52013DC0847

ΑΝΑΚΟΙΝΩΣΗ ΤΗΣ ΕΠΙΤΡΟΠΗΣ ΠΡΟΣ ΤΟ ΕΥΡΩΠΑΪΚΟ ΚΟΙΝΟΒΟΥΛΙΟ ΚΑΙ ΤΟ ΣΥΜΒΟΥΛΙΟ

όσον αφορά τη λειτουργία του ασφαλούς λιμένα από τη σκοπιά των πολιτών της Ένωσης και των εταιρειών που είναι εγκατεστημένες στην ΕΕ

Εισαγωγή

Η οδηγία 95/46/ΕΚ της 24ης Οκτωβρίου 1995 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών (εφεξής «οδηγία περί προστασίας των δεδομένων»), ορίζει τους κανόνες για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα από τα κράτη μέλη της ΕΕ σε άλλες χώρες εκτός της ΕΕ[1] στο βαθμό που οι εν λόγω διαβιβάσεις εμπίπτουν στο πεδίο εφαρμογής αυτού του μέσου[2].

Σύμφωνα με την οδηγία, η Επιτροπή μπορεί να αποφανθεί ότι μια τρίτη χώρα εξασφαλίζει επαρκές επίπεδο προστασίας λόγω της εσωτερικής της νομοθεσίας ή των διεθνών δεσμεύσεων που έχει αναλάβει με σκοπό την προστασία των δικαιωμάτων των ατόμων, περίπτωση κατά την οποία δεν θα ισχύουν οι ειδικοί περιορισμοί όσον αφορά τη διαβίβαση δεδομένων προς την εν λόγω χώρα. Οι αποφάσεις αυτές καλούνται είναι γνωστές ως «αποφάσεις καταλληλότητας».

Στις 26 Ιουλίου 2000, η Επιτροπή ενέκρινε την απόφαση 2000/520/ΕΚ[3] (εφεξής «απόφαση ασφαλούς λιμένα») με την οποία αναγνωρίζει τις αρχές ασφαλούς λιμένα και τις συχνές ερωτήσεις («οι αρχές» και «ΣΕ», αντίστοιχα), που εκδίδονται από το Υπουργείο Εμπορίου των Ηνωμένων Πολιτειών, δεδομένου ότι παρέχουν επαρκή προστασία για να εξυπηρετείται ο σκοπός όσον αφορά τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα από την ΕΕ. Η απόφαση ασφαλούς λιμένα εγκρίθηκε μετά από γνωμοδότηση της ομάδας εργασίας του άρθρου 29 και της επιτροπής του άρθρου 31, η οποία εκδόθηκε με ειδική πλειοψηφία των κρατών μελών. Σύμφωνα με την απόφαση 1999/468 του Συμβουλίου, η απόφαση ασφαλούς λιμένα υπαγόταν σε εκ των προτέρων έλεγχο από το Ευρωπαϊκό Κοινοβούλιο.

Η ισχύουσα απόφαση ασφαλούς λιμένα επιτρέπει ως εκ τούτου την ελεύθερη διαβίβαση[4] πληροφοριών προσωπικού χαρακτήρα από τα κράτη μέλη της ΕΕ[5] σε εταιρείες στις ΗΠΑ οι οποίες έχουν προσχωρήσει στις αρχές, σε περιπτώσεις κατά τις οποίες η διαβίβαση δεν θα πληρούσε ειδάλλως τις προδιαγραφές της ΕΕ για κατάλληλο επίπεδο προστασίας των δεδομένων, με δεδομένο τις σημαντικές διαφορές που υπάρχουν στα καθεστώτα προστασίας της ιδιωτικής ζωής μεταξύ των δύο πλευρών του Ατλαντικού.

Η λειτουργία της ισχύουσας ρύθμισης ασφαλούς λιμένα βασίζεται στις δεσμεύσεις και την αυτοπιστοποίηση από τις εταιρείες που προσχωρούν. Η προσυπογραφή των ρυθμίσεων αυτών είναι προαιρετική, αλλά οι κανόνες είναι δεσμευτικοί για όσους προσυπογράφουν. Οι θεμελιώδεις αρχές μιας τέτοιας ρύθμισης είναι:

α)      Η διαφάνεια που χαρακτηρίζει τις πολιτικές που ακολουθούν οι εταιρείες που προσχωρούν στον τομέα της προστασίας της ιδιωτικής ζωής,

β)      η ενσωμάτωση των αρχών ασφαλούς λιμένα στις πολιτικές που ακολουθούν οι εταιρείες στον τομέα της προστασίας της ιδιωτικής ζωής, και

γ)      η εφαρμογή, μεταξύ άλλων από τις δημόσιες αρχές.

Αυτή η θεμελιώδης βάση του ασφαλούς λιμένα πρέπει να επανεξεταστεί στο νέο πλαίσιο:

α)      της αλματώδους αύξησης στις ροές δεδομένων που ήταν συνήθως επικουρικές, αλλά έχουν πλέον καίρια σημασία για την ταχεία ανάπτυξη της ψηφιακής οικονομίας, αλλά και των άκρως σημαντικών εξελίξεων όσον αφορά τη συλλογή, την επεξεργασία και τη χρήση των δεδομένων,

β)      της κρίσιμης σημασίας που έχουν οι ροές δεδομένων, ιδίως για τη διατλαντική οικονομία[6],

γ)      της ταχείας αύξησης του αριθμού των εταιρειών στις ΗΠΑ οι οποίες έχουν προσχωρήσει στο καθεστώς του ασφαλούς λιμένα, ο οποίος οκταπλασιάστηκε στο διάστημα από το 2004 (από 400 εταιρείες, το 2004, σε 3.246, το 2013),

δ)      των πληροφοριών που κυκλοφόρησαν πρόσφατα για τα προγράμματα παρακολούθησης στις ΗΠΑ, τα οποία θέτουν νέα προβλήματα σχετικά με το επίπεδο της προστασίας που κρίνεται ότι εγγυάται η ρύθμιση του ασφαλούς λιμένα.

Στο πλαίσιο αυτό, η παρούσα ανακοίνωση προβαίνει σε απολογισμό της λειτουργίας του καθεστώτος ασφαλούς λιμένα. Βασίζεται στα αποδεικτικά στοιχεία που έχουν συγκεντρωθεί από την Επιτροπή, στις εργασίες της ομάδας επαφών ΕΕ-ΗΠΑ για την προστασία της ιδιωτικής ζωής το 2009, στη μελέτη που εκπονήθηκε από ανεξάρτητο ανάδοχο το 2008[7] και στις πληροφορίες που παραλήφθηκαν στο πλαίσιο της ad hoc ομάδας εργασίας ΕΕ-ΗΠΑ (εφεξής «η ομάδα εργασίας»), η οποία συγκροτήθηκε μετά τις αποκαλύψεις για τα προγράμματα παρακολούθησης των ΗΠΑ (βλ. το παράλληλο έγγραφο). Η παρούσα ανακοίνωση αποτελεί συνέχεια των δύο εκθέσεων αξιολόγησης της Επιτροπής κατά την περίοδο έναρξης της εφαρμογής των ρυθμίσεων περί ασφαλούς λιμένα, το 2002[8] και το 2004[9], αντίστοιχα.

2.           Δομή και λειτουργία του ασφαλούς λιμένα

2.1.        Δομή του ασφαλούς λιμένα

Οι εταιρείες των ΗΠΑ που επιθυμούν να προσχωρήσουν στο καθεστώς του ασφαλούς λιμένα πρέπει: α) να προσδιορίζουν στη πολιτική τους που δημοσιοποιείται στο κοινό για την προστασία της ιδιωτικής ζωής ότι προσχωρούν στις αρχές και ότι όντως συμμορφώνονται με τις αρχές, καθώς και β) να προβαίνουν σε αυτοπιστοποίηση, με άλλα λόγια να δηλώνουν στο Υπουργείο Εμπορίου των ΗΠΑ ότι συμμορφώνονται με τις αρχές. Η αυτοπιστοποίηση πρέπει να επανυποβάλλεται σε ετήσια βάση. Οι αρχές του ασφαλούς λιμένα για την προστασία της ιδιωτικής ζωής που προσαρτώνται στο παράρτημα Ι της απόφασης περί ασφαλούς λιμένα περιλαμβάνουν τις απαιτήσεις τόσο σχετικά με την ουσιαστική προστασία των δεδομένων προσωπικού χαρακτήρα (την ακεραιότητα των δεδομένων, την ασφάλεια, την επιλογή και τις αρχές που διέπουν την περαιτέρω διαβίβαση), όσο και με τα δικονομικά δικαιώματα των προσώπων στα οποία αναφέρονται τα δεδομένα (αρχές που διέπουν την κοινοποίηση, την πρόσβαση και την εφαρμογή).

Όσον αφορά την εφαρμογή του συστήματος του ασφαλούς λιμένα στις ΗΠΑ, δύο είναι τα θεσμικά όργανα των ΗΠΑ που διαδραματίζουν σημαντικό ρόλο: Το Υπουργείο Εμπορίου των ΗΠΑ και η Ομοσπονδιακή Επιτροπή Εμπορίου των ΗΠΑ.

Το Υπουργείο Εμπορίου επανεξετάζει κάθε αυτοπιστοποίηση ασφαλούς λιμένα και κάθε ετησίως υποβαλλόμενη επαναπιστοποίηση που λαμβάνει από τις εταιρείες, προκειμένου να εξασφαλίζεται ότι περιλαμβάνουν όλα τα στοιχεία που απαιτούνται για να αποτελούν μέλος του καθεστώτος[10]. Επικαιροποιεί τον κατάλογο των εταιρειών που έχουν υποβάλει επιστολές αυτοπιστοποίησης και δημοσιεύει τον κατάλογο και τις επιστολές στον ιστοχώρο του. Παρακολουθεί περαιτέρω τη λειτουργία του ασφαλούς λιμένα και διαγράφει από τον κατάλογο τις εταιρείες οι οποίες δεν συμμορφώνονται με τις αρχές.

Η Ομοσπονδιακή Επιτροπή Εμπορίου, εντός των ορίων των εξουσιών της στο πεδίο της προστασίας των καταναλωτών, παρεμβαίνει με στόχο την πάταξη των αθέμιτων ή δόλιων πρακτικών σύμφωνα με το Τμήμα 5 του νόμου περί της Ομοσπονδιακής Επιτροπής Εμπορίου (Federal Trade Comission Act). Στις ενέργειες της Ομοσπονδιακής Επιτροπής Εμπορίου για την εφαρμογή του νόμου συγκαταλέγονται οι έρευνες όσον αφορά τις ψευδείς δηλώσεις για την προσχώρηση στο καθεστώς του ασφαλούς λιμένα και τη μη συμμόρφωση με τις εν λόγω αρχές από εταιρείες που είναι μέλη του καθεστώτος. Στις ειδικές περιπτώσεις της εφαρμογής των αρχών του ασφαλούς λιμένα κατά των αερομεταφορέων, αρμόδιος οργανισμός είναι το Υπουργείο Μεταφορών των ΗΠΑ[11].

Η τρέχουσα απόφαση περί του ασφαλούς λιμένα αποτελεί τμήμα της νομοθεσίας της ΕΕ, που οφείλει να εφαρμόζεται από τις αρχές των κρατών μελών. Σύμφωνα με την απόφαση, οι εθνικές Αρχές Προστασίας Δεδομένων (ΑΠΔ) της ΕΕ έχουν το δικαίωμα να αναστείλουν τις διαβιβάσεις δεδομένων σε πιστοποιημένες εταιρείες ασφαλούς λιμένα, σε ειδικές περιπτώσεις[12]. Η Επιτροπή δεν έχει υπόψη της καμία περίπτωση αναστολής από κάποια εθνική αρχή προστασίας δεδομένων από την εποχή της καθιέρωσης του καθεστώτος περί ασφαλούς λιμένα το 2000. Ανεξάρτητα από τις εξουσίες που διαθέτουν στο πλαίσιο στο πλαίσιο της απόφασης περί του ασφαλούς λιμένα, οι εθνικές αρχές προστασίας δεδομένων της ΕΕ είναι αρμόδιες να παρεμβαίνουν, μεταξύ άλλων και στις περιπτώσεις των διεθνών διαβιβάσεων, προκειμένου να διασφαλίζεται η συμμόρφωση με τις γενικές αρχές της προστασίας δεδομένων που ορίζονται στην οδηγία περί προστασίας δεδομένων του 1995.

Όπως υπενθυμίζεται στην ισχύουσα απόφαση περί του ασφαλούς λιμένα, αποτελεί αρμοδιότητα της Επιτροπής – η οποία εν προκειμένω ενεργεί με βάση τη διαδικασία εξέτασης που προβλέπεται στον κανονισμό 182/2011 - να προσαρμόσει την απόφαση, να την αναστείλει ή να περιορίσει το πεδίο εφαρμογής της ανά πάσα στιγμή, υπό το φως της εμπειρίας από την εφαρμογή της. Αυτό προβλέπεται ιδίως σε περίπτωση συστημικής αποτυχίας από την πλευρά των ΗΠΑ, για παράδειγμα, εάν ένας φορέας ο οποίος είναι αρμόδιος για την διασφάλιση της συμμόρφωσης με τις αρχές του ασφαλούς λιμένα για την προστασία της ιδιωτικής ζωής στις Ηνωμένες Πολιτείες δεν εκπληρώνει αποτελεσματικά την αποστολή του ή εάν το επίπεδο προστασίας που παρέχεται από τις αρχές του ασφαλούς λιμένα υπερφαλαγγίζεται από τις απαιτήσεις της νομοθεσίας των ΗΠΑ. Όπως συμβαίνει και με κάθε άλλη απόφαση της Επιτροπής, μπορεί επίσης να τροποποιηθεί για άλλους λόγους ή ακόμη και να ανακληθεί.

2.2.        Η λειτουργία του ασφαλούς λιμένα

Στις 3.246[13] πιστοποιημένες εταιρείες περιλαμβάνονται τόσο μικρές, όσο και μεγάλες εταιρείες[14]. Ενώ οι χρηματοπιστωτικές υπηρεσίες και ο κλάδος των τηλεπικοινωνιών βρίσκονται εκτός του πεδίου εξουσιών επιβολής της Ομοσπονδιακής Επιτροπής Εμπορίου και ως εκ τούτου εξαιρούνται από τις αρχές του ασφαλούς λιμένα, πολλοί κλάδοι από το χώρο της βιομηχανίας και των υπηρεσιών συγκαταλέγονται μεταξύ των πιστοποιημένων εταιρειών, στις οποίες ανήκουν πασίγνωστες εταιρείες του Διαδικτύου και βιομηχανίες το φάσμα των οποίων εκτείνεται από τις υπηρεσίες πληροφοριών και τους ηλεκτρονικούς υπολογιστές έως τα φαρμακευτικά προϊόντα, τις υπηρεσίες ταξιδιών και τουρισμού, την υγειονομική περίθαλψη ή τις υπηρεσίες πιστωτικών καρτών[15]. Πρόκειται κυρίως για εταιρείες των ΗΠΑ που παρέχουν υπηρεσίες στην εσωτερική αγορά της ΕΕ. Υπάρχουν επίσης οι θυγατρικές ορισμένων εταιρειών της ΕΕ, όπως η Nokia ή η Bayer. Το 51% είναι εταιρείες που επεξεργάζονται δεδομένα των εργαζομένων στην Ευρώπη, τα οποία διαβιβάζονται στις ΗΠΑ για σκοπούς που αφορούν το ανθρώπινο δυναμικό[16].

Σε ορισμένες αρχές προστασίας δεδομένων της ΕΕ έχει επικρατήσει αυξανόμενη ανησυχία σχετικά με τις διαβιβάσεις δεδομένων στο πλαίσιο του ισχύοντος συστήματος περί ασφαλούς λιμένα. Ορισμένες αρχές προστασίας δεδομένων των κρατών μελών έχουν επικρίνει την πολύ γενική διατύπωση των αρχών και τον υψηλό βαθμό εξάρτησης από την αυτοπιστοποίηση και την αυτορρύθμιση. Παρόμοιες ανησυχίες έχουν εκφραστεί από τη βιομηχανία, η οποία παραπέμπει στις στρεβλώσεις του ανταγωνισμού που οφείλονται στην έλλειψη επιβολής.

Η τρέχουσα ρύθμιση περί ασφαλούς λιμένα βασίζεται στην οικειοθελή προσχώρηση των εταιρειών, στην αυτοπιστοποίηση από τις εν λόγω προσχωρούσες εταιρείες και στην επιβολή των δεσμεύσεων αυτοπιστοποίησης από τις δημόσιες αρχές. Στο πλαίσιο αυτό, οποιαδήποτε έλλειψη διαφάνειας και τυχόν ελλείψεις κατά την επιβολή υπονομεύουν τα θεμέλια πάνω στα οποία είναι οικοδομημένο το σύστημα του ασφαλούς λιμένα.

