγίας 95/46 δεν παρέχει στην Επιτροπή την αποκλειστικότητα ως προς τη διαπίστωση περί επάρκειας ή μη του επιπέδου προστασίας των διαβιβαζομένων δεδομένων προσωπικού χαρακτήρα. Η όλη οικονομία του άρθρου αυτού επιμαρτυρεί ότι τα κράτη μέλη διαδραματίζουν επίσης ρόλο στη συνάφεια αυτή. Η απόφαση της Επιτροπής έχει, βεβαίως, ιδιαίτερη σημασία για τη διαμόρφωση ομοιόμορφων όρων διαβιβάσεως εντός των κρατών μελών. Ωστόσο, αυτοί οι ομοιόμορφοι όροι δεν μπορούν να ισχύσουν παρά μόνον ενόσω η διαπίστωση αυτή δεν τίθεται εν αμφιβόλω.

90.      Το επιχείρημα της ανάγκης διαμορφώσεως ομοιόμορφων όρων για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα αγγίζει, κατά την άποψή μου, το όριό του σε μια κατάσταση όπως είναι αυτή που αποτελεί το αντικείμενο της κύριας δίκης στην οποία όχι μόνον η Επιτροπή λαμβάνει την πληροφορία ότι η διαπίστωσή της υπόκειται σε επικρίσεις, αλλά επίσης στην οποία η ίδια διατυπώνει τέτοιες επικρίσεις και διεξάγει διαπραγματεύσεις προκειμένου να εξευρεθεί μια λύση.

91.      Η εκτίμηση της επάρκειας ή μη του επιπέδου προστασίας που παρέχεται από τρίτη χώρα μπορεί επίσης να οδηγήσει σε συνεργασία μεταξύ των κρατών μελών και της Επιτροπής. Το άρθρο 25, παράγραφος 3, της οδηγίας 95/46 προβλέπει, συναφώς, ότι «[τ]α κράτη μέλη και η Επιτροπή ενημερώνονται αμοιβαία οσάκις θεωρούν ότι μια τρίτη χώρα δεν εξασφαλίζει ικανοποιητικό επίπεδο προστασίας κατά την έννοια της παραγράφου 2». Όπως παρατηρεί το Κοινοβούλιο, η διάταξη αυτή καταδεικνύει πράγματι ότι τα κράτη μέλη και η Επιτροπή έχουν ισοδύναμο ρόλο για τον εντοπισμό των περιπτώσεων στις οποίες τρίτη χώρα δεν διασφαλίζει ικανοποιητικό επίπεδο προστασίας.

92.      Αντικείμενο της αποφάσεως περί υπάρξεως επαρκούς προστασίας είναι η παροχή αδείας για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα προς την οικεία τρίτη χώρα. Τούτο δεν συνεπάγεται ότι οι πολίτες της Ένωσης δεν μπορούν πλέον να απευθύνουν στις αρχές ελέγχου αίτηση περί προστασίας των δεδομένων τους προσωπικού χαρακτήρα. Συναφώς, επισημαίνω ότι το άρθρο 28, παράγραφος 4, πρώτο εδάφιο, της οδηγίας 95/46, κατά το οποίο «[κ]άθε πρόσωπο [...] μπορεί να υποβάλει σε κάθε αρχή ελέγχου αίτηση σχετικά με την προστασία των δικαιωμάτων και ελευθεριών του έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα», δεν προβλέπει κάποια εξαίρεση από την αρχή αυτή στην περίπτωση που υπάρχει απόφαση εκδοθείσα από την Επιτροπή κατ’ εφαρμογήν του άρθρου 25, παράγραφος 6, της οδηγίας αυτής.

93.      Έτσι, εάν απόφαση ληφθείσα από την Επιτροπή κατ’ εφαρμογήν των εκτελεστικών εξουσιών που της παρέχονται από την τελευταία αυτή διάταξη έχει ως αποτέλεσμα να επιτραπεί η διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα, μια τέτοια απόφαση δεν μπορεί, αντιθέτως, να έχει ως αποτέλεσμα να στερήσει οποιαδήποτε εξουσία από τα κράτη μέλη, και ιδίως από τις εθνικές τους αρχές ελέγχου, ή έστω και μόνον να περιορίσει τις αρμοδιότητές τους, άπαξ αυτές καλούνται να εξετάσουν ισχυρισμούς περί προσβολής θεμελιωδών δικαιωμάτων.

94.      Μια εθνική αρχή ελέγχου πρέπει να μπορεί να ασκεί τις εξουσίες που προβλέπει το άρθρο 28, παράγραφος 3, της οδηγίας 95/46, μεταξύ των οποίων περιλαμβάνεται η προσωρινή ή οριστική απαγόρευση της επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Μολονότι η απαρίθμηση των εξουσιών στη διάταξη αυτή δεν προβλέπει ρητώς εξουσίες σχετικά με διαβίβαση από κράτος μέλος προς τρίτη χώρα, εντούτοις φρονώ ότι μια τέτοια διαβίβαση πρέπει να θεωρείται ότι συνιστά επεξεργασία δεδομένων (30). Όπως απορρέει από το γράμμα της εν λόγω διατάξεως, η απαρίθμηση δεν είναι, πέραν τούτου, εξαντλητική. Εν πάση περιπτώσει, λαμβανομένου υπόψη του σημαντικού ρόλου που διαδραματίζουν οι εθνικές αρχές ελέγχου στο σύστημα που καθιερώνει η οδηγία 95/46, αυτές πρέπει να έχουν την εξουσία να αναστείλουν τη διαβίβαση δεδομένων σε περίπτωση βεβαιωμένης προσβολής ή κινδύνου προσβολής των θεμελιωδών δικαιωμάτων.

95.      Προσθέτω ότι το να στερηθεί η εθνική αρχή ελέγχου από τις εξουσίες της έρευνας υπό περιστάσεις όπως είναι αυτές που αποτελούν το αντικείμενο της κύριας δίκης θα αντέβαινε όχι μόνο στην αρχή της ανεξαρτησίας, αλλά και στον σκοπό της οδηγίας 95/46 όπως αυτός απορρέει από το άρθρο της 1, παράγραφος 1.

96.      Όπως το Δικαστήριο επισήμανε «[α]πό τις αιτιολογικές σκέψεις 3, 8 και 10 της οδηγίας 95/46 συνάγεται ότι ο νομοθέτης της Ένωσης σκοπούσε στη διευκόλυνση της ελεύθερης κυκλοφορίας των δεδομένων προσωπικού χαρακτήρα μέσω της προσεγγίσεως των νομοθεσιών των κρατών μελών, διαφυλάσσοντας συγχρόνως την προστασία των θεμελιωδών δικαιωμάτων των προσώπων, και ιδίως του δικαιώματος προστασίας της ιδιωτικής ζωής, και εξασφαλίζοντας ένα υψηλό επίπεδο προστασίας στην Ένωση. Το άρθρο 1 της οδηγίας αυτής επιβάλλει στα κράτη μέλη την υποχρέωση να εξασφαλίζουν την προστασία των θεμελιωδών ελευθεριών και δικαιωμάτων των φυσικών προσώπων και ιδίως της ιδιωτικής τους ζωής έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα» (31).

97.      Επομένως, οι διατάξεις της οδηγίας 95/46 πρέπει να ερμηνεύονται συμφώνως προς τον σκοπό της που είναι η διασφάλιση υψηλού επιπέδου προστασίας των ελευθεριών και των θεμελιωδών δικαιωμάτων των φυσικών προσώπων, ιδίως της ιδιωτικής ζωής τους, έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα εντός της Ένωσης.

98.      Η σημασία του σκοπού αυτού και ο ρόλος τον οποίον τα κράτη μέλη υποχρεούνται να διαδραματίζουν για την επίτευξή του συνεπάγονται ότι, οσάκις ιδιαίτερες περιστάσεις δημιουργούν εύλογες επιφυλάξεις ως προς τον σεβασμό των θεμελιωδών δικαιωμάτων που κατοχυρώνει ο Χάρτης σε περίπτωση διαβιβάσεως δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα, τα κράτη μέλη, και επομένως, εντός αυτών, οι εθνικές αρχές ελέγχου, δεν μπορούν να δεσμεύονται κατά τρόπο απόλυτο από απόφαση της Επιτροπής περί υπάρξεως επαρκούς προστασίας.

99.      Το Δικαστήριο έχει ήδη κρίνει ότι «οι διατάξεις της οδηγίας 95/46, κατά το μέρος που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα τα οποία μπορούν να οδηγήσουν σε προσβολή των θεμελιωδών ελευθεριών και, ειδικότερα, του δικαιώματος στην ιδιωτική ζωή, πρέπει οπωσδήποτε να ερμηνεύονται υπό το πρίσμα των θεμελιωδών δικαιωμάτων, τα οποία, κατά πάγια νομολογία, αποτελούν αναπόσπαστο μέρος των γενικών αρχών του δικαίου, την τήρηση των οποίων διασφαλίζει το Δικαστήριο, και είναι πλέον κατοχυρωμένα με τον Χάρτη» (32).

100. Παραπέμπω, περαιτέρω, στη νομολογία κατά την οποία τα «κράτη μέλη οφείλουν όχι μόνο να ερμηνεύουν το εθνικό τους δίκαιο κατά τρόπο σύμφωνο με το δίκαιο της Ένωσης, αλλά και να μεριμνούν ώστε να μην ερμηνεύουν νομοθέτημα του παράγωγου δικαίου κατά τρόπο αντίθετο προς τα θεμελιώδη δικαιώματα που προασπίζει η έννομη τάξη της Ένωσης ή προς τις λοιπές γενικές αρχές του δικαίου της Ένωσης» (33).

101. Το Δικαστήριο έκρινε έτσι, με την απόφασή του N. S. κ.λπ. (34), ότι «εφαρμογή του κανονισμού [(ΕΚ)] 343/2003 [(35)] βάσει αμάχητου τεκμηρίου περί του ότι το κράτος μέλος που είναι κατ’ αρχήν αρμόδιο να εξετάσει την αίτηση σέβεται τα θεμελιώδη δικαιώματα του αιτούντος άσυλο αντιβαίνει στην υποχρέωση των κρατών μελών να ερμηνεύουν και να εφαρμόζουν τον κανονισμό 343/2003 κατά τρόπο σύμφωνο με τα θεμελιώδη δικαιώματα» (36).

102. Συναφώς, το Δικαστήριο δέχθηκε, στο πλαίσιο της εκτιμήσεως ότι τα κράτη μέλη συνιστούν έναντι αλλήλων ασφαλείς χώρες καταγωγής, για όλα τα νομικά και πρακτικά ζητήματα σχετικά με το δικαίωμα ασύλου, ότι πρέπει να τεκμαίρεται ότι η μεταχείριση των αιτούντων άσυλο σε κάθε κράτος μέλος είναι σύμφωνη προς τις απαιτήσεις του Χάρτη, της Συμβάσεως περί του καθεστώτος των προσφύγων, η οποία υπεγράφη στη Γενεύη στις 28 Ιουλίου 1951 (37), καθώς και της Ευρωπαϊκής Συμβάσεως για την προάσπιση των δικαιωμάτων του ανθρώπου και των θεμελιωδών ελευθεριών που υπεγράφη στη Ρώμη στις 4 Νοεμβρίου 1950 (38). Ωστόσο, το Δικαστήριο έκρινε ότι «[δ]εν αποκλείεται, πάντως, το σύστημα να αντιμετωπίζει στην πράξη σοβαρές δυσλειτουργίες εντός ορισμένου κράτους μέλους, οπότε οι αιτούντες άσυλο διατρέχουν σοβαρό κίνδυνο, σε περίπτωση μεταφοράς σε αυτό το κράτος μέλος, να τύχουν μεταχειρίσεως αντίθετης προς τα θεμελιώδη δικαιώματά τους» (39).

103. Ως εκ τούτου, το Δικαστήριο έκρινε ότι «απόκειται στα κράτη μέλη, περιλαμβανομένων και των εθνικών δικαστηρίων, να μη μεταφέρουν αιτούντα άσυλο προς το “υπεύθυνο κράτος μέλος”, κατά την έννοια του κανονισμού 343/2003, οσάκις είναι αδύνατο να αγνοούν ότι οι συστημικές πλημμέλειες όσον αφορά τη διαδικασία χορηγήσεως ασύλου και τις συνθήκες υποδοχής των αιτούντων άσυλο στο κράτος μέλος αυτό αποτελούν σοβαρούς και αποδεδειγμένους λόγους που να πείθουν ότι ο αιτών θα διατρέξει ουσιαστικό κίνδυνο να υποστεί απάνθρωπη ή εξευτελιστική μεταχείριση κατά την έννοια του άρθρου 4 του Χάρτη» (40).

104. Φρονώ ότι οι παραδοχές της αποφάσεως N. S. κ.λπ. (41) μπορούν να επεκταθούν σε μια κατάσταση όπως είναι αυτή που αποτελεί το αντικείμενο της κύριας δίκης. Έτσι, τυχόν ερμηνεία του παράγωγου δικαίου της Ένωσης η οποία θα στηριζόταν στο αμάχητο τεκμήριο ότι τα θεμελιώδη δικαιώματα γίνονται σεβαστά —είτε από κράτος μέλος, από την Επιτροπή ή από τρίτη χώρα— πρέπει να θεωρείται ασυμβίβαστη προς την υποχρέωση των κρατών μελών να ερμηνεύουν και να εφαρμόζουν το παράγωγο δίκαιο της Ένωσης κατά τρόπο ο οποίος να συνάδει προς τα θεμελιώδη δικαιώματα. Το άρθρο 25, παράγραφος 6, της οδηγίας 95/46 δεν επιβάλλει επομένως ένα τέτοιο αμάχητο τεκμήριο περί σεβασμού των θεμελιωδών δικαιωμάτων όσον αφορά την εκτίμηση από την Επιτροπή της επάρκειας του επιπέδου προστασίας που παρέχει μια τρίτη χώρα. Αντιθέτως, το τεκμήριο, επί του οποίου στηρίζεται η διάταξη αυτή, ότι η διαβίβαση δεδομένων προς τρίτη χώρα σέβεται τα θεμελιώδη δικαιώματα πρέπει να θεωρείται ως μαχητό (42). Ως εκ τούτου, η εν λόγω διάταξη δεν πρέπει να ερμηνεύεται ως θέτουσα εν αμφιβόλω τις εγγυήσεις που περιλαμβάνουν μεταξύ άλλων το άρθρο 28, παράγραφος 3, της οδηγίας 95/46 και το άρθρο 8, παράγραφος 3, του Χάρτη, σχετικά με την προστασία και τον σεβασμό του δικαιώματος στην προστασία των δεδομένων προσωπικού χαρακτήρα.

105. Συνεπώς, εκ της εν λόγω αποφάσεως συνάγω ότι, στην περίπτωση που διαπιστώνονται συστημικές πλημμέλειες στην τρίτη χώρα προς την οποία διαβιβάζονται δεδομένα προσωπικού χαρακτήρα, τα κράτη μέλη πρέπει να λαμβάνουν τα αναγκαία μέτρα για τη διαφύλαξη των θεμελιωδών δικαιωμάτων που προστατεύονται από τα άρθρα 7 και 8 του Χάρτη.

106. Εξάλλου, όπως τόνισε η Ιταλική Κυβέρνηση με τις παρατηρήσεις της, η έκδοση από την Επιτροπή αποφάσεως περί υπάρξεως επαρκούς προστασίας δεν μπορεί να έχει ως αποτέλεσμα τη συρρίκνωση της προστασίας των πολιτών της Ένωσης έναντι της επεξεργασίας των δεδομένων τους, οσάκις αυτά διαβιβάζονται προς τρίτη χώρα, σε σχέση με το επίπεδο προστασίας το οποίο θα είχαν τα πρόσωπα αυτά εάν τα δεδομένα τους αποτελούσαν αντικείμενο επεξεργασίας εντός της Ένωσης. Ως εκ τούτου, οι εθνικές αρχές ελέγχου πρέπει να είναι σε θέση να παρεμβαίνουν και να ασκούν τις εξουσίες τους έναντι της διαβιβάσεως δεδομένων προς τρίτες χώρες που αποτελούν το αντικείμενο αποφάσεως περί υπάρξεως επαρκούς προστασίας. Άλλως, οι πολίτες της Ένωσης θα ήσαν λιγότερο προστατευμένοι από ό,τι σε περίπτωση επεξεργασίας των δεδομένων τους εντός της Ένωσης.

