Παρά το γεγονός ότι είναι ένας από τους πιο πολυσυζητημένους τομείς του GDPR και αντικείμενο πολλαπλών αποφάσεων του ΔΕΕ, βασικά στοιχεία του καθεστώτος μεταφοράς δεδομένων του GDPR εξακολουθούν να είναι ανοιχτά σε ερμηνεία. Ένας επίμονος τομέας νομικής ασάφειας είναι υπό ποιες συνθήκες απαιτούνται διασφαλίσεις μεταβίβασης από τον GDPR εάν μια ξένη εταιρεία υπόκειται ήδη στον GDPR. Το κλασικό σενάριο μεταφοράς δεδομένων μπορεί να περιλαμβάνει μια ξένη εταιρεία που δεν διέπεται από τον GDPR να λαμβάνει προσωπικά δεδομένα της ΕΕ που διαβιβάζονται από εταίρο με έδρα την ΕΕ. Σε αυτό το σενάριο, οι διασφαλίσεις μεταφοράς δεδομένων GDPR διασφαλίζουν ότι το υψηλό επίπεδο προστασίας του GDPR δεν μειώνεται κατά τη μετακίνηση των δεδομένων. Ωστόσο, λόγω της εξωεδαφικής επίδρασης του GDPR, οι εταιρείες που βρίσκονται στο εξωτερικό και στοχεύουν στην ΕΕ για επιχειρηματικές δραστηριότητες μπορούν επίσης να υπόκεινται στον GDPR. Για αυτές τις ξένες εταιρείες υπό την ομπρέλα του GDPR, η εφαρμογή των διασφαλίσεων μεταφοράς δεδομένων του GDPR δεν είναι πάντα διαισθητική.
Μια πρόσφατη ενέργεια επιβολής της ολλανδικής DPA κατά της Uber επέβαλε ένα απότομο πρόστιμο 290 εκατομμυρίων ευρώ για μη εφαρμογή των διασφαλίσεων μεταφοράς του Κεφαλαίου V του GDPR για τις μεταφορές δεδομένων ΕΕ-ΗΠΑ της εταιρείας – το μεγαλύτερο μέχρι σήμερα από την ολλανδική DPA. Ωστόσο, η Uber στις ΗΠΑ υπαγόταν στον GDPR και συνέλεγε κυρίως προσωπικά δεδομένα απευθείας από οδηγούς στην ΕΕ. Αυτή η απόφαση αποκλίνει από τις οδηγίες του EDPB που δεν απαιτούν τις διασφαλίσεις μεταφοράς του GDPR για ξένες εταιρείες που συλλέγουν απευθείας δεδομένα από υποκείμενα δεδομένων της ΕΕ. Η απόφαση θολώνει τις νομικές απαιτήσεις για τις μεταφορές δεδομένων και η τελευταία λέξη του ΔΕΕ είναι κρίσιμη για να αποσαφηνιστεί η σχέση μεταξύ του εδαφικού πεδίου εφαρμογής του GDPR και του καθεστώτος μεταφοράς.
I. Νομικές υποχρεώσεις GDPR: Άρθρο 3 και Κεφάλαιο V
Κάποιο υπόβαθρο σχετικά με το εδαφικό πεδίο εφαρμογής και τις διασφαλίσεις μεταφοράς του GDPR είναι σημαντικό για να διαμορφωθεί η σκηνή. Το άρθρο 3 του GDPR ορίζει το εδαφικό πεδίο εφαρμογής του GDPR, ενώ το Κεφάλαιο V θεσπίζει τις απαραίτητες διασφαλίσεις κατά τη μεταφορά δεδομένων προσωπικού χαρακτήρα από την ΕΕ σε τρίτη χώρα. Μια σειρά μηχανισμών μεταφοράς είναι διαθέσιμος για την υποστήριξη μεταφορών από την ΕΕ σε άλλες χώρες στο πλαίσιο του Κεφαλαίου V – οι πιο γνωστές μεταξύ αυτών αποφάσεις επάρκειας και τυπικές συμβατικές ρήτρες. Ωστόσο, το κείμενο του GDPR δεν απαντά καθόλου στο πώς το εδαφικό πεδίο σχετίζεται με τους μηχανισμούς μεταφοράς.
