ΝΟΜΙΚΑ ΝΕΑ

NOMIKΑ ΝΕΑ LAW BLOG

NOMIKΑ ΝΕΑ LAW BLOG

Τετάρτη 7 Οκτωβρίου 2015

ΔΕΕ για το Facebook C - 362/14- ΑΠΟΦΑΣΗ Schrems

«Ανίσχυρη» η απόφαση της Επιτροπής κατά την οποία οι Ηνωμένες Πολιτείες εξασφαλίζουν ικανοποιητικό επίπεδο προστασίας των διαβιβαζόμενων δεδομένων προσωπικού χαρακτήρα, σύμφωνα με το Ευρωπαϊκό Δικαστήριο στην απόφαση C 362/14 Maximillian Schrems κατά Data Protection Commissione
Ο Μαξ Σρεμς λίγο πριν από την ανακοίνωση της απόφασης του ευρωδικαστηρίου.Ο αυστριακός υπήκοος Μαξιμίλιαν Σρεμς και χρήστης του Facebook υπέβαλε καταγγελία στην ιρλανδική αρχή ελέγχου (καθώς τα δεδομένα που παρέχουν οι χρήστες τους Facebook στην ΕΕ διαβιβάζονται, εν όλω ή εν μέρει, από την ιρλανδική θυγατρική της Facebook σε διακομιστές που βρίσκονται στις Ηνωμένες Πολιτείες) ότι βάσει των αποκαλύψεων στις οποίες προέβη το 2013 ο Έντουαρντ Σνόουντεν σχετικά με τις δραστηριότητες των υπηρεσιών πληροφοριών των Ηνωμένων Πολιτειών (ιδίως της National Security Agency, NSA), η νομοθεσία και οι πρακτικές των Ηνωμένων Πολιτειών δεν παρέχουν ικανοποιητική προστασία από την παρακολούθηση, εκ μέρους των δημοσίων αρχών, των δεδομένων που διαβιβάζονται προς τις Ηνωμένες Πολιτείες.
Η ιρλανδική αρχή ελέγχου απέρριψε την καταγγελία, με την αιτιολογία ότι η Επιτροπή, στην από 26 Ιουλίου 2000 απόφασή της έκρινε ότι, στο πλαίσιο του καθεστώτος «ασφαλούς λιμένα» (Safe Harbor), οι Ηνωμένες Πολιτείες εξασφαλίζουν ικανοποιητικό επίπεδο προστασίας στα διαβιβαζόμενα δεδομένα προσωπικού χαρακτήρα.
Το Ευρωπαϊκό Δικαστήριο αποφάνθηκε πως η ύπαρξη αποφάσεως της Επιτροπής με την οποία διαπιστώνεται ότι τρίτη χώρα εξασφαλίζει ικανοποιητικό επίπεδο προστασίας στα διαβιβαζόμενα δεδομένα προσωπικού χαρακτήρα δεν εξαφανίζει ούτε περιορίζει την εξουσία που έχουν οι εθνικές αρχές ελέγχου βάσει του Χάρτη των θεμελιωδών δικαιωμάτων της Ευρωπαϊκής Ένωσης και της οδηγίας.
Επιπλέον, το Δικαστήριο έκρινε ότι «η Επιτροπή δεν είχε την αρμοδιότητα να περιορίσει κατ’ αυτόν τον τρόπο τις εξουσίες των εθνικών αρχών ελέγχου» καθώς και ότι η από 26 Ιουλίου 2000 απόφαση της Επιτροπής είναι «ανίσχυρη».

  Ιδου το πλήρες κείμενο της απόφασης



ΑΠΟΦΑΣΗ ΤΟΥ ΔΙΚΑΣΤΗΡΙΟΥ (τμήμα μείζονος συνθέσεως)
της 6ης Οκτωβρίου 2015 (*)
«Προδικαστική παραπομπή – Δεδομένα προσωπικού χαρακτήρα – Προστασία φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων αυτών – Χάρτης των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης – Άρθρα 7, 8 και 47 – Οδηγία 95/46/ΕΚ – Άρθρα 25 και 28 – Διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες –Απόφαση 2000/520/ΕΚ – Διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τις Ηνωμένες Πολιτείες – Μη ικανοποιητικό επίπεδο προστασίας – Κύρος – Καταγγελία φυσικού προσώπου του οποίου τα δεδομένα διαβιβάστηκαν από την Ευρωπαϊκή Ένωση προς τις Ηνωμένες Πολιτείες – Εξουσίες των εθνικών αρχών ελέγχου»
Στην υπόθεση C‑362/14,
με αντικείμενο αίτηση προδικαστικής αποφάσεως δυνάμει του άρθρου 267 ΣΛΕΕ που υπέβαλε το High Court (Ανώτατο δικαστήριο, Ιρλανδία) με απόφαση της 17ης Ιουλίου 2014, η οποία περιήλθε στο Δικαστήριο στις 25 Ιουλίου 2014, στο πλαίσιο της δίκης
Maximillian Schrems
κατά
Data Protection Commissioner,
παρισταμένου του:
Digital Rights Ireland Ltd,
ΤΟ ΔΙΚΑΣΤΗΡΙΟ (τμήμα μείζονος συνθέσεως),
συγκείμενο από τους Β. Σκουρή, Πρόεδρο, K. Lenaerts, αντιπρόεδρο, A. Tizzano, R. Silva de Lapuerta, T. von Danwitz (εισηγητή) και S. Rodin, K. Jürimäe, προέδρους τμήματος, A. Rosas, E. Juhász, A. Borg Barthet, J. Malenovský, D. Šváby, M. Berger, F. Biltgen και Κ. Λυκούργο, δικαστές,
γενικός εισαγγελέας: Y. Bot
γραμματέας: L. Hewlett, κύρια υπάλληλος διοικήσεως,
έχοντας υπόψη την έγγραφη διαδικασία και κατόπιν της επ’ ακροατηρίου συζητήσεως της 24ης Μαρτίου 2015,
λαμβάνοντας υπόψη τις παρατηρήσεις που υπέβαλαν:
–        ο Μ. Schrems, εκπροσωπούμενος από τους N. Travers, SC, P. O’Shea, BL, και G. Rudden, solicitor, καθώς και από τον H. Hofmann, Rechtsanwalt,
–        ο Data Protection Commissioner, εκπροσωπούμενος από τον P. McDermott, BL, την S. More O’Ferrall και τον D. Young, solicitors,
–        το Digital Rights Ireland Ltd, εκπροσωπούμενο από τον F. Crehan, BL, και από τους S. McGarr και E. McGarr, solicitors, 
–        η Ιρλανδία, εκπροσωπούμενη από τους A. Joyce και B. Counihan καθώς και από την E. Creedon, επικουρούμενους από τον D. Fennelly, BL,
–        η Βελγική Κυβέρνηση, εκπροσωπούμενη από τον J.-C. Halleux και την C. Pochet,
–        η Τσεχική Κυβέρνηση, εκπροσωπούμενη από τους M. Smolek και J. Vláčil,
–        η Ιταλική Κυβέρνηση, εκπροσωπούμενη από την G. Palmieri, επικουρούμενη από τον P. Gentili, avvocato dello Stato,
–        η Αυστριακή Κυβέρνηση, εκπροσωπούμενη από τους G. Hesse και G. Kunnert,
–        η Πολωνική Κυβέρνηση, εκπροσωπούμενη από τις M. Kamejsza, και M. Pawlicka, καθώς και από τον B. Majczyna,
–        η Σλοβενική Κυβέρνηση, εκπροσωπούμενη από τις A. Grum και V. Klemenc,
–        η Κυβέρνηση του Ηνωμένου Βασιλείου, εκπροσωπούμενη από τον L. Christie και την J. Beeko, επικουρούμενους από τον J. Holmes, barrister,
–        το Ευρωπαϊκό Κοινοβούλιο, εκπροσωπούμενο από τους D. Moore και A. Caiola, καθώς και την M. Pencheva,
–        η Ευρωπαϊκή Επιτροπή, εκπροσωπούμενη από τoυς B. Schima, B. Martenczuk και B. Smulders, καθώς και από την J. Vondung,
–        ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων (ΕΕΠΔ), εκπροσωπούμενος από τους C. Docksey, A. Buchta και V. Pérez Asinari,
αφού άκουσε τον γενικό εισαγγελέα που ανέπτυξε τις προτάσεις του κατά τη συνεδρίαση της 23ης Σεπτεμβρίου 2015,
εκδίδει την ακόλουθη
Απόφαση
1        Η αίτηση προδικαστικής αποφάσεως αφορά την ερμηνεία, υπό το πρίσμα των άρθρων 7, 8 και 47 του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης (στο εξής: Χάρτης), των άρθρων 25, παράγραφος 6, και 28 της οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών (ΕΕ L 281, σ. 31), όπως τροποποιήθηκε με τον κανονισμό (ΕΚ) 1882/2003 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 29ης Σεπτεμβρίου 2003, περί προσαρμογής στην απόφαση 1999/468/ΕΚ του Συμβουλίου των διατάξεων των σχετικών με τις επιτροπές που επικουρούν την Επιτροπή στην άσκηση των εκτελεστικών αρμοδιοτήτων της, οι οποίες προβλέπονται από πράξεις υποκείμενες στη διαδικασία του άρθρου [294 ΣΛΕΕ] (ΕΕ L 284, σ. 1, στο εξής: οδηγία 95/46), καθώς επίσης, κατ’ ουσίαν, και το κύρος της αποφάσεως 2000/520/ΕΚ της Επιτροπής, της 26ης Ιουλίου 2000, βάσει της οδηγίας 95/46, σχετικά με την επάρκεια της προστασίας που παρέχεται από τις αρχές ασφαλούς λιμένα για την προστασία της ιδιωτικής ζωής και τις συναφείς συχνές ερωτήσεις που εκδίδονται από το Υπουργείο Εμπορίου των ΗΠΑ (ΕΕ L 215, σ. 7).
2        Η αίτηση αυτή υποβλήθηκε στο πλαίσιο ένδικης διαφοράς μεταξύ του M. Schrems και του Data Protection Commissioner (επίτροπος προστασίας δεδομένων, στο εξής: επίτροπος) σχετικά με την άρνηση του τελευταίου να ερευνήσει καταγγελία που υπέβαλε ο M. Schrems λόγω του γεγονότος ότι η Facebook Ireland Ltd (στο εξής: Facebook Ireland) διαβίβασε στις Ηνωμένες Πολιτείες δεδομένα προσωπικού χαρακτήρα των χρηστών του και τα διατηρεί σε διακομιστές εγκατεστημένους στις Ηνωμένες Πολιτείες.
 Το νομικό πλαίσιο
 Η οδηγία 95/46
3        Οι αιτιολογικές σκέψεις 2, 10, 56, 57, 60, 62 και 63 της οδηγίας 95/46 έχουν ως εξής:
«(2)  [...] τα συστήματα επεξεργασίας δεδομένων υπηρετούν τον άνθρωπο· […] πρέπει, ανεξαρτήτως ιθαγένειας ή κατοικίας των φυσικών προσώπων, να σέβονται τις θεμελιώδεις ελευθερίες και τα δικαιώματά τους, και ιδίως την ιδιωτική ζωή, και να συμβάλλουν στην […] ευημερία του ατόμου·
[...]
(10)      [...] στόχος των εθνικών νομοθεσιών όσον αφορά την επεξεργασία των δεδομένων προσωπικού χαρακτήρα είναι η διασφάλιση της προστασίας των θεμελιωδών δικαιωμάτων και ιδίως της ιδιωτικής ζωής, όπως επίσης αναγνωρίζεται στο άρθρο 8 της ευρωπαϊκής σύμβασης περί προστασίας των δικαιωμάτων του ανθρώπου και των θεμελιωδών ελευθεριών [που υπεγράφη στη Ρώμη στις 4 Νοεμβρίου 1950] καθώς και στις γενικές αρχές του κοινοτικού δικαίου· […] για το λόγο αυτό, η προσέγγιση των εν λόγω νομοθεσιών δεν πρέπει να οδηγήσει στην εξασθένηση της προστασίας που εξασφαλίζουν αλλά, αντιθέτως, πρέπει να έχει ως στόχο την κατοχύρωση υψηλού επιπέδου προστασίας στην Κοινότητα·
[...]
(56) [...] η διασυνοριακή ροή δεδομένων προσωπικού χαρακτήρα είναι απαραίτητη για την ανάπτυξη των διεθνών εμπορικών συναλλαγών· […] η προστασία των προσώπων την οποία εγγυάται στην Κοινότητα η παρούσα οδηγία δεν αντιτίθεται στη διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες που παρέχουν ικανοποιητικό επίπεδο προστασίας· […] το ικανοποιητικό επίπεδο της προστασίας που παρέχεται από τρίτη χώρα πρέπει να κρίνεται υπό το φως όλων των περιστάσεων των σχετικών με μια διαβίβαση ή μια κατηγορία διαβιβάσεων·
(57) [...] αντίθετα, όταν μια τρίτη χώρα δεν παρέχει ικανοποιητικό επίπεδο προστασίας, η διαβίβαση των δεδομένων προσωπικού χαρακτήρα προς την εν λόγω χώρα πρέπει να απαγορεύεται·
[...]
(60) [...] σε κάθε περίπτωση, οι διαβιβάσεις προς τρίτες χώρες μπορούν να πραγματοποιούνται μόνον εφόσον τηρούνται απολύτως οι διατάξεις που έχουν θεσπίσει τα κράτη μέλη κατ’ εφαρμογήν της παρούσας οδηγίας, και ιδίως του άρθρου 8·
[...]
(62) [...] η σύσταση σε κάθε κράτος μέλος ανεξαρτήτων αρχών ελέγχου αποτελεί ουσιώδες στοιχείο της προστασίας των προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα·
(63) [...]οι αρχές αυτές πρέπει να διαθέτουν τα απαραίτητα μέσα για την εκτέλεση των καθηκόντων τους, μεταξύ των οποίων και εξουσίες διεξαγωγής έρευνας ή παρέμβασης, ειδικότερα σε περίπτωση ατομικών προσφυγών, καθώς και την ικανότητα του παρίστασθαι ενώπιον του δικαστηρίου· [...]».
4        Τα άρθρα 1, 2, 25, 26, 28 και 31 της οδηγίας 95/46 ορίζουν τα εξής:
 «Άρθρο 1
Στόχος της οδηγίας
1.      Τα κράτη μέλη εξασφαλίζουν, σύμφωνα με τις διατάξεις της παρούσας οδηγίας, την προστασία των θεμελιωδών ελευθεριών και δικαιωμάτων των φυσικών προσώπων, και ιδίως της ιδιωτικής ζωής, έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα.
[...]
Άρθρο 2
Ορισμοί
Για τους σκοπούς της παρούσας οδηγίας, νοούνται ως:
α)      “δεδομένα προσωπικού χαρακτήρα”, κάθε πληροφορία που αναφέρεται σε φυσικό πρόσωπο του οποίου η ταυτότητα είναι γνωστή ή μπορεί να εξακριβωθεί «το πρόσωπο στο οποίο αναφέρονται τα δεδομένα»· ως πρόσωπο του οποίου η ταυτότητα μπορεί να εξακριβωθεί λογίζεται το πρόσωπο εκείνο που μπορεί να προσδιοριστεί, άμεσα ή έμμεσα, ιδίως βάσει αριθμού ταυτότητας ή βάσει ενός ή περισσοτέρων συγκεκριμένων στοιχείων που χαρακτηρίζουν την υπόστασή του από φυσική, βιολογική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική άποψη·
β)      “επεξεργασία δεδομένων προσωπικού χαρακτήρα” “επεξεργασία”, κάθε εργασία ή σειρά εργασιών που πραγματοποιούνται με ή χωρίς τη βοήθεια αυτοματοποιημένων διαδικασιών και εφαρμόζονται σε δεδομένα προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώρηση, η οργάνωση, η αποθήκευση, η προσαρμογή ή η τροποποίηση, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η ανακοίνωση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η εναρμόνιση ή ο συνδυασμός, καθώς και το κλείδωμα, η διαγραφή ή η καταστροφή·
[...]
δ)      “υπεύθυνος της επεξεργασίας”, το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή οποιοσδήποτε άλλος φορέας που μόνος ή από κοινού με άλλους καθορίζει τους στόχους και τον τρόπο της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα. Όταν οι στόχοι και ο τρόπος της επεξεργασίας καθορίζονται από νομοθετικές ή κανονιστικές διατάξεις, εθνικές ή κοινοτικές, ο υπεύθυνος·
[...]
Άρθρο 25
Βασικές αρχές
1.      Τα κράτη μέλη προβλέπουν ότι η διαβίβαση προς τρίτη χώρα δεδομένων προσωπικού χαρακτήρα, που έχουν υποστεί επεξεργασία ή πρόκειται να υποστούν επεξεργασία μετά τη διαβίβασή τους, επιτρέπεται μόνον εάν, τηρουμένων των εθνικών διατάξεων που θεσπίζονται σύμφωνα με τις λοιπές διατάξεις της παρούσας οδηγίας, η εν λόγω τρίτη χώρα εξασφαλίζει ικανοποιητικό επίπεδο προστασίας.
2.      Η επάρκεια της προστασίας που παρέχεται από τρίτη χώρα σταθμίζεται λαμβανομένων υπόψη όλων των περιστάσεων που επηρεάζουν μια διαβίβαση ή κατηγορία διαβιβάσεων δεδομένων· ειδικότερα, εξετάζονται η φύση των δεδομένων, οι σκοποί και η διάρκειά της ή των προβλεπομένων επεξεργασιών, η χώρα προέλευσης και τελικού προορισμού, οι γενικοί ή τομεακοί κανόνες δικαίου, οι επαγγελματικοί κανόνες και τα μέτρα ασφαλείας που ισχύουν στην εν λόγω τρίτη χώρα.
3.      Τα κράτη μέλη και η Επιτροπή ενημερώνονται αμοιβαία οσάκις θεωρούν ότι μια τρίτη χώρα δεν εξασφαλίζει ικανοποιητικό επίπεδο προστασίας κατά την έννοια της παραγράφου 2.
4.      Όταν η Επιτροπή διαπιστώνει, με τη διαδικασία που αναφέρεται στο άρθρο 31 παράγραφος 2, ότι μια τρίτη χώρα δεν εξασφαλίζει ικανοποιητικό επίπεδο προστασίας κατά την έννοια της παραγράφου 2 του παρόντος άρθρου, τα κράτη μέλη λαμβάνουν τα αναγκαία μέτρα ώστε να αποφευχθεί οποιαδήποτε διαβίβαση τέτοιου είδους δεδομένων προς την εν λόγω τρίτη χώρα.
5.      Η Επιτροπή αρχίζει την κατάλληλη στιγμή διαπραγματεύσεις ώστε να επανορθωθεί η κατάσταση που προκύπτει από τη διαπίστωση που έχει γίνει κατ’ εφαρμογήν της παραγράφου 4.
