Παρακάτω τίθεται εν είδει σχολιασμού περιεκτική ανάλυση σχετικά με την υπόθεση «Schrems Ι και ΙΙ» και τον τρόπο με τον οποίο την αντιμετώπισε το Δικαστήριο της Ευρωπαϊκής Ένωσης, εφεξής «ΔΕΕ», καθιερώνοντας το καθεστώς του «ασφαλούς λιμένος» όπως αυτό έχει εγκαθιδρυθεί μεταξύ ΕΕ και ΗΠΑ αναφορικά με την επεξεργασία και τη μεταφορά δεδομένων προς χρήση εμπορικών σκοπών.
Κατ’ αρχάς, πάντως, ο Γενικός Κανονισμός Προστασίας Δεδομένων – στα αγγλικά GDPR -, προβλέπει ότι η μεταφορά προσωπικών δεδομένων προς μια τρίτη χώρα μπορεί να επισυμβεί εφόσον αυτή η τρίτη χώρα πληροί τα συγκεκριμένα απαραίτητα προαπαιτούμενα τα οποία σχετίζονται με την προστασία τέτοιων δεδομένων. Συνεπώς, κρίνεται από την Επιτροπή εάν και κατά πόσο η τρίτη χώρα πληροί τα προαπαιτούμενα διερευνώντας στην ουσία τη σχετική νομοθεσία της χώρας και τις πρωτοβουλίες που αυτή έχει αναλάβει σε διεθνές επίπεδο. Εάν δεν υπάρχει τίποτε τέτοιο, δηλαδή ούτε νομοθεσία σχετική ούτε διεθνούς διάστασης συμφωνίες οιουδήποτε τύπου, η μόνη διασφάλιση προς το σκοπό διαβίβασης δεδομένων είναι εφόσον ο εξαγωγέας παρέχει εγγυήσεις οι οποίες και ερείδονται σε τυποποιημένες ρήτρες προστασίας όπως αυτές έχουν εκδοθεί από την Επιτροπή, και με την προϋπόθεση ασφαλώς ότι τα υποκείμενα των δεδομένων διαθέτουν εκτελεστά δικαιώματα και αποτελεσματικά μέτρα δικαστικής προστασίας. Επιπλέον, ο Γενικός Κανονισμός είναι αυτός και μόνο που θέτει τον πήχη ως προς τη μεταφορά των δεδομένων, εφόσον μάλιστα δεν υπάρχει καμία άλλη απόφαση ούτε κανενός άλλου τύπου εγγυήσεις.
Ο Μαξιμίλιαν Σρεμς, Αυστριακός και κάτοικος Αυστρίας, ήταν χρήστης της εφαρμογής Facebook από το 2008. Τα προσωπικά του δεδομένα διαβιβάζονταν από την εταιρία με την επωνυμία Facebook Ireland προς την εταιρία με την επωνυμία Facebook Inc., η αμερικανική μητρική, όπου και τύγχαναν της σχετικής και συνήθους επεξεργασίας, όπως άλλωστε συμβαίνει με τα δεδομένα όλων των χρηστών του Facebook. Ο κύριος Σρεμς προσέφυγε εναντίον της Ιρλανδικής Αρχής Προστασίας Δεδομένων ζητώντας επί της ουσίας την παύση όλων αυτών των διαβιβάσεων δεδομένων. Στην προσφυγή του εξηγούσε ότι η σχετική νομοθεσία και οι πρακτικές των ΗΠΑ δεν συνιστούν επαρκή εργαλεία στο σύνολό τους προκειμένου να παράσχουν την απαραίτητη προστασία έναντι εκείνων των αμερικανικών δημοσίων αρχών οι οποίες φαίνεται να έχουν πρόσβαση σε όλα τα προσωπικά δεδομένα που φτάνουν στη χώρα. Η προσφυγή απορρίφθηκε με την αιτιολογία ότι η Ευρωπαϊκή Επιτροπή είχε διαπιστώσει στα πλαίσια της απόφασης 2000/520, η οποία και είναι κατά κανόνα γνωστή ως απόφαση του «ασφαλούς λιμένος», ότι οι ΗΠΑ διασφάλιζαν επαρκές περιβάλλον προστασίας. Ωστόσο, την 6 Οκτωβρίου 2015 εκδόθηκε η απόφαση από το Δικαστήριο της ΕΕ σε συνέχεια προδικαστικού ερωτήματος που έθεσε το Ανώτατο Δικαστήριο της Ιρλανδίας σχετικά με την μόλις προαναφερθείσα απόφαση, οπότε αυτή [η 2000/520] τέθηκε υπό έλεγχο και εν τέλει κρίθηκε απαράδεκτη.