Σύμφωνα με το άρθρο 3 παράγραφος 1, οι οντότητες που επεξεργάζονται προσωπικά δεδομένα της ΕΕ μπορούν να υπόκεινται στον GDPR εάν έχουν «εγκατάσταση» στην ΕΕ, Κανονισμός (ΕΕ) αριθ. 2016/679. Ωστόσο, σύμφωνα με το άρθρο 3 παράγραφος 2, οι οντότητες μπορούν επίσης να υπόκεινται στον GDPR εάν δεν έχουν εγκατάσταση στην ΕΕ αλλά δραστηριοποιούνται σε:
α) την προσφορά αγαθών ή υπηρεσιών, ανεξάρτητα από το εάν απαιτείται πληρωμή του υποκειμένου των δεδομένων, σε αυτά τα υποκείμενα των δεδομένων στην Ένωση· ή
β) την παρακολούθηση της συμπεριφοράς τους στο βαθμό που η συμπεριφορά τους λαμβάνει χώρα εντός της Ένωσης.
Στην πράξη, αυτό σημαίνει ότι το πεδίο εφαρμογής του GDPR είναι εξωεδαφικό, και ισχύει άμεσα για εταιρείες που δραστηριοποιούνται στο εξωτερικό χωρίς παρουσία της ΕΕ αλλά που στοχεύουν στην ΕΕ για επιχειρήσεις.
Το κεφάλαιο V του GDPR καθορίζει τις απαιτούμενες διασφαλίσεις για τη μεταφορά δεδομένων από την ΕΕ σε τρίτη χώρα. Σύμφωνα με το άρθρο 44, «διαβίβαση» δεδομένων μπορεί να πραγματοποιηθεί σε τρίτη χώρα μόνο εάν πληρούνται οι προϋποθέσεις του Κεφαλαίου V. Σύμφωνα με το ΔΕΕ, αυτό απαιτεί τη διατήρηση ενός «ουσιωδώς ισοδύναμου» επιπέδου προστασίας με αυτό του GDPR, λαμβανομένου υπόψη του Χάρτη των Θεμελιωδών Δικαιωμάτων της ΕΕ , υπόθεση C-311/18 (παρ. 105). Τα άρθρα 45-47 του GDPR διατυπώνουν εργαλεία μεταφοράς στα οποία μπορούν να βασίζονται οι οντότητες για ροές δεδομένων σε τρίτη χώρα: 1) απόφαση επάρκειας της Ευρωπαϊκής Επιτροπής που διαπιστώνει ότι η τρίτη χώρα διασφαλίζει επαρκές επίπεδο προστασίας ή 2) «κατάλληλες διασφαλίσεις ισχύουν μεταξύ του εξαγωγέα και του εισαγωγέα δεδομένων, όπως τυπικές συμβατικές ρήτρες (SCC) που εγκρίθηκαν από την Επιτροπή, ad hoc συμβατικές ρήτρες εγκεκριμένες από αρμόδια ΑΠΔ και δεσμευτικούς εταιρικούς κανόνες για μεταβίβαση σε πολυεθνική εταιρεία ή ομίλους εταιρειών. Είναι σημαντικό ότι, σύμφωνα με την πρόσφατη απόφαση Schrems II , όταν βασίζεται σε «κατάλληλες διασφαλίσεις» για τη μεταφορά δεδομένων, μια εταιρεία πρέπει επίσης να αξιολογεί ανεξάρτητα εάν αυτό το εργαλείο θα εξασφαλίσει ουσιαστικά ισοδύναμη προστασία ή εάν χρειάζεται να εφαρμοστούν συμπληρωματικά μέτρα όπως η κρυπτογράφηση, Υπόθεση Γ- 311/18 (παρ. 105). Αυτό απαιτεί από τις εταιρείες να αναλύουν την αναλογικότητα της πιθανής πρόσβασης των αρχών επιβολής του νόμου ή της εθνικής ασφάλειας τρίτων χωρών στα διαβιβαζόμενα δεδομένα. Το άρθρο 49 περιλαμβάνει επίσης αυστηρά ερμηνευμένες παρεκκλίσεις από τις απαιτήσεις για ένα εργαλείο μεταφοράς, όπως η συγκατάθεση ή η συμβατική αναγκαιότητα, που έχει σχεδιαστεί για περιορισμένες και παράτυπες μεταβιβάσεις.
