Στις 7 Δεκεμβρίου 2023, το Ευρωπαϊκό Δικαστήριο (ΔΕΚ) εξέδωσε δύο αποφάσεις ορόσημο κατά του γερμανικού οργανισμού πιστοληπτικής αξιολόγησης SCHUFA. Και οι δύο αποφάσεις ενισχύουν σημαντικά τα δικαιώματα ενός υποκειμένου των δεδομένων βάσει του Γενικού Κανονισμού για την Προστασία Δεδομένων (GDPR) σε διάφορες ουσιαστικές και διαδικαστικές διαστάσεις.
Πρώτον, από ουσιαστική άποψη, στην υπόθεση C-634/21 , το Δικαστήριο ανέτρεψε πλήρως το επιχειρηματικό μοντέλο της εταιρείας δηλώνοντας ότι οι αποφάσεις κατάταξης πιστοληπτικής ικανότητας συνιστούν αυτοματοποιημένη λήψη αποφάσεων και, επομένως, πρέπει να υπόκεινται σε ανθρώπινη εποπτεία. Επιπλέον, στις κοινές υποθέσεις C-26/22 και C-64/22 , το Δικαστήριο απαγόρευσε στα ιδιωτικά γραφεία να αποθηκεύουν δεδομένα περισσότερο από το δημόσιο μητρώο. Για ένα εκτενές σχόλιο σχετικά με την απόφαση σχετικά με τη βαθμολόγηση πιστώσεων και την αυτοματοποιημένη λήψη αποφάσεων, δείτε αυτό το άρθρο της Francesca Palmiotto.
Αντίθετα, αυτή η συνεισφορά εξετάζει τις εξίσου ύψιστες συνέπειες της απόφασης C-26/22 και C-64/22 σχετικά με τα δικονομικά δικαιώματα GDPR. Εκεί, το ΔΕΚ ερεύνησε ουσιώδη ερωτήματα σχετικά με την κατάσταση της καταγγελίας GDPR και τη δικαστική του αναθεώρηση. Πάνω απ 'όλα, το Δικαστήριο επιβεβαίωσε ότι, αντίθετα με τις απόψεις ορισμένων αρχών προστασίας δεδομένων (ΑΠΔ), η καταγγελία ενός ατόμου για την προστασία δεδομένων σε ΑΠΔ δεν αποτελεί αναφορά. Επιπλέον, το Δικαστήριο τόνισε το δικαίωμα για πλήρη δικαστικό έλεγχο οποιασδήποτε νομικά δεσμευτικής απόφασης της ΑΠΔ. Αυτό μπορεί να οδηγήσει σε θεμελιώδεις αλλαγές στον τρόπο επιβολής του GDPR στην ΕΕ.
Το ιστορικό της υπόθεσης
Το άρθρο 8 παράγραφος 3 του Χάρτη για τα Θεμελιώδη Δικαιώματα της Ευρωπαϊκής Ένωσης (CFREU) αναθέτει την εποπτεία της συμμόρφωσης με τους κανόνες προστασίας δεδομένων σε μια ανεξάρτητη αρχή – τις ΑΠΔ. Οι ΑΠΔ είναι οι μόνες αρχές σε εθνικό επίπεδο που προστατεύονται από το CFREU και, ως εκ τούτου, απολαμβάνουν ιδιαίτερης θέσης στο δίκαιο της ΕΕ. Ο GDPR το αναγνωρίζει επιβεβαιώνοντας υψηλά πρότυπα πλήρους ανεξαρτησίας των ΑΠΔ. Οι ΑΠΔ διαθέτουν επίσης έναν τεράστιο κατάλογο διορθωτικών, διερευνητικών και εποπτικών εξουσιών.
Ένα από τα καθήκοντα των ΑΠΔ είναι ο χειρισμός των καταγγελιών που υποβάλλονται από τα υποκείμενα των δεδομένων ή τους εκπροσώπους τους. Οι ΑΠΔ δεσμεύονται από τον ΓΚΠΔ και τις εθνικές διοικητικές διαδικασίες τους όταν χειρίζονται μια καταγγελία. Ως αποτέλεσμα, οι πρακτικές τους είναι κατακερματισμένες και διαφέρουν σε ολόκληρη την ΕΕ . Για παράδειγμα, σε ορισμένα κράτη μέλη, ο καταγγέλλων δεν έχει την ιδιότητα του διαδίκου στη διαδικασία. Αυτές οι διαφορές προκαλούν περαιτέρω προβλήματα σε διασυνοριακές υποθέσεις, όπου δύο ή περισσότερες δικαιοδοσίες μπορεί να συγκρούονται υπό διαφορετικές αντιλήψεις των εννοιών του διοικητικού δικαίου όπως «καταγγελία», «χειρισμός» ή «μέρος της διαδικασίας». Αυτές οι έννοιες υπερβαίνουν το πεδίο εφαρμογής του GDPR και αποτελούν πρόκληση για τις ΑΠΔ όσον αφορά τον τρόπο με τον οποίο θα τις εναρμονίσουν επαρκώς.
