201806290051986602018/C 249/213112018CJC24920180716EL01ELINFO_JUDICIAL20180509151731

Υπόθεση C-311/18: Αίτηση προδικαστικής αποφάσεως την οποία υπέβαλε το High Court (Ιρλανδία) στις 9 Μαΐου 2018 — Data Protection Commissioner κατά Facebook Ireland Limited, Maximillian Schrems


C2492018EL1510120180509EL0021151173

Αίτηση προδικαστικής αποφάσεως την οποία υπέβαλε το High Court (Ιρλανδία) στις 9 Μαΐου 2018 — Data Protection Commissioner κατά Facebook Ireland Limited, Maximillian Schrems

(Υπόθεση C-311/18)

2018/C 249/21Γλώσσα διαδικασίας: η αγγλική

Αιτούν δικαστήριο

High Court (Ιρλανδία)

Διάδικοι στην υπόθεση της κύριας δίκης

Αιτούσα: Data Protection Commissioner

Λοιποί διάδικοι: Facebook Ireland Limited, Maximillian Schrems

Προδικαστικά ερωτήματα

1)

Σε περίπτωση που προσωπικά δεδομένα διαβιβάζονται από ιδιωτική εταιρία εγκατεστημένη σε κράτος μέλος της Ευρωπαϊκής Ένωσης (EE) προς άλλη ιδιωτική εταιρία σε τρίτη χώρα για εμπορικούς σκοπούς, δυνάμει της αποφάσεως της Επιτροπής 2010/87 ( 1 ), όπως τροποποιήθηκε με την εκτελεστική απόφαση (ΕΕ) 2016/2297 ( 2 ) της Επιτροπής (στο εξής: απόφαση ΤΣΡ), και υπόκεινται ενδεχομένως σε περαιτέρω επεξεργασία από τις αρχές της τρίτης χώρας για σκοπούς εθνικής ασφάλειας, αλλά και επιβολής του νόμου και διαχειρίσεως των εξωτερικών της υποθέσεων, τυγχάνει εφαρμογής το δίκαιο της Ένωσης (περιλαμβανομένου του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης (στο εξής: Χάρτης) ανεξαρτήτως των διατάξεων του άρθρου 4, παράγραφος 2, ΣΕΕ, σχετικά με την εθνική ασφάλεια, και του άρθρου 3, παράγραφος 2, πρώτη περίπτωση, της οδηγίας 95/46/ΕΚ ( 3 ) (στο εξής: οδηγία), σχετικά με τη δημόσια ασφάλεια, την εθνική άμυνα και την ασφάλεια του κράτους;

2)

(1)

Για να διαπιστωθεί εάν υφίσταται προσβολή των δικαιωμάτων ενός φυσικού προσώπου δια της διαβιβάσεως δεδομένων δυνάμει της αποφάσεως ΤΣΡ από την ΕΕ προς τρίτη χώρα όπου ενδεχομένως τα δεδομένα θα υποστούν περαιτέρω επεξεργασία για σκοπούς εθνικής ασφάλειας, ποιο είναι, για τους σκοπούς της οδηγίας, το σημείο αναφοράς για την απαιτούμενη σύγκριση:

(α)

ο Χάρτης, η ΣΕΕ, η ΣΛΕΕ, η οδηγία, η ΕΣΔΑ (ή οποιαδήποτε άλλη διάταξη του δικαίου της Ένωσης), ή

(β)

το εθνικό δίκαιο ενός ή περισσοτέρων κρατών μελών;

(2)

Αν το σημείο αναφοράς είναι το στοιχείο β', θα πρέπει να συνεκτιμηθούν στο πλαίσιο της συγκρίσεως και οι πρακτικές οι οποίες εφαρμόζονται, σε σχέση με την εθνική ασφάλεια, σε ένα ή περισσότερα κράτη μέλη;

3)

Κατά την αξιολόγηση του κατά πόσον μια τρίτη χώρα διασφαλίζει το επίπεδο προστασίας το οποίο απαιτείται από το δίκαιο της Ένωσης για τα προσωπικά δεδομένα που διαβιβάζονται στη χώρα αυτή για τους σκοπούς του άρθρου 26 της οδηγίας, το επίπεδο προστασίας στην τρίτη χώρα πρέπει να αξιολογηθεί με βάση:

(α)

τους εφαρμοστέους κανόνες στην τρίτη χώρα όπως απορρέουν από το εθνικό δίκαιο ή τις διεθνείς δεσμεύσεις, και τις πρακτικές που έχουν σχεδιαστεί προκειμένου να διασφαλίζεται η συμμόρφωση με τους κανόνες αυτούς, περιλαμβανομένων των επαγγελματικών κανόνων και μέτρων ασφαλείας που τηρούνται στην τρίτη χώρα,