Το κείμενο του κανονισμού δεν είναι σαφές σχετικά με τον τρόπο με τον οποίο συνεργάζονται το άρθρο 3 και το κεφάλαιο V: εφαρμόζονται ταυτόχρονα, αλληλοαποκλείονται ή σε συνδυασμό με βάση τα γεγονότα; Το κεφάλαιο V απαιτεί επίσης διασφαλίσεις μόνο σε περιπτώσεις «μεταφοράς» – αλλά η μεταφορά δεν ορίζεται. Αυτές οι ασάφειες αρχίζουν να δημιουργούν προβλήματα όταν τα δεδομένα μεταφέρονται σε μια ξένη οντότητα στην οποία ισχύει άμεσα ο GDPR ή όταν μια ξένη εταιρεία που διέπεται από τον GDPR συλλέγει απευθείας δεδομένα από άτομα της ΕΕ. Από τη μία πλευρά, όταν ο GDPR εφαρμόζεται ήδη σε μια ξένη εταιρεία, η επικάλυψη των διασφαλίσεων του Κεφαλαίου V στην κορυφή είναι διπλή. Και, εάν ένα κίνητρο ανησυχίας είναι η πιθανότητα δυσανάλογης κυβερνητικής πρόσβασης στη δικαιοδοσία εκτός ΕΕ, πολλές βασικές αρμοδιότητες GDPR παρέχουν ήδη κάποιο backstop (π.χ. απαιτήσεις για ΕΑΠ ή ασφάλεια επεξεργασίας). Ως εκ τούτου, το βάρος της εφαρμογής του Κεφαλαίου V μπορεί να σταθμιστεί έναντι του σχετικού κινδύνου, λαμβάνοντας μια στενότερη ερμηνεία των κανόνων μεταφοράς. Άλλοι υποστηρίζουν ότι ο κίνδυνος δυνητικής πρόσβασης της επιβολής του νόμου ή της εθνικής ασφάλειας εκτός ΕΕ κατά την επεξεργασία δεδομένων στο εξωτερικό απαιτεί ευρεία ανάγνωση του Κεφαλαίου V, ακόμη και αν μια δεδομένη εταιρεία διέπεται ήδη από τον GDPR. Το Κεφάλαιο V παρέχει επίσης ευκαιρίες επίβλεψης, επιβολής και επανόρθωσης για εταιρείες που βρίσκονται στο εξωτερικό, οι οποίες μπορεί να είναι πιο δύσκολο να επιβληθούν.
Το νεότερο σύνολο SCC που κυκλοφόρησε από την Ευρωπαϊκή Επιτροπή πυροδότησε αυτή τη συζήτηση. Σύμφωνα με τις Συνήθεις Ερωτήσεις της Επιτροπής, οι τρέχουσες ρήτρες ισχύουν μόνο για διαβιβάσεις από οντότητες που «υπόκεινται στον GDPR για τη μεταφορά προσωπικών δεδομένων σε υπευθύνους επεξεργασίας ή εκτελούντες την επεξεργασία εκτός του ΕΟΧ των οποίων οι δραστηριότητες δεν υπόκεινται στον GDPR». Δεν μπορούν να χρησιμοποιηθούν για τη μεταφορά προσωπικών δεδομένων σε αλλοδαπές οντότητες που ήδη υπόκεινται στον GDPR. Η Ευρωπαϊκή Επιτροπή έχει δηλώσει ότι αναπτύσσει τυπικές συμβατικές ρήτρες για μεταβιβάσεις όπου ο εισαγωγέας υπόκειται στον GDPR, αλλά δεν έχει ακόμη εκδώσει επιπλέον SCC.
