Η 16η Ιουλίου 2020 θεωρείται ως μια από τις πιο σημαντικές ημερομηνίες για το κεκτημένο της προστασίας των προσωπικών δεδομένων στη «Γηραιά Ήπειρο». Το Δικαστήριο της Ευρωπαϊκής Ένωσης (εφεξής ΔΕΕ) εξέδωσε την απόφαση επί της υποθέσεως C-311/18, Data Protection Commissioner v. Facebook Ireland Ltd and Maximilian Schrems (γνωστής και ως Schrems II) δημιουργώντας νέα δεδομένα στις διατλαντικές ροές δεδομένων, οι οποίες αποτελούν την καρδιά της παγκόσμιας ψηφιακής οικονομίας.
Η «Schrems II» είναι μια ιστορική απόφαση του ΔΕΕ που βασίζεται σε καταγγελία του 2015 από τον Αυστριακό δικηγόρο Maximilian Schrems κατά της Facebook Ireland Limited. Ο Schrems έφερε την υπόθεση ενώπιον της Ιρλανδικής Αρχής Προστασίας Δεδομένων, αμφισβητώντας τη χρήση των Τυποποιημένων Συμβατικών Ρητρών (Standard Contractual Clauses) για τη μεταφορά δεδομένων στις ΗΠΑ. Το Ιρλανδικό Ανώτατο Δικαστήριο παρέπεμψε την υπόθεση στο ΔΕE το 2018 (Cookiebot, 2024). O Max Schrems έγινε παγκοσμίως γνωστός για τις νομικές του μάχες απέναντι στη Facebook και στους μηχανισμούς διατλαντικής μεταφοράς δεδομένων, ενώ κινητήριος μοχλός της πρωτοβουλίας του ήταν η ανησυχία ότι τα δεδομένα των Ευρωπαίων πολιτών που μεταφέρονται στις ΗΠΑ δεν προστατεύονται επαρκώς από τις πρακτικές μαζικής παρακολούθησης της αμερικανικής κυβέρνησης, ειδικά μετά τις αποκαλύψεις του Edward Snowden ήδη από το 2013 (Propp, 2019, σ. 3).
Πρώτη επιτυχία του Max Schrems αποτέλεσε η απόφαση «Schrems I» κατά την οποία το ΔΕΕ δήλωσε ότι το πρότερο πλαίσιο των Διεθνών Αρχών «Safe Harbor» θεωρείται άκυρο. Το Δικαστήριο έκρινε ότι το Safe Harbor δεν διασφάλιζε επίπεδο προστασίας «ουσιωδώς ισοδύναμο» με αυτό της ΕΕ, καθώς επέτρεπε στις αρχές των ΗΠΑ ευρεία πρόσβαση στα δεδομένα (Propp, 2019, σ. 4). Η ρηξικέλευθη απόφαση αφορούσε στην απόρριψη πρότασης που υπήρχε στο Safe Harbor, κατά την οποία μια εταιρεία θα έπρεπε να συμμορφωθεί με ένα αίτημα επιτήρησης (surveillance request) των ΗΠΑ, ακόμα και αν αυτό συνεπαγόταν παραβίαση των συμφωνηθέντων αρχών προστασίας της ιδιωτικής ζωής (Propp, 2019, σ. 3). Το Δικαστήριο υποστήριξε ότι η νομοθεσία μιας τρίτης χώρας που επιτρέπει στις δημόσιες αρχές της να έχουν γενικευμένη πρόσβαση στο περιεχόμενο των ηλεκτρονικών επικοινωνιών πρέπει να θεωρείται ότι παραβιάζει την ουσία του θεμελιώδους δικαιώματος του σεβασμού της ιδιωτικής ζωής (Propp, 2021, σ. 3). Πρόσθεσε, ότι η απουσία διατάξεων στη νομοθεσία ξένων χωρών που επιτρέπουν σε ένα άτομο να έχει πρόσβαση στα δικά του δεδομένα ή να τα διορθώσει ή να τα διαγράψει, στερεί το δικαίωμα σε αποτελεσματική δικαστική προσφυγή που κατοχυρώνεται στον Χάρτη Θεμελιωδών Δικαιωμάτων (Propp, 2019, σ. 4). Το δικαστήριο έκρινε ότι ένα αλλοδαπό νομικό σύστημα μπορεί να θεωρηθεί επαρκές μόνο εάν η προστασία της ιδιωτικής ζωής που παρέχει είναι «ουσιαστικά ισοδύναμη» με εκείνη που ισχύει στην ΕΕ. Κατέληξε στο συμπέρασμα, ότι η απόφαση της Ευρωπαϊκής Επιτροπής σχετικά με την επάρκεια των μέτρων προστασίας των Ηνωμένων Πολιτειών δεν τεκμηριώνει την ουσιαστική ισοδυναμία και, κατά συνέπεια, την κήρυξε άκυρη, με άμεση ισχύ (Burwell & Propp, 2020, σ. 14).