Σύμφωνα με τον GDPR, κάθε υποκείμενο δεδομένων έχει το δικαίωμα να υποβάλει καταγγελία σε μια ΑΠΔ, καθώς και το δικαίωμα αποτελεσματικής δικαστικής προσφυγής κατά της νομικά δεσμευτικής απόφασης της ΑΠΔ που το αφορά, η οποία ισχύει επίσης σε περιπτώσεις μη διεκπεραίωσης καταγγελίας ή μη ενημερώνοντας έγκαιρα για την πρόοδό του. Εκτός από τον δημόσιο μηχανισμό προσφυγής κατά της επιβολής, το υποκείμενο των δεδομένων έχει παράλληλο δικαίωμα σε αποτελεσματική δικαστική προσφυγή κατά των παραβιάσεων του GDPR ενώπιον των εθνικών δικαστηρίων.
Η απόφαση προκύπτει από προκαταρκτικό αίτημα που υποβλήθηκε από το γερμανικό δικαστήριο στις υποθέσεις δύο υποκειμένων των δεδομένων, της UF (υπόθεση C-26/22) και της AB (C-644/22). Και οι δύο είχαν εμπλακεί σε διαδικασίες αφερεγγυότητας στη Γερμανία και στη συνέχεια τους χορηγήθηκε πρόωρη απαλλαγή από τα υπόλοιπα χρέη από τα δικαστήρια. Κατά συνέπεια, σύμφωνα με το γερμανικό δίκαιο, τα στοιχεία αφερεγγυότητας τους διαγράφηκαν από το δημόσιο μητρώο μετά από έξι μήνες.
Ωστόσο, η SCHUFA, η γερμανική υπηρεσία πιστοληπτικής αξιολόγησης, είχε ήδη εγγράψει αυτές τις πληροφορίες από το δημόσιο μητρώο στη βάση δεδομένων της. Η SCHUFA, ενεργώντας βάσει κώδικα δεοντολογίας που εγκρίθηκε από την ΑΠΔ, είχε την πρόθεση να αποθηκεύσει τις πληροφορίες αφερεγγυότητας για πολύ μεγαλύτερο χρονικό διάστημα, δηλαδή τρία χρόνια μετά την εγγραφή. Η SCHUFA ισχυρίστηκε ότι είχε έννομο συμφέρον σε αυτές τις πληροφορίες, επειδή οι επιχειρηματικές της πρακτικές συνεπάγονται την αξιολόγηση της πιστοληπτικής ικανότητας των ατόμων με βάση το οικονομικό τους ιστορικό.
Η UF και η AB υπέβαλαν αίτηση στη SCHUFA για να διαγράψει τις αποφάσεις απαλλαγής χρέους νωρίτερα, σύμφωνα με την περίοδο αποθήκευσης του δημόσιου μητρώου. Η SCHUFA αρνήθηκε να το κάνει. Ως αποτέλεσμα, τα υποκείμενα των δεδομένων υπέβαλαν τις καταγγελίες στην DPA της Έσσης.
Η DPA απέρριψε τις καταγγελίες και έκρινε νόμιμη την επεξεργασία δεδομένων της SCHUFA. Υποστήριξε ότι η εταιρεία θα μπορούσε να είχε αποθηκεύσει τα δεδομένα εάν ήταν απαραίτητο για τον σκοπό της επεξεργασίας, η οποία, στην περίπτωση αυτή, ήταν η αξιολόγηση της πιστοληπτικής ικανότητας της UF και της AB.
Τα υποκείμενα των δεδομένων άσκησαν έφεση κατά της απόφασης της DPA ενώπιον του διοικητικού δικαστηρίου στο Βισμπάντεν σύμφωνα με το άρθρο 78 GDPR. Υποστήριξαν ότι η DPA ήταν υποχρεωμένη, στο πλαίσιο των καθηκόντων και των εξουσιών της, να λάβει τα κατάλληλα μέτρα σε σχέση με το SCHUFA και να διατάξει τη διαγραφή των δεδομένων.