ή

(β)

τους κανόνες στους οποίους αναφέρεται το στοιχείο α', σε συνδυασμό με τυχόν διοικητικές, ρυθμιστικές και κανονιστικές πρακτικές, εγγυήσεις, διαδικασίες, πρωτόκολλα, εποπτικούς μηχανισμούς και εξωδικαστικά μέσα έννομης προστασίας που υφίστανται στην τρίτη χώρα;

4)

Λαμβανομένων υπόψη των πραγματικών περιστατικών που διαπίστωσε το High Court αναφορικά με το δίκαιο των Ηνωμένων Πολιτειών [σκέψεις 152 έως 163 της αποφάσεως του High Court της 3ης Οκτωβρίου 2017: http://www.courts.ie/Judgments.nsf/768d83be24938e1180256ef30048ca51/8131a5dde8baf9ff802581b70035c4ff?OpenDocument], υφίσταται προσβολή των δικαιωμάτων των φυσικών προσώπων κατά τα άρθρα 7 ή/και 8 του Χάρτη, σε περίπτωση που διαβιβάζονται προσωπικά δεδομένα από την ΕΕ προς τις Ηνωμένες Πολιτείες δυνάμει της αποφάσεως ΤΣΡ;

5)

Λαμβανομένων υπόψη των πραγματικών περιστατικών που διαπίστωσε το High Court αναφορικά με το δίκαιο των Ηνωμένων Πολιτειών, σε περίπτωση που τα προσωπικά δεδομένα διαβιβάζονται από την ΕΕ προς τις Ηνωμένες Πολιτείες δυνάμει της αποφάσεως ΤΣΡ:

(α)

το επίπεδο προστασίας που παρέχεται από τις Ηνωμένες Πολιτείες σέβεται το βασικό περιεχόμενο του δικαιώματος προσφυγής ενός φυσικού προσώπου σε περίπτωση προσβολής των δικαιωμάτων του/της περί προστασίας δεδομένων, όπως κατοχυρώνεται στο άρθρο 47 του Χάρτη;

Σε περίπτωση καταφατικής απαντήσεως στο ερώτημα α':

(β)

Είναι οι περιορισμοί που επιβάλλονται από το δίκαιο των Ηνωμένων Πολιτειών στο δικαίωμα δικαστικής προσφυγής ενός φυσικού προσώπου, για σκοπούς εθνικής ασφαλείας των Ηνωμένων Πολιτειών, αναλογικοί κατά την έννοια του άρθρου 52 του Χάρτη, χωρίς να υπερβαίνουν το μέτρο του αναγκαίου για σκοπούς εθνικής ασφαλείας σε μια δημοκρατική κοινωνία;

6)

(1)

Ποιο είναι το απαιτούμενο επίπεδο προστασίας σε σχέση με προσωπικά δεδομένα τα οποία διαβιβάζονται προς τρίτη χώρα δυνάμει τυποποιημένων συμβατικών ρητρών που συνάπτονται σύμφωνα με απόφαση της Επιτροπής κατά την έννοια του άρθρου 26, παράγραφος 4, [της οδηγίας], λαμβανομένων υπόψη των διατάξεων της οδηγίας, και ειδικότερα των άρθρων 25 και 26, υπό το πρίσμα του Χάρτη;

(2)

Ποια είναι τα στοιχεία που πρέπει να λαμβάνονται υπόψη όταν αξιολογείται κατά πόσον το επίπεδο προστασίας δεδομένων που διαβιβάζονται προς τρίτη χώρα δυνάμει της αποφάσεως ΤΣΡ πληροί τις απαιτήσεις της οδηγίας και του Χάρτη;

7)

Το γεγονός ότι οι τυποποιημένες συμβατικές ρήτρες εφαρμόζονται μεταξύ αυτού που διαβιβάζει δεδομένα και του αποδέκτη των δεδομένων και δεν είναι δεσμευτικές για τις εθνικές αρχές τρίτης χώρας, η οποία ενδέχεται να απαιτήσει από τον αποδέκτη των δεδομένων να θέσει τα δεδομένα που διαβιβάστηκαν δυνάμει των προβλεπόμενων στην απόφαση ΤΣΡ ρητρών στη διάθεση των υπηρεσιών ασφαλείας της, προκειμένου να υποστούν περαιτέρω επεξεργασία, σημαίνει ότι αποκλείεται από τις ρήτρες να προκύπτουν επαρκείς εγγυήσεις κατά την έννοια του άρθρου 26, παράγραφος 2, της οδηγίας;

8)

