Το Δικαστήριο της ΕΕ επικυρώνει το πλαίσιο διαβιβάσεων ΕΟΧ-ΗΠΑ

1. Εισαγωγή

Σε μια απόφαση- ορόσημο που εκδόθηκε στις 3 Σεπτεμβρίου 2025, το Γενικό Δικαστήριο της Ευρωπαϊκής Ένωσης (εφεξής το "Δικαστήριο") επικύρωσε αποφασιστικά την απόφαση επάρκειας της Ευρωπαϊκής Επιτροπής για το Πλαίσιο Προστασίας Δεδομένων ΕΟΧ-ΗΠΑ (DPF), σηματοδοτώντας μια κρίσιμη νίκη για τις διατλαντικές ροές δεδομένων στην εποχή μετά την απόφαση «Schrems II»[1]. Η απόφαση στην υπόθεση «Latombe κατά Επιτροπής» (T-553/23) αντιπροσωπεύει τον πρώτο μεγάλο δικαστικό έλεγχο του νέου πλαισίου που σχεδιάστηκε για να αντικαταστήσει το ακυρωθέν «Privacy Shield», αντιμετωπίζοντας κατ' ευθείαν τις θεμελιώδεις ανησυχίες σχετικά με τις πρακτικές παρακολούθησης των ΗΠΑ που έχουν ταλαιπωρήσει τις διαβιβάσεις δεδομένων ΕΟΧ-ΗΠΑ για πάνω από μια δεκαετία.

Η υπόθεση, που εκκίνησε από τον Γάλλο πολίτη Philippe Latombe, αμφισβήτησε την απόφαση επάρκειας της Επιτροπής του Ιουλίου 2023 σε πολλαπλά μέτωπα, υποστηρίζοντας ότι το νέο πλαίσιο απέτυχε να παράσχει ουσιαστικά ισοδύναμη προστασία με αυτή που εγγυάται το ενωσιακό δίκαιο. Η ολοκληρωμένη απόρριψη αυτών των επιχειρημάτων από το Δικαστήριο παρέχει κρίσιμη επικύρωση για το DPF και προσφέρει σημαντική καθοδήγηση για την ερμηνεία των απαιτήσεων επάρκειας μετά τις αυστηρές αποφάσεις του Δικαστηρίου της Ευρωπαϊκής Ένωσης στις υποθέσεις Schrems I και II.

2. Το νομικό πλαίσιο και το ιστορικό πλαίσιο

Το DPF αναδύθηκε από τα ερείπια του πλαισίου Privacy Shield, το οποίο ακυρώθηκε από το Δικαστήριο στην υπόθεση Schrems II λόγω ανεπαρκών διασφαλίσεων κατά της παρακολούθησης των αμερικανικών υπηρεσιών πληροφοριών. Το Δικαστήριο σημείωσε ότι η προσβαλλόμενη απόφαση εκδόθηκε στις 10 Ιουλίου 2023, μετά την έκδοση από τις ΗΠΑ του Εκτελεστικού Διατάγματος 14086 στις 7 Οκτωβρίου 2022, το οποίο ενίσχυσε τις προστασίες της ιδιωτικότητας που διέπουν την συλλογή πληροφοριών από τις αμερικανικές υπηρεσίες πληροφοριών.

Αυτό το ιστορικό πλαίσιο είναι κρίσιμο για την κατανόηση της αυξημένης εξέτασης που εφαρμόστηκε στις πρακτικές παρακολούθησης των ΗΠΑ. Όπως παρατήρησε το Γενικό Δικαστήριο, το Δικαστήριο στις υποθέσεις Schrems I[2] και II είχε εκτιμήσει ότι, αντίθετα προς την αξιολόγηση της Ευρωπαϊκής Επιτροπής που προέκυπτε από τις αποφάσεις επάρκειας που αναφέρθηκαν παραπάνω, το σύστημα της σφαίρας ασφαλείας και το σύστημα του ασπίδας προστασίας δεδομένων που διέπει τη διαβίβαση προσωπικών δεδομένων δεν εγγυώντο επίπεδο προστασίας των θεμελιωδών ελευθεριών και δικαιωμάτων ουσιαστικά ισοδύναμο με αυτό που εγγυάται το ενωσιακό δίκαιο.