Είναι μια καταγγελία αναφορά;
Αντί να απαντήσει άμεσα σε αυτούς τους ισχυρισμούς, η DPA αποφάσισε να υπερασπιστεί τον εαυτό της ενώπιον του δικαστηρίου διαμαρτυρόμενος για το δικαίωμα του υποκειμένου των δεδομένων στον πλήρη δικαστικό έλεγχο των αποφάσεων που το αφορούν. Πιο συγκεκριμένα, υποστήριξε στην υπεράσπισή της ότι οι ενέργειες των υποκειμένων των δεδομένων πρέπει να απορριφθούν. Για να το δικαιολογήσει αυτό, η DPA ισχυρίστηκε ότι το δικαίωμα του υποκειμένου των δεδομένων να υποβάλει καταγγελία σύμφωνα με το άρθρο 77 του ΓΚΠΔ θεωρείται «αποκλειστικά ως δικαίωμα αναφοράς». Αυτό θα σήμαινε ότι η καταγγελία είναι μια απλή πληροφορία ή μια ανεπίσημη οδηγία για την ΑΠΔ να ενεργήσει (ή να μην ενεργήσει) παρά μια επίσημη ενεργοποίηση της διαδικασίας. Κατά συνέπεια, κατά την άποψη της DPA, το δικαστήριο, κατά τη διενέργεια του δικαστικού ελέγχου, δεν μπορούσε να αποφασίσει επί της ουσίας της απόφασης. Αντίθετα, μπορούσε μόνο να εξετάσει εάν η καταγγελία είχε διεκπεραιωθεί και εάν η DPA είχε ενημερώσει τους καταγγέλλοντες για την πρόοδο και την έκβασή τους. Δεν μπορούσε να έχει την αρμοδιότητα να ελέγξει την ουσιαστική ορθότητα της απόφασης.
Το δικαστήριο του Βισμπάντεν εξέφρασε αμφιβολίες για αυτή τη θέση. Παρατήρησε ότι αυτή η συλλογιστική θα υπονόμευε την αποτελεσματικότητα της δικαστικής προσφυγής δυνάμει του άρθρου 78 GDPR, και επομένως, δεδομένου του στόχου του GDPR να προστατεύσει τα θεμελιώδη δικαιώματα και ελευθερίες των ατόμων, επίσης τα άρθρα 7 και 8 CFREU. Σύμφωνα με το δικαστήριο, η νομικά δεσμευτική απόφαση της DPA επί της ουσίας πρέπει να υπόκειται σε πλήρη δικαστικό έλεγχο, αναγνωρίζοντας τη διακριτική εξουσία της αρχής.
Ως αποτέλεσμα, η διαμάχη γύρω από το ουσιαστικό ζήτημα της περιόδου αποθήκευσης δεδομένων μετατράπηκε σε μια οντολογική συζήτηση σχετικά με τη φύση των καταγγελιών και τα διαδικαστικά δικαιώματα των υποκειμένων των δεδομένων.
Οι προκαταρκτικές ερωτήσεις
Οι προκαταρκτικές ερωτήσεις αφορούσαν δύο ζητήματα – τη φύση του δικαστικού ελέγχου σχετικά με τον χειρισμό παραπόνων από τα υποκείμενα των δεδομένων από μια ΑΠΔ και τη νομιμότητα της αποθήκευσης δεδομένων των πιστωτικών φορέων.
Πρώτον, το εθνικό δικαστήριο ρώτησε εάν η απόφαση μιας ΑΠΔ σχετικά με καταγγελία που υποβάλλεται από ένα υποκείμενο των δεδομένων δυνάμει του άρθρου 77 GDPR έχει τον χαρακτήρα απόφασης επί αναφοράς ή, αντ' αυτού, πρέπει να εκληφθεί ως απόφαση επί της ουσίας που λαμβάνεται από δημόσια αρχή . Ρώτησε επίσης εάν το δικαίωμα σε δεδομένα υπόκειται σε δικαστικό έλεγχο της ΑΠΔ σύμφωνα με το άρθρο 78 του ΓΚΠΔ. Συγκεκριμένα, ρώτησε εάν αυτό το δικαίωμα δικαστικής επανεξέτασης περιορίζεται στο ερώτημα εάν η ΑΠΔ χειρίστηκε την καταγγελία, ερεύνησε το αντικείμενο της καταγγελίας στον βαθμό που ενδείκνυται και ενημέρωσε τον καταγγέλλοντα για το αποτέλεσμα της έρευνας ή, αντ' αυτού, αν η απόφαση της ΑΠΔ υπόκειται σε πλήρη ουσιαστικό έλεγχο από το δικαστήριο και σε μεμονωμένες περιπτώσεις θα μπορούσε επίσης να υποχρεωθεί να λάβει ένα συγκεκριμένο μέτρο που προβλέπεται από τον ΓΚΠΔ.
Το εθνικό δικαστήριο ρώτησε επίσης το ΔΕΚ σχετικά με τη νομιμότητα της αποθήκευσης δεδομένων από ιδιωτικούς πιστωτικούς οργανισμούς πέραν της περιόδου που ορίζει ο νόμος σχετικά με τα δημόσια μητρώα αφερεγγυότητας, τη δυνατότητα εφαρμογής του δικαιώματος λήθης του GDPR, το έννομο συμφέρον ως νομική βάση για την αποθήκευση και τη λειτουργία των κωδίκων δεοντολογίας σε σχέση με το έννομο συμφέρον.