Κάθε κενό σε θέματα διαφάνειας ή επιβολής από την πλευρά των ΗΠΑ οδηγεί σε μετατόπιση της ευθύνης στις ευρωπαϊκές αρχές προστασίας δεδομένων και στις εταιρείες που χρησιμοποιούν το σύστημα. Στις 29 Απριλίου 2010, οι γερμανικές αρχές προστασίας δεδομένων εξέδωσαν απόφαση με την οποία ζητούν από τις εταιρείες οι οποίες διαβιβάζουν δεδομένα από την Ευρώπη προς τις ΗΠΑ να ελέγχουν ενεργά ότι οι εταιρείες στις ΗΠΑ οι οποίες εισάγουν τα δεδομένα όντως συμμορφώνονται με τις αρχές του ασφαλούς λιμένα για την προστασία της ιδιωτικής ζωής, ενώ διατυπώνουν τη σύσταση ότι «τουλάχιστον η εταιρεία εξαγωγής πρέπει να εξακριβώνει κατά πόσο εξακολουθεί να είναι έγκυρη η πιστοποίηση ασφαλούς λιμένα από τον εισαγωγέα»[17].

Στις 24 Ιουλίου 2013, μετά τις αποκαλύψεις για τα προγράμματα παρακολούθησης των ΗΠΑ, η γερμανική ΑΠΔ προχώρησε ένα βήμα παραπέρα εκφράζοντας τις ανησυχίες της ότι «υπάρχει σοβαρή πιθανότητα παραβίασης των αρχών που θεσπίζουν οι αποφάσεις της Επιτροπής»[18]. Υπάρχουν οι περιπτώσεις ορισμένων ΑΠΔ (π.χ. της ΑΠΔ της Βρέμης), οι οποίες έχουν απαιτήσει από την εταιρεία που διενεργεί τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε φορείς των ΗΠΑ να ενημερώνει την ΑΠΔ σχετικά με το εάν και το πώς οι ενδιαφερόμενοι πάροχοι αποτρέπουν την πρόσβαση από την Εθνική Υπηρεσία Ασφαλείας. Η ιρλανδική ΑΠΔ ανέφερε ότι είχε λάβει πρόσφατα δύο καταγγελίες στις οποίες γινόταν παραπομπή στο πρόγραμμα του ασφαλούς λιμένα συνεπεία της κάλυψης του θέματος από τις ειδήσεις για τα προγράμματα των οργανισμών πληροφοριών των ΗΠΑ, αλλά ότι αρνήθηκε να τις διερευνήσει, με το σκεπτικό ότι η διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα πληροί τις προδιαγραφές της ιρλανδικής νομοθεσίας για την προστασία των δεδομένων. Μετά από την υποβολή παρόμοιας καταγγελίας, η ΑΠΔ του Λουξεμβούργου διαπίστωσε ότι η Microsoft και το Skype είχαν συμμορφωθεί με το νόμο περί προστασίας δεδομένων του Λουξεμβούργου κατά τη διαβίβαση των δεδομένων στις ΗΠΑ[19]. Το Ανώτατο Δικαστήριο (High Court) της Ιρλανδίας έκανε ωστόσο έκτοτε δεκτή την αίτηση δικαστικής επανεξέτασης, βάσει της οποίας θα επανεξετάσει την αδράνεια του Επιτρόπου Προστασίας Δεδομένων της Ιρλανδίας σε σχέση με τα προγράμματα παρακολούθησης των ΗΠΑ. Μία από τις δύο καταγγελίες υποβλήθηκε από την ομάδα σπουδαστών Ευρώπη κατά Facebook (EvF), η οποία υπέβαλε επίσης παρόμοιες καταγγελίες κατά της Yahoo στη Γερμανία, οι οποίες είναι στη φάση της επεξεργασίας από τις αρμόδιες αρχές προστασίας δεδομένων.

Οι προαναφερόμενες αποκλίνουσες αντιδράσεις των αρχών προστασίας των δεδομένων όσον αφορά τις αποκαλύψεις που έγιναν στο θέμα της παρακολούθησης αποδεικνύουν τον αληθινό κίνδυνο κατακερματισμού του συστήματος ασφαλούς λιμένα και αποτελούν το έναυσμα για ερωτήματα σχετικά με την έκταση στην οποία έχει επιβληθεί.

3.           Διαφάνεια της πολιτικής που εφαρμόζουν οι προσχωρούσες εταιρείες για την προστασία της ιδιωτικής ζωής

Σύμφωνα με τη ΣΕ 6 η οποία προσαρτάται στην απόφαση ασφαλούς λιμένα (Παράρτημα II), οι εταιρείες που ενδιαφέρονται για την πιστοποίηση στο πλαίσιο του ασφαλούς λιμένα πρέπει να κοινοποιούν στο Υπουργείο Εμπορίου την πολιτική τους που ακολουθούν για την προστασία της ιδιωτικής ζωής και να την δημοσιοποιούν. Σε αυτή πρέπει να περιλαμβάνεται η δέσμευση ότι προσχωρούν στις αρχές για την προστασία της ιδιωτικής ζωής. Η απαίτηση να δημοσιοποιούνται οι πολιτικές για την προστασία της ιδιωτικής ζωής των αυτοπιστοποιούμενων εταιρειών, καθώς και οι δηλώσεις τους ότι προσχωρούν στις αρχές για την προστασία της ιδιωτικής ζωής έχουν ζωτική σημασία για τη λειτουργία του συστήματος.

Η ανεπαρκής δυνατότητα πρόσβασης στις πολιτικές που ακολουθούν αυτές οι εταιρείες για την προστασία της ιδιωτικής ζωής αποβαίνει σε βάρος των ιδιωτών, τα προσωπικά δεδομένα των οποίων συγκεντρώνονται και επεξεργάζονται και ενδέχεται να συνιστά παραβίαση της αρχής της κοινοποίησης. Στις περιπτώσεις αυτές, οι ιδιώτες, τα δεδομένα των οποίων διαβιβάζονται από την ΕΕ, μπορεί να αγνοούν τα δικαιώματά τους και τις υποχρεώσεις στις οποίες υπόκεινται οι αυτοπιστοποιούμενες εταιρείες.

Επιπλέον, η δέσμευση των εταιρειών των εταιρειών να συμμορφώνονται με τις αρχές προστασίας της ιδιωτικής ζωής ενεργοποιεί τις εξουσίες της Ομοσπονδιακής Επιτροπής Εμπορίου για την επιβολή των αρχών αυτών κατά των εταιρειών στις περιπτώσεις μη συμμόρφωσης, δεδομένου ότι συνιστούν αθέμιτες ή δόλιες πρακτικές. Η έλλειψη διαφάνειας από τις εταιρείες στις ΗΠΑ καθιστά την εποπτεία από την Ομοσπονδιακή Επιτροπή Εμπορίου δυσχερέστερη και υπονομεύει την αποτελεσματικότητα της επιβολής.

Με την πάροδο των ετών, σημαντικός αριθμός εταιρειών από τις αυτοπιστοποιούμενες εταιρείες δεν είχε δημοσιοποιήσει την πολιτική τους που ακολουθούσε για την προστασία της ιδιωτικής ζωής και/ή δεν είχε προβεί σε δημόσια δήλωση προσχώρησης στις αρχές προστασίας της ιδιωτικής ζωής. Στην έκθεση όσον αφορά το σύστημα ασφαλούς λιμένα κατά το 2004 επισημαινόταν η αναγκαιότητα για το Υπουργείο Εμπορίου να υιοθετήσει πιο δραστήρια πολιτική κατά την παρακολούθηση του ελέγχου της συμμόρφωσης με την εν λόγω απαίτηση.

Από το 2004, το Υπουργείο Εμπορίου ανέπτυξε νέα εργαλεία πληροφόρησης, σκοπός των οποίων είναι να βοηθήσουν τις επιχειρήσεις να συμμορφωθούν με τις υποχρεώσεις διαφάνειας τους. Οι σχετικές πληροφορίες για το σύστημα είναι προσπελάσιμες στον ιστοχώρο του Υπουργείου Εμπορίου τον αφιερωμένο στον ασφαλή λιμένα[20], ο οποίος επιτρέπει επίσης στις εταιρείες να τηλεφορτώνουν τις πολιτικές τους για την προστασία της ιδιωτικής ζωής. Το Υπουργείο Εμπορίου έχει αναφέρει ότι οι εταιρείες έχουν αξιοποιήσει τη δυνατότητα αυτή και έχουν αναρτήσει τις πολιτικές τους για την προστασία της ιδιωτικής ζωής στον ιστοχώρο του Υπουργείου Εμπορίου κατά την υποβολή των αιτήσεών τους προσχώρησης στο σύστημα του ασφαλούς λιμένα[21]. Κατά το χρονικό διάστημα 2009-2013 το Υπουργείο Εμπορίου δημοσίευσε επιπροσθέτως σειρά από κατευθυντήριες γραμμές για τις εταιρείες που επιθυμούν να προσχωρήσουν στο σύστημα του ασφαλούς λιμένα, όπως τον «οδηγό αυτοπιστοποίησης» («Guide to Self-Certification») και τις «χρήσιμες υποδείξεις για τη συμμόρφωση με την αυτοπιστοποίηση» («Helpful Hints on Self-Certifying Compliance»)[22].

Ο βαθμός συμμόρφωσης με τις υποχρεώσεις διαφάνειας διαφέρει μεταξύ των εταιρειών. Ενώ ορισμένες εταιρείες περιορίζονται στο να κοινοποιούν στο Υπουργείο Εμπορίου περιγραφή της πολιτικής τους στα θέματα της προστασίας της ιδιωτικής ζωής ως μέρος της διαδικασίας αυτοπιστοποίησης, η πλειονότητα δημοσιοποιεί τις πολιτικές αυτές στους ιστοχώρους της, ανεξάρτητα από το γεγονός ότι τις τηλεφορτώνει ταυτόχρονα στον ιστοχώρο του Υπουργείου Εμπορίου. Ωστόσο, οι εν λόγω πολιτικές δεν παρουσιάζονται πάντοτε σε μορφή φιλική προς τον καταναλωτή και ευανάγνωστη. Οι υπερσύνδεσμοι προς τις πολιτικές που ακολουθούνται στα θέματα της προστασίας της ιδιωτικής ζωής δεν λειτουργούν πάντοτε σωστά, αλλά ούτε και ανατρέχουν πάντοτε στους σωστούς ιστοχώρους.

Όπως έπεται από την απόφαση και τα παραρτήματά της, η απαίτηση ότι οι εταιρείες θα πρέπει να δημοσιοποιούν τις πολιτικές τους για την προστασία της ιδιωτικής ζωής υπερβαίνει τα όρια της απλής κοινοποίησης της αυτοπιστοποίησης στο Υπουργείο Εμπορίου. Οι απαιτήσεις πιστοποίησης που καθορίζονται στις «συχνές ερωτήσεις» (ΣΕ) περιλαμβάνουν περιγραφή της πολιτικής για την προστασία της ιδιωτικής ζωής και διαφανείς πληροφορίες σχετικά με το πού είναι διαθέσιμη προς εξέταση από το κοινό[23]. Οι δηλώσεις όσον αφορά την πολιτική που εφαρμόζεται για την προστασία της ιδιωτικής ζωής πρέπει να είναι σαφείς και εύκολα προσπελάσιμες από το κοινό. Πρέπει να περιλαμβάνουν υπερσύνδεσμο προς τον ιστοχώρο του Υπουργείου Εμπορίου περί ασφαλούς λιμένα στον οποίο απαριθμούνται όλα τα «εν ενεργεία» μέλη του καθεστώτος και παρατίθεται ο σύνδεσμος για τον εναλλακτικό πάροχο επίλυσης διαφορών. Ωστόσο, ορισμένες εταιρείες που ήταν ενταγμένες στο καθεστώς κατά την περίοδο 2000-2013 παρέλειψαν να συμμορφωθούν με αυτές τις απαιτήσεις. Κατά τις επαφές εργασίας με την Επιτροπή τον Φεβρουάριο του 2013, το Υπουργείο Εμπορίου των ΗΠΑ αναγνώρισε ότι έως και το 10% των πιστοποιημένων εταιρειών ενδέχεται να μην έχουν αναρτήσει στους αντίστοιχους δημόσιους ιστοχώρους τους την πολιτική προστασίας της ιδιωτικής ζωής μαζί με την εντασσόμενη θετική δήλωση περί του ασφαλούς λιμένα.

Από τις πρόσφατες στατιστικές στοιχειοθετείται επίσης το διαιωνιζόμενο πρόβλημα των ψευδών ισχυρισμών στο θέμα της προσχώρησης στο σύστημα ασφαλούς λιμένα. Το 10% περίπου των εταιρειών που διατείνονται ότι είναι μέλη του ασφαλούς λιμένα δεν είχε συμπεριληφθεί από το Υπουργείο Εμπορίου στον κατάλογο των ενημερωμένων μελών του συστήματος[24]. Αυτοί οι ψευδείς ισχυρισμοί προέρχονται τόσο από εταιρείες που δεν συμμετείχαν ποτέ στις αρχές του ασφαλούς λιμένα, όσο και από εταιρείες που είχαν κάποτε προσχωρήσει στο σύστημα, αλλά παρέλειψαν στη συνέχεια να υποβάλουν εκ νέου την αυτοπιστοποίησή τους στο Υπουργείο Εμπορίου σε ετήσια βάση. Στην περίπτωση αυτή, εξακολουθούσαν να περιλαμβάνονται στον κατάλογο του ιστοχώρου περί ασφαλούς λιμένα, αλλά με καθεστώς πιστοποίησης «ανενεργές», πράγμα που σημαίνει ότι η εταιρεία είχε διατελέσει μέλος του συστήματος και είχε συνεπώς την υποχρέωση να συνεχίσει να παρέχει προστασία στα δεδομένα που είχαν ήδη υποβληθεί σε επεξεργασία. Η Ομοσπονδιακή Επιτροπή Εμπορίου είναι αρμόδια να παρέμβει στις περιπτώσεις δολίων πρακτικών και μη τήρησης των αρχών ασφαλούς λιμένα (βλ. τμήμα 5.1). Η ασάφεια στα θέματα των «ψευδών ισχυρισμών» επηρεάζει την αξιοπιστία του συστήματος.

Η Ευρωπαϊκή Επιτροπή είχε κρούσει τον κώδωνα του κινδύνου κατά τις τακτικές επαφές που είχε με το Υπουργείο Εμπορίου το 2012 και το 2013, επισημαίνοντας ότι, προκειμένου να πληρούται ο όρος της συμμόρφωσης με τις υποχρεώσεις διαφάνειας, δεν αρκεί απλώς να παρέχουν οι εταιρείες περιγραφή της πολιτικής που ασκούν στα θέματα της προστασίας της ιδιωτικής ζωής στο Υπουργείο Εμπορίου. Οι δηλώσεις που αφορούν την προστασία της ιδιωτικής ζωής πρέπει να δημοσιοποιούνται. Το Υπουργείο Εμπορίου κλήθηκε επίσης να εντείνει τους περιοδικούς ελέγχους του όσον αφορά τους ιστοχώρους των εταιρειών μετά τη διαδικασία επαλήθευσης που διενεργείται στο πλαίσιο της πρώτης διαδικασίας αυτοπιστοποίησης ή της ετήσιας ανανέωσής της και να λάβει μέτρα κατά εκείνων των εταιρειών που δεν συμμορφώνονται με τις απαιτήσεις διαφάνειας.

Η αρχική ανταπόκριση στις ανησυχίες της ΕΕ συνίσταται στο ότι το Υπουργείο Εμπορίου επέβαλε από το Μάρτιο του 2013 την υποχρέωση στις εταιρείες του ασφαλούς λιμένα με δημόσιο ιστοχώρο να καταστήσουν την πολιτική τους προστασίας της ιδιωτικής ζωής για τα δεδομένα των πελατών/χρηστών άμεσα διαθέσιμη στο δημόσιο ιστοχώρο τους. Το Υπουργείο Εμπορίου άρχισε παράλληλα να γνωστοποιεί σε όλες τις εταιρείες, η πολιτική προστασίας της ιδιωτικής ζωής των οποίων δεν περιλάμβανε ήδη κάποιο σύνδεσμο με τον ιστοχώρο του Υπουργείου Εμπορίου για τα θέματα του ασφαλούς λιμένα, ότι θα έπρεπε να προστεθεί ένας σύνδεσμος, καθιστώντας τον επίσημο κατάλογο για τα θέματα του ασφαλούς λιμένα και τον ιστοχώρο άμεσα διαθέσιμα στους καταναλωτές που επισκέπτονται τον ιστοχώρο κάποιας εταιρείας. Αυτό θα επιτρέψει στους Ευρωπαίους στους οποίους αναφέρονται τα δεδομένα να επαληθεύουν άμεσα, χωρίς πρόσθετες αναζητήσεις στο διαδίκτυο, τις δεσμεύσεις κάποιας εταιρείας οι οποίες έχουν υποβληθεί στο Υπουργείο Εμπορίου. Το Υπουργείο Εμπορίου έχει επιπλέον αρχίσει να ειδοποιεί τις εταιρείες ότι οι πληροφορίες με τα στοιχεία επαφής του ανεξάρτητου πάροχου επίλυσης διαφορών οφείλουν να συμπεριλαμβάνονται στην περιγραφή που αναρτούν σχετικά με την πολιτική τους στα θέματα της προστασίας της ιδιωτικής ζωής[25].