Η απόφαση του ΔΕΕ ανάγκασε την ΕΕ και τις ΗΠΑ να δημιουργήσουν νέο πλαίσιο για τη μεταφορά προσωπικών δεδομένων, το λεγόμενο Privacy Shield. Αυτό υποσχόταν πιο αυστηρούς κανόνες και έναν ειδικό «διαμεσολαβητή» στις ΗΠΑ για να εξετάζει καταγγελίες Ευρωπαίων πολιτών σχετικά με την παρακολούθηση (Propp, 2019, σ. 3). Οι ΗΠΑ έστειλαν επιστολές εξηγώντας πώς λειτουργεί η αμερικανική επιτήρηση και ποιοι περιορισμοί υπάρχουν, με την ΕΕ να κρίνει ότι το νέο πλαίσιο ήταν αρκετά ασφαλές ώστε να το χρησιμοποιήσουν οι εταιρείες (Propp, 2019, σ. 4). Μόλις τέθηκε σε ισχύ το Privacy Shield το 2016, αρκετοί ακτιβιστές ιδιωτικών δικαιωμάτων υπέβαλαν νέα αγωγή ενώπιον του Ευρωπαϊκού Δικαστηρίου, ισχυριζόμενοι ότι η Ευρωπαϊκή Επιτροπή είχε για άλλη μια φορά αποτύχει να περιορίσει τη «γενικευμένη» συλλογή πληροφοριών από τις ΗΠΑ ή να παρέχει αποτελεσματική αποκατάσταση στους Ευρωπαίους που τελούσαν υπό παρακολούθηση (Propp, 2019, σ. 4). Κατά τη διαδικασία αμφισβήτησης του νεοδιαμορφωμένου Privacy Shield, ο Maximilian Schrems ζήτησε από το ΔΕΕ να ακυρώσει έναν άλλο μηχανισμό διασφάλισης της προστασίας της ιδιωτικής ζωής, τις τυποποιημένες συμβατικές ρήτρες (Propp, 2019, σ. 4).
Αναλυτικότερα, μετά από μια μακροσκελή διαδικασία, το ΔΕΕ ακύρωσε το πλαίσιο Privacy Shield, διότι έκρινε ότι το νομικό πλαίσιο των ΗΠΑ δεν διασφάλιζε επίπεδο προστασίας ουσιωδώς ισοδύναμο με εκείνο που εγγυάται ο Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων (GDPR) και ο Χάρτης Θεμελιωδών Δικαιωμάτων της ΕΕ (Court of Justice of the European Union, 2020, σ. 2). Δύο ήταν οι κύριοι λόγοι ακύρωσης: η έλλειψη αναλογικότητας στην παρακολούθηση των ΗΠΑ και η απουσία αποτελεσματικής δικαστικής προστασίας και προσφυγής για τους πολίτες της ΕΕ (Court of Justice of the European Union, 2020, σ. 2).
Το Δικαστήριο έκρινε ότι τα προγράμματα εποπτείας των ΗΠΑ, τα οποία η Επιτροπή αξιολόγησε θετικά στην απόφασή της σχετικά με το Privacy Shield, δεν περιορίζονται σε ό,τι είναι απολύτως απαραίτητο και αναλογικό, όπως απαιτείται από το δίκαιο της ΕΕ, και ως εκ τούτου, δεν πληρούν τις απαιτήσεις του Αρ. 52 του Χάρτη των Θεμελιωδών Δικαιωμάτων της ΕΕ (Fennessy, 2020). Εν συνεχεία, το Δικαστήριο αποφάσισε ότι, όσον αφορά την επιτήρηση των ΗΠΑ, τα υποκείμενα των δεδομένων της ΕΕ δεν διαθέτουν αποτελεσματική δικαστική προστασία και, ως εκ τούτου, δεν έχουν δικαίωμα σε αποτελεσματική έννομη προστασία στις ΗΠΑ, όπως απαιτείται από το Αρ. 47 του Χάρτη των Θεμελιωδών Δικαιωμάτων της ΕΕ (Fennessy, 2020).
Σημαντικές παράμετροι εξέτασης αποτέλεσαν το Section 702 του FISA (US Foreign Intelligence Surveillance Act), το οποίο παρέχει τη βάση υποχρέωσης των παρόχων υπηρεσιών να συνδράμουν στην NSA και τη συλλογή πληροφοριών σχετικά με μη Αμερικανούς πολίτες που βρίσκονται εκτός ΗΠΑ (Propp, 2019, σ. 5), και το Executive Order 12333, διάταγμα που επιτρέπει τη συλλογή δεδομένων χωρίς δικαστική εποπτεία και χωρίς επαρκείς εγγυήσεις για μη Αμερικανούς πολίτες, καθώς και τη διενέργεια δραστηριοτήτων επιτήρησης από τις υπηρεσίες πληροφοριών εκτός των ΗΠΑ (Abnormal, 2023, σ. 8).
Σε μια εκ βαθέων εξέταση του FISA, παρατηρείται ότι ψηφίστηκε το 1978 για να ρυθμίζει ηλεκτρονικές παρακολουθήσεις για λόγους εθνικής ασφάλειας, απαιτώντας δικαστική άδεια για κάθε στόχο και έλεγχο από το ειδικό δικαστήριο FISC (Foreign Intelligence Surveillance Court). Το 2008 προστέθηκε το Άρθρο 702, που επιτρέπει ευκολότερη συλλογή πληροφοριών για ξένους εκτός ΗΠΑ χωρίς εξατομικευμένες δικαστικές εγκρίσεις, αλλά με έλεγχο γενικών διαδικασιών στόχευσης και περιορισμού (Linebaugh & Liu, 2020, σ. 8). Οι πάροχοι ηλεκτρονικών επικοινωνιών στις ΗΠΑ μπορούν να υποχρεωθούν να παραδίδουν δεδομένα, ακόμη κι όταν οι στόχοι βρίσκονται εκτός ΗΠΑ, όπως Ευρωπαίοι πολίτες. Το Άρθρο 702 χρησιμοποιείται σε προγράμματα όπως PRISM (downstream) και upstream συλλογή από τηλεπικοινωνιακά δίκτυα κορμού, κυρίως από την NSA (Linebaugh & Liu, 2020, σ. 9). Το ΔΕΕ έκρινε ότι οι Ευρωπαίοι δεν έχουν επαρκείς δικαστικές δυνατότητες προσφυγής, διότι δύσκολα ενημερώνονται αν παρακολουθούνται, αλλά και μηχανισμούς αμφισβήτησης. Παρότι το FISA έχει παρόμοιους περιορισμούς, εκεί απαιτείται εξατομικευμένη δικαστική εντολή, κάτι που λείπει από το Άρθρο 702, γεγονός που ανησύχησε ιδιαίτερα το Δικαστήριο (Rubinstein & Marguiles, 2022, σ. 64).
To E.O. 12333 ρυθμίζει τις δραστηριότητες των υπηρεσιών πληροφοριών των ΗΠΑ εκτός του πλαισίου του FISA. Το διάταγμα λειτουργεί συμπληρωματικά, επιτρέποντας στην NSA τη συλλογή, ανάλυση και επεξεργασία πληροφοριών από διεθνείς επικοινωνίες, ακόμη και μη φανερά, χωρίς τους περιορισμούς που ισχύουν εκτός των ΗΠΑ (Abnormal Security, 2023, σ. 8). Αν και υπάρχουν κάποιες προστασίες, αυτές ισχύουν κυρίως για Αμερικανούς πολίτες και όχι για αλλοδαπούς, ενώ το Ε.Ο. 12333 δεν δημιουργεί δικαιώματα που μπορούν να διεκδικήσουν νομικά οι μη Αμερικανοί. Τα παραπάνω αποτελούν βασικούς λόγους για τους οποίους το ΔΕΕ έκρινε ότι οι Ευρωπαίοι πολίτες δεν έχουν επαρκή δικαιώματα ή προστασίες και ότι η επιτήρηση δεν περιορίζεται στο απολύτως αναγκαίο επίπεδο (Linebaugh & Liu, 2020, σ. 10-11). Αν και ο πρώην Πρόεδρος των ΗΠΑ, Μπαράκ Ομπάμα, προχώρησε στην έκδοση της οδηγίας PPD-28 το 2014, μετά τις αποκαλύψεις του Έντουαρντ Σνοόουντεν για μαζικές (bulk) συλλογές δεδομένων από τις αμερικανικές υπηρεσίες πληροφοριών, ναι μεν υπήρχαν κάποιοι περιορισμοί στη χρήση των δεδομένων αυτών, όμως και πάλι το Διάταγμα 12333 άφηνε μεγάλο κενό προστασίας (Linebaugh & Liu, 2020, σ. 11). Η οδηγία αναγνώριζε ότι η μαζική συλλογή κάποιες φορές είναι απαραίτητη, με τα δεδομένα να μπορούν να αξιοποιηθούν μόνο για σοβαρές απειλές όπως τρομοκρατία, κυβερνοεπιθέσεις, κατασκοπεία, όπλα μαζικής καταστροφής και διεθνές οργανωμένο έγκλημα, ενώ απαιτούσε ειδικές διαδικασίες προστασίας προσωπικών δεδομένων, όπως περιορισμένη πρόσβαση μόνο σε εξουσιοδοτημένο προσωπικό και κανόνες διατήρησης αντίστοιχους με αυτούς που ισχύουν για Αμερικανούς πολίτες (The White House, 2014).
Ανεπαρκής κρίθηκε και ο μηχανισμός του Διαμεσολαβητή (Ombudsperson), ο οποίος βρισκόταν στο πλαίσιο του Privacy Shield, καθώς παρατηρήθηκε αρχικά έλλειψη ανεξαρτησίας, αφού υπαγόταν στο State Department και μπορούσε να απολυθεί από τον ΥΠΕΞ των ΗΠΑ (Court of Justice of the European Union, 2020, σ. 3). Επίσης τέθηκε ζήτημα αρμοδιότητας, διότι δεν διέθετε το δικαίωμα έκδοσης νομικά δεσμευτικών αποφάσεων για τον περιορισμό ή τη διόρθωση των ενεργειών των υπηρεσιών πληροφοριών των ΗΠΑ (Court of Justice of the European Union, 2020, σ. 3).
Το έτερο βασικό στάδιο προσφυγής από τον Max Schrems αφορούσε στις Τυποποιημένες Συμβατικές Ρήτρες (Standard Contractual Clauses – SCCs) και το ερώτημα του κατά πόσο ήταν έγκυρες στο πλαίσιο διαβιβάσεων προς τις ΗΠΑ. Οι SCCs διευκολύνουν τις διατλαντικές μεταφορές δεδομένων λειτουργώντας ως ένας νομικός μηχανισμός που δεσμεύει συμβατικά τον εισαγωγέα δεδομένων στις ΗΠΑ να τηρεί πρότυπα προστασίας «ουσιωδώς ισοδύναμα» με εκείνα που εγγυάται ο GDPR εντός της ΕΕ (InfoCuria, 2020). Τα συγκεκριμένα υποδείγματα συμβατικών όρων έχουν προεγκριθεί από την Ευρωπαϊκή Επιτροπή (European Commission/Law), επιτρέποντας σε εταιρείες εντός της ΕΕ να μεταφέρουν δεδομένα σε οργανισμούς των ΗΠΑ χωρίς την απαίτηση ειδικής άδειας από τις εποπτικές αρχές, με την προϋπόθεση οι συγκεκριμένες ρήτρες να ενσωματώνονται αυτούσιες στις συμβάσεις μεταξύ των ενδιαφερόμενων μερών (Linebaugh & Liu, 2020, σ. 2).
Το ΔΕΕ κατά την απόφασή του επικύρωσε τη νομική ισχύ των SCCs ως έγκυρο εργαλείο μεταφοράς δεδομένων (Fennessy, 2020), θεωρώντας ότι παρέχουν αποτελεσματικούς μηχανισμούς που επιτρέπουν, στην πράξη, τη διασφάλιση της συμμόρφωσης με το επίπεδο προστασίας που απαιτεί το δίκαιο της ΕΕ (Court of Justice of the European Union, 2021, σ. 3). Για την ενίσχυση της νομικής φύσης της μεταφοράς δεδομένων, οι SCCs επιβάλλουν πλέον στον εξαγωγέα την υποχρέωση να διενεργεί μια Εκτίμηση Αντίκτυπου Μεταφοράς (Transfer Impact Assessment – TIA) με τη διαδικασία να περιλαμβάνει ενδελεχή έλεγχο του δικαίου της τρίτης χώρας (EDPB, 2020, σ. 3) και συνεργασία εξαγωγέα δεδομένων και εισαγωγέα, με τον δεύτερο να οφείλει να παρέχει πληροφορίες για τα τοπικά νομικά καθεστώτα και την πρακτική του εμπειρία με κυβερνητικά αιτήματα πρόσβασης (Fennessy, 2020).
Σε περίπτωση μη επάρκειας των SCCs λόγω της αμερικανικής νομοθεσίας, οι εταιρείες μπορούν να υιοθετήσουν συμπληρωματικά μέτρα. Η πρώτη κατηγορία αυτών, είναι τα τεχνικά μέτρα στα οποία συμπεριλαμβάνονται η κρυπτογράφηση από άκρο σε άκρο, η ψευδωνυμοποίηση των δεδομένων και η κατακερματισμένη επεξεργασία (split processing), ώστε οι αρχές των ΗΠΑ να μην μπορούν να ταυτοποιήσουν τα υποκείμενα (EDPB, 2021, σ. 21-27). Η δεύτερη κατηγορία αφορά στα οργανωτικά μέτρα, όπως ορισμένες εσωτερικές πολιτικές για την αμφισβήτηση παράνομων κυβερνητικών αιτημάτων και αυστηρές εκπαιδεύσεις προσωπικού (EDPB, 2020, σ. 35).
Τέλος, οι συμβατικές ρήτρες παρέχουν στα υποκείμενα δικαίωμα αποζημίωσης, σε περίπτωση παραβίασης των όρων της σύμβασης αλλά και ένα πλαίσιο υποχρεωτικής ενημέρωσης (Fennessy, 2020). Ο εισαγωγέας είναι αναγκασμένος να πληροφορήσει τον εξαγωγέα εάν λάβει νομικά δεσμευτικό αίτημα πρόσβασης από δημόσια αρχή, επιτρέποντας στον δεύτερο να αναστείλει τη μεταφορά εάν η προστασία δεν είναι πλέον εξασφαλισμένη (Fennessy, 2020). Οι SCCs λειτουργούν ως μια «ψηφιακή σύμβαση εγγύησης» που «ταξιδεύει» μαζί με τα δεδομένα, διασφαλίζοντας ότι οι ευρωπαϊκοί κανόνες ιδιωτικότητας παραμένουν σε ισχύ ακόμα και όταν τα δεδομένα βρίσκονται υπό τη δικαιοδοσία των ΗΠΑ (EDPB, 2021, σ. 7).
Τα παραπάνω δημιούργησαν σε πρώτη φάση ένα περιβάλλον νομικής αβεβαιότητας για χιλιάδες επιχειρήσεις λόγω των κατά περίπτωση αξιολογήσεων (EDPB, 2021, σ. 3). Επίσης, οι εξαγωγές ψηφιακών υπηρεσιών των ΗΠΑ προς την Ευρώπη ανέρχονταν σε πάνω από 200 δισεκατομμύρια δολάρια το 2017 (Hamilton & Quinlan, 2019, σ. 25) και η απόφαση Schrems II θέτει σε κίνδυνο αυτό το πλεόνασμα, ενώ οι κατευθυντήριες γραμμές του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων (EDPB) μετά την απόφαση υποδηλώνουν ότι, με την τρέχουσα τεχνολογία, ορισμένες μεταφορές σε παρόχους cloud των ΗΠΑ μπορεί να είναι αδύνατες εάν ο πάροχος χρειάζεται πρόσβαση στα δεδομένα σε μη κρυπτογραφημένη μορφή (Linebaugh & Liu, 2020, σ. 7).
Σε πολιτικό επίπεδο, η απόφαση σηματοδότησε την τότε προσπάθεια της ΕΕ να μειώσει την εξάρτηση από τις ΗΠΑ και να θέτει με τη σειρά της κανόνες που αφορούν στον ψηφιακό χώρο (Burwell & Propp, 2020, σ. 2). Από την πλευρά τους, οι ΗΠΑ εξέφρασαν ανησυχίες ότι οι αυστηροί κανόνες της ΕΕ για τα δεδομένα θα μπορούσαν να εξελιχθούν σε μια μορφή ψηφιακού προστατευτισμού που στοχεύει τις μεγάλες αμερικανικές τεχνολογικές εταιρείες, με την Κίνα να προωθεί το δικό της μοντέλο ψηφιακής ρύθμισης και να επιδιώκει να αυξήσει την επιρροή της στην Ευρώπη τα τελευταία χρόνια (Burwell & Propp, 2020, σ. 2).
Συνοπτικά, η απόφαση Schrems II αποτέλεσε μια πρώτης τάξεως ευκαιρία ελέγχου του μέχρι τότε περιβάλλοντος μεταφοράς δεδομένων διατλαντικά. Παρατηρήθηκε η ευαλωτότητα των υποκειμένων εντός της ΕΕ, τα οποία όχι μόνο βρέθηκαν χωρίς προστασία στη μεταφορά των δεδομένων τους, αλλά και χωρίς τη δυνατότητα ενημέρωσης και δικαστικής προσφυγής. Η ακύρωση του Privacy Shield και η ενίσχυση των κανόνων που αφορούν τις Τυποποιημένες Συμβατικές Ρήτρες, με την κατά περίπτωση εξέταση, δημιούργησαν πιο σταθερό «έδαφος» σε ένα από τα πιο κρίσιμα ζητήματα της σύγχρονης ζωής. Μέσω των πρωτοβουλιών του Max Schrems, το ΔΕΕ διαμόρφωσε μια νέα πραγματικότητα, η οποία σχετίζεται άμεσα με τις επιδιώξεις της Ευρωπαϊκής Ένωσης για μεγαλύτερη ανεξαρτησία, ενισχυόμενες περαιτέρω μέσω των κανονισμών του GDPR.
Βιβλιογραφία
Επιστημονικά Άρθρα
Burwell, F. G., & Propp, K. (2020). The European Union and the Search for Digital Sovereignty: Building “Fortress Europe” or Preparing for a New World?. Atlantic Council. Διαθέσιμο σε: https://www.atlanticcouncil.org/wp-content/uploads/2020/06/The-European-Union-and-the-Search-for-Digital-Sovereignty-Building-Fortress-Europe-or-Preparing-for-a-New-World.pdf
Hamilton, D. S., & Quinlan, J. P. (2019). The Transatlantic Economy 2019: Annual Survey of Jobs, Trade and Investment between the United States and Europe. Foreign Policy Institute. Διαθέσιμο σε: https://transatlanticrelations.org/wp-content/uploads/2019/03/TE2019_FullStudy.pdf
Linebaugh, C. D., & Liu, E. C. (2021). EU Data Transfer Requirements and U.S. Intelligence Laws: Understanding Schrems II and Its Impact on the EU-U.S. Privacy Shield. U.S. Congress, Congressional Research Service. Διαθέσιμο σε: https://www.congress.gov/crs_external_products/R/PDF/R46724/R46724.2.pdf
Propp, K. (2019). US Surveillance on Trial in Europe: Will Transatlantic Digital Commerce be Collateral Damage? Atlantic Council. Διαθέσιμο σε: https://atlanticcouncil.org/wp-content/uploads/2019/09/US-Surveillance-on-Trial-in-Europe.pdf?_gl=1*6afsru*_gcl_au*MzM1NTM5NTEwLjE3NjkwMjA0Mjc
Propp, K. (2021). Transatlantic Data Transfers: The Slow-Motion Crisis. Council of Foreign Relations. Διαθέσιμο σε: https://www.cfr.org/reports/transatlantic-data-transfers
Rubinstein, I., & Margulies P. (2022). EU Privacy Law and U.S. Surveillance. Journal of International Relations and Sustainable Development. (20). Διαθέσιμο σε: https://www.cirsd.org/en/horizons/horizons-winter-issue-20/eu-privacy-law-and-us-surveillance
Πρωτογενείς Πηγές
Court of Justice of the European Union. (2020). Τhe Court of Justice invalidates Decision 2016/1250 on the adequacy of the protection provided by the EU-US Data Protection Shield. CJEU. Διαθέσιμο σε: https://curia.europa.eu/site/upload/docs/application/pdf/2020-07/cp200091en.pdf
European Commission. (2020). Data protection – standard contractual clauses for transferring personal data to non-EU countries (implementing act). Διαθέσιμο σε: https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12741-Data-protection-standard-contractual-clauses-for-transferring-personal-data-to-non-EU-countries-implementing-act-_en
European Data Protection Board (EDPB). (2020). Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data. Διαθέσιμο σε: https://www.edpb.europa.eu/sites/default/files/consultation/edpb_recommendations_202001_supplementarymeasurestransferstools_en.pdf
European Data Protection Board (EDPB). (2021). Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data Version 2.0. Διαθέσιμο σε: https://www.edpb.europa.eu/system/files/2021 06/edpb_recommendations_202001vo.2.0_supplementarymeasurestransferstools_en.pdf
InfoCuria. (2020). Προδικαστική παραπομπή – Προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Διαθέσιμο σε: https://infocuria.curia.europa.eu/tabs/affair?sort=AFF_NUM-DESC&searchTerm=%22C-311%2F18%22
The White House. (2014). Presidential Policy Directive – Signals Intelligence Activities. Office of the Press Secretary. Διαθέσιμο σε: https://obamawhitehouse.archives.gov/the-press-office/2014/01/17/presidential-policy-directive-signals-intelligence-activities
Διαδικτυακές Πηγές & Άρθρα
Cookiebot. (2024). Schrems II and beyond: EU-US International Data Transfers. Διαθέσιμο σε: https://www.cookiebot.com/en/schrems-ii-privacy-shield/
Fennessy, C. (2020). The Schrems II decision: EU-US data transfers in question. IAPP. Διαθέσιμο σε: https://iapp.org/news/a/the-schrems-ii-decision-eu-us-data-transfers-in-question
Λοιπά Άρθρα
Abnormal Security. (2023). Transfer Impact Assessment (TIA) and Transfer Risk Assessment (TRA). Abnormal. Διαθέσιμο σε: https://files.abnormalsecurity.com/production/files/AS_Transfer-Impact-Assessment_V1.1.pdf
Πηγή Εικόνας
Norton Rose Fulbright. (2020). Schrems II landmark ruling: A detailed analysis. Διαθέσιμο σε: https://www.nortonrosefulbright.com/en/knowledge/publications/ad5f304c/schrems-ii-landmark-ruling-a-detailed-analysis