ΑΠΟΦΑΣΗ ΤΟΥ ΔΙΚΑΣΤΗΡΙΟΥ (τμήμα μείζονος συνθέσεως)
της 16ης Ιουλίου 2020 (*)
«Προδικαστική παραπομπή – Προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα – Χάρτης των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης – Άρθρα 7, 8 και 47 – Κανονισμός (ΕΕ) 2016/679 – Άρθρο 2, παράγραφος 2 – Πεδίο εφαρμογής – Διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες για εμπορικούς σκοπούς – Άρθρο 45 – Απόφαση επάρκειας εκδοθείσα από την Επιτροπή – Άρθρο 46 – Διαβιβάσεις που υπόκεινται σε κατάλληλες εγγυήσεις – Άρθρο 58 – Εξουσίες των αρχών ελέγχου – Επεξεργασία των διαβιβαζόμενων δεδομένων από τις δημόσιες αρχές τρίτης χώρας για λόγους εθνικής ασφάλειας – Εκτίμηση της επάρκειας του επιπέδου προστασίας που εξασφαλίζεται στην τρίτη χώρα – Απόφαση 2010/87/ΕΕ – Τυποποιημένες ρήτρες προστασίας για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες – Κατάλληλες εγγυήσεις τις οποίες παρέχει ο υπεύθυνος επεξεργασίας – Κύρος – Εκτελεστική απόφαση (ΕΕ) 2016/1250 – Επάρκεια της προστασίας που παρέχεται από την ασπίδα προστασίας της ιδιωτικής ζωής Ευρωπαϊκής Ένωσης-Ηνωμένων Πολιτειών – Κύρος – Καταγγελία φυσικού προσώπου του οποίου τα δεδομένα διαβιβάστηκαν από την Ευρωπαϊκή Ένωση προς τις Ηνωμένες Πολιτείες»
Στην υπόθεση C‑311/18,
με αντικείμενο αίτηση προδικαστικής αποφάσεως δυνάμει του άρθρου 267 ΣΛΕΕ, που υπέβαλε το High Court (ανώτερο δικαστήριο, Ιρλανδία) με απόφαση της 4ης Μαΐου 2018, η οποία περιήλθε στο Δικαστήριο στις 9 Μαΐου 2018, στο πλαίσιο της δίκης
Data Protection Commissioner
κατά
Facebook Ireland Ltd,
Maximillian Schrems,
παρισταμένων των:
The United States of America,
Electronic Privacy Information Centre,
BSA Business Software Alliance Inc.,
Digitaleurope,
ΤΟ ΔΙΚΑΣΤΗΡΙΟ (τμήμα μείζονος συνθέσεως),
συγκείμενο από τους K. Lenaerts, Πρόεδρο, R. Silva de Lapuerta, Αντιπρόεδρο, A. Arabadjiev, A. Prechal, M. Βηλαρά, M. Safjan, S. Rodin, P. G. Xuereb, L. S. Rossi και I. Jarukaitis, προέδρους τμήματος, M. Ilešič, T. von Danwitz (εισηγητή) και D. Šváby, δικαστές,
γενικός εισαγγελέας: H. Saugmandsgaard Øe
γραμματέας: C. Strömholm, διοικητική υπάλληλος,
έχοντας υπόψη την έγγραφη διαδικασία και κατόπιν της επ’ ακροατηρίου συζητήσεως της 9ης Ιουλίου 2019,
λαμβάνοντας υπόψη τις παρατηρήσεις που υπέβαλαν:
– ο Data Protection Commissioner, εκπροσωπούμενος από τον D. Young, solicitor, τους B. Murray και M. Collins, SC, καθώς και από την C. Donnelly, BL,
– η Facebook Ireland Ltd, εκπροσωπούμενη από τον P. Gallagher, SC, την N. Hyland, SC, την A. Mulligan, BL, και τον F. Kieran, BL, καθώς και από τους P. Nolan, C. Monaghan, C. O’Neill και R. Woulfe, solicitors,
– ο M. Schrems, εκπροσωπούμενος από τον H. Hofmann, Rechtsanwalt, τους E. McCullough, J. Doherty και S. O’Sullivan, SC, καθώς και από τον G. Rudden, solicitor,
– The United States of America, εκπροσωπούμενες από την E. Barrington, SC, και την S. Kingston, BL, καθώς και από τους S. Barton και B. Walsh, solicitors,
– το Electronic Privacy Information Centre, εκπροσωπούμενο από την S. Lucey, solicitor, την G. Gilmore, BL, και τον A. Butler, BL, καθώς και από τον C. O’Dwyer, SC,
– η BSA Business Software Alliance Inc., εκπροσωπούμενη από τους B. Van Vooren και K. Van Quathem, advocaten,
– η Digitaleurope, εκπροσωπούμενη από την N. Cahill, barrister, και τους J. Cahir, solicitor, και M. Cush, SC,
– η Ιρλανδία, εκπροσωπούμενη από τον A. Joyce και την M. Browne, επικουρούμενους από τον D. Fennelly, BL,
– η Βελγική Κυβέρνηση, εκπροσωπούμενη από τους J.-C. Halleux και P. Cottin,
– η Τσεχική Κυβέρνηση, εκπροσωπούμενη από τους M. Smolek, J. Vláčil και O. Serdula, καθώς και από την A. Kasalická,
– η Γερμανική Κυβέρνηση, εκπροσωπούμενη από τους J. Möller, D. Klebs και T. Henze,
– η Γαλλική Κυβέρνηση, εκπροσωπούμενη από την A.-L. Desjonquères,
– η Ολλανδική Κυβέρνηση, εκπροσωπούμενη από τις C. S. Schillemans, K. Bulterman και M. Noort,
– η Αυστριακή Κυβέρνηση, εκπροσωπούμενη από την J. Schmoll και τον G. Kunnert,
– η Πολωνική Κυβέρνηση, εκπροσωπούμενη από τον B. Majczyna,
– η Πορτογαλική Κυβέρνηση, εκπροσωπούμενη από τον L. Inez Fernandes καθώς και από τις A. Pimenta και C. Vieira Guerra,
– η Κυβέρνηση του Ηνωμένου Βασιλείου, εκπροσωπούμενη από τον S. Brandon, επικουρούμενο από τους J. Holmes, QC, και C. Knight, barrister,
– το Ευρωπαϊκό Κοινοβούλιο, εκπροσωπούμενο από την M. J. Martínez Iglesias και τον A. Caiola,
– η Ευρωπαϊκή Επιτροπή, εκπροσωπούμενη από τους D. Nardi, H. Krämer και H. Kranenborg,
– το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (EDPB), εκπροσωπούμενο από την A. Jelinek και τον K. Behn,
αφού άκουσε τον γενικό εισαγγελέα που ανέπτυξε τις προτάσεις του κατά τη συνεδρίαση της 19ης Δεκεμβρίου 2019,
εκδίδει την ακόλουθη
Απόφαση
1 Η αίτηση προδικαστικής αποφάσεως αφορά, κατ’ ουσίαν,
– την ερμηνεία του άρθρου 3, παράγραφος 2, πρώτη περίπτωση, των άρθρων 25 και 26, καθώς και του άρθρου 28, παράγραφος 3, της οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών (ΕΕ 1995, L 281, σ. 31), σε συνδυασμό με το άρθρο 4, παράγραφος 2, ΣΕΕ και με τα άρθρα 7, 8 και 47 του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης (στο εξής: Χάρτης),
– την ερμηνεία και το κύρος της αποφάσεως 2010/87/ΕΕ της Επιτροπής, της 5ης Φεβρουαρίου 2010, σχετικά με τις τυποποιημένες συμβατικές ρήτρες για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε εκτελούντες επεξεργασία εγκατεστημένους σε τρίτες χώρες βάσει της οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (ΕΕ 2010, L 39, σ. 5), όπως τροποποιήθηκε με την εκτελεστική απόφαση (ΕΕ) 2016/2297 της Επιτροπής, της 16ης Δεκεμβρίου 2016 (ΕΕ 2016, L 344, σ. 100) (στο εξής: απόφαση ΤΡΠ), καθώς και
– την ερμηνεία και το κύρος της εκτελεστικής αποφάσεως (ΕΕ) 2016/1250 της Επιτροπής, της 12ης Ιουλίου 2016, βάσει της οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με την επάρκεια της προστασίας που παρέχεται από την ασπίδα προστασίας της ιδιωτικής ζωής ΕΕ‑ΗΠΑ (ΕΕ 2016, L 207, σ. 1, στο εξής: απόφαση ΑΠΙΖ).
2 Η αίτηση αυτή υποβλήθηκε στο πλαίσιο ένδικης διαφοράς μεταξύ του Data Protection Commissioner (επιτρόπου προστασίας δεδομένων, Ιρλανδία) (στο εξής: ΕΠΔ), της Facebook Ireland Ltd και του Maximillian Schrems, με αντικείμενο καταγγελία του τελευταίου σχετικά με τη διαβίβαση προσωπικών δεδομένων του από τη Facebook Ireland προς τη Facebook Inc. στις Ηνωμένες Πολιτείες.
Το νομικό πλαίσιο
Η οδηγία 95/46
3 Το άρθρο 3 της οδηγίας 95/46, το οποίο επιγραφόταν «Πεδίο εφαρμογής», προέβλεπε στην παράγραφο 2 τα εξής:
«Οι διατάξεις της παρούσας οδηγίας δεν εφαρμόζονται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα:
– η οποία πραγματοποιείται στο πλαίσιο δραστηριοτήτων που δεν εμπίπτουν στο πεδίο εφαρμογής του κοινοτικού δικαίου, όπως οι δραστηριότητες που προβλέπονται στις διατάξεις των τίτλων V και VI της συνθήκης για την Ευρωπαϊκή Ένωση και, εν πάση περιπτώσει, στην επεξεργασία δεδομένων που αφορά τη δημόσια ασφάλεια, την εθνική άμυνα, την ασφάλεια του κράτους (συμπεριλαμβανομένης και της οικονομικής ευημερίας του, εφόσον η επεξεργασία αυτή συνδέεται με θέματα ασφάλειας του κράτους) και τις δραστηριότητες του κράτους σε τομείς του ποινικού δικαίου,
[…]».
4 Το άρθρο 25 της οδηγίας αυτής όριζε τα εξής:
«1. Τα κράτη μέλη προβλέπουν ότι η διαβίβαση προς τρίτη χώρα δεδομένων προσωπικού χαρακτήρα […] επιτρέπεται μόνον εάν, τηρουμένων των εθνικών διατάξεων που θεσπίζονται σύμφωνα με τις λοιπές διατάξεις της παρούσας οδηγίας, η εν λόγω τρίτη χώρα εξασφαλίζει ικανοποιητικό επίπεδο προστασίας.
2. Η επάρκεια της προστασίας που παρέχεται από τρίτη χώρα σταθμίζεται λαμβανομένων υπόψη όλων των περιστάσεων που επηρεάζουν μια διαβίβαση ή κατηγορία διαβιβάσεων δεδομένων· […]
[…]
6. Η Επιτροπή μπορεί να αποφανθεί, με τη διαδικασία που αναφέρεται στο άρθρο 31 παράγραφος 2, ότι μια τρίτη χώρα εξασφαλίζει ικανοποιητικό επίπεδο προστασίας κατά την έννοια της παραγράφου 2 του παρόντος άρθρου, λόγω της εσωτερικής της νομοθεσίας ή των διεθνών δεσμεύσεων που έχει αναλάβει, ιδίως κατόπιν των διαπραγματεύσεων που αναφέρονται στην παράγραφο 5, ώστε να εξασφαλίζει την προστασία της ιδιωτικής ζωής και των θεμελιωδών ελευθεριών και δικαιωμάτων των προσώπων.
Τα κράτη μέλη λαμβάνουν τα αναγκαία μέτρα προκειμένου να συμμορφωθούν με την απόφαση της Επιτροπής.»
5 Το άρθρο 26, παράγραφοι 2 και 4, της εν λόγω οδηγίας προέβλεπε τα εξής:
«2. Με την επιφύλαξη της παραγράφου 1, ένα κράτος μέλος μπορεί να επιτρέπει μία ή πλείονες διαβιβάσεις δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα η οποία δεν εξασφαλίζει ικανοποιητικό επίπεδο προστασίας κατά την έννοια του άρθρου 25 παράγραφος 2 εφόσον ο υπεύθυνος της επεξεργασίας παρέχει επαρκείς εγγυήσεις για την προστασία της ιδιωτικής ζωής και των θεμελιωδών δικαιωμάτων και ελευθεριών των προσώπων καθώς και την άσκηση των σχετικών δικαιωμάτων· οι εγγυήσεις μπορούν ιδίως να απορρέουν από κατάλληλες συμβατικές ρήτρες.
[…]
4. Εάν η Επιτροπή αποφανθεί, με τη διαδικασία που αναφέρεται στο άρθρο 31 παράγραφος 2, ότι ορισμένες τυποποιημένες συμβατικές ρήτρες παρέχουν τις επαρκείς εγγυήσεις που αναφέρονται στην παράγραφο 2, τα κράτη μέλη λαμβάνουν τα αναγκαία μέτρα για να συμμορφωθούν προς την απόφαση της Επιτροπής.»
6 Κατά το άρθρο 28, παράγραφος 3, της ίδιας οδηγίας:
«Κάθε αρχή ελέγχου διαθέτει συγκεκριμένα:
– μέσα για τη διεξαγωγή έρευνας, όπως το δικαίωμα να έχει πρόσβαση στα δεδομένα που αποτελούν αντικείμενο επεξεργασίας και το δικαίωμα να συλλέγει κάθε αναγκαία πληροφορία για την εκπλήρωση της αποστολής ελέγχου,
– αποτελεσματικές εξουσίες παρέμβασης, όπως για παράδειγμα την εξουσία να διατυπώνει γνώμες πριν από την εκτέλεση των επεξεργασιών, σύμφωνα με το άρθρο 20, και να διασφαλίζει την κατάλληλη δημοσιότητα των γνωμών αυτών, την εξουσία να επιτάσσει τη δέσμευση, διαγραφή ή την καταστροφή δεδομένων, να απαγορεύει επίσης προσωρινά ή οριστικά την επεξεργασία, να απευθύνει προειδοποίηση ή επίπληξη προς τον υπεύθυνο για την επεξεργασία ή να προσφεύγει στα εθνικά κοινοβούλια ή άλλα εθνικά πολιτικά όργανα,
– την εξουσία να παρίσταται ενώπιον δικαστηρίου σε περίπτωση παράβασης των εθνικών διατάξεων που έχουν θεσπισθεί κατ' εφαρμογή της παρούσας οδηγίας, ή να επισημαίνει τις παραβάσεις αυτές στις δικαστικές αρχές.
[…]»
Ο ΓΚΠΔ
7 Η οδηγία 95/46 καταργήθηκε και αντικαταστάθηκε από τον κανονισμό (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων) (ΕΕ 2016, L 119, σ. 1, στο εξής: ΓΚΠΔ).
8 Οι αιτιολογικές σκέψεις 6, 10, 101, 103, 104, 107 έως 109, 114, 116 και 141 του ΓΚΠΔ έχουν ως εξής:
«(6) Οι ραγδαίες τεχνολογικές εξελίξεις και η παγκοσμιοποίηση δημιούργησαν νέες προκλήσεις για την προστασία των δεδομένων προσωπικού χαρακτήρα. Η κλίμακα της συλλογής και της ανταλλαγής δεδομένων προσωπικού χαρακτήρα αυξήθηκε σημαντικά. Η τεχνολογία επιτρέπει τόσο σε ιδιωτικές επιχειρήσεις όσο και σε δημόσιες αρχές να κάνουν χρήση δεδομένων προσωπικού χαρακτήρα σε πρωτοφανή κλίμακα για την επιδίωξη των δραστηριοτήτων τους. Τα φυσικά πρόσωπα ολοένα και περισσότερο δημοσιοποιούν προσωπικές πληροφορίες και τις καθιστούν διαθέσιμες σε παγκόσμιο επίπεδο. Η τεχνολογία έχει αλλάξει τόσο την οικονομία όσο και την κοινωνική ζωή και θα πρέπει να διευκολύνει περαιτέρω την ελεύθερη κυκλοφορία δεδομένων προσωπικού χαρακτήρα εντός της Ένωσης και τη διαβίβαση σε τρίτες χώρες και διεθνείς οργανισμούς, διασφαλίζοντας παράλληλα υψηλό επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα.
[…]
(10) Για τη διασφάλιση συνεκτικής και υψηλού επιπέδου προστασίας των φυσικών προσώπων και την άρση των εμποδίων στις ροές δεδομένων προσωπικού χαρακτήρα εντός της Ένωσης, το επίπεδο προστασίας των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων σε σχέση με την επεξεργασία των εν λόγω δεδομένων θα πρέπει να είναι ισοδύναμο σε όλα τα κράτη μέλη. Θα πρέπει να διασφαλίζεται συνεκτική και ομοιόμορφη εφαρμογή των κανόνων για την προστασία των θεμελιωδών δικαιωμάτων και των ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα σε ολόκληρη την Ένωση. Όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα που γίνεται προς συμμόρφωση με νομική υποχρέωση, προς εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας, τα κράτη μέλη θα πρέπει να έχουν τη δυνατότητα να διατηρούν ή να θεσπίζουν εθνικές διατάξεις για τον περαιτέρω προσδιορισμό της εφαρμογής των κανόνων του παρόντος κανονισμού. Σε συνδυασμό με το γενικό και οριζόντιο δίκαιο περί προστασίας δεδομένων που αποσκοπεί στην εφαρμογή της οδηγίας 95/46/ΕΚ, στα κράτη μέλη ισχύουν διάφοροι τομεακοί νόμοι σε τομείς που χρειάζονται ειδικότερες διατάξεις. Ο παρών κανονισμός παρέχει επίσης περιθώρια χειρισμού στα κράτη μέλη, ώστε να εξειδικεύσουν τους κανόνες του, συμπεριλαμβανομένων αυτών που αφορούν την επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα (“ευαίσθητα δεδομένα”). Σε αυτόν τον βαθμό, ο παρών κανονισμός δεν αποκλείει το δίκαιο των κρατών μελών να προσδιορίζει τις περιστάσεις ειδικών καταστάσεων επεξεργασίας, μεταξύ άλλων τον ακριβέστερο καθορισμό των προϋποθέσεων υπό τις οποίες η επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι σύννομη.
[…]
(101) Οι ροές δεδομένων προσωπικού χαρακτήρα από και προς χώρες εκτός Ένωσης και διεθνείς οργανισμούς είναι απαραίτητες για την επέκταση του διεθνούς εμπορίου και της διεθνούς συνεργασίας. Η διόγκωση των ροών αυτών δημιούργησε νέες προκλήσεις και μελήματα που αφορούν την προστασία δεδομένων προσωπικού χαρακτήρα. Ωστόσο, όταν δεδομένα προσωπικού χαρακτήρα διαβιβάζονται από την Ένωση σε υπευθύνους επεξεργασίας, εκτελούντες την επεξεργασία ή άλλους αποδέκτες σε τρίτες χώρες ή σε διεθνείς οργανισμούς, δεν θα πρέπει να υπονομεύεται το επίπεδο προστασίας των φυσικών προσώπων το οποίο διασφαλίζει στην Ένωση ο παρών κανονισμός, μεταξύ άλλων και στις περιπτώσεις περαιτέρω διαβιβάσεων δεδομένων προσωπικού χαρακτήρα από την τρίτη χώρα ή τον διεθνή οργανισμό προς υπευθύνους επεξεργασίας και εκτελούντες την επεξεργασία στην ίδια ή σε άλλη τρίτη χώρα ή άλλο διεθνή οργανισμό. Σε κάθε περίπτωση, οι διαβιβάσεις προς τρίτες χώρες και διεθνείς οργανισμούς μπορούν να πραγματοποιούνται μόνο σε πλήρη συμμόρφωση προς τον παρόντα κανονισμό. Διαβίβαση θα μπορούσε να πραγματοποιηθεί μόνο εάν, με την επιφύλαξη των άλλων διατάξεων του παρόντος κανονισμού, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία τηρεί τους όρους των διατάξεων του παρόντος κανονισμού σχετικά με τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες ή διεθνείς οργανισμούς.
[…]
(103) Η Επιτροπή μπορεί να αποφασίζει, με ισχύ για ολόκληρη την Ένωση, ότι τρίτη χώρα, έδαφος ή συγκεκριμένος τομέας σε μια τρίτη χώρα ή διεθνής οργανισμός προσφέρουν επαρκές επίπεδο προστασίας δεδομένων και να κατοχυρώνει έτσι ασφάλεια δικαίου και ομοιομορφία σε ολόκληρη την Ένωση ως προς την τρίτη χώρα ή τον διεθνή οργανισμό που θεωρείται ότι παρέχει τέτοιο επίπεδο προστασίας. Στις περιπτώσεις αυτές, οι διαβιβάσεις δεδομένων προσωπικού χαρακτήρα στην εν λόγω τρίτη χώρα ή διεθνή οργανισμό μπορούν να πραγματοποιούνται χωρίς να χρειάζεται να ζητηθεί άλλη άδεια. Η Επιτροπή δύναται επίσης να αποφασίσει την ανάκληση της εν λόγω απόφασης, κατόπιν ειδοποίησης και δήλωσης αιτιολόγησης προς την τρίτη χώρα ή τον διεθνή οργανισμό.
(104) Σύμφωνα με τις θεμελιώδεις αρχές της Ένωσης, ιδίως με την προστασία των ανθρώπινων δικαιωμάτων, η Επιτροπή θα πρέπει, κατά την αξιολόγηση της τρίτης χώρας ή ενός εδάφους ή ενός συγκεκριμένου τομέα σε μια τρίτη χώρα, να συνεκτιμά κατά πόσο μια συγκεκριμένη τρίτη χώρα σέβεται το κράτος δικαίου, την πρόσβαση στη δικαιοσύνη, καθώς και τους διεθνείς κανόνες και τα πρότυπα για τα ανθρώπινα δικαιώματα και το γενικό και το κατά τομείς δίκαιό της, μεταξύ άλλων τη νομοθεσία που αφορά τη δημόσια ασφάλεια, την άμυνα και την εθνική ασφάλεια, καθώς και τη δημόσια τάξη και το ποινικό δίκαιο. Η έκδοση απόφασης επάρκειας για ένα έδαφος ή συγκεκριμένο τομέα τρίτης χώρας θα πρέπει να συνεκτιμά σαφή και αντικειμενικά κριτήρια, όπως συγκεκριμένες δραστηριότητες επεξεργασίας και το πεδίο εφαρμογής των εφαρμοστέων νομικών προτύπων και της νομοθεσίας που ισχύουν στην τρίτη χώρα. Η τρίτη χώρα θα πρέπει να προσφέρει εγγυήσεις που να διασφαλίζουν ένα κατάλληλο επίπεδο προστασίας, ουσιωδώς ισοδύναμο με αυτό που διασφαλίζεται εντός της Ένωσης, ιδίως όταν η επεξεργασία των δεδομένων προσωπικού χαρακτήρα γίνεται σε έναν ή διαφόρους συγκεκριμένους τομείς. Ειδικότερα, η τρίτη χώρα θα πρέπει να διασφαλίζει την αποτελεσματική ανεξάρτητη εποπτεία της προστασίας των δεδομένων και να προβλέπει μηχανισμούς συνεργασίας με τις αρχές προστασίας δεδομένων των κρατών μελών, τα δε υποκείμενα των δεδομένων θα πρέπει να έχουν στη διάθεσή τους αποτελεσματικά και νομικώς ισχυρά δικαιώματα, καθώς και τη δυνατότητα άσκησης αποτελεσματικών διοικητικών και δικαστικών προσφυγών.
[…]
(107) Η Επιτροπή μπορεί να διαπιστώσει ότι μια τρίτη χώρα, έδαφος ή συγκεκριμένος τομέας μιας τρίτης χώρας ή ένας διεθνής οργανισμός δεν διασφαλίζουν πλέον επαρκές επίπεδο προστασίας των δεδομένων. Ως εκ τούτου, θα πρέπει να απαγορεύεται η διαβίβαση δεδομένων προσωπικού χαρακτήρα στη συγκεκριμένη τρίτη χώρα ή τον διεθνή οργανισμό, εκτός εάν πληρούνται οι απαιτήσεις του παρόντος κανονισμού σχετικά με διαβιβάσεις υπό την επιφύλαξη κατάλληλων εγγυήσεων, συμπεριλαμβανομένων δεσμευτικών εταιρικών κανόνων, και σχετικά με παρεκκλίσεις για ειδικές καταστάσεις. Στην περίπτωση αυτή, θα πρέπει να προβλέπονται διαβουλεύσεις μεταξύ της Επιτροπής και των εν λόγω τρίτων χωρών ή διεθνών οργανισμών. Η Επιτροπή θα πρέπει, σε εύθετο χρόνο, να ενημερώνει την τρίτη χώρα ή τον διεθνή οργανισμό σχετικά με τους λόγους και να αρχίζει διαβουλεύσεις προς αντιμετώπιση της κατάστασης.
(108) Ελλείψει απόφασης επάρκειας, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία θα πρέπει να λαμβάνουν μέτρα για να αντισταθμίζουν την έλλειψη προστασίας των δεδομένων στην τρίτη χώρα μέσω κατάλληλων εγγυήσεων υπέρ του υποκειμένου των δεδομένων. Αυτές οι κατάλληλες εγγυήσεις μπορεί να συνίστανται στη χρήση δεσμευτικών εταιρικών κανόνων, τυποποιημένων ρητρών προστασίας των δεδομένων που θεσπίζονται από την Επιτροπή, τυποποιημένων ρητρών προστασίας των δεδομένων που θεσπίζονται από αρχή ελέγχου ή συμβατικών ρητρών που εγκρίνονται από αρχή ελέγχου. Οι εγγυήσεις αυτές θα πρέπει να διασφαλίζουν συμμόρφωση με τις απαιτήσεις προστασίας των δεδομένων και με τα δικαιώματα των υποκειμένων των δεδομένων, υπό το πρίσμα της επεξεργασίας εντός της Ένωσης, συμπεριλαμβανομένης της διαθεσιμότητας νομικώς ισχυρών δικαιωμάτων των υποκειμένων των δεδομένων και πραγματικών ένδικων μέσων, όπως είναι μεταξύ άλλων το δικαίωμα άσκησης αποτελεσματικής διοικητικής ή δικαστικής προσφυγής και αξίωσης αποζημίωσης, στην Ένωση ή σε τρίτη χώρα. Θα πρέπει να αφορούν ιδίως την τήρηση των γενικών αρχών που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα και των αρχών περί προστασίας των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού. […]
(109) Η δυνατότητα του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία να χρησιμοποιεί τυποποιημένες ρήτρες προστασίας των δεδομένων εγκεκριμένες από την Επιτροπή ή από ελεγκτική αρχή δεν θα πρέπει να εμποδίζει τους υπευθύνους επεξεργασίας ή εκτελούντες την επεξεργασία να ενσωματώνουν τις τυποποιημένες ρήτρες προστασίας δεδομένων σε ευρύτερη σύμβαση, όπως σε σύμβαση μεταξύ του εκτελούντος την επεξεργασία και άλλου εκτελούντος την επεξεργασία, ούτε να προσθέτουν άλλες ρήτρες ή πρόσθετες εγγυήσεις, εφόσον αυτές δεν αντιφάσκουν, άμεσα ή έμμεσα, προς τις εγκεκριμένες από την Επιτροπή ή από ελεγκτική αρχή τυποποιημένες συμβατικές ρήτρες ούτε θίγουν τα θεμελιώδη δικαιώματα ή τις ελευθερίες των υποκειμένων των δεδομένων. Οι υπεύθυνοι επεξεργασίας και οι εκτελούντες την επεξεργασία θα πρέπει να ενθαρρύνονται να παράσχουν πρόσθετες εγγυήσεις μέσω συμβατικών δεσμεύσεων που δρουν συμπληρωματικά ως προς τις υφιστάμενες ρήτρες προστασίας δεδομένων.
[…]
(114) Σε κάθε περίπτωση, αν η Επιτροπή δεν έλαβε απόφαση επάρκειας για το επίπεδο προστασίας των δεδομένων σε τρίτη χώρα, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία θα πρέπει να βρίσκουν λύσεις οι οποίες να παρέχουν στα υποκείμενα των δεδομένων αποτελεσματικά και νομικώς ισχυρά δικαιώματα όσον αφορά την επεξεργασία των δεδομένων τους στην Ένωση μετά τη διαβίβαση των εν λόγω δεδομένων, ώστε να συνεχίζουν να επωφελούνται των θεμελιωδών δικαιωμάτων και εγγυήσεων.
[…]
(116) Η διασυνοριακή διακίνηση δεδομένων προσωπικού χαρακτήρα εκτός της Ένωσης θέτει ενδεχομένως σε μεγαλύτερο κίνδυνο την ικανότητα των φυσικών προσώπων να ασκούν δικαιώματα προστασίας των δεδομένων ιδίως για να προστατεύονται έναντι της παράνομης χρήσης ή κοινολόγησης των συγκεκριμένων πληροφοριών. Ταυτόχρονα, οι εποπτικές αρχές μπορεί να διαπιστώσουν ότι αδυνατούν να δώσουν συνέχεια σε καταγγελίες ή να διενεργήσουν έρευνες σχετικά με δραστηριότητες εκτός των συνόρων τους. Οι προσπάθειές τους να συνεργασθούν σε διασυνοριακό πλαίσιο μπορεί επίσης να παρεμποδίζονται από ανεπαρκείς εξουσίες πρόληψης ή αποκατάστασης, από αντιφατικά νομικά καθεστώτα και από πρακτικά εμπόδια, όπως η απουσία πόρων. […]
[…]
(141) Κάθε υποκείμενο των δεδομένων θα πρέπει να έχει το δικαίωμα να υποβάλει καταγγελία σε μία μόνη εποπτική αρχή, ιδίως στο κράτος μέλος της συνήθους διαμονής του, και το δικαίωμα πραγματικής δικαστικής προσφυγής σύμφωνα με το άρθρο 47 του Χάρτη, εφόσον θεωρεί ότι παραβιάζονται τα δικαιώματά του βάσει του παρόντος κανονισμού ή όταν η εποπτική αρχή δεν δίνει συνέχεια σε μια καταγγελία, απορρίπτει εν όλω ή εν μέρει ή κρίνει απαράδεκτη μια καταγγελία ή δεν ενεργεί ενώ οφείλει να ενεργήσει για να προστατεύσει τα δικαιώματα του υποκειμένου των δεδομένων. […]»
9 Το άρθρο 2, παράγραφοι 1 και 2, του κανονισμού αυτού προβλέπει τα εξής:
«1. Ο παρών κανονισμός εφαρμόζεται στην, εν όλω ή εν μέρει, αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα, καθώς και στη μη αυτοματοποιημένη επεξεργασία τέτοιων δεδομένων τα οποία περιλαμβάνονται ή πρόκειται να περιληφθούν σε σύστημα αρχειοθέτησης.
2. Ο παρών κανονισμός δεν εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα:
α) στο πλαίσιο δραστηριότητας η οποία δεν εμπίπτει στο πεδίο εφαρμογής του δικαίου της Ένωσης,
β) από τα κράτη μέλη κατά την άσκηση δραστηριοτήτων που εμπίπτουν στο πεδίο εφαρμογής του κεφαλαίου 2 του τίτλου V της ΣΕΕ,
γ) από φυσικό πρόσωπο στο πλαίσιο αποκλειστικά προσωπικής ή οικιακής δραστηριότητας,
δ) από αρμόδιες αρχές για τους σκοπούς της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, συμπεριλαμβανομένης της προστασίας και πρόληψης έναντι κινδύνων που απειλούν τη δημόσια ασφάλεια.»
10 Το άρθρο 4 του εν λόγω κανονισμού ορίζει τα εξής:
«Για τους σκοπούς του παρόντος κανονισμού νοούνται ως:
[…]
2) “επεξεργασία”: κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή,
[…]
7) “υπεύθυνος επεξεργασίας”: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα· όταν οι σκοποί και ο τρόπος της επεξεργασίας αυτής καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορούν να προβλέπονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους,
8) “εκτελών την επεξεργασία”: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας,
9) “αποδέκτης”: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας, στα οποία κοινολογούνται τα δεδομένα προσωπικού χαρακτήρα, είτε πρόκειται για τρίτον είτε όχι. Ωστόσο, οι δημόσιες αρχές που ενδέχεται να λάβουν δεδομένα προσωπικού χαρακτήρα στο πλαίσιο συγκεκριμένης έρευνας σύμφωνα με το δίκαιο της Ένωσης ή κράτους μέλους δεν θεωρούνται ως αποδέκτες· η επεξεργασία των δεδομένων αυτών από τις εν λόγω δημόσιες αρχές πραγματοποιείται σύμφωνα με τους ισχύοντες κανόνες προστασίας των δεδομένων ανάλογα με τους σκοπούς της επεξεργασίας,
[…]».
11 Το άρθρο 23 του ίδιου κανονισμού έχει ως εξής:
«1. Το δίκαιο της Ένωσης ή του κράτους μέλους στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία των δεδομένων μπορεί να περιορίζει μέσω νομοθετικού μέτρου το πεδίο εφαρμογής των υποχρεώσεων και των δικαιωμάτων που προβλέπονται στα άρθρα 12 έως 22 και στο άρθρο 34, καθώς και στο άρθρο 5, εφόσον οι διατάξεις του αντιστοιχούν στα δικαιώματα και τις υποχρεώσεις που προβλέπονται στα άρθρα 12 έως 22, όταν ένας τέτοιος περιορισμός σέβεται την ουσία των θεμελιωδών δικαιωμάτων και ελευθεριών και συνιστά αναγκαίο και αναλογικό μέτρο σε μια δημοκρατική κοινωνία για τη διασφάλιση:
α) της ασφάλειας του κράτους,
β) της εθνικής άμυνας,
γ) της δημόσιας ασφάλειας,
δ) της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, περιλαμβανομένης της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της πρόληψης αυτών,
[…]
2. Ειδικότερα, κάθε νομοθετικό μέτρο το οποίο αναφέρεται στην παράγραφο 1 περιέχει συγκεκριμένες διατάξεις τουλάχιστον, ανάλογα με την περίπτωση, όσον αφορά:
α) τους σκοπούς της επεξεργασίας ή τις κατηγορίες επεξεργασίας,
β) τις κατηγορίες δεδομένων προσωπικού χαρακτήρα,
γ) το πεδίο εφαρμογής των περιορισμών που επιβλήθηκαν,
δ) τις εγγυήσεις για την πρόληψη καταχρήσεων ή παράνομης πρόσβασης ή διαβίβασης,
ε) την ειδική περιγραφή του υπευθύνου επεξεργασίας ή των κατηγοριών των υπευθύνων επεξεργασίας,
στ) τις περιόδους αποθήκευσης και τις ισχύουσες εγγυήσεις, λαμβάνοντας υπόψη τη φύση, το πεδίο εφαρμογής και τους σκοπούς της επεξεργασίας ή τις κατηγορίες επεξεργασίας,
ζ) τους κινδύνους για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων και
η) το δικαίωμα των υποκειμένων των δεδομένων να ενημερώνονται σχετικά με τον περιορισμό, εκτός εάν αυτό μπορεί να αποβεί επιζήμιο για τους σκοπούς του περιορισμού.»
12 Το κεφάλαιο V του ΓΚΠΔ, το οποίο τιτλοφορείται «Διαβιβάσεις δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες ή διεθνείς οργανισμούς», περιλαμβάνει τα άρθρα 44 έως 50 του κανονισμού αυτού. Κατά το άρθρο 44, το οποίο φέρει τον τίτλο «Γενικές αρχές για διαβιβάσεις»:
«Κάθε διαβίβαση δεδομένων προσωπικού χαρακτήρα τα οποία υποβάλλονται σε επεξεργασία ή προορίζονται να υποβληθούν σε επεξεργασία μετά από τη διαβίβασή τους σε τρίτη χώρα ή διεθνή οργανισμό πραγματοποιείται μόνο εάν, με την επιφύλαξη των λοιπών διατάξεων του παρόντος κανονισμού, οι προϋποθέσεις που θεσπίζονται στο παρόν κεφάλαιο τηρούνται από τον υπεύθυνο επεξεργασίας και τον εκτελούντα την επεξεργασία, μεταξύ άλλων για περαιτέρω διαβιβάσεις δεδομένων προσωπικού χαρακτήρα από την τρίτη χώρα ή τον διεθνή οργανισμό σε άλλη τρίτη χώρα ή άλλο διεθνή οργανισμό. Όλες οι διατάξεις του παρόντος κεφαλαίου εφαρμόζονται με σκοπό να διασφαλίζεται ότι το επίπεδο προστασίας των φυσικών προσώπων που εγγυάται ο παρών κανονισμός δεν υπονομεύεται.»