Η διαδικασία αυτή πρέπει να επισπευσθεί, ώστε να εξασφαλίζεται ότι όλες οι πιστοποιημένες εταιρείες θα ανταποκρίνονται πλήρως στις απαιτήσεις περί ασφαλούς λιμένα το αργότερο έως τον Μάρτιο του 2014 (δηλαδή έως την εκπνοή της προθεσμίας για την ετήσια επαναπιστοποίηση των εταιρειών, αρχής γενομένης από τη θέσπιση των νέων απαιτήσεων τον Μάρτιο του 2013).

Ωστόσο, εξακολουθούν να υπάρχουν ανησυχίες ως προς το αν όλες οι εταιρείες που έχουν αυτοπιστοποιηθεί συμμορφώνονται πλήρως με τις απαιτήσεις διαφάνειας. Η συμμόρφωση με τις υποχρεώσεις που είχαν αναληφθεί κατά τη στιγμή της αρχικής αυτοπιστοποίησης και της ετήσιας ανανέωσης θα πρέπει να παρακολουθούνται και να διερευνώνται αυστηρότερα από το Υπουργείο Εμπορίου.

4.           Ενσωμάτωση των αρχών του ασφαλούς λιμένα για την προστασία της ιδιωτικής ζωής στις πολιτικές των εταιρειών στα θέματα της προστασίας της ιδιωτικής ζωής

Οι αυτοπιστοποιούμενες εταιρείες πρέπει να συμμορφώνονται με τις αρχές για την προστασία της ιδιωτικής ζωής που καθορίζονται στο Παράρτημα Ι της απόφασης, προκειμένου να αποκτήσουν και να διατηρήσουν το ευεργετικό καθεστώς του ασφαλούς λιμένα.

Στην έκθεση του 2004, η Επιτροπή διαπίστωνε ότι σημαντικός αριθμός εταιρειών δεν είχε ενσωματώσει ορθά τις αρχές περί ασφαλούς λιμένα στις πολιτικές για την επεξεργασία δεδομένων. Για παράδειγμα, στους ιδιώτες στα οποία δεν δίνονταν πάντοτε σαφείς και διαφανείς πληροφορίες σχετικά με τους σκοπούς για τους οποίους υποβλήθηκαν τα δεδομένα τους σε επεξεργασία ή δεν τους δινόταν η δυνατότητα να επιλέξουν εάν τα δεδομένα τους πρόκειται να γνωστοποιηθούν σε τρίτο μέρος ή να χρησιμοποιηθούν για ένα σκοπό ο οποίος δεν συνάδει με το σκοπό για τον οποίο συνελέγησαν αρχικά. Στην έκθεση της Επιτροπής για το 2004 διατυπωνόταν η κρίση ότι το Υπουργείο Εμπορίου «θα πρέπει να επιδείξει αυξημένο βαθμό πρωτοβουλίας όσον αφορά την πρόσβαση στο σύστημα ασφαλούς λιμένα και την ευαισθητοποίηση στα θέματα των αρχών»[26].

Στο θέμα αυτό σημειώθηκε περιορισμένη πρόοδος. Από την 1η Ιανουαρίου 2009, κάθε εταιρεία που επιθυμεί να ανανεώσει το καθεστώς πιστοποίησής της στον ασφαλή λιμένα - το οποίο πρέπει να ανανεώνεται κάθε χρόνο - διέρχεται από το στάδιο της αξιολόγησης της πολιτικής της που εφαρμόζει στα θέματα της προστασίας της ιδιωτικής ζωής από το Υπουργείο Εμπορίου πριν από την ανανέωση. Το πεδίο εφαρμογής της αξιολόγησης είναι ωστόσο περιορισμένο. Δεν υπάρχει καμία πλήρης αξιολόγηση της τρέχουσας πρακτικής στις αυτοπιστοποιούμενες εταιρείες που θα ήταν σε θέση να ενισχύσει σημαντικά την αξιοπιστία της διαδικασίας αυτοπιστοποίησης.

Πέραν της έμφασης που δίνεται στα αιτήματα της Επιτροπής για αυστηρότερη και συστηματικότερη εποπτεία των αυτοπιστοποιημένων εταιρειών από το Υπουργείο Εμπορίου, τη στιγμή αυτή αποδίδεται ιδιαίτερη προσοχή στις νέες αιτήσεις. Ο αριθμός των νέων αιτήσεων που δεν έχουν γίνει αποδεκτές, αλλά αποστέλλονται ξανά στις εταιρείες για να επιφέρουν βελτιώσεις στις πολιτικές προστασίας της ιδιωτικής ζωής αυξήθηκε σημαντικά κατά το χρονικό διάστημα από το 2010 έως το 2013: διπλασιάστηκε όσον αφορά τις εταιρείες που ζήτησαν εκ νέου πιστοποίηση, ενώ τριπλασιάστηκε για τους νεοεμφανιζόμενους στον χώρο του ασφαλούς λιμένα[27]. Το Υπουργείο Εμπορίου διαβεβαίωσε την Επιτροπή ότι η τυχόν πιστοποίηση ή επαναπιστοποίηση μπορούν να οριστικοποιηθούν μόνο εάν η πολιτική που ακολουθεί η εταιρεία στα θέματα της προστασίας της ιδιωτικής ζωής πληροί όλες τις απαιτήσεις, ιδίως μάλιστα εάν περιλαμβάνει την θετική δέσμευση της προσχώρησης στο συναφές σύνολο αρχών προστασίας της ιδιωτικής ζωής του ασφαλούς λιμένα και της δημοσιοποίησης της πολιτικής που ακολουθεί στον τομέα της προστασίας της ιδιωτικής ζωής. Η εταιρεία υποχρεούται να προσδιορίσει στη σχετική εγγραφή του καταλόγου της ασφαλούς λιμένα τη θέση στην οποία βρίσκεται η σχετική πολιτική. Της επιβάλλεται επίσης να προσδιορίσει με σαφήνεια στον ιστοχώρο της τον εναλλακτικό πάροχο επίλυσης διαφορών και να συμπεριλάβει τον σύνδεσμο αναφορικά με την αυτοπιστοποίηση στο πλαίσιο του ασφαλούς λιμένα στον ιστοχώρο του Υπουργείου Εμπορίου. Όπως ωστόσο εκτιμάται, 30% και άνω των μελών του ασφαλούς λιμένα δεν παρέχει πληροφορίες για την επίλυση των διαφορών στις πολιτικές για την προστασία της ιδιωτικής ζωής στους ιστοχώρους του[28].

Η πλειονότητα των εταιρειών που διέγραψε το Υπουργείο Εμπορίου από τον κατάλογο του ασφαλούς λιμένα αφαιρέθηκε κατόπιν ρητού αιτήματος των σχετικών εταιρειών (π.χ. εταιρειών που είχαν συγχωνευθεί ή εξαγορασθεί, οι οποίες είχαν μεταβάλει τις κατευθυντήριες γραμμές άσκησης των επιχειρηματικών τους δραστηριοτήτων ή έπαυσαν πλέον να ασκούν τις επιχειρηματικές τους δραστηριότητες). Ένας μικρότερος αριθμός στοιχείων για τις ανενεργές εταιρείες διαγράφηκε, όταν οι ιστοχώροι που αναφέρονταν στα αρχεία φάνηκαν να είναι αδρανείς και το καθεστώς πιστοποίησης των εταιρειών χαρακτηριζόταν «ανενεργό» επί σειρά ετών[29]. Είναι σημαντικό να τονιστεί ότι καμία από τις διαγραφές αυτές δεν φαίνεται να διενεργήθηκε, λόγω προβλημάτων συμμόρφωσης που εντοπίστηκαν κατόπιν ελέγχου του Υπουργείου Εμπορίου.

Η εγγραφή του καταλόγου του ασφαλούς λιμένα εξυπηρετεί τον σκοπό της δημόσιας κοινοποίησης και της καταγραφής των υποχρεώσεων της εταιρείας στο πλαίσιο του ασφαλούς λιμένα. Η δέσμευση της προσχώρησης στις αρχές του ασφαλούς λιμένα δεν είναι χρονικά περιορισμένη σε σχέση με τα δεδομένα που παραλήφθηκαν κατά τη διάρκεια της περιόδου κατά την οποία η εταιρεία υπάγεται στο ευεργετικό καθεστώς του ασφαλούς λιμένα, η δε εταιρεία πρέπει να συνεχίσει να εφαρμόζει τις αρχές στα δεδομένα αυτά για όσο διάστημα τα αποθηκεύει, τα χρησιμοποιεί ή τα γνωστοποιεί, ακόμη και εάν εγκαταλείψει το καθεστώς του ασφαλούς λιμένα για οποιονδήποτε λόγο.

Ο αριθμός των αιτούντων για τους οποίους δεν έχει διενεργηθεί διοικητική εξέταση από το Υπουργείο Εμπορίου στο πλαίσιο του καθεστώτος του ασφαλούς λιμένα, με αποτέλεσμα να μην έχουν ποτέ προστεθεί στον κατάλογο του ασφαλούς λιμένα, έχει ως εξής: Το 2010, μόλις το 6% (33) από τις 513 εταιρείες αρχικής πιστοποίησης δεν είχε ποτέ συμπεριληφθεί στον κατάλογο του ασφαλούς λιμένα επειδή δεν είχαν συμμορφωθεί με τις προδιαγραφές του Υπουργείου Εμπορίου για την αυτοπιστοποίηση. Το 2013, το 12% (75) από τις 605 εταιρείες αρχικής πιστοποίησης δεν είχε ποτέ συμπεριληφθεί στον κατάλογο του ασφαλούς λιμένα, επειδή δεν είχαν συμμορφωθεί με τις προδιαγραφές του Υπουργείου Εμπορίου για την αυτοπιστοποίηση.

Ελάχιστη προϋπόθεση για την αύξηση της διαφάνειας της εποπτείας είναι να παραθέτει το Υπουργείο Εμπορίου στον ιστοχώρο του τον κατάλογο όλων των εταιρειών που έχουν αφαιρεθεί από τον ασφαλή λιμένα και να αναφέρει τους λόγους για τους οποίους η πιστοποίηση δεν έχει ανανεωθεί. Η ένδειξη «ανενεργή» στον κατάλογο των εταιρειών μελών του ασφαλούς λιμένα που τηρεί το Υπουργείο Εμπορίου θα πρέπει να εκλαμβάνεται όχι μόνο ως πληροφορία, αλλά πρέπει να συνοδεύεται από τη σαφή προειδοποίηση – τόσο λεκτική, όσο και γραφική – ότι η εταιρεία δεν πληροί επί του παρόντος τις απαιτήσεις περί ασφαλούς λιμένα.

Επιπλέον, η πρακτική ορισμένων εταιρειών συνεχίζει να απέχει πόρρω από την ολοσχερή ενσωμάτωση όλων των αρχών περί ασφαλούς λιμένα. Αφήνοντας κατά μέρος το πρόβλημα της διαφάνειας, το οποίο εξετάστηκε στο ανωτέρω τμήμα 3, οι πολιτικές των αυτοπιστοποιούμενων εταιρειών στα θέματα της προστασίας της ιδιωτικής ζωής είναι συχνά ασαφείς τόσο σε σχέση με τους σκοπούς για τους οποίους συλλέγονται τα δεδομένα, όσο και σχετικά με το δικαίωμα να επιλέγεται εάν τα δεδομένα μπορούν να γνωστοποιηθούν σε τρίτους· τούτο θέτει προβλήματα συμμόρφωσης με τις αρχές προστασίας της ιδιωτικής ζωής που σχετίζονται με την «κοινοποίηση» και την «επιλογή». Η κοινοποίηση και η επιλογή έχουν ζωτική σημασία για την εξασφάλιση του ελέγχου από τα πρόσωπα στα οποία αναφέρονται τα δεδομένα σχετικά με το τι συμβαίνει στις πληροφορίες τους προσωπικού χαρακτήρα.

Το κρίσιμο πρώτο βήμα στη διαδικασία συμμόρφωσης, η ενσωμάτωση δηλαδή των αρχών του ασφαλούς λιμένα για την προστασία της ιδιωτικής ζωής στην πολιτική προστασίας της ιδιωτικής ζωής των εταιρειών, δεν διασφαλίζεται επαρκώς. Το Υπουργείο Εμπορίου θα πρέπει να επιδιώξει να το αντιμετωπίσει κατά προτεραιότητα μέσω ανάπτυξης της μεθοδολογίας συμμόρφωσης στην επιχειρησιακή πρακτική που εφαρμόζεται από τις εταιρείες και κατά την αλληλεπίδρασή τους με τους πελάτες. Το Υπουργείο Εμπορίου οφείλει να θέσει σε εφαρμογή δραστήριες πρακτικές έμπρακτης παρακολούθησης όσον αφορά την ενσωμάτωση των αρχών του ασφαλούς λιμένα στην πολιτική προστασίας της ιδιωτικής ζωής που εφαρμόζουν οι εταιρείες, αντί να επιτρέπει οι ενέργειες επιβολής του νόμου να ενεργοποιούνται μόνο έπειτα από καταγγελίες ιδιωτών

5.           Εφαρμογή από τις δημόσιες αρχές

Μια σειρά μηχανισμών είναι διαθέσιμοι ώστε να διασφαλίζεται η αποτελεσματική εφαρμογή του καθεστώτος του ασφαλούς λιμένα και να προσφέρονται μέσα προσφυγής στους ιδιώτες, σε περιπτώσεις όπου η προστασία των πληροφοριών τους προσωπικού χαρακτήρα επηρεάζεται από τη μη συμμόρφωση προς τις αρχές προστασίας της ιδιωτικής ζωής.

Σύμφωνα με την αρχή της «εφαρμογής», οι πολιτικές προστασίας της ιδιωτικής ζωής των αυτοπιστοποιούμενων οργανισμών πρέπει να περιλαμβάνουν αποτελεσματικούς μηχανισμούς συμμόρφωσης. Βάσει της αρχής της «εφαρμογής» για την προστασία της ιδιωτικής ζωής, όπως διευκρινίζεται περαιτέρω από την ΣΕ 11, την ΣΕ 5 και την ΣΕ 6, η απαίτηση αυτή μπορεί να ικανοποιηθεί με την προσχώρησή τους σε ανεξάρτητους μηχανισμούς προσφυγής που έχουν διακηρύξει δημοσίως την αρμοδιότητά τους να εξετάζουν καταγγελίες εκ μέρους ιδιωτών οι οποίες απορρέουν από την παράλειψη συμμόρφωσης με τις αρχές. Αυτό μπορεί να επιτευχθεί εναλλακτικά με τη δέσμευση του Οργανισμού να συνεργαστεί με το Πάνελ Προστασίας Δεδομένων της ΕΕ[30]. Οι αυτοπιστοποιούμενες εταιρείες υπόκεινται εξάλλου στη δικαιοδοσία της Ομοσπονδιακής Επιτροπής Εμπορίου, βάσει του τμήματος 5 του Federal Trade Commisison Act (νόμος περί της Ομοσπονδιακής Επιτροπής Εμπορίου), που απαγορεύει τις αθέμιτες ή δόλιες ενέργειες ή πρακτικές που επηρεάζουν τις εμπορικές συναλλαγές[31].

Στην έκθεση του 2004 είχε εκφρασθεί ανησυχία όσον αφορά την εφαρμογή του καθεστώτος ασφαλούς λιμένα, είχε δηλαδή λεχθεί συγκεκριμένα ότι η Ομοσπονδιακή Επιτροπή Εμπορίου θα έπρεπε να αναλάβει πιο δυναμική δράση στα θέματα της διεξαγωγής ερευνών και της τόνωσης της ευαισθητοποίησης των πολιτών σχετικά με τα δικαιώματά τους. Άλλο ένα σημείο προβληματισμού αφορούσε την έλλειψη σαφήνειας σε σχέση με τις αρμοδιότητες της Ομοσπονδιακής Επιτροπής Εμπορίου να εφαρμόζει τις αρχές όσον αφορά τα δεδομένα ανθρώπινου δυναμικού.