Χωρίς προφανείς γραπτές απαντήσεις σχετικά με την αλληλεπίδραση μεταξύ του εδαφικού πεδίου εφαρμογής του GDPR και των υποχρεώσεων μεταφοράς του, το θέμα απαιτεί διευκρίνιση από τα θεσμικά όργανα της Ευρώπης. Αυτή η ανάγκη έχει γίνει πιο επιτακτική καθώς η επιβολή γύρω από τις μεταφορές δεδομένων αυξάνεται μετά τις αποφάσεις Schrems I και Schrems II .
II. Κατευθυντήριες γραμμές EDPB σχετικά με τη σχέση μεταξύ του άρθρου 3 και του κεφαλαίου V
Το 2021, το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (EDPB) δημοσίευσε οδηγίες σχετικά με τη σχέση μεταξύ του άρθρου 3 του ΓΚΠΔ και του Κεφαλαίου V για να επιλύσει αυτές τις μακροχρόνιες ασάφειες. Αν και δεν είναι δεσμευτικές, αυτές οι εξαιρετικά έγκυρες κατευθυντήριες γραμμές όρισαν την έννοια της «μεταφοράς» και κατέληξαν στο συμπέρασμα ότι σε περιπτώσεις άμεσης συλλογής προσωπικών δεδομένων από την ΕΕ, μια ξένη εταιρεία που ήδη υπόκειται στον GDPR δεν πρέπει να τεθούν σε εφαρμογή διασφαλίσεις του Κεφαλαίου V.
Το EDPB ξεκίνησε ορίζοντας τη «μεταφορά» για πρώτη φορά. Όπως σημειώθηκε παραπάνω, οι διασφαλίσεις του Κεφαλαίου V εμπλέκονται μόνο σε περιπτώσεις «μεταφοράς» σε τρίτες χώρες, αλλά ο GDPR δεν ορίζει αυτόν τον όρο. Το EDPB κατέληξε στο συμπέρασμα ότι μια μεταφορά πραγματοποιείται όταν:
1) Ένας υπεύθυνος επεξεργασίας ή ένας εκτελών την επεξεργασία ("εξαγωγέας") υπόκειται στον GDPR για τη συγκεκριμένη επεξεργασία.
2) Ο εξαγωγέας αποκαλύπτει μέσω διαβίβασης ή με άλλον τρόπο καθιστά διαθέσιμα προσωπικά δεδομένα, που υπόκεινται σε αυτήν την επεξεργασία, σε άλλον υπεύθυνο επεξεργασίας, κοινό υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία («εισαγωγέας»).
3) Ο εισαγωγέας βρίσκεται σε τρίτη χώρα, ανεξάρτητα από το εάν αυτός ο εισαγωγέας υπόκειται ή όχι στον GDPR για τη συγκεκριμένη επεξεργασία σύμφωνα με το άρθρο 3, ή είναι διεθνής οργανισμός
Οδηγίες 05/2021 (παρ. 9)
Σύμφωνα με αυτόν τον ορισμό, το Κεφάλαιο V απαιτείται για μεταφορές από μια οντότητα της ΕΕ (υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία) σε μια αλλοδαπή οντότητα που ήδη υπόκειται στον GDPR. Το δεύτερο κριτήριο απαιτεί να υπάρχουν δύο χωριστές οντότητες που διαβιβάζουν και λαμβάνουν τα δεδομένα, αλλά αυτό μπορεί να περιλαμβάνει κοινούς ελεγκτές, Κατευθυντήριες γραμμές 05/2021 (παρ. 20). Ωστόσο, κρίσιμα, σύμφωνα με αυτόν τον ορισμό, δεν πραγματοποιείται μεταφορά όταν τα δεδομένα αποκαλύπτονται απευθείας από ένα άτομο στην ΕΕ σε μια εταιρεία σε τρίτη χώρα, Κατευθυντήριες γραμμές 05/2021 (παρ. 18) («…αυτό το δεύτερο κριτήριο δεν μπορεί να θεωρηθεί ως εκπληρώνεται όταν δεν υπάρχει υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία που αποστέλλει ή καθιστά διαθέσιμα τα δεδομένα (δηλ. κανένας «εξαγωγέας») σε άλλον υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία, όπως όταν τα δεδομένα αποκαλύπτονται απευθείας από το υποκείμενο των δεδομένων στον παραλήπτη»).
