Απαιτείται νομική βάση και ενημέρωση για τη διαβίβαση δεδομένων σε εκτελούντα την επεξεργασία σε τρίτη χώρα;

1. Απαιτεί η διαβίβαση δεδομένων προσωπικού χαρακτήρα από έναν υπεύθυνο επεξεργασίας σε έναν εκτελούντα την επεξεργασία αυτοτελή νομική βάση σύμφωνα με το άρθρο 6 παράγραφος 1 του Γενικού Κανονισμού Προστασίας Δεδομένων;

2. Σε περίπτωση αρνητικής απάντησης στο πρώτο ερώτημα:

Προϋποθέτει η συγκατάθεση, η οποία έχει παρασχεθεί «εν πλήρει επιγνώσει» κατά την έννοια του άρθρου 4 σημείο 11 ΓΚΠΔ, σύμφωνα με το άρθρο 6 παράγραφος 1 στοιχείο α ́ ΓΚΠΔ για τη λήψη ενημερωτικού δελτίου (newsletter), ότι το υποκείμενο των δεδομένων γνωρίζει, πριν παράσχει τη συγκατάθεσή του, ότι ο υπεύθυνος επεξεργασίας προτίθεται να χρησιμοποιήσει, για τη συγκεκριμένη επεξεργασία δεδομένων (την αποστολή ενημερωτικού δελτίου), εκτελούντα την επεξεργασία κατά την έννοια του άρθρου 4 σημείο 8 ΓΚΠΔ εγκατεστημένο σε τρίτη χώρα;

Αυτά τα δύο ερωτήματα αποφάσισε το Ανώτατο Δικαστήριο της Αυστρίας OGH να αποστείλει προς το Δικαστήριο της Ευρωπαϊκής Ένωσης υπό μορφή αίτησης για προδικαστική απόφαση, αναμένοντας την απάντηση του ΔΕΕ, προκειμένου να συνεχίσει την εξέταση της υπόθεσης που ήχθη ενώπιόν του.

Το ιστορικό

Ο ενάγων ήταν πελάτης της εναγόμενης εταιρείας, από την οποία αγόρασε το 2020 μία συσκευή «hardware wallet» για τη φύλαξη κρυπτοστοιχείων, καθώς και λογισμικό που παρείχε η ίδια η εταιρεία για τη διαχείριση των συγκεκριμένων κρυπτοστοιχείων.

Για τη διαχείριση και αποστολή ενημερωτικών δελτίων (newsletters) προς τους πελάτες της, η εταιρεία χρησιμοποιούσε αμερικανική εταιρεία ως εκτελούσα την επεξεργασία. Η αμερικανική εταιρεία είχε αναλάβει συμβατικά, μέσω τυποποιημένων συμβατικών ρητρών, την υποχρέωση τήρησης κατάλληλων εγγυήσεων για τη διαβίβαση δεδομένων σε τρίτη χώρα.

Στις 5 Απριλίου 2021 ο ενάγων έλαβε μήνυμα ηλεκτρονικού ταχυδρομείου με σκοπό την επιβεβαίωση της εγγραφής του στο newsletter της εταιρείας. Στο τέλος του μηνύματος υπήρχε, με μικρά γράμματα, η ακόλουθη ενημέρωση στα αγγλικά: «We use ... as our marketing automation platform. By confirming your subscription to T* News, you acknowledge that the information you provide will be transferred to ... for processing in accordance with their Privacy Policy and Terms.»

Σύμφωνα με τα πραγματικά περιστατικά που έγιναν δεκτά στην υπόθεση, ο ενάγων δεν διάβασε το κείμενο που βρισκόταν με μικρά γράμματα στο τέλος του μηνύματος ηλεκτρονικού ταχυδρομείου, αλλά επέλεξε απλώς τον σύνδεσμο «Yes, subscribe me to this list». Κατά τις ίδιες παραδοχές, ο ενάγων δεν γνώριζε ότι η διεύθυνση ηλεκτρονικού ταχυδρομείου του επρόκειτο να διαβιβαστεί σε διακομιστές στις Ηνωμένες Πολιτείες για σκοπούς αποθήκευσης και επεξεργασίας, κάτι που αν ήταν σε γνώση του θα είχε αποφύγει την παροχή συγκατάθεσης στην επεξεργασία των δεδομένων του με σκοπό τη λήψη του newsletter. Παράλληλα, τα δικαστήρια της ουσίας είχαν ήδη δεχθεί ότι τα newsletters δεν ήταν αναγκαία για την ενημέρωσή του σχετικά με αναβαθμίσεις του λογισμικού.