Ο οργανισμός προσφυγής που είναι αρμόδιος για τα δεδομένα του ανθρώπινου δυναμικού – το Πάνελ Προστασίας Δεδομένων της ΕΕ – έχει λάβει μία καταγγελία για τα δεδομένα ανθρώπινου δυναμικού[32]. Η απουσία καταγγελιών δεν επιτρέπει ωστόσο την εξαγωγή συμπερασμάτων ως προς την πλήρη λειτουργία του συστήματος. Πρέπει να θεσπιστούν αυτεπάγγελτοι έλεγχοι συμμόρφωσης των εταιρειών προκειμένου να επαληθεύεται η πραγματική υλοποίηση των δεσμεύσεων για την προστασία των δεδομένων. Οι Αρχές Προστασίας Δεδομένων της ΕΕ θα πρέπει επίσης να αναλάβουν δράσεις προκειμένου να αυξηθεί η ευαισθητοποίηση σχετικά με την ύπαρξη του Πάνελ.

Έχουν επισημανθεί προβλήματα σε σχέση με τον τρόπο με τον οποίο οι εναλλακτικοί μηχανισμοί προσφυγής ασκούν τα λειτουργικά καθήκοντα των φορέων εφαρμογής της νομοθεσίας. Ορισμένοι από τους εν λόγω φορείς δεν διαθέτουν τα κατάλληλα μέσα για την επίλυση των περιπτώσεων που απορρέουν από την παράλειψη συμμόρφωσης με τις αρχές. Η αδυναμία αυτή επιβάλλεται να αντιμετωπιστεί.

5.1.        Ομοσπονδιακή Επιτροπή Εμπορίου

Η Ομοσπονδιακή Επιτροπή Εμπορίου μπορεί να λάβει μέτρα επιβολής σε περίπτωση παραβιάσεων των δεσμεύσεων περί ασφαλούς λιμένα που αναλαμβάνουν οι εταιρείες. Όταν καθιερώθηκε ο ασφαλής λιμένας, η Ομοσπονδιακή Επιτροπή Εμπορίου είχε δεσμευθεί να επανεξετάσει κατά προτεραιότητα όλες τις καταγγελίες από αρχές των κρατών μελών[33]. Δεδομένου ότι δεν ελήφθησαν καταγγελίες κατά τα πρώτα δέκα έτη της ρύθμισης, η Ομοσπονδιακή Επιτροπή Εμπορίου αποφάσισε να επιδιώξει τον εντοπισμό όλων των παραβιάσεων που άπτονται του ασφαλούς λιμένα, σε όλες τις έρευνες που διεξάγει για παραβιάσεις της ιδιωτικής ζωής και της ασφάλειας των δεδομένων. Από το 2009 μέχρι σήμερα, η Ομοσπονδιακή Επιτροπή Εμπορίου έχει κινήσει 10 διαδικασίες εφαρμογής του νόμου κατά εταιρειών για παραβιάσεις του ασφαλούς λιμένα. Οι εν λόγω διαδικασίες κατέληξαν σε εντολές διακανονισμού — που συνεπάγονταν ουσιαστικές κυρώσεις — με τις οποίες απαγορεύονταν οι ψευδείς δηλώσεις περί προστασίας της ιδιωτικής ζωής, συμπεριλαμβανομένης της συμμόρφωσης με τον ασφαλή λιμένα, και επιβάλλονταν σε εταιρείες πλήρη προγράμματα και έλεγχοι για την προστασία της ιδιωτικής ζωής, 20ετούς διάρκειας. Οι εταιρείες πρέπει να αποδέχονται ανεξάρτητες αξιολογήσεις των προγραμμάτων τους για την προστασία της ιδιωτικής ζωής εφόσον το ζητήσει η Ομοσπονδιακή Επιτροπή Εμπορίου. Οι αξιολογήσεις αυτές είναι αντικείμενο τακτικών εκθέσεων προς την Ομοσπονδιακή Επιτροπή Εμπορίου. Με τις εν λόγω εντολές της Ομοσπονδιακής Επιτροπής Εμπορίου απαγορεύονται επίσης στις εν λόγω εταιρείες οι ψευδείς δηλώσεις για τις πρακτικές τους στον τομέα της ιδιωτικής ζωής καθώς και για τη συμμετοχή τους στον ασφαλή λιμένα ή σε παρόμοια συστήματα για την προστασία της ιδιωτικής ζωής. Σχετικά παραδείγματα αποτελούν οι έρευνες της Ομοσπονδιακής Επιτροπής Εμπορίου κατά των Google, Facebook και MySpace[34]. Το 2012 η Google συμφώνησε να καταβάλει πρόστιμο 22,5 εκατ. $ για τον διακανονισμό κατόπιν αιτιάσεων για μη συμμόρφωση με δικαστικό συμβιβασμό. Σε κάθε έρευνα περί ιδιωτικής ζωής η Ομοσπονδιακή Επιτροπή Εμπορίου εξετάζει αυτεπαγγέλτως κατά πόσον υπάρχει παραβίαση του ασφαλούς λιμένα.

Η Ομοσπονδιακή Επιτροπή Εμπορίου επανέλαβε πρόσφατα τις δηλώσεις της και τη δέσμευσή της να επανεξετάσει, κατά προτεραιότητα, τις καταγγελίες που έλαβε από οργανισμούς αυτορρύθμισης για την προστασία της ιδιωτικής ζωής και από κράτη μέλη της ΕΕ περί παραβιάσεως, εκ μέρους εταιρείας, αρχών ασφαλούς λιμένα[35]. Η Ομοσπονδιακή Επιτροπή Εμπορίου έχει λάβει λίγες μόνο παραπομπές από ευρωπαϊκές αρχές προστασίας δεδομένων κατά τα προηγούμενα τρία έτη.

Η διατλαντική συνεργασία μεταξύ αρχών προστασίας των δεδομένων άρχισε να αναπτύσσεται κατά τους τελευταίους μήνες. Για παράδειγμα, στις 26 Ιουνίου 2013 η Ομοσπονδιακή Επιτροπή Εμπορίου και ο Επίτροπος της Υπηρεσίας προστασίας των δεδομένων της Ιρλανδίας υπέγραψαν μνημόνιο συμφωνίας σχετικά με την αμοιβαία συνδρομή κατά την επιβολή της νομοθεσίας περί προστασίας των προσωπικών πληροφοριών στον ιδιωτικό τομέα. Το μνημόνιο καθορίζει ένα πλαίσιο για μεγαλύτερη, πιο εναρμονισμένη και αποτελεσματικότερη συνεργασία για την επιβολή της νομοθεσίας περί προστασίας της ιδιωτικής ζωής[36].

Τον Αύγουστο του 2013 η Ομοσπονδιακή Επιτροπή Εμπορίου ανήγγειλε περαιτέρω ενίσχυση των ελέγχων επί επιχειρήσεων που διαθέτουν μεγάλες βάσεις δεδομένων πληροφοριών προσωπικού χαρακτήρα. Δημιούργησε επίσης μια διαδικτυακή πύλη όπου οι καταναλωτές μπορούν να υποβάλουν καταγγελία κατά εταιρειών των ΗΠΑ για παραβίαση της ιδιωτικής ζωής[37].

Η Ομοσπονδιακή Επιτροπή Εμπορίου θα εντείνει επίσης τις προσπάθειές της για διερεύνηση ανυπόστατων ισχυρισμών περί προσχώρησης στον ασφαλή λιμένα. Μια εταιρεία που ισχυρίζεται στον ιστοχώρο της ότι συμμορφώνεται με τις απαιτήσεις του ασφαλούς λιμένα αλλά δεν είναι καταχωρημένη από το Υπουργείο Εμπορίου των ΗΠΑ ως εν ενεργεία μέλος του συστήματος παραπλανά τους καταναλωτές και καταχράται την εμπιστοσύνη τους. Οι ψευδείς ισχυρισμοί αποδυναμώνουν την αξιοπιστία του συστήματος στο σύνολό του και, ως εκ τούτου, πρέπει να αφαιρούνται αμέσως από τους ιστοχώρους των εταιρειών. Οι εταιρείες πρέπει να δεσμεύονται από μια εκτελεστή απαίτηση να μην παραπλανούν τους καταναλωτές. Η Ομοσπονδιακή Επιτροπή Εμπορίου θα πρέπει να εξακολουθήσει τον εντοπισμό ψευδών δηλώσεων περί ασφαλούς λιμένα, όπως στην υπόθεση Karnani, όπου η Ομοσπονδιακή Επιτροπή Εμπορίου διέκοψε τη λειτουργία ενός ιστοχώρου της Καλιφόρνια που ανέφερε ψευδώς καταχώρηση στον ασφαλή λιμένα και εφήρμοζε δόλιες πρακτικές ηλεκτρονικού εμπορίου με στόχο τους Ευρωπαίους καταναλωτές[38].

Στις 20 Οκτωβρίου 2013 η Ομοσπονδιακή Επιτροπή Εμπορίου ανακοίνωσε ότι είχε κινήσει «πολλές έρευνες περί συμμορφώσεως με τον ασφαλή λιμένα κατά τους τελευταίους μήνες» και ότι αναμένονταν επιπλέον ενέργειες για την επιβολή της νομοθεσίας σε αυτόν τον τομέα «κατά τους προσεχείς μήνες». Η Ομοσπονδιακή Επιτροπή Εμπορίου επιβεβαίωσε επίσης ότι «έχει δεσμευθεί για την αναζήτηση τρόπων βελτίωσης της αποτελεσματικότητάς της» και ότι «θα συνεχίσει να καλωσορίζει όλες τις ουσιαστικές πρωτοβουλίες, όπως η καταγγελία που υποβλήθηκε τον προηγούμενο μήνα από δικηγόρο καταναλωτών με έδρα την Ευρώπη, ο οποίος κατήγγειλε μεγάλο αριθμό παραβιάσεων του ασφαλούς λιμένα»[39]. Δεσμεύτηκε επίσης «να παρακολουθεί συστηματικά την τήρηση των εντολών ασφαλούς λιμένα, όπως κάνουμε με όλες τις εντολές»[40].

Στις 12 Νοεμβρίου 2013 η Ομοσπονδιακή Επιτροπή Εμπορίου ενημέρωσε την Ευρωπαϊκή Επιτροπή ότι «εάν η πολιτική προστασίας της ιδιωτικής ζωής μιας εταιρείας υπόσχεται τις διασφαλίσεις του ασφαλούς λιμένα, η παράλειψη καταχώρισης ή διατήρησης της καταχώρισης, εκ μέρους της εν λόγω εταιρείας, δεν αποτελεί αφ’ εαυτής ικανή δικαιολογία για εξαίρεση της εταιρείας από τα μέτρα επιβολής, εκ μέρους της Ομοσπονδιακής Επιτροπής Εμπορίου, των δεσμεύσεων που άπτονται του ασφαλούς λιμένα»[41].

Τον Νοέμβριο του 2013, το Υπουργείο Εμπορίου των ΗΠΑ ενημέρωσε την Ευρωπαϊκή Επιτροπή ότι «προκειμένου να εξασφαλιστεί ότι οι εταιρείες δεν υποβάλλουν “ψευδείς δηλώσεις” συμμετοχής στον ασφαλή λιμένα, το Υπουργείο Εμπορίου των ΗΠΑ θα ξεκινήσει τις επαφές με τους συμμετέχοντες στον ασφαλή λιμένα ένα μήνα πριν από την ημερομηνία νέας πιστοποίησής τους, ώστε να περιγράψει όλες τις ενέργειες που πρέπει να ακολουθούν σε περίπτωση που επιλέξουν να μην ανανεώσουν την πιστοποίηση». Το Υπουργείο Εμπορίου των ΗΠΑ «θα προειδοποιήσει τις επιχειρήσεις της κατηγορίας αυτής να αφαιρέσουν όλες τις αναφορές περί συμμετοχής τους στον ασφαλής λιμένα, συμπεριλαμβανομένης της χρήσης του σήματος πιστοποίησης ασφαλούς λιμένα, από τις πολιτικές τους για την προστασία της ιδιωτικής ζωής και από ιστοχώρους, και θα τους επισημάνει σαφώς ότι, εάν παραλείψουν να το πράξουν, ενδέχεται να υποστούν μέτρα επιβολής του νόμου εκ μέρους της Ομοσπονδιακής Επιτροπής Εμπορίου».[42]

Για την καταπολέμηση ψευδών δηλώσεων προσχώρησης στον ασφαλή λιμένα, οι πολιτικές για την προστασία της ιδιωτικής ζωής των ιστοχώρων εταιρειών που έχουν αυτοπιστοποιηθεί πρέπει οπωσδήποτε να περιλαμβάνουν σύνδεσμο στον ιστοχώρο ασφαλούς λιμένα του Υπουργείο Εμπορίου των ΗΠΑ, ο οποίος αναγράφει όλα τα εν ενεργεία μέλη του συστήματος. Αυτό θα επιτρέπει στους Ευρωπαίους ενδιαφερόμενους να εξακριβώνουν αμέσως, χωρίς πρόσθετες έρευνες, εάν μια εταιρεία είναι εν ενεργεία μέλος του ασφαλούς λιμένα. Το Υπουργείο Εμπορίου των ΗΠΑ άρχισε από τον Μάρτιο του 2013 να το ζητά από τις εταιρείες, αλλά η διαδικασία αυτή θα πρέπει να εντατικοποιηθεί.

Η συνεχής παρακολούθηση, και η επακόλουθη επιβολή του νόμου εκ μέρους της Ομοσπονδιακής Επιτροπής Εμπορίου, της τήρησης των αρχών ασφαλούς λιμένα — επιπλέον των μέτρων που λαμβάνονται από το Υπουργείο Εμπορίου των ΗΠΑ, όπως τονίστηκε παραπάνω — εξακολουθεί να αποτελεί καίρια προτεραιότητα για να εξασφαλιστεί η ορθή και αποτελεσματική λειτουργία του συστήματος. Είναι απαραίτητο ιδίως να αυξηθούν οι αυτεπάγγελτοι έλεγχοι και έρευνες για τη συμμόρφωση των εταιρειών με τις αρχές του ασφαλούς λιμένα». Οι καταγγελίες προς την Ομοσπονδιακή Επιτροπή Εμπορίου που αφορούν παραβιάσεις θα πρέπει επίσης να διευκολυνθούν περαιτέρω.

5.2.        Πάνελ προστασίας των δεδομένων

Το πάνελ προστασίας των δεδομένων της ΕΕ είναι ένα όργανο που συστάθηκε δυνάμει της απόφασης του ασφαλούς λιμένα. Είναι αρμόδιο να εξετάζει καταγγελίες που υποβλήθηκαν από ιδιώτες και αφορούν τα δεδομένα προσωπικού χαρακτήρα που συλλέγονται στο πλαίσιο της εργασιακής σχέσης, καθώς και υποθέσεις που αφορούν πιστοποιημένες εταιρείες που έχουν επιλέξει αυτή την εναλλακτική δυνατότητα επίλυσης διαφορών στο πλαίσιο του ασφαλούς λιμένα (το 53% του συνόλου των εταιρειών). Αποτελείται από εκπροσώπους διαφόρων αρχών προστασίας δεδομένων της ΕΕ.

Μέχρι σήμερα, το πάνελ έλαβε τέσσερις καταγγελίες (δύο το 2010 και δύο το 2013) Παρέπεμψε δύο καταγγελίες (το 2010) στις εθνικές αρχές προστασίας δεδομένων (ΗΒ και Ελβετία). Η τρίτη και η τέταρτη καταγγελία είναι υπό εξέταση. Ο μικρός αριθμός καταγγελιών μπορεί να εξηγηθεί από το γεγονός ότι οι εξουσίες του πάνελ περιορίζονται, όπως προαναφέρθηκε, κυρίως σε ορισμένες κατηγορίες δεδομένων.

Ο περιορισμένος αριθμός υποθέσεων του πάνελ θα μπορούσε επίσης να οφείλεται στην έλλειψη ευαισθητοποίησης σχετικά με την ύπαρξή του. Από το 2004 η Επιτροπή ενημερώνει με πιο εμφανή τρόπο για το πάνελ στον ιστοχώρο της[43].

Προκειμένου το πάνελ να αξιοποιηθεί καλύτερα, οι εταιρείες των ΗΠΑ που έχουν επιλέξει να συνεργαστούν με το πάνελ και να συμμορφώνονται με τις αποφάσεις του, για ορισμένες ή για όλες τις κατηγορίες προσωπικών δεδομένων που καλύπτονται από τις αντίστοιχες αυτοπιστοποιήσεις τους, πρέπει να το αναφέρουν σαφώς και εμφανώς στις δεσμεύσεις τους για την πολιτική προστασίας της ιδιωτικής ζωής, ώστε να επιτρέπουν στο Υπουργείο Εμπορίου των ΗΠΑ να εξετάζει λεπτομερώς την πτυχή αυτή. Θα πρέπει να δημιουργηθεί ειδική σελίδα στον ιστοχώρο κάθε αρχής προστασίας δεδομένων της ΕΕ σχετικά με τον ασφαλή λιμένα, ώστε να υπάρξει μεγαλύτερη ευαισθητοποίηση των ευρωπαϊκών εταιρειών και των υποκειμένων των δεδομένων.

