ΔΕΕ – GDPR: Αποζημίωση σε επισκέπτη του ιστοτόπου της «Διάσκεψη για το Μέλλον της Ευρώπης» λόγω διαβίβασης δεδομένων προσωπικού χαρακτήρα στις ΗΠΑ

ΔΙΚΑΣΤΗΡΙΟ ΤΗΣ ΕΥΡΩΠΑΪΚΗΣ ΕΝΩΣΗΣ

Λουξεμβούργο, 8 Ιανουαρίου 2025

Απόφαση του Γενικού Δικαστηρίου στην υπόθεση T-354/22 | Bindl κατά Επιτροπής

Το Γενικό Δικαστήριο υποχρεώνει την Επιτροπή να καταβάλει αποζημίωση σε επισκέπτη του ιστοτόπου της «Διάσκεψη για το Μέλλον της Ευρώπης» λόγω διαβίβασης δεδομένων προσωπικού χαρακτήρα στις Ηνωμένες Πολιτείες

Παραθέτοντας στην ιστοσελίδα EU Login τον υπερσύνδεσμο «Σύνδεση μέσω του Facebook», η Επιτροπή δημιούργησε τις προϋποθέσεις για τη διαβίβαση της διεύθυνσης IP του ενδιαφερομένου στην αμερικανική επιχείρηση Meta Platforms
Πολίτης που κατοικεί στη Γερμανία προσάπτει στην Επιτροπή ότι προσέβαλε το δικαίωμά του προστασίας των δεδομένων προσωπικού χαρακτήρα που τον αφορούν κατά τις επισκέψεις του το 2021 και το 2022 στον ιστότοπο «Διάσκεψη για το Μέλλον της Ευρώπης»¹, τον οποίο διαχειρίζεται η Επιτροπή. Πιο συγκεκριμένα, ο πολίτης αυτός εγγράφηκε μέσω του εν λόγω ιστοτόπου στην εκδήλωση «GoGreen», χρησιμοποιώντας την υπηρεσία ταυτοποίησης της Επιτροπής EU Login και επιλέγοντας την προσφερόμενη από τον ιστότοπο δυνατότητα σύνδεσης μέσω του λογαριασμού του στο Facebook.

Ο ενδιαφερόμενος θεωρεί ότι, κατά τις επισκέψεις του στον ως άνω ιστότοπο, διαβιβάσθηκαν σε αποδέκτες εγκατεστημένους στις Ηνωμένες Πολιτείες δεδομένα προσωπικού χαρακτήρα που τον αφορούσαν, όπως η διεύθυνση IP καθώς και πληροφορίες σχετικές με τον φυλλομετρητή και το τερματικό του.

Ειδικότερα υποστηρίζει ότι τα δεδομένα του διαβιβάσθηκαν στην αμερικανική επιχείρηση Amazon Web Services, υπό την ιδιότητά της ως διαχειρίστριας του δικτύου διανομής περιεχομένου με την ονομασία Amazon CloudFront, το οποίο χρησιμοποιείται από τον επίμαχο ιστότοπο. Προβάλλει επίσης ότι, κατά την εγγραφή του στην εκδήλωση «GoGreen» μέσω του λογαριασμού του στο Facebook, τα δεδομένα του διαβιβάσθηκαν στην αμερικανική επιχείρηση Meta Platforms, Inc.

Κατά τον ενδιαφερόμενο, οι Ηνωμένες Πολιτείες δεν διαθέτουν επαρκές επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα. Οι διαβιβάσεις των δεδομένων του δημιούργησαν τον κίνδυνο να αποκτήσουν πρόσβαση σε αυτά οι αμερικανικές υπηρεσίες ασφαλείας και πληροφοριών. Η Επιτροπή δεν ανέφερε βάσει ποιων κατάλληλων εγγυήσεων θα μπορούσαν να δικαιολογηθούν οι εν λόγω διαβιβάσεις².