107. Έτσι, η έκδοση από την Επιτροπή αποφάσεως κατ’ εφαρμογήν του άρθρου 25, παράγραφος 6, της οδηγίας 95/46 έχει ως μόνο αποτέλεσμα την άρση της γενικής απαγορεύσεως εξαγωγής δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες οι οποίες διασφαλίζουν επίπεδο προστασίας παρεμφερές προς αυτό που παρέχει η οδηγία αυτή. Με άλλα λόγια, δεν τίθεται ζήτημα δημιουργίας ενός ειδικού καθεστώτος το οποίο εισάγει εξαιρέσεις και είναι λιγότερο προστατευτικό για τους πολίτες της Ένωσης εν συγκρίσει προς το γενικό καθεστώς που προβλέπει η εν λόγω οδηγία για τις επεξεργασίες δεδομένων που πραγματοποιούνται στο εσωτερικό της Ένωσης.

108. Βεβαίως, το Δικαστήριο επισήμανε, στη σκέψη 63 της αποφάσεώς του Lindqvist (43), ότι «[τ]ο κεφάλαιο IV της οδηγίας 95/46, στο οποίο περιλαμβάνεται το άρθρο 25, εισάγει ένα ειδικό καθεστώς». Εντούτοις, τούτο δεν σημαίνει, κατά την άποψή μου, ότι ένα τέτοιο καθεστώς πρέπει να είναι λιγότερο προστατευτικό. Αντιθέτως, προκειμένου να επιτευχθεί ο σκοπός της προστασίας των δεδομένων που τάσσεται στο άρθρο 1, παράγραφος 1, της οδηγίας 95/46, το άρθρο της 25 επιβάλλει μια σειρά υποχρεώσεων στα κράτη μέλη και στην Επιτροπή (44), αυτό δε το άρθρο 25 θέτει την αρχή κατά την οποία οσάκις τρίτη χώρα δεν παρέχει ικανοποιητικό επίπεδο προστασίας, η διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τη χώρα αυτή πρέπει να απαγορεύεται (45).

109. Όσον αφορά ειδικότερα το καθεστώς ασφαλούς λιμένα, η Επιτροπή δεν προτείνει την παρέμβαση των εθνικών αρχών ελέγχου και την αναστολή από αυτές των ροών δεδομένων παρά μόνο στο πλαίσιο που χαράσσει το άρθρο 3, παράγραφος 1, στοιχείο βʹ, της αποφάσεως 2000/520.

110. Κατά την αιτιολογική σκέψη 8 της αποφάσεως αυτής, «[π]ρος το συμφέρον της διαφάνειας και προκειμένου να διασφαλιστεί η ικανότητα των αρμόδιων αρχών των κρατών μελών να εξασφαλίζουν την προστασία των ατόμων κατά την επεξεργασία των δεδομένων προσωπικού χαρακτήρα που τα αφορούν, είναι απαραίτητο να διευκρινιστούν στην απόφαση οι εξαιρετικές περιστάσεις κάτω από τις οποίες πρέπει να δικαιολογείται η αναστολή συγκεκριμένων διαβιβάσεων δεδομένων, παρά τη διαπίστωση περί ικανοποιητικού επιπέδου προστασίας».

111. Στο πλαίσιο της παρούσας υποθέσεως, συζητήθηκε ειδικότερα η εφαρμογή του άρθρου 3, παράγραφος 1, στοιχείο βʹ, της εν λόγω αποφάσεως. Έτσι, δυνάμει της διατάξεως αυτής, η αναστολή της ροής δεδομένων μπορεί να αποφασίζεται από τις εθνικές αρχές ελέγχου «όταν υπάρχει σοβαρή πιθανότητα παραβίασης των αρχών ασφαλούς λιμένα, όταν υπάρχουν στοιχεία από τα οποία προκύπτει βασίμως ότι ο σχετικός φορέας εφαρμογής δεν λαμβάνει ή δεν θα λάβει κατάλληλα και έγκαιρα μέτρα για τη διευθέτηση του προβλήματος, όταν η συνέχιση της διαβιβάσεως δεδομένων δημιουργεί άμεσο κίνδυνο πρόκλησης σοβαρής ζημίας στα άτομα τα οποία αφορούν τα δεδομένα, και όταν οι αρμόδιες αρχές του κράτους μέλους κατέβαλαν, υπό τις συγκεκριμένες περιστάσεις, κάθε δυνατή προσπάθεια για να ενημερώσουν σχετικά τον οργανισμό και να του δώσουν τη δυνατότητα να απαντήσει».

112. Η εν λόγω διάταξη προβλέπει διάφορες προϋποθέσεις οι οποίες ερμηνεύθηκαν με διαφορετικό τρόπο από τους διαδίκους στο πλαίσιο της παρούσας διαδικασίας (46). Από τις ερμηνείες αυτές, τις οποίες δεν θα εξετάσω ενδελεχώς, συνάγεται ότι οι προϋποθέσεις αυτές καθορίζουν κατά τρόπο αυστηρό την εξουσία των εθνικών αρχών ελέγχου να αναστέλλουν τις ροές δεδομένων.

113. Πάντως, εν αντιθέσει προς όσα προβάλλει η Επιτροπή, το άρθρο 3, παράγραφος 1, στοιχείο βʹ, της αποφάσεως 2000/520 πρέπει να ερμηνεύεται συμφώνως προς τον σκοπό της προστασίας των δεδομένων προσωπικού χαρακτήρα τον οποίον επιδιώκει η οδηγία 95/46, καθώς και υπό το φως του άρθρου 8 του Χάρτη. Η επιταγή περί σύμφωνης προς τα θεμελιώδη δικαιώματα ερμηνείας συνηγορεί υπέρ της διασταλτικής ερμηνείας της διατάξεως αυτής.

114. Εντεύθεν συνάγεται ότι οι προϋποθέσεις που προβλέπει το άρθρο 3, παράγραφος 1, στοιχείο βʹ, της αποφάσεως 2000/520 δεν μπορούν, κατά την άποψή μου, να εμποδίσουν την εθνική αρχή ελέγχου να ασκεί, με απόλυτη ανεξαρτησία, τις εξουσίες τις οποίες αυτή έχει δυνάμει του άρθρου 28, παράγραφος 3, της οδηγίας 95/46.

115. Όπως επισήμαναν, κατ’ ουσίαν, η Βελγική και η Αυστριακή Κυβέρνηση κατά την επ’ ακροατηρίου συζήτηση, η έξοδος κινδύνου που συνιστά το άρθρο 3, παράγραφος 1, στοιχείο βʹ, της αποφάσεως 2000/520 είναι τόσο στενή που δυσχερώς μπορεί να εφαρμοστεί στην πράξη. Απαιτεί να συντρέχουν σωρευτικά ορισμένα κριτήρια και θέτει τον πήχη υπερβολικά ψηλά. Ωστόσο, υπό το φως του άρθρου 8, παράγραφος 3, του Χάρτη είναι αδύνατο το περιθώριο χειρισμών των εθνικών αρχών ελέγχου στο πλαίσιο των εξουσιών που πηγάζουν από το άρθρο 28, παράγραφος 3, της οδηγίας 95/46 να περιορίζεται κατά τέτοιο τρόπο ώστε αυτές να μην μπορούν πλέον να ασκηθούν.

116. Συναφώς, το Κοινοβούλιο ορθώς επισήμανε ότι ο νομοθέτης της Ένωσης είναι αυτός ο οποίος αποφάσισε ποιες εξουσίες έπρεπε να επανέλθουν στις εθνικές αρχές ελέγχου. Ωστόσο, η εκτελεστική εξουσία που παραχωρεί ο νομοθέτης της Ένωσης στην Επιτροπή στο άρθρο 25, παράγραφος 6, της οδηγίας 95/46 δεν επηρεάζει τις εξουσίες που παρέχει αυτός ο ίδιος νομοθέτης στις εθνικές αρχές ελέγχου στο άρθρο 28, παράγραφος 3, της οδηγίας αυτής. Με άλλα λόγια, η Επιτροπή δεν έχει την αρμοδιότητα να περιορίζει τις εξουσίες των εθνικών αρχών ελέγχου.

117. Ως εκ τούτου, για να διασφαλιστεί η επαρκής προστασία των θεμελιωδών δικαιωμάτων των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα, οι εθνικές αρχές ελέγχου πρέπει να έχουν την εξουσία, σε περίπτωση καταγγελιών περί προσβολής των δικαιωμάτων αυτών, να προβαίνει στη διεξαγωγή ερευνών. Εάν, κατά το πέρας των ερευνών αυτών, οι αρχές αυτές φρονούν ότι υπάρχουν σε σχέση με τρίτη χώρα που εμπίπτει σε απόφαση περί υπάρξεως επαρκούς προστασίας σοβαρές ενδείξεις προσβολής του δικαιώματος των πολιτών της Ένωσης στην προστασία των δεδομένων τους προσωπικού χαρακτήρα, πρέπει να έχουν την εξουσία να αναστείλουν τη διαβίβαση δεδομένων προς τον αποδέκτη που είναι εγκατεστημένος στην εν λόγω τρίτη χώρα.

118. Με άλλα λόγια, οι εθνικές αρχές ελέγχου πρέπει να μπορούν να διεξάγουν τις έρευνές τους και, εφόσον παρίσταται ανάγκη, να αναστέλλουν τη διαβίβαση των δεδομένων, ανεξαρτήτως των περιοριστικών προϋποθέσεων που τάσσει το άρθρο 3, παράγραφος 1, στοιχείο βʹ, της αποφάσεως 2000/520.

119. Εξάλλου, δυνάμει της εξουσίας τους να παρίστανται ενώπιον δικαστηρίου σε περίπτωση παραβάσεων των εθνικών διατάξεων που εκδίδονται κατ’ εφαρμογήν της οδηγίας 95/46 ή της εξουσίας τους να φέρουν τις παραβάσεις αυτές σε γνώση της δικαστικής αρχής, όπως προβλέπει το άρθρο 28, παράγραφος 3, της οδηγίας αυτής, οι εθνικές αρχές ελέγχου θα πρέπει να μπορούν, οσάκις γνωρίζουν πραγματικά περιστατικά που αποδεικνύουν ότι τρίτη χώρα δεν διασφαλίζει ικανοποιητικό επίπεδο προστασίας, να προσφεύγουν στον εθνικό δικαστή ο οποίος θα μπορέσει ο ίδιος να αποφασίσει, εφόσον παρίσταται ανάγκη, την υποβολή αιτήσεως προδικαστικής αποφάσεως ενώπιον του Δικαστηρίου προκειμένου να εκτιμηθεί το κύρος αποφάσεως της Επιτροπής περί υπάρξεως επαρκούς προστασίας.

120. Από το σύνολο των στοιχείων αυτών συνάγεται ότι το άρθρο 28 της οδηγίας 95/46, εξεταζόμενο υπό το φως των άρθρων 7 και 8 του Χάρτη, πρέπει να ερμηνευθεί υπό την έννοια ότι η ύπαρξη αποφάσεως εκδοθείσας από την Επιτροπή επί τη βάσει του άρθρου 25, παράγραφος 6, της οδηγίας αυτής δεν έχει ως αποτέλεσμα να εμποδίζει την εθνική αρχή ελέγχου να ερευνά καταγγελία ότι τρίτη χώρα δεν διασφαλίζει στα διαβιβαζόμενα δεδομένα προσωπικού χαρακτήρα ικανοποιητικό επίπεδο προστασίας και, εφόσον παρίσταται ανάγκη, να αναστέλλει τη διαβίβαση των δεδομένων αυτών.

121. Έστω και αν το High Court τονίζει, με τη διάταξή του περί παραπομπής, ότι ο M. Schrems δεν αμφισβήτησε επισήμως με την προσφυγή που αποτελεί το αντικείμενο της κύριας δίκης ούτε το κύρος της οδηγίας 95/46 ούτε αυτό της αποφάσεως 2000/520, από την εν λόγω διάταξη περί παραπομπής συνάγεται ότι η κύρια αιτίαση που διατυπώνει ο M. Schrems σκοπεί να θέσει εν αμφιβόλω τη διαπίστωση κατά την οποία οι Ηνωμένες Πολιτείες διασφαλίζουν, στο πλαίσιο του καθεστώτος ασφαλούς λιμένα, ικανοποιητικό επίπεδο προστασίας στα διαβιβαζόμενα δεδομένα προσωπικού χαρακτήρα.

122. Συνάγεται επίσης από τις παρατηρήσεις του επιτρόπου ότι η καταγγελία του M. Schrems βάλλει ευθέως κατά της αποφάσεως 2000/520. Με την υποβολή της καταγγελίας αυτής, πρόθεσή του ήταν να στραφεί κατά των όρων και της λειτουργίας του καθεστώτος ασφαλούς λιμένα καθ’ εαυτόν για τον λόγο ότι η παρακολούθηση σε μαζική κλίμακα δεδομένων προσωπικού χαρακτήρα που διαβιβάζονται στις Ηνωμένες Πολιτείες απεδείκνυε ότι δεν υφίσταται πραγματική προστασία των δεδομένων αυτών στη νομοθεσία και στην ισχύουσα πρακτική σε αυτή την τρίτη χώρα.

123. Περαιτέρω, το ίδιο το αιτούν δικαστήριο παρατηρεί ότι η εγγύηση που παρέχει το άρθρο 7 του Χάρτη και οι ουσιαστικές αξίες που είναι κοινές στις συνταγματικές παραδόσεις των κρατών μελών θα διακυβεύονταν εάν παρεχόταν η δυνατότητα στις δημόσιες εξουσίες να έχουν πρόσβαση στις ηλεκτρονικές επικοινωνίες, κατά τρόπο γενικευμένο και βάσει τυχαίων δειγμάτων, άνευ υποχρεώσεως αντικειμενικής δικαιολογίας στηριζόμενης σε λόγους εθνικής ασφάλειας ή στην πρόληψη της εγκληματικότητας που αφορούν τα ενδιαφερόμενα πρόσωπα και άνευ ουδεμίας ικανοποιητικής και επαληθεύσιμης εγγυήσεως (47). Το αιτούν δικαστήριο διατυπώνει έτσι εμμέσως επιφυλάξεις ως προς το κύρος της αποφάσεως 2000/520.

124. Επομένως, η εκτίμηση του κατά πόσον οι Ηνωμένες Πολιτείες, στο πλαίσιο του καθεστώτος ασφαλούς λιμένα, διασφαλίζουν ικανοποιητικό επίπεδο προστασίας στα διαβιβαζόμενα δεδομένα προσωπικού χαρακτήρα οδηγεί κατ’ ανάγκη στην εξέταση του κύρους της αποφάσεως αυτής.

125. Συναφώς, πρέπει να τονιστεί ότι, στο πλαίσιο της συνεργασίας μεταξύ του Δικαστηρίου και των εθνικών δικαστηρίων που καθιερώνει το άρθρο 267 ΣΛΕΕ, το Δικαστήριο, ακόμη και όταν επιλαμβάνεται αποκλειστικώς, στο πλαίσιο αιτήσεως προδικαστικής αποφάσεως, ερμηνευτικού ζητήματος του δικαίου της Ένωσης, μπορεί, υπό ορισμένες ιδιαίτερες περιστάσεις, να αχθεί στην εξέταση του κύρους διατάξεων του παράγωγου δικαίου.

126. Ως εκ τούτου, πλειστάκις το Δικαστήριο έχει προβεί αυτεπαγγέλτως σε ακύρωση πράξεως της οποίας εζητείτο μόνον η ερμηνεία (48). Το Δικαστήριο έχει κρίνει επίσης ότι, «όταν καθίσταται εμφανές ότι το αληθές αντικείμενο των υποβληθέντων από ένα εθνικό δικαστήριο ερωτημάτων αναφέρεται στο κύρος παρά στην ερμηνεία πράξεων της [Ένωσης], το Δικαστήριο έχει καθήκον να πληροφορήσει αμέσως επ’ αυτού το εν λόγω εθνικό δικαστήριο χωρίς να το υποχρεώσει σε καθαρά παρελκυστική τυπικότητα, η οποία δεν συμβιβάζεται με τον ιδιαίτερο χαρακτήρα των μηχανισμών που έχει εισαγάγει το άρθρο [267 ΣΛΕΕ]» (49). Εξάλλου, το Δικαστήριο έχει ήδη αποφανθεί ότι οι αμφιβολίες που εκδηλώνει το αιτούν δικαστήριο για τη συμβατότητα μιας πράξεως του παράγωγου δικαίου προς τους κανόνες σχετικά με την προστασία των θεμελιωδών δικαιωμάτων έπρεπε να θεωρηθούν ως θέτουσες υπό αμφισβήτηση το κύρος της πράξεως αυτής σε σχέση με το δίκαιο της Ένωσης (50).

