EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 52016XX0715(01)
Executive summary of the opinion of the European Data Protection Supervisor on the EU-US Privacy Shield draft adequacy decision
Συνοπτική παρουσίαση της γνωμοδότησης του Ευρωπαίου Επόπτη Προστασίας Δεδομένων σχετικά με το σχέδιο απόφασης περί επάρκειας της «Ασπίδας προστασίας της ιδιωτικής ζωής ΕΕ – ΗΠΑ»
Συνοπτική παρουσίαση της γνωμοδότησης του Ευρωπαίου Επόπτη Προστασίας Δεδομένων σχετικά με το σχέδιο απόφασης περί επάρκειας της «Ασπίδας προστασίας της ιδιωτικής ζωής ΕΕ – ΗΠΑ»
OJ C 257, 15.7.2016, p. 8–11
(BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
15.7.2016 |
EL |
Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης |
C 257/8 |
Συνοπτική παρουσίαση της γνωμοδότησης του Ευρωπαίου Επόπτη Προστασίας Δεδομένων σχετικά με το σχέδιο απόφασης περί επάρκειας της «Ασπίδας προστασίας της ιδιωτικής ζωής ΕΕ – ΗΠΑ»
[Το πλήρες κείμενο της παρούσας γνωμοδότησης είναι διαθέσιμο στην αγγλική, γαλλική και γερμανική γλώσσα στον δικτυακό τόπο του ΕΕΠΔ www.edps.europa.eu]
(2016/C 257/05)
Οι ροές δεδομένων έχουν οικουμενικό χαρακτήρα. Η ΕΕ δεσμεύεται από τις Συνθήκες και τον Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης, βάσει των οποίων παρέχεται προστασία σε όλα τα πρόσωπα στην ΕΕ. Η ΕΕ υποχρεούται να λαμβάνει όλα τα αναγκαία μέτρα προκειμένου να διασφαλίσει τον σεβασμό των δικαιωμάτων στην ιδιωτική ζωή και στην προστασία των δεδομένων προσωπικού χαρακτήρα σε όλες τις πράξεις επεξεργασίας, συμπεριλαμβανομένων των διαβιβάσεων δεδομένων. Μετά τις αποκαλύψεις του 2013 σχετικά με τις δραστηριότητες παρακολούθησης, η ΕΕ και οι Ηνωμένες Πολιτείες, ως στρατηγικός της εταίρος, επιδιώκουν τη θέσπιση νέας δέσμης προτύπων που θα βασίζονται σε ένα σύστημα αυτοπιστοποίησης και τα οποία θα διέπουν τη διαβίβαση, για εμπορικούς σκοπούς, δεδομένων προσωπικού χαρακτήρα από την ΕΕ στις ΗΠΑ. Σε μια εποχή παγκόσμιων, στιγμιαίων και απρόβλεπτων ροών δεδομένων, ο ΕΕΠΔ αναγνωρίζει, όπως και οι εθνικές αρχές προστασίας δεδομένων στην ΕΕ, την αξία ενός βιώσιμου νομικού πλαισίου για τις εμπορικές διαβιβάσεις δεδομένων μεταξύ της ΕΕ και των ΗΠΑ, οι οποίες αντιπροσωπεύουν τη μεγαλύτερη εμπορική εταιρική σχέση παγκοσμίως. Ωστόσο, το εν λόγω πλαίσιο πρέπει να απηχεί πλήρως τις κοινές δημοκρατικές και ατομικές αξίες που βασίζονται σε κατοχυρωμένα δικαιώματα και οι οποίες, από την πλευρά της ΕΕ, διατυπώνονται στη Συνθήκη της Λισαβόνας και στον Χάρτη των Θεμελιωδών Δικαιωμάτων ενώ, από την πλευρά των ΗΠΑ, στο Σύνταγμα της χώρας. Το σχέδιο για την