5.3.        Βελτίωση των μέτρων επιβολής

Οι αδυναμίες όσον αφορά τη διαφάνεια και την επιβολή της νομοθεσίας, οι οποίες εντοπίστηκαν παραπάνω, δημιουργούν ανησυχίες μεταξύ των ευρωπαϊκών εταιρειών όσον αφορά τον αρνητικό αντίκτυπο του ασφαλούς λιμένα επί της ανταγωνιστικότητας των ευρωπαϊκών επιχειρήσεων. Όταν μια ευρωπαϊκή εταιρεία ανταγωνίζεται μια εταιρεία των ΗΠΑ που λειτουργεί βάσει του ασφαλούς λιμένα, αλλά η οποία στην πράξη δεν εφαρμόζει τις αρχές του, η ευρωπαϊκή εταιρεία έχει ανταγωνιστικό μειονέκτημα σε σχέση με την εν λόγω εταιρεία των ΗΠΑ.

Επιπλέον, η αρμοδιότητα της Ομοσπονδιακής Επιτροπής Εμπορίου στον τομέα αυτό καλύπτει αθέμιτες ή δόλιες ενέργειες ή πρακτικές οι οποίες «αφορούν ή επηρεάζουν τις εμπορικές συναλλαγές». Το Τμήμα 5 του Federal Trade Commission Act καθιερώνει εξαιρέσεις από την αρμοδιότητα της Ομοσπονδιακής Επιτροπής Εμπορίου επί καταχρηστικών ή δόλιων πράξεων ή πρακτικών όσον αφορά, μεταξύ άλλων, τις τηλεπικοινωνίες. Όντας εκτός των αρμοδιοτήτων επιβολής της Ομοσπονδιακής Επιτροπής Εμπορίου, οι εταιρείες τηλεπικοινωνιών δεν επιτρέπεται να προσχωρούν στον ασφαλή λιμένα. Εν τούτοις, με την αυξανόμενη σύγκλιση των τεχνολογιών και υπηρεσιών, πολλοί από τους άμεσους ανταγωνιστές τους στον τομέα των ΤΠΕ στις ΗΠΑ είναι μέλη του ασφαλούς λιμένα. Η εξαίρεση των εταιρειών τηλεπικοινωνιών από τις ανταλλαγές δεδομένων στο πλαίσιο του συστήματος ασφαλούς λιμένα είναι ζήτημα που προκαλεί ανησυχία σε ορισμένες ευρωπαϊκές εταιρείες τηλεπικοινωνιών. Σύμφωνα με την Ευρωπαϊκή Ένωση Φορέων Εκμετάλλευσης Τηλεπικοινωνιακών Δικτύων (ETNO) «πρόκειται για σαφή αντίθεση προς το σημαντικότερο αίτημα των τηλεπικοινωνιακών φορέων εκμετάλλευσης, την ανάγκη δηλαδή ισότιμης μεταχείρισης»[44].

6.           Ενίσχυση των αρχών ασφαλούς λιμένα περί ιδιωτικής ζωής

6.1.        Εναλλακτική επίλυση διαφορών

Η αρχή της εφαρμογής του ασφαλούς λιμένα απαιτεί «άμεσα διαθέσιμους και προσιτούς μηχανισμούς για τη διερεύνηση των καταγγελιών και των αμφισβητήσεων κάθε ενδιαφερομένου». Για το σκοπό αυτό, το σύστημα ασφαλούς λιμένα προβλέπει σύστημα εναλλακτικής επίλυσης διαφορών (ΕΕΔ) από ανεξάρτητο τρίτο μέρος[45] που θα παρέχουν στους ενδιαφερόμενους γρήγορες λύσεις. Τα τρία σημαντικότερα όργανα μηχανισμών προσφυγής είναι το πάνελ της ΕΕ για την προστασία των δεδομένων, τα Better Business Bureaus (BBB) και η TRUSTe.

Η χρήση των εναλλακτικών τρόπων επίλυσης διαφορών έχει αυξηθεί από το 2004 μέχρι σήμερα και το Υπουργείο Εμπορίου των ΗΠΑ έχει ενισχύσει την παρακολούθηση των παρόχων υπηρεσιών ΕΕΔ, ώστε να διασφαλίσει ότι οι πληροφορίες που παρέχουν σχετικά με τη διαδικασία υποβολής καταγγελίας είναι σαφείς, εύκολα προσβάσιμες και κατανοητές. Ωστόσο, η αποτελεσματικότητα του εν λόγω σύστηματος δεν έχει ακόμη αποδειχθεί λόγω του περιορισμένου αριθμού των υποθέσεων που εξετάστηκαν μέχρι σήμερα[46].

Αν και το Υπουργείο Εμπορίου των ΗΠΑ πέτυχε τη μείωση των τελών που χρεώνουν οι πάροχοι ΕΕΔ, δύο από τους επτά μεγάλους παρόχους υπηρεσιών ΕΕΔ συνεχίζουν να εισπράττουν τέλη από ιδιώτες που υποβάλλουν καταγγελία[47]. Τούτο αντιπροσωπεύει τους παρόχους ΕΕΔ που χρησιμοποιούνται από το 20% περίπου των εταιρειών ασφαλούς λιμένα. Οι εταιρείες αυτές έχουν επιλέξει έναν πάροχο υπηρεσιών ΕΕΔ που χρεώνει τέλος στους καταναλωτές που υποβάλλουν καταγγελία. Οι εν λόγω πρακτικές δεν συνάδουν προς την αρχή της εφαρμογής του ασφαλούς λιμένα, που παρέχει σε ιδιώτες δικαίωμα πρόσβασης σε «άμεσα διαθέσιμους και προσιτούς ανεξάρτητους μηχανισμούς προσφυγής». Στην Ευρωπαϊκή Ένωση, η πρόσβαση σε ανεξάρτητη υπηρεσία επίλυσης διαφορών που παρέχεται από το πάνελ προστασίας των δεδομένων της ΕΕ είναι δωρεάν για όλα τα πρόσωπα στα οποία αναφέρονται τα δεδομένα.

Στις 12 Νοεμβρίου 2013 το Υπουργείο Εμπορίου των ΗΠΑ επιβεβαίωσε ότι «θα συνεχίσει να παρεμβαίνει στο όνομα της προστασίας της ιδιωτικής ζωής των πολιτών της ΕΕ και θα συνεργαστεί με τους παρόχους υπηρεσιών ΕΕΔ, ώστε να εξεταστεί κατά πόσον τα τέλη που εισπράττουν μπορούν να μειωθούν περαιτέρω».

Όσον αφορά τις κυρώσεις, δεν διαθέτουν όλοι οι πάροχοι υπηρεσιών ΕΕΔ τα απαραίτητα εργαλεία επανόρθωσης των προβλημάτων που ανακύπτουν από τη μη συμμόρφωση με τις αρχές περί ιδιωτικής ζωής. Επιπλέον, η δημοσίευση των παραβάσεων δεν φαίνεται να αποτελεί τμήμα των κυρώσεων και μέτρων όλων των παρόχων υπηρεσιών ΕΕΔ.

Οι πάροχοι υπηρεσιών ΕΕΔ υποχρεούνται επίσης να παραπέμπουν τις υποθέσεις στην Ομοσπονδιακή Επιτροπή Εμπορίου όταν μια εταιρεία παραλείπει να συμμορφωθεί με την έκβαση της διαδικασίας ΕΕΔ ή απορρίπτει την απόφαση του παρόχου ΕΕΔ· έτσι η Ομοσπονδιακή Επιτροπή Εμπορίου μπορεί να προβεί σε επανεξέταση και έρευνα, καθώς και, εάν κρίνεται σκόπιμο, να λάβει μέτρα επιβολής. Ωστόσο, έως σήμερα, δεν υπήρξαν περιπτώσεις παραπομπής από παρόχους υπηρεσιών ΕΕΔ προς την Ομοσπονδιακή Επιτροπή Εμπορίου λόγω μη συμμόρφωσης[48].

Οι πάροχοι υπηρεσιών ΕΕΔ διατηρούν στους ιστοχώρους τους καταλόγους των εταιρειών που χρησιμοποιούν τις υπηρεσίες τους. Τούτο επιτρέπει στους καταναλωτές να επαληθεύουν εύκολα εάν — σε περίπτωση διαφοράς με μια εταιρεία — ένα ιδιώτης μπορεί να υποβάλει καταγγελία σε καθορισμένο φορέα επίλυσης διαφορών. Έτσι, για παράδειγμα, ο πάροχος ΕΕΔ «BBB» καταχωρίζει όλες τις εταιρείες που υπάγονται στο πλαίσιο επίλυσης των διαφορών BBB. Πάντως, πολλές εταιρείες υποστηρίζουν ότι υπάγονται στο πλαίσιο ειδικού συστήματος επίλυσης διαφορών, αλλά δεν καταχωρίζονται σχετικά από τον οικείο πάροχο ΕΕΔ[49].

Οι μηχανισμοί ΕΕΔ πρέπει να είναι εύκολα προσβάσιμοι, ανεξάρτητοι και οικονομικά προσιτοί για τους ιδιώτες. Τα πρόσωπα στα οποία αναφέρονται τα δεδομένα πρέπει να είναι σε θέση να υποβάλλουν καταγγελία χωρίς υπερβολικούς περιορισμούς. Όλοι οι φορείς ΕΕΔ πρέπει να δημοσιεύουν στους δικτυακούς τους τόπους στατιστικά στοιχεία σχετικά με τις καταγγελίες των οποίων επιλαμβάνονται, καθώς και συγκεκριμένες πληροφορίες σχετικά με την έκβασή τους. Τέλος, οι φορείς ΕΕΔ θα πρέπει να παρακολουθούνται περαιτέρω, για να διασφαλίζεται ότι οι πληροφορίες που παρέχουν σχετικά με τη διαδικασία και τον τρόπο υποβολής καταγγελίας είναι σαφείς και κατανοητές, έτσι ώστε η επίλυση διαφορών να αποτελεί αποτελεσματικό και αξιόπιστο μηχανισμό. Πρέπει να υπογραμμιστεί και πάλι ότι η δημοσίευση των παραβάσεων θα πρέπει να περιληφθεί στο σύνολο των υποχρεωτικών κυρώσεων των παρόχων ΕΕΔ.

6.2.        Περαιτέρω διαβίβαση

Η γεωμετρική αύξηση των ροών δεδομένων επιβάλλει τη διασφάλιση της συνεχούς προστασίας των δεδομένων προσωπικού χαρακτήρα σε όλα τα στάδια της επεξεργασίας των δεδομένων, ιδίως όταν διαβιβάζονται δεδομένα από μια εταιρεία που προσχωρεί στον ασφαλή λιμένα προς τρίτο φορέα επεξεργασίας δεδομένων. Ως εκ τούτου, η ανάγκη βελτίωσης της επιβολής των διατάξεων του ασφαλούς λιμένα αφορά όχι μόνο τα μέλη του ασφαλούς λιμένα αλλά και υπεργολήπτες.

Ο μηχανισμός του ασφαλούς λιμένα επιτρέπει την περαιτέρω διαβίβαση σε τρίτους που ενεργούν ως «πράκτορες», εάν η εταιρεία-μέλος του μηχανισμού ασφαλούς λιμένα «εξακριβώσει ότι τα τρίτα μέρη τηρούν τις αρχές του ασφαλούς λιμένα ή υπόκεινται στην οδηγία ή σε κάποιο μηχανισμό που να εξασφαλίζει την επάρκεια της προστασίας ή συνάπτει γραπτή συμφωνία με τα τρίτα μέρη που να απαιτεί από τα τελευταία να παρέχουν τουλάχιστον το ίδιο επίπεδο προστασίας της ιδιωτικής ζωής με εκείνο που επιβάλλουν οι αρχές του ασφαλούς λιμένα»[50]. Για παράδειγμα, το Υπουργείο Εμπορίου των ΗΠΑ απαιτεί από έναν πάροχο υπηρεσιών νέφους να συνάπτει σύμβαση ακόμη και εάν συμμορφώνεται με τις αρχές του ασφαλούς λιμένα και λαμβάνει δεδομένα προσωπικού χαρακτήρα προς επεξεργασία[51]. Ωστόσο, αυτή η διάταξη δεν είναι σαφής στο παράρτημα ΙΙ της απόφασης του ασφαλούς λιμένα.

Δεδομένου ότι η προσφυγή σε υπεργολήπτες έχει αυξηθεί σημαντικά κατά τα τελευταία έτη, ιδίως στο πλαίσιο του υπολογιστικού νέφους, όταν συνάπτεται μια τέτοια σύμβαση, η εταιρεία ασφαλούς λιμένα πρέπει να ενημερώνει το Υπουργείο Εμπορίου των ΗΠΑ και να υποχρεούται να δημοσιοποιεί τις εγγυήσεις για την προστασία της ιδιωτικής ζωής[52].

Τα τρία προαναφερθέντα ζητήματα, δηλαδή ο μηχανισμός εναλλακτικής επίλυσης διαφορών, η ενίσχυση της εποπτείας και οι περαιτέρω διαβιβάσεις πρέπει να διασαφηνιστούν περισσότερο.

7.           Πρόσβαση σε δεδομένα που διαβιβάζονται στο πλαίσιο του συστήματος του ασφαλούς λιμένα

Εντός του 2013, οι πληροφορίες σχετικά με την κλίμακα και την εμβέλεια των προγραμμάτων παρακολούθησης των ΗΠΑ έχουν εγείρει ανησυχίες όσον αφορά τη συνέχιση της προστασίας των προσωπικών δεδομένων που μεταβιβάζονται νόμιμα στις ΗΠΑ σύμφωνα με το σύστημα του ασφαλούς λιμένα. Για παράδειγμα, όλες οι εταιρείες που εμπλέκονται στο πρόγραμμα PRISM, και οι οποίες παρέχουν πρόσβαση, στις αρχές των ΗΠΑ, σε δεδομένα που αποθηκεύονται και αποτελούν αντικείμενο επεξεργασίας στις ΗΠΑ, φέρονται να είναι πιστοποιημένες στον ασφαλή λιμένα. Το γεγονός αυτό έχει καταστήσει το σύστημα του ασφαλούς λιμένα έναν από τους διαύλους παροχής πρόσβασης, στις υπηρεσίες πληροφοριών των ΗΠΑ, στη συλλογή δεδομένων προσωπικού χαρακτήρα που αρχικά έχουν υποστεί επεξεργασία στην ΕΕ.

Η απόφαση του ασφαλούς λιμένα προβλέπει, στο Παράρτημα 1, ότι η προσχώρηση στις αρχές προστασίας της ιδιωτικής ζωής μπορεί να περιορίζεται, εφόσον αυτό δικαιολογείται λόγω απαιτήσεων εθνικής ασφάλειας, δημοσίου συμφέροντος ή εφαρμογής του νόμου ή μέσω νόμου, κανονιστικής ρύθμισης ή δικαστικής απόφασης. Οι περιορισμοί αυτοί της άσκησης των θεμελιωδών δικαιωμάτων, προκειμένου να είναι έγκυροι, πρέπει να ερμηνεύονται συσταλτικά· πρέπει να προβλέπονται από δημόσια προσβάσιμο νόμο και να είναι αναγκαίοι και αναλογικοί σε μια δημοκρατική κοινωνία. Συγκεκριμένα, η απόφαση του ασφαλούς λιμένα προβλέπει ότι οι εν λόγω περιορισμοί επιτρέπονται μόνον «στο μέτρο που είναι αναγκαίο» για να πληρούνται απαιτήσεις εθνικής ασφάλειας, δημόσιου συμφέροντος και εφαρμογής του νόμου[53]. Ενώ η κατ’εξαίρεσιν επεξεργασία δεδομένων για τους σκοπούς της εθνικής ασφάλειας, του δημοσίου συμφέροντος ή της επιβολής του νόμου επιτρέπεται δυνάμει του συστήματος του ασφαλούς λιμένα, η μεγάλης κλίμακας πρόσβαση, από υπηρεσίες πληροφοριών, στα δεδομένα που διαβιβάζονται προς τις ΗΠΑ στο πλαίσιο εμπορικών συναλλαγών δεν ήταν δυνατό να προβλεφθεί κατά την έκδοση της απόφασης του ασφαλούς λιμένα.

Επιπλέον, για λόγους διαφάνειας και ασφάλειας δικαίου, το Υπουργείο Εμπορίου των ΗΠΑ πρέπει να κοινοποιεί στην Ευρωπαϊκή Επιτροπή οιαδήποτε νομοθετική ή κανονιστική ρύθμιση θα μπορούσε να επηρεάσει την προσχώρηση στις αρχές του ασφαλούς λιμένα για την προστασία της ιδιωτικής ζωής[54]. Η χρήση των εξαιρέσεων θα πρέπει να παρακολουθείται προσεκτικά· οι εξαιρέσεις δεν πρέπει να χρησιμοποιούνται κατά τρόπο που να υπονομεύει την προστασία που παρέχεται από τις αρχές του ασφαλούς λιμένα[55]. Ειδικότερα, η μεγάλης κλίμακας πρόσβαση των αρχών των ΗΠΑ σε δεδομένα που επεξεργάζονται εταιρείες που έχουν αυτοπιστοποιηθεί στον ασφαλή λιμένα, ενδέχεται να υπονομεύει τον εμπιστευτικό χαρακτήρα των ηλεκτρονικών επικοινωνιών.

