Στις 6 Σεπτεμβρίου του τρέχοντος έτους, το Γενικό Δικαστήριο κήρυξε απαράδεκτη την προσφυγή του Ευρωπαίου Επόπτη Προστασίας Δεδομένων (ΕΕΠΔ) για την ακύρωση δύο διατάξεων που ορίζονται στον νέο κανονισμό της Ευρωπόλ ( Τ-578/22 ). Αυτές οι δύο διατάξεις νομιμοποιούν αναδρομικά τις παράνομες δραστηριότητες επεξεργασίας δεδομένων από τον Οργανισμό Συνεργασίας για την Επιβολή του Νόμου της ΕΕ (Europol). Μολονότι αυτή η προσφυγή ακύρωσης θα μπορούσε να συμβάλει στον τερματισμό της μακράς ιστορίας μεταξύ του ΕΕΠΔ και της Ευρωπόλ, η έλλειψη νομικής υπόστασης φαίνεται να συνεπάγεται ότι ο ΕΕΠΔ θα πρέπει να συνεχίσει να κάνει «ό,τι καλύτερο» καταφεύγοντας στα ) διοικητικές εξουσίες επιβολής.
Αυτή η ανάρτηση ιστολογίου υποστηρίζει ότι ο νέος κανονισμός της Ευρωπόλ αποτελεί απειλή για την προστασία του θεμελιώδους δικαιώματος στην προστασία των δεδομένων, ενώ οι δυνατότητες του ΕΕΠΔ για παρακολούθηση και επίβλεψη της συμμόρφωσης με τους κανόνες προστασίας δεδομένων της ΕΕ παραμένουν περιορισμένες. Επιπλέον, η διάκριση των εξουσιών φαίνεται να μειώνει τις δυνατότητες του ΕΕΠΔ να παρέμβει στη νομοθετική διαδικασία, γεγονός που καθιστά ιδιαίτερα σημαντικό ότι ο ΕΕΠΔ μπορεί να αναζητήσει νομική προστασία όταν νέες νομοθετικές πρωτοβουλίες παραβιάζουν το θεμελιώδες δικαίωμα στην προστασία δεδομένων, κάτι που επί του παρόντος απορρίπτεται από το Γενικό Δικαστήριο.
Ιστορικό της υπόθεσης: προστασία των θεμελιωδών δικαιωμάτων υπό πίεση
Το έπος μεταξύ του ΕΕΠΔ και της Ευρωπόλ χρονολογείται από το 2019, όταν ο εκτελεστικός διευθυντής της Ευρωπόλ ενημέρωσε τον ΕΕΠΔ σχετικά με ζητήματα συμμόρφωσης του Οργανισμού με τους κανόνες προστασίας δεδομένων. Η Europol είναι μια υπηρεσία της ΕΕ που είναι υπεύθυνη για το συντονισμό της συνεργασίας μεταξύ των αρχών επιβολής του νόμου στα κράτη μέλη για την πρόληψη και την καταπολέμηση του σοβαρού διεθνούς και οργανωμένου εγκλήματος, του εγκλήματος στον κυβερνοχώρο και της τρομοκρατίας. Για το σκοπό αυτό, η Ευρωπόλ έχει εκτεταμένες εξουσίες σχετικά με τη συλλογή και την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Ο ΕΕΠΔ είναι γενικά υπεύθυνος για την παρακολούθηση και την εποπτεία της συμμόρφωσης με τους κανόνες προστασίας δεδομένων της ΕΕ από τα θεσμικά όργανα και τους φορείς της ΕΕ (άρθρο 4 του Κανονισμού (ΕΕ) 2018/1725 ).