ασπίδα προστασίας της ιδιωτικής ζωής μπορεί μεν να αποτελεί ένα βήμα προς τη σωστή κατεύθυνση, ωστόσο, κατά τη γνώμη μας, η παρούσα διατύπωσή του δεν περιλαμβάνει σε ικανοποιητικό βαθμό όλες τις κατάλληλες διασφαλίσεις για την προστασία των ενωσιακών δικαιωμάτων του ατόμου στην ιδιωτική ζωή και στην προστασία των δεδομένων, μεταξύ άλλων όσον αφορά την άσκηση δικαστικής προσφυγής. Απαιτούνται σημαντικές βελτιώσεις εφόσον η Ευρωπαϊκή Επιτροπή επιθυμεί να εκδώσει απόφαση επάρκειας. Ειδικότερα, η ΕΕ θα πρέπει να λάβει περαιτέρω διασφαλίσεις όσον αφορά την αναγκαιότητα και την αναλογικότητα, αντί να νομιμοποιεί τη συστηματική πρόσβαση των αρχών των ΗΠΑ σε διαβιβασθέντα δεδομένα βάσει κριτηρίων που έχουν νομική βάση στη δικαιούχο χώρα αλλά όχι στην ΕΕ, όπως επιβεβαιώνεται στις Συνθήκες, στις αποφάσεις της ΕΕ και στις κοινές συνταγματικές παραδόσεις των κρατών μελών. Επιπλέον, σε μια εποχή υψηλής υπερσυνδεσιμότητας και κατανεμημένων δικτύων, η αυτορύθμιση των ιδιωτικών φορέων καθώς επίσης η εκπροσώπηση και οι δεσμεύσεις εκ μέρους δημόσιων αξιωματούχων είναι δυνατόν βραχυπρόθεσμα να διαδραματίζουν κάποιο ρόλο, αλλά μακροπρόθεσμα δεν θα διασφαλίζουν επαρκώς τα δικαιώματα και τα συμφέροντα των προσώπων ούτε θα καλύπτουν τις ανάγκες ενός παγκοσμιοποιημένου ψηφιακού κόσμου όπου πολλές χώρες διαθέτουν πλέον κανόνες προστασίας των δεδομένων. Ως εκ τούτου, θα ήταν ευπρόσδεκτη μια πιο μακροπρόθεσμη λύση στο πλαίσιο του διατλαντικού διαλόγου ώστε να ενσωματωθούν στο δεσμευτικό ομοσπονδιακό δίκαιο τουλάχιστον οι βασικές αρχές των δικαιωμάτων που πρέπει να έχουν οριστεί με σαφήνεια και ακρίβεια, όπως ισχύει σε άλλες χώρες εκτός ΕΕ για τις οποίες έχει προκύψει, κατόπιν «αυστηρής αξιολόγησης», ότι διασφαλίζουν επαρκές επίπεδο προστασίας· πρόκειται για ένα επίπεδο το οποίο στην απόφαση Schrems του ΔΕΕ αποκαλείται «ουσιαστικά ισοδύναμο» με τα πρότυπα που εφαρμόζονται στο πλαίσιο του ενωσιακού δικαίου και το οποίο, σύμφωνα με την ομάδα εργασίας του άρθρου 29 εμπεριέχει «την ουσία των θεμελιωδών ελευθεριών» της προστασίας των δεδομένων. Καταγράφουμε ως θετικό στοιχείο την αυξημένη διαφάνεια που επιδεικνύουν οι αρχές των ΗΠΑ ως προς τη χρήση της εξαίρεσης από τις αρχές που διέπουν την ασπίδα προστασίας της ιδιωτικής ζωής για σκοπούς επιβολής του νόμου, εθνικής ασφάλειας και δημόσιου συμφέροντος. Ωστόσο, ενώ στο πλαίσιο της απόφασης περί ασφαλούς λιμένα που εκδόθηκε το 2000 η πρόσβαση για λόγους εθνικής ασφάλειας αντιμετωπίστηκε επισήμως ως εξαίρεση, στο σχέδιο απόφασης για την ασπίδα προστασίας της ιδιωτικής ζωής η