127. Υπενθυμίζω επίσης ότι από τη νομολογία του Δικαστηρίου συνάγεται ότι ισχύει το τεκμήριο νομιμότητας ως προς τις πράξεις των οργάνων και των οργανισμών της Ένωσης, όπερ σημαίνει ότι οι πράξεις αυτές παράγουν έννομα αποτελέσματα, εφόσον δεν έχουν ανακληθεί, ακυρωθεί κατόπιν προσφυγής ακυρώσεως ή κριθεί άκυρες κατόπιν προδικαστικής παραπομπής ή κατόπιν ενστάσεως περί ελλείψεως νομιμότητας. Το Δικαστήριο είναι το μόνο αρμόδιο για τη διαπίστωση της ακυρότητας πράξεως της Ένωσης, αρμοδιότητα η οποία αποσκοπεί στη διασφάλιση της ομοιόμορφης εφαρμογής του δικαίου της Ένωσης ώστε να υπάρχει ασφάλεια δικαίου. Εφόσον η Επιτροπή δεν έχει προβεί σε διαπίστωση περί ακυρότητας, τροποποιήσεως ή καταργήσεως, η απόφαση παραμένει δεσμευτική ως προς όλα τα μέρη της και ισχύει άμεσα σε όλα τα κράτη μέλη (51).

128. Επομένως, προκειμένου να παράσχω μια πλήρη απάντηση στο αιτούν δικαστήριο και να άρω τις επιφυλάξεις που διατυπώθηκαν στο πλαίσιο της παρούσας διαδικασίας σχετικά με το κύρος της αποφάσεως 2000/520, φρονώ ότι το Δικαστήριο θα πρέπει να προβεί σε εκτίμηση του κύρους της αποφάσεως αυτής.

129. Ούτως εχόντων των πραγμάτων, πρέπει επίσης να διευκρινίσω ότι η εξέταση του ζητήματος εάν η απόφαση 2000/520 είναι ή όχι έγκυρη πρέπει να οριοθετηθεί από τις αιτιάσεις που αποτέλεσαν το αντικείμενο συζητήσεως στο πλαίσιο της παρούσας διαδικασίας. Πράγματι, στο πλαίσιο αυτό δεν συζητήθηκαν όλες οι παράμετροι που αφορούν τη λειτουργία του καθεστώτος ασφαλούς λιμένα, αυτός δε είναι ο λόγος για τον οποίον δεν θεωρώ δυνατό να προβώ εν προκειμένω σε εξαντλητική εξέταση των ανεπαρκειών του καθεστώτος αυτού.

130. Αντιθέτως, το ζήτημα εάν η γενικευμένη και βάσει τυχαίων δειγμάτων πρόσβαση των αμερικανικών υπηρεσιών πληροφοριών στα διαβιβαζόμενα δεδομένα μπορεί να πλήξει τη νομιμότητα της αποφάσεως 2000/520 αποτέλεσε αντικείμενο συζητήσεως ενώπιον του Δικαστηρίου στο πλαίσιο της παρούσας διαδικασίας. Επομένως, το κύρος της αποφάσεως αυτής μπορεί να εξεταστεί υπό το πρίσμα αυτό.

 Β —      Επί του κύρους της αποφάσεως 2000/520

1.      Επί των στοιχείων που πρέπει να ληφθούν υπόψη προκειμένου να εκτιμηθεί το κύρος της αποφάσεως 2000/520

131. Πρέπει να υπενθυμίσω τη νομολογία κατά την οποία, «στο πλαίσιο προσφυγής ακυρώσεως, η νομιμότητα της πράξεως πρέπει να εκτιμάται σε συνάρτηση με τα πραγματικά και νομικά στοιχεία που υφίστανται κατά τον χρόνο εκδόσεως της πράξεως, η δε εκτίμηση της Επιτροπής δεν μπορεί να ακυρωθεί παρά μόνον εάν είναι προδήλως εσφαλμένη βάσει των στοιχείων που διέθετε κατά τον χρόνο εκδόσεως της εν λόγω πράξεως» (52).

132. Με την απόφασή του Gaz de France — Berliner Investissement (53), το Δικαστήριο υπενθύμισε την αρχή κατά την οποία «ο έλεγχος του κύρους πράξεως, στον οποίο προβαίνει το Δικαστήριο στο πλαίσιο αιτήσεως για την έκδοση προδικαστικής αποφάσεως, πρέπει, κατά κανόνα, να στηρίζεται στην κατάσταση που υφίστατο κατά τον χρόνο εκδόσεως της πράξεως αυτής» (54). Εντούτοις, φαίνεται να δέχεται ότι «το κύρος μιας πράξεως μπορεί, σε ορισμένες περιπτώσεις, να εξετασθεί βάσει νέων στοιχείων τα οποία συνέτρεξαν κατόπιν της εκδόσεώς της» (55).

133. Φρονώ ότι αυτό το παράθυρο που αφήνει η νομολογία του Δικαστηρίου είναι ιδιαιτέρως κρίσιμο στοιχείο στο πλαίσιο της παρούσας υποθέσεως.

134. Πράγματι, οι αποφάσεις που εκδίδει η Επιτροπή επί τη βάσει του άρθρου 25, παράγραφος 6, της οδηγίας 95/46 έχουν ιδιαίτερα χαρακτηριστικά. Με αυτές σκοπείται να εκτιμηθεί εάν το επίπεδο προστασίας δεδομένων προσωπικού χαρακτήρα που παρέχει τρίτη χώρα είναι ικανοποιητικό ή όχι. Η εκτίμηση αυτή υπόκειται σε διακυμάνσεις αναλόγως του πραγματικού και νομικού πλαισίου που επικρατεί στην τρίτη χώρα.

135. Λαμβανομένου υπόψη του γεγονότος ότι η απόφαση περί υπάρξεως επαρκούς προστασίας συνιστά ιδιαίτερο είδος αποφάσεως, ο κανόνας κατά τον οποίον η εκτίμηση του κύρους της δεν μπορεί να πραγματοποιείται παρά μόνο βάσει των στοιχείων που υφίσταντο κατά τον χρόνο της εκδόσεώς της πρέπει να εξειδικευθεί εν προκειμένω. Ειδάλλως, ένας τέτοιος κανόνας θα είχε ως συνέπεια, πολλά έτη μετά την έκδοση αποφάσεως περί υπάρξεως επαρκούς προστασίας, να μην υπάρχει η δυνατότητα συνεκτιμήσεως γεγονότων που συνέβησαν εν συνέχεια κατά την εκτίμηση του κύρους στην οποία πρέπει να προβεί το Δικαστήριο, και τούτο μολονότι μια τέτοια προδικαστική παραπομπή σχετικά με την εκτίμηση του κύρους δεν υπόκειται σε κάποιο χρονικό περιορισμό και μολονότι μια τέτοια παραπομπή μπορεί ακριβώς να είναι η συνέπεια μεταγενέστερων γεγονότων που αποκαλύπτουν τις ανεπάρκειες της εν λόγω πράξεως.

136. Εν προκειμένω, η διατήρηση σε ισχύ της αποφάσεως 2000/520 περίπου από δεκαπενταετίας συνιστά σιωπηρή επιβεβαίωση από την Επιτροπή της εκτιμήσεώς της στην οποία προέβη το 2000. Όταν, στο πλαίσιο προδικαστικής παραπομπής, το Δικαστήριο καλείται να ελέγξει το κύρος εκτιμήσεως η οποία διατηρήθηκε στον χρόνο από την Επιτροπή, είναι, ως εκ τούτου, όχι μόνον δυνατό, αλλά και ενδεδειγμένο να μπορεί να αντιπαραβάλλει την εκτίμηση αυτή προς τις νέες περιστάσεις οι οποίες μεσολάβησαν από της εκδόσεως της αποφάσεως περί υπάρξεως επαρκούς προστασίας.

137. Λαμβανομένης υπόψη της ιδιαίτερης φύσεώς της, η απόφαση περί υπάρξεως επαρκούς προστασίας πρέπει να αποτελεί το αντικείμενο τακτικής επανεξετάσεως από την Επιτροπή. Εάν, κατόπιν νέων περιστατικών που μεσολάβησαν εν τω μεταξύ, η Επιτροπή δεν μεταβάλλει την απόφασή της, τούτο σημαίνει ότι επιβεβαιώνει εμμέσως πλην σαφώς την αρχική εκτίμηση. Έτσι, επαναλαμβάνει τη διαπίστωσή της ότι η οικεία τρίτη χώρα διασφαλίζει ικανοποιητικό επίπεδο προστασίας στα διαβιβαζόμενα δεδομένα προσωπικού χαρακτήρα. Εναπόκειται στο Δικαστήριο να εξετάσει εάν η διαπίστωση αυτή εξακολουθεί να είναι βάσιμη παρά τις περιστάσεις που μεσολάβησαν εκ των υστέρων.

138. Επομένως, προκειμένου να διασφαλιστεί ο αποτελεσματικός δικαστικός έλεγχος αυτού του είδους αποφάσεως, η εκτίμηση του κύρους της πρέπει, κατά την άποψή μου, να πραγματοποιείται λαμβανομένου υπόψη του τρέχοντος πραγματικού και νομικού πλαισίου.

2.      Επί της εννοίας του ικανοποιητικού επιπέδου προστασίας

139. Ολόκληρο το άρθρο 25 της οδηγίας 95/46 ερείδεται επί της αρχής κατά την οποία η διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα δεν μπορεί να λάβει χώρα αν αυτή η τρίτη χώρα δεν διασφαλίζει ικανοποιητικό επίπεδο προστασίας τέτοιων δεδομένων. Ο σκοπός του άρθρου αυτού είναι έτσι να διασφαλίσει τη συνέχεια της προστασίας που παρέχει η οδηγία αυτή σε περίπτωση διαβιβάσεως δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα. Συναφώς, πρέπει να υπομνησθεί ότι η εν λόγω οδηγία παρέχει υψηλό επίπεδο προστασίας στους πολίτες της Ένωσης έναντι της επεξεργασίας των δεδομένων τους προσωπικού χαρακτήρα.

140. Επομένως, λαμβανομένου υπόψη του σημαντικού ρόλου που έχει η προστασία δεδομένων προσωπικού χαρακτήρα υπό το πρίσμα του θεμελιώδους δικαιώματος στον σεβασμό της ιδιωτικής ζωής, ένα τέτοιο υψηλό επίπεδο προστασίας πρέπει να διασφαλίζεται και στην περίπτωση διαβιβάσεως δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα.

141. Αυτός είναι ο λόγος για τον οποίον φρονώ ότι η Επιτροπή δεν μπορεί να διαπιστώσει, επί τη βάσει του άρθρου 25, παράγραφος 6, της οδηγίας 95/46, ότι τρίτη χώρα διασφαλίζει ικανοποιητικό επίπεδο προστασίας παρά μόνον όταν, με την ολοκλήρωση μιας συνολικής εκτιμήσεως της νομοθεσίας και της πρακτικής στην εν λόγω τρίτη χώρα, είναι σε θέση να αποδείξει ότι αυτή η τρίτη χώρα παρέχει επίπεδο προστασίας ουσιαστικά ισοδύναμο με αυτό που προσφέρει η εν λόγω οδηγία, έστω και αν τα επιμέρους στοιχεία της προστασίας αυτής ενδέχεται να διαφέρουν από αυτά που χρησιμοποιούνται εν γένει εντός της Ένωσης.

142. Έστω και αν ο αγγλικός όρος «adequate» μπορεί να νοηθεί, από γλωσσικής απόψεως, ότι υποδηλώνει ένα απολύτως ικανοποιητικό ή επαρκές επίπεδο προστασίας, και να έχει έτσι διαφορετικό σημασιολογικό περιεχόμενο από τον γαλλικό όρο «adéquat», πρέπει να παρατηρηθεί ότι το μόνο κριτήριο που πρέπει να καθοδηγεί την ερμηνεία του όρου αυτού είναι ο σκοπός της επιτεύξεως υψηλού επιπέδου προστασίας των θεμελιωδών δικαιωμάτων, όπως απαιτεί η οδηγία 95/46.

143. Ο έλεγχος του επιπέδου προστασίας που παρέχει η τρίτη χώρα πρέπει να εξετάζει δύο θεμελιώδη στοιχεία, ήτοι το περιεχόμενο των εφαρμοστέων κανόνων και τα μέσα με τα οποία διασφαλίζεται η τήρηση των κανόνων αυτών (56).

144. Κατά την εκτίμησή μου, προκειμένου να επιτευχθεί επίπεδο προστασίας ουσιαστικά ισοδύναμο προς αυτό που ισχύει εντός της Ένωσης, το καθεστώς ασφαλούς λιμένα, το οποίο στηρίζεται σε μεγάλο μέρος στην αυτοπιστοποίηση και στην αυτοαξιολόγηση από τις επιχειρήσεις που μετέχουν οικεία βουλήσει στο καθεστώς αυτό, θα πρέπει να συνοδεύεται από ικανοποιητικές εγγυήσεις και από έναν επαρκή μηχανισμό ελέγχου. Έτσι, οι διαβιβάσεις δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες δεν θα πρέπει να προστατεύονται σε μικρότερη έκταση από ό,τι οι επεξεργασίες που πραγματοποιούνται εντός της Ένωσης.

145. Συναφώς, επισημαίνω ευθύς εξαρχής ότι, εντός της Ένωσης, επικρατεί η αντίληψη κατά την οποία ένας εξωτερικός μηχανισμός ελέγχου υπό τη μορφή μιας ανεξάρτητης αρχής συνιστά αναγκαίο στοιχείο κάθε συστήματος που αποβλέπει να διασφαλίσει την τήρηση των κανόνων σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα.

146. Εξάλλου, προκειμένου να διασφαλιστεί η πρακτική αποτελεσματικότητα του άρθρου 25, παράγραφοι 1 έως 3, της οδηγίας 95/46, πρέπει να λαμβάνεται υπόψη το γεγονός ότι η επάρκεια του επιπέδου προστασίας που παρέχει η τρίτη χώρα αποτελεί κατάσταση υποκείμενη σε μεταβολές συν τω χρόνω αναλόγως ορισμένων παραγόντων. Τα κράτη μέλη και η Επιτροπή πρέπει, ως εκ τούτου, να επαγρυπνούν διαρκώς για οποιαδήποτε μεταβολή των περιστάσεων η οποία ενδέχεται να καταστήσει αναγκαία την επανεκτίμηση της επάρκειας του επιπέδου προστασίας που παρέχει η τρίτη χώρα. Εκτίμηση της επάρκειας αυτού του επιπέδου προστασίας ουδόλως μπορεί να γίνει σε δεδομένη χρονική στιγμή και, εν συνεχεία, να διατηρηθεί επ’ αόριστον, ανεξαρτήτως οποιασδήποτε μεταβολής των περιστάσεων η οποία καταδεικνύει ότι, στην πραγματικότητα, το παρεχόμενο επίπεδο προστασίας δεν είναι πλέον ικανοποιητικό.

147. Η υποχρέωση την οποία φέρει η τρίτη χώρα να διασφαλίζει ικανοποιητικό επίπεδο προστασίας έχει έτσι διαρκή χαρακτήρα. Εάν η εκτίμηση πραγματοποιηθεί σε δεδομένη χρονική στιγμή, η διατήρηση της αποφάσεως περί υπάρξεως επαρκούς προστασίας προϋποθέτει ότι ουδεμία περίσταση μεσολάβησε έκτοτε δυνάμενη να θέσει εν αμφιβόλω την αρχική εκτίμηση στην οποία προέβη η Επιτροπή.

148. Πράγματι, δεν πρέπει να παροράται ότι ο σκοπός του άρθρου 25 της οδηγίας 95/46 είναι η αποτροπή της διαβιβάσεως δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα που δεν διασφαλίζει ικανοποιητικό επίπεδο προστασίας, κατά τρόπο συνεπαγόμενο προσβολή του θεμελιώδους δικαιώματος στην προστασία δεδομένων προσωπικού χαρακτήρα που κατοχυρώνει το άρθρο 8 του Χάρτη.