6.      Η Επιτροπή μπορεί να αποφανθεί, με τη διαδικασία που αναφέρεται στο άρθρο 31 παράγραφος 2, ότι μια τρίτη χώρα εξασφαλίζει ικανοποιητικό επίπεδο προστασίας κατά την έννοια της παραγράφου 2 του παρόντος άρθρου, λόγω της εσωτερικής της νομοθεσίας ή των διεθνών δεσμεύσεων που έχει αναλάβει, ιδίως κατόπιν των διαπραγματεύσεων που αναφέρονται στην παράγραφο 5, ώστε να εξασφαλίζει την προστασία της ιδιωτικής ζωής και των θεμελιωδών ελευθεριών και δικαιωμάτων των προσώπων.
Τα κράτη μέλη λαμβάνουν τα αναγκαία μέτρα προκειμένου να συμμορφωθούν με την απόφαση της Επιτροπής.
Άρθρο 26
Παρεκκλίσεις
1.       Κατά παρέκκλιση από το άρθρο 25, και με την επιφύλαξη αντιθέτων διατάξεων της εθνικής νομοθεσίας που διέπουν κατ’ ιδίαν περιπτώσεις, τα κράτη μέλη προβλέπουν ότι η διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα που δεν εξασφαλίζει ικανοποιητικό επίπεδο προστασίας κατά την έννοια του άρθρου 25 παράγραφος 2, μπορεί να πραγματοποιηθεί εφόσον:
α)      το πρόσωπο στο οποίο αναφέρονται τα δεδομένα έχει συναινέσει ρητώς στη διαβίβαση ή
β)      η διαβίβαση είναι αναγκαία για την εκτέλεση σύμβασης μεταξύ του προσώπου στο οποίο αναφέρονται τα δεδομένα και του υπευθύνου επεξεργασίας ή για την εκτέλεση προσυμβατικών μέτρων ληφθέντων κατ’ αίτηση του προσώπου αυτού ή
γ)      η διαβίβαση είναι αναγκαία για τη συνομολόγηση ή την εκτέλεση σύμβασης που έχει συναφθεί ή πρόκειται να συναφθεί μεταξύ του υπευθύνου επεξεργασίας και τρίτου προς το συμφέρον του προσώπου στο οποίο αναφέρονται τα δεδομένα ή
δ)      η διαβίβαση είναι αναγκαία ή απαιτείται εκ του νόμου για τη διασφάλιση σημαντικού δημοσίου συμφέροντος ή για την αναγνώριση, άσκηση ή υπεράσπιση ενός δικαιώματος ενώπιον του δικαστηρίου ή
ε)      η διαβίβαση είναι αναγκαία για τη διασφάλιση ζωτικού συμφέροντος του προσώπου στο οποίο αναφέρονται τα δεδομένα ή
στ)       η διαβίβαση πραγματοποιείται από δημόσιο μητρώο το οποίο προορίζεται βάσει νομοθετικών ή κανονιστικών διατάξεων για την παροχή πληροφοριών στο κοινό και είναι προσιτό είτε στο κοινό γενικά είτε σε οποιοδήποτε πρόσωπο μπορεί να αποδείξει έννομο συμφέρον, εφόσον στη συγκεκριμένη περίπτωση πληρούνται οι σχετικές νόμιμες προϋποθέσεις.
2.      Με την επιφύλαξη της παραγράφου 1, ένα κράτος μέλος μπορεί να επιτρέπε[ι] μία ή πλείονες διαβιβάσεις δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα η οποία δεν εξασφαλίζει ικανοποιητικό επίπεδο προστασίας κατά την έννοια του άρθρου 25 παράγραφος 2 εφόσον ο υπεύθυνος της επεξεργασίας παρέχει επαρκείς εγγυήσεις για την προστασία της ιδιωτικής ζωής και των θεμελιωδών δικαιωμάτων και ελευθεριών των προσώπων καθώς και την άσκηση των σχετικών δικαιωμάτων· οι εγγυήσεις μπορούν ιδίως να απορρέουν από κατάλληλες συμβατικές ρήτρες.
3.      Το κράτος μέλος ενημερώνει την Επιτροπή και τα άλλα κράτη μέλη για τις άδειες που χορηγεί κατ’ εφαρμογήν της παραγράφου 2.
Εάν διατυπωθεί από άλλο κράτος μέλος ή την Επιτροπή ένσταση δεόντως αιτιολογημένη όσον αφορά την προστασία της ιδιωτικής ζωής και των θεμελιωδών δικαιωμάτων και ελευθεριών των προσώπων, η Επιτροπή θεσπίζει τα κατάλληλα μέτρα με τη διαδικασία που αναφέρεται στο άρθρο 31 παράγραφος 2.
Τα κράτη μέλη λαμβάνουν τα αναγκαία μέτρα προκειμένου να συμμορφωθούν με την απόφαση της Επιτροπής.
[...]
Άρθρο 28
Αρχή ελέγχου
1.      Κάθε κράτος μέλος προβλέπει ότι μία ή περισσότερες δημόσιες αρχές επιφορτίζονται με τον έλεγχο της εφαρμογής, στο έδαφός του, των εθνικών διατάξεων που έχουν θεσπισθεί από τα κράτη μέλη, κατ’ εφαρμογήν της παρούσας οδηγίας.
Οι εν λόγω αρχές ασκούν τα καθήκοντα που τους ανατίθενται με πλήρη ανεξαρτησία.
2.      Κάθε κράτος μέλος προβλέπει ότι ζητείται η γνώμη των αρχών ελέγχου κατά την εκπόνηση των διοικητικών ή κανονιστικών μέτρων που αφορούν την προστασία των δικαιωμάτων και των ελευθεριών των προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα.
3.      Κάθε αρχή ελέγχου διαθέτει συγκεκριμένα:
–        μέσα για τη διεξαγωγή έρευνας, όπως το δικαίωμα να έχει πρόσβαση στα δεδομένα που αποτελούν αντικείμενο επεξεργασίας και το δικαίωμα να συλλέγει κάθε αναγκαία πληροφορία για την εκπλήρωση της αποστολής ελέγχου,
–        αποτελεσματικές εξουσίες παρέμβασης, όπως για παράδειγμα την εξουσία να διατυπώνει γνώμες πριν από την εκτέλεση των επεξεργασιών, σύμφωνα με το άρθρο 20, και να διασφαλίζει την κατάλληλη δημοσιότητα των γνωμών αυτών, την εξουσία να επιτάσσει τη δέσμευση, διαγραφή ή την καταστροφή δεδομένων, να απαγορεύει επίσης προσωρινά ή οριστικά την επεξεργασία, να απευθύνει προειδοποίηση ή επίπληξη προς τον υπεύθυνο για την επεξεργασία ή να προσφεύγει στα εθνικά κοινοβούλια ή άλλα εθνικά πολιτικά όργανα,
–        την εξουσία να παρίσταται ενώπιον δικαστηρίου σε περίπτωση παράβασης των εθνικών διατάξεων που έχουν θεσπισθεί κατ’ εφαρμογήν της παρούσας οδηγίας, ή να επισημαίνει τις παραβάσεις αυτές στις δικαστικές αρχές.
Κατά των αποφάσεων της αρχής ελέγχου μπορούν να ασκηθούν ένδικα μέσα.
4.      Κάθε πρόσωπο ή κάθε ένωση που το εκπροσωπεί μπορεί να υποβάλει σε κάθε αρχή ελέγχου αίτηση σχετικά με την προστασία των δικαιωμάτων και ελευθεριών του έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Ο αιτών ενημερώνεται σχετικά με τη συνέχεια που δίδεται στην αίτησή του.
Κάθε πρόσωπο μπορεί ιδίως να υποβάλει σε κάθε αρχή ελέγχου αίτηση εξακρίβωσης της νομιμότητας μιας επεξεργασίας, εφόσον εφαρμόζονται οι εθνικές διατάξεις που έχουν θεσπισθεί δυνάμει του άρθρου 13 της παρούσας οδηγίας. Ο αιτών ενημερώνεται εν πάση περιπτώσει για τη διενέργεια ελέγχου.
[...]
6.      Κάθε αρχή ελέγχου είναι αρμόδια, ανεξάρτητα από την εθνική νομοθεσία που εφαρμόζεται στη συγκεκριμένη επεξεργασία, για την άσκηση, στο έδαφος του κράτους μέλους στο οποίο υπάγεται, των εξουσιών που διαθέτει σύμφωνα με την παράγραφο 3 του παρόντος άρθρου. Κάθε αρχή μπορεί να κληθεί να ασκήσει τις εξουσίες της από αρχή άλλου κράτους μέλους.
[...]
Άρθρο 31
[...]
2.       Στις περιπτώσεις που γίνεται αναφορά στο παρόν άρθρο, εφαρμόζονται τα άρθρα 4 και 7 της απόφασης 1999/468/ΕΚ [του Συμβουλίου, της 28ης Ιουνίου 1999, για τον καθορισμό των όρων άσκησης των εκτελεστικών αρμοδιοτήτων που ανατίθενται στην Επιτροπή (ΕΕ L 184, σ. 23)], τηρουμένων των διατάξεων του άρθρου 8 της ιδίας απόφασης.
[...]»
 Η απόφαση 2000/520
5        Η απόφαση 2000/520 εκδόθηκε από την Επιτροπή βάσει του άρθρου 25, παράγραφος 6, της οδηγίας 95/46.
6        Οι αιτιολογικές σκέψεις 2, 5 και 8 της αποφάσεως αυτής έχουν ως εξής:
«(2)      Η Επιτροπή δύναται να αποφαίνεται ότι μια τρίτη χώρα εξασφαλίζει ικανοποιητικό επίπεδο προστασίας. Στην περίπτωση αυτή επιτρέπεται να διαβιβάζονται τα δεδομένα προσωπικού χαρακτήρα από τα κράτη μέλη, χωρίς να είναι απαραίτητη η παροχή πρόσθετων εγγυήσεων.
[...]
(5)      Το ικανοποιητικό επίπεδο προστασίας για τη διαβίβαση δεδομένων από την Κοινότητα στις Ηνωμένες Πολιτείες, όπως αναγνωρίζεται από την παρούσα απόφαση, πρέπει να επιτυγχάνεται εφόσον οι οργανισμοί συμμορφώνονται με τις αρχές “ασφαλούς λιμένα” για την προστασία της ιδιωτικής ζωής (εφεξής: “οι αρχές ασφαλούς λιμένα”) και τις συχνά υποβαλλόμενες ερωτήσεις [εφεξής: “συχνές ερωτήσεις” (ΣΕ)], που παρέχουν καθοδήγηση για την εφαρμογή των αρχών ασφαλούς λιμένα, τις οποίες εξέδωσε η κυβέρνηση των Ηνωμένων Πολιτειών στις 21 Ιουλίου 2000. Εξάλλου, οι οργανισμοί πρέπει να δημοσιοποιούν τις πολιτικές που ακολουθούν στον τομέα της προστασίας της ιδιωτικής ζωής και να υπαχθούν είτε στη δικαιοδοσία της Federal Trade Commission (ομοσπονδιακής επιτροπής εμπορίου, εφεξής: “FTC”), σύμφωνα με το τμήμα 5 του νόμου Federal Trade Commisison Act [νόμος περί της (ομοσπονδιακής επιτροπής εμπορίου (εφεξής: “FTC Act”)], που απαγορεύει τις αθέμιτες ή δόλιες ενέργειες ή πρακτικές που επηρεάζουν τις εμπορικές συναλλαγές, είτε στη δικαιοδοσία άλλου νόμιμου φορέα, ο οποίος θα εξασφαλίσει όντως τη συμμόρφωση με τις αρχές ασφαλούς λιμένα, όπως αυτές εφαρμόζονται σύμφωνα με τις συχνές ερωτήσεις.
[...]
(8)      Προς το συμφέρον της διαφάνειας και προκειμένου να διασφαλιστεί η ικανότητα των αρμόδιων αρχών των κρατών μελών να εξασφαλίζουν την προστασία των ατόμων κατά την επεξεργασία των δεδομένων προσωπικού χαρακτήρα που τα αφορούν, είναι απαραίτητο να διευκρινιστούν στην απόφαση οι εξαιρετικές περιστάσεις κάτω από τις οποίες πρέπει να δικαιολογείται η αναστολή συγκεκριμένων διαβιβάσεων δεδομένων, παρά τη διαπίστωση περί ικανοποιητικού επιπέδου προστασίας.»
7        Κατά τα άρθρα 1 έως 4 της αποφάσεως 2000/520:
«Άρθρο 1
1.      Για τους σκοπούς του άρθρου 25 παράγραφος 2 της οδηγίας 95/46/ΕΚ, για όλες τις δραστηριότητες που εμπίπτουν στο πεδίο εφαρμογής της οδηγίας, οι “αρχές ασφαλούς λιμένα για την προστασία της ιδιωτικής ζωής” (εφεξής: “οι αρχές ασφαλούς λιμένα”), όπως παρατίθενται στο παράρτημα I της παρούσας απόφασης, που εφαρμόζονται σύμφωνα με την καθοδήγηση που παρέχεται από τις συχνά υποβαλλόμενες ερωτήσεις (εφεξής: “συχνές ερωτήσεις”), που εκδόθηκαν από το Υπουργείο Εμπορίου των ΗΠΑ στις 21 Ιουλίου 2000, όπως παρατίθενται στο παράρτημα II της παρούσας απόφασης, θεωρείται ότι παρέχουν ικανοποιητικό επίπεδο προστασίας για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα από την Κοινότητα σε οργανισμούς εγκατεστημένους στις Ηνωμένες Πολιτείες, λαμβανομένων υπόψη των ακόλουθων εγγράφων, που εκδόθηκαν από το Υπουργείο Εμπορίου των ΗΠΑ:
α)      μιας ανασκόπησης της επιβαλλόμενης εφαρμογής των αρχών ασφαλούς λιμένα, όπως παρατίθεται στο παράρτημα III·
β)      ενός υπομνήματος σχετικά με την πρόκληση βλάβης λόγω παραβίασης του απορρήτου της ιδιωτικής ζωής και σχετικά με τις ρητές εγκρίσεις που προβλέπονται στο αμερικανικό δίκαιο, όπως παρατίθενται στο παράρτημα IV·
γ)      μιας επιστολής από την ομοσπονδιακή επιτροπή εμπορίου, όπως παρατίθεται στο παράρτημα V·
δ)      μιας επιστολής από το Υπουργείο Μεταφορών των ΗΠΑ, όπως παρατίθεται στο παράρτημα VI.
2.      Για κάθε διαβίβαση δεδομένων πληρούνται οι ακόλουθες προϋποθέσεις:
α)      ο οργανισμός που παραλαμβάνει τα δεδομένα έχει δηλώσει σαφώς και δημοσίως τη δέσμευσή του να συμμορφωθεί με τις αρχές ασφαλούς λιμένα, όπως αυτές εφαρμόζονται σύμφωνα με τις συχνές ερωτήσεις και
β)      ο οργανισμός υπόκειται στις νόμιμες εξουσίες ενός κρατικού φορέα των Ηνωμένων Πολιτειών όπως αναφέρεται στο παράρτημα VII της παρούσας απόφασης και ο οποίος έχει το δικαίωμα να διερευνά καταγγελίες και να λαμβάνει μέτρα κατά των αθέμιτων και δολίων πρακτικών, καθώς και για την αποζημίωση των θιγομένων ατόμων, ανεξάρτητα από τη χώρα κατοικίας ή την ιθαγένειά τους, σε περίπτωση μη συμμόρφωσης προς τις αρχές ασφαλούς λιμένα, όπως αυτές εφαρμόζονται σύμφωνα με τις συχνές ερωτήσεις.
3.      Οι όροι που αναφέρονται στην παράγραφο 2 θεωρείται ότι πληρούνται για κάθε οργανισμό που δηλώνει την προσχώρησή του στις αρχές ασφαλούς λιμένα, όπως αυτές εφαρμόζονται σύμφωνα με τις συχνές ερωτήσεις, από την ημερομηνία κατά την οποία ο οργανισμός αυτός γνωστοποιεί στο Υπουργείο Εμπορίου των ΗΠΑ (ή στον φορέα που έχει οριστεί απ’ αυτό) τη δημόσια δέσμευση που αναφέρεται στην παράγραφο 2 στοιχείο α), καθώς και τα στοιχεία του κρατικού φορέα που αναφέρεται στην παράγραφο 2 στοιχείο β).
Άρθρο 2
Η παρούσα απόφαση αφορά μόνο την επάρκεια της προστασίας που παρέχεται στις Ηνωμένες Πολιτείες σύμφωνα με τις αρχές ασφαλούς λιμένα, όπως αυτές εφαρμόζονται σύμφωνα με τις συχνές ερωτήσεις, σε σχέση με την τήρηση των απαιτήσεων του άρθρου 25 παράγραφος 1 της οδηγίας 95/46/ΕΚ και δεν επηρεάζει την εφαρμογή άλλων διατάξεων της εν λόγω οδηγίας που αφορούν την επεξεργασία δεδομένων προσωπικού χαρακτήρα στα κράτη μέλη, συμπεριλαμβανομένου του άρθρου 4 της οδηγίας 95/46/ΕΚ.
Άρθρο 3
1.      Με την επιφύλαξη των εξουσιών τους να αναλαμβάνουν δράση προκειμένου να εξασφαλίζουν την τήρηση των εθνικών διατάξεων που εκδίδονται σύμφωνα με διατάξεις διαφορετικές από το άρθρο 25 της οδηγίας 95/46/ΕΚ, οι αρμόδιες αρχές των κρατών μελών δύνανται να ασκούν τις υφιστάμενες εξουσίες τους για να αναστέλλουν τη ροή δεδομένων προς οργανισμό που έχει δηλώσει ότι προσχωρεί στις αρχές ασφαλούς λιμένα, όπως αυτές εφαρμόζονται σύμφωνα με τις συχνές ερωτήσεις, προκειμένου να προστατεύουν τα φυσικά πρόσωπα από την επεξεργασία δεδομένων προσωπικού χαρακτήρα που τα αφορούν, στις ακόλουθες περιπτώσεις:
α)      όταν ο κρατικός φορέας των Ηνωμένων Πολιτειών που αναφέρεται στο παράρτημα VII της παρούσας απόφασης ή ένας ανεξάρτητος φορέας προσφυγής, κατά την έννοια του πρώτου εδαφίου της αρχής εφαρμογής, όπως παρατίθεται στο παραρτήματος I της παρούσας απόφασης, κρίνει ότι ο οργανισμός παραβιάζει τις αρχές ασφαλούς λιμένα, όπως αυτές εφαρμόζονται σύμφωνα με τις συχνές ερωτήσεις, ή
β)      όταν υπάρχει σοβαρή πιθανότητα παραβίασης των αρχών ασφαλούς λιμένα, όταν υπάρχουν στοιχεία από τα οποία προκύπτει βασίμως ότι ο σχετικός φορέας εφαρμογής δεν λαμβάνει ή δεν θα λάβει κατάλληλα και έγκαιρα μέτρα για τη διευθέτηση του προβλήματος, όταν η συνέχιση της διαβίβασης δεδομένων δημιουργεί άμεσο κίνδυνο πρόκλησης σοβαρής ζημίας στα άτομα τα οποία αφορούν τα δεδομένα, και όταν οι αρμόδιες αρχές του κράτους μέλους κατέβαλαν, υπό τις συγκεκριμένες περιστάσεις, κάθε δυνατή προσπάθεια για να ενημερώσουν σχετικά τον οργανισμό και να του δώσουν τη δυνατότητα να απαντήσει.