προσοχή που δόθηκε εκ μέρους των αρχών επιβολής του νόμου στην πρόσβαση, το φιλτράρισμα και την ανάλυση δεδομένων προσωπικού χαρακτήρα που έχουν διαβιβαστεί για εμπορικούς σκοπούς υποδεικνύει ότι η εξαίρεση ενδέχεται να έχει γίνει κανόνας. Ειδικότερα, ο ΕΕΠΔ επισημαίνει στο σχέδιο απόφασης και στα παραρτήματά του ότι, παρά την πρόσφατη τάση για στροφή από τις άνευ διακρίσεων παρακολουθήσεις γενικού χαρακτήρα σε πιο στοχευμένες και επιλεγμένες προσεγγίσεις, η έκταση των πληροφοριών σημάτων και ο όγκος των δεδομένων που διαβιβάζονται από την ΕΕ και τα οποία μπορούν δυνητικά να συλλεχθούν και να χρησιμοποιηθούν μετά την ολοκλήρωση της διαβίβασης και κυρίως κατά τη διάρκειά της, ενδέχεται να παραμείνει υψηλός, αφήνοντας συνεπώς περιθώριο για ερωτήματα. Μολονότι οι εν λόγω πρακτικές ενδέχεται επίσης να συνδέονται με υπηρεσίες πληροφοριών ασφαλείας σε άλλες χώρες, και ενώ επικροτούμε τη διαφάνεια των αρχών των ΗΠΑ όσον αφορά αυτή τη νέα πραγματικότητα, το υφιστάμενο σχέδιο απόφασης ενδέχεται να νομιμοποιήσει την εν λόγω διαδικασία. Ενθαρρύνουμε συνεπώς την Ευρωπαϊκή Επιτροπή να στείλει ένα ισχυρότερο μήνυμα: δεδομένων των υποχρεώσεων που έχει αναλάβει η ΕΕ στο πλαίσιο της Συνθήκης της Λισαβόνας, η πρόσβαση και η χρήση, εκ μέρους των δημόσιων αρχών, δεδομένων που έχουν διαβιβαστεί για εμπορικούς σκοπούς, μεταξύ άλλων και κατά τη διαβίβασή τους, θα πρέπει να λαμβάνουν χώρα μόνο σε εξαιρετικές περιστάσεις και εφόσον είναι απαραίτητο για συγκεκριμένους σκοπούς δημόσιου συμφέροντος. Όσον αφορά τις διατάξεις σχετικά με τις διαβιβάσεις για εμπορικούς σκοπούς, δεν θα πρέπει να ζητείται από τους υπεύθυνους επεξεργασίας να αλλάζουν συνεχώς τα μοντέλα συμμόρφωσης. Ωστόσο, το σχέδιο απόφασης στηρίχτηκε στο ισχύον νομικό πλαίσιο της ΕΕ, το οποίο θα αντικατασταθεί από τον κανονισμό (ΕΕ) 2016/679 (Γενικός Κανονισμός για την Προστασία Δεδομένων) τον Μάιο του 2018, λιγότερο από ένα έτος μετά την πλήρη εφαρμογή της ασπίδας προστασίας της ιδιωτικής ζωής από τους υπεύθυνους επεξεργασίας. Ο ΕΕΠΔ καταρτίζει και ενισχύει τις υποχρεώσεις των υπευθύνων επεξεργασίας, οι οποίες εκτείνονται πέραν των εννέα αρχών που θεσπίζονται με βάση την ασπίδα προστασίας της ιδιωτικής ζωής. Ανεξάρτητα από τις τελικές αλλαγές επί του σχεδίου, συνιστούμε στην Ευρωπαϊκή Επιτροπή να προβεί σε ολοκληρωμένη αξιολόγηση των μελλοντικών προοπτικών που έχουν διαμορφωθεί μετά την πρώτη της έκθεση, προκειμένου να προσδιορίσει μέτρα που θα οδηγήσουν σε μακροπρόθεσμες λύσεις προβλέποντας την αντικατάσταση της ασπίδας προστασίας της ιδιωτικής ζωής, εάν θεσπιστεί, με πιο ισχυρά και σταθερά νομικά πλαίσια τα οποία θα ενισχύσουν τις διατλαντικές σχέσεις. Ως εκ τούτου, ο ΕΕΠΔ εκδίδει ειδικές συστάσεις σχετικά με την ασπίδα προστασίας της ιδιωτικής ζωής. |