Το EDPB έκανε επίσης τον κόπο να σημειώσει ότι ακόμη και αν δεν υπάρχει μεταβίβαση που να απαιτεί διασφαλίσεις του Κεφαλαίου V, οι εταιρείες που υπόκεινται στον GDPR θα πρέπει ωστόσο να αξιολογούν την πιθανή πρόσβαση της κυβέρνησης τρίτων χωρών σε σχέση με τις άλλες υποχρεώσεις τους GDPR. Το EDPB δήλωσε ότι οι εταιρείες που επεξεργάζονται δεδομένα εκτός της ΕΕ είναι υπεύθυνες για τον έλεγχο του κινδύνου δυσανάλογης κυβερνητικής πρόσβασης, Κατευθυντήριες γραμμές 05/2021 (Παράδειγμα 12). Οι εταιρείες που βρίσκονται στην ΕΕ και υπόκεινται σε νόμους τρίτων χωρών σχετικά με την κυβερνητική πρόσβαση, όπως μια θυγατρική στην ΕΕ ξένης πολυεθνικής, πρέπει επίσης να εξετάσουν αυτόν τον κίνδυνο. Αν και το Κεφάλαιο V μπορεί να μην ισχύει, θα μπορούσαν να προκύψουν πολλές άλλες ευθύνες GDPR, όπως η ασφάλεια της επεξεργασίας (άρθρο 32), η ειδοποίηση παραβίασης δεδομένων (άρθρο 33), οι εκτιμήσεις επιπτώσεων στην προστασία δεδομένων (άρθρο 35) και άλλες, Κατευθυντήριες γραμμές 05/202 1 (παρ. 31).
Οι κατευθυντήριες γραμμές του EDPB συνέβαλαν στη διευθέτηση της σχέσης μεταξύ του άρθρου 3 και του κεφαλαίου V, ιδίως καθιστώντας σαφές ότι η απευθείας είσπραξη από την ΕΕ δεν θεωρήθηκε μεταβίβαση. Το Διοικητικό Συμβούλιο αντιμετώπισε επίσης οποιοδήποτε πιθανό κενό από τον περιορισμό της εμβέλειας του Κεφαλαίου V, καταλήγοντας στο συμπέρασμα ότι οι εταιρείες δεν είναι απλώς αδύνατο να εξετάσουν τους κινδύνους από την πρόσβαση των κυβερνήσεων τρίτων χωρών στα δεδομένα.
