logo-print

GDPR: Νέα διμηνιαία ενημέρωση από τις εποπτικές αρχές στην Ευρωπαϊκή Επιτροπή για την παρακολούθηση της εφαρμογής από τα κράτη μέλη

Μετά από καταγγελία για τους χειρισμούς της Ιρλανδικής Αρχής και παρέμβαση της Ευρωπαίας Διαμεσολαβήτριας, η Κομισιόν αναθεωρεί την άποψή της ως προς την πληρότητα των συλλεγομένων πληροφοριών και τροποποιεί τη διαδικασία ενημέρωσής της

01/02/2023

03/04/2023

Στις 13 Σεπτεμβρίου 2021, η ιρλανδική οργάνωση «Ιρλανδικό Συμβούλιο για τις Πολιτικές Ελευθερίες» (Irish Council for Civil Liberties - ICCL) απευθύνθηκε στον Ευρωπαίο Επίτροπο για τη Δικαιοσύνη Ντιντιέ Ρεντέρς (Didier Reynders) καταγγέλλοντας την αποτυχία της εφαρμογής του Γενικού Κανονισμού Προστασίας Δεδομένων. Όπως αναφέρεται στην αρχική απάντηση του Επιτρόπου, το ICCL «υποστήριξε ιδίως ότι οι πόροι των αρχών προστασίας δεδομένων μειώνονται, ότι η ιρλανδική αρχή προστασίας δεδομένων δεν εφάρμοζε σωστά τον ΓΚΠΔ κατά των μεγάλων επιχειρήσεων τεχνολογίας και ζήτησε από την Επιτροπή να κινήσει διαδικασία επί παραβάσει κατά της Ιρλανδίας».

Μετά την από 1 Δεκεμβρίου 2021 απάντηση του Επιτρόπου Ρεντέρς, σχετικά με τον τρόπο με τον οποίο η Επιτροπή παρακολουθεί την εφαρμογή του ΓΚΠΔ από τα κράτη μέλη, το ICCL απηύθυνε στις 14 Δεκεμβρίου νέα επιστολή θέτοντας το ειδικότερο ζήτημα του τρόπου με τον οποίο ενημερώνεται η Επιτροπή και συγκεκριμένα της ανεπάρκειας των στοιχείων που παράγονται από το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (ΕΣΠΔ).

Ο Επίτροπος Ρεντέρς απάντησε στη δεύτερη αυτή επιστολή, «εξηγώντας ιδίως ότι τα στατιστικά στοιχεία από το μητρώο υποθέσεων του ΕΣΠΔ πρέπει να ερμηνεύονται σωστά, επισημαίνοντας τις εν εξελίξει εργασίες του ΕΣΠΔ και των αρχών προστασίας δεδομένων σχετικά με τα εν λόγω στατιστικά στοιχεία και αναφερόμενος στις διάφορες πηγές πληροφοριών που χρησιμοποιεί η Επιτροπή για την παρακολούθηση της εφαρμογής του ΓΚΠΔ».

Λίγο μετά την απάντηση αυτή, η Πρόεδρος της Ευρωπαϊκής Επιτροπής έλαβε την από 10 Φεβρουαρίου 2022 παρέμβαση της Ευρωπαίας Διαμεσολαβήτριας Έμιλυ Ο’Ράιλυ (Emily O'Reilly), με την οποία ζητείτο από την Επιτροπή να παράσχει πλήρη ενημέρωση σχετικά με τις πληροφορίες που έχει συλλέξει προς τον σκοπό του ελέγχου εφαρμογής του ΓΚΠΔ από την Ιρλανδική Αρχή Προστασίας Δεδομένων.

Όπως χαρακτηριστικά αναφερόταν:

«Έχω λάβει καταγγελία κατά της Ευρωπαϊκής Επιτροπής από το Ιρλανδικό Συμβούλιο για τις Πολιτικές Ελευθερίες (ICCL) και αποφάσισα να ξεκινήσω έρευνα.

Η καταγγέλλουσα εκφράζει την ανησυχία της ότι η Επιτροπή έχει δεν έχει συγκεντρώσει επαρκείς πληροφορίες για να παρακολουθεί την εφαρμογή του Γενικού Κανονισμού Προστασίας Δεδομένων στην Ιρλανδία. Αυτό είναι το αντικείμενο της παρούσας έρευνας, ειδικότερα, κατά πόσον η Επιτροπή έχει λάβει επαρκή μέτρα για να συλλέξει επαρκείς πληροφορίες σχετικά με τα πραγματικά περιστατικά. […] Η καταγγέλλουσα ανησυχεί επίσης, γενικότερα, ότι η Ευρωπαϊκή Επιτροπή δεν κάνει αρκετά για να διασφαλίσει την εφαρμογή του ΓΚΠΔ. Ο προβληματισμός αυτός δεν μπορεί να εξεταστεί. Ενημέρωσα την καταγγέλλουσα ότι η Επιτροπή διαθέτει ευρεία διακριτική ευχέρεια στο να αποφασίζει αν και πότε θα κινήσει διαδικασία επί παραβάσει. Όσον αφορά την ουσία μιας καταγγελίας για παράβαση, η Διαμεσολαβήτρια μπορεί να παρέμβει (ζητώντας από τον Επιτροπή να επανεξετάσει την καταγγελία) μόνο στην περίπτωση που υπάρχει ένδειξη ότι η Επιτροπή έκανε προφανές λάθος στην παρουσίαση των πραγματικών περιστατικών ή των διατάξεων του νόμου.