I. Εισαγωγή
Στις 6 Οκτωβρίου 2015, το Δικαστήριο της Ευρωπαϊκής Ένωσης (εφεξής: ΔΕΕ) ακύρωσε (1) την απόφαση σχετικά με την επάρκεια του ασφαλούς λιμένα (2). Στις 2 Φεβρουαρίου 2016 η Ευρωπαϊκή Επιτροπή κατέληξε σε πολιτική συμφωνία με τις ΗΠΑ σχετικά με ένα νέο πλαίσιο για τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα, τη λεγόμενη ασπίδα προστασίας της ιδιωτικής ζωής ΕΕ – ΗΠΑ (εφεξής: «ασπίδα προστασίας της ιδιωτικής ζωής»). Στις 29 Φεβρουαρίου, η Ευρωπαϊκή Επιτροπή δημοσίευσε σχέδιο απόφασης σχετικά με την επάρκεια αυτού του νέου πλαισίου (εφεξής: σχέδιο απόφασης) (3) και των επτά παραρτημάτων του, στα οποία περιλαμβάνονται οι αρχές που διέπουν την ασπίδα προστασίας της ιδιωτικής ζωής καθώς και οι γραπτές παρατηρήσεις και δεσμεύσεις εκ μέρους των αξιωματούχων και των αρχών των ΗΠΑ. Ο ΕΕΠΔ έλαβε το σχέδιο απόφασης προς διαβούλευση στις 18 Μαρτίου του τρέχοντος έτους.
Ο ΕΕΠΔ έχει διατυπώσει επανειλημμένα τη θέση του σχετικά με τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα μεταξύ της ΕΕ και των ΗΠΑ (4) και έχει συνεισφέρει στη γνωμοδότηση της ομάδας εργασίας του άρθρου 29 (εφεξής: WP29) σχετικά με το σχέδιο απόφασης ως μέλος της παρούσας ομάδας (5). Η WP29 εξέφρασε σοβαρές ανησυχίες και ζήτησε από την Ευρωπαϊκή Επιτροπή να προσδιορίσει λύσεις για την αντιμετώπιση των ζητημάτων αυτών. Τα μέλη της WP29 προσδοκούν ότι θα παρασχεθούν όλες οι διευκρινίσεις που ζητήθηκαν στο πλαίσιο της γνώμης (6). Στις 16 Μαρτίου, 27 μη κερδοσκοπικές οργανώσεις άσκησαν κριτική στο σχέδιο απόφασης με επιστολή που απηύθυναν στις αρχές της ΕΕ και των ΗΠΑ (7). Στις 26 Μαΐου, το Ευρωπαϊκό Κοινοβούλιο εξέδωσε ψήφισμα σχετικά με τις διατλαντικές ροές δεδομένων (8), με το οποίο καλεί την Επιτροπή να προωθήσει με την κυβέρνηση των ΗΠΑ περαιτέρω βελτιώσεις στη ρύθμιση της ασπίδας προστασίας για την ιδιωτικότητα, με δεδομένες τις τρέχουσες αδυναμίες της (9).
Ο ΕΕΠΔ, ως ανεξάρτητος σύμβουλος των νομοθετών της ΕΕ σύμφωνα με τον κανονισμό (ΕΚ) αριθ. 45/2001, εκδίδει συστάσεις προς τα μέρη που συμμετέχουν στη διαδικασία, ιδίως προς την Επιτροπή. Οι συμβουλές αυτές φιλοδοξούν να είναι ρεαλιστικές και να βασίζονται σε αρχές, ώστε να συμβάλουν προορατικά και με επαρκή μέτρα στην επίτευξη των στόχων της ΕΕ. Συμπληρώνουν και ενισχύουν ορισμένες, αλλά όχι όλες, τις συστάσεις που περιλαμβάνονται στη γνώμη της WP29.