Το Δικαστήριο παρεμβαίνει: Σχετικά με τη φύση των καταγγελιών
Το ΔΕΚ προσέγγισε το πρόβλημα από κυριολεκτική, συμφραζόμενη και τελεολογική άποψη. Απάντησε στο ερώτημα σχετικά με τη φύση των καταγγελιών και το πεδίο εφαρμογής του δικαστικού ελέγχου. Με τον τρόπο αυτό, έθιξε επίσης τα ζητήματα της ανεξαρτησίας και της διαδικαστικής αυτονομίας της ΑΠΔ και τη σχέση μεταξύ των παράλληλων εκτελεστικών προσφυγών του άρθρου 77 και 79 ενώπιον της ΑΠΔ και ενώπιον του δικαστηρίου.
Όχι, η καταγγελία για την προστασία δεδομένων δεν αποτελεί αναφορά
Πρώτον, το Δικαστήριο διευθέτησε τον διαδικαστικό πυρήνα της διαφοράς: δήλωσε ότι η καταγγελία για την προστασία δεδομένων δεν αποτελεί, στην πραγματικότητα, αναφορά (παράγραφος 58). Ως εκ τούτου, διαφώνησε με την άποψη της DPA να αντιμετωπίζει την καταγγελία GDPR ως αποκλειστικά ενημερωτική και την απόφαση που βασίζεται σε καταγγελία ότι δεν παράγει ουσιαστικά νομικά αποτελέσματα για τον καταγγέλλοντα.
Το δικαστήριο επιβεβαίωσε ότι οι αποφάσεις του DPA της Έσσης σχετικά με το SCHUFA αποτελούσαν νομικά δεσμευτικές αποφάσεις βάσει του GDPR και επομένως υπόκεινταν σε δικαστικό έλεγχο, επειδή η DPA εξέτασε την ουσία των καταγγελιών και διαπίστωσε ότι η επεξεργασία δεδομένων της SCHUFA ήταν νόμιμη. Η επακόλουθη απόρριψη των καταγγελιών των υποκειμένων των δεδομένων είναι μια ενέργεια η οποία, σύμφωνα με την αιτιολογική σκέψη 143 του GDPR, συνιστά απόφαση που παράγει έννομα αποτελέσματα για τον καταγγέλλοντα.
Στη συνέχεια, το Δικαστήριο επανέφερε τη διαπίστωση Schrems II ότι η ΑΠΔ πρέπει να χειρίζεται τις καταγγελίες με «όλη τη δέουσα επιμέλεια». Η ΑΠΔ δυνάμει του άρθρου 57 του ΓΚΠΔ απαιτείται στην επικράτειά της να αντιμετωπίζει καταγγελίες σχετικά με τα υποκείμενα των δεδομένων βάσει του άρθρου 77 του ΓΚΠΔ και να εξετάζει τη φύση αυτής της καταγγελίας «όπως είναι απαραίτητο».
Ομοίως, και επίσης σύμφωνα με το Schrems II , το Δικαστήριο παρατήρησε ότι οι ΑΠΔ βάσει του GDPR απολαμβάνουν εκτεταμένα ερευνητικά και διορθωτικά μέτρα για τη διαχείριση των καταγγελιών που έχουν υποβληθεί. Σε περίπτωση που η ΑΠΔ, μετά την έρευνα, διαπιστώσει παραβίαση του GDPR, απαιτείται να «ενεργήσει κατάλληλα για να διορθώσει την έλλειψη που διαπιστώθηκε» (παρ. 57).
Το πιο σημαντικό, το Δικαστήριο συνέδεσε τη φύση των καταγγελιών ως άμεσα συνδεδεμένων με τα καθήκοντα και τις εξουσίες των ΑΠΔ, και ως εκ τούτου, δεν είναι παρόμοιες με τις αναφορές. Κατέληξε στο συμπέρασμα ότι η διαδικασία καταγγελιών είναι «σχεδιασμένη ως μηχανισμός ικανός να προστατεύει αποτελεσματικά τα δικαιώματα και τα συμφέροντα των υποκειμένων των δεδομένων» (παράγραφος 58). Αυτή η ερμηνεία υπογραμμίζει τη σημασία της ανάγνωσης του διαδικαστικού πλαισίου του GDPR στο πλαίσιο ολόκληρου του κανονισμού, ιδίως με σκοπό τον σεβασμό και την εκπλήρωση του βασικού του στόχου για την προστασία των θεμελιωδών δικαιωμάτων των ατόμων.