7.1.        Αναλογικότητα και αναγκαιότητα

Όπως προκύπτει από τα πορίσματα της ad hoc ομάδας εργασίας ΕΕ-ΗΠΑ για την προστασία των δεδομένων, μια σειρά νομικών βάσεων από τη νομοθεσία των ΗΠΑ επιτρέπει την ευρείας κλίμακας συλλογή και επεξεργασία προσωπικών δεδομένων που είναι αποθηκευμένα ή υποβλήθηκαν κατ’ άλλον τρόπο σε επεξεργασία από εταιρείες που εδρεύουν στις ΗΠΑ. Τούτο μπορεί να περιλαμβάνει τα δεδομένα που έχουν διαβιβαστεί από την ΕΕ προς τις ΗΠΑ στο πλαίσιο του συστήματος του ασφαλούς λιμένα, και θέτει το ζήτημα της συνεχούς τήρησης των αρχών ασφαλούς λιμένα. Η μεγάλης κλίμακας φύση των προγραμμάτων αυτών μπορεί να οδηγήσει στην προσπέλαση και περαιτέρω επεξεργασία, από τις αρχές των ΗΠΑ, των δεδομένων που διαβιβάζονται στο πλαίσιο του ασφαλούς λιμένα, κατά τρόπο που να υπερβαίνει το απολύτως αναγκαίο και αναλογικό σε σχέση με την προστασία της εθνικής ασφάλειας, όπως προβλέπει η εξαίρεση που περιλαμβάνει η απόφαση του ασφαλούς λιμένα.

7.2.        Περιορισμοί και δυνατότητες έννομης προστασίας

Όπως προκύπτει από τα πορίσματα της ad hoc ομάδας εργασίας ΕΕ-ΗΠΑ για την προστασία των δεδομένων, οι εγγυήσεις που παρέχει η νομοθεσία των ΗΠΑ αφορούν κυρίως τους πολίτες ή τους νόμιμους κάτοικους των ΗΠΑ. Επιπλέον, τα πρόσωπα, είτε της ΕΕ ή των ΗΠΑ, στα οποία αναφέρονται τα δεδομένα, δεν έχουν δυνατότητα πρόσβασης, διόρθωσης ή διαγραφής δεδομένων, ή διοικητικών ή δικαστικών προσφυγών όσον αφορά τη συλλογή και περαιτέρω επεξεργασία των προσωπικών τους δεδομένων τους που πραγματοποιούνται στο πλαίσιο των προγραμμάτων παρακολούθησης των ΗΠΑ.

7.3.        Διαφάνεια

Οι εταιρείες δεν αναφέρουν συστηματικά στις πολιτικές τους για την προστασία της ιδιωτικής ζωής το πότε εφαρμόζουν εξαιρέσεις από τις αρχές. Οι ιδιώτες και οι εταιρείες, επομένως, δεν γνωρίζουν τι γίνεται με τα δεδομένα τους. Τούτο είναι ιδιαίτερα σημαντικό σε σχέση με τη λειτουργία των εν λόγω προγραμμάτων παρακολούθησης των ΗΠΑ. Συνεπώς, οι Ευρωπαίοι των οποίων τα δεδομένα διαβιβάζονται σε εταιρεία στις ΗΠΑ βάσει του ασφαλούς λιμένα ενδέχεται να μην ενημερώνονται από τις εν λόγω εταιρείες ότι τα δεδομένα τους δύνανται να αποτελέσουν αντικείμενο προσπέλασης[56]. Το γεγονός αυτό εγείρει το ζήτημα της τήρησης των αρχών ασφαλούς λιμένα για τη διαφάνεια. Η διαφάνεια θα πρέπει να εξασφαλίζεται στον υψηλότερο δυνατό βαθμό, χωρίς να τίθεται σε κίνδυνο η εθνική ασφάλεια. Επιπλέον της υφιστάμενης υποχρέωσης των εταιρειών να αναφέρουν, στις πολιτικές τους περί προστασίας της ιδιωτικής ζωής, εάν οι αρχές ασφαλούς λιμένα μπορούν να περιοριστούν από νομοθετικές, κανονιστικές ή νομολογιακές διατάξεις, οι εταιρείες θα πρέπει επίσης να ενθαρρυνθούν να αναφέρουν, στις πολιτικές τους περί προστασίας της ιδιωτικής ζωής, το πότε εφαρμόζουν εξαιρέσεις από τις αρχές ώστε να πληρούνται απαιτήσεις εθνικής ασφάλειας, δημοσίου συμφέροντος ή εφαρμογής του νόμου.

8.           Συμπεράσματα και συστάσεις

Από την έκδοσή της, το 2000, έως σήμερα, η απόφαση του ασφαλούς λιμένα έχει καταστεί όχημα για ροές προσωπικών δεδομένων μεταξύ ΕΕ και ΗΠΑ. Η σημασία της αποτελεσματικής προστασίας σε περίπτωση διαβίβασης προσωπικών δεδομένων έχει αυξηθεί λόγω της αλματώδους αύξησης των ροών δεδομένων, οι οποίες έχουν καθοριστική σημασία για την ψηφιακή οικονομία, και λόγω των πολύ σημαντικών εξελίξεων όσον αφορά τη συλλογή, την επεξεργασία και τη χρήση δεδομένων. Διαδικτυακές εταιρείες, όπως η Google, η Facebook, η Microsoft, η Apple, η Yahoo, διαθέτουν εκατοντάδες εκατομμυρίων πελατών στην Ευρώπη και διαβιβάζουν προσωπικά δεδομένα για επεξεργασία στις ΗΠΑ σε κλίμακα η οποία ήταν αδιανόητη το 2000, όταν δημιουργήθηκε το σύστημα του ασφαλούς λιμένα.

Λόγω των αδυναμιών όσον αφορά την διαφάνεια και την εφαρμογή του διακανονισμού, ειδικά προβλήματα εξακολουθούν να υφίστανται και θα πρέπει να αντιμετωπιστούν:

α)      διαφάνεια των πολιτικών των μελών του ασφαλούς λιμένα περί προστασίας της ιδιωτικής ζωής,

β)      αποτελεσματική εφαρμογή των αρχών προστασίας της ιδιωτικής ζωής από εταιρείες στις ΗΠΑ, και

γ)      αποτελεσματικότητα όσον αφορά την επιβολή των διατάξεων.

Επιπλέον, η μεγάλης κλίμακας πρόσβαση των υπηρεσιών πληροφοριών σε δεδομένα που διαβιβάζονται προς τις ΗΠΑ από εταιρείες που διαθέτουν πιστοποίηση ασφαλούς λιμένα εγείρει πρόσθετα σοβαρά ερωτήματα όσον αφορά τη συνέχεια των δικαιωμάτων προστασίας δεδομένων των Ευρωπαίων όταν τα δεδομένα τους διαβιβάζονται στις ΗΠΑ.

Με βάση τα προαναφερθέντα, η Επιτροπή κατέληξε στις ακόλουθες συστάσεις:

Διαφάνεια

1. Οι αυτοπιστοποιούμενες εταιρείες πρέπει να δημοσιοποιούν τις πολιτικές τους περί προστασίας της ιδιωτικής ζωής. Δεν αρκεί οι εταιρείες να παρέχουν στο Υπουργείο Εμπορίου των ΗΠΑ περιγραφή της πολιτικής τους περί προστασίας της ιδιωτικής ζωής. Οι πολιτικές περί προστασίας της ιδιωτικής ζωής πρέπει να δημοσιοποιούνται στους ιστοχώρους των εταιρειών, σε σαφή και ευδιάκριτη γλώσσα.

2. Οι πολιτικές περί προστασίας της ιδιωτικής ζωής των ιστοχώρων εταιρειών που έχουν αυτοπιστοποιηθεί πρέπει οπωσδήποτε να περιλαμβάνουν σύνδεσμο προς τον ιστοχώρο ασφαλούς λιμένα του Υπουργείο Εμπορίου των ΗΠΑ, ο οποίος αναγράφει όλα τα εν ενεργεία μέλη του συστήματος. Αυτό θα επιτρέπει στους Ευρωπαίους ενδιαφερόμενους να εξακριβώνουν αμέσως, χωρίς πρόσθετες έρευνες, εάν μια εταιρεία είναι εν ενεργεία μέλος του ασφαλούς λιμένα. Θα συμβάλει επίσης στη μεγαλύτερη αξιοπιστία του συστήματος, εφόσον θα μειωθούν οι δυνατότητες ψευδών δηλώσεων περί τηρήσεως του ασφαλούς λιμένα. Το Υπουργείο Εμπορίου των ΗΠΑ άρχισε από τον Μάρτιο του 2013 να το ζητά από τις εταιρείες, αλλά η διαδικασία αυτή θα πρέπει να εντατικοποιηθεί.

3. Οι αυτοπιστοποιούμενες εταιρείες πρέπει να δημοσιοποιούν τις ρήτρες περί προστασίας της ιδιωτικής ζωής που περιλαμβάνουν τυχόν συμβάσεις που συνάπτουν με υπεργολήπτες, π.χ. παρόχους υπηρεσιών νέφους. Το σύστημα του ασφαλούς λιμένα επιτρέπει περαιτέρω διαβιβάσεις από αυτοπιστοποιούμενες εταιρείες ασφαλούς λιμένα σε τρίτους που ενεργούν ως «πράκτορες», π.χ. σε παρόχους υπηρεσιών νέφους. Κατά την αντίληψή μας, στις περιπτώσεις αυτές, το Υπουργείο Εμπορίου των ΗΠΑ απαιτεί από τις εταιρείες που έχουν αυτοπιστοποιηθεί να συνάπτουν σύμβαση. Ωστόσο, όταν συνάπτει την εν λόγω σύμβαση, μία εταιρεία ασφαλούς λιμένα πρέπει επίσης να ενημερώνει το Υπουργείο Εμπορίου των ΗΠΑ και να υποχρεούται να δημοσιοποιεί τις εγγυήσεις για την προστασία της ιδιωτικής ζωής.

4. Σαφής επισήμανση, στον ιστοχώρο του Υπουργείου Εμπορίου των ΗΠΑ, όλων των εταιρειών που δεν είναι εν ενεργεία μέλη του συστήματος. Η ένδειξη «Not current» στον κατάλογο των μελών ασφαλούς λιμένα του Υπουργείου Εμπορίου των ΗΠΑ, πρέπει να συνοδεύεται από σαφή προειδοποίηση ότι μια εταιρεία επί του παρόντος δεν πληροί τις απαιτήσεις του ασφαλούς λιμένα. Ωστόσο, στην περίπτωση «Not current» η εταιρεία είναι υποχρεωμένη να συνεχίσει να εφαρμόζει τις απαιτήσεις του ασφαλούς λιμένα για τα δεδομένα που της έχουν κοινοποιηθεί βάσει του ασφαλούς λιμένα.

Έννομη προστασία

5. Οι πολιτικές περί προστασίας της ιδιωτικής ζωής σε ιστοχώρους εταιρειών θα πρέπει να περιλαμβάνουν σύνδεση προς τον πάροχο εναλλακτικής επίλυσης διαφορών (ΕΕΔ) και/ή το πάνελ της ΕΕ. Τούτο θα επιτρέψει στα πρόσωπα, από την Ευρώπη, στα οποία αναφέρονται τα δεδομένα να επικοινωνήσουν αμέσως με τον πάροχο ΕΕΔ ή το πάνελ της ΕΕ σε περίπτωση προβλημάτων. Το Υπουργείο Εμπορίου των ΗΠΑ άρχισε από τον Μάρτιο του 2013 να το ζητά από τις εταιρείες, αλλά η διαδικασία αυτή θα πρέπει να εντατικοποιηθεί.

6. Οι υπηρεσίες ΕΕΔ πρέπει να είναι άμεσα διαθέσιμες και προσιτές. Ορισμένοι πάροχοι υπηρεσιών ΕΕΔ στο σύστημα του ασφαλούς λιμένα εξακολουθούν να εισπράττουν τέλη από ιδιώτες — τα οποία μπορεί να είναι πολύ υψηλά για έναν μεμονωμένο χρήστη — για την εξέταση της καταγγελίας ($ 200-250). Αντίθετα, στην Ευρώπη η πρόσβαση στο πάνελ προστασίας των δεδομένων που προβλέπεται για την επίλυση καταγγελιών στο πλαίσιο του ασφαλούς λιμένα είναι δωρεάν.

7. Το Υπουργείο Εμπορίου των ΗΠΑ πρέπει να παρακολουθεί πιο συστηματικά τους παρόχους υπηρεσιών εναλλακτικής επίλυσης διαφορών όσον αφορά τη διαφάνεια και την προσβασιμότητα των πληροφοριών που παρέχουν σχετικά με τις διαδικασίες που χρησιμοποιούν και τη συνέχεια που δίνουν στις καταγγελίες. Τούτο καθιστά την επίλυση διαφορών αποτελεσματικό και αξιόπιστο μηχανισμό. Πρέπει να υπογραμμιστεί και πάλι ότι η δημοσίευση των παραβάσεων θα πρέπει να περιληφθεί στο σύνολο των υποχρεωτικών κυρώσεων των παρόχων ΕΕΔ.

Επιβολή

8. Μετά την πιστοποίηση ή τη νέα πιστοποίηση των εταιρειών στο πλαίσιο του ασφαλούς λιμένα, ένα ποσοστό των εν λόγω εταιρειών θα πρέπει να υπόκειται σε αυτεπάγγελτες έρευνες για να διαπιστωθεί η πραγματική συμμόρφωση των πολιτικών τους περί προστασίας της ιδιωτικής ζωής (πέραν του ελέγχου συμμόρφωσης προς τις τυπικές απαιτήσεις).

9. Όταν εντοπιστεί περίπτωση μη συμμόρφωσης, κατόπιν καταγγελίας ή έρευνας, η οικεία εταιρεία θα πρέπει να υπόκειται σε ειδική έρευνα παρακολούθησης έπειτα από ένα έτος.

10. Σε περίπτωση αμφιβολιών σχετικά με τη συμμόρφωση μιας εταιρείας ή εκκρεμών καταγγελιών, το Υπουργείο Εμπορίου των ΗΠΑ πρέπει να ενημερώνει την αρμόδια αρχή της ΕΕ για την προστασία των δεδομένων.

11. Οι ψευδείς δηλώσεις περί τηρήσεως του ασφαλούς λιμένα θα πρέπει να εξακολουθήσουν να διερευνώνται. Μια εταιρεία που ισχυρίζεται στον ιστοχώρο της ότι συμμορφώνεται με τις απαιτήσεις του ασφαλούς λιμένα αλλά δεν είναι καταχωρημένη από το Υπουργείο Εμπορίου των ΗΠΑ ως εν ενεργεία μέλος του συστήματος παραπλανά τους καταναλωτές και καταχράται την εμπιστοσύνη τους. Οι ψευδείς ισχυρισμοί αποδυναμώνουν την αξιοπιστία του συστήματος στο σύνολό του και, ως εκ τούτου, πρέπει να αφαιρούνται αμέσως από τους ιστοχώρους των εταιρειών.

Πρόσβαση των αρχών των ΗΠΑ

12. Οι πολιτικές περί προστασίας της ιδιωτικής ζωής των αυτοπιστοποιούμενων εταιρειών πρέπει να περιλαμβάνουν πληροφορίες σχετικά με το βαθμό στον οποίον το δίκαιο των ΗΠΑ επιτρέπει στις δημόσιες αρχές να συλλέγουν και να επεξεργάζονται δεδομένα που διαβιβάζονται στο πλαίσιο του ασφαλούς λιμένα. Μεταξύ άλλων, οι εταιρείες θα πρέπει να ενθαρρυνθούν να αναφέρουν, στις πολιτικές τους περί προστασίας της ιδιωτικής ζωής, το πότε εφαρμόζουν εξαιρέσεις από τις αρχές ώστε να πληρούνται απαιτήσεις εθνικής ασφάλειας, δημοσίου συμφέροντος ή εφαρμογής του νόμου.

13. Είναι σημαντικό η εξαίρεση για λόγους εθνικής ασφαλείας που προβλέπεται από την απόφαση του ασφαλούς λιμένα να χρησιμοποιείται μόνο στον βαθμό που είναι απολύτως αναγκαία ή αναλογική.

[1]               Τα άρθρα 25 και 26 της οδηγίας περί προστασίας των δεδομένων ορίζουν το νομικό πλαίσιο που διέπει τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα από την ΕΕ σε τρίτες χώρες εκτός του ΕΟΧ.