149. Πρέπει να τονιστεί ότι η εξουσία που παρέχει ο νομοθέτης της Ένωσης στην Επιτροπή, στο άρθρο 25, παράγραφος 6, της οδηγίας 95/46, να διαπιστώνει ότι τρίτη χώρα διασφαλίζει ικανοποιητικό επίπεδο προστασίας εξαρτάται ρητώς από την απαίτηση όπως η Τρίτη χώρα αυτή διασφαλίζει ένα τέτοιο επίπεδο, κατά την έννοια της παραγράφου 2 του άρθρου αυτού. Εάν νέες περιστάσεις είναι ικανές να θέσουν εν αμφιβόλω την αρχική εκτίμηση της Επιτροπής, αυτή θα πρέπει να προσαρμόσει αντιστοίχως την απόφασή της.

3.      Η εκτίμησή μου

150. Υπενθυμίζω ότι, δυνάμει του άρθρου 25, παράγραφος 6, της οδηγίας 95/46, «[η] Επιτροπή μπορεί να αποφανθεί, με τη διαδικασία που αναφέρεται στο άρθρο 31, παράγραφος 2, ότι μια τρίτη χώρα εξασφαλίζει ικανοποιητικό επίπεδο προστασίας κατά την έννοια της παραγράφου 2 του παρόντος άρθρου, λόγω της εσωτερικής της νομοθεσίας ή των διεθνών δεσμεύσεων που έχει αναλάβει, ιδίως κατόπιν των διαπραγματεύσεων που αναφέρονται στην παράγραφο 5, ώστε να εξασφαλίζει την προστασία της ιδιωτικής ζωής και των θεμελιωδών ελευθεριών και δικαιωμάτων των προσώπων». Σε συνδυασμό με το άρθρο 25, παράγραφος 2, της οδηγίας αυτής, το άρθρο της 25, παράγραφος 6, σημαίνει ότι, για τη διαπίστωση ότι η τρίτη χώρα διασφαλίζει ικανοποιητικό επίπεδο προστασίας, η Επιτροπή πρέπει να προβαίνει σε μια συνολική εκτίμηση των νομοθετικών κανόνων που ισχύουν σε αυτήν την τρίτη χώρα, καθώς και της εφαρμογής τους.

151. Όπως προελέχθη, η διατήρηση από την Επιτροπή της αποφάσεώς της 2000/520, παρά την επέλευση νέων πραγματικών και νομικών στοιχείων, πρέπει να ερμηνευθεί ως υποδηλώνουσα τη βούλησή της να εμμείνει στην αρχική της εκτίμηση.

152. Δεν εναπόκειται στο Δικαστήριο, στο πλαίσιο προδικαστικής παραπομπής, να εκτιμήσει τα πραγματικά περιστατικά της διαφοράς που οδήγησαν το εθνικό δικαστήριο να υποβάλει αίτηση προδικαστικής αποφάσεως (57).

153. Ως εκ τούτου, θα στηριχθώ στα πραγματικά περιστατικά που παραθέτει το αιτούν δικαστήριο στην αίτησή του προδικαστικής αποφάσεως, πραγματικά περιστατικά τα οποία, κατά τα λοιπά, η ίδια η Επιτροπή τα αποδέχεται ως επί το πλείστον ως αποδεδειγμένα (58).

154. Τα στοιχεία που προβλήθηκαν ενώπιον του Δικαστηρίου προκειμένου να αμφισβητηθεί η εκτίμηση της Επιτροπής κατά την οποία το καθεστώς ασφαλούς λιμένα διασφαλίζει ικανοποιητικό επίπεδο προστασίας στα δεδομένα προσωπικού χαρακτήρα που διαβιβάζονται από την Ένωση προς τις Ηνωμένες Πολιτείες μπορούν να περιγραφούν ως εξής.

155. Με την αίτησή του προδικαστικής αποφάσεως, το αιτούν δικαστήριο εκκινεί από τις ακόλουθες δύο πραγματικές διαπιστώσεις. Αφενός, τα δεδομένα προσωπικού χαρακτήρα που διαβιβάζονται από επιχειρήσεις όπως είναι η Facebook Ireland στη μητρική της εταιρεία που είναι εγκατεστημένη στις Ηνωμένες Πολιτείες μπορούν εν συνεχεία να περιέλθουν σε γνώση της NSA, καθώς και των λοιπών αμερικανικών υπηρεσιών ασφαλείας στο πλαίσιο μαζικών και μη στοχευμένων παρακολουθήσεων και υποκλοπών. Συγκεκριμένα, κατόπιν των αποκαλύψεων του Ε. Snowden, κανένα άλλο εύλογο συμπέρασμα δεν μπορεί να συναχθεί, προς το παρόν, από τα διαθέσιμα αποδεικτικά στοιχεία (59). Αφετέρου, οι πολίτες της Ένωσης δεν διαθέτουν πραγματικό δικαίωμα ακροάσεως επί του ζητήματος της παρακολουθήσεως και της υποκλοπής των δεδομένων τους από την NSA και από τις λοιπές αμερικανικές υπηρεσίες ασφαλείας (60).

156. Οι πραγματικές διαπιστώσεις στις οποίες προέβη το High Court τεκμηριώνονται από τις διαπιστώσεις στις οποίες προέβη η ίδια η Επιτροπή.

157. Έτσι, στην προαναφερθείσα ανακοίνωσή της σχετικά με τη λειτουργία του ασφαλούς λιμένα από την άποψη των πολιτών της Ένωσης και των επιχειρήσεων που είναι εγκατεστημένες στο έδαφός της, η Επιτροπή στηρίχθηκε στη διαπίστωση ότι, κατά τη διάρκεια του 2013, πληροφορίες σχετικά με την έκταση και το περιεχόμενο αμερικανικών προγραμμάτων παρακολουθήσεως δημιούργησαν ανησυχίες ως προς τη συνέχεια της προστασίας δεδομένων προσωπικού χαρακτήρα τα οποία νομίμως διαβιβάζονται προς τις Ηνωμένες Πολιτείες στο πλαίσιο του ασφαλούς λιμένα. Επισήμανε ότι όλες οι επιχειρήσεις που μετέχουν στο πρόγραμμα PRISM, που παρέχουν στις αμερικανικές αρχές τη δυνατότητα να έχουν πρόσβαση σε δεδομένα που είναι αποθηκευμένα και έχουν υποστεί επεξεργασία στις Ηνωμένες Πολιτείες, φαίνεται να έχουν πιστοποιηθεί στο πλαίσιο του ασφαλούς λιμένα. Κατά την εκτίμησή της, ο ασφαλής λιμήν έχει επομένως καταστεί μία από τις οδούς διά των οποίων οι αμερικανικές υπηρεσίες πληροφοριών έχουν πρόσβαση στη συλλογή δεδομένων προσωπικού χαρακτήρα τα οποία έχουν υποστεί αρχικώς επεξεργασία εντός της Ένωσης (61).

158. Από τα στοιχεία αυτά συνάγεται ότι η νομοθεσία και η πρακτική των Ηνωμένων Πολιτειών επιτρέπει τη συλλογή, σε μεγάλη κλίμακα, των δεδομένων προσωπικού χαρακτήρα των πολιτών της Ένωσης που διαβιβάζονται στο πλαίσιο του καθεστώτος ασφαλούς λιμένα, χωρίς αυτοί να απολαύουν αποτελεσματικής δικαστικής προστασίας.

159. Φρονώ ότι αυτές οι πραγματικές διαπιστώσεις καταδεικνύουν ότι η απόφαση 2000/520 δεν περιέχει επαρκείς εγγυήσεις. Ελλείψει τέτοιων εγγυήσεων, η απόφαση αυτή εφαρμόστηκε κατά τρόπο που δεν ανταποκρίνεται στις απαιτήσεις που επιβάλλει ο Χάρτης, καθώς και η οδηγία 95/46.

160. Ωστόσο, η απόφαση που εκδίδεται από την Επιτροπή επί τη βάσει του άρθρου 25, παράγραφος 6, της οδηγίας 95/46 έχει ως αντικείμενο τη διαπίστωση ότι η τρίτη χώρα «διασφαλίζει» ικανοποιητικό επίπεδο προστασίας. Ο όρος «διασφαλίζει», σε χρόνο ενεστώτα, συνεπάγεται ότι, προκειμένου να είναι δυνατό να διατηρηθεί, μια τέτοια απόφαση πρέπει να αφορά τρίτη χώρα η οποία εξακολουθεί, μετά την έκδοση της εν λόγω αποφάσεως, να διασφαλίζει ικανοποιητικό επίπεδο προστασίας.

161. Στην πραγματικότητα, οι αποκαλύψεις σχετικά με τις μεθοδεύσεις της NSA η οποία χρησιμοποιούσε δεδομένα διαβιβαζόμενα στο πλαίσιο του καθεστώτος ασφαλούς λιμένα φώτισαν τις αδυναμίες της νομικής βάσεως που συνιστά η απόφαση 2000/520.

162. Οι ανεπάρκειες που αναδείχθηκαν στο πλαίσιο της παρούσας διαδικασίας περιλαμβάνονται ειδικότερα στο παράρτημα I, τέταρτο εδάφιο, της αποφάσεως αυτής.

163. Υπενθυμίζω ότι, δυνάμει της διατάξεως αυτής, «[η] προσχώρηση στις […] αρχές [ασφαλούς λιμένα] δύναται να περιοριστεί α) στο μέτρο που είναι αναγκαίο για να πληρούνται απαιτήσεις εθνικής ασφάλειας, δημόσιου συμφέροντος και εφαρμογής του νόμου· β) από νομοθετικές, κυβερνητικές ή νομολογιακές διατάξεις οι οποίες δημιουργούν αντιφατικές υποχρεώσεις ή ρητή έγκριση, υπό τον όρο ότι, κατά την άσκηση οποιασδήποτε παρόμοιας έγκρισης, ο οργανισμός μπορεί να αποδείξει ότι η μη συμμόρφωσή του με τις αρχές περιορίζεται στο μέτρο που είναι αναγκαίο για να πληρούνται τα υπερισχύοντα νόμιμα συμφέροντα τα οποία εξυπηρετεί η εν λόγω έγκριση».

164. Το πρόβλημα ανακύπτει ουσιαστικά από τη χρήση που κάνουν οι αμερικανικές αρχές των παρεκκλίσεων που προβλέπει η εν λόγω διάταξη. Λόγω της υπέρμετρα γενικόλογης διατυπώσεώς τους, η εφαρμογή των παρεκκλίσεων αυτών από τις αρχές αυτές δεν περιορίζεται στον απολύτως αναγκαίο βαθμό.

165. Σε αυτήν την υπέρμετρα γενικόλογη διατύπωση έρχεται να προστεθεί το γεγονός ότι οι πολίτες της Ένωσης δεν διαθέτουν κάποιο κατάλληλο ένδικο βοήθημα κατά της επεξεργασίας των δεδομένων τους προσωπικού χαρακτήρα για σκοπούς διαφορετικούς από αυτούς για τους οποίους είχαν αρχικώς συλλεγεί και εν συνεχεία διαβιβασθεί προς τις Ηνωμένες Πολιτείες.

166. Οι παρεκκλίσεις που προβλέπει η απόφαση 2000/520 από την εφαρμογή των αρχών ασφαλούς λιμένα, ιδίως για επιτακτικούς λόγους που συνδέονται με την εθνική ασφάλεια, θα έπρεπε να συνοδεύονται από την εφαρμογή ενός ανεξάρτητου μηχανισμού ελέγχου ειδικώς για την αποτροπή των διαπιστωθεισών προσβολών του δικαιώματος στην ιδιωτική ζωή.

167. Έτσι, οι αποκαλύψεις σχετικά με τις πρακτικές των αμερικανικών υπηρεσιών ασφαλείας ως προς τη γενικευμένη παρακολούθηση των διαβιβαζόμενων στο πλαίσιο του ασφαλούς λιμένα δεδομένων φώτισαν ορισμένες ανεπάρκειες της αποφάσεως 2000/520.

168. Τα όσα υποστηρίχθηκαν στο πλαίσιο της παρούσας υποθέσεως δεν στοιχειοθετούν προσβολή των αρχών ασφαλούς λιμένα από τη Facebook. Εάν μια πιστοποιημένη επιχείρηση, όπως είναι η Facebook USA, παρέχει στις αμερικανικές αρχές πρόσβαση στα δεδομένα που της έχουν διαβιβασθεί από κράτος μέλος, μπορεί να θεωρηθεί ότι το πράττει προκειμένου να συμμορφωθεί προς την αμερικανική νομοθεσία. Λαμβανομένου υπόψη του γεγονότος ότι μια τέτοια κατάσταση ρητώς θεωρείται αποδεκτή από την απόφαση 2000/520, λόγω της διασταλτικής διατυπώσεως των παρεκκλίσεων που η απόφαση αυτή περιέχει, το ζήτημα που τίθεται, στην πραγματικότητα, στο πλαίσιο της παρούσας υποθέσεως είναι αυτό της συμβατότητας των παρεκκλίσεων αυτών προς το πρωτογενές δίκαιο της Ένωσης.

169. Συναφώς, πρέπει να τονιστεί ότι από πάγια νομολογία του Δικαστηρίου συνάγεται ότι ο σεβασμός των δικαιωμάτων του ανθρώπου συνιστά προϋπόθεση νομιμότητας των πράξεων της Ένωσης και ότι δεν μπορούν να επιτραπούν εντός της Ένωσης μέτρα ασυμβίβαστα προς τον σεβασμό αυτών των δικαιωμάτων (62).

170. Εξάλλου, από τη νομολογία του Δικαστηρίου συνάγεται ότι η διαβίβαση συλλεγέντων δεδομένων προσωπικού χαρακτήρα σε τρίτους, είτε δημόσιους φορείς είτε ιδιώτες, συνιστά παρέμβαση στο δικαίωμα σεβασμού της ιδιωτικής ζωής «όποια και αν είναι η μεταγενέστερη χρησιμοποίηση των γνωστοποιούμενων με τον τρόπο αυτόν πληροφοριών» (63). Περαιτέρω, το Δικαστήριο, στην απόφασή του Digital Rights Ireland κ.λπ. (64), επιβεβαίωσε ότι το γεγονός ότι επιτρέπεται η πρόσβαση των αρμόδιων εθνικών αρχών στα δεδομένα αυτά συνιστά επιπλέον επέμβαση σε αυτό το θεμελιώδες δικαίωμα (65). Περαιτέρω, οποιαδήποτε μορφή επεξεργασίας των δεδομένων προσωπικού χαρακτήρα εμπίπτει στο άρθρο 8 του Χάρτη και συνιστά επέμβαση στο θεμελιώδες δικαίωμα της προστασίας τέτοιων δεδομένων (66). Επομένως, η πρόσβαση που έχουν οι αμερικανικές υπηρεσίες πληροφοριών στα διαβιβαζόμενα δεδομένα στοιχειοθετεί επίσης επέμβαση στο θεμελιώδες δικαίωμα προστασίας δεδομένων προσωπικού χαρακτήρα που κατοχυρώνει το άρθρο 8 του Χάρτη, δεδομένου ότι μια τέτοια πρόσβαση συνιστά επεξεργασία των δεδομένων αυτών.

171. Όπως ακριβώς διαπίστωσε το Δικαστήριο με την απόφαση αυτή, η ούτω προσδιοριζόμενη επέμβαση έχει ένα τεράστιο εύρος και πρέπει να θεωρηθεί ως ιδιαιτέρως σοβαρή, λαμβανομένου υπόψη του σημαντικού αριθμού των θιγόμενων χρηστών και του όγκου των διαβιβαζόμενων δεδομένων. Τα στοιχεία αυτά, σε συνδυασμό με τον εμπιστευτικό χαρακτήρα της προσβάσεως από τις αμερικανικές αρχές στα δεδομένα προσωπικού χαρακτήρα τα οποία διαβιβάζονται στις επιχειρήσεις που είναι εγκατεστημένες στις Ηνωμένες Πολιτείες, καθιστούν την επέμβαση άκρως σοβαρή.

172. Πέραν των ανωτέρω, πρέπει να επισημανθεί ότι οι πολίτες της Ένωσης, που χρησιμοποιούν το Facebook, δεν είναι ενημερωμένοι για το γεγονός ότι οι αμερικανικές αρχές ασφαλείας μπορούν να έχουν εν γένει πρόσβαση στα δεδομένα τους προσωπικού χαρακτήρα.