Μετά την αποσαφήνιση της διαδικαστικής διαφοράς, το ΔΕΚ αποφάσισε επί των ουσιαστικών ζητημάτων. Πάνω απ' όλα, ανέφερε ότι η παρατεταμένη αποθήκευση δεδομένων της SCHUFA ήταν παράνομη και ότι θα έπρεπε να συμμορφώνεται με τις απαιτήσεις περιόδου αποθήκευσης για το δημόσιο μητρώο αφερεγγυότητας. Επιβεβαίωσε επίσης το δικαίωμα του υποκειμένου των δεδομένων να απαιτήσει τη διαγραφή των δεδομένων το συντομότερο δυνατό όταν η επεξεργασία είναι παράνομη και μετά από αντίρρηση στην επεξεργασία δεδομένων.
Πεδίο εφαρμογής του δικαστικού ελέγχου των αποφάσεων της ΑΠΔ
Το ΔΕΚ τόνισε ότι ο ΓΚΠΔ θεσπίζει ρητά το δικαίωμα σε «αποτελεσματική» δικαστική προσφυγή σύμφωνα με το άρθρο 47 CFREU. Επανέλαβε τη διαπίστωσή του ότι τα εθνικά δικαστήρια, κατά την επανεξέταση μιας απόφασης της ΑΠΔ, πρέπει να ασκούν πλήρη δικαιοδοσία, η οποία συνεπάγεται επίσης «αρμοδιότητα εξέτασης όλων των πραγματικών και νομικών ζητημάτων που σχετίζονται με τη διαφορά που εκκρεμεί ενώπιόν τους» (παράγραφος 52). Το Δικαστήριο, επομένως, διαφώνησε με την ΑΠΔ της Έσσης ότι ο δικαστικός έλεγχος της απόφασης της ΑΠΔ περιορίζεται μόνο σε συγκεκριμένο διαδικαστικό πεδίο. Ακολουθώντας μια τέτοια ερμηνεία θα σήμαινε ότι η απαίτηση για αποτελεσματική δικαστική προστασία δεν θα πληρούταν, δεδομένων των εκτεταμένων εξουσιών που έχουν οι ΑΠΔ. Το ΔΕΚ επιβεβαίωσε έτσι ότι για να είναι «αποτελεσματικό» ένα ένδικο μέσο, μια τέτοια απόφαση πρέπει να υπόκειται σε πλήρη δικαστικό έλεγχο.
Σε παρόμοια σημείωση, σύμφωνα με το Δικαστήριο, αυτή η ερμηνεία απορρέει επίσης από τους στόχους του GDPR για τη διασφάλιση υψηλού επιπέδου προστασίας των φυσικών προσώπων όσον αφορά τα δεδομένα τους. Σύμφωνα με την επιστολή του GDPR και τις αιτιολογικές σκέψεις του, η αποτελεσματική εκπλήρωση αυτού του στόχου πρέπει επίσης να ενισχύσει τα δικαιώματα των υποκειμένων των δεδομένων. Ένας περιορισμένος δικαστικός έλεγχος των αποφάσεων της ΑΠΔ θα καθιστούσε αυτούς τους στόχους αδύνατους.
Ανεξαρτησία, Διαδικαστική Αυτονομία και Παράλληλες Διαδικασίες των ΑΠΔ
Στη συνέχεια, το Δικαστήριο σχολίασε επίσης την ανεξαρτησία, τη διαδικαστική αυτονομία και τις παράλληλες διαδικασίες των ΑΠΔ στο πλαίσιο του πλήρους δικαστικού ελέγχου των αποφάσεών του. Σύμφωνα με το ΔΕΚ, η ερμηνεία αυτή δεν υπονομεύει τις εγγυήσεις της ανεξαρτησίας των ΑΠΔ (παρ. 63).
Ωστόσο, οι ΑΠΔ εξακολουθούν να έχουν ένα περιθώριο διακριτικής ευχέρειας σχετικά με τα κατάλληλα και απαραίτητα μέσα για την αντιμετώπιση της καταγγελίας με κάθε επιμέλεια. Κατά συνέπεια, όταν το εθνικό δικαστήριο επανεξετάζει την απόφαση της ΑΠΔ, η απαίτηση αποτελεσματικής ένδικης προστασίας δεν συνεπάγεται ότι το δικαστήριο μπορεί να υποκαταστήσει την εκτίμηση της ΑΠΔ για την επιλογή των κατάλληλων και αναγκαίων ένδικων μέσων. Αντίθετα, το δικαστήριο καλείται να εξετάσει εάν η ΑΠΔ «έχει συμμορφωθεί με τα όρια της διακριτικής της ευχέρειας» (παρ. 69).