Η αναστολή της ροής δεδομένων λήγει αμέσως μόλις εξασφαλιστεί η συμμόρφωση με τις αρχές ασφαλούς λιμένα, όπως αυτές εφαρμόζονται σύμφωνα με τις συχνές ερωτήσεις, και ενημερωθούν σχετικά οι αρμόδιες αρχές στην ΕΕ.
2. Όταν λαμβάνονται μέτρα βάσει της παραγράφου 1, τα κράτη μέλη ενημερώνουν αμελλητί την Επιτροπή.
3.      Τα κράτη μέλη και η Επιτροπή ενημερώνονται αμοιβαία για τις περιπτώσεις στις οποίες η δράση των φορέων που είναι υπεύθυνοι για τη συμμόρφωση με τις αρχές ασφαλούς λιμένα, όπως αυτές εφαρμόζονται σύμφωνα με τις συχνές ερωτήσεις στις Ηνωμένες Πολιτείες, αποτυγχάνει να εξασφαλίσει την εν λόγω συμμόρφωση.
4.      Αν από τα πληροφοριακά στοιχεία που συλλέγονται βάσει των παραγράφων 1 έως 3 προκύπτει ότι οποιοσδήποτε φορέας που είναι αρμόδιος για τη συμμόρφωση με τις αρχές ασφαλούς λιμένα, όπως αυτές εφαρμόζονται σύμφωνα με τις συχνές ερωτήσεις, στις Ηνωμένες Πολιτείες δεν εκπληρώνει ικανοποιητικά την αποστολή του, η Επιτροπή ενημερώνει σχετικά το Υπουργείο Εμπορίου των ΗΠΑ και, εφόσον χρειάζεται, υποβάλλει σχέδιο μέτρων σύμφωνα με τη διαδικασία που προβλέπεται στο άρθρο 31 της οδηγίας 95/46/ΕΚ, με σκοπό την ακύρωση ή την αναστολή της παρούσας απόφασης ή τον περιορισμό του πεδίου εφαρμογής της.
Άρθρο 4
1.       Η παρούσα απόφαση δύναται να προσαρμόζεται ανά πάσα στιγμή υπό το φως των εμπειριών που αφορούν την εφαρμογή της ή/και αν το επίπεδο προστασίας που παρέχεται από τις αρχές ασφαλούς λιμένα και τις συχνές ερωτήσεις είναι υποδεέστερο από τις απαιτήσεις της νομοθεσίας των ΗΠΑ. Εν πάση περιπτώσει, η Επιτροπή αξιολογεί την εφαρμογή της παρούσας απόφασης βάσει των διαθέσιμων πληροφοριών τρία έτη μετά την κοινοποίησή της στα κράτη μέλη και ανακοινώνει τα σχετικά πορίσματά της στην επιτροπή που συστάθηκε βάσει του άρθρου 31 της οδηγίας 95/46/ΕΚ, περιλαμβανομένης οποιασδήποτε ένδειξης η οποία θα μπορούσε να επηρεάσει την εκτίμηση σύμφωνα με την οποία οι ρυθμίσεις που αναφέρονται στο άρθρο 1 της παρούσας απόφασης παρέχουν ικανοποιητική προστασία, κατά την έννοια του άρθρου 25 της οδηγίας 95/46/ΕΚ, καθώς και κάθε ένδειξης από την οποία προκύπτει ότι η παρούσα απόφαση εφαρμόζεται κατά τρόπο που επιφέρει διακρίσεις.
2.      Η Επιτροπή υποβάλλει, εφόσον χρειάζεται, σχέδιο μέτρων σύμφωνα με τη διαδικασία που προβλέπεται στο άρθρο 31 της οδηγίας 95/46/ΕΚ.»
8        Το παράρτημα Ι της αποφάσεως 2000/520 έχει ως εξής:
«Οι αρχές ασφαλούς λιμένα περί ιδιωτικής ζωής
που εξέδωσε το Υπουργείο Εμπορίου των Ηνωμένων Πολιτειών στις 21 Ιουλίου 2000
[...]
[...] [Τ]ο Υπουργείο Εμπορίου εκδίδει το παρόν έγγραφο και τις συχνές ερωτήσεις (εφεξής: “οι αρχές”) ως αρμόδιο όργανο για την ενίσχυση, την προώθηση και την ανάπτυξη του διεθνούς εμπορίου. Οι αρχές αναπτύχθηκαν σε συνεννόηση με τη βιομηχανία και το ευρύ κοινό για να διευκολυνθούν οι συναλλαγές και το εμπόριο μεταξύ των Ηνωμένων Πολιτειών και της Ευρωπαϊκής Ένωσης. Προορίζονται αποκλειστικά για χρήση από αμερικανικούς οργανισμούς που λαμβάνουν δεδομένα προσωπικού χαρακτήρα από την Ευρωπαϊκή Ένωση, προκειμένου οι οργανισμοί αυτοί να πληρούν τις προϋποθέσεις του “ασφαλούς λιμένα” και να επωφελούνται από το τεκμήριο “επάρκειας” που παρέχει η ένταξη σ’ αυτόν. Καθώς οι αρχές δημιουργήθηκαν αποκλειστικά και μόνο για την εξυπηρέτηση αυτού του συγκεκριμένου σκοπού, ενδέχεται να μην ενδείκνυται η υιοθέτησή τους για άλλους σκοπούς. [...]
Η προσχώρηση των οργανισμών στον ασφαλή λιμένα είναι απόλυτα προαιρετική και μπορεί να πραγματοποιηθεί κατά διάφορους τρόπους. [...]
Η προσχώρηση στις εν λόγω αρχές δύναται να περιοριστεί α) στο μέτρο που είναι αναγκαίο για να πληρούνται απαιτήσεις εθνικής ασφάλειας, δημόσιου συμφέροντος και εφαρμογής του νόμου· β) από νομοθετικές, κυβερνητικές ή νομολογιακές διατάξεις οι οποίες δημιουργούν αντιφατικές υποχρεώσεις ή ρητή έγκριση, υπό τον όρο ότι, κατά την άσκηση οποιασδήποτε παρόμοιας έγκρισης, ο οργανισμός μπορεί να αποδείξει ότι η μη συμμόρφωσή του με τις αρχές περιορίζεται στο μέτρο που είναι αναγκαίο για να πληρούνται τα υπερισχύοντα νόμιμα συμφέροντα τα οποία εξυπηρετεί η εν λόγω έγκριση· ή γ) από εξαιρέσεις ή παρεκκλίσεις τις οποίες προβλέπει η οδηγία ή ο νόμος του κράτους μέλους, εφόσον οι εν λόγω εξαιρέσεις ή παρεκκλίσεις εφαρμόζονται σε συγκρίσιμα πλαίσια. Σε συνέπεια με το στόχο της ενίσχυσης της προστασίας της ιδιωτικής ζωής, οι οργανισμοί οφείλουν να καταβάλλουν κάθε προσπάθεια ώστε να εφαρμόζουν τις αρχές αυτές κατά τρόπο πλήρη και διαφανή, ενώ θα πρέπει επίσης να υποδεικνύουν στις σχετικές με την προστασία της ιδιωτικής ζωής πολιτικές τους, τις περιπτώσεις όπου θα εφαρμόζονται σε τακτική βάση οι εξαιρέσεις από τις αρχές που επιτρέπονται από το στοιχείο β) παραπάνω. Για τον ίδιο λόγο, όταν θα επιτρέπεται η εναλλακτική δυνατότητα βάσει των αρχών ή/και του δικαίου των ΗΠΑ, αναμένεται από τους οργανισμούς να επιλέγουν την υψηλότερη προστασία όπου αυτό είναι δυνατόν.
[...]»
9        Το παράρτημα ΙΙ της αποφάσεως 2000/520 έχει ως εξής:
«Συχνές ερωτήσεις (ΣΕ)
[...]
ΣΕ αριθ. 6 – Αυτοπιστοποίηση
Ε:      Με ποιον τρόπο πραγματοποιείται η αυτοπιστοποίηση εκ μέρους ενός οργανισμού που προσχωρεί στις αρχές ασφαλούς λιμένα;
Α:      Τα οφέλη ασφαλούς λιμένα εξασφαλίζονται από την ημερομηνία κατά την οποία ένας οργανισμός αυτοπιστοποιεί στο Υπουργείο Εμπορίου ή τον οριζόμενο από αυτό φορέα την προσχώρησή του στις αρχές σύμφωνα με τις οδηγίες που αναφέρονται παρακάτω.
Προκειμένου να προβεί σε αυτοπιστοποίηση στο πλαίσιο του ασφαλούς λιμένα, ο οργανισμός είναι δυνατόν να απευθύνει στο Υπουργείο Εμπορίου (ή τον οριζόμενο από αυτό φορέα) επιστολή, υπογεγραμμένη από στέλεχος του οργανισμού και εξ ονόματος του οργανισμού που σκοπεύει να προσχωρήσει στις αρχές του ασφαλούς λιμένα, η οποία θα περιέχει τουλάχιστον τις ακόλουθες πληροφορίες:
1)      επωνυμία του οργανισμού, ταχυδρομική διεύθυνση, ηλεκτρονική διεύθυνση, αριθμούς τηλεφώνου και φαξ·
2)      περιγραφή των κύριων δραστηριοτήτων του οργανισμού, όσον αφορά τις πληροφορίες προσωπικού χαρακτήρα που λαμβάνονται από την ΕΕ·
3)      περιγραφή της πολιτικής του οργανισμού περί ιδιωτικής ζωής, όσον αφορά αυτές τις πληροφορίες προσωπικού χαρακτήρα, η οποία θα αναφέρει: α) πού μπορεί το κοινό να συμβουλευτεί το εν λόγω κείμενο· β) την πραγματική ημερομηνία εφαρμογής του κειμένου· γ) το όνομα του γραφείου επαφής για το χειρισμό των καταγγελιών, τα αιτήματα πρόσβασης και οποιοδήποτε άλλο ζήτημα προκύπτει στο πλαίσιο του ασφαλούς λιμένα· δ) τον ειδικό επίσημο φορέα στην αρμοδιότητα του οποίου εμπίπτει η εξέταση τυχόν καταγγελιών κατά του οργανισμού όσον αφορά αθέμιτες ή δόλιες πρακτικές, ή παραβάσεις νόμων ή κανονισμών που διέπουν την ιδιωτική ζωή (και ο οποίος αναφέρεται στο παράρτημα που επισυνάπτεται στις αρχές)· ε) την ονομασία κάθε προγράμματος περί προστασίας της ιδιωτικής ζωής στο οποίο συμμετέχει ο οργανισμός· στ) τη μέθοδο επαλήθευσης (π.χ. εσωτερική, από τρίτους) […], και ζ) τον ανεξάρτητο μηχανισμό προσφυγής που διατίθεται για τη διερεύνηση των ανεπίλυτων καταγγελιών.
Στις περιπτώσεις κατά τις οποίες ο οργανισμός επιθυμεί τα οφέλη του από τον ασφαλή λιμένα να καλύπτουν πληροφορίες σχετικά με το ανθρώπινο δυναμικό που θα διαβιβάζονται από την ΕΕ για χρήση στο πλαίσιο εργασιακής σχέσης, μπορεί να πράττει ανάλογα στις περιπτώσεις όπου υπάρχει ένας επίσημος φορέας στην αρμοδιότητα του οποίου εμπίπτει η εξέταση τυχόν καταγγελιών κατά του οργανισμού όσον αφορά τις πληροφορίες σχετικά με το ανθρώπινο δυναμικό και ο οποίος θα αναφέρεται στο παράρτημα που επισυνάπτεται στις αρχές. [...]
Το Υπουργείο (ή ο οριζόμενες από αυτό φορέας) θα διατηρεί κατάλογο όλων των οργανισμών που αρχειοθετούν παρόμοιες επιστολές, εξασφαλίζοντας ως εκ τούτου τη διαθεσιμότητα των οφελών στα πλαίσια του ασφαλούς λιμένα και θα ενημερώνει παρόμοιο κατάλογο με βάση ετήσιες επιστολές και κοινοποιήσεις που θα λαμβάνονται σύμφωνα με τη ΣΕ αριθ. 11. [...]
[...]
ΣΕ αριθ. 11 – Επίλυση διαφορών και εφαρμογή
Ε:      Πώς πρέπει να εφαρμόζονται οι απαιτήσεις που προκύπτουν από την αρχή της εφαρμογής σχετικά με την επίλυση διαφορών και πώς θα αντιμετωπίζεται η επίμονη μη συμμόρφωση ενός οργανισμού προς τις αρχές;
Α:       Η αρχή της εφαρμογής ορίζει τις απαιτήσεις για τις διαδικασίες εφαρμογής του ασφαλούς λιμένα. Το πώς να πληρούνται οι απαιτήσεις του στοιχείου β) της αρχής εξετάζεται στη συχνή –––ερώτηση σχετικά με την επαλήθευση (ΣΕ αριθ. 7). Η παρούσα συχνή ερώτηση εξετάζει τα στοιχεία α) και γ), κάθε ένα από τα οποία απαιτεί ανεξάρτητες διαδικασίες προσφυγής. Οι διαδικασίες αυτές μπορούν να λάβουν διάφορες μορφές αλλά οφείλουν να ανταποκρίνονται στις απαιτήσεις της αρχής της εφαρμογής. Οι οργανισμοί μπορούν να πληρούν τις απαιτήσεις που ορίζει η αρχή αυτή με τους ακόλουθους τρόπους: 1. με τη συμμόρφωση με τα προγράμματα προστασίας του ιδιωτικού βίου τα οποία αναπτύσσει ο ιδιωτικός τομέας και τα οποία ενσωματώνουν τις αρχές του ασφαλούς λιμένα στους κανόνες τους και περιλαμβάνουν αποτελεσματικές διαδικασίες εφαρμογής του είδους που περιγράφεται στην αρχή της εφαρμογής· 2. με τη συμμόρφωση προς τις εποπτικές αρχές που προβλέπονται από νόμους ή από κανονιστικές πράξεις, οι οποίες χειρίζονται τις καταγγελίες ιδιωτών και την επίλυση διαφορών, ή 3. με την ανάληψη της υποχρέωσης συνεργασίας με τις αρχές προστασίας δεδομένων που είναι εγκατεστημένες στην Ευρωπαϊκή Κοινότητα ή τους εξουσιοδοτημένους αντιπροσώπους τους. Ο κατάλογος αυτός έχει ενδεικτικό και όχι περιοριστικό χαρακτήρα. Ο ιδιωτικός τομέας μπορεί να εισαγάγει άλλες διαδικασίες εφαρμογής, εφόσον αυτές πληρούν τις απαιτήσεις της αρχής της εφαρμογής και των ΣΕ. Πρέπει να σημειωθεί ότι οι απαιτήσεις της αρχής της εφαρμογής συμπληρώνουν την απαίτηση που περιλαμβάνεται στην παράγραφο 3 της εισαγωγής στις αρχές, σύμφωνα με την οποία οι αυτορυθμιστικές προσπάθειες πρέπει να είναι εφαρμόσιμες σύμφωνα με το άρθρο 5 του FTC Act ή σύμφωνα με παρόμοιο καθεστώς.
Φορείς προσφυγής
Οι καταναλωτές πρέπει να ενθαρρύνονται να υποβάλλουν τις ενδεχόμενες καταγγελίες τους στον οικείο οργανισμό πριν απευθυνθούν σε ανεξάρτητους φορείς προσφυγής. [...]
[...]
Δράση της FTC
Η FTC είναι αρμόδια να εξετάζει κατά προτεραιότητα καταγγελίες που υποβάλλουν αυτορυθμιστικοί οργανισμοί προστασίας του ιδιωτικού βίου, όπως η BBBOnline και η TRUSTe, καθώς και τα κράτη μέλη της ΕΕ που επικαλούνται τη μη συμμόρφωση με τις αρχές του ασφαλούς λιμένα προκειμένου να αποφανθεί εάν υπάρχει παράβαση του κεφαλαίου 5 του νόμου FTC που απαγορεύει τις αθέμιτες ή παραπλανητικές πράξεις ή πρακτικές στο εμπόριο. [...]»
[...]
10      Κατά το παράρτημα IV της αποφάσεως 2000/520:
«Απόρρητο ιδιωτικής ζωής και αποζημιώσεις, νόμιμες άδειες και συγχωνεύσεις και εξαγορές στο δίκαιο των ΗΠΑ
Το παρόν έγγραφο συντάχθηκε κατόπιν αιτήματος της Επιτροπής για τη διασάφηση της νομοθεσίας των ΗΠΑ όσον αφορά: α) αξιώσεις για την αποκατάσταση ζημιών λόγω παραβίασης της ιδιωτικής ζωής, β) “ρητές άδειες” που προβλέπονται στο αμερικανικό δίκαιο για τη χρήση προσωπικών πληροφοριών κατά τρόπο που δεν συνάδει με τις αρχές του ασφαλούς λιμένα, και γ) τον αντίκτυπο των συγχωνεύσεων και εξαγορών στις υποχρεώσεις που έχουν αναληφθεί με βάση τις αρχές του ασφαλούς λιμένα.
[...]
B.      Ρητές νόμιμες άδειες
Οι αρχές ασφαλούς λιμένα περιλαμβάνουν μια εξαίρεση στην περίπτωση που ο γραπτός νόμος, οι κανονιστικές ρυθμίσεις ή η νομολογία δημιουργούν “αντιτιθέμενες υποχρεώσεις ή ρητές άδειες, υπό τον όρο ότι, κατά την άσκηση μιας παρόμοιας εξουσιοδότησης, ένας οργανισμός μπορεί να αποδείξει ότι η μη συμμόρφωσή του με τις αρχές αυτές περιορίζεται στο βαθμό που είναι απαραίτητος για την εξυπηρέτηση των κύριων έννομων συμφερόντων αυτού του οργανισμού”. Σαφώς, στην περίπτωση που το αμερικανικό δίκαιο επιβάλλει μια αντικρουόμενη υποχρέωση, οι οργανισμοί των ΗΠΑ, είτε συμμορφώνονται με τις αρχές ασφαλούς λιμένα είτε όχι, πρέπει να εφαρμόσουν το δίκαιο. Όσον αφορά τις ρητές άδειες, παρόλο που οι αρχές του ασφαλούς λιμένα σκοπεύουν να γεφυρώσουν τις διαφορές μεταξύ των αμερικανικών και ευρωπαϊκών συστημάτων προστασίας του απορρήτου της ιδιωτικής ζωής, οφείλουμε να τηρήσουμε τα νομοθετικά προνόμια των εκλεγμένων νομοθετών μας. Η δυνατότητα περιορισμένης εξαίρεσης από την αυστηρή προσήλωση στις αρχές του ασφαλούς λιμένα στοχεύει να παγιώσει μια ισορροπία ώστε να συμβιβάζονται τα έννομα συμφέροντα και των δύο πλευρών.