[2]               Πρόσθετοι κανόνες θεσπίσθηκαν με το άρθρο 13 της απόφασης πλαισίου 2008/977/ΔΕΥ, της 27ης Νοεμβρίου 2008, για την προστασία των δεδομένων προσωπικού χαρακτήρα που τυγχάνουν επεξεργασίας στο πλαίσιο της αστυνομικής και δικαστικής συνεργασίας σε ποινικές υποθέσεις, στο βαθμό που οι εν λόγω διαβιβάσεις αφορούν δεδομένα προσωπικού χαρακτήρα που διαβιβάσθηκαν ή διατέθηκαν από ένα κράτος μέλος σε άλλο κράτος μέλος, το οποίο στη συνέχεια σκοπεύει να διαβιβάσει τα δεδομένα αυτά σε τρίτο κράτος ή διεθνή φορέα για λόγους πρόληψης, διερεύνησης, διαπίστωσης ή δίωξης αξιόποινων πράξεων ή εκτέλεσης ποινικών κυρώσεων.

[3]               Απόφαση 2000/520/ΕΚ της Επιτροπής, της 26ης Ιουλίου 2000, βάσει της οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με την επάρκεια της προστασίας που παρέχεται από τις αρχές ασφαλούς λιμένα για την προστασία της ιδιωτικής ζωής και τις συναφείς συχνές ερωτήσεις που εκδίδονται από το Υπουργείο Εμπορίου των ΗΠΑ, ΕΕ 215 της 25.8.2000, σ. 7.

[4]               Τα παραπάνω δεν αποκλείουν την εφαρμογή, όσον αφορά την επεξεργασία δεδομένων, άλλων προϋποθέσεων που ενδέχεται να προβλέπονται από την εθνική νομοθεσία για την εφαρμογή της οδηγίας της ΕΕ περί προστασίας δεδομένων.

[5]               Οι διαβιβάσεις δεδομένων από τα τρία κράτη που είναι συμβαλλόμενα μέρη της συμφωνίας ΕΟΧ επηρεάζονται παρόμοια, μετά την επέκταση της οδηγίας 95/46/ΕΚ στη συμφωνία ΕΟΧ, απόφαση αριθ. 83/1999 της 25ης Ιουνίου 1999, ΕΕ L 296 της 23.11.2000, σ. 41.

[6]               Σύμφωνα με ορισμένες μελέτες, εάν επρόκειτο να διαταραχθούν η ροή των υπηρεσιών και οι διασυνοριακές ροές δεδομένων από την ασυνέχεια των δεσμευτικών κανόνων για τις εταιρείες, από τις τυποποιημένες συμβατικές ρήτρες και από τις ρυθμίσεις περί του ασφαλούς λιμένα, ο αρνητικός αντίκτυπος στο ΑΕΠ της ΕΕ θα μπορούσε να φθάσει σε - 0,8% έως - 1,3%, ενώ οι εξαγωγές υπηρεσιών της ΕΕ προς τις ΗΠΑ θα σημείωναν πτώση κατά - 6,7%, λόγω της απώλειας ανταγωνιστικότητας. Βλέπε τη μελέτη με τίτλο «Η οικονομική σημασία της ορθής προστασίας των δεδομένων» [«The Economic Importance of Getting Data Protection Right»], η οποία εκπονήθηκε από το Ευρωπαϊκό Κέντρο Διεθνούς Πολιτικής Οικονομίας για το Εμπορικό Επιμελητήριο των ΗΠΑ, τον Μάρτιο του 2013.

[7]               Μελέτη εκτίμησης των επιπτώσεων που εκπονήθηκε για την Ευρωπαϊκή Επιτροπή το 2008 από το Centre de Recherche Informatique et Droit ('CRID') του Πανεπιστημίου του Namur.

[8]               Έγγραφο εργασίας των υπηρεσιών της Επιτροπής με τίτλο «Η εφαρμογή της απόφασης 2000/520/ΕΚ της Επιτροπής, της 26ης Ιουλίου 2000, βάσει της οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με την επάρκεια της προστασίας που παρέχεται από τις αρχές ασφαλούς λιμένα για την προστασία της ιδιωτικής ζωής και τις συναφείς συχνές ερωτήσεις που εκδίδονται από το Υπουργείο Εμπορίου των ΗΠΑ», SEC (2002) 196 της 13.12.2002.

[9]               Έγγραφο εργασίας των υπηρεσιών της Επιτροπής με τίτλο «Η εφαρμογή της απόφασης 2000/520/ΕΚ της Επιτροπής σχετικά με την επαρκή προστασία των προσωπικών δεδομένων που παρέχεται από τις αρχές ασφαλούς λιμένα για την προστασία της ιδιωτικής ζωής και τις συναφείς συχνές ερωτήσεις που εκδίδονται από το Υπουργείο Εμπορίου των ΗΠΑ», SEC (2004) 1323 της 20.10.2004.

[10]             Εάν η πιστοποίηση ή η επαναπιστοποίηση κάποιας εταιρείας δεν ανταποκρίνονται στις απαιτήσεις περί ασφαλούς λιμένα, το Υπουργείο Εμπορίου απευθύνει σχετική κοινοποίηση στην εταιρεία αξιώνοντας τη λήψη μέτρων (π.χ., διευκρινίσεις, αλλαγές στην περιγραφή της πολιτικής) πριν επιτραπεί να οριστικοποιηθεί η πιστοποίηση της εταιρείας.

[11]             Βάσει του Τίτλου 49 του United States Code, Section 41712 (Τμήματος 41712 του Κώδικα των Ηνωμένων Πολιτειών).

[12]             Μπορεί, ειδικότερα, να επιβάλλεται η αναστολή των διαβιβάσεων σε δύο περιπτώσεις κατά τις οποίες:

α) ο κρατικός φορέας στις ΗΠΑ κρίνει ότι η εταιρεία παραβιάζει τις αρχές του ασφαλούς λιμένα για την προστασία της ιδιωτικής ζωής· ή

β) όταν υπάρχει σοβαρή πιθανότητα παραβίασης των αρχών του ασφαλούς λιμένα για την προστασία της ιδιωτικής ζωής• όταν υπάρχουν στοιχεία από τα οποία προκύπτει βασίμως ότι ο σχετικός φορέας εφαρμογής δεν λαμβάνει ή δεν θα λάβει κατάλληλα και έγκαιρα μέτρα για τη διευθέτηση του προβλήματος· όταν η συνέχιση της διαβίβασης δεδομένων δημιουργεί άμεσο κίνδυνο πρόκλησης σοβαρής ζημίας στα άτομα στα οποία αναφέρονται τα δεδομένα· και όταν οι αρμόδιες αρχές του κράτους μέλους κατέβαλαν, υπό τις συγκεκριμένες περιστάσεις, κάθε δυνατή προσπάθεια για να ενημερώσουν σχετικά τον οργανισμό και να του δώσουν τη δυνατότητα να απαντήσει.

[13]             Στις 26 Σεπτεμβρίου 2013, ο αριθμός οργανώσεων ασφαλούς λιμένα που κατατάσσονταν στις «εν ενεργεία» στον κατάλογο του ασφαλούς λιμένα ανερχόταν σε 3246, ενώ ο αριθμός εκείνων που κατατάσσονται στις «ανενεργές» ανερχόταν σε 935.

[14]             Οργανώσεις ασφαλούς λιμένα με 250 ή λιγότερους εργαζόμενους: 60% (1925 επί 3246). Οργανώσεις ασφαλούς λιμένα με 251 ή περισσότερους εργαζόμενους: 40% (1295 επί 3246).

[15]             Για παράδειγμα, η MasterCard συναλλάσσεται με χιλιάδες τράπεζες και αποτελεί σαφές παράδειγμα περίπτωσης όπου το καθεστώς του ασφαλούς λιμένα δεν μπορεί να αντικατασταθεί από άλλες νομικές πράξεις για τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα, όπως από δεσμευτικούς κανόνες για τις εταιρείες ή από συμβατικές ρυθμίσεις.

[16]             Οργανώσεις ασφαλούς λιμένα που καλύπτουν την οργάνωση των δεδομένων των ανθρώπινων πόρων στο πλαίσιο της πιστοποίησής τους ασφαλούς λιμένα (και έχουν ως εκ τούτου συμφωνήσει να συνεργάζονται και να συμμορφώνονται με τις αρχές προστασίας δεδομένων της ΕΕ): 51% (1671 επί 3246).

[17]             Βλέπε την απόφαση του Düsseldorfer Kreis της 28ης/29ης Απριλίου 2010. Βλέπε την απόφαση των ανώτατων εποπτικών αρχών της 28ης/29ης Απριλίου 2010 στο Ανόβερο για την προστασία των δεδομένων στον μη προσπελάσιμο στο κοινό χώρο: http://www.bfdi.bund.de/SharedDocs/Publikationen/Entschliessungssammlung/DuesseldorferKreis/290410_SafeHarbor.pdf?__blob=publicationFile Ωστόσο, ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων (ΕΕΠΔ) Peter Hustinx εξέφρασε την άποψη, κατά την ακρόαση ενώπιον της εξεταστικής επιτροπής LIBE στο Ευρωπαϊκό Κοινοβούλιο, στις 7 Οκτωβρίου 2013, ότι «έχει σημειωθεί σημαντική βελτίωση και ότι τα περισσότερα ζητήματα έχουν πλέον διευθετηθεί» στο βαθμό που αυτό αφορά το καθεστώς του ασφαλούς λιμένα: https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/EDPS/Publications/Speeches/2013/13-10-07_Speech_LIBE_PH_EN.pdf

[18]             Βλέπε το ψήφισμα της γερμανικής διάσκεψης των Επιτρόπων προστασίας δεδομένων στο οποίο τονίζεται ότι οι υπηρεσίες πληροφοριών αποτελούν τεράστια απειλή για τη διακίνηση δεδομένων μεταξύ της Γερμανίας και των χωρών εκτός της Ευρώπης: http://www.bfdi.bund.de/EN/Home/homepage_Kurzmeldungen/PMDSK_SafeHarbor.html?nn=408870

[19]             Βλέπε την ανακοίνωση της ΑΠΔ του Λουξεμβούργου στον Τύπο, στις 18 Νοεμβρίου 2013.

[20]             http://www.export.gov/SafeHarbour/

[21]             https://SafeHarbour.export.gov/list.aspx

[22]             Ο Οδηγός είναι διαθέσιμος στο δικτυακό τόπο του προγράμματος στη διεύθυνση: http://export.gov/SafeHarbour/ Χρήσιμες υποδείξεις: http://export.gov/SafeHarbour/eu/eg_main_018495.asp

[23]             Στις 12 Νοεμβρίου 2013, το Υπουργείο Εμπορίου επιβεβαίωσε ότι «στις ημέρες μας, οι εταιρείες που έχουν δημόσιους ιστοχώρους και καλύπτουν δεδομένα που αφορούν τους καταναλωτές/πελάτες/επισκέπτες πρέπει να εντάσσουν την συμβατή με το σύστημα του ασφαλούς λιμένα πολιτική που ακολουθούν στα θέματα της προστασίας της ιδιωτικής ζωής στους αντίστοιχους ιστοχώρους τους» (έγγραφο με τίτλο: «Η συνεργασία ΗΠΑ-ΕΕ για την εφαρμογή του πλαισίου του ασφαλούς λιμένα» [«U.S.-EU Cooperation to Implement the Safe Harbor Framework»] της 12ης Νοεμβρίου 2013).

[24]             Τον Σεπτέμβριο του 2013, η αυστραλιανή εταιρεία παροχής συμβουλών Galexia προέβη σε σύγκριση των «ψευδών ισχυρισμών» όσον αφορά την ιδιότητα του μέλους στο σύστημα του ασφαλούς λιμένα κατά το 2008 και το 2013. Το κύριο πόρισμά της ήταν ότι, παράλληλα με την αύξηση του αριθμού των μελών του συστήματος του ασφαλούς λιμένα μεταξύ 2008 και 2013 (από 1.109 σε 3.246), ο αριθμός των ψευδών ισχυρισμών αυξήθηκε από 206 σε 427. http://www.galexia.com/public/about/news/about_news-id225.html

[25]             Κατά το χρονικό διάστημα μεταξύ Μαρτίου και Σεπτεμβρίου 2013, το Υπουργείο Εμπορίου:

• είχε ειδοποιήσει τις 101 εταιρείες οι οποίες είχαν ήδη αναρτήσει την συμβατή πολιτική τους για την προστασία της ιδιωτικής ζωής στα θέματα του ασφαλούς λιμένα στον ιστοχώρο περί ασφαλούς λιμένα ότι πρέπει επίσης να αναρτήσουν την πολιτική τους στα θέματα της προστασίας της ιδιωτικής ζωής στους ιστοχώρους της εταιρείας τους·

• είχε ειδοποιήσει τις 154 εταιρείες που δεν το είχαν ήδη πράξει, ότι θα πρέπει να συμπεριλάβουν σύνδεσμο με τον ιστοχώρο περί ασφαλούς λιμένα στην πολιτική τους στα θέματα της προστασίας της ιδιωτικής ζωής·

• είχε ειδοποιήσει περισσότερες από 600 εταιρείες ότι θα πρέπει να συμπεριλάβουν στοιχεία επικοινωνίας για τον ανεξάρτητο φορέα επίλυσης διαφορών τους στην πολιτική τους στα θέματα της προστασίας της ιδιωτικής ζωής.

[26]             Βλέπε σελίδα 8 της έκθεσης του 2004 SEC (2004) 1323.

[27]             Σύμφωνα με τα στατιστικά στοιχεία που δόθηκαν από το Υπουργείο Εμπορίου (ΥΕ) τον Σεπτέμβριο του 2013, το ΥΕ έστειλε το 2010 κοινοποιήσεις σε 18% (93) από τους 512 φορείς αρχικής πιστοποίησης και σε 16% (231) από τους 1.417 φορείς ανανέωσης της πιστοποίησης ζητώντας τους να επιφέρουν βελτιώσεις στις πολιτικές τους που εφαρμόζουν στα θέματα της προστασίας της ιδιωτικής ζωής και/ή στις εφαρμογές τους περί ασφαλούς λιμένα. Ωστόσο, η έμπρακτη συνέχεια που δόθηκε στα αιτήματα της Επιτροπής για αυστηρή, ενδελεχή και συστηματική διεξοδική εξέταση όλων των αιτήσεων έως τα μέσα Σεπτεμβρίου 2013, ήταν ότι το ΥΕ έστειλε κοινοποιήσεις σε 56% (340) από τους 602 φορείς αρχικής πιστοποίησης και σε 27% (493) από τους 1.809 φορείς ανανέωσης της πιστοποίησης, ζητώντας τους να επιφέρουν βελτιώσεις στις πολιτικές τους που εφαρμόζουν στα θέματα της προστασίας της ιδιωτικής ζωής.

[28]             Βλέπε την ακρόαση του Chris Connolly (Galexia) ενώπιον της εξεταστικής Επιτροπής LIBE του Ευρωπαϊκού Κοινοβουλίου στις 7 Οκτωβρίου του 2013.

[29]             Όπως εμφανιζόταν η εικόνα τον Δεκέμβριο του 2011, το Υπουργείο Εμπορίου των ΗΠΑ είχε διαγράψει 323 εταιρείες από τον κατάλογο των εταιρειών του ασφαλούς λιμένα: 94 εταιρείες αφαιρέθηκαν επειδή δεν ασκούσαν πλέον επιχειρηματικές δραστηριότητες• 88 εταιρείες λόγω εξαγοράς ή συγχώνευσης, 95 κατόπιν αιτήματος της μητρικής εταιρίας• 41 εταιρείες αφαιρέθηκαν εξαιτίας της επαναλαμβανόμενης αδυναμίας υποβολής αιτήματος επαναπιστοποίησης, ενώ 5 επιχειρήσεις διαγράφηκαν για διάφορους λόγους.

[30]             Το Πάνελ Προστασίας Δεδομένων της ΕΕ είναι το όργανο που είναι αρμόδιο για τη διερεύνηση και την επίλυση των καταγγελιών που υποβάλλονται από ιδιώτες για εικαζόμενη παράβαση των αρχών του ασφαλούς λιμένα από μια εταιρία των ΗΠΑ που είναι μέλος του ασφαλούς λιμένα. Οι εταιρείες που πιστοποιούν την τήρηση των αρχών ασφαλούς λιμένα πρέπει να επιλέξουν είτε να συμμορφωθούν με ανεξάρτητο μηχανισμό προσφυγής ή να συνεργαστούν με το Πάνελ Προστασίας Δεδομένων της ΕΕ, προκειμένου να αντιμετωπισθούν τα προβλήματα που προκύπτουν από τη μη συμμόρφωση με τις αρχές του ασφαλούς λιμένα. Η συνεργασία με το Πάνελ Προστασίας Δεδομένων της ΕΕ είναι ωστόσο υποχρεωτική όταν η εταιρεία των ΗΠΑ επεξεργάζεται δεδομένα προσωπικού χαρακτήρα σχετικά με το ανθρώπινο δυναμικό τα οποία διαβιβάζονται από την ΕΕ στο πλαίσιο εργασιακής σχέσης. Αν η εταιρεία δεσμεύεται να συνεργάζεται με το Πάνελ της ΕΕ, πρέπει επίσης να δεσμευθεί να συμμορφωθεί με οποιαδήποτε συμβουλή η οποία παρέχεται από το Πάνελ της ΕΕ, όταν πρεσβεύει την άποψη ότι η εταιρεία πρέπει να λάβει συγκεκριμένα μέτρα προκειμένου να συμμορφωθεί με τις αρχές του ασφαλούς λιμένα, συμπεριλαμβανομένων μέτρων αποκατάστασης ή αποζημίωσης.