173. Πρέπει επίσης να επισημανθεί το γεγονός ότι το αιτούν δικαστήριο διαπίστωσε ότι, στις Ηνωμένες Πολιτείες, οι πολίτες της Ένωσης δεν έχουν πραγματικό δικαίωμα ακροάσεως για το ζήτημα της παρακολουθήσεως και της υποκλοπής των δεδομένων τους. Το FISC ασκεί εποπτεία, πλην όμως η διαδικασία ενώπιόν του είναι απόρρητη και όχι κατ’ αντιμωλίαν (67). Φρονώ ότι τούτο συνιστά επέμβαση στο δικαίωμα των πολιτών της Ένωσης σε αποτελεσματική ένδικη προστασία το οποίο κατοχυρώνεται στο άρθρο 47 του Χάρτη.

174. Επομένως, οι παρεκκλίσεις από τις αρχές ασφαλούς λιμένα που περιλαμβάνονται στο παράρτημα I, τέταρτο εδάφιο, της αποφάσεως 2000/520 στοιχειοθετούν επέμβαση στα θεμελιώδη δικαιώματα που προστατεύονται από τα άρθρα 7, 8 και 47 του Χάρτη.

175. Στο σημείο αυτό, πρέπει να διαπιστωθεί εάν η επέμβαση αυτή είναι δικαιολογημένη ή όχι.

176. Κατά το άρθρο 52, παράγραφος 1, του Χάρτη, κάθε περιορισμός στην άσκηση των δικαιωμάτων και των ελευθεριών που αναγνωρίζονται σε αυτόν πρέπει να προβλέπεται από νόμο και να σέβεται το ουσιαστικό περιεχόμενο αυτών των δικαιωμάτων και των ελευθεριών. Τηρουμένης της αρχής της αναλογικότητας, περιορισμοί επιτρέπεται να επιβάλλονται σε αυτά τα δικαιώματα και τις ελευθερίες μόνον εφόσον είναι αναγκαίοι και ανταποκρίνονται πραγματικά σε σκοπούς γενικού ενδιαφέροντος που αναγνωρίζει η Ένωση ή στην ανάγκη προστασίας των δικαιωμάτων και των ελευθεριών των τρίτων.

177. Βάσει των ούτω διατυπούμενων προϋποθέσεων προκειμένου να επιτραπούν περιορισμοί στην άσκηση των δικαιωμάτων και των ελευθεριών που προστατεύει ο Χάρτης, φρονώ ότι είναι άκρως αμφίβολο το κατά πόσον οι επίμαχοι περιορισμοί στο πλαίσιο της παρούσας υποθέσεως μπορούν να θεωρηθούν ότι τηρούν το ουσιαστικό περιεχόμενο των άρθρων 7 και 8 του Χάρτη. Πράγματι, η πρόσβαση των αμερικανικών υπηρεσιών πληροφοριών στα διαβιβαζόμενα δεδομένα φαίνεται να εκτείνεται στο περιεχόμενο των ηλεκτρονικών επικοινωνιών, πράγμα το οποίο θα συνιστούσε προσβολή του ουσιαστικού περιεχομένου του θεμελιώδους δικαιώματος στον σεβασμό της ιδιωτικής ζωής και άλλων δικαιωμάτων που κατοχυρώνονται στο άρθρο 7 του Χάρτη. Περαιτέρω, στον βαθμό που η διασταλτική διατύπωση των περιορισμών που προβλέπονται στο παράρτημα I, τέταρτο εδάφιο, της αποφάσεως 2000/520 επιτρέπει δυνητικώς τη μη εφαρμογή του συνόλου των αρχών ασφαλούς λιμένα, θα μπορούσε να θεωρηθεί ότι οι περιορισμοί αυτοί θίγουν το ουσιαστικό περιεχόμενο του θεμελιώδους δικαιώματος στην προστασία των δεδομένων προσωπικού χαρακτήρα (68).

178. Ως προς το ζήτημα σχετικά με το κατά πόσον η διαπιστωθείσα επέμβαση ανταποκρίνεται σε σκοπό γενικού συμφέροντος, υπενθυμίζω κατ’ αρχάς ότι, δυνάμει του παραρτήματος I, τέταρτο εδάφιο, στοιχείο βʹ, της αποφάσεως 2000/520, η προσχώρηση στις αρχές ασφαλούς λιμένα μπορεί να περιοριστεί από «νομοθετικές, κυβερνητικές ή νομολογιακές διατάξεις οι οποίες δημιουργούν αντιφατικές υποχρεώσεις ή ρητή έγκριση, υπό τον όρο ότι, κατά την άσκηση οποιασδήποτε παρόμοιας έγκρισης, ο οργανισμός μπορεί να αποδείξει ότι η μη συμμόρφωσή του με τις αρχές περιορίζεται στο μέτρο που είναι αναγκαίο για να πληρούνται τα υπερισχύοντα νόμιμα συμφέροντα τα οποία εξυπηρετεί η εν λόγω έγκριση».

179. Επιβάλλεται η διαπίστωση ότι τα «νόμιμα συμφέροντα» περί των οποίων κάνει λόγο η διάταξη αυτή δεν διευκρινίζονται. Τούτο δημιουργεί αβεβαιότητα ως προς το ενδεχομένως υπέρμετρα ευρύ πεδίο της παρεκκλίσεως αυτής από την εφαρμογή των αρχών ασφαλούς λιμένα από τις προσχωρήσασες επιχειρήσεις.

180. Η ανάγνωση των διευκρινίσεων που παρατίθενται στον τίτλο B του παραρτήματος IV της αποφάσεως 2000/520, που επιγράφεται «Ρητές νόμιμες άδειες», επιβεβαιώνει την εντύπωση αυτή, ιδίως την παραδοχή κατά την οποία «[σ]αφώς, στην περίπτωση που το αμερικανικό δίκαιο επιβάλλει μια αντικρουόμενη υποχρέωση, οι οργανισμοί των ΗΠΑ, είτε συμμορφώνονται με τις αρχές ασφαλούς λιμένα είτε όχι, πρέπει να εφαρμόσουν το δίκαιο». Εξάλλου, επισημαίνεται, σε σχέση με τις ρητές νόμιμες άδειες, ότι, «παρόλο που οι αρχές του ασφαλούς λιμένα σκοπεύουν να γεφυρώσουν τις διαφορές μεταξύ των αμερικανικών και ευρωπαϊκών συστημάτων προστασίας του απορρήτου της ιδιωτικής ζωής, οφείλουμε να τηρήσουμε τα νομοθετικά προνόμια των εκλεγμένων νομοθετών μας».

181. Φρονώ ότι εντεύθεν συνάγεται ότι η παρέκκλιση αυτή αντιβαίνει στα άρθρα 7, 8 και 52, παράγραφος 1, του Χάρτη στον βαθμό που δεν επιδιώκει σκοπό γενικού συμφέροντος καθοριζόμενο κατά τρόπο αρκούντως ακριβή.

182. Εν πάση περιπτώσει, η ευκολία και η γενικόλογη διατύπωση με την οποία η ίδια η απόφαση 2000/520 στα παραρτήματά της I, τέταρτο εδάφιο, στοιχείο βʹ, και IV, B, προβλέπει ότι οι αρχές ασφαλούς λιμένα είναι δυνατό να μην ισχύσουν κατ’ εφαρμογήν των κανόνων της αμερικανικής νομοθεσίας δεν συμβιβάζονται με την προϋπόθεση κατά την οποία οι παρεκκλίσεις από τους κανόνες για την προστασία δεδομένων προσωπικού χαρακτήρα πρέπει να περιορίζονται κατά το μέτρο που είναι απολύτως αναγκαίο. Βεβαίως, γίνεται μνεία της προϋποθέσεως της αναγκαιότητας, πλην όμως, πέραν του γεγονότος ότι η οικεία επιχείρηση φέρει το βάρος αποδείξεως της συνδρομής της προϋποθέσεως αυτής, δεν βλέπω με ποιον τρόπο μια τέτοια επιχείρηση θα μπορούσε να μην εκπληρώσει την υποχρέωση περί μη εφαρμογής των αρχών ασφαλούς λιμένα η οποία απορρέει από τους κανόνες δικαίου τους οποίους υποχρεούται να τηρεί.

183. Επομένως, φρονώ ότι η απόφαση 2000/520 πρέπει να ακυρωθεί στον βαθμό που η ύπαρξη παρεκκλίσεως η οποία επιτρέπει κατά τρόπο τόσο γενικό και ασαφή τη μη εφαρμογή των αρχών του καθεστώς ασφαλούς λιμένα εμποδίζει αφ’ εαυτής να θεωρηθεί ότι το καθεστώς αυτό διασφαλίζει ικανοποιητικό επίπεδο προστασίας στα δεδομένα προσωπικού χαρακτήρα τα οποία διαβιβάζονται στις Ηνωμένες Πολιτείες από την Ένωση.

184. Όσον αφορά τώρα την πρώτη κατηγορία περιορισμών που προβλέπονται στο παράρτημα I, τέταρτο εδάφιο, στοιχείο αʹ, της αποφάσεως 2000/520 λόγω επιτακτικών λόγων που συνδέονται με την εθνική ασφάλεια, το δημόσιο συμφέρον και τον σεβασμό της αμερικανικής νομοθεσίας, φρονώ ότι μόνον ο πρώτος σκοπός είναι αρκούντως ακριβής προκειμένου να θεωρηθεί ως σκοπός γενικού συμφέροντος αναγνωριζόμενος από την Ένωση κατά την έννοια του άρθρου 52, παράγραφος 1, του Χάρτη.

185. Στη συνέχεια, πρέπει να εξεταστεί η αναλογικότητα της διαπιστωθείσας επεμβάσεως.

186. Συναφώς, πρέπει να υπομνησθεί ότι «η αρχή της αναλογικότητας επιτάσσει, κατά πάγια νομολογία του Δικαστηρίου, οι πράξεις των θεσμικών οργάνων της Ένωσης να μην υπερβαίνουν τα όρια του πρόσφορου και του αναγκαίου μέτρου για την επίτευξη των θεμιτών σκοπών που επιδιώκει η οικεία ρύθμιση» (69).

187. Όσον αφορά τον δικαιοδοτικό έλεγχο της τηρήσεως των προϋποθέσεων αυτών, «οσάκις πρόκειται για επεμβάσεις σε θεμελιώδη δικαιώματα, η έκταση της εξουσίας εκτιμήσεως του νομοθέτη της Ένωσης μπορεί να περιορίζεται από ορισμένα στοιχεία μεταξύ των οποίων είναι ο οικείος τομέας, η φύση του συγκεκριμένου δικαιώματος που κατοχυρώνει ο Χάρτης, η φύση και η σοβαρότητα της επεμβάσεως, καθώς και ο επιδιωκόμενος από αυτήν σκοπός» (70).

188. Φρονώ ότι οι αποφάσεις που εξέδωσε η Επιτροπή επί τη βάσει του άρθρου 25, παράγραφος 6, της οδηγίας 95/46 υπόκεινται στον πλήρη έλεγχο του Δικαστηρίου ως προς την αναλογικότητα της εκτιμήσεως στην οποία προέβη το όργανο αυτό σχετικά με την επάρκεια του επιπέδου προστασίας που παρέχει η τρίτη χώρα λόγω «της εσωτερικής της νομοθεσίας ή των διεθνών δεσμεύσεων που έχει αναλάβει».

189. Συναφώς, πρέπει να τονιστεί ότι, με την απόφασή του Digital Rights Ireland κ.λπ. (71), το Δικαστήριο έκρινε ότι, «λαμβανομένου υπόψη, αφενός, της σημασίας που έχει η προστασία των δεδομένων προσωπικού χαρακτήρα υπό το πρίσμα του θεμελιώδους δικαιώματος του σεβασμού της ιδιωτικής ζωής και, αφετέρου, της εκτάσεως και της σοβαρότητας της παρεμβάσεως στο εν λόγω δικαίωμα που συνεπάγεται η [εν λόγω] οδηγία, η εξουσία εκτιμήσεως του νομοθέτη της Ένωσης είναι περιορισμένη, οπότε επιβάλλεται η διενέργεια ενός αυστηρού ελέγχου» (72).

190. Μια τέτοια επέμβαση πρέπει να δύναται να επιτύχει τον σκοπό που επιδιώκει η οικεία πράξη της Ένωσης και να είναι αναγκαία για την επίτευξη του σκοπού αυτού.

191. Συναφώς, «όσον αφορά το δικαίωμα στον σεβασμό της ιδιωτικής ζωής, η προστασία αυτού του θεμελιώδους δικαιώματος, κατά πάγια νομολογία του Δικαστηρίου επιτάσσει [...] οι παρεκκλίσεις από την προστασία των δεδομένων προσωπικού χαρακτήρα και οι περιορισμοί της να μην υπερβαίνουν τα όρια του απολύτως αναγκαίου» (73).

192. Στο πλαίσιο του ελέγχου του, το Δικαστήριο πρέπει επίσης να συνεκτιμά το γεγονός ότι «[σ]υναφώς, πρέπει να υπομνησθεί ότι η προστασία δεδομένων προσωπικού χαρακτήρα, η οποία απορρέει από τη ρητή υποχρέωση που προβλέπει το άρθρο 8, παράγραφος 1, του Χάρτη, αποκτά ιδιαίτερη σημασία για το δικαίωμα στον σεβασμό της ιδιωτικής ζωής που καθιερώνει το άρθρο του 7» (74).

193. Κατά το Δικαστήριο, το οποίο παραπέμπει, συναφώς, στη νομολογία του Ευρωπαϊκού Δικαστηρίου των Δικαιωμάτων του Ανθρώπου, «η επίμαχη ρύθμιση της Ένωσης πρέπει να προβλέπει σαφείς και ακριβείς κανόνες που να διέπουν την έκταση και την εφαρμογή του οικείου μέτρου και να επιβάλλουν έναν ελάχιστο αριθμό απαιτήσεων ούτως ώστε τα πρόσωπα των οποίων τα δεδομένα διατηρούνται να έχουν επαρκείς εγγυήσεις ότι προστατεύονται αποτελεσματικά τα δεδομένα τους προσωπικού χαρακτήρα από κινδύνους καταχρήσεως, καθώς και από οποιαδήποτε αθέμιτη πρόσβαση και οποιαδήποτε αθέμιτη χρήση των δεδομένων αυτών» (75). Το Δικαστήριο τονίζει ότι «[η] ανάγκη να παρέχονται τέτοιες εγγυήσεις είναι κατά μείζονα λόγο σημαντική οσάκις [...] τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε αυτόματη επεξεργασία και υπάρχει σημαντικός κίνδυνος παράνομης προσβάσεως σε αυτά» (76).

194. Φρονώ ότι υφίσταται αναλογία μεταξύ του παραρτήματος I, τέταρτο εδάφιο, στοιχείο αʹ, της αποφάσεως 2000/520 και του άρθρου 13, παράγραφος 1, της οδηγίας 95/46. Η πρώτη διάταξη τονίζει ότι η προσχώρηση στις αρχές ασφαλούς λιμένα μπορεί να περιοριστεί από «απαιτήσεις εθνικής ασφάλειας, δημόσιου συμφέροντος και εφαρμογής [της νομοθεσίας των Ηνωμένων Πολιτειών]». Η δεύτερη προβλέπει ότι τα κράτη μέλη μπορούν να περιορίζουν με νομοθετικά μέτρα την εμβέλεια των υποχρεώσεων και δικαιωμάτων που προβλέπονται από τις διατάξεις των άρθρων 6, παράγραφος 1, 10, 11, παράγραφος 1, 12 και 21 της οδηγίας αυτής, όταν ο περιορισμός αυτός απαιτείται για τη διαφύλαξη, μεταξύ άλλων, της ασφάλειας του κράτους, της άμυνας, της δημόσιας ασφάλειας, καθώς και της προλήψεως, διερευνήσεως, διαπιστώσεως και διώξεως παραβάσεων του ποινικού νόμου.

195. Όπως το Δικαστήριο επισήμανε με την απόφασή του IPI (77), από το γράμμα του άρθρου 13, παράγραφος 1, της οδηγίας 95/46 συνάγεται ότι τα κράτη μέλη μπορούν να θεσπίσουν τα μέτρα που ορίζει η διάταξη μόνον εφόσον αυτά είναι αναγκαία. Η «αναγκαιότητα» των μέτρων τίθεται, συνεπώς, ως προϋπόθεση για την άσκηση της δυνατότητας που παρέχεται στα κράτη μέλη από την εν λόγω διάταξη (78). Για την επεξεργασία δεδομένων προσωπικού χαρακτήρα στο εσωτερικό της Ένωσης, τα όρια που προβλέπονται στο άρθρο 13 της οδηγίας αυτής πρέπει να εκτείνονται κατά το μέτρο που είναι απολύτως αναγκαίο προκειμένου να επιτευχθεί ο επιδιωκόμενος σκοπός. Φρονώ ότι το ίδιο πρέπει να ισχύσει για τους περιορισμούς επί των αρχών ασφαλούς λιμένα που προβλέπονται στο παράρτημα I, τέταρτο εδάφιο, της αποφάσεως 2000/520.

