ΠΡΟΤΑΣΕΙΣ ΤΟΥ ΓΕΝΙΚΟΥ ΕΙΣΑΓΓΕΛΕΑ

HENRIK SAUGMANDSGAARD ØE

της 19ης Δεκεμβρίου 2019 (1)

Υπόθεση C-311/18

Data Protection Commissioner

κατά

Facebook Ireland Limited,

Maximillian Schrems,

παρισταμένων των:

The United States of America,

Electronic Privacy Information Centre,

BSA Business Software Alliance, Inc.,

Digitaleurope

[αίτηση του High Court (ανωτέρου δικαστηρίου, Ιρλανδία)
για την έκδοση προδικαστικής αποφάσεως]

«Προδικαστική παραπομπή – Προστασία φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα – Κανονισμός (ΕΕ) 2016/679 – Άρθρο 2, παράγραφος 2 – Πεδίο εφαρμογής – Διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τις Ηνωμένες Πολιτείες της Αμερικής για εμπορικούς σκοπούς – Επεξεργασία των διαβιβαζόμενων δεδομένων από τις δημόσιες αρχές των Ηνωμένων Πολιτειών της Αμερικής για σκοπούς εθνικής ασφάλειας – Άρθρο 45 – Εκτίμηση της επάρκειας του επιπέδου προστασίας που διασφαλίζεται σε τρίτη χώρα – Άρθρο 46 – Παροχή κατάλληλων εγγυήσεων από τον υπεύθυνο επεξεργασίας – Τυποποιημένες ρήτρες προστασίας – Άρθρο 58, παράγραφος 2 – Εξουσίες των αρχών ελέγχου – Απόφαση 2010/87/ΕΕ – Κύρος – Εκτελεστική απόφαση (ΕΕ) 2016/1250 – “Ασπίδα Προστασίας της Ιδιωτικής Ζωής ΕΕ-ΗΠΑ” – Κύρος – Άρθρα 7, 8 και 47 του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης»

Περιεχόμενα

I.      Εισαγωγή

1.        Ελλείψει κοινών εγγυήσεων όσον αφορά την προστασία δεδομένων προσωπικού χαρακτήρα σε παγκόσμιο επίπεδο, οι διασυνοριακές ροές τέτοιων δεδομένων ενέχουν κίνδυνο διακοπής της συνέχειας του επιπέδου προστασίας που διασφαλίζεται εντός της Ευρωπαϊκής Ένωσης. Ο νομοθέτης της Ένωσης, επιδιώκοντας να διευκολύνει αυτές τις ροές περιορίζοντας ταυτοχρόνως τον ως άνω κίνδυνο, θέσπισε τρεις μηχανισμούς βάσει των οποίων δεδομένα προσωπικού χαρακτήρα μπορούν να διαβιβαστούν από την Ένωση προς τρίτο κράτος.

2.        Πρώτον, τέτοια διαβίβαση μπορεί να πραγματοποιηθεί βάσει αποφάσεως με την οποία η Επιτροπή διαπιστώνει ότι διασφαλίζεται, στο αντίστοιχο κράτος μέλος, «επαρκές επίπεδο προστασίας» των προσωπικών δεδομένων που διαβιβάζονται σ’ αυτό (2). Δεύτερον, ελλείψει τέτοιας αποφάσεως, η διαβίβαση επιτρέπεται εφόσον συνοδεύεται από «κατάλληλες εγγυήσεις» (3). Οι εν λόγω εγγυήσεις μπορούν να λάβουν τη μορφή συμβάσεως μεταξύ του εξαγωγέα και του εισαγωγέα των δεδομένων, που να περιλαμβάνει τυποποιημένες ρήτρες προστασίας οι οποίες καταρτίζονται από την Επιτροπή. Τρίτον, ο ΓΚΠΔ προβλέπει ορισμένες παρεκκλίσεις, οι οποίες στηρίζονται ειδικότερα στη συγκατάθεση του υποκείμενου των δεδομένων και επιτρέπουν τη διαβίβαση προς τρίτη χώρα έστω και σε περίπτωση ελλείψεως αποφάσεως επάρκειας ή κατάλληλων εγγυήσεων (4).

3.        Η αίτηση προδικαστικής αποφάσεως που υπέβαλε το High Court (ανώτερο δικαστήριο, Ιρλανδία) αφορά τον δεύτερο από τους μηχανισμούς αυτούς. Ειδικότερα, αφορά το κύρος της αποφάσεως 2010/87/ΕΕ (5), με την οποία η Επιτροπή όρισε τυποποιημένες συμβατικές ρήτρες για ορισμένες κατηγορίες διαβιβάσεων, υπό το πρίσμα των άρθρων 7, 8 και 47 του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης (στο εξής: Χάρτης).

4.        Η αίτηση αυτή υποβλήθηκε στο πλαίσιο ένδικης διαφοράς μεταξύ του Data Protection Commissioner (Επίτροπος Προστασίας Δεδομένων, Ιρλανδία, στο εξής: ΕΠΔ), της Facebook Ireland Ltd και του Maximillian Schrems. Ο Maximillian Schrems υπέβαλε καταγγελία στον ΕΠΔ σχετικά με τη διαβίβαση δεδομένων προσωπικού χαρακτήρα που τον αφορούσαν από τη Facebook Ireland στη μητρική της εταιρία Facebook Inc., η οποία είναι εγκατεστημένη στις Ηνωμένες Πολιτείες της Αμερικής (στο εξής: Ηνωμένες Πολιτείες).

5.        Αναφέρω εκ προοιμίου ότι, κατά τη γνώμη μου, από την εξέταση των προδικαστικών ερωτημάτων δεν προέκυψε κανένα στοιχείο δυνάμενο να θίξει το κύρος της αποφάσεως 2010/87.

6.        Εξάλλου, το αιτούν δικαστήριο εξέφρασε ορισμένες αμφιβολίες όσον αφορά, κατ’ ουσίαν, την επάρκεια του διασφαλιζόμενου από τις Ηνωμένες Πολιτείες επιπέδου προστασίας, λόγω των επεμβάσεων που συνεπάγονται οι δραστηριότητες των αμερικανικών Υπηρεσιών Πληροφοριών στην άσκηση των θεμελιωδών δικαιωμάτων των προσώπων των οποίων τα δεδομένα διαβιβάζονται προς την εν λόγω τρίτη χώρα. Οι αμφιβολίες αυτές θέτουν εμμέσως υπό αμφισβήτηση τις εκτιμήσεις τις οποίες η Επιτροπή διατύπωσε, επί του θέματος αυτού, στην εκτελεστική απόφαση (ΕΕ) 2016/1250 (6). Μολονότι δεν είναι απαραίτητο προς επίλυση της διαφοράς της κύριας δίκης να αποφανθεί το Δικαστήριο επί του συγκεκριμένου ζητήματος και, ως εκ τούτου, προτείνω να μην το εξετάσει, εντούτοις θα εκθέσω επικουρικώς τους λόγους για τους οποίους διατηρώ επιφυλάξεις ως προς το κύρος της προαναφερθείσας αποφάσεως.

7.        Η ανάλυσή μου θα έχει ως γνώμονα την εξεύρεση ισορροπίας μεταξύ, αφενός, της ανάγκης να επιδειχθεί «λογικός ρεαλισμός προκειμένου να καταστεί δυνατή η επικοινωνία με τον υπόλοιπο κόσμο» (7), και, αφετέρου, της ανάγκης να διαφυλαχθούν οι θεμελιώδεις αξίες που κατοχυρώνονται, ιδίως μέσω του Χάρτη, τόσο στην έννομη τάξη της Ένωσης όσο και σε εκείνες των κρατών μελών της.

II.    Το νομικό πλαίσιο

1.      Η οδηγία 95/46/ΕΚ

8.        Το άρθρο 3, παράγραφος 2, της οδηγίας 95/46/ΕΚ, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών (8), όριζε τα εξής:

«Οι διατάξεις της παρούσας οδηγίας δεν εφαρμόζονται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα:

–        η οποία πραγματοποιείται στο πλαίσιο δραστηριοτήτων που δεν εμπίπτουν στο πεδίο εφαρμογής του κοινοτικού δικαίου, όπως οι δραστηριότητες που προβλέπονται στις διατάξεις των τίτλων V και VI της συνθήκης για την Ευρωπαϊκή Ένωση και, εν πάση περιπτώσει, στην επεξεργασία δεδομένων που αφορά τη δημόσια ασφάλεια, την εθνική άμυνα, την ασφάλεια του κράτους (συμπεριλαμβανομένης και της οικονομικής ευημερίας του, εφόσον η επεξεργασία αυτή συνδέεται με θέματα ασφάλειας του κράτους) και τις δραστηριότητες του κράτους σε τομείς του ποινικού δικαίου,

–        […]».

9.        Το άρθρο 13, παράγραφος 1, της ως άνω οδηγίας είχε ως εξής:

«Τα κράτη μέλη μπορούν να περιορίζουν με νομοθετικά μέτρα την εμβέλεια των υποχρεώσεων και δικαιωμάτων που προβλέπονται από τις διατάξεις του άρθρου 6 παράγραφος 1, του άρθρου 10, του άρθρου 11 παράγραφος 1, και των άρθρων 12 και 21, όταν ο περιορισμός αυτός απαιτείται για τη διαφύλαξη:

α)      της ασφάλειας του κράτους·

β)      της άμυνας·

γ)      της δημόσιας ασφάλειας·

δ)      της πρόληψης, διερεύνησης, διαπίστωσης και δίωξης παραβάσεων του ποινικού νόμου ή της δεοντολογίας των νομοθετικά κατοχυρωμένων επαγγελμάτων·

ε)      σημαντικού οικονομικού ή χρηματοοικονομικού συμφέροντος κράτους μέλους ή της Ευρωπαϊκής Ένωσης, συμπεριλαμβανομένων των νομισματικών, δημοσιονομικών και φορολογικών θεμάτων·

στ)      αποστολής ελέγχου, επιθεώρησης ή ρυθμιστικών καθηκόντων που συνδέονται, έστω και ευκαιριακά, με την άσκηση δημόσιας εξουσίας στις περιπτώσεις που αναφέρονται στα στοιχεία γ), δ) και ε)·

ζ)      της προστασίας του προσώπου στο οποίο αναφέρονται τα δεδομένα ή των δικαιωμάτων και ελευθεριών άλλων προσώπων.»

10.      Το άρθρο 25 της εν λόγω οδηγίας όριζε τα εξής:

«1.      Τα κράτη μέλη προβλέπουν ότι η διαβίβαση προς τρίτη χώρα δεδομένων προσωπικού χαρακτήρα, που έχουν υποστεί επεξεργασία ή πρόκειται να υποστούν επεξεργασία μετά τη διαβίβασή τους, επιτρέπεται μόνον εάν, τηρουμένων των εθνικών διατάξεων που θεσπίζονται σύμφωνα με τις λοιπές διατάξεις της παρούσας οδηγίας, η εν λόγω τρίτη χώρα εξασφαλίζει ικανοποιητικό επίπεδο προστασίας.

2.      Η επάρκεια της προστασίας που παρέχεται από τρίτη χώρα σταθμίζεται λαμβανομένων υπόψη όλων των περιστάσεων που επηρεάζουν μια διαβίβαση ή κατηγορία διαβιβάσεων δεδομένων· ειδικότερα, εξετάζονται η φύση των δεδομένων, οι σκοποί και η διάρκειά της ή των προβλεπομένων επεξεργασιών, η χώρα προέλευσης και τελικού προορισμού, οι γενικοί ή τομεακοί κανόνες δικαίου, οι επαγγελματικοί κανόνες και τα μέτρα ασφαλείας που ισχύουν στην εν λόγω τρίτη χώρα.

[…]

6.      Η Επιτροπή μπορεί να αποφανθεί, με τη διαδικασία που αναφέρεται στο άρθρο 31 παράγραφος 2, ότι μια τρίτη χώρα εξασφαλίζει ικανοποιητικό επίπεδο προστασίας κατά την έννοια της παραγράφου 2 του παρόντος άρθρου, λόγω της εσωτερικής της νομοθεσίας ή των διεθνών δεσμεύσεων που έχει αναλάβει, ιδίως κατόπιν των διαπραγματεύσεων που αναφέρονται στην παράγραφο 5, ώστε να εξασφαλίζει την προστασία της ιδιωτικής ζωής και των θεμελιωδών ελευθεριών και δικαιωμάτων των προσώπων.

Τα κράτη μέλη λαμβάνουν τα αναγκαία μέτρα προκειμένου να συμμορφωθούν με την απόφαση της Επιτροπής.»

11.      Το άρθρο 26, παράγραφοι 2 και 4, της ίδιας οδηγίας προέβλεπε τα εξής:

«2.      Με την επιφύλαξη της παραγράφου 1, ένα κράτος μέλος μπορεί να επιτρέπε[ι] μία ή πλείονες διαβιβάσεις δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα η οποία δεν εξασφαλίζει ικανοποιητικό επίπεδο προστασίας κατά την έννοια του άρθρου 25 παράγραφος 2 εφόσον ο υπεύθυνος της επεξεργασίας παρέχει επαρκείς εγγυήσεις για την προστασία της ιδιωτικής ζωής και των θεμελιωδών δικαιωμάτων και ελευθεριών των προσώπων καθώς και την άσκηση των σχετικών δικαιωμάτων· οι εγγυήσεις μπορούν ιδίως να απορρέουν από κατάλληλες συμβατικές ρήτρες.

[…]

4.      Εάν η Επιτροπή αποφανθεί […] ότι ορισμένες τυποποιημένες συμβατικές ρήτρες παρέχουν τις επαρκείς εγγυήσεις που αναφέρονται στην παράγραφο 2, τα κράτη μέλη λαμβάνουν τα αναγκαία μέτρα για να συμμορφωθούν προς την απόφαση της Επιτροπής.»

12.      Το άρθρο 28, παράγραφος 3, της οδηγίας 95/46 είχε ως εξής:

«Κάθε αρχή ελέγχου διαθέτει συγκεκριμένα:

[…]

–        αποτελεσματικές εξουσίες παρέμβασης, όπως για παράδειγμα την εξουσία να διατυπώνει γνώμες πριν από την εκτέλεση των επεξεργασιών, σύμφωνα με το άρθρο 20, και να διασφαλίζει την κατάλληλη δημοσιότητα των γνωμών αυτών, την εξουσία να επιτάσσει τη δέσμευση, διαγραφή ή την καταστροφή δεδομένων, να απαγορεύει επίσης προσωρινά ή οριστικά την επεξεργασία, να απευθύνει προειδοποίηση ή επίπληξη προς τον υπεύθυνο για την επεξεργασία ή να προσφεύγει στα εθνικά κοινοβούλια ή άλλα εθνικά πολιτικά όργανα,

[…]».

2.      Ο ΓΚΠΔ

13.      Όπως ορίζεται στο άρθρο 94, παράγραφος 1, του ΓΚΠΔ, ο κανονισμός αυτός κατήργησε την οδηγία 95/46 από τις 25 Μαΐου 2018, ημερομηνία κατά την οποία τέθηκε σε ισχύ ο ίδιος σύμφωνα με το άρθρο του 99, παράγραφος 1.

14.      Το άρθρο 2, παράγραφος 2, του εν λόγω κανονισμού προβλέπει τα εξής:

«Ο παρών κανονισμός δεν εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα:

α)      στο πλαίσιο δραστηριότητας η οποία δεν εμπίπτει στο πεδίο εφαρμογής του δικαίου της Ένωσης,

β)      από τα κράτη μέλη κατά την άσκηση δραστηριοτήτων που εμπίπτουν στο πεδίο εφαρμογής του κεφαλαίου 2 του τίτλου V της ΣΕΕ,

[…]

δ)      από αρμόδιες αρχές για τους σκοπούς της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, συμπεριλαμβανομένης της προστασίας και πρόληψης έναντι κινδύνων που απειλούν τη δημόσια ασφάλεια.»

15.      Το άρθρο 4, σημείο 2, του ίδιου κανονισμού ορίζει ως «επεξεργασία» «κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή».

16.      Το άρθρο 23 του ΓΚΠΔ προβλέπει τα εξής:

«1.      Το δίκαιο της Ένωσης ή του κράτους μέλους στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία των δεδομένων μπορεί να περιορίζει μέσω νομοθετικού μέτρου το πεδίο εφαρμογής των υποχρεώσεων και των δικαιωμάτων που προβλέπονται στα άρθρα 12 έως 22 και στο άρθρο 34, καθώς και στο άρθρο 5, εφόσον οι διατάξεις του αντιστοιχούν στα δικαιώματα και τις υποχρεώσεις που προβλέπονται στα άρθρα 12 έως 22, όταν ένας τέτοιος περιορισμός σέβεται την ουσία των θεμελιωδών δικαιωμάτων και ελευθεριών και συνιστά αναγκαίο και αναλογικό μέτρο σε μια δημοκρατική κοινωνία για τη διασφάλιση:

α)      της ασφάλειας του κράτους,

β)      της εθνικής άμυνας,

γ)      της δημόσιας ασφάλειας,

δ)      της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, περιλαμβανομένης της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της πρόληψης αυτών,

ε)      άλλων σημαντικών στόχων γενικού δημόσιου συμφέροντος της Ένωσης ή κράτους μέλους, ιδίως σημαντικού οικονομικού ή χρηματοοικονομικού συμφέροντος της Ένωσης ή κράτους μέλους […],

[…]

2.      Ειδικότερα, κάθε νομοθετικό μέτρο το οποίο αναφέρεται στην παράγραφο 1 περιέχει συγκεκριμένες διατάξεις τουλάχιστον, ανάλογα με την περίπτωση, όσον αφορά:

α)      τους σκοπούς της επεξεργασίας ή τις κατηγορίες επεξεργασίας,

β)      τις κατηγορίες δεδομένων προσωπικού χαρακτήρα,

γ)      το πεδίο εφαρμογής των περιορισμών που επιβλήθηκαν,

δ)      τις εγγυήσεις για την πρόληψη καταχρήσεων ή παράνομης πρόσβασης ή διαβίβασης,

ε)      την ειδική περιγραφή του υπευθύνου επεξεργασίας ή των κατηγοριών των υπευθύνων επεξεργασίας,

στ)      τις περιόδους αποθήκευσης και τις ισχύουσες εγγυήσεις, λαμβάνοντας υπόψη τη φύση, το πεδίο εφαρμογής και τους σκοπούς της επεξεργασίας ή τις κατηγορίες επεξεργασίας,

ζ)      τους κινδύνους για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων και

η)      το δικαίωμα των υποκειμένων των δεδομένων να ενημερώνονται σχετικά με τον περιορισμό, εκτός εάν αυτό μπορεί να αποβεί επιζήμιο για τους σκοπούς του περιορισμού.»

17.      Το άρθρο 44 του κανονισμού αυτού, το οποίο επιγράφεται «Γενικές αρχές για διαβιβάσεις», ορίζει τα εξής:

«Κάθε διαβίβαση δεδομένων προσωπικού χαρακτήρα τα οποία υποβάλλονται σε επεξεργασία ή προορίζονται να υποβληθούν σε επεξεργασία μετά από τη διαβίβασή τους σε τρίτη χώρα ή διεθνή οργανισμό πραγματοποιείται μόνο εάν, με την επιφύλαξη των λοιπών διατάξεων του παρόντος κανονισμού, οι προϋποθέσεις που θεσπίζονται στο παρόν κεφάλαιο τηρούνται από τον υπεύθυνο επεξεργασίας και τον εκτελούντα την επεξεργασία, μεταξύ άλλων για περαιτέρω διαβιβάσεις δεδομένων προσωπικού χαρακτήρα από την τρίτη χώρα ή τον διεθνή οργανισμό σε άλλη τρίτη χώρα ή άλλο διεθνή οργανισμό. Όλες οι διατάξεις του παρόντος κεφαλαίου εφαρμόζονται με σκοπό να διασφαλίζεται ότι το επίπεδο προστασίας των φυσικών προσώπων που εγγυάται ο παρών κανονισμός δεν υπονομεύεται.»

18.      Κατά το άρθρο 45 του εν λόγω κανονισμού, το οποίο τιτλοφορείται «Διαβιβάσεις βάσει απόφασης επάρκειας»:

«1.      Η διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα ή διεθνή οργανισμό μπορεί να πραγματοποιηθεί εφόσον η Επιτροπή έχει αποφασίσει ότι διασφαλίζεται επαρκές επίπεδο προστασίας από την τρίτη χώρα, από έδαφος ή από έναν ή περισσότερους συγκεκριμένους τομείς στην εν λόγω τρίτη χώρα ή από τον εν λόγω διεθνή οργανισμό. Για μια τέτοια διαβίβαση δεν απαιτείται ειδική άδεια.

2.      Κατά την εκτίμηση της επάρκειας του επιπέδου προστασίας, η Επιτροπή λαμβάνει υπόψη, ιδίως, τα ακόλουθα στοιχεία:

α)      το κράτος δικαίου, τον σεβασμό των ανθρώπινων δικαιωμάτων και των θεμελιωδών ελευθεριών, τη σχετική νομοθεσία, τόσο τη γενική όσο και την τομεακή, μεταξύ άλλων όσον αφορά τη δημόσια ασφάλεια, την άμυνα, την εθνική ασφάλεια και το ποινικό δίκαιο και την πρόσβαση των δημοσίων αρχών σε δεδομένα προσωπικού χαρακτήρα, καθώς και την εφαρμογή αυτής της νομοθεσίας, τους κανόνες περί προστασίας δεδομένων, τους επαγγελματικούς κανόνες και τα μέτρα ασφάλειας, περιλαμβανομένων των κανόνων για τις περαιτέρω διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε άλλη χώρα ή διεθνή οργανισμό που τηρούνται στη συγκεκριμένη τρίτη χώρα ή τον διεθνή οργανισμό, νομολογία, καθώς και ουσιαστικά και εκτελεστά δικαιώματα υποκειμένων των δεδομένων και αποτελεσματικά διοικητικά και δικαστικά μέσα προσφυγής για τα υποκείμενα των δεδομένων των οποίων τα δεδομένα προσωπικού χαρακτήρα διαβιβάζονται,

β)      την ύπαρξη και την αποτελεσματική λειτουργία μίας ή περισσότερων ανεξάρτητων εποπτικών αρχών οι οποίες βρίσκονται στην εν λόγω τρίτη χώρα ή στις οποίες υπόκειται ένας διεθνής οργανισμός, υπεύθυνων να διασφαλίζουν και να επιβάλουν τη συμμόρφωση προς τους κανόνες προστασίας δεδομένων, συμπεριλαμβανομένων επαρκών εξουσιών επιβολής, να συνδράμουν και να συμβουλεύουν τα υποκείμενα των δεδομένων κατά την άσκηση των δικαιωμάτων τους και να συνεργάζονται με τις εποπτικές αρχές των κρατών μελών, και

γ)      τις διεθνείς δεσμεύσεις που έχει αναλάβει η εν λόγω τρίτη χώρα ή ο διεθνής οργανισμός ή άλλες υποχρεώσεις οι οποίες απορρέουν από νομικά δεσμευτικές συμβάσεις ή πράξεις και από τη συμμετοχή τους σε πολυμερή ή περιφερειακά συστήματα, ιδίως όσον αφορά την προστασία δεδομένων προσωπικού χαρακτήρα.

3.      Η Επιτροπή, αφού εκτιμήσει την επάρκεια του επιπέδου προστασίας, μπορεί να αποφασίσει, μέσω εκτελεστικής πράξης, ότι εξασφαλίζεται επαρκές επίπεδο προστασίας κατά την έννοια της παραγράφου 2 του παρόντος άρθρου από τρίτη χώρα ή έδαφος ή έναν ή περισσότερους συγκεκριμένους τομείς σε τρίτη χώρα ή από διεθνή οργανισμό. Η εκτελεστική πράξη προβλέπει μηχανισμό περιοδικής επανεξέτασης, τουλάχιστον ανά τετραετία, στην οποία συνεκτιμώνται όλες οι σχετικές εξελίξεις στην τρίτη χώρα ή τον διεθνή οργανισμό. […]

4.      Η Επιτροπή παρακολουθεί σε συνεχή βάση εξελίξεις σε τρίτες χώρες και διεθνείς οργανισμούς που θα μπορούσαν να επηρεάσουν τη λειτουργία αποφάσεων που εκδίδονται σύμφωνα με την παράγραφο 3 του παρόντος άρθρου και αποφάσεων που εκδίδονται βάσει του άρθρου 25 παράγραφος 6 της [οδηγίας 95/46].

5.      Η Επιτροπή, όταν οι υπάρχουσες πληροφορίες αποκαλύπτουν, κυρίως κατόπιν της επανεξέτασης που αναφέρεται στην παράγραφο 3 του παρόντος άρθρου, ότι μια τρίτη χώρα, έδαφος ή συγκεκριμένος τομέας σε τρίτη χώρα ή διεθνής οργανισμός δεν διασφαλίζει πλέον επαρκές επίπεδο προστασίας κατά την έννοια της παραγράφου 2 του παρόντος άρθρου, καταργεί, τροποποιεί ή αναστέλλει, στον βαθμό που είναι αναγκαίο, την απόφαση της παραγράφου 3 του παρόντος άρθρου μέσω εκτελεστικών πράξεων χωρίς αναδρομική ισχύ. […]

6.      Η Επιτροπή ξεκινά διαβουλεύσεις με την τρίτη χώρα ή τον διεθνή οργανισμό με σκοπό την επανόρθωση της κατάστασης απόρροια της οποίας είναι η απόφαση που έχει ληφθεί δυνάμει της παραγράφου 5.

[…]

9.      Οι αποφάσεις που εκδίδονται από την Επιτροπή βάσει του άρθρου 25 παράγραφος 6 της [οδηγίας 95/46] παραμένουν σε ισχύ έως ότου τροποποιηθούν, αντικατασταθούν ή καταργηθούν με απόφαση της Επιτροπής εκδοθείσα σύμφωνα με την παράγραφο 3 ή 5 του παρόντος άρθρου.»

19.      Το άρθρο 46 του ίδιου κανονισμού, το οποίο φέρει τον τίτλο «Διαβιβάσεις που υπόκεινται σε κατάλληλες εγγυήσεις», έχει ως εξής:

«1.      Ελλείψει απόφασης δυνάμει του άρθρου 45 παράγραφος 3, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία μπορεί να διαβιβάσει δεδομένα προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό μόνο εάν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία έχει παράσχει κατάλληλες εγγυήσεις και υπό την προϋπόθεση ότι υφίστανται εκτελεστά δικαιώματα και αποτελεσματικά ένδικα μέσα για τα υποκείμενα των δεδομένων.

2.      Οι κατάλληλες εγγυήσεις που αναφέρονται στην παράγραφο 1 μπορούν να προβλέπονται, χωρίς να απαιτείται ειδική άδεια εποπτικής αρχής, μέσω:

[…]

γ)      τυποποιημένων ρητρών προστασίας δεδομένων που εκδίδονται από την Επιτροπή σύμφωνα με τη διαδικασία εξέτασης που προβλέπεται στο άρθρο 93 παράγραφος 2,

[…]

5.      Οι άδειες από κράτος μέλος ή εποπτική αρχή βάσει του άρθρου 26 παράγραφος 2 της [οδηγίας 95/46] παραμένουν σε ισχύ έως ότου τροποποιηθούν, αντικατασταθούν ή καταργηθούν, εάν απαιτείται, από την εν λόγω εποπτική αρχή. Οι αποφάσεις που εκδίδονται από την Επιτροπή βάσει του άρθρου 26 παράγραφος 4 της [οδηγίας 95/46] παραμένουν σε ισχύ έως ότου τροποποιηθούν, αντικατασταθούν ή καταργηθούν, εάν απαιτείται, με απόφαση της Επιτροπής εκδοθείσα σύμφωνα με την παράγραφο 2 του παρόντος άρθρου.»

20.      Κατά το άρθρο 58, παράγραφοι 2, 4 και 5, του ΓΚΠΔ:

«2.      Κάθε αρχή ελέγχου διαθέτει όλες τις ακόλουθες διορθωτικές εξουσίες:

α)      να απευθύνει προειδοποιήσεις στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία ότι σκοπούμενες πράξεις επεξεργασίας είναι πιθανόν να παραβαίνουν διατάξεις του παρόντος κανονισμού,

β)      να απευθύνει επιπλήξεις στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία όταν πράξεις επεξεργασίας έχουν παραβεί διατάξεις του παρόντος κανονισμού,

γ)      να δίνει εντολή στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία να συμμορφώνεται προς τα αιτήματα του υποκειμένου των δεδομένων για την άσκηση των δικαιωμάτων του σύμφωνα με τον παρόντα κανονισμό,

δ)      να δίνει εντολή στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία να καθιστούν τις πράξεις επεξεργασίας σύμφωνες με τις διατάξεις του παρόντος κανονισμού, εάν χρειάζεται, με συγκεκριμένο τρόπο και εντός ορισμένης προθεσμίας,

ε)      να δίνει εντολή στον υπεύθυνο επεξεργασίας να ανακοινώνει την παραβίαση δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων,

στ)      να επιβάλλει προσωρινό ή οριστικό περιορισμό, περιλαμβανομένης της απαγόρευσης της επεξεργασίας,

[…]

θ)      να επιβάλλει διοικητικό πρόστιμο δυνάμει του άρθρου 83, επιπλέον ή αντί των μέτρων που αναφέρονται στην παρούσα παράγραφο, ανάλογα με τις περιστάσεις κάθε μεμονωμένης περίπτωσης,

ι)      να δίνει εντολή για αναστολή της κυκλοφορίας δεδομένων σε αποδέκτη σε τρίτη χώρα ή σε διεθνή οργανισμό.

[…]

4.      Η άσκηση εκ μέρους εποπτικής αρχής των εξουσιών της δυνάμει του παρόντος άρθρου υπόκειται στις δέουσες εγγυήσεις, περιλαμβανομένης της άσκησης πραγματικής δικαστικής προσφυγής και της τήρησης της προσήκουσας διαδικασίας, όπως προβλέπονται στο δίκαιο της Ένωσης και το δίκαιο των κρατών μελών σύμφωνα με τον Χάρτη.

5.      Κάθε κράτος μέλος προβλέπει διά νόμου ότι η οικεία εποπτική αρχή έχει την εξουσία να γνωστοποιεί στις δικαστικές αρχές τις παραβιάσεις του παρόντος κανονισμού και, κατά περίπτωση, να κινεί ή να μετέχει κατ' άλλο τρόπο σε νομικές διαδικασίες, ώστε να επιβάλει τις διατάξεις του παρόντος κανονισμού.»

3.      Η απόφαση 2010/87

21.      Η Επιτροπή εξέδωσε, βάσει του άρθρου 26, παράγραφος 4, της οδηγίας 95/46, τρεις αποφάσεις με τις οποίες διαπίστωσε ότι οι τυποποιημένες συμβατικές ρήτρες που περιέχονται στις τρεις αυτές αποφάσεις παρέχουν επαρκείς εγγυήσεις όσον αφορά την προστασία της ιδιωτικής ζωής και των θεμελιωδών δικαιωμάτων και ελευθεριών των προσώπων, καθώς και ως προς την άσκηση των αντίστοιχων δικαιωμάτων (στο εξής: αποφάσεις ΤΣΡ) (9).

22.      Μεταξύ αυτών περιλαμβάνεται η απόφαση 2010/87, το άρθρο 1 της οποίας ορίζει ότι «[ο]ι τυποποιημένες συμβατικές ρήτρες που περιλαμβάνονται στο παράρτημα θεωρείται ότι παρέχουν επαρκείς εγγυήσεις για την προστασία της ιδιωτικής ζωής και των θεμελιωδών δικαιωμάτων και ελευθεριών των προσώπων, καθώς και για την άσκηση των σχετικών δικαιωμάτων, όπως επιβάλλει το άρθρο 26 παράγραφος 2 της [οδηγίας 95/46]».

23.      Κατά το άρθρο 3 της αποφάσεως αυτής:

«Για τους σκοπούς της παρούσας απόφασης, ισχύουν οι ακόλουθοι ορισμοί:

[…]

γ)      ως “εξαγωγέας δεδομένων” νοείται ο υπεύθυνος επεξεργασίας ο οποίος διαβιβάζει τα δεδομένα προσωπικού χαρακτήρα·

δ)      ως “εισαγωγέας δεδομένων” νοείται ο εκτελών επεξεργασία που είναι εγκατεστημένος σε τρίτη χώρα και ο οποίος συμφωνεί να παραλάβει από τον εξαγωγέα δεδομένων δεδομένα προσωπικού χαρακτήρα που προορίζονται, μετά τη διαβίβαση, για επεξεργασία για λογαριασμό του εξαγωγέα, σύμφωνα με τις οδηγίες του και σύμφωνα με τους όρους της παρούσας απόφασης, και ο οποίος δεν υπόκειται σε μηχανισμό τρίτης χώρας που διασφαλίζει ικανοποιητική προστασία, κατά την έννοια του άρθρου 25 παράγραφος 1 της [οδηγίας 95/46]·

[…]

στ)      ως “εφαρμοστέο δίκαιο περί προστασίας των δεδομένων” νοείται η νομοθεσία που προστατεύει τα θεμελιώδη δικαιώματα και ελευθερίες των ατόμων, και ιδίως το δικαίωμα προστασίας της ιδιωτικής τους ζωής από την επεξεργασία δεδομένων προσωπικού χαρακτήρα, η οποία εφαρμόζεται σε υπεύθυνο επεξεργασίας δεδομένων στο κράτος μέλος στο οποίο είναι εγκατεστημένος ο εξαγωγέας δεδομένων·

[…]».

24.      Όπως ίσχυε αρχικώς, το άρθρο 4 της εν λόγω αποφάσεως προέβλεπε, στην παράγραφο 1, τα εξής:

«Με την επιφύλαξη των εξουσιών τους να λαμβάνουν μέτρα προκειμένου να εξασφαλίζουν την τήρηση των εθνικών διατάξεων που εκδίδονται σύμφωνα με τα κεφάλαια II, III, V και VI της [οδηγίας 95/46], οι αρμόδιες αρχές των κρατών μελών μπορούν να ασκούν τις υφιστάμενες εξουσίες τους για να απαγορεύουν ή να αναστέλλουν τη ροή δεδομένων προς τρίτες χώρες προκειμένου να προστατεύουν τα φυσικά πρόσωπα από την επεξεργασία δεδομένων προσωπικού χαρακτήρα που τα αφορούν στις περιπτώσεις κατά τις οποίες:

α)      τεκμηριώνεται ότι η νομοθεσία στην οποία υπόκειται ο εισαγωγέας δεδομένων ή ο υπεργολάβος επεξεργασίας τον υποχρεώνει να παρεκκλίνει από το εφαρμοστέο δίκαιο περί προστασίας των δεδομένων πέραν των αναγκαίων σε μια δημοκρατική κοινωνία ορίων, όπως ορίζεται στο άρθρο 13 της [οδηγίας 95/46], στην περίπτωση που η υποχρέωση αυτή ενδέχεται να έχει σημαντικές αρνητικές επιπτώσεις στις εγγυήσεις που παρέχονται από το εφαρμοστέο δίκαιο περί προστασίας των δεδομένων και τις τυποποιημένες συμβατικές ρήτρες·

β)      αρμόδια αρχή απέδειξε ότι ο εισαγωγέας δεδομένων ή ο υπεργολάβος επεξεργασίας δεν τήρησε τις τυποποιημένες συμβατικές ρήτρες του παραρτήματος· ή

γ)      υπάρχει σοβαρή πιθανότητα ότι οι τυποποιημένες συμβατικές ρήτρες του παραρτήματος δεν τηρούνται ή δεν θα τηρηθούν και ότι η συνέχιση της διαβίβασης δημιουργεί άμεσο κίνδυνο πρόκλησης σοβαρής ζημίας στα πρόσωπα στα οποία αναφέρονται τα δεδομένα.»

25.      Όπως ισχύει σήμερα, μετά την τροποποίηση της αποφάσεως 2010/87 με την εκτελεστική απόφαση (ΕΕ) 2016/2297 (10), το άρθρο 4 της αποφάσεως 2010/87 ορίζει ότι, «[ό]ταν αρμόδια αρχή κράτους μέλους ασκεί τις εξουσίες της βάσει του άρθρου 28 παράγραφος 3 της [οδηγίας 95/46] για να αναστείλει ή να απαγορεύσει οριστικά ροή δεδομένων προς τρίτη χώρα προς τον σκοπό της προστασίας φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα που τα αφορούν, το οικείο κράτος μέλος ενημερώνει, χωρίς καθυστέρηση, την Επιτροπή, η οποία διαβιβάζει τις σχετικές πληροφορίες στα λοιπά κράτη μέλη».

26.      Το παράρτημα της αποφάσεως 2010/87 περιέχει μια δέσμη τυποποιημένων συμβατικών ρητρών. Ειδικότερα, η ρήτρα 3 του παραρτήματος αυτού προβλέπει, υπό τον τίτλο «Ρήτρα δικαιούχου τρίτου», τα εξής:

«1.      Το πρόσωπο στο οποίο αναφέρονται τα δεδομένα μπορεί να επικαλεσθεί ως τρίτος δικαιούχος έναντι του εξαγωγέα δεδομένων την παρούσα ρήτρα, καθώς και τη ρήτρα 4 στοιχεία β) ως θ), τη ρήτρα 5 στοιχεία α) ως ε), και ζ) ως ι), τη ρήτρα 6 παράγραφοι 1 και 2, τη ρήτρα 7, τη ρήτρα 8 παράγραφος 2 και τις ρήτρες 9 έως 12.

2.      Το άτομο στο οποίο αναφέρονται τα δεδομένα μπορεί να επικαλεσθεί έναντι του εισαγωγέα δεδομένων την παρούσα ρήτρα, καθώς και τη ρήτρα 5 στοιχεία α) ως ε) και ζ), τη ρήτρα 6, τη ρήτρα 7, τη ρήτρα 8 παράγραφος 2, και τις ρήτρες 9 έως 12, στις περιπτώσεις που ο εξαγωγέας δεδομένων έπαυσε να υφίσταται από πραγματική ή νομική άποψη, εκτός εάν το σύνολο των νομικών υποχρεώσεών του εκχωρήθηκε, βάσει σύμβασης ή βάσει νόμου, σε διάδοχο οντότητα, η οποία συνεπώς αναλαμβάνει τα δικαιώματα και τις υποχρεώσεις του εξαγωγέα δεδομένων, και έναντι του οποίου το πρόσωπο στο οποίο αναφέρονται τα δεδομένα μπορεί να επικαλεσθεί τις εν λόγω ρήτρες.

[…]»

27.      Η ρήτρα 4 του ως άνω παραρτήματος, με τίτλο «Υποχρεώσεις του εξαγωγέα δεδομένων», ορίζει τα εξής:

«Ο εξαγωγέας δεδομένων συμφωνεί και εγγυάται:

α)      ότι η επεξεργασία, περιλαμβανομένης και της διαβίβασης δεδομένων προσωπικού χαρακτήρα, έχει πραγματοποιηθεί και θα συνεχίσει να πραγματοποιείται σύμφωνα με τις σχετικές διατάξεις του εφαρμοστέου δικαίου περί προστασίας των δεδομένων (και, όπου συντρέχει περίπτωση, έχει κοινοποιηθεί στις αρμόδιες αρχές του κράτους μέλους στο οποίο είναι εγκατεστημένος ο εξαγωγέας δεδομένων) και δεν παραβιάζει τις σχετικές διατάξεις του εν λόγω κράτους·

β)      ότι έχει υποδείξει και θα υποδεικνύει καθ’ όλη τη διάρκεια των υπηρεσιών επεξεργασίας δεδομένων προσωπικού χαρακτήρα στον εισαγωγέα δεδομένων να επεξεργάζεται τα διαβιβαζόμενα δεδομένα προσωπικού χαρακτήρα αποκλειστικά για λογαριασμό του εξαγωγέα δεδομένων και σύμφωνα με το εφαρμοστέο δίκαιο περί προστασίας των δεδομένων και σύμφωνα με τις ρήτρες·

γ)      ότι ο εισαγωγέας δεδομένων θα παρέχει επαρκείς εγγυήσεις όσον αφορά τα τεχνικά και οργανωτικά μέτρα ασφαλείας που καθορίζονται στο προσάρτημα 2 της παρούσας σύμβασης·

δ)      ότι, μετά την αξιολόγηση των απαιτήσεων του εφαρμοστέου δικαίου περί προστασίας των δεδομένων, τα μέτρα ασφαλείας είναι επαρκή για την προστασία των δεδομένων προσωπικού χαρακτήρα από την τυχαία ή παράνομη καταστροφή, την τυχαία απώλεια, την αλλοίωση, τη μη εξουσιοδοτημένη κοινοποίηση ή πρόσβαση, ιδίως όταν η επεξεργασία συνεπάγεται τη διαβίβαση δεδομένων μέσω δικτύου, καθώς και από κάθε άλλη παράνομη μορφή επεξεργασίας, και ότι τα μέτρα αυτά διασφαλίζουν κατάλληλο επίπεδο ασφάλειας σε σχέση με τους κινδύνους που συνεπάγεται η επεξεργασία και η φύση των προς προστασία δεδομένων, λαμβανομένου υπόψη του τεχνολογικού επιπέδου και του κόστους εφαρμογής τους·

ε)      ότι θα διασφαλίσει την τήρηση των μέτρων ασφαλείας·

στ)      ότι, εάν η διαβίβαση αφορά ειδικές κατηγορίες δεδομένων, το πρόσωπο στο οποίο αναφέρονται τα δεδομένα έχει ενημερωθεί ή θα ενημερωθεί πριν από τη διαβίβαση ή το συντομότερο δυνατό ύστερα απ’ αυτήν ότι τα δεδομένα που το αφορούν ενδέχεται να διαβιβαστούν σε τρίτη χώρα που δεν παρέχει ικανοποιητική προστασία κατά την έννοια της [οδηγίας 95/46]·

ζ)      ότι θα διαβιβάζει κάθε κοινοποίηση που λαμβάνει από τον εισαγωγέα δεδομένων ή κάθε υπεργολάβο επεξεργασίας σύμφωνα με τη ρήτρα 5 στοιχείο β) και τη ρήτρα 8 παράγραφος 3 στην εποπτική αρχή προστασίας δεδομένων αν ο εξαγωγέας δεδομένων αποφασίσει να συνεχίσει τη διαβίβαση ή να άρει την αναστολή·

η)      να θέσει κατόπιν αιτήσεως στη διάθεση των προσώπων στα οποία αναφέρονται τα δεδομένα αντίγραφο των ρητρών, με εξαίρεση το προσάρτημα 2, και συνοπτική παρουσίαση των μέτρων ασφαλείας, καθώς και αντίγραφο κάθε σύμβασης που αφορά την παροχή υπηρεσιών υπεργολαβίας επεξεργασίας που πρέπει να συναφθεί σύμφωνα με τις ρήτρες, εκτός αν οι ρήτρες ή η σύμβαση περιέχουν εμπορικές πληροφορίες, οπότε μπορεί να αφαιρέσει τις πληροφορίες αυτές·

θ)      ότι, στην περίπτωση υπεργολαβίας επεξεργασίας, η δραστηριότητα επεξεργασίας εκτελείται σύμφωνα με τη ρήτρα 11 από υπεργολάβο επεξεργασίας που παρέχει τουλάχιστον το ίδιο επίπεδο προστασίας για τα δεδομένα προσωπικού χαρακτήρα και τα δικαιώματα του προσώπου στο οποίο αναφέρονται τα δεδομένα όπως και ο εισαγωγέας δεδομένων βάσει των ρητρών αυτών· και

ι)      ότι θα εξασφαλίσει την τήρηση της ρήτρας 4 στοιχεία α) ως θ).»

28.      Η ρήτρα 5 του ίδιου παραρτήματος ορίζει, υπό τον τίτλο «Υποχρεώσεις του εισαγωγέα δεδομένων (¹)», τα εξής:

«Ο εισαγωγέας δεδομένων συμφωνεί και εγγυάται:

α)      ότι θα επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα μόνο για λογαριασμό του εξαγωγέα δεδομένων και σύμφωνα με τις οδηγίες του και τις ρήτρες· αν δεν μπορεί να εξασφαλίσει τη συμμόρφωση αυτή για οποιουσδήποτε λόγους, συμφωνεί να ενημερώνει αμέσως τον εξαγωγέα δεδομένων για την αδυναμία του να συμμορφωθεί, οπότε ο εξαγωγέας δεδομένων δικαιούται να αναστείλει τη διαβίβαση των δεδομένων και/ή να λύσει τη σύμβαση·

β)      ότι δεν έχει λόγους να πιστεύει ότι η νομοθεσία που ισχύει γι’ αυτόν τον εμποδίζει να τηρήσει τις οδηγίες που λαμβάνει από τον εξαγωγέα δεδομένων και να εκπληρώσει τις υποχρεώσεις του βάσει της σύμβασης και ότι, αν γίνει τροποποίηση της εν λόγω νομοθεσίας η οποία ενδέχεται να έχει σημαντικό αρνητικό αντίκτυπο στις εγγυήσεις και τις υποχρεώσεις που προβλέπονται από τις ρήτρες, θα κοινοποιεί αμέσως την αλλαγή στον εξαγωγέα δεδομένων, μόλις αυτή περιέλθει σε γνώση του, οπότε ο εξαγωγέας δεδομένων θα δικαιούται να αναστείλει τη διαβίβαση των δεδομένων και/ή να λύσει τη σύμβαση·

γ)      ότι έχει λάβει τα τεχνικά και οργανωτικά μέτρα ασφαλείας που ορίζονται στο προσάρτημα 2 πριν από την επεξεργασία των διαβιβαζόμενων δεδομένων προσωπικού χαρακτήρα·

δ)      ότι θα ενημερώνει αμέσως τον εξαγωγέα δεδομένων σχετικά με:

i)      κάθε νομικά δεσμευτικό αίτημα κοινοποίησης των δεδομένων προσωπικού χαρακτήρα που υποβάλλεται από αρχή επιβολής του νόμου, εκτός αν υπάρχει σχετική απαγόρευση, όπως απαγόρευση συνοδευόμενη από ποινικές κυρώσεις για τη διατήρηση του εμπιστευτικού χαρακτήρα αστυνομικής έρευνας·

ii)      κάθε τυχαία ή μη εξουσιοδοτημένη πρόσβαση· και

iii)      κάθε αίτημα που λαμβάνει απευθείας από τα πρόσωπα στα οποία αναφέρονται τα δεδομένα χωρίς να τους απαντά, εκτός αν του έχει δοθεί η σχετική άδεια·

ε)      ότι θα ανταποκρίνεται άμεσα και με ακρίβεια σε όλα τα αιτήματα πληροφοριών του εξαγωγέα δεδομένων σχετικά με την εκ μέρους του επεξεργασία των δεδομένων προσωπικού χαρακτήρα που αποτελούν αντικείμενο της διαβίβασης και ότι θα συμμορφώνεται με τη γνώμη της αρχής ελέγχου όσον αφορά την επεξεργασία των διαβιβαζόμενων δεδομένων·

στ)      ότι, αιτήσει του εξαγωγέα δεδομένων, θα διαθέτει προς έλεγχο τις εγκαταστάσεις επεξεργασίας δεδομένων προκειμένου να ελέγχονται οι δραστηριότητες επεξεργασίας που καλύπτονται από τις ρήτρες. Ο έλεγχος θα διενεργείται από τον εξαγωγέα δεδομένων ή από οργανισμό επιθεώρησης αποτελούμενο από μέλη ανεξάρτητα που διαθέτουν τα απαιτούμενα επαγγελματικά προσόντα και τα οποία θα δεσμεύονται από υποχρέωση εχεμύθειας και θα επιλέγονται από τον εξαγωγέα δεδομένων, κατά περίπτωση, κατόπιν συμφωνίας με την αρχή ελέγχου·

[…]».

29.      Κατά την υποσημείωση 1, στην οποία παραπέμπει ο τίτλος της ρήτρας 5 που περιλαμβάνεται στο παράρτημα της αποφάσεως 2010/87:

«Οι δεσμευτικές απαιτήσεις της εθνικής νομοθεσίας που ισχύουν για τον εισαγωγέα των δεδομένων και που δεν υπερβαίνουν το αναγκαίο σε μια δημοκρατική κοινωνία μέτρο για ένα από τα συμφέροντα που αναφέρονται στο άρθρο 13 παράγραφος 1 της οδηγίας [95/46], δηλαδή αν πρόκειται για μέτρο αναγκαίο για τη διαφύλαξη της ασφάλειας του κράτους, της άμυνας, της δημόσιας ασφάλειας, της πρόληψης, διερεύνησης, διαπίστωσης και δίωξης παραβάσεων του ποινικού νόμου ή της δεοντολογίας των νομοθετικά κατοχυρωμένων επαγγελμάτων, σημαντικού οικονομικού ή χρηματοοικονομικού συμφέροντος, της προστασίας του προσώπου στο οποίο αναφέρονται τα δεδομένα ή των δικαιωμάτων και ελευθεριών άλλων προσώπων, δεν έρχονται σε αντίθεση με τις τυποποιημένες συμβατικές ρήτρες. Ορισμένα παραδείγματα τέτοιων δεσμευτικών απαιτήσεων οι οποίες δεν υπερβαίνουν το αναγκαίο σε μια δημοκρατική κοινωνία μέτρο είναι, μεταξύ άλλων, οι διεθνώς αναγνωρισμένες κυρώσεις, οι απαιτήσεις υποβολής φορολογικών δηλώσεων ή οι απαιτήσεις υποβολής εκθέσεων για την καταπολέμηση δραστηριοτήτων νομιμοποίησης εσόδων από παράνομες δραστηριότητες.»

30.      Η ρήτρα 6 του παραρτήματος αυτού τιτλοφορείται «Ευθύνη» και έχει ως εξής:

«1.      Τα συμβαλλόμενα μέρη συμφωνούν ότι κάθε πρόσωπο στο οποίο αναφέρονται τα δεδομένα το οποίο υφίσταται ζημία συνεπεία αθέτησης των υποχρεώσεων που αναφέρονται στη ρήτρα 3 ή στη ρήτρα 11 από έναν από τους συμβαλλόμενους ή από υπεργολάβο επεξεργασίας δικαιούται να λάβει αποζημίωση από τον εξαγωγέα δεδομένων για τη ζημία την οποία υπέστη.

2.      Αν το πρόσωπο στο οποίο αναφέρονται τα δεδομένα αδυνατεί να αξιώσει αποζημίωση, σύμφωνα με την παράγραφο 1, έναντι του εξαγωγέα δεδομένων λόγω αθέτησης από τον εισαγωγέα δεδομένων ή τον υπεργολάβο επεξεργασίας του κάποιας από τις υποχρεώσεις τους που αναφέρονται στη ρήτρα 3 ή στη ρήτρα 11, διότι ο εξαγωγέας δεδομένων έχει παύσει να υφίσταται από πραγματική ή νομική άποψη ή έχει καταστεί αφερέγγυος, ο εισαγωγέας δεδομένων συμφωνεί ότι το πρόσωπο στο οποίο αναφέρονται τα δεδομένα μπορεί να ασκήσει αγωγή εναντίον του σαν να επρόκειτο για τον εξαγωγέα δεδομένων, εκτός αν το σύνολο των νομικών υποχρεώσεων του εξαγωγέα δεδομένων εκχωρήθηκε, βάσει σύμβασης ή βάσει νόμου, σε κάποια διάδοχο οντότητα έναντι της οποίας το πρόσωπο στο οποίο αναφέρονται τα δεδομένα μπορεί να επικαλεσθεί τα δικαιώματά του.

[…]»

31.      Η ρήτρα 7 του εν λόγω παραρτήματος φέρει τον τίτλο «Διαμεσολάβηση και δικαιοδοσία» και ορίζει τα εξής:

«1.      Ο εισαγωγέας δεδομένων συμφωνεί ότι αν, βάσει των ρητρών, το πρόσωπο στο οποίο αναφέρονται τα δεδομένα επικαλείται έναντι αυτού το δικαίωμα του δικαιούχου τρίτου και/ή διεκδικεί αποζημίωση για τη ζημία που υπέστη, θα δεχθεί την απόφαση του προσώπου στο οποίο αναφέρονται τα δεδομένα:

α)      να παραπέμψουν τη διαφορά στη διαμεσολάβηση ανεξάρτητου προσώπου ή, κατά περίπτωση, της αρχής ελέγχου·

β)      να παραπέμψουν τη διαφορά στα δικαστήρια του κράτους μέλους στο οποίο είναι εγκατεστημένος ο εξαγωγέας δεδομένων.

2.      Τα συμβαλλόμενα μέρη συμφωνούν ότι η επιλογή στην οποία προβαίνει το πρόσωπο στο οποίο αναφέρονται τα δεδομένα δεν θίγει τα ουσιαστικού ή δικονομικού δικαίου δικαιώματά του να αναζητήσει έννομη προστασία βάσει άλλων διατάξεων του εθνικού ή του διεθνούς δικαίου.»

32.      Η ρήτρα 9 του ίδιου παραρτήματος επιγράφεται «Εφαρμοστέο δίκαιο» και προβλέπει ότι οι τυποποιημένες συμβατικές ρήτρες διέπονται από το δίκαιο του κράτους μέλους στο οποίο είναι εγκατεστημένος ο εξαγωγέας δεδομένων.

4.      Η απόφαση για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής»

33.      Το άρθρο 25, παράγραφος 6, της οδηγίας 95/46 αποτέλεσε τη βάση για να εκδώσει η Επιτροπή δύο διαδοχικές αποφάσεις με τις οποίες διαπίστωσε ότι οι Ηνωμένες Πολιτείες εξασφαλίζουν ικανοποιητικό επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα τα οποία διαβιβάζονται προς εγκατεστημένες στις Ηνωμένες Πολιτείες επιχειρήσεις που έχουν δηλώσει ότι προσχωρούν, μέσω διαδικασίας αυτοπιστοποιήσεως, στις αρχές που διατυπώνονται στις αποφάσεις αυτές.

34.      Αρχικώς, η Επιτροπή εξέδωσε την απόφαση 2000/520/ΕΚ σχετικά με την επάρκεια της προστασίας που παρέχεται από τις αρχές «ασφαλούς λιμένα για την προστασία της ιδιωτικής ζωής» και τις συναφείς συχνές ερωτήσεις που εκδίδονται από το Υπουργείο Εμπορίου των [Ηνωμένων Πολιτειών] (11). Με την απόφαση της 6ης Οκτωβρίου 2015, Schrems (12), το Δικαστήριο έκρινε ότι η απόφαση εκείνη ήταν ανίσχυρη.

35.      Κατόπιν της προαναφερθείσας αποφάσεως του Δικαστηρίου, η Επιτροπή εξέδωσε, εν συνεχεία, την απόφαση για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής».

36.      Το άρθρο 1 της αποφάσεως αυτής ορίζει τα εξής:

«1.      Για τους σκοπούς του άρθρου 25 παράγραφος 2 της οδηγίας 95/46/ΕΚ, οι Ηνωμένες Πολιτείες της Αμερικής εξασφαλίζουν ικανοποιητικό επίπεδο προστασίας για τα δεδομένα προσωπικού χαρακτήρα που διαβιβάζονται από την Ένωση σε οργανισμούς στις ΗΠΑ στο πλαίσιο της ασπίδας προστασίας της ιδιωτικής ζωής ΕΕ–ΗΠΑ.

2.      Η ασπίδα προστασίας της ιδιωτικής ζωής ΕΕ–ΗΠΑ συνίσταται στις Αρχές που εκδόθηκαν από το Υπουργείο Εμπορίου των ΗΠΑ στις 7 Ιουλίου 2016, όπως παρατίθενται στο παράρτημα II, καθώς και στις επίσημες δηλώσεις και δεσμεύσεις που περιλαμβάνονται στα έγγραφα που απαριθμούνται στο παράρτημα I και στα παραρτήματα III έως VII.

3.      Για τον σκοπό της παραγράφου 1, η διαβίβαση δεδομένων προσωπικού χαρακτήρα πραγματοποιείται στο πλαίσιο της ασπίδας προστασίας της ιδιωτικής ζωής ΕΕ–ΗΠΑ όταν τα δεδομένα διαβιβάζονται από την Ένωση σε οργανισμούς στις ΗΠΑ που περιλαμβάνονται στον «κατάλογο της ασπίδας προστασίας», ο οποίος τηρείται και δημοσιοποιείται από το Υπουργείο Εμπορίου των ΗΠΑ, σύμφωνα με τα τμήματα I και III των Αρχών που παρατίθενται στο παράρτημα II.»

37.      Το παράρτημα III A της αποφάσεως αυτής, το οποίο τιτλοφορείται «Μηχανισμός Διαμεσολαβητή της ασπίδας προστασίας της ιδιωτικής ζωής ΕΕ–ΗΠΑ Όσον αφορά τη συλλογή πληροφοριών σημάτων» κι έχει επισυναφθεί στην από 7 Ιουλίου 2016 επιστολή του Secretary of State (Υπουργού Εξωτερικών των Ηνωμένων Πολιτειών) John Kerry, περιλαμβάνει υπόμνημα όπου περιγράφεται μια νέα διαδικασία διαμεσολαβήσεως ενώπιον ενός «Ανώτατου Συντονιστή για τη Διεθνή Διπλωματία στον Τομέα της Τεχνολογίας των Πληροφοριών» (στο εξής: Διαμεσολαβητής) διοριζόμενου από τον Υπουργό Εξωτερικών.

38.      Όπως αναφέρεται στο υπόμνημα, η διαδικασία αυτή τέθηκε σε εφαρμογή «για να διευκολύνει την επεξεργασία αιτημάτων που συνδέονται με την πρόσβαση για λόγους εθνικής ασφάλειας σε δεδομένα που διαβιβάζονται από την ΕΕ στις Ηνωμένες Πολιτείες σύμφωνα με την ασπίδα προστασίας, τις τυποποιημένες συμβατικές ρήτρες (ΤΣΡ), τους δεσμευτικούς εταιρικούς κανόνες (ΔΕΚ), τις “παρεκκλίσεις” ή τις “πιθανές μελλοντικές παρεκκλίσεις” μέσω των εδραιωμένων οδών που προβλέπονται από το εφαρμοστέο δίκαιο και τις πολιτικές των ΗΠΑ, καθώς και την απόκριση σε τέτοιου είδους αιτήματα».