3. Ανεξαρτησία και αμεροληψία του Δικαστηρίου Ελέγχου Προστασίας Δεδομένων

3.1. Η κύρια αμφισβήτηση της ανεξαρτησίας του DPRC

Το κύριο επιχείρημα του αιτούντος επικεντρώθηκε στην ανεξαρτησία και αμεροληψία του νεοσυσταθέντος Δικαστηρίου Ελέγχου Προστασίας Δεδομένων (εφεξής «DPRC»), υποστηρίζοντας ότι αποτελούσε παραδικαστικό όργανο εξαρτημένο από την εκτελεστική εξουσία παρά ανεξάρτητο και αμερόληπτο δικαστήριο. Το Δικαστήριο τόνισε ότι η απαίτηση ανεξαρτησίας των δικαστηρίων, η οποία είναι εγγενής στο έργο της δικαιοσύνης, αποτελεί μέρος του ουσιώδους περιεχομένου του δικαιώματος σε αποτελεσματική δικαστική προστασία και του θεμελιώδους δικαιώματος σε δίκαιη δίκη.

3.2. Διαρθρωτικές διασφαλίσεις και διαδικασία διορισμού

Το Δικαστήριο διεξήγαγε διεξοδική ανάλυση του θεσμικού σχεδιασμού του DPRC, εξετάζοντας τρεις βασικές περιοχές ανησυχίας: τη σχέση με τον Υπεύθυνο Προστασίας Πολιτικών Ελευθεριών (CLPO), τη διαδικασία διορισμού και την πιθανή εκτελεστική εποπτεία.

Όσον αφορά τη διαδικασία διορισμού, το Δικαστήριο διαπίστωσε ότι οι δικαστές πρέπει:

α) να είναι ασκούντες του δικαίου, δηλαδή ενεργά μέλη σε καλή θέση του δικηγορικού συλλόγου που είναι δεόντως εξουσιοδοτημένα να ασκούν το δίκαιο, και

β) πρέπει να έχουν κατάλληλη εμπειρία στο δίκαιο της ιδιωτικότητας και σε θέματα εθνικής ασφάλειας.

Κρίσιμα, το Δικαστήριο σημείωσε ότι μόνο άτομα που πληρούν τις προαναφερθείσες προϋποθέσεις και που δεν είναι υπάλληλοι της εκτελεστικής εξουσίας κατά τον χρόνο του διορισμού τους ή δεν ήταν στα προηγούμενα δύο χρόνια μπορούν να διοριστούν στο DPRC.

3.3. Λειτουργική ανεξαρτησία και εξουσίες λήψης αποφάσεων

Το Δικαστήριο έπεισαν ιδιαίτερα οι ουσιαστικές εξουσίες και η ανεξαρτησία του DPRC στη λήψη αποφάσεων. Στην απόφαση τονίστηκε ότι το DPRC έχει την εξουσία μεταρρύθμισης, δεν δεσμεύεται από την απόφαση του CLPO και, σε περίπτωση διαφωνίας με τον τελευταίο, μπορεί να υιοθετήσει τη δική του απόφαση σχετικά με την καταγγελία προσωπικών δεδομένων. Επιπλέον, όποια απόφαση και αν λάβει το DPRC, αυτή η απόφαση είναι δεσμευτική και οριστική.

Αυτή η ανάλυση δείχνει την πραγματιστική προσέγγιση του Δικαστηρίου στη θεσμική ανεξαρτησία, εστιάζοντας στη λειτουργική αυτονομία παρά στον τυπικό διαρθρωτικό διαχωρισμό από την εκτελεστική εξουσία.