Όσον αφορά την Ευρωπόλ, ο κανονισμός (ΕΕ) 2016/794 (εφεξής: αρχικός κανονισμός Ευρωπόλ) θεσπίζει τόσο τους κανόνες για την προστασία δεδομένων που ισχύουν για την Ευρωπόλ όσο και τα εποπτικά καθήκοντα του ΕΕΠΔ. Ο παρών κανονισμός έχει πλέον τροποποιηθεί με τον κανονισμό (ΕΕ) 2022/991 (εφεξής: νέος κανονισμός Ευρωπόλ). Ως εκ τούτου, ο ΕΕΠΔ διαδραματίζει ρόλο στη διασφάλιση της εξεύρεσης της σωστής ισορροπίας μεταξύ της προστασίας των δημοσίων συμφερόντων (ασφάλεια) και του θεμελιώδους δικαιώματος στην προστασία των δεδομένων. Σύμφωνα με τον αρχικό κανονισμό της Ευρωπόλ, θα μπορούσε να το πράξει ασκώντας τις εξουσίες του σύμφωνα με το άρθρο 43, σύμφωνα με το οποίο ο ΕΕΠΔ μπορούσε , μεταξύ άλλων, να παρακολουθεί την εφαρμογή του κανονισμού, να διεξάγει έρευνες βάσει καταγγελίας ή με δική του πρωτοβουλία, συμβουλεύει την Ευρωπόλ , ή πραγματοποιήστε προηγούμενες διαβουλεύσεις σχετικά με την επεξεργασία.
Ο εκτελεστικός διευθυντής αποκάλυψε ότι η Europol ενήργησε πέρα από τις αρμοδιότητές της επεξεργάζοντας μεγάλα σύνολα δεδομένων από πολλά κράτη μέλη τα οποία περιλάμβαναν προσωπικά δεδομένα ατόμων που δεν συνδέονται με εγκληματική δραστηριότητα. Ο αρχικός κανονισμός της Ευρωπόλ δεν προέβλεπε τέτοιες εργασίες επεξεργασίας. Αντίθετα, η Ευρωπόλ μπορούσε να επεξεργάζεται δεδομένα προσωπικού χαρακτήρα μόνο από διάφορες κατηγορίες υποκειμένων δεδομένων που απαριθμούνται στο παράρτημα II Β του αρχικού κανονισμού – όπως πρόσωπα ύποπτα για διάπραξη ποινικού αδικήματος, μελλοντικοί εγκληματίες, μάρτυρες, θύματα, επαφές ή συνεργάτες κ.λπ. Σε πολλές συνεισφορές, η Sarah Tas έχει συζητήσει εκτενώς το, αυτό που αποκαλεί, «παιχνίδι πινγκ-πονγκ μιας πρόκλησης μεγάλων δεδομένων» που ξεκίνησε μεταξύ του ΕΕΠΔ και της Europol μετά από αυτή την αποκάλυψη του Εκτελεστικού Διευθυντή.
Ως πρώτη απάντηση, ο ΕΕΠΔ ξεκίνησε μια αυτεπάγγελτη έρευνα, μετά την οποία εξέδωσε μια προειδοποιητική απόφαση προς την Ευρωπόλ , στην οποία κατέληξε στο συμπέρασμα ότι ο Οργανισμός παραβίασε τις διατάξεις που καθορίζουν τις κατηγορίες υποκειμένων των δεδομένων που επιτρέπεται να επεξεργάζεται η Ευρωπόλ. Επιπλέον, η Ευρωπόλ δεν συμμορφώθηκε με τις αρχές ελαχιστοποίησης και περιορισμού της αποθήκευσης δεδομένων (άρθρο 28 παράγραφος 1 στοιχείο ε) του αρχικού κανονισμού). Ως εκ τούτου, ο ΕΕΠΔ ζήτησε από την Ευρωπόλ να εγκρίνει σχέδιο δράσης για να διορθωθεί η κατάσταση. Ωστόσο, η Ευρωπόλ δεν έλαβε συγκεκριμένη δράση και, ως εκ τούτου, ο ΕΕΠΔ εξέδωσε τελικά απόφαση τον Ιανουάριο του 2022 χρησιμοποιώντας τις διορθωτικές του εξουσίες σύμφωνα με το άρθρο 43 παράγραφος 3 στοιχείο ε) του αρχικού κανονισμού. Στην απόφασή του, ο ΕΕΠΔ διέταξε την Ευρωπόλ να διαγράψει όλα τα προσωπικά δεδομένα που τηρούνται για άτομα που δεν έχουν αποδεδειγμένη σχέση με εγκληματική δραστηριότητα και «να διασφαλίσει την κατηγοριοποίηση του υποκειμένου των δεδομένων για νέα σύνολα δεδομένων που θα ολοκληρωθούν εντός έξι μηνών και για τα υπάρχοντα σύνολα δεδομένων εντός δώδεκα μηνών». Tas 2022 ).