III. Ολλανδική απόφαση DPA Uber
Ωστόσο, μια πρόσφατη ενέργεια επιβολής της ολλανδικής DPA κατά της Uber άνοιξε εκ νέου τη συζήτηση σχετικά με τη σχέση μεταξύ εδαφικής εμβέλειας και μεταβιβάσεων. Σε συντονισμό με το CNIL, η ολλανδική DPA ανακοίνωσε τον Αύγουστο του 2024 ότι η Uber μετέφερε δεδομένα στις ΗΠΑ χωρίς διασφαλίσεις του Κεφαλαίου V, επιβάλλοντας πρόστιμο 290 εκατομμυρίων ευρώ. Το πρόστιμο προήλθε από καταγγελία στη γαλλική CNIL από τη ΜΚΟ Ligue Des Droits De L'homme σχετικά με τη μεταφορά των δεδομένων των Γάλλων οδηγών Uber στις ΗΠΑ. Η μεταβίβαση αφορούσε την Uber BV (UBV), το φυλάκιο της Uber στις Κάτω Χώρες και την Uber Technologies Inc (UTI), τη μητρική εταιρεία στις ΗΠΑ. Το ολλανδικό DPA είχε μια πιο εκτεταμένη άποψη για το Κεφάλαιο V από το EDPB. Η DPA σταμάτησε επίσης να βρει ένα ξεκάθαρα διατυπωμένο εναλλακτικό πρότυπο για την άποψή της σχετικά με τη σχέση μεταξύ του άρθρου 3 και του κεφαλαίου V.
Η Uber βασιζόταν ιστορικά σε SCC όταν δεν υπήρχε διαθέσιμη απόφαση επάρκειας ΕΕ-ΗΠΑ, όπως συνέβαινε όταν η απόφαση του ΔΕΕ κατέρριψε την Ασπίδα Απορρήτου το 2020 έως ότου εγκρίθηκε το νέο Πλαίσιο Προστασίας Δεδομένων το 2023, Υπόθεση Αρ. 42) [εφεξής Απόφαση Uber ]. Τον Αύγουστο του 2021, η Uber άλλαξε ερμηνείες και αποφάσισε ότι τα SCC δεν ήταν πλέον απαραίτητα, καθώς το άρθρο 3 του GDPR ίσχυε απευθείας για την επεξεργασία προσωπικών δεδομένων από την UTI στις ΗΠΑ, απόφαση Uber (παρ. 43-44). Στη συνέχεια, η Uber άρχισε να βασίζεται στο Data Privacy Framework τον Νοέμβριο του 2023, αλλά δεν είχε μηχανισμό μεταφοράς δεδομένων από τον Αύγουστο του 2021 έως τον Νοέμβριο του 2023, απόφαση Uber (παρ. 45).
Η ολλανδική DPA κατέληξε στο συμπέρασμα ότι η Uber μετέφερε δεδομένα οδηγών στις ΗΠΑ σε δύο σενάρια. Το πρώτο σενάριο αφορούσε προσωπικά δεδομένα οδηγών στην ΕΕ που συλλέχθηκαν μέσω της εφαρμογής Uber και αποστέλλονταν απευθείας στο UTI για αποθήκευση στις ΗΠΑ , Απόφαση Uber (παρ. 17). Το δεύτερο σενάριο αφορούσε δεδομένα σχετικά με την άσκηση των δικαιωμάτων των οδηγών βάσει του GDPR, στα οποία θα συνεργάζονταν η UBV και η UTI. Η UBV αντιμετώπιζε αιτήματα και επικοινωνούσε με τα υποκείμενα των δεδομένων, ενώ η UTI επεξεργαζόταν και έθεσε τα ζητούμενα δεδομένα διαθέσιμα στον αιτούντα απευθείας από το UTI στις ΗΠΑ, απόφαση Uber (παρ. 18).
Η Uber υπέβαλε πολλά διαφορετικά επιχειρήματα για την υπεράσπισή της: ότι το Κεφάλαιο V δεν ήταν εφαρμόσιμο λόγω της ουρολοίμωξης που συλλέγονται άμεσα δεδομένα από υποκείμενα δεδομένων της ΕΕ· ότι αυτές οι ροές δεδομένων που συνέβησαν δεν θα μπορούσαν να θεωρηθούν διεθνείς μεταφορές δεδομένων, δεδομένου ότι η UBV και η UTI ήταν από κοινού ελεγκτές δεδομένων στους οποίους ίσχυε άμεσα ο GDPR· και, τέλος, ότι οποιεσδήποτε μεταβιβάσεις πληρούν τις προϋποθέσεις για παρεκκλίσεις του άρθρου 49(β) σχετικά με τη συμβατική αναγκαιότητα, Απόφαση Uber (παρ. 46-56). Η Uber βασίστηκε επίσης στο γεγονός ότι η Επιτροπή δεν είχε παράσχει SCC για σενάρια στα οποία ίσχυε άμεσα ο GDPR, επομένως δεν είχε διαθέσιμα SCC για τυχόν μεταφορές από την UBV στο UTI, απόφαση Uber (παρ. 51).