Η εξαίρεση περιορίζεται σε περιπτώσεις όπου υπάρχει ρητή εξουσιοδότηση. Επομένως, εν είδει κατωφλίου, ο σχετικός γραπτός νόμος, η κανονιστική ρύθμιση ή η δικαστική απόφαση πρέπει να επιτρέπει ρητά τη συγκεκριμένη συμπεριφορά από τους οργανισμούς που έχουν προσχωρήσει στις αρχές ασφαλούς λιμένα […]. Με άλλα λόγια, η εξαίρεση δεν ισχύει στις περιπτώσεις όπου ο νόμος είναι σιωπηρός. Επιπλέον, η εξαίρεση ισχύει μόνο στην περίπτωση που η ρητή άδεια έρχεται σε αντίθεση με την τήρηση των αρχών του ασφαλούς λιμένα. Ακόμη όμως και τότε, η εξαίρεση “περιορίζεται στο βαθμό που είναι απαραίτητος για την κάλυψη των κύριων έννομων συμφερόντων του εν λόγω οργανισμού”. Ενδεικτικά, στις περιπτώσεις στις οποίες ο νόμος επιτρέπει απλώς σε μια εταιρεία να παρέχει προσωπικές πληροφορίες σε κρατικές αρχές, η εξαίρεση δεν ισχύει. Αντιθέτως, στην περίπτωση που ο νόμος εξουσιοδοτεί συγκεκριμένα την εταιρεία να υποβάλει προσωπικές πληροφορίες στις κρατικές υπηρεσίες χωρίς τη συγκατάθεση του ενδιαφερόμενου, τότε η περίπτωση αυτή αποτελεί “ρητή άδεια” εφόσον κατά τον τρόπο αυτό δεν θα τηρούνται οι αρχές του ασφαλούς λιμένα. Διαφορετικά, οι ειδικές εξαιρέσεις από τις ρητές απαιτήσεις κοινοποίησης και συγκατάθεσης εμπίπτουν στο πλαίσιο της εξαίρεσης (εφόσον αποτελούν το ισοδύναμο μιας ρητής εξουσιοδότησης για την κοινοποίηση πληροφοριών χωρίς κοινοποίηση ή συγκατάθεση). Για παράδειγμα, ένας νόμος που εξουσιοδοτεί τους γιατρούς να κοινοποιούν τα ιατρικά αρχεία των ασθενών τους στους αρμόδιους φορείς υγείας χωρίς τη συγκατάθεσή τους μπορεί να αποτελέσει εξαίρεση από τις αρχές κοινοποίησης και επιλογής. Η εξουσιοδότηση αυτή δεν επιτρέπει όμως σε ένα γιατρό να κοινοποιεί τα ίδια ιατρικά αρχεία σε φορείς υγειονομικής περίθαλψης ή εργαστήρια φαρμακευτικής έρευνας επειδή επεκτείνεται πέραν του πεδίου των σκοπών που επιτρέπονται από το νόμο και κατά συνέπεια πέραν από το πεδίο εφαρμογής της εξαίρεσης […]. Η εν λόγω εξουσιοδότηση μπορεί να αποτελεί μια “αυτόνομη” εξουσιοδότηση για την ανάληψη συγκεκριμένων ενεργειών που αφορούν προσωπικές πληροφορίες, αλλά, όπως φαίνεται από τα ακόλουθα παραδείγματα, είναι πιθανότερο να αποτελεί εξαίρεση από ένα ευρύτερο νόμο που απαγορεύει τη συλλογή, χρήση ή διάδοση προσωπικών πληροφοριών.
[...]»
 Η ανακοίνωση COM(2013) 846 τελικό
11      Στις 27 Νοεμβρίου 2013 η Επιτροπή εξέδωσε την ανακοίνωση προς το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο, με τίτλο «Αποκατάσταση της εμπιστοσύνης στις ροές δεδομένων μεταξύ της Ευρωπαϊκής Ένωσης και των Ηνωμένων Πολιτειών της Αμερικής [COM(2013) 846 τελικό] [στο εξής: ανακοίνωση COM(2013) 846 τελικό]. Η ανακοίνωση αυτή συνοδευόταν από έκθεση, με ημερομηνία επίσης 27 Νοεμβρίου 2013, «επί των πορισμάτων της συμπροεδρίας της ad hoc ομάδας εργασίας ΕΕ-ΗΠΑ για την προστασία δεδομένων προσωπικού χαρακτήρα» («Report on the Findings by the EU Co-chairs of the ad hoc EU-US Working Group on Data Protection»). Η έκθεση αυτή συντάχθηκε, όπως επισημαίνεται στο σημείο 1 αυτής, σε συνεργασία με τις Ηνωμένες Πολιτείες της Αμερικής μετά την αποκάλυψη ότι στη χώρα αυτή υπήρχαν διάφορα προγράμματα παρακολούθησης που περιλάμβαναν τη συλλογή και την επεξεργασία, σε ευρεία κλίμακα, δεδομένων προσωπικού χαρακτήρα. Η έκθεση αυτή περιλαμβάνει, συγκεκριμένα, λεπτομερή ανάλυση της έννομης τάξεως των Ηνωμένων Πολιτειών όσον αφορά ιδίως τη νομική βάση που επιτρέπει τα προγράμματα παρακολούθησης καθώς και τη συλλογή και την επεξεργασία δεδομένων προσωπικού χαρακτήρα από τις αμερικανικές αρχές.
12      Στο σημείο 1 της ανακοινώσεως COM(2013) 846 τελικό η Επιτροπή διευκρίνισε ότι «οι εμπορικές συναλλαγές αποτελούν το αντικείμενο της απόφασης [2000/520]», προσθέτοντας ότι «η συγκεκριμένη απόφαση παρέχει νομική βάση για τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα από την Ευρωπαϊκή Ένωση προς επιχειρήσεις εγκατεστημένες στις Ηνωμένες Πολιτείες οι οποίες έχουν προσυπογράψει τις αρχές ασφαλούς λιμένα». Εξάλλου, στο σημείο 1 η Επιτροπή τόνισε την αυξανόμενη σημασία των ροών δεδομένων προσωπικού χαρακτήρα, που συνδέεται ιδίως με την ανάπτυξη της ψηφιακής οικονομίας, η οποία στην πραγματικότητα «έχει οδηγήσει σε τεράστια ανάπτυξη της ποσότητας, της ποιότητας, της ποικιλομορφίας και του χαρακτήρα των δραστηριοτήτων επεξεργασίας δεδομένων».
13      Στο σημείο 2 της ανακοινώσεως η Επιτροπή παρατήρησε ότι
«το επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα των πολιτών της [Ένωσης] που διαβιβάζονται προς τις Ηνωμένες Πολιτείες, στο πλαίσιο του συστήματος ασφαλούς λιμένα δημιουργεί όλο και περισσότερες ανησυχίες» και ότι «[ο] προαιρετικός και αναγνωριστικός χαρακτήρας του συστήματος ασφαλούς λιμένα έχει συγκεντρώσει την προσοχή στη διαφάνειά και την εφαρμογή του».
14      Εξάλλου, στο ίδιο σημείο 2 επισήμανε ότι «[τ]α δεδομένα προσωπικού χαρακτήρα των πολιτών της [Ένωσης] που αποστέλλονται στις Ηνωμένες Πολιτείες στο πλαίσιο της συμφωνίας ασφαλούς λιμένα τίθενται, ενδεχομένως, στη διάθεση των αμερικανικών αρχών και αποτελούν το αντικείμενο περαιτέρω επεξεργασίας κατά τρόπο ασυμβίβαστο με τους λόγους για τους οποίους συγκεντρώθηκαν αρχικά στην [Ένωση] και με τους σκοπούς της διαβίβασής τους στις Ηνωμένες Πολιτείες» και ότι «[η] πλειοψηφία των αμερικανικών επιχειρήσεων του διαδικτύου, που κατά τα φαινόμενα είναι οι πλέον άμεσα ενδιαφερόμενες για τα […] προγράμματα [παρακολούθησης], έχουν πιστοποιηθεί σύμφωνα με το σύστημα ασφαλούς λιμένα».
15      Στο σημείο 3.2 της ανακοινώσεως COM(2013) 846 τελικό η Επιτροπή επισήμανε ότι υπήρχαν ορισμένες αδυναμίες σχετικά με την εφαρμογή της οδηγίας 2000/250. Ανέφερε, αφενός, ότι πιστοποιημένες αμερικανικές επιχειρήσεις δεν τηρούν τις αρχές του άρθρου 1, παράγραφος 1, της αποφάσεως 2000/250 (στο εξής: αρχές ασφαλούς λιμένα) και ότι έπρεπε να υπάρξουν βελτιώσεις της οδηγίας αυτής ως προς «τα διαρθρωτικά κενά που έχουν σχέση με την ασφάλεια και τον έλεγχο της εφαρμογής του, τις ουσιαστικές αρχές του συστήματος ασφαλούς λιμένα και την εφαρμογή της εξαίρεσης για λόγους εθνικής ασφάλειας». Αφετέρου, παρατήρησε ότι «[το] σύστημα ασφαλούς λιμένα χρησιμεύει επίσης ως μέσο για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα ευρωπαίων πολιτών, από την [Ένωση] προς τις Ηνωμένες Πολιτείες, από τις επιχειρήσεις που είναι υποχρεωμένες να διαβιβάζουν δεδομένα στις αμερικανικές υπηρεσίες πληροφοριών στο πλαίσιο αμερικανικών προγραμμάτων συλλογής πληροφοριών».
16      Η Επιτροπή κατέληξε, στο ίδιο σημείο 3.2 της ανακοινώσεως COM(2013) 846, στο ότι, παρότι, «[λ]αμβάνοντας υπόψη τις εντοπισθείσες ανεπάρκειες, το σύστημα ασφαλούς λιμένα δεν μπορεί πλέον να εφαρμόζεται υπό την παρούσα μορφή του, […] η ανάκλησή του θα ζημίωνε [εντούτοις] τα συμφέροντα των επιχειρήσεων που έχουν προσχωρήσει στο σύστημα στην Ευρωπαϊκή Ένωση και στις Ηνωμένες Πολιτείες». Τέλος, στο ίδιο σημείο η Επιτροπή προσέθεσε, ότι «προτίθεται να ξεκινήσει επειγόντως διάλογο με τις αμερικανικές αρχές για να εξετάσει τα κενά που εντοπίστηκαν».
 Η ανακοίνωση COM(2013) 847 τελικό
17      Κατά την ίδια ημερομηνία, την 27η Νοεμβρίου 2013, η Επιτροπή εξέδωσε την ανακοίνωση προς το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο όσον αφορά τη λειτουργία του ασφαλούς λιμένα από τη σκοπιά των πολιτών της Ένωσης και των εταιριών που είναι εγκατεστημένες στην ΕΕ [COM(2013) 847 τελικό] [στο εξής: ανακοίνωση COM(2013) 847 τελικό]. Η ανακοίνωση αυτή, όπως προκύπτει από το σημείο 1 αυτής, στηρίχθηκε ιδίως στις πληροφορίες που έλαβε από την ad hoc ομάδα εργασίας Ευρωπαϊκή Ένωση – Ηνωμένες Πολιτείες και αποτελεί συνέχεια δύο εκθέσεις αξιολόγησης επιπτώσεων εκ μέρους της Επιτροπής που δημοσιεύθηκαν το 2002 και το 2004 αντίστοιχα.
18      Το σημείο 1 της εν λόγω ανακοινώσεως διευκρινίζει ότι η λειτουργία της αποφάσεως 2000/520 «βασίζεται στις δεσμεύσεις και την αυτοπιστοποίηση από τις εταιρείες που προσχωρούν» και προσθέτει ότι «[η] προσυπογραφή των ρυθμίσεων αυτών είναι προαιρετική, αλλά οι κανόνες είναι δεσμευτικοί για όσους προσυπογράφουν».
19      Επίσης, από το σημείο 2.2 της ανακοινώσεως COM(2013) 847 τελικό ότι στις 26 Σεπτεμβρίου 2013 ήταν πιστοποιημένες 3 246 επιχειρήσεις διαφόρων κλάδων από τον χώρο της βιομηχανίας και των υπηρεσιών. Οι επιχειρήσεις αυτές παρέχουν κυρίως υπηρεσίες στην εσωτερική αγορά της Ένωση και ειδικότερα στον τομέα του διαδικτύου, και ορισμένες από αυτές είναι επιχειρήσεις της Ένωσης που έχουν θυγατρικές στις Ηνωμένες Πολιτείες. Κάποιες από τις επιχειρήσεις επεξεργάζονται τα δεδομένα των εργαζομένων τους στην Ευρώπη, τα οποία διαβιβάζονται στις Ηνωμένες Πολιτείες για σκοπούς που αφορούν τη διαχείριση του ανθρώπινου δυναμικού.
20      Στο ίδιο σημείο 2.2 η Επιτροπή υπογράμμισε ότι «κάθε κενό σε θέματα διαφάνειας ή επιβολής από την πλευρά των ΗΠΑ οδηγεί σε μετατόπιση της ευθύνης στις ευρωπαϊκές αρχές προστασίας δεδομένων και στις εταιρείες που χρησιμοποιούν το σύστημα».
21      Από τα σημεία 3 έως 5 και 8 της ανακοινώσεως COM(2013) 847 τελικό προκύπτει ότι στην πράξη σημαντικός αριθμός πιστοποιημένων επιχειρήσεων δεν τηρούν καθόλου ή δεν τηρούν πλήρως της αρχές ασφαλούς λιμένα.
22      Εξάλλου, στο σημείο 7 της εν λόγω ανακοινώσεως η Επιτροπή επισήμανε ότι «όλες οι εταιρείες που εμπλέκονται στο πρόγραμμα PRISM [πρόγραμμα ευρείας κλίμακας συλλογής πληροφοριών], και οι οποίες παρέχουν πρόσβαση, στις αρχές των ΗΠΑ, σε δεδομένα που αποθηκεύονται και αποτελούν αντικείμενο επεξεργασίας στις ΗΠΑ, φέρονται να είναι πιστοποιημένες στον ασφαλή λιμένα» και ότι «το γεγονός αυτό έχει καταστήσει το σύστημα του ασφαλούς λιμένα έναν από τους διαύλους παροχής πρόσβασης, στις υπηρεσίες πληροφοριών των ΗΠΑ, στη συλλογή δεδομένων προσωπικού χαρακτήρα που αρχικά έχουν υποστεί επεξεργασία στην [Ένωση]». Η Επιτροπή διαπίστωσε συναφώς, στο σημείο 7.1 της εν λόγω ανακοινώσεως ότι «μια σειρά νομικών βάσεων από τη νομοθεσία των ΗΠΑ επιτρέπει την ευρείας κλίμακας συλλογή και επεξεργασία προσωπικών δεδομένων που είναι αποθηκευμένα ή υποβλήθηκαν κατ’ άλλον τρόπο σε επεξεργασία από εταιρείες που εδρεύουν στις ΗΠΑ» και ότι «[η] μεγάλης κλίμακας φύση των προγραμμάτων αυτών μπορεί να οδηγήσει στην προσπέλαση και περαιτέρω επεξεργασία, από τις αρχές των ΗΠΑ, των δεδομένων που διαβιβάζονται στο πλαίσιο του ασφαλούς λιμένα, κατά τρόπο που να υπερβαίνει το απολύτως αναγκαίο και αναλογικό σε σχέση με την προστασία της εθνικής ασφάλειας, όπως προβλέπει η εξαίρεση που περιλαμβάνει η απόφαση [2000/250]».
23      Στο σημείο 7.2 της ανακοινώσεως COM(2013) 847 τελικό, το οποίο φέρει τον τίτλο «[π]εριορισμοί και δυνατότητες έννομης προστασίας», η Επιτροπή υπογράμμισε ότι «οι εγγυήσεις που παρέχει η νομοθεσία των ΗΠΑ αφορούν κυρίως τους πολίτες ή τους νόμιμους κάτοικους των ΗΠΑ» και ότι «[ε]πιπλέον, τα πρόσωπα, είτε της [Ένωσης] ή των ΗΠΑ, στα οποία αναφέρονται τα δεδομένα, δεν έχουν δυνατότητα πρόσβασης, διόρθωσης ή διαγραφής δεδομένων, ή διοικητικών ή δικαστικών προσφυγών όσον αφορά τη συλλογή και περαιτέρω επεξεργασία των προσωπικών τους δεδομένων τους που πραγματοποιούνται στο πλαίσιο των προγραμμάτων παρακολούθησης των ΗΠΑ».
24      Κατά το σημείο 8 της ανακοινώσεως COM(2013) 847 τελικό, στις πιστοποιημένες επιχειρήσεις περιλαμβάνονται «Διαδικτυακές εταιρείες, όπως η Google, η Facebook, η Microsoft, η Apple, η Yahoo», οι οποίες διαθέτουν «εκατοντάδες εκατομμυρίων πελατών στην Ευρώπη» και διαβιβάζουν προσωπικά δεδομένα για επεξεργασία στις ΗΠΑ.
25      Στο ίδιο σημείο 8 η Επιτροπή κατέληξε στο συμπέρασμα ότι «η μεγάλης κλίμακας πρόσβαση των υπηρεσιών πληροφοριών σε δεδομένα που διαβιβάζονται προς τις ΗΠΑ από εταιρείες που διαθέτουν πιστοποίηση ασφαλούς λιμένα εγείρει πρόσθετα σοβαρά ερωτήματα όσον αφορά τη συνέχεια των δικαιωμάτων προστασίας δεδομένων των Ευρωπαίων όταν τα δεδομένα τους διαβιβάζονται στις ΗΠΑ».
 Η διαφορά της κύριας δίκης και τα προδικαστικά ερωτήματα
26      Ο M. Schrems, Αυστριακός υπήκοος κάτοικος Αυστρίας, είναι χρήστης του μέσου κοινωνικής δικτυώσεως Facebook (στο εξής: Facebook) από το 2008.
27      Κάθε πρόσωπο που κατοικεί στο έδαφος της Ένωσης και επιθυμεί να χρησιμοποιήσει το Facebook οφείλει να υπογράψει κατά την εγγραφή του σύμβαση με τη Facebook Ireland, θυγατρική της Facebook Inc., η οποία έχει την έδρα της στις Ηνωμένες Πολιτείες. Τα δεδομένα προσωπικού χαρακτήρα των χρηστών του Facebook που κατοικούν στο έδαφος της Ένωσης διαβιβάζονται, εν όλω ή εν μέρει, σε διακομιστές που ανήκουν στη Facebook Inc, οι οποίοι είναι εγκατεστημένοι στις Ηνωμένες Πολιτείες, όπου τα δεδομένα αυτά αποτελούν αντικείμενο επεξεργασίας.
28      Στις 25 Ιουνίου 2013 ο M. Schrems υπέβαλε στον επίτροπο καταγγελία με την οποία ζητούσε, κατ’ ουσίαν, από αυτόν να ασκήσει τις αρμοδιότητες που έχει εκ του νόμου, απαγορεύοντας στη Facebook Ireland να διαβιβάσει στις Ηνωμένες Πολιτείες τα δεδομένα προσωπικού χαρακτήρα που τον αφορούν. Υποστήριζε ότι η νομοθεσία και η ισχύουσα πρακτική στις Ηνωμένες Πολιτείες δεν εγγυώνται ικανοποιητική προστασία των δεδομένων προσωπικού χαρακτήρα που φυλάσσονται στο έδαφος του κράτους αυτού έναντι των δραστηριοτήτων παρακολουθήσεως εκ μέρους δημοσίων αρχών. Ο M. Schrems αναφερόταν ως προς το ζήτημα αυτό στις αποκαλύψεις που έκανε ο Edward Snowden σχετικά με τις δραστηριότητες υπηρεσιών πληροφοριών των Ηνωμένων Πολιτειών, και ιδίως της National Security Agency (στο εξής: NSA).