13 Το άρθρο 45 του κανονισμού αυτού, το οποίο επιγράφεται «Διαβιβάσεις βάσει απόφαση[ς] επάρκειας», προβλέπει στις παραγράφους 1 έως 3 τα εξής:
«1. Η διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα ή διεθνή οργανισμό μπορεί να πραγματοποιηθεί εφόσον η Επιτροπή έχει αποφασίσει ότι διασφαλίζεται επαρκές επίπεδο προστασίας από την τρίτη χώρα, από έδαφος ή από έναν ή περισσότερους συγκεκριμένους τομείς στην εν λόγω τρίτη χώρα ή από τον εν λόγω διεθνή οργανισμό. Για μια τέτοια διαβίβαση δεν απαιτείται ειδική άδεια.
2. Κατά την εκτίμηση της επάρκειας του επιπέδου προστασίας, η Επιτροπή λαμβάνει υπόψη, ιδίως, τα ακόλουθα στοιχεία:
α) το κράτος δικαίου, τον σεβασμό των ανθρώπινων δικαιωμάτων και των θεμελιωδών ελευθεριών, τη σχετική νομοθεσία, τόσο τη γενική όσο και την τομεακή, μεταξύ άλλων όσον αφορά τη δημόσια ασφάλεια, την άμυνα, την εθνική ασφάλεια και το ποινικό δίκαιο και την πρόσβαση των δημόσιων αρχών σε δεδομένα προσωπικού χαρακτήρα, καθώς και την εφαρμογή αυτής της νομοθεσίας, τους κανόνες περί προστασίας δεδομένων, τους επαγγελματικούς κανόνες και τα μέτρα ασφάλειας, περιλαμβανομένων των κανόνων για τις περαιτέρω διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε άλλη χώρα ή διεθνή οργανισμό που τηρούνται στη συγκεκριμένη τρίτη χώρα ή τον διεθνή οργανισμό, νομολογία, καθώς και ουσιαστικά και εκτελεστά δικαιώματα υποκειμένων των δεδομένων και αποτελεσματικά διοικητικά και δικαστικά μέσα προσφυγής για τα υποκείμενα των δεδομένων των οποίων τα δεδομένα προσωπικού χαρακτήρα διαβιβάζονται,
β) την ύπαρξη και την αποτελεσματική λειτουργία μίας ή περισσότερων ανεξάρτητων εποπτικών αρχών οι οποίες βρίσκονται στην εν λόγω τρίτη χώρα ή στις οποίες υπόκειται ένας διεθνής οργανισμός, υπεύθυνων να διασφαλίζουν και να επιβάλουν τη συμμόρφωση προς τους κανόνες προστασίας δεδομένων, συμπεριλαμβανομένων επαρκών εξουσιών επιβολής, να συνδράμουν και να συμβουλεύουν τα υποκείμενα των δεδομένων κατά την άσκηση των δικαιωμάτων τους και να συνεργάζονται με τις εποπτικές αρχές των κρατών μελών, και
γ) τις διεθνείς δεσμεύσεις που έχει αναλάβει η εν λόγω τρίτη χώρα ή ο διεθνής οργανισμός ή άλλες υποχρεώσεις οι οποίες απορρέουν από νομικά δεσμευτικές συμβάσεις ή πράξεις και από τη συμμετοχή τους σε πολυμερή ή περιφερειακά συστήματα, ιδίως όσον αφορά την προστασία δεδομένων προσωπικού χαρακτήρα.
3. Η Επιτροπή, αφού εκτιμήσει την επάρκεια του επιπέδου προστασίας, μπορεί να αποφασίσει, μέσω εκτελεστικής πράξης, ότι εξασφαλίζεται επαρκές επίπεδο προστασίας κατά την έννοια της παραγράφου 2 του παρόντος άρθρου από τρίτη χώρα ή έδαφος ή έναν ή περισσότερους συγκεκριμένους τομείς σε τρίτη χώρα ή από διεθνή οργανισμό. Η εκτελεστική πράξη προβλέπει μηχανισμό περιοδικής επανεξέτασης, τουλάχιστον ανά τετραετία, στην οποία συνεκτιμώνται όλες οι σχετικές εξελίξεις στην τρίτη χώρα ή τον διεθνή οργανισμό. Η εκτελεστική πράξη προσδιορίζει την εδαφική και τομεακή εφαρμογή της, καθώς και, όπου συντρέχει περίπτωση, την εποπτική αρχή ή τις αρχές που αναφέρονται στο στοιχείο β) της παραγράφου 2 του παρόντος άρθρου. Η εκτελεστική πράξη εκδίδεται σύμφωνα με τη διαδικασία εξέτασης που προβλέπεται στο άρθρο 93 παράγραφος 2.»
14 Το άρθρο 46 του εν λόγω κανονισμού, το οποίο τιτλοφορείται «Διαβιβάσεις που υπόκεινται σε κατάλληλες εγγυήσεις», ορίζει στις παραγράφους 1 έως 3 τα εξής:
«1. Ελλείψει απόφασης δυνάμει του άρθρου 45 παράγραφος 3, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία μπορεί να διαβιβάσει δεδομένα προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό μόνο εάν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία έχει παράσχει κατάλληλες εγγυήσεις και υπό την προϋπόθεση ότι υφίστανται εκτελεστά δικαιώματα και αποτελεσματικά ένδικα μέσα για τα υποκείμενα των δεδομένων.
2. Οι κατάλληλες εγγυήσεις που αναφέρονται στην παράγραφο 1 μπορούν να προβλέπονται, χωρίς να απαιτείται ειδική άδεια εποπτικής αρχής, μέσω:
α) ενός νομικά δεσμευτικού και εκτελεστού μέσου μεταξύ δημόσιων αρχών ή φορέων,
β) δεσμευτικών εταιρικών κανόνων σύμφωνα με το άρθρο 47,
γ) τυποποιημένων ρητρών προστασίας δεδομένων που εκδίδονται από την Επιτροπή σύμφωνα με τη διαδικασία εξέτασης που προβλέπεται στο άρθρο 93 παράγραφος 2,
δ) τυποποιημένων ρητρών προστασίας δεδομένων που εκδίδονται από εποπτική αρχή και εγκρίνονται από την Επιτροπή σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 93 παράγραφος 2,
ε) εγκεκριμένου κώδικα δεοντολογίας, σύμφωνα με το άρθρο 40, από κοινού με δεσμευτικές και εκτελεστές υποχρεώσεις του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία στην τρίτη χώρα να εφαρμόζει τις κατάλληλες εγγυήσεις, μεταξύ άλλων όσον αφορά τα δικαιώματα των υποκειμένων των δεδομένων, ή
στ) εγκεκριμένου μηχανισμού πιστοποίησης, σύμφωνα με το άρθρο 42, από κοινού με δεσμευτικές και εκτελεστές υποχρεώσεις του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία στην τρίτη χώρα να εφαρμόζει τις κατάλληλες εγγυήσεις, μεταξύ άλλων όσον αφορά τα δικαιώματα των υποκειμένων των δεδομένων.
3. Με την επιφύλαξη της άδειας από την αρμόδια εποπτική αρχή, οι κατάλληλες εγγυήσεις της παραγράφου 1 μπορούν επίσης να παρέχονται ιδίως μέσω:
α) συμβατικών ρητρών μεταξύ του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία και του υπευθύνου επεξεργασίας, του εκτελούντος την επεξεργασία ή του αποδέκτη των δεδομένων προσωπικού χαρακτήρα στην τρίτη χώρα ή τον διεθνή οργανισμό ή
β) διατάξεων προς συμπερίληψη σε διοικητικές ρυθμίσεις μεταξύ δημόσιων αρχών ή φορέων οι οποίες περιλαμβάνουν εκτελεστά και ουσιαστικά δικαιώματα υποκειμένων των δεδομένων.»
15 Το άρθρο 49 του ίδιου κανονισμού, το οποίο φέρει τον τίτλο «Παρεκκλίσεις για ειδικές καταστάσεις», ορίζει τα εξής:
«1. Σε περίπτωση απουσίας απόφασης επάρκειας δυνάμει του άρθρου 45 παράγραφος 3 ή κατάλληλων εγγυήσεων δυνάμει του άρθρου 46, περιλαμβανομένων των εταιρικών δεσμευτικών κανόνων, η διαβίβαση ή το σύνολο διαβιβάσεων δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή σε διεθνή οργανισμό πραγματοποιείται μόνο εφόσον πληρούται μία από τις ακόλουθες προϋποθέσεις:
α) το υποκείμενο των δεδομένων συγκατατέθηκε ρητώς στην προτεινόμενη διαβίβαση, αφού ενημερώθηκε για τους πιθανούς κινδύνους που εγκυμονούν τέτοιες διαβιβάσεις για το υποκείμενο των δεδομένων λόγω απουσίας απόφασης επάρκειας και κατάλληλων εγγυήσεων,
β) η διαβίβαση είναι απαραίτητη για την εκτέλεση σύμβασης μεταξύ του υποκειμένου των δεδομένων και του υπευθύνου επεξεργασίας ή για την εφαρμογή προσυμβατικών μέτρων τα οποία λαμβάνονται κατόπιν αιτήματος του υποκειμένου των δεδομένων,
γ) η διαβίβαση είναι απαραίτητη για τη σύναψη ή την εκτέλεση σύμβασης η οποία συνήφθη προς όφελος του υποκειμένου των δεδομένων μεταξύ του υπευθύνου επεξεργασίας και άλλου φυσικού ή νομικού προσώπου,
δ) η διαβίβαση είναι απαραίτητη για σημαντικούς λόγους δημόσιου συμφέροντος,
ε) η διαβίβαση είναι απαραίτητη για τη θεμελίωση, την άσκηση ή την υποστήριξη νομικών αξιώσεων,
στ) η διαβίβαση είναι απαραίτητη για την προστασία των ζωτικών συμφερόντων του υποκειμένου των δεδομένων ή άλλων προσώπων, εφόσον το υποκείμενο των δεδομένων δεν έχει τη φυσική ή νομική ικανότητα να παράσχει τη συγκατάθεσή του,
ζ) η διαβίβαση πραγματοποιείται από μητρώο το οποίο σύμφωνα με το δίκαιο της Ένωσης ή του κράτους μέλους προορίζεται για την παροχή πληροφοριών στο κοινό και είναι ανοικτό για αναζήτηση πληροφοριών είτε στο ευρύ κοινό είτε σε οποιοδήποτε πρόσωπο μπορεί να επικαλεστεί έννομο συμφέρον, αλλά μόνο εφόσον πληρούνται στην εκάστοτε περίπτωση οι προϋποθέσεις που προβλέπονται στο δίκαιο της Ένωσης ή στο δίκαιο του κράτους μέλους για την αναζήτηση πληροφοριών.
Όταν η διαβίβαση δεν μπορεί να βασιστεί σε διάταξη του άρθρου 45 ή 46, περιλαμβανομένων των διατάξεων σχετικά με δεσμευτικούς εταιρικούς κανόνες, και δεν ισχύει καμία από τις παρεκκλίσεις για ειδική κατάσταση που αναφέρεται στο πρώτο εδάφιο της παρούσας παραγράφου, η διαβίβαση σε τρίτη χώρα ή σε διεθνή οργανισμό μπορεί να πραγματοποιηθεί μόνον εάν η διαβίβαση δεν είναι επαναλαμβανόμενη, αφορά μόνο περιορισμένο αριθμό υποκειμένων των δεδομένων, είναι απαραίτητη για τους σκοπούς επιτακτικών έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας των οποίων δεν υπερισχύουν τα συμφέροντα ή τα δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων και ο υπεύθυνος επεξεργασίας έχει εκτιμήσει όλες τις περιστάσεις που σχετίζονται με τη διαβίβαση των δεδομένων και έχει παράσχει, βάσει της εν λόγω εκτίμησης, τις δέουσες εγγυήσεις για την προστασία των δεδομένων προσωπικού χαρακτήρα. Ο υπεύθυνος επεξεργασίας ενημερώνει την εποπτική αρχή για τη διαβίβαση. Ο υπεύθυνος επεξεργασίας, πέραν από την παροχή πληροφοριών που αναφέρονται στα άρθρα 13 και 14, ενημερώνει το υποκείμενο των δεδομένων σχετικά με τη διαβίβαση και σχετικά με τα επιτακτικά έννομα συμφέροντα που επιδιώκονται.
2. Διαβίβαση η οποία πραγματοποιείται δυνάμει της παραγράφου 1 πρώτο εδάφιο στοιχείο ζ) δεν περιλαμβάνει το σύνολο των δεδομένων προσωπικού χαρακτήρα ούτε ολόκληρες κατηγορίες δεδομένων προσωπικού χαρακτήρα που περιέχονται στο μητρώο. Όταν το μητρώο προορίζεται για αναζήτηση πληροφοριών από πρόσωπα τα οποία έχουν έννομο συμφέρον, η διαβίβαση πραγματοποιείται μόνο κατόπιν αιτήματος των εν λόγω προσώπων ή μόνο εάν πρόκειται να είναι οι αποδέκτες.
3. Η παράγραφος 1 πρώτο εδάφιο στοιχεία α), β) και γ) και η παράγραφος 1 δεύτερο εδάφιο δεν εφαρμόζονται σε δραστηριότητες οι οποίες εκτελούνται από δημόσιες αρχές κατά την άσκηση των δημόσιων εξουσιών τους.
4. Το δημόσιο συμφέρον που αναφέρεται στην παράγραφο 1 πρώτο εδάφιο στοιχείο δ) αναγνωρίζεται στο δίκαιο της Ένωσης ή στο εθνικό δίκαιο του κράτους μέλους στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας.
5. Ελλείψει απόφασης επάρκειας, το δίκαιο της Ένωσης ή κράτους μέλους μπορεί, για σοβαρούς λόγους δημόσιου συμφέροντος, να προβλέπει ρητώς περιορισμούς στη διαβίβαση ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή σε διεθνή οργανισμό. Τα κράτη μέλη κοινοποιούν τις σχετικές διατάξεις στην Επιτροπή.
6. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία καταχωρίζει την εκτίμηση, καθώς και τις κατάλληλες εγγυήσεις που αναφέρονται στο δεύτερο εδάφιο της παραγράφου 1 του παρόντος άρθρου, στα αρχεία που αναφέρονται στο άρθρο 30.»
16 Κατά το άρθρο 51, παράγραφος 1, του ΓΚΠΔ:
«Κάθε κράτος μέλος διασφαλίζει ότι μία ή περισσότερες ανεξάρτητες δημόσιες αρχές επιφορτίζονται με την παρακολούθηση της εφαρμογής του παρόντος κανονισμού, με σκοπό την προστασία των θεμελιωδών δικαιωμάτων και ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας που τα αφορούν και τη διευκόλυνση της ελεύθερης κυκλοφορίας δεδομένων προσωπικού χαρακτήρα στην Ένωση (“εποπτική αρχή”).»
17 Κατά το άρθρο 55 παράγραφος 1, του κανονισμού αυτού, «[κ]άθε εποπτική αρχή είναι αρμόδια να εκτελεί τα καθήκοντα και να ασκεί τις εξουσίες που της ανατίθενται σύμφωνα με τον παρόντα κανονισμό στο έδαφος του κράτους μέλους της».
18 Το άρθρο 57, παράγραφος 1, του εν λόγω κανονισμού προβλέπει τα εξής:
«Με την επιφύλαξη των άλλων καθηκόντων που ορίζονται στον παρόντα κανονισμό, κάθε εποπτική αρχή στο έδαφός της:
α) παρακολουθεί και επιβάλλει την εφαρμογή του παρόντος κανονισμού,
[…]
στ) χειρίζεται τις καταγγελίες που υποβάλλονται από το υποκείμενο των δεδομένων […] και ερευνά, στο μέτρο που ενδείκνυται, το αντικείμενο της καταγγελίας και ενημερώνει τον καταγγέλλοντα για την πρόοδο και για την έκβαση της έρευνας εντός εύλογου χρονικού διαστήματος, ιδίως εάν απαιτείται περαιτέρω έρευνα ή συντονισμός με άλλη εποπτική αρχή,
[…]».
19 Κατά το άρθρο 58, παράγραφοι 2 και 4, του ίδιου κανονισμού:
«2. Κάθε αρχή ελέγχου διαθέτει όλες τις ακόλουθες διορθωτικές εξουσίες:
[…]
στ) να επιβάλλει προσωρινό ή οριστικό περιορισμό, περιλαμβανομένης της απαγόρευσης της επεξεργασίας,
[…]
ι) να δίνει εντολή για αναστολή της κυκλοφορίας δεδομένων σε αποδέκτη σε τρίτη χώρα ή σε διεθνή οργανισμό.
[…]
4. Η άσκηση εκ μέρους εποπτικής αρχής των εξουσιών της δυνάμει του παρόντος άρθρου υπόκειται στις δέουσες εγγυήσεις, περιλαμβανομένης της άσκησης πραγματικής δικαστικής προσφυγής και της τήρησης της προσήκουσας διαδικασίας, όπως προβλέπονται στο δίκαιο της Ένωσης και το δίκαιο των κρατών μελών σύμφωνα με τον Χάρτη.»
20 Το άρθρο 64, παράγραφος 2, του ΓΚΠΔ ορίζει τα εξής:
«Κάθε εποπτική αρχή, ο Πρόεδρος του [Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων (EDPB)] ή η Επιτροπή μπορεί να ζητήσει την εξέταση οποιουδήποτε ζητήματος γενικής εφαρμογής ή ζητήματος που παράγει αποτελέσματα σε περισσότερα από ένα κράτη μέλη από το Συμβούλιο Προστασίας Δεδομένων, με σκοπό τη έκδοση γνωμοδότησης, ιδίως όταν αρμόδια εποπτική αρχή δεν συμμορφώνεται προς τις υποχρεώσεις περί αμοιβαίας συνδρομής σύμφωνα με το άρθρο 61 ή περί κοινών επιχειρήσεων σύμφωνα με το άρθρο 62.»
21 Κατά το άρθρο 65, παράγραφος 1, του κανονισμού αυτού:
«Προκειμένου να διασφαλίζεται η ορθή και συνεκτική εφαρμογή του παρόντος κανονισμού σε μεμονωμένες περιπτώσεις, το Συμβούλιο Προστασίας Δεδομένων εκδίδει δεσμευτική απόφαση στις ακόλουθες περιπτώσεις:
[…]
γ) εάν μια αρμόδια εποπτική αρχή δεν ζητήσει τη γνώμη του Συμβουλίου Προστασίας Δεδομένων στις περιπτώσεις που αναφέρονται στο άρθρο 64 παράγραφος 1 ή δεν ακολουθήσει τη γνώμη του Συμβουλίου Προστασίας Δεδομένων που εκδίδεται δυνάμει του άρθρου 64. Στην περίπτωση αυτή, κάθε ενδιαφερόμενη εποπτική αρχή ή η Επιτροπή μπορεί να ανακοινώσει το θέμα στο Συμβούλιο Προστασίας Δεδομένων.»
22 Το άρθρο 77 του εν λόγω κανονισμού, το οποίο επιγράφεται «Δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή», ορίζει τα εξής:
«1. Με την επιφύλαξη τυχόν άλλων διοικητικών ή δικαστικών προσφυγών, κάθε υποκείμενο των δεδομένων έχει το δικαίωμα να υποβάλει καταγγελία σε εποπτική αρχή, ιδίως στο κράτος μέλος στο οποίο έχει τη συνήθη διαμονή του ή τον τόπο εργασίας του ή τον τόπο της εικαζόμενης παράβασης, εάν το υποκείμενο των δεδομένων θεωρεί ότι η επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορά παραβαίνει τον παρόντα κανονισμό.
2. Η εποπτική αρχή στην οποία έχει υποβληθεί καταγγελία ενημερώνει τον καταγγέλλοντα για την πρόοδο και για την έκβαση της καταγγελίας, καθώς και για τη δυνατότητα άσκησης δικαστικής προσφυγής σύμφωνα με το άρθρο 78.»
23 Το άρθρο 78 του ίδιου κανονισμού, με τίτλο «Δικαίωμα πραγματικής δικαστικής προσφυγής κατά αρχής ελέγχου», προβλέπει στις παραγράφους 1 και 2 τα εξής:
«1. Με την επιφύλαξη κάθε άλλης διοικητικής ή μη δικαστικής προσφυγής, κάθε φυσικό ή νομικό πρόσωπο έχει το δικαίωμα πραγματικής δικαστικής προσφυγής κατά νομικά δεσμευτικής απόφασης εποπτικής αρχής που το αφορά.
2. Με την επιφύλαξη κάθε άλλης διοικητικής ή μη δικαστικής προσφυγής, κάθε υποκείμενο των δεδομένων έχει δικαίωμα πραγματικής δικαστικής προσφυγής, εφόσον η εποπτική αρχή που είναι αρμόδια δυνάμει των άρθρων 55 και 56 δεν εξετάσει την καταγγελία ή δεν ενημερώσει το υποκείμενο των δεδομένων εντός τριών μηνών για την πρόοδο ή την έκβαση της καταγγελίας που υποβλήθηκε δυνάμει του άρθρου 77.»
24 Το άρθρο 94 του ΓΚΠΔ ορίζει τα εξής:
«1. Η οδηγία [95/46] καταργείται από τις 25 Μαΐου 2018.
2. Οι παραπομπές στην καταργούμενη οδηγία θεωρούνται παραπομπές στον παρόντα κανονισμό. Οι παραπομπές στην ομάδα προστασίας των προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, που συστάθηκε με το άρθρο 29 της οδηγίας [95/46/], θεωρούνται παραπομπές στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων που συστήνεται με τον παρόντα κανονισμό.»
25 Κατά το άρθρο 99 του κανονισμού αυτού:
«1. Ο παρών κανονισμός αρχίζει να ισχύει την εικοστή ημέρα από τη δημοσίευσή του στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης.
2. Τίθεται σε εφαρμογή από τις 25 Μαΐου 2018.»
Η απόφαση ΤΡΠ
26 Η αιτιολογική σκέψη 11 της αποφάσεως ΤΡΠ έχει ως εξής:
«Οι αρχές ελέγχου των κρατών μελών διαδραματίζουν καθοριστικό ρόλο σε αυτόν τον συμβατικό μηχανισμό διασφαλίζοντας την ικανοποιητική προστασία των δεδομένων προσωπικού χαρακτήρα μετά τη διαβίβαση. Στις εξαιρετικές περιπτώσεις που οι εξαγωγείς των δεδομένων αρνούνται ή δεν είναι σε θέση να καθοδηγήσουν δεόντως τον εισαγωγέα δεδομένων, με άμεσο κίνδυνο πρόκλησης σοβαρής ζημίας στα πρόσωπα στα οποία αναφέρονται τα δεδομένα, οι τυποποιημένες συμβατικές ρήτρες θα πρέπει να επιτρέπουν στις αρχές ελέγχου να ασκούν ελέγχους στους εισαγωγείς των δεδομένων και στους υπεργολάβους επεξεργασίας και, κατά περίπτωση, να λαμβάνουν αποφάσεις δεσμευτικές για τα πρόσωπα αυτά. Οι αρχές ελέγχου πρέπει να έχουν το δικαίωμα να απαγορεύουν ή να αναστέλλουν μια διαβίβαση ή κατηγορία διαβιβάσεων δεδομένων που βασίζεται στις τυποποιημένες συμβατικές ρήτρες στις εξαιρετικές εκείνες περιπτώσεις κατά τις οποίες διαπιστώνεται ότι μια διαβίβαση πραγματοποιούμενη σε συμβατική βάση ενδέχεται να έχει σημαντικό αρνητικό αντίκτυπο στις εγγυήσεις και τις υποχρεώσεις που παρέχουν ικανοποιητική προστασία στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα.»
27 Το άρθρο 1 της αποφάσεως αυτής προβλέπει τα εξής:
«Οι τυποποιημένες συμβατικές ρήτρες που περιλαμβάνονται στο παράρτημα θεωρείται ότι παρέχουν επαρκείς εγγυήσεις για την προστασία της ιδιωτικής ζωής και των θεμελιωδών δικαιωμάτων και ελευθεριών των προσώπων, καθώς και για την άσκηση των σχετικών δικαιωμάτων, όπως επιβάλλει το άρθρο 26 παράγραφος 2 της οδηγίας [95/46].»
28 Κατά το άρθρο 2, δεύτερο εδάφιο, της εν λόγω αποφάσεως, αυτή «εφαρμόζεται στη διαβίβαση δεδομένων προσωπικού χαρακτήρα από υπεύθυνους επεξεργασίας εγκατεστημένους στην Ευρωπαϊκή Ένωση προς αποδέκτες εγκατεστημένους εκτός Ευρωπαϊκής Ένωσης οι οποίοι ενεργούν αποκλειστικά ως εκτελούντες επεξεργασία».
29 Το άρθρο 3 της ίδιας αποφάσεως ορίζει τα εξής:
«Για τους σκοπούς της παρούσας απόφασης, ισχύουν οι ακόλουθοι ορισμοί:
[…]
γ) ως “εξαγωγέας δεδομένων” νοείται ο υπεύθυνος επεξεργασίας ο οποίος διαβιβάζει τα δεδομένα προσωπικού χαρακτήρα·
δ) ως “εισαγωγέας δεδομένων” νοείται ο εκτελών επεξεργασία που είναι εγκατεστημένος σε τρίτη χώρα και ο οποίος συμφωνεί να παραλάβει από τον εξαγωγέα δεδομένων δεδομένα προσωπικού χαρακτήρα που προορίζονται, μετά τη διαβίβαση, για επεξεργασία για λογαριασμό του εξαγωγέα, σύμφωνα με τις οδηγίες του και σύμφωνα με τους όρους της παρούσας απόφασης, και ο οποίος δεν υπόκειται σε μηχανισμό τρίτης χώρας που διασφαλίζει ικανοποιητική προστασία, κατά την έννοια του άρθρου 25 παράγραφος 1 της οδηγίας [95/46]·
[…]
στ) ως “εφαρμοστέο δίκαιο περί προστασίας των δεδομένων” νοείται η νομοθεσία που προστατεύει τα θεμελιώδη δικαιώματα και ελευθερίες των ατόμων, και ιδίως το δικαίωμα προστασίας της ιδιωτικής τους ζωής από την επεξεργασία δεδομένων προσωπικού χαρακτήρα, η οποία εφαρμόζεται σε υπεύθυνο επεξεργασίας δεδομένων στο κράτος μέλος στο οποίο είναι εγκατεστημένος ο εξαγωγέας δεδομένων·
[…]».
30 Το άρθρο 4 της αποφάσεως 2010/87, ως είχε αρχικώς, πριν από την έναρξη ισχύος της εκτελεστικής αποφάσεως 2016/2297, προέβλεπε τα εξής:
«1. Με την επιφύλαξη των εξουσιών τους να λαμβάνουν μέτρα προκειμένου να εξασφαλίζουν την τήρηση των εθνικών διατάξεων που εκδίδονται σύμφωνα με τα κεφάλαια II, III, V και VI της οδηγίας [95/46], οι αρμόδιες αρχές των κρατών μελών μπορούν να ασκούν τις υφιστάμενες εξουσίες τους για να απαγορεύουν ή να αναστέλλουν τη ροή δεδομένων προς τρίτες χώρες προκειμένου να προστατεύουν τα φυσικά πρόσωπα από την επεξεργασία δεδομένων προσωπικού χαρακτήρα που τα αφορούν στις περιπτώσεις κατά τις οποίες:
α) τεκμηριώνεται ότι η νομοθεσία στην οποία υπόκειται ο εισαγωγέας δεδομένων ή ο υπεργολάβος επεξεργασίας τον υποχρεώνει να παρεκκλίνει από το εφαρμοστέο δίκαιο περί προστασίας των δεδομένων πέραν των αναγκαίων σε μια δημοκρατική κοινωνία ορίων, όπως ορίζεται στο άρθρο 13 της οδηγίας [95/46], στην περίπτωση που η υποχρέωση αυτή ενδέχεται να έχει σημαντικές αρνητικές επιπτώσεις στις εγγυήσεις που παρέχονται από το εφαρμοστέο δίκαιο περί προστασίας των δεδομένων και τις τυποποιημένες συμβατικές ρήτρες·
β) αρμόδια αρχή απέδειξε ότι ο εισαγωγέας δεδομένων ή ο υπεργολάβος επεξεργασίας δεν τήρησε τις τυποποιημένες συμβατικές ρήτρες του παραρτήματος· ή
γ) υπάρχει σοβαρή πιθανότητα ότι οι τυποποιημένες συμβατικές ρήτρες του παραρτήματος δεν τηρούνται ή δεν θα τηρηθούν και ότι η συνέχιση της διαβίβασης θα δημιουργήσει άμεσο κίνδυνο πρόκλησης σοβαρής ζημίας στα πρόσωπα στα οποία αναφέρονται τα δεδομένα.
2. Η απαγόρευση ή αναστολή που προβλέπεται στην παράγραφο 1 αίρεται αμέσως μόλις παύσουν να υφίστανται οι λόγοι που την προκάλεσαν.
3. Τα κράτη μέλη, όταν λαμβάνουν μέτρα σύμφωνα με τις παραγράφους 1 και 2, ενημερώνουν χωρίς καθυστέρηση την Επιτροπή, η οποία διαβιβάζει την πληροφορία στα υπόλοιπα κράτη μέλη.»
31 Η αιτιολογική σκέψη 5 της εκτελεστικής αποφάσεως 2016/2297 που εκδόθηκε κατόπιν της δημοσιεύσεως της αποφάσεως του Δικαστηρίου της 6ης Οκτωβρίου 2015, Schrems (C‑362/14, EU:C:2015:650), έχει ως εξής:
«Κατ’ αναλογία, απόφαση της Επιτροπής που έχει εκδοθεί βάσει του άρθρου 26 παράγραφος 4 της οδηγίας [95/46] είναι δεσμευτική για όλα τα όργανα των κρατών μελών στα οποία απευθύνεται, περιλαμβανομένων των ανεξάρτητων εποπτικών αρχών τους, στο μέτρο που έχει ως αποτέλεσμα την αναγνώριση ότι οι διαβιβάσεις που πραγματοποιούνται βάσει των τυποποιημένων συμβατικών ρητρών που προβλέπονται στην οικεία απόφαση παρέχουν τις επαρκείς εγγυήσεις που απαιτούνται από το άρθρο 26 παράγραφος 2 της ως άνω οδηγίας. Το γεγονός αυτό δεν κωλύει τις εθνικές αρχές ελέγχου να ασκούν τις αρμοδιότητές τους ελέγχου των ροών δεδομένων, συμπεριλαμβανομένης της εξουσίας τους να αναστέλλουν ή να απαγορεύουν τη διαβίβαση δεδομένων προσωπικού χαρακτήρα όταν κρίνουν ότι η διαβίβαση πραγματοποιείται κατά παράβαση της ενωσιακής ή της εθνικής νομοθεσίας για την προστασία των δεδομένων, όπως, για παράδειγμα, όταν ο εισαγωγέας των δεδομένων δεν τηρεί τις τυποποιημένες συμβατικές ρήτρες.»
32 Το άρθρο 4 της αποφάσεως ΤΡΠ, ως έχει σήμερα, μετά την έκδοση της εκτελεστικής αποφάσεως 2016/2297, ορίζει τα εξής:
«Όταν αρμόδια αρχή κράτους μέλους ασκεί τις εξουσίες της βάσει του άρθρου 28 παράγραφος 3 της οδηγίας [95/46] για να αναστείλει ή να απαγορεύσει οριστικά ροή δεδομένων προς τρίτη χώρα προς τον σκοπό της προστασίας φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα που τα αφορούν, το οικείο κράτος μέλος ενημερώνει, χωρίς καθυστέρηση, την Επιτροπή, η οποία διαβιβάζει τις σχετικές πληροφορίες στα λοιπά κράτη μέλη.»
33 Το παράρτημα της αποφάσεως ΤΡΠ, το οποίο τιτλοφορείται «Τυποποιημένες Συμβατικές Ρήτρες (Εκτελούντες επεξεργασία)», περιλαμβάνει δώδεκα τυποποιημένες ρήτρες. Η ρήτρα 3, η οποία φέρει τον τίτλο «Ρήτρα δικαιούχου τρίτου», προβλέπει τα εξής:
«1. Το πρόσωπο στο οποίο αναφέρονται τα δεδομένα μπορεί να επικαλεσθεί ως τρίτος δικαιούχος έναντι του εξαγωγέα δεδομένων την παρούσα ρήτρα, καθώς και τη ρήτρα 4 στοιχεία β) ως θ), τη ρήτρα 5 στοιχεία α) ως ε), και ζ) ως ι), τη ρήτρα 6 παράγραφοι 1 και 2, τη ρήτρα 7, τη ρήτρα 8 παράγραφος 2 και τις ρήτρες 9 έως 12.
2. Το άτομο στο οποίο αναφέρονται τα δεδομένα μπορεί να επικαλεσθεί έναντι του εισαγωγέα δεδομένων την παρούσα ρήτρα, καθώς και τη ρήτρα 5 στοιχεία α) ως ε) και ζ), τη ρήτρα 6, τη ρήτρα 7, τη ρήτρα 8 παράγραφος 2, και τις ρήτρες 9 έως 12, στις περιπτώσεις που ο εξαγωγέας δεδομένων έπαυσε να υφίσταται από πραγματική ή νομική άποψη, εκτός εάν το σύνολο των νομικών υποχρεώσεών του εκχωρήθηκε, βάσει σύμβασης ή βάσει νόμου, σε διάδοχο οντότητα, η οποία συνεπώς αναλαμβάνει τα δικαιώματα και τις υποχρεώσεις του εξαγωγέα δεδομένων, και έναντι του οποίου το πρόσωπο στο οποίο αναφέρονται τα δεδομένα μπορεί να επικαλεσθεί τις εν λόγω ρήτρες.
[…]»
34 Κατά τη ρήτρα 4 του παραρτήματος αυτού, η οποία τιτλοφορείται «Υποχρεώσεις του εξαγωγέα δεδομένων»:
«Ο εξαγωγέας δεδομένων συμφωνεί και εγγυάται:
α) ότι η επεξεργασία, περιλαμβανομένης και της διαβίβασης δεδομένων προσωπικού χαρακτήρα, έχει πραγματοποιηθεί και θα συνεχίσει να πραγματοποιείται σύμφωνα με τις σχετικές διατάξεις του εφαρμοστέου δικαίου περί προστασίας των δεδομένων (και, όπου συντρέχει περίπτωση, έχει κοινοποιηθεί στις αρμόδιες αρχές του κράτους μέλους στο οποίο είναι εγκατεστημένος ο εξαγωγέας δεδομένων) και δεν παραβιάζει τις σχετικές διατάξεις του εν λόγω κράτους·
β) ότι έχει υποδείξει και θα υποδεικνύει καθ’ όλη τη διάρκεια των υπηρεσιών επεξεργασίας δεδομένων προσωπικού χαρακτήρα στον εισαγωγέα δεδομένων να επεξεργάζεται τα διαβιβαζόμενα δεδομένα προσωπικού χαρακτήρα αποκλειστικά για λογαριασμό του εξαγωγέα δεδομένων και σύμφωνα με το εφαρμοστέο δίκαιο περί προστασίας των δεδομένων και σύμφωνα με τις ρήτρες·
[…]
στ) ότι, εάν η διαβίβαση αφορά ειδικές κατηγορίες δεδομένων, το πρόσωπο στο οποίο αναφέρονται τα δεδομένα έχει ενημερωθεί ή θα ενημερωθεί πριν από τη διαβίβαση ή το συντομότερο δυνατό ύστερα απ’ αυτήν ότι τα δεδομένα που το αφορούν ενδέχεται να διαβιβαστούν σε τρίτη χώρα που δεν παρέχει ικανοποιητική προστασία κατά την έννοια της οδηγίας [95/46]·
ζ) ότι θα διαβιβάζει κάθε κοινοποίηση που λαμβάνει από τον εισαγωγέα δεδομένων ή κάθε υπεργολάβο επεξεργασίας σύμφωνα με τη ρήτρα 5 στοιχείο β) και τη ρήτρα 8 παράγραφος 3 στην εποπτική αρχή προστασίας δεδομένων αν ο εξαγωγέας δεδομένων αποφασίσει να συνεχίσει τη διαβίβαση ή να άρει την αναστολή·
[…]».