Από το σχέδιο απόφασης προκύπτει σειρά βελτιώσεων σε σύγκριση με την απόφαση περί ασφαλούς λιμένα, ιδίως όσον αφορά τις αρχές που διέπουν την επεξεργασία δεδομένων για εμπορικούς σκοπούς. Όσον αφορά την πρόσβαση των δημόσιων αρχών στα δεδομένα που διαβιβάζονται στο πλαίσιο της ασπίδας προστασίας της ιδιωτικής ζωής, επικροτούμε επίσης τη συμμετοχή, για πρώτη φορά, του Υπουργείου Δικαιοσύνης, του Υπουργείου Εξωτερικών και της διεύθυνσης της Εθνικής Υπηρεσίας Πληροφοριών στις διαπραγματεύσεις. Ωστόσο, δεν έχει σημειωθεί επαρκής πρόοδος σε σύγκριση με την προηγούμενη απόφαση περί ασφαλούς λιμένα. Μια απόφαση που έχει ήδη καταστεί άκυρη δεν συνιστά κατάλληλο δείκτη αναφοράς, δεδομένου ότι η απόφαση περί επάρκειας πρόκειται να βασιστεί στο ισχύον νομικό πλαίσιο της ΕΕ (και ειδικότερα στην ίδια την οδηγία, στο άρθρο 16 της Συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης, καθώς και στα άρθρα 7 και 8 του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης, όπως ερμηνεύονται από το ΔΕΕ). Το άρθρο 45 του γενικού κανονισμού για την προστασία των δεδομένων της ΕΕ (εφεξής: GDPR) (10) προβλέπει νέες απαιτήσεις για τις διαβιβάσεις δεδομένων βάσει απόφασης περί επάρκειας.
Το προηγούμενο έτος, το ΔΕΕ επιβεβαίωσε ότι όριο για την αξιολόγηση της επάρκειας αποτελεί η «ουσιαστική ισοδυναμία», και απαίτησε τη διενέργεια αυστηρής αξιολόγησης με βάση το συγκεκριμένο υψηλό πρότυπο (11). Η επάρκεια δεν απαιτεί τη θέσπιση πλαισίου πανομοιότυπου με εκείνο που ισχύει στην ΕΕ, όμως η ασπίδα προστασίας της ιδιωτικής ζωής και η έννομη τάξη των ΗΠΑ θα πρέπει να καλύπτουν, στο σύνολό τους, όλα τα βασικά στοιχεία του πλαισίου της ΕΕ για την προστασία των δεδομένων. Αυτό προϋποθέτει συνολική αξιολόγηση της έννομης τάξης και εξέταση των πλέον σημαντικών στοιχείων του πλαισίου της ΕΕ για την προστασία των δεδομένων (12). Θεωρούμε ότι η αξιολόγηση θα πρέπει να διενεργείται σε παγκόσμια κλίμακα, με σεβασμό της ουσίας των εν λόγω στοιχείων. Επιπλέον, λόγω της Συνθήκης και του Χάρτη, θα πρέπει να ληφθούν υπόψη ειδικά στοιχεία, όπως η ανεξάρτητη εποπτεία και η προσφυγή.
Εν προκειμένω, ο ΕΕΠΔ γνωρίζει ότι πολλές οργανώσεις και οργανισμοί, και στις δύο πλευρές του Ατλαντικού, αναμένουν την έκβαση της εν λόγω απόφασης περί επάρκειας. Ωστόσο, ενδέχεται να είναι πολύ σοβαρές οι επιπτώσεις μιας νέας ακύρωσης από το ΔΕΕ. από την άποψη τόσο της ανασφάλειας δικαίου για τα υποκείμενα των δεδομένων όσο και της επιβάρυνσης, ιδίως για τις ΜΜΕ. Επιπλέον, εάν εγκριθεί το σχέδιο απόφασης και στη συνέχεια ακυρωθεί από το ΔΕΕ, κάθε νέα ρύθμιση περί επάρκειας θα πρέπει να τεθεί σε διαπραγμάτευση στο πλαίσιο του GDPR. Ως εκ τούτου, συνιστούμε να υιοθετηθεί μια μελλοντοστραφής προσέγγιση, ενόψει της επικείμενης ημερομηνίας πλήρους εφαρμογής του GDPR εντός δύο ετών.