Τέλος, το Δικαστήριο επανέφερε επίσης ότι το δικαίωμα δικαστικής επανεξέτασης της απόφασης της ΑΠΔ βάσει του άρθρου 78 και αποτελεσματικής ένδικης προστασίας κατά του ελεγκτή δυνάμει του άρθρου 79 μπορούν να ασκούνται «ταυτόχρονα και ανεξάρτητα μεταξύ τους» (παρ. 66). Σύμφωνα με το Δικαστήριο, αυτή η ερμηνεία ενισχύει την προστασία του υποκειμένου των δεδομένων, καθιστώντας διαθέσιμα διάφορα ένδικα μέσα. Επίσης, δεν επηρεάζει το εύρος του δικαστικού ελέγχου της απόφασης της ΑΠΔ.
Οι στόχοι του GDPR ως ο πυρήνας της αποτελεσματικής επιβολής
Αυτό που είναι ιδιαίτερα εντυπωσιακό στη συλλογιστική του Δικαστηρίου είναι η έμφαση που δίνεται στην κατηγορία της «αποτελεσματικότητας» ενός ένδικου μέσου, είτε δικαστικό είτε ενώπιον της ΑΠΔ. Πολλές φορές σε όλη την απόφαση, το ΔΕΚ τονίζει το δικαίωμα του ατόμου σε αποτελεσματική δικαστική προσφυγή και, για τον σκοπό αυτό, επικαλείται το άρθρο 47 CFREU. Αυτό δεν είναι νέο στη νομολογία του ΔΕΚ για την προστασία των δεδομένων και επιβεβαιώνει ότι η αποτελεσματική επιβολή της προστασίας δεδομένων συνδέεται άμεσα και άρρηκτα με την πλήρη, αποτελεσματική δικαστική προστασία.
Με παρόμοια προσοχή, το Δικαστήριο υπογράμμισε τον βασικό στόχο του GDPR να διασφαλίσει υψηλό επίπεδο προστασίας των φυσικών προσώπων όσον αφορά τα δεδομένα τους. Και πάλι, η επίτευξη αυτού του στόχου –που περιλαμβάνει επίσης την ενίσχυση των δικαιωμάτων των υποκειμένων των δεδομένων– συνεπάγεται τη διασφάλιση πλήρους και δίκαιης πρόσβασης στα ένδικα μέσα. Βάσει αυτής της ερμηνείας, το ΔΕΚ συμπέρανε ότι η διαδικασία καταγγελιών GDPR είναι ένα από τα μέσα για την επίτευξη αυτού του στόχου.
Στρέφοντας την εστίαση στους στόχους και τους σκοπούς του GDPR, το Δικαστήριο επανέφερε την κρίσιμη λειτουργία των νόμων περί προστασίας δεδομένων για την προστασία των ατόμων. Αυτή είναι μια σημαντική υπενθύμιση ότι, παρά το γεγονός ότι οι προσεγγίσεις για την επιβολή του GDPR συνεχίζουν να ελίσσονται μεταξύ των στόχων οικονομικών και θεμελιωδών δικαιωμάτων, ο τελευταίος δεν θα πρέπει να αντιμετωπίζεται μόνο ως βοηθητικός.
Προς την εναρμόνιση των πρακτικών των ΑΠΔ;
Το επιχείρημα της ΑΠΔ της Έσσης ότι η καταγγελία GDPR είναι «αποκλειστικά μια αναφορά» δεν είναι μοναδικό ή νέο μεταξύ των ΑΠΔ της ΕΕ. Όπως καταδεικνύει αυτή η μελέτη του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων , οι ΑΠΔ διαφέρουν πολύ ως προς τα πρότυπα παραδεκτού των καταγγελιών, που κυμαίνονται από αυστηρά επίσημες έως ανεπίσημες. Για παράδειγμα, ενώ στη Γερμανία διεκπεραιώνονται ακόμη και ανώνυμες καταγγελίες, στην Πολωνία, ο καταγγέλλων πρέπει να προσδιορίζεται ως υποκείμενο δεδομένων στην εν λόγω επεξεργασία. Ενώ ορισμένοι εθνικοί δικονομικοί νόμοι επιτρέπουν στον καταγγέλλοντα να συμμετέχει στη διαδικασία ως μέρος, άλλοι το αρνούνται. Οι ΜΚΟ στρατηγικών διαφορών αναφέρουν τις πρακτικές ορισμένων από τις ΑΠΔ να εκδίδουν «επιστολές αποτελέσματος» σύμφωνα με το άρθρο 77 παράγραφος 2 του ΓΚΠΔ και όχι τις τελικές αποφάσεις βάσει του άρθρου 77 παράγραφος 1. Επιπλέον, αυτό έχει ως αποτέλεσμα αποκλίνοντα πρότυπα για το δικαίωμα ακρόασης, το δικαίωμα πρόσβασης σε έγγραφα και το δικαίωμα δικαστικής προσφυγής.