III. Η διαφορά της κύριας δίκης, τα προδικαστικά ερωτήματα και η διαδικασία ενώπιον του Δικαστηρίου

39.      Ο M. Schrems, Αυστριακός υπήκοος και κάτοικος Αυστρίας, είναι χρήστης του μέσου κοινωνικής δικτύωσης Facebook. Όλοι οι χρήστες του Facebook που κατοικούν στο έδαφος της Ένωσης οφείλουν να υπογράψουν, κατά την εγγραφή τους, σύμβαση με τη Facebook Ireland, θυγατρική της Facebook Inc., η οποία έχει την έδρα της στις Ηνωμένες Πολιτείες. Τα δεδομένα προσωπικού χαρακτήρα αυτών των χρηστών διαβιβάζονται, εν όλω ή εν μέρει, σε διακομιστές που ανήκουν στη Facebook Inc. και είναι εγκατεστημένοι στις Ηνωμένες Πολιτείες, όπου τα δεδομένα αυτά υπόκεινται σε επεξεργασία.

40.      Στις 25 Ιουνίου 2013, ο M. Schrems υπέβαλε στον ΕΠΔ καταγγελία με την οποία ζητούσε από αυτήν, κατ’ ουσίαν, να απαγορεύσει στη Facebook Ireland να διαβιβάζει στις Ηνωμένες Πολιτείες τα δεδομένα προσωπικού χαρακτήρα που τον αφορούν. Υποστήριζε ότι η νομοθεσία και η ισχύουσα πρακτική στις Ηνωμένες Πολιτείες δεν εξασφαλίζουν ικανοποιητική προστασία των εκεί αποθηκευόμενων δεδομένων προσωπικού χαρακτήρα έναντι των παρεμβάσεων που συνεπάγονται οι δραστηριότητες παρακολουθήσεως εκ μέρους δημοσίων αρχών. Ο M. Schrems αναφέρθηκε ως προς το ζήτημα αυτό στις αποκαλύψεις που έκανε ο Edward Snowden σχετικά με τις δραστηριότητες των Υπηρεσιών Πληροφοριών των Ηνωμένων Πολιτειών, και ιδίως της National Security Agency (NSA) (Υπηρεσίας Εθνικής Ασφαλείας, Ηνωμένες Πολιτείες).

41.      Η καταγγελία αυτή απορρίφθηκε με την αιτιολογία, μεταξύ άλλων, ότι κάθε ζήτημα σχετικό με την επάρκεια της προστασίας που διασφαλίζεται στις Ηνωμένες Πολιτείες πρέπει να κρίνεται σύμφωνα με την απόφαση περί «ασφαλούς λιμένα». Με την απόφαση αυτή, η Επιτροπή είχε διαπιστώσει ότι η συγκεκριμένη τρίτη χώρα παρείχε ικανοποιητικό επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα που διαβιβάζονται προς επιχειρήσεις οι οποίες είναι εγκατεστημένες στο έδαφός της και έχουν προσχωρήσει στις αρχές που διατυπώνονταν στην εν λόγω απόφαση.

42.      Ο M. Schrems άσκησε ενώπιον του High Court (ανωτέρου δικαστηρίου, Ιρλανδία) προσφυγή κατά της απορριπτικής αποφάσεως επί της καταγγελίας του. Το δικαστήριο αυτό έκρινε ότι, παρότι ο M. Schrems δεν προσέβαλε τυπικώς το κύρος της αποφάσεως περί «ασφαλούς λιμένα», ωστόσο, στην πραγματικότητα, με την καταγγελία του αμφισβήτησε τη νομιμότητα του καθεστώτος που θεσπίστηκε με την απόφαση εκείνη. Υπό τις συνθήκες αυτές, υπέβαλε στο Δικαστήριο προδικαστικά ερωτήματα με σκοπό να διευκρινιστεί, κατ’ ουσίαν, αν οι αρχές των κρατών μελών που είναι επιφορτισμένες με την προστασία των δεδομένων (στο εξής: αρχές ελέγχου), σε περίπτωση όπου έχει κατατεθεί καταγγελία σε σχέση με την προστασία των δικαιωμάτων και των ελευθεριών προσώπου έναντι της επεξεργασίας διαβιβασθέντων σε τρίτο κράτος δεδομένων προσωπικού χαρακτήρα που αφορούν τον καταγγέλλοντα, δεσμεύονται από τις διαπιστώσεις στις οποίες έχει προβεί η Επιτροπή, βάσει του άρθρου 25, παράγραφος 6, της οδηγίας 95/46, αναφορικά με την επάρκεια του επιπέδου προστασίας στο αντίστοιχο τρίτο κράτος, έστω και αν ο καταγγέλλων αμφισβητεί τις διαπιστώσεις αυτές.

43.      Το Δικαστήριο, αφού κατέστησε σαφές, με τις σκέψεις 51 και 52 της αποφάσεως Schrems, ότι η απόφαση επάρκειας δεσμεύει τις αρχές ελέγχου για όσο διάστημα δεν έχει κριθεί ανίσχυρη, έκρινε, στις σκέψεις 63 και 65 της αποφάσεως αυτής, τα εξής:

«63.      […] [ό]ταν πρόσωπο του οποίου τα δεδομένα προσωπικού χαρακτήρα διαβιβάστηκαν ή θα μπορούσαν να διαβιβαστούν προς τρίτη χώρα για την οποία έχει εκδοθεί απόφαση της Επιτροπής βάσει του άρθρου 25, παράγραφος 6, της οδηγίας 95/46 υποβάλλει σε εθνική αρχή ελέγχου αίτηση σχετικά με την προστασία των δικαιωμάτων και των ελευθεριών του έναντι της επεξεργασίας των δεδομένων αυτών και στην αίτηση αυτή αμφισβητεί, […] το συμβατό της αποφάσεως αυτής με την προστασία της ιδιωτικής ζωής, τότε η εθνική αρχή οφείλει να εξετάζει την ανωτέρω αίτηση με τη δέουσα επιμέλεια.

[…]

65.      Στην […] περίπτωση, κατά την οποία η αρχή ελέγχου κρίνει βάσιμες τις αιτιάσεις που προέβαλε [αυτό το πρόσωπο], η εν λόγω αρχή, σύμφωνα με το άρθρο 28, παράγραφος 3, πρώτο εδάφιο, τρίτη περίπτωση, της οδηγίας 95/46 υπό το πρίσμα του άρθρου 8, παράγραφος 3, του Χάρτη, πρέπει να έχει τη δυνατότητα να προσφύγει σε δικαστήριο. Ως προς το ζήτημα αυτό απόκειται στον εθνικό νομοθέτη να προβλέψει μέσα παροχής ενδίκου προστασίας παρέχοντα τη δυνατότητα στην οικεία εθνική αρχή ελέγχου να προβάλει τις αιτιάσεις που κρίνει βάσιμες ενώπιον των εθνικών δικαστηρίων, ώστε αυτά, αν συμφωνούν ότι υπάρχουν αμφιβολίες ως προς το κύρος της αποφάσεως της Επιτροπής, να υποβάλουν προδικαστικό ερώτημα προς έλεγχο του κύρους της συγκεκριμένης αποφάσεως.»

44.      Στην απόφασή του, το Δικαστήριο εξέτασε επίσης το κύρος της αποφάσεως περί «ασφαλούς λιμένα» υπό το πρίσμα των απαιτήσεων που απορρέουν από την οδηγία 95/46, σε συνδυασμό με τον Χάρτη. Κατόπιν της εξετάσεως αυτής, έκρινε την απόφαση εκείνη ανίσχυρη (13).

45.      Μετά την έκδοση της αποφάσεως Schrems το αιτούν δικαστήριο ακύρωσε την απόφαση με την οποία ο ΕΠΔ είχε απορρίψει την καταγγελία του M. Schrems και ανέπεμψε την καταγγελία στον ΕΠΔ για εξέταση. Ο ΕΠΔ κίνησε διαδικασία έρευνας και κάλεσε τον M. Schrems να αναδιατυπώσει την καταγγελία του, λαμβάνοντας υπόψη ότι η απόφαση περί «ασφαλούς λιμένα» κρίθηκε ανίσχυρη.

46.      Στο πλαίσιο αυτό, ο M. Schrems ζήτησε από τη Facebook Ireland να προσδιορίσει τις νομικές βάσεις επί των οποίων στηρίζονται οι διαβιβάσεις δεδομένων προσωπικού χαρακτήρα των χρηστών του μέσου κοινωνικής δικτύωσης Facebook από την Ένωση προς τις Ηνωμένες Πολιτείες. Η Facebook Ireland, χωρίς να προσδιορίσει όλες τις νομικές βάσεις επί των οποίων στηρίζεται, αναφέρθηκε σε συμφωνία συναφθείσα μεταξύ αυτής και της Facebook Inc. για τη διαβίβαση και επεξεργασία δεδομένων (data transfer processing agreement), η οποία εφαρμοζόταν από τις 20 Νοεμβρίου 2015, και επικαλέστηκε την απόφαση 2010/87.

47.      Με την καταγγελία του, όπως αυτή αναδιατυπώθηκε, ο M. Schrems υποστηρίζει, αφενός, ότι οι ρήτρες οι οποίες περιέχονται στην ανωτέρω συμφωνία δεν είναι σύμφωνες με τις τυποποιημένες συμβατικές ρήτρες που περιλαμβάνονται στο παράρτημα της αποφάσεως 2010/87. Αφετέρου, ο M. Schrems ισχυρίζεται ότι, εν πάση περιπτώσει, οι εν λόγω τυποποιημένες συμβατικές ρήτρες δεν θα μπορούσαν να αποτελέσουν τη βάση για τη διαβίβαση των δεδομένων προσωπικού χαρακτήρα που τον αφορούν προς τις Ηνωμένες Πολιτείες. Τούτο επειδή, κατά την άποψή του, το αμερικανικό δίκαιο επιβάλλει στη Facebook Inc. να θέτει τα δεδομένα προσωπικού χαρακτήρα των χρηστών στη διάθεση αμερικανικών αρχών όπως είναι η NSA και το Federal Bureau of Investigation (FBI) (Ομοσπονδιακό Γραφείο Ερευνών, Ηνωμένες Πολιτείες), στο πλαίσιο προγραμμάτων παρακολουθήσεως τα οποία παρακωλύουν την άσκηση των δικαιωμάτων που κατοχυρώνονται στα άρθρα 7, 8 και 47 του Χάρτη. Ο M. Schrems υποστηρίζει ότι δεν υφίσταται κανένα μέσο έννομης προστασίας που να δίνει τη δυνατότητα στα υποκείμενα των δεδομένων να προβάλουν τα δικαιώματά τους για σεβασμό της ιδιωτικής ζωής και για προστασία των δεδομένων προσωπικού χαρακτήρα. Υπό τις συνθήκες αυτές, ο M. Schrems ζήτησε από τον ΕΠΔ να αναστείλει τη διαβίβαση των δεδομένων, κατ’ εφαρμογήν του άρθρου 4 της αποφάσεως 2010/87.

48.      Στο πλαίσιο της έρευνας που διεξήγαγε ο ΕΠΔ, η Facebook Ireland παραδέχθηκε ότι εξακολουθεί να διαβιβάζει προς τις Ηνωμένες Πολιτείες τα δεδομένα προσωπικού χαρακτήρα των χρηστών του μέσου κοινωνικής δικτύωσης Facebook που διαμένουν στην Ένωση και ότι προβαίνει στη διαβίβαση αυτή στηριζόμενη, σε μεγάλο βαθμό, στις τυποποιημένες συμβατικές ρήτρες οι οποίες περιλαμβάνονται στο παράρτημα της αποφάσεως 2010/87.

49.      Σκοπός της έρευνας την οποία διεξήγαγε ο ΕΠΔ ήταν να εξακριβωθεί, αφενός, αν οι Ηνωμένες Πολιτείες εξασφαλίζουν ικανοποιητική προστασία των δεδομένων προσωπικού χαρακτήρα των πολιτών της Ένωσης και, αφετέρου, σε περίπτωση που δεν ισχύει κάτι τέτοιο, αν οι αποφάσεις ΤΡΠπαρέχουν επαρκείς εγγυήσεις όσον αφορά την προστασία των θεμελιωδών δικαιωμάτων και ελευθεριών των προσώπων αυτών.

50.      Σε σχέδιο αποφάσεώς της (draft decision), ο ΕΠΔ συνήγαγε, ως προσωρινό συμπέρασμα, ότι το αμερικανικό δίκαιο δεν παρέχει αποτελεσματικά μέσα έννομης προστασίας, κατά την έννοια του άρθρου 47 του Χάρτη, στους πολίτες της Ένωσης των οποίων τα δεδομένα διαβιβάζονται στις Ηνωμένες Πολιτείες, όπου τα δεδομένα αυτά είναι πιθανόν να τύχουν επεξεργασίας από τις αμερικανικές υπηρεσίες για σκοπούς εθνικής ασφάλειας κατά τρόπο ασυμβίβαστο προς τα άρθρα 7 και 8 του Χάρτη. Οι δε εγγυήσεις τις οποίες προβλέπουν οι ρήτρες που περιλαμβάνονται σε παράρτημα των αποφάσεων ΤΡΠδεν θεραπεύουν αυτό το κενό, δεδομένου ότι δεν δεσμεύουν τις αρχές και τις υπηρεσίες των Ηνωμένων Πολιτειών, ενώ παρέχουν στα υποκείμενα των δεδομένων μόνον συμβατικά δικαιώματα έναντι του εξαγωγέα και/ή του εισαγωγέα των δεδομένων.

51.      Υπό τις συνθήκες αυτές, ο ΕΠΔ έκρινε ότι δεν μπορούσε να αποφανθεί επί της καταγγελίας του M. Schrems, αν το Δικαστήριο δεν εξέταζε προηγουμένως το κύρος των αποφάσεων ΤΣΡ. Επομένως, σύμφωνα με όσα διαλαμβάνονται στη σκέψη 65 της αποφάσεως Schrems, ο ΕΠΔ κίνησε διαδικασία ενώπιον του αιτούντος δικαστηρίου ζητώντας του, εφόσον συμμερίζεται τις αμφιβολίες της, να υποβάλει στο Δικαστήριο αίτηση προδικαστικής αποφάσεως ως προς το κύρος των αποφάσεων αυτών.

52.      Η Κυβέρνηση των Ηνωμένων Πολιτειών, η Electronic Privacy Information Centre (EPIC), η Business Software Alliance (BSA) και η Digitaleurope άσκησαν παρέμβαση ενώπιον του αιτούντος δικαστηρίου.

53.      Το High Court (ανώτερο δικαστήριο), προκειμένου να κρίνει αν συμμερίζεται τις αμφιβολίες που διατύπωσε ο ΕΠΔ ως προς το κύρος των αποφάσεων ΤΣΡ, έλαβε τα αποδεικτικά στοιχεία που προσκόμισαν οι διάδικοι και άκουσε τους ισχυρισμούς που προέβαλαν οι διάδικοι καθώς και οι παρεμβαίνοντες. Ειδικότερα, όσον αφορά τις διατάξεις του δικαίου των Ηνωμένων Πολιτειών, προσκομίστηκαν αποδεικτικά στοιχεία από πραγματογνώμονες. Κατά το ιρλανδικό δίκαιο, το αλλοδαπό δίκαιο θεωρείται πραγματικό ζήτημα το οποίο πρέπει να αποδεικνύεται με αποδεικτικά στοιχεία με τον ίδιο τρόπο όπως κάθε άλλο πραγματικό ζήτημα. Βάσει αυτών των αποδεικτικών στοιχείων, το αιτούν δικαστήριο αξιολόγησε τις διατάξεις του δικαίου των Ηνωμένων Πολιτειών οι οποίες επιτρέπουν την παρακολούθηση από τις κυβερνητικές αρχές και υπηρεσίες, τη λειτουργία δύο δημοσίως αναγνωρισμένων προγραμμάτων παρακολουθήσεως («PRISM» και «Upstream»), τα διάφορα μέσα έννομης προστασίας που παρέχονται στους ιδιώτες των οποίων τα δικαιώματα έχουν προσβληθεί λόγω εφαρμογής μέτρων παρακολουθήσεως, καθώς και τις συστημικές εγγυήσεις και τους μηχανισμούς ελέγχου. Το εν λόγω δικαστήριο κατέγραψε τα πορίσματα αυτής της αξιολογήσεως σε απόφαση της 3ης Οκτωβρίου 2017, η οποία επισυνάφθηκε στη διάταξη περί παραπομπής [στο εξής: απόφαση του High Court (ανωτέρου δικαστηρίου) της 3ης Οκτωβρίου 2017].

54.      Στη συγκεκριμένη απόφαση, το αιτούν δικαστήριο ανέφερε, μεταξύ των νομικών βάσεων που επιτρέπουν την παρακολούθηση αλλοδαπών επικοινωνιών από τις αμερικανικές Υπηρεσίες Πληροφοριών, το άρθρο 702 του Foreign Intelligence Surveillance Act (FISA) (νόμου περί παρακολούθησης επικοινωνιών αλλοδαπών Υπηρεσιών Πληροφοριών, στο εξής: νόμος FISA) και το Executive Order 12333 (εκτελεστικό διάταγμα 12333, στο εξής: E.O. 12333).

55.      Σύμφωνα με τις διαπιστώσεις που περιλαμβάνονται στην απόφαση του High Court (ανωτέρου δικαστηρίου) της 3ης Οκτωβρίου 2017, το άρθρο 702 του νόμου FISA παρέχει στον Attorney General (Γενικό Εισαγγελέα, Ηνωμένες Πολιτείες) και στον Director of National Intelligence (DNI) (Διευθυντή της Εθνικής Υπηρεσίας Πληροφοριών, Ηνωμένες Πολιτείες) τη δυνατότητα να δώσουν από κοινού άδεια ώστε να παρακολουθούνται, για ένα έτος και με σκοπό την εξασφάλιση πληροφοριών από την αλλοδαπή, πρόσωπα που δεν είναι Αμερικανοί πολίτες ούτε διαμένουν μονίμως στις Ηνωμένες Πολιτείες (στο εξής: μη Αμερικανοί πολίτες), όταν ευλόγως μπορεί να θεωρηθεί ότι βρίσκονται εκτός της επικράτειας των Ηνωμένων Πολιτειών (14). Κατά τον νόμο FISA, ως «πληροφορίες από την αλλοδαπή» νοούνται τα πληροφοριακά στοιχεία που σχετίζονται τόσο με την ικανότητα της Κυβερνήσεως να προφυλάξει τη χώρα από αλλοδαπές επιθέσεις, από την τρομοκρατία και από τη διάδοση των όπλων μαζικής καταστροφής, όσο και με την άσκηση της εξωτερικής πολιτικής των Ηνωμένων Πολιτειών (15).

56.      Αυτές οι άδειες ετήσιας ισχύος, καθώς και, αφενός, οι διαδικασίες για τη στόχευση προσώπων με σκοπό την παρακολούθηση και, αφετέρου, η επεξεργασία («ελαχιστοποίηση») των πληροφοριών που συλλέγονται (16), πρέπει να εγκρίνονται από το Foreign Intelligence Surveillance Court (FISC) (δικαστήριο δυνάμει του νόμου FISA, Ηνωμένες Πολιτείες). Ενώ για την «παραδοσιακή» παρακολούθηση η οποία πραγματοποιείται δυνάμει άλλων διατάξεων του νόμου FISA απαιτείται να αποδειχθεί ότι υπάρχει «αποχρώσα αιτία» υπονοιών ότι τα πρόσωπα που τελούν υπό παρακολούθηση ανήκουν σε ξένη δύναμη ή είναι πράκτορες ξένης δύναμης, οι δραστηριότητες παρακολουθήσεως δυνάμει του άρθρου 702 του νόμου FISA δεν προϋποθέτουν την απόδειξη τέτοιας «αποχρώσας αιτίας» ούτε την έγκριση, από το FISC, της στοχεύσεως συγκεκριμένων προσώπων. Επιπλέον, πάντοτε σύμφωνα με τις διαπιστώσεις του αιτούντος δικαστηρίου, οι διαδικασίες ελαχιστοποιήσεως δεν εφαρμόζονται στους μη Αμερικανούς πολίτες που βρίσκονται εκτός των Ηνωμένων Πολιτειών.

57.      Στην πράξη, άπαξ και εγκριθεί η άδεια από το FISC, η NSA αποστέλλει σε εγκατεστημένους στις Ηνωμένες Πολιτείες παρόχους υπηρεσιών ηλεκτρονικών επικοινωνιών οδηγίες οι οποίες περιέχουν κριτήρια αναζητήσεως, αποκαλούμενα «επιλογείς», που συνδέονται με πρόσωπα-στόχους (όπως αριθμούς τηλεφώνου ή διευθύνσεις ηλεκτρονικού ταχυδρομείου). Οι εν λόγω πάροχοι υποχρεούνται στο εξής να διαβιβάζουν στην NSA τα δεδομένα τα οποία αντιστοιχούν στους επιλογείς και, παράλληλα, οφείλουν να τηρούν το απόρρητο όσον αφορά τις οδηγίες που τους απευθύνονται. Οι πάροχοι αυτοί έχουν το δικαίωμα να υποβάλουν ενώπιον του FISC αίτημα τροποποίησης ή κατάργησης μιας οδηγίας της NSA. Η απόφαση του FISC δύναται να προσβληθεί με έφεση ενώπιον του Foreign Intelligence Surveillance Court of Review (FISCR) (δευτεροβάθμιου δικαστηρίου δυνάμει του νόμου FISA, Ηνωμένες Πολιτείες).

58.      Το High Court (ανώτερο δικαστήριο) διαπίστωσε ότι το άρθρο 702 του νόμου FISA χρησιμεύει ως νομική βάση για τα προγράμματα PRISM και Upstream.

59.      Στο πλαίσιο του προγράμματος PRISM, οι πάροχοι υπηρεσιών ηλεκτρονικών επικοινωνιών υποχρεούνται να θέτουν στη διάθεση της NSA όλες τις επικοινωνίες που «προέρχονται από» ή «απευθύνονται προς» τον επιλογέα τον οποίο έχει προσδιορίσει η NSA. Ορισμένες από αυτές τις επικοινωνίες διαβιβάζονται στο FBI και στη Central Intelligence Agency (CIA) (Κεντρική Υπηρεσία Πληροφοριών, Ηνωμένες Πολιτείες). Το 2015, 94 386 άτομα βρίσκονταν υπό παρακολούθηση ενώ το 2011, στο πλαίσιο του προγράμματος αυτού, η Κυβέρνηση των Ηνωμένων Πολιτειών εξασφάλισε πρόσβαση σε περισσότερες από 250 εκατομμύρια επικοινωνίες.

60.      Το πρόγραμμα Upstream βασίζεται στην υποχρεωτική συνδρομή των επιχειρήσεων που εκμεταλλεύονται τον «κορμό» -δηλαδή το δίκτυο καλωδίων, διακοπτών και δρομολογητών- από όπου διέρχονται οι τηλεφωνικές επικοινωνίες και οι διαδικτυακές επικοινωνίες. Οι επιχειρήσεις αυτές είναι αναγκασμένες να επιτρέπουν στην NSA να αντιγράφει και να φιλτράρει τις ροές διαδικτυακής κίνησης προκειμένου να συγκεντρώνει επικοινωνίες οι οποίες «προέρχονται από», «απευθύνονται προς» ή «αφορούν» κάποιον επιλογέα που μνημονεύεται σε οδηγία της εν λόγω Υπηρεσίας. Ως επικοινωνίες «που αφορούν» επιλογέα νοούνται εκείνες στις οποίες γίνεται αναφορά στον συγκεκριμένο επιλογέα, χωρίς να συμμετέχει, κατ’ ανάγκη, στην επικοινωνία ο μη Αμερικανός πολίτης που συνδέεται με τον επιλογέα. Μολονότι από τη γνωμοδότηση του FISC της 26ης Απριλίου 2017 προκύπτει ότι, από την ημερομηνία αυτή κι εντεύθεν, η Αμερικανική Κυβέρνηση ούτε συλλέγει ούτε αποκτά πλέον πρόσβαση σε επικοινωνίες «που αφορούν» επιλογέα, εντούτοις από τη γνωμοδότηση αυτή δεν συνάγεται ότι η NSA έπαυσε να αντιγράφει και να φιλτράρει τις ροές επικοινωνιών που διέρχονται από το δικό της σύστημα παρακολουθήσεως. Έτσι, βάσει του προγράμματος Upstream, η NSA έχει, κατά τα φαινόμενα, πρόσβαση τόσο στα μεταδεδομένα όσο και στο περιεχόμενο των επικοινωνιών. Από το 2011 κι έπειτα, η NSA φέρεται να έχει συλλέξει, στο πλαίσιο του προγράμματος Upstream, περίπου 26,5 εκατομμύρια επικοινωνίες κατ’ έτος, αριθμός ο οποίος αντιπροσωπεύει, ωστόσο, μικρό μόνο μέρος των επικοινωνιών που υπόκεινται στη διαδικασία φιλτραρίσματος στο πλαίσιο του προγράμματος αυτού.

61.      Εξάλλου, σύμφωνα με τις διαπιστώσεις του High Court (ανωτέρου δικαστηρίου), το E.O. 12333 επιτρέπει την παρακολούθηση των ηλεκτρονικών επικοινωνιών εκτός της επικράτειας των Ηνωμένων Πολιτειών καθόσον, με σκοπό την εξασφάλιση πληροφοριών από την αλλοδαπή, παρέχει δυνατότητα προσβάσεως είτε σε δεδομένα «υπό διαμετακόμιση» προς το έδαφος των Ηνωμένων Πολιτειών είτε σε δεδομένα που «διέρχονται» από αυτό χωρίς να προορίζονται για επεξεργασία εκεί, καθώς και δυνατότητα συλλογής και διατηρήσεως των ως άνω δεδομένων. Το E.O. 12333 ορίζει ως «πληροφορίες από την αλλοδαπή» όσες σχετίζονται με τις δυνατότητες, προθέσεις ή δραστηριότητες ξένων κυβερνήσεων, οργανώσεων ή προσώπων (17).

62.      Κατά το αιτούν δικαστήριο, η NSA έχει, δυνάμει του E.O. 12333, εξουσία πρόσβασης στα υποβρύχια καλώδια του Ατλαντικού Ωκεανού μέσω των οποίων τα δεδομένα διαβιβάζονται από την Ένωση στις Ηνωμένες Πολιτείες, προτού τα δεδομένα αυτά να φθάσουν στις Ηνωμένες Πολιτείες και, ως εκ τούτου, να υπόκεινται στις διατάξεις του νόμου FISA. Ωστόσο, δεν υφίσταται κανένα αποδεικτικό στοιχείο ότι έχει τεθεί σε εφαρμογή οποιοδήποτε τέτοιο πρόγραμμα δυνάμει του προαναφερθέντος προεδρικού διατάγματος.

63.      Μολονότι το E.O. 12333 προβλέπει περιορισμούς όσον αφορά τη συλλογή, τη διατήρηση και τη διάδοση πληροφοριών, οι περιορισμοί αυτοί δεν ισχύουν για μη Αμερικανούς πολίτες. Αυτοί απολαύουν μόνον των εγγυήσεων που περιλαμβάνονται στην Presidential Policy Directive 28 (προεδρική οδηγία πολιτικής 28, στο εξής: PPD 28), η οποία έχει εφαρμογή σε όλες τις δραστηριότητες συλλογής και χρήσεως πληροφοριών από την αλλοδαπή με ηλεκτρομαγνητικά μέσα. Η PPD 28 ορίζει ότι ο σεβασμός της ιδιωτικής ζωής αποτελεί αναπόσπαστο μέρος των εκτιμήσεων που πρέπει να λαμβάνονται υπόψη κατά τον προγραμματισμό των δραστηριοτήτων αυτών, ότι η συλλογή πρέπει να έχει ως μοναδικό σκοπό την απόκτηση πληροφοριών από την αλλοδαπή και πληροφοριών για σκοπούς αντικατασκοπείας και ότι οι εν λόγω δραστηριότητες πρέπει να είναι «όσο το δυνατόν πιο στοχευμένες».

64.      Κατά το αιτούν δικαστήριο, οι δραστηριότητες της NSA βάσει του E.O. 12333, το οποίο μπορεί να τροποποιηθεί ή να ανακληθεί ανά πάσα στιγμή από τον Πρόεδρο των Ηνωμένων Πολιτειών, δεν ρυθμίζονται από τον νόμο, δεν υπόκεινται σε δικαστικό έλεγχο και δεν μπορούν να προσβληθούν με κανένα ένδικο βοήθημα.

65.      Βάσει των διαπιστώσεων αυτών, το αιτούν δικαστήριο εκτιμά ότι οι Ηνωμένες Πολιτείες προβαίνουν σε μαζική και χωρίς διάκριση επεξεργασία δεδομένων προσωπικού χαρακτήρα, η οποία ενέχει, για τα υποκείμενα των δεδομένων, κίνδυνο προσβολής των δικαιωμάτων που αντλούν από τα άρθρα 7 και 8 του Χάρτη.

66.      Επιπλέον, το αιτούν δικαστήριο επισημαίνει ότι οι πολίτες της Ένωσης δεν έχουν πρόσβαση στα ίδια μέσα ένδικης προστασίας κατά της παράνομης επεξεργασίας των δεδομένων τους προσωπικού χαρακτήρα από τις αμερικανικές αρχές, όπως έχουν οι Αμερικανοί υπήκοοι. Η τέταρτη τροποποίηση του Συντάγματος των Ηνωμένων Πολιτειών, η οποία αποτελεί τη σημαντικότερη προστασία κατά της παράνομης παρακολουθήσεως, δεν ισχύει για τους πολίτες της Ένωσης που δεν έχουν ουσιώδη εκούσιο δεσμό με τις Ηνωμένες Πολιτείες. Παρότι διαθέτουν ορισμένα άλλα μέσα έννομης προστασίας, ωστόσο αυτά προσκρούουν σε σημαντικά εμπόδια.

67.      Ειδικότερα, σύμφωνα με το άρθρο ΙΙΙ του Συντάγματος των Ηνωμένων Πολιτειών η άσκηση οποιασδήποτε προσφυγής ενώπιον των ομοσπονδιακών δικαστηρίων εξαρτάται από τη στοιχειοθέτηση από το ενδιαφερόμενο πρόσωπο της ενεργητικής νομιμοποιήσεως του (standing). Η ενεργητική νομιμοποίηση προϋποθέτει, μεταξύ άλλων, ότι ο ενδιαφερόμενος αποδεικνύει ότι υφίσταται πραγματική ζημία η οποία πρέπει να είναι, αφενός, συγκεκριμένη και εξατομικευμένη και, αφετέρου, ενεστώσα ή επικείμενη. Παραπέμποντας, μεταξύ άλλων, στην απόφαση του Supreme Court of the United States (Ανωτάτου Δικαστηρίου των Ηνωμένων Πολιτειών), Clapper κατά Amnesty International US (18), το αιτούν δικαστήριο εκτιμά ότι στην πράξη είναι εξαιρετικά δύσκολο να πληρούται η προϋπόθεση αυτή, λαμβανομένου ιδίως υπόψη του ότι δεν υφίσταται υποχρέωση ενημερώσεως των υποκειμένων των δεδομένων για τα μέτρα παρακολουθήσεως που λαμβάνονται εις βάρος τους (19). Επιπλέον, για την άσκηση ορισμένων άλλων μέσων έννομης προστασίας που έχουν στη διάθεσή τους οι πολίτες της Ένωσης απαιτείται, επιπλέον, να πληρούνται και άλλες περιοριστικές προϋποθέσεις, όπως η απόδειξη υπάρξεως περιουσιακής ζημίας. Το προνόμιο της ετεροδικίας που αναγνωρίζεται στις Υπηρεσίες Πληροφοριών και η διαβάθμιση των σχετικών πληροφοριών αποτελούν επίσης εμπόδιο στην άσκηση ορισμένων μέσων έννομης προστασίας (20).

68.      Επιπλέον, το High Court (ανώτερο δικαστήριο) αναφέρεται σε διάφορους μηχανισμούς ελέγχου και εποπτείας των δραστηριοτήτων των Υπηρεσιών Πληροφοριών.

69.      Μεταξύ αυτών περιλαμβάνονται, αφενός, ο μηχανισμός της ετήσιας πιστοποιήσεως από το FISC των προγραμμάτων που στηρίζονται στο άρθρο 702 του νόμου FISA, στο πλαίσιο του οποίου πάντως το FISC δεν εγκρίνει τους μεμονωμένους επιλογείς. Εξάλλου, η συλλογή πληροφοριών από την αλλοδαπή δυνάμει του E.O. 12333 δεν υπόκειται σε προηγούμενο δικαστικό έλεγχο.

70.      Αφετέρου, το αιτούν δικαστήριο κάνει λόγο για διάφορους μηχανισμούς εξωδικαστικής εποπτείας των δραστηριοτήτων συγκέντρωσης πληροφοριών. Το αιτούν δικαστήριο αναφέρει, ειδικότερα, τον ρόλο των Inspectors General (Γενικών Επιθεωρητών, Ηνωμένες Πολιτείες) οι οποίοι είναι επιφορτισμένοι, εντός των διαφόρων Υπηρεσιών Πληροφοριών με την εποπτεία των δραστηριοτήτων παρακολουθήσεως. Επιπλέον, η Privacy and Civil Liberties Oversight Board (PCLOB) (Επιτροπή Εποπτείας της Ιδιωτικής Ζωής και των Ατομικών Ελευθεριών, ΗΠΑ), ένα ανεξάρτητο όργανο που εντάσσεται στην εκτελεστική εξουσία, λαμβάνει τις εκθέσεις των προσώπων τα οποία ορίζονται, σε κάθε Υπηρεσία, ως υπάλληλοι αρμόδιοι για την προστασία των ατομικών ελευθεριών ή της ιδιωτικής ζωής (civil liberties or privacy officers). Η PCLOB συντάσσει τακτικά εκθέσεις προς τις κοινοβουλευτικές επιτροπές και τον Πρόεδρο. Οι οικείες Υπηρεσίες πρέπει να επισημαίνουν περιστατικά σχετικά με τη μη τήρηση των κανόνων και των διαδικασιών που ρυθμίζουν τη συλλογή πληροφοριών από την αλλοδαπή, μεταξύ άλλων, στον DNI [Διευθυντή της Εθνικής Υπηρεσίας Πληροφοριών]. Τα περιστατικά αυτά κοινοποιούνται και στο FISC. Το Κογκρέσο των ΗΠΑ, μέσω των επιτροπών πληροφοριών της Βουλής των Αντιπροσώπων και της Γερουσίας, είναι επίσης υπεύθυνο για τον έλεγχο των δραστηριοτήτων σχετικά με τις πληροφορίες από την αλλοδαπή.

71.      Ωστόσο, το High Court (ανώτερο δικαστήριο) υπογραμμίζει τη θεμελιώδη διαφορά μεταξύ, αφενός, των κανόνων που αποσκοπούν να διασφαλίσουν ότι τα δεδομένα αποκτώνται νομίμως και ότι, από την στιγμή που αποκτηθούν, δεν χρησιμοποιούνται καταχρηστικώς, και, αφετέρου, των διαθέσιμων μέσων έννομης προστασίας σε περίπτωση παράβασης των κανόνων αυτών. Η προστασία των θεμελιωδών δικαιωμάτων των υποκειμένων των δεδομένων κατοχυρώνεται μόνον εφόσον υφίστανται μέσα έννομης προστασίας που να τους παρέχουν πραγματικά τη δυνατότητα να προβάλουν τα δικαιώματά τους σε περίπτωση μη τηρήσεως των εν λόγω κανόνων.

72.      Υπό τις συνθήκες αυτές, το αιτούν δικαστήριο εκτιμά ότι είναι βάσιμα τα επιχειρήματα τα οποία προβάλλει ο ΕΠΔ προς στήριξη της άποψης ότι οι περιορισμοί που επιβάλλει το αμερικανικό δίκαιο στο δικαίωμα προσφυγής των προσώπων των οποίων τα δεδομένα διαβιβάζονται από την Ένωση δεν σέβονται το βασικό περιεχόμενο του δικαιώματος που κατοχυρώνεται στο άρθρο 47 του Χάρτη και ότι, εν πάση περιπτώσει, οι περιορισμοί αυτοί συνιστούν δυσανάλογες επεμβάσεις στην άσκηση του συγκεκριμένου δικαιώματος.

73.      Κατά το High Court (ανώτερο δικαστήριο), η ως άνω εκτίμηση δεν τίθεται εν αμφιβόλω επειδή η Κυβέρνηση των Ηνωμένων Πολιτειών έθεσε σε εφαρμογή τον μηχανισμό διαμεσολαβήσεως που περιγράφεται στην απόφαση για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής». Αφού τόνισε ότι οι πολίτες της Ένωσης οι οποίοι ευλόγως θεωρούν ότι τα δεδομένα τους έχουν διαβιβαστεί δυνάμει των αποφάσεων ΤΡΠέχουν πρόσβαση στον μηχανισμό αυτόν (21), το αιτούν δικαστήριο παρατήρησε ότι ο Διαμεσολαβητής δεν είναι δικαστήριο που πληροί τις απαιτήσεις του άρθρου 47 του Χάρτη και, ειδικότερα, δεν είναι ανεξάρτητος από την εκτελεστική εξουσία (22). Το αιτούν δικαστήριο διατηρεί επίσης αμφιβολίες ως προς το κατά πόσον η παρέμβαση του Διαμεσολαβητή, του οποίου οι αποφάσεις δεν υπόκεινται σε ένδικη προσφυγή, συνιστά αποτελεσματικό μέσο έννομης προστασίας. Συγκεκριμένα, η παρέμβαση αυτή δεν παρέχει στα πρόσωπα των οποίων τα προσωπικά δεδομένα έχουν παρανόμως συλλεγεί, επεξεργαστεί ή κοινοποιηθεί ούτε τη δυνατότητα να λάβουν αποζημίωση ούτε τη δυνατότητα να εξασφαλίσουν, μέσω της λήψης ασφαλιστικών μέτρων, την παύση των παράνομων πράξεων, δεδομένου ότι ο Διαμεσολαβητής δεν μπορεί ούτε να επιβεβαιώσει ούτε να διαψεύσει ότι έχει εφαρμοστεί μέτρο ηλεκτρονικής παρακολουθήσεως στη συγκεκριμένη υπόθεση που υποβάλλεται στην κρίση του.

74.      Αφού εξέφρασε τις επιφυλάξεις του ως προς την ουσιαστική ισοδυναμία των προβλεπόμενων από το αμερικανικό δίκαιο εγγυήσεων με τις απαιτήσεις που απορρέουν από τα άρθρα 7, 8 και 47 του Χάρτη, το αιτούν δικαστήριο διερωτήθηκε μήπως οι προβλεπόμενες στις αποφάσεις ΤΡΠτυποποιημένες συμβατικές ρήτρες –οι οποίες, ως εκ της φύσεώς τους, δεν δεσμεύουν τις αμερικανικές αρχές– είναι παρά ταύτα ικανές να διασφαλίσουν την προστασία των θεμελιωδών δικαιωμάτων των υποκειμένων των δεδομένων. Το αιτούν δικαστήριο κατέληξε στο συμπέρασμα ότι συμμερίζεται τις αμφιβολίες του ΕΠΔ όσον αφορά το κύρος των αποφάσεων αυτών.

75.      Το αιτούν δικαστήριο εκτιμά, ειδικότερα, επ’ αυτού ότι το άρθρο 28, παράγραφος 3, της οδηγίας 95/46, στο οποίο παραπέμπει το άρθρο 4 της αποφάσεως 2010/87, δεν αρκεί για να άρει τις σχετικές αμφιβολίες στον βαθμό που αναγνωρίζει στις αρχές ελέγχου την εξουσία να αναστέλλουν ή να απαγορεύουν τις διαβιβάσεις που έχουν ως νομική βάση τις προβλεπόμενες στην εν λόγω απόφαση τυποποιημένες συμβατικές ρήτρες. Το αιτούν δικαστήριο, διερωτάται αν, υπό το πρίσμα της αιτιολογικής σκέψεως 11 της αποφάσεως 2010/87, η εξουσία αυτή, η οποία κατά την κρίση του παρέχει απλώς διακριτική ευχέρεια, μπορεί να ασκηθεί όταν οι διαπιστωθείσες ελλείψεις δεν αφορούν συγκεκριμένη και εξαιρετική περίπτωση, αλλά έχουν γενικό και συστημικό χαρακτήρα (23). Κατά την εκτίμηση του αιτούντος δικαστηρίου, ο κίνδυνος να εκδοθούν αποκλίνουσες αποφάσεις στα διάφορα κράτη μέλη αποτελεί επίσης στοιχείο το οποίο ενδεχομένως δεν συνηγορεί υπέρ της αναγνωρίσεως στις αρχές ελέγχου της εξουσίας να διαπιστώνουν την ύπαρξη τέτοιων ελλείψεων.

76.      Υπό τις συνθήκες αυτές, το High Court (ανώτερο δικαστήριο) κατέληξε, με απόφαση της 4ης Μαΐου 2018 (24), η οποία περιήλθε στο Δικαστήριο στις 9 Μαΐου 2018, ότι έπρεπε να αναστείλει την ενώπιόν του διαδικασία και να υποβάλει στο Δικαστήριο τα ακόλουθα προδικαστικά ερωτήματα:

«1)      Σε περίπτωση που δεδομένα προσωπικού χαρακτήρα διαβιβάζονται από ιδιωτική εταιρία εγκατεστημένη σε κράτος μέλος της [Ένωσης] προς άλλη ιδιωτική εταιρία σε τρίτη χώρα για εμπορικούς σκοπούς, δυνάμει της αποφάσεως [ΤΡΠ], και υπόκεινται ενδεχομένως σε περαιτέρω επεξεργασία από τις αρχές της τρίτης χώρας για σκοπούς εθνικής ασφάλειας, αλλά και επιβολής του νόμου και διαχειρίσεως των εξωτερικών της υποθέσεων, τυγχάνει εφαρμογής το δίκαιο της Ένωσης (περιλαμβανομένου του Χάρτη) ανεξαρτήτως των διατάξεων του άρθρου 4, παράγραφος 2, ΣΕΕ, που αφορά την εθνική ασφάλεια, και του άρθρου 3, παράγραφος 2, πρώτη περίπτωση, της οδηγίας [95/46], που αφορά τη δημόσια ασφάλεια, την εθνική άμυνα και την ασφάλεια του κράτους;

2)      (α)      Για να διαπιστωθεί εάν υφίσταται προσβολή των δικαιωμάτων ενός φυσικού προσώπου λόγω της διαβιβάσεως δεδομένων δυνάμει της αποφάσεως [ΤΡΠ] από την [Ένωση] προς τρίτη χώρα όπου ενδεχομένως τα δεδομένα θα υποστούν περαιτέρω επεξεργασία για σκοπούς εθνικής ασφάλειας, ποιο είναι, για τους σκοπούς της οδηγίας [95/46], το σημείο αναφοράς για την απαιτούμενη σύγκριση:

i)      ο Χάρτης, η ΣΕΕ, η ΣΛΕΕ, η οδηγία [95/46], η [Ευρωπαϊκή Σύμβαση για την Προάσπιση των Δικαιωμάτων του Ανθρώπου και των Θεμελιωδών Ελευθεριών που υπογράφτηκε στη Ρώμη στις 4 Νοεμβρίου 1950], (ή οποιαδήποτε άλλη διάταξη του δικαίου της [Ένωσης]), ή

ii)      το εθνικό δίκαιο ενός ή περισσοτέρων κρατών μελών;

(β)      Αν το σημείο αναφοράς είναι το ii, θα πρέπει να συνεκτιμηθούν στο πλαίσιο της συγκρίσεως και οι πρακτικές οι οποίες εφαρμόζονται, σε σχέση με την εθνική ασφάλεια, σε ένα ή περισσότερα κράτη μέλη;

3)      Κατά την αξιολόγηση του κατά πόσον μια τρίτη χώρα διασφαλίζει το επίπεδο προστασίας το οποίο απαιτείται από το δίκαιο της Ένωσης για τα δεδομένα προσωπικού χαρακτήρα που διαβιβάζονται στη χώρα αυτή για τους σκοπούς του άρθρου 26 της οδηγίας [95/46], το επίπεδο προστασίας στην τρίτη χώρα πρέπει να αξιολογηθεί με βάση:

(α)      τους εφαρμοστέους κανόνες στην τρίτη χώρα, όπως απορρέουν από το εθνικό δίκαιο ή από τις διεθνείς δεσμεύσεις, και τις πρακτικές που έχουν σχεδιαστεί προκειμένου να διασφαλίζεται η συμμόρφωση με τους κανόνες αυτούς, περιλαμβανομένων των επαγγελματικών κανόνων και μέτρων ασφαλείας που τηρούνται στην τρίτη χώρα,

ή

(β)      τους κανόνες στους οποίους αναφέρεται το στοιχείο αʹ, σε συνδυασμό με τυχόν διοικητικές και κανονιστικές πρακτικές καθώς και πρακτικές συμμόρφωσης, εγγυήσεις, διαδικασίες, πρωτόκολλα, εποπτικούς μηχανισμούς και εξωδικαστικά μέσα έννομης προστασίας που υφίστανται στην τρίτη χώρα;

4)      Λαμβανομένων υπόψη των πραγματικών περιστατικών που διαπίστωσε το High Court [(ανώτερο δικαστήριο)] αναφορικά με το δίκαιο των Ηνωμένων Πολιτειών, υφίσταται προσβολή των δικαιωμάτων των φυσικών προσώπων κατά τα άρθρα 7 ή/και 8 του Χάρτη, σε περίπτωση που διαβιβάζονται δεδομένα προσωπικού χαρακτήρα από την [Ένωση] προς τις Ηνωμένες Πολιτείες δυνάμει της αποφάσεως [ΤΡΠ];

5)      Λαμβανομένων υπόψη των πραγματικών περιστατικών που διαπίστωσε το High Court [(ανώτερο δικαστήριο)] αναφορικά με το δίκαιο των Ηνωμένων Πολιτειών, σε περίπτωση που τα δεδομένα προσωπικού χαρακτήρα διαβιβάζονται από την [Ένωση] προς τις Ηνωμένες Πολιτείες δυνάμει της αποφάσεως [ΤΡΠ]:

(α)      το επίπεδο προστασίας που παρέχεται από τις Ηνωμένες Πολιτείες σέβεται το βασικό περιεχόμενο του δικαιώματος προσφυγής ενός φυσικού προσώπου σε περίπτωση προσβολής των δικαιωμάτων του/της περί προστασίας δεδομένων, όπως κατοχυρώνεται στο άρθρο 47 του Χάρτη;

Σε περίπτωση καταφατικής απαντήσεως στο πέμπτο ερώτημα στοιχείο αʹ:

(β)      Είναι οι περιορισμοί που επιβάλλονται από το δίκαιο των Ηνωμένων Πολιτειών στο δικαίωμα δικαστικής προσφυγής ενός φυσικού προσώπου σε πλαίσιο που άπτεται της εθνικής ασφάλειας των Ηνωμένων Πολιτειών, αναλογικοί κατά την έννοια του άρθρου 52 του Χάρτη και μη υπερβαίνοντες το μέτρο του αναγκαίου για σκοπούς εθνικής ασφάλειας σε μια δημοκρατική κοινωνία;

6)      (α)      Ποιο είναι το απαιτούμενο επίπεδο προστασίας σε σχέση με προσωπικά δεδομένα τα οποία διαβιβάζονται προς τρίτη χώρα δυνάμει τυποποιημένων συμβατικών ρητρών που συνάπτονται σύμφωνα με απόφαση της Επιτροπής κατά την έννοια του άρθρου 26, παράγραφος 4, [της οδηγίας 95/46], λαμβανομένων υπόψη των διατάξεων της οδηγίας [95/46], και ειδικότερα των άρθρων 25 και 26, υπό το πρίσμα του Χάρτη;

(β)      Ποια είναι τα στοιχεία που πρέπει να λαμβάνονται υπόψη όταν αξιολογείται κατά πόσον το επίπεδο προστασίας δεδομένων που διαβιβάζονται προς τρίτη χώρα δυνάμει της αποφάσεως [ΤΡΠ] πληροί τις απαιτήσεις της οδηγίας [95/46] και του Χάρτη;

7)      Το γεγονός ότι οι τυποποιημένες συμβατικές ρήτρες εφαρμόζονται μεταξύ του εξαγωγέα δεδομένων και του εισαγωγέα δεδομένων και δεν είναι δεσμευτικές για τις εθνικές αρχές τρίτης χώρας, η οποία ενδέχεται να απαιτήσει από εισαγωγέα δεδομένων να θέσει τα δεδομένα που διαβιβάστηκαν δυνάμει των προβλεπόμενων στην απόφαση [ΤΡΠ] ρητρών στη διάθεση των υπηρεσιών ασφαλείας της, προκειμένου να υποστούν περαιτέρω επεξεργασία, σημαίνει ότι αποκλείεται να προκύπτουν από τις ρήτρες επαρκείς εγγυήσεις κατά την έννοια του άρθρου 26, παράγραφος 2, της οδηγίας [95/46];

8)      Σε περίπτωση που εισαγωγέας δεδομένων από τρίτη χώρα υπόκειται σε νομικό πλαίσιο παρακολουθήσεως, το οποίο κατά την άποψη μιας αρχής προστασίας δεδομένων συγκρούεται με τις [τυποποιημένες ρήτρες προστασίας] ή με τα άρθρα 25 και 26 της οδηγίας [95/46] ή/και με τον Χάρτη, είναι η αντίστοιχη αρχή προστασίας δεδομένων υποχρεωμένη να ασκήσει τις εξουσίες της από το άρθρο 28, παράγραφος 3, της οδηγίας [95/46] για να αναστείλει τις ροές δεδομένων, ή ασκούνται οι εξουσίες αυτές μόνο σε εξαιρετικές περιπτώσεις, λαμβανομένης υπόψη της αιτιολογικής σκέψης 11 της αποφάσεως [ΤΡΠ], ή μήπως μπορεί η αρχή προστασίας δεδομένων να στηριχθεί στη διακριτική της ευχέρεια και να μην αναστείλει τις ροές δεδομένων;

9)      (α)      Για τους σκοπούς του άρθρου 25, παράγραφος 6, της οδηγίας [95/46], συνιστά η απόφαση [ΑΠΙΖ] γενικής ισχύος διαπίστωση, δεσμευτική τόσο για τις αρχές προστασίας δεδομένων όσο και για τα δικαστήρια των κρατών μελών, από την οποία απορρέει ότι οι Ηνωμένες Πολιτείες διασφαλίζουν ικανοποιητικό επίπεδο προστασίας κατά την έννοια του άρθρου 25, παράγραφος 2, της οδηγίας [95/46], λόγω του εθνικού τους δικαίου ή των διεθνών δεσμεύσεων που έχουν αναλάβει;

(β)      Σε περίπτωση αρνητικής απαντήσεως, ασκεί τυχόν επιρροή η απόφαση [ΑΠΙΖ] στην αξιολόγηση της επάρκειας των εγγυήσεων οι οποίες παρέχονται σε σχέση με τα δεδομένα που διαβιβάζονται προς τις Ηνωμένες Πολιτείες δυνάμει της αποφάσεως [ΤΡΠ];;

(10)      Λαμβανομένων υπόψη των διαπιστώσεων του High Court [(ανώτερου δικαστηρίου)] σχετικά με το δίκαιο των Ηνωμένων Πολιτειών, διασφαλίζει η θέσπιση του μηχανισμού του Διαμεσολαβητή της ασπίδας προστασίας της ιδιωτικής ζωής σύμφωνα με το παράρτημα Α του παραρτήματος ΙΙΙ της αποφάσεως [ΑΠΙΖ], σε συνδυασμό με το υπάρχον καθεστώς στις Ηνωμένες Πολιτείες, ότι οι Ηνωμένες Πολιτείες παρέχουν συμβατή με το άρθρο 47 του Χάρτη έννομη προστασία στους ενδιαφερομένους των οποίων τα δεδομένα προσωπικού χαρακτήρα διαβιβάστηκαν προς τις Ηνωμένες Πολιτείες δυνάμει της αποφάσεως [ΤΡΠ];

(11)      Αντιβαίνει η απόφαση [ΤΡΠ] στα άρθρα 7, 8 και 47 του Χάρτη;»

77.      Ο ΕΠΔ, η Facebook Ireland, ο M. Schrems, η Κυβέρνηση των Ηνωμένων Πολιτειών, το EPIC, η BSA, η Digitaleurope, η Ιρλανδία, η Βελγική, η Τσεχική, η Γερμανική, η Ολλανδική, η Αυστριακή, η Πολωνική, η Πορτογαλική Κυβέρνηση και η Κυβέρνηση του Ηνωμένου Βασιλείου, το Ευρωπαϊκό Κοινοβούλιο καθώς και η Επιτροπή κατέθεσαν γραπτές παρατηρήσεις ενώπιον του Δικαστηρίου. Ο ΕΠΔ, η Facebook Ireland, ο M. Schrems, η Κυβέρνηση των Ηνωμένων Πολιτειών, το EPIC, η BSA, η Digitaleurope, η Ιρλανδία, η Γερμανική, η Γαλλική, η Ολλανδική, η Αυστριακή Κυβέρνηση και η Κυβέρνηση του Ηνωμένου Βασιλείου, το Κοινοβούλιο, η Επιτροπή καθώς και Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (European Data Protection Board, ΕΣΠΔ) εκπροσωπήθηκαν στην επ’ ακροατηρίου συζήτηση της 9ης Ιουλίου 2019.

IV.    Ανάλυση

1.      Προκαταρκτικές παρατηρήσεις

78.      Αφότου το Δικαστήριο κήρυξε, με την απόφαση Schrems, ανίσχυρη την απόφαση περί «ασφαλούς λιμένα», η διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τις Ηνωμένες Πολιτείες συνεχίστηκε, αλλά στηριζόμενη σε άλλες νομικές βάσεις. Ειδικότερα, οι εταιρίες-εξαγωγείς δεδομένων στηρίχθηκαν σε συμβάσεις με τους εισαγωγείς των δεδομένων, οι οποίες περιλαμβάνουν τυποποιημένες ρήτρες καταρτισθείσες από την Επιτροπή. Οι ρήτρες αυτές χρησιμεύουν ως νομική βάση και για τη διαβίβαση προς πολλές άλλες τρίτες χώρες για τις οποίες η Επιτροπή δεν έχει εκδώσει απόφαση επάρκειας (25). Η απόφαση για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής» επιτρέπει πλέον σε όσες επιχειρήσεις επιβεβαιώνουν, μέσω αυτοπιστοποιήσεως, ότι προσχωρούν στις αρχές που διατυπώνονται στην απόφαση αυτή να διαβιβάζουν δεδομένα προσωπικού χαρακτήρα προς τις Ηνωμένες Πολιτείες χωρίς άλλες διατυπώσεις.

79.      Όπως ρητώς αναφέρεται στη διάταξη περί παραπομπής και όπως υπογράμμισαν η BSA, η Digitaleurope, η Ιρλανδία, η Αυστριακή και η Γαλλική Κυβέρνηση, το Κοινοβούλιο καθώς και η Επιτροπή, το μοναδικό ζήτημα στη διαφορά της κύριας δίκης που εκκρεμεί ενώπιον του High Court (ανωτέρου δικαστηρίου) είναι να κριθεί αν είναι έγκυρη η απόφαση με την οποία η Επιτροπή θέσπισε τις τυποποιημένες συμβατικές ρήτρες που προβάλλονται ως βάση για την πραγματοποίηση των διαβιβάσεων τις οποίες καταγγέλλει ο M. Schrems, δηλαδή η απόφαση 2010/87 (26).

80.      Η παρούσα διαφορά ανάγεται σε καταγγελία ως προς την οποία ο ΕΠΔ ζήτησε από το αιτούν δικαστήριο να υποβάλει στο Δικαστήριο προδικαστικό ερώτημα σχετικά με το κύρος της αποφάσεως 2010/87. Κατά τα λεγόμενα του αιτούντος δικαστηρίου, η διαφορά της κύριας δίκης αφορά, επομένως, την άσκηση του μέσου έννομης προστασίας το οποίο όφειλαν να θεσπίσουν τα κράτη μέλη σύμφωνα με τα όσα διαλαμβάνονταν στη σκέψη 65 της αποφάσεως Schrems.

81.      Υπενθυμίζεται ότι το Δικαστήριο, στη σκέψη 63 της αποφάσεως εκείνης, έκρινε ότι οι αρχές ελέγχου οφείλουν να αντιμετωπίζουν με όλη την δέουσα επιμέλεια κάθε καταγγελία στο πλαίσιο της οποίας το υποκείμενο δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν ή θα μπορούσαν να διαβιβαστούν προς τρίτη χώρα για την οποία έχει εκδοθεί απόφαση επάρκειας αμφισβητεί τη συμβατότητα της αποφάσεως αυτής με τα θεμελιώδη δικαιώματα που κατοχυρώνονται στον Χάρτη. Κατά τη σκέψη 65 της αποφάσεως Schrems, σε περίπτωση που αρχή ελέγχου κρίνει βάσιμες τις αιτιάσεις οι οποίες προβλήθηκαν με την καταγγελία, η αρχή αυτή πρέπει να έχει, σύμφωνα με το άρθρο 28, παράγραφος 3, πρώτο εδάφιο, τρίτη περίπτωση, της οδηγίας 95/46 (στο οποίο αντιστοιχεί το άρθρο 58, παράγραφος 5, του ΓΚΠΔ), σε συνδυασμό με το άρθρο 8, παράγραφος 3, του Χάρτη, τη δυνατότητα να προσφύγει σε δικαστήριο. Ο εθνικός νομοθέτης υποχρεούται συναφώς να θεσπίσει μέσα έννομης προστασίας που να παρέχουν στην εθνική αρχή ελέγχου τη δυνατότητα να προβάλει τις προαναφερθείσες αιτιάσεις ενώπιον των εθνικών δικαστηρίων, ώστε αυτά, εφόσον συμμερίζονται τις αμφιβολίες της ως άνω αρχής, να υποβάλουν προδικαστικό ερώτημα σχετικά με το κύρος της επίμαχης αποφάσεως.