35 Η ρήτρα 5 του εν λόγω παραρτήματος, η οποία επιγράφεται «Υποχρεώσεις του εισαγωγέα δεδομένων […]», ορίζει τα εξής:
«Ο εισαγωγέας δεδομένων συμφωνεί και εγγυάται:
α) ότι θα επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα μόνο για λογαριασμό του εξαγωγέα δεδομένων και σύμφωνα με τις οδηγίες του και τις ρήτρες· αν δεν μπορεί να εξασφαλίσει τη συμμόρφωση αυτή για οποιουσδήποτε λόγους, συμφωνεί να ενημερώνει αμέσως τον εξαγωγέα δεδομένων για την αδυναμία του να συμμορφωθεί, οπότε ο εξαγωγέας δεδομένων δικαιούται να αναστείλει τη διαβίβαση των δεδομένων και/ή να λύσει τη σύμβαση·
β) ότι δεν έχει λόγους να πιστεύει ότι η νομοθεσία που ισχύει γι’ αυτόν τον εμποδίζει να τηρήσει τις οδηγίες που λαμβάνει από τον εξαγωγέα δεδομένων και να εκπληρώσει τις υποχρεώσεις του βάσει της σύμβασης και ότι, αν γίνει τροποποίηση της εν λόγω νομοθεσίας η οποία ενδέχεται να έχει σημαντικό αρνητικό αντίκτυπο στις εγγυήσεις και τις υποχρεώσεις που προβλέπονται από τις ρήτρες, θα κοινοποιεί αμέσως την αλλαγή στον εξαγωγέα δεδομένων, μόλις αυτή περιέλθει σε γνώση του, οπότε ο εξαγωγέας δεδομένων θα δικαιούται να αναστείλει τη διαβίβαση των δεδομένων και/ή να λύσει τη σύμβαση·
[…]
δ) ότι θα ενημερώνει αμέσως τον εξαγωγέα δεδομένων σχετικά με:
i) κάθε νομικά δεσμευτικό αίτημα κοινοποίησης των δεδομένων προσωπικού χαρακτήρα που υποβάλλεται από αρχή επιβολής του νόμου, εκτός αν υπάρχει σχετική απαγόρευση, όπως απαγόρευση συνοδευόμενη από ποινικές κυρώσεις για τη διατήρηση του εμπιστευτικού χαρακτήρα αστυνομικής έρευνας·
ii) κάθε τυχαία ή μη εξουσιοδοτημένη πρόσβαση· και
iii) κάθε αίτημα που λαμβάνει απευθείας από τα πρόσωπα στα οποία αναφέρονται τα δεδομένα χωρίς να τους απαντά, εκτός αν του έχει δοθεί η σχετική άδεια·
[…]».
36 Η υποσημείωση στην οποία παραπέμπει ο τίτλος της ρήτρας 5 έχει ως εξής:
«Οι δεσμευτικές απαιτήσεις της εθνικής νομοθεσίας που ισχύουν για τον εισαγωγέα των δεδομένων και που δεν υπερβαίνουν το αναγκαίο σε μια δημοκρατική κοινωνία μέτρο για ένα από τα συμφέροντα που αναφέρονται στο άρθρο 13 παράγραφος 1 της οδηγίας [95/46], δηλαδή αν πρόκειται για μέτρο αναγκαίο για τη διαφύλαξη της ασφάλειας του κράτους, της άμυνας, της δημόσιας ασφάλειας, της πρόληψης, διερεύνησης, διαπίστωσης και δίωξης παραβάσεων του ποινικού νόμου ή της δεοντολογίας των νομοθετικά κατοχυρωμένων επαγγελμάτων, σημαντικού οικονομικού ή χρηματοοικονομικού συμφέροντος, της προστασίας του προσώπου στο οποίο αναφέρονται τα δεδομένα ή των δικαιωμάτων και ελευθεριών άλλων προσώπων, δεν έρχονται σε αντίθεση με τις τυποποιημένες συμβατικές ρήτρες. […]»
37 Η ρήτρα 6 του παραρτήματος της αποφάσεως ΤΡΠ, η οποία επιγράφεται «Ευθύνη», προβλέπει τα εξής:
«1. Τα συμβαλλόμενα μέρη συμφωνούν ότι κάθε πρόσωπο στο οποίο αναφέρονται τα δεδομένα το οποίο υφίσταται ζημία συνεπεία αθέτησης των υποχρεώσεων που αναφέρονται στη ρήτρα 3 ή στη ρήτρα 11 από έναν από τους συμβαλλόμενους ή από υπεργολάβο επεξεργασίας δικαιούται να λάβει αποζημίωση από τον εξαγωγέα δεδομένων για τη ζημία την οποία υπέστη.
2. Αν το πρόσωπο στο οποίο αναφέρονται τα δεδομένα αδυνατεί να αξιώσει αποζημίωση, σύμφωνα με την παράγραφο 1, έναντι του εξαγωγέα δεδομένων λόγω αθέτησης από τον εισαγωγέα δεδομένων ή τον υπεργολάβο επεξεργασίας του κάποιας από τις υποχρεώσεις τους που αναφέρονται στη ρήτρα 3 ή στη ρήτρα 11, διότι ο εξαγωγέας δεδομένων έχει παύσει να υφίσταται από πραγματική ή νομική άποψη ή έχει καταστεί αφερέγγυος, ο εισαγωγέας δεδομένων συμφωνεί ότι το πρόσωπο στο οποίο αναφέρονται τα δεδομένα μπορεί να ασκήσει αγωγή εναντίον του σαν να επρόκειτο για τον εξαγωγέα δεδομένων […]
[…]».
38 Η ρήτρα 8 του παραρτήματος αυτού, η οποία τιτλοφορείται «Συνεργασία με τις αρχές ελέγχου», ορίζει στην παράγραφο 2 τα εξής:
«Οι συμβαλλόμενοι συμφωνούν ότι η αρχή ελέγχου έχει το δικαίωμα να διενεργεί ελέγχους στις εγκαταστάσεις του εισαγωγέα δεδομένων και κάθε υπεργολάβου επεξεργασίας, στον ίδιο βαθμό και με τους ίδιους όρους που θα ίσχυαν σε περίπτωση ελέγχου του εξαγωγέα δεδομένων βάσει του εφαρμοστέου δικαίου περί προστασίας των δεδομένων.»
39 Η ρήτρα 9 του εν λόγω παραρτήματος, η οποία φέρει τον τίτλο «Εφαρμοστέο δίκαιο», διευκρινίζει ότι οι ρήτρες διέπονται από το δίκαιο του κράτους μέλους στο οποίο είναι εγκατεστημένος ο εξαγωγέας των δεδομένων.
40 Κατά τη ρήτρα 11 του ίδιου παραρτήματος, με τίτλο «Υπεργολαβία επεξεργασίας»:
«1. Ο εισαγωγέας δεδομένων δεν συνάπτει συμβάσεις υπεργολαβίας για καμία από τις πράξεις επεξεργασίας που εκτελεί για λογαριασμό του εξαγωγέα δεδομένων σύμφωνα με τις ρήτρες χωρίς την προηγούμενη γραπτή συγκατάθεση του εξαγωγέα δεδομένων. Ο εισαγωγέας δεδομένων μπορεί να εκχωρήσει με υπεργολαβία τις υποχρεώσεις του βάσει των ρητρών, με τη συγκατάθεση του εξαγωγέα δεδομένων, μόνο μέσω γραπτής συμφωνίας την οποία συνάπτει με τον υπεργολάβο επεξεργασίας, η οποία επιβάλλει στον υπεργολάβο τις ίδιες υποχρεώσεις με εκείνες που επιβάλλονται στον εισαγωγέα δεδομένων σύμφωνα με τις ρήτρες […]
2. Η προηγούμενη γραπτή σύμβαση μεταξύ του εισαγωγέα δεδομένων και του υπεργολάβου προβλέπει επίσης ρήτρα δικαιούχου τρίτου όπως ορίζεται στη ρήτρα 3 για τις περιπτώσεις που το πρόσωπο στο οποίο αναφέρονται τα δεδομένα αδυνατεί να αξιώσει αποζημίωση, σύμφωνα με την παράγραφο 1 της ρήτρας 6, έναντι του εξαγωγέα ή του εισαγωγέα δεδομένων διότι έπαυσαν να υφίστανται από πραγματική ή νομική άποψη ή κατέστησαν αφερέγγυοι, και το σύνολο των νομικών υποχρεώσεων του εξαγωγέα ή του εισαγωγέα δεδομένων δεν έχει εκχωρηθεί, βάσει σύμβασης ή βάσει νόμου, σε καμία διάδοχο οντότητα. Η συγκεκριμένη αστική ευθύνη του υπεργολάβου επεξεργασίας περιορίζεται στις δικές του δραστηριότητες επεξεργασίας σύμφωνα με τις ρήτρες.
[…]»
41 Η ρήτρα 12 του παραρτήματος της αποφάσεως ΤΡΠ, η οποία επιγράφεται «Υποχρέωση μετά την περάτωση των υπηρεσιών επεξεργασίας δεδομένων προσωπικού χαρακτήρα», ορίζει στην παράγραφο 1 τα εξής:
«Τα συμβαλλόμενα μέρη συμφωνούν ότι, όταν αποπερατωθεί η παροχή των υπηρεσιών επεξεργασίας δεδομένων, ο εισαγωγέας δεδομένων και ο υπεργολάβος επεξεργασίας, κατ’ επιλογή του εξαγωγέα δεδομένων, επιστρέφουν όλα τα διαβιβασθέντα δεδομένα προσωπικού χαρακτήρα και τα αντίγραφά τους στον εξαγωγέα δεδομένων ή καταστρέφουν όλα τα δεδομένα προσωπικού χαρακτήρα και προσκομίζουν τα σχετικά αποδεικτικά στοιχεία στον εξαγωγέα δεδομένων, εκτός εάν η νομοθεσία που ισχύει για τον εισαγωγέα δεδομένων δεν του επιτρέπει την επιστροφή ή την καταστροφή του συνόλου ή μέρους των διαβιβασθέντων δεδομένων προσωπικού χαρακτήρα. […]»
Η απόφαση ΑΠΙΖ
42 Με την απόφαση της 6ης Οκτωβρίου 2015, Schrems (C‑362/14, EU:C:2015:650), το Δικαστήριο κήρυξε ανίσχυρη την απόφαση 2000/520/ΕΚ της Επιτροπής, της 26ης Ιουλίου 2000, βάσει της οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με την επάρκεια της προστασίας που παρέχεται από τις αρχές ασφαλούς λιμένα για την προστασία της ιδιωτικής ζωής και τις συναφείς συχνές ερωτήσεις που εκδίδονται από το Υπουργείο Εμπορίου των ΗΠΑ (ΕΕ 2000, L 215, σ. 7), με την οποία η Επιτροπή είχε αποφανθεί ότι η συγκεκριμένη τρίτη χώρα εξασφάλιζε ικανοποιητικό επίπεδο προστασίας.
43 Κατόπιν της αποφάσεως του Δικαστηρίου στην υπόθεση εκείνη, η Επιτροπή εξέδωσε την απόφαση ΑΠΙΖ, αφού προέβη, για την έκδοσή της, σε αξιολόγηση της κανονιστικής ρυθμίσεως των Ηνωμένων Πολιτειών, όπως διευκρινίζεται στην αιτιολογική σκέψη 65 της αποφάσεως ΑΠΙΖ:
«Η Επιτροπή αξιολόγησε τους περιορισμούς και τις διασφαλίσεις που περιλαμβάνονται στο δίκαιο των ΗΠΑ όσον αφορά την πρόσβαση και τη χρήση δεδομένων προσωπικού χαρακτήρα που διαβιβάζονται στο πλαίσιο της ασπίδας προστασίας της ιδιωτικής ζωής ΕΕ–ΗΠΑ από δημόσιες αρχές των ΗΠΑ για λόγους εθνικής ασφάλειας, επιβολής του νόμου και άλλους σκοπούς δημόσιου συμφέροντος. Επιπλέον, η κυβέρνηση των ΗΠΑ, μέσω του Γραφείου του Διευθυντή της Εθνικής Υπηρεσίας Πληροφοριών (Office of the Director of National Intelligence - ODNI) […], υπέβαλε στην Επιτροπή λεπτομερείς δηλώσεις και δεσμεύσεις που περιλαμβάνονται στο παράρτημα VI της παρούσας απόφασης. Με επιστολή που υπογράφεται από τον Υπουργό Εξωτερικών των ΗΠΑ και επισυνάπτεται ως παράρτημα III της παρούσας απόφασης, η κυβέρνηση των ΗΠΑ έχει επίσης δεσμευτεί να δημιουργήσει έναν νέο μηχανισμό εποπτείας για τις επεμβάσεις για λόγους εθνικής ασφάλειας, τον Διαμεσολαβητή της ασπίδας προστασίας της ιδιωτικής ζωής, ο οποίος είναι ανεξάρτητος από την κοινότητα των υπηρεσιών πληροφοριών. Τέλος, στη δήλωση του Υπουργείου Δικαιοσύνης των ΗΠΑ, η οποία περιλαμβάνεται στο παράρτημα VII της παρούσας απόφασης, περιγράφονται οι περιορισμοί και οι διασφαλίσεις που ισχύουν για την πρόσβαση και χρήση δεδομένων από τις δημόσιες αρχές για σκοπούς επιβολής του νόμου και άλλους σκοπούς δημόσιου συμφέροντος. Προκειμένου να ενισχυθεί η διαφάνεια και να αποτυπωθεί η νομική φύση των δεσμεύσεων αυτών, καθένα από τα έγγραφα που απαριθμούνται και προσαρτώνται στην παρούσα απόφαση θα δημοσιευτεί στην επίσημη εφημερίδα της ομοσπονδιακής κυβέρνησης των ΗΠΑ (Federal Register).»
44 Η ανάλυση στην οποία προέβη η Επιτροπή σχετικά με τους περιορισμούς και τις εγγυήσεις που προαναφέρθηκαν συνοψίζεται στις αιτιολογικές σκέψεις 67 έως 135 της αποφάσεως ΑΠΙΖ, ενώ τα συμπεράσματα του θεσμικού οργάνου όσον αφορά την επάρκεια του επιπέδου προστασίας που παρέχεται στο πλαίσιο της ασπίδας προστασίας της ιδιωτικής ζωής Ευρωπαϊκής Ένωσης-Ηνωμένων Πολιτειών περιλαμβάνονται στις αιτιολογικές σκέψεις 136 έως 141 της αποφάσεως αυτής.
45 Ειδικότερα, οι αιτιολογικές σκέψεις 68, 69, 76, 77, 109, 112 έως 116, 120, 136 και 140 της αποφάσεως ΑΠΙΖ έχουν ως εξής:
«(68) Σύμφωνα με το Σύνταγμα των ΗΠΑ, η προάσπιση της εθνικής ασφάλειας εμπίπτει στην εξουσία του Προέδρου ως ανώτατου διοικητή και ως ανώτατου εκτελεστικού οργάνου, ο οποίος, όσον αφορά τη χρήση πληροφοριών από την αλλοδαπή, είναι αρμόδιος για την άσκηση της εξωτερικής πολιτικής των ΗΠΑ […]. Παρότι το Κογκρέσο έχει την εξουσία να επιβάλλει περιορισμούς, όπως και το έχει πράξει σε διάφορες περιπτώσεις, εντός των ορίων αυτών ο πρόεδρος μπορεί να κατευθύνει τις δραστηριότητες της κοινότητας των υπηρεσιών πληροφοριών των ΗΠΑ, ιδίως μέσω εκτελεστικών διαταγμάτων ή προεδρικών οδηγιών. […] Επί του παρόντος, οι δύο κεντρικές νομικές πράξεις εν προκειμένω είναι το εκτελεστικό διάταγμα 12333 (“E.O. 12333”) […] και η προεδρική οδηγία πολιτικής (Presidential Policy Directive – PPD) 28.
(69) Με την προεδρική οδηγία πολιτικής 28 (“PPD‑28”), που εκδόθηκε στις 17 Ιανουαρίου 2014, επιβάλλονται ορισμένοι περιορισμοί για τις σχετικές με τις “πληροφορίες σημάτων” πράξεις […]. Η εν λόγω προεδρική οδηγία έχει δεσμευτική ισχύ για τις αρχές πληροφοριών των ΗΠΑ […] και παραμένει σε ισχύ κατόπιν αλλαγής της κυβέρνησης των ΗΠΑ […]. Η PPD‑28 είναι ιδιαίτερα σημαντική για πρόσωπα που δεν είναι πολίτες των ΗΠΑ, συμπεριλαμβανομένων των προσώπων από την ΕΕ στα οποία αναφέρονται τα δεδομένα. […]
[…]
(76) Μολονότι δεν διατυπώνονται με τους συγκεκριμένους νομικούς όρους, οι εν λόγω αρχές [της PPD-28] ανταποκρίνονται στην ουσία των αρχών της αναγκαιότητας και της αναλογικότητας. […]
(77) Δεδομένου ότι πρόκειται για οδηγία που εκδόθηκε από τον Πρόεδρο ως το ανώτατο εκτελεστικό όργανο, οι εν λόγω απαιτήσεις δεσμεύουν ολόκληρη την κοινότητα των υπηρεσιών πληροφοριών και έχουν εφαρμοστεί περαιτέρω μέσω κανόνων και διαδικασιών των υπηρεσιών που μεταφέρουν τις γενικές αρχές σε ειδικές οδηγίες για τις καθημερινές δραστηριότητες. […]
[…]
(109) Αντιθέτως, σύμφωνα με το τμήμα 702 του νόμου [Foreign Intelligence Surveillance Act (FISA)], το [United States Foreign Intelligence Surveillance Court (FISC) (δικαστήριο δυνάμει του νόμου FISA)] δεν εγκρίνει μέτρα παρακολούθησης σε ατομική βάση· απεναντίας, εγκρίνει προγράμματα παρακολούθησης (όπως το PRISM ή το UPSTREAM) βάσει ετήσιων πιστοποιήσεων που καταρτίζονται από τον [United States General Attorney General (Γενικό Εισαγγελέα)] και τον [Director of National Intelligence (DNI) (Διευθυντή της Εθνικής Υπηρεσίας Πληροφοριών)]. […] Όπως επισημαίνεται, οι πιστοποιήσεις προς έγκριση από το FISC δεν περιέχουν καμία πληροφορία σχετικά με τα μεμονωμένα άτομα τα οποία στοχεύονται αλλά μάλλον προσδιορίζουν κατηγορίες πληροφοριών από την αλλοδαπή […]. Παρότι το FISC δεν αξιολογεί -βάσει πιθανής αιτίας ή οποιουδήποτε άλλου κριτηρίου- αν τα πρόσωπα στοχεύονται ορθώς με σκοπό τη συγκέντρωση πληροφοριών από την αλλοδαπή […], ο έλεγχός του αφορά την προϋπόθεση ότι “σημαντικός σκοπός της συγκέντρωσης είναι η απόκτηση πληροφοριών από την αλλοδαπή” […]
[…]
(112) Πρώτον, ο νόμος περί παρακολούθησης επικοινωνιών αλλοδαπών υπηρεσιών πληροφοριών (Foreign Intelligence Surveillance Act – FISA) προβλέπει ορισμένα μέσα έννομης προστασίας, τα οποία είναι επίσης διαθέσιμα και σε πρόσωπα που δεν είναι πολίτες των ΗΠΑ, με τα οποία μπορούν να προσφύγουν κατά της παράνομης ηλεκτρονικής παρακολούθησης […]. Μεταξύ αυτών περιλαμβάνεται η δυνατότητα των φυσικών προσώπων να ασκούν αγωγή για χρηματική αποζημίωση κατά των Ηνωμένων Πολιτειών σε περίπτωση παράνομης και εσκεμμένης χρήσης ή κοινολόγησης πληροφοριών που τα αφορούν […]· η δυνατότητα άσκησης αγωγής κατά υπαλλήλων της κυβέρνησης των ΗΠΑ υπό την προσωπική τους ιδιότητα (“με κατ' επίφαση επίκληση του νόμου”) για χρηματική αποζημίωση […]· και η δυνατότητα αμφισβήτησης της νομιμότητας της παρακολούθησης (και επιδίωξης της μη γνωστοποίησης των πληροφοριών) σε περίπτωση που η κυβέρνηση των ΗΠΑ προτίθεται να χρησιμοποιήσει ή να κοινολογήσει τυχόν πληροφορίες που έχουν ληφθεί ή αντληθεί από ηλεκτρονική παρακολούθηση εις βάρος του ενδιαφερομένου προσώπου στο πλαίσιο δικαστικής ή διοικητικής διαδικασίας στις Ηνωμένες Πολιτείες […].
(113) Δεύτερον, η κυβέρνηση των ΗΠΑ παρέπεμψε την Επιτροπή σε ορισμένες πρόσθετες οδούς τις οποίες θα μπορούσαν να ακολουθήσουν τα πρόσωπα από την ΕΕ στα οποία αναφέρονται τα δεδομένα για να προσφύγουν νομικά κατά κυβερνητικών λειτουργών για παράνομη πρόσβαση ή χρήση δεδομένων προσωπικού χαρακτήρα εκ μέρους της κυβέρνησης, μεταξύ άλλων με την επίκληση σκοπών εθνικής ασφάλειας […].
(114) Τέλος, η κυβέρνηση των ΗΠΑ έχει επισημάνει τον [Freedom of information Act (FOIA) (νόμο για την ελευθερία της πληροφόρησης)] ως μέσο διά του οποίου πρόσωπα που δεν είναι πολίτες των ΗΠΑ μπορούν να ζητούν πρόσβαση σε υφιστάμενα αρχεία ομοσπονδιακών υπηρεσιών, μεταξύ άλλων και στις περιπτώσεις στις οποίες τα εν λόγω αρχεία περιέχουν δεδομένα προσωπικού χαρακτήρα του ενδιαφερόμενου ιδιώτη […]. Δεδομένου του προσανατολισμού του, ο νόμος FOIA δεν παρέχει οδό ατομικής προσφυγής κατά της ίδιας της επέμβασης στα δεδομένα προσωπικού χαρακτήρα, αν και θα μπορούσε καταρχήν να παρέχει σε ιδιώτες τη δυνατότητα να αποκτήσουν πρόσβαση στις σχετικές πληροφορίες που κατέχουν οι εθνικές υπηρεσίες πληροφοριών. […]
(115) Παρότι οι ιδιώτες, συμπεριλαμβανομένων των προσώπων από την ΕΕ στα οποία αναφέρονται τα δεδομένα, διαθέτουν συνεπώς ορισμένα μέσα έννομης προστασίας σε περίπτωση που έχουν αποτελέσει αντικείμενο παράνομης (ηλεκτρονικής) παρακολούθησης για σκοπούς εθνικής ασφάλειας, είναι εξίσου σαφές ότι τουλάχιστον ορισμένες νομικές βάσεις που μπορούν να χρησιμοποιήσουν οι υπηρεσίες πληροφοριών των ΗΠΑ [π.χ. το εκτελεστικό διάταγμα (E.O.) 12333] δεν καλύπτονται. Επιπλέον, ακόμη και σε περίπτωση που όντως υφίστανται καταρχήν δυνατότητες δικαστικής προσφυγής για πρόσωπα που δεν είναι πολίτες των ΗΠΑ, όπως για την παρακολούθηση δυνάμει του νόμου FISA, οι διαθέσιμες βάσεις για άσκηση προσφυγής είναι περιορισμένες […] και οι προσφυγές που υποβάλλουν ιδιώτες (συμπεριλαμβανομένων προσώπων από τις ΗΠΑ) θα κηρύσσονται μη παραδεκτές εάν δεν μπορούν να καταδείξουν το «έννομο συμφέρον» για την άσκησή τους […], στοιχείο που περιορίζει την πρόσβαση στα τακτικά δικαστήρια […].
(116) Προκειμένου να προβλεφθεί μια πρόσθετη οδός έννομης προστασίας στην οποία να έχουν δυνατότητα πρόσβασης όλα τα πρόσωπα από την ΕΕ στα οποία αναφέρονται τα δεδομένα, η κυβέρνηση των ΗΠΑ αποφάσισε να δημιουργήσει έναν νέο μηχανισμό Διαμεσολαβητή, όπως περιγράφεται στην επιστολή του Υπουργού Εξωτερικών των ΗΠΑ προς την Επιτροπή, η οποία περιλαμβάνεται στο παράρτημα III της παρούσας απόφασης. Ο μηχανισμός αυτός στηρίζεται στον ορισμό, δυνάμει της PPD‑28, ενός Ανώτατου Συντονιστή (σε επίπεδο υφυπουργού) στο Υπουργείο Εξωτερικών ως σημείου επαφής στο οποίο οι αλλοδαπές κυβερνήσεις μπορούν να εκθέτουν τις ανησυχίες τους σε σχέση με τις δραστηριότητες των ΗΠΑ που αφορούν τη συλλογή πληροφοριών σημάτων, αλλά εκτείνεται πολύ πέραν της αρχικής αυτής ιδέας.
[…]
(120) [H] κυβέρνηση των ΗΠΑ δεσμεύεται να διασφαλίσει ότι, κατά την εκτέλεση των καθηκόντων του, ο Διαμεσολαβητής της ασπίδας προστασίας θα έχει τη δυνατότητα να στηρίζεται στη συνεργασία άλλων μηχανισμών εποπτείας και ελέγχου της συμμόρφωσης που υφίστανται στο πλαίσιο του δικαίου των ΗΠΑ. […]. Σε περίπτωση που ένας από τους εν λόγω φορείς εποπτείας διαπιστώσει περίπτωση μη συμμόρφωσης, η οικεία μονάδα της κοινότητας των υπηρεσιών πληροφοριών (π.χ. μια υπηρεσία πληροφοριών) θα πρέπει να διορθώσει την περίπτωση μη συμμόρφωσης, καθώς μόνο με τον τρόπο αυτόν θα δοθεί στον Διαμεσολαβητή η δυνατότητα να παράσχει μια «θετική» απάντηση στον ιδιώτη (δηλαδή ότι κάθε περίπτωση μη συμμόρφωσης έχει διορθωθεί), κάτι για το οποίο έχει δεσμευθεί η κυβέρνηση των ΗΠΑ. […]
[…]
(136) Με βάση τις διαπιστώσεις αυτές, η Επιτροπή θεωρεί ότι οι Ηνωμένες Πολιτείες της Αμερικής εξασφαλίζουν ικανοποιητικό επίπεδο προστασίας για τα δεδομένα προσωπικού χαρακτήρα που διαβιβάζονται από την Ένωση σε αυτοπιστοποιούμενους οργανισμούς στις ΗΠΑ βάσει της ασπίδας προστασίας της ιδιωτικής ζωής ΕΕ-ΗΠΑ.
[…]
(140) Τέλος, βάσει των διαθέσιμων πληροφοριών σχετικά με την έννομη τάξη των ΗΠΑ, συμπεριλαμβανομένων των δηλώσεων και δεσμεύσεων της κυβέρνησης των ΗΠΑ, η Επιτροπή θεωρεί ότι κάθε επέμβαση εκ μέρους των δημόσιων αρχών των ΗΠΑ στα θεμελιώδη δικαιώματα των προσώπων των οποίων τα δεδομένα διαβιβάζονται από την Ένωση στις ΗΠΑ στο πλαίσιο της ασπίδας προστασίας για σκοπούς εθνικής ασφάλειας, επιβολής του νόμου ή άλλους σκοπούς δημόσιου συμφέροντος, και των συνακόλουθων περιορισμών που επιβάλλονται στους αυτοπιστοποιούμενους οργανισμούς σε σχέση με την τήρηση από αυτούς των αρχών προστασίας της ιδιωτικής ζωής, θα περιορίζεται στον απολύτως αναγκαίο βαθμό για την επίτευξη του εν λόγω νόμιμου στόχου, και ότι υφίσταται αποτελεσματική δικαστική προστασία από τέτοιου είδους επέμβαση.»
46 Κατά το άρθρο 1 της αποφάσεως ΑΠΙΖ:
«1. Για τους σκοπούς του άρθρου 25 παράγραφος 2 της οδηγίας [95/46], οι Ηνωμένες Πολιτείες της Αμερικής εξασφαλίζουν ικανοποιητικό επίπεδο προστασίας για τα δεδομένα προσωπικού χαρακτήρα που διαβιβάζονται από την Ένωση σε οργανισμούς στις ΗΠΑ στο πλαίσιο της ασπίδας προστασίας της ιδιωτικής ζωής ΕΕ-ΗΠΑ.
2. Η ασπίδα προστασίας της ιδιωτικής ζωής ΕΕ-ΗΠΑ συνίσταται στις Αρχές που εκδόθηκαν από το Υπουργείο Εμπορίου των ΗΠΑ στις 7 Ιουλίου 2016, όπως παρατίθενται στο παράρτημα II, καθώς και στις επίσημες δηλώσεις και δεσμεύσεις που περιλαμβάνονται στα έγγραφα που απαριθμούνται στο παράρτημα I και στα παραρτήματα III έως VII.
3. Για τον σκοπό της παραγράφου 1, η διαβίβαση δεδομένων προσωπικού χαρακτήρα πραγματοποιείται στο πλαίσιο της ασπίδας προστασίας της ιδιωτικής ζωής ΕΕ–ΗΠΑ όταν τα δεδομένα διαβιβάζονται από την Ένωση σε οργανισμούς στις ΗΠΑ που περιλαμβάνονται στον “κατάλογο της ασπίδας προστασίας”, ο οποίος τηρείται και δημοσιοποιείται από το Υπουργείο Εμπορίου των ΗΠΑ, σύμφωνα με τα τμήματα I και III των Αρχών που παρατίθενται στο παράρτημα II.»
47 Το παράρτημα II της αποφάσεως ΑΠΙΖ, το οποίο επιγράφεται «Αρχές του πλαισίου της ασπίδας προστασίας της ιδιωτικής ζωής ΕΕ–ΗΠΑ που εξέδωσε το Υπουργείο Εμπορίου των Ηνωμένων Πολιτειών», προβλέπει στο σημείο I.5. ότι η προσχώρηση στις αρχές μπορεί να περιοριστεί, μεταξύ άλλων, από «απαιτήσεις εθνικής ασφάλειας, δημόσιου συμφέροντος ή επιβολής του νόμου».
48 Το παράρτημα III της αποφάσεως αυτής περιέχει την από 7 Ιουλίου 2016 επιστολή του John Kerry, τότε Secretary of State (Υπουργού Εξωτερικών, Ηνωμένες Πολιτείες), προς την Eπίτροπο για τη δικαιοσύνη, τους καταναλωτές και την ισότητα των φύλων, στην οποία επισυνάπτεται, ως παράρτημα A, υπόμνημα με τίτλο «Μηχανισμός Διαμεσολαβητή της ασπίδας προστασίας της ιδιωτικής ζωής ΕΕ–ΗΠΑ όσον αφορά τη συλλογή πληροφοριών σημάτων», όπου περιέχεται το ακόλουθο χωρίο:
«Αναγνωρίζοντας τη σημασία του πλαισίου της ασπίδας προστασίας της ιδιωτικής ζωής ΕΕ–ΗΠΑ, με το παρόν υπόμνημα ορίζεται η διαδικασία εφαρμογής ενός νέου μηχανισμού που συνάδει με την προεδρική οδηγία πολιτικής 28 (PPD‑28), όσον αφορά τη συλλογή πληροφοριών σημάτων.
[…] Ο πρόεδρος Obama ανακοίνωσε την έκδοση μιας νέας προεδρικής οδηγίας –της PPD‑28– στην οποία “θα περιγράφεται σαφώς τι κάνουμε και τι δεν κάνουμε στο πλαίσιο της παρακολούθησης που διεξάγουμε στο εξωτερικό”.
Στο τμήμα 4 στοιχείο δ) της PPD‑28 ανατίθεται στον Υπουργό Εξωτερικών των ΗΠΑ να ορίσει “Ανώτατο Συντονιστή για τη Διεθνή Διπλωματία στον Τομέα της Τεχνολογίας των Πληροφοριών” (Ανώτατο Συντονιστή) “που θα … αποτελεί το σημείο επαφής για τις ξένες κυβερνήσεις που επιθυμούν να εκφράσουν προβληματισμούς σχετικά με τις δραστηριότητες συλλογής πληροφοριών σημάτων που ασκούνται από τις Ηνωμένες Πολιτείες”.
[…]
1) [Ο Ανώτατος Συντονιστής] θα ενεργεί ως Διαμεσολαβητής της ασπίδας προστασίας και […] θα συνεργάζεται στενά με τους κατάλληλους υπαλλήλους από άλλα υπουργεία και υπηρεσίες, οι οποίοι είναι υπεύθυνοι για την επεξεργασία των αιτημάτων σύμφωνα με το εφαρμοστέο δίκαιο και τις πολιτικές των Ηνωμένων Πολιτειών. Ο Διαμεσολαβητής είναι ανεξάρτητος από την κοινότητα των υπηρεσιών πληροφοριών. Ο Διαμεσολαβητής αναφέρεται απευθείας στον Υπουργό Εξωτερικών ο οποίος διασφαλίζει ότι ο Διαμεσολαβητής εκτελεί τα καθήκοντά του αντικειμενικά και ελεύθερα από οποιανδήποτε ανάρμοστη επιρροή που ενδέχεται να έχει αντίκτυπο στην απάντηση που πρέπει να παρασχεθεί.
[…]»
49 Το παράρτημα VI της αποφάσεως ΑΠΙΖ περιέχει το από 21 Ιουνίου 2016 έγγραφο του γραφείου του Διευθυντή της Εθνικής Υπηρεσίας Πληροφοριών (Office of the Director of National Intelligence) προς το αμερικανικό Υπουργείο Εμπορίου και τη Διοίκηση Διεθνούς Εμπορίου, όπου διευκρινίζεται ότι η PPD‑28 επιτρέπει τη «“μαζική” συλλογή […] σχετικά μεγάλου όγκου πληροφοριών σημάτων ή δεδομένων σε περιστάσεις υπό τις οποίες η κοινότητα των υπηρεσιών πληροφοριών δεν μπορεί να χρησιμοποιήσει αναγνωριστικό που συνδέεται με συγκεκριμένο στόχο […] προκειμένου η συλλογή να είναι ειδικά εστιασμένη».
Η διαφορά της κύριας δίκης και τα προδικαστικά ερωτήματα
50 Ο M. Schrems, Αυστριακός υπήκοος και κάτοικος Αυστρίας, είναι χρήστης του μέσου κοινωνικής δικτύωσης Facebook (στο εξής: Facebook) από το 2008.
51 Όλοι οι χρήστες του Facebook που κατοικούν στο έδαφος της Ένωσης οφείλουν να υπογράψουν, κατά την εγγραφή τους, σύμβαση με τη Facebook Ireland, θυγατρική της Facebook Inc. η οποία έχει την έδρα της στις Ηνωμένες Πολιτείες. Τα δεδομένα προσωπικού χαρακτήρα των χρηστών του Facebook που κατοικούν εντός της Ένωσης διαβιβάζονται, εν όλω ή εν μέρει, σε διακομιστές που ανήκουν στη Facebook Inc. και είναι εγκατεστημένοι στις Ηνωμένες Πολιτείες, όπου τα δεδομένα αυτά υπόκεινται σε επεξεργασία.
52 Στις 25 Ιουνίου 2013, ο M. Schrems υπέβαλε στον ΕΠΔ καταγγελία με την οποία του ζήτησε, κατ’ ουσίαν, να απαγορεύσει στη Facebook Ireland τη διαβίβαση των προσωπικών δεδομένων του προς τις Ηνωμένες Πολιτείες, υποστηρίζοντας ότι η νομοθεσία και οι πρακτικές που ίσχυαν στη χώρα αυτή δεν εξασφάλιζαν επαρκή προστασία των εκεί αποθηκευόμενων δεδομένων προσωπικού χαρακτήρα από τις δραστηριότητες παρακολούθησης που διεξάγονταν εκεί εκ μέρους των δημοσίων αρχών. Η καταγγελία του απορρίφθηκε, με την αιτιολογία, μεταξύ άλλων, ότι η Επιτροπή είχε διαπιστώσει, με την απόφασή της 2000/520, ότι οι Ηνωμένες Πολιτείες εξασφάλιζαν ικανοποιητικό επίπεδο προστασίας.
53 Το High Court (ανώτερο δικαστήριο, Ιρλανδία), ενώπιον του οποίου ο M. Schrems είχε ασκήσει προσφυγή κατά της απόρριψης της καταγγελίας του, υπέβαλε στο Δικαστήριο αίτηση προδικαστικής αποφάσεως σχετικά με την ερμηνεία και το κύρος της αποφάσεως 2000/520. Με την απόφαση της 6ης Οκτωβρίου 2015, Schrems (C‑362/14, EU:C:2015:650), το Δικαστήριο κήρυξε ανίσχυρη την απόφαση εκείνη.