Σε συνέχεια, δε, των ανωτέρω η Ιρλανδική Αρχή Προστασίας Δεδομένων κάλεσε τον κ. Στρεμς να επαναφέρει την υπόθεσή του καθόσον η απόφαση 2000/520 κρίθηκε απαράδεκτη. Στην εκ νέου προσφυγή του ο κ. Σρεμς δήλωνε ότι οι ΗΠΑ δεν προσέφεραν επαρκή προστασία αναφορικά με τα δεδομένα που τύγχαναν μεταφοράς προς την εν λόγω χώρα. Ζητούσε, λοιπόν, την αναστολή ή ακόμη και την παύση τέτοιων διαβιβάσεων όπως αυτές λάμβαναν χώρα στα πλαίσια της εφαρμογής του Facebook και οι οποίες καλύπτονταν από το παράρτημα της εμβληματικής απόφασης 2010/87. Η Ιρλανδική Αρχή Προστασίας ωθήθηκε προς την επανεξέταση του καθεστώτος που εγκαθίδρυε η 2010/87 και κατ’ αποτέλεσμα εκκίνησε και δρομολόγησε τη διαδικασία ενώπιον του Ανώτατου Δικαστηρίου της Ιρλανδίας προκειμένου αυτό το τελευταίο να υποβάλλει το προδικαστικό ερώτημα. Ενώ εξελισσόνταν όλα αυτά, η Επιτροπή εξέδωσε την απόφαση αναφορικά με την έκταση προστασίας που διασφάλιζε η λεγόμενη ασπίδα προστασίας που είχε σφυρηλατηθεί μεταξύ ΕΕ και ΗΠΑ και η οποία ίσχυε σε σχέση με τους κατοίκους αμφοτέρων.
Το Ανώτατο Δικαστήριο της Ιρλανδίας έθεσε το «ερώτημα του ενός εκατομμυρίου» προς το Δικαστήριο της ΕΕ, δηλαδή εάν οι όροι που προέκυπταν εκ της απόφασης 2010/87 πληρούσαν τον πήχη των κριτηρίων που έθετε ο Γενικός Κανονισμός της ΕΕ αναφορικά με το καθεστώς προστασίας που θα πρέπει να διασφαλίζεται όταν η διαβίβαση δεδομένων λαμβάνει χώρα, αλλά και τις υποχρεώσεις οι οποίες απέρρεαν εκ των αρχών οι οποίες ήταν υπεύθυνες για την διαδικασία αυτή σε καθεμιά από τις δύο πλευρές του Ατλαντικού. Περαιτέρω, το Ανώτατο Δικαστήριο της Ιρλανδίας έθεσε το ερώτημα της εν τοις πράγμασι ισχύος και των δύο αποφάσεων, ήτοι τόσο της 2010/87 όσο και της 2016/1250.
Το Δικαστήριο της ΕΕ δεν είχε άλλη επιλογή πέρα από το να παράσχει μια άκρως στοιχειοθετημένη απόφαση σύμφωνα με την οποία, καταφανώς, η υπό ενδελεχή και επιστημονική διερεύνηση απόφαση με αριθ. 2010/87 κρίθηκε αναντίρρητα ισχυρή πέραν κάθε αμφιβολίας κυρίως υπό το πρίσμα του Χάρτη Θεμελιωδών Δικαιωμάτων της ΕΕ, ΕΝΩ ΑΝΤΙΘΕΤΑ, την ίδια στιγμή, η απόφαση με αριθ. 2016/1250 κρίθηκε πλήρως απαράδεκτη.
Εν ολίγοις, το Δικαστήριο της ΕΕ διαπίστωσε ότι ο Γενικός Κανονισμός της ΕΕ τυγχάνει εφαρμογής σε όλες εκείνες τις περιστάσεις που η διαβίβαση προσωπικών δεδομένων λαμβάνει χώρα για εμπορικούς σκοπούς από έναν φορέα που βρίσκεται εγκατεστημένος σε χώρα της ΕΕ προς έναν άλλο φορέα που βρίσκεται εγκατεστημένος σε τρίτη χώρα όπως επί παραδείγματι οι ΗΠΑ, ανεξαρτήτως του εάν αυτού του είδους τα δεδομένα πρόκειται να τύχουν επεξεργασίας από δημόσιες αρχές στα πλαίσια της διασφάλισης της δημόσιας τάξης, ή της εθνικής ασφάλειας· αυτού του είδους οι διεργασίες θα πρέπει σαφώς να λαμβάνονται υπ’ όψιν και να μην τυγχάνουν απόρριψης λόγω ισχύος του Γενικού Κανονισμού εν λευκώ. Στο ίδιο μήκος κύματος, θα πρέπει να βρίσκουν εφαρμογής συγκεκριμένες ρήτρες προστασίας οι οποίες και θα έχουν συμφωνηθεί μεταξύ των κρατών της ΕΕ και της -όποιας- τρίτης χώρας οι οποίες, εν συνεχεία, θα διασφαλίζουν πρακτικά ότι οι απαραίτητες προδιαγραφές που διαλαμβάνονται εντός Γενικού Κανονισμού και θα τυγχάνουν εφαρμογής και θα εισφέρουν περαιτέρω στην εφαρμογή απαραίτητων εγγυήσεων, εκτελεστών δικαιωμάτων και αποτελεσματικών μέσων δικαστικής προστασίας σε σχέση πάντα με τα προσωπικά δεδομένα όπως αυτά περιγράφονται εντός Γενικού Κανονισμού.