82.      Όπως και το αιτούν δικαστήριο, εκτιμώ ότι τα συμπεράσματα αυτά ισχύουν κατ’ αναλογίαν και στην περίπτωση κατά την οποία η αρχή ελέγχου, στο πλαίσιο υποβληθείσας ενώπιον της καταγγελίας, αμφισβητεί το κύρος όχι αποφάσεως επάρκειας, αλλά αποφάσεως με την οποία θεσπίζονται τυποποιημένες συμβατικές ρήτρες για τη διαβίβαση προσωπικών δεδομένων προς τρίτες χώρες, όπως η απόφαση 2010/87. Αντιθέτως προς όσα υποστήριξε η Γερμανική Κυβέρνηση, δεν έχει σημασία αν οι αμφιβολίες αυτές δημιουργήθηκαν λόγω των αιτιάσεων που έθεσε υπόψη της αρχής ελέγχου ο καταγγέλλων ή αν η αρχή αυτή αμφισβήτησε αυτοβούλως το κύρος της επίμαχης αποφάσεως. Συγκεκριμένα, οι απορρέουσες από το άρθρο 58, παράγραφος 5, του ΓΚΠΔ και από το άρθρο 8, παράγραφος 3, του Χάρτη απαιτήσεις, που αποτέλεσαν το έρεισμα της αιτιολογίας του Δικαστηρίου, ισχύουν όποια και αν είναι η νομική βάση της διαβιβάσεως την οποία αφορά η κατατεθείσα ενώπιον της αρχής ελέγχου καταγγελία και όποιοι και αν είναι οι λόγοι που οδήγησαν την εν λόγω αρχή να αμφισβητήσει το κύρος της οικείας αποφάσεως.

83.      Τούτου λεχθέντος, ο λόγος για τον οποίο ο ΕΠΔ ζήτησε από το αιτούν δικαστήριο να υποβάλει στο Δικαστήριο ερώτημα σχετικά με το κύρος της αποφάσεως 2010/87 είναι ότι κρίνει ότι η διευκρίνιση του ζητήματος αυτού από το Δικαστήριο είναι αναγκαία για την εξέταση της καταγγελίας με την οποία ο M. Schrems της ζητεί να ασκήσει την εξουσία που της παρείχε το άρθρο 28, παράγραφος 3, δεύτερη περίπτωση, της οδηγίας 95/46 –και της παρέχει πλέον το άρθρο 58, παράγραφος 2, στοιχείο στʹ, του ΓΚΠΔ– να αναστείλει τη διαβίβαση των προσωπικών δεδομένων που τον αφορούν από τη Facebook Ireland στη Facebook Inc.

84.      Επομένως, ενώ η διαφορά της κύριας δίκης αφορά αποκλειστικώς το  in abstracto κύρος της αποφάσεως 2010/87, η «υποκείμενη» διαδικασία που εκκρεμεί ενώπιον του ΕΠΔ αφορά την άσκηση, εκ μέρους του ΕΠΔ, της εξουσίας της να λάβει διορθωτικά μέτρα σε συγκεκριμένη περίπτωση. Προτείνω στο Δικαστήριο να εξετάσει τα υποβληθέντα ερωτήματα μόνο στον βαθμό που είναι αναγκαίο για να αποφανθεί επί του κύρους της αποφάσεως 2010/87, εφόσον αυτή η εξέταση αρκεί για να επιλύσει το αιτούν δικαστήριο την ενώπιόν του εκκρεμή διαφορά (27).

85.      Πριν από την εκτίμηση του κύρους της αποφάσεως αυτής, πρέπει να τεθούν εκποδών ορισμένες ενστάσεις που διατυπώθηκαν ως προς το παραδεκτό της αιτήσεως προδικαστικής αποφάσεως.

2.      Επί του παραδεκτού της προδικαστικής παραπομπής

86.      Το παραδεκτό της αιτήσεως προδικαστικής αποφάσεως αμφισβητήθηκε για διαφόρους λόγους, αφού υποστηρίχθηκε, ειδικότερα, ότι η οδηγία 95/46 στην οποία αναφέρονται τα προδικαστικά ερωτήματα δεν έχει εφαρμογή ratione temporis (ενότητα 1), ότι η διαδικασία ενώπιον του ΕΠΔ δεν είχε φθάσει σε αρκούντως προχωρημένο στάδιο ώστε να δικαιολογείται η υποβολή προδικαστικών ερωτημάτων (ενότητα 2) και ότι εξακολουθούν να υπάρχουν αβεβαιότητες ως προς το πραγματικό πλαίσιο που περιγράφεται από το αιτούν δικαστήριο (ενότητα 3).

87.      Θα απαντήσω σ’ αυτούς τους λόγους απαραδέκτου έχοντας κατά νου το τεκμήριο λυσιτέλειας το οποίο ισχύει υπέρ των ερωτημάτων που υποβάλλονται στο Δικαστήριο δυνάμει του άρθρου 267 ΣΛΕΕ. Κατά πάγια νομολογία, το Δικαστήριο μπορεί να απορρίψει αίτηση εθνικού δικαστηρίου για την έκδοση προδικαστικής αποφάσεως μόνον όταν προκύπτει προδήλως ότι η ζητούμενη ερμηνεία του δικαίου της Ένωσης ουδεμία σχέση έχει με το υποστατό ή με το αντικείμενο της διαφοράς της κύριας δίκης, όταν το πρόβλημα είναι υποθετικής φύσης ή ακόμη όταν το Δικαστήριο δεν έχει στη διάθεσή του τα πραγματικά και νομικά στοιχεία που είναι αναγκαία για να δώσει χρήσιμη απάντηση στα υποβαλλόμενα ερωτήματα (28).

1.      Επί της εφαρμογής ratione temporis της οδηγίας 95/46

88.      Η Facebook Ireland υποστηρίζει ότι τα προδικαστικά ερωτήματα είναι απαράδεκτα για τον λόγο ότι κάνουν αναφορά στην οδηγία 95/46, ενώ η οδηγία αυτή από τις 25 Μαΐου 2018 καταργήθηκε και αντικαταστάθηκε από την ΓΚΠΔ (29).

89.      Συμφωνώ με την άποψη ότι το κύρος της αποφάσεως 2010/87 πρέπει να εξεταστεί υπό το πρίσμα των διατάξεων του ΓΚΠΔ.

90.      Κατά το άρθρο 94, παράγραφος 2, του κανονισμού αυτού, «[ο]ι παραπομπές στην καταργούμενη οδηγία θεωρούνται παραπομπές [στον εν λόγω κανονισμό]». Εξ αυτού συνάγεται, κατά την άποψή μου, ότι η απόφαση 2010/87, καθόσον μνημονεύει ως νομική βάση το άρθρο 26, παράγραφος 4, της οδηγίας 95/46, πρέπει να νοηθεί ότι παραπέμπει στο άρθρο 46, παράγραφος 2, στοιχείο γʹ, του ΓΚΠΔ, το οποίο επαναλαμβάνει κατ’ ουσίαν το περιεχόμενο εκείνης της διατάξεως (30). Συνεπώς, οι εκτελεστικές αποφάσεις που έχει εκδώσει η Επιτροπή δυνάμει του άρθρου 26, παράγραφος 4, της οδηγίας 95/46, πριν από την έναρξη ισχύος του ΓΚΠΔ, πρέπει να ερμηνεύονται υπό το πρίσμα αυτού του κανονισμού. Υπό το πρίσμα του ίδιου κανονισμού πρέπει να εκτιμηθεί και το κύρος τους, όπου συντρέχει τέτοια περίπτωση.

91.      Το συμπέρασμα αυτό δεν αναιρείται από τη νομολογία κατά την οποία η νομιμότητα πράξεως της Ένωσης πρέπει να εκτιμάται σε συνάρτηση με τα πραγματικά και νομικά στοιχεία που υφίστανται κατά τον χρόνο εκδόσεως της πράξεως. Η νομολογία αυτή αφορά, πράγματι, την εξέταση του κύρους πράξεως της Ένωσης υπό το πρίσμα των κρίσιμων πραγματικών περιστάσεων που υφίστανται κατά τον χρόνο εκδόσεως αυτής (31) ή των διαδικαστικών κανόνων που ρυθμίζουν την έκδοση της (32). Αντιθέτως, το Δικαστήριο έχει επανειλημμένως εξετάσει το κύρος πράξεων του παράγωγου δικαίου υπό το πρίσμα υπέρτερων ουσιαστικών κανόνων δικαίου που τέθηκαν σε εφαρμογή μετά την έκδοση αυτών των πράξεων (33).

92.      Πάντως, η μνεία, στη διατύπωση των προδικαστικών ερωτημάτων, μιας πράξεως που δεν έχει πλέον εφαρμογή ratione temporis δικαιολογεί μεν την αναδιατύπωσή τους, δεν μπορεί όμως να συνεπάγεται το απαράδεκτο των ερωτημάτων αυτών (34). Όπως υποστήριξαν άλλωστε ο ΕΠΔ και ο M. Schrems, οι παραπομπές στην οδηγία 95/46 στη διατύπωση των προδικαστικών ερωτημάτων οφείλονται μάλλον στη χρονολογία κατά την οποία έλαβαν χώρα οι δικονομικές πράξεις στην υπό κρίση υπόθεση, αφού τα ερωτήματα αυτά υποβλήθηκαν στο Δικαστήριο πριν από την έναρξη ισχύος του ΓΚΠΔ.

93.      Σε κάθε περίπτωση, οι διατάξεις του ΓΚΠΔ που θα εξεταστούν κατά την ανάλυση των προδικαστικών ερωτημάτων –ήτοι, ειδικότερα, τα άρθρα 45, 46 και 58– επαναλαμβάνουν κατά βάση το περιεχόμενο των άρθρων 25, 26 και 28 της οδηγίας 95/46, εμπλουτίζοντάς το και αποκλίνοντας ελάχιστα σε ορισμένες λεπτομέρειες. Όσον αφορά τα στοιχεία τους τα οποία έχουν σημασία για την εκτίμηση του κύρους της αποφάσεως 2010/87, δεν βλέπω κανέναν λόγο να αναγνωριστεί στις διατάξεις του ΓΚΠΔ διαφορετικό εννοιολογικό πεδίο από εκείνο των αντίστοιχων διατάξεων της οδηγίας 95/46 (35).

2.      Επί του προσωρινού χαρακτήρα των αμφιβολιών που διατύπωσε ο ΕΠΔ

94.      Κατά τη Γερμανική Κυβέρνηση, η αίτηση προδικαστικής αποφάσεως είναι απαράδεκτη διότι η ένδικη διαδικασία για την οποία γίνεται λόγος στη σκέψη 65 της αποφάσεως Schrems προϋποθέτει ότι η αρχή ελέγχου έχει διαμορφώσει οριστική άποψη ως προς το βάσιμο των αιτιάσεων που προβάλλει ο προσφεύγων όσον αφορά το κύρος της επίμαχης αποφάσεως. Τούτο δεν συμβαίνει εν προκειμένω, καθόσον ο ΕΠΔ διατύπωσε τις αμφιβολίες της ως προς το κύρος της αποφάσεως 2010/87, το οποίο εξάλλου δεν αμφισβητείται από τον M. Schrems, στο πλαίσιο ενός σχεδίου αποφάσεως που είχε εκδοθεί προσωρινώς με την επιφύλαξη της τυχόν καταθέσεως συμπληρωματικών παρατηρήσεων εκ μέρους της Facebook Ireland και του M. Schrems.

95.      Κατά την άποψή μου, ο προσωρινός χαρακτήρας των αμφιβολιών του ΕΠΔ δεν επηρεάζει το παραδεκτό της αιτήσεως προδικαστικής αποφάσεως. Συγκεκριμένα, τα κριτήρια παραδεκτού προδικαστικού ερωτήματος πρέπει να εκτιμώνται σε σχέση με το αντικείμενο της διαφοράς όπως αυτό ορίζεται από το αιτούν δικαστήριο (36). Εν προκειμένω δεν αμφισβητείται ότι το αντικείμενο αφορά το κύρος της αποφάσεως 2010/87. Όπως προκύπτει από τη διάταξη περί παραπομπής και από τη συνημμένη σε αυτήν απόφαση, το αιτούν δικαστήριο έκρινε ότι οι αμφιβολίες που εξέφρασε ο ΕΠΔ –χωρίς να έχει σημασία αν οι αμφιβολίες αυτές διατυπώθηκαν προσωρινώς ή οριστικώς– είναι βάσιμες και, ως εκ τούτου, υπέβαλε στο Δικαστήριο αίτηση προδικαστικής αποφάσεως σχετικά με το κύρος της αποφάσεως 2010/87. Υπό τις συνθήκες αυτές, οι διευκρινίσεις που θα δώσει το Δικαστήριο επί του ζητήματος είναι χωρίς καμία αμφιβολία σημαντικές για να μπορέσει το αιτούν δικαστήριο να επιλύσει τη διαφορά της οποίας έχει επιληφθεί.

3.      Επί των αμφιβολιών σχετικά με τον ορισμό του πραγματικού πλαισίου 

96.      Η Κυβέρνηση του Ηνωμένου Βασιλείου ισχυρίζεται ότι το πραγματικό πλαίσιο όπως αυτό περιγράφεται από το αιτούν δικαστήριο παρουσιάζει πολλά κενά τα οποία θέτουν ζήτημα παραδεκτού των προδικαστικών ερωτημάτων. Το αιτούν δικαστήριο δεν διευκρίνισε αν τα δεδομένα προσωπικού χαρακτήρα που αφορούν τον M. Schrems πράγματι διαβιβάστηκαν προς τις Ηνωμένες Πολιτείες ούτε κατά πόσον, σε περίπτωση που κάτι τέτοιο έχει συμβεί, τα δεδομένα αυτά έχουν συλλεγεί από τις αμερικανικές αρχές. Ούτε προσδιορίστηκε με βεβαιότητα η νομική βάση αυτών των πιθανών διαβιβάσεων, δεδομένου ότι η διάταξη περί παραπομπής αναφέρει απλώς ότι τα στοιχεία των Ευρωπαίων χρηστών του μέσου κοινωνικής δικτύωσης Facebook διαβιβάστηκαν «κατά μεγάλο μέρος» βάσει των τυποποιημένων συμβατικών ρητρών που προβλέπει η απόφαση 2010/87. Εν πάση περιπτώσει, κατά την άποψή του, δεν αποδείχθηκε ότι η σύμβαση μεταξύ της Facebook Ireland και της Facebook Inc., της οποίας έγινε επίκληση προς στήριξη της επίδικης διαβιβάσεως, ενσωματώνει πιστά τις ρήτρες αυτές. Και η Γερμανική Κυβέρνηση αμφισβητεί το παραδεκτό της αιτήσεως προδικαστικής αποφάσεως, για τον λόγο ότι το αιτούν δικαστήριο δεν εξέτασε αν ο M. Schrems είχε δώσει τη ρητή συγκατάθεσή του για την επίμαχη διαβίβαση, οπότε στην περίπτωση αυτή η διαβίβαση θα μπορούσε να έχει ως νομική βάση το άρθρο 26, παράγραφος 1, της οδηγίας 95/46 (το περιεχόμενο του οποίου επαναλαμβάνεται κατ’ ουσίαν στο άρθρο 49, παράγραφος 1, στοιχείο αʹ, του ΓΚΠΔ).

97.      Τα επιχειρήματα αυτά ουδόλως θέτουν εν αμφιβόλω τη λυσιτέλεια της προδικαστικής παραπομπής, από πλευράς του αντικειμένου της διαφοράς της κύριας δίκης. Εφόσον η διαφορά αυτή πηγάζει από την άσκηση, εκ μέρους του ΕΠΔ, του μέσου έννομης προστασίας που προβλέπεται στη σκέψη 65 της αποφάσεως Schrems, σκοπός της είναι να δεχθεί το εθνικό δικαστήριο να υποβάλει αίτηση προδικαστικής αποφάσεως σχετικά με το κύρος της αποφάσεως 2010/87. Η Γερμανική Κυβέρνηση και η Κυβέρνηση του Ηνωμένου Βασιλείου, δεν αμφισβητούν, στην πραγματικότητα, το κατά πόσον τα προδικαστικά ερωτήματα είναι αναγκαία για να κριθεί το κύρος της αποφάσεως 2010/87, αλλά το κατά πόσον είναι αναγκαία για να μπορέσει ο ΕΠΔ να αποφανθεί in concreto επί της καταγγελίας του M. Schrems.

98.      Εν πάση περιπτώσει, ακόμη και υπό το πρίσμα της «υποκείμενης» διαδικασίας στην οποία βασίζεται η διαφορά της κύριας δίκης, τα προδικαστικά ερωτήματα που αφορούν το κύρος της αποφάσεως 2010/87 δεν είναι, κατά τη γνώμη μου, άνευ σημασίας. Τούτο διότι το αιτούν δικαστήριο διαπίστωσε ότι η Facebook Ireland συνέχισε να διαβιβάζει τα δεδομένα των χρηστών της προς τις Ηνωμένες Πολιτείες και αφότου η απόφαση περί «ασφαλούς λιμένα» κηρύχθηκε ανίσχυρη και ότι οι διαβιβάσεις αυτές έχουν ως νομική βάση, τουλάχιστον εν μέρει, την απόφαση 2010/87. Επιπλέον, μολονότι είναι ενδεχομένως χρήσιμο να έχουν εξακριβωθεί όλα τα κρίσιμα πραγματικά περιστατικά πριν από την άσκηση της αρμοδιότητας του αιτούντος δικαστηρίου δυνάμει του άρθρου 267 ΣΛΕΕ, εναπόκειται αποκλειστικώς σε αυτό να εκτιμήσει σε ποιο στάδιο της διαδικασίας χρειάζεται προδικαστική απόφαση από το Δικαστήριο (37).

99.      Λαμβανομένων υπόψη των προεκτεθέντων, φρονώ ότι η αίτηση προδικαστικής αποφάσεως είναι παραδεκτή.

3.      Επί της εφαρμογής του δικαίου της Ένωσης στις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα για εμπορικούς σκοπούς προς τρίτο κράτος το οποία ενδέχεται να τα επεξεργαστεί για σκοπούς εθνικής ασφάλειας (πρώτο ερώτημα)

100. Με το πρώτο προδικαστικό ερώτημα, το αιτούν δικαστήριο ερωτά αν το δίκαιο της Ένωσης έχει εφαρμογή στην περίπτωση διαβιβάσεως δεδομένων προσωπικού χαρακτήρα από εταιρία η οποία έχει την έδρα της σε κράτος μέλος προς εταιρία εγκατεστημένη σε τρίτη χώρα, όταν, μετά την έναρξη της διαβιβάσεως, ενδέχεται τα δεδομένα να υποστούν επεξεργασία από τις δημόσιες αρχές της εν λόγω τρίτης χώρας για σκοπούς που περιλαμβάνουν την προστασία της εθνικής ασφάλειας.

101. Η σημασία του ερωτήματος αυτού για την επίλυση της διαφοράς της κύριας δίκης έγκειται στο γεγονός ότι, αν η διαβίβαση αυτή δεν εμπίπτει στο πεδίο εφαρμογής του δικαίου της Ένωσης, οι ενστάσεις κατά του κύρους της αποφάσεως 2010/87 που προβλήθηκαν στην υπό κρίση υπόθεση καθίστανται άνευ ερείσματος.

102. Όπως παρατήρησε το αιτούν δικαστήριο, η επεξεργασία δεδομένων προσωπικού χαρακτήρα για λόγους εθνικής ασφάλειας δεν εμπίπτει στο πεδίο εφαρμογής της οδηγίας 95/46, δυνάμει του άρθρου 3, παράγραφος 2, της οδηγίας αυτής. Το άρθρο 2, παράγραφος 2, του ΓΚΠΔ διευκρινίζει πλέον ότι αυτός ο κανονισμός δεν εφαρμόζεται, μεταξύ άλλων, στην επεξεργασία δεδομένων προσωπικού χαρακτήρα όταν γίνεται στο πλαίσιο δραστηριότητας η οποία δεν εμπίπτει στο πεδίο εφαρμογής του δικαίου της Ένωσης ή από αρμόδιες αρχές για τους σκοπούς προστασίας της δημόσιας ασφάλειας. Οι διατάξεις αυτές απηχούν την επιφύλαξη την οποία αναγνωρίζει υπέρ των κρατών μελών το άρθρο 4, παράγραφος 2, ΣΕΕ, προς διατήρηση της αρμοδιότητάς τους στον τομέα της προστασίας της εθνικής ασφάλειας.

103. Ο ΕΠΔ, ο M. Schrems, η Ιρλανδία, η Γερμανική, η Αυστριακή, η Βελγική, η Τσεχική, η Ολλανδική, η Πολωνική και η Πορτογαλική Κυβέρνηση, καθώς και το Κοινοβούλιο και η Επιτροπή υποστηρίζουν ότι διαβιβάσεις όπως αυτές τις οποίες αφορά η καταγγελία του M. Schrems δεν καλύπτονται από τις προαναφερθείσες διατάξεις και επομένως εμπίπτουν στο πεδίο εφαρμογής του δικαίου της Ένωσης. Η Facebook Ireland υποστηρίζει την αντίθετη άποψη. Συμφωνώ με την άποψη των πρώτων.

104. Υπογραμμίζεται συναφώς ότι η διαβίβαση δεδομένων προσωπικού χαρακτήρα από κράτος μέλος προς τρίτη χώρα αποτελεί, αυτή καθεαυτήν, «επεξεργασία» υπό την έννοια του άρθρου 4, σημείο 2, του ΓΚΠΔ, η οποία πραγματοποιείται στο έδαφος κράτους μέλους (38). Σκοπός του πρώτου προδικαστικού ερωτήματος είναι να κριθεί αν το δίκαιο της Ένωσης εφαρμόζεται επί της επεξεργασίας που συνίσταται στην ίδια τη διαβίβαση. Το ερώτημα αυτό δεν αφορά τη δυνατότητα εφαρμογής του δικαίου της Ένωσης στην τυχόν περαιτέρω επεξεργασία στην οποία υποβάλλονται από τις αμερικανικές αρχές, για σκοπούς εθνικής ασφάλειας, τα δεδομένα που διαβιβάζονται προς τις Ηνωμένες Πολιτείες, αφού, ασφαλώς, αυτή η περαιτέρω δεν εμπίπτει στο εδαφικό πεδίο εφαρμογής του ΓΚΠΔ (39).

105. Υπό το πρίσμα αυτό, προκειμένου να κριθεί αν το δίκαιο της Ένωσης εφαρμόζεται στη διαβίβαση των επίμαχων δεδομένων, πρέπει να ληφθεί υπόψη μόνον η δραστηριότητα στο πλαίσιο της οποίας εντάσσεται η εν λόγω διαβίβαση, χωρίς να έχει σημασία ο σκοπός της τυχόν περαιτέρω επεξεργασίας που ενδέχεται υποστούν τα διαβιβαζόμενα δεδομένα από δημόσιες αρχές της τρίτης χώρας προορισμού (40).

106. Από τη δε διάταξη περί παραπομπής προκύπτει ότι η διαβίβαση την οποία αφορά η καταγγελία του M. Schrems εντάσσεται στο πλαίσιο εμπορικής δραστηριότητας. Εξάλλου, η διαβίβαση αυτή δεν πραγματοποιείται με σκοπό να γίνει περαιτέρω επεξεργασία των επίμαχων δεδομένων από τις αμερικανικές αρχές για σκοπούς εθνικής ασφάλειας.

107. Εξάλλου, η προσέγγιση την οποία προτείνει η Facebook Ireland στερεί από τις διατάξεις του ΓΚΠΔ που αφορούν τις διαβιβάσεις προς τρίτες χώρες την πρακτική αποτελεσματικότητά τους, καθόσον ουδέποτε μπορεί να αποκλειστεί το ενδεχόμενο να τύχουν τα δεδομένα που διαβιβάζονται στο πλαίσιο εμπορικής δραστηριότητας περαιτέρω επεξεργασίας για σκοπούς εθνικής ασφάλειας σε στάδιο μεταγενέστερο της διαβιβάσεως.

108. Η ερμηνεία που προτείνω επιβεβαιώνεται από το γράμμα του άρθρου 45, παράγραφος 2, στοιχείο αʹ, του ΓΚΠΔ. Η διάταξη αυτή ορίζει ότι η Επιτροπή, κατά την έκδοση αποφάσεως επάρκειας, λαμβάνει υπόψη, μεταξύ άλλων, τη νομοθεσία της αντίστοιχης τρίτης χώρας όσον αφορά την εθνική ασφάλεια. Εξ αυτού μπορεί να συναχθεί ότι το γεγονός ότι τα δεδομένα ενδεχομένως να υφίστανται από τις αρχές της τρίτης χώρας προορισμού επεξεργασία με σκοπό την προστασία της εθνικής ασφάλειας δεν σημαίνει ότι το δίκαιο της Ένωσης δεν εφαρμόζεται στην επεξεργασία η οποία συνίσταται στη διαβίβαση δεδομένων προς την τρίτη αυτή χώρα.

109. Στην ίδια παραδοχή εδράζονται τόσο το σκεπτικό όσο και τα συμπεράσματα που διατύπωσε το Δικαστήριο στην απόφαση Schrems. Ειδικότερα, στην απόφαση εκείνη, το Δικαστήριο εξέτασε υπό το πρίσμα του άρθρου 25, παράγραφος 6, της οδηγίας 95/46, σε συνδυασμό με τον Χάρτη, και το κύρος της αποφάσεως περί «ασφαλούς λιμένα», στο μέτρο που αφορούσε τη διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τις Ηνωμένες Πολιτείες όπου συλλέγονταν και υφίσταντο επεξεργασία για σκοπούς προστασίας της εθνικής ασφάλειας (41).

110. Λαμβανομένων υπόψη των ανωτέρω σκέψεων, εκτιμώ ότι το δίκαιο της Ένωσης έχει εφαρμογή στην περίπτωση διαβιβάσεως προσωπικών δεδομένων από κράτος μέλος προς τρίτη χώρα, όταν η διαβίβαση αυτή εντάσσεται στο πλαίσιο εμπορικής δραστηριότητας, χωρίς να έχει σημασία αν τα διαβιβαζόμενα δεδομένα ενδέχεται να υποστούν από τις δημόσιες αρχές της εν λόγω τρίτης χώρας επεξεργασία με σκοπό την προστασία της εθνικής της ασφάλειας.

4.      Επί του απαιτούμενου επιπέδου προστασίας στο πλαίσιο διαβιβάσεως που θεμελιώνεται σε τυποποιημένες συμβατικές ρήτρες (πρώτο σκέλος του έκτου ερωτήματος)

111. Με το πρώτο σκέλος του έκτου προδικαστικού ερωτήματος, το αιτούν δικαστήριο ζητεί να διευκρινιστεί ποιο είναι το επίπεδο προστασίας των θεμελιωδών δικαιωμάτων των υποκειμένων των δεδομένων το οποίο πρέπει να διασφαλίζεται προκειμένου να είναι δυνατή η διαβίβαση σε τρίτη χώρα δεδομένων προσωπικού χαρακτήρα δυνάμει των τυποποιημένων συμβατικών ρητρών που προβλέπει η απόφαση 2010/87.

112. Το αιτούν δικαστήριο επισημαίνει ότι, στην απόφαση Schrems, το Δικαστήριο ερμήνευσε το άρθρο 25, παράγραφος 6, της οδηγίας 95/46 (το περιεχόμενο του οποίου επαναλαμβάνεται κατ’ ουσίαν στο άρθρο 45, παράγραφος 3, του ΓΚΠΔ), καθόσον προέβλεπε ότι η Επιτροπή δεν μπορεί να εκδώσει απόφαση επάρκειας παρά μόνον αφού βεβαιωθεί ότι η οικεία τρίτη χώρα εξασφαλίζει επαρκές επίπεδο προστασίας, υπό την έννοια ότι προϋποθέτει ότι η Επιτροπή έχει διαπιστώσει ότι η χώρα αυτή διασφαλίζει επίπεδο προστασίας των θεμελιωδών δικαιωμάτων και ελευθεριών ουσιαστικά ισοδύναμο με εκείνο που κατοχυρώνεται εντός της Ένωσης δυνάμει της οδηγίας αυτής σε συνδυασμό με τον Χάρτη (42).

113. Στο πλαίσιο αυτό, με το πρώτο σκέλος του έκτου προδικαστικού ερωτήματος το Δικαστήριο καλείται να διευκρινίσει αν η εφαρμογή «τυποποιημένων συμβατικών ρητρών» καταρτιζόμενων από την Επιτροπή κατ’ εφαρμογήν του άρθρου 26, παράγραφος 4, της οδηγίας 95/46 –αντίστοιχων προς τις «τυποποιημένες ρήτρες προστασίας» οι οποίες πλέον μνημονεύονται στο άρθρο 46, παράγραφος 2, στοιχείο γʹ, του ΓΚΠΔ– πρέπει να καθιστά δυνατή την επίτευξη επιπέδου προστασίας που να αντιστοιχεί στο επίπεδο της «ουσιαστικής ισοδυναμίας».

114. Σχετικά με το ζήτημα αυτό, το άρθρο 46, παράγραφος 1, του ΓΚΠΔ προβλέπει ότι, ελλείψει αποφάσεως επάρκειας, ο υπεύθυνος επεξεργασίας μπορεί να διαβιβάσει δεδομένα προσωπικού χαρακτήρα σε τρίτη χώρα «μόνο εάν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία έχει παράσχει κατάλληλες εγγυήσεις και υπό την προϋπόθεση ότι υφίστανται εκτελεστά δικαιώματα και αποτελεσματικά ένδικα μέσα για τα υποκείμενα των δεδομένων» (η υπογράμμιση δική μου) (43). Κατά το άρθρο 46, παράγραφος 2, στοιχείο γʹ, του ΓΚΠΔ, οι εγγυήσεις αυτές μπορεί να απορρέουν, μεταξύ άλλων, από τυποποιημένες ρήτρες προστασίας.

115. Συμφωνώ με την άποψη του ΕΠΔ, του M. Schrems και της Ιρλανδίας ότι οι παρεχόμενες από τον υπεύθυνο επεξεργασίας «κατάλληλες εγγυήσεις», στις οποίες αναφέρεται το άρθρο 46, παράγραφος 1, του ΓΚΠΔ, πρέπει να διασφαλίζουν ότι τα δικαιώματα των προσώπων των οποίων τα δεδομένα διαβιβάζονται τυγχάνουν, όπως και στο πλαίσιο διαβιβάσεως βάσει αποφάσεως επάρκειας, προστασίας ουσιαστικά ισοδύναμης με εκείνη που προκύπτει από τον ΓΚΠΔ σε συνδυασμό με τον Χάρτη.

116. Το ως άνω συμπέρασμα συνάγεται από τον σκοπό της διατάξεως αυτής και της ρυθμίσεως της οποίας αποτελεί μέρος.

117. Τα άρθρα 45 και 46 του ΓΚΠΔ αποσκοπούν στη διασφάλιση της συνέχειας του υψηλού επιπέδου προστασίας των δεδομένων προσωπικού χαρακτήρα το οποίο κατοχυρώνει ο εν λόγω κανονισμός, όταν αυτά διαβιβάζονται εκτός της Ένωσης. Συγκεκριμένα, το άρθρο 44 του ΓΚΠΔ, το οποίο επιγράφεται «Γενικές αρχές για διαβιβάσεις», είναι το πρώτο του κεφαλαίου V σχετικά με τις διαβιβάσεις προς τρίτες χώρες και ορίζει ότι όλες οι διατάξεις του συγκεκριμένου κεφαλαίου εφαρμόζονται με σκοπό να διασφαλίζεται ότι το επίπεδο προστασίας που εγγυάται ο ΓΚΠΔ δεν υπονομεύεται σε περίπτωση διαβιβάσεως προς τρίτο κράτος (44). Σκοπός του κανόνα αυτού είναι να αποφευχθεί κάθε ενδεχόμενο να καταστρατηγηθούν οι προδιαγραφές προστασίας οι οποίες απορρέουν από το δίκαιο της Ένωσης, μέσω της διαβιβάσεως δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες με σκοπό την επεξεργασία τους στις χώρες αυτές (45). Υπό το πρίσμα του ανωτέρω σκοπού, δεν έχει σημασία αν η διαβίβαση θεμελιώνεται σε απόφαση επάρκειας ή σε εγγυήσεις που παρέχει ο υπεύθυνος επεξεργασίας, μεταξύ άλλων, μέσω συμβατικών ρητρών. Δεν γίνεται διάκριση, όσον αφορά τις απαιτήσεις της προστασίας των θεμελιωδών δικαιωμάτων που κατοχυρώνονται στον Χάρτη, με γνώμονα τη νομική βάση στην οποία στηρίζεται συγκεκριμένη διαβίβαση (46).

118. Αντιθέτως, ο τρόπος με τον οποίο διαφυλάσσεται η συνέχεια του υψηλού επιπέδου προστασίας διαφέρει ανάλογα με τη νομική βάση της διαβιβάσεως.

119. Αφενός, η απόφαση επάρκειας έχει ως αντικείμενο να διαπιστωθεί ότι η τρίτη χώρα διασφαλίζει η ίδια επίπεδο προστασίας ουσιαστικά ισοδύναμο με εκείνο που πρέπει να παρέχεται εντός της Ένωσης. Η έκδοση αποφάσεως επάρκειας προϋποθέτει ότι η Επιτροπή αξιολογεί εκ των προτέρων, σε σχέση με συγκεκριμένη τρίτη χώρα και υπό το πρίσμα των αναφερόμενων στο άρθρο 45, παράγραφος 3, του ΓΚΠΔ στοιχείων, το επίπεδο προστασίας το οποίο εξασφαλίζεται από το δίκαιο και τις πρακτικές που εφαρμόζονται εκεί. Επομένως, τα προσωπικά δεδομένα μπορούν να διαβιβαστούν προς την εν λόγω τρίτη χώρα χωρίς να απαιτείται να λάβει ο υπεύθυνος επεξεργασίας ειδική άδεια.

120. Αφετέρου, όπως εκτίθεται λεπτομερέστερα στην επόμενη ενότητα, οι κατάλληλες εγγυήσεις τις οποίες προσφέρει ο υπεύθυνος επεξεργασίας αποσκοπούν στην εξασφάλιση υψηλού επιπέδου προστασίας σε περίπτωση που οι υφιστάμενες εγγυήσεις στην τρίτη χώρα προορισμού είναι ανεπαρκείς. Έτσι, μολονότι το άρθρο 46, παράγραφος 1, του ΓΚΠΔ επιτρέπει τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτα κράτη που δεν διασφαλίζουν επαρκές επίπεδο προστασίας, ωστόσο η διάταξη αυτή επιτρέπει τέτοιες διαβιβάσεις μόνον όταν παρέχονται κατάλληλες εγγυήσεις με άλλα μέσα. Οι τυποποιημένες συμβατικές ρήτρες τις οποίες καταρτίζει η Επιτροπή συνιστούν, από την άποψη αυτή, γενικό μηχανισμό που εφαρμόζεται στις διαβιβάσεις όποια και αν είναι η τρίτη χώρα προορισμού και το επίπεδο προστασίας που διασφαλίζεται στη χώρα αυτή.

5.      Επί του κύρους της αποφάσεως 2010/87 υπό το πρίσμα των άρθρων 7, 8 και 47 του Χάρτη (έβδομο, όγδοο και ενδέκατο ερώτημα)

121. Με το έβδομο προδικαστικό ερώτημα, το αιτούν δικαστήριο ερωτά, κατ’ ουσίαν, αν η απόφαση 2010/87 είναι ανίσχυρη λόγω του ότι δεν δεσμεύει τις αρχές των τρίτων κρατών προς τα οποία διαβιβάζονται δεδομένα δυνάμει των τυποποιημένων συμβατικών ρητρών που προβλέπονται στο παράρτημα της αποφάσεως αυτής και, ειδικότερα, λόγω του ότι δεν εμποδίζει τα ως άνω τρίτα κράτη να απαιτούν από τον εισαγωγέα να θέτει τα δεδομένα αυτά στη διάθεσή τους. Επομένως, με το ερώτημα αυτό αμφισβητείται η δυνατότητα διασφαλίσεως ικανοποιητικού επιπέδου προστασίας των δεδομένων αυτών μέσω μηχανισμών αποκλειστικώς συμβατικής φύσης. Το ενδέκατο ερώτημα αφορά γενικότερα το κύρος της αποφάσεως 2010/87 υπό το πρίσμα των άρθρων 7, 8 και 47 του Χάρτη.

122. Με το όγδοο προδικαστικό ερώτημα καλείται το Δικαστήριο να διευκρινίσει αν μια αρχή ελέγχου οφείλει να ασκεί τις εξουσίες της δυνάμει του άρθρου 58, παράγραφος 2, στοιχεία στʹ και ιʹ, του ΓΚΠΔ για να αναστείλει διαβίβαση προς τρίτη χώρα, η οποία θεμελιώνεται στις τυποποιημένες συμβατικές ρήτρες που προβλέπει η απόφαση 2010/87, όταν εκτιμά ότι ο εισαγωγέας των δεδομένων υπόκειται εκεί σε υποχρεώσεις που τον εμποδίζουν να τηρήσει τις ρήτρες αυτές και έχουν ως αποτέλεσμα να μην διασφαλίζεται κατάλληλη προστασία των διαβιβαζόμενων δεδομένων. Στον βαθμό που η απάντηση στο ερώτημα αυτό επηρεάζει, κατά την άποψή μου, το κύρος της αποφάσεως 2010/87 (47), θα το εξετάσω από κοινού με το έβδομο και το ενδέκατο ερώτημα.

123. Από το άρθρο 46, παράγραφος 1, του ΓΚΠΔ, το οποίο προβλέπει ότι, «[ε]λλείψει απόφασης δυνάμει του άρθρου 45 παράγραφος 3, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία μπορεί να διαβιβάσει δεδομένα προσωπικού χαρακτήρα σε τρίτη χώρα […] μόνο εάν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία έχει παράσχει κατάλληλες εγγυήσεις […]» (η υπογράμμιση δική μου), προκύπτει ποια είναι η λογική που διαπνέει τους συμβατικούς μηχανισμούς, όπως τον προβλεπόμενο στην απόφαση 2010/87. Όπως επισημαίνεται στις αιτιολογικές σκέψεις 108 και 114 του ΓΚΠΔ, σκοπός των μηχανισμών αυτών είναι να επιτρέπονται οι διαβιβάσεις προς τρίτες χώρες για τις οποίες η Επιτροπή δεν έχει εκδώσει απόφαση επάρκειας, υπό την προϋπόθεση ότι τυχόν ελλείψεις όσον αφορά την προστασία που διασφαλίζεται στην έννομη τάξη της τρίτης αυτής χώρας αντισταθμίζονται από εγγυήσεις τις οποίες ο εξαγωγέας και ο εισαγωγέας δεδομένων δεσμεύονται συμβατικώς να τηρούν.

124. Εφόσον ο λόγος υπάρξεως των συμβατικών εγγυήσεων είναι ακριβώς η αντιστάθμιση πιθανών κενών στην προστασία που παρέχουν οι τρίτες χώρες προορισμού, όποιες και αν είναι αυτές, το κύρος αποφάσεως με την οποία η Επιτροπή διαπιστώνει ότι ορισμένες τυποποιημένες ρήτρες αντισταθμίζουν επαρκώς τα κενά αυτά δεν μπορεί να εξαρτάται από το επίπεδο προστασίας που διασφαλίζεται σε κάθε μία από τις τρίτες χώρες προς τις οποίες ενδεχομένως διαβιβάζονται δεδομένα. Το κύρος μιας τέτοιας αποφάσεως εξαρτάται αποκλειστικά από την αξιοπιστία των εγγυήσεων που προβλέπουν οι ρήτρες αυτές προκειμένου να αντισταθμιστεί η ενδεχόμενη έλλειψη της προστασίας στην τρίτη χώρα προορισμού. Η αποτελεσματικότητα των εγγυήσεων αυτών πρέπει να αξιολογηθεί λαμβανομένης υπόψη και της «ασφαλιστικής δικλείδας» των εξουσιών που έχουν οι αρχές ελέγχου δυνάμει του άρθρου 58, παράγραφος 2, του ΓΚΠΔ.

125. Συναφώς, όπως επισήμαναν ο ΕΠΔ, ο M. Schrems, η BSA, η Ιρλανδία, η Αυστριακή, η Γαλλική, η Πολωνική και η Πορτογαλική Κυβέρνηση, καθώς και η Επιτροπή, οι εγγυήσεις οι οποίες περιλαμβάνονται στις τυποποιημένες συμβατικές ρήτρες μπορούν να περιοριστούν ή και να ματαιωθούν, όταν το δίκαιο της τρίτης χώρας προορισμού επιβάλλει στον εισαγωγέα υποχρεώσεις αντίθετες προς τις απαιτήσεις που απορρέουν από αυτές τις ρήτρες. Επομένως, το ισχύον στην τρίτη χώρα προορισμού νομικό πλαίσιο μπορεί, ανάλογα με τις συγκεκριμένες περιστάσεις της διαβιβάσεως (48), να καταστήσει αδύνατη την εκπλήρωση των υποχρεώσεων που προβλέπονται με τις ρήτρες αυτές.

126. Υπό τις συνθήκες αυτές, όπως υπογράμμισαν ο M. Schrems και η Επιτροπή, ο συμβατικός μηχανισμός του άρθρου 46, παράγραφος 2, στοιχείο γʹ, του ΓΚΠΔ βασίζεται στην ανάθεση ευθυνών στον εξαγωγέα καθώς και, επικουρικώς, στις αρχές ελέγχου. Ο υπεύθυνος της επεξεργασίας ή, άλλως, η αρχή ελέγχου θα εξετάζει κατά περίπτωση, για κάθε συγκεκριμένη διαβίβαση, αν το δίκαιο της τρίτης χώρας προορισμού εμποδίζει την εκτέλεση των τυποποιημένων ρητρών και, ως εκ τούτου, την κατάλληλη προστασία των διαβιβαζόμενων δεδομένων, με αποτέλεσμα οι διαβιβάσεις να πρέπει απαγορευθούν ή να ανασταλούν.

127. Λαμβανομένων υπόψη των παρατηρήσεων αυτών, εκτιμώ ότι το γεγονός ότι η απόφαση 2010/87 και οι τυποποιημένες συμβατικές ρήτρες τις οποίες διαλαμβάνει δεν δεσμεύουν τις αρχές της τρίτης χώρας προορισμού δεν καθιστά, αυτό καθεαυτό, την προαναφερθείσα απόφαση ανίσχυρη. Η συμβατότητα της αποφάσεως 2010/87 με τα άρθρα 7, 8 και 47 του Χάρτη εξαρτάται, κατά τη γνώμη μου, από το αν υφίστανται επαρκώς αξιόπιστοι μηχανισμοί που να διασφαλίζουν ότι οι διαβιβάσεις βάσει των τυποποιημένων συμβατικών ρητρών αναστέλλονται ή απαγορεύονται σε περίπτωση παραβάσεως των ρητρών αυτών ή αδυναμίας τηρήσεώς τους.

128. Επ ’αυτού, το άρθρο 46, παράγραφος 1, του ΓΚΠΔ προβλέπει ότι διαβίβαση που διενεργείται βάσει κατάλληλων εγγυήσεων μπορεί να λάβει χώρα μόνον «υπό την προϋπόθεση ότι υφίστανται εκτελεστά δικαιώματα και αποτελεσματικά ένδικα μέσα για τα υποκείμενα των δεδομένων». Θα πρέπει να ελεγχθεί αν οι εγγυήσεις που προβλέπονται από τις ρήτρες του παραρτήματος της αποφάσεως 2010/87, όπως συμπληρώνονται με τις εξουσίες των αρχών ελέγχου, διασφαλίζουν την τήρηση αυτής της προϋποθέσεως. Κατά τη γνώμη μου, τούτο ισχύει μόνον εφόσον υφίσταται υποχρέωση –των υπεύθυνων της επεξεργασίας (ενότητα 1) και, σε περίπτωση απραξίας των υπεύθυνων της επεξεργασίας, των αρχών ελέγχου (ενότητα 2)– να αναστείλουν ή να απαγορεύσουν διαβίβαση όταν, λόγω συγκρούσεως μεταξύ των υποχρεώσεων που απορρέουν από τις τυποποιημένες ρήτρες και των υποχρεώσεων που επιβάλλει το δίκαιο της τρίτης χώρας προορισμού, οι ρήτρες αυτές δεν μπορούν να τηρηθούν.

1.      Επί των υποχρεώσεων που υπέχουν οι υπεύθυνοι επεξεργασίας

129. Πρώτον, οι τυποποιημένες συμβατικές ρήτρες του παραρτήματος της αποφάσεως 2010/87 απαιτούν, σε περίπτωση συγκρούσεως μεταξύ των υποχρεώσεων που προβλέπουν οι ίδιες και των επιταγών που απορρέουν από το δίκαιο της τρίτης χώρας προορισμού, να μη γίνεται επίκληση των ρητρών αυτών προς στήριξη διαβιβάσεως προς την τρίτη χώρα ή, αν η διαβίβαση έχει ήδη ξεκινήσει βάσει των εν λόγω ρητρών, να ενημερώνεται ο εξαγωγέας για τη σύγκρουση και να μπορεί να αναστείλει τη διαβίβαση.

130. Ειδικότερα, δυνάμει της ρήτρας 5, στοιχείο αʹ, ο εισαγωγέας αναλαμβάνει την υποχρέωση να επεξεργάζεται τα διαβιβαζόμενα δεδομένα προσωπικού χαρακτήρα μόνο για λογαριασμό του εξαγωγέα και σύμφωνα με τις οδηγίες του και με τις τυποποιημένες συμβατικές ρήτρες. Αν ο εισαγωγέας αδυνατεί να συμμορφωθεί με αυτές τις ρήτρες, δέχεται και συμφωνεί να ενημερώνει αμέσως τον εξαγωγέα για την αδυναμία του να συμμορφωθεί, οπότε ο εξαγωγέας δικαιούται να αναστείλει τη διαβίβαση και/ή να λύσει τη σύμβαση (49).

131. Η υποσημείωση 5 που αφορά τη ρήτρα 5 διευκρινίζει ότι οι τυποποιημένες ρήτρες δεν παραβιάζονται όταν ο εισαγωγέας συμμορφώνεται προς τις επιτακτικές απαιτήσεις της εθνικής νομοθεσίας που εφαρμόζεται στην περίπτωσή του στην τρίτη χώρα, εφόσον οι επίμαχες απαιτήσεις δεν υπερβαίνουν αυτό το οποίο είναι αναγκαίο σε μια δημοκρατική κοινωνία μέτρο για την προστασία ενός από τα συμφέροντα που μνημονεύονται στο άρθρο 13, παράγραφος 1, της οδηγίας 95/46 (το περιεχόμενο του οποίου επαναλαμβάνεται στο άρθρο 23 παράγραφος 1, του ΓΚΠΔ), όπου γίνεται λόγος, μεταξύ άλλων, για τη διαφύλαξη της δημόσιας ασφάλειας και της ασφάλειας του κράτους. Αντιθέτως, λογίζεται ως παράβαση των ρητρών η μη τήρησή τους από τον εισαγωγέα όταν ο λόγος που δεν της τηρεί είναι για να συμμορφωθεί προς αντιφατική υποχρέωση η οποία απορρέει από το δίκαιο της τρίτης χώρας προορισμού και βαίνει πέραν αυτού που είναι αναλογικό για την προστασία αναγνωριζόμενου από την Ένωση θεμιτού συμφέροντος.

132. Κατά τη γνώμη μου, όπως ορθώς υποστήριξαν ο M. Schrems και η Επιτροπή, η ρήτρα 5, στοιχείο αʹ, δεν είναι δυνατόν να ερμηνευθεί υπό την έννοια ότι η αναστολή της διαβιβάσεως ή η λύση της συμβάσεως είναι απλώς προαιρετική σε περίπτωση που ο εισαγωγέας δεν είναι σε θέση να τηρήσει τις τυποποιημένες ρήτρες. Αν και η ρήτρα αυτή κάνει απλώς λόγο για σχετικό δικαίωμα υπέρ του εξαγωγέα, εντούτοις η διατύπωση αυτή πρέπει να ερμηνευθεί σε συνάρτηση με το συμβατικό πλαίσιο στο οποίο εντάσσεται. Το γεγονός ότι ο εξαγωγέας, στις διμερείς σχέσεις του με τον εισαγωγέα, έχει δικαίωμα να αναστείλει τη διαβίβαση ή να λύσει τη σύμβαση όταν ο εισαγωγέας αδυνατεί να τηρήσει τις τυποποιημένες ρήτρες δεν θίγει την υποχρέωση του εξαγωγέα να ενεργήσει κατ’ αυτόν τον τρόπο δυνάμει των απαιτήσεων της προστασίας των δικαιωμάτων των υποκειμένων των δεδομένων, οι οποίες απορρέουν από τον ΓΚΠΔ. Κάθε άλλη ερμηνεία θα καθιστούσε την απόφαση 2010/87 ανίσχυρη καθόσον οι τυποποιημένες συμβατικές ρήτρες τις οποίες προβλέπει δεν θα πλαισίωναν τη διαβίβαση με «κατάλληλες εγγυήσεις», όπως απαιτείται από το άρθρο 46, παράγραφος 1, του ΓΚΠΔ, σε συνδυασμό με τις διατάξεις του Χάρτη (50).

133. Επιπλέον, σύμφωνα με τη ρήτρα 5, στοιχείο βʹ, ο εισαγωγέας βεβαιώνει ότι δεν έχει λόγους να πιστεύει ότι η νομοθεσία που ισχύει γι’ αυτόν τον εμποδίζει να τηρήσει τις οδηγίες που λαμβάνει από τον εξαγωγέα και να εκπληρώσει τις υποχρεώσεις τις οποίες υπέχει από τη σύμβαση. Αν γίνει τροποποίηση της εν λόγω νομοθεσίας η οποία ενδέχεται να έχει σημαντικό αρνητικό αντίκτυπο στις εγγυήσεις και τις υποχρεώσεις που προβλέπονται από τις ρήτρες, θα κοινοποιεί αμέσως την αλλαγή στον εξαγωγέα δεδομένων, οπότε ο εξαγωγέας δικαιούται να αναστείλει τη διαβίβαση των δεδομένων και/ή να λύσει τη σύμβαση. Βάσει της ρήτρας 4, στοιχείο ζʹ, ο εξαγωγέας οφείλει να διαβιβάσει την κοινοποίηση που λαμβάνει από τον εισαγωγέα στην αρμόδια εποπτική αρχή, αν αποφασίσει να συνεχίσει τη διαβίβαση.

134. Φρονώ ότι είναι απαραίτητες, στο σημείο αυτό, ορισμένες διευκρινίσεις σχετικά με το περιεχόμενο της εξετάσεως στην οποία πρέπει να προβούν τα συμβαλλόμενα μέρη προκειμένου να διαπιστώσουν, λαμβανομένης υπόψη της υποσημειώσεως σχετικά με τη ρήτρα 5, κατά πόσον οι υποχρεώσεις που επιβάλλει το δίκαιο του τρίτου κράτους στον εισαγωγέα συνεπάγονται παραβίαση των τυποποιημένων ρητρών και, ως εκ τούτου, εμποδίζουν την πλαισίωση της διαβιβάσεως από κατάλληλες εγγυήσεις. Το ζήτημα αυτό εγείρεται κατ’ ουσίαν με το δεύτερο σκέλος του έκτου προδικαστικού ερωτήματος.

135. Για την εξέταση αυτή απαιτείται, κατά την άποψή μου, να ληφθεί υπόψη το σύνολο των περιστάσεων που χαρακτηρίζουν κάθε διαβίβαση, όπως, παραδείγματος χάριν, η φύση των δεδομένων και ο ενδεχομένως ευαίσθητος χαρακτήρας τους, οι μηχανισμοί τους οποίους θέτουν σε εφαρμογή ο εξαγωγέας και/ή ο εισαγωγέας για την προστασία της ασφάλειας των δεδομένων (51), η φύση και ο σκοπός της επεξεργασίας από τις δημόσιες αρχές της τρίτης χώρας στις οποίες διαβιβάζονται τα δεδομένα, οι λεπτομέρειες της επεξεργασίας αυτής καθώς και τυχόν περιορισμοί και εγγυήσεις που προβλέπονται από την τρίτη χώρα. Τα στοιχεία που χαρακτηρίζουν τις δραστηριότητες επεξεργασίας από τις δημόσιες αρχές και τις εγγυήσεις οι οποίες ισχύουν στην έννομη τάξη της τρίτης χώρας μπορεί, κατά τη γνώμη μου, να αλληλεπικαλύπτονται με τα στοιχεία και τις εγγυήσεις που μνημονεύονται στο άρθρο 45, παράγραφος 2, του ΓΚΠΔ.

136. Δεύτερον, οι τυποποιημένες συμβατικές ρήτρες του παραρτήματος της αποφάσεως 2010/87 καθιερώνουν υπέρ των υποκειμένων των δεδομένων εκτελεστά δικαιώματα καθώς και μέσα έννομης προστασίας έναντι του εξαγωγέα και, επικουρικώς, έναντι του εισαγωγέα.

137. Έτσι, η ρήτρα 3, με τίτλο «Ρήτρα δικαιούχου τρίτου», προβλέπει, στην παράγραφο 1, δικαίωμα ασκήσεως αγωγής του υποκειμένου των δεδομένων έναντι του εξαγωγέα σε περίπτωση παραβάσεως, μεταξύ άλλων, της ρήτρας 5, στοιχείο αʹ ή στοιχείο βʹ. Σύμφωνα με τη ρήτρα 3, παράγραφος 2, όταν ο εξαγωγέας παύσει να υφίσταται από πραγματική ή νομική άποψη, το υποκείμενο των δεδομένων μπορεί να επικαλεστεί τη ρήτρα αυτή έναντι του εισαγωγέα.

138. Η ρήτρα 6, παράγραφος 1, παρέχει σε κάθε υποκείμενο των δεδομένων που υφίσταται ζημία λόγω αθετήσεως των υποχρεώσεων στις οποίες αναφέρεται η ρήτρα 3 το δικαίωμα να λάβει αποζημίωση από τον εξαγωγέα δεδομένων για τη ζημία την οποία υπέστη. Δυνάμει της ρήτρας 7, παράγραφος 1, ο εισαγωγέας συμφωνεί ότι αν το υποκείμενο των δεδομένων επικαλείται έναντι αυτού το δικαίωμα του δικαιούχου τρίτου και/ή διεκδικεί αποζημίωση για τη ζημία που υπέστη, θα δεχθεί την απόφαση του υποκειμένου των δεδομένων είτε να παραπέμψουν τη διαφορά στη διαμεσολάβηση ανεξάρτητου προσώπου ή, κατά περίπτωση, της αρχής ελέγχου, είτε να παραπέμψουν τη διαφορά στα δικαστήρια του κράτους μέλους στο οποίο είναι εγκατεστημένος ο εξαγωγέας.

139. Εκτός από τα μέσα έννομης προστασίας τα οποία διαθέτουν δυνάμει των τυποποιημένων συμβατικών ρητρών που προβλέπονται στο παράρτημα της αποφάσεως 2010/87, τα υποκείμενα των δεδομένων έχουν τη δυνατότητα, όταν θεωρούν ότι παραβιάστηκαν οι ρήτρες αυτές, να ζητήσουν από τις αρχές ελέγχου τη λήψη διορθωτικών μέτρων βάσει του άρθρου 58, παράγραφος 2, του ΓΚΠΔ, στο οποίο παραπέμπει το άρθρο 4 της αποφάσεως 2010/87 (52).

2.      Επί των υποχρεώσεων που υπέχουν οι αρχές ελέγχου

140. Για τους ακόλουθους λόγους φρονώ, όπως και ο M. Schrems, η Ιρλανδία, η Γερμανική, η Αυστριακή, η Βελγική, η Ολλανδική και η Πορτογαλική Κυβέρνηση, καθώς και ο ΕΕΠΔ, ότι το άρθρο 58, παράγραφος 2, του ΓΚΠΔ υποχρεώνει τις αρχές ελέγχου, όταν κρίνουν, μετά από επιμελή εξέταση, ότι τα στοιχεία που διαβιβάζονται προς τρίτη χώρα δεν τυγχάνουν κατάλληλης προστασίας λόγω μη τηρήσεως συμβατικών ρητρών που έχουν συνομολογηθεί, να λαμβάνουν τα κατάλληλα μέτρα για την άρση της παρανομίας αυτής, διατάσσοντας, εφόσον τούτο είναι αναγκαίο, την αναστολή της διαβιβάσεως.

141. Πρώτον, παρατηρώ ότι, αντιθέτως προς τους ισχυρισμούς του ΕΠΔ, καμία διάταξη της αποφάσεως 2010/87 δεν περιορίζει σε εξαιρετικές μόνον περιπτώσεις την άσκηση των εξουσιών που διαθέτει, δυνάμει του άρθρου 58, παράγραφος 2, στοιχεία στʹ και ιʹ, του ΓΚΠΔ, κάθε αρχή ελέγχου «να επιβάλλει προσωρινό ή οριστικό περιορισμό, περιλαμβανομένης της απαγόρευσης της επεξεργασίας» και «να δίνει εντολή για αναστολή της κυκλοφορίας δεδομένων σε αποδέκτη σε τρίτη χώρα».