Αυτή η εντολή θα μπορούσε να είχε θέσει τέλος στις παραβιάσεις της προστασίας δεδομένων της Europol, ωστόσο, ισχύει το αντίθετο. Αντίθετα, τα θεσμικά όργανα της ΕΕ νομιμοποίησαν αναδρομικά τις δραστηριότητες επεξεργασίας δεδομένων της Ευρωπόλ και, ως εκ τούτου, ακύρωσαν την απόφαση του ΕΕΠΔ εκδίδοντας νέο κανονισμό που τροποποιεί τον αρχικό κανονισμό της Ευρωπόλ ( ΕΕΠΔ 2022 ). Σύμφωνα με τα άρθρα 74α και 74β αυτού του νέου κανονισμού, η Ευρωπόλ «επιτρέπεται πλέον ρητά να κρατά μεγάλα και σύνθετα σύνολα δεδομένων που λαμβάνονται πριν από την έναρξη ισχύος του νέου κανονισμού και να τα αναλύει για περίοδο έως τρία έτη» ( Tas 2022 ). Η Ευρωπόλ μπορεί πλέον να επεξεργάζεται νόμιμα τεράστιες ποσότητες προσωπικών δεδομένων από άτομα που δεν εμπίπτουν στην αρμοδιότητα του Παραρτήματος II –δηλαδή, προσωπικά δεδομένα ατόμων χωρίς αποδεδειγμένη σχέση με εγκληματική δραστηριότητα– για παρατεταμένη χρονική περίοδο. Αυτό υπονομεύει τόσο τις αρχές της ελαχιστοποίησης δεδομένων όσο και του περιορισμού της αποθήκευσης ( Quintel 2022 , σελ. 94). Ο Tas προειδοποιεί μάλιστα για το ενδεχόμενο αυτή η διάταξη να επιτρέπει τη μαζική παρακολούθηση στην ΕΕ μέσω της τεράστιας συλλογής προσωπικών δεδομένων και της προγνωστικής αστυνόμευσης ( Tas 2023 , σ. 543-545).
Ενώ ο ΕΕΠΔ ενδέχεται να είχε κάποια επιρροή κατά τη νομοθετική διαδικασία βάσει των άρθρων 42 και 52 παράγραφος 3 του κανονισμού 2018/1725 που απαιτεί από την Επιτροπή να συμβουλεύεται τον ΕΕΠΔ όταν η πρότασή της για νομοθετική πράξη επηρεάζει την προστασία του θεμελιώδους δικαιώματος στα δεδομένα προστασία, αυτή η επιρροή είναι περιορισμένη. Πράγματι, ο ΕΕΠΔ εξέδωσε γνώμη ( 4/2021 ) που εξετάζει την πρόταση της Επιτροπής για τον νέο κανονισμό Ευρωπόλ, ο οποίος δεν περιλάμβανε ακόμη τα άρθρα 74α και 74β.
Ο ρόλος του ΕΕΠΔ δεν είναι επίσης τόσο καλά ανεπτυγμένος σε σύγκριση με άλλους οργανισμούς ή φορείς της ΕΕ με συμβουλευτικές αρμοδιότητες. Ενώ σε άλλους τομείς δικαίου υπάρχει, για παράδειγμα, ανάγκη η Επιτροπή να αιτιολογεί εάν θέλει να παραμερίσει τη συμβουλή ενός ειδικού οργάνου ή οργανισμού της ΕΕ, αυτό δεν ισχύει όσον αφορά τις γνωμοδοτήσεις του ΕΕΠΔ – για παράδειγμα, Η Επιτροπή δεν μπορεί απλώς να παραμερίσει τις συμβουλές του Ευρωπαϊκού Οργανισμού Ασφάλειας της Αεροπορίας σχετικά με τους τεχνικούς κανόνες (άρθρο 75 παράγραφος 2 στοιχείο β) του κανονισμού (ΕΕ) 2018/1139 ). Ως εκ τούτου, η μόνη οδός αμφισβήτησης των άρθρων 74α και 74β για τον ΕΕΠΔ ήταν η άσκηση προσφυγής ακύρωσης ενώπιον του Γενικού Δικαστηρίου, όπως έκανε ο ΕΕΠΔ τον Σεπτέμβριο του 2022. Στην προσφυγή του, ο ΕΕΠΔ υποστήριξε ότι ακυρώνοντας την απόφαση του ΕΕΠΔ που απηύθυνε στην Ευρωπόλ , απειλεί όχι μόνο την ανεξαρτησία της, αλλά και τη διασφάλιση της ασφάλειας δικαίου για τα φυσικά πρόσωπα και την αρχή της μη αναδρομικότητας των δικαιοπραξιών (βλ. Τ-578/22 , παρ. 20). Ωστόσο, η παρούσα προσφυγή ακυρώσεως απορρίφθηκε από το Γενικό Δικαστήριο για διάφορους λόγους, όπως αναλύονται παρακάτω.