54 Κατόπιν της εκδόσεως της αποφάσεως του Δικαστηρίου, το αιτούν δικαστήριο ακύρωσε την απορριπτική απόφαση επί της καταγγελίας του M. Schrems και παρέπεμψε την καταγγελία στον ΕΠΔ. Στο πλαίσιο της έρευνας που κίνησε ο ΕΠΔ, η Facebook Ireland εξήγησε ότι μεγάλο μέρος των δεδομένων προσωπικού χαρακτήρα διαβιβαζόταν στη Facebook Inc. βάσει των τυποποιημένων ρητρών προστασίας δεδομένων οι οποίες περιλαμβάνονται στο παράρτημα της αποφάσεως ΤΡΠ. Λαμβανομένων υπόψη των στοιχείων αυτών, ο ΕΠΔ κάλεσε τον M. Schrems να αναδιατυπώσει την καταγγελία του.
55 Με την αναδιατυπωθείσα κατά τα άνω καταγγελία του, η οποία υποβλήθηκε την 1η Δεκεμβρίου 2015, ο M. Schrems ισχυρίστηκε, μεταξύ άλλων, ότι το αμερικανικό δίκαιο επιβάλλει στη Facebook Inc. να θέτει τα δεδομένα προσωπικού χαρακτήρα που της διαβιβάζονται στη διάθεση των αμερικανικών αρχών, όπως η National Security Agency (NSA) και το Federal Bureau of Investigation (FBI). Υποστήριξε ότι, αφού τα δεδομένα αυτά χρησιμοποιούνται στο πλαίσιο διαφόρων προγραμμάτων παρακολούθησης κατά τρόπο που δεν συμβιβάζεται με τα άρθρα 7, 8 και 47 του Χάρτη, η απόφαση ΤΡΠ δεν μπορεί να δικαιολογήσει τη διαβίβασή τους στις Ηνωμένες Πολιτείες. Υπό τις συνθήκες αυτές, ο M. Schrems ζήτησε από τον ΕΠΔ να απαγορεύσει ή να αναστείλει τη διαβίβαση των προσωπικών δεδομένων του προς τη Facebook Inc.
56 Στις 24 Μαΐου 2016, ο ΕΠΔ δημοσίευσε «σχέδιο αποφάσεως» στο οποίο συνοψίζονταν τα προσωρινά πορίσματα της έρευνάς του. Στο σχέδιο αυτό διατυπωνόταν η προσωρινή εκτίμηση ότι είναι πιθανόν οι αμερικανικές αρχές να συμβουλεύονται και να επεξεργάζονται τα διαβιβαζόμενα στις Ηνωμένες Πολιτείες δεδομένα προσωπικού χαρακτήρα των πολιτών της Ένωσης κατά τρόπο ασυμβίβαστο προς τα άρθρα 7 και 8 του Χάρτη και ότι το δίκαιο των Ηνωμένων Πολιτειών δεν παρέχει στους πολίτες αυτούς μέσα έννομης προστασίας που να συνάδουν με το άρθρο 47 του Χάρτη. Κατά τον ΕΠΔ, οι τυποποιημένες ρήτρες προστασίας δεδομένων οι οποίες περιλαμβάνονται στο παράρτημα της αποφάσεως ΤΡΠ δεν είναι ικανές να θεραπεύσουν την έλλειψη αυτή, στον βαθμό που παρέχουν στα υποκείμενα των δεδομένων αποκλειστικώς και μόνο συμβατικά δικαιώματα έναντι του εξαγωγέα και του εισαγωγέα των δεδομένων, χωρίς ωστόσο να δεσμεύουν τις αμερικανικές αρχές.
57 Εκτιμώντας ότι, υπό τις ως άνω συνθήκες, η αναδιατυπωθείσα καταγγελία του M. Schrems έθετε ζήτημα κύρους της αποφάσεως ΤΡΠ, ο ΕΠΔ προσέφυγε, στις 31 Μαΐου 2016, ενώπιον του High Court (ανώτερου δικαστηρίου), στηριζόμενος στη νομολογία που απορρέει από την απόφαση της 6ης Οκτωβρίου 2015, Schrems (C‑362/14, EU:C:2015:650, σκέψη 65), και ζητώντας από το δικαστήριο αυτό να υποβάλει στο Δικαστήριο αίτηση προδικαστικής αποφάσεως προς διευκρίνιση του συγκεκριμένου ζητήματος. Με απόφαση της 4ης Μαΐου 2018, το High Court (ανώτερο δικαστήριο) υπέβαλε στο Δικαστήριο την υπό κρίση αίτηση προδικαστικής αποφάσεως.
58 Το High Court (ανώτερο δικαστήριο) επισύναψε στη διάταξη περί παραπομπής την απόφαση της 3ης Οκτωβρίου 2017, στην οποία είχε καταγράψει το συμπέρασμα της εξέτασης των αποδεικτικών στοιχείων που προσκομίστηκαν ενώπιόν του στο πλαίσιο της εθνικής δίκης, στην οποία είχε μετάσχει η Αμερικανική Κυβέρνηση.
59 Στην απόφαση εκείνη, στην οποία παραπέμπει επανειλημμένως η αίτηση προδικαστικής αποφάσεως, το αιτούν δικαστήριο επισήμανε ότι, κατ’ αρχήν, έχει όχι μόνον το δικαίωμα αλλά και την υποχρέωση να εξετάζει το σύνολο των πραγματικών περιστατικών και των επιχειρημάτων που προβάλλονται ενώπιόν του, προκειμένου να κρίνει, βάσει αυτών, αν η προδικαστική παραπομπή είναι αναγκαία ή όχι. Εν πάση περιπτώσει, εκτιμά ότι οφείλει να λάβει υπόψη τυχόν τροποποιήσεις της νομοθεσίας οι οποίες επήλθαν μεταξύ της άσκησης του ενδίκου βοηθήματος και της διεξαγωγής της επ’ ακροατηρίου συζητήσεως ενώπιόν του. Το δικαστήριο αυτό διευκρίνισε ότι, στο πλαίσιο της κύριας δίκης, η δική του κρίση δεν περιορίζεται στους λόγους ανισχύρου τους οποίους προβάλλει ο ΕΠΔ, αφού μπορεί επίσης να εξετάσει αυτεπαγγέλτως και άλλους τέτοιους λόγους και, βάσει αυτών, να προχωρήσει σε προδικαστική παραπομπή.
60 Σύμφωνα με τις διαπιστώσεις που περιλαμβάνονται στην εν λόγω απόφαση, οι δραστηριότητες συλλογής πληροφοριών τις οποίες ασκούν οι αμερικανικές αρχές σε σχέση με τα δεδομένα προσωπικού χαρακτήρα που διαβιβάζονται στις Ηνωμένες Πολιτείες στηρίζονται, ειδικότερα, στο άρθρο 702 του FISA και στο E.O. 12333.
61 Όσον αφορά το άρθρο 702 του FISA, το αιτούν δικαστήριο διευκρινίζει, με την ίδια απόφαση, ότι το άρθρο αυτό, αφενός, επιτρέπει στον Γενικό Εισαγγελέα και στον Διευθυντή της Εθνικής Υπηρεσίας Πληροφοριών να δίνουν από κοινού, κατόπιν έγκρισης του FISC και με σκοπό την εξασφάλιση «πληροφοριών από την αλλοδαπή», άδεια παρακολούθησης μη Αμερικανών υπηκόων που βρίσκονται εκτός της επικράτειας των Ηνωμένων Πολιτειών και, αφετέρου, χρησιμεύει, μεταξύ άλλων, ως βάση των προγραμμάτων παρακολούθησης PRISM και UPSTREAM. Στο πλαίσιο του προγράμματος PRISM, οι πάροχοι υπηρεσιών διαδικτύου υποχρεούνται, σύμφωνα με τις διαπιστώσεις του αιτούντος δικαστηρίου, να παρέχουν στην NSA όλες τις επικοινωνίες από και προς έναν «επιλογέα», ενώ ένα μέρος τους διαβιβάζεται επίσης στο FBI και στη Central Intelligence Agency (CIA) (Κεντρική Υπηρεσία Πληροφοριών).
62 Όσον αφορά το πρόγραμμα UPSTREAM, το αιτούν δικαστήριο διαπίστωσε ότι, στο πλαίσιο του συγκεκριμένου προγράμματος, οι επιχειρήσεις τηλεπικοινωνιών οι οποίες εκμεταλλεύονται τη «ραχοκοκκαλιά» του διαδικτύου –δηλαδή το δίκτυο καλωδίων, διακοπτών και δρομολογητών– είναι υποχρεωμένες να επιτρέπουν στην NSA να αντιγράφει και να φιλτράρει τις ροές διαδικτυακής κίνησης προκειμένου να συλλέγει όσες επικοινωνίες προέρχονται από, απευθύνονται προς ή αφορούν τον μη Αμερικανό υπήκοο τον οποίο καλύπτει ένας «επιλογέας». Στο πλαίσιο του εν λόγω προγράμματος, η NSA έχει, σύμφωνα με τις διαπιστώσεις του ίδιου δικαστηρίου, πρόσβαση τόσο στα μεταδεδομένα όσο και στο περιεχόμενο των οικείων επικοινωνιών.
63 Όσον αφορά το ΕΟ 12333, το αιτούν δικαστήριο διαπιστώνει ότι το εκτελεστικό αυτό διάταγμα επιτρέπει στην NSA να έχει πρόσβαση σε δεδομένα «υπό διαμετακόμιση» προς τις Ηνωμένες Πολιτείες, μέσω των υποβρύχιων καλωδίων που είναι τοποθετημένα στον βυθό του Ατλαντικού, καθώς και να συλλέγει και να διατηρεί τα δεδομένα αυτά προτού φθάσουν στις Ηνωμένες Πολιτείες, όπου διέπονται πλέον από τις διατάξεις του FISA. Προσθέτει δε ότι οι δραστηριότητες οι οποίες στηρίζονται στο E.O. 12333 δεν ρυθμίζονται από τον νόμο.
64 Όσον αφορά τα όρια που τίθενται στις δραστηριότητες των Υπηρεσιών Πληροφοριών, το αιτούν δικαστήριο τονίζει ότι οι μη Αμερικανοί πολίτες υπόκεινται αποκλειστικώς στις διατάξεις της PPD‑28 και ότι η προεδρική αυτή οδηγία περιορίζεται να αναφέρει ότι οι δραστηριότητες των Υπηρεσιών Πληροφοριών πρέπει να είναι «όσο το δυνατόν πιο στοχευμένες» («as tailored as feasible»). Βάσει των ως άνω διαπιστώσεων, το αιτούν δικαστήριο εκτιμά ότι οι Ηνωμένες Πολιτείες προβαίνουν σε μαζική επεξεργασία δεδομένων, χωρίς να διασφαλίζουν προστασία ουσιαστικά ισοδύναμη με εκείνη την οποία εγγυώνται τα άρθρα 7 και 8 του Χάρτη.
65 Όσον αφορά τη δικαστική προστασία, το αιτούν δικαστήριο επισημαίνει ότι οι πολίτες της Ένωσης δεν έχουν πρόσβαση στα ίδια μέσα έννομης προστασίας που διαθέτουν οι Αμερικανοί υπήκοοι κατά της παράνομης επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τις αμερικανικές αρχές, δεδομένου ότι η τέταρτη τροποποίηση του Constitution of the United States (Συντάγματος των Ηνωμένων Πολιτειών), η οποία παρέχει, στο αμερικανικό δίκαιο, την πιο σημαντική προστασία κατά της παράνομης παρακολούθησης, δεν ισχύει για τους πολίτες της Ένωσης. Το αιτούν δικαστήριο διευκρινίζει επ’ αυτού ότι τα μέσα έννομης προστασίας που απομένουν στη διάθεση των πολιτών της Ένωσης προσκρούουν σε σημαντικά εμπόδια, ιδίως στην υποχρέωσή τους να θεμελιώσουν την ενεργητική νομιμοποίησή τους, υποχρέωση στην οποία –κατά την εκτίμηση του αιτούντος δικαστηρίου– είναι υπερβολικά δύσκολο να ανταποκριθούν. Εξάλλου, σύμφωνα με τις διαπιστώσεις του δικαστηρίου αυτού, οι δραστηριότητες της NSA οι οποίες στηρίζονται στο E.O. 12333 δεν υπόκεινται ούτε σε δικαστικό έλεγχο ούτε σε ένδικα βοηθήματα και μέσα. Τέλος, το αιτούν δικαστήριο εκτιμά ότι, εφόσον, κατά την άποψή του, ο Διαμεσολαβητής της ασπίδας προστασίας δεν αποτελεί δικαστήριο κατά την έννοια του άρθρου 47 του Χάρτη, το αμερικανικό δίκαιο δεν διασφαλίζει στους πολίτες της Ένωσης επίπεδο προστασίας ουσιαστικά ισοδύναμο με εκείνο το οποίο εγγυάται το θεμελιώδες δικαίωμα που κατοχυρώνεται στο ως άνω άρθρο.
66 Στην αίτησή του για την έκδοση προδικαστικής αποφάσεως, το αιτούν δικαστήριο διευκρινίζει περαιτέρω ότι οι διάδικοι της κύριας δίκης διαφωνούν, μεταξύ άλλων, ως προς το αν το δίκαιο της Ένωσης έχει εφαρμογή στις διαβιβάσεις, προς τρίτη χώρα, δεδομένων προσωπικού χαρακτήρα τα οποία είναι πιθανό να υφίστανται επεξεργασία από τις αρχές της τρίτης αυτής χώρας, ιδίως για σκοπούς εθνικής ασφάλειας, καθώς και ως προς το ποια στοιχεία πρέπει να λαμβάνονται υπόψη κατά την αξιολόγηση της επάρκειας του επιπέδου προστασίας που εξασφαλίζεται από την εν λόγω χώρα. Ειδικότερα, το αιτούν δικαστήριο επισημαίνει ότι, κατά τη Facebook Ireland, οι διαπιστώσεις της Επιτροπής σχετικά με την επάρκεια του επιπέδου προστασίας που εξασφαλίζεται από τρίτη χώρα, όπως οι διαπιστώσεις οι οποίες περιλαμβάνονται στην απόφαση ΑΠΙΖ, δεσμεύουν τις αρχές ελέγχου και στο πλαίσιο διαβίβασης δεδομένων προσωπικού χαρακτήρα στηριζόμενης στις τυποποιημένες ρήτρες προστασίας δεδομένων οι οποίες περιέχονται στο παράρτημα της αποφάσεως ΤΡΠ.
67 Όσον αφορά αυτές τις τυποποιημένες ρήτρες προστασίας δεδομένων, το αιτούν δικαστήριο διερωτάται αν η απόφαση ΤΡΠ μπορεί να θεωρηθεί έγκυρη, μολονότι, κατά το ίδιο πάντοτε δικαστήριο, οι προαναφερθείσες ρήτρες στερούνται δεσμευτικού χαρακτήρα έναντι των κρατικών αρχών της αντίστοιχης τρίτης χώρας και, κατά συνέπεια, δεν μπορούν να θεραπεύσουν την ενδεχόμενη έλλειψη ικανοποιητικού επιπέδου προστασίας στη χώρα αυτή. Ως προς το ζήτημα αυτό, εκτιμά ότι η δυνατότητα η οποία αναγνωριζόταν στις αρμόδιες αρχές των κρατών μελών από το άρθρο 4, παράγραφος 1, στοιχείο αʹ, της αποφάσεως 2010/87, ως είχε πριν από την έναρξη ισχύος της εκτελεστικής αποφάσεως 2016/2297, να απαγορεύουν τη διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα που επέβαλλε στον εισαγωγέα υποχρεώσεις ασυμβίβαστες προς τις εγγυήσεις τις οποίες περιέχουν οι ίδιες αυτές ρήτρες, αποδεικνύει ότι η κατάσταση του δικαίου της τρίτης χώρας μπορεί να δικαιολογήσει την απαγόρευση διαβίβασης δεδομένων, έστω και αν αυτή πραγματοποιείται βάσει των τυποποιημένων ρητρών προστασίας δεδομένων οι οποίες περιλαμβάνονται στο παράρτημα της αποφάσεως ΤΡΠ και, ως εκ τούτου, καθιστά σαφές ότι οι ρήτρες αυτές ενδέχεται να είναι ανεπαρκείς προς εξασφάλιση ικανοποιητικού επιπέδου προστασίας. Τούτου δοθέντος, το αιτούν δικαστήριο διερωτάται ως προς την έκταση της εξουσίας του ΕΠΔ να απαγορεύει διαβίβαση δεδομένων η οποία βασίζεται στις συγκεκριμένες ρήτρες, ενώ εκτιμά συγχρόνως ότι δεν αρκεί η ύπαρξη διακριτικής ευχέρειας για την εξασφάλιση ικανοποιητικού επιπέδου προστασίας.
68 Υπό τις συνθήκες αυτές, το High Court (ανώτερο δικαστήριο) αποφάσισε να αναστείλει την ενώπιόν του διαδικασία και να υποβάλει στο Δικαστήριο τα ακόλουθα προδικαστικά ερωτήματα:
«1) Σε περίπτωση που δεδομένα προσωπικού χαρακτήρα διαβιβάζονται από ιδιωτική εταιρία εγκατεστημένη σε κράτος μέλος της [Ένωσης] προς άλλη ιδιωτική εταιρία σε τρίτη χώρα για εμπορικούς σκοπούς, δυνάμει της αποφάσεως [ΤΡΠ], και υπόκεινται ενδεχομένως σε περαιτέρω επεξεργασία από τις αρχές της τρίτης χώρας για σκοπούς εθνικής ασφάλειας, αλλά και επιβολής του νόμου και διαχειρίσεως των εξωτερικών της υποθέσεων, τυγχάνει εφαρμογής το δίκαιο της Ένωσης (περιλαμβανομένου του Χάρτη) ανεξαρτήτως των διατάξεων του άρθρου 4, παράγραφος 2, ΣΕΕ, που αφορά την εθνική ασφάλεια, και του άρθρου 3, παράγραφος 2, πρώτη περίπτωση, της οδηγίας [95/46], που αφορά τη δημόσια ασφάλεια, την εθνική άμυνα και την ασφάλεια του κράτους;
2) α) Για να διαπιστωθεί εάν υφίσταται προσβολή των δικαιωμάτων ενός φυσικού προσώπου λόγω της διαβιβάσεως δεδομένων δυνάμει της αποφάσεως [ΤΡΠ] από την [Ένωση] προς τρίτη χώρα όπου ενδεχομένως τα δεδομένα θα υποστούν περαιτέρω επεξεργασία για σκοπούς εθνικής ασφάλειας, ποιο είναι, για τους σκοπούς της οδηγίας [95/46], το σημείο αναφοράς για την απαιτούμενη σύγκριση:
i) ο Χάρτης, η ΣΕΕ, η ΣΛΕΕ, η οδηγία [95/46], η [Ευρωπαϊκή Σύμβαση για την Προάσπιση των Δικαιωμάτων του Ανθρώπου και των Θεμελιωδών Ελευθεριών που υπογράφτηκε στη Ρώμη στις 4 Νοεμβρίου 1950], (ή οποιαδήποτε άλλη διάταξη του δικαίου της [Ένωσης]), ή
ii) το εθνικό δίκαιο ενός ή περισσοτέρων κρατών μελών;
β) Αν το σημείο αναφοράς είναι το ii, θα πρέπει να συνεκτιμηθούν στο πλαίσιο της συγκρίσεως και οι πρακτικές οι οποίες εφαρμόζονται, σε σχέση με την εθνική ασφάλεια, σε ένα ή περισσότερα κράτη μέλη;
3) Κατά την αξιολόγηση του κατά πόσον μια τρίτη χώρα διασφαλίζει το επίπεδο προστασίας το οποίο απαιτείται από το δίκαιο της Ένωσης για τα δεδομένα προσωπικού χαρακτήρα που διαβιβάζονται στη χώρα αυτή για τους σκοπούς του άρθρου 26 της οδηγίας [95/46], το επίπεδο προστασίας στην τρίτη χώρα πρέπει να αξιολογηθεί με βάση:
α) τους εφαρμοστέους κανόνες στην τρίτη χώρα, όπως απορρέουν από το εθνικό δίκαιο ή από τις διεθνείς δεσμεύσεις, και τις πρακτικές που έχουν σχεδιαστεί προκειμένου να διασφαλίζεται η συμμόρφωση με τους κανόνες αυτούς, περιλαμβανομένων των επαγγελματικών κανόνων και μέτρων ασφαλείας που τηρούνται στην τρίτη χώρα,
ή
β) τους κανόνες στους οποίους αναφέρεται το στοιχείο αʹ, σε συνδυασμό με τυχόν διοικητικές και κανονιστικές πρακτικές καθώς και πρακτικές συμμόρφωσης, εγγυήσεις, διαδικασίες, πρωτόκολλα, εποπτικούς μηχανισμούς και εξωδικαστικά μέσα έννομης προστασίας που υφίστανται στην τρίτη χώρα;
4) Λαμβανομένων υπόψη των πραγματικών περιστατικών που διαπίστωσε το High Court [(ανώτερο δικαστήριο)] αναφορικά με το δίκαιο των Ηνωμένων Πολιτειών, υφίσταται προσβολή των δικαιωμάτων των φυσικών προσώπων κατά τα άρθρα 7 ή/και 8 του Χάρτη, σε περίπτωση που διαβιβάζονται δεδομένα προσωπικού χαρακτήρα από την [Ένωση] προς τις Ηνωμένες Πολιτείες δυνάμει της αποφάσεως [ΤΡΠ];
5) Λαμβανομένων υπόψη των πραγματικών περιστατικών που διαπίστωσε το High Court [(ανώτερο δικαστήριο)] αναφορικά με το δίκαιο των Ηνωμένων Πολιτειών, σε περίπτωση που τα δεδομένα προσωπικού χαρακτήρα διαβιβάζονται από την [Ένωση] προς τις Ηνωμένες Πολιτείες δυνάμει της αποφάσεως [ΤΡΠ]:
α) το επίπεδο προστασίας που παρέχεται από τις Ηνωμένες Πολιτείες σέβεται το βασικό περιεχόμενο του δικαιώματος προσφυγής ενός φυσικού προσώπου σε περίπτωση προσβολής των δικαιωμάτων του/της περί προστασίας δεδομένων, όπως κατοχυρώνεται στο άρθρο 47 του Χάρτη;
Σε περίπτωση καταφατικής απαντήσεως στο πέμπτο ερώτημα στοιχείο αʹ:
β) Είναι οι περιορισμοί που επιβάλλονται από το δίκαιο των Ηνωμένων Πολιτειών στο δικαίωμα δικαστικής προσφυγής ενός φυσικού προσώπου σε πλαίσιο που άπτεται της εθνικής ασφάλειας των Ηνωμένων Πολιτειών, αναλογικοί κατά την έννοια του άρθρου 52 του Χάρτη και μη υπερβαίνοντες το μέτρο του αναγκαίου για σκοπούς εθνικής ασφάλειας σε μια δημοκρατική κοινωνία;
6) α) Ποιο είναι το απαιτούμενο επίπεδο προστασίας σε σχέση με προσωπικά δεδομένα τα οποία διαβιβάζονται προς τρίτη χώρα δυνάμει τυποποιημένων συμβατικών ρητρών που συνάπτονται σύμφωνα με απόφαση της Επιτροπής κατά την έννοια του άρθρου 26, παράγραφος 4, [της οδηγίας 95/46], λαμβανομένων υπόψη των διατάξεων της οδηγίας [95/46], και ειδικότερα των άρθρων 25 και 26, υπό το πρίσμα του Χάρτη;
β) Ποια είναι τα στοιχεία που πρέπει να λαμβάνονται υπόψη όταν αξιολογείται κατά πόσον το επίπεδο προστασίας δεδομένων που διαβιβάζονται προς τρίτη χώρα δυνάμει της αποφάσεως [ΤΡΠ] πληροί τις απαιτήσεις της οδηγίας [95/46] και του Χάρτη;
7) Το γεγονός ότι οι τυποποιημένες συμβατικές ρήτρες εφαρμόζονται μεταξύ του εξαγωγέα δεδομένων και του εισαγωγέα δεδομένων και δεν είναι δεσμευτικές για τις εθνικές αρχές τρίτης χώρας, η οποία ενδέχεται να απαιτήσει από εισαγωγέα δεδομένων να θέσει τα δεδομένα που διαβιβάστηκαν δυνάμει των προβλεπόμενων στην απόφαση [ΤΡΠ] ρητρών στη διάθεση των υπηρεσιών ασφαλείας της, προκειμένου να υποστούν περαιτέρω επεξεργασία, σημαίνει ότι αποκλείεται να προκύπτουν από τις ρήτρες επαρκείς εγγυήσεις κατά την έννοια του άρθρου 26, παράγραφος 2, της οδηγίας [95/46];
8) Σε περίπτωση που εισαγωγέας δεδομένων από τρίτη χώρα υπόκειται σε νομικό πλαίσιο παρακολουθήσεως, το οποίο κατά την άποψη μιας αρχής προστασίας δεδομένων συγκρούεται με τις [τυποποιημένες ρήτρες προστασίας] ή με τα άρθρα 25 και 26 της οδηγίας [95/46] ή/και με τον Χάρτη, είναι η αντίστοιχη αρχή προστασίας δεδομένων υποχρεωμένη να ασκήσει τις εξουσίες της από το άρθρο 28, παράγραφος 3, της οδηγίας [95/46] για να αναστείλει τις ροές δεδομένων, ή ασκούνται οι εξουσίες αυτές μόνο σε εξαιρετικές περιπτώσεις, λαμβανομένης υπόψη της αιτιολογικής σκέψης 11 της αποφάσεως [ΤΡΠ], ή μήπως μπορεί η αρχή προστασίας δεδομένων να στηριχθεί στη διακριτική της ευχέρεια και να μην αναστείλει τις ροές δεδομένων;
9) α) Για τους σκοπούς του άρθρου 25, παράγραφος 6, της οδηγίας [95/46], συνιστά η απόφαση [ΑΠΙΖ] γενικής ισχύος διαπίστωση, δεσμευτική τόσο για τις αρχές προστασίας δεδομένων όσο και για τα δικαστήρια των κρατών μελών, από την οποία απορρέει ότι οι Ηνωμένες Πολιτείες διασφαλίζουν ικανοποιητικό επίπεδο προστασίας κατά την έννοια του άρθρου 25, παράγραφος 2, της οδηγίας [95/46], λόγω του εθνικού τους δικαίου ή των διεθνών δεσμεύσεων που έχουν αναλάβει;
β) Σε περίπτωση αρνητικής απαντήσεως, ασκεί τυχόν επιρροή η απόφαση [ΑΠΙΖ] στην αξιολόγηση της επάρκειας των εγγυήσεων οι οποίες παρέχονται σε σχέση με τα δεδομένα που διαβιβάζονται προς τις Ηνωμένες Πολιτείες δυνάμει της αποφάσεως [ΤΡΠ];
10) Λαμβανομένων υπόψη των διαπιστώσεων του High Court [(ανώτερου δικαστηρίου)] σχετικά με το δίκαιο των Ηνωμένων Πολιτειών, διασφαλίζει η θέσπιση του μηχανισμού του Διαμεσολαβητή της ασπίδας προστασίας της ιδιωτικής ζωής σύμφωνα με το παράρτημα Α του παραρτήματος ΙΙΙ της αποφάσεως [ΑΠΙΖ], σε συνδυασμό με το υπάρχον καθεστώς στις Ηνωμένες Πολιτείες, ότι οι Ηνωμένες Πολιτείες παρέχουν συμβατή με το άρθρο 47 του Χάρτη έννομη προστασία στους ενδιαφερομένους των οποίων τα δεδομένα προσωπικού χαρακτήρα διαβιβάστηκαν προς τις Ηνωμένες Πολιτείες δυνάμει της αποφάσεως [ΤΡΠ];
11) Αντιβαίνει η απόφαση [ΤΡΠ] στα άρθρα 7, 8 και 47 του Χάρτη;»
Επί του παραδεκτού της αιτήσεως προδικαστικής αποφάσεως
69 Η Facebook Ireland καθώς και η Γερμανική Κυβέρνηση και η Κυβέρνηση του Ηνωμένου Βασιλείου υποστηρίζουν ότι η αίτηση προδικαστικής αποφάσεως είναι απαράδεκτη.
70 Όσον αφορά την ένσταση που προέβαλε η Facebook Ireland, η εταιρία αυτή παρατηρεί ότι οι διατάξεις της οδηγίας 95/46 στις οποίες στηρίζονται τα προδικαστικά ερωτήματα καταργήθηκαν από τον ΓΚΠΔ.
71 Επ’ αυτού, μολονότι είναι αληθές ότι η οδηγία 95/46 καταργήθηκε από τις 25 Μαΐου 2018 δυνάμει του άρθρου 94, παράγραφος 1, του ΓΚΠΔ, η οδηγία αυτή εξακολουθούσε να ισχύει κατά τον χρόνο καταρτίσεως, στις 4 Μαΐου 2018, της υπό κρίση αιτήσεως προδικαστικής αποφάσεως, η οποία περιήλθε στο Δικαστήριο στις 9 Μαΐου 2018. Επιπλέον, το άρθρο 3, παράγραφος 2, πρώτη περίπτωση, τα άρθρα 25 και 26 καθώς και το άρθρο 28, παράγραφος 3, της οδηγίας 95/46, στα οποία αναφέρονται τα προδικαστικά ερωτήματα, επαναλαμβάνονται κατ’ ουσίαν, στο άρθρο 2, παράγραφος 2, καθώς και στα άρθρα 45, 46 και 58 του ΓΚΠΔ αντιστοίχως. Εξάλλου, υπενθυμίζεται ότι αποστολή του Δικαστηρίου είναι να ερμηνεύει όλες τις διατάξεις του δικαίου της Ένωσης τις οποίες έχουν ανάγκη τα εθνικά δικαστήρια προκειμένου να αποφανθούν επί των διαφορών που υποβάλλονται στην κρίση τους, ακόμη και όταν οι διατάξεις αυτές δεν μνημονεύονται ρητώς στα ερωτήματα που του απευθύνουν τα εν λόγω δικαστήρια (απόφαση της 2ας Απριλίου 2020, Ruska Federacija, C‑897/19 PPU, EU:C:2020:262, σκέψη 43 και εκεί μνημονευόμενη νομολογία). Για όλους αυτούς τους λόγους, το γεγονός ότι το αιτούν δικαστήριο διατύπωσε τα προδικαστικά ερωτήματα παραπέμποντας αποκλειστικώς στις διατάξεις της οδηγίας 95/46 δεν είναι δυνατόν να συνεπάγεται το απαράδεκτο της υπό κρίση αιτήσεως προδικαστικής αποφάσεως.
72 Από την πλευρά της, η Γερμανική Κυβέρνηση στηρίζει την ένσταση απαραδέκτου, αφενός, στο ότι ο ΕΠΔ εξέφρασε μόνον αμφιβολίες, και όχι οριστική άποψη ως προς το ζήτημα του κύρους της αποφάσεως ΤΡΠ και, αφετέρου, στο ότι το αιτούν δικαστήριο παρέλειψε να ελέγξει αν ο M. Schrems είχε δώσει αναμφισβήτητα τη συγκατάθεσή του για τις επίμαχες στην κύρια δίκη διαβιβάσεις δεδομένων, πράγμα το οποίο, αν συνέβη, θα είχε ως αποτέλεσμα να καταστεί περιττή η απάντηση στο ερώτημα αυτό. Τέλος, κατά την Κυβέρνηση του Ηνωμένου Βασιλείου, τα προδικαστικά ερωτήματα έχουν υποθετικό χαρακτήρα, δεδομένου ότι το αιτούν δικαστήριο δεν διαπίστωσε ότι τα δεδομένα αυτά είχαν όντως διαβιβαστεί βάσει της συγκεκριμένης αποφάσεως.
73 Κατά πάγια νομολογία του Δικαστηρίου, ο εθνικός δικαστής, ο οποίος έχει επιληφθεί της διαφοράς και φέρει την ευθύνη για τη δικαστική απόφαση που πρόκειται να εκδοθεί, είναι αποκλειστικώς αρμόδιος να εκτιμήσει, με γνώμονα τις ιδιαιτερότητες της υπόθεσης, τόσο αν η προδικαστική απόφαση είναι αναγκαία για την έκδοση της δικής του αποφάσεως όσο και αν τα ερωτήματα που υποβάλλει στο Δικαστήριο είναι λυσιτελή. Συνεπώς, εφόσον τα υποβαλλόμενα ερωτήματα αφορούν την ερμηνεία ή το κύρος κανόνα του δικαίου της Ένωσης, το Δικαστήριο οφείλει κατ’ αρχήν να απαντήσει. Επομένως, τα ερωτήματα τα οποία υποβάλλονται από τα εθνικά δικαστήρια θεωρούνται, κατά τεκμήριο, λυσιτελή. Το Δικαστήριο μπορεί να αρνηθεί να απαντήσει σε προδικαστικό ερώτημα εθνικού δικαστηρίου μόνον όταν προκύπτει ότι η ερμηνεία την οποία ζητεί το εθνικό δικαστήριο δεν έχει καμία σχέση με το υποστατό ή με το αντικείμενο της διαφοράς της κύριας δίκης, αν το πρόβλημα είναι υποθετικής φύσης ή ακόμη αν το Δικαστήριο δεν διαθέτει τα πραγματικά και νομικά στοιχεία που είναι αναγκαία προκειμένου να δώσει χρήσιμη απάντηση στα εν λόγω ερωτήματα (αποφάσεις της 16ης Ιουνίου 2015, Gauweiler κ.λπ., C‑62/14, EU:C:2015:400, σκέψεις 24 και 25· της 2ας Οκτωβρίου 2018, Ministerio Fiscal, C‑207/16, EU:C:2018:788, σκέψη 45, και της 19ης Δεκεμβρίου 2019, Dobersberger, C‑16/18, EU:C:2019:1110, σκέψεις 18 και 19).
74 Εν προκειμένω, η αίτηση προδικαστικής αποφάσεως περιέχει επαρκή πραγματικά και νομικά στοιχεία ώστε να γίνει κατανοητό το νόημα των προδικαστικών ερωτημάτων. Επιπλέον και κυρίως, από κανένα στοιχείο της δικογραφίας που έχει στη διάθεσή του το Δικαστήριο δεν μπορεί να συναχθεί ότι η ζητούμενη ερμηνεία του δικαίου της Ένωσης ουδεμία σχέση έχει με το υποστατό ή με το αντικείμενο της διαφοράς της κύριας δίκης ή ότι είναι υποθετικής φύσης, παραδείγματος χάριν διότι η επίμαχη στην υπόθεση της κύριας δίκης διαβίβαση δεδομένων προσωπικού χαρακτήρα στηρίζεται στη ρητή συγκατάθεση του ενδιαφερομένου για τη διαβίβαση αυτή, και όχι στην απόφαση ΤΡΠ. Συγκεκριμένα, σύμφωνα με τα στοιχεία τα οποία περιέχονται στην αίτηση αυτή, η Facebook Ireland αναγνώρισε ότι διαβιβάζει στη Facebook Inc. τα δεδομένα προσωπικού χαρακτήρα των συνδρομητών της που κατοικούν εντός της Ένωσης και ότι μεγάλο μέρος των διαβιβάσεων αυτών, των οποίων τη νομιμότητα αμφισβητεί ο M. Schrems, πραγματοποιείται βάσει των περιλαμβανόμενων στο παράρτημα της αποφάσεως ΤΡΠ τυποποιημένων ρητρών προστασίας δεδομένων.
75 Εξάλλου, δεν ασκεί επιρροή επί του παραδεκτού της υπό κρίση αιτήσεως προδικαστικής αποφάσεως το ότι ο ΕΠΔ δεν διατύπωσε οριστική άποψη επί του κύρους της αποφάσεως αυτής, εφόσον το αιτούν δικαστήριο εκτιμά ότι η απάντηση στα προδικαστικά ερωτήματα που αφορούν την ερμηνεία και το κύρος κανόνων του δικαίου της Ένωσης είναι αναγκαία για την επίλυση της διαφοράς της κύριας δίκης.
76 Συνεπώς, η αίτηση προδικαστικής αποφάσεως είναι παραδεκτή.
Επί των προδικαστικών ερωτημάτων
77 Υπενθυμίζεται προκαταρκτικώς ότι η υπό κρίση αίτηση προδικαστικής αποφάσεως υποβλήθηκε κατόπιν καταγγελίας του M. Schrems με την οποία ζητήθηκε από τον ΕΠΔ να διατάξει την αναστολή ή την απαγόρευση, στο μέλλον, της διαβίβασης προσωπικών δεδομένων του από τη Facebook Ireland προς τη Facebook Inc. Ενώ όμως τα προδικαστικά ερωτήματα παραπέμπουν στις διατάξεις της οδηγίας 95/46, δεν αμφισβητείται ότι ο ΕΠΔ δεν είχε ακόμη λάβει τελική απόφαση επί της καταγγελίας αυτής όταν η ως άνω οδηγία καταργήθηκε και αντικαταστάθηκε από τον ΓΚΠΔ, με ισχύ από τις 25 Μαΐου 2018.