142. Το αρχικό κείμενο του άρθρου 4, παράγραφος 1, της αποφάσεως 2010/87 περιόριζε, βεβαίως, την άσκηση, εκ μέρους των αρχών ελέγχου, των εξουσιών τους να αναστέλλουν ή να απαγορεύουν τη διασυνοριακή ροή δεδομένων σε ορισμένες μόνον περιπτώσεις στις οποίες είχε αποδειχθεί ότι διαβίβαση στηριζόμενη σε συμβατικούς όρους ήταν πιθανόν να έχει σημαντικές αρνητικές συνέπειες για τις εγγυήσεις που παρέχονταν για την προστασία του υποκειμένου των δεδομένων. Ωστόσο, το άρθρο 4 της εν λόγω αποφάσεως, όπως τροποποιήθηκε από την Επιτροπή το 2016 προς συμμόρφωση με την απόφαση Schrems (53), αναφέρεται πλέον απλώς και μόνον στις εξουσίες αυτές, χωρίς να τις περιορίζει με οποιονδήποτε τρόπο. Εν πάση περιπτώσει, εκτελεστικές αποφάσεις της Επιτροπής, όπως η απόφαση 2010/87, δεν μπορούν νομίμως να περιορίσουν τις αρμοδιότητες που παρέχονται στις αρχές ελέγχου από τον ίδιο τον ΓΚΠΔ (54).

143. Το συμπέρασμα αυτό δεν αναιρείται από την αιτιολογική σκέψη 11 της αποφάσεως 2010/87, όπου επισημαίνεται ότι οι εξουσίες αναστολής και απαγορεύσεως των διαβιβάσεων μπορούν να ασκούνται από τις αρχές ελέγχου μόνο σε «εξαιρετικές περιπτώσεις». Αυτή η αιτιολογική σκέψη, η οποία υπήρχε ήδη στην αρχική εκδοχή της ως άνω αποφάσεως, αφορούσε το παλαιό άρθρο 4, παράγραφος 1, της αποφάσεως αυτής, το οποίο περιόριζε τις αρμοδιότητες των αρχών ελέγχου. Κατόπιν της αναθεωρήσεως της αποφάσεως 2010/87 με την απόφαση 2016/2297, η Επιτροπή παρέλειψε να αποσύρει ή να τροποποιήσει τη συγκεκριμένη αιτιολογική σκέψη για να προσαρμόσει το περιεχόμενο της στο περιεχόμενο του νέου άρθρου 4. Εντούτοις, η αιτιολογική σκέψη 5 της αποφάσεως 2016/2297 επιβεβαίωσε και πάλι την αρμοδιότητα των αρχών ελέγχου να αναστέλλουν ή να απαγορεύουν κάθε διαβίβαση που κρίνουν ότι είναι αντίθετη προς το δίκαιο της Ένωσης, ιδίως λόγω μη τηρήσεως εκ μέρους του εισαγωγέα των τυποποιημένων συμβατικών ρητρών. Η αιτιολογική σκέψη 11 της αποφάσεως 2010/87, καθόσον αντίκειται πλέον τόσο στο γράμμα όσο και στον σκοπό μιας νομικώς δεσμευτικής διατάξεως, πρέπει να θεωρείται ως παρωχημένη (55).

144. Δεύτερον, αντιθέτως προς ό,τι υποστηρίζει ο ΕΠΔ, η άσκηση των εξουσιών αναστολής και απαγόρευσης που προβλέπονται από το άρθρο 58, παράγραφος 2, στοιχείο στʹ και ιʹ, του ΓΚΠΔ δεν αποτελεί απλή δυνατότητα που επαφίεται στη διακριτική ευχέρεια των αρχών ελέγχου. Το συμπέρασμα αυτό συνάγεται, κατά την άποψή μου, τόσο από την ερμηνεία του άρθρου 58, παράγραφος 2, του ΓΚΠΔ υπό το πρίσμα άλλων διατάξεων του κανονισμού αυτού και του Χάρτη, όσο και από την όλη οικονομία και τους σκοπούς της αποφάσεως 2010/87.

145. Ειδικότερα, το άρθρο 58, παράγραφος 2, του ΓΚΠΔ πρέπει να ερμηνευθεί υπό το πρίσμα του άρθρου 8, παράγραφος 3, του Χάρτη και του άρθρου 16, παράγραφος 2, ΣΛΕΕ. Σύμφωνα με τις διατάξεις αυτές, η τήρηση των απαιτήσεων που συνεπάγεται το θεμελιώδες δικαίωμα της προστασίας των δεδομένων προσωπικού χαρακτήρα υπόκειται στον έλεγχο ανεξάρτητων αρχών. Αυτό το καθήκον εποπτείας της τηρήσεως των σχετικών με την προστασία των δεδομένων προσωπικού χαρακτήρα απαιτήσεων, το οποίο μνημονεύεται και στο άρθρο 57, παράγραφος 1, στοιχείο αʹ, του ΓΚΠΔ, σημαίνει ότι οι αρχές ελέγχου οφείλουν να ενεργούν κατά τρόπον ώστε να διασφαλίζεται η ορθή εφαρμογή του κανονισμού αυτού.

146. Επομένως, κάθε αρχή ελέγχου οφείλει να εξετάζει με όλη την απαιτούμενη επιμέλεια την καταγγελία που υποβάλλεται από πρόσωπο του οποίου τα δεδομένα φέρεται να έχουν διαβιβασθεί σε τρίτο κράτος κατά παράβαση των τυποποιημένων συμβατικών ρητρών που ισχύουν για τη διαβίβαση (56). Προς εκπλήρωση του σκοπού αυτού, το άρθρο 58 παράγραφος 1, του ΓΚΠΔ αναθέτει στις αρχές ελέγχου σημαντικές εξουσίες έρευνας (57).

147. Επίσης, η αρμόδια αρχή ελέγχου οφείλει να αντιδρά καταλλήλως σε προσβολές των δικαιωμάτων του υποκειμένου των δεδομένων τις οποίες τυχόν διαπιστώνει κατά το πέρας της έρευνάς της. Συναφώς, κάθε αρχή ελέγχου έχει, δυνάμει του άρθρου 58, παράγραφος 2, του ΓΚΠΔ, ευρύ φάσμα διαθέσιμων μέσων –οι διάφορες εξουσίες για τη λήψη διορθωτικών μέτρων απαριθμούνται στη διάταξη αυτή– προς εκπλήρωση του καθήκοντος που της έχει ανατεθεί (58).

148. Μολονότι η επιλογή του αποτελεσματικότερου μέσου άπτεται της διακριτικής ευχέρειας της αρμόδιας αρχής ελέγχου, λαμβανομένων υπόψη όλων των περιστάσεων της επίμαχης διαβιβάσεως, εντούτοις η αρχή αυτή οφείλει να ασκήσει πλήρως τα καθήκοντα εποπτείας που της έχουν ανατεθεί. Εφόσον είναι αναγκαίο, είναι υποχρεωμένη να αναστείλει τη διαβίβαση αν καταλήξει στο συμπέρασμα ότι δεν τηρούνται οι τυποποιημένες συμβατικές ρήτρες και ότι δεν μπορεί να διασφαλιστεί κατάλληλη προστασία των διαβιβαζόμενων δεδομένων με άλλα μέσα, εκτός αν ο ίδιος ο εξαγωγέας θέσει τέλος στη διαβίβαση.

149. Η ως άνω ερμηνεία επιρρωννύεται από το άρθρο 58, παράγραφος 4, του ΓΚΠΔ, το οποίο προβλέπει ότι η άσκηση εκ μέρους εποπτικής αρχής των εξουσιών της δυνάμει του άρθρου αυτού υπόκειται στις δέουσες εγγυήσεις, περιλαμβανομένου του δικαιώματος πραγματικής δικαστικής προσφυγής σύμφωνα με το άρθρο 47 του Χάρτη. Εξάλλου, το άρθρο 78, παράγραφος 1 και 2, του ΓΚΠΔ αναγνωρίζει το δικαίωμα κάθε προσώπου να ασκήσει δικαστική προσφυγή είτε κατά νομικά δεσμευτικής αποφάσεως εποπτικής αρχής που το αφορά είτε σε περίπτωση που η εν λόγω αρχή δεν εξετάσει την καταγγελία του (59).

150. Οι προαναφερθείσες διατάξεις συνεπάγονται, όπως υποστηρίζουν ο M. Schrems, η BSA, η Ιρλανδία, η Πολωνική Κυβέρνηση και η Κυβέρνηση του Ηνωμένου Βασιλείου, καθώς και η Επιτροπή, ότι υπόκειται σε ένδικη προσφυγή κάθε απόφαση με την οποία αρχή ελέγχου δεν απαγορεύει ή δεν αναστέλλει μία διαβίβαση προς τρίτη χώρα, κατόπιν αιτήματος προσώπου που επικαλείται ότι υφίσταται ο κίνδυνος δεδομένα που τον αφορούν να υποστούν στην χώρα αυτή επεξεργασία η οποία έρχεται σε αντίθεση με τα θεμελιώδη δικαιώματά του. Πάντως, η αναγνώριση δικαιώματος ασκήσεως δικαστικής προσφυγής προϋποθέτει την ύπαρξη δέσμιας αρμοδιότητας και όχι απλώς διακριτικής ευχέρειας εκ μέρους των αρχών ελέγχου. Επιπλέον, ο M. Schrems και η Επιτροπή τόνισαν, δικαίως, ότι η άσκηση αποτελεσματικού δικαστικού ελέγχου προϋποθέτει ότι η αρχή που εξέδωσε την αμφισβητούμενη πράξη την αιτιολογεί δεόντως (60). Η υποχρέωση αυτή αιτιολογήσεως επιβάλλεται, κατά τη γνώμη μου, και όταν οι αρχές ελέγχου επιλέγουν ποια από τις εξουσίες τις οποίες τους παρέχει το άρθρο 58, παράγραφος 2, του ΓΚΠΔ θα χρησιμοποιήσουν.

151. Ωστόσο, πρέπει ακόμη να δοθεί απάντηση στα επιχειρήματα του ΕΠΔ ότι, ακόμη και αν οι αρχές ελέγχου είναι υποχρεωμένες να απαγορεύουν ή να αναστέλλουν μια διαβίβαση εφόσον αυτό απαιτείται για την προστασία των δικαιωμάτων του υποκειμένου των δεδομένων, το κύρος της αποφάσεως 2010/87 δεν είναι παρά ταύτα εξασφαλισμένο.

152. Πρώτον, ο ΕΠΔ θεωρεί ότι μια τέτοια υποχρέωση δεν θεραπεύει τα συστημικά προβλήματα που σχετίζονται με την έλλειψη κατάλληλων εγγυήσεων σε μια τρίτη χώρα όπως οι Ηνωμένες Πολιτείες. Συγκεκριμένα, οι εξουσίες των αρχών ελέγχου μπορούν να ασκηθούν μόνον κατά περίπτωση, ενώ τα κενά που χαρακτηρίζουν το αμερικανικό δίκαιο είναι γενικού και διαρθρωτικού χαρακτήρα. Επομένως, υφίσταται κίνδυνος να εκδοθούν από διάφορες αρχές ελέγχου αποκλίνουσες αποφάσεις για παρόμοιες διαβιβάσεις.

153. Επί του ζητήματος αυτού, πρέπει να αναγνωρίσω τις πρακτικές δυσχέρειες που συνδέονται με τη νομοθετική επιλογή να φέρουν οι αρχές ελέγχου την ευθύνη για τη διασφάλιση του σεβασμού των θεμελιωδών δικαιωμάτων των υποκειμένων των δεδομένων στο πλαίσιο ειδικών διαβιβάσεων ή ροών δεδομένων προς συγκεκριμένο αποδέκτη. Ωστόσο, φρονώ ότι οι δυσχέρειες αυτές δεν συνεπάγονται ότι η απόφαση 2010/87 είναι ανίσχυρη.

154. Πράγματι, κατά την άποψή μου, το δίκαιο της Ένωσης δεν απαιτεί γενική και προληπτική λύση για όλες τις διαβιβάσεις προς συγκεκριμένη τρίτη χώρα οι οποίες ενδέχεται να ενέχουν τους ίδιους κινδύνους προσβολής των θεμελιωδών δικαιωμάτων.

155. Επιπλέον, ο κίνδυνος να μην ακολουθούν οι διάφορες αρχές ελέγχου μία ενιαία προσέγγιση είναι συμφυής με την αρχιτεκτονική της αποκεντρωμένης εποπτείας την οποία θέλησε να καθιερώσει ο νομοθέτης (61). Επίσης, όπως επισήμανε η Γερμανική Κυβέρνηση, το κεφάλαιο VII του ΓΚΠΔ με τίτλο «Συνεργασία και συνεκτικότητα», θεσπίζει μηχανισμούς για την αποφυγή αυτού του κινδύνου. Το άρθρο 60 του εν λόγω κανονισμού προβλέπει, σε περίπτωση διασυνοριακής επεξεργασίας, διαδικασία συνεργασίας μεταξύ των εμπλεκόμενων εποπτικών αρχών και της εποπτικής αρχής του τόπου εγκαταστάσεως του υπεύθυνου επεξεργασίας, η οποία αποκαλείται «επικεφαλής εποπτική αρχή» (62). Σε περίπτωση διιστάμενων απόψεων, η διαφωνία πρέπει να επιλυθεί από το Συμβούλιο Προστασίας Δεδομένων (63). Το Συμβούλιο Προστασίας Δεδομένων είναι αρμόδιο και για την έκδοση, μετά από αίτηση εποπτικής αρχής, γνωμοδοτήσεων επί οποιουδήποτε ζητήματος το οποίο αφορά περισσότερα από ένα κράτη μέλη (64).

156. Δεύτερον, ο ΕΠΔ ισχυρίζεται ότι η απόφαση 2010/87 είναι ανίσχυρη υπό το πρίσμα του άρθρου 47 του Χάρτη, για τον λόγο ότι οι εποπτικές αρχές μπορούν να προστατεύσουν τα δικαιώματα των υποκειμένων των δεδομένων μόνο για το μέλλον και δεν προσφέρουν λύση σε σχέση με τα πρόσωπα των οποίων τα δεδομένα έχουν ήδη διαβιβαστεί. Ειδικότερα, ο ΕΠΔ επισημαίνει ότι το άρθρο 58, παράγραφος 2, του ΓΚΠΔ δεν προβλέπει δικαίωμα προσβάσεως στα δεδομένα τα οποία συλλέγονται από τις δημόσιες αρχές της τρίτης χώρας και δικαίωμα διορθώσεως ή διαγραφής τους, ούτε δυνατότητα αποκαταστάσεως της ζημίας που υπέστησαν τα υποκείμενα των δεδομένων.

157. Όσον αφορά την προβαλλόμενη απουσία δικαιωμάτων προσβάσεως, διορθώσεως και διαγραφής των συλλεγόμενων δεδομένων, επιβάλλεται η διαπίστωση ότι, όταν δεν υπάρχει στην τρίτη χώρα προορισμού καμία πραγματική δυνατότητα προσφυγής, τα μέσα έννομης προστασίας που προβλέπονται στην Ένωση κατά του υπεύθυνου επεξεργασίας δεν παρέχουν τη δυνατότητα να ζητηθεί από τις δημόσιες αρχές της τρίτης χώρας και να εξασφαλιστεί η πρόσβαση σε αυτά τα δεδομένα, ή ακόμη η διόρθωση ή η διαγραφή τους.

158. Εντούτοις, κατά την άποψή μου, η αντίρρηση αυτή δεν θα δικαιολογούσε το συμπέρασμα ότι η απόφαση 2010/87 δεν συμβιβάζεται με το άρθρο 47 του Χάρτη. Πράγματι, το κύρος της αποφάσεως αυτής δεν εξαρτάται από το υφιστάμενο επίπεδο προστασίας σε κάθε τρίτη χώρα προς την οποία ενδέχεται να διαβιβαστούν δεδομένα βάσει των τυποποιημένων συμβατικών ρητρών που καθιερώνει. Αν το δίκαιο του τρίτου κράτους προορισμού εμποδίζει τον εισαγωγέα να τηρήσει τις ρήτρες αυτές επιβάλλοντας του να παραχωρεί στις δημόσιες αρχές πρόσβαση στα δεδομένα χωρίς η πρόσβαση αυτή να συνοδεύεται από κατάλληλα μέσα έννομης προστασίας, οι αρχές ελέγχου είναι εκείνες που οφείλουν να λάβουν διορθωτικά μέτρα, εφόσον ο εξαγωγέας δεν έχει αναστείλει τη διαβίβαση δυνάμει της ρήτρας 5, στοιχείο αʹ ή βʹ, του παραρτήματος της αποφάσεως 2010/87.

159. Εξάλλου, όπως τόνισε ο M. Schrems, τα πρόσωπα των οποίων προσβλήθηκαν τα δικαιώματα έχουν πλέον, δυνάμει του άρθρου 82 του ΓΚΠΔ, δικαίωμα αποζημιώσεως από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία για κάθε υλική ή μη υλική ζημία που υπέστησαν λόγω παραβιάσεως του κανονισμού αυτού (65).

160. Όπως συνάγεται από το σύνολο των σκέψεων αυτών, από την ανάλυσή μου δεν προέκυψε κανένα στοιχείο ικανό να θίξει το κύρος της αποφάσεως 2010/87 υπό το πρίσμα των άρθρων 7, 8 και 47 του Χάρτη.

6.      Επί της διαπιστώσεως ότι δεν είναι αναγκαία η απάντηση στα λοιπά προδικαστικά ερωτήματα και η εξέταση του κύρους της αποφάσεως για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής»

161. Στο παρόν τμήμα εξηγώ για ποιους λόγους, σχετικούς κυρίως με τον περιορισμό του αντικειμένου της διαφοράς της κύριας δίκης στο κύρος της αποφάσεως 2010/87, φρονώ ότι παρέλκει η απάντηση στα προδικαστικά ερωτήματα δύο έως πέντε, όπως επίσης και στο ένατο και το δέκατο προδικαστικό ερώτημα, καθώς και ότι δεν συντρέχει λόγος να αποφανθεί το Δικαστήριο επί του κύρους της αποφάσεως για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής».

162. Το δεύτερο προδικαστικό ερώτημα αφορά τον προσδιορισμό των προδιαγραφών προστασίας που πρέπει να τηρούνται σε τρίτη χώρα προκειμένου να είναι δυνατή η νόμιμη διαβίβαση δεδομένων βάσει τυποποιημένων συμβατικών ρητρών, όταν τα δεδομένα αυτά, μετά τη διαβίβασή τους, ενδέχεται να υποστούν επεξεργασία για σκοπούς εθνικής ασφάλειας από τις αρχές της εν λόγω τρίτης χώρας. Με το τρίτο ερώτημα το οποίο υποβλήθηκε στο Δικαστήριο ζητείται να διευκρινιστεί ποια στοιχεία που χαρακτηρίζουν το καθεστώς προστασίας το οποίο ισχύει στο τρίτο κράτος προορισμού πρέπει να λαμβάνονται υπόψη προκειμένου να εξακριβωθεί αν το κράτος αυτό πληροί τις.

163. Με το τέταρτο, το πέμπτο και το δέκατο ερώτημα, το αιτούν δικαστήριο ερωτά, κατ’ ουσίαν, αν, λαμβανομένων υπόψη των πραγματικών περιστατικών που διαπιστώθηκαν όσον αφορά το δίκαιο των Ηνωμένων Πολιτειών, πρέπει να γίνει δεκτό ότι προβλέπονται εκεί κατάλληλες εγγυήσεις κατά των επεμβάσεων των αμερικανικών Υπηρεσιών Πληροφοριών στην άσκηση των θεμελιωδών δικαιωμάτων σεβασμού της ιδιωτικής ζωής, προστασίας των δεδομένων προσωπικού χαρακτήρα και αποτελεσματικής δικαστικής προστασίας.

164. Το ένατο προδικαστικό ερώτημα αφορά τη σημασία που έχει, στο πλαίσιο της εξετάσεως την οποία πραγματοποιεί μια αρχή ελέγχου για να εξακριβώσει κατά πόσον η διαβίβαση δεδομένων προς τις Ηνωμένες Πολιτείες βάσει των προβλεπόμενων στην απόφαση 2010/87 τυποποιημένων συμβατικών ρητρών συνοδεύεται από κατάλληλες εγγυήσεις, το γεγονός ότι η Επιτροπή, στην απόφαση για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής», διαπίστωσε ότι οι Ηνωμένες Πολιτείες παρέχουν ικανοποιητικό επίπεδο προστασίας των θεμελιωδών δικαιωμάτων των υποκειμένων των δεδομένων έναντι τέτοιων επεμβάσεων.

165. Το ζήτημα του κύρους της αποφάσεως για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής» δεν τέθηκε ρητώς από το αιτούν δικαστήριο –μολονότι, όπως θα δούμε κατωτέρω (66), με το τέταρτο, το πέμπτο και το δέκατο προδικαστικό ερώτημα αμφισβητείται, εμμέσως, η βασιμότητα της διαπιστώσεως περί υπάρξεως επάρκειας στην οποία προέβη η Επιτροπή με την απόφαση αυτή.

166. Φρονώ ότι, λαμβανομένων υπόψη των στοιχείων που προκύπτουν από την προηγηθείσα ανάλυση, οι διευκρινίσεις τις οποίες ενδέχεται να δώσει το Δικαστήριο απαντώντας στα ερωτήματα αυτά δεν μπορεί να επηρεάσει το συμπέρασμά του σχετικά με το in abstracto κύρος της αποφάσεως 2010/87 ούτε, επομένως, να επηρεάσει την επίλυση της διαφοράς της κύριας δίκης (ενότητα 1). Εξάλλου, μολονότι οι απαντήσεις του Δικαστηρίου στα εν λόγω ερωτήματα θα μπορούσαν, σε μεταγενέστερο στάδιο, να αποδειχθούν χρήσιμες στον ΕΠΔ για να κρίνει, στο πλαίσιο της «υποκείμενης» διαδικασίας στην οποία βασίζεται η διαφορά, αν οι επίμαχες διαβιβάσεις πρέπει, in concreto, να ανασταλούν λόγω της φερόμενης ελλείψεως κατάλληλων εγγυήσεων, ωστόσο η επίλυση των ζητημάτων αυτών στο πλαίσιο της υπό κρίση υποθέσεως θα ήταν, κατά την άποψή μου, πρόωρη (ενότητα 2).

1.      Επί της διαπιστώσεως ότι δεν είναι αναγκαίο, υπό το πρίσμα του αντικειμένου της διαφοράς της κύριας δίκης, να απαντήσει το Δικαστήριο σε ορισμένα ερωτήματα

167. Υπενθυμίζεται ότι η διαφορά της κύριας δίκης ανάγεται στην άσκηση, εκ μέρους του ΕΠΔ, του μέσου έννομης προστασίας που μνημονεύεται στη σκέψη 65 της αποφάσεως Schrems, όπου κρίθηκε ότι κάθε κράτος μέλος πρέπει να παρέχει τη δυνατότητα στην αρχή ελέγχου, όταν αυτή εκτιμά ότι είναι αναγκαίο για την εξέταση της ενώπιόν της υποβληθείσας καταγγελίας, να ζητήσει από εθνικό δικαστήριο να υποβάλει στο Δικαστήριο προδικαστικό ερώτημα ως προς το κύρος αποφάσεως επάρκειας -ή, κατ’ αναλογία, αποφάσεως που θεσπίζει τυποποιημένες συμβατικές ρήτρες.

168. Επ’ αυτού, το High Court (ανώτερο δικαστήριο) τόνισε ότι, μετά την υποβολή του αιτήματος από τον ΕΠΔ, είχε μόνον τις εξής επιλογές: είτε, σε περίπτωση που συμφωνούσε ότι υπάρχουν αμφιβολίες ως προς το κύρος της αποφάσεως 2010/87, να υποβάλει την αίτηση προδικαστικής αποφάσεως όπως ζήτησε ο ΕΠΔ, είτε, στην αντίθετη περίπτωση, να απορρίψει το αίτημα αυτό. Το αιτούν δικαστήριο εκτιμά ότι, αν είχε ακολουθήσει τη δεύτερη επιλογή, θα έπρεπε να περατώσει τη δίκη, εφόσον η καταγγελία του ΕΠΔ δεν είχε άλλο αντικείμενο (67).

169. Στο ίδιο πνεύμα, το Supreme Court (Ανώτατο Δικαστήριο), επιληφθέν εφέσεως που άσκησε η Facebook Ireland κατά της διατάξεως περί παραπομπής, περιέγραψε τη διαφορά της κύριας δίκης ως αναγνωριστική δίκη με την οποία ο ΕΠΔ ζήτησε από το αιτούν δικαστήριο να υποβάλει στο Δικαστήριο προδικαστικό ερώτημα ως προς το κύρος της αποφάσεως 2010/87. Επομένως, κατά το ιρλανδικό Ανώτατο Δικαστήριο, το μόνο ουσιαστικό ζήτημα ενώπιον του αιτούντος δικαστηρίου και ενώπιον του Δικαστηρίου αφορά το κύρος της αποφάσεως αυτής (68).

170. Λαμβανομένου υπόψη του αντικειμένου της διαφοράς της κύριας δίκης, όπως αυτό οριοθετήθηκε ανωτέρω, το αιτούν δικαστήριο υπέβαλε στο Δικαστήριο τα δέκα πρώτα προδικαστικά ερωτήματα κρίνοντας ότι η εξέτασή τους θα συνέβαλλε στην απαραίτητη συνολική εκτίμηση στην οποία θα πρέπει να προβεί το Δικαστήριο προκειμένου να αποφανθεί, απαντώντας στο ενδέκατο ερώτημα, επί του κύρους της αποφάσεως 2010/87 υπό το πρίσμα των άρθρων 7, 8 και 47 του Χάρτη. Το ερώτημα αυτό αποτελεί, σύμφωνα με τη διάταξη περί παραπομπής, τη λογική κατάληξη των ερωτημάτων που προηγούνται.

171. Με αυτά τα δεδομένα, φρονώ ότι το δεύτερο, το τρίτο, το τέταρτο και το πέμπτο προδικαστικό ερώτημα καθώς και το ένατο και το δέκατο ερώτημα στηρίζονται στην παραδοχή ότι το κύρος της αποφάσεως 2010/87 εξαρτάται από το επίπεδο προστασίας των θεμελιωδών δικαιωμάτων που προβλέπεται σε κάθε τρίτο κράτος προς το οποίο ενδέχεται να διαβιβαστούν δεδομένα βάσει των προβλεπόμενων στην απόφαση τυποποιημένων συμβατικών ρητρών. Εντούτοις, όπως προκύπτει από την ανάλυσή του έβδομου ερωτήματος (69), η παραδοχή αυτή είναι, κατά την άποψή μου, εσφαλμένη. Το ζήτημα της εξετάσεως του δικαίου της τρίτης χώρας προορισμού τίθεται μόνον όταν η Επιτροπή εκδίδει απόφαση επάρκειας ή όταν ο υπεύθυνος επεξεργασίας –ή, άλλως, η αρμόδια αρχή ελέγχου– εξακριβώνει αν, στο πλαίσιο διαβιβάσεως βάσει κατάλληλων εγγυήσεων κατά την έννοια του άρθρου 46, παράγραφος 1, του ΓΚΠΔ, οι υποχρεώσεις τις οποίες επιβάλλει το δίκαιο της τρίτης χώρας στον εισαγωγέα δεν θέτουν σε κίνδυνο την αποτελεσματικότητα της προστασίας που διασφαλίζεται χάρη στις συγκεκριμένες εγγυήσεις.

172. Επομένως, οι απαντήσεις του Δικαστηρίου στα προαναφερόμενα ερωτήματα δεν είναι ικανές να επηρεάσουν το συμπέρασμα στο οποίο θα καταλήξει σχετικά με το ενδέκατο ερώτημα (70). Ούτε από απόψεως του αντικειμένου της διαφοράς της κύριας δίκης επιβάλλεται να δοθεί απάντηση στα ερωτήματα αυτά.

173. Προτείνω στο Δικαστήριο να εξετάσει την υπό κρίση υπόθεση μόνον υπό το πρίσμα του αντικειμένου αυτής της διαφοράς. Το Δικαστήριο, κατά την άποψή μου, δεν πρέπει να υπερβεί αυτό που απαιτείται για την επίλυση της εν λόγω διαφοράς και να αναλύσει τα προδικαστικά ερωτήματα υπό το πρίσμα της εκκρεμούς ενώπιον του ΕΠΔ «υποκείμενης» διαδικασίας. Όπως εξηγώ κατωτέρω, αυτή η προτροπή μου για μια πιο φειδωλή στάση οφείλεται, αφενός, στη μέριμνα να μην διαταραχθεί η κανονική διεξαγωγή της διαδικασίας η οποία θα πρέπει να συνεχιστεί ενώπιον του ΕΠΔ αφού το Δικαστήριο αποφανθεί επί του κύρους της αποφάσεως 2010/87. Αφετέρου, βάσει των πραγματικών περιστατικών της υπό κρίση υποθέσεως, φρονώ ότι είναι κάπως εσπευσμένο, και από την άποψη του διακυβεύματος της διαδικασίας εκείνης, να εξετάσει το Δικαστήριο τα ζητήματα που εγείρουν το δεύτερο, το τρίτο, το τέταρτο και το πέμπτο ερώτημα, καθώς και το ένατο και δέκατο ερώτημα.

2.      Επί των λόγων για τους οποίους δεν είναι αναγκαία η εξέταση, από το Δικαστήριο, της υπό κρίση υποθέσεως υπό το πρίσμα του αντικειμένου της εκκρεμούς ενώπιον του ΕΠΔ διαδικασίας 

174. Με την καταγγελία που υπέβαλε ενώπιον του ΕΠΔ, ο M. Schrems ζητεί από την εν λόγω αρχή ελέγχου να ασκήσει τις αρμοδιότητες που έχει δυνάμει του άρθρου 58, παράγραφος 2, στοιχείο στʹ, του ΓΚΠΔ, και να δώσει εντολή στη Facebook Ireland να αναστείλει τη διενεργούμενη βάσει τυποποιημένων συμβατικών ρητρών διαβίβαση των προσωπικών δεδομένων που τον αφορούν προς τις Ηνωμένες Πολιτείες. Προς στήριξη του ως άνω αιτήματος, ο M. Schrems βασικά υποστηρίζει ότι αυτές οι συμβατικές εγγυήσεις δεν είναι κατάλληλες λαμβανομένων των επεμβάσεων που συνεπάγονται, όσον αφορά την άσκηση των θεμελιωδών δικαιωμάτων του, οι δραστηριότητες των αμερικανικών Υπηρεσιών Πληροφοριών.

175. Με την επιχειρηματολογία του ο M. Schrems αμφισβητεί τη διαπίστωση στην οποία προέβη η Επιτροπή με την απόφαση για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής», ότι οι Ηνωμένες Πολιτείες διασφαλίζουν ικανοποιητικό επίπεδο προστασίας των διαβιβαζόμενων δυνάμει αυτής της αποφάσεως δεδομένων, λαμβανομένων υπόψη, αφενός, των περιορισμών ως προς την πρόσβαση των ενδιαφερομένων στα δεδομένα αυτά και ως προς τη χρήση τους από τις αμερικανικές Υπηρεσίες Πληροφοριών, και, αφετέρου, της παρεχόμενης στα υποκείμενα των δεδομένων έννομης προστασίας (71). Οι προσωρινές επιφυλάξεις που εξέφρασε ο ΕΠΔ (72), αλλά και το αιτούν δικαστήριο στο πλαίσιο του τέταρτου, πέμπτου και δέκατου ερωτήματος, δημιουργούν και αυτές, εμμέσως, αμφιβολίες όσον αφορά τη βασιμότητα της συγκεκριμένης διαπιστώσεως.

176. Ασφαλώς, η απόφαση για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής» περιορίζεται στη διαπίστωση της επάρκειας του επιπέδου προστασίας των προσωπικών δεδομένων που διαβιβάζονται, σύμφωνα με τις αρχές τις οποίες καθιερώνει, προς επιχείρηση που είναι εγκατεστημένη στις Ηνωμένες Πολιτείες και έχει επιβεβαιώσει, μέσω αυτοπιστοποιήσεως, ότι προσχωρεί στις αρχές αυτές (73). Ωστόσο, οι εκτιμήσεις οι οποίες περιλαμβάνονται εκεί ξεπερνούν το πλαίσιο των διαβιβάσεων που καλύπτονται από την απόφαση εκείνη, καθόσον αφορούν τη νομοθεσία και τις πρακτικές οι οποίες ισχύουν στην τρίτη αυτή χώρα σχετικά με την επεξεργασία, για σκοπούς προστασίας της εθνικής ασφάλειας, διαβιβαζόμενων δεδομένων. Όπως παρατήρησαν η Facebook Ireland, ο M. Schrems, η Κυβέρνηση των Ηνωμένων Πολιτειών και η Επιτροπή, η εποπτεία εκ μέρους των αμερικανικών Υπηρεσιών Πληροφοριών, όπως και οι εγγυήσεις κατά των κινδύνων καταχρήσεως που αυτή συνεπάγεται καθώς και οι μηχανισμοί οι οποίοι αποσκοπούν στον έλεγχο της τηρήσεως των σχετικών εγγυήσεων, εφαρμόζονται όποια και αν είναι, από την άποψη του δικαίου της Ένωσης, η προβαλλόμενη προς στήριξη της διαβιβάσεως νομική βάση.

177. Υπό το πρίσμα αυτό, το ερώτημα αν οι σχετικές με το θέμα αυτό διαπιστώσεις στην απόφαση για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής» δεσμεύουν τις αρχές ελέγχου όταν εξετάζουν τη νομιμότητα της διαβιβάσεως που διενεργείται βάσει τυποποιημένων συμβατικών ρητρών μπορεί να έχει σημασία για την εξέταση από τον ΕΠΔ της καταγγελίας του M. Schrems. Σε περίπτωση καταφατικής απαντήσεως στο ερώτημα αυτό, τίθεται το ζήτημα αν η απόφαση αυτή είναι πράγματι έγκυρη.

178. Εντούτοις, δεν συνιστώ στο Δικαστήριο να αποφανθεί επί των ερωτημάτων αυτών με μοναδικό σκοπό να συνδράμει τον ΕΠΔ στο πλαίσιο της εξετάσεως αυτής της καταγγελίας, μολονότι παρέλκει η απάντηση στα ερωτήματα αυτά για την επίλυση της διαφοράς της κύριας δίκης από το αιτούν δικαστήριο. Στο πλαίσιο της διαδικασίας του άρθρου 267 ΣΛΕΕ με την οποία θεσπίζεται ένας μηχανισμός διαλόγου μεταξύ δικαστών, το Δικαστήριο δεν καλείται να δώσει διευκρινίσεις με μοναδικό σκοπό να συνδράμει μια διοικητική αρχή στο πλαίσιο «υποκείμενης» διαδικασίας επί της οποίας στηρίζεται η διαφορά ενώπιον του αιτούντος δικαστηρίου.

179. Κατά την άποψή μου, η φειδωλή αυτή στάση επιβάλλεται, κατά μείζονα λόγο επειδή το ζήτημα του κύρους της αποφάσεως για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής» δεν έχει ρητώς υποβληθεί στο Δικαστήριο –καθόσον, άλλωστε, η απόφαση αυτή αποτελεί ήδη το αντικείμενο προσφυγής ακυρώσεως που εκκρεμεί ενώπιον του Γενικού Δικαστηρίου της Ευρωπαϊκής Ένωσης (74).

180. Επιπλέον, αν το Δικαστήριο αποφανθεί επί των προαναφερομένων ζητημάτων, θεωρώ ότι θα διαταραχθεί η κανονική πορεία της διαδικασίας που θα πρέπει να διεξαχθεί μετά την έκδοση της αποφάσεως του Δικαστηρίου στην υπό κρίση υπόθεση. Στο πλαίσιο αυτής της διαδικασίας, ο ΕΠΔ θα πρέπει να εξετάσει την καταγγελία του M. Schrems λαμβάνοντας υπόψη την απάντηση που θα δώσει το Δικαστήριο στο ενδέκατο προδικαστικό ερώτημα. Αν το Δικαστήριο κρίνει όπως προτείνω, και αντιθέτως προς όσα υποστήριξε ενώπιόν του ο ΕΠΔ, ότι η απόφαση 2010/87 δεν είναι ανίσχυρη υπό το πρίσμα των άρθρων 7, 8 και 47 του Χάρτη, φρονώ ότι ο ΕΠΔ πρέπει να έχει τη δυνατότητα να επανεξετάσει τον φάκελο της εκκρεμούς ενώπιόν της διαδικασίας. Σε περίπτωση που ο ΕΠΔ κρίνει ότι δεν είναι σε θέση να αποφανθεί επί της καταγγελίας του M. Schrems χωρίς το Δικαστήριο να έχει προηγουμένως διευκρινίσει αν η απόφαση για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής» παραβιάζει την εκ μέρους του ΕΠΔ άσκηση των εξουσιών για την αναστολή της επίμαχης διαβιβάσεως και επιβεβαιώσει ότι εξακολουθεί να έχει αμφιβολίες ως προς το κύρος της αποφάσεως αυτής, έχει τη δυνατότητα να προσφύγει εκ νέου στα εθνικά δικαστήρια προκειμένου αυτά να υποβάλουν ερώτημα στο Δικαστήριο για το εν λόγω ζήτημα (75).

181. Στην περίπτωση αυτή θα ξεκινούσε μια διαδικασία η οποία θα έδινε τη δυνατότητα στους διαδίκους και σε κάθε ενδιαφερόμενο πρόσωπο του άρθρου 23, δεύτερο εδάφιο του Οργανισμού του Δικαστηρίου να καταθέσει στο Δικαστήριο παρατηρήσεις όσον αφορά ειδικά το ζήτημα του κύρους της αποφάσεως για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής», επισημαίνοντας, ενδεχομένως, τις συγκεκριμένες εκτιμήσεις που αμφισβητεί καθώς και τους λόγους για τους οποίους θεωρεί ότι η Επιτροπή υπερέβη τα όρια της περιορισμένης εξουσίας εκτιμήσεως που διέθετε (76). Στο πλαίσιο της διαδικασίας αυτής, η Επιτροπή θα είχε την ευκαιρία να απαντήσει επακριβώς και λεπτομερώς σε καθεμία από τις πιθανές επικρίσεις κατά της αποφάσεως εκείνης. Αν και η υπό κρίση υπόθεση έδωσε τη δυνατότητα στους διαδίκους και στους ενδιαφερομένους που κατέθεσαν παρατηρήσεις στο Δικαστήριο να τοποθετηθούν επί ορισμένων πτυχών που είναι κρίσιμες για την αξιολόγηση της συμβατότητας της αποφάσεως για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής» με τα άρθρα 7, 8 και 47 του Χάρτη, εντούτοις ως προς το ζήτημα αυτό αξίζει, λόγω της σπουδαιότητάς του, να γίνει διεξοδική και σε βάθος ανταλλαγή απόψεων.

182. Φρονώ ότι είναι πιο συνετό να έχουν γίνει τα διαδικαστικά αυτά βήματα πριν το Δικαστήριο αναλύσει πώς η απόφαση για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής» επηρεάζει την εξέταση την οποία διενεργεί μια αρχή ελέγχου όταν της υποβάλλεται αίτηση αναστολής διαβιβάσεως πραγματοποιούμενης βάσει του άρθρου 46, παράγραφος 1, του ΓΚΠΔ προς τις Ηνωμένες Πολιτείες, και πριν αποφανθεί επί του κύρους της συγκεκριμένης αποφάσεως.

183. Τούτο ισχύει, κατά μείζονα λόγο, στον βαθμό που από τη δικογραφία ενώπιον του Δικαστηρίου δεν συνάγεται ότι η εξέταση της καταγγελίας του M. Schrems από τον ΕΠΔ και η έκβασή της θα εξαρτηθούν κατ’ ανάγκην από το αν η απόφαση για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής» εμποδίζει τις αρχές ελέγχου να ασκήσουν την εξουσία τους να αναστείλουν διαβίβαση η οποία πραγματοποιείται βάσει τυποποιημένων συμβατικών ρητρών.

184. Συναφώς, πρώτον, δεν αποκλείεται ο ΕΠΔ να καταλήξει να αναστείλει την επίμαχη διαβίβαση για λόγους διαφορετικούς από αυτούς που αφορούν την προβαλλόμενη ανεπάρκεια του επιπέδου προστασίας το οποίο διασφαλίζεται στις Ηνωμένες Πολιτείες κατά προσβολών των θεμελιωδών δικαιωμάτων των υποκειμένων των δεδομένων, οφειλόμενων στις δραστηριότητες των αμερικανικών Υπηρεσιών Πληροφοριών. Ειδικότερα, το αιτούν δικαστήριο διευκρίνισε ότι ο M. Schrems υποστηρίζει, στην υποβληθείσα ενώπιον του ΕΠΔ καταγγελία του, ότι οι συμβατικές ρήτρες που επικαλείται η Facebook Ireland προς στήριξη της διαβιβάσεως δεν αποδίδουν πιστά τις ρήτρες του παραρτήματος της αποφάσεως 2010/87. Ο M. Schrems υποστηρίζει, εξάλλου, ότι η εν λόγω διαβίβαση δεν εμπίπτει στο πεδίο εφαρμογής της αποφάσεως 2010/87, αλλά στο πεδίο εφαρμογής άλλων αποφάσεων ΤΡΠ(77).

185. Δεύτερον, ο ΕΠΔ και το αιτούν δικαστήριο τόνισαν ότι η Facebook Ireland δεν επικαλέστηκε, προς στήριξη της μνημονευόμενης στην καταγγελία του M. Schrems διαβιβάσεως, την απόφαση για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής» (78), γεγονός το οποίο επιβεβαίωσε η εταιρία αυτή κατά την επ’ ακροατηρίου συζήτηση. Αν και η Facebook Inc., από τις 30 Σεπτεμβρίου 2016, αυτοπιστοποίησε την προσχώρησή της στις αρχές της Ασπίδας Προστασίας Ιδιωτικής Ζωής (79), η Facebook Ireland ισχυρίζεται ότι η προσχώρηση αυτή αφορά μόνον τη διαβίβαση ορισμένων κατηγοριών δεδομένων, συγκεκριμένα των δεδομένων που αφορούν τους εμπορικούς εταίρους της Facebook Inc. Φρονώ ότι δεν είναι σκόπιμο να προδικάσει το Δικαστήριο τυχόν ζητήματα τα οποία ενδέχεται να ανακύψουν συναφώς, εξετάζοντας κατά πόσον, ακόμη και αν υποτεθεί ότι η Facebook Ireland δεν μπορεί να επικαλεστεί την απόφαση 2010/87 προς στήριξη της επίμαχης διαβιβάσεως, η διαβίβαση αυτή καλύπτεται παρά ταύτα από την απόφαση για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής», μολονότι η Facebook Ireland δεν έχει προβάλει το ως άνω επιχείρημα ούτε ενώπιον του αιτούντος δικαστηρίου ούτε ενώπιον του ΕΠΔ.

186. Εξ αυτού συνάγω ότι παρέλκει η απάντηση στο δεύτερο, στο τρίτο, στο τέταρτο και στο πέμπτο προδικαστικό ερώτημα, καθώς και στο ένατο και στο δέκατο προδικαστικό ερώτημα, ενώ δεν συντρέχει επίσης λόγος να εξεταστεί το κύρος της αποφάσεως για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής».

7.      Επικουρικές παρατηρήσεις σχετικά με τις συνέπειες και το κύρος της αποφάσεως για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής»

187. Μολονότι η προεκτεθείσα ανάλυση με οδηγεί να προτείνω στο Δικαστήριο, κατ’ αρχήν, να μην αποφανθεί επί των συνεπειών που έχει η απόφαση για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής» τόσο ως προς την εξέταση μιας καταγγελίας όπως αυτή που υπέβαλε ο M. Schrems ενώπιον του ΕΠΔ όσο και ως προς το κύρος της αποφάσεως αυτής, θεώρησα εντούτοις ότι είναι χρήσιμο να αναπτύξω, επικουρικώς και με επιφυλάξεις, ορισμένες παρατηρήσεις επί του θέματος αυτού, χωρίς πάντως να το εξαντλήσω.

1.      Επί των συνεπειών που έχει η απόφαση για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής» στο πλαίσιο της εξετάσεως, από αρχή ελέγχου, μιας καταγγελίας σχετικά με τη νομιμότητα διαβιβάσεως που θεμελιώνεται σε συμβατικές εγγυήσεις

188. Με το ένατο προδικαστικό ερώτημα τίθεται το ζήτημα αν η διαπίστωση που έγινε στην απόφαση για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής» σε σχέση με το ικανοποιητικό επίπεδο προστασίας το οποίο διασφαλίζεται στις Ηνωμένες Πολιτείες, υπό το πρίσμα των περιορισμών που επιβάλλονται ως προς την πρόσβαση στα διαβιβαζόμενα δεδομένα και ως προς τη χρήση τους από τις αμερικανικές Υπηρεσίες για σκοπούς εθνικής ασφάλειας, καθώς και υπό το πρίσμα της έννομης προστασίας της οποίας τυγχάνουν τα υποκείμενα των δεδομένων, εμποδίζει την αρχή ελέγχου να αναστείλει μια διαβίβαση πραγματοποιούμενη προς την τρίτη αυτή χώρα δυνάμει τυποποιημένων συμβατικών ρητρών.

189. Φρονώ ότι το ζήτημα αυτό πρέπει να εξεταστεί υπό το πρίσμα των σκέψεων 51 και 52 της αποφάσεως Schrems, από τις οποίες προκύπτει ότι η απόφαση επάρκειας δεσμεύει τις αρχές ελέγχου εφόσον και καθ’ όσον χρόνο δεν έχει κηρυχθεί ανίσχυρη. Επομένως, η αρχή ελέγχου στην οποία υποβάλλεται η καταγγελία προσώπου του οποίου τα δεδομένα διαβιβάζονται προς την τρίτη χώρα την οποία αφορά απόφαση επάρκειας, δεν επιτρέπεται να αναστείλει τη διαβίβαση για τον λόγο ότι το επίπεδο προστασίας στη χώρα αυτή δεν είναι ικανοποιητικό, αν το Δικαστήριο δεν έχει προηγουμένως κρίνει την απόφαση αυτή ανίσχυρη (80).

190. Το αιτούν δικαστήριο ζητεί βασικά να μάθει αν, προκειμένου περί αποφάσεως επάρκειας –όπως η απόφαση για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής» ή, πριν από αυτήν, η απόφαση περί «ασφαλούς λιμένα»– η οποία στηρίζεται στην οικειοθελή προσχώρηση επιχειρήσεων στις αρχές που θέτει η αντίστοιχη απόφαση, το ως άνω συμπέρασμα ισχύει μόνο στο μέτρο που η διαβίβαση προς την επίμαχη τρίτη χώρα καλύπτεται από τη συγκεκριμένη απόφαση, ή και όταν η απόφαση επάρκειας στηρίζεται σε διαφορετική νομική βάση.

191. Κατά τον M. Schrems, τη Γερμανική, την Ολλανδική, την Πολωνική και την Πορτογαλική Κυβέρνηση καθώς και την Επιτροπή, η διαπίστωση περί επάρκειας η οποία περιέχεται στην απόφαση για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής» δεν στερεί τις αρχές ελέγχου από την εξουσία που έχουν να αναστέλλουν ή να απαγορεύουν διαβίβαση προς τις Ηνωμένες Πολιτείες πραγματοποιούμενη δυνάμει τυποποιημένων συμβατικών ρητρών. Όταν η διαβίβαση προς τις Ηνωμένες Πολιτείες δεν στηρίζεται στην απόφαση για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής», οι αρχές ελέγχου τυπικώς δεν δεσμεύονται από την απόφαση αυτή στο πλαίσιο της ασκήσεως των εξουσιών που τους απονέμει το άρθρο 58, παράγραφος 2, του ΓΚΠΔ. Με άλλα λόγια, οι αρχές αυτές μπορούν να αποστασιοποιηθούν από τις διαπιστώσεις στις οποίες προέβη η Επιτροπή όσον αφορά την επάρκεια του επιπέδου προστασίας από τις επεμβάσεις των αμερικανικών δημοσίων αρχών κατά την άσκηση των θεμελιωδών δικαιωμάτων των υποκειμένων των δεδομένων. Ωστόσο, η Ολλανδική Κυβέρνηση και η Επιτροπή διευκρινίζουν ότι οι αρχές ελέγχου οφείλουν να λαμβάνουν υπόψη τις διαπιστώσεις αυτές όταν κάνουν χρήση των εξουσιών τους. Κατά την άποψη της Γερμανικής Κυβερνήσεως, οι αρχές ελέγχου δεν μπορούν να προβούν σε εκτιμήσεις αντίθετες προς τις διαπιστώσεις της Επιτροπής παρά μόνο μετά από επί της ουσίας εξέταση που θα περιλαμβάνει τις κατάλληλες έρευνες.

192. Αντιθέτως, η Facebook Ireland και η Κυβέρνηση των Ηνωμένων Πολιτειών υποστηρίζουν, κατ’ ουσίαν, ότι το δεσμευτικό αποτέλεσμα αποφάσεως επάρκειας συνεπάγεται, υπό το πρίσμα των επιταγών της ασφάλειας δικαίου και της ομοιόμορφης εφαρμογής του δικαίου της Ένωσης, ότι οι αρχές ελέγχου δεν μπορούν να θέσουν υπό αμφισβήτηση τις διαπιστώσεις οι οποίες περιλαμβάνονται στην απόφαση επάρκειας, ακόμη και στο πλαίσιο της εξετάσεως καταγγελίας για την αναστολή διαβιβάσεων που πραγματοποιούνται προς την επίμαχη τρίτη χώρα δυνάμει νομικής βάσεως διαφορετικής από την απόφαση αυτή.

193. Συμφωνώ με την πρώτη από τις δύο αυτές προσεγγίσεις. Δεδομένου ότι το πεδίο εφαρμογής της αποφάσεως για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής» περιορίζεται στις διαβιβάσεις που εκτελούνται προς επιχείρηση που έχει αυτοπιστοποιηθεί στο πλαίσιο αυτής της αποφάσεως, η εν λόγω απόφαση δεν δεσμεύει τυπικώς τις αρχές ελέγχου όσον αφορά διαβιβάσεις που δεν εμπίπτουν στο πεδίο εφαρμογής της. Αντιστοίχως, η απόφαση για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής» στοχεύει να διαφυλάξει την ασφάλεια δικαίου μόνον υπέρ των εξαγωγέων που διαβιβάζουν δεδομένα στο πλαίσιο το οποίο αυτή θεσπίζει. Κατά την άποψή μου, σκοπός της ανεξαρτησίας που αναγνωρίζει το άρθρο 52 του ΓΚΠΔ στις αρχές ελέγχου είναι να μη δεσμεύονται οι αρχές ελέγχου από τις διαπιστώσεις στις οποίες προβαίνει η Επιτροπή στην απόφαση επάρκειας ακόμη και πέραν του πεδίου εφαρμογής της.

194. Προφανώς, οι διαπιστώσεις που περιλαμβάνονται στην απόφαση για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής» σε σχέση με την επάρκεια του επιπέδου προστασίας το οποίο εξασφαλίζεται στις Ηνωμένες Πολιτείες από τις επεμβάσεις που συνδέονται με τις δραστηριότητες των εθνικών Υπηρεσιών Πληροφοριών, αποτελούν το σημείο αφετηρίας της αναλύσεως με την οποία αρχή ελέγχου αξιολογεί, κατά περίπτωση, αν μια διαβίβαση που στηρίζεται σε τυποποιημένες συμβατικές ρήτρες πρέπει να ανασταλεί λόγω αυτών των επεμβάσεων. Εντούτοις, αν η αρχή ελέγχου, μετά το πέρας διεξοδικής έρευνας, κρίνει ότι δεν μπορεί να δεχθεί αυτές τις διαπιστώσεις όσον αφορά τη διαβίβαση που της έχει γνωστοποιηθεί, η αρμόδια αρχή ελέγχου, κατά την άποψή μου, έχει τη δυνατότητα να ασκήσει τις εξουσίες που της παρέχει το άρθρο 58, παράγραφος 2, στοιχείο στʹ και ιʹ, του ΓΚΠΔ.

195. Τούτου δοθέντος, σε περίπτωση που το Δικαστήριο δώσει στο υπό κρίση ερώτημα απάντηση αντίθετη προς αυτή που υποστηρίζω, θα πρέπει να εξεταστεί αν, παρά ταύτα, οι εξουσίες αυτές πρέπει να αποδοθούν εκ νέου στις αρχές ελέγχου λόγω του ανίσχυρου της αποφάσεως για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής».

2.      Επί του κύρους της αποφάσεως για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής» 

196. Οι παρατηρήσεις οι οποίες ακολουθούν θέτουν ορισμένα ερωτήματα ως προς τη βασιμότητα των εκτιμήσεων που διατυπώνονται στην απόφαση για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής» όσον αφορά το ικανοποιητικό, κατά την έννοια του άρθρου 45, παράγραφος 1, του ΓΚΠΔ, επίπεδο προστασίας το οποίο διασφαλίζουν οι Ηνωμένες Πολιτείες σχετικά με τις δραστηριότητες παρακολουθήσεως των ηλεκτρονικών επικοινωνιών που διενεργούνται από τις αμερικανικές Υπηρεσίες Πληροφοριών. Με τις παρατηρήσεις αυτές δεν πρόκειται να παρουσιάσω οριστική ή ολοκληρωμένη άποψη επί του κύρους της αποφάσεως αυτής. Διατυπώνω απλώς ορισμένες σκέψεις που μπορεί να αποδειχθούν χρήσιμες για το Δικαστήριο εφόσον κρίνει, αντιθέτως προς την πρότασή μου, ότι είναι σκόπιμο να αποφανθεί επί του ζητήματος.

197. Επ’ αυτού, από την αιτιολογική σκέψη 64 και από το σημείο I.5 του παραρτήματος II της αποφάσεως για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής» ζωής» προκύπτει ότι η προσχώρηση επιχειρήσεων στις αρχές που διατυπώνονται στην εν λόγω απόφαση μπορεί να περιοριστεί, μεταξύ άλλων, από απαιτήσεις σχετικές με την εθνική ασφάλεια, το δημόσιο συμφέρον και την τήρηση της νομοθεσίας ή από αντιφατικές υποχρεώσεις τις οποίες επιβάλλει το αμερικανικό δίκαιο.

198. Επομένως, η Επιτροπή αξιολόγησε τις προβλεπόμενες στο δίκαιο των Ηνωμένων Πολιτειών εγγυήσεις όσον αφορά την πρόσβαση των διαβιβαζόμενων δεδομένων και τη χρήση τους από τις δημόσιες αμερικανικές αρχές για λόγους, ειδικότερα, εθνικής ασφάλειας (81). Η Επιτροπή έλαβε από την Αμερικανική Κυβέρνηση ορισμένες δεσμεύσεις που αφορούν, αφενός, τους περιορισμούς στην πρόσβαση και στη χρήση των διαβιβαζόμενων δεδομένων από τις αμερικανικές αρχές καθώς και, αφετέρου, τη νομική προστασία η οποία παρέχεται στα υποκείμενα των δεδομένων (82).

199. Ενώπιον του Δικαστηρίου, ο M. Schrems προβάλλει τον ισχυρισμό ότι η απόφαση για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής» είναι ανίσχυρη για τον λόγο ότι οι ούτως περιγραφόμενες εγγυήσεις δεν αρκούν για την εξασφάλιση ικανοποιητικού επιπέδου προστασίας των θεμελιωδών δικαιωμάτων των προσώπων των οποίων τα δεδομένα διαβιβάζονται προς τις Ηνωμένες Πολιτείες. Ο ΕΠΔ, το EPIC καθώς και η Αυστριακή, η Πολωνική και η Πορτογαλική Κυβέρνηση, χωρίς να αμφισβητούν ευθέως το κύρος της σχετικής αποφάσεως, αμφισβητούν τις εκτιμήσεις στις οποίες προέβη η Επιτροπή σχετικά με την επάρκεια του επιπέδου προστασίας έναντι επεμβάσεων που προέρχονται από δραστηριότητες των αμερικανικών Υπηρεσιών Πληροφοριών. Οι αμφιβολίες αυτές απηχούν τις ανησυχίες που έχουν εκφράσει το Κοινοβούλιο (83), το ΕΣΠΔ (84) και ο ΕΕΠΔ [Ευρωπαίος Επόπτης Προστασίας Δεδομένων] (85).

200. Πριν εξετάσω τη βασιμότητα της διαπιστώσεως περί υπάρξεως επάρκειας, στην οποία προέβη η Επιτροπή με την απόφαση για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής», είναι αναγκαίο να διευκρινίσω τη μεθοδολογία στην οποία στηρίζεται η εξέταση αυτή.

1)      Διευκρινίσεις ως προς το περιεχόμενο της εξετάσεως του κύρους της αποφάσεως επάρκειας

1)      Επί των όρων της συγκρίσεως που καθιστούν δυνατή την αξιολόγηση της «ουσιαστικής ισοδυναμίας» του επιπέδου προστασίας

201. Σύμφωνα με το άρθρο 45, παράγραφος 3, του ΓΚΠΔ και τη νομολογία του Δικαστηρίου (86), η Επιτροπή μπορεί να διαπιστώσει ότι τρίτη χώρα εξασφαλίζει ικανοποιητικό επίπεδο προστασίας μόνον εφόσον έχει κρίνει, δεόντως αιτιολογημένα, ότι το επίπεδο προστασίας των θεμελιωδών δικαιωμάτων των υποκειμένων των δεδομένων είναι «ουσιαστικά ισοδύναμο» με εκείνο που απαιτείται στην Ένωση δυνάμει του κανονισμού αυτού σε συνδυασμό με τον Χάρτη.

202. Επομένως, ο έλεγχος της επάρκειας του επιπέδου προστασίας που διασφαλίζεται σε τρίτη χώρα συνεπάγεται κατ’ ανάγκην σύγκριση μεταξύ, αφενός, των κανόνων και των πρακτικών που ισχύουν στην τρίτη χώρα, και, αφετέρου, των προδιαγραφών προστασίας στην Ένωση. Με το δεύτερο ερώτημά του, το αιτούν δικαστήριο ζητεί από το Δικαστήριο να διευκρινίσει τους όρους αυτής της συγκρίσεως (87).