Έλεγχοι και ισορροπίες: διασφαλίζεται ο διαχωρισμός των εξουσιών και επιβεβαιώνεται η έλλειψη «ελέγχων».
Φαίνεται ότι ο ΕΕΠΔ προέβλεψε δυσκολίες στην απόκτηση νομικής υπόστασης ενώπιον του Γενικού Δικαστηρίου λόγω των αυστηρών απαιτήσεων νομιμότητας για την απόδειξη του άμεσου και ατομικού ενδιαφέροντος σύμφωνα με το άρθρο 263 παράγραφος 4 της ΣΛΕΕ. Ως εκ τούτου, ο ΕΕΠΔ υποστήριξε ενώπιον του Δικαστηρίου ότι, ανεξάρτητα από το άρθρο 263 παράγραφος 4 της ΣΛΕΕ, θα έπρεπε να έχει νομική υπόσταση «για να υπερασπίζεται τα θεσμικά του προνόμια» ( Τ-578/22 , παρ. 40). Στην επιχειρηματολογία του, ο ΕΕΠΔ αναφέρθηκε στην αρχή της θεσμικής ισορροπίας για την υπεράσπιση των προνομίων του ΕΕΠΔ ως ανεξάρτητης εποπτικής αρχής των θεσμικών οργάνων και των οργανισμών της ΕΕ. Αυτή η ανεξάρτητη εποπτεία αποτελεί δικαίωμα ενός ατόμου σύμφωνα με το άρθρο 8 παράγραφος 3 του Χάρτη των Θεμελιωδών Δικαιωμάτων (CFR) και το άρθρο 16 παράγραφος 2 της Συνθήκης για τη λειτουργία της ΕΕ (ΣΛΕΕ) (βλ. επίσης Docksey and Propp 2023, σ. . 24). Με απλά λόγια, ο ΕΕΠΔ υποστήριξε ότι δεν μπορεί να εγγυηθεί ανεξάρτητη εποπτεία, δεδομένου ότι οι επίμαχες διατάξεις αντιτίθενται στη δραστηριότητα επιβολής του ΕΕΠΔ. Ο ΕΕΠΔ αναφέρθηκε εδώ στην απόφαση στην υπόθεση C-70/88 , Κοινοβούλιο κατά Επιτροπής , η οποία έκρινε ότι το Δικαστήριο πρέπει «να είναι σε θέση να διατηρήσει τη θεσμική ισορροπία και, κατά συνέπεια, να επανεξετάσει την τήρηση των προνομίων του Κοινοβουλίου όταν κληθεί να το πράξει. …] μέσω ένδικου μέσου» (παρ. 23).