4.Παρακολούθηση Αμερικανικών Υπηρεσιών Πληροφοριών και μαζική συλλογή δεδομένων

4.1. Διάκριση μεταξύ μαζικής συλλογής και ογκώδους συλλογής

Το Δικαστήριο έκανε μια σημαντική διάκριση μεταξύ διαφορετικών τύπων πρακτικών συλλογής δεδομένων, διευκρινίζοντας ότι η «μαζική συλλογή» προσωπικών δεδομένων στην οποία αναφέρεται η Ευρωπαϊκή Επιτροπή ως συλλογή που διεξάγεται με γενικευμένο και αδιακρίτως τρόπο χωρίς περιορισμούς ή διασφαλίσεις δεν εγκρίνεται στις Ηνωμένες Πολιτείες και δεν μπορεί να διεξαχθεί ούτε στην επικράτειά τους ούτε εκτός αυτής.

Η απόφαση εστίασε συγκεκριμένα στην «ογκώδη συλλογή», που ορίζεται ως εξουσιοδοτημένη συλλογή μεγάλων ποσοτήτων σημάτων πληροφοριών που, για τεχνικούς ή επιχειρησιακούς λόγους, διεξάγεται χωρίς τη χρήση διακριτών στοιχείων, για παράδειγμα συγκεκριμένων αναγνωριστικών ή κριτηρίων επιλογής.

4.2. Νομικό πλαίσιο που διέπει την ογκώδη συλλογή

Το Δικαστήριο διεξήγαγε λεπτομερή εξέταση των νομικών περιορισμών που επιβάλλει το Εκτελεστικό Διάταγμα 14086 στις δραστηριότητες ογκώδους συλλογής. Το Δικαστήριο σημείωσε ότι οι δραστηριότητες ηλεκτρομαγνητικού συλλογισμού πρέπει να διεξάγονται κατά τρόπο αναλόγως προς την επικυρωμένη προτεραιότητα πληροφοριών για την οποία έχουν εγκριθεί, προκειμένου να βρεθεί δίκαιη ισορροπία μεταξύ της σημασίας της επιδιωκόμενης προτεραιότητας πληροφοριών και του αντίκτυπου στην ιδιωτικότητα και τις πολιτικές ελευθερίες του ενδιαφερομένου, ανεξάρτητα από την εθνικότητά του και τον τόπο διαμονής του.

4.3. Συμμόρφωση μετά το Schrems II

Αντιμετωπίζοντας το επιχείρημα του αιτούντος ότι το νέο πλαίσιο έπασχε από τις ίδιες ελλείψεις με το ακυρωθέν Privacy Shield, το Δικαστήριο διέκρινε την τρέχουσα κατάσταση από αυτή που καταδικάστηκε στο Schrems II. Το Δικαστήριο εξήγησε ότι αντίθετα από αυτό που υποστήριξε ο αιτών, δεν μπορεί να θεωρηθεί ότι η ογκώδης συλλογή προσωπικών δεδομένων που διεξάγεται από υπηρεσίες πληροφοριών με βάση την προσβαλλόμενη απόφαση δεν ικανοποιεί τις απαιτήσεις που προκύπτουν από την απόφαση Schrems II σε αυτό το θέμα.

Το Δικαστήριο τόνισε τη σημασία της λειτουργίας δικαστικού ελέγχου του DPRC, σημειώνοντας ότι το E.O. 14086 και ο κανονισμός AG υπόκεινται τις δραστηριότητες συλλογής πληροφοριών που διεξάγουν οι αμερικανικές υπηρεσίες πληροφοριών, συμπεριλαμβανομένων όταν διεξάγουν ογκώδη συλλογή προσωπικών δεδομένων, στην εκ των υστέρων δικαστική εποπτεία του DPRC, του οποίου οι αποφάσεις είναι οριστικές και δεσμευτικές και επιβάλλονται τόσο έναντι της κυβέρνησης των ΗΠΑ όσο και των εν λόγω υπηρεσιών.

5. Προστασίες αυτοματοποιημένης λήψης αποφάσεων

5.1. Περιθωριακό πεδίο εφαρμογής

Το Δικαστήριο αντιμετώπισε τις ανησυχίες σχετικά με τις προστασίες κατά της αυτοματοποιημένης λήψης αποφάσεων σύμφωνα με το άρθρο 22 ΓΚΠΔ, εξετάζοντας τρία σενάρια για τη διασυνοριακή επεξεργασία δεδομένων. Η απόφαση κατέληξε ότι οι υποθέσεις στις οποίες οι εντελώς αυτοματοποιημένες αποφάσεις δεν εμπίπτουν στο πεδίο εφαρμογής του άρθρου 22 ΓΚΠΔ είναι περιθωριακές και περιορίζονται στην περίπτωση όπου οι οργανισμοί DPF συλλέγουν άμεσα, στην Ένωση, προσωπικά δεδομένα, χωρίς ωστόσο να προσφέρουν στους πολίτες της Ένωσης αγαθά ή υπηρεσίες και χωρίς να παρακολουθούν τη συμπεριφορά τους.