203. Ειδικότερα, το αιτούν δικαστήριο ζητεί να διευκρινιστεί αν η αρμοδιότητα που επιφυλάσσει το άρθρο 4, παράγραφος 2, ΣΕΕ και το άρθρο 2, παράγραφος 2, του ΓΚΠΔ στα κράτη μέλη στον τομέα της προστασίας της εθνικής ασφάλειας σημαίνει ότι η έννομη τάξη της Ένωσης δεν περιλαμβάνει προδιαγραφές προστασίας με τις οποίες πρέπει να συγκρίνονται, για την αξιολόγηση της καταλληλότητας τους, οι εγγυήσεις που πλαισιώνουν, σε μια τρίτη χώρα, την επεξεργασία στην οποία υποβάλλουν οι δημόσιες αρχές, για σκοπούς προστασίας της εθνικής ασφάλειας, τα εκεί διαβιβαζόμενα δεδομένα. Σε περίπτωση καταφατικής απαντήσεως, το αιτούν δικαστήριο ζητεί διευκρινίσεις για το πώς πρέπει να καθοριστεί το οικείο πλαίσιο αναφοράς.

204. Επ’ αυτού, πρέπει να υπομνησθεί ότι ο λόγος υπάρξεως των περιορισμών που επιβάλλει το δίκαιο της Ένωσης στις διεθνείς διαβιβάσεις δεδομένων προσωπικού χαρακτήρα, απαιτώντας να διασφαλίζεται η συνέχεια του επιπέδου προστασίας των δικαιωμάτων των υποκειμένων των δεδομένων, είναι η αποτροπή του κινδύνου καταστρατηγήσεως των προδιαγραφών που ισχύουν στην Ένωση (88). Όπως υποστήριξε κατ’ ουσίαν η Facebook Ireland, δεν δικαιολογείται κατ’ ουδένα τρόπο, υπό το πρίσμα του σκοπού αυτού, να οφείλει μια τρίτη χώρα να τηρεί απαιτήσεις οι οποίες δεν αντιστοιχούν σε υποχρεώσεις των κρατών μελών.

205. Όμως, σύμφωνα με το άρθρο 51, παράγραφος 1 του Χάρτη, ο Χάρτης εφαρμόζεται στα κράτη μέλη μόνον όταν αυτά εφαρμόζουν το δίκαιο της Ένωσης. Επομένως, το κύρος αποφάσεως επάρκειας, υπό το πρίσμα των περιορισμών που απορρέουν από τις κανονιστικές ρυθμίσεις της τρίτης χώρας προορισμού για την άσκηση των θεμελιωδών δικαιωμάτων των υποκειμένων των δεδομένων, εξαρτάται από τη σύγκριση μεταξύ αυτών των περιορισμών και των περιορισμών τους οποίους οι διατάξεις του Χάρτη θα επέτρεπαν να λάβουν τα κράτη μέλη μόνο στο μέτρο που μια παρόμοια ρύθμιση κράτους μέλους θα ενέπιπτε στο πεδίο εφαρμογής του δικαίου της Ένωσης.

206. Ωστόσο, η επάρκεια του επιπέδου προστασίας που εξασφαλίζεται εντός του τρίτου κράτους προορισμού δεν μπορεί να εκτιμηθεί χωρίς να ληφθούν υπόψη ενδεχόμενες επεμβάσεις στην άσκηση των θεμελιωδών δικαιωμάτων των υποκειμένων των δεδομένων οι οποίες οφείλονται σε κρατικά μέτρα, ιδίως στον τομέα της εθνικής ασφάλειας, μέτρα που, αν λαμβάνονταν από κράτος μέλος, δεν θα ενέπιπταν στο πεδίο εφαρμογής του δικαίου της Ένωσης. Για τους σκοπούς της εκτιμήσεως αυτής, το άρθρο 45, παράγραφος 2, στοιχείο αʹ, του ΓΚΠΔ απαιτεί να λαμβάνονται υπόψη, χωρίς κανένα περιορισμό, οι ισχύουσες στο εν λόγω τρίτο κράτος κανονιστικές ρυθμίσεις στον τομέα της εθνικής ασφάλειας.

207. Η αξιολόγηση της επάρκειας του επιπέδου προστασίας υπό το πρίσμα των κρατικών αυτών μέτρων συνεπάγεται, κατά την άποψή μου, τη σύγκριση των εγγυήσεων που συνοδεύουν τα κρατικά μέτρα με το επίπεδο προστασίας το οποίο απαιτείται στην Ένωση δυνάμει του δικαίου των κρατών μελών, συμπεριλαμβανομένων των δεσμεύσεών τους βάσει της ΕΣΔΑ. Εφόσον η προσχώρηση των κρατών μελών στην ΕΣΔΑ επιβάλλει στα κράτη μέλη την υποχρέωση να μεριμνούν ώστε το εθνικό τους δίκαιο να είναι σύμφωνο με τις διατάξεις αυτής της Συμβάσεως και επομένως αποτελεί, όπως υπογράμμισαν κατ’ ουσίαν η Facebook Ireland, η Γερμανική και η Τσεχική Κυβέρνηση καθώς και η Επιτροπή, κοινό παρονομαστή των κρατών μελών, θα θεωρήσω τις διατάξεις της ως κατάλληλο κριτήριο συγκρίσεως για τους σκοπούς αυτής της αξιολογήσεως.

208. Εν προκειμένω, όπως αναφέρθηκε ανωτέρω (89), οι απαιτήσεις που αφορούν την εθνική ασφάλεια των Ηνωμένων Πολιτειών υπερισχύουν των υποχρεώσεων των επιχειρήσεων που έχουν αυτοπιστοποιηθεί στο πλαίσιο της αποφάσεως για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής». Επίσης, το κύρος της ως άνω αποφάσεως εξαρτάται από το αν οι απαιτήσεις αυτές περιβάλλονται από εγγυήσεις που παρέχουν επίπεδο προστασίας ουσιαστικά ισοδύναμο με εκείνο το οποίο πρέπει να κατοχυρώνεται εντός της Ένωσης.

209. Για να δοθεί απάντηση στο ερώτημα αυτό απαιτείται, προηγουμένως, να προσδιορισθούν οι προδιαγραφές –όπως προκύπτουν από τον Χάρτη ή από την ΕΣΔΑ– στις οποίες πρέπει να ανταποκρίνονται, εντός της Ένωσης, κανονιστικές ρυθμίσεις σχετικές την παρακολούθηση των ηλεκτρονικών επικοινωνιών, παρόμοιες με εκείνες που εξέτασε η Επιτροπή στην απόφαση για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής». Ο προσδιορισμός των εφαρμοστέων προδιαγραφών εξαρτάται από το κατά πόσον ρυθμίσεις όπως το άρθρο 702 του νόμου FISA και το E.O. 12333, αν προέρχονταν από κράτος μέλος, θα καταλαμβάνονταν από τον περιορισμό τον οποίο θέτει στο πεδίο εφαρμογής του ΓΚΠΔ το άρθρο 2, παράγραφος 2, του κανονισμού αυτού, σε συνδυασμό με το άρθρο 4, παράγραφος 2, ΣΕΕ.

210. Επ’ αυτού, από το γράμμα του άρθρου 4, παράγραφος 2, ΣΕΕ και από την πάγια νομολογία προκύπτει ότι το δίκαιο της Ένωσης και, ιδίως, οι πράξεις του παράγωγου δικαίου οι οποίες έχουν ως αντικείμενο την προστασία των δεδομένων προσωπικού χαρακτήρα δεν εφαρμόζονται σε δραστηριότητες σχετικές με την προστασία της εθνικής ασφάλειας, εφόσον πρόκειται για δραστηριότητες που ασκούνται αποκλειστικώς από τα κράτη ή από τις κρατικές αρχές και δεν αφορούν τους τομείς δραστηριότητας των ιδιωτών (90).

211. Η αρχή αυτή συνεπάγεται, αφενός, ότι κανονιστικές ρυθμίσεις στον τομέα της προστασίας της εθνικής ασφάλειας δεν εμπίπτουν στο πεδίο εφαρμογής του δικαίου της Ένωσης όταν διέπουν αποκλειστικά κρατικές δραστηριότητες, χωρίς να περιλαμβάνουν δραστηριότητες που ασκούνται από ιδιώτες. Συνεπώς, το δίκαιο αυτό δεν έχει, κατά τη γνώμη μου, εφαρμογή στην περίπτωση εθνικών μέτρων που διέπουν τη συλλογή και τη χρήση προσωπικών δεδομένων και τίθενται απευθείας σε εφαρμογή από το κράτος με σκοπό την προστασία της εθνικής ασφάλειας, χωρίς να επιβάλλουν ειδικές υποχρεώσεις σε ιδιωτικούς φορείς. Ειδικότερα, όπως υποστήριξε η Επιτροπή κατά την επ’ ακροατηρίου συζήτηση, μέτρο το οποίο λαμβάνεται από κράτος μέλος και επιτρέπει, όπως και το E.O. 12333, την άμεση πρόσβαση των υπηρεσιών ασφαλείας στα υπό διαμετακόμιση δεδομένα, δεν εμπίπτει στο πεδίο εφαρμογής του δικαίου της Ένωσης (91).

212. Πολύ πιο σύνθετο είναι το ζήτημα αν, αφετέρου, δεν εμπίπτουν στο πεδίο εφαρμογής του δικαίου της Ένωσης ούτε εθνικές διατάξεις οι οποίες, όπως το άρθρο 702 του FISA, επιβάλλουν υποχρέωση στους παρόχους υπηρεσιών ηλεκτρονικών επικοινωνιών να προσφέρουν την υποστήριξή τους στις αρμόδιες για την εθνική ασφάλεια αρχές επιτρέποντάς τους την πρόσβαση σε ορισμένα δεδομένα προσωπικού χαρακτήρα.

213. Μολονότι η απόφαση PNR συνηγορεί υπέρ της καταφατικής απαντήσεως στο ερώτημα αυτό, ωστόσο το σκεπτικό το οποίο ανέπτυξε το Δικαστήριο στις αποφάσεις Tele2 Sverige και Ministerio Fiscal μπορεί να δικαιολογήσει αρνητική απάντηση.

214. Με την απόφαση PNR το Δικαστήριο ακύρωσε την απόφαση με την οποία η Επιτροπή διαπίστωσε την επάρκεια του επιπέδου προστασίας των δεδομένων προσωπικού χαρακτήρα τα οποία περιλαμβάνονται στους φακέλους των επιβατών αεροπορικών μεταφορών που διαβιβάζονται στην αρμόδια Αμερικάνικη Υπηρεσία Τελωνείων και Προστασίας των Συνόρων (92). Το Δικαστήριο έκρινε ότι η επεξεργασία την οποία αφορούσε αυτή η απόφαση –συγκεκριμένα η διαβίβαση των δεδομένων PNR από τις αεροπορικές εταιρίες προς την ως άνω αρχή– δεν ενέπιπτε, λαμβανομένου υπόψη του αντικειμένου της, στο πεδίο εφαρμογής της οδηγίας 95/46, κατ’ εφαρμογήν της εξαιρέσεως που προβλέπεται στο άρθρο 3, παράγραφος 2. Κατά το Δικαστήριο, η επεξεργασία αυτή δεν ήταν αναγκαία για την παροχή των υπηρεσιών, αλλά αναγκαία για την προάσπιση της δημόσιας ασφάλειας και για κατασταλτικούς σκοπούς. Εφόσον η επίμαχη διαβίβαση εντασσόταν σε ένα πλαίσιο που είχαν δημιουργήσει οι δημόσιες αρχές σχετικά με τη δημόσια ασφάλεια, εξαιρούνταν από το πεδίο εφαρμογής της οδηγίας, παρά το γεγονός ότι τα δεδομένα PNR αρχικώς είχαν συλλεγεί από ιδιωτικούς φορείς στο πλαίσιο εμπορικής δραστηριότητας που ενέπιπτε στο εν λόγω πεδίο εφαρμογής και ότι η διαβίβαση αυτή είχε οργανωθεί από αυτούς τους ιδιωτικούς φορείς (93).

215. Στη μεταγενέστερη απόφαση Tele2 Sverige (94), το Δικαστήριο έκρινε ότι οι εθνικές διατάξεις που θεμελιώνονται στο άρθρο 15, παράγραφος 1, της οδηγίας 2002/58 (95) και διέπουν τόσο τη φύλαξη από τους παρόχους τηλεπικοινωνιακών υπηρεσιών δεδομένων κίνησης και δεδομένων θέσης όσο και την πρόσβαση των δημοσίων αρχών στα διατηρούμενα δεδομένα για τους μνημονευόμενους στην εν λόγω διάταξη σκοπούς –οι οποίοι περιλαμβάνουν την ποινική καταστολή και την προστασία της εθνικής ασφάλειας– εμπίπτουν στο πεδίο εφαρμογής της οδηγίας αυτής και, ως εκ τούτου, του Χάρτη. Κατά το Δικαστήριο, ούτε οι σχετικές με τη φύλαξη των δεδομένων διατάξεις ούτε οι διατάξεις που αφορούν την πρόσβαση στα διατηρούμενα δεδομένα δεν καλύπτονται από την εξαίρεση από το πεδίο εφαρμογής της οδηγίας αυτής, η οποία προβλέπεται στο άρθρο 1, παράγραφος 3, όπου μνημονεύονται, μεταξύ άλλων, οι δραστηριότητες του κράτους στον τομέα της καταστολής και της προστασίας της εθνικής ασφάλειας (96). Το Δικαστήριο επιβεβαίωσε τη νομολογία αυτή με την απόφαση Ministerio Fiscal (97).

216. Ωστόσο, το άρθρο 702 του νόμου FISA διαφέρει από τη ρύθμιση εκείνη, καθόσον η διάταξη αυτή, ελλείψει αιτήσεως προσβάσεως στα δεδομένα εκ μέρους των Υπηρεσιών Πληροφοριών, δεν επιβάλλει στους παρόχους υπηρεσιών ηλεκτρονικών επικοινωνιών υποχρέωση να διατηρούν τα δεδομένα ούτε υποχρέωση να προβούν σε οποιαδήποτε άλλη επεξεργασία.

217. Επομένως, τίθεται το ζήτημα αν εμπίπτουν στο πεδίο εφαρμογής του ΓΚΠΔ και, ως εκ τούτου, του Χάρτη, εθνικά μέτρα που επιβάλλουν στους εν λόγω παρόχους υποχρέωση να θέτουν στη διάθεση δημοσίων αρχών συγκεκριμένα δεδομένα για σκοπούς εθνικής ασφάλειας ανεξαρτήτως οποιασδήποτε υποχρεώσεως διατηρήσεως (98).

218. Μια πρώτη προσέγγιση μπορεί να συνίσταται σε συμβιβασμό, κατά το μέτρο του δυνατού, των δύο προαναφερθεισών νομολογιακών γραμμών, μέσω της ερμηνείας του συμπεράσματος στο οποίο κατέληξε το Δικαστήριο με τις αποφάσεις Tele2 Sverige και Ministerio Fiscal, σχετικά με τη δυνατότητα εφαρμογής του δικαίου της Ένωσης στα μέτρα που διέπουν την πρόσβαση στα δεδομένα από τις εθνικές αρχές για σκοπούς, ιδίως προστασίας της εθνικής ασφάλειας (99), υπό την έννοια ότι ισχύει αποκλειστικώς και μόνο στις περιπτώσεις όπου τα δεδομένα έχουν διατηρηθεί βάσει νόμιμης υποχρεώσεως θεσπισθείσας δυνάμει του άρθρου 15, παράγραφος 1, της οδηγίας 2002/58. Αντιθέτως, κατά την προσέγγιση αυτή, το ως άνω συμπέρασμα δεν ισχύει στην περίπτωση της αποφάσεως PNR όπου το πραγματικό πλαίσιο ήταν διαφορετικό καθώς αφορούσε τη διαβίβαση σε αρμόδια για την εσωτερική ασφάλεια αμερικανική αρχή δεδομένων που διατηρούσαν οι αεροπορικές εταιρίες για εμπορικό σκοπό, με δική τους πρωτοβουλία.

219. Σύμφωνα με μια δεύτερη προσέγγιση, η οποία προτείνεται από την Επιτροπή και είναι κατ’ εμέ πιο πειστική, το σκεπτικό που ανέπτυξε το Δικαστήριο στις αποφάσεις Tele2 Sverige και Ministerio Fiscal δικαιολογεί την εφαρμογή του δικαίου της Ένωσης σε εθνικούς κανόνες οι οποίοι επιβάλλουν στους παρόχους υπηρεσιών ηλεκτρονικών επικοινωνιών την υποχρέωση να παρέχουν συνδρομή στις αρχές που είναι επιφορτισμένες με τη διαφύλαξη της εθνικής ασφάλειας, προκειμένου οι εν λόγω αρχές να έχουν πρόσβαση σε συγκεκριμένα δεδομένα, χωρίς να έχει σημασία αν οι κανόνες αυτοί περιλαμβάνουν υποχρέωση προηγούμενης διατηρήσεως των δεδομένων.

220. Συγκεκριμένα, ο πυρήνας του σκεπτικού αυτού δεν στηρίζεται στον σκοπό των επίμαχων διατάξεων, όπως στην απόφαση PNR, αλλά στο γεγονός ότι οι διατάξεις αυτές ρύθμιζαν τις δραστηριότητες των παρόχων επιβάλλοντας σε αυτούς την υποχρέωση να διενεργούν επεξεργασία δεδομένων. Οι δραστηριότητες αυτές δεν αποτελούσαν κρατικές δραστηριότητες στους τομείς του άρθρου 1, παράγραφος 3, της οδηγίας 2002/58 και του άρθρου 3, παράγραφος 2, της οδηγίας 95/46, της οποίας το περιεχόμενο επαναλαμβάνεται κατ’ ουσίαν στο άρθρο 2, παράγραφος 2, του ΓΚΠΔ.

221. Έτσι, στην απόφαση Tele2 Sverige, το Δικαστήριο επισήμανε ότι η «πρόσβαση στα δεδομένα που αυτοί [οι πάροχοι] διατηρούν αφορά επεξεργασία δεδομένων προσωπικού χαρακτήρα εκ μέρους τους η οποία εμπίπτει στο πεδίο εφαρμογής της ίδιας οδηγίας» (100). Ομοίως, το Δικαστήριο, στην απόφαση Ministerio Fiscal, έκρινε ότι τα νομοθετικά μέτρα που επιβάλλουν στους παρόχους την υποχρέωση να παρέχουν στις αρμόδιες αρχές πρόσβαση στα διατηρούμενα δεδομένα «συνεπάγονται κατ’ ανάγκην επεξεργασία των εν λόγω δεδομένων από τους παρόχους αυτούς» (101).

222. Η δε διάθεση δεδομένων σε δημόσια αρχή από τον υπεύθυνο επεξεργασίας ανταποκρίνεται στον ορισμό της «επεξεργασίας», όπως προβλέπεται στο άρθρο 4, σημείο 2, του ΓΚΠΔ (102). Το ίδιο συμβαίνει και με το προηγούμενο φιλτράρισμα των δεδομένων με τη χρήση κριτηρίων αναζητήσεως προκειμένου να απομονωθούν τα δεδομένα στα οποία ζήτησαν πρόσβαση οι δημόσιες αρχές (103).

223. Εξ αυτού συνάγω ότι, σύμφωνα με το σκεπτικό του Δικαστηρίου στις αποφάσεις Tele2 Sverige και Ministerio Fiscal, ο ΓΚΠΔ και, ως εκ τούτου, ο Χάρτης εφαρμόζονται σε εθνική ρύθμιση που επιβάλλει σε πάροχο υπηρεσιών ηλεκτρονικών επικοινωνιών την υποχρέωση να συνδράμει τις επιφορτισμένες με την εθνική ασφάλεια αρχές θέτοντας στη διάθεσή τους δεδομένα, ενδεχομένως αφού τα έχει φιλτράρει, ακόμη και ανεξαρτήτως από οποιαδήποτε νόμιμη υποχρέωση διατήρησης των δεδομένων αυτών.

224. Επιπλέον, η ως άνω ερμηνεία φαίνεται να συνάγεται τουλάχιστον εμμέσως, και από την απόφαση Schrems. Όπως υπογράμμισαν ο ΕΠΔ, η Αυστριακή και η Πολωνική Κυβέρνηση, καθώς και η Επιτροπή, το Δικαστήριο, στο πλαίσιο της εξετάσεως του κύρους της αποφάσεως περί «ασφαλούς λιμένα», έκρινε στην απόφαση εκείνη ότι το δίκαιο της τρίτης χώρας την οποία αφορά απόφαση επάρκειας πρέπει να προβλέπει κατά των επεμβάσεων που γίνονται από τις δημόσιες αρχές της χώρας αυτής στα θεμελιώδη δικαιώματα των υποκειμένων των δεδομένων για σκοπούς εθνικής ασφάλειας, ουσιαστικά ισοδύναμες εγγυήσεις με εκείνες που απορρέουν, μεταξύ άλλων, από τα άρθρα 7, 8 και 47 του Χάρτη (104).

225. Συνεπώς, πιο συγκεκριμένα, εθνικό μέτρο το οποίο επιβάλλει στους παρόχους υπηρεσιών ηλεκτρονικών επικοινωνιών την υποχρέωση να ανταποκρίνονται σε αίτημα των αρμόδιων σε θέματα εθνικής ασφάλειας αρχών για πρόσβαση σε συγκεκριμένα δεδομένα που διατηρούν οι εν λόγω πάροχοι στο πλαίσιο των εμπορικών τους δραστηριοτήτων ανεξάρτητα από οποιαδήποτε νόμιμη υποχρέωση, προσδιορίζοντας εκ των προτέρων τα ζητούμενα δεδομένα με την εφαρμογή κριτηρίων επιλογής (όπως στο πλαίσιο του προγράμματος PRISM), δεν εμπίπτει στο άρθρο 2, παράγραφος 2, του ΓΚΠΔ. Το ίδιο ισχύει για εθνικό μέτρο το οποίο επιβάλλει στις επιχειρήσεις που εκμεταλλεύονται τον «κορμό» των τηλεπικοινωνιών την υποχρέωση να παρέχουν πρόσβαση στις επιφορτισμένες με την εθνική ασφάλεια αρχές σε δεδομένα που διαμετακομίζονται μέσω των υποδομών τις οποίες εκμεταλλεύονται (όπως στο πλαίσιο του προγράμματος Upstream).

226. Αντιθέτως, από τη στιγμή που τα επίμαχα δεδομένα περιέλθουν στην κατοχή των κρατικών αρχών, η διατήρησή τους και η περαιτέρω χρήση τους από αυτές για σκοπούς εθνικής ασφάλειας καλύπτονται, κατά τη γνώμη μου, για τους ίδιους λόγους με εκείνους που εκτίθενται στο σημείο 211 των παρουσών προτάσεων, από την εξαίρεση την οποία προβλέπει το άρθρο 2, παράγραφος 2, του ΓΚΠΔ, οπότε δεν εμπίπτουν στο πεδίο εφαρμογής του κανονισμού αυτού, ούτε, ως εκ τούτου, του Χάρτη.

227. Για να συνοψίσω όλα τα ανωτέρω, φρονώ ότι ο έλεγχος του κύρους της αποφάσεως για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής» υπό το πρίσμα τυχόν περιορισμών που συνεπάγονται, ως προς τις αρχές οι οποίες διατυπώνονται εκεί, οι δραστηριότητες των αμερικανικών Υπηρεσιών Πληροφοριών, προϋποθέτει την εξέταση δύο ζητημάτων.

228. Πρώτον, πρέπει να εξεταστεί αν οι Ηνωμένες Πολιτείες διασφαλίζουν επίπεδο προστασίας ουσιαστικά ισοδύναμο με εκείνο το οποίο απορρέει από τις διατάξεις του ΓΚΠΔ και του Χάρτη έναντι των περιορισμών που οφείλονται στην εφαρμογή του άρθρου 702 του νόμου FISA, καθόσον η διάταξη αυτή παρέχει στην NSA τη δυνατότητα να επιβάλλει στους παρόχους την υποχρέωση να θέτουν προσωπικά δεδομένα στη διάθεση της.

229. Δεύτερον, οι διατάξεις της ΕΣΔΑ θα αποτελούν το κατάλληλο πλαίσιο αναφοράς προκειμένου να κριθεί αν οι περιορισμοί τους οποίους ενδεχομένως συνεπάγεται η εφαρμογή του E.O. 12333, καθόσον επιτρέπει στις Υπηρεσίες Πληροφοριών να συλλέγουν οι ίδιες, χωρίς τη συνδρομή ιδιωτικών φορέων, δεδομένα προσωπικού χαρακτήρα, θέτουν εν αμφιβόλω την επάρκεια του επιπέδου προστασίας που εξασφαλίζεται στις Ηνωμένες Πολιτείες. Οι διατάξεις αυτές παρέχουν επίσης τα κριτήρια συγκρίσεως για να αξιολογηθεί η επάρκεια του επιπέδου προστασίας υπό το πρίσμα της διατηρήσεως και τη χρήσεως δεδομένων που έχουν αποκτήσει οι εν λόγω αρχές για σκοπούς εθνικής ασφάλειας.

230. Ωστόσο, πρέπει ακόμη να διευκρινιστεί αν, για να διαπιστωθεί η ύπαρξη επάρκειας, απαιτείται να εξασφαλίζεται, κατά τη συλλογή δεδομένων δυνάμει του E.O. 12333, ένα επίπεδο προστασίας ουσιαστικά ισοδύναμο με αυτό το οποίο πρέπει να διασφαλίζεται εντός της Ένωσης, ακόμη και στο μέτρο που η συλλογή αυτή πραγματοποιείται εκτός του εδάφους των Ηνωμένων Πολιτειών, κατά τη διάρκεια του σταδίου της διαμετακομίσεως των δεδομένων από την Ένωση προς τη συγκεκριμένη τρίτη χώρα.

2)      Επί της ανάγκης διασφαλίσεως ικανοποιητικού επιπέδου προστασίας κατά το στάδιο της διαμετακομίσεως δεδομένων

231. Ενώπιον του Δικαστηρίου υποστηρίχθηκαν τρεις διαφορετικές θέσεις όσον αφορά το ζήτημα κατά πόσο είναι αναγκαίο, για την εκτίμηση της επάρκειας του επιπέδου προστασίας που διασφαλίζεται σε τρίτη χώρα, η Επιτροπή να λαμβάνει υπόψη εθνικά μέτρα σχετικά με την πρόσβαση την οποία έχουν στα δεδομένα οι αρχές της τρίτης χώρας, εκτός του εδάφους της, κατά το στάδιο της διαμετακομίσεώς τους από την Ένωση προς το έδαφος της.

232. Πρώτον, η Facebook Ireland και οι Κυβερνήσεις των Ηνωμένων Πολιτειών και του Ηνωμένου Βασιλείου υποστηρίζουν, κατ’ ουσίαν, ότι η ύπαρξη τέτοιων μέτρων δεν ασκεί επιρροή στο πλαίσιο διαπιστώσεως περί υπάρξεως επάρκειας. Προς στήριξη της προσεγγίσεως αυτής, επικαλούνται την αδυναμία οποιουδήποτε τρίτου κράτους να ελέγξει το σύνολο των ευρισκόμενων εκτός της επικράτειάς του μέσων επικοινωνίας που χρησιμοποιούνται για τη διαμετακόμιση δεδομένων προερχόμενων από την Ένωση, όπερ σημαίνει ότι δεν θα μπορούσε, εξ ορισμού, να διασφαλιστεί απολύτως ότι κάποιο άλλο τρίτο κράτος δεν συλλέγει κρυφίως τα δεδομένα κατά τη διαμετακόμισή τους.

233. Δεύτερον, ο ΕΠΔ, ο M. Schrems, το EPIC, η Αυστριακή και η Ολλανδική Κυβέρνηση, το Κοινοβούλιο και ο ΕΕΠΔ ισχυρίζονται ότι η επιταγή της συνέχειας του επιπέδου προστασίας, για την οποία γίνεται λόγος στο άρθρο 44 του ΓΚΠΔ, συνεπάγεται ότι το επίπεδο αυτό πρέπει να είναι ικανοποιητικό καθ’ όλη τη διάρκεια της διαβιβάσεως, ακόμη και όταν τα δεδομένα διαμετακομίζονται μέσω υποβρύχιων καλωδίων πριν φτάσουν στο έδαφος της τρίτης χώρας προορισμού.

234. Τρίτον, η Επιτροπή, μολονότι αναγνωρίζει την προαναφερθείσα αρχή, υποστηρίζει ότι το αντικείμενο της διαπιστώσεως περί υπάρξεως επάρκειας περιορίζεται στην προστασία που διασφαλίζει η οικεία τρίτη χώρα εντός των συνόρων της, οπότε το γεγονός ότι δεν διασφαλίζεται ικανοποιητικό επίπεδο προστασίας κατά τη διαμετακόμιση προς αυτήν δεν θέτει εν αμφιβόλω το κύρος της αποφάσεως επάρκειας. Εντούτοις, σύμφωνα με το άρθρο 32 του ΓΚΠΔ, ο υπεύθυνος επεξεργασίας οφείλει να μεριμνά για την ασφάλεια της διαβιβάσεως, προστατεύοντας όσο το δυνατόν τα δεδομένα προσωπικού χαρακτήρα κατά το στάδιο της διαμετακομίσεως προς την εν λόγω τρίτη χώρα.

235. Ως προς το ζήτημα αυτό, επισημαίνω ότι το άρθρο 44 του ΓΚΠΔ εξαρτά τη διαβίβαση προς τρίτη χώρα από την τήρηση των προϋποθέσεων που προβλέπονται στις διατάξεις του κεφαλαίου V του κανονισμού αυτού, στο μέτρο που τα δεδομένα μπορούν να αποτελέσουν αντικείμενο επεξεργασίας «μετά από τη διαβίβαση». Η φράση αυτή μπορεί να ερμηνευθεί είτε υπό την έννοια ότι οι σχετικές προϋποθέσεις πρέπει να τηρούνται, όπως υποστήριξε η Κυβέρνηση των Ηνωμένων Πολιτειών στη γραπτή απάντησή της προς τις ερωτήσεις του Δικαστηρίου, αφ’ ης στιγμής τα δεδομένα φτάσουν στον προορισμό τους είτε υπό την έννοια ότι αρχίζουν να ισχύουν μετά την έναρξη της διαβιβάσεως (περιλαμβανομένου και του σταδίου της διαμετακομίσεως).

236. Δεδομένου ότι δεν είναι δυνατόν να αντληθεί οριστικό συμπέρασμα από το γράμμα του άρθρου 44 του ΓΚΠΔ, η τελολογική ερμηνεία της διατάξεως αυτής με οδηγεί να συμφωνήσω με την δεύτερη ερμηνεία και, επομένως, να συνταχθώ με τη δεύτερη από τις προαναφερθείσες προσεγγίσεις. Συγκεκριμένα, αν γινόταν δεκτό ότι η προβλεπόμενη στη διάταξη αυτή απαίτηση για τη συνέχεια του επιπέδου προστασίας καλύπτει μόνον τα μέτρα παρακολουθήσεως τα οποία εφαρμόζονται εντός της επικράτειας της τρίτης χώρας προορισμού, η απαίτηση θα μπορούσε να παρακαμφθεί από τη στιγμή που η τρίτη χώρα εφαρμόσει τέτοια μέτρα εκτός του εδάφους της, κατά το στάδιο της διαμετακομίσεως των δεδομένων. Προκειμένου να αποτραπεί ο κίνδυνος αυτός, η αξιολόγηση της επάρκειας του επιπέδου προστασίας που διασφαλίζεται στην τρίτη χώρα πρέπει να καλύπτει το σύνολο των διατάξεων της έννομης τάξης της, ιδίως δε των σχετικών με την εθνική ασφάλεια (105), μεταξύ των οποίων περιλαμβάνονται τόσο εκείνες που διέπουν την παρακολούθηση εντός της επικράτειάς της όσο και εκείνες που επιτρέπουν την παρακολούθηση των διαμετακομιζόμενων δεδομένων προς το έδαφος της (106).

237. Πάντως, ουδείς αμφισβητεί ότι, όπως υπογράμμισε ο ΕΕΠΔ, η αξιολόγηση της επάρκειας του επιπέδου προστασίας αφορά αποκλειστικώς τις διατάξεις της έννομης τάξης της τρίτης χώρας προορισμού των δεδομένων, όπως προκύπτει από το άρθρο 45, παράγραφος 1, του ΓΚΠΔ. Η αδυναμία, την οποία επικαλούνται η Facebook Ireland και οι Κυβερνήσεις των Ηνωμένων Πολιτειών και του Ηνωμένου Βασιλείου, να διασφαλιστεί απολύτως ότι κάποιο άλλο τρίτο κράτος δεν συλλέγει κρυφίως τα δεδομένα αυτά κατά τη διαμετακόμισή τους δεν επηρεάζει την αξιολόγηση αυτή. Κατά τα λοιπά, ο κίνδυνος αυτός δεν μπορεί να αποκλειστεί ακόμη και αφότου τα δεδομένα έχουν φτάσει στο έδαφος του τρίτου κράτους προορισμού.

238. Εξάλλου, είναι επίσης αληθές ότι, όταν η Επιτροπή αξιολογεί την επάρκεια του επιπέδου προστασίας που εξασφαλίζεται σε τρίτη χώρα, υπάρχει το ενδεχόμενο η τρίτη αυτή χώρα να παραλείψει να της αποκαλύψει την ύπαρξη ορισμένων απόρρητων προγραμμάτων παρακολουθήσεως. Αυτό δεν σημαίνει, ωστόσο, ότι η Επιτροπή μπορεί, όταν περιέρχονται σε γνώση της τέτοια προγράμματα, να μην τα λάβει υπόψη στο πλαίσιο της εξετάσεως της επάρκειας του επιπέδου προστασίας που εξασφαλίζεται στην εν λόγω τρίτη χώρα. Ομοίως, αν μετά την έκδοση αποφάσεως επάρκειας αποκαλυφθεί ότι υπάρχουν προγράμματα μυστικών παρακολουθήσεων που εφαρμόζονται από την τρίτη χώρα την οποία αφορά η απόφαση, είτε στην επικράτειά της είτε κατά τη διαμετακόμιση δεδομένων προς το έδαφός της, η Επιτροπή είναι υποχρεωμένη να επανεξετάσει τη διαπίστωσή της περί της επάρκειας του επιπέδου προστασίας που διασφαλίζεται στην αντίστοιχη τρίτη χώρα, εφόσον οι σχετικές αποκαλύψεις προκαλούν αμφιβολίες ως προς το ζήτημα αυτό (107).

3)      Επί της συνεκτιμήσεως των πραγματικών διαπιστώσεων στις οποίες προέβησαν η Επιτροπή και το αιτούν δικαστήριο σχετικά με το δίκαιο των Ηνωμένων Πολιτειών

239. Μολονότι δεν αμφισβητείται ότι το Δικαστήριο δεν είναι αρμόδιο να προβεί σε ερμηνεία του δικαίου τρίτης χώρας που να είναι δεσμευτική για την έννομη τάξη της, το κύρος της αποφάσεως για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής» εξαρτάται από τη βασιμότητα των εκτιμήσεων της Επιτροπής σχετικά με το επίπεδο προστασίας το οποίο διασφαλίζουν το δίκαιο και οι πρακτικές των Ηνωμένων Πολιτειών, αναφορικά με τα θεμελιώδη δικαιώματα των προσώπων των οποίων τα δεδομένα διαβιβάζονται προς την τρίτη αυτή χώρα. Συγκεκριμένα, η Επιτροπή ήταν υποχρεωμένη να αιτιολογήσει τη διαπίστωσή της περί υπάρξεως επάρκειας υπό το πρίσμα των στοιχείων που μνημονεύονται στο άρθρο 45, παράγραφος 2, του ΓΚΠΔ και αφορούν, μεταξύ άλλων, το περιεχόμενο του δικαίου της εν λόγω τρίτης χώρας (108).

240. Το High Court (ανώτερο δικαστήριο), στην απόφασή του της 3ης Οκτωβρίου 2017, εξέθεσε, μετά την αξιολόγηση των αποδεικτικών στοιχείων που προσκόμισαν οι διάδικοι, λεπτομερείς διαπιστώσεις οι οποίες περιγράφουν τις πτυχές του αμερικανικού δικαίου που ασκούν επιρροή εν προκειμένω (109). Τα όσα εξέθεσε συμπίπτουν σε μεγάλο βαθμό με τις διαπιστώσεις στις οποίες προέβη η Επιτροπή στην απόφαση για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής» σχετικά με το περιεχόμενο των κανόνων για τη συλλογή και την πρόσβαση των αμερικανικών Υπηρεσιών Πληροφοριών στα διαβιβαζόμενα δεδομένα καθώς και στα μέσα έννομης προστασίας και στους μηχανισμούς εποπτείας αυτών των δραστηριοτήτων.

241. Το αιτούν δικαστήριο, όπως και πολλοί από τους διαδίκους και τους μετέχοντες στη διαδικασία που υπέβαλαν παρατηρήσεις στο Δικαστήριο, αμφισβητούν περισσότερο τις έννομες συνέπειες τις οποίες συνήγαγε η Επιτροπή από τις διαπιστώσεις αυτές -ήτοι το συμπέρασμα ότι οι Ηνωμένες Πολιτείες διασφαλίζουν ικανοποιητικό επίπεδο προστασίας των θεμελιωδών δικαιωμάτων των προσώπων των οποίων τα δεδομένα διαβιβάζονται βάσει της αποφάσεως εκείνης- απ’ ότι την περιγραφή του περιεχομένου του αμερικανικού δικαίου.

242. Υπό τις συνθήκες αυτές, θα αναλύσω κατά κύριο λόγο το κύρος της αποφάσεως για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής» υπό το πρίσμα των διαπιστώσεων στις οποίες προέβη η ίδια η Επιτροπή όσον αφορά το περιεχόμενο του αμερικανικού δικαίου, εξετάζοντας κατά πόσον οι διαπιστώσεις αυτές δικαιολογούν την έκδοση της εν λόγω αποφάσεως επάρκειας.

243. Επ’ αυτού, δεν συμμερίζομαι την άποψη του ΕΠΔ και του M. Schrems ότι οι διαπιστώσεις του High Court (ανωτέρου δικαστηρίου) όσον αφορά το δίκαιο των Ηνωμένων Πολιτειών δεσμεύουν το Δικαστήριο στο πλαίσιο της εξετάσεως του κύρους της αποφάσεως για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής». Ειδικότερα, η άποψή τους είναι ότι, εφόσον, βάσει του ιρλανδικού δικονομικού δικαίου, το αλλοδαπό δίκαιο αποτελεί πραγματικό ζήτημα, το αιτούν δικαστήριο είναι το μόνο αρμόδιο να διαπιστώσει το περιεχόμενό του.

244. Κατά πάγια νομολογία, το εθνικό δικαστήριο είναι, βεβαίως, αποκλειστικώς αρμόδιο να διαπιστώσει τα κρίσιμα πραγματικά περιστατικά καθώς και να ερμηνεύσει το εθνικό δίκαιο κράτους μέλους και να το εφαρμόσει στη διαφορά που εκκρεμεί ενώπιον του (110). Η νομολογία αυτή εκφράζει την κατανομή αρμοδιοτήτων μεταξύ του Δικαστηρίου και του αιτούντος δικαστηρίου στο πλαίσιο της διαδικασίας που θεσπίζει το άρθρο 267 ΣΛΕΕ. Ενώ το Δικαστήριο είναι το μόνο αρμόδιο να ερμηνεύει το δίκαιο της Ένωσης και να αποφαίνεται επί του κύρους του παράγωγου δικαίου, εναπόκειται στο εθνικό δικαστήριο, το οποίο καλείται να επιλύσει συγκεκριμένη διαφορά που εκκρεμεί ενώπιόν του, να διαπιστώσει το πραγματικό και το κανονιστικό πλαίσιό της, προκειμένου το Δικαστήριο να μπορέσει να του παράσχει χρήσιμη απάντηση.

245. Φρονώ ότι ο λόγος υπάρξεως της αποκλειστικής αυτής αρμοδιότητας του αιτούντος δικαστηρίου δεν ισχύει κατ’ αναλογίαν και ως προς τη διαπίστωση του δικαίου τρίτης χώρας ως στοιχείου που μπορεί να επηρεάσει την κρίση του Δικαστηρίου επί του κύρους πράξεως του παράγωγου δικαίου (111). Δεδομένου ότι η κήρυξη του ανίσχυρου πράξεως του παράγωγου δικαίου παράγει δεσμευτικά αποτελέσματα erga omnes εντός της έννομης τάξης της Ένωσης (112), η κρίση του Δικαστηρίου δεν είναι δυνατόν να εξαρτάται από το ποιο δικαστήριο υπέβαλε την προδικαστική παραπομπή. Όπως όμως επισήμαναν η Facebook Ireland και η Κυβέρνηση των Ηνωμένων Πολιτειών, τούτο ακριβώς θα συνέβαινε αν το Δικαστήριο δεσμευόταν από τις διαπιστώσεις του αιτούντος δικαστηρίου σχετικά με το δίκαιο του αντίστοιχου τρίτου κράτους, δεδομένου ότι οι σχετικές διαπιστώσεις ενδέχεται να διαφέρουν αναλόγως του εθνικού δικαστηρίου που προβαίνει σε αυτές.

246. Κατόπιν των προεκτεθέντων, φρονώ ότι, όταν η απάντηση σε προδικαστικό ερώτημα που αφορά το κύρος πράξεως της Ένωσης προϋποθέτει εκτίμηση του περιεχομένου του δικαίου τρίτου κράτους, το Δικαστήριο μπορεί μεν να λάβει υπόψη τις διαπιστώσεις στις οποίες προέβη το αιτούν δικαστήριο σχετικά με το δίκαιο του συγκεκριμένου τρίτου κράτους, ωστόσο δεν δεσμεύεται από αυτές. Το Δικαστήριο μπορεί, ενδεχομένως, να παρεκκλίνει από τις διαπιστώσεις αυτές ή να τις συμπληρώσει, λαμβάνοντας υπόψη, εφόσον τηρείται παράλληλα η αρχή της εκατέρωθεν ακροάσεως, και άλλες πηγές προκειμένου να εξακριβώσει τα στοιχεία που είναι αναγκαία για την αξιολόγηση του κύρους της επίμαχης πράξεως (113).

4)      Επί του εννοιολογικού περιεχομένου του κριτηρίου της «ουσιαστικής ισοδυναμίας»

247. Υπενθυμίζω ότι το κύρος της αποφάσεως για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής» εξαρτάται από το αν η έννομη τάξη των Ηνωμένων Πολιτειών διασφαλίζει, υπέρ των προσώπων των οποίων τα δεδομένα διαβιβάζονται από την Ένωση προς την εν λόγω τρίτη χώρα, επίπεδο προστασίας «ουσιαστικά ισοδύναμο» με αυτό που εξασφαλίζεται στα κράτη μέλη δυνάμει του ΓΚΠΔ και του Χάρτη, καθώς και, στους τομείς που εξαιρούνται από το πεδίο εφαρμογής του δικαίου της Ένωσης, δυνάμει των δεσμεύσεων τις οποίες υπέχουν από την ΕΣΔΑ.

248. Όπως τόνισε το Δικαστήριο στην απόφαση Schrems (114), το κριτήριο αυτό δεν σημαίνει ότι το επίπεδο προστασίας πρέπει να είναι «το ίδιο» με εκείνο που απαιτείται στην Ένωση. Μολονότι τα μέσα τα οποία χρησιμοποιεί μια τρίτη χώρα για την προστασία των δικαιωμάτων των υποκειμένων των δεδομένων ενδέχεται να διαφέρουν από εκείνα που προβλέπει ο ΓΚΠΔ σε συνδυασμό με τον Χάρτη, «τα μέσα αυτά πρέπει […] να αποδεικνύονται στην πράξη αποτελεσματικά ώστε να εξασφαλίζουν προστασία ουσιαστικά ισοδύναμη με αυτή που παρέχεται εντός της Ένωσης».

249. Κατά τη γνώμη μου, εξ αυτού συνάγεται επίσης ότι το δίκαιο του τρίτου κράτους προορισμού μπορεί να αντικατοπτρίζει τη δική του κλίμακα αξιών, βάσει της οποίας η αντίστοιχη βαρύτητα των διάφορων υφιστάμενων συμφερόντων μπορεί να αποκλίνει από τη βαρύτητα που τους αποδίδεται στην έννομη τάξη της Ένωσης. Εξάλλου, οι προδιαγραφές προστασίας των προσωπικών δεδομένων οι οποίες ισχύουν εντός της Ένωσης είναι ιδιαιτέρως υψηλού επιπέδου σε σύγκριση με το επίπεδο προστασίας που ισχύει στον υπόλοιπο κόσμο. Επομένως, φρονώ ότι το κριτήριο της «ουσιαστικής ισοδυναμίας» πρέπει να εφαρμόζεται κατά τέτοιον τρόπο ώστε να διατηρείται κάποια ευελιξία για να λαμβάνονται υπόψη διάφορες νομικές και πολιτιστικές παραδόσεις. Ωστόσο, το κριτήριο αυτό προϋποθέτει ότι ορισμένες ελάχιστες εγγυήσεις και γενικές απαιτήσεις προστασίας των θεμελιωδών δικαιωμάτων οι οποίες απορρέουν από τον ΓΚΠΔ, τον Χάρτη και την ΕΣΔΑ έχουν αντιστοιχίες με τα ισχύοντα στην έννομη τάξη της τρίτης χώρας προορισμού, διότι άλλως το κριτήριο θα καθίστατο κενό περιεχομένου (115).

250. Σημειωτέον ότι, κατά το άρθρο 52, παράγραφος 1, του Χάρτη, κάθε περιορισμός στην άσκηση των δικαιωμάτων και ελευθεριών που αναγνωρίζονται στον Χάρτη πρέπει να προβλέπεται από τον νόμο, να σέβεται το βασικό περιεχόμενό τους και, τηρουμένης της αρχής της αναλογικότητας, να είναι αναγκαίος και να ανταποκρίνεται πραγματικά σε σκοπό γενικού ενδιαφέροντος τον οποίο αναγνωρίζει η Ένωση ή στην ανάγκη προστασίας των δικαιωμάτων και ελευθεριών των τρίτων. Οι απαιτήσεις αυτές αντιστοιχούν, κατ’ ουσίαν, στις απαιτήσεις του άρθρου 8, παράγραφος 2, της ΕΣΔΑ (116).

251. Σύμφωνα με το άρθρο 52, παράγραφος 3, του Χάρτη, στον βαθμό που τα δικαιώματα που κατοχυρώνονται στα άρθρα 7, 8 και 47 αντιστοιχούν στα δικαιώματα τα οποία διασφαλίζονται στα άρθρα 8 και 13 της ΕΣΔΑ, έχουν την έννοια και την εμβέλειά τους, αν και το δίκαιο της Ένωσης μπορεί παρά ταύτα να τους παρέχει ευρύτερη προστασία. Υπό το πρίσμα αυτό, όπως θα εκθέσω κατωτέρω, οι προδιαγραφές οι οποίες απορρέουν από τα άρθρα 7, 8 και 47 του Χάρτη όπως έχουν ερμηνευθεί από το Δικαστήριο είναι, από ορισμένες απόψεις, αυστηρότερες από εκείνες που απορρέουν από το άρθρο 8 της ΕΣΔΑ σύμφωνα με την ερμηνεία που του έχει δώσει το Ευρωπαϊκό Δικαστήριο των Δικαιωμάτων του Ανθρώπου (στο εξής: ΕΔΔΑ).

252. Παρατηρώ επίσης ότι, σε κάποιες υποθέσεις που εκκρεμούν ενώπιόν τους, τόσο το Δικαστήριο όσο και το ΕΔΔΑ καλούνται να επανεξετάσουν ορισμένες πτυχές των αντίστοιχων νομολογιών τους. Πιο συγκεκριμένα, αφενός, δύο πρόσφατες αποφάσεις του ΕΔΔΑ σχετικές με την παρακολούθηση των ηλεκτρονικών επικοινωνιών –συγκεκριμένα οι αποφάσεις Centrüm för Rättvisa κατά Σουηδίας (117) και Big Brother Watch κατά Ηνωμένου Βασιλείου (118)– παραπέμφθηκαν προς επανεξέταση στο τμήμα μείζονος συνθέσεως. Αφετέρου, τρία εθνικά δικαστήρια έχουν υποβάλει στο Δικαστήριο προδικαστικές παραπομπές οι οποίες θέτουν επί τάπητος το ζήτημα μήπως είναι αναγκαία μια μικρή αναδίπλωση της νομολογίας που απορρέει από την απόφαση Tele2 Sverige (119).

253. Κατόπιν των διευκρινίσεων αυτών, εν συνεχεία θα εξετάσω το κύρος της αποφάσεως για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής» υπό το πρίσμα του άρθρου 45, παράγραφος 1, του ΓΚΠΔ, σε συνδυασμό με τον Χάρτη και την ΕΣΔΑ καθόσον εγγυώνται τα δικαιώματα, αφενός, του σεβασμού της ιδιωτικής ζωής και της προστασίας των δεδομένων προσωπικού χαρακτήρα (ενότητα βʹ) και, αφετέρου, της αποτελεσματικής δικαστικής προστασίας (ενότητα γʹ).

2)      Επί του κύρους της αποφάσεως για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής» υπό το πρίσμα των δικαιωμάτων σεβασμού της ιδιωτικής ζωής και προστασίας των δεδομένων προσωπικού χαρακτήρα

254. Στο πλαίσιο του τέταρτου ερωτήματος του, το αιτούν δικαστήριο θέτει, κατ’ ουσίαν, εν αμφιβόλω την ουσιαστική ισοδυναμία μεταξύ του επιπέδου προστασίας που διασφαλίζεται στις Ηνωμένες Πολιτείες και του επιπέδου προστασίας το οποίο αντλούν τα υποκείμενα των δεδομένων εντός της Ένωσης από τα θεμελιώδη δικαιώματα του σεβασμού της ιδιωτικής ζωής και της προστασίας των δεδομένων προσωπικού χαρακτήρα.

1)      Επί της υπάρξεως επεμβάσεων

255. Στις αιτιολογικές σκέψεις 67 έως 124 της αποφάσεως για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής», η Επιτροπή αναφέρει ότι οι αμερικανικές δημόσιες αρχές έχουν δυνατότητα προσβάσεως στα δεδομένα που διαβιβάζονται από την Ένωση και χρήσεως αυτών για σκοπούς εθνικής ασφάλειας στο πλαίσιο προγραμμάτων βάσει, ιδίως, του άρθρου 702 του νόμου FISA ή του E.O. 12333.

256. Η εφαρμογή των προγραμμάτων αυτών συνεπάγεται, από πλευράς των αμερικανικών Υπηρεσιών Πληροφοριών, παρεμβάσεις οι οποίες, αν προέρχονταν από αρχές κράτους μέλους, θα θεωρούνταν επεμβάσεις στην άσκηση του δικαιώματος σεβασμού της ιδιωτικής ζωής το οποίο κατοχυρώνεται στο άρθρο 7 του Χάρτη και στο άρθρο 8 της ΕΣΔΑ. Λόγω της εφαρμογής των προγραμμάτων αυτών υφίσταται κίνδυνος τα δεδομένα προσωπικού των υποκειμένων των δεδομένων να υποστούν επεξεργασίες που δεν πληρούν τις απαιτήσεις που τίθενται στο άρθρο 8 του Χάρτη (120).

257. Διευκρινίζω ευθύς εξαρχής ότι τα δικαιώματα σεβασμού της ιδιωτικής ζωής και προστασίας των δεδομένων προσωπικού χαρακτήρα περιλαμβάνουν την προστασία όχι μόνον του περιεχομένου των επικοινωνιών, αλλά και των δεδομένων κίνησης (121) και θέσης (τα οποία καλούνται από κοινού «μεταδεδομένα»). Τόσο το Δικαστήριο όσο και το ΕΔΔΑ έχουν, πράγματι, αναγνωρίσει ότι τα μεταδεδομένα, όπως και τα δεδομένα περιεχομένου, ενδέχεται να αποκαλύπτουν πολύ συγκεκριμένες πληροφορίες για την ιδιωτική ζωή ενός ατόμου (122).

258. Κατά τη νομολογία του Δικαστηρίου, προκειμένου να στοιχειοθετηθεί η ύπαρξη επεμβάσεως στην άσκηση του δικαιώματος που κατοχυρώνεται στο άρθρο 7 του Χάρτη, ελάχιστη σημασία έχει αν τα σχετικά δεδομένα είναι ευαίσθητου χαρακτήρα ή αν οι ενδιαφερόμενοι υπέστησαν ενδεχομένως δυσμενείς συνέπειες λόγω του επίμαχου μέτρου παρακολουθήσεως (123).

259. Έχοντας υπενθυμίσει τα ανωτέρω, επισημαίνω πάντως ότι τα προγράμματα παρακολουθήσεως που θεμελιώνονται στο άρθρο 702 του νόμου FISA συνεπάγονται, κατ’ αρχάς, επεμβάσεις στην άσκηση θεμελιωδών δικαιωμάτων των προσώπων των οποίων οι επικοινωνίες ανταποκρίνονται στους επιλογείς που έχουν προσδιοριστεί από την NSA και, συνεπώς, διαβιβάζονται σ’ αυτήν από τους παρόχους υπηρεσιών ηλεκτρονικών επικοινωνιών (124). Ειδικότερα, η υποχρέωση των παρόχων να θέτουν στη διάθεση της NSA τα δεδομένα, στον βαθμό που παρεκκλίνει από την αρχή του απορρήτου των επικοινωνιών (125), συνεπάγεται, από μόνη της, επέμβαση ακόμη και αν στη συνέχεια οι Υπηρεσίες Πληροφοριών δεν ανατρέξουν στα δεδομένα αυτά, ούτε τα χρησιμοποιήσουν (126). Η διατήρηση και η πραγματική πρόσβαση των Υπηρεσιών Πληροφοριών στα μεταδεδομένα και στο περιεχόμενο των επικοινωνιών που τίθενται στη διάθεσή τους, καθώς και η χρήση των δεδομένων αυτών, συνιστούν πρόσθετες επεμβάσεις (127).

260. Επιπλέον, σύμφωνα με τις διαπιστώσεις του αιτούντος δικαστηρίου (128) και άλλων πηγών, όπως η έκθεση της PCLOB η οποία έχει ως αντικείμενο τα προγράμματα που τέθηκαν σε εφαρμογή δυνάμει του άρθρου 702 του νόμου FISA και η οποία προσκομίστηκε ενώπιον του Δικαστηρίου από την Αμερικανική Κυβέρνηση (129), η NSA, στο πλαίσιο του προγράμματος Upstream, είχε ήδη πρόσβαση, με σκοπό το φιλτράρισμα, σε μεγάλες συλλογές («δέσμες») δεδομένων που εμπλέκονται στις ροές επικοινωνιών που διέρχονται από τον «κορμό» των τηλεπικοινωνιών και περιλαμβάνουν επικοινωνίες οι οποίες δεν περιέχουν τους επιλογείς που έχει ορίσει η NSA. Η NSA έχει τη δυνατότητα να εξετάσει αυτές τις συλλογές δεδομένων μόνο για να εντοπίσει γρήγορα, κατά τρόπο αυτοματοποιημένο, αν περιέχουν τους συγκεκριμένους επιλογείς. Επομένως, μόνον οι κατ’ αυτόν τον τρόπο φιλτραρισμένες επικοινωνίες αποθηκεύονται στις βάσεις δεδομένων της NSA. Η πρόσβαση αυτή στα δεδομένα με σκοπό το φιλτράρισμά τους συνιστά επίσης, κατά τη γνώμη μου, επέμβαση στην άσκηση του δικαιώματος σεβασμού της ιδιωτικής ζωής των υποκειμένων των δεδομένων, ανεξαρτήτως της περαιτέρω χρήσεως των τηρουμένων δεδομένων (130).

261. Εξάλλου, η διάθεση και το φιλτράρισμα των επίμαχων δεδομένων (131), η πρόσβαση από τις Υπηρεσίες Πληροφοριών στα δεδομένα αυτά, καθώς και η διατήρηση, η ενδεχόμενη ανάλυση και η χρήση των εν λόγω δεδομένων, εμπίπτουν στην έννοια της «επεξεργασίας» κατά το άρθρο 4, σημείο 2, του ΓΚΠΔ και κατά το άρθρο 8, παράγραφος 2, του Χάρτη. Εν συνεχεία, η επεξεργασία αυτή πρέπει να πληροί τις απαιτήσεις που προβλέπει η τελευταία αυτή διάταξη (132).

262. Η παρακολούθηση βάσει του E.O. 12333 μπορεί δε να σημαίνει ότι οι Υπηρεσίες Πληροφοριών έχουν άμεση πρόσβαση στα υπό διαμετακόμιση δεδομένα, όπερ συνεπάγεται επέμβαση στην άσκηση του δικαιώματος το οποίο κατοχυρώνεται στο άρθρο 8 της ΕΣΔΑ. Στην επέμβαση αυτή προστίθεται η ενδεχόμενη περαιτέρω χρήση των δεδομένων αυτών.

2)      Επί της απαιτήσεως να «προβλέπονται από τον νόμο» τυχόν επεμβάσεις

263. Κατά τη νομολογία του Δικαστηρίου (133) και του ΕΔΔΑ (134), η απαίτηση ότι κάθε επέμβαση στην άσκηση των θεμελιωδών δικαιωμάτων πρέπει να «προβλέπεται από τον νόμο», υπό την έννοια του άρθρου 52, παράγραφος 1, του Χάρτη και του άρθρου 8, παράγραφος 2, της ΕΣΔΑ, σημαίνει όχι μόνον ότι το μέτρο που προβλέπει την επέμβαση πρέπει να έχει νομική βάση στο εθνικό δίκαιο, αλλά και ότι η νομική αυτή βάση πρέπει να έχει ορισμένα χαρακτηριστικά ως προς την προσβασιμότητα και την προβλεψιμότητά της ώστε να αποτρέπεται ο κίνδυνος αυθαιρεσίας.