Το Γενικό Δικαστήριο, ωστόσο, απέρριψε το επιχείρημα του ΕΕΠΔ, πρώτον, διευκρινίζοντας ότι ο ΕΕΠΔ δεν είναι θεσμικό όργανο της ΕΕ. Μολονότι το Γενικό Δικαστήριο αναγνώρισε το ιδιαίτερο καθεστώς του ΕΕΠΔ βάσει των άρθρων 8 παράγραφος 3 CFR και 16 παράγραφος 2 ΣΛΕΕ, αυτό το ειδικό καθεστώς που επιτρέπει στον ΕΕΠΔ να εποπτεύει ανεξάρτητα τη συμμόρφωση με τους κανόνες προστασίας δεδομένων, «δεν αποσκοπεί στον περιορισμό των εξουσιών του νομοθέτη της ΕΕ» ( Τ-578/22 , παρ. 48). Το Γενικό Δικαστήριο συνέχισε ότι εναπόκειται μόνο στο Κοινοβούλιο και στο Συμβούλιο να αποφασίσουν για το περιεχόμενο των νομοθετικών πράξεων. ενώ ο ΕΕΠΔ εποπτεύει τη συμμόρφωση –με πλήρη ανεξαρτησία– στο πλαίσιο τέτοιων νομοθετικών πράξεων. Εδώ τίθεται ένα σχετικό ερώτημα εάν ο ΕΕΠΔ είναι στη συνέχεια σε θέση να εποπτεύει αποτελεσματικά τις δραστηριότητες επεξεργασίας της Ευρωπόλ, θέμα που θα συζητηθεί στην επόμενη ενότητα.
Επιπλέον, το Γενικό Δικαστήριο φαίνεται να παραβλέπει ότι οι συγκεκριμένες περιστάσεις ενώπιόν του ήταν μάλλον ιδιόμορφες και καθόλου απλές όσο ο νομοθέτης της ΕΕ θέσπισε νομοθεσία, την οποία θα παρακολουθεί και θα εποπτεύει στη συνέχεια μια ανεξάρτητη εποπτική αρχή. Αντίθετα, είχε εγκριθεί νομοθεσία που εξουδετερώνει την απόφαση μιας ανεξάρτητης εποπτικής αρχής αναδρομικά. Αυτό δημιουργεί ένα ανησυχητικό προηγούμενο όπου ο νομοθέτης της ΕΕ μπορεί προφανώς να «μετακινήσει τους στόχους» στον τομέα της προστασίας δεδομένων. Όπως ορθά υποστήριξε ο ΕΕΠΔ, ενώ οι αρχές προστασίας δεδομένων στην ΕΕ υποτίθεται ότι ενεργούν με πλήρη ανεξαρτησία, αυτές οι αρχές μπορεί τώρα να αισθάνονται την ανάγκη να λάβουν υπόψη τις πολιτικές προτιμήσεις κατά τη λήψη των αποφάσεών τους, καθώς ενδέχεται να διακινδυνεύσουν να δουν την απόφασή τους να παρακάμπτεται από τη νομοθεσία δράση ( ΕΕΠΔ 2022 ).
Ωστόσο, το Γενικό Δικαστήριο φάνηκε ικανοποιημένο με το γεγονός ότι ο ΕΕΠΔ έχει την εξουσία να ασκεί εκ των υστέρων δικαστικό έλεγχο, δεδομένου ότι το άρθρο 58 παράγραφος 4 του κανονισμού (ΕΕ) 2018/1725 ορίζει ότι ο ΕΕΠΔ έχει την εξουσία να παραπέμπει υποθέσεις στο ΔΕΕ (Τ-578/22, παρ. 64). Σύμφωνα με το Γενικό Δικαστήριο, αυτό αρκεί για να προστατεύσει τον ΕΕΠΔ τα προνόμιά του. Ωστόσο, η ίδια η υπόθεση T-578/22 καταδεικνύει ήδη τα μειονεκτήματα αυτού του συστήματος, πιο συγκεκριμένα, όσον αφορά τις κλασικές ανησυχίες σχετικά με την επίδειξη άμεσης και ατομικής ανησυχίας ως μη προνομιούχου αιτούντος.