5.2. Κάθετες προστασίες στο αμερικανικό Δίκαιο

Το Δικαστήριο διαπίστωσε ότι η κάθετη νομοθεσία των ΗΠΑ παρείχε επαρκείς διασφαλίσεις σε βασικούς τομείς όπου η αυτοματοποιημένη λήψη αποφάσεων ήταν πιο πιθανό να συμβεί. Λ.χ. στην απόφαση σημειώνεται ότι σε θέματα καταναλωτικής πίστωσης, το Fair Credit Reporting Act και το Equal Credit Opportunity Act περιέχουν διασφαλίσεις που προσφέρουν στους καταναλωτές μια μορφή δικαιώματος εξήγησης και δικαίωμα αμφισβήτησης εντελώς αυτοματοποιημένων αποφάσεων.

6. Απαιτήσεις ασφάλειας δεδομένων

Ολοκληρωμένο πλαίσιο ασφάλειας

Το τελευταίο ουσιαστικό επιχείρημα αφορούσε τις υποχρεώσεις ασφάλειας δεδομένων υπό το DPF. Το Δικαστήριο απέρριψε τα επιχειρήματα ότι το πλαίσιο δημιουργούσε κενά στις απαιτήσεις ασφάλειας, διαπιστώνοντας ότι οι όροι «δημιουργία», «διαχείριση», «χρήση», και «διάδοση» που εμφανίζονται στο σημείο II.4(α) του Παραρτήματος 1 της προσβαλλόμενης απόφασης καθώς και οι όροι «αποθήκευση», «χρήση», και «αποκάλυψη» που εμφανίζονται στο σημείο III.6(στ) του ίδιου παραρτήματος αποτελούν συγκεκριμένες εκδηλώσεις της λειτουργίας που συνίσταται στην 'επεξεργασία' προσωπικών δεδομένων.

Το Δικαστήριο τόνισε ότι ο όρος «χρήση» περιλαμβάνει δραστηριότητες διαβούλευσης, καθώς εξ ορισμού, για να μπορεί κανείς να προσφύγει σε δεδομένα, είναι απαραίτητο εκ των προτέρων να έχει πρόσβαση σε αυτά και επομένως να τα συμβουλεύεται.

7. Συνέπειες και πρακτικές προεκτάσεις

7.1. Επικύρωση πραγματιστικής προσέγγισης στην επάρκεια

Αυτή η απόφαση αντιπροσωπεύει μια σημαντική επικύρωση της τελευταίας προσέγγισης της Επιτροπής στις αξιολογήσεις επάρκειας μετά το Schrems II. Η αποδοχή του Δικαστηρίου ότι η Επιτροπή δεν είναι υποχρεωμένη να διασφαλίσει ότι οι σχετικές διατάξεις της τρίτης χώρας είναι πανομοιότυπες με αυτές που ισχύουν στην Ένωση, αλλά ότι είναι ουσιαστικά ισοδύναμες παρέχει σημαντικό περιθώριο για μελλοντικές διαπραγματεύσεις επάρκειας.

7.2. Αρχές θεσμικού σχεδιασμού

Η ανάλυση του DPRC προσφέρει πολύτιμη καθοδήγηση για τον σχεδιασμό ανεξάρτητων μηχανισμών εποπτείας που μπορούν να ικανοποιήσουν τα πρότυπα της ΕΕ σεβόμενα παράλληλα τα συνταγματικά πλαίσια τρίτων χωρών. Η εστίαση του Δικαστηρίου στη λειτουργική ανεξαρτησία, τη δεσμευτική εξουσία λήψης αποφάσεων και τις διαδικαστικές διασφαλίσεις παρέχει πρότυπο για μελλοντικά πλαίσια επάρκειας.