Στις 26 Μαρτίου 2022 σημειώθηκε επίθεση phishing κατά 319 λογαριασμών της αμερικανικής εταιρείας. Κατά την επίθεση αυτή διέρρευσαν, μεταξύ άλλων, η διεύθυνση ηλεκτρονικού ταχυδρομείου και η διεύθυνση IP του ενάγοντος, οι οποίες ήταν αποθηκευμένες στους διακομιστές της αμερικανικής εταιρείας.

Λίγες ημέρες αργότερα, στις 3 Απριλίου 2022, ο ενάγων έλαβε μήνυμα ηλεκτρονικού ταχυδρομείου phishing, μέσω του οποίου αυτός παραπλανήθηκε ώστε να κατεβάσει μία δήθεν ενημέρωση («update») και να εισαγάγει τον λεγόμενο «RecoverySeed», δηλαδή έναν κωδικό που επιτρέπει την πρόσβαση στα κρυπτονομίσματα που είναι συνδεδεμένα με το συγκεκριμένο wallet. Μετά την εισαγωγή του κωδικού, τα κρυπτοστοιχεία του μεταφέρθηκαν χωρίς δική του ενέργεια σε ψηφιακά πορτοφόλια αγνώστων προσώπων.

Με βάση τα περιστατικά αυτά, ο ενάγων άσκησε αγωγή αποζημίωσης κατά της εταιρείας, υποστηρίζοντας ότι η διεύθυνση ηλεκτρονικού ταχυδρομείου του διαβιβάστηκε χωρίς νόμιμη βάση στην αμερικανική εκτελούσα την επεξεργασία και ότι η συγκεκριμένη διαβίβαση αποτέλεσε την αφετηρία της αλυσίδας γεγονότων που οδήγησε τελικά στην απώλεια των κρυπτοστοιχείων του.

Η αγωγή και οι αποφάσεις των δικαστηρίων

Ο ενάγων ζήτησε να υποχρεωθεί η εναγόμενη εταιρεία να μεταφέρει σε διευθύνσεις ψηφιακών πορτοφολιών που ο ίδιος θα υποδείκνυε συγκεκριμένη ποσότητα Bitcoin (BTC) και Ethereum (ETH). Υποστήριξε ότι η εταιρεία ευθυνόταν για την απώλεια των κρυπτοστοιχείων του, επειδή δεν είχε συναινέσει έγκυρα στη διαβίβαση της διεύθυνσης ηλεκτρονικού ταχυδρομείου του σε αμερικανική εταιρεία που χρησιμοποιούνταν για την αποστολή newsletters. Κατά τον ίδιο, η σχετική ενημέρωση ήταν ανεπαρκής, καθώς βρισκόταν με μικρά γράμματα στο υποσέλιδο του μηνύματος, ήταν διατυπωμένη στα αγγλικά και δεν παρείχε σαφή ενημέρωση για διαβίβαση δεδομένων σε τρίτη χώρα ούτε χωριστή δυνατότητα συγκατάθεσης. Η εναγόμενη αρνήθηκε κάθε παράβαση του ΓΚΠΔ, υποστηρίζοντας ότι η επεξεργασία ήταν νόμιμη και ότι ο πελάτης είχε συναινέσει στη λήψη του newsletter.

Το πρωτοβάθμιο δικαστήριο έκανε εν μέρει δεκτή την αγωγή. Έκρινε ότι η εταιρεία υπείχε ευθύνη αποζημίωσης βάσει του άρθρου 82 παρ. 1 ΓΚΠΔ, επειδή η διαβίβαση της διεύθυνσης ηλεκτρονικού ταχυδρομείου του ενάγοντος στην αμερικανική εκτελούσα την επεξεργασία ήταν παράνομη, αφού δεν συνέτρεχαν οι προϋποθέσεις των νομικών βάσεων του άρθρου 6 παρ. 1 στοιχεία α’, β’ και στ’ ΓΚΠΔ. Παράλληλα, καταλόγισε στον ενάγοντα συντρέχον πταίσμα σε ποσοστό 50%.

Το εφετείο ακύρωσε την πρωτόδικη απόφαση και ανέπεμψε την υπόθεση για περαιτέρω διερεύνηση. Αν και συμφώνησε ότι οι νομικές βάσεις του άρθρου 6 παρ. 1 ΓΚΠΔ που επικαλέστηκε η εταιρεία δεν πληρούνταν, έκρινε ότι η διαβίβαση δεδομένων σε εκτελούντα την επεξεργασία δεν προϋποθέτει κατ’ ανάγκη αυτοτελή νομική βάση του άρθρου 6, αλλά πρέπει να αξιολογηθεί υπό το πρίσμα των διατάξεων του ΓΚΠΔ για τις διαβιβάσεις δεδομένων σε τρίτες χώρες. Κρίνοντας ότι το ζήτημα αυτό εγείρει κρίσιμο ερμηνευτικό ερώτημα του ενωσιακού δικαίου, επέτρεψε την άσκηση προσφυγής ενώπιον του Ανωτάτου Δικαστηρίου κατά της ακυρωτικής του απόφασης. Κατά την εξέταση της προσφυγής του ενάγοντος, το Ανώτατο Δικαστήριο υπέβαλε τελικά τα σχετικά προδικαστικά ερωτήματα στο Δικαστήριο της Ευρωπαϊκής Ένωσης.