78 Το γεγονός ότι δεν υπάρχει εθνική διοικητική απόφαση διακρίνει την προκειμένη περίπτωση από εκείνες επί των οποίων εκδόθηκαν οι αποφάσεις της 24ης Σεπτεμβρίου 2019, Google (Εδαφικό πεδίο της διαγραφής συνδέσμων) (C‑507/17, EU:C:2019:772), και της 1ης Οκτωβρίου 2019, Planet49 (C‑673/17, EU:C:2019:801), που είχαν ως αντικείμενο διοικητικές αποφάσεις εκδοθείσες πριν από την κατάργηση της εν λόγω οδηγίας.
79 Επομένως, η απάντηση στα προδικαστικά ερωτήματα πρέπει να δοθεί υπό το πρίσμα των διατάξεων του ΓΚΠΔ, και όχι των διατάξεων της οδηγίας 95/46.
Επί του πρώτου προδικαστικού ερωτήματος
80 Με το πρώτο προδικαστικό ερώτημα, το αιτούν δικαστήριο ζητεί, κατ’ ουσίαν, να διευκρινιστεί αν το άρθρο 2, παράγραφος 1, και το άρθρο 2, παράγραφος 2, στοιχεία αʹ, βʹ και γʹ, του ΓΚΠΔ, όπως ερμηνεύονται σε συνδυασμό με το άρθρο 4, παράγραφος 2, ΣΕΕ, έχουν την έννοια ότι εμπίπτει στο πεδίο εφαρμογής του κανονισμού αυτού η διαβίβαση δεδομένων προσωπικού χαρακτήρα από οικονομικό φορέα εγκατεστημένο σε κράτος μέλος προς άλλον οικονομικό φορέα εγκατεστημένο σε τρίτη χώρα, όταν, κατά τη διάρκεια ή κατόπιν της διαβίβασης αυτής, τα δεδομένα ενδέχεται να υποστούν επεξεργασία από τις αρχές της τρίτης χώρας για σκοπούς δημόσιας ασφάλειας, εθνικής άμυνας και ασφάλειας του κράτους.
81 Επισημαίνεται, συναφώς, εκ προοιμίου ότι η διάταξη του άρθρου 4, παράγραφος 2, ΣΕΕ, κατά την οποία, εντός της Ένωσης, η εθνική ασφάλεια παραμένει ευθύνη κάθε κράτους μέλους, αφορά αποκλειστικώς τα κράτη μέλη της Ένωσης. Κατά συνέπεια, η διάταξη αυτή δεν ασκεί εν προκειμένω επιρροή για την ερμηνεία του άρθρου 2, παράγραφος 1, και του άρθρου 2, παράγραφος 2, στοιχεία αʹ, βʹ και δʹ, του ΓΚΠΔ.
82 Κατά το άρθρο 2, παράγραφος 1, του ΓΚΠΔ, ο κανονισμός αυτός εφαρμόζεται στην, εν όλω ή εν μέρει, αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα, καθώς και στη μη αυτοματοποιημένη επεξεργασία τέτοιων δεδομένων τα οποία περιλαμβάνονται ή πρόκειται να περιληφθούν σε σύστημα αρχειοθέτησης. Το άρθρο 4, σημείο 2, του ως άνω κανονισμού ορίζει την έννοια της «επεξεργασίας» ως «κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα» και παραθέτει, ως παραδείγματα, την «κοινολόγηση με διαβίβαση, [τ]η διάδοση ή κάθε άλλη μορφή διάθεσης», χωρίς να διακρίνει ανάλογα με το αν οι πράξεις αυτές διενεργούνται στο εσωτερικό της Ένωσης ή συνδέονται με τρίτη χώρα. Πέραν τούτου, ο εν λόγω κανονισμός υποβάλλει τη διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες σε ειδικούς κανόνες που περιλαμβάνονται στο κεφάλαιο V, υπό τον τίτλο «Διαβιβάσεις δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες ή διεθνείς οργανισμούς», και παρέχει, επιπλέον, στις αρχές ελέγχου ειδικές εξουσίες προς τούτο, οι οποίες μνημονεύονται στο άρθρο 58, παράγραφος 2, στοιχείο ιʹ, του ίδιου κανονισμού.
83 Επομένως, η πράξη που συνίσταται στη διαβίβαση δεδομένων προσωπικού χαρακτήρα από κράτος μέλος προς τρίτη χώρα συνιστά, αυτή καθεαυτήν, επεξεργασία δεδομένων προσωπικού χαρακτήρα κατά την έννοια του άρθρου 4, σημείο 2, του ΓΚΠΔ, πραγματοποιούμενη σε κράτος μέλος, επί της οποίας ο ΓΚΠΔ έχει εφαρμογή δυνάμει του άρθρου 2, παράγραφος 1, του ίδιου αυτού κανονισμού (βλ. κατ’ αναλογίαν, όσον αφορά το άρθρο 2, στοιχείο βʹ, και το άρθρο 3, παράγραφος 1, της οδηγίας 95/46, απόφαση της 6ης Οκτωβρίου 2015, Schrems, C‑362/14, EU:C:2015:650, σκέψη 45 και εκεί μνημονευόμενη νομολογία).
84 Ως προς το ζήτημα αν μια τέτοια πράξη μπορεί να θεωρηθεί ότι εξαιρείται από το πεδίο εφαρμογής του ΓΚΠΔ δυνάμει του άρθρου 2, παράγραφος 2, του εν λόγω κανονισμού, υπενθυμίζεται ότι η συγκεκριμένη διάταξη προβλέπει εξαιρέσεις από το πεδίο εφαρμογής του ως άνω κανονισμού, όπως αυτό ορίζεται στο άρθρο 2, παράγραφος 1, και ότι οι προαναφερθείσες εξαιρέσεις πρέπει να ερμηνεύονται στενά (βλ. κατ’ αναλογίαν, όσον αφορά το άρθρο 3, παράγραφος 2, της οδηγίας 95/46, απόφαση της 10ης Ιουλίου 2018, Jehovan Todistajat, C‑25/17, EU:C:2018:551, σκέψη 37 και εκεί μνημονευόμενη νομολογία).
85 Εν προκειμένω, εφόσον η επίμαχη στην υπόθεση της κύριας δίκης διαβίβαση δεδομένων προσωπικού χαρακτήρα πραγματοποιείται από τη Facebook Ireland προς τη Facebook Inc., ήτοι μεταξύ δύο νομικών προσώπων, η διαβίβαση αυτή δεν εμπίπτει στο άρθρο 2, παράγραφος 2, στοιχείο γʹ, του ΓΚΠΔ, το οποίο αφορά την επεξεργασία δεδομένων που πραγματοποιείται από φυσικό πρόσωπο στο πλαίσιο αυστηρά προσωπικής ή οικιακής δραστηριότητας. Η επίμαχη διαβίβαση δεν καλύπτεται ούτε από τις εξαιρέσεις του άρθρου 2 παράγραφος 2, στοιχεία αʹ, βʹ και δʹ, του κανονισμού αυτού, δεδομένου ότι οι δραστηριότητες οι οποίες αναφέρονται εκεί ως παραδείγματα είναι, σε όλες τις περιπτώσεις, δραστηριότητες που ασκούνται από κράτη ή από κρατικές αρχές και δεν άπτονται των τομέων δραστηριότητας των ιδιωτών (βλ. κατ’ αναλογίαν, όσον αφορά το άρθρο 3, παράγραφος 2, της οδηγίας 95/46, απόφαση της 10ης Ιουλίου 2018, Jehovan Todistajat, C‑25/17, EU:C:2018:551, σκέψη 38 και εκεί μνημονευόμενη νομολογία).
86 Το δε ενδεχόμενο να υφίστανται τα δεδομένα προσωπικού χαρακτήρα, τα οποία διαβιβάζονται μεταξύ δύο οικονομικών φορέων για εμπορικούς σκοπούς, επεξεργασία από τις αρχές της αντίστοιχης τρίτης χώρας, κατά τη διάρκεια ή κατόπιν της διαβίβασης, για λόγους δημόσιας ασφάλειας, εθνικής άμυνας και ασφάλειας του κράτους δεν σημαίνει ότι εξαιρείται η διαβίβαση αυτή από το πεδίο εφαρμογής του ΓΚΠΔ.
87 Άλλωστε, στον βαθμό που επιβάλλεται ρητώς στην Επιτροπή η υποχρέωση, όταν αξιολογεί την επάρκεια του επιπέδου της προστασίας που παρέχεται από τρίτη χώρα, να λαμβάνει υπόψη, μεταξύ άλλων, «τη σχετική νομοθεσία, τόσο τη γενική όσο και την τομεακή, μεταξύ άλλων όσον αφορά τη δημόσια ασφάλεια, την άμυνα, την εθνική ασφάλεια και το ποινικό δίκαιο και την πρόσβαση των δημόσιων αρχών σε δεδομένα προσωπικού χαρακτήρα, καθώς και την εφαρμογή αυτής της νομοθεσίας», το ίδιο το γράμμα του άρθρου 45, παράγραφος 2, στοιχείο αʹ, του κανονισμού αυτού καθιστά σαφές ότι η ενδεχόμενη επεξεργασία, από τρίτη χώρα, των οικείων δεδομένων για σκοπούς δημόσιας ασφάλειας, εθνικής άμυνας και ασφάλειας του κράτους δεν αναιρεί το συμπέρασμα ότι ο εν λόγω κανονισμός έχει εφαρμογή στην περίπτωση της επίμαχης διαβίβασης.
88 Επομένως, μια τέτοια διαβίβαση δεν πρέπει να εξαιρείται από το πεδίο εφαρμογής του ΓΚΠΔ επειδή τα επίμαχα δεδομένα ενδέχεται να υφίστανται επεξεργασία, κατά τη διάρκεια ή κατόπιν της διαβίβασης αυτής, από τις αρχές της αντίστοιχης τρίτης χώρας για λόγους δημόσιας ασφάλειας, εθνικής άμυνας και ασφάλειας του κράτους.
89 Ως εκ τούτου, στο πρώτο προδικαστικό ερώτημα πρέπει να δοθεί η απάντηση ότι το άρθρο 2, παράγραφοι 1 και 2, του ΓΚΠΔ έχει την έννοια ότι εμπίπτει στο πεδίο εφαρμογής του κανονισμού αυτού η διαβίβαση δεδομένων προσωπικού χαρακτήρα η οποία πραγματοποιείται για εμπορικούς σκοπούς από οικονομικό φορέα εγκατεστημένο σε κράτος μέλος προς άλλον οικονομικό φορέα εγκατεστημένο σε τρίτη χώρα, ανεξαρτήτως του ότι, κατά τη διάρκεια ή κατόπιν της διαβίβασης αυτής, τα δεδομένα ενδέχεται να υποστούν επεξεργασία από τις αρχές της αντίστοιχης τρίτης χώρας για λόγους δημόσιας ασφάλειας, εθνικής άμυνας και ασφάλειας του κράτους.
Επί του δεύτερου, του τρίτου και του έκτου προδικαστικού ερωτήματος
90 Με το δεύτερο, το τρίτο και το έκτο προδικαστικό ερώτημα, το αιτούν δικαστήριο ζητεί, κατ’ ουσίαν, από το Δικαστήριο να αποσαφηνίσει ποιο είναι το απαιτούμενο επίπεδο προστασίας κατά το άρθρο 46, παράγραφος 1, και κατά το άρθρο 46, παράγραφος 2, στοιχείο γʹ, του ΓΚΠΔ στο πλαίσιο διαβίβασης δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα βάσει τυποποιημένων ρητρών προστασίας δεδομένων. Ειδικότερα, το αιτούν δικαστήριο ζητεί από το Δικαστήριο να διευκρινίσει ποια στοιχεία πρέπει να λαμβάνονται υπόψη προκειμένου να κριθεί αν αυτό το επίπεδο προστασίας διασφαλίζεται στο πλαίσιο μιας τέτοιας διαβίβασης.
91 Ως προς το απαιτούμενο επίπεδο προστασίας, από τον συνδυασμό των ως άνω διατάξεων προκύπτει ότι, ελλείψει αποφάσεως επάρκειας εκδοθείσας βάσει του άρθρου 45, παράγραφος 3, του κανονισμού αυτού, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία μπορεί να διαβιβάσει δεδομένα προσωπικού χαρακτήρα προς τρίτη χώρα μόνον εφόσον έχει προβλέψει «κατάλληλες εγγυήσεις» και υπό την προϋπόθεση ότι τα υποκείμενα των δεδομένων διαθέτουν «εκτελεστά δικαιώματα και αποτελεσματικά ένδικα μέσα», οι δε κατάλληλες εγγυήσεις είναι δυνατόν να παρέχονται, μεταξύ άλλων, μέσω τυποποιημένων ρητρών προστασίας δεδομένων οι οποίες θεσπίζονται από την Επιτροπή.
92 Μολονότι το άρθρο 46 του ΓΚΠΔ δεν διευκρινίζει το είδος των απαιτήσεων που απορρέουν από την αναφορά αυτή σε «κατάλληλες εγγυήσεις», σε «εκτελεστά δικαιώματα» και σε «αποτελεσματικά ένδικα μέσα», διαπιστώνεται ότι το συγκεκριμένο άρθρο περιλαμβάνεται στο κεφάλαιο V του ΓΚΠΔ και, ως εκ τούτου, πρέπει να ερμηνευθεί σε συνδυασμό με το άρθρο 44 του κανονισμού αυτού, το οποίο φέρει τον τίτλο «Γενικές αρχές για διαβιβάσεις» και ορίζει ότι «[ό]λες οι διατάξεις του [κεφαλαίου αυτού] εφαρμόζονται με σκοπό να διασφαλίζεται ότι το επίπεδο προστασίας των φυσικών προσώπων που εγγυάται [ο ίδιος] κανονισμός δεν υπονομεύεται». Κατά συνέπεια, το επίπεδο αυτό προστασίας πρέπει να διασφαλίζεται ανεξαρτήτως του ποια είναι η διάταξη του εν λόγω κεφαλαίου βάσει της οποίας πραγματοποιείται η διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα.
93 Πράγματι, όπως επισήμανε ο γενικός εισαγγελέας στο σημείο 117 των προτάσεών του, οι διατάξεις του κεφαλαίου V του ΓΚΠΔ αποσκοπούν στη διασφάλιση της συνέχειας του υψηλού επιπέδου της προστασίας αυτής σε περίπτωση διαβίβασης δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα, σύμφωνα με τον σκοπό που εκτίθεται ειδικότερα στην αιτιολογική σκέψη 6 του κανονισμού αυτού.
94 Το άρθρο 45, παράγραφος 1, πρώτη περίοδος, του ΓΚΠΔ προβλέπει ότι η διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα μπορεί να επιτραπεί με απόφαση με την οποία η Επιτροπή διαπιστώνει ότι στην τρίτη αυτή χώρα, σε έδαφός της ή σε έναν ή περισσότερους συγκεκριμένους τομείς στο εσωτερικό της διασφαλίζεται ικανοποιητικό επίπεδο προστασίας. Ως προς το ζήτημα αυτό, χωρίς να απαιτείται από την οικεία τρίτη χώρα να εγγυάται επίπεδο προστασίας ίδιο με εκείνο το οποίο διασφαλίζεται στην έννομη τάξη της Ένωσης, η έκφραση «ικανοποιητικό επίπεδο προστασίας» πρέπει να γίνεται αντιληπτή, όπως επιβεβαιώνει η αιτιολογική σκέψη 104 του ίδιου κανονισμού, υπό την έννοια ότι απαιτείται από την τρίτη αυτή χώρα να εξασφαλίζει πράγματι, μέσω της εσωτερικής νομοθεσίας της ή των διεθνών δεσμεύσεων που έχει αναλάβει, επίπεδο προστασίας των θεμελιωδών ελευθεριών και δικαιωμάτων ουσιαστικά ισοδύναμο με εκείνο το οποίο διασφαλίζεται εντός της Ένωσης δυνάμει του εν λόγω κανονισμού, όπως ερμηνεύεται σε συνδυασμό με τον Χάρτη. Πράγματι, ελλείψει μιας τέτοιας απαιτήσεως, θα υπονομευόταν ο σκοπός για τον οποίο έγινε λόγος στην προηγούμενη σκέψη (βλ. κατ’ αναλογίαν, όσον αφορά το άρθρο 25, παράγραφος 6, της οδηγίας 95/46, απόφαση της 6ης Οκτωβρίου 2015, Schrems, C‑362/14, EU:C:2015:650, σκέψη 73).
95 Στο πλαίσιο αυτό, η αιτιολογική σκέψη 107 του ΓΚΠΔ αναφέρει ότι, όταν «μια τρίτη χώρα, έδαφος ή συγκεκριμένος τομέας μιας τρίτης χώρας […] δεν διασφαλίζουν πλέον επαρκές επίπεδο προστασίας των δεδομένων […], θα πρέπει να απαγορεύεται η διαβίβαση δεδομένων προσωπικού χαρακτήρα στη συγκεκριμένη τρίτη χώρα […], εκτός εάν πληρούνται οι απαιτήσεις [του κανονισμού αυτού] σχετικά με διαβιβάσεις υπό την επιφύλαξη κατάλληλων εγγυήσεων […]». Η αιτιολογική σκέψη 108 του εν λόγω κανονισμού διευκρινίζει συναφώς ότι, ελλείψει αποφάσεως επάρκειας, οι κατάλληλες εγγυήσεις τις οποίες οφείλει να παρέχει ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία σύμφωνα με το άρθρο 46, παράγραφος 1, του ίδιου κανονισμού πρέπει «να αντισταθμίζουν την έλλειψη προστασίας των δεδομένων στην τρίτη χώρα» προκειμένου «να διασφαλίζουν συμμόρφωση με τις απαιτήσεις προστασίας των δεδομένων και με τα δικαιώματα των υποκειμένων των δεδομένων, υπό το πρίσμα της επεξεργασίας εντός της Ένωσης».
96 Επομένως, όπως επισήμανε ο γενικός εισαγγελέας στο σημείο 115 των προτάσεών του, οι κατάλληλες αυτές εγγυήσεις πρέπει να είναι ικανές να εξασφαλίσουν ότι τα άτομα των οποίων τα προσωπικά δεδομένα διαβιβάζονται σε τρίτη χώρα βάσει τυποποιημένων ρητρών προστασίας δεδομένων απολαύουν, όπως και στο πλαίσιο διαβίβασης στηριζόμενης σε απόφαση επάρκειας, ενός επιπέδου προστασίας ουσιαστικά ισοδύναμου με εκείνο το οποίο διασφαλίζεται εντός της Ένωσης.
97 Το αιτούν δικαστήριο διερωτάται επίσης αν αυτό το επίπεδο προστασίας, το οποίο απαιτείται να είναι ουσιαστικά ισοδύναμο με το διασφαλιζόμενο εντός της Ένωσης, πρέπει να καθορίζεται υπό το πρίσμα του δικαίου της Ένωσης, ιδίως δε των δικαιωμάτων που κατοχυρώνονται στον Χάρτη, και/ή υπό το πρίσμα των θεμελιωδών δικαιωμάτων που κατοχυρώνονται στην Ευρωπαϊκή Σύμβαση για την Προάσπιση των Δικαιωμάτων του Ανθρώπου και των Θεμελιωδών Ελευθεριών (στο εξής: ΕΣΔΑ) ή ακόμη υπό το πρίσμα του εθνικού δικαίου των κρατών μελών.
98 Υπενθυμίζεται δε ότι, μολονότι, όπως επιβεβαιώνει το άρθρο 6, παράγραφος 3, ΣΕΕ, τα κατοχυρωμένα στην ΕΣΔΑ θεμελιώδη δικαιώματα αποτελούν τμήμα του δικαίου της Ένωσης ως γενικές αρχές και μολονότι το άρθρο 52, παράγραφος 3, του Χάρτη ορίζει ότι τα περιεχόμενα στον Χάρτη δικαιώματα τα οποία αντιστοιχούν σε δικαιώματα διασφαλιζόμενα από την ΕΣΔΑ έχουν την ίδια έννοια και την ίδια εμβέλεια με εκείνες που τους αποδίδει η εν λόγω Σύμβαση, εντούτοις η ΕΣΔΑ δεν συνιστά, ενόσω η Ένωση δεν έχει προσχωρήσει σε αυτήν, νομική πράξη τυπικώς ενταγμένη στην έννομη τάξη της Ένωσης (αποφάσεις της 26ης Φεβρουαρίου 2013, Åkerberg Fransson, C‑617/10, EU:C:2013:105, σκέψη 44, και εκεί μνημονευόμενη νομολογία, και της 20ής Μαρτίου 2018, Menci, C‑524/15, EU:C:2018:197, σκέψη 22).
99 Υπό τις συνθήκες αυτές, το Δικαστήριο έχει κρίνει ότι η ερμηνεία του δικαίου της Ένωσης καθώς και η εξέταση του κύρους των πράξεων της Ένωσης πρέπει να διεξάγονται υπό το πρίσμα των θεμελιωδών δικαιωμάτων που κατοχυρώνονται στον Χάρτη (βλ., κατ’ αναλογίαν, απόφαση της 20ής Μαρτίου 2018, Menci, C‑524/15, EU:C:2018:197, σκέψη 24).
100 Εξάλλου, κατά πάγια νομολογία, το κύρος των διατάξεων του δικαίου της Ένωσης και, ελλείψει ρητής παραπομπής στο εθνικό δίκαιο των κρατών μελών, η ερμηνεία τους δεν είναι δυνατόν να εξετάζονται υπό το πρίσμα του εθνικού δικαίου, ούτε καν των διατάξεων συνταγματικής ισχύος και, ειδικότερα, των θεμελιωδών δικαιωμάτων όπως διατυπώνονται στο εθνικό Σύνταγμά τους (πρβλ. αποφάσεις της 17ης Δεκεμβρίου 1970, Internationale Handelsgesellschaft, 11/70, EU:C:1970:114, σκέψη 3, της 13ης Δεκεμβρίου 1979, Hauer, 44/79, EU:C:1979:290, σκέψη 14, και της 18ης Οκτωβρίου 2016, Νικηφορίδης, C‑135/15, EU:C:2016:774, σκέψη 28 και εκεί μνημονευόμενη νομολογία).
101 Επομένως, εφόσον, αφενός, μια διαβίβαση δεδομένων προσωπικού χαρακτήρα όπως η επίμαχη στην υπόθεση της κύριας δίκης, η οποία πραγματοποιείται για εμπορικούς σκοπούς από οικονομικό φορέα εγκατεστημένο σε κράτος μέλος με προορισμό άλλον οικονομικό φορέα εγκατεστημένο σε τρίτη χώρα, εμπίπτει, όπως προκύπτει από την απάντηση στο πρώτο ερώτημα, στο πεδίο εφαρμογής του ΓΚΠΔ, και, αφετέρου, ο κανονισμός αυτός αποσκοπεί, μεταξύ άλλων, όπως προκύπτει από την αιτιολογική του σκέψη 10, στη διασφάλιση συνεκτικής και υψηλού επιπέδου προστασίας των φυσικών προσώπων εντός της Ένωσης και, προς επίτευξη του σκοπού αυτού, στην εξασφάλιση συνεκτικής και ομοιόμορφης εφαρμογής των κανόνων προστασίας των θεμελιωδών ελευθεριών και δικαιωμάτων των προσώπων αυτών έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα σε ολόκληρη την Ένωση, το επίπεδο προστασίας των θεμελιωδών δικαιωμάτων το οποίο απαιτείται κατά το άρθρο 46, παράγραφος 1, του εν λόγω κανονισμού πρέπει να καθορίζεται βάσει των διατάξεων του ίδιου κανονισμού, όπως ερμηνεύονται σε συνδυασμό με τα θεμελιώδη δικαιώματα που κατοχυρώνονται στον Χάρτη.
102 Το αιτούν δικαστήριο ζητεί επίσης να διευκρινιστεί ποια στοιχεία πρέπει να ληφθούν υπόψη προκειμένου να κριθεί η επάρκεια του επιπέδου προστασίας σε περίπτωση διαβίβασης δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα βάσει τυποποιημένων ρητρών προστασίας δεδομένων οι οποίες έχουν θεσπισθεί δυνάμει του άρθρου 46, παράγραφος 2, στοιχείο γʹ, του ΓΚΠΔ.
103 Ως προς το ζήτημα αυτό, μολονότι η συγκεκριμένη διάταξη δεν απαριθμεί τα διάφορα στοιχεία τα οποία πρέπει να ληφθούν υπόψη προκειμένου να αξιολογηθεί η επάρκεια του επιπέδου προστασίας που πρέπει να τηρείται στο πλαίσιο μιας τέτοιας διαβίβασης, το άρθρο 46 παράγραφος 1, του ως άνω κανονισμού διευκρινίζει ότι τα υποκείμενα των δεδομένων πρέπει να απολαύουν των κατάλληλων εγγυήσεων και να διαθέτουν εκτελεστά δικαιώματα και αποτελεσματικά μέσα έννομης προστασίας.
104 Κατά την αξιολόγηση που απαιτείται συναφώς στην περίπτωση μιας τέτοιας διαβίβασης, πρέπει, μεταξύ άλλων, να ληφθούν υπόψη τόσο οι συμβατικοί όροι που έχουν συμφωνηθεί μεταξύ του υπευθύνου της επεξεργασίας ή του εκτελούντος την επεξεργασία, οι οποίοι είναι αμφότεροι εγκατεστημένοι εντός της Ένωσης, και του αποδέκτη της διαβίβασης ο οποίος είναι εγκατεστημένος στην οικεία τρίτη χώρα όσο και, σε σχέση με την ενδεχόμενη πρόσβαση των δημοσίων αρχών της εν λόγω τρίτης χώρας στα διαβιβαζόμενα δεδομένα προσωπικού χαρακτήρα, τα κρίσιμα στοιχεία του νομικού συστήματός της. Ως προς το τελευταίο αυτό σημείο, τα στοιχεία που πρέπει να λαμβάνονται υπόψη στο πλαίσιο του άρθρου 46 του ΓΚΠΔ αντιστοιχούν σε εκείνα που μνημονεύονται ενδεικτικώς στο άρθρο 45, παράγραφος 2, του ίδιου κανονισμού.
105 Ως εκ τούτου, στο δεύτερο, στο τρίτο και στο έκτο προδικαστικό ερώτημα πρέπει να δοθεί η απάντηση ότι το άρθρο 46, παράγραφος 1, και το άρθρο 46, παράγραφος 2, στοιχείο γʹ, του ΓΚΠΔ έχουν την έννοια ότι οι κατάλληλες εγγυήσεις, τα εκτελεστά δικαιώματα και τα αποτελεσματικά μέσα έννομης προστασίας που απαιτούνται κατά τις διατάξεις αυτές πρέπει να διασφαλίζουν ότι τα δικαιώματα των ατόμων των οποίων τα δεδομένα προσωπικού χαρακτήρα διαβιβάζονται προς τρίτη χώρα βάσει τυποποιημένων ρητρών προστασίας δεδομένων τυγχάνουν ενός επιπέδου προστασίας ουσιαστικά ισοδύναμου με εκείνο που εγγυάται εντός της Ένωσης ο κανονισμός αυτός, όπως ερμηνεύεται σε συνδυασμό με τον Χάρτη. Προς τούτο, κατά την αξιολόγηση του επιπέδου προστασίας που εξασφαλίζεται στο πλαίσιο μιας τέτοιας διαβίβασης πρέπει, μεταξύ άλλων, να λαμβάνονται υπόψη τόσο οι συμβατικοί όροι που έχουν συμφωνηθεί μεταξύ του υπευθύνου της επεξεργασίας ή του εκτελούντος την επεξεργασία, οι οποίοι είναι αμφότεροι εγκατεστημένοι εντός της Ένωσης, και του αποδέκτη της διαβίβασης ο οποίος είναι εγκατεστημένος στην οικεία τρίτη χώρα όσο και, σε σχέση με την ενδεχόμενη πρόσβαση των δημοσίων αρχών της εν λόγω τρίτης χώρας στα διαβιβαζόμενα δεδομένα προσωπικού χαρακτήρα, τα κρίσιμα στοιχεία του νομικού συστήματός της, ιδίως εκείνα που μνημονεύονται στο άρθρο 45, παράγραφος 2, του κανονισμού αυτού.
Επί του όγδοου προδικαστικού ερωτήματος
106 Με το όγδοο προδικαστικό ερώτημα, το αιτούν δικαστήριο ζητεί, κατ’ ουσίαν, να διευκρινιστεί αν το άρθρο 58, παράγραφος 2, στοιχεία στʹ και ιʹ, του ΓΚΠΔ έχει την έννοια ότι η αρμόδια αρχή ελέγχου υποχρεούται να αναστέλλει ή να απαγορεύει τη διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα βάσει τυποποιημένων ρητρών προστασίας δεδομένων οι οποίες έχουν θεσπισθεί από την Επιτροπή σε κάθε περίπτωση που η αρχή ελέγχου εκτιμά ότι οι ρήτρες αυτές δεν τηρούνται ή δεν μπορούν να τηρηθούν στην εν λόγω τρίτη χώρα και ότι η προστασία των διαβιβαζόμενων δεδομένων η οποία απαιτείται από τα άρθρα 45 και 46 του ΓΚΠΔ καθώς και από τον Χάρτη, δεν είναι δυνατόν να διασφαλιστεί, ή αν έχει την έννοια ότι οι εξουσίες αυτές μπορούν να ασκούνται σε εξαιρετικές μόνον περιπτώσεις.
107 Σύμφωνα με το άρθρο 8, παράγραφος 3, του Χάρτη, με το άρθρο 51, παράγραφος 1, και με το άρθρο 57, παράγραφος 1, στοιχείο αʹ, του ΓΚΠΔ, οι εθνικές αρχές ελέγχου έχουν επιφορτισθεί με τον έλεγχο της τήρησης των κανόνων της Ένωσης σχετικά με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Επομένως, καθεμία από αυτές είναι αρμόδια να ελέγχει αν η διαβίβαση δεδομένων προσωπικού χαρακτήρα από το κράτος μέλος στο οποίο υπάγεται η αρχή ελέγχου προς τρίτη χώρα πληροί τις απαιτήσεις του ως άνω κανονισμού (βλ. κατ’ αναλογίαν, όσον αφορά το άρθρο 28 της οδηγίας 95/46, απόφαση της 6ης Οκτωβρίου 2015, Schrems, C‑362/14, EU:C:2015:650, σκέψη 47).
108 Από τις διατάξεις αυτές προκύπτει ότι οι αρχές ελέγχου έχουν ως πρώτη αποστολή να ελέγχουν την εφαρμογή του ΓΚΠΔ και να μεριμνούν για την τήρησή του. Η εκπλήρωση της αποστολής αυτής έχει ιδιαίτερη σημασία στο πλαίσιο της διαβίβασης δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα, δεδομένου ότι, όπως καθίσταται σαφές από την ίδια τη διατύπωση της αιτιολογικής σκέψης 116 του εν λόγω κανονισμού, «[η] διασυνοριακή διακίνηση δεδομένων προσωπικού χαρακτήρα εκτός της Ένωσης θέτει ενδεχομένως σε μεγαλύτερο κίνδυνο την ικανότητα των φυσικών προσώπων να ασκούν δικαιώματα προστασίας των δεδομένων ιδίως για να προστατεύονται έναντι της παράνομης χρήσης ή κοινολόγησης των συγκεκριμένων πληροφοριών». Στην περίπτωση αυτή, όπως διευκρινίζεται στην ίδια αιτιολογική σκέψη, «οι εποπτικές αρχές μπορεί να διαπιστώσουν ότι αδυνατούν να δώσουν συνέχεια σε καταγγελίες ή να διενεργήσουν έρευνες σχετικά με δραστηριότητες εκτός των συνόρων τους».
109 Επιπλέον, βάσει του άρθρου 57, παράγραφος 1, στοιχείο στʹ, του ΓΚΠΔ, κάθε αρχή ελέγχου υποχρεούται, στην εδαφική περιοχή για την οποία είναι αρμόδια, αφενός, να εξετάζει τις καταγγελίες τις οποίες κάθε υποκείμενο δεδομένων δικαιούται, σύμφωνα με το άρθρο 77, παράγραφος 1, του ίδιου κανονισμού, να υποβάλλει όταν θεωρεί ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα που το αφορούν συνιστά παράβαση του κανονισμού αυτού, και, αφετέρου, να ερευνά το αντικείμενό τους στο μέτρο του αναγκαίου. Η αρχή ελέγχου οφείλει να εξετάζει την καταγγελία αυτή με τη δέουσα επιμέλεια (βλ. κατ’ αναλογίαν, όσον αφορά το άρθρο 25, παράγραφος 6, της οδηγίας 95/46, απόφαση της 6ης Οκτωβρίου 2015, Schrems, C‑362/14, EU:C:2015:650, σκέψη 63).
110 Το άρθρο 78, παράγραφοι 1 και 2, του ΓΚΠΔ αναγνωρίζει σε κάθε πρόσωπο το δικαίωμα να ασκήσει αποτελεσματική δικαστική προσφυγή, μεταξύ άλλων, όταν η αρχή ελέγχου παραλείπει να εξετάσει την καταγγελία του. Η αιτιολογική σκέψη 141 του κανονισμού αυτού αναφέρεται επίσης στο «δικαίωμα πραγματικής δικαστικής προσφυγής σύμφωνα με το άρθρο 47 του Χάρτη» για την περίπτωση κατά την οποία η αρχή ελέγχου «δεν ενεργεί ενώ οφείλει να ενεργήσει για να προστατεύσει τα δικαιώματα του υποκειμένου των δεδομένων».
111 Για την εξέταση των υποβαλλόμενων καταγγελιών, το άρθρο 58, παράγραφος 1, του ΓΚΠΔ απονέμει σε κάθε αρχή ελέγχου σημαντικές εξουσίες έρευνας. Όταν μια τέτοια αρχή εκτιμά, μετά το πέρας της έρευνάς της, ότι το υποκείμενο των δεδομένων του οποίου τα δεδομένα προσωπικού χαρακτήρα διαβιβάστηκαν σε τρίτη χώρα δεν απολαύει ικανοποιητικού επιπέδου προστασίας εντός της χώρας αυτής, τότε οφείλει, κατ’ εφαρμογήν του δικαίου της Ένωσης, να αντιδράσει προσηκόντως προκειμένου να θεραπεύσει τη διαπιστωθείσα ανεπάρκεια, ανεξαρτήτως μάλιστα της αιτίας ή του είδους της ανεπάρκειας αυτής. Προς τούτο, το άρθρο 58, παράγραφος 2, του ως άνω κανονισμού απαριθμεί τα διάφορα διορθωτικά μέτρα που μπορεί να λάβει η αρχή ελέγχου.
112 Μολονότι η επιλογή του κατάλληλου και αναγκαίου μέσου εμπίπτει στην αρμοδιότητα της αρχής ελέγχου, η οποία οφείλει να προβαίνει στην επιλογή αυτή λαμβάνοντας υπόψη όλες τις περιστάσεις της διαβίβασης των επίμαχων δεδομένων προσωπικού χαρακτήρα, εντούτοις, η προαναφερθείσα αρχή υποχρεούται να εκπληρώνει με όλη την απαιτούμενη επιμέλεια την αποστολή της, που συνίσταται στο να μεριμνά για την πλήρη τήρηση του ΓΚΠΔ.
113 Συναφώς, όπως επισήμανε και ο γενικός εισαγγελέας στο σημείο 148 των προτάσεών του, η εν λόγω αρχή υποχρεούται, δυνάμει του άρθρου 58, παράγραφος 2, στοιχεία στʹ και ιʹ, του ΓΚΠΔ, να αναστείλει ή να απαγορεύσει τη διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα, σε περίπτωση που εκτιμά, υπό το πρίσμα του συνόλου των περιστάσεων της διαβίβασης αυτής, ότι οι τυποποιημένες ρήτρες προστασίας δεδομένων δεν τηρούνται ή δεν μπορούν να τηρηθούν στην αντίστοιχη τρίτη χώρα και ότι η απαιτούμενη από το δίκαιο της Ένωσης προστασία των διαβιβαζόμενων δεδομένων δεν είναι δυνατόν να διασφαλιστεί με άλλα μέσα, εφόσον η διαβίβαση δεν έχει ήδη ανασταλεί ή τερματιστεί είτε από τον υπεύθυνο της επεξεργασίας είτε από τον εκτελούντα την επεξεργασία, οι οποίοι είναι αμφότεροι εγκατεστημένοι εντός της Ένωσης.