7.3. Περιορισμοί παρακολούθησης υπηρεσιών πληροφοριών

Η απόφαση διευκρινίζει ότι οι αποφάσεις επάρκειας μετά την Schrems II πρέπει να περιλαμβάνουν ισχυρούς περιορισμούς στην παρακολούθηση των υπηρεσιών πληροφοριών, αλλά ότι η εκ των προτέρων δικαστική εξουσιοδότηση δεν είναι το μόνο αποδεκτό μοντέλο. Ο συνδυασμός σαφών νομικών κανόνων που διέπουν την εφαρμογή της ογκώδους συλλογής, αποτελεσματικού εκ των υστέρων δικαστικού ελέγχου και ολοκληρωμένων μηχανισμών εποπτείας μπορεί να παράσχει ουσιαστικά ισοδύναμη προστασία.

7.4. Κάθετη έναντι οριζόντιας προστασίας

Η αποδοχή του Δικαστηρίου των τομεακών προστασιών για την αυτοματοποιημένη λήψη αποφάσεων υποδηλώνει μια πιο ευέλικτη προσέγγιση στις αξιολογήσεις ισοδυναμίας, αναγνωρίζοντας ότι διαφορετικά νομικά συστήματα μπορούν να επιτύχουν ισοδύναμα αποτελέσματα μέσω διαφορετικών μέσων.

8. Συμπέρασμα

Η απόφαση Latombe σηματοδοτεί μια σημαντική στιγμή για τις διαβιβάσεις δεδομένων από τον ΕΟΧ στις Η.Π.Α., παρέχοντας την πρώτη ολοκληρωμένη δικαστική επικύρωση του πλαισίου επάρκειας μετά το Schrems II. Επικυρώνοντας το DPF ενώ διατηρεί αυστηρό έλεγχο των πρακτικών παρακολούθησης των ΗΠΑ, το Δικαστήριο έχει επιτύχει μια προσεκτική ισορροπία μεταξύ της προστασίας των θεμελιωδών δικαιωμάτων και της δυνατότητας ουσιωδών διατλαντικών ροών δεδομένων.

Για τους επαγγελματίες, αυτή η απόφαση παρέχει κρίσιμη νομική βεβαιότητα για οργανισμούς που βασίζονται στο DPF ενώ ενισχύει τη σημασία των ισχυρών μηχανισμών εποπτείας στα πλαίσια επάρκειας. Η λεπτομερής ανάλυση της απόφασης για τη θεσμική ανεξαρτησία, τους περιορισμούς παρακολούθησης και τα πρότυπα ισοδυναμίας θα επηρεάσει αναμφίβολα μελλοντικές διαπραγματεύσεις επάρκειας και την ευρύτερη εξέλιξη του διεθνούς δικαίου μεταφοράς δεδομένων.

Η πραγματιστική αλλά αρχική προσέγγιση του Δικαστηρίου υποδηλώνει ότι η εποχή μετά το Schrems II μπορεί να εισέρχεται σε μια πιο σταθερή φάση, όπου προσεκτικά σχεδιασμένα πλαίσια με κατάλληλες διασφαλίσεις μπορούν να ικανοποιήσουν τα πρότυπα επάρκειας της ΕΕ ενώ συμβιβάζονται με τα νόμιμα συμφέροντα ασφάλειας τρίτων χωρών. Ωστόσο, οι συνεχιζόμενες υποχρεώσεις παρακολούθησης της Επιτροπής διασφαλίζουν ότι αυτό το πλαίσιο θα συνεχίσει να αντιμετωπίζει έλεγχο καθώς οι πρακτικές παρακολούθησης και οι τεχνολογίες των ΗΠΑ εξελίσσονται.

[1] ΔΕΕ, «Data Protection Commissioner of Ireland v. Facebook & Max Schrems», C‑311/18, 16/07/2020

[2] ΔΕΕ, « Data Protection Commissioner v Facebook Ireland Limited and Maximillian Schrems», Case C-311/18, 16/07/2020