Το Δικαστήριο, σε μια απόφαση-ορόσημο (T-354/22) για την ερμηνεία του Κανονισμού 2018/1725, έκρινε ότι η Ευρωπαϊκή Επιτροπή παραβίασε τους κανόνες προστασίας προσωπικών δεδομένων, επιτρέποντας τη μεταφορά της διεύθυνσης IP του χρήστη στις ΗΠΑ (Meta Platforms), μέσω του υπερσυνδέσμου “σύνδεση μέσω Facebook” στην ιστοσελίδα EU Login.
Πολίτης, που κατοικούσε στη Γερμανία, πρόσαψε στην Επιτροπή ότι προσέβαλε το δικαίωμά του ως προς την προστασία των δεδομένων προσωπικού χαρακτήρα που τον αφορούν, κατά τις επισκέψεις του το 2021 και το 2022, στον ιστότοπο «Διάσκεψη για το Μέλλον της Ευρώπης», τον οποίο διαχειρίζεται η Επιτροπή. Πιο συγκεκριμένα, ο πολίτης αυτός εγγράφηκε, μέσω του εν λόγω ιστοτόπου στην εκδήλωση «GoGreen», χρησιμοποιώντας την υπηρεσία ταυτοποίησης της Επιτροπής EU Login και επιλέγοντας την προσφερόμενη από τον ιστότοπο δυνατότητα σύνδεσης μέσω του λογαριασμού του στο Facebook.
Ο ενδιαφερόμενος ανέφερε ότι, κατά τις επισκέψεις του στον ως άνω ιστότοπο, διαβιβάσθηκαν σε αποδέκτες εγκατεστημένους στις Ηνωμένες Πολιτείες δεδομένα προσωπικού χαρακτήρα, που τον αφορούσαν, όπως η διεύθυνση IP, καθώς και πληροφορίες σχετικές με τον φυλλομετρητή και το τερματικό του.
Ειδικότερα, υποστήριξε ότι τα δεδομένα του διαβιβάσθηκαν στην αμερικανική επιχείρηση Amazon Web Services, υπό την ιδιότητά της ως διαχειρίστριας του δικτύου διανομής περιεχομένου, με την ονομασία Amazon CloudFront, το οποίο χρησιμοποιείται από τον επίμαχο ιστότοπο. Πρόβαλε επίσης ότι, κατά την εγγραφή του στην εκδήλωση «GoGreen» μέσω του λογαριασμού του στο Facebook, τα δεδομένα του διαβιβάσθηκαν στην αμερικανική επιχείρηση Meta Platforms, Inc.
Κατά τον ενδιαφερόμενο, οι Ηνωμένες Πολιτείες δεν διαθέτουν επαρκές επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα. Οι διαβιβάσεις των δεδομένων του δημιούργησαν τον κίνδυνο να αποκτήσουν πρόσβαση σε αυτά οι αμερικανικές υπηρεσίες ασφαλείας και πληροφοριών. Η Επιτροπή δεν ανέφερε βάσει ποιων κατάλληλων εγγυήσεων θα μπορούσαν να δικαιολογηθούν οι εν λόγω διαβιβάσεις.
Κατά συνέπεια, ο ενδιαφερόμενος ζήτησε την καταβολή του ποσού των 400 ευρώ ως χρηματική ικανοποίηση για την ηθική βλάβη, που ισχυρίζεται ότι υπέστη, λόγω των επίδικων διαβιβάσεων δεδομένων.
Ζήτησε επίσης, πρώτον, να ακυρωθούν οι συγκεκριμένες διαβιβάσεις, δεύτερον, να διαπιστωθεί ότι η Επιτροπή παρανόμως παρέλειψε να απαντήσει σε αίτημα παροχής πληροφοριών και, τρίτον, να υποχρεωθεί η Επιτροπή να του καταβάλει το ποσό των 800 ευρώ, ως χρηματική ικανοποίηση για την ηθική βλάβη, που ισχυρίζεται ότι υπέστη λόγω της προσβολής του δικαιώματός του πρόσβασης σε πληροφορίες.
Το Γενικό Δικαστήριο απέρριψε το ακυρωτικό αίτημα ως απαράδεκτο, και αποφάσισε να καταργήσει τη δίκη επί του αιτήματος για τη διαπίστωση παραλείψεως. Απέρριψε, επίσης, το αίτημα αποζημιώσεως που στηρίχθηκε στην προσβολή του δικαιώματος πρόσβασης σε πληροφορίες, καθόσον έκρινε ότι δεν υφίσταται η προβαλλόμενη ηθική βλάβη.