114 Η ερμηνεία που εκτέθηκε στην προηγούμενη σκέψη δεν αναιρείται από το επιχείρημα του ΕΠΔ ότι κατά το άρθρο 4 της αποφάσεως 2010/87, ως είχε πριν από την έναρξη ισχύος της εκτελεστικής αποφάσεως 2016/2297, σε συνδυασμό με την αιτιολογική σκέψη 11 της αποφάσεως αυτής, οι αρχές ελέγχου είχαν την εξουσία να αναστέλλουν ή να απαγορεύουν τη διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα μόνο σε ορισμένες εξαιρετικές περιπτώσεις. Πράγματι, το άρθρο 4 της αποφάσεως ΤΡΠ, όπως τροποποιήθηκε με την εκτελεστική απόφαση 2016/2297, αναφέρεται στην εξουσία την οποία διαθέτουν οι αρχές αυτές, δυνάμει πλέον του άρθρου 58, παράγραφος 2, στοιχεία στʹ και ιʹ, του ΓΚΠΔ, να αναστέλλουν ή να απαγορεύουν τη διαβίβαση, χωρίς ουδόλως να προβλέπει ότι εξουσία αυτή μπορεί να ασκείται σε εξαιρετικές μόνον περιστάσεις.
115 Εν πάση περιπτώσει, η εξουσία λήψης εκτελεστικών μέτρων οποία αναγνωρίζεται από το άρθρο 46, παράγραφος 2, στοιχείο γʹ, του ΓΚΠΔ στην Επιτροπή για τη θέσπιση τυποποιημένων ρητρών προστασίας δεδομένων δεν παρέχει στην Επιτροπή την αρμοδιότητα να περιορίζει τις εξουσίες που διαθέτουν οι αρχές ελέγχου δυνάμει του άρθρου 58, παράγραφος 2, του κανονισμού αυτού (βλ. κατ’ αναλογίαν, όσον αφορά το άρθρο 25, παράγραφος 6, και το άρθρο 28 της οδηγίας 95/46, απόφαση της 6ης Οκτωβρίου 2015, Schrems, C‑362/14, EU:C:2015:650, σκέψεις 102 και 103). Εξάλλου, η αιτιολογική σκέψη 5 της εκτελεστικής αποφάσεως 2016/2297 επιβεβαιώνει ότι η απόφαση ΤΡΠ «δεν κωλύει τις εθνικές αρχές ελέγχου να ασκούν τις αρμοδιότητές τους ελέγχου των ροών δεδομένων, συμπεριλαμβανομένης της εξουσίας τους να αναστέλλουν ή να απαγορεύουν τη διαβίβαση δεδομένων προσωπικού χαρακτήρα όταν κρίνουν ότι η διαβίβαση πραγματοποιείται κατά παράβαση της ενωσιακής ή της εθνικής νομοθεσίας για την προστασία των δεδομένων, όπως, για παράδειγμα, όταν ο εισαγωγέας των δεδομένων δεν τηρεί τις τυποποιημένες συμβατικές ρήτρες».
116 Πρέπει, ωστόσο, να διευκρινιστεί ότι η αρμόδια αρχή ελέγχου πρέπει να ασκεί τις εξουσίες της τηρώντας πλήρως την απόφαση με την οποία η Επιτροπή ενδεχομένως διαπιστώνει, κατ’ εφαρμογήν του άρθρου 45, παράγραφος 1, πρώτη περίοδος, του ΓΚΠΔ, ότι μια συγκεκριμένη τρίτη χώρα διασφαλίζει ικανοποιητικό επίπεδο προστασίας. Πράγματι, σε μια τέτοια περίπτωση, από το άρθρο 45, παράγραφος 1, δεύτερη περίοδος, του κανονισμού αυτού, σε συνδυασμό με την αιτιολογική σκέψη 103 του ίδιου κανονισμού, συνάγεται ότι η διαβίβαση δεδομένων προσωπικού χαρακτήρα προς την οικεία τρίτη χώρα μπορεί να πραγματοποιηθεί χωρίς να απαιτείται ειδική άδεια.
117 Δυνάμει του άρθρου 288, τέταρτο εδάφιο, ΣΛΕΕ, η εκδοθείσα από την Επιτροπή απόφαση επάρκειας έχει, ως προς όλα τα μέρη της, δεσμευτικό χαρακτήρα για όλα τα κράτη μέλη στα οποία απευθύνεται και, επομένως, δεσμεύει όλα τα όργανά τους, καθόσον η Επιτροπή διαπιστώνει ότι η οικεία τρίτη χώρα εξασφαλίζει ικανοποιητικό επίπεδο προστασίας και καθόσον η απόφαση αυτή έχει ως αποτέλεσμα να επιτρέπονται οι εν λόγω διαβιβάσεις δεδομένων (βλ. κατ’ αναλογίαν, όσον αφορά το άρθρο 25, παράγραφος 6, της οδηγίας 95/46, απόφαση της 6ης Οκτωβρίου 2015, Schrems, C‑362/14, EU:C:2015:650, σκέψη 51 και εκεί μνημονευόμενη νομολογία).
118 Συνεπώς, ενόσω η απόφαση επάρκειας δεν έχει κηρυχθεί ανίσχυρη από το Δικαστήριο, τα κράτη μέλη και τα όργανά τους, περιλαμβανομένων των αντίστοιχων ανεξάρτητων αρχών ελέγχου, δεν μπορούν να λαμβάνουν μέτρα αντίθετα προς την απόφαση αυτή, όπως είναι οι πράξεις που διαπιστώνουν δεσμευτικά ότι η τρίτη χώρα την οποία αφορά η απόφαση επάρκειας δεν εξασφαλίζει ικανοποιητικό επίπεδο προστασίας (απόφαση της 6ης Οκτωβρίου 2015, Schrems, C‑362/14, EU:C:2015:650, σκέψη 52 και εκεί μνημονευόμενη νομολογία) και, κατά συνέπεια, να αναστέλλουν ή να απαγορεύουν τη διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τη συγκεκριμένη τρίτη χώρα.
119 Εντούτοις, απόφαση επάρκειας εκδοθείσα από την Επιτροπή βάσει του άρθρου 45, παράγραφος 3, του ΓΚΠΔ δεν μπορεί να εμποδίσει τα άτομα των οποίων τα δεδομένα προσωπικού χαρακτήρα διαβιβάστηκαν ή θα μπορούσαν να διαβιβαστούν σε τρίτη χώρα να υποβάλουν, κατ’ εφαρμογήν του άρθρου 77, παράγραφος 1, του ΓΚΠΔ, στην αρμόδια εθνική αρχή ελέγχου καταγγελία σχετικά με την προστασία των δικαιωμάτων και των ελευθεριών τους έναντι της επεξεργασίας των δεδομένων αυτών. Ομοίως, μια τέτοια απόφαση δεν μπορεί ούτε να εξαλείψει ούτε να περιορίσει τις εξουσίες που αναγνωρίζονται ρητώς στις εθνικές αρχές ελέγχου με το άρθρο 8, παράγραφος 3, του Χάρτη καθώς και με το άρθρο 51, παράγραφος 1, και το άρθρο 57, παράγραφος 1, στοιχείο αʹ, του εν λόγω κανονισμού (βλ. κατ’ αναλογίαν, όσον αφορά το άρθρο 25, παράγραφος 6, και το άρθρο 28 της οδηγίας 95/46, απόφαση της 6ης Οκτωβρίου 2015, Schrems, C‑362/14, EU:C:2015:650, σκέψη 53).
120 Επομένως, ακόμη και στην περίπτωση που η Επιτροπή έχει εκδώσει απόφαση επάρκειας, η αρμόδια εθνική αρχή ελέγχου στην οποία έχει υποβληθεί από το υποκείμενο των δεδομένων καταγγελία σχετικά με την προστασία των δικαιωμάτων και των ελευθεριών του έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα που το αφορούν, πρέπει να μπορεί να εξετάσει με πλήρη ανεξαρτησία αν η διαβίβαση των δεδομένων αυτών πληροί τις απαιτήσεις τις οποίες θέτει ο ΓΚΠΔ, και ενδεχομένως να προσφύγει ενώπιον των εθνικών δικαστηρίων προκειμένου αυτά, αν συμμερίζονται τις αμφιβολίες της αρχής ελέγχου ως προς το κύρος της αποφάσεως επάρκειας, να υποβάλουν αίτηση προδικαστικής αποφάσεως προκειμένου να εξετασθεί το εν λόγω κύρος (βλ. κατ’ αναλογίαν, όσον αφορά το άρθρο 25, παράγραφος 6, και το άρθρο 28 της οδηγίας 95/46, απόφαση της 6ης Οκτωβρίου 2015, Schrems, C‑362/14, EU:C:2015:650, σκέψεις 57 και 65).
121 Κατόπιν των ανωτέρω σκέψεων, στο όγδοο προδικαστικό ερώτημα πρέπει να δοθεί η απάντηση ότι το άρθρο 58, παράγραφος 2, στοιχεία στʹ και ιʹ, του ΓΚΠΔ έχει την έννοια ότι, αν δεν υφίσταται απόφαση επάρκειας εγκύρως εκδοθείσα από την Επιτροπή, η αρμόδια αρχή ελέγχου υποχρεούται να αναστέλλει ή να απαγορεύει τη διαβίβαση δεδομένων προς τρίτη χώρα βάσει τυποποιημένων ρητρών προστασίας δεδομένων οι οποίες έχουν θεσπισθεί από την Επιτροπή, σε περίπτωση που η αρχή ελέγχου εκτιμά, υπό το πρίσμα του συνόλου περιστάσεων της διαβίβασης αυτής, ότι οι σχετικές ρήτρες δεν τηρούνται ή δεν μπορούν να τηρηθούν στην εν λόγω τρίτη χώρα και ότι η προστασία των διαβιβαζόμενων δεδομένων που απαιτείται από το δίκαιο της Ένωσης, ιδίως δε από τα άρθρα 45 και 46 του ΓΚΠΔ και από τον Χάρτη, δεν είναι δυνατόν να διασφαλιστεί με άλλα μέσα, εφόσον η διαβίβαση δεν έχει ήδη ανασταλεί ή τερματιστεί είτε από τον υπεύθυνο επεξεργασίας είτε από τον εκτελούντα την επεξεργασία, οι οποίοι είναι αμφότεροι εγκατεστημένοι εντός της Ένωσης.
Επί του έβδομου και του ενδέκατου προδικαστικού ερωτήματος
122 Με το έβδομο και το ενδέκατο προδικαστικό ερώτημα, τα οποία πρέπει να εξεταστούν από κοινού, το αιτούν δικαστήριο ζητεί, κατ’ ουσίαν, από το Δικαστήριο να αποφανθεί επί του κύρους της αποφάσεως ΤΡΠ υπό το πρίσμα των άρθρων 7, 8 και 47 του Χάρτη.
123 Ειδικότερα, όπως προκύπτει από τη διατύπωση του έβδομου ερωτήματος και από τις σχετικές επεξηγήσεις που περιέχονται στην αίτηση προδικαστικής αποφάσεως, το αιτούν δικαστήριο διερωτάται αν η απόφαση ΤΡΠ είναι ικανή να διασφαλίσει ικανοποιητικό επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα τα οποία διαβιβάζονται σε τρίτες χώρες, στον βαθμό που οι τυποποιημένες ρήτρες προστασίας δεδομένων τις οποίες προβλέπει δεν δεσμεύουν τις αρχές των εν λόγω τρίτων χωρών.
124 Το άρθρο 1 της αποφάσεως ΤΡΠ ορίζει ότι οι τυποποιημένες ρήτρες προστασίας δεδομένων οι οποίες περιλαμβάνονται στο παράρτημά της θεωρείται ότι παρέχουν κατάλληλες εγγυήσεις για την προστασία της ιδιωτικής ζωής καθώς και των θεμελιωδών ελευθεριών και δικαιωμάτων των ατόμων, σύμφωνα με τις απαιτήσεις του άρθρου 26, παράγραφος 2, της οδηγίας 95/46. Η τελευταία αυτή διάταξη επαναλαμβάνεται, κατ’ ουσίαν, στο άρθρο 46, παράγραφος 1, και στο άρθρο 46, παράγραφος 2, στοιχείο γʹ, του ΓΚΠΔ.
125 Εντούτοις, μολονότι οι προαναφερθείσες ρήτρες είναι δεσμευτικές για τον υπεύθυνο της επεξεργασίας ο οποίος είναι εγκατεστημένος εντός της Ένωσης και για τον αποδέκτη της διαβίβασης δεδομένων προσωπικού χαρακτήρα ο οποίος είναι εγκατεστημένος σε τρίτη χώρα, στην περίπτωση που έχουν συνάψει σύμβαση παραπέμποντας στις ρήτρες αυτές, δεν αμφισβητείται ότι οι εν λόγω ρήτρες δεν δεσμεύουν τις αρχές της τρίτης χώρας, δεδομένου ότι δεν είναι συμβαλλόμενα μέρη της σύμβασης.
126 Μολονότι, επομένως, υφίστανται καταστάσεις στις οποίες, ανάλογα με το στάδιο εξέλιξης του δικαίου και τις πρακτικές που ισχύουν στην οικεία τρίτη χώρα, ο αποδέκτης τέτοιας διαβίβασης είναι σε θέση να διασφαλίσει την αναγκαία προστασία των δεδομένων αποκλειστικώς και μόνον βάσει των τυποποιημένων ρητρών προστασίας δεδομένων, υπάρχουν άλλες περιπτώσεις στις οποίες οι όροι που περιέχονται στις ρήτρες αυτές ενδέχεται να μην αποτελούν επαρκές μέσο για να εξασφαλίσουν, στην πράξη, την αποτελεσματική προστασία των δεδομένων προσωπικού χαρακτήρα που διαβιβάζονται στην οικεία τρίτη χώρα. Τούτο συμβαίνει, παραδείγματος χάριν, όταν το δίκαιο της τρίτης χώρας επιτρέπει στις δημόσιες αρχές της να επεμβαίνουν στην άσκηση των δικαιωμάτων των οποίων απολαύουν τα υποκείμενα των δεδομένων σε σχέση με τα δεδομένα αυτά.
127 Τίθεται συνεπώς το ζήτημα αν απόφαση της Επιτροπής σχετική τυποποιημένες ρήτρες προστασίας δεδομένων, εκδοθείσα βάσει του άρθρου 46, παράγραφος 2, στοιχείο γʹ, του ΓΚΠΔ, είναι ανίσχυρη σε περίπτωση που η απόφαση αυτή δεν παρέχει εγγυήσεις αντιτάξιμες έναντι των δημοσίων αρχών των τρίτων χωρών προς τις οποίες διαβιβάζονται ή θα μπορούσαν να διαβιβαστούν τα δεδομένα προσωπικού χαρακτήρα βάσει των ως άνω ρητρών.
128 Το άρθρο 46, παράγραφος 1, του ΓΚΠΔ προβλέπει ότι, ελλείψει αποφάσεως επάρκειας, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία μπορεί να διαβιβάσει δεδομένα προσωπικού χαρακτήρα προς τρίτη χώρα μόνον εφόσον έχει παράσχει κατάλληλες εγγυήσεις και υπό την προϋπόθεση ότι τα υποκείμενα των δεδομένων διαθέτουν εκτελεστά δικαιώματα και αποτελεσματικά μέσα έννομης προστασίας. Κατά το άρθρο 46, παράγραφος 2, στοιχείο γʹ, του ίδιου κανονισμού, οι εγγυήσεις αυτές είναι δυνατόν να παρέχονται με τυποποιημένες ρήτρες προστασίας δεδομένων τις οποίες θεσπίζει η Επιτροπή. Οι διατάξεις αυτές όμως δεν ορίζουν ότι όλες οι εν λόγω εγγυήσεις πρέπει κατ’ ανάγκην να προβλέπονται από απόφαση της Επιτροπής όπως η απόφαση ΤΡΠ.
129 Ως προς το σημείο αυτό, πρέπει να επισημανθεί ότι μια τέτοια απόφαση είναι διαφορετική από μια απόφαση επάρκειας εκδοθείσα βάσει του άρθρου 45, παράγραφος 3, του ΓΚΠΔ, η οποία έχει ως σκοπό να διαπιστωθεί δεσμευτικά, κατόπιν εξέτασης της κανονιστικής ρυθμίσεως της οικείας τρίτης χώρας λαμβανομένης ιδίως υπόψη της νομοθεσίας που διέπει τα ζητήματα της εθνικής ασφάλειας και την πρόσβαση των δημοσίων αρχών στα δεδομένα προσωπικού χαρακτήρα, ότι σε μια τρίτη χώρα, σε έδαφός της ή σε έναν ή περισσότερους συγκεκριμένους τομείς στο εσωτερικό της διασφαλίζεται ικανοποιητικό επίπεδο προστασίας και ότι, ως εκ τούτου, η πρόσβαση των δημοσίων αρχών της σε τέτοια δεδομένα δεν συνιστά κώλυμα για τη διαβίβασή τους προς αυτήν. Μια τέτοια απόφαση επάρκειας μπορεί, επομένως, να εκδοθεί από την Επιτροπή μόνον υπό την προϋπόθεση ότι η Επιτροπή έχει διαπιστώσει ότι η σχετική νομοθεσία της τρίτης χώρας περιλαμβάνει πράγματι όλες τις εγγυήσεις που απαιτούνται για να μπορεί να θεωρηθεί ότι διασφαλίζει ικανοποιητικό επίπεδο προστασίας.
130 Αντιθέτως, στην περίπτωση αποφάσεως της Επιτροπής με την οποία θεσπίζονται τυποποιημένες ρήτρες προστασίας δεδομένων, όπως είναι η απόφαση ΤΡΠ, στο μέτρο που μια τέτοια απόφαση δεν αφορά τρίτη χώρα, έδαφός της ή έναν ή περισσότερους συγκεκριμένους τομείς στο εσωτερικό της, δεν είναι δυνατόν να συναχθεί από το άρθρο 46, παράγραφος 1, και από το άρθρο 46, παράγραφος 2, στοιχείο γʹ, του ΓΚΠΔ ότι η Επιτροπή υποχρεούται να προβαίνει, πριν από την έκδοση τέτοιας αποφάσεως, σε αξιολόγηση της επάρκειας του επιπέδου προστασίας που εξασφαλίζουν οι τρίτες χώρες προς τις οποίες θα μπορούσαν να διαβιβαστούν δεδομένα προσωπικού χαρακτήρα βάσει τέτοιων ρητρών.
131 Υπενθυμίζεται συναφώς ότι, κατά το άρθρο 46, παράγραφος 1, του κανονισμού αυτού, ελλείψει αποφάσεως επάρκειας εκδοθείσας από την Επιτροπή, η πρόβλεψη κατάλληλων εγγυήσεων αποτελεί, ειδικότερα, καθήκον είτε του υπεύθυνου επεξεργασίας είτε του εκτελούντος την επεξεργασία, οι οποίοι είναι αμφότεροι εγκατεστημένοι εντός της Ένωσης. Οι αιτιολογικές σκέψεις 108 και 114 του εν λόγω κανονισμού επιβεβαιώνουν ότι, όταν η Επιτροπή δεν έχει αποφανθεί επί της επάρκειας του επιπέδου προστασίας των δεδομένων σε τρίτη χώρα, ο υπεύθυνος επεξεργασίας ή, κατά περίπτωση, ο εκτελών την επεξεργασία «θα πρέπει να λαμβάνουν μέτρα για να αντισταθμίζουν την έλλειψη προστασίας των δεδομένων στην τρίτη χώρα μέσω κατάλληλων εγγυήσεων υπέρ του υποκειμένου των δεδομένων» και ότι «[ο]ι εγγυήσεις αυτές θα πρέπει να διασφαλίζουν συμμόρφωση με τις απαιτήσεις προστασίας των δεδομένων και με τα δικαιώματα των υποκειμένων των δεδομένων, υπό το πρίσμα της επεξεργασίας εντός της Ένωσης, συμπεριλαμβανομένης της διαθεσιμότητας νομικώς ισχυρών δικαιωμάτων των υποκειμένων των δεδομένων και πραγματικών ένδικων μέσων […] στην Ένωση ή σε τρίτη χώρα».
132 Δεδομένου ότι, όπως προκύπτει από τη σκέψη 125 της παρούσας αποφάσεως, συνιστά εγγενές στοιχείο του συμβατικού χαρακτήρα των τυποποιημένων ρητρών προστασίας δεδομένων ότι οι ρήτρες αυτές δεν είναι δυνατόν να δεσμεύουν τις δημόσιες αρχές των τρίτων χωρών, πλην όμως το άρθρο 44, το άρθρο 46, παράγραφος 1, και το άρθρο 46, παράγραφος 2, στοιχείο γʹ, του ΓΚΠΔ, όπως ερμηνεύονται σε συνδυασμό με τα άρθρα 7, 8 και 47 του Χάρτη, επιβάλλουν να μην υπονομεύεται το επίπεδο προστασίας των φυσικών προσώπων το οποίο εγγυάται ο ως άνω κανονισμός, ενδέχεται να καταστεί αναγκαίο να συμπληρωθούν οι εγγυήσεις που περιέχονται σε αυτές τις τυποποιημένες ρήτρες προστασίας δεδομένων. Η δε αιτιολογική σκέψη 109 του ίδιου κανονισμού αναφέρει ότι «[η] δυνατότητα του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία να χρησιμοποιεί τυποποιημένες ρήτρες προστασίας των δεδομένων εγκεκριμένες από την Επιτροπή […] δεν θα πρέπει να εμποδίζει τους υπευθύνους επεξεργασίας ή εκτελούντες την επεξεργασία […] να προσθέτουν άλλες ρήτρες ή πρόσθετες εγγυήσεις» και διευκρινίζει, συγκεκριμένα, ότι αυτοί «θα πρέπει να ενθαρρύνονται να παράσχουν πρόσθετες εγγυήσεις […] που δρουν συμπληρωματικά ως προς τις υφιστάμενες ρήτρες προστασίας δεδομένων».
133 Καθίσταται συνεπώς σαφές ότι οι τυποποιημένες ρήτρες προστασίας δεδομένων οι οποίες θεσπίζονται από την Επιτροπή δυνάμει του άρθρου 46, παράγραφος 2, στοιχείο γʹ, του ΓΚΠΔ έχουν ως αποκλειστικό σκοπό να παράσχουν στους εγκατεστημένους εντός της Ένωσης υπευθύνους επεξεργασίας ή εκτελούντες την επεξεργασία συμβατικές εγγυήσεις που να εφαρμόζονται ομοιόμορφα σε όλες τις τρίτες χώρες και, ως εκ τούτου, ανεξαρτήτως του επιπέδου προστασίας το οποίο διασφαλίζεται σε καθεμία από αυτές. Στο μέτρο που αυτές οι τυποποιημένες ρήτρες προστασίας δεδομένων δεν είναι δυνατόν, ως εκ της φύσεώς τους, να παρέχουν εγγυήσεις οι οποίες να βαίνουν πέραν μιας συμβατικής υποχρέωσης μέριμνας για την τήρηση του απαιτούμενου από το δίκαιο της Ένωσης επιπέδου προστασίας, ενδέχεται να απαιτείται, ανάλογα με τη κατάσταση που επικρατεί στην τάδε ή τη δείνα τρίτη χώρα, η λήψη πρόσθετων μέτρων από τον υπεύθυνο επεξεργασίας προκειμένου να διασφαλίζεται η τήρηση αυτού του επιπέδου προστασίας.
134 Ως προς το ζήτημα αυτό, όπως επισήμανε ο γενικός εισαγγελέας στο σημείο 126 των προτάσεών του, ο συμβατικός μηχανισμός του άρθρου 46, παράγραφος 2, στοιχείο γʹ, του ΓΚΠΔ στηρίζεται στην ευθύνη του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, οι οποίοι είναι αμφότεροι εγκατεστημένοι εντός της Ένωσης, καθώς και, επικουρικώς, στην ευθύνη της αρμόδιας αρχής ελέγχου. Συνεπώς, είναι πρωτίστως καθήκον του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία να ελέγχει κατά περίπτωση και, ενδεχομένως, σε συνεργασία με τον αποδέκτη της διαβίβασης κατά πόσον το δίκαιο της τρίτης χώρας προορισμού διασφαλίζει προσήκουσα, υπό το πρίσμα του δικαίου της Ένωσης, προστασία των δεδομένων προσωπικού χαρακτήρα που διαβιβάζονται βάσει τυποποιημένων ρητρών προστασίας δεδομένων, παρέχοντας, εν ανάγκη, εγγυήσεις πέραν εκείνων τις οποίες προσφέρουν οι ρήτρες αυτές.
135 Σε περίπτωση που ούτε ο εγκατεστημένος εντός της Ένωσης υπεύθυνος επεξεργασίας ούτε ο εγκατεστημένος εντός της Ένωσης εκτελών την επεξεργασία μπορούν να λάβουν επαρκή συμπληρωματικά μέτρα για τη διασφάλιση προσήκουσας προστασίας, τότε αυτοί ή, επικουρικώς, η αρμόδια αρχή ελέγχου υποχρεούνται να αναστείλουν ή να τερματίσουν τη διαβίβαση δεδομένων προσωπικού χαρακτήρα προς την οικεία τρίτη χώρα. Τούτο ισχύει, παραδείγματος χάριν, όταν το δίκαιο της τρίτης χώρας επιβάλλει στον αποδέκτη διαβίβασης δεδομένων προσωπικού χαρακτήρα προερχόμενων από την Ένωση υποχρεώσεις αντίθετες προς τις εν λόγω ρήτρες και, ως εκ τούτου, ικανές να υπονομεύσουν τη συμβατική εγγύηση ικανοποιητικού επιπέδου προστασίας έναντι της πρόσβασης των δημοσίων αρχών της τρίτης χώρας στα δεδομένα αυτά.
136 Κατά συνέπεια, το γεγονός και μόνον ότι τυποποιημένες ρήτρες προστασίας δεδομένων οι οποίες περιλαμβάνονται σε απόφαση της Επιτροπής εκδοθείσα κατ’ εφαρμογήν του άρθρου 46, παράγραφος 2, στοιχείο γʹ, του ΓΚΠΔ, όπως είναι οι ρήτρες που περιέχονται στο παράρτημα της αποφάσεως ΤΡΠ, δεν δεσμεύουν τις αρχές των τρίτων χωρών προς τις οποίες ενδέχεται να διαβιβαστούν δεδομένα προσωπικού χαρακτήρα δεν επηρεάζει το κύρος της αποφάσεως αυτής.
137 Αντιθέτως, το κύρος τέτοιας αποφάσεως εξαρτάται από το αν, σύμφωνα με την απαίτηση η οποία απορρέει από το άρθρο 46, παράγραφος 1, και από το άρθρο 46, παράγραφος 2, στοιχείο γʹ, του ΓΚΠΔ όπως ερμηνεύονται σε συνδυασμό με τα άρθρα 7, 8 και 47 του Χάρτη, η απόφαση αυτή περιλαμβάνει αποτελεσματικούς μηχανισμούς που να διασφαλίζουν, στην πράξη, ότι τηρείται το απαιτούμενο από το δίκαιο της Ένωσης επίπεδο προστασίας και ότι οι διαβιβάσεις δεδομένων προσωπικού χαρακτήρα βάσει τέτοιων ρητρών αναστέλλονται ή απαγορεύονται σε περίπτωση παράβασης των ρητρών αυτών ή αδυναμίας τήρησής τους.
138 Όσον αφορά τις εγγυήσεις που περιέχονται στις τυποποιημένες ρήτρες προστασίας των δεδομένων οι οποίες περιλαμβάνονται στο παράρτημα της αποφάσεως ΤΡΠ, από τη ρήτρα 4, στοιχεία αʹ και βʹ, τη ρήτρα 5, στοιχείο αʹ, τη ρήτρα 9, στοιχείο αʹ, και τη ρήτρα 11, παράγραφος 1, προκύπτει ότι ο εγκατεστημένος εντός της Ένωσης υπεύθυνος επεξεργασίας, ο αποδέκτης της διαβίβασης δεδομένων προσωπικού χαρακτήρα καθώς και, ενδεχομένως, ο εκτελών την επεξεργασία για λογαριασμό του τελευταίου αναλαμβάνουν αμοιβαίως τη δέσμευση ότι η επεξεργασία των δεδομένων αυτών, περιλαμβανομένης της διαβίβασής τους, πραγματοποιήθηκε και θα συνεχίσει να πραγματοποιείται σύμφωνα με το «εφαρμοστέο δίκαιο περί προστασίας των δεδομένων», ήτοι, κατά τον ορισμό που περιλαμβάνεται στο άρθρο 3, στοιχείο στʹ, της προαναφερθείσας αποφάσεως, σύμφωνα με «[τ]η νομοθεσία που προστατεύει τα θεμελιώδη δικαιώματα και ελευθερίες των ατόμων, και ιδίως το δικαίωμα προστασίας της ιδιωτικής τους ζωής από την επεξεργασία δεδομένων προσωπικού χαρακτήρα, η οποία εφαρμόζεται σε υπεύθυνο επεξεργασίας δεδομένων στο κράτος μέλος στο οποίο είναι εγκατεστημένος ο εξαγωγέας δεδομένων». Εν προκειμένω, οι διατάξεις του ΓΚΠΔ, όπως ερμηνεύονται σε συνδυασμό με τον Χάρτη, αποτελούν μέρος της νομοθεσίας αυτής.
139 Επιπλέον, ο εγκατεστημένος σε τρίτη χώρα αποδέκτης διαβίβασης δεδομένων προσωπικού χαρακτήρα αναλαμβάνει, δυνάμει της ρήτρας 5, στοιχείο αʹ, τη δέσμευση να ενημερώνει αμέσως τον υπεύθυνο επεξεργασίας, ο οποίος είναι εγκατεστημένος εντός της Ένωσης, σχετικά με την ενδεχόμενη αδυναμία του να συμμορφωθεί με τις υποχρεώσεις που υπέχει από τη συναφθείσα σύμβαση. Ειδικότερα, κατά τη ρήτρα 5, στοιχείο βʹ, ο αποδέκτης αυτός βεβαιώνει ότι δεν έχει κανένα λόγο να πιστεύει ότι η νομοθεσία που τον αφορά τον εμποδίζει να εκπληρώσει τις υποχρεώσεις του βάσει της συναφθείσας σύμβασης και δεσμεύεται να ανακοινώσει, στον υπεύθυνο επεξεργασίας, αμέσως μόλις λάβει γνώση σχετικά, κάθε τροποποίηση της εθνικής νομοθεσίας η οποία τον αφορά και ενδέχεται να έχει σημαντικές αρνητικές συνέπειες για τις εγγυήσεις και τις υποχρεώσεις που προβλέπονται στις τυποποιημένες ρήτρες προστασίας δεδομένων οι οποίες περιλαμβάνονται στο παράρτημα της αποφάσεως ΤΡΠ. Εξάλλου, μολονότι η ρήτρα 5, στοιχείο δʹ, σημείο i, επιτρέπει στον αποδέκτη της διαβίβασης δεδομένων προσωπικού χαρακτήρα, σε περίπτωση που υπάρχει νομοθεσία η οποία προβλέπει κώλυμα, όπως απαγόρευση συνοδευόμενη από ποινικές κυρώσεις προς διαφύλαξη του απορρήτου αστυνομικής έρευνας, να μην γνωστοποιήσει στον εγκατεστημένο εντός της Ένωσης υπεύθυνο επεξεργασίας ένα νομικώς δεσμευτικό αίτημα κοινοποίησης δεδομένων προσωπικού χαρακτήρα που υποβάλλεται από αρχή επιβολής του νόμου, εντούτοις ο αποδέκτης οφείλει, δυνάμει της ρήτρας 5, στοιχείο αʹ, του παραρτήματος της αποφάσεως ΤΡΠ να ενημερώσει τον υπεύθυνο επεξεργασίας για την αδυναμία του να συμμορφωθεί με τις τυποποιημένες ρήτρες προστασίας δεδομένων.
140 Σε αμφότερες τις περιπτώσεις στις οποίες αναφέρεται, η ρήτρα 5, στοιχεία αʹ και βʹ, παρέχει στον εγκατεστημένο εντός της Ένωσης υπεύθυνο επεξεργασίας το δικαίωμα να αναστείλει τη διαβίβαση δεδομένων και/ή να καταγγείλει τη σύμβαση. Λαμβανομένων υπόψη των απαιτήσεων που απορρέουν από το άρθρο 46, παράγραφος 1, και παράγραφος 2, στοιχείο γʹ, του ΓΚΠΔ, όπως ερμηνεύεται σε συνδυασμό με τα άρθρα 7 και 8 του Χάρτη, η αναστολή της διαβίβασης δεδομένων και/ή η καταγγελία της σύμβασης είναι υποχρεωτικές για τον υπεύθυνο επεξεργασίας όταν ο αποδέκτης της διαβίβασης δεν είναι, ή δεν είναι πλέον, σε θέση να τηρήσει τις τυποποιημένες ρήτρες προστασίας δεδομένων. Σε αντίθετη περίπτωση, ο υπεύθυνος επεξεργασίας παραβαίνει τις υποχρεώσεις που υπέχει από τη ρήτρα 4, στοιχείο αʹ, του παραρτήματος της αποφάσεως ΤΡΠ, όπως ερμηνεύεται σε συνδυασμό με τις διατάξεις του ΓΚΠΔ και του Χάρτη.
141 Προκύπτει επομένως ότι η ρήτρα 4, στοιχείο α ʹ, και η ρήτρα 5, στοιχεία αʹ και βʹ, του παραρτήματος αυτού επιβάλλουν στον εγκατεστημένο εντός της Ένωσης υπεύθυνο επεξεργασίας και στον αποδέκτη της διαβίβασης δεδομένων προσωπικού χαρακτήρα την υποχρέωση να βεβαιώνονται ότι η νομοθεσία της τρίτης χώρας προορισμού επιτρέπει στον αποδέκτη να συμμορφώνεται με τις τυποποιημένες ρήτρες προστασίας δεδομένων οι οποίες περιλαμβάνονται στο παράρτημα της αποφάσεως ΤΡΠ, προτού πραγματοποιηθεί η διαβίβαση δεδομένων προσωπικού χαρακτήρα προς την τρίτη χώρα. Ως προς τον σχετικό έλεγχο, η υποσημείωση η οποία αφορά την εν λόγω ρήτρα 5 διευκρινίζει ότι δεσμευτικές απαιτήσεις της εθνικής αυτής νομοθεσίας οι οποίες δεν υπερβαίνουν το αναγκαίο σε μια δημοκρατική κοινωνία μέτρο για τη διαφύλαξη, μεταξύ άλλων, της ασφάλειας του κράτους, της εθνικής άμυνας και της δημόσιας ασφάλειας δεν αντιβαίνουν σε αυτές τις τυποποιημένες ρήτρες προστασίας δεδομένων. Αντιστρόφως, όπως υπογράμμισε ο γενικός εισαγγελέας στο σημείο 131 των προτάσεών του, η συμμόρφωση με υποχρέωση η οποία υπαγορεύεται από το δίκαιο της τρίτης χώρας προορισμού και υπερβαίνει το μέτρο που είναι αναγκαίο για την επίτευξη τέτοιου σκοπού πρέπει να θεωρείται ως παράβαση αυτών των ρητρών. Όταν οι οικονομικοί αυτοί φορείς εκτιμούν κατά πόσον η σχετική υποχρέωση είναι αναγκαία πρέπει να λαμβάνουν υπόψη τυχόν διαπίστωση περιεχόμενη σε απόφαση επάρκειας την οποία η Επιτροπή έχει εκδώσει βάσει του άρθρου 45, παράγραφος 3, του ΓΚΠΔ, καταλήγοντας στο συμπέρασμα ότι το επίπεδο προστασίας που εξασφαλίζεται στην οικεία τρίτη χώρα είναι ικανοποιητικό.
142 Συνεπώς, ο εγκατεστημένος εντός της Ένωσης υπεύθυνος επεξεργασίας και ο αποδέκτης της διαβίβασης δεδομένων προσωπικού χαρακτήρα υποχρεούνται να ελέγχουν εκ των προτέρων την τήρηση, στην οικεία τρίτη χώρα, του απαιτούμενου από το δίκαιο της Ένωσης επιπέδου προστασίας. Ο αποδέκτης της διαβίβασης υποχρεούται κατά περίπτωση, δυνάμει της ίδιας αυτής ρήτρας 5, στοιχείο βʹ, να ενημερώσει τον υπεύθυνο επεξεργασίας για τυχόν αδυναμία του να συμμορφωθεί με τις ρήτρες αυτές, οπότε ο τελευταίος οφείλει να αναστείλει τη διαβίβαση δεδομένων και/ή να καταγγείλει τη σύμβαση.