196. Πάντως, επιβάλλεται η διαπίστωση ότι δεν κάνουν όλες οι γλωσσικές αποδόσεις του παραρτήματος I, τέταρτο εδάφιο, στοιχείο αʹ, της αποφάσεως 2000/520 μνεία του κριτηρίου της αναγκαιότητας. Τούτο ισχύει, μεταξύ άλλων, για την απόδοση στη γαλλική η οποία κάνει λόγο για «[l]’adhésion aux principes peut être limitée par [...] les exigences relatives à la sécurité nationale, l’intérêt public et le respect des lois des États-Unis», ενώ, φερ’ ειπείν, οι αποδόσεις στην ισπανική, τη γερμανική και την αγγλική ορίζουν ότι οι επιβαλλόμενοι περιορισμοί πρέπει να είναι αναγκαίοι για την επίτευξη των προαναφερθέντων σκοπών.

197. Όπως και αν έχουν τα πράγματα, τα πραγματικά περιστατικά που παραθέτει το αιτούν δικαστήριο καθώς και η Επιτροπή στις προαναφερθείσες ανακοινώσεις της καταδεικνύουν σαφώς ότι, στην πράξη, η εφαρμογή των περιορισμών αυτών δεν εξαντλείται στο μέτρο που είναι απολύτως αναγκαίο για την επίτευξη των προαναφερθέντων σκοπών.

198. Συναφώς, παρατηρώ ότι η πρόσβαση στα διαβιβαζόμενα δεδομένα προσωπικού χαρακτήρα την οποία διαθέτουν οι αμερικανικές υπηρεσίες πληροφοριών καλύπτει γενικώς κάθε πρόσωπο και κάθε μέσο ηλεκτρονικής επικοινωνίας, καθώς και το σύνολο των διαβιβαζόμενων δεδομένων, περιλαμβανομένου του περιεχομένου των επικοινωνιών, άνευ ουδεμίας διαφοροποιήσεως, περιορισμού ή εξαιρέσεως αναλόγως του επιδιωκόμενου σκοπού γενικού συμφέροντος (79).

199. Πράγματι, η πρόσβαση των αμερικανικών υπηρεσιών πληροφοριών στα διαβιβαζόμενα δεδομένα αφορά συλλήβδην το σύνολο των προσώπων που κάνουν χρήση των υπηρεσιών ηλεκτρονικών επικοινωνιών χωρίς να απαιτείται όπως τα πρόσωπα αυτά συνιστούν απειλή για την εθνική ασφάλεια (80).

200. Μια τέτοια μαζική και μη στοχευμένη παρακολούθηση είναι εξ ορισμού δυσανάλογη και συνιστά αδικαιολόγητη επέμβαση στα δικαιώματα που κατοχυρώνουν τα άρθρα 7 και 8 του Χάρτη.

201. Όπως ορθώς επισήμανε το Κοινοβούλιο με τις παρατηρήσεις του, δεδομένου ότι είναι αδύνατο για τον νομοθέτη της Ένωσης ή για τα κράτη μέλη να θεσπίσουν νομοθετικές διατάξεις οι οποίες, κατά παράβαση του Χάρτη, θα προέβλεπαν μαζική και μη στοχευμένη παρακολούθηση, έπεται κατ’ ανάγκην ότι, κατά μείζονα λόγο, δεν μπορεί σε καμία περίπτωση να θεωρηθεί ότι τρίτες χώρες διασφαλίζουν ικανοποιητικό επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα των πολιτών της Ένωσης όταν το ρυθμιστικό τους πλαίσιο επιτρέπει πράγματι τη μαζική και μη στοχευμένη παρακολούθηση και υποκλοπή αυτού του είδους των δεδομένων.

202. Πρέπει, περαιτέρω, να τονιστεί ότι το καθεστώς ασφαλούς λιμένα όπως αυτό ορίζεται στην απόφαση 2000/520 δεν περιέχει ειδικές εγγυήσεις για την αποτροπή μαζικής και γενικευμένης προσβάσεως στα διαβιβαζόμενα δεδομένα.

203. Συναφώς, παρατηρώ ότι το Δικαστήριο τόνισε, με την απόφασή του Digital Rights Ireland κ.λπ. (81), τη σημασία να προβλεφθούν «σαφείς και ακριβείς κανόνες σχετικά με την έκταση της επεμβάσεως στα θεμελιώδη δικαιώματα που καθιερώνουν τα άρθρα 7 και 8 του Χάρτη» (82). Μια τέτοια επέμβαση πρέπει, κατά το Δικαστήριο, «να οριοθετείται επακριβώς μέσω διατάξεων δυνάμενων να διασφαλίσουν ότι πράγματι περιορίζεται στον απολύτως αναγκαίο βαθμό» (83). Το Δικαστήριο τόνισε επίσης, με την απόφαση αυτή, την αναγκαιότητα να προβλεφθούν «επαρκείς εγγυήσεις, όπως είναι αυτές που απαιτεί το άρθρο 8 του Χάρτη, δυνάμενες να διασφαλίσουν την αποτελεσματική προστασία των διατηρούμενων δεδομένων [προσωπικού χαρακτήρα] κατά των κινδύνων καταχρήσεως, καθώς και κατά κάθε αθέμιτης προσβάσεως και χρήσεως των δεδομένων αυτών» (84).

204. Πάντως, επιβάλλεται η διαπίστωση ότι οι μηχανισμοί ιδιωτικής διαιτησίας και το FTC, λόγω του ρόλου τους που περιορίζεται στις διαφορές εμπορικού χαρακτήρα, δεν συνιστούν μέσα προκειμένου να αμφισβητηθεί η πρόσβαση των αμερικανικών υπηρεσιών πληροφοριών στα δεδομένα προσωπικού χαρακτήρα τα οποία διαβιβάζονται από την Ένωση.

205. Η αρμοδιότητα του FTC καλύπτει αθέμιτες ή δόλιες ενέργειες και πρακτικές στον τομέα του εμπορίου και δεν εκτείνεται, ως εκ τούτου, στη συλλογή και τη χρήση προσωπικών πληροφοριών για μη εμπορικούς σκοπούς (85). Ο περιορισμένος τομέας αρμοδιότητας του FTC εξασθενίζει το δικαίωμα των ιδιωτών στην προστασία των δεδομένων τους προσωπικού χαρακτήρα. Το FTC συστάθηκε όχι για να διασφαλίζει, όπως συμβαίνει εντός της Ένωσης με τις εθνικές αρχές ελέγχου, την προστασία του ατομικού δικαιώματος στην ιδιωτική ζωή, αλλά προκειμένου να διασφαλίσει στους καταναλωτές αξιόπιστο και θεμιτό εμπόριο, πράγμα το οποίο περιορίζει, εκ των πραγμάτων, τις δυνατότητές του παρεμβάσεως στη σφαίρα της προστασίας των δεδομένων προσωπικού χαρακτήρα. Επομένως, το FTC δεν έχει ρόλο παρεμφερή προς αυτόν των εθνικών αρχών ελέγχου περί των οποίων προβλέπει το άρθρο 28 της οδηγίας 95/46.

206. Οι πολίτες της Ένωσης των οποίων τα δεδομένα έχουν διαβιβαστεί μπορούν να απευθυνθούν σε εξειδικευμένους οργανισμούς διαιτησίας που είναι εγκατεστημένοι στις Ηνωμένες Πολιτείες όπως είναι οι TRUSTe και BBBOnline προκειμένου να ζητήσουν διευκρινίσεις σχετικά με το κατά πόσον η επιχείρηση που κατέχει τα δεδομένα τους προσωπικού χαρακτήρα παραβιάζει τους όρους του καθεστώτος αυτοπιστοποιήσεως. Η ιδιωτική διαιτησία που παρέχουν οργανισμοί όπως είναι η TRUSTe δεν μπορεί να εξετάσει τις προσβολές του δικαιώματος στην προστασία δεδομένων προσωπικού χαρακτήρα οι οποίες διαπράττονται από οργανισμούς ή αρχές άλλες πέραν των αυτοπιστοποιημένων επιχειρήσεων. Αυτοί οι οργανισμοί διαιτησίας ουδεμία αρμοδιότητα έχουν να αποφαίνονται επί της νομιμότητας των δραστηριοτήτων αμερικανικών υπηρεσιών ασφαλείας.

207. Επομένως, ούτε το FTC ούτε οι ιδιωτικοί οργανισμοί διαιτησίας έχουν αρμοδιότητα να ελέγχουν τις πιθανές παραβάσεις των αρχών που διέπουν την προστασία δεδομένων προσωπικού χαρακτήρα τις οποίες διαπράττουν δημόσιοι φορείς όπως είναι οι αμερικανικές υπηρεσίες ασφαλείας. Εντούτοις, μια τέτοια αρμοδιότητα θα ήταν ουσιαστικής σημασίας προκειμένου να διασφαλίσει πλήρως το δικαίωμα στην αποτελεσματική προστασία των δεδομένων αυτών. Επομένως, η Επιτροπή κακώς διαπίστωσε, με την έκδοση της αποφάσεως 2000/520 και με τη διατήρησή της σε ισχύ, ότι παρεχόταν στο σύνολο των δεδομένων προσωπικού χαρακτήρα τα οποία θα διαβιβάζονταν προς τις Ηνωμένες Πολιτείες ικανοποιητική προστασία του δικαιώματος που κατοχυρώνει το άρθρο 8, παράγραφος 3, του Χάρτη, ήτοι ότι μια ανεξάρτητη αρχή θα ασκούσε αποτελεσματικό έλεγχο ως προς την τήρηση των απαιτήσεων προστασίας και ασφαλείας των δεδομένων αυτών.

208. Επομένως, πρέπει να διαπιστωθεί η έλλειψη, εντός του καθεστώτος ασφαλούς λιμένα που προβλέπει η απόφαση 2000/520, ανεξάρτητης αρχής η οποία θα μπορούσε να ελέγχει ότι η εφαρμογή των παρεκκλίσεων από τις αρχές ασφαλούς λιμένα περιορίζεται στο μέτρο που είναι απολύτως αναγκαίο. Ωστόσο, όπως προελέχθη, ένας τέτοιος έλεγχος από ανεξάρτητη αρχή συνιστά, υπό το πρίσμα του δικαίου της Ένωσης, βασικό στοιχείο του σεβασμού της προστασίας των προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα (86).

209. Συναφώς, πρέπει να τονιστεί ο ρόλος που έχουν, στο σύστημα προστασίας δεδομένων προσωπικού χαρακτήρα που ισχύει εντός της Ένωσης, οι εθνικές αρχές ελέγχου στο πλαίσιο του ελέγχου των περιορισμών που προβλέπονται στο άρθρο 13 της οδηγίας 95/46. Δυνάμει του άρθρου 28, παράγραφος 4, δεύτερο εδάφιο, της οδηγίας αυτής, «[κ]άθε πρόσωπο μπορεί ιδίως να υποβάλει σε κάθε αρχή ελέγχου αίτηση εξακρίβωσης της νομιμότητας μιας επεξεργασίας, εφόσον εφαρμόζονται οι εθνικές διατάξεις που έχουν θεσπισθεί δυνάμει του άρθρου 13 της παρούσας οδηγίας». Κατ’ αναλογίαν, φρονώ ότι η μνεία περιορισμών επί της εφαρμογής των αρχών ασφαλούς λιμένα στο παράρτημα I, τέταρτο εδάφιο, της αποφάσεως 2000/520 θα έπρεπε να συνοδεύεται από την πρόβλεψη ενός μηχανισμού ελέγχου εφαρμοζόμενου από ανεξάρτητη αρχή εξειδικευμένη σε ζητήματα προστασίας δεδομένων προσωπικού χαρακτήρα.

210. Πράγματι, η παρέμβαση ανεξάρτητων αρχών ελέγχου αποτελεί τον πυρήνα του ευρωπαϊκού συστήματος προστασίας των δεδομένων προσωπικού χαρακτήρα. Επομένως, ευλόγως θεωρήθηκε ευθύς εξαρχής ότι η ύπαρξη τέτοιων αρχών αποτελεί μία από τις αναγκαίες προϋποθέσεις για τη διαπίστωση περί υπάρξεως ικανοποιητικού επιπέδου προστασίας παρεχόμενης από τρίτες χώρες. Πρόκειται για προϋπόθεση η οποία πρέπει να συντρέχει προκειμένου να μην απαγορευθούν οι ροές δεδομένων από το έδαφος των κρατών μελών προς αυτό τρίτων χωρών συμφώνως προς το άρθρο 25 της οδηγίας 95/46 (87). Όπως σημειώνει το έγγραφο συζητήσεως το οποίο εξέδωσε η ομάδα εργασίας που συστάθηκε βάσει του άρθρου 29 της οδηγίας αυτής, υφίσταται στην Ευρώπη ευρεία συναίνεση σχετικά με το ότι «ένας μηχανισμός “εξωτερικού ελέγχου”, υπό τη μορφή ανεξάρτητης αρχής, συνιστά αναγκαίο στοιχείο οποιουδήποτε συστήματος το οποίο σκοπεί να διασφαλίσει την τήρηση των κανόνων περί της προστασίας των δεδομένων» (88).

211. Επισημαίνω, περαιτέρω ότι το FISC δεν παρέχει αποτελεσματική ένδικη προστασία στους πολίτες της Ένωσης των οποίων τα δεδομένα προσωπικού χαρακτήρα διαβιβάζονται στις Ηνωμένες Πολιτείες. Πράγματι, οι προβλέψεις περί προστασίας κατά της παρακολουθήσεως από τις κυβερνητικές υπηρεσίες στο πλαίσιο του άρθρου 702 του νόμου του 1978 επί της παρακολουθήσεως των αλλοδαπών υπηρεσιών πληροφοριών εφαρμόζονται αποκλειστικώς στους Αμερικανούς πολίτες καθώς και στους αλλοδαπούς πολίτες που διαμένουν νόμιμα και μόνιμα στις Ηνωμένες Πολιτείες. Όπως η ίδια η Επιτροπή επισήμανε, ο έλεγχος των αμερικανικών προγραμμάτων συλλογής πληροφοριών θα μπορούσε να βελτιωθεί διά της ενισχύσεως του ρόλου του FISC και διά της προβλέψεως μέσων ένδικης προστασίας για τους ιδιώτες. Αυτοί οι μηχανισμοί θα μπορούσαν να περιορίσουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν πολίτες της Ένωσης τα οποία είναι άσχετα προς την προστασία της εθνικής ασφάλειας (89).

212. Εξάλλου, η ίδια η Επιτροπή τόνισε ότι οι πολίτες της Ένωσης δεν έχουν τη δυνατότητα προσβάσεως, διορθώσεως ή διαγραφής δεδομένων ή προσφυγής σε διοικητικές διαδικασίες ή ασκήσεως ένδικων βοηθημάτων εάν, στο πλαίσιο των αμερικανικών προγραμμάτων παρακολουθήσεως, πραγματοποιείται συλλογή και εν συνεχεία επεξεργασία των δεδομένων προσωπικού χαρακτήρα που τους αφορούν (90).

213. Τέλος, πρέπει να λεχθεί ότι οι αμερικανικοί κανόνες δικαίου σχετικά με την προστασία της ιδιωτικής ζωής μπορούν να εφαρμοστούν κατά τρόπο διαφορετικό επί των Αμερικανών πολιτών και επί των αλλοδαπών πολιτών (91).

214. Από τα ανωτέρω συνάγεται ότι η απόφαση 2000/520 δεν προβλέπει σαφείς και ακριβείς κανόνες σχετικά με την έκταση της επεμβάσεως στα θεμελιώδη δικαιώματα που καθιερώνουν τα άρθρα 7 και 8 του Χάρτη. Συνεπώς, επιβάλλεται η διαπίστωση ότι η απόφαση αυτή συνεπάγεται μια τεράστιας εκτάσεως και ιδιαιτέρως μεγάλης βαρύτητας επέμβαση σε αυτά τα θεμελιώδη δικαιώματα χωρίς η επέμβαση αυτή να οριοθετείται επακριβώς μέσω διατάξεων δυνάμενων να διασφαλίσουν ότι πράγματι περιορίζεται στον απολύτως αναγκαίο βαθμό.