Το σχέδιο απόφασης είναι καθοριστικής σημασίας για τις σχέσεις ΕΕ – ΗΠΑ, σε μια χρονική στιγμή που οι εν λόγω σχέσεις αποτελούν επίσης αντικείμενο εμπορικών και επενδυτικών συμφωνιών. Επιπλέον, πολλά από τα στοιχεία που εξετάζονται στην παρούσα γνωμοδότηση συνδέονται έμμεσα τόσο με την ασπίδα προστασίας της ιδιωτικής ζωής όσο και με άλλα εργαλεία διαβίβασης, όπως οι δεσμευτικοί εταιρικοί κανόνες (εφεξής: BCR) και οι τυποποιημένες συμβατικές ρήτρες (εφεξής: SCC). Επίσης, η παρούσα γνωμοδότηση έχει παγκόσμια εμβέλεια, διότι πολλές τρίτες χώρες θα τη λάβουν σοβαρά υπόψη τους στο πλαίσιο της θέσπισης του νέου πλαισίου της ΕΕ για την προστασία των δεδομένων.
Ως εκ τούτου, επικροτούμε την εξεύρεση μιας γενικότερης λύσης στο ζήτημα των διαβιβάσεων ΕΕ – ΗΠΑ, υπό την προϋπόθεση ότι η εν λόγω λύση θα είναι ολοκληρωμένη και αρκετά ισχυρή. Για τον λόγο αυτό απαιτούνται σημαντικές βελτιώσεις προκειμένου να διασφαλιστεί ο βιώσιμος και μακροπρόθεσμος σεβασμός των θεμελιωδών δικαιωμάτων και ελευθεριών μας. Κατά την έκδοσή της, μετά την πρώτη αξιολόγηση από την Ευρωπαϊκή Επιτροπή, η απόφαση πρέπει να επανεξεταστεί εγκαίρως προκειμένου να προσδιοριστούν σχετικά μέτρα για την εξεύρεση περισσότερο μακροπρόθεσμων λύσεων με σκοπό την αντικατάσταση της ασπίδας προστασίας της ιδιωτικής ζωής με ένα περισσότερο ισχυρό και σταθερό νομικό πλαίσιο το οποίο θα ενισχύσει τις διατλαντικές σχέσεις.
Ο ΕΕΠΔ επισημαίνει επίσης βάσει του σχεδίου απόφασης και των παραρτημάτων του ότι, παρά την πρόσφατη τάση για στροφή από τις άνευ διακρίσεων παρακολουθήσεις γενικού χαρακτήρα σε πιο στοχευμένες και επιλεγμένες προσεγγίσεις, η έκταση των πληροφοριών σημάτων και ο όγκος των δεδομένων που διαβιβάζονται από την ΕΕ και τα οποία μπορούν δυνητικά να συλλεχθούν και να χρησιμοποιηθούν μετά την ολοκλήρωση της διαβίβασης και κυρίως κατά τη διάρκειά της, ενδέχεται να παραμείνει υψηλός, αφήνοντας συνεπώς περιθώριο για ερωτήματα.
Μολονότι οι εν λόγω πρακτικές ενδέχεται επίσης να συνδέονται με υπηρεσίες πληροφοριών ασφαλείας σε άλλες χώρες, και ενώ επικροτούμε τη διαφάνεια των αρχών των ΗΠΑ όσον αφορά αυτήν τη νέα πραγματικότητα, το υφιστάμενο σχέδιο απόφασης μπορεί να θεωρηθεί ότι νομιμοποιεί την εν λόγω πρακτική. Το ζήτημα πρέπει να αποτελέσει αντικείμενο σοβαρού δημόσιου δημοκρατικού ελέγχου. Ενθαρρύνουμε συνεπώς την Ευρωπαϊκή Επιτροπή να στείλει ένα ισχυρότερο μήνυμα: δεδομένων των υποχρεώσεων που έχει αναλάβει η ΕΕ στο πλαίσιο της Συνθήκης της Λισαβόνας, η πρόσβαση και η χρήση, εκ μέρους των δημόσιων αρχών, δεδομένων που έχουν διαβιβαστεί για εμπορικούς σκοπούς, μεταξύ άλλων και κατά τη διαβίβασή τους, θα πρέπει να λαμβάνουν χώρα μόνο κατ’ εξαίρεση και εφόσον είναι απαραίτητο για συγκεκριμένους σκοπούς δημόσιου συμφέροντος.