Σε περίπτωση που σε τρίτη χώρα προς την οποία διαβιβάζονται δεδομένα έχει θεσπιστεί νομικό πλαίσιο παρακολουθήσεως, το οποίο κατά την άποψη μιας αρχής προστασίας δεδομένων συγκρούεται με τις διατάξεις του παραρτήματος της αποφάσεως ΤΣΡ ή με τα άρθρα 25 και 26 της οδηγίας ή/και με τον Χάρτη, είναι η αντίστοιχη αρχή προστασίας δεδομένων υποχρεωμένη να ασκήσει τις εξουσίες της από το άρθρο 28, παράγραφος 3, της οδηγίας για να αναστείλει τις ροές δεδομένων, ή ασκούνται οι εξουσίες αυτές μόνο σε εξαιρετικές περιπτώσεις, λαμβανομένης υπόψη της αιτιολογικής σκέψης 11 της οδηγίας [αιτιολογική σκέψη 11 της αποφάσεως 2010/87/ΕΕ της Επιτροπής], ή μήπως μπορεί η αρχή προστασίας δεδομένων να στηριχθεί στη διακριτική της ευχέρεια και να μην αναστείλει τις ροές δεδομένων;

9)

(1)

Για τους σκοπούς του άρθρου 25, παράγραφος 6, της οδηγίας, συνιστά η απόφαση (ΕΕ) 2016/1250 ( 4 ) (στο εξής: απόφαση για την Ασπίδα Προστασίας Ιδιωτικής Ζωής) γενικής ισχύος διαπίστωση, δεσμευτική τόσο για τις αρχές προστασίας δεδομένων όσο και για τα δικαστήρια των κρατών μελών, από την οποία απορρέει ότι οι Ηνωμένες Πολιτείες διασφαλίζουν επαρκές επίπεδο προστασίας κατά την έννοια του άρθρου 25, παράγραφος 2, της οδηγίας, λόγω του εθνικού τους δικαίου ή των διεθνών δεσμεύσεων που έχουν αναλάβει;

(2)

Σε περίπτωση αρνητικής απαντήσεως, ασκεί τυχόν επιρροή η απόφαση για την Ασπίδα Προστασίας Ιδιωτικής Ζωής στην αξιολόγηση όσον αφορά τις εγγυήσεις οι οποίες παρέχονται σε σχέση με τα δεδομένα που διαβιβάζονται προς τις Ηνωμένες Πολιτείες δυνάμει της αποφάσεως ΤΣΡ;

10)

Λαμβανομένων υπόψη των διαπιστώσεων του High Court σχετικά με το δίκαιο των Ηνωμένων Πολιτειών, διασφαλίζει η θέσπιση του μηχανισμού του Διαμεσολαβητή της ασπίδας προστασίας της ιδιωτικής ζωής με τα παραρτήματα Α έως ΙΙΙ της αποφάσεως για την Ασπίδα Προστασίας Ιδιωτικής Ζωής, όταν εξετάζεται σε συνδυασμό με το υπάρχον καθεστώς στις Ηνωμένες Πολιτείες, ότι οι Ηνωμένες Πολιτείες παρέχουν συμβατή με το άρθρο 47 του Χάρτη έννομη προστασία στους ενδιαφερομένους των οποίων τα προσωπικά δεδομένα διαβιβάστηκαν προς τις Ηνωμένες Πολιτείες δυνάμει της αποφάσεως ΤΣΡ;

11)

Παραβαίνουν οι αποφάσεις ΤΣΡ τα άρθρα 7, 8 και 47 του Χάρτη;


( 1 ) Απόφαση της Επιτροπής, της 5ης Φεβρουαρίου 2010, σχετικά με τις τυποποιημένες συμβατικές ρήτρες για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε εκτελούντες επεξεργασία εγκατεστημένους σε τρίτες χώρες βάσει της οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (EE 2010, L 39, σ. 5).

( 2 ) Εκτελεστική απόφαση (ΕΕ) 2016/2297 της Επιτροπής, της 16ης Δεκεμβρίου 2016, για την τροποποίηση των αποφάσεων 2001/497/ΕΚ και 2010/87/ΕΕ σχετικά με τις τυποποιημένες συμβατικές ρήτρες για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες και σε εκτελούντες επεξεργασία εγκατεστημένους σε τρίτες χώρες βάσει της οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (EE 2016, L 344, σ. 100).

( 3 ) Οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών (EE 1995, L 281, σ. 31).

( 4 ) Εκτελεστική απόφαση (ΕΕ) 2016/1250 της Επιτροπής, της 12ης Ιουλίου 2016, βάσει της οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με την επάρκεια της προστασίας που παρέχεται από την ασπίδα προστασίας της ιδιωτικής ζωής ΕΕ-ΗΠΑ (EE 2016, L 207, σ. 1).