264. Συναφώς, οι διάδικοι και οι ενδιαφερόμενοι που κατέθεσαν παρατηρήσεις στο Δικαστήριο διαφωνούν, κατ’ ουσίαν, ως προς το αν το άρθρο 702 του νόμου FISA και το E.O. 12333 πληρούν την προϋπόθεση της προβλεψιμότητας της νομοθεσίας.

265. Η προϋπόθεση αυτή, όπως έχει ερμηνευθεί από το Δικαστήριο (135) και από το ΕΔΔΑ (136), σημαίνει ότι κάθε ρύθμιση η οποία συνεπάγεται επέμβαση στην άσκηση του δικαιώματος σεβασμού της ιδιωτικής ζωής πρέπει να προβλέπει σαφείς και ακριβείς κανόνες που να διέπουν την έκταση και την εφαρμογή του οικείου μέτρου και να επιβάλλουν ορισμένες ελάχιστε εγγυήσεις ούτως ώστε να παρέχουν στα πρόσωπα των οποίων τα δεδομένα διατηρούνται επαρκείς εγγυήσεις ότι προστατεύονται αποτελεσματικώς τα δεδομένα τους από κινδύνους καταχρήσεως, καθώς και από οποιαδήποτε αθέμιτη πρόσβαση και οποιαδήποτε αθέμιτη χρήση των δεδομένων αυτών. Οι κανόνες αυτοί πρέπει, ειδικότερα, να προσδιορίζουν τις περιστάσεις και τις προϋποθέσεις υπό τις οποίες θα μπορούν οι δημόσιες αρχές να διατηρούν προσωπικά δεδομένα, να έχουν πρόσβαση σε αυτά και να τα χρησιμοποιούν (137). Εξάλλου, η νομική βάση που επιτρέπει την επέμβαση πρέπει να ορίζει η ίδια την έκταση του περιορισμού τον οποίο επιφέρει στην άσκηση του δικαιώματος σεβασμού της ιδιωτικής ζωής (138).

266. Όπως ο M. Schrems και το EPIC, έτσι κι εγώ αμφιβάλλω ότι το E.O. 12333, αλλά και η PPD 28 η οποία θέτει εγγυήσεις που περιβάλλουν όλες τις δραστηριότητες συλλογής πληροφοριών σχετικά με ηλεκτρομαγνητικές μεταδόσεις (139), πληρούν επαρκώς τα κριτήρια προβλεψιμότητας ώστε να μπορούν να εξομοιωθούν με «νόμο».

267. Οι ρυθμίσεις αυτές μνημονεύουν ρητώς ότι δεν παρέχουν νομικώς εκτελεστά δικαιώματα στα υποκείμενα των δεδομένων (140). Επομένως, οι ενδιαφερόμενοι δεν μπορούν να επικαλεστούν ενώπιον των δικαστηρίων τις προβλεπόμενες από το PPD 28 εγγυήσεις (141). Εξάλλου, η Επιτροπή έκρινε, στην απόφαση για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής», ότι οι εγγυήσεις που τίθενται στην εν λόγω προεδρική οδηγία, μολονότι δεσμεύουν τις Υπηρεσίες Πληροφοριών (142) «δεν διατυπώνονται με […] συγκεκριμένους νομικούς όρους» (143). Το E.O. 12333 και η PPD 28 προσιδιάζουν περισσότερο σε εσωτερικές διοικητικές οδηγίες οι οποίες μπορούν να ανακληθούν ή να τροποποιηθούν από τον Πρόεδρο των Ηνωμένων Πολιτειών. Όμως, το ΕΔΔΑ έχει ήδη κρίνει ότι οι εσωτερικές διοικητικές οδηγίες δεν έχουν τα χαρακτηριστικά του «νόμου» (144).

268. Όσον αφορά το άρθρο 702 του νόμου FISA, ο M. Schrems αμφισβητεί κατά πόσον η συγκεκριμένη διάταξη είναι προβλέψιμη, υποστηρίζοντας ότι ο προσδιορισμός των κριτηρίων επιλογής που χρησιμοποιούνται για το φιλτράρισμα των δεδομένων δεν περιβάλλεται με επαρκείς εγγυήσεις κατά των κινδύνων καταχρήσεως. Στο μέτρο που η ίδια προβληματική ισχύει και ως προς τον χαρακτηρισμό των προβλεπόμενων από το άρθρο 702 του νόμου FISA επεμβάσεων ως απολύτως αναγκαίων, θα την εξετάσω στη συνέχεια της αναλύσεώς μου (145).

269. Στο τρίτο προδικαστικό ερώτημα επανέρχεται το ζήτημα της τηρήσεως της προϋποθέσεως ότι οι επεμβάσεις πρέπει να προβλέπονται από «νόμο». Με το ερώτημα αυτό, το αιτούν δικαστήριο ζητεί, κατ’ ουσίαν, να διευκρινιστεί αν η επάρκεια του επιπέδου προστασίας το οποίο διασφαλίζεται σε τρίτη χώρα πρέπει να εξετάζεται υπό το πρίσμα μόνον των νομικώς δεσμευτικών κανόνων που ισχύουν εκεί και των πρακτικών που αποσκοπούν στη διασφάλιση της τηρήσεως των κανόνων αυτών ή αν πρέπει να λαμβάνονται υπόψη και μη δεσμευτικές ρυθμίσεις καθώς και μηχανισμοί εξωδικαστικού ελέγχου που εφαρμόζονται στη χώρα αυτή.

270. Επ’ αυτού, το άρθρο 45, παράγραφος 2, στοιχείο αʹ, του ΓΚΠΔ περιλαμβάνει έναν μη εξαντλητικό κατάλογο στοιχείων τα οποία η Επιτροπή οφείλει να λαμβάνει υπόψη της κατά την εκτίμηση της επάρκειας του επιπέδου προστασίας που παρέχεται σε τρίτη χώρα. Μεταξύ των στοιχείων αυτών περιλαμβάνονται η ισχύουσα νομοθεσία καθώς και ο τρόπος εφαρμογής της. Η διάταξη αυτή αναφέρεται επίσης και στη σημασία που έχουν άλλου είδους κανόνες, όπως οι επαγγελματικοί κανόνες και τα μέτρα ασφάλειας. Επιπλέον, κατά τη διάταξη αυτή απαιτείται να λαμβάνονται υπόψη τα «ουσιαστικά και εκτελεστά δικαιώματα» και τα «αποτελεσματικά διοικητικά και δικαστικά μέσα προσφυγής για τα υποκείμενα των δεδομένων των οποίων τα δεδομένα προσωπικού χαρακτήρα διαβιβάζονται» (146).

271. Λαμβανόμενου υπόψη του όλου περιεχομένου της και υπό το πρίσμα του μη περιοριστικού χαρακτήρα του καταλόγου των στοιχείων τον οποίο περιλαμβάνει, η εν λόγω διάταξη πρέπει, κατά τη γνώμη μου, να ερμηνευθεί υπό την έννοια ότι πρακτικές ή ρυθμίσεις που δεν θεμελιώνονται σε προσιτή και προβλέψιμη νομική βάση μπορούν να ληφθούν υπόψη στο πλαίσιο της συνολικής εκτιμήσεως του επιπέδου προστασίας το οποίο διασφαλίζεται από την αντίστοιχη τρίτη χώρα, ως στοιχεία που ενισχύουν εγγυήσεις οι οποίες έχουν οι ίδιες νομική βάση με αυτά τα χαρακτηριστικά. Εντούτοις, όπως υποστήριξαν κατά βάση ο ΕΠΔ, ο M. Schrems, η Αυστριακή Κυβέρνηση και ο ΕΕΠΔ, τέτοιου είδους ρυθμίσεις ή πρακτικές δεν μπορούν να υποκαταστήσουν τις εγγυήσεις αυτές ούτε, επομένως, να διασφαλίσουν, από μόνες τους, το απαιτούμενο επίπεδο προστασίας.

3)      Επί της μη προσβολής του βασικού περιεχομένου των θεμελιωδών δικαιωμάτων

272. Η μνημονευόμενη στο άρθρο 52, παράγραφος 1, του Χάρτη απαίτηση ότι κάθε περιορισμός των δικαιωμάτων ή ελευθεριών που κατοχυρώνονται στον Χάρτη πρέπει να σέβεται το βασικό περιεχόμενο των δικαιωμάτων ή των ελευθεριών αυτών συνεπάγεται ότι, σε περίπτωση που θίγεται το βασικό περιεχόμενό τους λόγω της επεμβάσεως, δεν υφίσταται θεμιτός σκοπός που να μπορεί να δικαιολογήσει την επέμβαση. Επομένως, η επέμβαση κρίνεται ως αντίθετη προς τον Χάρτη, χωρίς να πρέπει να εξεταστεί αν είναι κατάλληλη και αναγκαία για την επίτευξη του επιδιωκόμενου σκοπού.

273. Επ’ αυτού, το Δικαστήριο έκρινε ότι εθνική ρύθμιση που επιτρέπει στις δημόσιες αρχές γενικευμένη πρόσβαση στο περιεχόμενο των ηλεκτρονικών επικοινωνιών προσβάλλει το ουσιαστικό περιεχόμενο του δικαιώματος σεβασμού της ιδιωτικής ζωής το οποίο κατοχυρώνεται στο άρθρο 7 του Χάρτη (147). Αντιθέτως, ενώ υπογράμμισε τους κινδύνους που συνδέονται με την πρόσβαση και την ανάλυση των δεδομένων κίνησης και των δεδομένων θέσης (148), το Δικαστήριο αποφάνθηκε ότι το βασικό περιεχόμενο αυτού του δικαιώματος δεν επηρεάζεται όταν εθνική νομοθεσία επιτρέπει στις κρατικές αρχές γενικευμένη πρόσβαση σε τέτοιου είδους δεδομένα (149).

274. Κατά τη γνώμη μου, το άρθρο 702 του νόμου FISA δεν μπορεί να θεωρηθεί ότι παρέχει στις αμερικανικές Υπηρεσίες Πληροφοριών εξουσιοδότηση ώστε να έχουν γενικευμένη πρόσβαση στο περιεχόμενο των ηλεκτρονικών επικοινωνιών.

275. Συγκεκριμένα, αφενός, η πρόσβαση των Υπηρεσιών Πληροφοριών στα δεδομένα, δυνάμει του άρθρου 702 του νόμου FISA, με σκοπό την ενδεχόμενη ανάλυσή και χρήση τους περιορίζεται στα δεδομένα που πληρούν κριτήρια επιλογής τα οποία συνδέονται με μεμονωμένους στόχους.

276. Αφετέρου, το πρόγραμμα Upstream μπορεί, ομολογουμένως, να συνεπάγεται γενικευμένη πρόσβαση στο περιεχόμενο των ηλεκτρονικών επικοινωνιών με σκοπό το αυτοματοποιημένο φιλτράρισμα σε περίπτωση που εφαρμόζονται επιλογείς όχι μόνο στα πεδία «από» και «προς», αλλά και στο περιεχόμενο των ροών επικοινωνιών συνολικά (αναζήτηση «που αφορά» τον επιλογέα) (150). Ωστόσο, όπως υποστηρίζει η Επιτροπή και αντιθέτως προς ό, τι ισχυρίζονται ο M. Schrems και το EPIC, η προσωρινή πρόσβαση των Υπηρεσιών Πληροφοριών στο περιεχόμενο των ηλεκτρονικών επικοινωνιών συνολικά με αποκλειστικό σκοπό το φιλτράρισμά τους κατ’ εφαρμογήν κριτηρίων επιλογής δεν μπορεί να εξομοιωθεί με πρόσβαση κατά γενικευμένο τρόπο στο περιεχόμενο αυτό (151). Κατά την άποψή μου, η επέμβαση που απορρέει από αυτήν την χρονικώς περιορισμένη πρόσβαση με σκοπό το αυτοματοποιημένο φιλτράρισμα δεν είναι τόσο σοβαρή όσο η επέμβαση που προκύπτει από γενικευμένη πρόσβαση των δημοσίων αρχών στο ίδιο περιεχόμενο με σκοπό την ανάλυσή του και την ενδεχόμενη χρήση του (152). Η προσωρινή πρόσβαση με σκοπό το φιλτράρισμα δεν παρέχει στις Υπηρεσίες Πληροφοριών τη δυνατότητα να διατηρήσουν τα μεταδεδομένα ή το περιεχόμενο των επικοινωνιών που δεν ανταποκρίνονται στα κριτήρια επιλογής ούτε, ειδικότερα, όπως παρατήρησε η Αμερικανική Κυβέρνηση, να δημιουργήσουν προφίλ για τα άτομα τα οποία δεν αποτελούν στόχο με βάση αυτά τα κριτήρια.

277. Τούτου δοθέντος, το ζήτημα αν η στόχευση μέσω επιλογέων στο πλαίσιο προγραμμάτων που στηρίζονται στο άρθρο 702 του νόμου FISA περιορίζει αποτελεσματικώς τις εξουσίες των Υπηρεσιών Πληροφοριών εξαρτάται από το πλαίσιο το οποίο διέπει τον καθορισμό των επιλογέων (153). Ο M. Schrems ισχυρίζεται επ’ αυτού ότι, ελλείψει επαρκούς ελέγχου ως προς το συγκεκριμένο ζήτημα, το αμερικανικό δίκαιο δεν προβλέπει εγγυήσεις έναντι γενικευμένης προσβάσεως στο περιεχόμενο επικοινωνιών που βρίσκονται ήδη στο στάδιο του φιλτραρίσματος, μολονότι προσβάλλεται η ίδια η ουσία του δικαιώματος σεβασμού της ιδιωτικής ζωής των υποκειμένων των δεδομένων.

278. Όπως θα εξηγήσω αναλυτικότερα κατωτέρω (154), μάλλον συμμερίζομαι τις αμφιβολίες αυτές ως προς το αν το πλαίσιο που διέπει τον καθορισμό των επιλογέων είναι επαρκές για να γίνει δεκτό ότι πληρούνται τα κριτήρια προβλεψιμότητας και αναλογικότητας των επεμβάσεων. Ωστόσο, η ύπαρξη του πλαισίου αυτού, έστω και αν είναι ατελές, αποκλείει το συμπέρασμα ότι το άρθρο 702 του νόμου FISA επιτρέπει γενικευμένη πρόσβαση των δημοσίων αρχών στο περιεχόμενο των ηλεκτρονικών επικοινωνιών και, επομένως, ότι ισοδυναμεί με προσβολή της ίδιας της ουσίας του δικαιώματος που κατοχυρώνεται στο άρθρο 7 του Χάρτη.

279. Επισημαίνω επίσης ότι, στη γνωμοδότηση 1/15, το Δικαστήριο έκρινε ότι το βασικό περιεχόμενο του δικαιώματος προστασίας των δεδομένων προσωπικού χαρακτήρα, το οποίο κατοχυρώνεται στο άρθρο 8 του Χάρτη, διαφυλάσσεται όταν οι σκοποί της επεξεργασίας οριοθετούνται και η επεξεργασία συνοδεύεται από κανόνες που έχουν ως σκοπό να εγγυηθούν, μεταξύ άλλων, την ασφάλεια, την εμπιστευτικότητα και την ακεραιότητα των δεδομένων, καθώς και την προστασία από τον κίνδυνο παράνομης προσβάσεως και επεξεργασίας (155).

280. Στην απόφαση για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής», η Επιτροπή διαπίστωσε ότι τόσο το άρθρο 702 του νόμου FISA όσο και η PPD 28 οριοθετούν τους σκοπούς για τους οποίους επιτρέπεται η συλλογή των δεδομένων στο πλαίσιο προγραμμάτων που εφαρμόζονται δυνάμει του άρθρου 702 του νόμου FISA (156). Στην απόφαση αυτή η Επιτροπή τονίζει επίσης ότι η PPD 28 προβλέπει κανόνες για την πρόσβαση στα δεδομένα καθώς και για την αποθήκευση και τη διάδοσή τους με σκοπό τη διαφύλαξη της ασφάλειάς τους και την προστασία τους έναντι μη επιτρεπόμενων προσβάσεων (157). Όπως θα εξηγήσω στη συνέχεια της αναλύσεώς μου (158), διατηρώ αμφιβολίες, ειδικότερα, επί του ζητήματος αν οι σκοποί των επίμαχων επεξεργασιών προσδιορίζονται με αρκετή σαφήνεια και ακρίβεια έτσι ώστε να εξασφαλίσουν επίπεδο προστασίας ουσιαστικά ισοδύναμο με αυτό που ισχύει στην έννομη τάξη της Ένωσης. Εντούτοις, οι ενδεχόμενες αυτές αδυναμίες δεν αρκούν, κατά τη γνώμη μου, για να διαπιστωθεί ότι τέτοια προγράμματα, αν εφαρμόζονταν εντός της Ένωσης, θα προσέβαλλαν το βασικό περιεχόμενο του δικαιώματος προστασίας των δεδομένων προσωπικού χαρακτήρα.

281. Εξάλλου, υπενθυμίζω ότι η επάρκεια του επιπέδου προστασίας που εξασφαλίζεται στο πλαίσιο δραστηριοτήτων παρακολουθήσεως βάσει του E.O. 12333 πρέπει να αξιολογείται υπό το πρίσμα των διατάξεων της ΕΣΔΑ. Συναφώς, από την απόφαση για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής» προκύπτει ότι οι μόνοι περιορισμοί στην εφαρμογή μέτρων που θεμελιώνονται στο E.O. 12333 ως προς τη συλλογή δεδομένων σχετικών με μη Αμερικανούς πολίτες είναι οι περιορισμοί τους οποίους προβλέπει η PPD 28 (159). Η εν λόγω προεδρική οδηγία ορίζει ότι η χρήση πληροφοριών από την αλλοδαπή πρέπει να είναι «όσο το δυνατόν περισσότερο εξατομικευμένη». Ωστόσο μνημονεύει ρητώς τη δυνατότητα «μαζικής» συλλογής, εκτός της αμερικανικής επικράτειας, με σκοπό την επιδίωξη ορισμένων σκοπών εθνικής ασφάλειας (160). Κατά την άποψη του M. Schrems, οι διατάξεις της PPD 28, η οποία, εκτός των άλλων, δεν δημιουργεί δικαιώματα για τους ιδιώτες, δεν προστατεύουν τα υποκείμενα των δεδομένων έναντι του κινδύνου γενικευμένης προσβάσεως τρόπο στο περιεχόμενο των ηλεκτρονικών τους επικοινωνιών.

282. Επί του ζητήματος αυτού, θα παρατηρήσω απλώς και μόνον ότι το ΕΔΔΑ, στη σχετική με το άρθρο 8 της ΕΣΔΑ νομολογία του, δεν έχει χρησιμοποιήσει ως κριτήριο την έννοια της προσβολής του βασικού περιεχομένου ή της ίδιας της ουσίας του δικαιώματος σεβασμού της ιδιωτικής ζωής (161). Το ΕΔΔΑ, μέχρι σήμερα, δεν έχει κρίνει ότι συστήματα που επιτρέπουν την υποκλοπή ηλεκτρονικών επικοινωνιών, ακόμη και τη μαζική, υπερβαίνουν αυτά καθεαυτά το περιθώριο εκτιμήσεως των κρατών μελών. Κατά το ΕΔΔΑ, τα συστήματα αυτά συμβιβάζονται με το άρθρο 8, παράγραφος 2, της ΕΣΔΑ, εφόσον συνοδεύονται από ορισμένες ελάχιστες εγγυήσεις (162). Υπό τις συνθήκες αυτές, δεν θεωρώ ότι πρέπει να γίνει δεκτό ότι καθεστώς παρακολουθήσεως όπως αυτό το οποίο προβλέπεται στο E.O. 12333 υπερβαίνει το περιθώριο εκτιμήσεως των κρατών μελών, χωρίς να γίνει εξέταση των τυχόν εγγυήσεων που το συνοδεύουν.

4)      Επί της επιδιώξεως θεμιτού σκοπού

283. Κατά το άρθρο 52, παράγραφος 1, του Χάρτη, κάθε περιορισμός στην άσκηση των δικαιωμάτων που κατοχυρώνονται στον Χάρτη πρέπει να ανταποκρίνεται πραγματικά σε κάποιον από τους σκοπούς γενικού συμφέροντος τους οποίους αναγνωρίζει η Ένωση. Το άρθρο 8, παράγραφος 2, του Χάρτη ορίζει επίσης ότι κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα που δεν στηρίζεται στη συγκατάθεση του ενδιαφερομένου πρέπει να στηρίζεται σε «θεμιτούς λόγους που προβλέπονται από το νόμο». Το δε άρθρο 8, παράγραφος 1, της ΕΣΔΑ απαριθμεί τους σκοπούς που μπορούν να δικαιολογήσουν επέμβαση στην άσκηση του δικαιώματος σεβασμού της ιδιωτικής ζωής.

284. Βάσει της αποφάσεως για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής», η προσχώρηση στις αρχές οι οποίες μνημονεύονται εκεί μπορεί να περιοριστεί για λόγους σχετικούς με την εκπλήρωση υποχρεώσεων που άπτονται της εθνικής ασφάλειας, του δημοσίου συμφέροντος και της τηρήσεως της νομοθεσίας (163). Στις αιτιολογικές σκέψεις 67 έως 124 της προαναφερθείσας αποφάσεως εξετάζονται ειδικότερα οι περιορισμοί που απορρέουν από την πρόσβαση των αμερικανικών δημοσίων αρχών στα δεδομένα και τη χρήση τους από αυτές για σκοπούς εθνικής ασφάλειας.

285. Δεν αμφισβητείται ότι η προστασία της εθνικής ασφάλειας αποτελεί θεμιτό σκοπό που δικαιολογεί παρεκκλίσεις από τις απαιτήσεις οι οποίες απορρέουν από τον ΓΚΠΔ (164), καθώς και από τα θεμελιώδη δικαιώματα που κατοχυρώνονται στα άρθρα 7 και 8 του Χάρτη (165). Ωστόσο, ο M. Schrems, η Αυστριακή Κυβέρνηση και το EPIC επισήμαναν ότι οι σκοποί που επιδιώκονται στο πλαίσιο των προγραμμάτων παρακολουθήσεως δυνάμει του άρθρου 702 του νόμου FISA και του E.O. 12333 δεν περιορίζονται στην εθνική ασφάλεια. Συγκεκριμένα, οι ρυθμίσεις αυτές έχουν ως αντικείμενο την απόκτηση «πληροφοριών από την αλλοδαπή», η δε έννοια αυτή καλύπτει διάφορες πληροφορίες που περιλαμβάνουν, αλλά όχι κατ’ αποκλειστικότητα, τις σχετικές με την εθνική ασφάλεια (166). Παραδείγματος χάριν, συνιστούν «πληροφορίες από την αλλοδαπή», κατά την έννοια του άρθρου 702 του νόμου FISA, τα δεδομένα που αφορούν την άσκηση της εξωτερικής πολιτικής (167). Κατά τον δε ορισμό του E.O. 12333, εμπίπτουν στην έννοια αυτή πληροφορίες σχετικές με τις ικανότητες, τις προθέσεις ή τις δραστηριότητες ξένων κυβερνήσεων, οργανώσεων ή προσώπων (168). Ο M. Schrems αμφισβητεί κατά πόσον ο σκοπός ο οποίος ορίζεται κατ’ αυτόν τον τρόπο είναι θεμιτός, επειδή υπερβαίνει, κατά την άποψή του, τα όρια της εθνικής ασφάλειας.

286. Κατά τη γνώμη μου, η προστασία συμφερόντων σχετικών με την άσκηση εξωτερικής πολιτικής εμπίπτει, σε κάποιον βαθμό, στα όρια της εθνικής ασφάλειας (169). Δεν αποκλείεται, εξάλλου, το ενδεχόμενο ορισμένοι στόχοι οι οποίοι δεν σχετίζονται με την προστασία της εθνικής ασφάλειας αλλά καλύπτονται από την έννοια «πληροφορίες από την αλλοδαπή», όπως ορίζεται στο άρθρο 702 του νόμου FISA και στο E.O. 12333, να ανταποκρίνονται σε σημαντικούς σκοπούς δυνάμενους να δικαιολογήσουν επέμβαση στα θεμελιώδη δικαιώματα σεβασμού της ιδιωτικής ζωής και προστασίας των δεδομένων προσωπικού χαρακτήρα. Οι σκοποί αυτοί έχουν, εν πάση περιπτώσει, μικρότερη βαρύτητα από τη διαφύλαξη της εθνικής ασφάλειας στο πλαίσιο της σταθμίσεως των θεμελιωδών δικαιωμάτων των υποκειμένων των δεδομένων και του επιδιωκόμενου από την επέμβαση σκοπού (170).

287. Εντούτοις, απαιτείται επίσης, σύμφωνα με το άρθρο 52, παράγραφος 1, του Χάρτη, τα μέτρα τα οποία προβλέπουν τις επίμαχες επεμβάσεις να επιδιώκουν πράγματι την προστασία της εθνικής ασφάλειας ή άλλο θεμιτό σκοπό (171). Επιπλέον, ο σκοπός των επεμβάσεων πρέπει να ορίζεται κατά τέτοιον τρόπο ώστε να πληρούνται οι απαιτήσεις περί σαφήνειας και ακρίβειας (172).

288. Όμως, κατά τον M. Schrems, ο σκοπός των μέτρων παρακολουθήσεως που προβλέπονται στο άρθρο 702 του νόμου FISA και στο E.O. 12333 δεν είναι διατυπωμένος με επαρκή ακρίβεια ώστε να πληρούνται οι εγγυήσεις περί προβλεψιμότητας και αναλογικότητας. Αυτό ισχύει ιδίως στον βαθμό που οι ως άνω ρυθμίσεις ορίζουν την έννοια της «πληροφορίας από την αλλοδαπή» κατά τρόπο ιδιαιτέρως ευρύ. Επιπλέον, η Επιτροπή, στην αιτιολογική σκέψη 109 της αποφάσεως για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής», διαπίστωσε ότι το άρθρο 702 του νόμου FISA απαιτεί να αποτελεί η συγκέντρωση πληροφοριών σε θέματα σχετικά με πληροφορίες από την αλλοδαπή «σημαντικό σκοπό» της συλλογής δεδομένων, οπότε η διατύπωση αυτή δεν αποκλείει, εκ πρώτης όψεως και όπως επισήμανε το EPIC, την επιδίωξη άλλων σκοπών που δεν έχουν προσδιοριστεί.

289. Για τους λόγους αυτούς, χωρίς να αποκλείεται το ενδεχόμενο τα μέτρα παρακολουθήσεως βάσει του άρθρου 702 του νόμου FISA ή του E.O. 12333 να ανταποκρίνονται σε θεμιτούς σκοπούς, τίθεται ευλόγως το ερώτημα αν τα μέτρα αυτά ορίζονται κατά τρόπο αρκούντως σαφή και ακριβή ώστε να είναι δυνατή η αποτροπή του κινδύνου καταχρήσεως και ο έλεγχος της αναλογικότητας των επεμβάσεων που απορρέουν από αυτά (173).

5)      Επί του αναγκαίου και αναλογικού χαρακτήρα των επεμβάσεων

290. Το Δικαστήριο έχει επανειλημμένως τονίσει ότι τα δικαιώματα που κατοχυρώνονται στα άρθρα 7 και 8 του Χάρτη δεν αποτελούν απόλυτα δικαιώματα, αλλά πρέπει να εκτιμώνται σε σχέση με τον ρόλο που επιτελούν στην κοινωνία και να σταθμίζονται με άλλα θεμελιώδη δικαιώματα, τηρουμένης της αρχής της αναλογικότητας (174). Όπως τόνισε η Facebook Ireland, μεταξύ αυτών των άλλων δικαιωμάτων περιλαμβάνεται το δικαίωμα στην ασφάλεια, το οποίο κατοχυρώνεται στο άρθρο 6 του Χάρτη.

291. Πιο συγκεκριμένα, κατά πάγια επίσης νομολογία, κάθε επέμβαση στην άσκηση των δικαιωμάτων που κατοχυρώνονται στα άρθρα 7 και 8 του Χάρτη πρέπει να υπόκειται σε αυστηρό έλεγχο αναλογικότητας (175).

292. Ειδικότερα, από την απόφαση Schrems προκύπτει ότι «δεν περιορίζεται στα όρια του απολύτως αναγκαίου μια ρύθμιση που επιτρέπει κατά γενικευμένο τρόπο τη διατήρηση του συνόλου των δεδομένων […] χωρίς καμία διαφοροποίηση, περιορισμό ή εξαίρεση σε σχέση με τον επιδιωκόμενο σκοπό και χωρίς να προβλέπεται αντικειμενικό κριτήριο που θα μπορούσε να οριοθετήσει την πρόσβαση των δημοσίων αρχών στα δεδομένα και τη μεταγενέστερη χρήση τους για συγκεκριμένους σκοπούς, αυστηρά περιορισμένους, που μπορούν να δικαιολογήσουν την προσβολή που συνεπάγεται τόσο η πρόσβαση όσο και η χρήση των δεδομένων αυτών» (176).

293. Το Δικαστήριο έχει επίσης κρίνει ότι, εκτός αν πρόκειται για επείγουσες περιπτώσεις δεόντως αιτιολογημένες, η πρόσβαση πρέπει να εξαρτάται από προηγούμενο έλεγχο πραγματοποιούμενο είτε από δικαστήριο είτε από ανεξάρτητη διοικητική αρχή και η σχετική απόφαση του δικαστηρίου ή της αρχής έχει ως αντικείμενο να περιορίσει την πρόσβαση στα δεδομένα και τη χρήση τους σε ό, τι είναι αυστηρώς αναγκαίο για την επίτευξη του επιδιωκόμενου σκοπού (177).

294. Το άρθρο 23, παράγραφος 2, του ΓΚΠΔ ορίζει πλέον εγγυήσεις τις οποίες πρέπει να προβλέπει κάθε κράτος μέλος όταν παρεκκλίνει από τις διατάξεις του κανονισμού αυτού. Η ρύθμιση που επιτρέπει μια τέτοια παρέκκλιση πρέπει να περιλαμβάνει διατάξεις σχετικές, ιδίως, με τους σκοπούς της επεξεργασίας, την έκταση της παρεκκλίσεως, τις εγγυήσεις που αποσκοπούν στην αποτροπή των καταχρήσεων, τη διάρκεια διατηρήσεως των δεδομένων, καθώς και το δικαίωμα των υποκειμένων των δεδομένων να ενημερώνονται για την παρέκκλιση, εκτός αν τούτο ενέχει τον κίνδυνο να θιγεί ο σκοπός της παρεκκλίσεως.

295. Εν προκειμένω, ο M. Schrems υποστηρίζει ότι το άρθρο 702 του νόμου FISA δεν συνοδεύεται από επαρκείς εγγυήσεις κατά του κινδύνου καταχρήσεως και παράνομης προσβάσεως στα δεδομένα. Ειδικότερα, ο προσδιορισμός των κριτηρίων επιλογής δεν οριοθετείται επαρκώς, οπότε η διάταξη αυτή δεν παρέχει εγγυήσεις κατά της γενικευμένης προσβάσεως στο περιεχόμενο των επικοινωνιών.

296. Αντιθέτως, η Κυβέρνηση των Ηνωμένων Πολιτειών και η Επιτροπή ισχυρίζονται ότι το άρθρο 702 του νόμου FISA οριοθετεί με αντικειμενικά κριτήρια τον καθορισμό των επιλογέων, καθόσον η διάταξη αυτή επιτρέπει μόνον τη συλλογή δεδομένων ηλεκτρονικών επικοινωνιών μη Αμερικανών πολιτών που βρίσκονται εκτός των Ηνωμένων Πολιτειών με σκοπό να αποκτηθούν πληροφορίες από την αλλοδαπή.

297. Κατά τη γνώμη μου, είναι εύλογες οι αμφιβολίες ως προς το αν αυτά τα κριτήρια που οριοθετούν τον καθορισμό των κριτηρίων επιλογής είναι αρκούντως σαφή και ακριβή καθώς και ως προς το αν υφίστανται επαρκείς εγγυήσεις προς αποτροπή του κινδύνου καταχρήσεως.

298. Κατ’ αρχάς, στην αιτιολογική σκέψη 109 της αποφάσεως για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής» αναφέρεται ότι ούτε το FISC ούτε άλλο ανεξάρτητο δικαστικό ή διοικητικό όργανο εγκρίνει τα κριτήρια επιλογής σε ατομική βάση πριν από την εφαρμογή τους. Στην εν λόγω απόφαση η Επιτροπή διαπίστωσε ότι «το FISC δεν εγκρίνει μέτρα παρακολούθησης σε ατομική βάση· απεναντίας, εγκρίνει προγράμματα παρακολούθησης […] βάσει ετήσιων πιστοποιήσεων», γεγονός το οποίο επιβεβαίωσε η Κυβέρνηση των Ηνωμένων Πολιτειών ενώπιον του Δικαστηρίου. Στην ίδια αιτιολογική σκέψη διευκρινίζεται ότι «οι πιστοποιήσεις προς έγκριση από το FISC δεν περιέχουν καμία πληροφορία σχετικά με τα μεμονωμένα άτομα τα οποία στοχεύονται αλλά μάλλον προσδιορίζουν κατηγορίες πληροφοριών από την αλλοδαπή» που μπορούν να συγκεντρωθούν. Η Επιτροπή διαπίστωσε επίσης, στην απόφαση εκείνη, ότι «το FISC δεν αξιολογεί -βάσει πιθανής αιτίας ή οποιουδήποτε άλλου κριτηρίου- αν τα πρόσωπα στοχεύονται ορθώς με σκοπό τη συγκέντρωση πληροφοριών από την αλλοδαπή», μολονότι ελέγχει αν πληρούται η προϋπόθεση ότι «σημαντικός σκοπός της συγκέντρωσης είναι η απόκτηση πληροφοριών από την αλλοδαπή».

299. Στη συνέχεια, κατά την ως άνω αιτιολογική σκέψη, το άρθρο 702 του νόμου FISA επιτρέπει στη NSA να συγκεντρώνει στοιχεία από τις επικοινωνίες «μόνον εάν υπάρχει βάσιμος λόγος να θεωρείται ότι ένα δεδομένο μέσο επικοινωνίας χρησιμοποιείται με σκοπό την κοινοποίηση πληροφοριών από την αλλοδαπή». Η αιτιολογική σκέψη 70 της αποφάσεως για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής» προσθέτει ότι ο καθορισμός των επιλογέων πραγματοποιείται σύμφωνα με το συνολικό εθνικό πλαίσιο προτεραιοτήτων για τις υπηρεσίες πληροφοριών (National Intelligence Priorities Framework – NIPF). Στην προαναφερθείσα απόφαση δεν γίνεται λόγος για πιο συγκεκριμένες απαιτήσεις αιτιολογήσεως ή δικαιολογήσεως όσον αφορά τον καθορισμό των επιλογέων βάσει των συγκεκριμένων διοικητικών προτεραιοτήτων που επιβάλλονται στην NSA (178).

300. Τέλος, στην αιτιολογική σκέψη 71 της αποφάσεως για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής» γίνεται μνεία στην απαίτηση που επιβάλλει η PPD, η οποία ορίζει ότι η συγκέντρωση πληροφοριών από την αλλοδαπή πρέπει να είναι «όσο το δυνατόν περισσότερο εξατομικευμένη». Πέραν του ότι η προεδρική αυτή οδηγία δεν δημιουργεί δικαιώματα για τα φυσικά πρόσωπα, δεν είναι, κατ’ εμέ, καθόλου προφανής η ουσιαστική ισοδυναμία του κριτηρίου μιας δραστηριότητας «όσο το δυνατόν περισσότερο εξατομικευμένη[ς]» με το κριτήριο της «αυστηρής αναγκαιότητας» το οποίο επιβάλλει το άρθρο 52, παράγραφος 1, του Χάρτη προκειμένου να δικαιολογηθεί επέμβαση στην άσκηση των δικαιωμάτων που κατοχυρώνονται στα άρθρα 7 και 8 (179).

301. Λαμβανομένων υπόψη των σκέψεων αυτών, δεν είναι βέβαιο ότι, βάσει των στοιχείων που εκτίθενται στην απόφαση για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής», τα μέτρα παρακολουθήσεως τα οποία λαμβάνονται βάσει του άρθρου 702 του νόμου FISA συνοδεύονται, όσον αφορά, αφενός, τον περιορισμό του αριθμού των προσώπων που μπορούν να υποβληθούν σε μέτρα παρακολουθήσεως και, αφετέρου, τους σκοπούς για τους οποίους επιτρέπεται η συλλογή δεδομένων, από εγγυήσεις ουσιαστικά ισοδύναμες με εκείνες που απαιτούνται από τον ΓΚΠΔ, σε συνδυασμό με τα άρθρα 7 και 8 του Χάρτη (180).

302. Εξάλλου, όσον αφορά την επάρκεια του επιπέδου προστασίας που εξασφαλίζεται κατά την παρακολούθηση η οποία πραγματοποιείται δυνάμει του E.O. 12333, το ΕΔΔΑ αναγνωρίζει στα κράτη μέλη ευρύ περιθώριο εκτιμήσεως για τον προσδιορισμό των μέσων προστασίας της εθνικής τους ασφάλειας, αν και το περιθώριο αυτό περιορίζεται, παρά ταύτα, από την απαίτηση προβλέψεως κατάλληλων και επαρκών εγγυήσεων έναντι των καταχρήσεων (181). Στην νομολογία του σχετικά με τα μέτρα μυστικής παρακολουθήσεως, το ΕΔΔΑ εξετάζει αν το εθνικό δίκαιο στο οποίο θεμελιώνονται αυτά τα μέτρα περιλαμβάνει επαρκείς και αποτελεσματικές εγγυήσεις και ασφαλιστικές δικλίδες που να ικανοποιούν τις απαιτήσεις περί «προβλεψιμότητας» και «αναγκαιότητας εντός μιας δημοκρατικής κοινωνίας» (182).

303. Το ΕΔΔΑ αναφέρει συναφώς ορισμένες ελάχιστες εγγυήσεις. Οι εγγυήσεις αυτές αφορούν τη σαφή μνεία της φύσης των αδικημάτων που μπορούν να δικαιολογήσουν την έκδοση εντάλματος παρακολουθήσεως, τον καθορισμό των κατηγοριών των προσώπων των οποίων οι επικοινωνίες ενδέχεται να υπόκεινται σε παρακολούθηση, τον καθορισμό χρονικού ορίου ως προς τη διάρκεια της εκτελέσεως του μέτρου, την ακολουθητέα διαδικασία για την εξέταση, τη χρήση και τη διατήρηση των δεδομένων που συλλέγονται, τα μέτρα που πρέπει να λαμβάνονται για τη γνωστοποίηση των δεδομένων σε άλλα πρόσωπα και τις περιστάσεις υπό τις οποίες οι καταχωρίσεις μπορούν ή πρέπει να διαγραφούν ή να καταστραφούν (183).

304. Η επάρκεια και αποτελεσματικότητα των εγγυήσεων που συνοδεύουν την επέμβαση εξαρτάται από όλες τις περιστάσεις της υπό κρίση υποθέσεως, στις οποίες περιλαμβάνονται η φύση, το περιεχόμενο και η χρονική ισχύς των μέτρων, οι λόγοι για τους οποίους μπορούν αυτά να ληφθούν, οι αρμόδιες αρχές που επιτρέπεται να τα λαμβάνουν, να τα εκτελούν και να τα ελέγχουν, καθώς και το είδος των μέσων έννομης προστασίας που παρέχει το εσωτερικό δίκαιο (184).

305. Ειδικότερα, το ΕΔΔΑ, για να κρίνει αν συγκεκριμένο μέτρο μυστικής παρακολουθήσεως δικαιολογείται, λαμβάνει υπόψη το σύνολο των ελέγχων που ασκούνται «όταν λαμβάνεται», «κατά τη διάρκεια του» και «μετά τη λήξη του» (185). Όσον αφορά το πρώτο από τα τρία αυτά στάδια, το ΕΔΔΑ απαιτεί να λαμβάνονται τα μέτρα αυτά από ανεξάρτητο όργανο. Μολονότι η δικαστική εξουσία αντιπροσωπεύει, κατά το ΕΔΔΑ, την καλύτερη εγγύηση ανεξαρτησίας, αμεροληψίας και νομιμότητας της διαδικασίας, εντούτοις το εν λόγω όργανο δεν πρέπει κατ’ ανάγκη να ανήκει στη δικαστική εξουσία (186). Ο ενδελεχής δικαστικός έλεγχος σε μεταγενέστερο στάδιο μπορεί να αντισταθμίσει τυχόν ελαττώματα της διαδικασίας χορηγήσεως άδειας (187).

306. Εν προκειμένω, από την απόφαση για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής» προκύπτει ότι οι μόνες εγγυήσεις που πλαισιώνουν τη συλλογή και τη χρήση δεδομένων εκτός της επικράτειας των Ηνωμένων Πολιτειών περιλαμβάνονται στην PPD 28, δεδομένου ότι το άρθρο 702 του νόμου FISA δεν εφαρμόζεται εκτός του εδάφους αυτού. Δεν είμαι πεπεισμένος ότι οι εγγυήσεις αυτές αρκούν για να γίνει δεκτό ότι πληρούνται οι προϋποθέσεις της «προβλεψιμότητας» και «αναγκαιότητας σε μια δημοκρατική κοινωνία».

307. Κατ’ αρχάς, επισήμανα ήδη ότι η ως άνω προεδρική οδηγία δεν δημιουργεί δικαιώματα υπέρ των ιδιωτών. Εν συνεχεία, αμφιβάλλω ότι η απαίτηση διασφαλίσεως μιας «όσο το δυνατόν περισσότερο εξατομικευμένης» παρακολουθήσεως διατυπώνεται με τόσο σαφείς και ακριβείς όρους ώστε τα υποκείμενα των δεδομένων να προστατεύονται καταλλήλως έναντι του κινδύνου καταχρήσεως (188). Τέλος, στην απόφαση για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής» δεν ορίζεται ότι η παρακολούθηση που θεμελιώνεται στο E.O. 12333 υπόκειται σε προηγούμενο έλεγχο από ανεξάρτητο όργανο ή ότι μπορεί να αποτελέσει αντικείμενο δικαστικού ελέγχου a posteriori (189).

308. Υπό τις συνθήκες αυτές, διερωτώμαι ως προς τη βασιμότητα της διαπιστώσεως ότι οι Ηνωμένες Πολιτείες διασφαλίζουν, στο πλαίσιο των δραστηριοτήτων των εθνικών τους Υπηρεσιών Πληροφοριών δυνάμει του άρθρου 702 του νόμου FISA και του E.O. 12333, επαρκές επίπεδο προστασίας κατά την έννοια του άρθρου 45, παράγραφος 1, του ΓΚΠΔ, σε συνδυασμό με τα άρθρα 7 και 8 του Χάρτη, καθώς και με το άρθρο 8 της ΕΣΔΑ.

3)      Επί του κύρους της αποφάσεως για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής» υπό το πρίσμα του δικαιώματος αποτελεσματικής προσφυγής

309. Με το πέμπτο προδικαστικό ερώτημα το Δικαστήριο καλείται να κρίνει αν τα πρόσωπα των οποίων τα δεδομένα διαβιβάζονται στις Ηνωμένες Πολιτείες τυγχάνουν δικαστικής προστασίας ουσιαστικά ισοδύναμης με εκείνη που πρέπει να εξασφαλίζεται εντός της Ένωσης δυνάμει του άρθρου 47 του Χάρτη. Με το δέκατο ερώτημά του, το αιτούν δικαστήριο ερωτά, κατ’ ουσίαν, αν το πέμπτο ερώτημα χρήζει καταφατικής απαντήσεως λαμβανομένου υπόψη του μηχανισμού διαμεσολαβήσεως ο οποίος ιδρύθηκε με την απόφαση για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής».

310. Διαπιστώνω εκ προοιμίου ότι, στην αιτιολογική σκέψη 115 της αποφάσεως εκείνης, η Επιτροπή αναγνωρίζει ότι το αμερικανικό νομικό σύστημα παρουσιάζει κενά όσον αφορά τη δικαστική προστασία των φυσικών προσώπων.

311. Κατά την αιτιολογική αυτή σκέψη, πρώτον, «τουλάχιστον ορισμένες νομικές βάσεις που μπορούν να χρησιμοποιήσουν οι υπηρεσίες πληροφοριών των ΗΠΑ [π.χ. το εκτελεστικό διάταγμα (E.O.) 12333] δεν καλύπτονται» από τις δυνατότητες ασκήσεως ένδικης προσφυγής. Συγκεκριμένα, το E.O. 12333 και η PPD 28 δεν απονέμουν δικαιώματα στα υποκείμενα των δεδομένων και τα εν λόγω πρόσωπα δεν μπορούν να επικαλεστούν τις ρυθμίσεις αυτές ενώπιον των δικαστηρίων. Όμως, η αποτελεσματική δικαστική προστασία προϋποθέτει, τουλάχιστον, ότι οι ιδιώτες έχουν δικαιώματα δυνάμενα να προβληθούν ενώπιον δικαστηρίου.

312. Δεύτερον, «ακόμη και σε περίπτωση που όντως υφίστανται καταρχήν δυνατότητες δικαστικής προσφυγής για πρόσωπα που δεν είναι πολίτες των ΗΠΑ, όπως για την παρακολούθηση δυνάμει του νόμου FISA, οι διαθέσιμες βάσεις για άσκηση προσφυγής είναι περιορισμένες και οι προσφυγές που υποβάλλουν […] θα κηρύσσονται μη παραδεκτές εάν δεν μπορούν να [από]δείξουν [ότι νομιμοποιούνται ενεργητικώς] για την άσκησή τους, στοιχείο που περιορίζει την πρόσβαση στα τακτικά δικαστήρια».

313. Από τις αιτιολογικές σκέψεις 116 έως 124 της αποφάσεως για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής» προκύπτει ότι ο θεσμός του Διαμεσολαβητή έχει ως σκοπό να αντισταθμίσει αυτούς τους περιορισμούς. Η Επιτροπή, στην αιτιολογική σκέψη 139 της αποφάσεως αυτής, καταλήγει ότι «συνολικά, οι μηχανισμοί εποπτείας και προσφυγής που προβλέπονται στην ασπίδα προστασίας […] προσφέρουν ένδικα βοηθήματα στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα ώστε να αποκτά πρόσβαση στα δεδομένα προσωπικού χαρακτήρα που το αφορούν και, εντέλει, να επιτυγχάνει τη διόρθωση ή τη διαγραφή των εν λόγω δεδομένων.» (η υπογράμμιση δική μου).

314. Υπενθυμίζοντας τις γενικές αρχές που συνάγονται από τη νομολογία του Δικαστηρίου και του ΕΔΔΑ σχετικά με το δικαίωμα προσφυγής κατά μέτρων παρακολουθήσεως των επικοινωνιών, θα εξετάσω αν οι δικαστικές προσφυγές τις οποίες προβλέπει το αμερικανικό δίκαιο, όπως περιγράφονται στην απόφαση για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής», διασφαλίζουν επαρκή δικαστική προστασία για τα υποκείμενα των δεδομένων (ενότητα 1). Στη συνέχεια, θα εξετάσω αν η θέσπιση του εξωδικαστικού μηχανισμού διαμεσολαβήσεως καλύπτει, ενδεχομένως, τα κενά στην ένδικη προστασία των προσώπων αυτών [ενότητα 2)].

1)      Επί της αποτελεσματικότητας των δικαστικών προσφυγών που προβλέπει το αμερικανικό δίκαιο

315. Πρώτον, το άρθρο 47, πρώτο εδάφιο, του Χάρτη ορίζει ότι κάθε πρόσωπο του οποίου παραβιάστηκαν τα δικαιώματα και οι ελευθερίες που διασφαλίζονται από το δίκαιο της Ένωσης, έχει δικαίωμα πραγματικής προσφυγής ενώπιον δικαστηρίου (190). Κατά το δεύτερο εδάφιο αυτού του άρθρου, κάθε πρόσωπο έχει δικαίωμα να δικασθεί η υπόθεσή του δίκαια, δημόσια και εντός εύλογης προθεσμίας, από ανεξάρτητο και αμερόληπτο δικαστήριο (191). Η πρόσβαση σε ανεξάρτητο δικαστήριο εμπίπτει στο βασικό περιεχόμενο του δικαιώματος που κατοχυρώνει το άρθρο 47 του Χάρτη (192).

316. Αυτό το δικαίωμα δικαστικής προστασίας προστίθεται στην υποχρέωση που υπέχουν τα κράτη μέλη από τα άρθρα 7 και 8 του Χάρτη να υποβάλλουν κάθε μέτρο παρακολουθήσεως σε προηγούμενο έλεγχο από δικαστήριο ή ανεξάρτητη διοικητική αρχή, εκτός αν πρόκειται για επείγουσες περιπτώσεις δεόντως αιτιολογημένες (193).

317. Βεβαίως, όπως υποστήριξαν η Γερμανική και η Γαλλική Κυβέρνηση, το δικαίωμα αποτελεσματικής δικαστικής προσφυγής δεν συνιστά απόλυτη εγγύηση (194), δεδομένου ότι το δικαίωμα αυτό μπορεί να υπόκειται σε περιορισμούς για λόγους εθνικής ασφάλειας. Ωστόσο, οι παρεκκλίσεις επιτρέπονται μόνον εφόσον δεν θίγουν το βασικό περιεχόμενό του και είναι απολύτως αναγκαίες για την επίτευξη θεμιτού σκοπού.

318. Επ’ αυτού, το Δικαστήριο έκρινε, με την απόφαση Schrems, ότι ρύθμιση που δεν προβλέπει καμία δυνατότητα προκειμένου ο ενδιαφερόμενος να μπορεί να ασκήσει ένδικα βοηθήματα για να εξασφαλίσει πρόσβαση στα δεδομένα προσωπικού χαρακτήρα που τον αφορούν ή να επιτύχει τη διόρθωση ή τη διαγραφή τέτοιων δεδομένων δεν σέβεται το βασικό περιεχόμενο του θεμελιώδους δικαιώματος αποτελεσματικής δικαστικής προστασίας, όπως αυτό κατοχυρώνεται στο άρθρο 47 του Χάρτη (195).

319. Υπογραμμίζω ότι το δικαίωμα προσβάσεως σημαίνει ότι δίνεται στον ενδιαφερόμενο η δυνατότητα να λάβει από τις δημόσιες αρχές, με την επιφύλαξη των εντελώς αναγκαίων για την επιδίωξη θεμιτού συμφέροντος παρεκκλίσεων, επιβεβαίωση για το κατά πόσον τα δεδομένα προσωπικού χαρακτήρα που το αφορούν υφίστανται επεξεργασία (196). Κατά τη γνώμη μου, αυτή είναι η πρακτική σημασία του δικαιώματος προσβάσεως όταν το ενδιαφερόμενο πρόσωπο δεν γνωρίζει αν οι δημόσιες αρχές διατήρησαν προσωπικά δεδομένα που το αφορούν κατόπιν εφαρμογής διαδικασίας αυτοματοποιημένου φιλτραρίσματος των ροών ηλεκτρονικών επικοινωνιών.

320. Εξάλλου, από τη νομολογία προκύπτει ότι οι αρχές κράτους μέλους είναι, κατ’ αρχήν, υποχρεωμένες να ενημερώνουν σχετικά με την πρόσβαση στα δεδομένα αφ’ ης στιγμής η ενημέρωση δεν θα έθετε σε κίνδυνο τις έρευνες που διεξάγουν οι εν λόγω αρχές (197). Η ενημέρωση αυτή συνιστά, πράγματι, προαπαιτούμενο για την άσκηση του δικαιώματος προσφυγής στο πλαίσιο του άρθρου 47 του Χάρτη (198). Η υποχρέωση αυτή προβλέπεται πλέον και στο άρθρο 23, στοιχείο ηʹ, του ΓΚΠΔ.

321. Οι αιτιολογικές σκέψεις 111 έως 135 της αποφάσεως για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής» παρουσιάζουν συνοπτικά τα μέσα έννομης προστασίας που διαθέτουν τα πρόσωπα των οποίων τα δεδομένα διαβιβάζονται, σε περίπτωση που έχουν ανησυχίες ως προς το αν τα δεδομένα αυτά αποτέλεσαν αντικείμενο επεξεργασίας από τις αμερικανικές Υπηρεσίες Πληροφοριών μετά τη διαβίβαση. Τα ως άνω μέσα έννομης προστασίας περιγράφονται και στην απόφαση του High Court (Ανώτατο Δικαστήριο) της 3ης Οκτωβρίου 2017, καθώς και στις παρατηρήσεις, μεταξύ άλλων, της Κυβερνήσεως των Ηνωμένων Πολιτειών.

322. Δεν είναι αναγκαίο να υπενθυμίσω με λεπτομέρειες τα όσα έχουν εκτεθεί συναφώς. Συγκεκριμένα, το αιτούν δικαστήριο αμφισβητεί την επάρκεια των εγγυήσεων που αφορούν τη νομική προστασία των υποκειμένων των δεδομένων για τον λόγο κυρίως ότι οι ιδιαιτέρως αυστηρές απαιτήσεις στο θέμα της ενεργητικής νομιμοποιήσεως (standing) (199), σε συνδυασμό με την έλλειψη οποιασδήποτε υποχρεώσεως ενημερώσεως των προσώπων που υποβλήθηκαν σε μέτρο παρακολουθήσεως, ακόμη και όταν η ενημέρωση δεν θα έθετε πλέον σε κίνδυνο την επίτευξη των επιδιωκόμενων σκοπών, καθιστά, στην πράξη, υπερβολικά δυσχερή ή και αδύνατη, την άσκηση των μέσων έννομης προστασίας που προβλέπονται στο δίκαιο των Ηνωμένων Πολιτειών. Τις αμφιβολίες αυτές συμμερίζονται ο ΕΠΔ, ο M. Schrems, η Αυστριακή, η Πολωνική και η Πορτογαλική Κυβέρνηση, καθώς και ο ΕΕΠΔ (200).

323. Επ’ αυτού, θα περιοριστώ να υπενθυμίσω ότι οι κανόνες που διέπουν την ενεργητική νομιμοποίηση δεν επιτρέπεται να θίγουν το δικαίωμα αποτελεσματικής ένδικης προστασίας (201), καθώς και να διαπιστώσω ότι η απόφαση για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής» δεν μνημονεύει καμία απαίτηση σχετικά με υποχρέωση ενημερώσεως των υποκειμένων των δεδομένων για το γεγονός ότι υποβλήθηκαν σε μέτρο παρακολουθήσεως (202). Η έλλειψη υποχρεώσεως ενημερώσεως σχετικά με τέτοιο μέτρο παρακολουθήσεως, εφόσον ενδέχεται να παρακωλύει την άσκηση μέσων έννομης προστασίας ακόμη και αν η ενημέρωση του υποκειμένου των δεδομένων δεν θα έθιγε την αποτελεσματικότητά του, είναι προβληματική υπό το πρίσμα της νομολογίας που προαναφέρθηκε στο σημείο 320 των παρουσών προτάσεων.

324. Στην υποσημείωση 169 της αποφάσεως για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής» τονίζεται, εξάλλου, ότι οι διαθέσιμες διαδικασίες «προϋποθέτουν είτε να υφίσταται βλάβη […] είτε να καταδειχθεί ότι η κυβέρνηση προτίθεται να χρησιμοποιήσει ή να κοινολογήσει πληροφορίες που συγκεντρώθηκαν ή αντλήθηκαν από ηλεκτρονική παρακολούθηση του ενδιαφερόμενου προσώπου εναντίον του εν λόγω προσώπου». Όπως επισήμαναν το αιτούν δικαστήριο, η ΕΠΔ και ο M. Schrems, η απαίτηση αυτή έρχεται σε αντίθεση με τη νομολογία του Δικαστηρίου σύμφωνα με την οποία, προκειμένου να στοιχειοθετηθεί προσβολή του δικαιώματος σεβασμού της ιδιωτικής ζωής του υποκειμένου των δεδομένων, δεν είναι αναγκαίο το πρόσωπο αυτό να έχει υποστεί δυσμενείς συνέπειες λόγω της επεμβάσεως αυτής (203).

325. Εξάλλου, δεν με πείθει η άποψη που εξέφρασαν η Facebook Ireland και η Κυβέρνηση των Ηνωμένων Πολιτειών, ότι οι αδυναμίες που χαρακτηρίζουν τη δικαστική προστασία των προσώπων των οποίων τα δεδομένα διαβιβάζονται προς τις Ηνωμένες Πολιτείες αντισταθμίζονται από τον εκ των προτέρων και τον εκ των υστέρων έλεγχο που διενεργεί το FISC, καθώς και από τους πολυάριθμους μηχανισμούς εποπτείας που υφίστανται στο πλαίσιο της εκτελεστικής και της νομοθετικής εξουσίας (204).

326. Έχω ήδη επισημάνει ότι, αφενός, σύμφωνα με τις διαπιστώσεις στην απόφαση για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής», το FISC δεν ελέγχει τα ατομικά μέτρα παρακολουθήσεως πριν αυτά τεθούν σε εφαρμογή (205). Αφετέρου, όπως αναφέρεται στην αιτιολογική σκέψη 109 αυτής της αποφάσεως και όπως επιβεβαίωσε η Κυβέρνηση των Ηνωμένων Πολιτειών στη γραπτή απάντησή της στις ερωτήσεις του Δικαστηρίου, ο εκ των υστέρων έλεγχος της εφαρμογής των επιλογέων έχει ως αντικείμενο να διαπιστωθεί, σε περίπτωση που περιέλθει σε γνώση του FISC, από κάποια Υπηρεσία Πληροφοριών, οποιοδήποτε συμβάν σχετικό με ενδεχόμενη παράβαση των διαδικασιών στοχεύσεως και ελαχιστοποιήσεως (206), αν τηρήθηκαν οι προβλεπόμενοι στην ετήσια πιστοποίηση όροι οι οποίοι διέπουν τον καθορισμό των επιλογέων. Επομένως η διαδικασία ενώπιον του FISC δεν φαίνεται να παρέχει αποτελεσματική ατομική έννομη προστασία στα πρόσωπα των οποίων τα δεδομένα διαβιβάστηκαν προς τις Ηνωμένες Πολιτείες.