Κατά συνέπεια, ο ενδιαφερόμενος ζητεί την καταβολή του ποσού των 400 ευρώ ως χρηματική ικανοποίηση για την ηθική βλάβη που ισχυρίζεται ότι υπέστη λόγω των επίδικων διαβιβάσεων δεδομένων.

Ζητεί επίσης, πρώτον, να ακυρωθούν οι συγκεκριμένες διαβιβάσεις, δεύτερον, να διαπιστωθεί ότι η Επιτροπή παρανόμως παρέλειψε να απαντήσει σε αίτημα παροχής πληροφοριών και, τρίτον, να υποχρεωθεί η Επιτροπή να του καταβάλει το ποσό των 800 ευρώ ως χρηματική ικανοποίηση για την ηθική βλάβη που ισχυρίζεται ότι υπέστη λόγω της προσβολής του δικαιώματός του πρόσβασης σε πληροφορίες.
 
Το Γενικό Δικαστήριο απορρίπτει το ακυρωτικό αίτημα ως απαράδεκτο και αποφασίζει να καταργήσει τη δίκη επί του αιτήματος για τη διαπίστωση παραλείψεως. Απορρίπτει επίσης το αίτημα αποζημιώσεως που στηρίζεται στην προσβολή του δικαιώματος πρόσβασης σε πληροφορίες, καθόσον κρίνει ότι δεν υφίσταται η προβαλλόμενη ηθική βλάβη.

Όσον αφορά το αίτημα αποζημιώσεως που στηρίζεται στις επίδικες διαβιβάσεις δεδομένων, το Γενικό Δικαστήριο απορρίπτει το αίτημα σε σχέση με τις διαβιβάσεις δεδομένων προς το Amazon CloudFront.
Ειδικότερα, το Γενικό Δικαστήριο καταλήγει στο συμπέρασμα ότι, στο πλαίσιο μίας από τις επίδικες συνδέσεις, η διαβίβαση δεδομένων δεν έλαβε χώρα προς τις Ηνωμένες Πολιτείες, αλλά, βάσει της αρχής της εγγύτητας³, προς διακομιστή⁴ που βρισκόταν στο Μόναχο της Γερμανίας. Σύμφωνα με τη σύμβαση μεταξύ της Επιτροπής και της διαχειρίστριας του Amazon CloudFront, ήτοι της λουξεμβουργιανής επιχείρησης Amazon Web Services, η τελευταία όφειλε να διασφαλίσει ότι τα δεδομένα αποθηκεύονται και διακινούνται αποκλειστικώς εντός Ευρώπης.

Στο πλαίσιο άλλης σύνδεσης, ο ίδιος ο ενδιαφερόμενος προκάλεσε την ανακατεύθυνσή του, μέσω του μηχανισμού δρομολόγησης του Amazon CloudFront, σε διακομιστές στις Ηνωμένες Πολιτείες. Ειδικότερα, λόγω ορισμένης τεχνικής ρύθμισης ως τοποθεσία του ενδιαφερομένου εμφανίζονταν οι Ηνωμένες Πολιτείες.

Αντιθέτως, όσον αφορά την εγγραφή του ενδιαφερομένου στην εκδήλωση «GoGreen», το Γενικό Δικαστήριο εκτιμά ότι η Επιτροπή δημιούργησε, μέσω του υπερσυνδέσμου «Σύνδεση μέσω του Facebook» ο οποίος εμφανίζεται στην ιστοσελίδα της EU Login, τις προϋποθέσεις για τη διαβίβαση της διεύθυνσης IP του ενδιαφερομένου στο Facebook. Η διεύθυνση IP συνιστά δεδομένο προσωπικού χαρακτήρα το οποίο, μέσω του ως άνω υπερσυνδέσμου, διαβιβάστηκε στη Meta Platforms, επιχείρηση εγκατεστημένη στις Ηνωμένες Πολιτείες. Η διαβίβαση αυτή είναι καταλογιστέα στην Επιτροπή.