29      Ο επίτροπος απέρριψε την καταγγελία ως αβάσιμη, κρίνοντας ότι δεν υποχρεούτο να διενεργήσει έρευνα σχετικά με τα πραγματικά περιστατικά που κατήγγειλε ο M. Schrems. Ο επίτροπος εκτίμησε, ειδικότερα, ότι δεν υπήρχαν αποδείξεις ότι η NSA είχε προσπελάσει τα δεδομένα προσωπικού χαρακτήρα του ενδιαφερομένου. Προσέθεσε δε ότι οι αιτιάσεις που είχε προβάλει ο M. Schrems στην καταγγελία του δεν μπορούν να προβληθούν λυσιτελώς, δεδομένου ότι κάθε ζήτημα που αφορά την ικανοποιητική προστασία των δεδομένων προσωπικού χαρακτήρα στις Ηνωμένες Πολιτείες πρέπει να κριθεί σύμφωνα με την απόφαση 2000/520 και ότι στην απόφαση αυτή η Επιτροπή έχει διαπιστώσει ότι οι Ηνωμένες Πολιτείες της Αμερικής παρέχουν ικανοποιητικό επίπεδο προστασίας.
30      Ο M. Schrems άσκησε προσφυγή ενώπιον του High Court κατά της επίμαχης στην υπόθεση της κύριας δίκης αποφάσεως. Το δικαστήριο αυτό, αφού εξέτασε τα αποδεικτικά στοιχεία που υπέβαλαν οι διάδικοι της κύριας δίκης, διαπίστωσε ότι η ηλεκτρονική παρακολούθηση και η υποκλοπή δεδομένων προσωπικού χαρακτήρα που διαβιβάζονται από την Ένωση στις Ηνωμένες Πολιτείες εξυπηρετούν αναγκαίους και απαραίτητους για το δημόσιο συμφέρον σκοπούς. Προσέθεσε, ωστόσο, ότι οι αποκαλύψεις στις οποίες προέβη ο Ε. Snowden κατέδειξαν ότι είχαν υπάρξει «σημαντικές υπερβάσεις» εκ μέρους της NSA και άλλων ομοσπονδιακών οργανισμών.
31      Το High Court επισήμανε ότι οι πολίτες της Ένωσης δεν διαθέτουν, όμως, πραγματικό δικαίωμα ακροάσεως. Η εποπτεία της δράσεως των υπηρεσιών πληροφοριών πραγματοποιείται στο πλαίσιο μυστικής και μονομερούς διαδικασίας. Όταν τα δεδομένα προσωπικού χαρακτήρα διαβιβαστούν στις Ηνωμένες Πολιτείες, η NSA καθώς και άλλοι ομοσπονδιακοί οργανισμοί, όπως το Federal Bureau of Investigation (FBI), μπορούν να έχουν πρόσβαση σε αυτά στο πλαίσιο των μαζικών και άνευ διακρίσεων παρακολουθήσεων και υποκλοπών που πραγματοποιούν.
32      Το High Court διαπίστωσε ότι το ιρλανδικό δίκαιο απαγορεύει τη διαβίβαση δεδομένων προσωπικού χαρακτήρα εκτός της εθνικής επικράτειας, εξαιρουμένων των τρίτων χωρών που εξασφαλίζουν ικανοποιητικό επίπεδο προστασίας της ιδιωτικής ζωής και των θεμελιωδών δικαιωμάτων και ελευθεριών. Η σημασία των δικαιωμάτων στον σεβασμό της ιδιωτικής ζωής και στο απαραβίαστο της κατοικίας, τα οποία κατοχυρώνει το ιρλανδικό Σύνταγμα, επιβάλλει όπως κάθε ενέργεια που θίγει τα δικαιώματα αυτά είναι σύμφωνη προς την αρχή της αναλογικότητας και τις απαιτήσεις του νόμου.
33      Η μαζική, όμως, και χωρίς διάκριση πρόσβαση σε δεδομένα προσωπικού χαρακτήρα έρχεται προδήλως σε αντίθεση προς την αρχή της αναλογικότητας και τις θεμελιώδεις αξίες που προστατεύει το ιρλανδικό Σύνταγμα. Προκειμένου υποκλοπές ηλεκτρονικών επικοινωνιών να μπορούν να θεωρηθούν συνταγματικές, πρέπει να αποδεικνύεται ότι οι συγκεκριμένες υποκλοπές επικοινωνιών είναι στοχευμένες, ότι η παρακολούθηση ορισμένων προσώπων ή ορισμένων ομάδων προσώπων δικαιολογούνται αντικειμενικώς προς το συμφέρον της εθνικής ασφάλειας ή της καταστολής της εγκληματικότητας και ότι υπάρχουν επαρκείς και ελέγξιμες εγγυήσεις. Έτσι, κατά το High Court, αν η υπόθεση της κύριας δίκης επρόκειτο να εξεταστεί αποκλειστικά βάσει του ιρλανδικού δικαίου, θα έπρεπε να κριθεί ότι, δεδομένων των σοβαρών αμφιβολιών ως προς το κατά πόσον οι Ηνωμένες Πολιτείες της Αμερικής διασφαλίζουν ικανοποιητικό επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα, ο επίτροπος όφειλε να προβεί σε έρευνα σχετικά με όσα καταγγέλθηκαν από τον M. Schrem και ότι κακώς απέρριψε την καταγγελία του.
34      Το High Court εκτιμά, όμως, ότι η παρούσα υπόθεση αφορά την εφαρμογή του δικαίου της Ένωσης, υπό την έννοια του άρθρου 51 του Χάρτη, με αποτέλεσμα η νομιμότητα της επίμαχης στην κύρια δίκη αποφάσεως να πρέπει να κριθεί βάσει του δικαίου της Ένωσης. Κατά το ανωτέρω δικαστήριο η απόφαση 2000/520 δεν πληροί τις απαιτήσεις των άρθρων 7 και 8 του Χάρτη και τις αρχές που έχουν διατυπωθεί από το Δικαστήριο στην υπόθεση Digital Rights Ireland κ.λπ. (C‑293/12 και C‑594/12, EU:C:2014:238). Το δικαίωμα στον σεβασμό της ιδιωτικής ζωής, που στηρίζεται στο άρθρο 7 του Χάρτη και στις θεμελιώδεις αξίες που είναι κοινές στις παραδόσεις των κρατών μελών, θα καθίστατο κενό περιεχομένου, αν οι δημόσιες αρχές μπορούσαν να έχουν πρόσβαση στις ηλεκτρονικές επικοινωνίες, κατά τρόπο τυχαίο και γενικευμένο, χωρίς καμία αντικειμενική δικαιολογία στηριζόμενη σε λόγους εθνικής ασφάλειας ή προλήψεως της εγκληματικότητας οι οποίοι να συνδέονται ειδικώς με τα οικεία άτομα, και χωρίς καμία επαρκή και επαληθεύσιμη εγγύηση.
35      Το High Court παρατηρεί, εξάλλου, ότι ο M. Schrems, στο πλαίσιο της προσφυγής του, αμφισβητεί στην πραγματικότητα τη νομιμότητα του καθεστώτος «ασφαλούς λιμένα» που θέσπισε η απόφαση 2000/250 και στο οποίο στηρίζεται η επίμαχη στην υπόθεση της κύριας δίκης απόφαση. Έτσι, παρότι ο M. Schrems δεν αμφισβήτησε τυπικά ούτε το κύρος της οδηγίας 95/46 ούτε της αποφάσεως 2000/250, κατά το ανωτέρω δικαστήριο τίθεται το ερώτημα αν, λόγω του άρθρου 25, παράγραφος 6, της εν λόγω οδηγίας, ο επίτροπος δεσμεύεται από τη διαπίστωση της Επιτροπής στην απόφαση 2000/520, κατά την οποία οι Ηνωμένες Πολιτείες της Αμερικής εξασφαλίζουν ικανοποιητικό επίπεδο προστασίας ή αν το άρθρο 8 του Χάρτη δίνει τη δυνατότητα στον επίτροπο να αποστεί, εφόσον χρειάζεται, από τη διαπίστωση αυτή.
36      Υπ’ αυτές τις συνθήκες, το High Court αποφάσισε να αναστείλει την ενώπιόν του διαδικασία και να υποβάλει στο Δικαστήριο τα ακόλουθα προδικαστικά ερωτήματα:
«1)      Σε περίπτωση όπου ενώπιον του ανεξάρτητου επίτροπου ο οποίος είναι επιφορτισμένος με την εφαρμογή της νομοθεσίας περί προστασίας δεδομένων προσωπικού χαρακτήρα κατατέθηκε καταγγελία κατά την οποία δεδομένα προσωπικού χαρακτήρα διαβιβάζονται σε τρίτη χώρα (στην υπό κρίση υπόθεση, στις Ηνωμένες Πολιτείες Αμερικής) της οποίας η νομοθεσία και η πρακτική δεν παρέχουν ικανοποιητικό επίπεδο προστασίας στα υποκείμενα των δεδομένων, δεσμεύεται πλήρως η εν λόγω αρχή από τη διαπίστωση της Ένωσης περί του αντιθέτου που εκτίθεται στην απόφαση 2000/520, λαμβανομένων υπόψη των άρθρων 7, 8 και 47 του Χάρτη, υπό την επιφύλαξη των διατάξεων του άρθρου 25, παράγραφος 6, της οδηγίας 95/46;
2)      Ή, επικουρικώς, μπορεί και/ή πρέπει η αρχή να διεξαγάγει τη δική της έρευνα ως προς το εν λόγω ζήτημα υπό το φως των πραγματικών εξελίξεων που επήλθαν από τότε που δημοσιεύθηκε για πρώτη φορά η απόφαση της Επιτροπής;»
 Επί των προδικαστικών ερωτημάτων
37      Με τα προδικαστικά ερωτήματα, τα οποία πρέπει να εξεταστούν από κοινού, το αιτούν δικαστήριο ερωτά, κατ’ ουσίαν, εάν και σε ποιο μέτρο το άρθρο 25, παράγραφος 6, της οδηγίας 95/46, υπό το πρίσμα των άρθρων 7, 8 και 47 του Χάρτη, έχει την έννοια ότι απόφαση που εκδίδεται βάσει της διατάξεως αυτής, όπως η απόφαση 2000/520, με την οποία η Επιτροπή αποφαίνεται ότι μια τρίτη χώρα εξασφαλίζει ικανοποιητικό επίπεδο προστασίας, εμποδίζει την αρχή ελέγχου κράτους μέλους, υπό την έννοια του άρθρου 28 της οδηγίας αυτής, να εξετάσει αίτημα που υποβάλλεται από κάποιο πρόσωπο σχετικά με την προστασία των δικαιωμάτων και των ελευθεριών του από την επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν, τα οποία έχουν διαβιβαστεί από κράτος μέλος προς την εν λόγω τρίτη χώρα, όταν το πρόσωπο αυτό υποστηρίζει ότι η νομοθεσία και η πρακτική στη χώρα αυτή δεν εξασφαλίζουν ικανοποιητικό επίπεδο προστασίας.
 Επί των εξουσιών των εθνικών αρχών ελέγχου, υπό την έννοια του άρθρου 28 της οδηγίας 95/46, όταν υφίσταται απόφαση της Επιτροπής που έχει εκδοθεί βάσει του άρθρου 25, παράγραφος 6, της οδηγίας αυτής
38      Υπενθυμίζεται προκαταρκτικά ότι οι διατάξεις της οδηγίας 95/46, στο μέτρο που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα η οποία ενδέχεται να οδηγήσει σε προσβολή των θεμελιωδών ελευθεριών και, ειδικότερα, του δικαιώματος στον σεβασμό της ιδιωτικής ζωής, πρέπει οπωσδήποτε να ερμηνεύονται υπό το πρίσμα των θεμελιωδών δικαιωμάτων τα οποία κατοχυρώνονται από τον Χάρτη (βλ. αποφάσεις Österreichischer Rundfunk κ.λπ., C‑465/00, C‑138/01 και C‑139/01, EU:C:2003:294, σκέψη 68· Google Spain και Google, C‑131/12, EU:C:2014:317, σκέψη 68, καθώς και Ryneš, C‑212/13, EU:C:2014:2428, σκέψη 29).
39      Από το άρθρο 1 και από τις αιτιολογικές σκέψεις 2 και 10 της οδηγίας 95/46 προκύπτει ότι η οδηγία αυτή δεν σκοπεί μόνο στη διασφάλιση αποτελεσματικής και πλήρους προστασίας των θεμελιωδών δικαιωμάτων των φυσικών προσώπων και, ιδίως, του δικαιώματος στην ιδιωτική ζωή, έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, αλλά και στην κατοχύρωση ενός υψηλού επιπέδου προστασίας των εν λόγω δικαιωμάτων και θεμελιωδών ελευθεριών. Εξάλλου, η νομολογία του Δικαστηρίου τονίζει τη σημασία τόσο του δικαιώματος στον σεβασμό της ιδιωτικής ζωής, που κατοχυρώνεται στο άρθρο 7 του Χάρτη, όσο και του δικαιώματος προστασίας των δεδομένων προσωπικού χαρακτήρα, που κατοχυρώνεται στο άρθρο 8 του Χάρτη (βλ. αποφάσεις Rijkeboer, C‑553/07, EU:C:2009:293, σκέψη 47· Digital Rights Ireland κ.λπ., C‑293/12 και C‑594/12, EU:C:2014:238, σκέψη 53, και Google Spain και Google, C‑131/12, EU:C:2014:317, σκέψεις 53, 66, 74 καθώς και εκεί παρατιθέμενη νομολογία).
40      Όσον αφορά τις εξουσίες που διαθέτουν οι εθνικές αρχές ελέγχου σε σχέση με τη διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες, επισημαίνεται ότι το άρθρο 28, παράγραφος 1, της οδηγίας 95/46 επιβάλλει στα κράτη μέλη την υποχρέωση να συστήσουν μία ή περισσότερες δημόσιες αρχές αρμόδιες να ελέγχουν, με πλήρη ανεξαρτησία, την τήρηση των κανόνων της Ένωσης που αφορούν την προστασία των φυσικών προσώπων σε σχέση με την επεξεργασία των δεδομένων αυτών. Η υποχρέωση αυτή προκύπτει, επίσης, από το πρωτογενές δίκαιο της Ένωσης, ιδίως από το άρθρο 8, παράγραφος 3, του Χάρτη και από το άρθρο 16, παράγραφος 2, ΣΛΕΕ (βλ., υπ’ αυτή την έννοια, αποφάσεις Επιτροπή κατά Αυστρίας, C-614/10, EU:C:2012:631, σκέψη 36, και Επιτροπή κατά Ουγγαρίας, C-288/12, EU:C:2014:237, σκέψη 47).
41      Η εγγύηση της ανεξαρτησίας των εθνικών αρχών ελέγχου σκοπεί στη διασφάλιση της αποτελεσματικότητας και της αξιοπιστίας του ελέγχου της τηρήσεως των διατάξεων περί προστασίας των φυσικών προσώπων από την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και πρέπει να ερμηνεύεται υπό το πρίσμα του σκοπού αυτού. Θεσπίστηκε προκειμένου να ενισχυθεί η προστασία των προσώπων και των οργανισμών τους οποίους αφορούν οι αποφάσεις των ανωτέρω αρχών. Η σύσταση ανεξάρτητων αρχών ελέγχου εντός των κρατών μελών συνιστά έτσι, όπως επισημαίνεται στην αιτιολογική σκέψη 62 της οδηγίας 95/46, ουσιώδες στοιχείο του σεβασμού της προστασίας των ατόμων από την επεξεργασία των δεδομένων προσωπικού χαρακτήρα (βλ. αποφάσεις Επιτροπή κατά Γερμανίας, C-518/07, EU:C:2010:125, σκέψη 25, καθώς και Επιτροπή κατά Ουγγαρίας, C‑288/12, EU:C:2014:237, σκέψη 48 και εκεί παρατιθέμενη νομολογία).
42      Για να κατοχυρώσουν την προστασία αυτή, οι εθνικές αρχές ελέγχου πρέπει, ιδίως, να διασφαλίσουν την προσήκουσα ισορροπία μεταξύ, αφενός, του σεβασμού του θεμελιώδους δικαιώματος στην ιδιωτική ζωή και, αφετέρου, των συμφερόντων που επιβάλλουν την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα (βλ., υπ’ αυτή την έννοια, αποφάσεις Επιτροπή κατά Γερμανίας, C‑518/07, EU:C:2010:125, σκέψη 24, και Επιτροπή κατά Ουγγαρίας, C‑288/12, EU:C:2014:237, σκέψη 51).
43      Προς τον σκοπό αυτό οι ανωτέρω αρχές διαθέτουν ευρύ φάσμα εξουσιών και οι εξουσίες αυτές, οι οποίες απαριθμούνται ενδεικτικά στο άρθρο 28, παράγραφος 3, της οδηγίας 95/46, αποτελούν τα απαραίτητα μέσα για την εκτέλεση των καθηκόντων τους, όπως υπογραμμίζεται στην αιτιολογική σκέψη 63 της οδηγίας αυτής. Έτσι, οι εν λόγω αρχές διαθέτουν, συγκεκριμένα, εξουσία διεξαγωγής έρευνας, όπως το δικαίωμα να συλλέγουν κάθε αναγκαία πληροφορία για την εκπλήρωση της αποστολής ελέγχου, αποτελεσματικές εξουσίες παρεμβάσεως, όπως να απαγορεύουν προσωρινά ή οριστικά την επεξεργασία των δεδομένων, ή ακόμα και να παρίστανται ενώπιον δικαστηρίου.
44      Από το άρθρο 28, παράγραφοι 1 και 6, της οδηγίας 95/46 προκύπτει, βέβαια, ότι οι εξουσίες των εθικών αρχών ελέγχου αφορούν την επεξεργασία δεδομένων προσωπικού χαρακτήρα που πραγματοποιείται στο έδαφος του οικείου κράτους μέλους, με αποτέλεσμα να μη διαθέτουν εξουσίες βάσει του άρθρου 28, όσον αφορά επεξεργασία των δεδομένων η οποία πραγματοποιείται στο έδαφος τρίτης χώρας.
45      Η διαβίβαση, όμως, δεδομένων προσωπικού χαρακτήρα από κράτος μέλος προς τρίτη χώρα αποτελεί, αφεαυτής, επεξεργασία δεδομένων προσωπικού χαρακτήρα, υπό την έννοια του άρθρου 2, στοιχείο β΄, της οδηγίας 95/46 (βλ., υπ’ αυτή την έννοια, απόφαση Κοινοβούλιο κατά Συμβουλίου και Επιτροπής, C‑317/04 και C‑318/04, EU:C:2006:346, σκέψη 56), η οποία πραγματοποιείται στο έδαφος κράτους μέλους. Συγκεκριμένα, η διάταξη αυτή ορίζει ως «επεξεργασία δεδομένων προσωπικού χαρακτήρα» «κάθε εργασία ή σειρά εργασιών που πραγματοποιούνται με ή χωρίς τη βοήθεια αυτοματοποιημένων διαδικασιών και εφαρμόζονται σε δεδομένα προσωπικού χαρακτήρα» και αναφέρει ως παράδειγμα την «ανακοίνωση με διαβίβαση, [τ]η διάδοση ή κάθε άλλη μορφή διάθεσης».