215. Επομένως, η Επιτροπή, εκδίδοντας την απόφαση 2000/520 και εν συνεχεία διατηρώντας την σε ισχύ, υπερέβη τα όρια που επιβάλλει η τήρηση της αρχής της αναλογικότητας υπό το πρίσμα των άρθρων 7, 8 και 52, παράγραφος 1, του Χάρτη. Πέραν τούτου, διαπιστώνεται ότι υπάρχει αδικαιολόγητη επέμβαση στο δικαίωμα των πολιτών της Ένωσης σε αποτελεσματική ένδικη προστασία το οποίο προστατεύεται από το άρθρο 47 του Χάρτη.

216. Επομένως, η απόφαση αυτή πρέπει να ακυρωθεί στον βαθμό που, λόγω των προπεριγραφεισών προσβολών των θεμελιωδών δικαιωμάτων, δεν μπορεί να θεωρηθεί ότι το καθεστώς ασφαλούς λιμένα το οποίο αυτή καθιερώνει διασφαλίζει ικανοποιητικό επίπεδο προστασίας στα δεδομένα προσωπικού χαρακτήρα τα οποία διαβιβάζονται από την Ένωση στις Ηνωμένες Πολιτείες στο πλαίσιο του καθεστώτος αυτού.

217. Φρονώ ότι, κατόπιν μιας τέτοιας διαπιστώσεως περί προσβολών των θεμελιωδών δικαιωμάτων των πολιτών της Ένωσης, η Επιτροπή θα έπρεπε να αναστείλει την εφαρμογή της αποφάσεως 2000/520.

218. Η απόφαση αυτή είναι αορίστου διαρκείας. Ωστόσο, η παρούσα υπόθεση καταδεικνύει ότι η επάρκεια του επιπέδου προστασίας που παρέχει τρίτη χώρα μπορεί διαχρονικώς να διαφοροποιείται αναλόγως της μεταβολής τόσο των πραγματικών όσο και των νομικών περιστάσεων επί των οποίων στηρίχθηκε η εν λόγω απόφαση.

219. Επισημαίνω ότι η ίδια η απόφαση 2000/520 περιέχει διατάξεις που προβλέπουν τη δυνατότητα της Επιτροπής να προβεί σε προσαρμογή της αναλόγως των περιστάσεων.

220. Έτσι, από την αιτιολογική σκέψη 9 της αποφάσεως αυτής συνάγεται ότι «[ο] “ασφαλής λιμένας” που δημιουργείται από τις αρχές και τις [FAQ] ίσως χρειαστεί να αναθεωρηθεί με βάση την εμπειρία που θα αποκτηθεί από τις εξελίξεις που θα σημειωθούν όσον αφορά την προστασία της ιδιωτικής ζωής σε συνθήκες υπό τις οποίες η τεχνολογία καθιστά συνεχώς ευκολότερη τη διαβίβαση και επεξεργασία δεδομένων προσωπικού χαρακτήρα και με βάση εκθέσεις σχετικά με την εφαρμογή από τις υπεύθυνες για την εφαρμογή αρχές».

221. Ομοίως, δυνάμει του άρθρου 3, παράγραφος 4, της εν λόγω αποφάσεως, «[α]ν από τα πληροφοριακά στοιχεία που συλλέγονται βάσει των παραγράφων 1 έως 3 προκύπτει ότι οποιοσδήποτε φορέας που είναι αρμόδιος για τη συμμόρφωση με τις αρχές ασφαλούς λιμένα, όπως αυτές εφαρμόζονται σύμφωνα με τις [FAQ], στις Ηνωμένες Πολιτείες δεν εκπληρώνει ικανοποιητικά την αποστολή του, η Επιτροπή ενημερώνει σχετικά το Υπουργείο Εμπορίου των ΗΠΑ και, εφόσον χρειάζεται, υποβάλλει σχέδιο μέτρων […] με σκοπό την ακύρωση ή την αναστολή της παρούσας απόφασης ή τον περιορισμό του πεδίου εφαρμογής της».

222. Περαιτέρω, κατά το άρθρο 4, παράγραφος 1, της αποφάσεως 2000/520, αυτή «δύναται να προσαρμόζεται ανά πάσα στιγμή υπό το φως των εμπειριών που αφορούν την εφαρμογή της και/ή αν το επίπεδο προστασίας που παρέχεται από τις αρχές ασφαλούς λιμένα και τις [FAQ] είναι υποδεέστερο από τις απαιτήσεις της νομοθεσίας των ΗΠΑ. Εν πάση περιπτώσει, η Επιτροπή αξιολογεί την εφαρμογή της παρούσας απόφασης βάσει των διαθέσιμων πληροφοριών τρία έτη μετά την κοινοποίησή της στα κράτη μέλη και ανακοινώνει τα σχετικά πορίσματά της στην επιτροπή που συστάθηκε βάσει του άρθρου 31 της οδηγίας 95/46 […], περιλαμβανομένης οποιασδήποτε ένδειξης η οποία θα μπορούσε να επηρεάσει την εκτίμηση σύμφωνα με την οποία οι ρυθμίσεις που αναφέρονται στο άρθρο 1 της παρούσας απόφασης παρέχουν ικανοποιητική προστασία, κατά την έννοια του άρθρου 25 της οδηγίας 95/46». Δυνάμει του άρθρου 4, παράγραφος 2, της αποφάσεως 2000/520, «[η] Επιτροπή υποβάλλει, εφόσον χρειάζεται, σχέδιο μέτρων σύμφωνα με τη διαδικασία που προβλέπεται στο άρθρο 31 της οδηγίας 95/46».

223. Η Επιτροπή διαπίστωσε, με τις παρατηρήσεις της, ότι υπάρχει «μεγάλη πιθανότητα η προσχώρηση στις αρχές ασφαλούς λιμένα να περιορίστηκε κατά τρόπο που δεν ανταποκρίνεται πλέον στις αυστηρώς οριζόμενες προϋποθέσεις της εξαιρέσεως που προβλέπεται για ζητήματα εθνικής ασφαλείας» (92). Συναφώς, παρατηρεί ότι «[α]πό τις εν λόγω αποκαλύψεις συνάγεται η ύπαρξη μεγάλης κλίμακος παρακολουθήσεως άνευ διακρίσεων που δεν συμβιβάζεται με το κριτήριο της αναγκαιότητας που προβλέπει η εξαίρεση αυτή ούτε, ευρύτερα, με το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα που κατοχυρώνει το άρθρο 8 του Χάρτη» (93). Η Επιτροπή διαπίστωσε, εξάλλου ότι «[η] έκταση [των] προγραμμάτων παρακολουθήσεως, σε συνδυασμό με την άνιση μεταχείριση των πολιτών της [Ένωσης], θέτει εν αμφιβόλω το επίπεδο προστασίας που παρέχει ο ασφαλής λιμήν» (94).

224. Περαιτέρω, η Επιτροπή ρητώς αναγνώρισε, κατά την επ’ ακροατηρίου συζήτηση, ότι, στο πλαίσιο της αποφάσεως 2000/520, όπως αυτή εφαρμόζεται επί του παρόντος, δεν παρέχεται εγγύηση ότι διασφαλίζεται το δικαίωμα των πολιτών της Ένωσης στην προστασία των δεδομένων τους. Εντούτοις, η διαπίστωση αυτή δεν δύναται να ανατρέψει το κύρος της αποφάσεως αυτής. Μολονότι η Επιτροπή συμφωνεί με την παραδοχή ότι πρέπει να αντιδράσει στις νέες περιστάσεις, εντούτοις φρονεί ότι έχει λάβει ενδεδειγμένα και αναλογικά μέτρα τα οποία συνίστανται στην έναρξη διαπραγματεύσεων με τις Ηνωμένες Πολιτείες προκειμένου να μεταρρυθμιστεί το καθεστώς ασφαλούς λιμένα.

225. Δεν συμφωνώ με την άποψη αυτή. Πράγματι, στο μεσοδιάστημα, πρέπει να υπάρχει η δυνατότητα αναστολής της διαβιβάσεως δεδομένων προσωπικού χαρακτήρα προς τις Ηνωμένες Πολιτείες με πρωτοβουλία των εθνικών αρχών ελέγχου ή κατόπιν καταγγελιών ενώπιον των αρχών αυτών.

226. Εξάλλου, φρονώ ότι, κατόπιν τέτοιων διαπιστώσεων, η Επιτροπή θα έπρεπε να αναστείλει την εφαρμογή της αποφάσεως 2000/520. Πράγματι, ο σκοπός της προστασίας των δεδομένων προσωπικού χαρακτήρα τον οποίον επιδιώκει η οδηγία 95/46, καθώς και το άρθρο 8 του Χάρτη, συνεπάγεται ορισμένες υποχρεώσεις όχι μόνο για τα κράτη μέλη, αλλά και για τα όργανα της Ένωσης, όπως τούτο απορρέει από το άρθρο 51, παράγραφος 1, του Χάρτη.

227. Στο πλαίσιο της εκτιμήσεώς της σχετικά με το επίπεδο προστασίας που παρέχει η τρίτη χώρα, η Επιτροπή πρέπει να εξετάζει όχι μόνον την εσωτερική νομοθεσία και τις διεθνείς δεσμεύσεις αυτής της τρίτης χώρας, αλλά και τον τρόπο με τον οποίον διασφαλίζεται η προστασία δεδομένων προσωπικού χαρακτήρα στην πράξη. Εάν από τον έλεγχο της εφαρμογής στην πράξη διαπιστώνονται δυσλειτουργίες, η Επιτροπή υποχρεούται να αντιδράσει και, εφόσον παρίσταται ανάγκη, να αναστείλει και/ή να αναπροσαρμόσει αμελλητί την απόφασή της.

228. Όπως προελέχθη στο πλαίσιο των ανωτέρω αναπτύξεών μου, η υποχρέωση που φέρουν τα κράτη μέλη συνίσταται κυρίως στη διασφάλιση, μέσω της δράσεως των εθνικών τους αρχών ελέγχου, της τηρήσεως των κανόνων που τίθενται με την οδηγία 95/46.

229. Η υποχρέωση που φέρει η Επιτροπή είναι η αναστολή της εφαρμογής της αποφάσεως που εξέδωσε επί τη βάσει του άρθρου 25, παράγραφος 6, της οδηγίας αυτής σε περίπτωση που διαπιστώνονται παραβάσεις από την οικεία τρίτη χώρα ενόσω διεξάγει διαπραγματεύσεις με την τρίτη χώρα αυτή προκειμένου να τερματιστούν οι παραβάσεις αυτές.

230. Υπενθυμίζω ότι αντικείμενο της αποφάσεως που εκδίδει η Επιτροπή επί τη βάσει της διατάξεως αυτής είναι η διαπίστωση ότι τρίτη χώρα «διασφαλίζει» ικανοποιητικό επίπεδο προστασίας στα δεδομένα προσωπικού χαρακτήρα τα οποία διαβιβάζονται προς αυτή την τρίτη χώρα. Ο όρος «διασφαλίζει», σε χρόνο ενεστώτα, συνεπάγεται ότι, προκειμένου να μπορεί να διατηρηθεί σε ισχύ, μια τέτοια απόφαση πρέπει να αφορά τρίτη χώρα η οποία εξακολουθεί, μετά την έκδοση της εν λόγω αποφάσεως, να διασφαλίζει ένα τέτοιο ικανοποιητικό επίπεδο προστασίας.

231. Κατά την αιτιολογική σκέψη 57 της οδηγίας 95/46, «όταν μια τρίτη χώρα δεν παρέχει ικανοποιητικό επίπεδο προστασίας, η διαβίβαση των δεδομένων προσωπικού χαρακτήρα προς την εν λόγω χώρα πρέπει να απαγορεύεται».

232. Δυνάμει του άρθρου 25, παράγραφος 4, της οδηγίας αυτής, «[ό]ταν η Επιτροπή διαπιστώνει, με τη διαδικασία που αναφέρεται στο άρθρο 31, παράγραφος 2, ότι μια τρίτη χώρα δεν εξασφαλίζει ικανοποιητικό επίπεδο προστασίας κατά την έννοια της παραγράφου 2 του παρόντος άρθρου, τα κράτη μέλη λαμβάνουν τα αναγκαία μέτρα ώστε να αποφευχθεί οποιαδήποτε διαβίβαση τέτοιου είδους δεδομένων προς την εν λόγω τρίτη χώρα». Εξάλλου, το άρθρο 25, παράγραφος 5, της εν λόγω οδηγίας ορίζει ότι «[η] Επιτροπή αρχίζει την κατάλληλη στιγμή διαπραγματεύσεις ώστε να επανορθωθεί η κατάσταση που προκύπτει από τη διαπίστωση που έχει γίνει κατ’ εφαρμογήν της παραγράφου 4».

233. Από την τελευταία αυτή διάταξη συνάγεται ότι, στο πλαίσιο του συστήματος που καθιερώνει το άρθρο 25 της οδηγίας 95/46, οι διαπραγματεύσεις που αρχίζουν με τρίτη χώρα έχουν ως σκοπό να θεραπεύσουν τη διαπιστούμενη απουσία ικανοποιητικού επιπέδου προστασίας συμφώνως προς τη διαδικασία που προβλέπεται στο άρθρο 31, παράγραφος 2, της οδηγίας αυτής. Εν προκειμένω, η Επιτροπή δεν προέβη σε επίσημη διαπίστωση, συμφώνως προς τη διαδικασία αυτή, ότι το καθεστώς ασφαλούς λιμένα δεν διασφάλιζε πλέον ικανοποιητικό επίπεδο προστασίας. Ούτως εχόντων των πραγμάτων, εάν η Επιτροπή αποφάσισε να αρχίσει διαπραγματεύσεις με τις Ηνωμένες Πολιτείες, ο λόγος είναι πράγματι ότι, προηγουμένως, διαπίστωσε ότι το επίπεδο προστασίας που διασφαλίζει αυτή η τρίτη χώρα δεν ήταν πλέον ικανοποιητικό.

234. Μολονότι η Επιτροπή τελούσε σε γνώση των δυσλειτουργιών κατά την εφαρμογή της αποφάσεως 2000/520, εντούτοις ούτε την ανέστειλε ούτε την προσάρμοσε, προκαλώντας με τον τρόπο αυτόν την εξακολούθηση της προσβολής των θεμελιωδών δικαιωμάτων των προσώπων των οποίων τα δεδομένα προσωπικού χαρακτήρα συνέχιζαν και συνεχίζουν να διαβιβάζονται στο πλαίσιο του καθεστώτος ασφαλούς λιμένα.

235. Πάντως, το Δικαστήριο έχει ήδη κρίνει, σε διαφορετική βεβαίως συνάφεια, ότι εναπόκειται στην Επιτροπή να μεριμνά για την προσαρμογή της κανονιστικής ρυθμίσεως στα νέα δεδομένα (95).

236. Αυτή η αδράνεια της Επιτροπής, που αποτελεί ευθεία προσβολή των προστατευόμενων από τα άρθρα 7, 8 και 47 του Χάρτη θεμελιωδών δικαιωμάτων συνιστά, κατά την άποψή μου, περαιτέρω λόγο για την ακύρωση της αποφάσεως 2000/520 στο πλαίσιο της παρούσας προδικαστικής παραπομπής (96).

III – Πρόταση

237. Ενόψει των ανωτέρω, προτείνω στο Δικαστήριο να απαντήσει στα υπό κρίση προδικαστικά ερωτήματα που υπέβαλε το High Court ως εξής:

Το άρθρο 28 της οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών, σε συνδυασμό προς τα άρθρα 7 και 8 του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης, πρέπει να ερμηνευθεί υπό την έννοια ότι η ύπαρξη αποφάσεως εκδοθείσας από την Ευρωπαϊκή Επιτροπή επί τη βάσει του άρθρου 25, παράγραφος 6, της οδηγίας 95/46 δεν έχει ως αποτέλεσμα να εμποδίζει την εθνική αρχή ελέγχου να ερευνά καταγγελία με την οποία προβάλλεται ότι τρίτη χώρα δεν διασφαλίζει ικανοποιητικό επίπεδο προστασίας των διαβιβαζόμενων δεδομένων προσωπικού χαρακτήρα και, εφόσον παρίσταται ανάγκη, να αναστέλλει τη διαβίβαση των δεδομένων αυτών.

Ακυρώνει την απόφαση 2000/520/ΕΚ της Επιτροπής, της 26ης Ιουλίου 2000, βάσει της οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με την επάρκεια της προστασίας που παρέχεται από τις αρχές ασφαλούς λιμένα για την προστασία της ιδιωτικής ζωής και τις συναφείς συχνές ερωτήσεις που εκδίδονται από το Υπουργείο Εμπορίου των ΗΠΑ.