Επιπλέον επισημαίνεται ότι δηλώσεις ουσιώδους σημασίας που αφορούν την ιδιωτική ζωή των προσώπων στην ΕΕ φαίνεται να διατυπώνονται αναλυτικά μόνο σε εσωτερικές επιστολές των αρχών των ΗΠΑ (για παράδειγμα, δηλώσεις σχετικά με δραστηριότητες πληροφοριών σημάτων μέσω διατλαντικών καλωδίων, εφόσον υφίστανται) (13). Μολονότι δεν αμφισβητείται το κύρος των διακεκριμένων συντακτών τους και είναι κατανοητό ότι, μετά τη δημοσίευσή τους στην Επίσημη Εφημερίδα και στο Federal Register (επίσημη εφημερίδα της ομοσπονδιακής κυβέρνησης των ΗΠΑ), θεωρούνται πλέον «γραπτές διαβεβαιώσεις» βάσει των οποίων θα διενεργείται η αξιολόγηση της ΕΕ, επισημαίνεται σε γενική βάση ότι η βαρύτητα ορισμένων εξ αυτών θα έπρεπε να λάβει μεγαλύτερη νομική ισχύ.
Μπορούν να διερευνηθούν περαιτέρω πρακτικές λύσεις, παράλληλα με τη νομοθετική αλλαγή και τις διεθνείς συμφωνίες (14). Στόχος της παρούσας γνωμοδότησης είναι η παροχή ρεαλιστικών συμβουλών στο εν λόγω πλαίσιο.
IV. Συμπέρασμα
Ο ΕΕΠΔ επικροτεί τις προσπάθειες που καταβάλλουν τα μέρη για την εξεύρεση λύσης όσον αφορά το ζήτημα διαβίβασης των δεδομένων προσωπικού χαρακτήρα από την ΕΕ στις ΗΠΑ για εμπορικούς σκοπούς στο πλαίσιο ενός συστήματος αυτοπιστοποίησης. Ωστόσο, απαιτούνται δυναμικές βελτιώσεις για την επίτευξη ενός ισχυρού πλαισίου με μακροπρόθεσμη σταθερότητα.
Βρυξέλλες, 30 Μαΐου 2016.
Giovanni BUTTARELLI
Ευρωπαίος Επόπτης Προστασίας Δεδομένων
(1) Απόφαση του Δικαστηρίου της 6ης Οκτωβρίου 2015 στην υπόθεση C-362/14, Maximillian Schrems κατά Data Protection Commissioner, (εφεξής: «υπόθεση Schrems»).
(2) Απόφαση 2000/520/ΕΚ της Επιτροπής, της 26ης Ιουλίου 2000, βάσει της οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, σχετικά με την επάρκεια της προστασίας που παρέχεται από τις αρχές ασφαλούς λιμένα για την προστασία της ιδιωτικής ζωής και τις συναφείς συχνές ερωτήσεις που εκδίδονται από το Υπουργείο Εμπορίου των ΗΠΑ [κοινοποιηθείσα υπό τον αριθμό Ε(2000) 2441] (ΕΕ L 215 της 25.8.2000, σ. 7).