Η ολλανδική DPA δεν δέχτηκε κανένα από αυτά τα επιχειρήματα. Πρώτον, η DPA κατέληξε στο συμπέρασμα ότι οι διαβιβάσεις μεταξύ κοινών υπευθύνων επεξεργασίας δεδομένων που υπόκεινται στον GDPR και βρίσκονται σε διαφορετικές χώρες διέπονται από το Κεφάλαιο V, απόφαση Uber (παρ. 97-98). Αυτό το σημείο συμφωνεί με την απόφαση EDPB, η οποία αναγνωρίζει ότι οι ανταλλαγές δεδομένων μεταξύ κοινών υπευθύνων επεξεργασίας μπορούν να εξακολουθήσουν να αποτελούν μεταφορά, συμπεριλαμβανομένων οντοτήτων που ανήκουν στον «ίδιο εταιρικό όμιλο: όταν «πληρούν τις προϋποθέσεις ως χωριστοί υπεύθυνοι επεξεργασίας ή εκτελούντες την επεξεργασία», Κατευθυντήριες γραμμές 05 /2021 (παρ. 21).
Εκεί που η ολλανδική DPA απέκλινε από την EDPB ήταν στο δεύτερο συμπέρασμά της: ότι τόσο το σενάριο ένα όσο και το σενάριο δύο περιλάμβαναν μια «μεταφορά», παρά το γεγονός ότι το σενάριο αφορούσε την απευθείας μετάδοση δεδομένων από τους οδηγούς Uber της ΕΕ σε UTI στις ΗΠΑ. Για αυτό, το AP στηρίχτηκε σε μεγάλο βαθμό στη σχέση εργασίας με την UBV και στην έλλειψη ελέγχου για τους οδηγούς επί των όρων απασχόλησης και των δεδομένων που συλλέχθηκαν, απόφαση Uber (παρ. 89, 92-94). Η DPA ανέφερε επίσης συμφέροντα πολιτικής για την ευρύτερη ανάγνωση της εφαρμογής του Κεφαλαίου V. Μια αλλοδαπή εταιρεία στην οποία εφαρμόζεται ο GDPR λειτουργεί εκτός όλων των επιπέδων του δικαίου της ΕΕ, υποστήριξε η DPA, και δεδομένης της δυσκολίας επιβολής κατά ξένης οντότητας, ακόμη και όταν ο GDPR διέπει μια ξένη εταιρεία, το επίπεδο προστασίας μπορεί να μειωθεί όταν τα προσωπικά δεδομένα διεκπεραιώνεται στο εξωτερικό, Απόφαση Uber (παρ. 66-68). Η ολλανδική DPA υποστήριξε ότι το Κεφάλαιο V σχεδιάστηκε για να αντισταθμίσει αυτούς τους κινδύνους και θα πρέπει να διαβαστεί ευρέως για να παρέχει πλήρη προστασία, Απόφαση Uber (παρ. 68-70). Όσον αφορά την άποψη του EDPB, η DPA δήλωσε ότι δεν υπήρχε αντίφαση μεταξύ της απόφασής της και των Κατευθυντήριων γραμμών, επειδή η EDPB δεν εξέτασε παράδειγμα εξαγωγέα δεδομένων στο πλαίσιο της συμβατικής απασχόλησης, την απόφαση Uber (παράγραφος 91).