46      Στην αιτιολογική σκέψη 60 της οδηγίας 95/46 διευκρινίζεται ότι οι διαβιβάσεις δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες μπορούν να πραγματοποιούνται μόνον εφόσον τηρούνται απολύτως οι διατάξεις που έχουν θεσπίσει τα κράτη μέλη κατ’ εφαρμογήν της ανωτέρω οδηγίας. Συναφώς, το κεφάλαιο IV της εν λόγω οδηγίας, στο οποίο περιλαμβάνονται τα άρθρα 25 και 26 αυτής, εισάγει ειδικό καθεστώς το οποίο αποσκοπεί στη διασφάλιση του ελέγχου, εκ μέρους των κρατών μελών, της διαβιβάσεως δεδομένων προσωπικού χαρακτήρα προς τις τρίτες χώρες. Το καθεστώς αυτό λειτουργεί συμπληρωματικά προς το γενικό καθεστώς που θεσπίζεται με το κεφάλαιο ΙΙ της οδηγίας αυτής, όπου τίθενται γενικές προϋποθέσεις σχετικά με τη θεμιτή επεξεργασία δεδομένων προσωπικού χαρακτήρα (βλ., υπ’ αυτή την έννοια, απόφαση Lindqvist, C‑101/01, EU:C:2003:596, σκέψη 63).
47      Δεδομένου ότι οι εθνικές αρχές ελέγχου, κατά το άρθρο 8, παράγραφος 3, του Χάρτη και το άρθρο 28 της οδηγίας 95/46, έχουν επιφορτιστεί με τον έλεγχο της τηρήσεως των κανόνων της Ένωσης σχετικά με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, κάθε εθνική αρχή είναι αρμόδια να ελέγξει αν η διαβίβαση δεδομένων προσωπικού χαρακτήρα από το οικείο κράτος μέλος προς τρίτη χώρα πληροί τους όρους που τίθενται από την οδηγία 95/46.
48      Στην αιτιολογική σκέψη 56 αναγνωρίζεται μεν ότι η διαβίβαση δεδομένων προσωπικού χαρακτήρα από τα κράτη μέλη προς τρίτες χώρες είναι απαραίτητη για την ανάπτυξη των διεθνών εμπορικών συναλλαγών, όμως η οδηγία 95/46, στο άρθρο 25, παράγραφος 1, θέτει ως αρχή ότι η διαβίβαση αυτή επιτρέπεται μόνον εφόσον οι τρίτες χώρες εξασφαλίζουν ικανοποιητικό επίπεδο προστασίας.
49      Εξάλλου, η αιτιολογική σκέψη 57 της εν λόγω οδηγίας διευκρινίζει ότι πρέπει να απαγορεύεται η διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα που δεν εξασφαλίζει ικανοποιητικό επίπεδο προστασίας.
50      Προκειμένου να ελέγχεται η διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τις τρίτες χώρες βάσει του επιπέδου προστασίας που παρέχεται στα δεδομένα από κάθε μία από αυτές, το άρθρο 25 της οδηγίας 95/46 επιβάλλει διάφορες υποχρεώσεις στα κράτη μέλη και την Επιτροπή. Από το άρθρο αυτό προκύπτει, συγκεκριμένα, ότι η διαπίστωση περί του αν τρίτη χώρα διασφαλίζει ή μη ικανοποιητικό επίπεδο προστασίας, όπως επισήμανε ο γενικός εισαγγελέας στο σημείο 86 των προτάσεών του, μπορεί να πραγματοποιείται είτε από τα κράτη μέλη είτε από την Επιτροπή.
51      Η Επιτροπή μπορεί να εκδώσει βάσει του άρθρου 25, παράγραφος 6, της οδηγίας 95/46, απόφαση με την οποία διαπιστώνει ότι τρίτη χώρα εξασφαλίζει ικανοποιητικό επίπεδο προστασίας. Η απόφαση αυτή, κατά το δεύτερο εδάφιο της ίδιας διατάξεως, απευθύνεται στα κράτη μέλη, τα οποία λαμβάνουν τα αναγκαία μέτρα προκειμένου να συμμορφωθούν με αυτή. Κατά το άρθρο 288, τέταρτο εδάφιο, ΣΛΕΕ, η απόφαση είναι δεσμευτική για όλα τα κράτη μέλη στα οποία απευθύνεται και δεσμεύει, επομένως, όλα τα όργανά τους (βλ., υπ’ αυτή την έννοια, αποφάσεις Albako Margarinefabrik, 249/85, EU:C:1987:245, σκέψη 17, και Mediaset, C‑69/13, EU:C:2014:71, σκέψη 23), κατά τρόπον ώστε να επιτρέπεται η διαβίβαση δεδομένων προσωπικού χαρακτήρα από τα κράτη μέλη προς την τρίτη χώρα στην οποία αναφέρεται η απόφαση.
52      Έτσι, όσο η απόφαση της Επιτροπής δεν έχει κριθεί ανίσχυρη από το Δικαστήριο, τα κράτη μέλη και τα όργανά τους, στα οποία περιλαμβάνονται οι ανεξάρτητες αρχές ελέγχου, δεν μπορούν, βέβαια, να θεσπίσουν μέτρα αντίθετα προς την απόφαση αυτή της Επιτροπής, όπως πράξεις που διαπιστώνουν δεσμευτικά ότι η τρίτη χώρα την οποία αφορά η απόφαση δεν εξασφαλίζει ικανοποιητικό επίπεδο προστασίας. Συγκεκριμένα, υπέρ των πράξεων των οργάνων της Ένωσης υφίσταται, κατ’ αρχήν, τεκμήριο νομιμότητας, οι πράξεις δε αυτές παράγουν έννομα αποτελέσματα, εφόσον δεν έχουν ανακληθεί, ακυρωθεί κατόπιν προσφυγής ακυρώσεως ή κριθεί ανίσχυρες κατόπιν προδικαστικής παραπομπής ή κατόπιν ενστάσεως ελλείψεως νομιμότητας (απόφαση Επιτροπή κατά Ελλάδας, C‑475/01, EU:C:2004:585, σκέψη 18 και εκεί παρατιθέμενη νομολογία).
53      Απόφαση που έχει εκδοθεί από την Επιτροπή βάσει του άρθρου 25, παράγραφος 6, της οδηγίας 95/46, όπως η απόφαση 2000/520, δεν μπορεί, όμως, να εμποδίσει τα πρόσωπα των οποίων τα δεδομένα προσωπικού χαρακτήρα έχουν διαβιβαστεί ή θα μπορούσαν να διαβιβαστούν προς τρίτη χώρα να υποβάλουν αίτηση προς τις εθνικές αρχές ελέγχου, υπό την έννοια του άρθρου 28, παράγραφος 4, της εν λόγω οδηγίας, σχετικά με την προστασία των δικαιωμάτων και των ελευθεριών τους έναντι της επεξεργασίας των δεδομένων αυτών. Επιπλέον, όπως επισήμανε ο γενικός εισαγγελέας ιδίως στις σκέψεις 61, 93 και 116 των προτάσεών του, μια τέτοια απόφαση δεν μπορεί ούτε να εξαλείψει ούτε να περιορίσει τις εξουσίες που αναγνωρίζονται ρητά στις εθνικές αρχές ελέγχου από το άρθρο 8, παράγραφος 3, του Χάρτη και από το άρθρο 28 της ανωτέρω οδηγίας.
54      Ούτε το άρθρο 8, παράγραφος 3, του Χάρτη ούτε το άρθρο 28 της οδηγίας 95/46 εξαιρούν από το πεδίο των αρμοδιοτήτων των εθνικών αρχών ελέγχου τον έλεγχο της διαβιβάσεως δεδομένων προσωπικού χαρακτήρα προς τις τρίτες χώρες για τις οποίες έχει εκδοθεί απόφαση της Επιτροπής βάσει του άρθρου 25, παράγραφος 6, της ανωτέρω οδηγίας.
55      Ειδικότερα, το άρθρο 28, παράγραφος 4, πρώτο εδάφιο, της οδηγίας 95/46, το οποίο ορίζει ότι «κάθε πρόσωπο […] μπορεί να υποβάλει […] αίτηση σχετικά με την προστασία των δικαιωμάτων και ελευθεριών του έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα» στις εθνικές αρχές ελέγχου, δεν προβλέπει καμία εξαίρεση για την περίπτωση που έχει εκδοθεί απόφαση της Επιτροπής βάσει του άρθρου 25, παράγραφος 6, της οδηγίας αυτής.
56      Εξάλλου, θα ήταν αντίθετο προς το σύστημα που θεσπίζει η οδηγία 95/46 καθώς και προς τον σκοπό των άρθρων 25 και 28 της οδηγίας απόφαση που εκδίδει η Επιτροπή δυνάμει του άρθρου 25, παράγραφος 6, της ανωτέρω οδηγίας να έχει ως αποτέλεσμα τον αποκλεισμό της δυνατότητας εθνικής αρχής ελέγχου να εξετάσει την αίτηση προσώπου σχετικά με την προστασία των δικαιωμάτων και ελευθεριών του έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα που το αφορούν, τα οποία διαβιβάστηκαν ή θα μπορούσαν να διαβιβαστούν από κράτος μέλος προς τρίτη χώρα για την οποία έχει εκδοθεί η σχετική απόφαση.
57      Αντιθέτως, το άρθρο 28 της οδηγίας 95/46 εφαρμόζεται, ως εκ της φύσεώς του, σε κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα. Έτσι, ακόμη και όταν έχει εκδοθεί απόφαση της Επιτροπής βάσει του άρθρου 25, παράγραφος 6, της εν λόγω οδηγίας, οι εθνικές αρχές ελέγχου στις οποίες έχει υποβληθεί αίτηση σχετικά με την προστασία των δικαιωμάτων και των ελευθεριών προσώπου έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα που το αφορούν, πρέπει να μπορούν να εξετάσουν αμερόληπτα αν η διαβίβαση των δεδομένων αυτών πληροί τους όρους της ανωτέρω οδηγίας.
58      Σε διαφορετική περίπτωση, τα πρόσωπα των οποίων τα δεδομένα προσωπικού χαρακτήρα διαβιβάστηκαν ή θα μπορούσαν να διαβιβαστούν προς τη σχετική τρίτη χώρα θα έχαναν το δικαίωμα να υποβάλουν στις εθνικές αρχές ελέγχου αίτηση για την προστασία των θεμελιωδών τους δικαιωμάτων, δικαίωμα το οποίο κατοχυρώνεται με το άρθρο 8, παράγραφοι 1 και 3, του Χάρτη (βλ., κατ’ αναλογίαν, απόφαση Digital Rights Ireland κ.λπ., C‑293/12 και C‑594/12, EU:C:2014:238, σκέψη 68).
59      Όταν κάποιο πρόσωπο του οποίου τα δεδομένα προσωπικού χαρακτήρα έχουν διαβιβαστεί ή θα μπορούσαν να διαβιβαστούν προς τρίτη χώρα υποβάλλει αίτηση, υπό την έννοια του άρθρου 28, παράγραφος 4, της οδηγίας 95/46, με την οποία υποστηρίζει, όπως στην υπόθεση της κύριας δίκης, ότι η νομοθεσία και η πρακτική στη χώρα αυτή, παρά τη διαφορετική διαπίστωση της Επιτροπής σε απόφαση την οποία έχει εκδόσει βάσει του άρθρου 25, παράγραφος 6, της οδηγίας αυτής, δεν παρέχουν ικανοποιητικό επίπεδο προστασίας, τότε πρέπει να θεωρηθεί ότι η αίτηση αυτή αφορά, κατ’ ουσίαν, το συμβατό της αποφάσεως αυτής με την προστασία της ιδιωτικής ζωής και των θεμελιωδών δικαιωμάτων και ελευθεριών των προσώπων.
60      Υπενθυμίζεται, συναφώς η πάγια νομολογία του Δικαστηρίου κατά την οποία η Ένωση είναι μια Ένωση δικαίου, στην οποία κάθε πράξη των οργάνων υπόκειται σε έλεγχο συμφωνίας, μεταξύ άλλων, με τις Συνθήκες, καθώς και με τα θεμελιώδη δικαιώματα (βλ., υπ’ αυτή την έννοια, αποφάσεις Επιτροπή κ.λπ. κατά Kadi, C‑584/10 P, C‑593/10 P και C‑595/10 P, EU:C:2013:518, σκέψη 66· Inuit Tapiriit Kanatami κ.λπ. κατά Κοινοβουλίου και Συμβουλίου, C‑583/11 P, EU:C:2013:625, σκέψη 91, καθώς και Telefónica κατά Επιτροπής, C‑274/12 P, EU:C:2013:852, σκέψη 56). Επομένως, οι αποφάσεις που εκδίδει η Επιτροπή βάσει του άρθρου 25, παράγραφος 6, της οδηγίας 95/46 δεν εκφεύγουν του ελέγχου αυτού.
61      Πέραν τούτου, το Δικαστήριο είναι το μόνο αρμόδιο να διαπιστώσει την ακυρότητα πράξεως της Ένωσης, όπως της αποφάσεως που εκδίδει η Επιτροπή βάσει του άρθρου 25, παράγραφος 6, της οδηγίας 95/46, ο δε αποκλειστικός χαρακτήρας της αρμοδιότητας αυτής αποσκοπεί στη διασφάλιση της ομοιόμορφης εφαρμογής του δικαίου της Ένωσης ώστε να υπάρχει ασφάλεια δικαίου (βλ., αποφάσεις Melki και Abdeli, C‑188/10 και C‑189/10, EU:C:2010:363, σκέψη 54, καθώς και CIVAD, C‑533/10, EU:C:2012:347, σκέψη 40).
62      Τα εθνικά δικαστήρια μπορούν, βεβαίως, να εξετάσουν το κύρος πράξεως της Ένωσης, όπως της αποφάσεως που εκδίδει η Επιτροπή βάσει του άρθρου 25, παράγραφος 6, της οδηγίας 95/46, όμως δεν είναι αρμόδια να διαπιστώνουν την ακυρότητα της πράξεως αυτής (βλ., υπ’ αυτή την έννοια, αποφάσεις Foto‑Frost, 314/85, EU:C:1987:452, σκέψεις 15 έως 20, και IATA και ELFAA, C‑344/04, EU:C:2006:10, σκέψη 27). A fortiori, κατά την εξέταση αιτήσεως, υπό την έννοια του άρθρου 28, παράγραφος 4, της εν λόγω οδηγίας, σχετικά με τη συμφωνία αποφάσεως που εξέδωσε η Επιτροπή βάσει του άρθρου 25, παράγραφος 6, της ανωτέρω οδηγίας, με την προστασία της ιδιωτικής ζωής και των θεμελιωδών δικαιωμάτων και ελευθεριών των προσώπων, οι εθνικές αρχές ελέγχου δεν δικαιούνται να προβούν οι ίδιες στη διαπίστωση της ακυρότητας της εν λόγω αποφάσεως.
63      Κατόπιν των προεκτεθέντων, όταν πρόσωπο του οποίου τα δεδομένα προσωπικού χαρακτήρα διαβιβάστηκαν ή θα μπορούσαν να διαβιβαστούν προς τρίτη χώρα για την οποία έχει εκδοθεί απόφαση της Επιτροπής βάσει του άρθρου 25, παράγραφος 6, της οδηγίας 95/46 υποβάλλει σε εθνική αρχή ελέγχου αίτηση σχετικά με την προστασία των δικαιωμάτων και των ελευθεριών του έναντι της επεξεργασίας των δεδομένων αυτών και στην αίτηση αυτή αμφισβητεί, όπως στην υπόθεση της κύριας δίκης, το συμβατό της αποφάσεως αυτής με την προστασία της ιδιωτικής ζωής, τότε η εθνική αρχή οφείλει να εξετάζει την ανωτέρω αίτηση με τη δέουσα επιμέλεια.
64      Σε περίπτωση που η εν λόγω αρχή καταλήξει στο συμπέρασμα ότι είναι αβάσιμα τα στοιχεία που προβλήθηκαν προς στήριξη της αιτήσεως και απορρίψει για τον λόγο αυτό την αίτηση, τότε το πρόσωπο που την υπέβαλε πρέπει, όπως προκύπτει από το άρθρο 28, παράγραφος 3, δεύτερο εδάφιο, της οδηγίας 95/46 υπό το πρίσμα του άρθρου 47 του Χάρτη, να έχει τη δυνατότητα να προσβάλει την απόφαση αυτή προσφεύγοντας ενώπιον των εθνικών δικαστικών αρχών. Βάσει της νομολογίας που αναφέρθηκε στις σκέψεις 61 και 62 της παρούσας αποφάσεως, το εθνικό δικαστήριο οφείλει να αναστείλει την ενώπιόν του διαδικασία και να υποβάλει στο Δικαστήριο προδικαστικό ερώτημα περί εκτιμήσεως του κύρους, όταν κρίνει ότι είναι βάσιμος ένας ή περισσότεροι λόγοι ακυρότητας που προβλήθηκαν από τα μέρη ή και ενδεχομένως εξετάστηκαν αυτεπαγγέλτως (βλ., υπ’ αυτή την έννοια, απόφαση T & L Sugars και Sidul Açúcares κατά Επιτροπής, C‑456/13 P, EU:C:2015:284, σκέψη 48 και εκεί παρατιθέμενη νομολογία).
65      Στην αντίθετη περίπτωση, κατά την οποία η αρχή ελέγχου κρίνει βάσιμες τις αιτιάσεις που προέβαλε το πρόσωπο που υπέβαλε ενώπιόν της αίτηση σχετικά με την προστασία των δικαιωμάτων και των ελευθεριών του έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που το αφορούν, η εν λόγω αρχή, σύμφωνα με το άρθρο 28, παράγραφος 3, πρώτο εδάφιο, τρίτη περίπτωση, της οδηγίας 95/46 υπό το πρίσμα του άρθρου 8, παράγραφος 3, του Χάρτη, πρέπει να έχει τη δυνατότητα να προσφύγει σε δικαστήριο. Ως προς το ζήτημα αυτό απόκειται στο εθνικό νομοθέτη να προβλέψει μέσα παροχής ενδίκου προστασίας παρέχοντα τη δυνατότητα στην οικεία εθνική αρχή ελέγχου να προβάλει τις αιτιάσεις που κρίνει βάσιμες ενώπιον των εθνικών δικαστηρίων, ώστε αυτά, αν συμφωνούν ότι υπάρχουν αμφιβολίες ως προς το κύρος της αποφάσεως της Επιτροπής, να υποβάλουν προδικαστικό ερώτημα προς έλεγχο του κύρους της συγκεκριμένης αποφάσεως.