Το Γενικό Δικαστήριο διευκρίνισε καταρχάς ότι ο ΕΕΠΔ δεν έχει δικαίωμα ενώπιον του ΔΕΕ ως (ημι-) προνομιούχος αιτών, αναφερόμενος στο γεγονός ότι ο ΕΕΠΔ ιδρύθηκε από το παράγωγο δίκαιο της ΕΕ (Τ-578/22, παρ. 33-36). Ωστόσο, ο ΕΕΠΔ έχει την εξουσία να παραπέμψει μια υπόθεση στα δικαστήρια της ΕΕ ως μη προνομιούχος αιτών, εάν πληρούνται οι προϋποθέσεις του άρθρου 263 παράγραφος 4 της ΣΛΕΕ. Ως εκ τούτου, το Γενικό Δικαστήριο έκρινε ότι «ένα τέτοιο νομικό πρόσωπο είναι πράγματι εξίσου πιθανό με οποιοδήποτε άλλο πρόσωπο ή οντότητα να θιγεί τα δικαιώματα ή τα συμφέροντά του από την εν λόγω πράξη και, ως εκ τούτου, πρέπει να μπορεί να ζητήσει την ακύρωση της πράξης αυτής». (Τ-578/22, παρ. 65). Όσον αφορά την «άμεση ανησυχία», το Γενικό Δικαστήριο επανέλαβε την πάγια νομολογία του ΔΕΕ ότι «το προσβαλλόμενο μέτρο πρέπει να επηρεάζει άμεσα τη νομική κατάσταση του προσφεύγοντος και […] δεν αφήνει καμία διακριτική ευχέρεια στους αποδέκτες του στους οποίους έχει ανατεθεί η εκτέλεσή του […]» (Τ-578/22, παρ. 70). Αυτό το αυστηρό τεστ που επικρίνεται πολύ αποδεικνύεται ότι είναι δύσκολο να επιτευχθεί και σε αυτή την περίπτωση. Ως εκ τούτου, το Γενικό Δικαστήριο καταλήγει πολύ εύκολα στο συμπέρασμα ότι ο ΕΕΠΔ δεν εμποδίστηκε να ασκήσει τις δικές του εξουσίες όπως έκρινε σκόπιμο και, ως εκ τούτου, οι δύο επίδικες διατάξεις δεν αφορούν άμεσα τον ΕΕΠΔ.
Το Γενικό Δικαστήριο προέβη σε ρητή σύγκριση με τις συνεκδικασθείσες υποθέσεις C-177/19 P έως C-179/19 P Γερμανία και Ville de Paris κατά Επιτροπής , στις οποίες το Δικαστήριο είχε υιοθετήσει την αυστηρή ερμηνεία ότι, εάν μια πράξη της ΕΕ δεν εμποδίζει ένα δημόσιο νομικό πρόσωπο –στην περίπτωση αυτή, πολλές πόλεις σε ολόκληρη την ΕΕ– να ασκεί τις δικές του εξουσίες όπως κρίνει σκόπιμο, η εν λόγω πράξη της ΕΕ δεν επηρεάζει επίσης άμεσα τη νομική του κατάσταση. Το Γενικό Δικαστήριο ακολούθησε αυτό το προηγούμενο που έθεσε το Ευρωπαϊκό Δικαστήριο και, ως εκ τούτου, έκρινε ότι ο ΕΕΠΔ δεν αφορά άμεσα, δεδομένου ότι ο νέος κανονισμός δεν έχει καμία σχέση με τη φύση και το πεδίο των καθηκόντων του ΕΕΠΔ και οι εξουσίες του δεν έχουν τροποποιηθεί (T-578/ 22, παρ. 73-74). Ωστόσο, είναι αμφίβολο εάν η σύγκριση με τη νομολογία που αναφέρεται από το Γενικό Δικαστήριο έχει νόημα εδώ λόγω του ειδικού καθεστώτος του ΕΕΠΔ –και άλλων αρχών προστασίας δεδομένων που ενεργούν με πλήρη ανεξαρτησία– που αναμφισβήτητα θα πρέπει να θέτει το όριο αδικαιολόγητης παρέμβασης του νομοθέτη με το πεδίο των καθηκόντων των αρχών αυτών μικρότερη.