Οι ερμηνευτικές αμφιβολίες του αιτούντος δικαστηρίου

Το Ανώτατο Δικαστήριο επεσήμανε ότι δεν υπάρχει αμφιβολία πως η διαβίβαση της διεύθυνσης ηλεκτρονικού ταχυδρομείου του ενάγοντος από την εταιρεία προς την αμερικανική εκτελούσα την επεξεργασία εμπίπτει στους κανόνες του ΓΚΠΔ για τις διαβιβάσεις δεδομένων σε τρίτες χώρες. Ωστόσο, θεωρεί ότι παραμένει ασαφές αν μια τέτοια διαβίβαση απαιτεί επιπλέον και αυτοτελή νομική βάση κατά το άρθρο 6 παρ. 1 ΓΚΠΔ ή αν αρκεί η συμμόρφωση με τις ειδικές διατάξεις των άρθρων 44 επ. για τις διαβιβάσεις σε τρίτες χώρες.

Στο πλαίσιο αυτό, το δικαστήριο αναγνώρισε ότι στη θεωρία επικρατεί η άποψη πως η ανάθεση επεξεργασίας σε εκτελούντα την επεξεργασία ρυθμίζεται εξαντλητικά από το άρθρο 28 ΓΚΠΔ και, κατά περίπτωση, από τους κανόνες για τις διαβιβάσεις σε τρίτες χώρες, χωρίς να απαιτείται ξεχωριστή νομική βάση του άρθρου 6. Ως επιχειρήματα προβάλλονται, μεταξύ άλλων, ότι ο εκτελών την επεξεργασία δεν θεωρείται «τρίτος», ότι ενεργεί υπό τις οδηγίες του υπευθύνου επεξεργασίας και ότι η επεξεργασία μέσω εκτελούντος αποτελεί μέρος της ίδιας επεξεργασίας. Παράλληλα όμως καταγράφεται και αντίθετη επιστημονική άποψη, σύμφωνα με την οποία η διαβίβαση δεδομένων σε εκτελούντα την επεξεργασία συνιστά αυτοτελή πράξη επεξεργασίας που απαιτεί νομιμοποιητική βάση κατά το άρθρο 6 ΓΚΠΔ.

Το OGH παρατήρησε ότι δεν υπάρχει μέχρι σήμερα σαφής απάντηση του Δικαστηρίου της Ευρωπαϊκής Ένωσης στο συγκεκριμένο ζήτημα. Αν και θεωρεί ότι οι κατευθυντήριες γραμμές του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων συνηγορούν υπέρ της πρώτης προσέγγισης, κρίνει ότι η ερμηνεία του ενωσιακού δικαίου δεν είναι προφανής. Η απάντηση είναι κρίσιμη για την επίλυση της διαφοράς, διότι τόσο το πρωτοβάθμιο όσο και το εφετειακό δικαστήριο είχαν δεχθεί ότι οι νομικές βάσεις του άρθρου 6 παρ. 1 στοιχεία α ́, β ́ και στ ́ ΓΚΠΔ δεν συνέτρεχαν στην υπό κρίση περίπτωση.

Το δεύτερο προδικαστικό ερώτημα αφορά την έννοια της συγκατάθεσης που παρέχεται «εν πλήρει επιγνώσει» κατά το άρθρο 4 σημείο 11 ΓΚΠΔ. Το Ανώτατο Δικαστήριο επισημαίνει ότι η νομολογία του ΔΕΕ απαιτεί το υποκείμενο των δεδομένων να λαμβάνει επαρκή ενημέρωση ώστε να μπορεί να κατανοήσει τις συνέπειες της συγκατάθεσής του. Ωστόσο, παρατηρεί ότι ούτε ο ΓΚΠΔ, ούτε οι σχετικές κατευθυντήριες γραμμές του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων απαντούν με σαφήνεια αν, για να είναι έγκυρη η συγκατάθεση για τη λήψη newsletter, το υποκείμενο πρέπει να γνωρίζει εκ των προτέρων ότι ο υπεύθυνος επεξεργασίας θα χρησιμοποιήσει εκτελούντα την επεξεργασία εγκατεστημένο σε τρίτη χώρα. Επειδή από τα πραγματικά περιστατικά της υπόθεσης δεν προκύπτει ότι ο ενάγων είχε λάβει τέτοια ενημέρωση, το ζήτημα κρίθηκε επίσης αναγκαίο για την επίλυση της διαφοράς.