66      Λαμβανομένων υπόψη των ανωτέρω, στα ερωτήματα που υποβλήθηκαν πρέπει να δοθεί η απάντηση ότι το άρθρο 25, παράγραφος 6, της οδηγίας 95/46 υπό το πρίσμα των άρθρων 7, 8 και 47 του Χάρτη, έχει την έννοια ότι απόφαση που εκδίδεται βάσει της διατάξεως αυτής, όπως η απόφαση 2000/520, με την οποία η Επιτροπή αποφαίνεται ότι τρίτη χώρα εξασφαλίζει ικανοποιητικό επίπεδο προστασίας, δεν εμποδίζει την αρχή ελέγχου κράτους μέλους, υπό την έννοια του άρθρου 28 της οδηγίας αυτής, να εξετάσει αίτηση προσώπου σχετικά με την προστασία των δικαιωμάτων και των ελευθεριών του έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που το αφορούν, τα οποία έχουν διαβιβαστεί από κράτος μέλος προς την εν λόγω τρίτη χώρα, όταν το πρόσωπο αυτό υποστηρίζει ότι η νομοθεσία και η πρακτική στην χώρα αυτή δεν εξασφαλίζουν ικανοποιητικό επίπεδο προστασίας.
 Επί του κύρους της αποφάσεως 2000/520
67      Όπως προκύπτει από τις διευκρινίσεις του αιτούντος δικαστηρίου σχετικά με τα υποβληθέντα ερωτήματα, ο M. Schrems προβάλλει στο πλαίσιο της κύριας δίκης ότι η νομοθεσία και η πρακτική των Ηνωμένων Πολιτειών δεν εξασφαλίζουν ικανοποιητικό επίπεδο προστασίας υπό την έννοια του άρθρου 25 της οδηγίας 95/46. Όπως επισήμανε ο γενικός εισαγγελέας στα σημεία 123 και 124 των προτάσεών του, ο M. Schrems εκφράζει αμφιβολίες σχετικά με το κύρος της αποφάσεως 2000/520, τις οποίες φαίνεται ότι συμμερίζεται κατά βάση και το αιτούν δικαστήριο. Υπό τις συνθήκες αυτές, βάσει όσων διαπιστώθηκαν στις σκέψεις 60 έως 63 της παρούσας αποφάσεως και προκειμένου να δοθεί πλήρης απάντηση προς το αιτούν δικαστήριο, πρέπει να εξεταστεί αν η απόφαση αυτή είναι σύμφωνη προς τις απαιτήσεις που απορρέουν από την εν λόγω οδηγία υπό το πρίσμα του Χάρτη.
 Επί των απαιτήσεων που απορρέουν από το άρθρο 25, παράγραφος 6, της οδηγίας 95/46
68      Όπως επισημάνθηκε ήδη στις σκέψεις 48 και 49 της παρούσας αποφάσεως, το άρθρο 25, παράγραφος 1, της οδηγίας 95/46 απαγορεύει τη διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα η οποία δεν εξασφαλίζει αποτελεσματικό επίπεδο προστασίας.
69      Για τον έλεγχο, όμως, των διαβιβάσεων αυτών, το άρθρο 25, παράγραφος 6, πρώτο εδάφιο, της οδηγίας αυτής προβλέπει ότι η Επιτροπή «μπορεί να αποφανθεί […] ότι μια τρίτη χώρα εξασφαλίζει ικανοποιητικό επίπεδο προστασίας κατά την έννοια της παραγράφου 2 [του εν άρθρου αυτού], λόγω της εσωτερικής της νομοθεσίας ή των διεθνών δεσμεύσεων που έχει αναλάβει […], ώστε να εξασφαλίζει την προστασία της ιδιωτικής ζωής και των θεμελιωδών ελευθεριών και δικαιωμάτων των προσώπων».
70      Ούτε το άρθρο 25, παράγραφος 2, της οδηγίας 95/46 ούτε άλλη διάταξη της οδηγίας αυτής περιλαμβάνουν, βέβαια, ορισμό της έννοιας του «ικανοποιητικού επιπέδου προστασίας». Συγκεκριμένα, το άρθρο 25, παράγραφος 2, της οδηγίας αυτής αναφέρει απλώς ότι η επάρκεια της προστασίας που παρέχεται από τρίτη χώρα «σταθμίζεται λαμβανομένων υπόψη όλων των περιστάσεων που επηρεάζουν μια διαβίβαση ή κατηγορία διαβιβάσεων δεδομένων» και προβαίνει σε ενδεικτική απαρίθμηση καταστάσεων που πρέπει να ληφθούν υπόψη κατά τη σχετική αξιολόγηση.
71      Ωστόσο, αφενός, όπως προκύπτει από το γράμμα του άρθρου 25, παράγραφος 6, της οδηγίας 95/46, η διάταξη αυτή απαιτεί η τρίτη χώρα να «εξασφαλίζει» ικανοποιητικό επίπεδο προστασίας λόγω της εσωτερικής της νομοθεσίας ή των διεθνών δεσμεύσεων που έχει αναλάβει. Αφετέρου, κατά την ίδια διάταξη, η επάρκεια της προστασίας που εξασφαλίζεται από την τρίτη χώρα κρίνεται βάσει «της προστασίας της ιδιωτικής ζωής και των θεμελιωδών ελευθεριών και δικαιωμάτων των προσώπων».
72      Έτσι, το άρθρο 25, παράγραφος 6, της οδηγίας 95/46 εφαρμόζει τη ρητή υποχρέωση προστασίας των δεδομένων προσωπικού χαρακτήρα που θεσπίζεται στο άρθρο 8, παράγραφος 1, του Χάρτη και σκοπεί, όπως επισήμανε ο γενικός εισαγγελέας στο σημείο 139 των προτάσεών του, να διασφαλίσει τη συνέχεια της προστασίας υψηλού επιπέδου που παρέχει η οδηγία αυτή σε περίπτωση διαβιβάσεως δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα.
73      Η λέξη «ικανοποιητικό» που χρησιμοποιείται στο άρθρο 25, παράγραφος 6, της οδηγίας 95/46 συνεπάγεται, βέβαια, ότι δεν μπορεί να απαιτηθεί η τρίτη χώρα να εξασφαλίζει το ίδιο ακριβώς επίπεδο προστασίας με αυτό που παρέχει η έννομη τάξη της Ένωσης. Όπως, όμως, επισήμανε ο γενικός εισαγγελέας στο σημείο 141 των προτάσεών του, η έκφραση «ικανοποιητικό επίπεδο προστασίας» πρέπει να ερμηνευθεί υπό την έννοια ότι απαιτεί η τρίτη αυτή χώρα να διασφαλίζει, λόγω της εσωτερικής της νομοθεσίας ή των διεθνών δεσμεύσεων που έχει αναλάβει, επίπεδο προστασίας ουσιαστικά ισοδύναμο με αυτό που εξασφαλίζεται εντός της Ένωσης βάσει της οδηγίας 95/46 υπό το πρίσμα του Χάρτη. Συγκεκριμένα, η απουσία μιας τέτοιας απαιτήσεως θα είχε ως αποτέλεσμα να αγνοηθεί ο σκοπός που αναφέρεται στην προηγούμενη σκέψη της παρούσας αποφάσεως. Εξάλλου, το υψηλό επίπεδο προστασίας που εγγυάται η οδηγία 95/46 υπό το πρίσμα του Χάρτη θα μπορούσε εύκολα να παρακαμφθεί μέσω διαβιβάσεως δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες με σκοπό την επεξεργασία τους στις χώρες αυτές.
74      Από το γράμμα του άρθρου 25, παράγραφος 6, της οδηγίας 95/46 προκύπτει ότι η έννομη τάξη της τρίτης χώρας για την οποία εκδίδεται η απόφαση της Επιτροπής πρέπει να εξασφαλίζει ικανοποιητικό επίπεδο προστασίας. Ακόμη και αν τα μέσα που χρησιμοποιεί η χώρα αυτή για να εξασφαλίσει αυτό το επίπεδο προστασίας μπορούν να διαφέρουν από αυτά που εφαρμόζονται εντός της Ένωσης για να διασφαλιστεί η τήρηση των απαιτήσεων που απορρέουν από την εν λόγω οδηγία υπό το πρίσμα του Χάρτη, τα μέσα αυτά πρέπει, πάντως να αποδεικνύονται στην πράξη αποτελεσματικά ώστε να εξασφαλίζουν προστασία ουσιαστικά ισοδύναμη με αυτή που παρέχεται εντός της Ένωσης.
75      Υπό τις συνθήκες αυτές, η Επιτροπή, όταν εξετάζει το επίπεδο προστασίας που παρέχει η τρίτη χώρα, οφείλει να λαμβάνει υπόψη το περιεχόμενο των κανόνων που εφαρμόζονται στη χώρα αυτή βάσει της εσωτερικής νομοθεσίας ή των διεθνών δεσμεύσεων που έχει αναλάβει η συγκεκριμένη χώρα, καθώς και την πρακτική σχετικά με την εξασφάλιση της τηρήσεως των κανόνων αυτών, δεδομένου ότι οφείλει, σύμφωνα με το άρθρο 25, παράγραφος 2, της οδηγίας 95/46, να λάβει υπόψη όλες τις περιστάσεις που σχετίζονται με τη διαβίβαση δεδομένων προσωπικού χαρακτήρα προς την τρίτη χώρα.
76      Ομοίως, όσον αφορά το γεγονός ότι το επίπεδο προστασίας που εξασφαλίζει η τρίτη χώρα ενδέχεται να μεταβληθεί, στην Επιτροπή απόκειται, μετά την έκδοση αποφάσεως βάσει του άρθρου 25, παράγραφος 6, της οδηγίας 95/46, να ελέγχει ανά τακτά χρονικά διαστήματα αν η διαπίστωση σχετικά με το ικανοποιητικό επίπεδο προστασίας που εξασφαλίζει η τρίτη αυτή χώρα παραμένει δικαιολογημένη από πραγματικής και νομικής απόψεως. Η επαλήθευση αυτή είναι, σε κάθε περίπτωση, επιβεβλημένη όταν υφίστανται ενδείξεις που προκαλούν αμφιβολίες ως προς ζήτημα αυτό.
77      Εξάλλου, όπως επισήμανε ο γενικός εισαγγελέας στις σκέψεις 134 και 135 των προτάσεών του, κατά την εξέταση του κύρους αποφάσεως που εξέδωσε η Επιτροπή βάσει του άρθρου 25, παράγραφος 6, της οδηγίας 95/46, πρέπει να ληφθούν επίσης υπόψη περιστάσεις μεταγενέστερες της εκδόσεως της εν λόγω αποφάσεως.
78      Ως προς το ζήτημα αυτό διαπιστώνεται ότι λαμβανομένων υπόψη, αφενός, της σημασίας που έχει η προστασία των δεδομένων προσωπικού χαρακτήρα υπό το πρίσμα του θεμελιώδους δικαιώματος του σεβασμού της ιδιωτικής ζωής και, αφετέρου, του μεγάλου αριθμού προσώπων των οποίων τα θεμελιώδη δικαιώματα ενδέχεται να προσβληθούν σε περίπτωση διαβιβάσεως δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα η οποία δεν εξασφαλίζει ικανοποιητικό επίπεδο προστασίας, η εξουσία εκτιμήσεως της Επιτροπής ως προς την επάρκεια του επιπέδου προστασίας που εξασφαλίζει η τρίτη αυτή χώρα είναι περιορισμένη, οπότε επιβάλλεται η διενέργεια ενός αυστηρού ελέγχου των απαιτήσεων που απορρέουν από το άρθρο 25 της οδηγίας 95/46 υπό το φως του Χάρτη (βλ., κατ’ αναλογίαν, απόφαση Digital Rights Ireland κ.λπ., C‑293/12 και C‑594/12, EU:C:2014:238, σκέψεις 47 και 48).
 Επί του άρθρου 1 της αποφάσεως 2000/520
79      Η Επιτροπή στο άρθρο 1, παράγραφος 1, της αποφάσεως 2000/520 έκρινε ότι οι αρχές που παρατίθενται στο παράρτημα Ι της αποφάσεως αυτής, οι οποίες εφαρμόζονται σύμφωνα με την καθοδήγηση που παρέχουν οι συχνές ερωτήσεις [ΣΕ] που περιλαμβάνονται στο παράρτημα ΙΙ της αποφάσεως αυτής, εξασφαλίζουν ικανοποιητικό επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα που διαβιβάζονται από την Ένωση σε οργανισμούς εγκατεστημένους στις Ηνωμένες Πολιτείες. Από τη διάταξη αυτή προκύπτει ότι τόσο οι αρχές αυτές όσοι και οι ΣΕ εκδόθηκαν από το αμερικανικό Υπουργείο Εμπορίου.
80      Η προσχώρηση ενός οργανισμού στις αρχές ασφαλούς λιμένα πραγματοποιείται βάσει συστήματος αυτοπιστοποιήσεως, όπως προκύπτει από το άρθρο 1, παράγραφοι 2 και 3, της ανωτέρω αποφάσεως, σε συνδυασμό με τη ΣΕ 6 του παραρτήματος ΙΙ της ίδιας αποφάσεως.
81      Αν και η χρήση συστήματος αυτοπιστοποιήσεως από τρίτη χώρα δεν είναι αφεαυτής αντίθετη στην απαίτηση που θεσπίζει το άρθρο 25, παράγραφος 6, της οδηγίας 95/46, κατά την οποία η τρίτη χώρα πρέπει να εξασφαλίζει αποτελεσματικό επίπεδο προστασίας «λόγω της εσωτερικής της νομοθεσίας ή των διεθνών δεσμεύσεων που έχει αναλάβει» η εν λόγω χώρα, η αξιοπιστία του συστήματος αυτού ως προς την ανωτέρω απαίτηση εξαρτάται, κατ’ ουσίαν, από την πρόβλεψη αποτελεσματικών μηχανισμών ανιχνεύσεως και ελέγχου που επιτρέπουν να εντοπίζονται και να τιμωρούνται στην πράξη τυχόν παραβάσεις των κανόνων για την προστασία των θεμελιωδών δικαιωμάτων, ιδίως του δικαιώματος σεβασμού της ιδιωτικής ζωής και του δικαιώματος προστασίας των δικαιωμάτων προσωπικού χαρακτήρα.
82      Εν προκειμένω, οι αρχές του ασφαλούς λιμένα, βάσει του παραρτήματος Ι, δεύτερο εδάφιο, της αποφάσεως 2000/520 «προορίζονται αποκλειστικά για χρήση από αμερικανικούς οργανισμούς που λαμβάνουν δεδομένα προσωπικού χαρακτήρα από την Ευρωπαϊκή Ένωση, προκειμένου οι οργανισμοί αυτοί να πληρούν τις προϋποθέσεις του “ασφαλούς λιμένα” και να επωφελούνται από το τεκμήριο “επάρκειας” που παρέχει η ένταξη σ’ αυτόν». Επομένως, οι αρχές αυτές εφαρμόζονται αποκλειστικά από τους αμερικανικούς οργανισμούς που έχουν αυτοπιστοποιηθεί και οι οποίοι λαμβάνουν δεδομένα προσωπικού χαρακτήρα από την Ένωση, χωρίς να επιβάλλεται στις αμερικανικές δημόσιες αρχές η υποχρέωση σεβασμού των εν λόγω κανόνων.
83      Εξάλλου, κατά το άρθρο 2 της αποφάσεως 2000/520, η απόφαση αυτή «αφορά μόνο την επάρκεια της προστασίας που παρέχεται στις Ηνωμένες Πολιτείες σύμφωνα με τις αρχές ασφαλούς λιμένα, όπως αυτές εφαρμόζονται σύμφωνα με τις συχνές ερωτήσεις, σε σχέση με την τήρηση των απαιτήσεων του άρθρου 25 παράγραφος 1 της οδηγίας [95/46]», χωρίς να περιλαμβάνει όμως τις απαραίτητες διαπιστώσεις σχετικά με τα μέτρα με τα οποία οι Ηνωμένες Πολιτείες της Αμερικής εξασφαλίζουν ικανοποιητικό επίπεδο προστασίας, υπό την έννοια του άρθρου 25, παράγραφος 6, της οδηγίας αυτής, λόγω της εσωτερικής τους νομοθεσίας ή των διεθνών τους δεσμεύσεων.
84      Επιπλέον, κατά το παράρτημα Ι, τέταρτο εδάφιο, της αποφάσεως 2000/520, η εφαρμογή των αρχών αυτών μπορεί να περιοριστεί, μεταξύ άλλων, «στο μέτρο που είναι αναγκαίο για να πληρούνται απαιτήσεις εθνικής ασφάλειας, δημόσιου συμφέροντος και εφαρμογής του νόμου [των Ηνωμένων Πολιτειών]» καθώς και «από νομοθετικές, κυβερνητικές ή νομολογιακές διατάξεις οι οποίες δημιουργούν αντιφατικές υποχρεώσεις ή ρητή έγκριση, υπό τον όρο ότι, κατά την άσκηση οποιασδήποτε παρόμοιας έγκρισης, ο οργανισμός μπορεί να αποδείξει ότι η μη συμμόρφωσή του με τις αρχές περιορίζεται στο μέτρο που είναι αναγκαίο για να πληρούνται τα υπερισχύοντα νόμιμα συμφέροντα τα οποία εξυπηρετεί η εν λόγω έγκριση».
85      Ως προς το ζήτημα αυτό, όσον αφορά τους περιορισμούς που ισχύουν για την εφαρμογή των αρχών του ασφαλούς λιμένα, η απόφαση 2000/520, στο παράρτημα IV, τίτλος B, υπογραμμίζει ότι «[σ]αφώς στην περίπτωση που το αμερικανικό δίκαιο επιβάλλει μια αντικρουόμενη υποχρέωση, οι οργανισμοί των ΗΠΑ, είτε συμμορφώνονται με τις αρχές ασφαλούς λιμένα είτε όχι, πρέπει να εφαρμόσουν το δίκαιο».
86      Έτσι, η απόφαση 2000/520 καθιερώνει την υπεροχή των «απαιτήσεων εθνικής ασφάλειας, δημόσιου συμφέροντος και εφαρμογής του δικαίου [των ΗΠΑ]» έναντι των αρχών του ασφαλούς λιμένα, και βάσει αυτής της υπεροχής οι αυτοπιστοποιημένοι αμερικανικοί οργανισμοί που λαμβάνουν δεδομένα προσωπικού χαρακτήρα από την Ένωση οφείλουν να αποκλίνουν, χωρίς περιορισμό, από τις αρχές του ασφαλούς λιμένα όταν οι αρχές αυτές συγκρούονται με τις ανωτέρω απαιτήσεις και καθίστανται ασύμβατες με αυτές.
87      Λόγω του γενικού χαρακτήρα της παρεκκλίσεως που προβλέπεται στο παράρτημα Ι, τέταρτο εδάφιο, της αποφάσεως 2000/520, καθίστανται πιθανές ενέργειες θίγουσες τα θεμελιώδη δικαιώματα των προσώπων των οποίων τα δεδομένα προσωπικού χαρακτήρα έχουν διαβιβαστεί ή θα μπορούσαν να διαβιβαστούν από την Ένωση στις Ηνωμένες Πολιτείες, στηριζόμενες στις απαιτήσεις εθνικής ασφάλειας, δημοσίου συμφέροντος ή εφαρμογής της νομοθεσίας των Ηνωμένων Πολιτειών. Ως προς το ζήτημα αυτό, προκειμένου να στοιχειοθετηθεί προσβολή του θεμελιώδους δικαιώματος σεβασμού της ιδιωτικής ζωής, ελάχιστη σημασία έχει αν οι σχετικές πληροφορίες για την ιδιωτική ζωή είναι ή όχι ευαίσθητου χαρακτήρα ή αν οι ενδιαφερόμενοι υπέστησαν ή όχι ενδεχομένως δυσμενείς συνέπειες λόγω της επεμβάσεως αυτής (απόφαση Digital Rights Ireland κ.λπ., C‑293/12 και C‑594/12, EU:C:2014:238, σκέψη 33 και εκεί παρατιθέμενη νομολογία).