Ιδιαίτερα σημαντικό, διαπιστώνοντας ότι η καταγγελία GDPR δεν αποτελεί αναφορά και μπορεί να αποτελέσει αντικείμενο πλήρους δικαστικής επανεξέτασης, το ΔΕΚ καθορίζει κατά συνέπεια το καθεστώς του υποκειμένου των δεδομένων ως νομίμου μέρους στη διαδικασία. Οι ΑΠΔ είναι πλέον επισήμως υποχρεωμένες να εκδώσουν νομικά δεσμευτική απόφαση για την ολοκλήρωση της διαδικασίας καταγγελίας ώστε να επιτραπεί στο υποκείμενο των δεδομένων να λάβει μέτρα εναντίον της ενώπιον των αντίστοιχων δικαστηρίων. Οι «επιστολές αποτελέσματος» ή άλλες μορφές επικοινωνίας δεν επαρκούν για να το εξασφαλίσουν αυτό.
Πεδίο εφαρμογής της ανεξαρτησίας και της διαδικαστικής αυτονομίας των ΑΠΔ
Το Δικαστήριο επιβεβαίωσε την υποχρέωση των ΑΠΔ να χειρίζονται αναλόγως τις καταγγελίες GDPR και να τις αντιμετωπίζουν με όλη τη δέουσα επιμέλεια. Το πιο σημαντικό, το ΔΕΚ τόνισε ότι αυτή η υποχρέωση δεν παρεμβαίνει στην ανεξαρτησία ή τη διαδικαστική αυτονομία των ΑΠΔ. Εξακολουθούν να έχουν ένα περιθώριο διακριτικής ευχέρειας να αποφασίσουν σχετικά με τα μέτρα που πρέπει να εφαρμόζονται κατά τον χειρισμό της καταγγελίας.
Αυτό το εύρημα παρέχει μια σημαντική κατεύθυνση για τις ΑΠΔ στην προσέγγιση και την αντιμετώπιση των διαδικαστικών διαφορών μεταξύ των πρακτικών τους. Ενώ η διατήρηση κάποιου επιπέδου εθνικής διακριτικής ευχέρειας είναι απαραίτητη για χάρη των πολιτιστικών και νομικών πλαισίων παράδοσης, δεν θα πρέπει να αποτελεί εμπόδιο στην επίτευξη του στόχου του GDPR για την προστασία των δικαιωμάτων των φυσικών προσώπων όσον αφορά τα δεδομένα τους.
Αποτελεσματική Δικαστική Προστασία
Το Δικαστήριο επέδειξε μια συστημική, σύνθετη προσέγγιση για την επαρκή ατομική προστασία στον GDPR. Προσέγγισε τη διαδικασία καταγγελίας προστασίας δεδομένων ενώπιον των ΑΠΔ και την επακόλουθη δικαστική αναθεώρησή της ως μηχανισμό δύο επιπέδων όπου κάθε επίπεδο πρέπει να λειτουργεί σωστά και συμπληρωματικά για να καταστεί αποτελεσματικό το σύστημα.
Πρώτον, αναγνώρισε ότι ο υποκείμενος εννοιολογικός σχεδιασμός της διαδικασίας διεκπεραίωσης καταγγελιών υπαγορεύει τη λειτουργία της ως πρωτίστως την ενίσχυση των δικαιωμάτων των υποκειμένων των δεδομένων. Η διαθεσιμότητα πλήρους δικαστικού ελέγχου πρέπει επίσης να ενισχύσει αυτόν τον μηχανισμό. Διαφορετικά, η αποτελεσματικότητα ολόκληρου του πλαισίου επιβολής θα υποβαθμιζόταν σοβαρά. Για το Δικαστήριο, ο τεράστιος κατάλογος των εξουσιών και των καθηκόντων που ανατίθενται στις ΑΠΔ σημαίνει ότι πρέπει να λογοδοτήσουν για την άσκηση αυτών των εξουσιών και λειτουργιών. Κατά συνέπεια, οι αποφάσεις των ΑΠΔ για καταγγελίες πρέπει να είναι νομικά δεσμευτικές, ιδίως για να έχουν την ευκαιρία τα υποκείμενα των δεδομένων να αναλάβουν δράση εναντίον τους. Το δικαστήριο θα πρέπει να μπορεί να επανεξετάσει διεξοδικά μια τέτοια απόφαση, συμπεριλαμβανομένων πραγματικών και νομικών θεμάτων. Αυτό δεν σημαίνει παρεμβολή στην ανεξαρτησία των ΑΠΔ. Αντίθετα, το δικαστήριο εξετάζει εάν η ΑΠΔ «έχει συμμορφωθεί με τα όρια της διακριτικής της ευχέρειας» (παρ. 69).