327. Μολονότι οι εξωδικαστικοί μηχανισμοί ελέγχου που μνημονεύονται στις αιτιολογικές σκέψεις 95 έως 110 της αποφάσεως για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής» θα μπορούσαν ενδεχομένως να ενισχύσουν τυχόν μέσα έννομης προστασίας, εντούτοις, κατ’ εμέ, δεν αρκούν για τη διασφάλιση ικανοποιητικού επιπέδου προστασίας όσον αφορά το δικαίωμα ασκήσεως προσφυγής των υποκειμένων των δεδομένων. Ειδικότερα, οι Γενικοί Επιθεωρητές, οι οποίοι ανήκουν στην εσωτερική δομή κάθε υπηρεσίας, δεν αποτελούν, κατά τη γνώμη μου, ανεξάρτητους μηχανισμούς ελέγχου. Η εποπτεία που ασκεί η PCLOB και οι επιτροπές πληροφοριών του Κογκρέσου δεν ισοδυναμεί με μηχανισμό ατομικής έννομης προστασίας κατά των μέτρων παρακολουθήσεως.

328. Επομένως, θα πρέπει να εξεταστεί αν ο θεσμός του Διαμεσολαβητή καλύπτει τα κενά αυτά, παρέχοντας στα υποκείμενα των δεδομένων αποτελεσματικό μέσο έννομης προστασίας ενώπιον ανεξάρτητου και αμερόληπτου οργάνου (207).

329. Δεύτερον, υπενθυμίζω ότι, προκειμένου να αξιολογηθεί η βασιμότητα της διαπιστώσεως περί υπάρξεως επάρκειας η οποία διατυπώνεται στην απόφαση για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής» υπό το πρίσμα των μέσων έννομης προστασίας που διαθέτουν όσα πρόσωπα θεωρούν ότι έχουν υποβληθεί σε παρακολούθηση βάσει του E.O. 12333, το κρίσιμο πλαίσιο αναφοράς βρίσκεται στις διατάξεις της ΕΣΔΑ.

330. Όπως εκτέθηκε ανωτέρω (208), το ΕΔΔΑ, όταν καλείται να κρίνει αν ένα μέτρο παρακολουθήσεως πληροί τις προϋποθέσεις περί «προβλεψιμότητας» και «αναγκαιότητας σε μια δημοκρατική κοινωνία» κατά την έννοια του άρθρου 8, παράγραφος 2, της ΕΣΔΑ (209), προβαίνει σε συνολική εξέταση των μηχανισμών ελέγχου και εποπτείας που εφαρμόστηκαν «πριν, κατά τη διάρκεια και μετά» την εκτέλεσή του. Όταν ο ενδιαφερόμενος κωλύεται να ασκήσει ατομική προσφυγή επειδή η ενημέρωση σχετικά με το μέτρο παρακολουθήσεως δεν είναι δυνατή χωρίς να διακυβεύεται η αποτελεσματικότητά του (210), το κενό αυτό μπορεί να αντισταθμιστεί με τη διενέργεια ανεξάρτητου ελέγχου πριν από την εφαρμογή του επίμαχου μέτρου (211). Έτσι, το ΕΔΔΑ, αν και εκτιμά ότι μια τέτοια ενημέρωση είναι «ευκταία» όταν μπορεί να γίνει χωρίς να αλλοιώνει την αποτελεσματικότητα του μέτρου παρακολουθήσεως, εντούτοις δεν την ανάγει σε απαίτηση (212).

331. Συναφώς, από την απόφαση για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής» δεν προκύπτει ότι τα μέτρα παρακολουθήσεως που θεμελιώνονται στο E.O. 12333 γνωστοποιούνται στα οικεία άτομα ούτε ότι πλαισιώνονται από ανεξάρτητους μηχανισμούς δικαστικού ή διοικητικού ελέγχου σε οποιοδήποτε στάδιο της θεσπίσεώς ή της εφαρμογής τους.

332. Υπό τις συνθήκες αυτές, πρέπει να εξεταστεί αν η προσφυγή στον Διαμεσολαβητή καθιστά, παρά ταύτα, δυνατή τη διασφάλιση ανεξάρτητου ελέγχου των μέτρων παρακολουθήσεως, συμπεριλαμβανομένων αυτών που θεμελιώνονται στο E.O. 12333.

2)      Επί του ζητήματος αν ο μηχανισμός διαμεσολαβήσεως ασκεί επιρροή ως προς το επίπεδο προστασίας του δικαιώματος αποτελεσματικής προσφυγής

333. Σύμφωνα με την αιτιολογική σκέψη 116 της αποφάσεως για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής», ο μηχανισμός διαμεσολαβήσεως που περιγράφεται στο παράρτημα III A της αποφάσεως αυτής αποσκοπεί να παράσχει πρόσθετα μέσα έννομης προστασίας στα πρόσωπα των οποίων τα δεδομένα διαβιβάζονται από την Ένωση στις Ηνωμένες Πολιτείες.

334. Όπως τόνισε η Κυβέρνηση των Ηνωμένων Πολιτειών, το παραδεκτό καταγγελίας που υποβάλλεται στον Διαμεσολαβητή δεν εξαρτάται από την τήρηση κανόνων σχετικών με την ενεργητική νομιμοποίηση, παρόμοιων με εκείνους που διέπουν την πρόσβαση στα αμερικανικά δικαστήρια. Στην αιτιολογική σκέψη 119 της εν λόγω αποφάσεως διευκρινίζεται συναφώς ότι η προσφυγή στον Διαμεσολαβητή δεν προϋποθέτει ότι το ενδιαφερόμενο πρόσωπο έχει αποδείξει ότι η Αμερικανική Κυβέρνηση συμβουλεύθηκε προσωπικά δεδομένα που το αφορούν.

335. Συμφωνώ με τον ΕΠΔ, τον M. Schrems, την Πολωνική και την Πορτογαλική Κυβέρνηση και το EPIC ότι είναι αμφίβολο κατά πόσον ο συγκεκριμένος μηχανισμός μπορεί να αντισταθμίσει τις ανεπάρκειες της δικαστικής προστασίας που παρέχεται στα πρόσωπα των οποίων τα δεδομένα διαβιβάζονται από την Ένωση στις Ηνωμένες Πολιτείες.

336. Κατ’ αρχάς, μολονότι ένας μηχανισμός εξωδικαστικής προσφυγής μπορεί να συνιστά αποτελεσματικό μέσο έννομης προστασίας υπό την έννοια του άρθρου 47 [του Χάρτη], ωστόσο τούτο ισχύει, ειδικότερα, μόνον όταν το σχετικό όργανο έχει ιδρυθεί με νόμο και πληροί την προϋπόθεση της ανεξαρτησίας (213).

337. Από την απόφαση για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής» προκύπτει ότι ο μηχανισμός διαμεσολαβήσεως, δεδομένου ότι ανάγεται στην PPD 28 (214), δεν έχει ιδρυθεί με τον νόμο. Ο Διαμεσολαβητής διορίζεται από τον Υπουργό Εξωτερικών και αποτελεί αναπόσπαστο μέρος του Υπουργείου Εξωτερικών των Ηνωμένων Πολιτειών (215). Η απόφαση για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής» δεν περιλαμβάνει καμία ένδειξη ότι η παύση του Διαμεσολαβητή ή η ανάκληση του διορισμού του συνοδεύεται από ιδιαίτερες εγγυήσεις (216). Μολονότι ο Διαμεσολαβητής εμφανίζεται ως ανεξάρτητος από την «κοινότητα των Υπηρεσιών Πληροφοριών», ωστόσο αναφέρεται στον Υπουργό Εξωτερικών και, επομένως, δεν είναι ανεξάρτητος από την εκτελεστική εξουσία (217).

338. Εν συνεχεία, φρονώ ότι η αποτελεσματικότητα του μέσου εξωδικαστικής προσφυγής εξαρτάται και από την ικανότητα του οικείου οργάνου να εκδίδει δεσμευτικές και αιτιολογημένες αποφάσεις. Επί του ζητήματος αυτού, η απόφαση για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής» δεν περιέχει καμία ένδειξη ότι ο Διαμεσολαβητής λαμβάνει τέτοιες αποφάσεις. Επίσης από την απόφαση αυτή δεν προκύπτει ότι ο θεσμός του Διαμεσολαβητή παρέχει στους προσφεύγοντες δυνατότητα να αποκτήσουν πρόσβαση στα δεδομένα που τους αφορούν και να επιτύχουν τη διόρθωση ή τη διαγραφή τους, ούτε ότι ο Διαμεσολαβητής επιδικάζει αποζημίωση στους ζημιωθέντες από μέτρο παρακολουθήσεως. Ειδικότερα, όπως καθίσταται σαφές από το παράρτημα III A, σημείο 4, στοιχείο εʹ, «ο Διαμεσολαβητής […] δεν θα επιβεβαιώνει ούτε θα αρνείται ότι ο συγκεκριμένος ιδιώτης έχει αποτελέσει στόχο παρακολούθησης ούτε θα επιβεβαιώνει ότι έχει εφαρμοστεί συγκεκριμένο διορθωτικό μέτρο» (218). Μολονότι η Αμερικανική Κυβέρνηση δεσμεύτηκε ότι ο αντίστοιχος φορέας των Υπηρεσιών Πληροφοριών είναι υποχρεωμένος να επανορθώνει οποιαδήποτε παραβίαση των εφαρμοστέων κανόνων εντοπίζει ο Διαμεσολαβητής (219), ωστόσο στην εν λόγω απόφαση δεν γίνεται λόγος για νόμιμες εγγυήσεις που συνοδεύουν την υποχρέωση αυτή και που μπορούν να τις επικαλεστούν οι ενδιαφερόμενοι.

339. Συνεπώς, εκτιμώ ότι ο νέος θεσμός του Διαμεσολαβητή δεν συνιστά μέσο έννομης προστασίας ενώπιον ανεξάρτητου οργάνου παρέχον στα πρόσωπα των οποίων τα δεδομένα διαβιβάζονται τη δυνατότητα να προβάλουν το δικαίωμα προσβάσεως στα δεδομένα ή να στραφούν κατά ενδεχόμενων παραβιάσεων των εφαρμοστέων κανόνων από τις Υπηρεσίες Πληροφοριών.

340. Τέλος, κατά τη νομολογία, ο σεβασμός του δικαιώματος που κατοχυρώνεται στο άρθρο 47 του Χάρτη προϋποθέτει ότι η απόφαση διοικητικής αρχής η οποία δεν πληροί αυτή καθεαυτήν την προϋπόθεση της ανεξαρτησίας, πρέπει να υπόκειται σε μεταγενέστερο έλεγχο από δικαιοδοτικό όργανο αρμόδιο να εξετάσει όλα τα κρίσιμα ζητήματα (220). Εντούτοις, σύμφωνα με τα στοιχεία που περιλαμβάνονται στην απόφαση για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής», οι αποφάσεις του Διαμεσολαβητή δεν υπόκεινται σε ανεξάρτητο δικαστικό έλεγχο.

341. Υπό τις συνθήκες αυτές, συμφωνώ με την άποψη την οποία εξέφρασαν ο ΕΠΔ, ο M. Schrems, ο EPIC, καθώς και η Πολωνική και η Πορτογαλική Κυβέρνηση, ότι είναι αμφίβολο κατά πόσον η δικαστική προστασία που παρέχεται στην έννομη τάξη των Ηνωμένων Πολιτειών στα πρόσωπα των οποίων τα δεδομένα διαβιβάζονται από την Ένωση στις Ηνωμένες Πολιτείες είναι ουσιαστικά ισοδύναμη με την προστασία που απορρέει από τον ΓΚΠΔ, σε συνδυασμό με το άρθρο 47 του Χάρτη και με το άρθρο 8 της ΕΣΔΑ.

342. Λαμβανομένου υπόψη του συνόλου των προεκτεθέντων, διατηρώ ορισμένες επιφυλάξεις ως προς τη συμβατότητα της αποφάσεως για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής» με το άρθρο 45 παράγραφος 1, του ΓΚΠΔ, σε συνδυασμό με τα άρθρα 7, 8 και 47 του Χάρτη, καθώς και με το άρθρο 8 της ΕΣΔΑ.

V.      Πρόταση

343. Προτείνω στο Δικαστήριο να απαντήσει στα προδικαστικά ερωτήματα που υπέβαλε το High Court (ανώτερο δικαστήριο, Ιρλανδία) ως εξής:

Από την ανάλυση των προδικαστικών ερωτημάτων δεν προέκυψε κανένα στοιχείο ικανό να θίξει το κύρος της αποφάσεως 2010/87/ΕΕ, της 5ης Φεβρουαρίου 2010, σχετικά με τις τυποποιημένες συμβατικές ρήτρες για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε εκτελούντες επεξεργασία εγκατεστημένους σε τρίτες χώρες βάσει της οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, όπως τροποποιήθηκε με την εκτελεστική απόφαση (ΕΕ) 2016/2297 της Επιτροπής, της 16ης Δεκεμβρίου 2016.

1      Γλώσσα του πρωτοτύπου: η γαλλική

2      Βλ. άρθρο 45 του κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46 (Γενικός Κανονισμός για την Προστασία Δεδομένων) (ΕΕ 2016, L 119, σ. 1, στο εξής: ΓΚΠΔ).

3      Βλ. άρθρο 46 του ΓΚΠΔ.

4      Βλ. άρθρο 49 του ΓΚΠΔ.

5      Απόφαση της Επιτροπής, της 5ης Φεβρουαρίου 2010, σχετικά με τις τυποποιημένες συμβατικές ρήτρες για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε εκτελούντες επεξεργασία εγκατεστημένους σε τρίτες χώρες βάσει της οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (ΕΕ 2010, L 39, σ. 5), όπως τροποποιήθηκε με την εκτελεστική απόφαση (ΕΕ) 2016/2297 της Επιτροπής, της 16ης Δεκεμβρίου 2016 (ΕΕ 2016, L 344, σ. 100) (στο εξής: απόφαση 2010/87).

6      Απόφαση της Επιτροπής, της 12ης Ιουλίου 2016, σχετικά με την επάρκεια της προστασίας που παρέχεται από την ασπίδα προστασίας της ιδιωτικής ζωής ΕΕ‑ΗΠΑ (ΕΕ 2016, L 207, σ. 1, στο εξής: απόφαση για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής»).

7      Βλ. ομιλία του πρώην Ευρωπαίου Επόπτη Προστασίας Δεδομένων, P. Hustinx, «Το δίκαιο της Ευρωπαϊκής Ένωσης για την προστασία των δεδομένων: η αναθεώρηση της οδηγίας 95/46/ΕΚ και η πρόταση γενικού κανονισμού σχετικά με την προστασία των δεδομένων», σ. 49, η οποία είναι διαθέσιμη στη διεύθυνση https://edps.europa.eu/sites/edp/files/publication/14-09-15_article_eui_fr.pdf.

8      Οδηγία του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995 (ΕΕ 1995, L 281, σ. 31), όπως τροποποιήθηκε με τον κανονισμό (ΕΚ) 1882/2003 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 29ης Σεπτεμβρίου 2003 (ΕΕ 2003, L 284, σ. 1) (στο εξής: οδηγία 95/46).

9      Απόφαση 2001/497/ΕΚ της Επιτροπής, της 15ης Ιουνίου 2001, σχετικά με τις τυποποιημένες συμβατικές ρήτρες για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες δυνάμει της οδηγίας [95/46] (ΕΕ 2001, L 181, σ. 19)· απόφαση 2004/915/ΕΚ της Επιτροπής, της 27ης Δεκεμβρίου 2004, για την τροποποίηση της απόφασης [2001/497] όσον αφορά την εισαγωγή μιας εναλλακτικής δέσμης τυποποιημένων συμβατικών ρητρών για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες (ΕΕ 2004, L 385, σ. 74), καθώς και απόφαση 2010/87.

10      Απόφαση της Επιτροπής, της 16ης Δεκεμβρίου 2016, για την τροποποίηση των αποφάσεων [2001/497] και [2010/87] σχετικά με τις τυποποιημένες συμβατικές ρήτρες για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες και σε εκτελούντες επεξεργασία εγκατεστημένους σε τρίτες χώρες βάσει της οδηγίας [95/46] (ΕΕ 2016, L 344, σ. 100).

11      Απόφαση της 26ης Ιουλίου 2000, βάσει της οδηγίας [95/46] (ΕΕ 2000, L 215, σ. 7, στο εξής: απόφαση περί «ασφαλούς λιμένα»).

12      C-362/14 (EU:C:2015:650, στο εξής: απόφαση Schrems).

13      Βλ. απόφαση Schrems (σκέψη 106).

14      50 U.S.C. 1881 (a).

15      50 U.S.C. 1881 (e).

16      Το αιτούν δικαστήριο διαπίστωσε ότι οι διαδικασίες στοχεύσεως αφορούν τον τρόπο με τον οποίο η εκτελεστική εξουσία αποφασίζει ότι είναι εύλογο να συναχθεί ότι συγκεκριμένο άτομο είναι μη Αμερικανός πολίτης ευρισκόμενος εκτός των Ηνωμένων Πολιτειών και ότι η στόχευσή του μπορεί να οδηγήσει στη συγκέντρωση στοιχείων θεωρούμενων ως πληροφοριών από την αλλοδαπή. Οι διαδικασίες ελαχιστοποιήσεως καλύπτουν τη συγκέντρωση, τη διατήρηση, τη χρήση και τη διάδοση κάθε μη δημόσιας πληροφορίας που αφορά μη Αμερικανό πολίτη και έχει αποκτηθεί δυνάμει του άρθρου 702 του νόμου FISA.

17      E.O. 12333, σημείο 3.5, στοιχείο e.

18      133 S.Ct. 1138 (2013).

19      Εντούτοις, το αιτούν δικαστήριο διαπίστωσε ότι υπάρχει μία εξαίρεση από την αρχή ότι δεν απαιτείται η ενημέρωση του προσώπου που θίγεται από μέτρο παρακολουθήσεως, όταν η Αμερικανική Κυβέρνηση σκοπεύει να χρησιμοποιήσει δεδομένα τα οποία έχει συλλέξει βάσει του άρθρου 702 του νόμου FISA κατά του προσώπου αυτού στο πλαίσιο ποινικής ή διοικητικής διαδικασίας.

20      Ειδικότερα, το αιτούν δικαστήριο σημείωσε ότι, μολονότι ο Judicial Redress Act (JRA) (νόμος περί δικαστικής προστασίας) διεύρυνε, για να καλυφθούν και οι πολίτες της Ένωσης, το πεδίο εφαρμογής των διατάξεων του Privacy Act (νόμου περί προστασίας της ιδιωτικής ζωής), ο οποίος επιτρέπει την πρόσβαση των φυσικών προσώπων στις πληροφορίες που τα αφορούν και που διακρατούνται από ορισμένες Υπηρεσίες σε σχέση με ορισμένες τρίτες χώρες, εντούτοις η NSA δεν περιλαμβάνεται μεταξύ των Υπηρεσιών οι οποίες κατονομάζονται στον JRA.

21      Το αιτούν δικαστήριο παραπέμπει συναφώς στο παράρτημα III A της αποφάσεως για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής» (βλ. σημεία 37 και 38 των παρουσών προτάσεων).

22      Το αιτούν δικαστήριο επικαλείται την απόφαση της 27ης Ιανουαρίου 2005, Denuit και Cordenier (C-125/04, EU:C:2005:69, σκέψη 12).

23      Η αιτιολογική σκέψη 11 της αποφάσεως 2010/87 έχει ως εξής: «οι αρχές ελέγχου των κρατών μελών διαδραματίζουν καθοριστικό ρόλο σε αυτόν τον συμβατικό μηχανισμό διασφαλίζοντας την ικανοποιητική προστασία των δεδομένων προσωπικού χαρακτήρα μετά τη διαβίβαση. Στις εξαιρετικές περιπτώσεις που οι εξαγωγείς των δεδομένων αρνούνται ή δεν είναι σε θέση να καθοδηγήσουν δεόντως τον εισαγωγέα δεδομένων, με άμεσο κίνδυνο πρόκλησης σοβαρής ζημίας στα πρόσωπα στα οποία αναφέρονται τα δεδομένα, οι τυποποιημένες συμβατικές ρήτρες θα πρέπει να επιτρέπουν στις αρχές ελέγχου να ασκούν ελέγχους στους εισαγωγείς των δεδομένων και στους υπεργολάβους επεξεργασίας και, κατά περίπτωση, να λαμβάνουν αποφάσεις δεσμευτικές για τα πρόσωπα αυτά. Οι αρχές ελέγχου πρέπει να έχουν το δικαίωμα να απαγορεύουν ή να αναστέλλουν μια διαβίβαση ή κατηγορία διαβιβάσεων δεδομένων που βασίζεται στις τυποποιημένες συμβατικές ρήτρες στις εξαιρετικές εκείνες περιπτώσεις κατά τις οποίες διαπιστώνεται ότι μια διαβίβαση πραγματοποιούμενη σε συμβατική βάση ενδέχεται να έχει σημαντικό αρνητικό αντίκτυπο στις εγγυήσεις και τις υποχρεώσεις που παρέχουν ικανοποιητική προστασία στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα».

24      Η Facebook Ireland άσκησε έφεση κατά της αποφάσεως περί παραπομπής ενώπιον του Supreme Court (Ανωτάτου Δικαστηρίου, Ιρλανδία). Η έφεση αυτή απορρίφθηκε με απόφαση της 31ης Μαΐου 2019, The Data Protection Commissioner v. Facebook Ireland Limited and Maximillian Schrems, Appeal 2018/68 [στο εξής: απόφαση του Supreme Court (Ανωτάτου Δικαστηρίου) της 31ης Μαΐου 2019].

25      Η BSA ισχυρίζεται ότι το 70 % των επιχειρήσεων-μελών του συνδέσμου που απάντησαν σε έρευνα σχετικά με το θέμα αυτό δήλωσαν ότι χρησιμοποιούν τυποποιημένες συμβατικές ρήτρες ως κύρια βάση για τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες. Η Digitaleurope επίσης θεωρεί ότι οι τυποποιημένες συμβατικές ρήτρες αποτελούν το κύριο νομικό μέσο προς στήριξη αυτών των διαβιβάσεων.

26      Μολονότι το αιτούν δικαστήριο επισημαίνει ότι η αίτηση προδικαστικής αποφάσεως αφορά το κύρος των τριών αποφάσεων ΤΣΡ, δεδομένου ότι αυτές εξετάστηκαν στο πλαίσιο του σχεδίου αποφάσεως του ΕΠΔ και στην απόφαση της 3ης Οκτωβρίου 2017, ωστόσο στα προδικαστικά ερωτήματα γίνεται αναφορά αποκλειστικώς στην απόφαση 2010/87. Τούτο συμβαίνει διότι, η Facebook Ireland, ενώπιον του εν λόγω δικαστηρίου, υποστήριξε ότι η απόφαση αυτή αποτελεί τη νομική βάση της διαβιβάσεως δεδομένων Ευρωπαίων χρηστών του μέσου κοινωνικής δικτύωσης Facebook προς τις Ηνωμένες Πολιτείες. Επομένως, στην ανάλυσή μου θα εξετάσω μόνον τη συγκεκριμένη απόφαση.

27      Βλ. σημεία 167 έως 186 των παρουσών προτάσεων.

28      Βλ., μεταξύ άλλων, αποφάσεις της 10ης Δεκεμβρίου 2018, Wightman κ.λπ. (C-621/18, EU:C:2018:999, σκέψη 27), και της 19ης Νοεμβρίου 2019, A. K. κ.λπ. (Ανεξαρτησία του πειθαρχικού τμήματος του Ανωτάτου Δικαστηρίου) (C‑585/18, C‑624/18 και C‑625/18, EU:C:2019:982, σκέψη 98).

29      Βλ. άρθρο 94, παράγραφος 1, και άρθρο 99, παράγραφος 1, του ΓΚΠΔ.

30      Υπογραμμίζω ότι, σύμφωνα με το άρθρο 46, παράγραφος 5, του ΓΚΠΔ, οι αποφάσεις που έχει εκδώσει η Επιτροπή βάσει του άρθρου 26, παράγραφος 4, της οδηγίας 95/46 παραμένουν σε ισχύ έως ότου τροποποιηθούν, αντικατασταθούν ή καταργηθούν.

31      Βλ., μεταξύ άλλων, αποφάσεις της 7ης Φεβρουαρίου 1979, Γαλλία κατά Επιτροπής (15/76 και 16/76, EU:C:1979:29, σκέψη 7), της 17ης Μαΐου 2001, IECC κατά Επιτροπής (C-449/98 P, EU:C:2001:275, σκέψη 87), και της 17ης Οκτωβρίου 2013, Schaible (C-101/12, EU:C:2013:661, σκέψη 50).

32      Βλ., μεταξύ άλλων, αποφάσεις της 16ης Απριλίου 2015, Κοινοβούλιο κατά Συμβουλίου (C‑540/13, EU:C:2015:224, σκέψη 35), της 16ης Απριλίου 2015, Κοινοβούλιο κατά Συμβουλίου (C-317/13 και C-679/13, EU:C:2015:223, σκέψη 45), και της 22ας Σεπτεμβρίου 2016, Κοινοβούλιο κατά Συμβουλίου (C-14/15 και C-116/15, EU:C:2016:715, σκέψη 48).

33      Ειδικότερα, με την απόφαση Schrems, το Δικαστήριο εκτίμησε το κύρος της αποφάσεως περί «ασφαλούς λιμένα» υπό το πρίσμα διατάξεων του Χάρτη που θεσπίστηκαν μετά την έκδοση της εν λόγω αποφάσεως. Βλ., μεταξύ άλλων, αποφάσεις της 17ης Μαρτίου 2011, AJD Tuna (C‑221/09, EU:C:2011:153, σκέψη 48), και της 11ης Ιουνίου 2015, Pfeifer Co. Langen (C‑51/14, EU:C:2015:380, σκέψη 42).

34      Βλ., μεταξύ άλλων, αποφάσεις της 15ης Ιουλίου 2010, Pannon Gép Centrum (C-368/09, EU:C:2010:441, σκέψεις 30 έως 35), της 10ης Φεβρουαρίου 2011, Andersson (C-30/10, EU:C:2011:66, σκέψεις 20 και 21), και της 25ης Οκτωβρίου 2018, Roche Lietuva (C-413/17, EU:C:2018:865, σκέψεις 17 έως 20).

35      Πρβλ. προτάσεις του γενικού εισαγγελέα M. Bobek στην υπόθεση Fashion ID (C-40/17, EU:C:2018:1039, σημείο 87).

36      Βλ. σημείο 87 των παρουσών προτάσεων.

37      Πρβλ. αποφάσεις της 1ης Απριλίου 1982, Holdijk κ.λπ. (141/81 έως 143/81, EU:C:1982:122, σκέψη 5), και της 9ης Δεκεμβρίου 2003, Gasser (C-116/02, EU:C:2003:657, σκέψη 27).

38      Πρβλ. απόφαση της 30ής Μαΐου 2006, Κοινοβούλιο κατά Συμβουλίου και Επιτροπής (C‑317/04 και C-318/04, EU:C:2006:346, στο εξής: απόφαση PNR, σκέψη 56), και απόφαση Schrems (σκέψη 45). Το άρθρο 4, σημείο 2, του ΓΚΠΔ επαναλαμβάνει κατ’ ουσίαν τον ορισμό της έννοιας της «επεξεργασίας» που περιλαμβανόταν στο άρθρο 2, στοιχείο βʹ, της οδηγίας 95/46.

39      Κατά το άρθρο 3, παράγραφος 1, του ΓΚΠΔ, ο κανονισμός αυτός εφαρμόζεται σε κάθε επεξεργασία στο πλαίσιο των δραστηριοτήτων μιας εγκαταστάσεως ενός υπεύθυνου επεξεργασίας ή εκτελούντος την επεξεργασία στην Ένωση, ανεξαρτήτως του αν η επεξεργασία πραγματοποιείται εντός της Ένωσης. Το ζήτημα αν εμπίπτει στο πεδίο εφαρμογής του δικαίου της Ένωσης η επεξεργασία η οποία γίνεται από τις Υπηρεσίες Πληροφοριών τρίτης χώρας εκτός της Ένωσης πρέπει να διακρίνεται από το ζήτημα κατά πόσον οι κανόνες και οι πρακτικές που διέπουν την επεξεργασία αυτή στη συγκεκριμένη τρίτη χώρα ασκούν επιρροή για την εκτίμηση της επάρκειας του επιπέδου προστασίας που διασφαλίζεται εκεί. Το τελευταίο αυτό ζήτημα αποτελεί το αντικείμενο του δευτέρου προδικαστικού ερωτήματος και θα εξεταστεί στα σημεία 201 έως 229 των παρουσών προτάσεων.

40      Στις προτάσεις μου στην υπόθεση Ministerio Fiscal (C-207/16, EU:C:2018:300, σημείο 47), υπογράμμισα τη διάκριση μεταξύ, αφενός, της άμεσης επεξεργασίας δεδομένων προσωπικού χαρακτήρα στο πλαίσιο των –δημόσιας εξουσίας– δραστηριοτήτων του κράτους και, αφετέρου, της επεξεργασίας, στο πλαίσιο δραστηριοτήτων εμπορικού χαρακτήρα, δεδομένων προσωπικού χαρακτήρα τα οποία εν συνεχεία χρησιμοποιούνται από τις αρμόδιες κρατικές αρχές.

41      Ομοίως, στη γνωμοδότηση 1/15 (Συμφωνία PNR ΕΕ-Καναδά), της 26ης Ιουλίου 2017 (EU:C:2017:592, στο εξής: γνωμοδότηση 1/15), το Δικαστήριο εξέτασε τη συμβατότητα προς τα άρθρα 7, 8 και 47 του Χάρτη ενός σχεδίου διεθνούς συμφωνίας μεταξύ του Καναδά και της Ένωσης που αφορούσε δεδομένα τα οποία, από τη στιγμή που διαβιβάζονταν στον Καναδά, προορίζονταν για επεξεργασία από τις δημόσιες αρχές για σκοπούς προστασίας της εθνικής ασφάλειας.

42      Απόφαση Schrems (σκέψη 73). Το Δικαστήριο επικύρωσε το συμπέρασμα αυτό στη γνωμοδότηση 1/15 (σκέψη 134).

43      Το άρθρο 26, παράγραφος 2, της οδηγίας 95/46 προέβλεπε ότι ένα κράτος μέλος μπορεί να επιτρέπει μια τέτοια διαβίβαση «εφόσον ο υπεύθυνος της επεξεργασίας παρέχει επαρκείς εγγυήσεις για την προστασία της ιδιωτικής ζωής και των θεμελιωδών δικαιωμάτων και ελευθεριών των προσώπων καθώς και την άσκηση των σχετικών δικαιωμάτων» (η υπογράμμιση δική μου). Οι έννοιες «επαρκείς εγγυήσεις» και «κατάλληλες εγγυήσεις» στη διάταξη αυτή και στο άρθρο 46, παράγραφος 1, του ΓΚΠΔ αντιστοίχως έχουν, κατά τη γνώμη μου, το ίδιο περιεχόμενο.

44      Επ’ αυτού, στην αιτιολογική σκέψη 6 του ΓΚΠΔ αναφέρεται ότι πρέπει να διασφαλίζεται «υψηλό επίπεδο» προστασίας των δεδομένων τόσο εντός της Ένωσης όσο και σε περίπτωση διαβιβάσεως εκτός αυτής. Βλ., επίσης, αιτιολογική σκέψη 101 του ΓΚΠΔ.

45      Βλ. απόφαση Schrems (σκέψη 73) και γνωμοδότηση 1/15 (σκέψη 214).

46      Το ίδιο ισχύει και ως προς τη δυνατότητα διαβιβάσεως δεδομένων προσωπικού χαρακτήρα, ακόμη και ελλείψει κατάλληλων εγγυήσεων, με βάση λόγους παρεκκλίσεως που προβλέπονται στο άρθρο 49, παράγραφος 1, του ΓΚΠΔ.

47      Βλ. σημείο 128 των παρουσών προτάσεων.

48      Ας υποθέσουμε, για παράδειγμα, ότι μια τρίτη χώρα προβλέπει υποχρέωση των παρόχων τηλεπικοινωνιακών υπηρεσιών να χορηγούν στις δημόσιες αρχές πρόσβαση στα διαβιβαζόμενα δεδομένα χωρίς κανένα περιορισμό ή εγγυήσεις. Μολονότι οι πάροχοι αυτοί αδυνατούν να τηρήσουν τις τυποποιημένες συμβατικές ρήτρες, εντούτοις όσες επιχειρήσεις δεν υπέχουν την ίδια υποχρέωση, δεν κωλύονται να τηρήσουν τις ρήτρες αυτές.

49      Σημειώνω, εξάλλου, ότι η ρήτρα 5, στοιχείο δʹ, σημείο i, απαλλάσσει τον εισαγωγέα από την υποχρέωσή του να ενημερώνει τον εξαγωγέα σχετικά με δεσμευτικό αίτημα κοινοποιήσεως που υποβάλλεται από αρχή επιβολής του νόμου της τρίτης χώρας, όταν το δίκαιο της εν λόγω τρίτης χώρας αντιτίθεται σε τέτοια ενημέρωση. Σε τέτοιες περιπτώσεις, ο εξαγωγέας δεν έχει τη δυνατότητα να αναστείλει τη διαβίβαση αν αυτή η κοινοποίηση, την οποία δεν γνωρίζει, παραβιάζει τις τυποποιημένες ρήτρες. Ωστόσο, δυνάμει της ρήτρας 5, στοιχείο αʹ, ο εισαγωγέας εξακολουθεί να έχει την υποχρέωση να ενημερώσει, ενδεχομένως, τον εξαγωγέα για το ότι θεωρεί ότι η νομοθεσία της τρίτης αυτής χώρας τον εμποδίζει να εκπληρώσει τις υποχρεώσεις που υπέχει από τις συμφωνημένες συμβατικές ρήτρες.

50      Από την νομολογία προκύπτει ότι οι διατάξεις πράξεως εκτελέσεως πρέπει να ερμηνεύονται κατά τρόπο σύμφωνο με τις διατάξεις της βασικής πράξεως με την οποία ο νομοθέτης πρόβλεψε την έκδοσή τους [πρβλ., μεταξύ άλλων, αποφάσεις της 26ης Ιουλίου 2017, Τσεχική Δημοκρατία κατά Επιτροπής (C-696/15 P, EU:C:2017:595, σκέψη 51), της 17ης Μαΐου 2018, Evonik Degussa (C-229/17, EU:C:2018:323, σκέψη 29), και της 20ής Ιουνίου 2019, ExxonMobil Production Deutschland (C-682/17, EU:C:2019:518, σκέψη 112)]. Εξάλλου, κάθε πράξη της Ένωσης πρέπει να ερμηνεύεται, στο μέτρο του δυνατού, κατά τέτοιον τρόπο ώστε να μη θίγεται το κύρος της και να συνάδει με το σύνολο του πρωτογενούς δικαίου και δη με τις διατάξεις του Χάρτη [βλ., μεταξύ άλλων, απόφαση της 14ης Μαΐου 2019, M κ.λπ. (Ανάκληση του καθεστώτος του πρόσφυγα) (C-391/16, C-77/17 και C-78/17, EU:C:2019:403, σκέψη 77 και εκεί μνημονευόμενη νομολογία)].

51      Συναφώς, η αιτιολογική σκέψη 109 του ΓΚΠΔ ενθαρρύνει τον εξαγωγέα και τον εισαγωγέα να προσθέσουν στις τυποποιημένες ρήτρες προστασίας συμπληρωματικές εγγυήσεις, ιδίως μέσω της συμβάσεως.

52      Το άρθρο 4, παράγραφος 1, της αποφάσεως 2010/87 παραπέμπει μεν στο άρθρο 28, παράγραφος 3, της οδηγίας 95/46, πλην όμως υπενθυμίζω ότι, δυνάμει του άρθρου 94, παράγραφος 2, του ΓΚΠΔ, οι παραπομπές στην οδηγία αυτή πρέπει να νοούνται ως παραπομπές στις αντίστοιχες διατάξεις του ΓΚΠΔ.

53      Βλ. αιτιολογικές σκέψεις 6 και 7 της αποφάσεως 2016/2297. Στις σκέψεις 101 έως 104 της αποφάσεως Schrems, το Δικαστήριο έκρινε ανίσχυρη διάταξη της αποφάσεως περί «ασφαλούς λιμένα» η οποία περιόριζε τη δυνατότητα ασκήσεως των εξουσιών που παρέχονται στις αρχές ελέγχου με το άρθρο 28 της οδηγίας 95/46 σε «εξαιρετικές περιπτώσεις», για τον λόγο ότι η Επιτροπή δεν ήταν αρμόδια να περιορίσει τις εξουσίες αυτές.

54      Βλ. απόφαση Schrems (σκέψη 103).

55      Εν πάση περιπτώσει, το προοίμιο πράξεως της Ένωσης δεν είναι νομικώς δεσμευτικό και δεν μπορεί να χρησιμοποιηθεί ως βάση για την παρέκκλιση από τις καθεαυτές διατάξεις της οικείας πράξεως. Βλ. αποφάσεις της 19ης Νοεμβρίου 1998, Nilsson κ.λπ. (C-162/97, EU:C:1998:554, σκέψη 54), της 12ης Μαΐου 2005, Meta Fackler (C-444/03, EU:C:2005:288, σκέψη 25), και της 10ης Ιανουαρίου 2006, IATA και ELFAA (C-344/04, EU:C:2006:10, σκέψη 76).

56      Βλ., κατ’ αναλογίαν, απόφαση Schrems (σκέψη 63).

57      Προσθέτω ότι, δυνάμει της ρήτρας 8, παράγραφος 2 του παραρτήματος της αποφάσεως 2010/87, οι συμβαλλόμενοι συμφωνούν ότι η αρχή ελέγχου έχει το δικαίωμα να διενεργεί ελέγχους στις εγκαταστάσεις του εισαγωγέα με τους ίδιους όρους που θα ίσχυαν σε περίπτωση ελέγχου του εξαγωγέα βάσει του εφαρμοστέου δικαίου.

58      Πρβλ. απόφαση Schrems (σκέψη 43).

59      Κατά την αιτιολογική σκέψη 141 του ΓΚΠΔ, κάθε πρόσωπο θα πρέπει να έχει το δικαίωμα πραγματικής δικαστικής προσφυγής σύμφωνα με το άρθρο 47 του Χάρτη, αν η αρχή ελέγχου «δεν ενεργεί ενώ οφείλει να ενεργήσει για να προστατεύσει τα δικαιώματα του [προσώπου αυτού]». Βλ., επίσης, αιτιολογικές σκέψεις 129 και 143 του ΓΚΠΔ.

60      Βλ., μεταξύ άλλων, αποφάσεις της 28ης Ιουλίου 2011, Samba Diouf (C-69/10, EU:C:2011:524, σκέψη 57), και της 17ης Νοεμβρίου 2011, Gaydarov (C-430/10, EU:C:2011:749, σκέψη 41).

61      Βλ., επ’ αυτού, απόφαση της 5ης Ιουνίου 2018, Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2018:388, σκέψεις 69 έως 73).

62      Βλ. άρθρο 56, παράγραφος 1, του ΓΚΠΔ. Σύμφωνα με το άρθρο 61 του κανονισμού αυτού, οι αρχές ελέγχου είναι υποχρεωμένες να παρέχουν αμοιβαία συνδρομή. Το άρθρο 62 του εν λόγω κανονισμού επιτρέπει την εκτέλεση πράξεων από κοινού.

63      Βλ. άρθρο 65 του ΓΚΠΔ.

64      Βλ. άρθρο 64, παράγραφος 2, του ΓΚΠΔ.

65      Το άρθρο 83, παράγραφος 5, στοιχείο γʹ, του ΓΚΠΔ προβλέπει επίσης πρόστιμα εις βάρος του υπεύθυνου επεξεργασίας σε περίπτωση παραβιάσεως των άρθρων 44 έως 49 του κανονισμού αυτού.

66      Βλ. σημείο 175 των παρουσών προτάσεων.

67      Απόφαση του High Court (ανωτέρου δικαστηρίου) της 3ης Οκτωβρίου 2017 (σκέψη 337).

68      Κατά την απόφαση του Supreme Court (Ανωτάτου Δικαστηρίου) της 31ης Μαΐου 2019 (σημείο 2.7), «the relief claimed by the DPC is, in substance, a reference to the CJEU under Article 267 [TFUE]». Η σκέψη 2.9 της αποφάσεως αυτής έχει ως εξής: «Here, the only issue of substance which arises before either the Irish courts or the CJEU is the question of the validity or otherwise of Union measures. Whatever the view taken by the CJEU on that issue, the Irish courts will have no further role, for the measures under question will either be found to be valid or invalid and in either event, that will be the end of the matter» (η υπογράμμιση δική μου).

69      Βλ. σημείο 124 των παρουσών προτάσεων.

70      Για τον ίδιο λόγο, το Supreme Court (Ανώτατο Δικαστήριο), στην απόφασή του της 31ης Μαΐου 2019 (σκέψεις 8.1 έως 8.5), αναγνωρίζοντας ότι δεν είναι αρμόδιο να θέσει υπό αμφισβήτηση την απόφαση του αιτούντος δικαστηρίου περί υποβολής στο Δικαστήριο των προδικαστικών ερωτημάτων και να τροποποιήσει τη διατύπωσή τους, εξέφρασε αμφιβολίες ως προς την αναγκαιότητα υποβολής ορισμένων ερωτημάτων. Ειδικότερα, η σκέψη 8.5 της αποφάσεως αυτής αναφέρει: «the sole purpose of the proceedings before the courts in Ireland was to enable the High Court to refer that question of validity to the CJEU and obtain a definitive answer from the only court which has competence to make the decision in question. It is difficult, therefore, to see how the High Court needs answers to many of the questions which have been referred, for the answers to those questions are only relevant to the question of the validity of the challenged measures […]».

71      Βλ. αιτιολογικές σκέψεις 64 έως 141 της αποφάσεως για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής». Υπενθυμίζω ότι, όπως προκύπτει από το άρθρο 1, παράγραφος 2, της αποφάσεως εκείνης, η Ασπίδα Προστασίας Ιδιωτικής Ζωής αποτελείται όχι μόνον από αρχές τις οποίες οφείλουν να υιοθετήσουν οι επιχειρήσεις που επιθυμούν να διαβιβάζουν δεδομένα βάσει της εν λόγω αποφάσεως, αλλά και από επίσημες δηλώσεις και δεσμεύσεις οι οποίες ελήφθησαν από την Κυβέρνηση των Ηνωμένων Πολιτειών και περιλαμβάνονται στα συνημμένα σε αυτήν έγγραφα.

72      Το σχέδιο αποφάσεως του ΕΠΔ χρονολογείται πριν από την έκδοση της αποφάσεως για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής». Όπως διευκρίνισε ο ΕΠΔ στο σχέδιο αποφάσεως, αν και προσωρινώς κατέληξε στο συμπέρασμα ότι οι προβλεπόμενες από το δίκαιο των Ηνωμένων Πολιτειών εγγυήσεις δεν αρκούσαν, τουλάχιστον, για να διασφαλιστεί ότι οι διαβιβάσεις προς τη συγκεκριμένη τρίτη χώρα είναι συμβατές με το άρθρο 47 του Χάρτη, εντούτοις δεν εξέτασε ή δεν έλαβε υπόψη, κατά το στάδιο αυτό, τις νέες διευθετήσεις που προβλέπονταν στο σχέδιο συμφωνίας σχετικά με την «Ασπίδα Προστασίας Ιδιωτικής Ζωής», δεδομένου ότι το σχέδιο αυτό δεν είχε ακόμη εκδοθεί. Κατόπιν αυτού, στη σκέψη 307 της αποφάσεως του της 3ης Οκτωβρίου 2017, το High Court (ανώτερο δικαστήριο) κρίνει ότι: «it is fair to conclude […] that the decision of the Commission in regard to the adequacy of the protections afforded to EU citizens against interference by the intelligence authorities in the [U.S.] with the fundamental rights of EU citizens whose data are transferred from the [EU] to the [U.S.], conflicts with the case made by the DPC to this court».

73      Βλ. άρθρο 1, παράγραφοι 1 και 3, καθώς και αιτιολογικές σκέψεις 14 έως 16 της αποφάσεως για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής».

74      Εκκρεμούσα υπόθεση T-738/16, La Quadrature du Net κ.λπ. κατά Επιτροπής (ΕΕ 2017, C 6, σ. 39).

75      Παρατηρώ, εξάλλου, ότι, με τις γραπτές παρατηρήσεις της, ο ΕΠΔ δεν έλαβε θέση ως προς το ζήτημα με ποιον τρόπο η απόφαση για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής» επηρεάζει την εξέταση και την έκβαση της καταγγελίας που έχει υποβληθεί ενώπιόν της.

76      Πρβλ. απόφαση Schrems (σκέψη 78).

77      Προς στήριξη της απόψεως αυτής, ο M. Schrems ισχυρίζεται ότι η Facebook Inc. πρέπει να θεωρηθεί όχι μόνον ως εκτελών την επεξεργασία, αλλά και ως «υπεύθυνος επεξεργασίας», υπό την έννοια του άρθρου 4, σημείο 7, του ΓΚΠΔ, όσον αφορά την επεξεργασία προσωπικών δεδομένων των χρηστών του μέσου κοινωνικής δικτυώσεως Facebook. Πρβλ. απόφαση της 5ης Ιουνίου 2018, Wirtschaftsakademie Schleswig-Holstein (C-210/16, EU:C:2018:388, σκέψη 30).

78      Βλ. απόφαση του High Court (ανωτέρου δικαστηρίου) της 3ης Οκτωβρίου 2017 (σκέψη 66).

79      Βλ. δικτυακό τόπο της «Ασπίδας Προστασίας Ιδιωτικής Ζωής» (https://www.privacyshield.gov/participant_search).

80      Πρβλ. απόφαση Schrems (σκέψη 59).

81      Βλ. αιτιολογική σκέψη 65 της αποφάσεως για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής».

82      Βλ. παραρτήματα III έως VII της αποφάσεως για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής».

83      Ψηφίσματα του Ευρωπαϊκού Κοινοβουλίου, της 6ης Απριλίου 2017 σχετικά με την επάρκεια της προστασίας που παρέχεται από την Ασπίδα Προστασίας της Ιδιωτικής Ζωής ΕΕ-ΗΠΑ, P8_TA (2017) 0131 και της 5ης Ιουλίου 2018 σχετικά με την επάρκεια της προστασίας που παρέχεται από την Ασπίδα Προστασίας της Ιδιωτικής Ζωής ΕΕ-ΗΠΑ, P8_TA‑PROV(2018)0315.

84      Βλ. ομάδα εργασίας «άρθρο 29» για την προστασία δεδομένων (στο εξής: Ομάδα 29), Opinion 1/2016 on the EU-U.S. Privacy Shield draft adequacy decision, 13 Απριλίου 2016, WP 238· Ομάδα 29, EU-US Privacy Shield – First Annual Joint Review, 28 Νοεμβρίου 2017,WP 255, και CEPD, EU-US Privacy Shield – Second Annual Joint Review, 22 Ιανουαρίου 2019. Η Ομάδα 29 συστάθηκε δυνάμει του άρθρου 29, παράγραφος 1, της οδηγίας 95/46, το οποίο προβλέπει ότι η ομάδα αυτή έχει συμβουλευτικό χαρακτήρα και είναι ανεξάρτητη. Κατά την παράγραφο 2 του άρθρου αυτού, η ομάδα αυτή απαρτίζεται από έναν αντιπρόσωπο κάθε εθνικής αρχής ελέγχου, από έναν αντιπρόσωπο κάθε αρχής που έχει συσταθεί για τα όργανα και τους οργανισμούς της Κοινότητας καθώς και έναν αντιπρόσωπο της Επιτροπής. Από την έναρξη ισχύος του ΓΚΠΔ, η Ομάδα 29 αντικαταστάθηκε από το ΕΣΠΔ (βλ. άρθρο 94, παράγραφος 2, αυτού του κανονισμού).

85      Βλ. ΕΕΠΔ (Ευρωπαίος Επόπτης Προστασίας Δεδομένων), γνωμοδότηση 4/2016, σχετικά με την «Ασπίδα Προστασίας της Ιδιωτικής Ζωής ΕΕ-ΗΠΑ» (Privacy Shield) – Σχέδιο αποφάσεως επάρκειας της 30ής Μαΐου 2016. Ο ΕΕΠΔ ιδρύθηκε ως αρχή με το άρθρο 1, παράγραφος 2, του κανονισμού (ΕΚ) 45/2001 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 18ης Δεκεμβρίου 2000, σχετικά με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα όργανα και τους οργανισμούς της Κοινότητας και σχετικά με την ελεύθερη κυκλοφορία των δεδομένων αυτών (ΕΕ 2001, L 8, σ. 1). Ο ΕΕΠΔ ελέγχει την εφαρμογή των διατάξεων του κανονισμού αυτού.

86      Βλ. σημείο 112 των παρουσών προτάσεων.

87      Υπενθυμίζω ότι η ουσιαστική ισοδυναμία του επιπέδου προστασίας που διασφαλίζεται από τρίτο κράτος σε σχέση με το απαιτούμενο στην Ένωση πρέπει επίσης να αξιολογείται όταν, στο πλαίσιο συγκεκριμένης διαβιβάσεως που στηρίζεται στις προβλεπόμενες στην απόφαση 2010/87 τυποποιημένες συμβατικές ρήτρες, ο υπεύθυνος επεξεργασίας ή, ελλείψει αυτού, η αρμόδια αρχή ελέγχου εξετάζει κατά πόσον οι δημόσιες αρχές της τρίτης χώρας προορισμού επιβάλλουν στον εισαγωγέα απαιτήσεις οι οποίες υπερβαίνουν το αναγκαίο σε μια δημοκρατική κοινωνία μέτρο (βλ. ρήτρα 5 του παραρτήματος της αποφάσεως 2010/87 καθώς και σχετική υποσημείωση). Βλ. σημεία 115, 134 και 135 των παρουσών προτάσεων.

88      Βλ. σημείο 117 των παρουσών προτάσεων.

89      Βλ. σημείο 197 των παρουσών προτάσεων.

90      Βλ., ιδίως, απόφαση της 6ης Νοεμβρίου 2003, Lindqvist (C-101/01, EU:C:2003:596, σκέψεις 43 και 44), απόφαση PNR (σκέψη 58), αποφάσεις της 16ης Δεκεμβρίου 2008, Satakunnan Markkinapörssi και Satamedia (C-73/07, EU:C:2008:727, σκέψη 41), της 21ης Δεκεμβρίου 2016, Tele2 Sverige και Watson κ.λπ. (C-203/15 και C-698/15, EU:C:2016:970, στο εξής: απόφαση Tele2 Sverige, σκέψη 69), και της 2ας Οκτωβρίου 2018, Ministerio Fiscal (C‑207/16, EU:C:2018:788, στο εξής: απόφαση Ministerio Fiscal, σκέψη 32).

91      Προς αποφυγή συγχύσεως επί του σημείου αυτού, επισημαίνεται ότι, στην απόφαση για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής», δεν στάθηκε δυνατό να διαπιστώσει η Επιτροπή αν οι Ηνωμένες Πολιτείες παρακολουθούν πράγματι τις επικοινωνίες που διαβιβάζονται μέσω των διατλαντικών καλωδίων, δεδομένου ότι οι αμερικανικές αρχές ούτε επιβεβαίωσαν ούτε διέψευσαν αυτή την εικασία (βλ. αιτιολογική σκέψη 75 αυτής της αποφάσεως καθώς και την επιστολή του Robert Litt της 22ας Φεβρουαρίου 2016, που περιλαμβάνεται στο παράρτημά της VI, σημείο I, υπό α). Εντούτοις, δεδομένου ότι η Κυβέρνηση των Ηνωμένων Πολιτειών δεν αρνήθηκε ότι συλλέγει δεδομένα κατά τη διαμετακόμιση βάσει του E.O. 12333, φρονώ ότι η Επιτροπή όφειλε, πριν προβεί στη διαπίστωση περί υπάρξεως επαρκούς προστασίας, να ζητήσει και να εξασφαλίσει από την Κυβέρνηση των ΗΠΑ διαβεβαιώσεις ότι η συλλογή αυτή, σε περίπτωση που λαμβάνει χώρα, συνοδεύεται από επαρκείς εγγυήσεις κατά των κινδύνων καταχρήσεως. Υπ’ αυτήν ακριβώς την οπτική, η Επιτροπή εξέτασε, στις αιτιολογικές σκέψεις 68 έως 77 της προαναφερθείσας αποφάσεως, τους περιορισμούς και τις εγγυήσεις που πρέπει να εφαρμόζονται σε μια τέτοια περίπτωση δυνάμει της PPD 28.

92      Επρόκειτο για την απόφαση 2004/535/ΕΚ της Επιτροπής, της 14ης Μαΐου 2004, σχετικά με την ικανοποιητική προστασία των δεδομένων προσωπικού χαρακτήρα που περιλαμβάνονται στο φάκελο των επιβατών (Passenger Name Record) αεροπορικών μεταφορών ο οποίος διαβιβάζεται στο Bureau of Customs and Border Protection (υπηρεσία τελωνείων και προστασίας των συνόρων) των Ηνωμένων Πολιτειών της Αμερικής (ΕΕ 2004, L 235, σ. 11).

93      Απόφαση PNR (σκέψεις 56 έως 58). Εξάλλου, στην απόφαση της 10ης Φεβρουαρίου 2009, Ιρλανδία κατά Κοινοβουλίου και Συμβουλίου (C-301/06, EU:C:2009:68, σκέψεις 90 και 91), το Δικαστήριο έκρινε ότι το σκεπτικό της αποφάσεως PNR δεν ήταν δυνατό να εφαρμοστεί κατ’ αναλογία σε υποθέσεις σχετικές με τα είδη της επεξεργασίας στα οποία αναφέρεται της οδηγίας 2006/24/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 15ης Μαρτίου 2006, για τη διατήρηση δεδομένων που παράγονται ή υποβάλλονται σε επεξεργασία σε συνάρτηση με την παροχή διαθεσίμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών ή δημοσίων δικτύων επικοινωνιών και για την τροποποίηση της οδηγίας 2002/58/ΕΚ (ΕΕ 2006, L 105, σ. 54). Προς αιτιολόγηση του ως άνω συμπεράσματος, το Δικαστήριο επισήμανε ότι η οδηγία 2006/24, σε αντίθεση προς την απόφαση την οποία αφορούσε η υπόθεση PNR, ρύθμιζε αποκλειστικώς τις δραστηριότητες των παρόχων υπηρεσιών στην εσωτερική αγορά, και όχι τις δραστηριότητες δημοσίων αρχών για κατασταλτικούς σκοπούς. Βάσει της συλλογιστικής αυτής, το Δικαστήριο φαίνεται ότι, εξ αντιδιαστολής, επιβεβαίωσε ότι τα συμπεράσματα στα οποία κατέληξε με την απόφαση PNR μπορούν να ισχύουν κατ’ αναλογίαν για τις περιπτώσεις διατάξεων σχετικών με την πρόσβαση στα διατηρούμενα δεδομένα ή με τη χρήση τους από τις εν λόγω αρχές.

94      Απόφαση Tele2 Sverige (σκέψεις 67 έως 81).

95      Οδηγία του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 12ης Ιουλίου 2002, σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών (οδηγία για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες) (ΕΕ 2002, L 201, σ. 37).

96      Δεδομένου ότι η οδηγία 2002/58 συγκεκριμενοποιεί τις απαιτήσεις της οδηγίας 95/46 που έχει πλέον καταργηθεί από τον ΓΚΠΔ, ο οποίος επαναλαμβάνει σε μεγάλο βαθμό το περιεχόμενό της, η σχετική με την ερμηνεία του άρθρου 1, παράγραφος 3, της οδηγίας 2002/58 νομολογία, κατά τη γνώμη μου, εφαρμόζεται κατ’ αναλογία για την ερμηνεία του άρθρου 2, παράγραφος 2, του ΓΚΠΔ. Πρβλ. αποφάσεις Tele2 Sverige (σκέψη 69) και Ministerio Fiscal (σκέψη 32).

97      Απόφαση Ministerio Fiscal (σκέψεις 34, 35 και 37).

98      Το ίδιο αυτό ερώτημα ανέκυψε στο πλαίσιο τριών άλλων προδικαστικών παραπομπών που εκκρεμούν ενώπιον του Δικαστηρίου. Βλ. υπόθεση C-623/17, Privacy International (ΕΕ 2018, C 22, σ. 29), καθώς και συνεκδικαζόμενες υποθέσεις C-511/18 και C-512/18, La Quadrature du Net κ.λπ. και French Data Network κ.λπ. (ΕΕ 2018, C 392, σ. 7).

99      Στην απόφαση Tele2 Sverige, το Δικαστήριο επικεντρώθηκε μεν στην εξέταση της δικαιολογήσεως των επεμβάσεων που οφείλονταν στα επίμαχα μέτρα διατηρήσεως και προσβάσεως από πλευράς του σκοπού της καταπολεμήσεως των ποινικών αδικημάτων, πλην όμως το συμπέρασμα στο οποίο κατέληξε το Δικαστήριο ισχύει, mutatis mutandis, και όταν τέτοια μέτρα επιδιώκουν τη διαφύλαξη της εθνικής ασφάλειας. Συγκεκριμένα, το άρθρο 15, παράγραφος 1, της οδηγίας 2002/58 αναφέρει, μεταξύ των σκοπών που μπορούν να δικαιολογήσουν τέτοια μέτρα, τόσο την καταπολέμηση των ποινικών αδικημάτων όσο και τη διαφύλαξη της εθνικής ασφάλειας Εξάλλου, το άρθρο 1, παράγραφος 3, της οδηγίας 2002/58 και το άρθρο 2, παράγραφος 2, του ΓΚΠΔ εξαιρούν από το πεδίο εφαρμογής των ρυθμίσεων αυτών τις δραστηριότητες του κράτους τόσο στον τομέα της εθνικής ασφάλειας όσο και στον τομέα του ποινικού δικαίου. Εξάλλου και τα επίμαχα μέτρα στην υπόθεση επί της οποίας εκδόθηκε η απόφαση Tele2 Sverige επιδίωκαν σκοπό συνδεόμενο με την εθνική ασφάλεια. Στη σκέψη 119 της αποφάσεως εκείνης, το Δικαστήριο εξέτασε συγκεκριμένα το ζήτημα της δικαιολογήσεως των σχετικών με τη διατήρηση και την πρόσβαση στα δεδομένα κίνησης και στα δεδομένα θέσης μέτρων υπό το πρίσμα του σκοπού της διαφυλάξεως της εθνικής ασφάλειας κατά το μέτρο που περιλαμβάνει την καταπολέμηση της τρομοκρατίας.