88      Επιπλέον, η απόφαση 2000/520 δεν περιλαμβάνει καμία διαπίστωση σχετικά με την ύπαρξη στις Ηνωμένες Πολιτείες κρατικών κανόνων για τον περιορισμό τυχόν επεμβάσεων στα θεμελιώδη δικαιώματα των προσώπων των οποίων τα δεδομένα διαβιβάζονται από την Ένωση στις Ηνωμένες Πολιτείες, επεμβάσεις στις οποίες επιτρέπεται να προβαίνουν κρατικοί φορείς των Ηνωμένων Πολιτικών, όταν υπηρετούν νόμιμους σκοπούς όπως η εθνική ασφάλεια.
89      Επίσης, η απόφαση 2000/520 δεν αναφέρεται στην ύπαρξη αποτελεσματικής δικαστικής προστασίας κατά τέτοιων επεμβάσεων. Όπως επισήμανε ο γενικός εισαγγελέας στα σημεία 204 έως 206 των προτάσεών του, οι μηχανισμοί ιδιωτικής διαιτησίας και οι διαδικασίες ενώπιον της ομοσπονδιακής επιτροπής εμπορίου, οι αρμοδιότητες των οποίων περιγράφονται στη ΣΕ 11 και παρατίθενται στο παράρτημα ΙΙ της αποφάσεως αυτής, αφορούν μόνο τις διαφορές εμπορικού χαρακτήρα σχετικά με την τήρηση των αρχών του ασφαλούς λιμένα εκ μέρους των αμερικανικών επιχειρήσεων και δεν μπορούν να εφαρμοστούν στο πλαίσιο διαφορών σχετικά με επεμβάσεις στα ανθρώπινα δικαιώματα λόγω κρατικών μέτρων.
90      Εξάλλου, η προηγηθείσα ανάλυση της αποφάσεως 2000/520 ενισχύεται από την εκτίμηση που έκανε η ίδια η Επιτροπή σχετικά με την κατάσταση που προκύπτει από την εφαρμογή της αποφάσεως αυτής. Πράγματι, στα σημεία 2 και 3.2 της ανακοινώσεως COM(2013) 846 τελικό συγκεκριμένα καθώς και στα σημεία 7.1, 7.2 και 8 της ανακοινώσεως COM(2013) 847 τελικό, το περιεχόμενο των οποίων παρατέθηκε στις σκέψεις 13 έως 16 και 22, 23 και 25 της παρούσας αποφάσεως, η Επιτροπή διαπίστωσε ότι οι αμερικανικές αρχές μπορούσαν να έχουν πρόσβαση στα δεδομένα προσωπικού χαρακτήρα που διαβιβάζονται από τα κράτη μέλη προς τις Ηνωμένες Πολιτείες και να τα επεξεργαστούν κατά τρόπο ασυμβίβαστο με τον σκοπό για τον οποίο διαβιβάστηκαν, καθ’ υπέρβαση των ορίων του απολύτως αναγκαίου και του αναλογικού για την προστασία της εθνικής ασφάλειας. Ομοίως, η Επιτροπή διαπίστωσε ότι για τους ενδιαφερομένους δεν υπάρχει η δυνατότητα μέσω της διοικητικής ή της δικαστικής οδού να έχουν πρόσβαση στα δεδομένα που τους αφορούν, και εφόσον χρειαστεί να εξασφαλίσουν την τροποποίηση ή τη διαγραφή τους.
91      Όσον αφορά το επίπεδο προστασίας των θεμελιωδών δικαιωμάτων και ελευθεριών που προστατεύεται εντός της Ένωσης, κατά την πάγια νομολογία του Δικαστηρίου, ρύθμιση που συνεπάγεται επέμβαση στα θεμελιώδη δικαιώματα που προστατεύονται από τα άρθρα 7 και 8 του Χάρτη πρέπει να προβλέπει σαφείς και ακριβείς κανόνες που να διέπουν την έκταση και την εφαρμογή του οικείου μέτρου και να επιβάλλουν έναν ελάχιστο αριθμό απαιτήσεων ούτως ώστε τα πρόσωπα των οποίων τα δεδομένα διατηρούνται να έχουν επαρκείς εγγυήσεις ότι προστατεύονται αποτελεσματικά τα δεδομένα τους από κινδύνους καταχρήσεως, καθώς και από οποιασδήποτε αθέμιτη πρόσβαση και οποιασδήποτε αθέμιτη χρήση των δεδομένων αυτών. Η ανάγκη να παρέχονται τέτοιες εγγυήσεις είναι κατά μείζονα λόγο σημαντική όταν τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε αυτόματη επεξεργασία και υπάρχει σημαντικός κίνδυνος παράνομης προσβάσεως σε αυτά (απόφαση Digital Rights Ireland κ.λπ., C‑293/12 και C‑594/12, EU:C:2014:238, σκέψεις 54 και 55 και εκεί παρατιθέμενη νομολογία).
92      Εξάλλου και ιδίως, η προστασία του θεμελιώδους δικαιώματος του σεβασμού της ιδιωτικής ζωής στο επίπεδο της Ένωσης επιτάσσει οι παρεκκλίσεις από την προστασία των δεδομένων προσωπικού χαρακτήρα και οι περιορισμοί της να μην υπερβαίνουν τα όρια του απολύτως αναγκαίου (απόφαση Digital Rights Ireland κ.λπ., C‑293/12 και C‑594/12, EU:C:2014:238, σκέψη 52 και εκεί παρατιθέμενη νομολογία).
93      Έτσι, δεν περιορίζεται στα όρια του απολύτως αναγκαίου μια ρύθμιση που επιτρέπει κατά γενικευμένο τρόπο τη διατήρηση του συνόλου των δεδομένων προσωπικού χαρακτήρα όλων των προσώπων των οποίων τα δεδομένα διαβιβάστηκαν από την Ένωση στις Ηνωμένες Πολιτείες, χωρίς καμία διαφοροποίηση, περιορισμό ή εξαίρεση σε σχέση με τον επιδιωκόμενο σκοπό και χωρίς να προβλέπεται αντικειμενικό κριτήριο που θα μπορούσε να οριοθετήσει την πρόσβαση των δημόσιων αρχών στα δεδομένα και τη μεταγενέστερη χρήση τους για συγκεκριμένους σκοπούς, αυστηρά περιορισμένους, που μπορούν να δικαιολογήσουν την προσβολή που συνεπάγεται τόσο η πρόσβαση όσο και η χρήση των δεδομένων αυτών [βλ., υπ’ αυτή την έννοια, όσον αφορά την οδηγία 2006/24/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 15ης Μαρτίου 2006, για τη διατήρηση δεδομένων που παράγονται ή υποβάλλονται σε επεξεργασία σε συνάρτηση με την παροχή διαθεσίμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών ή δημοσίων δικτύων επικοινωνιών και για την τροποποίηση της οδηγίας 2002/58/ΕΚ (ΕΕ L 105, σ. 54), απόφαση Digital Rights Ireland κ.λπ., C‑293/12 και C‑594/12, EU:C:2014:238, σκέψεις 57 έως 61].
94      Ειδικότερα, ρύθμιση που επιτρέπει στις δημόσιες αρχές την πρόσβαση κατά γενικευμένο τρόπο στο περιεχόμενο των ηλεκτρονικών επικοινωνιών πρέπει να θεωρηθεί ότι προσβάλλει το ουσιαστικό περιεχόμενο του θεμελιώδους δικαιώματος του σεβασμού της ιδιωτικής ζωής, όπως αυτό κατοχυρώνεται από το άρθρο 7 του Χάρτη (βλ., υπ’ αυτή την έννοια, απόφαση Digital Rights Ireland κ.λπ., C‑293/12 και C‑594/12, EU:C:2014:238, σκέψη 39).
95      Ομοίως, ρύθμιση που δεν προβλέπει ένδικα βοηθήματα προκειμένου ο ενδιαφερόμενος να έχει πρόσβαση στα δεδομένα προσωπικού χαρακτήρα που τον αφορούν ή να επιτύχει την τροποποίηση ή την κατάργηση τέτοιων δεδομένων δεν σέβεται το ουσιαστικό περιεχόμενο του θεμελιώδους δικαιώματος αποτελεσματικής δικαστικής προστασίας, όπως αυτό κατοχυρώνεται στο άρθρο 47 του Χάρτη. Συγκεκριμένα, το άρθρο 47, παράγραφος 1, του Χάρτη ορίζει ότι, σε περιπτώσεις προσβολής των δικαιωμάτων και των ελευθεριών που διασφαλίζονται από το δίκαιο της Ένωσης, ο ενδιαφερόμενος πρέπει να έχει, στην πράξη, τη δυνατότητα να προσφύγει στη δικαιοσύνη σύμφωνα με τις προϋποθέσεις που προβλέπει το συγκεκριμένο άρθρο. Η ύπαρξη αποτελεσματικού δικαστικού ελέγχου για την προστασία της τηρήσεως των διατάξεων της Ένωσης είναι αναπόσπαστα συνδεδεμένη με την ύπαρξη κράτους δικαίου (βλ., υπ’ αυτή την έννοια, αποφάσεις Les Verts κατά Κοινοβουλίου, 294/83, EU:C:1986:166, σκέψη 23· Johnston, 222/84, EU:C:1986:206, σκέψεις 18 και 19· Heylens κ.λπ., 222/86, EU:C:1987:442, σκέψη 14, καθώς και UGT-Rioja κ.λπ., C‑428/06 έως C‑434/06, EU:C:2008:488, σκέψη 80).
96      Όπως διαπιστώθηκε στις σκέψεις 71, 73 και 74 της παρούσας αποφάσεως, η έκδοση αποφάσεως της Επιτροπής βάσει του άρθρου 25, παράγραφος 6, της οδηγίας 95/46 απαιτεί να διαπιστωθεί, επαρκώς αιτιολογημένα, από την Επιτροπή ότι η οικεία τρίτη χώρα εξασφαλίζει αποτελεσματικά, με την εσωτερική της νομοθεσία ή με τις διεθνείς δεσμεύσεις που έχει αναλάβει, επίπεδο προστασίας των θεμελιωδών δικαιωμάτων ουσιαστικά ισοδύναμο με αυτό που εξασφαλίζεται από την έννομη τάξη της Ένωσης, όπως προκύπτει ιδίως από τις προηγούμενες σκέψεις της παρούσας αποφάσεως.
97      Επισημαίνεται, όμως, ότι η Επιτροπή στην απόφαση 2000/520 δεν ανέφερε ότι οι Ηνωμένες Πολιτείες της Αμερικής «εξασφαλίζουν» πραγματικά ικανοποιητικό επίπεδο προστασίας με την εσωτερική τους νομοθεσία ή με τις διεθνείς δεσμεύσεις που έχουν αναλάβει.
98      Επομένως, χωρίς να χρειάζεται να εξεταστούν οι αρχές του ασφαλούς λιμένα ως προς το περιεχόμενό τους, επιβάλλεται η διαπίστωση ότι το άρθρο 1 της αποφάσεως αυτής δεν σέβεται τις απαιτήσεις του άρθρου 25, παράγραφος 6, της οδηγίας 95/46 υπό το πρίσμα του Χάρτη και είναι, ως εκ τούτου, άκυρο.
 Επί του άρθρου 3 της οδηγίας 2000/520
99      Από τις αιτιολογικές σκέψεις που εκτέθηκαν στις σκέψεις 53, 57 και 63 της παρούσας αποφάσεως προκύπτει ότι, βάσει του άρθρου 28 της οδηγίας 95/46 υπό το φως ιδίως του άρθρου 8 του Χάρτη, οι εθνικές αρχές έλεγχου πρέπει να μπορούν να εξετάσουν αμερόληπτα κάθε αίτηση σχετικά με την προστασία των δικαιωμάτων και των ελευθεριών προσώπου έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα που το αφορούν. Το ίδιο ισχύει ιδίως όταν στην εν λόγω αίτηση το πρόσωπο αυτό προβάλλει ζητήματα σχετικά με τη συμφωνία αποφάσεως που εξέδωσε η Επιτροπή βάσει του άρθρου 25, παράγραφος 6, της ανωτέρω οδηγίας με την προστασία της ιδιωτικής ζωής και των θεμελιωδών δικαιωμάτων και ελευθεριών των προσώπων.
100    Το άρθρο 3, παράγραφος 1, πρώτο εδάφιο, της αποφάσεως 2000/520 προβλέπει, όμως, ειδική ρύθμιση σχετικά με τις εξουσίες που διαθέτουν οι εθνικές αρχές ελέγχου σε σχέση με διαπίστωση που έχει πραγματοποιήσει η Επιτροπή ως προς το ικανοποιητικό επίπεδο προστασίας υπό την έννοια του άρθρου 25 της οδηγίας 95/46.
101    Έτσι, κατά τη διάταξη αυτή, οι εθνικές αρχές μπορούν «[μ]ε την επιφύλαξη των εξουσιών τους να αναλαμβάνουν δράση προκειμένου να εξασφαλίζουν την τήρηση των εθνικών διατάξεων που εκδίδονται σύμφωνα με διατάξεις διαφορετικές από το άρθρο 25 της οδηγίας [95/46], […] να αναστέλλουν τη ροή δεδομένων προς οργανισμό που έχει δηλώσει ότι προσχωρεί στις αρχές [της αποφάσεως 2000/520]», υπό περιοριστικές προϋποθέσεις εξασφαλίζουσες υψηλό επίπεδο παρεμβάσεως. Καίτοι η διάταξη αυτή δεν θίγει την εξουσία των εν λόγω αρχών να λαμβάνουν μέτρα για την εξασφάλιση της τηρήσεως των εθνικών διατάξεων που εκδίδονται κατ’ εφαρμογήν της ανωτέρω οδηγίας, εντούτοις αποκλείει τη δυνατότητα των αρχών αυτών να λαμβάνουν μέτρα για την εξασφάλιση της τηρήσεως του άρθρου 25 της ίδιας οδηγίας.
102    Το άρθρο 3, παράγραφος 1, πρώτο εδάφιο, της αποφάσεως 2000/520 έχει, επομένως, την έννοια ότι στερεί από τις εθνικές αρχές ελέγχου τις εξουσίες που αντλούν από το άρθρο 28 της οδηγίας 95/46, σε περίπτωση που κάποιο πρόσωπο προβάλλει, στο πλαίσιο υποβολής αιτήσεως δυνάμει της εν λόγω διατάξεως, στοιχεία δυνάμενα να κλονίσουν τη συμβατότητα με την προστασία της ιδιωτικής ζωής και των θεμελιωδών δικαιωμάτων και ελευθεριών των προσώπων αποφάσεως με την οποία η Επιτροπή έχει διαπιστώσει, βάσει του άρθρου 25, παράγραφος 6, της οδηγίας αυτής, ότι τρίτη χώρα εξασφαλίζει ικανοποιητικό επίπεδο προστασίας.
103    Η εκτελεστική αρμοδιότητα που απονέμει ο νομοθέτης της Ένωσης στην Επιτροπή στο άρθρο 25, παράγραφος 6, της οδηγίας 95/46 δεν της απονέμει, όμως, την εξουσία να περιορίσει τις αρμοδιότητες των εθνικών αρχών ελέγχου που αναφέρονται στην προηγούμενη σκέψη της παρούσας αποφάσεως.
104    Υπό τις συνθήκες αυτές, πρέπει να κριθεί ότι η Επιτροπή, θεσπίζοντας το άρθρο 3 της αποφάσεως 2000/520, υπερέβη τις αρμοδιότητές που της απένειμε το άρθρο 25, παράγραφος 6, της οδηγίας 95/46 υπό το πρίσμα του Χάρτη και ως εκ τούτου το άρθρο αυτό είναι ανίσχυρο.
105    Δεδομένου ότι τα άρθρα 1 και 3 της αποφάσεως 2000/520 συνδέονται άρρηκτα με τα άρθρα 2 και 4 καθώς και τα παραρτήματα αυτής, το ανίσχυρο των άρθρων 1 και 3 έχει ως αποτέλεσμα να επηρεάζει το κύρος της αποφάσεως αυτής στο σύνολό της.
106    Λαμβανομένων υπόψη του συνόλου των ανωτέρω σκέψεων, πρέπει να κριθεί ότι η απόφαση 2000/520 είναι ανίσχυρη.
 Επί των δικαστικών εξόδων
107    Δεδομένου ότι η παρούσα διαδικασία έχει ως προς τους διαδίκους της κύριας δίκης τον χαρακτήρα παρεμπίπτοντος που ανέκυψε ενώπιον του εθνικού δικαστηρίου, σ’ αυτό εναπόκειται να αποφανθεί επί των δικαστικών εξόδων. Τα έξοδα στα οποία υποβλήθηκαν όσοι υπέβαλαν παρατηρήσεις στο Δικαστήριο, πλην των ως άνω διαδίκων, δεν αποδίδονται.
Για τους λόγους αυτούς, το Δικαστήριο (τμήμα μείζονος συνθέσεως) αποφαίνεται:
1)      Το άρθρο 25, παράγραφος 6, της οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων, όπως τροποποιήθηκε με τον κανονισμό (ΕΚ) 1882/2003 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 29ης Σεπτεμβρίου 2003, υπό το πρίσμα των άρθρων 7, 8 και 47 του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης, έχει την έννοια ότι απόφαση που εκδίδεται βάσει της διατάξεως αυτής, όπως η απόφαση 2000/520/ΕΚ της Επιτροπής, της 26ης Ιουλίου 2000, βάσει της οδηγίας 95/46, σχετικά με την επάρκεια της προστασίας που παρέχεται από τις αρχές ασφαλούς λιμένα για την προστασία της ιδιωτικής ζωής και τις συναφείς συχνές ερωτήσεις που εκδίδονται από το Υπουργείο Εμπορίου των ΗΠΑ, με την οποία η Ευρωπαϊκή Επιτροπή αποφαίνεται ότι τρίτη χώρα εξασφαλίζει ικανοποιητικό επίπεδο προστασίας, δεν εμποδίζει την αρχή ελέγχου κράτους μέλους, υπό την έννοια του άρθρου 28 της οδηγίας αυτής, όπως έχει τροποποιηθεί, να εξετάσει αίτηση προσώπου σχετικά με την προστασία των δικαιωμάτων και των ελευθεριών του έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που το αφορούν, τα οποία έχουν διαβιβαστεί από κράτος μέλος προς την εν λόγω τρίτη χώρα, όταν το πρόσωπο αυτό υποστηρίζει ότι η νομοθεσία και η πρακτική στην χώρα αυτή δεν εξασφαλίζουν ικανοποιητικό επίπεδο προστασίας.
2)      Η απόφαση 2000/520 είναι ανίσχυρη.
(υπογραφές)

Δεν υπάρχουν σχόλια: