Εισαγωγή
Στις 29 Ιανουαρίου του τρέχοντος έτους, το Γενικό Δικαστήριο απέρριψε την προσφυγή της Ιρλανδικής Επιτροπής Προστασίας Δεδομένων (DPC) με σκοπό την ακύρωση τμημάτων τριών αποφάσεων που εκδόθηκαν από το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (EDPB) ( συνεκδικασθείσες υποθέσεις T-70/23, T-84/23 και T-111/23 ). Σε αυτές τις αποφάσεις, το EDPB έδωσε εντολή στο DPC να επεκτείνει την έρευνά του στις δραστηριότητες επεξεργασίας δεδομένων της Facebook Ireland Ltd (τώρα Meta) σχετικά με τις υπηρεσίες Facebook και Instagram, καθώς και της WhatsApp Ireland Ltd (εφεξής Whatsapp). Επιπλέον, ζητήθηκε από το DPC να υποβάλει νέο σχέδιο απόφασης με βάση τα πορίσματα αυτής της εκτεταμένης έρευνας (βλ. Αποφάσεις EDPB 3/2022 , 4/2022 και 5/2022 ). Αυτή η απόφαση προσφέρει σημαντικές διευκρινίσεις σχετικά με το εύρος των εξουσιών λήψης αποφάσεων του EDPB, το σκεπτικό πίσω από τους μηχανισμούς συνεργασίας και συνοχής του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR) και το πλήρες ανεξάρτητο καθεστώς των εποπτικών αρχών, σχετικό επίσης με τους τρέχοντες τριμερείς διαλόγους όσον αφορά την Πρόταση της Επιτροπής για κανονισμό που καθορίζει τους πρόσθετους διαδικαστικούς κανόνες της Επιτροπής (εδώ Πρόταση Διαδικαστικού Κανονισμού GDPR). Ωστόσο, τελικά, στην απόφασή του, το Γενικό Δικαστήριο έλαβε σθεναρή θέση όσον αφορά την προτεραιότητα στην προστασία των θεμελιωδών δικαιωμάτων στην ιδιωτική ζωή και την προστασία των προσωπικών δεδομένων έναντι των εκτιμήσεων αποτελεσματικότητας.
Ιστορικό της υπόθεσης: το έπος συνεχίζεται
Το 2018, υποβλήθηκαν καταγγελίες σύμφωνα με το άρθρο 77 του GDPR στις αντίστοιχες αρχές προστασίας δεδομένων στην Αυστρία, το Βέλγιο και τη Γερμανία κατά των Meta και WhatsApp μέσω του μη κερδοσκοπικού οργανισμού NOYB – European Center for Digital Rights . Δεδομένου του διασυνοριακού χαρακτήρα της επεξεργασίας δεδομένων, οι καταγγελίες διαβιβάστηκαν στην ιρλανδική DPC, την κύρια αρχή βάσει του μηχανισμού one-stop-shop του GDPR, καθώς η Meta και η WhatsApp έχουν τις κύριες εγκαταστάσεις τους στην Ιρλανδία (άρθρο 56 παράγραφος 1 GDPR ). Οι καταγγελίες αναφέρονταν σε παραβιάσεις πολλαπλών διατάξεων του GDPR, συμπεριλαμβανομένου του άρθρου 9, το οποίο διέπει την επεξεργασία ειδικών κατηγοριών προσωπικών δεδομένων. Ωστόσο, το DPC επέλεξε να μην διερευνήσει αυτή την πτυχή της καταγγελίας, δηλώνοντας ότι η έρευνα είχε ήδη εξετάσει το θεμελιώδες ζήτημα από το οποίο εξαρτάται η καταγγελία, καθιστώντας περιττή μια ευρύτερη αξιολόγηση του άρθρου 9 (αποφάσεις EDPB 3/2022 , παρ. 186, 4/2022 παρ. 191, 5/20 , παρ. 192, 5/20). Κατά συνέπεια, το σχέδιο απόφασής της παρέλειψε συμπεράσματα σχετικά με αυτή τη διάταξη του GDPR.
Δεδομένου ότι οι υποθέσεις αφορούσαν διασυνοριακές καταγγελίες, η DPC όφειλε να υποβάλει τα σχέδια αποφάσεών της στις αρμόδιες αρχές βάσει του μηχανισμού συνεργασίας του GDPR (άρθρο 60) – δηλαδή, αρχές στις οποίες υποβλήθηκε αρχικά η καταγγελία, αρχές στην επικράτεια των οποίων ο υπεύθυνος επεξεργασίας έχει άλλες εγκαταστάσεις εκτός από την κύρια εγκατάσταση και αρχές του κράτους μέλους στο οποίο επηρεάζονται τα υποκείμενα των δεδομένων (πιθανόν να βρίσκονται). Ο μηχανισμός συνεργασίας υποτίθεται ότι αποτρέπει την ηγετική αρχή από το να υιοθετήσει μια στάση από μόνη της ( έγγρ. Συμβουλίου 10139/14 , παρ. 11). Για τον σκοπό αυτό, οι αρμόδιες αρχές μπορούν να προβάλλουν σχετικές και αιτιολογημένες αντιρρήσεις στο σχέδιο απόφασης, τις οποίες η επικεφαλής εποπτική αρχή θα λάβει ιδιαιτέρως υπόψη (άρθρο 4 παράγραφος 24 και 60 παράγραφος 4 GDPR ). Πράγματι, αρκετές αρχές αντιτάχθηκαν στα σχέδια αποφάσεων της DPC, υποστηρίζοντας ότι η επεξεργασία προσωπικών δεδομένων της Meta και της WhatsApp ενδέχεται να περιλαμβάνει ειδικές κατηγορίες προσωπικών δεδομένων και ότι η DPC θα έπρεπε να είχε επεκτείνει την έρευνά της για να αξιολογήσει τη συμμόρφωση με το άρθρο 9 του GDPR. Το DPC, ωστόσο, έκρινε τις ενστάσεις αυτές ανεπαρκώς αιτιολογημένες και αρνήθηκε να τις ακολουθήσει (βλ. αποφάσεις EDPB 3/2022 , παρ. 162· 4/2022 , παρ. 166· 5/2022 , παρ. 175). Κατά συνέπεια, η διαφορά κλιμακώθηκε στο EDPB για επίλυση διαφορών σύμφωνα με το άρθρο 65 παράγραφος 1 στοιχείο α) του GDPR .
Το EDPB απέρριψε τα συμπεράσματα της DPC, κρίνοντας τις αντιρρήσεις από τις αρμόδιες αρχές τόσο σχετικές όσο και αιτιολογημένες, γεγονός που δικαιολογεί περαιτέρω αξιολόγηση επί της ουσίας. Το EDPB επέκρινε το DPC ότι δεν αντιμετώπισε κινδύνους που σχετίζονται με την πιθανή επεξεργασία ειδικών κατηγοριών προσωπικών δεδομένων, επηρεάζοντας όχι μόνο τους καταγγέλλοντες αλλά όλους τους χρήστες του Facebook, του Instagram και του WhatsApp (αποφάσεις EDPB 3/2022 , παρ. 193· 4/2022 παρ. 198· 5/2022 , παρ. 21). Επιπλέον, το EDPB έλαβε ισχυρή θέση σχετικά με το καθήκον της εποπτικής αρχής να χειρίζεται τις καταγγελίες, καταλήγοντας στο συμπέρασμα ότι το DPC δεν χειρίστηκε τις καταγγελίες με όλη τη δέουσα επιμέλεια . Το EDPB σημείωσε επίσης ότι η διαρθρωτική αποκήρυξη των αντιρρήσεων ως μη σχετικών και/ή αιτιολογημένων, περιορίζει την ικανότητα των ενδιαφερόμενων αρχών να ενεργούν και να μετριάζουν τους κινδύνους για τα υποκείμενα των δεδομένων μέσω ειλικρινούς και αποτελεσματικής συνεργασίας . Με άλλα λόγια, οι αρχές δεν μπορούν να αποφύγουν τον ουσιαστικό διάλογο (αποφάσεις EDPB 3/2022 , παρ. 194–195· 4/2022 , παρ. 199–200· 5/2022 , παρ. 218–220). Ωστόσο, λόγω της περιορισμένης έρευνας του DPC, το EDPB δεν διέθετε επαρκή στοιχεία για να καθορίσει από μόνο του εάν η Meta και η WhatsApp είχαν παραβιάσει το άρθρο 9 του GDPR. Καθώς το EDPB δεν έχει εξουσίες συλλογής πληροφοριών ή διερεύνησης, αποφάσισε ότι το DPC πρέπει να διεξαγάγει νέα έρευνα για την επεξεργασία ειδικών κατηγοριών προσωπικών δεδομένων και να αξιολογήσει τη συμμόρφωση με τις υποχρεώσεις του GDPR. Βάσει των πορισμάτων, το ΔΠΚ καλείται να εκδώσει νέο σχέδιο απόφασης (αποφ. ΕΔΠΒ 3/2022 , παρ. 198· 4/2022 , παρ. 203· 5/2022 , παρ. 222).
Το DPC προσπάθησε να ακυρώσει αυτά τα μέρη των αποφάσεων EDPB 3/2022, 4/2022 και 5/2022, υποστηρίζοντας ενώπιον του Γενικού Δικαστηρίου ότι το EDPB είχε υπερβεί τις εξουσίες του δυνάμει του άρθρου 65 παράγραφος 1 στοιχείο α) του GDPR διατάσσοντας νέα έρευνα και σχέδιο απόφασης ( Συνεκδικασθείσες υποθέσεις T- και 7 Τ-111/23 , παρ. 17).
Απόφαση του Γενικού Δικαστηρίου: το EDPB δεν υπερέβη τις αρμοδιότητές του
Βάσει μιας κυριολεκτικής, συμφραζομένης και σκόπιμης ερμηνείας, το Γενικό Δικαστήριο έκανε μια σύντομη μετατόπιση στη στενή αντίληψη του DPC των άρθρων 65 παράγραφος 1 στοιχείο α), 65 παράγραφος 6 και 4 παράγραφος 24 του ΓΚΠΔ. Ενώ η DPC υποστηρίζει ότι αυτές οι διατάξεις περιορίζουν το πεδίο των δεσμευτικών αποφάσεων του EDPB στο πεδίο της ανάλυσης που διενεργήθηκε από την κύρια εποπτική αρχή, το Γενικό Δικαστήριο υπενθυμίζει στην DPC ότι μια δεσμευτική απόφαση EDPB θα αφορά όλα τα θέματα που προβάλλονται στις σχετικές και αιτιολογημένες αντιρρήσεις, ιδίως εάν υπάρχει παραβίαση του GDPR ( T-283, T-GDPR) Τ-111/23 , παρ. 35). Είναι σημαντικό ότι το Γενικό Δικαστήριο συνεχίζει διευκρινίζοντας ότι οι σχετικές και αιτιολογημένες αντιρρήσεις των ενδιαφερόμενων εποπτικών αρχών δεν περιορίζονται στις εκτιμήσεις που εκτίθενται στο σχέδιο απόφασης. Σύμφωνα με τα λόγια του Δικαστηρίου: «Δεν υπάρχει τίποτα που να εμποδίζει […] μια ένσταση να σχετίζεται με την απουσία ανεπάρκειας ανάλυσης […] που καθιστά αδύνατο να γνωρίζουμε εάν υπάρχει ή όχι παραβίαση [του GDPR] όσον αφορά αυτή την πτυχή». ( Συνεκδικασθείσες υποθέσεις Τ-70/23, Τ-84/23 και Τ-111/23 , παρ. 35). Ως εκ τούτου, όταν σχετικές και αιτιολογημένες αντιρρήσεις που σχετίζονται με το εύρος της έρευνας εγείρουν διαφορές και παραπέμπονται στο Συμβούλιο, το τελευταίο μπορεί να αποφασίσει για αυτές τις διαφορές.