Διοικητική εποπτεία: δεν ενδείκνυται για τις αυξημένες εξουσίες της Europol
Το Γενικό Δικαστήριο υποστήριξε ότι, λόγω του σαφούς διαχωρισμού των εξουσιών, ο νομοθέτης της ΕΕ είναι υπεύθυνος για το περιεχόμενο ενός νομικού πλαισίου το οποίο θα παρακολουθεί και θα εποπτεύει ο ΕΕΠΔ. Παραμένει αμφίβολο εάν ο ΕΕΠΔ είναι σε θέση να το πράξει στην πράξη. Όπως αναφέρθηκε, ο ρόλος του ΕΕΠΔ στη νομοθετική διαδικασία είναι περιορισμένος –π.χ. σε σύγκριση με άλλους οργανισμούς και φορείς της ΕΕ με συμβουλευτικές αρμοδιότητες– και ο ΕΕΠΔ δεν μπορεί απλώς να αμφισβητήσει νομοθετικές πράξεις που κινδυνεύουν να παραβιάσουν το δίκαιο της ΕΕ, όπως φαίνεται από το Γενικό Δικαστήριο κρίση που συζητείται εδώ.
Όσον αφορά την εποπτεία της συμμόρφωσης με τους κανόνες προστασίας δεδομένων της ΕΕ, ο ΕΕΠΔ έχει γενικά λιγότερο έλεγχο της Ευρωπόλ σε σχέση με τα άλλα θεσμικά όργανα, φορείς, γραφεία και οργανισμούς της ΕΕ. Ενώ οι εποπτικές αρμοδιότητες του ΕΕΠΔ αυξάνονται στον νέο κανονισμό της Ευρωπόλ (βλ. π.χ. άρθρο 43 παράγραφος 3 στοιχεία ι) έως ιβ) του νέου κανονισμού Ευρωπόλ), η ζητούμενη από τον ΕΕΠΔ πλήρη εναρμόνιση των εποπτικών του εξουσιών επί της Ευρωπόλ με τις γενικές της εξουσίες δυνάμει του κανονισμού (ΕΕ) 2018/1725 δεν εγκρίθηκε ( Γνώμη ΕΕΠΔ 4/2021 ). Επιπλέον, στο πλαίσιο της ισχυρότερης εντολής της Ευρωπόλ όσον αφορά συγκεκριμένα μεγάλα σύνολα δεδομένων, δεν διασφαλίζεται ισχυρότερη εποπτεία ( Tas 2022 ). Ενώ η αρχική πρόταση της Επιτροπής προέβλεπε, για παράδειγμα, ότι ο ΕΕΠΔ θα μπορούσε να αποφανθεί εάν τα σύνολα δεδομένων συμπεριλαμβανομένων των δεδομένων προσωπικού χαρακτήρα που λαμβάνονται από τρίτη χώρα «είναι δυσανάλογα ή συλλέγονται κατά παράβαση των θεμελιωδών δικαιωμάτων» ( Tas 2022 και πρόταση της Επιτροπής COM(2020) 796 τελικό, Άρθρο 18α ), ο νέος κανονισμός που εγκρίθηκε απαιτεί από την Ευρωπόλ να συμβουλεύεται τον ΕΕΠΔ μόνο όταν επεξεργάζεται δεδομένα προσωπικού χαρακτήρα των υποκειμένων των δεδομένων που δεν απαριθμούνται στο παράρτημα II. Ως εκ τούτου, η Ευρωπόλ πρέπει να ενημερώσει τον ΕΕΠΔ προτού το διοικητικό συμβούλιο της μπορεί να λάβει αποφάσεις σχετικά με πράξεις επεξεργασίας που είναι ιδιαίτερα ενοχλητικές για τα άτομα (βλ. άρθρο 11 παράγραφος 1 στοιχείο ιζ), 18 παράγραφος 6β και 18α παράγραφος 5 του νέου κανονισμού Ευρωπόλ). Αν και αυτό θα επιτρέψει στον ΕΕΠΔ να παράσχει ανεξάρτητη γνώμη, η Statewatch έχει ήδη προειδοποιήσει ότι αυτή η διαδικασία είναι μάλλον αναποτελεσματική δεδομένου ότι το διοικητικό συμβούλιο της Ευρωπόλ ενέκρινε τέτοιες αποφάσεις χωρίς επίσημη διαβούλευση με τον ΕΕΠΔ (αντ' αυτού οργανώθηκε μόνο άτυπη διαβούλευση για το σχέδιο απόφασης του διοικητικού συμβουλίου στο προσωπικό επίπεδο). Επιπλέον, η Ευρωπόλ παρείχε στον ΕΕΠΔ μόνο μία εβδομάδα για να απαντήσει στα σχέδια αποφάσεων του διοικητικού συμβουλίου της, τα οποία επίσης δεν περιλαμβάνουν πάντα όλες τις σχετικές πληροφορίες για να αποφασίσει ο ΕΕΠΔ ( επιστολή ΕΕΠΔ 2022 ). Για το λόγο αυτό, ο ΕΕΠΔ είχε παραπέμψει αυτές τις αποφάσεις του διοικητικού συμβουλίου στο Ευρωπαϊκό Κοινοβούλιο το 2022, σύμφωνα με το άρθρο 43 παράγραφος 3 στοιχείο ζ) του νέου κανονισμού. Αυτή η γενική παραβίαση της διοικητικής εποπτείας απειλεί περαιτέρω την προστασία των δικαιωμάτων των υποκειμένων των δεδομένων.
συμπέρασμα
Αυτή η ανάρτηση ιστολογίου υποστηρίζει ότι ο νέος κανονισμός της Ευρωπόλ δημιουργεί ένα ανησυχητικό προηγούμενο που προφανώς επιτρέπει στο νομοθέτη της ΕΕ να «μετακινήσει τους στόχους» στον τομέα της προστασίας δεδομένων. Ο αυστηρός διαχωρισμός των εξουσιών απαιτεί πράγματι ο νομοθέτης της ΕΕ να αποφασίζει για το περιεχόμενο των νομοθετικών πράξεων, ενώ οι εποπτικές αρχές παρακολουθούν και εποπτεύουν αυτές. Ωστόσο, στο πλαίσιο της αναδρομικής νομιμοποίησης αγωγών που αρχικά ήταν παράνομες, αυτό φαίνεται να είναι ένα υπερβολικά απλοϊκό συμπέρασμα, ιδίως δεδομένου ότι ο ΕΕΠΔ θα απολαύει πλήρους ανεξαρτησίας , ένα υψηλό πρότυπο που θέτει το ΔΕΕ (βλ. Υπόθεση C-518/07 Επιτροπή κατά Γερμανίας και υπόθεση C-614/10 Επιτροπή κατά Αυστρίας ). Επιπλέον, ενώ οι εξουσίες πρέπει να διαχωριστούν, η εποπτεία πρέπει επίσης να διασφαλίζεται αποτελεσματικά.
Όπως αναφέρεται σε αυτήν την ανάρτηση ιστολογίου, ο ΕΕΠΔ έχει, θεωρητικά, διάφορους τρόπους για να ελέγξει τη συμμόρφωση με τους κανόνες προστασίας δεδομένων της ΕΕ. Πρώτον, μπορεί να συμβουλεύει τα θεσμικά όργανα της ΕΕ σχετικά με τη θέσπιση νέας νομοθεσίας της ΕΕ – η οποία ενδέχεται να έχει περιορισμένα μόνο αποτελέσματα. Δεύτερον, όπως τόνισε το Γενικό Δικαστήριο, ο ΕΕΠΔ μπορεί να ασκήσει προσφυγή ακυρώσεως – κάτι που φαίνεται αδύνατο σε πολλές περιπτώσεις λόγω της αυστηρής ερμηνείας των πάγιων απαιτήσεων που σχετίζονται με άμεσο και ατομικό ενδιαφέρον. Το μόνο που απομένει στον ΕΕΠΔ είναι να καταφύγει στη συνέχεια στις εξουσίες παρακολούθησης και εποπτείας του και να αξιοποιήσει «το καλύτερο δυνατό» διασφαλίζοντας ότι τουλάχιστον τηρούνται οι σπάνιες διασφαλίσεις προστασίας δεδομένων στον τροποποιημένο κανονισμό της Ευρωπόλ. Ως εκ τούτου, ο νέος κανονισμός της Ευρωπόλ φαίνεται να αποτελεί απειλή για την πλήρη προστασία του θεμελιώδους δικαιώματος στην προστασία των δεδομένων. Ως εκ τούτου, δεν αποτελεί έκπληξη το γεγονός ότι ο ΕΕΠΔ έχει ήδη ασκήσει έφεση κατά της απόφασης του Γενικού Δικαστηρίου ( εκκρεμής υπόθεση C-698/23 P ).