[31]             Το Υπουργείο Μεταφορών ασκεί παρόμοιες δικαιοδοσίες σε σχέση με τους αερομεταφορείς σύμφωνα με τον τίτλο 49 του τμήματος 41712 του κώδικα των ΗΠΑ.

[32]             Η καταγγελία προέρχεται από Ελβετό πολίτη και παραπέμφθηκε ως εκ τούτου από το Πάνελ Προστασίας Δεδομένων της ΕΕ στην ελβετική Αρχή Προστασίας Δεδομένων (Οι ΗΠΑ διαθέτουν χωριστό καθεστώς ασφαλούς λιμένα για την Ελβετία).

[33]             Βλέπε Παράρτημα V της απόφασης 2000/520/ΕΚ της Επιτροπής, της 26ης Ιουλίου 2000.

[34]             Κατά την περίοδο 2009-2012 η Ομοσπονδιακή Επιτροπή Εμπορίου έχει ολοκληρώσει δέκα διαδικασίες επιβολής των δεσμεύσεων που απορρέουν από τη νομοθεσία του ασφαλούς λιμένα: FTC κατά Javian Karnani, και Balls of Kryptonite, LLC (2009), World Innovators, Inc. (2009), Expat Edge Partners, LLC (2009), Onyx Graphics, Inc. (2009), Directors Desk LLC (2009), Progressive Gaitways LLC (2009), Collectify LLC (2009), Google Inc. (2011), Facebook, Inc. (2011), Myspace LLC (2012). Βλέπε: “Federal Trade Commission of Safe Harbour Commitments”: http://export.gov/build/groups/public/@eg_main/@SafeHarbour/documents/webcontent/eg_main_052211.pdf Βλέπε επίσης: “Case Highlights”: http://business.ftc.gov/us-eu-Safe-Harbour-framework. Οι περισσότερες από τις υποθέσεις αυτές είχαν ως αντικείμενο προβλήματα με εταιρείες που είχαν προσχωρήσει στο ασφαλή λιμένα αλλά στη συνέχεια εξακολούθησαν να φέρονται ως μέλη χωρίς να έχουν ανανεώσει την ετήσια πιστοποίηση.

[35]             Η εν λόγω δέσμευση επιβεβαιώθηκε κατά τη συνάντηση του Επιτρόπου της Ομοσπονδιακής Επιτροπής Εμπορίου, Julie Brill, με τις αρχές προστασίας δεδομένων της ΕΕ (ομάδα εργασίας του άρθρου 29) στις Βρυξέλλες, στις 17 Απριλίου 2013.

[36]             http://www.dataprotection.ie/viewdoc.asp?Docid=1317&Catid=66&StartDate=1+January+2013&m=n

[37]             Οι καταναλωτές μπορούν να υποβάλλουν τις καταγγελίες τους μέσω του ιστοχώρου https://www.ftccomplaintassistant.gov/ ενώ οι καταναλωτές του εξωτερικού μπορούν να υποβάλλουν καταγγελίες μέσω του ιστοχώρου http://www.econsumer.gov

[38]             http://www.ftc.gov/os/caselist/0923081/090806karnanicmpt.pdf

[39]             http://www.ftc.gov/speeches/brill/131029europeaninstituteremarks.pdf και http://www.ftc.gov/speeches/ramirez/131029tacdremarks.pdf

[40]             Επιστολή της Προέδρου της Ομοσπονδιακής Επιτροπής Εμπορίου, Edith Ramirez, στην Αντιπρόεδρο Viviane Reding.

[41]             Επιστολή της Προέδρου της Ομοσπονδιακής Επιτροπής Εμπορίου, Edith Ramirez, στην Αντιπρόεδρο Viviane Reding.

[42]             “U.S.-EU Cooperation to Implement the Safe Harbor Framework”, 12 Νοεμβρίου 2013.

[43]             Εν συνεχεία της έκθεσης του 2004, η Επιτροπή (ΓΔ Δικαιοσύνης) δημοσίευσε στον ιστοχώρο της ενημερωτικό σημείωμα υπό μορφήν ερωταπαντήσεων σχετικά με το πάνελ προστασίας των δεδομένων. Στόχος της ήταν η ευαισθητοποίηση των πολιτών και η παροχή βοήθειας για την υποβολή καταγγελίας όταν ένας πολίτης θεωρεί ότι τα προσωπικά του δεδομένα υπέστησαν επεξεργασία κατά παράβαση των αρχών του ασφαλούς λιμένα. http://ec.europa.eu/justice/policies/privacy/docs/adequacy/information_Safe_harbour_en.pdf

                Το τυποποιημένο έντυπο καταγγελίας διατίθεται στη διεύθυνση http://ec.europa.eu/justice/policies/privacy/docs/adequacy/ complaint_form_en.pdf

[44]             Οι παρατηρήσεις που η ETNO απέστειλε στις υπηρεσίες της Επιτροπής στις 4 Οκτωβρίου 2013 πραγματεύονται επίσης: 1) τον ορισμό των προσωπικών δεδομένων στον ασφαλή λιμένα· 2) την έλλειψη παρακολούθησης του ασφαλούς λιμένα, και 3) το γεγονός ότι «οι εταιρείες των ΗΠΑ μπορούν να μεταβιβάζουν δεδομένα με πολύ λιγότερους περιορισμούς από τις αντίστοιχες ευρωπαϊκές», κάτι που «συνιστά σαφή διάκριση κατά των ευρωπαϊκών επιχειρήσεων και επηρεάζει την ανταγωνιστικότητα των ευρωπαϊκών επιχειρήσεων». Δυνάμει του ασφαλούς λιμένα, οι οργανισμοί, για να γνωστοποιούν πληροφορίες σε τρίτο μέρος, πρέπει να εφαρμόζουν τις αρχές της κοινοποίησης και της επιλογής. Όποτε ένας οργανισμός επιθυμεί να διαβιβάσει πληροφορίες σε ένα τρίτο μέρος το οποίο ενεργεί ως πράκτορας, μπορεί να το πράξει αφού εξακριβώσει πρώτα ότι τα τρίτα μέρη τηρούν τις αρχές του ασφαλούς λιμένα ή υπόκεινται στην οδηγία ή σε κάποιο μηχανισμό που να εξασφαλίζει την επάρκεια της προστασίας ή συνάπτει γραπτή συμφωνία με τα τρίτα μέρη που να απαιτεί από τα τελευταία να παρέχουν τουλάχιστον το ίδιο επίπεδο προστασίας της ιδιωτικής ζωής με εκείνο που επιβάλλουν οι συναφείς αρχές του ασφαλούς λιμένα.

[45]             Η οδηγία 2013/11/ΕΕ για την εναλλακτική επίλυση καταναλωτικών διαφορών υπογραμμίζει τη σημασία των ανεξάρτητων, αμερόληπτων, διαφανών, αποτελεσματικών, γρήγορων και δίκαιων διαδικασιών εναλλακτικής επίλυσης διαφορών.

[46]             Για παράδειγμα, ένας σημαντικός πάροχος υπηρεσιών («TRUSTe») ανέφερε ότι έλαβε 881 αιτήματα το 2010, αλλά ότι μόνο τρία κρίθηκαν παραδεκτά και βάσιμα με αποτέλεσμα να ζητηθεί από την εμπλεκόμενη εταιρεία να αλλάξει την πολιτική προστασίας της ιδιωτικής ζωής και τον ιστοχώρο της. Το 2011 οι καταγγελίες έφτασαν τις 879 και σε μία περίπτωση ζητήθηκε από την εμπλεκόμενη εταιρεία να αλλάξει την πολιτική προστασίας της ιδιωτικής ζωής. Σύμφωνα με το Υπουργείο Εμπορίου των ΗΠΑ, η μεγάλη πλειονότητα των καταγγελιών που υποβάλλονται σε φορείς ΕΕΔ είναι αιτήματα καταναλωτών, για παράδειγμα χρηστών που ξέχασαν τον κωδικό πρόσβασης και δεν μπορούσαν να λάβουν τον κωδικό από τον πάροχο υπηρεσιών Διαδικτύου. Κατόπιν αιτημάτων της Επιτροπής, το Υπουργείο Εμπορίου των ΗΠΑ εκπόνησε νέα κριτήρια υποβολής έκθεσης για στατιστικές που θα χρησιμοποιούνται από όλες τις υπηρεσίες ΕΕΔ. Συγκεκριμένα, γίνεται διάκριση μεταξύ απλών αιτημάτων και καταγγελιών και παρέχονται περαιτέρω διευκρινίσεις σχετικά με το είδος των καταγγελιών που υποβάλλονται. Αυτά τα νέα κριτήρια πρέπει πάντως να συζητηθούν περαιτέρω, ώστε να εξασφαλιστεί ότι οι νέες στατιστικές για το 2014 αφορούν όλους τους παρόχους υπηρεσιών ΕΕΔ, είναι συγκρίσιμες και παρέχουν καίριες πληροφορίες για την εκτίμηση της αποτελεσματικότητας του μηχανισμού προσφυγής.

[47]             Το International Centre for Dispute Resolution / American Arbitration Association (ICDR/AAA) χρεώνει $ 200, ενώ το JAMS $ 250 «τέλος κατάθεσης». Το Υπουργείο Εμπορίου των ΗΠΑ ενημέρωσε την Επιτροπή ότι είχε συνεργαστεί με την ΑΑΑ, τον πλέον ακριβό φορέα επίλυσης διαφορών για ιδιώτες, για την εκπόνηση ενός ειδικού προγράμματος ασφαλούς λιμένα που μείωσε το κόστος για τους καταναλωτές από πολλές χιλιάδες δολάρια σε ένα κατ’ αποκοπήν ποσόν 200 $.

[48]             Βλέπε ΣΕ αριθ. 11.

[49]             Παραδείγματα: Η Amazon ενημέρωσε το Υπουργείο Εμπορίου των ΗΠΑ ότι χρησιμοποιεί τα BBB ως φορέα επίλυσης διαφορών. Ωστόσο τα BBB δεν έχουν καταχωρίσει την Amazon στον σχετικό κατάλογο συμμετεχόντων. Αντιστρόφως, η Arsalon Technologies (www.arsalon.net), ένας πάροχος υπηρεσιών νέφους, εμφανίζεται στον κατάλογο συμμετεχόντων στην επίλυση διαφορών ασφαλούς λιμένα των BBB, χωρίς να είναι εν ενεργεία μέλος του ασφαλούς λιμένα (κατάσταση την 1 Οκτωβρίου 2013). Τα BBB, η TRUSTe και άλλοι πάροχοι υπηρεσιών ΕΕΔ πρέπει να διαγράψουν ή να διορθώσουν τις δηλώσεις πιστοποίησης. Πρέπει να δεσμεύονται από μια εκτελεστή απαίτηση να πιστοποιούν μόνον εταιρείες που είναι μέλη του ασφαλούς λιμένα.

[50]             Βλέπε απόφαση της Επιτροπής 2000/520/EC, σ. 7 (Περαιτέρω διαβίβαση).

[51]             Βλέπε: “Clarifications Regarding the U.S.-EU Safe Harbor Framework and Cloud Computing”: http://export.gov/static/Safe%20Harbor%20and%20Cloud%20Computing%20Clarification_April%2012%202013_Latest_eg_main_060351.pdf

[52]             Οι παρατηρήσεις αυτές αφορούν παρόχους υπηρεσιών νέφους που δεν υπάγονται στον ασφαλή λιμένα. Σύμφωνα με την εταιρεία παροχής συμβουλών Galexia, «το επίπεδο προσχώρησης (και συμμόρφωσης) στον ασφαλή λιμένα των παρόχων υπηρεσιών νέφους είναι πολύ υψηλό. Οι πάροχοι υπηρεσιών νέφους κατά κανόνα έχουν πολλαπλά επίπεδα προστασίας της ιδιωτικής ζωής, συχνά συνδυάζοντας απευθείας συμβάσεις με πελάτες και σφαιρικές πολιτικές προστασίας της ιδιωτικής ζωής. Με μία ή δύο σημαντικές εξαιρέσεις, οι πάροχοι υπηρεσιών νέφους στον ασφαλή λιμένα συμμορφώνονται με τις βασικές διατάξεις σχετικά με την επίλυση διαφορών και την επιβολή της νομοθεσίας. Σήμερα, ο κατάλογος των εταιρειών που ισχυρίζονται ψευδώς ότι είναι μέλη του ασφαλούς λιμένα δεν περιλαμβάνει παρόχους υπηρεσιών νέφους». (από την ακρόαση του Chris Connolly της Galexia ενώπιον της εξεταστικής επιτροπής LIBE σχετικά με την «ηλεκτρονική μαζική παρακολούθηση των πολιτών της ΕΕ»)

[53]             Βλέπε Παράρτημα 2 της απόφασης του ασφαλούς λιμένα: «Η προσχώρηση στις εν λόγω αρχές δύναται να περιοριστεί: α) στο μέτρο που είναι αναγκαίο για να πληρούνται απαιτήσεις εθνικής ασφάλειας, δημόσιου συμφέροντος και εφαρμογής του νόμου· β) από νομοθετικές, κυβερνητικές ή νομολογιακές διατάξεις οι οποίες δημιουργούν αντιφατικές υποχρεώσεις ή ρητή έγκριση, υπό τον όρο ότι, κατά την άσκηση οποιασδήποτε παρόμοιας έγκρισης, ο οργανισμός μπορεί να αποδείξει ότι η μη συμμόρφωσή του με τις αρχές περιορίζεται στο μέτρο που είναι αναγκαίο για να πληρούνται τα υπερισχύοντα νόμιμα συμφέροντα τα οποία εξυπηρετεί η εν λόγω έγκριση· ή γ) από εξαιρέσεις ή παρεκκλίσεις τις οποίες προβλέπει η οδηγία ή ο νόμος του κράτους μέλους, εφόσον οι εν λόγω εξαιρέσεις ή παρεκκλίσεις εφαρμόζονται σε συγκρίσιμα πλαίσια. Σε συνέπεια με το στόχο της ενίσχυσης της προστασίας της ιδιωτικής ζωής, οι οργανισμοί οφείλουν να καταβάλλουν κάθε προσπάθεια ώστε να εφαρμόζουν τις αρχές αυτές κατά τρόπο πλήρη και διαφανή, ενώ θα πρέπει επίσης να υποδεικνύουν στις σχετικές με την προστασία της ιδιωτικής ζωής πολιτικές τους, τις περιπτώσεις όπου θα εφαρμόζονται σε τακτική βάση οι εξαιρέσεις από τις αρχές που επιτρέπονται από το στοιχείο β) παραπάνω. Για τον ίδιο λόγο, όταν θα επιτρέπεται η εναλλακτική δυνατότητα βάσει των αρχών ή/και του δικαίου των ΗΠΑ, αναμένεται από τους οργανισμούς να επιλέγουν την υψηλότερη προστασία όπου αυτό είναι δυνατόν.»

[54]             Γνώμη 4/2000 σχετικά με το επίπεδο προστασίας που παρέχουν οι "αρχές ασφαλούς λιμένα", η οποία εκδόθηκε από την ομάδα εργασίας του άρθρου 29 για την προστασία δεδομένων, στις 16 Μαΐου 2000.

[55]             Γνώμη 4/2000 σχετικά με το επίπεδο προστασίας που παρέχουν οι "αρχές ασφαλούς λιμένα", η οποία εκδόθηκε από την ομάδα εργασίας του άρθρου 29 για την προστασία δεδομένων, στις 16 Μαΐου 2000.

[56]             Ορισμένες ευρωπαϊκές εταιρείες του ασφαλούς λιμένα παρέχουν διαφανείς πληροφορίες σχετικά με το θέμα αυτό. Π.χ. η Nokia, η οποία αναπτύσσει δραστηριότητες στις ΗΠΑ και είναι μέλος του ασφαλούς λιμένα, αναφέρει τα εξής στην πολιτική της περί προστασίας της ιδιωτικής ζωής: «Ενδέχεται να υποχρεωθούμε από διάταξη αναγκαστικού δικαίου να αποκαλύψουμε προσωπικά σας δεδομένα σε ορισμένες αρχές ή άλλους τρίτους, π.χ. σε υπηρεσίες επιβολής του νόμου σε χώρες όπου αναπτύσσουν δραστηριότητες η εταιρεία μας ή τρίτοι που ενεργούν για λογαριασμό μας.»