(3) Εκτελεστική απόφαση της Επιτροπής της ΧΧΧ βάσει της οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με την επάρκεια της προστασίας που παρέχεται από την ασπίδα προστασίας της ιδιωτικής ζωής ΕΕ – ΗΠΑ, η οποία διατίθεται (στην αγγλική γλώσσα) στη διεύθυνση: http://ec.europa.eu/justice/data-protection/files/privacy-shield-adequacy-decision_en.pdf
(4) Βλέπε τη γνωμοδότηση του Ευρωπαίου Επόπτη Προστασίας Δεδομένων σχετικά με την ανακοίνωση της Επιτροπής προς το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο «Αποκατάσταση της εμπιστοσύνης στις ροές δεδομένων μεταξύ της Ευρωπαϊκής Ένωσης και των Ηνωμένων Πολιτειών της Αμερικής» και σχετικά με την ανακοίνωση της Επιτροπής προς το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο όσον αφορά τη λειτουργία του ασφαλούς λιμένα από τη σκοπιά των πολιτών της Ένωσης και των εταιρειών που είναι εγκατεστημένες στην ΕΕ, της 20ής Φεβρουαρίου 2014, και το διαδικαστικό έγγραφο του ΕΕΠΔ στην ακρόαση του ΔΕΕ στην υπόθεση Schrems, που είναι διαθέσιμο (στην αγγλική γλώσσα) στη διεύθυνση: https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Court/2015/15-03-24_EDPS_Pleading_Schrems_vs_Data_Commissioner_EN.pdf)
(5) Γνώμη 1/2016 της ομάδας εργασίας του άρθρου 29 σχετικά με την απόφαση περί επάρκειας της ασπίδας προστασίας της ιδιωτικής ζωής ΕΕ – ΗΠΑ (WP 238), η οποία διατίθεται (στην αγγλική γλώσσα) στη διεύθυνση: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2016/wp238_en.pdf
(6) Βλέπε επίσης την κεντρική ομιλία του Επιτρόπου Πληροφοριών (Information Commissioner) του Ηνωμένου Βασιλείου, Christopher Graham, στο συνέδριο Europe Data Protection Intensive της IAPP που πραγματοποιήθηκε το 2016 στο Λονδίνο. Οι ομιλίες (βιντεοσκοπήσεις) διατίθενται στη διεύθυνση: https://iapp.org/news/video/iapp-europe-data-protection-intensive-2016-christopher-graham-keynote/
(7) Επιστολή προς την ομάδα εργασίας του άρθρου 29 και προς άλλα θεσμικά όργανα, υπογεγραμμένη από την οργάνωση Access Now και άλλες 26 ΜΚΟ.
(8) Ψήφισμα του Ευρωπαϊκού Κοινοβουλίου της 26ης Μαΐου 2016 σχετικά με τις διατλαντικές ροές δεδομένων [2016/2727(RSP)].
(9) Ό.π., παρ. 14.
(10) Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (γενικός κανονισμός για την προστασία δεδομένων) (ΕΕ L 119 της 4.5.2016, σ. 1).
(11) Υπόθεση Schrems, σκέψεις 71, 73, 74 και 96.
(12) Η προσέγγιση αυτή έχει ήδη εξεταστεί σε ένα από τα πρώτα έγγραφα της WP29 σχετικά με το θέμα των διαβιβάσεων δεδομένων (WP12: Σχέδιο εγγράφου εργασίας σχετικά με τις «Διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες: Εφαρμογή των άρθρων 25 και 26 της οδηγίας της ΕΕ για την προστασία των δεδομένων», 24 Ιουλίου 1998).
(13) Βλέπε, για παράδειγμα, τις διευκρινίσεις που περιλαμβάνονται στο παράρτημα VI.1. α) ότι η PPD28 ισχύει για δεδομένα που συλλέγονται από την υπηρεσία πληροφοριών ασφαλείας των ΗΠΑ μέσω διατλαντικών καλωδίων.
(14) Κατά την ακρόαση του ΔΕΕ στην υπόθεση Schrems, ο ΕΕΠΔ δήλωσε ότι «μόνη αποτελεσματική λύση αποτελεί η διαπραγμάτευση μιας διεθνούς συμφωνίας η οποία θα παρέχει επαρκή προστασία από τις άνευ διακρίσεων παρακολουθήσεις, προβλέποντας μεταξύ άλλων υποχρεώσεις όσον αφορά την εποπτεία, τη διαφάνεια, την προσφυγή και τα δικαιώματα προστασίας των δεδομένων», διαδικαστικό έγγραφο του ΕΕΠΔ στην ακρόαση του Δικαστηρίου της 24ης Μαρτίου 2015 στην υπόθεση C-362/14 (Schrems κατά Data Protection Commissioner).