Κατά τον χρόνο της διαβίβασης, ήτοι στις 30 Μαρτίου 2022, δεν υφίστατο απόφαση της Επιτροπής που να διαπιστώνει ότι οι Ηνωμένες Πολιτείες διασφαλίζουν επαρκές επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα των πολιτών της Ένωσης. Επιπροσθέτως, η Επιτροπή όχι μόνο δεν απέδειξε, αλλά ούτε καν επικαλέστηκε την ύπαρξη κάποιας κατάλληλης εγγύησης, όπως για παράδειγμα μιας τυποποιημένης ρήτρας προστασίας δεδομένων ή μιας συμβατικής ρήτρας⁵. Η εμφάνιση του υπερσυνδέσμου «Σύνδεση μέσω του Facebook» στον ιστότοπο EU Login διεπόταν απλώς και μόνον από τους γενικούς όρους της πλατφόρμας Facebook.

Συνεπώς, η Επιτροπή δεν τήρησε τις προϋποθέσεις που θέτει το δίκαιο της Ένωσης για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα από θεσμικό ή άλλο όργανο ή οργανισμό της Ένωσης.

Το Γενικό Δικαστήριο κρίνει ότι η Επιτροπή διέπραξε κατάφωρη παράβαση κανόνα δικαίου ο οποίος αποσκοπεί στην απονομή δικαιωμάτων σε ιδιώτες. Ο ενδιαφερόμενος υπέστη ηθική βλάβη, καθόσον βρέθηκε σε κατάσταση ανασφάλειας ως προς την επεξεργασία δεδομένων προσωπικού χαρακτήρα που τον αφορούν, συγκεκριμένα της διεύθυνσης IP. Επιπλέον, υφίσταται αρκούντως άμεση αιτιώδης συνάφεια μεταξύ της παράβασης που διέπραξε η Επιτροπή και της ηθικής βλάβης που υπέστη ο ενδιαφερόμενος.

Δεδομένου ότι πληρούνται οι προϋποθέσεις στοιχειοθέτησης της εξωσυμβατικής ευθύνης της Ένωσης, το Γενικό Δικαστήριο υποχρεώνει την Επιτροπή να καταβάλει στον ενδιαφερόμενο το ποσό των 400 ευρώ σύμφωνα με το αίτημά του.

¹Στη διεύθυνση https://futureu.europa.eu.
²Πρόκειται για τις εγγυήσεις που προβλέπονται στο κεφάλαιο V του κανονισμού (ΕΕ) 2018/1725 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 23ης Οκτωβρίου 2018, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα θεσμικά και λοιπά όργανα και τους οργανισμούς της Ένωσης και την ελεύθερη κυκλοφορία των δεδομένων αυτών.
³Η υπηρεσία Amazon CloudFront στηρίζεται σε μηχανισμό δρομολόγησης ο οποίος κατευθύνει το αίτημα χρήστη του ιστοτόπου της Διάσκεψης για το Μέλλον της Ευρώπης προς τον περιφερειακό διακομιστή (edge server) που παρέχει τον μικρότερο χρόνο αναμονής, σύμφωνα με την αρχή της εγγύτητας με το τερματικό του χρήστη, προκειμένου το περιεχόμενο να μεταδίδεται στον χρήστη υπό τις καλύτερες δυνατές συνθήκες.
⁴Ο εν λόγω διακομιστής ανήκει σε γερμανική επιχείρηση η οποία αποτελεί μέρος του δικτύου περιφερειακών θέσεων (edge positions) της υπηρεσίας Amazon CloudFront.
⁵Οι οποίες εκδίδονται υπό τους όρους που προβλέπονται στο άρθρο 48, παράγραφοι 2 και 3, του κανονισμού 2018/1725.

Πηγή