Όσον αφορά το αίτημα αποζημιώσεως που στηρίχθηκε στις επίδικες διαβιβάσεις δεδομένων, το Γενικό Δικαστήριο απέρριψε το αίτημα σε σχέση με τις διαβιβάσεις δεδομένων προς το Amazon CloudFront. Ειδικότερα, το Γενικό Δικαστήριο κατέληξε στο συμπέρασμα ότι, στο πλαίσιο μίας από τις επίδικες συνδέσεις, η διαβίβαση δεδομένων δεν έλαβε χώρα προς τις Ηνωμένες Πολιτείες, αλλά, βάσει της αρχής της εγγύτητας, προς διακομιστή, που βρισκόταν στο Μόναχο της Γερμανίας. Σύμφωνα με τη σύμβαση μεταξύ της Επιτροπής και της διαχειρίστριας του Amazon CloudFront, ήτοι της λουξεμβουργιανής επιχείρησης Amazon Web Services, η τελευταία όφειλε να διασφαλίσει ότι τα δεδομένα αποθηκεύονται και διακινούνται αποκλειστικώς εντός Ευρώπης.
Στο πλαίσιο άλλης σύνδεσης, ο ίδιος ο ενδιαφερόμενος προκάλεσε την ανακατεύθυνσή του, μέσω του μηχανισμού δρομολόγησης του Amazon CloudFront, σε διακομιστές στις Ηνωμένες Πολιτείες. Ειδικότερα, λόγω ορισμένης τεχνικής ρύθμισης, ως τοποθεσία του ενδιαφερομένου εμφανίζονταν οι Ηνωμένες Πολιτείες.
Αντιθέτως, όσον αφορά την εγγραφή του ενδιαφερομένου στην εκδήλωση «GoGreen», το Γενικό Δικαστήριο εκτιμά ότι η Επιτροπή δημιούργησε, μέσω του υπερσυνδέσμου «Σύνδεση μέσω του Facebook», ο οποίος εμφανίζεται στην ιστοσελίδα της EU Login, τις προϋποθέσεις για τη διαβίβαση της διεύθυνσης IP του ενδιαφερομένου στο Facebook. Η διεύθυνση IP συνιστά δεδομένο προσωπικού χαρακτήρα, το οποίο, μέσω του ως άνω υπερσυνδέσμου, διαβιβάστηκε στη Meta Platforms, επιχείρηση εγκατεστημένη στις Ηνωμένες Πολιτείες. Η διαβίβαση αυτή είναι καταλογιστέα στην Επιτροπή.
Το Γενικό Δικαστήριο έκρινε ότι η Επιτροπή διέπραξε κατάφωρη παράβαση κανόνα δικαίου, ο οποίος αποσκοπεί στην απονομή δικαιωμάτων σε ιδιώτες.
Κατά τον χρόνο της διαβίβασης, ήτοι στις 30 Μαρτίου 2022, δεν υφίστατο απόφαση της Επιτροπής, που να διαπιστώνει ότι οι Ηνωμένες Πολιτείες διασφαλίζουν επαρκές επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα των πολιτών της Ένωσης. Επιπροσθέτως, η Επιτροπή όχι μόνο δεν απέδειξε, αλλά ούτε καν επικαλέστηκε την ύπαρξη κάποιας κατάλληλης εγγύησης, όπως για παράδειγμα μιας τυποποιημένης ρήτρας προστασίας δεδομένων, ή μιας συμβατικής ρήτρας. Η εμφάνιση του υπερσυνδέσμου «Σύνδεση μέσω του Facebook» στον ιστότοπο EU Login διεπόταν απλώς και μόνον από τους γενικούς όρους της πλατφόρμας Facebook.
Συνεπώς, η Επιτροπή δεν τήρησε τις προϋποθέσεις, που θέτει το δίκαιο της Ένωσης για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα, από θεσμικό ή άλλο όργανο ή οργανισμό της Ένωσης.
Ο ενδιαφερόμενος υπέστη ηθική βλάβη, καθόσον βρέθηκε σε κατάσταση ανασφάλειας, ως προς την επεξεργασία δεδομένων προσωπικού χαρακτήρα που τον αφορούν, συγκεκριμένα της διεύθυνσης IP. Επιπλέον, υφίσταται αρκούντως άμεση αιτιώδης συνάφεια μεταξύ της παράβασης που διέπραξε η Επιτροπή και της ηθικής βλάβης που υπέστη ο ενδιαφερόμενος.
Δεδομένου ότι πληρούνται οι προϋποθέσεις στοιχειοθέτησης της εξωσυμβατικής ευθύνης της Ένωσης, το Γενικό Δικαστήριο υποχρέωσε την Επιτροπή να καταβάλει στον ενδιαφερόμενο το ποσό των 400 ευρώ, σύμφωνα με το αίτημά του.
Δείτε την απόφαση στην Qualex: ΓΔΕΕ υπόθ. T-354/22