143 Σε περίπτωση που ο αποδέκτης της διαβίβασης των δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα γνωστοποιήσει στον υπεύθυνο επεξεργασίας, βάσει της ρήτρας 5, στοιχείο βʹ, του παραρτήματος της αποφάσεως ΤΡΠ, ότι η νομοθεσία της οικείας τρίτης χώρας δεν του επιτρέπει να συμμορφωθεί με τις περιεχόμενες στο εν λόγω παράρτημα τυποποιημένες ρήτρες προστασίας δεδομένων, από τη ρήτρα 12 του προαναφερθέντος παραρτήματος προκύπτει ότι τα δεδομένα που έχουν ήδη διαβιβαστεί στην τρίτη αυτή χώρα και τα αντίγραφά τους πρέπει, στο σύνολό τους, να επιστραφούν ή να καταστραφούν. Εν πάση περιπτώσει, η ρήτρα 6 του ίδιου παραρτήματος προβλέπει ευθύνη για τη μη τήρηση των τυποποιημένων αυτών ρητρών, παρέχοντας στο υποκείμενο των δεδομένων το δικαίωμα να λάβει αποζημίωση για τη ζημία την οποία έχει υποστεί.
144 Επιπλέον, κατά τη ρήτρα 4, στοιχείο στʹ, του παραρτήματος της αποφάσεως ΤΡΠ, ο εγκατεστημένος εντός της Ένωσης υπεύθυνος επεξεργασίας δεσμεύεται, όταν ειδικές κατηγορίες δεδομένων θα μπορούσαν να διαβιβαστούν προς τρίτη χώρα η οποία δεν παρέχει ικανοποιητικό επίπεδο προστασίας, να ενημερώσει σχετικά το υποκείμενο των δεδομένων πριν ή το συντομότερο δυνατό μετά τη διαβίβαση. Η ενημέρωση αυτή μπορεί να παράσχει στο υποκείμενο των δεδομένων τη δυνατότητα να ασκήσει το δικαίωμα το οποίο του αναγνωρίζει η ρήτρα 3, παράγραφος 1, του ως άνω παραρτήματος και να στραφεί κατά του υπευθύνου επεξεργασίας, προκειμένου αυτός να αναστείλει τη σχεδιαζόμενη διαβίβαση, να καταγγείλει τη σύμβαση που έχει συναφθεί με τον αποδέκτη της διαβίβασης δεδομένων προσωπικού χαρακτήρα ή, ενδεχομένως, να ζητήσει από τον αποδέκτη την επιστροφή ή την καταστροφή των διαβιβασθέντων δεδομένων.
145 Τέλος, δυνάμει της ρήτρας 4, στοιχείο ζʹ, του παραρτήματος της αποφάσεως ΤΡΠ, ο εγκατεστημένος εντός της Ένωσης υπεύθυνος επεξεργασίας υποχρεούται, όταν ο αποδέκτης της διαβίβασης δεδομένων προσωπικού χαρακτήρα του κοινοποιεί, κατ’ εφαρμογήν της ρήτρας 5, στοιχείο βʹ, του εν λόγω παραρτήματος, τροποποίηση της νομοθεσίας που τον αφορά δυνάμενη να έχει σημαντικές αρνητικές συνέπειες για τις εγγυήσεις που παρέχονται και τις υποχρεώσεις που επιβάλλονται από τις τυποποιημένες ρήτρες προστασίας δεδομένων, να προωθήσει την κοινοποίηση αυτή στην αρμόδια αρχή ελέγχου αν αποφασίσει, παρά την εν λόγω κοινοποίηση, να συνεχίσει τη διαβίβαση ή να άρει την αναστολή της. Η προώθηση της κοινοποίησης στην αρχή ελέγχου και το δικαίωμα της τελευταίας να προβεί, κατ’ εφαρμογήν της ρήτρας 8, παράγραφος 2, του ίδιου παραρτήματος, σε ελέγχους στις εγκαταστάσεις του αποδέκτη της διαβίβασης δεδομένων προσωπικού χαρακτήρα παρέχουν στην αρχή ελέγχου τη δυνατότητα να διερευνήσει αν θα πρέπει να αναστείλει ή να απαγορεύσει τη σχεδιαζόμενη διαβίβαση προκειμένου να διασφαλιστεί ικανοποιητικό επίπεδο προστασίας.
146 Στο πλαίσιο αυτό, το άρθρο 4 της αποφάσεως ΤΡΠ, όπως ερμηνεύεται σε συνδυασμό με την αιτιολογική σκέψη 5 της εκτελεστικής αποφάσεως 2016/2297, επιβεβαιώνει ότι η απόφαση ΤΡΠ ουδόλως εμποδίζει την αρμόδια αρχή ελέγχου να αναστείλει ή να απαγορεύσει, ενδεχομένως, μια διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα βάσει των τυποποιημένων ρητρών προστασίας δεδομένων οι οποίες περιλαμβάνονται στο παράρτημα της προαναφερθείσας αποφάσεως. Όπως συνάγεται από την απάντηση στο όγδοο ερώτημα, εφόσον δεν υφίσταται εγκύρως εκδοθείσα από την Επιτροπή απόφαση επάρκειας, η αρμόδια αρχή ελέγχου υποχρεούται, βάσει του άρθρου 58, παράγραφος 2, στοιχεία στʹ και ιʹ, του ΓΚΠΔ, να αναστείλει ή να απαγορεύσει μια τέτοια διαβίβαση, όταν κρίνει, υπό το πρίσμα των όλων περιστάσεων της διαβίβασης, ότι οι ρήτρες αυτές δεν τηρούνται ή δεν μπορούν να τηρηθούν στην τρίτη αυτή χώρα και ότι η απαιτούμενη από το δίκαιο της Ένωσης προστασία των διαβιβαζόμενων δεδομένων δεν είναι δυνατόν να διασφαλιστεί με άλλα μέσα, εφόσον η διαβίβαση δεν έχει ήδη ανασταλεί ή τερματιστεί είτε από τον υπεύθυνο της επεξεργασίας είτε από τον εκτελούντα την επεξεργασία, οι οποίοι είναι αμφότεροι εγκατεστημένοι εντός της Ένωσης.
147 Όσον αφορά το ενδεχόμενο στο οποίο αναφέρεται ο ΕΠΔ, ότι θα μπορούσαν να εκδοθούν από τις αρχές ελέγχου των διαφόρων κρατών μελών αποκλίνουσες αποφάσεις επί των διαβιβάσεων δεδομένων προσωπικού χαρακτήρα προς συγκεκριμένη τρίτη χώρα, πρέπει να προστεθεί ότι, όπως προκύπτει από το άρθρο 55, παράγραφος 1, και το άρθρο 57, παράγραφος 1, στοιχείο αʹ, του ΓΚΠΔ, η αποστολή της μέριμνας για την τήρηση του εν λόγω κανονισμού ανατίθεται, κατ’ αρχήν, σε κάθε αρχή ελέγχου στο οικείο κράτος μέλος. Επιπλέον, προς αποφυγή του ενδεχομένου να εκδοθούν αποκλίνουσες αποφάσεις, το άρθρο 64, παράγραφος 2, του ως άνω κανονισμού προβλέπει ότι η αρχή ελέγχου που τυχόν θεωρεί ότι η διαβίβαση δεδομένων προς τρίτη χώρα πρέπει, γενικώς, να απαγορεύεται έχει τη δυνατότητα να ζητήσει τη γνώμη του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων (EDPB), το οποίο μπορεί, κατ’ εφαρμογήν του άρθρου 65, παράγραφος 1, στοιχείο γʹ, του ίδιου κανονισμού, να εκδώσει δεσμευτική απόφαση, ιδίως όταν κάποια αρχή ελέγχου δεν ακολουθεί την εκδοθείσα γνώμη.
148 Επομένως, η απόφαση ΤΡΠ προβλέπει αποτελεσματικούς μηχανισμούς που διασφαλίζουν, στην πράξη, ότι η διαβίβαση προς τρίτη χώρα δεδομένων προσωπικού χαρακτήρα βάσει των τυποποιημένων ρητρών προστασίας δεδομένων οι οποίες περιλαμβάνονται στην απόφαση αυτή αναστέλλεται ή απαγορεύεται όταν ο αποδέκτης της διαβίβασης είτε δεν τηρεί τις εν λόγω ρήτρες είτε αδυνατεί να τις τηρήσει.
149 Κατόπιν όλων των προεκτεθέντων, στο έβδομο και στο ενδέκατο προδικαστικό ερώτημα πρέπει να δοθεί η απάντηση ότι από την εξέταση της αποφάσεως ΤΡΠ υπό το πρίσμα των άρθρων 7, 8 και 47 του Χάρτη δεν προέκυψε κανένα στοιχείο ικανό να θίξει το κύρος της αποφάσεως αυτής.
Επί του τέταρτου, του πέμπτου, του ένατου και του δέκατου προδικαστικού ερωτήματος
150 Με το ένατο προδικαστικό ερώτημα, το αιτούν δικαστήριο ζητεί, κατ’ ουσίαν, να διευκρινιστεί αν και σε ποιο βαθμό οι αρχές ελέγχου των κρατών μελών δεσμεύονται από τις περιεχόμενες στην απόφαση ΑΠΙΖ διαπιστώσεις, σύμφωνα με τις οποίες οι Ηνωμένες Πολιτείες εξασφαλίζουν ικανοποιητικό επίπεδο προστασίας. Με το τέταρτο, το πέμπτο και το δέκατο προδικαστικό ερώτημα, το αιτούν δικαστήριο, αφενός, ζητεί, κατ’ ουσίαν, να διευκρινιστεί αν, λαμβανομένων υπόψη των δικών του διαπιστώσεων σχετικά με το δίκαιο των Ηνωμένων Πολιτειών, η διαβίβαση προς την τρίτη αυτή χώρα δεδομένων προσωπικού χαρακτήρα βάσει των τυποποιημένων ρητρών προστασίας δεδομένων οι οποίες περιλαμβάνονται στο παράρτημα της αποφάσεως ΤΡΠ προσβάλλει τα δικαιώματα που κατοχυρώνονται στα άρθρα 7, 8 και 47 του Χάρτη και, αφετέρου, ερωτά ειδικότερα το Δικαστήριο αν συνάδει με το άρθρο 47 του Χάρτη η θέσπιση του μηχανισμού του Διαμεσολαβητή στον οποίο αναφέρεται το παράρτημα ΙΙΙ της αποφάσεως ΑΠΙΖ.
151 Επισημαίνεται προκαταρκτικώς ότι, μολονότι με το ένδικο βοήθημα το οποίο άσκησε ο ΕΠΔ τίθεται υπό αμφισβήτηση το κύρος της αποφάσεως ΤΡΠ και μόνον, το ένδικο αυτό βοήθημα ασκήθηκε πριν από την έκδοση της αποφάσεως ΑΠΙΖ. Στο μέτρο που, με το τέταρτο και το πέμπτο προδικαστικό ερώτημα, το αιτούν δικαστήριο ερωτά, γενικώς, το Δικαστήριο σχετικά με την προστασία που πρέπει να διασφαλίζεται, δυνάμει των άρθρων 7, 8 και 47 του Χάρτη, στο πλαίσιο μιας τέτοιας διαβίβασης, το Δικαστήριο θα πρέπει να λάβει υπόψη, κατά την εξέτασή του, τις συνέπειες τις οποίες είχε εν τω μεταξύ η έκδοση της αποφάσεως ΑΠΙΖ. Τούτο ισχύει κατά μείζονα λόγο καθόσον το αιτούν δικαστήριο ερωτά συγκεκριμένα, με το δέκατο προδικαστικό ερώτημα, αν η προστασία που απαιτείται από το άρθρο 47 του Χάρτη διασφαλίζεται μέσω του Διαμεσολαβητή στον οποίο αναφέρεται η τελευταία αυτή απόφαση.
152 Επιπλέον, από τα στοιχεία που περιλαμβάνονται στην αίτηση προδικαστικής αποφάσεως συνάγεται ότι, στο πλαίσιο της κύριας δίκης, η Facebook Ireland υποστήριξε ότι η απόφαση ΑΠΙΖ είχε για τον ΕΠΔ δεσμευτικά αποτελέσματα όσον αφορά τη διαπίστωση της επάρκειας του επιπέδου προστασίας που εξασφαλίζουν οι Ηνωμένες Πολιτείες και, ως εκ τούτου, ως προς τον νόμιμο χαρακτήρα της διαβίβασης δεδομένων προσωπικού χαρακτήρα προς την εν λόγω τρίτη χώρα βάσει των τυποποιημένων ρητρών προστασίας δεδομένων οι οποίες περιλαμβάνονται στο παράρτημα της αποφάσεως ΤΡΠ.
153 Όπως προκύπτει από τη σκέψη 59 της παρούσας αποφάσεως, το αιτούν δικαστήριο υπογράμμισε, στην απόφαση της 3ης Οκτωβρίου 2017 η οποία έχει επισυναφθεί στην αίτηση προδικαστικής αποφάσεως, ότι όφειλε να λάβει υπόψη τις τροποποιήσεις του δικαίου που επήλθαν μεταξύ της άσκησης του ενδίκου βοηθήματος και της διεξαγωγής της επ’ ακροατηρίου συζητήσεως ενώπιόν του. Επομένως, το αιτούν δικαστήριο φαίνεται ότι είναι υποχρεωμένο να λάβει υπόψη, προς επίλυση της διαφοράς της κύριας δίκης, τη μεταβολή των περιστάσεων λόγω της έκδοσης της αποφάσεως ΑΠΙΖ, καθώς και τα τυχόν δεσμευτικά αποτελέσματα της αποφάσεως αυτής.
154 Ειδικότερα, η ύπαρξη δεσμευτικών αποτελεσμάτων συνδεόμενων με τη διαπίστωση, στην απόφαση ΑΠΙΖ, ότι οι Ηνωμένες Πολιτείες εξασφαλίζουν ικανοποιητικό επίπεδο προστασίας έχει σημασία για την εκτίμηση τόσο των υποχρεώσεων που προεκτέθηκαν στις σκέψεις 141 και 142 της παρούσας αποφάσεως, οι οποίες επιβάλλονται στον υπεύθυνο επεξεργασίας και στον αποδέκτη διαβίβασης δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα βάσει των περιλαμβανόμενων στο παράρτημα της αποφάσεως ΤΡΠ τυποποιημένων ρητρών προστασίας, όσο και των υποχρεώσεων τις οποίες υπέχει, ενδεχομένως, η αρχή ελέγχου να αναστείλει ή να απαγορεύσει μια τέτοια διαβίβαση.
155 Όσον αφορά, συγκεκριμένα, τα δεσμευτικά αποτελέσματα της αποφάσεως ΑΠΙΖ, το άρθρο 1 παράγραφος 1, της αποφάσεως αυτής ορίζει ότι, για τους σκοπούς του άρθρου 45, παράγραφος 1, του ΓΚΠΔ, «οι Ηνωμένες Πολιτείες της Αμερικής εξασφαλίζουν ικανοποιητικό επίπεδο προστασίας για τα δεδομένα προσωπικού χαρακτήρα που διαβιβάζονται από την Ένωση σε οργανισμούς στις ΗΠΑ στο πλαίσιο της ασπίδας προστασίας της ιδιωτικής ζωής ΕΕ-ΗΠΑ». Κατά το άρθρο 1, παράγραφος 3, της αποφάσεως αυτής, γίνεται δεκτό ότι τα δεδομένα προσωπικού χαρακτήρα διαβιβάζονται στο πλαίσιο της ασπίδας αυτής, όταν διαβιβάζονται από την Ένωση σε εγκατεστημένους στις Ηνωμένες Πολιτείες οργανισμούς που περιλαμβάνονται στον «κατάλογο της ασπίδας προστασίας», ο οποίος τηρείται και δημοσιοποιείται από το Υπουργείο Εμπορίου των ΗΠΑ, σύμφωνα με τα τμήματα I και III των Αρχών που παρατίθενται στο παράρτημα II της ίδιας αποφάσεως.
156 Όπως προκύπτει από τη νομολογία που υπενθυμίστηκε με τις σκέψεις 117 και 118 της παρούσας αποφάσεως, η απόφαση ΑΠΙΖ έχει δεσμευτικό χαρακτήρα για τις αρχές ελέγχου, καθόσον διαπιστώνεται με αυτήν ότι οι Ηνωμένες Πολιτείες εξασφαλίζουν ικανοποιητικό επίπεδο προστασίας και καθόσον έχει, κατά συνέπεια, ως αποτέλεσμα να επιτρέπονται οι διαβιβάσεις δεδομένων προσωπικού χαρακτήρα οι οποίες πραγματοποιούνται στο πλαίσιο της ασπίδας προστασίας της ιδιωτικής ζωής Ευρωπαϊκής Ένωσης-ΗΠΑ. Επομένως, ενόσω η απόφαση αυτή δεν έχει κηρυχθεί ανίσχυρη από το Δικαστήριο, η αρμόδια αρχή ελέγχου δεν είναι δυνατόν να αναστείλει ή να απαγορεύσει τη διαβίβαση δεδομένων προσωπικού χαρακτήρα προς οργανισμό ο οποίος έχει προσχωρήσει στην ασπίδα αυτή, με την αιτιολογία ότι κρίνει, αντιθέτως προς την εκτίμηση που διατύπωσε η Επιτροπή στην απόφαση ΑΠΙΖ, ότι η νομοθεσία των Ηνωμένων Πολιτειών η οποία διέπει την πρόσβαση στα δεδομένα προσωπικού χαρακτήρα που διαβιβάζονται στο πλαίσιο της εν λόγω ασπίδας και τη χρήση των δεδομένων αυτών από τις δημόσιες αρχές της συγκεκριμένης τρίτης χώρας για σκοπούς εθνικής ασφάλειας, επιβολής του νόμου ή δημοσίου συμφέροντος δεν διασφαλίζει ικανοποιητικό επίπεδο προστασίας.
157 Εντούτοις, κατά τη νομολογία που υπενθυμίστηκε με τις σκέψεις 119 και 120 της παρούσας αποφάσεως, η αρμόδια αρχή ελέγχου οφείλει, όταν υποβάλλεται ενώπιόν της καταγγελία, να εξετάσει με πλήρη ανεξαρτησία αν η διαβίβαση των επίμαχων δεδομένων προσωπικού χαρακτήρα πληροί τις προϋποθέσεις του ΓΚΠΔ και, σε περίπτωση που κρίνει βάσιμες τις αιτιάσεις οι οποίες προβάλλονται από τον καταγγέλλοντα προς αμφισβήτηση του κύρους αποφάσεως επάρκειας, να προσφύγει ενώπιον των εθνικών δικαστηρίων προκειμένου αυτά να υποβάλουν στο Δικαστήριο αίτηση προδικαστικής αποφάσεως για να κριθεί το κύρος της αποφάσεως αυτής.
158 Πράγματι, μια καταγγελία δυνάμει του άρθρου 77 παράγραφος 1, του RGPD, με την οποία το υποκείμενο των δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν ή θα μπορούσαν να διαβιβαστούν προς τρίτη χώρα ισχυρίζεται ότι η νομοθεσία και οι πρακτικές που ισχύουν στην χώρα αυτή δεν εξασφαλίζουν, παρά τη διαπίστωση στην οποία προέβη η Επιτροπή με απόφαση εκδοθείσα βάσει του άρθρου 45, παράγραφος 3, του ως άνω κανονισμού, ικανοποιητικό επίπεδο προστασίας, θα πρέπει να θεωρηθεί ότι αφορά, κατ’ ουσίαν, το ζήτημα αν η απόφαση της Επιτροπής συνάδει με την προστασία της ιδιωτικής ζωής καθώς και των θεμελιωδών δικαιωμάτων και ελευθεριών των προσώπων (βλ. κατ’ αναλογίαν, όσον αφορά το άρθρο 25, παράγραφος 6, και το άρθρο 28, παράγραφος 4, της οδηγίας 95/46, απόφαση της 6ης Οκτωβρίου 2015, Schrems, C‑362/14, EU:C:2015:650, σκέψη 59).
159 Εν προκειμένω, ο M. Schrems ζήτησε κατ’ ουσίαν από τον ΕΠΔ να απαγορεύσει ή να αναστείλει τη διαβίβαση από τη Facebook Ireland των δικών του δεδομένων προσωπικού χαρακτήρα προς την εγκατεστημένη στις Ηνωμένες Πολιτείες Facebook Inc., υποστηρίζοντας ότι η εν λόγω τρίτη χώρα δεν διασφάλιζε ικανοποιητικό επίπεδο προστασίας. Αφού ο ΕΠΔ προσέφυγε, κατόπιν έρευνας επί των ισχυρισμών του M. Schrems, ενώπιον του αιτούντος δικαστηρίου, το τελευταίο φαίνεται, λαμβανομένων υπόψη των προσκομισθέντων αποδεικτικών στοιχείων και της κατ’ αντιμωλία συζητήσεως που διεξήχθη ενώπιόν του, να διερωτάται ως προς τη βασιμότητα των αμφιβολιών του M. Schrems σχετικά με την επάρκεια του επιπέδου προστασίας το οποίο διασφαλίζεται στη συγκεκριμένη τρίτη χώρα, παρά τα όσα η Επιτροπή διαπίστωσε εν τω μεταξύ με την απόφαση ΑΠΙΖ, γεγονός που οδήγησε το αιτούν δικαστήριο να υποβάλει στο Δικαστήριο το τέταρτο, το πέμπτο και το δέκατο προδικαστικό ερώτημα.
160 Όπως επισήμανε ο γενικός εισαγγελέας στο σημείο 175 των προτάσεών του, τα προδικαστικά αυτά ερωτήματα πρέπει επομένως να ερμηνευθούν υπό την έννοια ότι θέτουν, κατ’ ουσίαν, υπό αμφισβήτηση την περιεχόμενη στην απόφαση ΑΠΙΖ διαπίστωση της Επιτροπής ότι οι Ηνωμένες Πολιτείες εξασφαλίζουν ικανοποιητικό επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα που διαβιβάζονται από την Ένωση προς την εν λόγω τρίτη χώρα και, ως εκ τούτου, το κύρος της προαναφερθείσας αποφάσεως.
161 Συνεπώς, κατόπιν της συλλογιστικής που αναπτύχθηκε στις σκέψεις 121 και 157 έως 160 της παρούσας αποφάσεως και προκειμένου να δοθεί πλήρης απάντηση στο αιτούν δικαστήριο, πρέπει να εξεταστεί αν η απόφαση ΑΠΙΖ είναι σύμφωνη με τις απαιτήσεις οι οποίες απορρέουν από τον ΓΚΠΔ, όπως ερμηνεύεται σε συνδυασμό με τον Χάρτη (βλ., κατ’ αναλογίαν, απόφαση της 6ης Οκτωβρίου 2015, Schrems, C‑362/14, EU:C:2015:650, σκέψη 67).
162 Η έκδοση αποφάσεως επάρκειας από την Επιτροπή βάσει του άρθρου 45, παράγραφος 3, του ΓΚΠΔ προϋποθέτει δεόντως αιτιολογημένη διαπίστωση, εκ μέρους του θεσμικού αυτού οργάνου, ότι η οικεία τρίτη χώρα εξασφαλίζει πράγματι, μέσω της εσωτερικής της νομοθεσίας ή των διεθνών δεσμεύσεων που έχει αναλάβει, επίπεδο προστασίας των θεμελιωδών δικαιωμάτων ουσιαστικά ισοδύναμο με εκείνο το οποίο διασφαλίζεται εντός της έννομης τάξης της Ένωσης (βλ. κατ’ αναλογίαν, όσον αφορά το άρθρο 25, παράγραφος 6, της οδηγίας 95/46, απόφαση της 6ης Οκτωβρίου 2015, Schrems, C‑362/14, EU:C:2015:650, σκέψη 96).
Επί του περιεχομένου της αποφάσεως BPD
163 Η Επιτροπή διαπίστωσε, με το άρθρο 1, παράγραφος 1, της αποφάσεως ΑΠΙΖ, ότι οι Ηνωμένες Πολιτείες εξασφαλίζουν ικανοποιητικό επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα που διαβιβάζονται από την Ένωση προς εγκατεστημένους στις Ηνωμένες Πολιτείες οργανισμούς στο πλαίσιο της ασπίδας προστασίας της ιδιωτικής ζωής Ευρωπαϊκής Ένωσης-Ηνωμένων Πολιτειών, η οποία συνίσταται στις αρχές που εκδόθηκαν από το Υπουργείο Εμπορίου των ΗΠΑ στις 7 Ιουλίου 2016, όπως παρατίθενται στο παράρτημα II της εν λόγω αποφάσεως, καθώς και στις επίσημες δηλώσεις και δεσμεύσεις οι περιλαμβάνονται στα έγγραφα που απαριθμούνται στο παράρτημα I και στα παραρτήματα III έως VII της ίδιας αποφάσεως.
164 Εντούτοις, η απόφαση ΑΠΙΖ, διευκρινίζει επίσης, στο σημείο I.5. του παραρτήματος ΙΙ το οποίο επιγράφεται «Αρχές του πλαισίου της ασπίδας προστασίας της ιδιωτικής ζωής ΕΕ–ΗΠΑ που εξέδωσε το Υπουργείο Εμπορίου των Ηνωμένων Πολιτειών» ότι η προσχώρηση στις αρχές αυτές μπορεί να περιοριστεί, μεταξύ άλλων, από «απαιτήσεις εθνικής ασφάλειας, δημόσιου συμφέροντος ή επιβολής του νόμου». Κατά συνέπεια, η απόφαση ΑΠΙΖ καθιερώνει, όπως και η απόφαση 2000/520, την υπεροχή των συγκεκριμένων απαιτήσεων έναντι των αρχών του πλαισίου της ασπίδας προστασίας, λόγω δε αυτής της υπεροχής οι αυτοπιστοποιημένοι αμερικανικοί οργανισμοί που λαμβάνουν δεδομένα προσωπικού χαρακτήρα από την Ένωση οφείλουν να αποκλίνουν, χωρίς περιορισμό, από τις προαναφερθείσες αρχές όταν αυτές συγκρούονται με τις ανωτέρω απαιτήσεις και ως εκ τούτου παρίστανται ασύμβατες προς τις τελευταίες (βλ. κατ’ αναλογίαν, όσον αφορά την απόφαση 2000/520, απόφαση της 6ης Οκτωβρίου 2015, Schrems, C‑362/14, EU:C:2015:650, σκέψη 86).
165 Λαμβανομένου υπόψη του γενικού της χαρακτήρα, η παρέκκλιση του σημείου I.5. του παραρτήματος II της αποφάσεως ΑΠΙΖ έχει συνεπώς ως αποτέλεσμα να καθίστανται δυνατές επεμβάσεις στα θεμελιώδη δικαιώματα των υποκειμένων των δεδομένων προσωπικού χαρακτήρα που διαβιβάζονται ή θα μπορούσαν να διαβιβαστούν στις Ηνωμένες Πολιτείες, στηριζόμενες είτε στις επιταγές της εθνικής ασφάλειας και του δημοσίου συμφέροντος είτε στην εσωτερική νομοθεσία των Ηνωμένων Πολιτειών (βλ. κατ’ αναλογίαν, όσον αφορά την απόφαση 2000/520, απόφαση της 6ης Οκτωβρίου 2015, Schrems, C‑362/14, EU:C:2015:650, σκέψη 87). Ειδικότερα, όπως διαπιστώθηκε με την απόφαση ΑΠΙΖ, τέτοιου είδους επεμβάσεις ενδέχεται να οφείλονται στην πρόσβαση την οποία έχουν οι αμερικανικές δημόσιες αρχές στα δεδομένα προσωπικού χαρακτήρα που διαβιβάζονται από την Ένωση προς τις Ηνωμένες Πολιτείες και στην εκ μέρους τους χρήση των δεδομένων αυτών, τόσο στο πλαίσιο των προγραμμάτων παρακολούθησης PRISM και UPSTREAM τα οποία στηρίζονται στο άρθρο 702 του FISA, όσο και βάσει του E.O. 12333.
166 Η Επιτροπή αξιολόγησε συναφώς, στις αιτιολογικές σκέψεις 67 έως 135 της αποφάσεως ΑΠΙΖ, τους περιορισμούς και τις εγγυήσεις που προβλέπονται από τη νομοθεσία των Ηνωμένων Πολιτειών, ιδίως στο άρθρο 702 του FISA, από το E.O. 12333 και από την PPD‑28 όσον αφορά την πρόσβαση στα δεδομένα προσωπικού χαρακτήρα τα οποία διαβιβάζονται στο πλαίσιο της ασπίδας προστασίας της ιδιωτικής ζωής Ευρωπαϊκής Ένωσης-Ηνωμένων Πολιτειών και τη χρήση των δεδομένων αυτών από τις αμερικανικές δημόσιες αρχές για σκοπούς σχετικούς με την εθνική ασφάλεια και την επιβολή του νόμου, καθώς και για άλλους σκοπούς γενικού συμφέροντος.
167 Μετά το πέρας της αξιολόγησης αυτής, η Επιτροπή διαπίστωσε, στην αιτιολογική σκέψη 136 της αποφάσεως αυτής, ότι «οι Ηνωμένες Πολιτείες της Αμερικής εξασφαλίζουν ικανοποιητικό επίπεδο προστασίας για τα δεδομένα προσωπικού χαρακτήρα που διαβιβάζονται από την Ένωση σε αυτοπιστοποιούμενους οργανισμούς στις ΗΠΑ» και έκρινε, στην αιτιολογική σκέψη 140 της ίδιας αποφάσεως, ότι, «βάσει των διαθέσιμων πληροφοριών σχετικά με την έννομη τάξη των ΗΠΑ, […] κάθε επέμβαση εκ μέρους των δημόσιων αρχών των ΗΠΑ στα θεμελιώδη δικαιώματα των προσώπων των οποίων τα δεδομένα διαβιβάζονται από την Ένωση στις ΗΠΑ στο πλαίσιο της ασπίδας προστασίας για σκοπούς εθνικής ασφάλειας, επιβολής του νόμου ή άλλους σκοπούς δημόσιου συμφέροντος, και των συνακόλουθων περιορισμών που επιβάλλονται στους αυτοπιστοποιούμενους οργανισμούς σε σχέση με την τήρηση από αυτούς των αρχών προστασίας της ιδιωτικής ζωής, θα περιορίζεται στον απολύτως αναγκαίο βαθμό για την επίτευξη του εν λόγω νόμιμου στόχου, και ότι υφίσταται αποτελεσματική δικαστική προστασία από τέτοιου είδους επέμβαση».
Επί της διαπίστωσης περί επάρκειας του επιπέδου προστασίας
168 Λαμβανομένων υπόψη των στοιχείων που ανέφερε η Επιτροπή στην απόφαση ΑΠΙΖ, καθώς και εκείνων που εξέθεσε το αιτούν δικαστήριο στο πλαίσιο της κύριας δίκης, το δικαστήριο αυτό διατηρεί αμφιβολίες ως προς το αν το δίκαιο των Ηνωμένων Πολιτειών διασφαλίζει πράγματι το ικανοποιητικό επίπεδο προστασίας το οποίο απαιτείται από το άρθρο 45 του ΓΚΠΔ, όπως ερμηνεύεται σε συνδυασμό με τα θεμελιώδη δικαιώματα τα οποία κατοχυρώνονται στα άρθρα 7, 8 και 47 του Χάρτη. Πιο συγκεκριμένα, το αιτούν δικαστήριο εκτιμά ότι το δίκαιο της τρίτης αυτής χώρας δεν προβλέπει τους αναγκαίους περιορισμούς και τις αναγκαίες εγγυήσεις σε σχέση με τις επεμβάσεις τις οποίες επιτρέπει η εθνική νομοθεσία του ούτε διασφαλίζει αποτελεσματική δικαστική προστασία κατά τέτοιων επεμβάσεων. Ως προς το τελευταίο αυτό σημείο, προσθέτει ότι η θέσπιση του μηχανισμού του Διαμεσολαβητή της ασπίδας προστασίας δεν μπορεί, κατά την εκτίμησή του, να καλύψει τα κενά αυτά, δεδομένου ότι ο Διαμεσολαβητής δεν είναι δυνατόν να εξομοιωθεί με δικαστήριο, κατά την έννοια του άρθρου 47 του Χάρτη.
169 Όσον αφορά, πρώτον, τα άρθρα 7 και 8 του Χάρτη, τα οποία συμβάλλουν στην επίτευξη του επιπέδου προστασίας που απαιτείται εντός της Ένωσης και των οποίων η τήρηση πρέπει να διαπιστώνεται από την Επιτροπή πριν αυτή εκδώσει απόφαση επάρκειας δυνάμει του άρθρου 45, παράγραφος 1, του ΓΚΠΔ, υπενθυμίζεται ότι το άρθρο 7 του Χάρτη εγγυάται σε κάθε πρόσωπο το δικαίωμα στον σεβασμό της ιδιωτικής και οικογενειακής ζωής του, της κατοικίας του και των επικοινωνιών του. Το δε άρθρο 8, παράγραφος 1, του Χάρτη αναγνωρίζει ρητώς το δικαίωμα κάθε προσώπου στην προστασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν.
170 Επομένως, η πρόσβαση σε δεδομένα προσωπικού χαρακτήρα ενός φυσικού προσώπου με σκοπό τη διατήρηση ή τη χρήση τους επηρεάζει το θεμελιώδες δικαίωμα του ατόμου αυτού στον σεβασμό της ιδιωτικής ζωής, το οποίο κατοχυρώνεται στο άρθρο 7 του Χάρτη, δεδομένου ότι το δικαίωμα αυτό συνδέεται με κάθε πληροφορία που αφορά φυσικό πρόσωπο του οποίου η ταυτότητα είναι γνωστή ή μπορεί να εξακριβωθεί. Οι εν λόγω επεξεργασίες δεδομένων εμπίπτουν επίσης στο πεδίο εφαρμογής του άρθρου 8 του Χάρτη επειδή αποτελούν επεξεργασία δεδομένων προσωπικού χαρακτήρα κατά την έννοια του άρθρου αυτού και πρέπει, ως εκ τούτου, κατ’ ανάγκη να πληρούν τις απαιτήσεις περί προστασίας των δεδομένων τις οποίες προβλέπει το ως άνω άρθρο [πρβλ. αποφάσεις της 9ης Νοεμβρίου 2010, Volker und Markus Schecke και Eifert, C‑92/09 και C‑93/09, EU:C:2010:662, σκέψεις 49 και 52, και της 8ης Απριλίου 2014, Digital Rights Ireland κ.λπ., C‑293/12 και C‑594/12, EU:C:2014:238, σκέψη 29, και γνωμοδότηση 1/15 (Συμφωνία PNR ΕΕ‑Καναδά), της 26ης Ιουλίου 2017, EU:C:2017:592, σκέψεις 122 και 123].
171 Το Δικαστήριο έχει κρίνει ότι η γνωστοποίηση δεδομένων προσωπικού χαρακτήρα σε τρίτον, όπως είναι οι δημόσιες αρχές, συνιστά επέμβαση στα θεμελιώδη δικαιώματα τα οποία κατοχυρώνονται στα άρθρα 7 και 8 του Χάρτη, ανεξαρτήτως της μεταγενέστερης χρήσης των πληροφοριών που γνωστοποιήθηκαν. Το ίδιο ισχύει για τη διατήρηση δεδομένων προσωπικού χαρακτήρα καθώς και για την πρόσβαση στα δεδομένα αυτά με σκοπό τη χρήση τους από τις δημόσιες αρχές, ανεξαρτήτως του αν οι σχετικές με την ιδιωτική ζωή πληροφορίες έχουν ευαίσθητο χαρακτήρα ή του αν οι ενδιαφερόμενοι υπέστησαν τυχόν δυσμενείς συνέπειες λόγω της επέμβασης αυτής [πρβλ. αποφάσεις της 20ής Μαΐου 2003, Österreichischer Rundfunk κ.λπ., C‑465/00, C‑138/01 και C‑139/01, EU:C:2003:294, σκέψεις 74 και 75, της 8ης Απριλίου 2014, Digital Rights Ireland κ.λπ., C‑293/12 και C‑594/12, EU:C:2014:238, σκέψεις 33 έως 36, και γνωμοδότηση 1/15 (Συμφωνία PNR ΕΕ-Καναδά), της 26ης Ιουλίου 2017, EU:C:2017:592, σκέψεις 124 και 126].
172 Εντούτοις, τα δικαιώματα που κατοχυρώνονται στα άρθρα 7 και 8 του Χάρτη δεν αποτελούν απόλυτα προνόμια, αλλά πρέπει να λαμβάνονται υπόψη σε σχέση με τη λειτουργία την οποία επιτελούν στο κοινωνικό σύνολο [πρβλ. αποφάσεις της 9ης Νοεμβρίου 2010, Volker und Markus Schecke και Eifert, C‑92/09 και C‑93/09, EU:C:2010:662, σκέψη 48 και εκεί μνημονευόμενη νομολογία, της 17ης Οκτωβρίου 2013, Schwarz, C‑291/12, EU:C:2013:670, σκέψη 33 και εκεί μνημονευόμενη νομολογία, και γνωμοδότηση 1/15 (Συμφωνία PNR ΕΕ-Καναδά), της 26ης Ιουλίου 2017, EU:C:2017:592, σκέψη 136].
173 Επ’ αυτού πρέπει επίσης να επισημανθεί ότι, κατά το άρθρο 8, παράγραφος 2, του Χάρτη, η επεξεργασία των δεδομένων προσωπικού χαρακτήρα πρέπει, μεταξύ άλλων, να γίνεται «για καθορισμένους σκοπούς και με βάση τη συγκατάθεση του ενδιαφερομένου ή για άλλους θεμιτούς λόγους που προβλέπονται από τον νόμο».
174 Επιπλέον, κατά το άρθρο 52, παράγραφος 1, πρώτη περίοδος, του Χάρτη, κάθε περιορισμός στην άσκηση των δικαιωμάτων και των ελευθεριών που αναγνωρίζονται με τον Χάρτη πρέπει να προβλέπεται από τον νόμο και να σέβεται το βασικό περιεχόμενο των εν λόγω δικαιωμάτων και ελευθεριών. Κατά το άρθρο 52, παράγραφος 1, δεύτερη περίοδος, του Χάρτη, τηρουμένης της αρχής της αναλογικότητας, περιορισμοί επιτρέπεται να επιβάλλονται σε αυτά τα δικαιώματα και τις ελευθερίες μόνον εφόσον είναι αναγκαίοι και ανταποκρίνονται πραγματικά σε σκοπούς γενικού συμφέροντος τους οποίους αναγνωρίζει η Ένωση ή στην ανάγκη προστασίας των δικαιωμάτων και ελευθεριών των τρίτων.
175 Ως προς το τελευταίο αυτό σημείο, πρέπει να προστεθεί ότι η απαίτηση να προβλέπεται από τον νόμο κάθε περιορισμός στην άσκηση των θεμελιωδών δικαιωμάτων συνεπάγεται ότι η νομική βάση που επιτρέπει την επέμβαση στα δικαιώματα αυτά πρέπει να προσδιορίζει η ίδια την έκταση του περιορισμού της άσκησης του αντίστοιχου δικαιώματος [γνωμοδότηση 1/15 (Συμφωνία PNR ΕΕ-Καναδά), της 26ης Ιουλίου 2017, EU:C:2017:592, σκέψη 139 και εκεί μνημονευόμενη νομολογία].
176 Τέλος, για να ανταποκρίνεται στην επιταγή της αναλογικότητας, σύμφωνα με την οποία οι παρεκκλίσεις από την προστασία των δεδομένων προσωπικού χαρακτήρα και οι περιορισμοί της πρέπει να μην υπερβαίνουν τα όρια του απολύτως αναγκαίου, η επίμαχη ρύθμιση που συνεπάγεται την επέμβαση πρέπει να προβλέπει σαφείς και ακριβείς κανόνες που να διέπουν το περιεχόμενο και την εφαρμογή του επίμαχου μέτρου και να επιβάλλουν ελάχιστες απαιτήσεις, ούτως ώστε τα πρόσωπα των οποίων τα δεδομένα διαβιβάζονται να διαθέτουν επαρκείς εγγυήσεις οι οποίες να καθιστούν δυνατή την αποτελεσματική προστασία των δεδομένων προσωπικού χαρακτήρα από τους κινδύνους κατάχρησης. Στη ρύθμιση πρέπει, ειδικότερα, να ορίζεται υπό ποιες περιστάσεις και υπό ποιες συνθήκες μπορεί να ληφθεί μέτρο το οποίο προβλέπει την επεξεργασία τέτοιων δεδομένων, προκειμένου να διασφαλίζεται κατά τον τρόπο αυτό ότι η επέμβαση θα περιορίζεται στο απολύτως αναγκαίο. Η ανάγκη να παρέχονται τέτοιες εγγυήσεις είναι ακόμη πιο επιτακτική όταν τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε αυτοματοποιημένη επεξεργασία [πρβλ. γνωμοδότηση 1/15 (Συμφωνία PNR ΕΕ-Καναδά), της 26 Ιουλίου 2017, EU:C:2017:592, σκέψεις 140 και 141 και εκεί μνημονευόμενη νομολογία].
177 Στο πνεύμα αυτό, το άρθρο 45, παράγραφος 2, στοιχείο αʹ, του ΓΚΠΔ διευκρινίζει ότι, στο πλαίσιο της εκ μέρους της αξιολόγησης της επάρκειας του επιπέδου προστασίας που εξασφαλίζεται από τρίτη χώρα, η Επιτροπή λαμβάνει υπόψη, μεταξύ άλλων, «ουσιαστικά και εκτελεστά δικαιώματα υποκειμένων» των οποίων τα δεδομένα προσωπικού χαρακτήρα διαβιβάζονται.
178 Εν προκειμένω, η διαπίστωση της Επιτροπής στην απόφαση ΑΠΙΖ, ότι οι Ηνωμένες Πολιτείες εξασφαλίζουν επίπεδο προστασίας ουσιαστικά ισοδύναμο με εκείνο που εγγυάται εντός της Ένωσης ο ΓΚΠΔ όπως ερμηνεύεται σε συνδυασμό με τα άρθρα 7 και 8 του Χάρτη, αμφισβητήθηκε, μεταξύ άλλων, για τον λόγο ότι, όπως υποστηρίζεται, οι επεμβάσεις οι οποίες οφείλονται στα προγράμματα παρακολούθησης που στηρίζονται στο άρθρο 702 του FISA και στο E.O. 12333 δεν υπόκεινται σε απαιτήσεις οι οποίες να διασφαλίζουν, τηρουμένης της αρχής της αναλογικότητας, επίπεδο προστασίας με ουσιαστικό ισοδύναμο με αυτό που κατοχυρώνεται από το άρθρο 52, παράγραφος 1, δεύτερη περίοδος, του Χάρτη. Επομένως, πρέπει να εξεταστεί αν κατά την εφαρμογή των προαναφερθέντων προγραμμάτων παρακολούθησης πληρούνται οι ως άνω απαιτήσεις, χωρίς να είναι αναγκαίο να ελεγχθεί προηγουμένως η τήρηση, από την τρίτη αυτή χώρα, προϋποθέσεων ουσιαστικά ισοδύναμων με τις προβλεπόμενες στο άρθρο 52, παράγραφος 1, πρώτη περίοδος, του Χάρτη.
179 Επ’ αυτού, όσον αφορά τα προγράμματα παρακολούθησης τα οποία στηρίζονται στο άρθρο 702 του FISA, η Επιτροπή διαπίστωσε, με την αιτιολογική σκέψη 109 της αποφάσεως ΑΠΙΖ ότι, κατά το εν λόγω άρθρο, «το FISC δεν εγκρίνει μέτρα παρακολούθησης σε ατομική βάση, αλλά προγράμματα παρακολούθησης (όπως το PRISM ή το UPSTREAM) βάσει ετήσιων πιστοποιήσεων που καταρτίζονται από τον Γενικό Εισαγγελέα και τον Διευθυντή της Εθνικής Υπηρεσίας Πληροφοριών (DNI)». Όπως προκύπτει από την ίδια αιτιολογική σκέψη, ο έλεγχος τον οποίο ασκεί το FISC έχει ως σκοπό να εξακριβωθεί αν αυτά τα προγράμματα παρακολούθησης ανταποκρίνονται στον στόχο της συγκέντρωσης πληροφοριών από την αλλοδαπή, αλλά δεν αφορά το «αν τα πρόσωπα στοχεύονται ορθώς με σκοπό τη συγκέντρωση πληροφοριών από την αλλοδαπή».
180 Επομένως, κατά τα φαινόμενα, ουδόλως προκύπτει από το άρθρο 702 του FISA η ύπαρξη περιορισμών στην εξουσιοδότηση που παρέχει ο νόμος αυτός για την εφαρμογή των προγραμμάτων παρακολούθησης προς απόκτηση πληροφοριών από την αλλοδαπή, ούτε η ύπαρξη εγγυήσεων για τους μη Αμερικανούς πολίτες τους οποίους αφορούν εν δυνάμει τα σχετικά προγράμματα. Υπό τις συνθήκες αυτές και όπως επισήμανε, κατ’ ουσίαν, ο γενικός εισαγγελέας στα σημεία 291, 292 και 297 των προτάσεών του, το συγκεκριμένο άρθρο δεν είναι ικανό να διασφαλίσει επίπεδο προστασίας ουσιαστικά ισοδύναμο με εκείνο που εγγυάται ο Χάρτης, όπως ερμηνεύεται από την προεκτεθείσα στις σκέψεις 175 και 176 της παρούσας αποφάσεως νομολογία, κατά την οποία η νομική βάση που επιτρέπει επεμβάσεις στα θεμελιώδη δικαιώματα πρέπει, για να είναι σύμφωνη με την αρχή της αναλογικότητας, να προσδιορίζει η ίδια την έκταση του περιορισμού της άσκησης του αντίστοιχου δικαιώματος και να προβλέπει σαφείς και ακριβείς κανόνες που να διέπουν το περιεχόμενο και την εφαρμογή του επίμαχου μέτρου και να επιβάλλουν ελάχιστες απαιτήσεις.
181 Σύμφωνα με τις διαπιστώσεις οι οποίες περιέχονται στην απόφαση ΑΠΙΖ, κατά την εφαρμογή των προγραμμάτων παρακολούθησης που στηρίζονται στο άρθρο 702 του FISA πρέπει, βεβαίως, να πληρούνται οι απαιτήσεις της PPD‑28. Εντούτοις, μολονότι η Επιτροπή υπογράμμισε, στις αιτιολογικές σκέψεις 69 και 77 της αποφάσεως ΑΠΙΖ, ότι οι απαιτήσεις αυτές έχουν δεσμευτικό χαρακτήρα για τις αμερικανικές Υπηρεσίες Πληροφοριών, η Αμερικανική Κυβέρνηση παραδέχθηκε, απαντώντας σε ερώτηση του Δικαστηρίου, ότι η PPD 28 δεν παρέχει στα υποκείμενα των δεδομένων εκτελεστά δικαιώματα τα οποία να μπορούν να προβληθούν έναντι των αμερικανικών αρχών ενώπιον των δικαστηρίων. Ως εκ τούτου, δεν μπορεί να διασφαλίσει επίπεδο προστασίας ουσιαστικά ισοδύναμο με εκείνο που απορρέει από τον Χάρτη, αντιθέτως προς ό, τι επιτάσσει το άρθρο 45, παράγραφος 2, στοιχείο αʹ, του ΓΚΠΔ, κατά το οποίο η διαπίστωση της επάρκειας του επιπέδου προστασίας εξαρτάται, μεταξύ άλλων, από την ύπαρξη πραγματικών και εκτελεστών δικαιωμάτων υπέρ των υποκειμένων των δεδομένων που διαβιβάστηκαν στην επίμαχη τρίτη χώρα.
182 Όσον αφορά τα προγράμματα παρακολούθησης τα οποία στηρίζονται στο E.O. 12333, από τη δικογραφία ενώπιον του Δικαστηρίου προκύπτει ότι ούτε το διάταγμα αυτό παρέχει εκτελεστά δικαιώματα που να μπορούν να προβληθούν έναντι των αμερικανικών αρχών ενώπιον των δικαστηρίων.
183 Επιπλέον, η PPD 28, η οποία πρέπει να τηρείται στο πλαίσιο της εφαρμογής των προγραμμάτων που μνημονεύθηκαν στις δύο προηγούμενες σκέψεις, επιτρέπει «τη “μαζική” συλλογή […] σχετικά μεγάλου όγκου πληροφοριών σημάτων ή δεδομένων σε περιστάσεις υπό τις οποίες η κοινότητα των υπηρεσιών πληροφοριών δεν μπορεί να χρησιμοποιήσει αναγνωριστικό που συνδέεται με συγκεκριμένο στόχο […] προκειμένου η συλλογή να είναι ειδικά εστιασμένη», όπως διευκρινίζεται στο από 21 Ιουνίου 2016 έγγραφο του Γραφείου του Διευθυντή της Εθνικής Υπηρεσίας Πληροφοριών (Office of the Director of National Intelligence) προς το Υπουργείο Εμπορίου των ΗΠΑ καθώς και προς τη Διοίκηση Διεθνούς Εμπορίου, το οποίο περιλαμβάνεται στο παράρτημα VI της αποφάσεως ΑΠΙΖ. Η ευχέρεια όμως αυτή, χάρη στην οποία είναι δυνατή, στο πλαίσιο των προγραμμάτων παρακολούθησης που στηρίζονται στο E.O. 12333, η πρόσβαση σε δεδομένα υπό διαμετακόμιση προς τις Ηνωμένες Πολιτείες χωρίς να ασκείται οποιοσδήποτε δικαστικός έλεγχος, δεν οριοθετεί, εν πάση περιπτώσει, με τρόπο αρκούντως σαφή και ακριβή την έκταση μιας τέτοιας μαζικής συλλογής δεδομένων προσωπικού χαρακτήρα.
184 Συνάγεται, επομένως ότι ούτε το άρθρο 702 του FISA ούτε το E.O. 12333, σε συνδυασμό με την PPD 28, ανταποκρίνονται στις ελάχιστες απαιτήσεις που συνδέονται, κατά το δίκαιο της Ένωσης, με την αρχή της αναλογικότητας, οπότε δεν μπορεί να γίνει δεκτό ότι τα προγράμματα παρακολούθησης τα οποία στηρίζονται στις διατάξεις αυτές περιορίζονται στο απολύτως αναγκαίο.
185 Υπό τις συνθήκες αυτές, οι περιορισμοί της προστασίας των δεδομένων προσωπικού χαρακτήρα οι οποίοι απορρέουν από την εσωτερική νομοθεσία των Ηνωμένων Πολιτειών σχετικά με την πρόσβαση των αμερικανικών δημοσίων αρχών σε δεδομένα που διαβιβάζονται από την Ένωση στις Ηνωμένες Πολιτείες και με την εκ μέρους τους χρήση τέτοιων δεδομένων, περιορισμοί οι οποίοι αξιολογήθηκαν από την Επιτροπή στην απόφαση ΑΠΙΖ, δεν οριοθετούνται με τέτοιον τρόπο ώστε να ανταποκρίνονται σε απαιτήσεις ουσιαστικά ισοδύναμες με εκείνες που επιβάλλει το δίκαιο της Ένωσης με το άρθρο 52, παράγραφος 1, δεύτερη περίοδος, του Χάρτη.
186 Όσον αφορά, δεύτερον, το άρθρο 47 του Χάρτη, το οποίο συμβάλλει επίσης στην επίτευξη του απαιτούμενου επιπέδου προστασίας εντός της Ένωσης και του οποίου την τήρηση οφείλει να διαπιστώσει η Επιτροπή πριν εκδώσει απόφαση επάρκειας δυνάμει του άρθρου 45, παράγραφος 1, του ΓΚΠΔ, υπενθυμίζεται ότι, κατά το πρώτο εδάφιο του εν λόγω άρθρου 47, κάθε πρόσωπο του οποίου παραβιάστηκαν τα δικαιώματα και οι ελευθερίες που διασφαλίζονται από το δίκαιο της Ένωσης επιβάλλεται να έχει δικαίωμα αποτελεσματικής προσφυγής ενώπιον δικαστηρίου, τηρουμένων των προϋποθέσεων που προβλέπονται στο άρθρο αυτό. Κατά το δεύτερο εδάφιο του ίδιου άρθρου, κάθε πρόσωπο έχει δικαίωμα να δικαστεί η υπόθεσή του από ανεξάρτητο και αμερόληπτο δικαστήριο.
187 Κατά πάγια νομολογία, η ύπαρξη αποτελεσματικού δικαστικού ελέγχου για τη διασφάλιση της τήρησης των κανόνων δικαίου της Ένωσης είναι αναπόσπαστα συνδεδεμένη με την ύπαρξη κράτους δικαίου. Επομένως, κανονιστική ρύθμιση η οποία δεν προβλέπει καμία δυνατότητα του πολίτη να ασκήσει ένδικο βοήθημα για να εξασφαλίσει πρόσβαση σε δεδομένα προσωπικού χαρακτήρα που τον αφορούν, ή να επιτύχει τη διόρθωση ή την απαλοιφή τέτοιων δεδομένων, δεν σέβεται το βασικό περιεχόμενο του θεμελιώδους δικαιώματος αποτελεσματικής δικαστικής προστασίας, όπως αυτό κατοχυρώνεται στο άρθρο 47 του Χάρτη (απόφαση της 6ης Οκτωβρίου 2015, Schrems, C‑362/14, EU:C:2015:650, σκέψη 95 και εκεί μνημονευόμενη νομολογία).
188 Για τον λόγο αυτό, το άρθρο 45, παράγραφος 2, στοιχείο αʹ, του ΓΚΠΔ απαιτεί από την Επιτροπή, στο πλαίσιο της εκ μέρους της αξιολόγησης της επάρκειας του επιπέδου προστασίας που εξασφαλίζεται από τρίτη χώρα, να λαμβάνει υπόψη, μεταξύ άλλων, «διοικητικά και δικαστικά μέσα προσφυγής για τα υποκείμενα των δεδομένων των οποίων τα δεδομένα προσωπικού χαρακτήρα διαβιβάζονται». Η δε αιτιολογική σκέψη 104 του ΓΚΠΔ υπογραμμίζει επ’ αυτού ότι η τρίτη χώρα «θα πρέπει να διασφαλίζει την αποτελεσματική ανεξάρτητη εποπτεία της προστασίας των δεδομένων και να προβλέπει μηχανισμούς συνεργασίας με τις αρχές προστασίας δεδομένων των κρατών μελών, τα δε υποκείμενα των δεδομένων θα πρέπει να έχουν στη διάθεσή τους αποτελεσματικά και νομικώς ισχυρά δικαιώματα, καθώς και τη δυνατότητα άσκησης αποτελεσματικών διοικητικών και δικαστικών προσφυγών».
189 Η ύπαρξη τέτοιων αποτελεσματικών δυνατοτήτων προσφυγής εντός της οικείας τρίτης χώρας έχει ιδιαίτερη σπουδαιότητα στο πλαίσιο της διαβίβασης δεδομένων προσωπικού χαρακτήρα προς την τρίτη αυτή χώρα, στο μέτρο που, όπως προκύπτει από την αιτιολογική σκέψη 116 του ΓΚΠΔ, τα υποκείμενα των δεδομένων αντιμετωπίζουν το ενδεχόμενο οι εξουσίες και τα μέσα των διοικητικών και δικαστικών αρχών των κρατών μελών να μην επαρκούν για να δοθεί αποτελεσματική συνέχεια στις καταγγελίες τους περί παράνομης επεξεργασίας, στην εν λόγω τρίτη χώρα, των δεδομένων τους τα οποία διαβιβάζονται κατ’ αυτόν τον τρόπο, όπερ μπορεί να τα αναγκάσει να απευθυνθούν στις εθνικές αρχές και τα εθνικά δικαστήρια της ίδιας αυτής τρίτης χώρας.
190 Εν προκειμένω, η διαπίστωση της Επιτροπής στην απόφαση ΑΠΙΖ, ότι οι Ηνωμένες Πολιτείες εξασφαλίζουν επίπεδο προστασίας ουσιαστικά ισοδύναμο με εκείνο που κατοχυρώνεται στο άρθρο 47 του Χάρτη, αμφισβητήθηκε, μεταξύ άλλων, για τον λόγο ότι, όπως υποστηρίζεται, η θέσπιση του μηχανισμού του Διαμεσολαβητή της ασπίδας προστασίας της ιδιωτικής ζωής δεν είναι δυνατό να αντισταθμίσει τα κενά τα οποία διαπίστωσε η ίδια η Επιτροπή όσον αφορά τη δικαστική προστασία των υποκειμένων των δεδομένων προσωπικού χαρακτήρα που διαβιβάζονται στη συγκεκριμένη τρίτη χώρα.
191 Η Επιτροπή επισήμανε συναφώς, στην αιτιολογική σκέψη 115 της αποφάσεως ΑΠΙΖ, ότι, παρότι «οι ιδιώτες, συμπεριλαμβανομένων των προσώπων από την [Ένωση] στα οποία αναφέρονται τα δεδομένα, διαθέτουν […] ορισμένα μέσα έννομης προστασίας σε περίπτωση που έχουν αποτελέσει αντικείμενο παράνομης (ηλεκτρονικής) παρακολούθησης για σκοπούς εθνικής ασφάλειας, είναι εξίσου σαφές ότι τουλάχιστον ορισμένες νομικές βάσεις που μπορούν να χρησιμοποιήσουν οι υπηρεσίες πληροφοριών των ΗΠΑ [π.χ. το εκτελεστικό διάταγμα (E.O.) 12333] δεν καλύπτονται». Ειδικότερα ως προς το E.O. 12333, η Επιτροπή τόνισε, στην εν λόγω αιτιολογική σκέψη 115, ότι δεν υφίσταται κανένα μέσο δικαστικής προστασίας. Σύμφωνα όμως με τη νομολογία η οποία υπενθυμίστηκε με τη σκέψη 187 της παρούσας αποφάσεως, η ύπαρξη ενός τέτοιου κενού στη δικαστική προστασία έναντι των επεμβάσεων που συνδέονται με τα προγράμματα συλλογής πληροφοριών τα οποία στηρίζονται στο ως άνω προεδρικό διάταγμα σημαίνει ότι δεν μπορεί να συναχθεί το συμπέρασμα στο οποίο κατέληξε η Επιτροπή με την απόφαση ΑΠΙΖ, ότι δηλαδή το δίκαιο των Ηνωμένων Πολιτειών εξασφαλίζει επίπεδο προστασίας ουσιαστικά ισοδύναμο με εκείνο που κατοχυρώνεται στο άρθρο 47 του Χάρτη.
192 Εξάλλου, όσον αφορά τα προγράμματα παρακολούθησης, τόσο εκείνα που στηρίζονται στο άρθρο 702 του FISA όσο και εκείνα που στηρίζονται στο E.O. 12333, διαπιστώθηκε στις σκέψεις 181 και 182 της παρούσας αποφάσεως ότι ούτε η PPD‑28 ούτε το E.O 12333 παρέχουν στα υποκείμενα των δεδομένων εκτελεστά δικαιώματα τα οποία να μπορούν να προβληθούν έναντι των αμερικανικών αρχών ενώπιον των δικαστηρίων, με συνέπεια τα άτομα αυτά να μη διαθέτουν δικαίωμα αποτελεσματική προσφυγής.
193 Ωστόσο, η Επιτροπή διαπίστωσε, στις αιτιολογικές σκέψεις 115 και 116 της αποφάσεως ΑΠΙΖ, ότι μπορεί να θεωρηθεί ότι οι Ηνωμένες Πολιτείες εξασφαλίζουν επίπεδο προστασίας ουσιαστικά ισοδύναμο με εκείνο το οποίο κατοχυρώνεται στο άρθρο 47 του Χάρτη, τόσο λόγω της ύπαρξης του μηχανισμού διαμεσολάβησης που έθεσαν σε εφαρμογή οι αμερικανικές αρχές, όπως αυτός περιγράφεται στην από 7 Ιουλίου 2016 επιστολή του Υπουργού Εξωτερικών των Ηνωμένων Πολιτειών προς την Ευρωπαία Επίτροπο για την Δικαιοσύνη, τους Καταναλωτές και την Ισότητα των φύλων, η οποία περιλαμβάνεται στο παράρτημα III της προαναφερθείσας αποφάσεως, όσο και λόγω της φύσης της αποστολής που έχει ανατεθεί στον Διαμεσολαβητή, ως «Ανώτατο Συντονιστή για τη Διεθνή Διπλωματία στον Τομέα της Τεχνολογίας των Πληροφοριών».
194 Η εξέταση του ζητήματος αν ο μηχανισμός διαμεσολάβησης στον οποίο αναφέρεται η απόφαση ΑΠΙΖ είναι πράγματι ικανός να αντισταθμίσει τους περιορισμούς του δικαιώματος δικαστικής προστασίας τους οποίους διαπίστωσε η Επιτροπή πρέπει, σύμφωνα με τις απαιτήσεις που απορρέουν από το άρθρο 47 του Χάρτη και από τη νομολογία που υπενθυμίστηκε με τη σκέψη 187 της παρούσας αποφάσεως, να εκκινεί από την αρχή ότι είναι απαραίτητο οι πολίτες να έχουν τη δυνατότητα να ασκήσουν ένδικο βοήθημα ενώπιον ανεξάρτητου και αμερόληπτου δικαστηρίου προκειμένου να εξασφαλίσουν πρόσβαση στα δεδομένα προσωπικού χαρακτήρα τα οποία τους αφορούν, ή να επιτύχουν τη διόρθωση ή την απαλοιφή τέτοιων δεδομένων.
195 Στην επιστολή για την οποία έγινε λόγος στη σκέψη 193 της παρούσας αποφάσεως, ο Διαμεσολαβητής της ασπίδας προστασίας της ιδιωτικής ζωής, καίτοι περιγράφεται ως «ανεξάρτητος από την κοινότητα των υπηρεσιών πληροφοριών», εμφανίζεται να «αναφέρεται απευθείας στον Υπουργό Εξωτερικών ο οποίος διασφαλίζει ότι ο Διαμεσολαβητής εκτελεί τα καθήκοντά του αντικειμενικά και ελεύθερα από οποιανδήποτε ανάρμοστη επιρροή που ενδέχεται να έχει αντίκτυπο στην απάντηση που πρέπει να παρασχεθεί». Εξάλλου, πέραν του ότι, όπως διαπίστωσε η Επιτροπή στην αιτιολογική σκέψη 116 της αποφάσεως ΑΠΙΖ, ο Διαμεσολαβητής ορίζεται από τον Υπουργό Εξωτερικών και υπάγεται στο Υπουργείο Εξωτερικών των Ηνωμένων Πολιτειών, δεν υφίσταται στην απόφαση αυτή, όπως τόνισε ο γενικός εισαγγελέας στο σημείο 337 των προτάσεών του, καμία ένδειξη ότι η ανάκληση του Διαμεσολαβητή ή η ακύρωση του διορισμού του συνοδεύονται από ιδιαίτερες εγγυήσεις, πράγμα που μπορεί να υπονομεύσει την ανεξαρτησία του Διαμεσολαβητή έναντι της εκτελεστικής εξουσίας (πρβλ. απόφαση της 21ης Ιανουαρίου 2020, Banco de Santander, C‑274/14, EU:C:2020:17, σκέψεις 60 και 63 και εκεί μνημονευόμενη νομολογία).
196 Ομοίως, όπως υπογράμμισε ο γενικός εισαγγελέας στο σημείο 338 των προτάσεών του, μολονότι η αιτιολογική σκέψη 120 της αποφάσεως ΑΠΙΖ κάνει λόγο για δέσμευση της Αμερικανικής Κυβερνήσεως ότι η εκάστοτε μονάδα των Υπηρεσιών Πληροφοριών οφείλει να θεραπεύει οποιαδήποτε παράβαση των εφαρμοστέων κανόνων διαπιστώνεται από τον Διαμεσολαβητή της ασπίδας προστασίας της ιδιωτικής ζωής, η εν λόγω απόφαση δεν περιέχει καμία ένδειξη περί του ότι ο Διαμεσολαβητής έχει την εξουσία να λαμβάνει αποφάσεις δεσμευτικές για τις Υπηρεσίες αυτές, ούτε αναφέρεται σε συνοδευτικές της ως άνω δέσμευσης νόμιμες εγγυήσεις τις οποίες θα μπορούσαν να επικαλεστούν τα υποκείμενα των δεδομένων.
197 Συνεπώς, ο μηχανισμός διαμεσολάβησης στον οποίο αναφέρεται η απόφαση ΑΠΙΖ δεν παρέχει μέσο δικαστικής προστασίας ενώπιον οργάνου που να προσφέρει στα άτομα των οποίων τα δεδομένα διαβιβάζονται στις Ηνωμένες Πολιτείες εγγυήσεις ουσιαστικά ισοδύναμες με εκείνες που επιβάλλει το άρθρο 47 του Χάρτη.
198 Επομένως, η Επιτροπή, διαπιστώνοντας στο άρθρο 1 παράγραφος 1, της αποφάσεως ΑΠΙΖ, ότι οι Ηνωμένες Πολιτείες εξασφαλίζουν ικανοποιητικό επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα που διαβιβάζονται από την Ένωση προς οργανισμούς εγκατεστημένους στην τρίτη αυτή χώρα στο πλαίσιο της ασπίδας προστασίας της ιδιωτικής ζωής Ευρωπαϊκής Ένωσης-Ηνωμένων Πολιτειών, δεν τήρησε τις απαιτήσεις οι οποίες απορρέουν από το άρθρο 45, παράγραφος 1, του ΚΓΠΔ όπως ερμηνεύεται σε συνδυασμό με τα άρθρα 7, 8 και 47 του Χάρτη.
199 Ως εκ τούτου, το άρθρο 1 της αποφάσεως ΑΠΙΖ δεν συμβιβάζεται με το άρθρο 45, παράγραφος 1, του ΓΚΠΔ, όπως ερμηνεύεται σε συνδυασμό με τα άρθρα 7, 8 και 47 του Χάρτη, και είναι, για τον λόγο αυτό, ανίσχυρο.
200 Δεδομένου ότι το άρθρο 1 της αποφάσεως ΑΠΙΖ συνδέεται άρρηκτα με τα άρθρα 2 έως 6 καθώς και με τα παραρτήματα της εν λόγω αποφάσεως, το ανίσχυρο της συγκεκριμένης διάταξης θίγει το κύρος της αποφάσεως αυτής στο σύνολό της.
201 Κατόπιν όλων των ανωτέρω σκέψεων, πρέπει να γίνει δεκτό ότι η απόφαση ΑΠΙΖ είναι ανίσχυρη.
202 Ως προς το ζήτημα αν πρέπει να διατηρηθούν τα αποτελέσματα της αποφάσεως αυτής προκειμένου να αποφευχθεί η δημιουργία νομικού κενού (πρβλ. απόφαση της 28ης Απριλίου 2016, Borealis Polyolefine κ.λπ., C‑191/14, C‑192/14, C‑295/14, C‑389/14 και C‑391/14 έως C‑393/14, EU:C:2016:311, σκέψη 106), σημειώνεται ότι, εν πάση περιπτώσει, λαμβανομένου υπόψη του άρθρου 49 του ΓΚΠΔ, η ακύρωση αποφάσεως επάρκειας, όπως είναι η απόφαση ΑΠΙΖ, δεν μπορεί να δημιουργήσει τέτοιο νομικό κενό. Ειδικότερα, το άρθρο αυτό ορίζει επακριβώς υπό ποιες προϋποθέσεις είναι δυνατή η διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες ελλείψει αποφάσεως επάρκειας δυνάμει του άρθρου 45, παράγραφος 3, του κανονισμού ή ελλείψει κατάλληλων εγγυήσεων δυνάμει του άρθρου 46 του ίδιου κανονισμού.
Επί των δικαστικών εξόδων
203 Δεδομένου ότι η παρούσα διαδικασία έχει ως προς τους διαδίκους της κύριας δίκης τον χαρακτήρα παρεμπίπτοντος που ανέκυψε ενώπιον του αιτούντος δικαστηρίου, σ’ αυτό εναπόκειται να αποφανθεί επί των δικαστικών εξόδων. Τα έξοδα στα οποία υποβλήθηκαν όσοι υπέβαλαν παρατηρήσεις στο Δικαστήριο, πλην των ως άνω μερών, δεν αποδίδονται.
Για τους λόγους αυτούς, το Δικαστήριο (τμήμα μείζονος συνθέσεως) αποφαίνεται:
1) Το άρθρο 2, παράγραφοι 1 και 2, του κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων), έχει την έννοια ότι εμπίπτει στο πεδίο εφαρμογής του κανονισμού αυτού η διαβίβαση δεδομένων προσωπικού χαρακτήρα η οποία πραγματοποιείται για εμπορικούς σκοπούς από οικονομικό φορέα εγκατεστημένο σε κράτος μέλος προς άλλον οικονομικό φορέα εγκατεστημένο σε τρίτη χώρα, ανεξαρτήτως του ότι, κατά τη διάρκεια ή κατόπιν της διαβίβασης αυτής, τα δεδομένα ενδέχεται να υποστούν επεξεργασία από τις αρχές της αντίστοιχης τρίτης χώρας για λόγους δημόσιας ασφάλειας, εθνικής άμυνας και ασφάλειας του κράτους.
2) Το άρθρο 46, παράγραφος 1, και το άρθρο 46, παράγραφος 2, στοιχείο γʹ, του κανονισμού 2016/679 έχουν την έννοια ότι οι κατάλληλες εγγυήσεις, τα εκτελεστά δικαιώματα και τα αποτελεσματικά μέσα έννομης προστασίας που απαιτούνται κατά τις διατάξεις αυτές πρέπει να διασφαλίζουν ότι τα δικαιώματα των ατόμων των οποίων τα δεδομένα προσωπικού χαρακτήρα διαβιβάζονται προς τρίτη χώρα βάσει τυποποιημένων ρητρών προστασίας δεδομένων τυγχάνουν ενός επιπέδου προστασίας ουσιαστικά ισοδύναμου με εκείνο που εγγυάται εντός της Ένωσης ο κανονισμός αυτός, όπως ερμηνεύεται σε συνδυασμό με τον Χάρτη. Προς τούτο, κατά την αξιολόγηση του επιπέδου προστασίας που εξασφαλίζεται στο πλαίσιο μιας τέτοιας διαβίβασης πρέπει, μεταξύ άλλων, να λαμβάνονται υπόψη τόσο οι συμβατικοί όροι που έχουν συμφωνηθεί μεταξύ του υπευθύνου της επεξεργασίας ή του εκτελούντος την επεξεργασία, οι οποίοι είναι αμφότεροι εγκατεστημένοι εντός της Ένωσης, και του αποδέκτη της διαβίβασης ο οποίος είναι εγκατεστημένος στην οικεία τρίτη χώρα όσο και, σε σχέση με την ενδεχόμενη πρόσβαση των δημοσίων αρχών της εν λόγω τρίτης χώρας στα διαβιβαζόμενα δεδομένα προσωπικού χαρακτήρα, τα κρίσιμα στοιχεία του νομικού συστήματός της, ιδίως εκείνα που μνημονεύονται στο άρθρο 45, παράγραφος 2, του κανονισμού αυτού.
3) Το άρθρο 58, παράγραφος 2, στοιχεία στʹ και ιʹ, του κανονισμού 2016/679 έχει την έννοια ότι, αν δεν υφίσταται απόφαση επάρκειας εγκύρως εκδοθείσα από την Επιτροπή, η αρμόδια αρχή ελέγχου υποχρεούται να αναστέλλει ή να απαγορεύει τη διαβίβαση δεδομένων προς τρίτη χώρα βάσει τυποποιημένων ρητρών προστασίας δεδομένων οι οποίες έχουν θεσπισθεί από την Επιτροπή, σε περίπτωση που η αρχή ελέγχου εκτιμά, υπό το πρίσμα του συνόλου των περιστάσεων της διαβίβασης αυτής, ότι οι σχετικές ρήτρες δεν τηρούνται ή δεν μπορούν να τηρηθούν στην εν λόγω τρίτη χώρα και ότι η προστασία των διαβιβαζόμενων δεδομένων που απαιτείται από το δίκαιο της Ένωσης, ιδίως δε από τα άρθρα 45 και 46 του ΓΚΠΔ και από τον Χάρτη, δεν είναι δυνατόν να διασφαλιστεί με άλλα μέσα, εφόσον η διαβίβαση δεν έχει ήδη ανασταλεί ή τερματιστεί είτε από τον υπεύθυνο επεξεργασίας είτε από τον εκτελούντα την επεξεργασία, οι οποίοι είναι αμφότεροι εγκατεστημένοι εντός της Ένωσης.
4) Από την εξέταση της αποφάσεως 2010/87/ΕΕ της Επιτροπής, της 5ης Φεβρουαρίου 2010, σχετικά με τις τυποποιημένες συμβατικές ρήτρες για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε εκτελούντες επεξεργασία εγκατεστημένους σε τρίτες χώρες βάσει της οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, όπως τροποποιήθηκε με την εκτελεστική απόφαση (ΕΕ) 2016/2297 της Επιτροπής, της 16ης Δεκεμβρίου 2016, υπό το πρίσμα των άρθρων 7, 8 και 47 του Χάρτη δεν προέκυψε κανένα στοιχείο ικανό να θίξει το κύρος της αποφάσεως αυτής.
5) Η εκτελεστική απόφαση (ΕΕ) 2016/1250 της Επιτροπής, της 12ης Ιουλίου 2016, βάσει της οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με την επάρκεια της προστασίας που παρέχεται από την ασπίδα προστασίας της ιδιωτικής ζωής ΕΕ-ΗΠΑ, είναι ανίσχυρη.
(υπογραφές)