1 —      Γλώσσα του πρωτοτύπου: η γαλλική.

2 —      Ανακοίνωση της Επιτροπής στο Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο με τον τίτλο «Αποκατάσταση της εμπιστοσύνης στις ροές δεδομένων μεταξύ της Ευρωπαϊκή Ένωσης και των Ηνωμένων Πολιτειών της Αμερικής» [COM(2013) 846 τελικό].

3 —      Σελίδα 2.

4 —      ΕΕ L 215, σ. 7, και διορθωτικό ΕΕ 2001, L 115, σ. 14.

5 —      ΕΕ L 281, σ. 31. Οδηγία όπως τροποποιήθηκε με τον κανονισμό (ΕΚ) 1882/2003 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 29ης Σεπτεμβρίου 2003 (ΕΕ L 284, σ. 1, στο εξής: οδηγία 95/46).

6 —      Frequently asked questions, στο εξής: FAQ.

7 —      Δεύτερο εδάφιο του παραρτήματος I της αποφάσεως 2000/520.

8—      Βλ. παράρτημα I, υπό τον τίτλο «Κοινοποίηση».

9—      Βλ. παράρτημα I, υπό τον τίτλο «Επιλογή».

10—      Βλ. παράρτημα I, υπό τον τίτλο «Περαιτέρω διαβίβαση».

11 — Βλ. παράρτημα I, υπό τον τίτλο «Ασφάλεια».

12 — Βλ. παράρτημα I, υπό τον τίτλο «Ακεραιότητα των δεδομένων».

13 — Βλ. παράρτημα I, υπό τον τίτλο «Πρόσβαση».

14 — Βλ. παράρτημα I, υπό τον τίτλο «Εφαρμογή».

15 —      Άρθρο 1, παράγραφοι 2 και 3, της αποφάσεως 2000/520. Βλ., επίσης, παράρτημα II, FAQ 6.

16 —      Τρίτο εδάφιο του παραρτήματος I.

17 —      Βλ., επίσης, παράρτημα IV, B.

18 —      Βλ. άρθρο 702 του νόμου αυτού, όπως τροποποιήθηκε με τον νόμο του 2008 (Foreign Intelligence Surveillance Act of 2008). Κατ’ εφαρμογήν του άρθρου αυτού, η NSA διαθέτει βάση δεδομένων γνωστή με την ονομασία «PRISM» (βλ. report on the Findings by the EU Co-chairs of the ad hoc EU-US Working Group on Data Protection της 27ης Νοεμβρίου 2013).

19 —      Το High Court μνημονεύει, μεταξύ άλλων, τον σεβασμό της ανθρώπινης αξιοπρέπειας και της ελευθερίας του προσώπου (προοίμιο), της προσωπικής αυτονομίας (άρθρο 40, παράγραφος 3, σημεία 1 και 2), το απαραβίαστο της κατοικίας (άρθρο 40, παράγραφος 5) και της προστασίας της οικογενειακής ζωής (άρθρο 41).

20 —      Το High Court επισημαίνει, συναφώς, ότι το βασικό επιχείρημα που επικαλέστηκε ο M. Schrems ενώπιόν του ήταν ότι, λαμβανομένων υπόψη των προσφάτων αποκαλύψεων του Ε. Snowden και του γεγονότος ότι δεδομένα προσωπικού χαρακτήρα τίθενται στη διάθεση των υπηρεσιών πληροφοριών των Ηνωμένων Πολιτειών σε μεγάλη κλίμακα, ο επίτροπος δεν μπορούσε νομίμως να συναγάγει ότι υφίσταται, σε αυτήν την τρίτη χώρα, ικανοποιητικό επίπεδο προστασίας των δεδομένων αυτών.

21 —       C‑293/12 και C‑594/12, EU:C:2014:238, σκέψεις 65 έως 69.

22 —      Βλ., ιδίως, απόφαση Koushkaki (C‑84/12, EU:C:2013:862, σκέψη 34 και εκεί παρατιθέμενη νομολογία).

23 —      Βλ. αποφάσεις Επιτροπή κατά Αυστρίας (C‑614/10, EU:C:2012:631, σκέψη 36), και Επιτροπή κατά Ουγγαρίας (C‑288/12, EU:C:2014:237, σκέψη 47).

24 —      Βλ., ιδίως, απόφαση Επιτροπή κατά Ουγγαρίας (C‑288/12, EU:C:2014:237, σκέψη 48 και εκεί παρατιθέμενη νομολογία). Βλ. επίσης, στο ίδιο πνεύμα, απόφαση Digital Rights Ireland κ.λπ. (C‑293/12 και C‑594/12, EU:C:2014:238, σκέψη 68 και εκεί παρατιθέμενη νομολογία).

25 —      Βλ., ιδίως, απόφαση Επιτροπή κατά Ουγγαρίας (C‑288/12, EU:C:2014:237, σκέψη 51 και εκεί παρατιθέμενη νομολογία).

26 —      Απόφαση Επιτροπή κατά Γερμανίας (C‑518/07, EU:C:2010:125, σκέψη 25).

27 —      Όπ.π.

28 —      Όπ.π. (σκέψη 22 και εκεί παρατιθέμενη νομολογία).

29 —      Όπ.π. (σκέψη 23). Βλ. επίσης, στο ίδιο πνεύμα, αποφάσεις Επιτροπή κατά Αυστρίας (C‑614/10, EU:C:2012:631, σκέψη 52), και Επιτροπή κατά Ουγγαρίας (C‑288/12, EU:C:2014:237, σκέψη 53).

30 —      Βλ. προτάσεις του γενικού εισαγγελέα P. Léger επί της υποθέσεως Κοινοβούλιο κατά Συμβουλίου και Επιτροπής (C‑317/04, EU:C:2005:710, σημεία 92 έως 95). Βλ., επίσης, απόφαση Κοινοβούλιο κατά Συμβουλίου και Επιτροπής (C‑317/04 και C‑318/04, EU:C:2006:346, σκέψη 56).

31 —      Βλ., ιδίως, απόφαση IPI (C‑473/12, EU:C:2013:715, σκέψη 28 και εκεί παρατιθέμενη νομολογία).

32 —      Βλ., ιδίως, απόφαση Google Spain και Google (C‑131/12, EU:C:2014:317, σκέψη 68 και εκεί παρατιθέμενη νομολογία).

33 —      Βλ., ιδίως, απόφαση N. S. κ.λπ. (C‑411/10 και C‑493/10, EU:C:2011:865, σκέψη 77 και εκεί παρατιθέμενη νομολογία).

34 —      C‑411/10 και C‑493/10, EU:C:2011:865.

35 —      Κανονισμός του Συμβουλίου, της 18ης Φεβρουαρίου 2003, για τη θέσπιση των κριτηρίων και μηχανισμών για τον προσδιορισμό του κράτους μέλους που είναι υπεύθυνο για την εξέταση αίτησης ασύλου που υποβάλλεται σε κράτος μέλος από υπήκοο τρίτης χώρας (ΕΕ L 50, σ. 1).

36 —      Σκέψη 99 της αποφάσεως αυτής.

37 —      Recueil des traités des Nations unies, τόμος 189, σ. 150, αριθ. 2545 (1954).

38 —      Βλ. απόφαση N. S. κ.λπ. (C‑411/10 και C‑493/10, EU:C:2011:865, σκέψη 80).

39 —      Όπ.π. (σκέψη 81).

40 —      Όπ.π. (σκέψη 94).

41 —      C‑411/10 και C‑493/10, EU:C:2011:865.

42 —      Σκέψη 10 της αποφάσεως αυτής.

43 —      C‑101/01, EU:C:2003:596.

44 —      Σκέψη 65.

45 —      Σκέψη 64.

46 —      Κατά τον M. Schrems, η πρώτη προϋπόθεση, κατά την οποία «υπάρχει σοβαρή πιθανότητα παραβιάσεως των αρχών ασφαλούς λιμένα», δεν πληρούται. Ωστόσο, δεν προβάλλεται ότι η Facebook USA, ως αυτοπιστοποιημένος οργανισμός στον οποίον διαβιβάζονται δεδομένα, παρέβη η ίδια τις αρχές ασφαλούς λιμένα λόγω της μαζικής και άνευ διακρίσεων προσβάσεως από τις αμερικανικές αρχές στα δεδομένα που έχει στην κατοχή της. Συγκεκριμένα, οι αρχές ασφαλούς λιμένα περιορίζονται ρητώς από την αμερικανική νομοθεσία την οποία προσδιορίζει το παράρτημα I, τέταρτο εδάφιο, της αποφάσεως 2000/520 παραπέμποντας στις νομοθετικές, κυβερνητικές ή νομολογιακές διατάξεις.

47 —      Σκέψη 24 της διατάξεως περί παραπομπής.

48 —      Βλ., ιδίως, αποφάσεις Strehl (62/76, EU:C:1977:18, σκέψεις 10 έως 17), Roquette Frères (145/79, EU:C:1980:234, σκέψη 6), καθώς και Schutzverband der Spirituosen-Industrie (C‑457/05, EU:C:2007:576, σκέψεις 32 έως 39).

49 —      Απόφαση Schwarze (16/65, EU:C:1965:117, σ. 1094).

50—      Βλ. απόφαση Hauer (44/79, EU:C:1979:290, σκέψη 16).

51 —      Βλ., ιδίως, απόφαση CIVAD (C‑533/10, EU:C:2012:347, σκέψεις 39 έως 41 και εκεί παρατιθέμενη νομολογία).

52 —      Βλ., ιδίως, απόφαση BVGD κατά Επιτροπής (T‑104/07 και T‑339/08, EU:T:2013:366, σκέψη 291), που παραπέμπει στην απόφαση IECC κατά Επιτροπής (C‑449/98 P, EU:C:2001:275, σκέψη 87).

53 —      C‑247/08, EU:C:2009:600.

54 —      Σκέψη 49 και εκεί παρατιθέμενη νομολογία.

55 —      Σκέψη 50 και εκεί παρατιθέμενη νομολογία. Βλ., στο ίδιο πνεύμα, Lenaerts, K., Maselis, I., και Gutman, K., EU Procedural Law, Oxford University Press, 2014, που εκτιμούν ότι, «in certain cases, the validity of the particular Union measure can be assessed by reference to new factors arising after that measure was adopted, depending on the determination of the Court» (σημείο 10.16, σ. 471).

56 —      Βλ. σ. 5 του εγγράφου εργασίας WP 12 της Επιτροπής, που επιγράφεται «Διαβίβαση προσωπικών δεδομένων προς τρίτες χώρες: Εφαρμογή των άρθρων 25 και 26 της οδηγίας σχετικά με την προστασία των δεδομένων», το οποίο συνέταξε η Ομάδα προστασίας προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα στις 24 Ιουλίου 1998.

57 —      Βλ., ιδίως, απόφαση Fallimento Traghetti del Mediterraneo (C‑140/09, EU:C:2010:335, σκέψη 22 και εκεί παρατιθέμενη νομολογία).

58 —      Βλ. ανακοίνωση της Επιτροπής που παρατίθεται στην υποσημείωση 2 και ανακοίνωση της Επιτροπής προς το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο σχετικά με τη λειτουργία του ασφαλούς λιμένα από την άποψη των πολιτών της Ένωσης και των επιχειρήσεων που είναι εγκατεστημένες στο έδαφός της [COM(2013) 847 τελικό].

59 —      Σημείο 7, στοιχείο γʹ, της διατάξεως περί παραπομπής.

60 —       Σημείο 7, στοιχείο βʹ, της διατάξεως περί παραπομπής.

61 —      Σελίδα 19 της ανακοινώσεώς της.

62 —      Βλ., ιδίως, απόφαση Kadi και Al Barakaat International Foundation κατά Συμβουλίου και Επιτροπής (C‑402/05 P και C‑415/05 P, EU:C:2008:461, σκέψη 284 και εκεί παρατιθέμενη νομολογία).

63 —      Απόφαση Österreichischer Rundfunk κ.λπ. (C‑465/00, C‑138/01 και C‑139/01, EU:C:2003:294, σκέψη 74).

64 —      C‑293/12 και C‑594/12, EU:C:2014:238.

65 —      Σκέψη 35.

66 —      Σκέψη 36.

67 —      Σημείο 7, στοιχείο βʹ, της διατάξεως περί παραπομπής.

68 —      Βλ., συναφώς, απόφαση Digital Rights Ireland κ.λπ. (C‑293/12 και C‑594/12, EU:C:2014:238, σκέψεις 39 και 40).

69 —      Απόφαση Digital Rights Ireland κ.λπ. (C‑293/12 και C‑594/12, EU:C:2014:238, σκέψη 46 και εκεί παρατιθέμενη νομολογία).

70 —      Όπ.π. (σκέψη 47 και εκεί παρατιθέμενη νομολογία).

71 —      C‑293/12 και C‑594/12, EU:C:2014:238.

72 —      Σκέψη 48.

73 —      Απόφαση Digital Rights Ireland κ.λπ. (C‑293/12 και C‑594/12, EU:C:2014:238, σκέψη 52 και εκεί παρατιθέμενη νομολογία).

74 —      Όπ.π. (σκέψη 53).

75 —      Όπ.π. (σκέψη 54 και εκεί παρατιθέμενη νομολογία).

76 —      Όπ.π. (σκέψη 55 και εκεί παρατιθέμενη νομολογία).

77 —      C‑473/12, EU:C:2013:715.

78 —      Σκέψη 32.

79 —      Βλ., κατ’ αναλογίαν, απόφαση Digital Rights Ireland κ.λπ. (C‑293/12 και C‑594/12, EU:C:2014:238, σκέψη 57 και εκεί παρατιθέμενη νομολογία).

80 —      Όπ.π. (σκέψεις 58 και 59).

81 —      C‑293/12 και C‑594/12, EU:C:2014:238.

82 —      Σκέψη 65.

83—      Όπ.π.

84—      Όπ.π. (σκέψη 66).

85 —      Βλ., συναφώς, παράρτημα II, FAQ 11, της αποφάσεως 2000/520, υπό τον τίτλο «Δράση της FTC», και παραρτήματα III, V και VII της εν λόγω αποφάσεως.

86 —      Βλ. απόφαση Digital Rights Ireland κ.λπ. (C‑293/12 και C‑594/12, EU:C:2014:238, σκέψη 68 και εκεί παρατιθέμενη νομολογία).

87 —      Βλ. Poullet, Y., «L’autorité de contrôle: ‘vues’ de Bruxelles», Revue française d’administration publique, αριθ. 89, Ιανουάριος-Μάρτιος 1999, σ. 69, ιδίως σ. 71.

88 —      Βλ. σ. 7 του εγγράφου εργασίας WP 12 της Επιτροπής, το οποίο μνημονεύεται στην υποσημείωση 56.

89 —      Σελίδες 10 και 11 της ανακοινώσεως της Επιτροπής που μνημονεύεται στην υποσημείωση 2.

90 —      Βλ. σημείο 7.2, σ. 20, της ανακοινώσεως της Επιτροπής που μνημονεύεται στην υποσημείωση 58.

91 —      Βλ., επί του ζητήματος αυτού, Kuner, C., «Foreign Nationals and Data Protection Law: A Transatlantic Analysis», Data Protection Anno 2014: How To Restore Trust? Intersentia, Cambridge, 2014, σ. 213, ιδίως σ. 216 επ.

92 —      Σημείο 44.

93—      Όπ.π.

94 —      Βλ. σ. 5 της ανακοινώσεως της Επιτροπής που μνημονεύεται στην υποσημείωση 2.

95 —      Βλ., στο ίδιο πνεύμα, απόφαση Agrarproduktion Staebelow (C‑504/04, EU:C:2006:30, σκέψη 40).

96—      Μολονότι το Δικαστήριο έκρινε με την απόφασή του T. Port (C‑68/95, EU:C:1996:452) ότι «η Συνθήκη δεν προέβλεψε τη δυνατότητα υποβολής αιτήσεως με την οποία ένα εθνικό δικαστήριο ζητεί από το Δικαστήριο να διαπιστώσει, με προδικαστική απόφαση, την παράλειψη ενός θεσμικού οργάνου» (σκέψη 53), φαίνεται να υιοθέτησε ευνοϊκότερη στάση έναντι αυτής της δυνατότητας με την απόφασή του Ten Kate Holding Musselkanaal κ.λπ. (C‑511/03, EU:C:2005:625, σκέψη 29).