100      Απόφαση Tele2 Sverige (σκέψη 78, η υπογράμμιση δική μου). Όπως μαρτυρεί η χρήση της λέξης «[ε]πιπροσθέτως», η διαπίστωση του Δικαστηρίου, στη σκέψη 79 της αποφάσεως εκείνης, ότι υπήρχε εγγενής σύνδεσμος μεταξύ της υποχρεώσεως διατηρήσεως των επίμαχων δεδομένων στην υπόθεση επί της οποίας εκδόθηκε η προαναφερθείσα απόφαση και των διατάξεων σχετικά με την πρόσβαση των εθνικών αρχών στα διατηρούμενα δεδομένα έγινε αποκλειστικώς και μόνον προς επίρρωση του συμπεράσματος του Δικαστηρίου όσον αφορά τη δυνατότητα εφαρμογής της οδηγίας 2002/58.

101      Απόφαση Ministerio Fiscal (σκέψη 37, η υπογράμμιση δική μου).

102      Πρβλ. απόφαση Ministerio Fiscal (σκέψη 38).

103      Πρβλ. απόφαση της 13ης Μαΐου 2014, Google Spain και Google (C-131/12, EU:C:2014:317, σκέψη 28).

104      Απόφαση Schrems (σκέψεις 91 έως 96). Εξάλλου, στις αιτιολογικές σκέψεις 90, 124 και 141 της αποφάσεως για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής», η Επιτροπή παραπέμπει στις διατάξεις του Χάρτη, δεχόμενη έτσι την αρχή ότι οι περιορισμοί των θεμελιωδών δικαιωμάτων που ανταποκρίνονται σε σκοπό που αφορά τη διαφύλαξη της εθνικής ασφάλειας πρέπει να συνάδουν με τον Χάρτη.

105      Πρβλ. απόφαση Schrems (σκέψεις 74 και 75).

106      Πρβλ. EDPB, EU-US Privacy Shield – Second Annual Joint Review, της 22ας Ιανουαρίου 2019 (σ. 17, σημείο 86)

107      Βλ. άρθρο 45, παράγραφος 5, του ΓΚΠΔ. Βλ., επίσης, απόφαση Schrems (σκέψη 76).

108      Έτσι, η απόφαση περί «ασφαλούς λιμένα» κρίθηκε ανίσχυρη για τον λόγο ότι η Επιτροπή δεν ανέφερε, στην απόφαση εκείνη, ότι οι Ηνωμένες Πολιτείες εξασφαλίζουν πραγματικά ικανοποιητικό επίπεδο προστασίας με την εσωτερική τους νομοθεσία ή με τις διεθνείς δεσμεύσεις που έχουν αναλάβει. (απόφαση Schrems, σκέψη 97). Ειδικότερα, η Επιτροπή δεν διαπίστωσε την ύπαρξη κρατικών κανόνων για τον περιορισμό τυχόν επεμβάσεων στα θεμελιώδη δικαιώματα των προσώπων των οποίων τα δεδομένα διαβιβάζονται (απόφαση Schrems, σκέψη 88), ούτε την ύπαρξη αποτελεσματικής δικαστικής προστασίας κατά τέτοιων επεμβάσεων (απόφαση Schrems, σκέψη 89).

109      Τα σημεία 54 έως 73 των παρουσών προτάσεων συνοψίζουν τις διαπιστώσεις αυτές.

110      Βλ., μεταξύ άλλων, αποφάσεις της 4ης Μαΐου 1999, Sürül (C-262/96, EU:C:1999:228, σκέψη 95), της 11ης Σεπτεμβρίου 2008, Eckelkamp κ.λπ. (C-11/07, EU:C:2008:489, σκέψη 32), και της 26ης Οκτωβρίου 2016, Senior Home (C-195/15, EU:C:2016:804, σκέψη 20).

111      Πρβλ. απόφαση του Supreme Court (Ανώτατου Δικαστηρίου) της 31ης Μαΐου 2019 (σημείο 6.18).

112      Βλ. απόφαση της 13ης Μαΐου 1981, International Chemical Corporation (66/80, EU:C:1981:102, σκέψεις 12 και 13).

113      Πρβλ. απόφαση της 22ας Μαρτίου 2012, GLS (C-338/10, EU:C:2012:158, σκέψεις 15, 33 και 34), όπου το Δικαστήριο έλαβε υπόψη, προκειμένου να εκτιμήσει το κύρος κανονισμού περί επιβολής δασμού αντιντάμπινγκ, στατιστικές της Eurostat τις οποίες προσκόμισε η Επιτροπή αφού της ζητήθηκε από το Δικαστήριο. Βλ., επίσης, απόφαση της 22ας Οκτωβρίου 1991, Nölle (C-16/90, EU:C:1991:402, σκέψεις 17, 23 και 24). Ομοίως, στην απόφαση Schrems (σκέψη 90), το Δικαστήριο, κατά την εξέταση του κύρους της αποφάσεως περί «ασφαλούς λιμένα», έλαβε υπόψη ορισμένες ανακοινώσεις της Επιτροπής.

114      Απόφαση Schrems (σκέψεις 73 και 74).

115      Πρβλ. Ομάδα 29, «Adequacy Referential (updated)», 28 Νοεμβρίου 2017, WP 254 (σ. 3, 4 και 9).

116      Ωστόσο, το άρθρο 8, παράγραφος 2, της ΕΣΔΑ δεν κάνει αναφορά στην έννοια του «βασικού περιεχομένου» του δικαιώματος σεβασμού της ιδιωτικής ζωής. Βλ., επ’ αυτού, υποσημείωση 161 των παρουσών προτάσεων.

117      Απόφαση του ΕΔΔΑ της 19ης Ιουνίου 2018 (CE:ECHR:2018:0619JUD003525208, στο εξής: απόφαση Centrüm för Rättvisa).

118      Απόφαση του ΕΔΔΑ της 13ης Σεπτεμβρίου 2018 (CE:ECHR:2018:0913JUD005817013, στο εξής: απόφαση Big Brother Watch).

119      Βλ. προαναφερθείσες υποθέσεις στην υποσημείωση 98 των παρουσών προτάσεων, καθώς και υπόθεση C-520/18, Ordre des barreaux francophones και germanophones κ.λπ. (ΕΕ 2018, C 408, σ. 39).

120      Μολονότι η επεξεργασία μπορεί να συνιστά παράβαση των άρθρων 7 και 8 του Χάρτη, το πλαίσιο αναλύσεως που είναι κρίσιμο για την εφαρμογή του άρθρου 8 είναι διαφορετικό από διαρθρωτικής απόψεως από εκείνο του άρθρου 7. Το δικαίωμα προστασίας των δεδομένων προσωπικού χαρακτήρα σημαίνει, κατά το άρθρο 8, παράγραφος 2, του Χάρτη, ότι «[η] επεξεργασία αυτών των δεδομένων πρέπει να γίνεται νομίμως, για καθορισμένους σκοπούς και με βάση τη συγκατάθεση του ενδιαφερομένου ή για άλλους θεμιτούς λόγους που προβλέπονται από το νόμο» και ότι «[κ]άθε πρόσωπο δικαιούται να έχει πρόσβαση στα συλλεγέντα δεδομένα που το αφορούν και να επιτυγχάνει τη διόρθωσή τους». Η προσβολή του δικαιώματος αυτού προϋποθέτει ότι τα προσωπικά δεδομένα υφίστανται επεξεργασία κατά παράβαση των ως άνω απαιτήσεων. Τούτο συμβαίνει, ιδίως, όταν η επεξεργασία δεν στηρίζεται ούτε στη συγκατάθεση του υποκειμένου των δεδομένων ούτε σε άλλη νόμιμη βάση προβλεπόμενη από τον νόμο. Στην περίπτωση αυτή, μολονότι το ζήτημα της υπάρξεως επεμβάσεως και το ζήτημα της αιτιολογήσεώς της εννοιολογικά διαφέρουν στο πλαίσιο του άρθρου 7, εντούτοις συμπίπτουν όσον αφορά το άρθρο 8 του Χάρτη.

121      Το άρθρο 2, δεύτερο εδάφιο, στοιχείο βʹ, της οδηγίας 2002/58 ορίζει την έννοια των «δεδομένων κίνησης» ως «τα δεδομένα που υποβάλλονται σε επεξεργασία για τους σκοπούς της διαβίβασης μιας επικοινωνίας σε δίκτυο ηλεκτρονικών επικοινωνιών ή της χρέωσής της».

122      Βλ. απόφαση της 8ης Απριλίου 2014, Digital Rights Ireland κ.λπ. (C-293/12 και C-594/12, EU:C:2014:238, στο εξής: απόφαση Digital Rights Ireland, σκέψη 27), και απόφαση Tele2 Sverige (σκέψη 99). Βλ., επίσης, αποφάσεις του ΕΔΔΑ της 2ας Αυγούστου 1984, Malone κατά Ηνωμένου Βασιλείου (CE:ECHR:1984:0802JUD000869179, § 84), και της 8ης Φεβρουαρίου 2018, Ben Faiza κατά Γαλλίας (CE:ECHR:2018:0208JUD003144612, § 66).

123      Βλ. απόφαση Digital Rights Ireland (σκέψη 33), γνωμοδότηση 1/15 (σκέψη 124) καθώς και απόφαση Ministerio Fiscal (σκέψη 51).

124      Βλ. αιτιολογικές σκέψεις 78 έως 81 καθώς και παράρτημα VI, σημείο II, της αποφάσεως για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής».

125      Πρβλ. απόφαση Digital Rights Ireland (σκέψη 32).

126      Πρβλ. γνωμοδότηση 1/15 (σκέψεις 124 και 125), από την οποία προκύπτει ότι η ανακοίνωση δεδομένων σε τρίτο συνιστά επέμβαση στην άσκηση των θεμελιωδών δικαιωμάτων των ενδιαφερομένων προσώπων, ανεξαρτήτως της μεταγενέστερης χρήσεως αυτών.

127      Πρβλ. απόφαση Digital Rights Ireland (σκέψη 35), απόφαση Schrems (σκέψη 87) και γνωμοδότηση 1/15 (σκέψεις 123 έως 126).

128      Βλ. σημείο 60 των παρουσών προτάσεων.

129      PCLOB, Report on the Surveillance Program operated pursuant to Section 702 of the [FISA], 2 Ιουλίου 2014 (στο εξής: έκθεση PCLOB, σ. 84 και 111). Πρβλ. Ομάδα 29, EU-U.S. Privacy Shield – First Annual Joint Review, 28 Νοεμβρίου 2017, WP 255 (υπό B.1.1, σ. 15).

130      Βλ. υποσημείωση 126 των παρουσών προτάσεων.

131      Βλ., επίσης, σημείο 222 των παρουσών προτάσεων.

132      Βλ. γνωμοδότηση 1/15 (σκέψη 123 και εκεί μνημονευόμενη νομολογία).

133      Βλ., μεταξύ άλλων, γνωμοδότηση 1/15 (σκέψη 146).

134      Βλ., μεταξύ άλλων, αποφάσεις του ΕΔΔΑ της 2ας Αυγούστου 1984, Malone κατά Ηνωμένου Βασιλείου (CE:ECHR:1984:0802JUD000869179, § 66), της 29ης Ιουνίου 2006, Weber και Saravia κατά Γερμανίας (CE:ECHR:2006:0629DEC005493400, στο εξής: απόφαση Weber και Saravia, § 84 και εκεί μνημονευόμενη νομολογία), και της 4ης Δεκεμβρίου 2015, Zakharov κατά Ρωσίας (CE:ECHR:2015:1204JUD004714306, στο εξής: απόφαση Zakharov, § 228).

135      Βλ., μεταξύ άλλων, απόφαση Digital Rights Ireland (σκέψεις 54 και 65), απόφαση Schrems (απόφαση 91), απόφαση Tele2 Sverige (σκέψη 109) και γνωμοδότηση 1/15 (σκέψη 141).

136      Βλ., μεταξύ άλλων, αποφάσεις του ΕΔΔΑ Weber και Saravia (§ 94 και 95), Zakharov (§ 236) και απόφαση της 12ης Ιανουαρίου 2016, Szabó και Vissy κατά Ουγγαρίας (CE:ECHR:2016:0112JUD003713814, στο εξής: απόφαση Szabó και Vissy, § 59).

137      Βλ. απόφαση Tele2 Sverige (σκέψη 117) και γνωμοδότηση 1/15 (σκέψη 190). Βλ., επίσης, μεταξύ άλλων, αποφάσεις του ΕΔΔΑ της 2ας Αυγούστου 1984, Malone κατά Ηνωμένου Βασιλείου (CE:ECHR:1984:0802JUD000869179, § 67), Zakharov (§ 229) και Szabó και Vissy (§ 62). Το ΕΔΔΑ διευκρινίζει στις αποφάσεις αυτές ότι η επιταγή της προβλεψιμότητας δεν έχει στον τομέα των υποκλοπών των επικοινωνιών το ίδιο περιεχόμενο που έχει σε άλλους τομείς. Στο πλαίσιο μέτρων μυστικής παρακολουθήσεως «η απαίτηση προβλεψιμότητας δεν σημαίνει ότι κάποιος πρέπει να έχει τη δυνατότητα να προβλέψει αν και πότε οι επικοινωνίες του κινδυνεύουν να υποκλαπούν από τις αρχές, έτσι ώστε στη συνέχεια να προσαρμόσει τη συμπεριφορά του».

138      Γνωμοδότηση 1/15 (σκέψη 139). Πρβλ. απόφαση του ΕΔΔΑ της 25ης Μαρτίου 1983, Silver κ.λπ. κατά Ηνωμένου Βασιλείου (CE:ECHR:1983:0325JUD000594772, § 88 και 89).

139      Οι αιτιολογικές σκέψεις 69 έως 77 καθώς και το παράρτημα VI, σημείο II, της αποφάσεως για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής» εκθέτουν συνοπτικά το περιεχόμενο της PPD 28. Διευκρινίζουν ότι η προεδρική αυτή οδηγία εφαρμόζεται τόσο στις δραστηριότητες συλλογής πληροφοριών οι οποίες ασκούνται βάσει του άρθρου 702 του νόμου FISA όσο και σε εκείνες που λαμβάνουν εκτός της επικράτειας των Ηνωμένων Πολιτειών.

140      Το σημείο 3.7, στοιχείο c, του E.O. 12333 ορίζει: «[t]his order is intended only to improve the internal management of the executive branch and is not intended to, and does not, create any right or benefit, substantive or procedural, enforceable at law or in equity, by any party against the United States, its departments, agencies or entities, its officers, employees, or agents, or any other person». Το άρθρο 6, στοιχείο d), του PPD 28 προβλέπει επίσης: «This directive is not intended to, and does not, create any right or benefit, substantive or procedural, enforceable at law or in equity by any party against the United States, its departments, agencies, or entities, its officers, employees, or agents, or any other person».

141      Πρβλ. EDPB, EU‑U.S. Privacy Shield – Second Annual Joint Review, της 22ας Ιανουαρίου 2019 (σημείο 99)

142      Βλ. αιτιολογικές σκέψεις 69 και 77 της αποφάσεως για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής».

143      Αιτιολογική σκέψη 76 της αποφάσεως για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής».

144      Βλ. απόφαση του ΕΔΔΑ της 25ης Μαρτίου 1983, Silver κ.λπ. κατά Ηνωμένου Βασιλείου (CE:ECHR:1983:0325JUD000594772, § 26 και 86).

145      Βλ. σημεία 295 έως 301 των παρουσών προτάσεων. Στην απόφαση Tele2 Sverige (σκέψεις 116 και 117) και στη γνωμοδότηση 1/15 (σκέψεις 140 και 141), η προϋπόθεση της προβλεψιμότητας του νόμου παρουσιάστηκε ως άρρηκτα συνδεδεμένη με την προϋπόθεση της αναγκαιότητας και της αναλογικότητας της επεμβάσεως. Ομοίως, κατά τη νομολογία του ΕΔΔΑ, η ύπαρξη αποτελεσματικών εγγυήσεων κατά των κινδύνων καταχρήσεως αποτελεί μέρος τόσο της προϋποθέσεως «προβλεψιμότητας» της επεμβάσεως όσο και της προϋποθέσεως που αφορά τον «αναγκαίο σε μια δημοκρατική κοινωνία» χαρακτήρα της, η δε τήρηση των δύο αυτών προϋποθέσεων εξετάζεται από κοινού. Βλ., μεταξύ άλλων, αποφάσεις του ΕΔΔΑ της 18ης Μαΐου 2010, Kennedy κατά Ηνωμένου Βασιλείου (CE:ECHR:2010:0518JUD002683905, § 155), Zakharov (§ 236), Centrüm för Rättvisa (§ 107) και Big Brother Watch (§ 322).

146      Βλ., επίσης, αιτιολογική σκέψη 104 του ΓΚΠΔ.

147      Βλ. απόφαση Schrems (σκέψη 94). Βλ., επίσης, αποφάσεις Digital Rights Ireland (σκέψη 39) και Tele2 Sverige (σκέψη 101). Δεδομένης της στενής συνδέσεως μεταξύ του δικαιώματος σεβασμού της ιδιωτικής ζωής και του δικαιώματος προστασίας των δεδομένων προσωπικού χαρακτήρα, εθνικό μέτρο που παρέχει στις δημόσιες αρχές γενικευμένη πρόσβαση στο περιεχόμενο των επικοινωνιών προσβάλλει επίσης, κατά την άποψή μου, το βασικό περιεχόμενο του δικαιώματος το οποίο κατοχυρώνεται στο άρθρο 8 του Χάρτη.

148      Βλ. σημείο 257 των παρουσών προτάσεων. Στην απόφαση Tele2 (σκέψη 99), το Δικαστήριο τόνισε ότι τα μεταδεδομένα παρέχουν, ειδικότερα, τα μέσα για τον προσδιορισμό του προφίλ των υποκειμένων των δεδομένων. Στη γνωμοδότησή της 04/2014 σχετικά με την παρακολούθηση των ηλεκτρονικών επικοινωνιών με σκοπό τη συλλογή πληροφοριών και την εθνική ασφάλεια, της 10ης Απριλίου 2014, WP 215 (σ. 5), η Ομάδα 29 παρατήρησε ότι τα μεταδεδομένα, λόγω της δομημένης φύσης τους, είναι πιο εύκολο να διασταυρωθούν απ’ ό,τι τα δεδομένα περιεχομένου.

149      Βλ. απόφαση Tele2 Sverige (σκέψη 99). Ορισμένοι σχολιαστές έχουν διερωτηθεί κατά πόσον είναι βάσιμη η διάκριση μεταξύ της γενικευμένης προσβάσεως στο περιεχόμενο των επικοινωνιών και της γενικευμένης προσβάσεως στα μεταδεδομένα, λαμβανομένων υπόψη των εξελίξεων στις τεχνολογίες και στα μέσα επικοινωνίας. Βλ. Falot, N., και Hijmans, H., «Tele2: de afweging tussen privacy en veiligheid nader omlijnd», Nederlands Tijdschrift voor Europees Recht, αριθ. 3, 2017 (σ. 48), καθώς και Ojanen, T., «Making essence of the rights real: the Court of Justice of the European Union clarifies the structure of fundamental rights under the Charter» (σχόλιο στην απόφαση Schrems), European Constitutional Law Review, 2016 (σ. 5).

150      Βλ. υποσημείωση 87 της αποφάσεως για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής». Πάντως, σύμφωνα με τις παρατηρήσεις του EPIC και τις γραπτές απαντήσεις της Κυβερνήσεως των Ηνωμένων Πολιτειών στις ερωτήσεις του Δικαστηρίου, το FISC απαίτησε, το 2017, να ανασταλούν οι έρευνες «που αφορούν» επιλογέα, επειδή διαπιστώθηκε ότι αυτού του είδους οι έρευνες ενείχαν παρατυπίες. Ωστόσο, το Κογκρέσο, με την πράξη σχετικά με την εκ νέου χορήγηση άδειας λειτουργίας του νόμου FISA που εκδόθηκε το 2018, προέβλεψε τη δυνατότητα επανεισαγωγής αυτού του είδους ερευνών με τη σύμφωνη γνώμη του FISC και του Κογκρέσου. Βλ., επίσης, CEPD, EU-U.S. Privacy Shield – Second Annual Joint Review, 22 Ιανουαρίου 2019 (σ. 27, σημείο 55).

151      Υπό το πρίσμα αυτό, το αιτούν δικαστήριο, στις σκέψεις 188 και 189 της αποφάσεώς του της 3ης Οκτωβρίου 2017, διακρίνει τη «μαζική» αναζήτηση από τη συγκέντρωση, τη συλλογή ή τη «μαζική» διακράτηση πληροφοριών. Το αιτούν δικαστήριο εκτιμά βασικά ότι, το πρόγραμμα Upstream συνεπάγεται μεν «μαζική» αναζήτηση στο σύνολο των δεδομένων που διαμετακομίζονται μέσω του «κορμού» των τηλεπικοινωνιών, πλην όμως η συγκέντρωση, η συλλογή και η διακράτηση είναι στοχευμένες υπό την έννοια ότι έχουν ως αντικείμενο μόνον τα δεδομένα που περιλαμβάνουν τους επίμαχους επιλογείς.

152      Πρβλ. απόφαση του Supreme Court (Ανώτατο Δικαστήριο) της 31ης Μαΐου 2019 (σκέψεις 11.2 και 11.3). Το δικαστήριο αυτό επισημαίνει στις σκέψεις αυτές: «[I]t is inevitable that any screening process designed to identify data of interest will necessarily involve all of the data available, for the whole point of the screening process is to identify within that entire universe of available data the relevant material which may be of interest and thus require closer scrutiny. Perhaps part of the problem lies in the fact that the term “processing” covers a wide range of activity, apparently, in the view of the DPC, including screening. On the assumption that that is a correct view of the law, then it is technically correct to describe bulk screening as involving indiscriminate processing. But the use of that terminology might be taken to imply that other forms of processing, which are significantly more invasive, are carried out on an indiscriminate basis.»

153      Βλ. γνωμοδότηση 1/15 (σκέψη 122). Βλ., επίσης, έκθεση της Ευρωπαϊκής Επιτροπής για τη δημοκρατία μέσω της νομοθεσίας (Επιτροπή της Βενετίας), σχετικά με τον δημοκρατικό έλεγχο των φορέων συλλογής πληροφοριών σημάτων, της 15ης Δεκεμβρίου 2015, μελέτη 719/2013 [CDL-AD(2015)011, σ. 11]: «Στην πράξη, η απάντηση στο ερώτημα αν η διαδικασία αυτή περιορίζει, όπως πρέπει, τις περιττές επεμβάσεις στις αθώες προσωπικές επικοινωνίες εξαρτάται εν τέλει από το κατά πόσον ο επιλογέας είναι αρκούντως συγκεκριμένος και ακριβής καθώς και από το κατά πόσον η ποιότητα του αλγορίθμου του λογισμικού που χρησιμοποιείται για τον προσδιορισμό των κρίσιμων δεδομένων στο πλαίσιο των επιλεγμένων παραμέτρων είναι ικανοποιητική».

154      Βλ. σημεία 297 έως 301 των παρουσών προτάσεων.

155      Γνωμοδότηση 1/15 (σκέψη 150).

156      Βλ. αιτιολογικές σκέψεις 70, 103 και 109 της αποφάσεως για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής».

157      Βλ. αιτιολογικές σκέψεις 83 έως 87 καθώς και παράρτημα VI, σημείο I, στοιχείο γʹ, της αποφάσεως για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής». Επισημαίνω ότι, σύμφωνα με την έκθεση της PCLOB (σ. 51 έως 66), οι διαδικασίες «ελαχιστοποιήσεως» της NSA δυνάμει του άρθρου 702 του νόμου FISA αφορούν, ως επί το πλείστον, μόνον τους Αμερικανούς πολίτες. Σκοπός της PPD 28 ήταν να επεκτείνει τις ισχύουσες εγγυήσεις στους μη Αμερικανούς. Βλ. PCLOB, Report to the President on the Implementation of [PPD 28]: Signals Intelligence Activities, disponible à l’ adresse https://www.pclob.gov/reports/report-PPD28/(σ. 2). Τούτου δοθέντος, η αποθήκευση και η χρήση δεδομένων για σκοπούς εθνικής ασφάλειας, μετά τη συγκέντρωσή τους από τις δημόσιες αρχές δεν εμπίπτουν, κατ’ εμέ, στο πεδίο εφαρμογής του δικαίου της Ένωσης (βλ. σημείο 226 των παρουσών προτάσεων). Επομένως, η επάρκεια του επιπέδου προστασίας το οποίο εξασφαλίζεται στο πλαίσιο των δραστηριοτήτων αυτών πρέπει να εκτιμάται μόνο σε σχέση με το άρθρο 8 της ΕΣΔΑ.

158      Βλ. σημεία 283 έως 289 των παρουσών προτάσεων.

159      Ειδικότερα, στην αιτιολογική σκέψη 127 της αποφάσεως για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής»», η Επιτροπή διαπίστωσε ότι η τέταρτη τροποποίηση του Συντάγματος των Ηνωμένων Πολιτειών δεν ισχύει για τους μη Αμερικανούς που δεν κατοικούν στις Ηνωμένες Πολιτείες.

160      Βλ. αιτιολογικές σκέψεις 73 και 74, καθώς και παράρτημα VI, σημείο I, στοιχείο βʹ, της αποφάσεως για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής». Οι σκοποί αυτοί περιλαμβάνουν την καταπολέμηση της κατασκοπείας και άλλων απειλών και δραστηριοτήτων ξένων δυνάμεων κατά των Ηνωμένων Πολιτειών και των συμφερόντων τους· των τρομοκρατικών απειλών· των απειλών που απορρέουν από την ανάπτυξη, την κατοχή, τη διάδοση ή τη χρήση όπλων μαζικής καταστροφής· των απειλών που συνδέονται με την ασφάλεια στον κυβερνοχώρο· των απειλών για τις ένοπλες δυνάμεις των ΗΠΑ ή των συμμάχων τους και των διεθνών απειλών εγκληματικότητας. Σύμφωνα με την υποσημείωση 5 της PPD 28 ο περιορισμός όσον αφορά τους σκοπούς που δικαιολογούν τη χρήση δεδομένων «μαζικά» δεν εφαρμόζεται όταν η συλλογή αυτή είναι μόνο προσωρινή και αποσκοπεί στη διευκόλυνση στοχευμένης συλλογής δεδομένων.

161      Μολονότι οι διατάξεις της ΕΣΔΑ δεν κάνουν μνεία στο «βασικό περιεχόμενο» των θεμελιωδών δικαιωμάτων, εντούτοις η αντίστοιχη έννοια της «ίδιας της ουσίας» ενός θεμελιώδους δικαιώματος απαντά στη νομολογία του ΕΔΔΑ σχετικά με ορισμένες από τις διατάξεις αυτές. Βλ. όσον αφορά την ίδια την ουσία του δικαιώματος στη χρηστή απονομή της δικαιοσύνης, το οποίο κατοχυρώνεται στο άρθρο 6 της ΕΣΔΑ, μεταξύ άλλων, αποφάσεις του ΕΔΔΑ της 25ης Μαΐου 1985, Ashingdane κατά Ηνωμένου Βασιλείου (CE:ECHR:1985:0528JUD000822578, § 57 και 59), της 21ης Δεκεμβρίου 2000, Heaney and McGuinness κατά Ιρλανδίας (CE:ECHR:2000:1221JUD003472097, § 55 και 58), και της 23ης Ιουνίου 2016, Baka κατά Ουγγαρίας (CE:ECHR:2016:0623JUD002026112, § 121). Όσον αφορά την ίδια την ουσία του δικαιώματος συνάψεως γάμου, το οποίο κατοχυρώνεται στο άρθρο 12 της ΕΣΔΑ, βλ. απόφαση του ΕΔΔΑ της 11ης Ιουλίου 2002, Christine Goodwin κατά Ηνωμένου Βασιλείου (CE:ECHR:2002:0711JUD002895795, § 99 και 101). Όσον αφορά την ίδια την ουσία του δικαιώματος στην εκπαίδευση, το οποίο κατοχυρώνεται στο άρθρο 2 του πρωτοκόλλου 1 της ΕΣΔΑ, βλ. απόφαση του ΕΔΔΑ της 23ης Ιουλίου 1968, υπόθεση «σχετικά με ορισμένες πτυχές του γλωσσικού καθεστώτος της εκπαιδεύσεως στο Βέλγιο» (CE:ECHR:1968:0723JUD000147462, § 5).

162      Βλ., ειδικότερα, αποφάσεις του ΕΔΔΑ Centrüm för Rättvisa (§ 112 έως 114 και εκεί μνημονευόμενη νομολογία) και Big Brother Watch (§ 337).

163      Βλ. σημείο 197 των παρουσών προτάσεων.

164      Βλ. άρθρο 23 παράγραφος 1, στοιχείο αʹ, του ΓΚΠΔ.

165      Βλ. απόφαση Schrems (σκέψη 88). Το Δικαστήριο αποφάνθηκε ότι η συναφής έννοια της «δημόσιας ασφάλειας», η οποία χρησιμοποιείται στις διατάξεις της ΣΛΕΕ που επιτρέπουν παρεκκλίσεις από τις εκεί διασφαλιζόμενες θεμελιώδεις ελευθερίες, είναι αυτοτελής έννοια του δικαίου της Ένωσης, η οποία καλύπτει τόσο την εσωτερική όσο και την εξωτερική ασφάλεια των κρατών μελών [βλ., μεταξύ άλλων, αποφάσεις της 26ης Οκτωβρίου 1999, Sirdar (C‑273/97, EU:C:1999:523, σκέψη 17), και της 13ης Σεπτεμβρίου 2016, CS (C-304/14, EU:C:2016:674, σκέψη 39 και εκεί μνημονευόμενη νομολογία)]. Ενώ η εσωτερική ασφάλεια μπορεί να επηρεαστεί, ιδίως, από άμεση απειλή για την ηρεμία και τη σωματική ασφάλεια του πληθυσμού του οικείου κράτους μέλους, η εξωτερική ασφάλεια μπορεί να διακυβευθεί, μεταξύ άλλων, από τον κίνδυνο σοβαρής διαταραχής των εξωτερικών σχέσεων του κράτους μέλους αυτού ή της ειρηνικής συνυπάρξεως των λαών. Αν και κάθε κράτος μέλος δεν μπορεί να ορίσει μονομερώς το περιεχόμενο των εννοιών αυτών, εντούτοις διαθέτει ορισμένο περιθώριο εκτιμήσεως για να καθορίσει τα ουσιώδη συμφέροντά του από απόψεως ασφάλειας. Βλ., ιδίως, απόφαση της 2ας Μαΐου 2018, K. και H. F. (Δικαίωμα διαμονής και ισχυρισμοί για εγκλήματα πολέμου) (C-331/16 και C‑366/16, EU:C:2018:296, σκέψεις 40 έως 42 και εκεί μνημονευόμενη νομολογία). Κατά τη γνώμη μου, οι εκτιμήσεις αυτές ισχύουν κατ’ αναλογίαν και για την ερμηνεία της έννοιας της «εθνικής ασφάλειας», ως συμφέρον του οποίου η προστασία μπορεί να δικαιολογήσει περιορισμούς στις διατάξεις του ΓΚΠΔ και στα δικαιώματα που κατοχυρώνονται στα άρθρα 7 και 8 του Χάρτη.

166      Πρβλ. αιτιολογική σκέψη 89 και υποσημείωση 97 της αποφάσεως για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής».

167      Βλ. σημείο 55 των παρουσών προτάσεων.

168      Βλ. σημείο 61 των παρουσών προτάσεων.

169      Στην απόφαση Centrüm för Rättvisa (§ 111), το ΕΔΔΑ έκρινε ότι οι δραστηριότητες παρακολουθήσεως που αποσκοπούν στη στήριξη της εξωτερικής πολιτικής, της πολιτικής άμυνας και της πολιτικής ασφαλείας της Σουηδίας, καθώς και στον εντοπισμό των εξωτερικών απειλών που οργανώνονται στη Σουηδία επιδίωκαν θεμιτούς σκοπούς σχετικούς με την εθνική ασφάλεια.

170      Βλ., συναφώς, απόφαση Tele2 Sverige (σκέψη 115) και απόφαση Ministerio Fiscal (σκέψη 55). Το Δικαστήριο στις αποφάσεις αυτές επισήμανε τη σύνδεση μεταξύ του βαθμού βαρύτητας της επεμβάσεως και του συμφέροντος του οποίου γίνεται επίκληση προς αιτιολόγηση της επεμβάσεως.

171      Η Ομάδα 29, στο έγγραφο εργασίας της σχετικά με την παρακολούθηση των ηλεκτρονικών επικοινωνιών με σκοπό την συλλογή πληροφοριών και την εθνική ασφάλεια, της 5ης Δεκεμβρίου 2014, WP 228 (σ. 27), επισημαίνει τη σημασία που έχει η κριτική αξιολόγηση του κατά πόσο η παρακολούθηση πραγματοποιείται πράγματι για σκοπούς εθνικής ασφάλειας.

172      Βλ. γνωμοδότηση 1/15 (σκέψη 181), στην οποία το Δικαστήριο έκρινε ότι το γράμμα των νομοθετικών διατάξεων που προέβλεπαν τις επεμβάσεις δεν ανταποκρινόταν στις απαιτήσεις περί σαφήνειας και ακρίβειας, οπότε οι επεμβάσεις αυτές δεν περιορίζονταν στο απολύτως αναγκαίο μέτρο. Υπό το ίδιο πρίσμα, ο γενικός εισαγγελέας Y. Bot, με τις προτάσεις του στην υπόθεση Schrems (C-362/14, EU:C:2015:627, σημεία 181 έως 184), υποστήριξε ότι ο σκοπός των μέτρων παρακολουθήσεως είχε διατυπωθεί κατά τρόπο πολύ γενικό ώστε να θεωρηθούν σκοποί γενικού συμφέροντος, πλην της περιπτώσεως της εθνικής ασφάλειας.

173      Παρόμοιες αμφιβολίες εκφράστηκαν από τον ΕΕΠΔ στη γνωμοδότησή του 4/2016 σχετικά με την «Ασπίδα προστασία της ιδιωτικής ζωής ΕΕ-Ηνωμένων Πολιτειών» (Privacy Shield) – Σχέδιο αποφάσεως περί επάρκειας, της 30ής Μαΐου 2016 (σ.8).

174      Βλ. απόφαση της 9ης Νοεμβρίου 2010, Volker und Markus Schecke και Eifert (C-92/09 και C‑93/09, EU:C:2010:662, σκέψη 48), γνωμοδότηση 1/15 (σκέψη 136) και απόφαση της 24ης Σεπτεμβρίου 2019, Google (Εδαφικό πεδίο του δικαιώματος διαγραφής συνδέσμων) (C-507/17, EU:C:2019:772, σκέψη 60).

175      Βλ., μεταξύ άλλων, απόφαση της 16ης Δεκεμβρίου 2008, Satakunnan Markkinapörssi και Satamedia (C-73/07, EU:C:2008:727, σκέψη 56), απόφαση Digital Rights Ireland (σκέψεις 48 και 52), απόφαση Schrems (σκέψεις 78 και 92) και γνωμοδότηση 1/15 (σκέψεις 139 και 140). Βλ., επίσης, αιτιολογική σκέψη 140 της αποφάσεως για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής».

176      Απόφαση Schrems (σκέψη 93). Πρβλ., επίσης, απόφαση Digital Rights Ireland (σκέψη 60).

177      Βλ. απόφαση Tele2 Sverige (σκέψη 120) και γνωμοδότηση (σκέψη 202).

178      Η έκθεση της PCLOB (σ. 45) διευκρινίζει: «With respect to the foreign intelligence purpose, the NSA targeting procedures require the analyst only to “identify” the foreign power or foreign territory regarding which the foreign intelligence information is to be acquired. By policy, but not as a requirement of the targeting procedures, the NSA also requires that all taskings be accompanied by a very brief statement (typically no more than one sentence long) that further explains the analyst’s rationale for assessing that tasking the selector in question will result in the acquisition of the types of foreign intelligence information authorized by the Section 702 certification».

179      Πρβλ. Ομάδα 29, Opinion 1/2016 on the EU-U.S. Privacy Shield draft adequacy decision, 13 Απριλίου 2016, WP 238 (υπό 3.3.1, σ. 38)· ψήφισμα του Κοινοβουλίου της 6ης Απριλίου 2017 σχετικά με την επάρκεια της προστασίας που παρέχεται από την Ασπίδα Προστασίας της Ιδιωτικής Ζωής ΕΕ-ΗΠΑ, P8_TA(2017)0131 (σημείο 17), καθώς και έκθεση του Κοινοβουλίου σχετικά με τις επιπτώσεις των μαζικών δεδομένων στα θεμελιώδη δικαιώματα: ιδιωτική ζωή, προστασία δεδομένων, μη διακριτική μεταχείριση, ασφάλεια και επιβολή του νόμου, της 20ής Φεβρουαρίου 2017, A8-0044/2017 (σημείο 17).

180      Πρβλ. Ομάδα 29, EU-U.S. Privacy Shield – First Annual Review, 28 Νοεμβρίου 2017, WP 255 (σ. 3)· ψήφισμα του Ευρωπαϊκού Κοινοβουλίου της 5ης Ιουλίου 2018 σχετικά με την επάρκεια της προστασίας που παρέχεται από την Ασπίδα Προστασίας της Ιδιωτικής Ζωής ΕΕ-ΗΠΑ, P8_TA-PROV(2018)0315 (σημείο 22) και EDPB, EU U.S. Privacy Shield – Second Annual Joint Review, 22 Ιανουαρίου 2019 (σημεία 81 έως 83 και 87).

181      Βλ., μεταξύ άλλων, αποφάσεις του ΕΔΔΑ Zakharov (§ 232) και Szabó και Vissy (§ 57).

182      Βλ., μεταξύ άλλων, αποφάσεις του ΕΔΔΑ Zakharov (§ 237), Centrüm för Rättvisa (§ 111) και Big Brother Watch (§ 322).

183      Βλ., μεταξύ άλλων, απόφαση του ΕΔΔΑ Weber και Saravia (§ 95), της 28ης Ιουνίου 2007, Association pour l’intégration européenne et les droits de l’homme και Ekimdjiev (CE:ECHR:2007:0628JUD006254000, § 76), και απόφαση Zakharov (§ 231).

184      Βλ., μεταξύ άλλων, αποφάσεις του ΕΔΔΑ Weber και Saravia (§ 106), Zakharov (§ 232) και Centrüm för Rättvisa (§ 104).

185      Βλ., μεταξύ άλλων, αποφάσεις του ΕΔΔΑ της 6ης Σεπτεμβρίου 1978, Klass κ.λπ. κατά Γερμανίας (CE:ECHR:1978:0906JUD000502971, § 55), Zakharov (§ 233) και Centrüm för Rättvisa (§ 105).

186      Βλ., μεταξύ άλλων, αποφάσεις του ΕΔΔΑ Klass (§ 56), της 18ης Μαΐου 2010, Kennedy κατά Ηνωμένου Βασιλείου (CE:ECHR:2010:0518JUD002683905, § 167), και απόφαση Zakharov (§ 233 και 258).

187      Βλ. αποφάσεις του ΕΔΔΑ Szabó και Vissy (§ 77) και Centrüm för Rättvisa (§ 133).

188      Τούτο ισχύει κατά μείζονα λόγο ενόψει των εκτιμήσεων που εκτίθενται στο σημείο 281 των παρουσών προτάσεων.

189      Βλ. σημεία 330 και 331 των παρουσών προτάσεων.

190      Συναφώς, οι επεξηγήσεις σχετικά με τον Χάρτη ορίζουν ότι «στο δίκαιο της Ένωσης, η προστασία [που προβλέπεται στο άρθρο 47 αυτού] είναι ευρύτερη [από εκείνη που παρέχεται από το άρθρο 13 της ΕΣΔΑ], δεδομένου ότι εγγυάται δικαίωμα πραγματικής προσφυγής ενώπιον δικαστή». Βλ., επίσης, προτάσεις του γενικού εισαγγελέα Μ. Wathelet στην υπόθεση Berlioz Investment Fund (C-682/15, EU:C:2017:2, σημείο 37).

191      Προκειμένου να εκτιμηθεί αν ένα όργανο μπορεί να θεωρηθεί ως «δικαστήριο» στο πλαίσιο της εφαρμογής του άρθρου 47 του Χάρτη, πρέπει να λαμβάνονται υπόψη στοιχεία όπως η ίδρυση του σχετικού οργάνου με νόμο, η μονιμότητά του, ο δεσμευτικός χαρακτήρας της δικαιοδοσίας του, ο κατ’ αντιμωλίαν χαρακτήρας της ενώπιόν του διαδικασίας, η εκ μέρους του οργάνου εφαρμογή κανόνων δικαίου καθώς και η ανεξαρτησία του. Βλ. απόφαση της 27ης Φεβρουαρίου 2018, Associação Sindical dos Juízes Portugueses (C-64/16, EU:C:2018:117, σκέψη 38 και εκεί μνημονευόμενη νομολογία).

192      Βλ., μεταξύ άλλων, αποφάσεις της 25ης Ιουλίου 2018, Minister for Justice and Equality (Πλημμέλειες του δικαστικού συστήματος) (C-216/18 PPU, EU:C:2018:586, σκέψεις 59 και 63), της 5ης Νοεμβρίου 2019, Επιτροπή κατά Πολωνίας (Ανεξαρτησία των τακτικών δικαστηρίων) (C‑192/18, EU:C:2019:924, σκέψη 106), και της 19ης Νοεμβρίου 2019, A. K. κ.λπ. (Ανεξαρτησία του πειθαρχικού τμήματος του Ανωτάτου Δικαστηρίου) (C‑585/18, C‑624/18 και C‑625/18, EU:C:2019:982, σκέψη 120).

193      Βλ. σημείο 293 των παρουσών προτάσεων. Το άρθρο 45, παράγραφος 3, στοιχείο αʹ, του ΓΚΠΔ προβλέπει ότι, κατά την εκτίμηση της επάρκειας του επιπέδου προστασίας που παρέχει τρίτο κράτος, πρέπει να λαμβάνονται υπόψη τα «αποτελεσματικά διοικητικά και δικαστικά μέσα προσφυγής» για τα υποκείμενα των δεδομένων (η υπογράμμιση δική μου). Ομοίως, κατά την αιτιολογική σκέψη 104 του ΓΚΠΔ, η έκδοση αποφάσεως επάρκειας εξαρτάται από την προϋπόθεση ότι τα υποκείμενα των δεδομένων έχουν στη διάθεσή τους στην οικεία τρίτη χώρα, «τη δυνατότητα άσκησης αποτελεσματικών διοικητικών και δικαστικών προσφυγών» (η υπογράμμιση δική μου). Βλ., επίσης, Ομάδα 29, EU-U.S. Privacy Shield – First Annual Joint Review, 28 Νοεμβρίου 2017, WP 255 (σημείο B.3)· ψήφισμα του Ευρωπαϊκού Κοινοβουλίου της 5ης Ιουλίου 2018 σχετικά με την επάρκεια της προστασίας που παρέχεται από την Ασπίδα Προστασίας της Ιδιωτικής Ζωής ΕΕ-ΗΠΑ, P8_TA-PROV(2018)0315 (σημεία 25 και 30) και EDPB, EU-U.S. Privacy Shield – Second Annual Joint Review, 22 Ιανουαρίου 2019 (σημεία 94 έως 97).

194      Πρβλ. απόφαση της 28ης Φεβρουαρίου 2013, Επανεξέταση Arango Jaramillo κ.λπ. κατά ΕΤΕπ (C-334/12 RX-II, EU:C:2013:134, σκέψη 43).

195      Απόφαση Schrems (σκέψη 95).

196      Το άρθρο 15 του ΓΚΠΔ, με τίτλο «Δικαίωμα πρόσβασης του υποκειμένου των δεδομένων» ορίζει ότι το πρόσωπο αυτό «έχει το δικαίωμα να λαμβάνει από τον υπεύθυνο επεξεργασίας επιβεβαίωση για το κατά πόσον ή όχι τα δεδομένα προσωπικού χαρακτήρα που το αφορούν υφίστανται επεξεργασία και, εάν συμβαίνει τούτο, το δικαίωμα πρόσβασης στα δεδομένα». Η «αρχή της προσβάσεως» που προβλέπεται στο παράρτημα II, σημείο II.8, στοιχείο αʹ, της αποφάσεως για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής» έχει το ίδιο περιεχόμενο.

197      Απόφαση Tele2 Sverige (σκέψη 121) και γνωμοδότηση 1/15 (σκέψεις 220). Όπως παρατήρησε η Facebook Ireland, δεν μπορεί να απαιτείται σε κάθε περίπτωση η ενημέρωση σχετικά με την πρόσβαση των δημοσίων αρχών στα δεδομένα. Συναφώς, το ΕΔΔΑ εκτιμά ότι «στην πράξη μπορεί να μην είναι δυνατή η ενημέρωση a posteriori», στο μέτρο που η απειλή λόγω της οποίας εφαρμόζονται τα μέτρα παρακολουθήσεως «μπορεί να υφίσταται επί έτη ή ακόμη και δεκαετίες» μετά την άρση των μέτρων αυτών, οπότε η ενημέρωση μπορεί «να θέσει σε κίνδυνο μακροπρόθεσμα τον σκοπό που αρχικά υπήρξε η αιτία για την παρακολούθηση» καθώς και «να αποκαλύψει τις μεθόδους εργασίας των Υπηρεσιών Πληροφοριών, το πεδίο της δραστηριότητάς τους και […] την ταυτότητα των μελών του προσωπικού τους» [απόφαση Zakharov (§ 287 και εκεί μνημονευόμενη νομολογία)]. Ελλείψει ενημερώσεως, μολονότι, σε περίπτωση παραβάσεως των νομικών απαιτήσεων θα είναι αδύνατη η άσκηση των μέσων ατομικής έννομης προστασίας, εντούτοις ενδέχεται άλλες εγγυήσεις να αρκούν για την προστασία του δικαιώματος σεβασμού της ιδιωτικής ζωής (βλ., επίσης, απόφαση Centrüm för Rättvisa, § 164 έως 167 και 171 έως 178). Βλ. σημείο 330 των παρουσών προτάσεων.

198      Πρβλ. υποσημείωση 210 των παρουσών προτάσεων.

199      Βλ. σημείο 67 των παρουσών προτάσεων.

200      Βλ. EDPB, EU-U.S. Privacy Shield – Second Annual Joint Review, 22 Ιανουαρίου 2019 (σ. 18, σημείο 97).

201      Βλ., μεταξύ άλλων, αποφάσεις της 11ης Ιουλίου 1991, Verholen κ.λπ. (C-87/90 έως C-89/90, EU:C:1991:314, σκέψη 24 και εκεί μνημονευόμενη νομολογία), και της 28ης Φεβρουαρίου 2013, Επανεξέταση Arango Jaramillo κ.λπ. κατά ΕΤΕπ (C-334/12 RX-II, EU:C:2013:134, σκέψη 43).

202      Ωστόσο, η Κυβέρνηση των Ηνωμένων Πολιτειών διευκρίνισε, όπως και το αιτούν δικαστήριο, ότι τα μέτρα παρακολουθήσεως δυνάμει του άρθρου 702 του νόμου FISA πρέπει να γνωστοποιείται στο πρόσωπο που αποτελεί στόχο αν τα συλλεγέντα δεδομένα χρησιμοποιούνται εναντίον του στο πλαίσιο ένδικης διαδικασίας.

203      Αποφάσεις της 20ής Μαΐου 2003, Österreichischer Rundfunk κ.λπ. (C-465/00, C-138/01 και C‑139/01, EU:C:2003:294, σκέψη 75), Digital Rights Ireland (σκέψη 33), Schrems (σκέψη 87) και γνωμοδότηση 1/15 (σκέψη 124).

204      Οι μηχανισμοί αυτοί περιγράφονται στις αιτιολογικές σκέψεις 95 έως 110 της αποφάσεως για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής». Στην εν λόγω απόφαση η Επιτροπή περιγράφει στο πλαίσιο της κατηγορίας των κανόνων που αφορούν την «αποτελεσματική δικαστική προστασία», τους «μηχανισμούς εποπτείας» (βλ. αιτιολογικές σκέψεις 92 έως 110) της ατομικής έννομης προστασίας (βλ αιτιολογικές σκέψεις 111 έως 124).

205      Βλ. σημείο 298 των παρουσών προτάσεων.

206      Κατά την αιτιολογική σκέψη 109 της αποφάσεως για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής», «[ο] Γενικός Εισαγγελέας και ο Διευθυντής της [Εθνικής Υπηρεσίας Πληροφοριών] εξακριβώνουν τη συμμόρφωση και οι υπηρεσίες έχουν υποχρέωση να αναφέρουν τυχόν περιστατικά έλλειψης συμμόρφωσης στο FISC (καθώς και στο Κογκρέσο και στην Επιτροπή Εποπτείας Υπηρεσιών Πληροφοριών του Προέδρου), το οποίο δύναται σε αυτή τη βάση να τροποποιήσει την πιστοποίηση».

207      Βλ. σημεία 333 έως 340 των παρουσών προτάσεων.

208      Βλ. σημείο 305 των παρουσών προτάσεων.

209      Στη σχετική με τα μέτρα παρακολουθήσεως των τηλεπικοινωνιών νομολογία του, το ΕΔΔΑ έχει αναλύσει το ζήτημα των μέσων έννομης προστασίας στο πλαίσιο της εξετάσεως της φύσης της ρυθμίσεως στην οποία προβλέπεται η εκάστοτε επέμβαση, αν πρόκειται, δηλαδή, για «νόμο», καθώς και της αναγκαιότητας της επεμβάσεως στην άσκηση του δικαιώματος που κατοχυρώνεται στο άρθρο 8 της ΕΣΔΑ [βλ., μεταξύ άλλων, αποφάσεις του ΕΔΔΑ Zakharov (§ 236) και Centrüm för Rättvisa (§ 107)]. Το ΕΔΔΑ, στην απόφαση της 1ης Ιουλίου 2008, Liberty κ.λπ. κατά Ηνωμένου Βασιλείου (CE:ECHR:2008:0701JUD005824300, § 73) και στην απόφαση Zakharov (§ 307), αφού διαπίστωσε παράβαση του άρθρου 8 της ΕΣΔΑ, δεν έκρινε αναγκαίο να εξετάσει χωριστά την αιτίαση που στηριζόταν στο άρθρο 13 της συμβάσεως αυτής.

210      Κατά το ΕΔΔΑ, η έλλειψη ενημερώσεως σε οποιοδήποτε στάδιο δεν συνεπάγεται μεν κατ’ ανάγκην ότι ένα μέτρο παρακολουθήσεως αποκλείεται να πληροί την προϋπόθεση περί «αναγκαιότητας σε δημοκρατική κοινωνία», εντούτοις δυσχεραίνει την πρόσβαση στα δικαστήρια και, κατά συνέπεια, την αποτελεσματικότητα των προσφυγών [βλ., μεταξύ άλλων, αποφάσεις της 6ης Σεπτεμβρίου 1978, Klass κ.λπ. κατά Γερμανίας (CE:ECHR:1978:0906JUD000502971, § 57 και 58), Weber και Saravia (§ 135) και απόφαση Zakharov (§ 302)].

211      Πρβλ. απόφαση Centrum för Rättvisa (§ 105).

212      Με την απόφαση Big Brother Watch (§ 317), το ΕΔΔΑ δεν συγκατέλεξε την υποχρέωση ενημερώσεως των υποκειμένων των δεδομένων σχετικά με την παρακολούθηση στις ελάχιστες εγγυήσεις που εφαρμόζονται σε καθεστώς παρακολουθήσεως το οποίο χαρακτηρίζεται από μαζική παρακολούθηση των ηλεκτρονικών επικοινωνιών. Βλ., επίσης, απόφαση Centrüm för Rättvisa (§ 164). Η παραπομπή των εν λόγω αποφάσεων ενώπιον του τμήματος μείζονος συνθέσεως του ΕΔΔΑ έχει, μεταξύ άλλων, ως αντικείμενο την επανεξέταση του συμπεράσματος αυτού.

213      Η έννοια της ανεξαρτησίας έχει μια πρώτη πτυχή, εξωτερικής φύσης, η οποία προϋποθέτει ότι το οικείο όργανο προστατεύεται από εξωτερικές παρεμβάσεις ή πιέσεις που θα μπορούσαν να θέσουν σε κίνδυνο την ανεξάρτητη κρίση των μελών του ως προς τις διαφορές που υποβάλλονται στην κρίση του. Η δεύτερη, εσωτερικής φύσης, πτυχή της έννοιας αυτής είναι παρεμφερής με την έννοια της «αμεροληψίας» και συναρτάται με την τήρηση ίσων αποστάσεων από τους διαδίκους και τα αντιμαχόμενα συμφέροντά τους σε σχέση με το αντικείμενο της διαφοράς. Βλ., μεταξύ άλλων, αποφάσεις της 19ης Σεπτεμβρίου 2006, Wilson (C-506/04, EU:C:2006:587, σκέψεις 50 έως 52), της 25ης Ιουλίου 2018 Minister for Justice and Equality (Πλημμέλειες του δικαστικού συστήματος) (C-216/18 PPU, EU:C:2018:586, σκέψεις 63 και 65), και της 19ης Νοεμβρίου 2019, A. K. κ.λπ. (Ανεξαρτησία του πειθαρχικού τμήματος του Ανωτάτου Δικαστηρίου) (C‑585/18, C‑624/18 και C‑625/18, EU:C:2019:982, σκέψεις 121 και 122).

214      Το παράρτημα III A της αποφάσεως για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής» παραπέμπει, συναφώς, στο τμήμα 4, στοιχείο d, της PPD 28.

215      Βλ. αιτιολογική σκέψη 116 της αποφάσεως για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής».

216      Στην απόφαση της 31ης Μαΐου 2005, Syfait κ.λπ. (C-53/03, EU:C:2005:333, σκέψη 31), το Δικαστήριο τόνισε τη σημασία τέτοιων εγγυήσεων για την πλήρωση του όρου περί ανεξαρτησίας. Πρβλ., επίσης, αποφάσεις της 24ης Ιουνίου 2019, Επιτροπή κατά Πολωνίας (Ανεξαρτησία του Ανωτάτου Δικαστηρίου) (C‑619/18, EU:C:2019:531, σκέψη 76), και της 5ης Νοεμβρίου 2019, Επιτροπή κατά Πολωνίας (Ανεξαρτησία τακτικών δικαστηρίων) (C‑192/18, EU:C:2019:924, σκέψη 113).

217      Βλ. αιτιολογικές σκέψεις 65 και 121 καθώς και παράρτημα III A, σημείο 1, της αποφάσεως για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής».

218      Επιπλέον, η αιτιολογική σκέψη 121 της αποφάσεως για την «Ασπίδα Προστασίας Ιδιωτικής Ζωής» ορίζει ότι «ο Διαμεσολαβητής της ασπίδας προστασίας θα πρέπει να «επιβεβαιώνει» ότι i) η καταγγελία έχει διερευνηθεί δεόντως και ότι ii) το συναφές δίκαιο των ΗΠΑ –συμπεριλαμβανομένων των περιορισμών και των διασφαλίσεων που καθορίζονται στο παράρτημα VI– έχει τηρηθεί ή, σε περίπτωση μη συμμόρφωσης, ότι η εν λόγω παραβίαση έχει διορθωθεί».

219      Η Επιτροπή, στο πλαίσιο της τρίτης ετήσιας αναθεωρήσεως της Ασπίδας Προστασίας Ιδιωτικής Ζωής, διαπίστωσε ότι, σύμφωνα με τις δηλώσεις της Κυβερνήσεως των Ηνωμένων Πολιτειών, σε περίπτωση που η έρευνα του Διαμεσολαβητή αποκαλύψει παράβαση των διαδικασιών στοχεύσεως και ελαχιστοποιήσεως, που έχουν εγκριθεί από το FISC, το δικαστήριο αυτό πρέπει να ενημερωθεί για την παράβαση αυτή. Το FISC θα διεξαγάγει τότε ανεξάρτητη έρευνα και, αν χρειάζεται, θα διατάξει την οικεία υπηρεσία πληροφοριών να θεραπεύσει την εν λόγω παραβίαση. Βλ. Commission staff working έγγραφο accompanying the revention from the Commission to the European Parliament and the Council on the Council on the Council on the Council on the Council on the Council on the Council on the Council on the Council on the Council on the functioning of the EU-U.S. Privacy Shield, 23 Οκτωβρίου 2019, SWD (2019) 390 τελικό, σ. 28. Η Επιτροπή παραπέμπει στο έγγραφο με τίτλο «Privacy Shield Ombudsperson Mechanism Unclassified Implementation Procedure», διαθέσιμο στην ηλεκτρονική διεύθυνση https://www.state.gov/wp-content/uploads/2018/12/Ombudsperson-Mechanism-Implementation-Procedures-UNCLASSIFIED.pdf (σ. 4 και 5).

220      Βλ. αποφάσεις της 16ης Μαΐου 2017, Berlioz Investment Fund (C-682/15, EU:C:2017:373, σκέψη 55), και της 13ης Δεκεμβρίου 2017, El Hassani (C-403/16, EU:C:2017:960, σκέψη 39).