Το Γενικό Δικαστήριο δηλώνει ρητά ότι με τον τρόπο αυτό το EDPB δεν υπερβαίνει τις αρμοδιότητες που του ανατίθενται (βλ. άρθρο 5 ΣΕΕ ), ούτε τα όρια που τίθενται για την ανάθεση εξουσίας σε όργανα της ΕΕ όπως ορίζονται από το δόγμα Meroni ( υπόθεση 9/56 Meroni κατά Ανωτάτης Αρχής ). Όσον αφορά το τελευταίο, το Γενικό Δικαστήριο καταλήγει στο συμπέρασμα ότι οι εξουσίες επίλυσης διαφορών του EDPB προβλέπονται ρητά από τον νομοθέτη της ΕΕ, οριοθετούνται επακριβώς και υπόκεινται σε δικαστικό έλεγχο ( Συνεκδικασθείσες υποθέσεις T-70/23, T-84/23 και T-111/23 , παρ. 71).
Οι μηχανισμοί συνεργασίας και συνέπειας: προστασία των θεμελιωδών δικαιωμάτων έναντι της αποτελεσματικότητας
Εκτός από την επιβεβαίωση του πεδίου εφαρμογής των εξουσιών λήψης αποφάσεων του EDPB, το Συνέδριο υπενθύμισε στις εποπτικές αρχές τα καθήκοντά τους στο πλαίσιο του μηχανισμού συνεργασίας του GDPR. Πρώτον, τόνισε ότι οι αρχές πρέπει να συμφωνήσουν από κοινού για αποφάσεις σε διασυνοριακές υποθέσεις, η αξιολόγηση των οποίων περιλαμβάνει το πεδίο της ανάλυσης ( Συνεκδικασθείσες υποθέσεις T-70/23, T-84/23 και T-111/23 , παρ. 38). Δεύτερον, το Γενικό Δικαστήριο διευκρίνισε ότι ενώ το άρθρο 58 παράγραφος 1 στοιχείο στ) του GDPR απαιτεί έρευνα στον βαθμό που ενδείκνυται , η επικεφαλής αρχή δεν μπορεί να αποφασίσει μονομερώς για την καταλληλότητα του πεδίου της έρευνας και να αποκλείσει αυτό το ζήτημα από τους μηχανισμούς συνεργασίας και συνέπειας ( Συνεκδικασθείσες υποθέσεις T-70/23, T-84/23 και T-2301 , παράγραφος 25).
Αυτές οι υπενθυμίσεις είναι ζωτικής σημασίας, καθώς τα άτομα ενδέχεται να αντιμετωπίσουν σημαντικές προκλήσεις όταν αναζητούν προστασία των δικαιωμάτων τους απευθείας έναντι των υπευθύνων επεξεργασίας και επεξεργασίας δεδομένων, μεταξύ άλλων λόγω της σαφούς ανισορροπίας ισχύος μεταξύ των δύο μερών και των δυσκολιών με την αξίωση αποζημίωσης ενώπιον των πολιτικών δικαστηρίων (βλ. C-300/21 Österreichische Post ). Δεδομένων αυτών των δυσκολιών και της έλλειψης κινήτρων για τη διασφάλιση της επιβολής μέσω ιδιωτικών αξιώσεων, οι διαδικασίες καταγγελίας αποκτούν στοιχειώδη σημασία ( Hofmann and Mustert 2024 ). Ωστόσο, όταν ορισμένες εποπτικές αρχές εφαρμόζουν επιλεκτικά κριτήρια –φανερά ή κρυφά– σχετικά με το ποια καταγγελία να χειριστεί και ποιες πτυχές της καταγγελίας να διερευνηθεί, η διαδικασία καταγγελίας αποτυγχάνει να λειτουργήσει ως μηχανισμός που διασφαλίζει την προστασία των δικαιωμάτων του υποκειμένου των δεδομένων στην ιδιωτική ζωή και την προστασία των προσωπικών δεδομένων. Αντίθετα, οι διαδικασίες καταγγελίας φαίνεται μάλλον να ενημερώνουν τις εποπτικές αρχές, σε αντίθεση με την ερμηνεία του ΔΕΕ για τον ρόλο των διαδικασιών καταγγελίας στη διασφάλιση των δικαιωμάτων των ατόμων ( C-768/21 Land Hessen ). Οι μηχανισμοί συνεργασίας και συνέπειας είναι ουσιαστικοί για την αντιμετώπιση αυτού του ασυνεπούς και άνισου χειρισμού παραπόνων στα κράτη μέλη ( Έγγραφο Συμβουλίου 10139/14 , παρ. 11) και εξουσιοδοτούν όλες τις εποπτικές αρχές να προστατεύουν τα υποκείμενα των δεδομένων τους, ακόμη και όταν τα υποκείμενα των δεδομένων επηρεάζονται από την επεξεργασία δεδομένων που πραγματοποιείται φυσικά εκτός της επικράτειάς του ( Συμβουλίου Έγγρ. Η αποτελεσματικότητά τους θα υπονομευόταν εάν η επικεφαλής αρχή μπορούσε να καθορίσει αποκλειστικά το εύρος μιας έρευνας ( Gentile and Lynskey 2022 , Mustert 2023 ). Ως εκ τούτου, η διευκρίνιση του Γενικού Δικαστηρίου είναι ζωτικής σημασίας, καθώς επιβεβαιώνει ρητά ότι οι ενδιαφερόμενες αρχές και το EDPB μπορούν να αντιμετωπίσουν επιλεκτικές προσεγγίσεις έρευνας μέσω αυτών των μηχανισμών.
Επιπλέον, σε αντίθεση με τους ισχυρισμούς της DPC, το Γενικό Δικαστήριο καταλήγει στο συμπέρασμα ότι η επανέναρξη μιας έρευνας δεν επιβάλλει περιττές δαπάνες και υπερβολικές ενοχλήσεις στους καταγγέλλοντες και στα υπό έρευνα μέρη. Το Γενικό Δικαστήριο ισχυρίζεται ακράδαντα ότι η διαδικαστική απλούστευση δεν μπορεί να υπερισχύει των βασικών στόχων του GDPR – την προστασία των φυσικών προσώπων που είναι θεμελιώδης για την προστασία των προσωπικών τους δεδομένων ( Συνεκδικασθείσες υποθέσεις T-70/23, T-84/23 και T-111/23 , παρ. 56). Επιπλέον, τα μειονεκτήματα που αναφέρει η DPC θα μπορούσαν να είχαν αποφευχθεί, εάν η κύρια εποπτική αρχή ολοκλήρωνε εξαρχής μια ολοκληρωμένη έρευνα. Αυτό υπογραμμίζει την κρίσιμη ανάγκη συναίνεσης σχετικά με το εύρος μιας έρευνας πριν από την έναρξή της – μια πτυχή που πολλές αρχές παραμελούν ( Mustert 2023 ).
Η πρόταση της Επιτροπής για κανονισμό που εξορθολογίζει την επιβολή του GDPR
Η σημασία της έγκαιρης συναίνεσης αντανακλάται επίσης στην πρόταση της Επιτροπής για έναν διαδικαστικό κανονισμό GDPR, η οποία, μεταξύ άλλων , αποσκοπεί στην καθιέρωση ουσιαστικής δέσμευσης των ενδιαφερόμενων αρχών σε πρώιμο στάδιο της διαδικασίας επιβολής ( COM/2023/348 τελικό ). Ειδικά για τον σκοπό αυτό, απαιτεί από την επικεφαλής αρχή να συντάξει μια περίληψη των βασικών θεμάτων αφού έχει σχηματίσει μια προκαταρκτική άποψη για τα κύρια ζητήματα της υπόθεσης, συμπεριλαμβανομένου ενός προκαταρκτικού προσδιορισμού του εύρους της έρευνας (άρθρα 9 και 10). Οι ενδιαφερόμενες αρχές έχουν στη συνέχεια τέσσερις εβδομάδες για να σχολιάσουν τη σύνοψη, ενθαρρύνοντας την έγκαιρη συναίνεση σχετικά με το εύρος της έρευνας και τις απαραίτητες ενέργειες. Ωστόσο, το EDPB και ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων (ΕΕΠΔ) ήταν κρίσιμοι για αυτήν την πρόταση, εγείροντας σημαντικά ερωτήματα, όπως: γιατί, για παράδειγμα, η πρόταση ορίζει ότι η επικεφαλής αρχή θα κοινοποιεί μόνο περίπλοκες νομικές και τεχνικές αξιολογήσεις; Γιατί δεν απαιτείται από την επικεφαλής αρχή να ασχολείται με τα σχόλια των ενδιαφερόμενων αρχών; Και γιατί επιτρέπει η Επιτροπή στο EDPB να επιβάλλει περιορισμούς στη μέγιστη έκταση των σχολίων που υποβάλλονται στη σύνοψη των βασικών θεμάτων; ( γνωμοδότηση EDPB-EDPS 01/2023 παρ. 52, 54 και 60).
Μια περαιτέρω ανησυχία είναι ότι η Επιτροπή προτείνει, σε περιπτώσεις διαφωνιών σχετικά με έρευνες που βασίζονται σε καταγγελίες , η επικεφαλής αρχή να υποβάλλει το θέμα στο EDPB για λήψη επειγόντων αποφάσεων (πρόταση της Επιτροπής, άρθρο 10 παράγραφος 4). Αυτή η υποχρέωση μπορεί εύκολα να παρακαμφθεί από την επικεφαλής αρχή όταν ξεκινά αυτεπάγγελτα έρευνες διαχωρίζοντάς την από την καταγγελία, μια προσέγγιση που υιοθέτησε συχνά η DPC, όπως φαίνεται στην αυτεπάγγελτη έρευνά της για το Whatsapp Ireland, η οποία τέθηκε υπόψη της από πολλές καταγγελίες ( απόφαση EDPB 01/2021 ). Υπό αυτό το πρίσμα, είναι ακόμη πιο ανησυχητικό το γεγονός ότι η πρόταση περιορίζει τη δυνατότητα των ενδιαφερόμενων αρχών να προβάλλουν αντιρρήσεις για το σχέδιο απόφασης αφού συμμετάσχουν στα αρχικά στάδια της διαδικασίας εκτέλεσης. Σύμφωνα με το άρθρο 18 παράγραφος 2 στοιχείο α) της πρότασης της Επιτροπής, οι σχετικές και αιτιολογημένες αντιρρήσεις δεν θα επιτρέπεται πλέον να διευρύνουν το πεδίο μιας έρευνας ή να εισάγουν πρόσθετους ισχυρισμούς. Ωστόσο, διαφωνίες σε αυτά τα ζητήματα μπορούν να προκύψουν σε οποιοδήποτε στάδιο και οι περιοριστικές αντιρρήσεις θα αποδυνάμωσαν αδικαιολόγητα τον ρόλο των ενδιαφερόμενων αρχών στην επιβολή ( γνωμοδότηση EDPB-EDPS 01/2023 , παρ. 95). Θα αποτρέψει επίσης την επίλυση τέτοιων διαφορών μέσω του μηχανισμού επίλυσης διαφορών του EDPB. Ας ελπίσουμε ότι η απόφαση του Γενικού Δικαστηρίου θα ωθήσει τα θεσμικά όργανα να επανεξετάσουν την προσέγγισή τους.
Οι εποπτικές αρχές δεν ενεργούν με απόλυτη ανεξαρτησία
Τέλος, το Γενικό Δικαστήριο διευκρίνισε ότι απαιτώντας από το DPC να διευρύνει την έρευνά του, δεν τέθηκε υπό αμφισβήτηση το πλήρες ανεξάρτητο καθεστώς της αρχής, όπως κατοχυρώνεται στα άρθρα 16, παράγραφος 2, ΣΛΕΕ και 8, παράγραφος 3, CFR. Ακόμη περισσότερο, το Δικαστήριο τόνισε ότι αυτές οι διατάξεις «δεν συνεπάγονται ότι οι αρχές των κρατών μελών […] έχουν απόλυτη ανεξαρτησία» (( συνεκδικασθείσες υποθέσεις T-70/23, T-84/23 και T-111/23 , παρ. 82). Το EDPB είναι ότι οι φορείς που ελέγχουν τα εποπτικά όργανα θα πρέπει να είναι οι ίδιοι ανεξάρτητοι» ( συνεκδικασθείσες υποθέσεις T-70/23, T-84/23 και T-111/23 , παρ. 82). το γεγονός ότι ο ΓΚΠΔ δεν θέτει ίσα πρότυπα για την ανεξαρτησία του EDPB σε σύγκριση με τις εθνικές εποπτικές αρχές (π.χ. βλ. άρθρα 52-54 σε σύγκριση με το άρθρο 69, επίσης, έχουν τεθεί ερωτήματα σχετικά με το δικαίωμα της Επιτροπής να συμμετέχει και να ενημερώνεται σχετικά με κάθε δραστηριότητα της EDPB ( βλ. 2012 ).
Καταληκτικές παρατηρήσεις
Η απόφαση του Γενικού Δικαστηρίου προσφέρει βασικές διευκρινίσεις όσον αφορά τα διαχρονικά ζητήματα επιβολής του GDPR, ιδίως όσον αφορά την ευρεία διακριτική ευχέρεια που παρέχεται στις εποπτικές αρχές για τον καθορισμό της απαιτούμενης πορείας δράσης. Η αποτελεσματική συνεργασία και οι μηχανισμοί συνέπειας είναι τότε ουσιαστικοί για να διασφαλιστεί ότι οι αρχές μπορούν να αποφασίζουν από κοινού σε μεμονωμένες περιπτώσεις, οδηγώντας τελικά σε πιο συνεπή και νομικά ορθά αποτελέσματα στις διαδικασίες καταγγελίας και επιβολής. Οι σαφώς καθορισμένες εξουσίες των ενδιαφερόμενων αρχών και του EDPB είναι ζωτικής σημασίας από την άποψη αυτή, στο οποίο συμβάλλει η παρούσα απόφαση. Ωστόσο, είναι ανησυχητικό το γεγονός ότι η πρόταση της Επιτροπής φαίνεται να κινείται προς την αντίθετη κατεύθυνση, διευρύνοντας περαιτέρω τον ρόλο της κύριας εποπτικής αρχής. Ας ελπίσουμε ότι η απόφαση του Γενικού Δικαστηρίου θα οδηγήσει τα θεσμικά όργανα της ΕΕ να επαναξιολογήσουν την προσέγγισή τους.
Η Lisette Mustert είναι Επίκουρη Καθηγήτρια Διοικητικού Δικαίου στο Πανεπιστήμιο της Ουτρέχτης και μέλος του Κέντρου Ρύθμισης και Επιβολής της Ουτρέχτης στην Ευρώπη (RENFORCE). Πριν από την ένταξή της στο Πανεπιστήμιο της Ουτρέχτης, η Lisette υπερασπίστηκε τη διδακτορική της διατριβή σχετικά με τη Διασυνοριακή επιβολή του GDPR από ανεξάρτητες διοικητικές αρχές στο Πανεπιστήμιο του Λουξεμβούργου τον Ιούλιο του 2023.
Η Lisette διεξάγει έρευνα στη διασταύρωση του κοινοτικού και του εθνικού διοικητικού δικαίου. Η τεχνογνωσία της βρίσκεται ιδιαίτερα στον τομέα του χειρισμού παραπόνων και της επιβολής του Γενικού Κανονισμού για την Προστασία Δεδομένων και της δημόσιας επιβολής του δικαίου της ΕΕ γενικότερα. Τα ερευνητικά της ενδιαφέροντα περιλαμβάνουν επίσης ζητήματα αποτελεσματικότητας, χρηστής διοίκησης και προστασίας των θεμελιωδών δικαιωμάτων – όπως το δικαίωμα στην αποτελεσματική δικαστική προστασία – στην ολοκληρωμένη διοίκηση της ΕΕ.
Greek 
English