Πέραν όλων αυτών, το Δικαστήριο της ΕΕ ξεκαθάρισε ότι δεν τίθεται απλά θέμα τυποποιημένων ρητρών, όρων και προϋποθέσεων, αλλά έτι περαιτέρω τίθεται ζήτημα μιας ευρύτερης και εκτενέστερης αξιολόγησης όπου περαιτέρω λεπτομέρειες ελέγχονται διεξοδικά σε σχέση με τις δημόσιες αρχές που έχουν τέτοια αρμοδιότητα, και γενικώς, τίθεται ένα ζήτημα αξιοπιστίας του συνόλου του συστήματος/ μηχανισμού.
Συνιστά, επί παραδείγματι, κρίσιμο μέγεθος το πώς λειτουργούν οι ελεγκτικές αρχές, ο τρόπος που επιβάλλουν τις ποινές και τα πρόστιμα, ο τρόπος που λαμβάνουν υπ’ όψιν τις σχετικές ρήτρες που αφορούν την προστασία δεδομένων, και – σε σχέση πάντα με αυτό που τίθεται εν προκειμένω υπό έλεγχο – πως οι εγκατεστημένοι εντός ΕΕ εξαγωγείς δεδομένων δραστηριοποιούνται διασφαλίζοντας – ή όχι – το απαραίτητο δίκτυ προστασίας αναφορικά με τα διαβιβαζόμενα δεδομένα όταν ακριβώς αυτά τα δεδομένα διαβιβάζονται.
Το Δικαστήριο της ΕΕ διαπίστωσε ότι η απόφαση 2010/87 πράγματι διασφαλίζει το πλαίσιο για τέτοιους μηχανισμούς παρέχοντας ταυτόχρονα και το απαραίτητο θεωρητικό υπόβαθρο. Ωστόσο και στα πλαίσια της απόφασης 2016/1250 και του τρόπου που αυτή διασφαλίζει τον σεβασμό της ιδιωτικής και οικογενειακής ζωής, την προστασία των προσωπικών δεδομένων και το δικαίωμα για αποτελεσματική δικαστική διασφάλιση, το Δικαστήριο της ΕΕ προχώρησε στην εξής διάκριση:
Προκύπτει σαφώς ότι όλα τα ζητήματα που συνέχονται με την εθνική ασφάλεια, το δημόσιο συμφέρον και την συμμόρφωση προς τους νόμους έχουν αξιολογηθεί ως τόσο σημαντικά ώστε οιαδήποτε παρέκκλιση σε σχέση με θεμελιώδη δικαιώματα να αιτιολογείται όταν δεδομένα πρόκειται να διαβιβαστούν προς τη δικαιοδοσία τρίτης χώρας.
Ωστόσο, έχει ομολογουμένως διαπιστωθεί ότι τα ενδιάθετα αντίβαρα ελέγχου τα οποία παρέχονται σε πλαίσια αμερικανικής νομοθεσίας όταν μια αμερικανική αρχή αποκτά πρόσβαση σε δεδομένα που έχουν διαβιβασθεί από την ΕΕ και ο τρόπος που τα δεδομένα αυτά τυγχάνουν επεξεργασίας από μια τέτοια αρχή, δεν είναι αρκετά ισχυρά, ήτοι περιορισμένου διαμετρήματος σε σχέση με τις προδιαγραφές που τίθενται σε πλαίσια ΕΕ. Υπό την έννοια αυτή, το Δικαστήριο της ΕΕ υπογράμμισε το γεγονός ότι τα δικαιώματα που αναγνωρίζονται προς τους Αμερικανούς πολίτες όπως επίσης και σε όλους τους πολίτες των χωρών της ΕΕ δεν είναι εκτελεστά με τρόπο που να μπορούν να τύχουν στήριξης στα πλαίσια μιας δικαστικής διαδικασίας σε οιοδήποτε δικαστήριο των ΗΠΑ, ενώ και η ίδια η φύση της απόφασης 2016/1250 δεν παρέχει εχέγγυα ή τα εργαλεία εκείνα στα οποία και θα μπορούσε να βασιστεί η ΕΕ· ιδίως στο πλαίσιο της διαμεσολάβησης, ούτε το πλαίσιο ούτε το στελεχιακό δυναμικό λειτουργεί υπό καθεστώς ανεξαρτησίας τέτοιο ώστε οι υπηρεσίες ασφαλείας των ΗΠΑ να καθοδηγούνται και να εποπτεύονται επαρκώς κατά τη χρήση από μέρους τους των προσωπικών δεδομένων. Για όλους αυτούς τους λόγους το Δικαστήριο της ΕΕ έκρινε την απόφαση με αριθμό 2016/1250 απαράδεκτη.