Τέλος, η ολλανδική DPA διαπίστωσε ότι η Uber δεν διέθετε κατάλληλο μέσο μεταφοράς από τον Αύγουστο 2021 έως τον Νοέμβριο του 2023, απόφαση Uber (παρ. 110). Παρόλο που δεν υπήρχαν διαθέσιμα SCC για σενάρια στα οποία ο εισαγωγέας δεδομένων διέπεται από τον GDPR, η ολλανδική DPA είπε ότι η Uber δεν έπρεπε να καταλήξει στο συμπέρασμα ότι τα SCC ή άλλα μέσα μεταφοράς δεν ήταν απαραίτητα, Απόφαση Uber (παρ. 109). Η Uber δεν μπορούσε επίσης να επικαλεστεί τις παρεκκλίσεις του άρθρου 49 στοιχείο β) ή γ) του Κεφαλαίου V σχετικά με τη συμβατική αναγκαιότητα, δεδομένου ότι οι μεταφορές της Uber δεν ήταν «συμπτωματικές», αλλά συνεχείς και δεν ήταν «απαραίτητες», Απόφαση Uber (παρ. 118-26 ). Ως αποτέλεσμα, η Uber παραβίασε το άρθρο 44.
IV. Ανάλυση και Επόμενα Βήματα
Η Uber ασκεί έφεση κατά της απόφασης. Δεδομένων των συγκρούσεων μεταξύ του EDPB και της ολλανδικής θέσης, τα ολλανδικά δικαστήρια είναι πιθανό να ζητήσουν από το ΔΕΕ να εξετάσει τη σχέση μεταξύ του άρθρου 3 και του κεφαλαίου V. Παρά την άποψη της ολλανδικής ΑΠΔ ότι οι κατευθυντήριες γραμμές EDPB θα μπορούσαν να συμβιβαστούν με την άποψή της, Η απόφαση EDPB ήταν σαφής ότι η άμεση συλλογή προσωπικών δεδομένων της ΕΕ από πάροχο τρίτης χώρας που υπόκειται στον GDPR δεν αποτελεί μεταφορά. Η απόφαση της ολλανδικής DPA να δει τη δραστηριότητα της Uber ως μεταφορά δεδομένων ακόμη και σε τέτοιες περιπτώσεις καταλήγει στο αντίθετο αποτέλεσμα. Σε αυτό το σημείο, η σαφήνεια από το ΔΕΕ είναι επιτακτική.
Η απόφαση της ολλανδικής DPA προσθέτει επίσης τη σύγχυση με την αποτυχία να καθορίσει ένα σαφές νομικό πρότυπο για το πότε, σύμφωνα με την εναλλακτική του άποψη για το Άρθρο 3 και το Κεφάλαιο V, ένας ξένος πάροχος που υπόκειται στον GDPR θα πρέπει να εφαρμόσει τις διασφαλίσεις του Κεφαλαίου V. Η ολλανδική DPA όχι μόνο εξέτασε την εργοδοτική σχέση μεταξύ της UBV και των οδηγών, αλλά εξέτασε μια ποικιλία άλλων παραγόντων που σχετίζονται με την ασυμμετρία της σχέσης Uber-οδηγού, τη συμμετοχή και των δύο οντοτήτων στον καθορισμό των όρων αυτής της σχέσης και μεταφορά δεδομένων. Εάν το ΔΕΕ κρίνει ότι ορισμένες περιπτώσεις άμεσης συλλογής από παρόχους τρίτων χωρών καλύπτονται από το Κεφάλαιο V, το ΔΕΕ έχει επίσης την ευκαιρία να θεσπίσει ένα συγκεκριμένο πρότυπο για το πότε ενεργοποιούνται οι διατάξεις.
Έως ότου διευθετηθεί το ζήτημα, οι οντότητες της ΕΕ που υπόκεινται στον GDPR σύμφωνα με το άρθρο 3 παράγραφος 2 που αμφιβάλλουν για τις υποχρεώσεις τους στο Κεφάλαιο V θα ήταν φρόνιμο να εφαρμόσουν τις διασφαλίσεις μεταφοράς του Κεφαλαίου V στη δραστηριότητά τους.