Δεύτερον, θίγοντας το ζήτημα της δυνατότητας για το υποκείμενο των δεδομένων να κινήσει παράλληλες δικαστικές διαδικασίες σύμφωνα με το άρθρο 78 (κατά της ΑΠΔ) και το άρθρο 79 (κατά του υπεύθυνου επεξεργασίας), το Δικαστήριο επιβεβαίωσε ότι θεωρεί το σύστημα επιβολής της προστασίας δεδομένων ως πολλαπλό -επίπεδο συνονθύλευμα διαδικαστικών προστασιών που πρέπει να λειτουργούν «ταυτόχρονα και ανεξάρτητα το ένα από το άλλο» για την ενίσχυση της προστασίας του υποκειμένου των δεδομένων.
Ποιο είναι το μέλλον της Πρότασης Διαδικαστικής Εναρμόνισης του GDPR;
Η απόφαση ενδέχεται να έχει ύψιστες συνέπειες για τη μελλοντική μορφή της Διαδικαστικής Εναρμόνισης GDPR. Η πρόταση που υπέβαλε η Επιτροπή τον Ιούνιο του 2024 αποσκοπεί στην εναρμόνιση των κατακερματισμένων εθνικών δικονομικών νόμων στο πλαίσιο των διασυνοριακών υποθέσεων βάσει του GDPR.
Στην πρόταση της Επιτροπής, το καθεστώς του μέρους αποδίδεται ρητά μόνο στα «έρευνα υπό έρευνα», δηλαδή στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία. Ο καταγγέλλων έχει περιορισμένο ρόλο και μπορεί να έχει πρόσβαση στον φάκελο της υπόθεσης ή να γνωστοποιήσει τις απόψεις του μόνο σε πολλές περιπτώσεις. Από την άλλη πλευρά, τα υπό έρευνα μέρη απολαμβάνουν ευρύτερο πεδίο δικονομικών δικαιωμάτων. Σύμφωνα με την πρόταση της Επιτροπής, ο καταγγέλλων μπορεί να έχει το δικαίωμα σε δίκαιη ακρόαση μόνο όταν η απόφαση επηρεάζει δυσμενώς τη νομική του θέση. Αυτό το σκεπτικό φαίνεται να είναι αντίθετο με τα πορίσματα του Δικαστηρίου, το οποίο υπογραμμίζει τη σημασία της αποτελεσματικής δικαστικής προστασίας έναντι οποιασδήποτε απόφασης της ΑΠΔ που αφορά το υποκείμενο των δεδομένων, όχι μόνο της απόρριψης ή απόρριψης της υπόθεσης.
Η νομοθετική διαδικασία γύρω από τη Διαδικαστική Εναρμόνιση του GDPR είναι ακόμη σε εξέλιξη . Το σχέδιο έκθεσης της επιτροπής LIBE του Ευρωπαϊκού Κοινοβουλίου προτείνει να συμπεριληφθεί ο καταγγέλλων στον ορισμό του μέρους και να εκχωρηθεί το δικαίωμα ακρόασης σε άλλες περιπτώσεις εκτός από την απόρριψη ή την απόρριψη της καταγγελίας. Ενώ ακόμη αποκαλύπτεται το μέλλον της Διαδικαστικής Εναρμόνισης του GDPR, πρέπει να ληφθούν υπόψη οι πιο πρόσφατες νομικές εξελίξεις.
Διαδικαστικά δικαιώματα υποκειμένου δεδομένων βάσει του GDPR: Ένα βήμα μπροστά
Επιβεβαιώνοντας ότι η καταγγελία GDPR δεν αποτελεί αναφορά και επομένως υπόκειται σε πλήρη δικαστικό έλεγχο, το ΔΕΚ έκανε ένα ουσιαστικό βήμα προς την ενίσχυση της προστασίας των διαδικαστικών δικαιωμάτων του υποκειμένου των δεδομένων βάσει του GDPR. Το Δικαστήριο τόνισε τη σημασία του δικαιώματος σε αποτελεσματικό ένδικο μέσο για την επαρκή επιβολή της νομοθεσίας περί προστασίας δεδομένων. Υποχρέωσε τις ΑΠΔ να χειριστούν τις καταγγελίες με όλη τη δέουσα επιμέλεια και να τις ολοκληρώσουν με ένα επίσημο, νομικά δεσμευτικό αποτέλεσμα. Το Δικαστήριο εξουσιοδότησε έτσι σημαντικά τα υποκείμενα των δεδομένων.
Το πώς θα εφαρμοστεί αυτό το εύρημα στο μέλλον μένει να φανεί, ιδίως σε διασυνοριακές υποθέσεις και διαδικασίες επίλυσης διαφορών ενώπιον του EDPB. Η απόφαση θέτει επίσης υπό αμφισβήτηση το σκεπτικό που χρησιμοποίησε η Επιτροπή στην πρόταση για τη διαδικαστική εναρμόνιση του GDPR. Εξαιτίας αυτού, αυτή η πτυχή θα πρέπει να επανεκτιμηθεί στα επόμενα βήματα της νομοθετικής διαδικασίας.
Greek 
English