Ερευνώ τη συγκεκριμένη ανησυχία της καταγγέλλουσας για τους ακόλουθους λόγους: είναι βέβαιο ότι θα δημιουργηθούν ερωτήματα στους πολίτες εάν κυκλοφορούν διαφορετικές αναφορές σχετικά με την εφαρμογή αυτής της σημαντικής νομοθεσίας.

Δημόσιοι φορείς, μαζί με οργανώσεις της κοινωνίας των πολιτών, αναφέρουν ότι η εφαρμογή του ΓΚΠΔ στην Ιρλανδία είναι ανεπαρκής, ενώ η πρόσφατη απάντηση της Επιτροπής στον καταγγέλλοντα στην παρούσα υπόθεση φαίνεται να υποδηλώνει ότι δεν υπάρχουν αποδείξεις για κάτι τέτοιο.

Ως εκ τούτου, θεωρώ σκόπιμο να ζητήσω από την Επιτροπή να παράσχει λεπτομερή και ολοκληρωμένο απολογισμό των πληροφοριών που έχει μέχρι στιγμής συλλέξει για να ενημερωθεί σχετικά με το κατά πόσον ο ΓΚΠΔ εφαρμόζεται από κάθε άποψη στην Ιρλανδία.

Θα ήμουν ευγνώμων εάν, κατά την παροχή ενός τέτοιου απολογισμού, η Επιτροπή θα μπορούσε επίσης να εξετάσει τα συγκεκριμένα σημεία που έθεσε η καταγγέλλουσα σχετικά με το θέμα της συλλογής πληροφοριών. Θα ήταν χρήσιμο αν η Επιτροπή μπορούσε συμπεριλάβει εξηγήσεις για το πώς και από ποιες πηγές συλλέγει τις πληροφορίες

Μετά την παρέμβαση της Ευρωπαίας Διαμεσολαβήτριας και σύμφωνα με την εισήγησή της, ο Επίτροπος Ρεντέρς απάντησε εκ νέου στο ICCL, αναλύοντας εκτενέστερα τον τρόπο ενημέρωσης της Ευρωπαϊκής Επιτροπής για τον τρόπο εφαρμογής του ΓΚΠΔ από τα κράτη μέλη. Σύμφωνα με την απάντησή του:

«Η Επιτροπή αποδίδει ιδιαίτερη σημασία στην ορθή εφαρμογή του Γενικού Κανονισμού Προστασίας Δεδομένων σε όλα τα κράτη μέλη της ΕΕ, συμπεριλαμβανομένης της Ιρλανδίας. Στο πλαίσιο αυτό, η Επιτροπή θεωρεί αβάσιμη την ανησυχία της καταγγέλλουσας ότι η Επιτροπή δεν συλλέγει επαρκείς πληροφορίες για την παρακολούθηση της εφαρμογής του ΓΚΠΔ, ιδίως στην Ιρλανδία.».

Η επιστολή κατέληγε ότι «Η Επιτροπή θεωρεί ότι συγκεντρώνει τις απαραίτητες πληροφορίες για την ορθή παρακολούθηση της εφαρμογής από τα κράτη μέλη, συμπεριλαμβανομένης της Ιρλανδίας, των υποχρεώσεών τους βάσει του ΓΚΠΔ. Εάν καταλήξουμε στο συμπέρασμα ότι ορισμένα κράτη μέλη δεν εφαρμόζουν σωστά τις εν λόγω υποχρεώσεις, θα λάβουμε όλα τα αναγκαία μέτρα, μεταξύ άλλων με την κίνηση διαδικασιών επί παραβάσει, όπως έχουμε ήδη κάνει τα τελευταία χρόνια.»

Η απάντηση του Επιτρόπου φαίνεται πως δεν ικανοποίησε την Ευρωπαία Διαμεσολαβήτρια, η οποία, σύμφωνα με το ICCL, επέμεινε στην ανάγκη αυστηρότερης εποπτείας των διασυνοριακών υποθέσεων του big tech. Η εισήγησή της αυτή φαίνεται πως ανάγκασε την Επιτροπή σε αναθεώρηση της προσέγγισής της, αφενός ως προς την πληρότητα των πληροφοριών που συλλέγει και εξετάζει, αφετέρου ως προς τη διαδικασία που πρέπει να ακολουθείται για τη συλλογή αυτή.

 

Σύμφωνα με τη νεότερη απάντηση του Επιτρόπου, η οποία δημοσιοποιήθηκε πριν από λίγες ημέρες:

«Η Επιτροπή λαμβάνει υπόψη της τις λεπτομερείς προτάσεις της Διαμεσολαβήτριας και θα τις εφαρμόσει πλήρως, ως εξής:

1) Η Επιτροπή θα ζητήσει από όλες τις εθνικές εποπτικές αρχές προστασίας δεδομένων να μοιράζονται με την Επιτροπή, ανά δίμηνο και σε αυστηρά εμπιστευτική βάση, μια επισκόπηση των διασυνοριακών ερευνών μεγάλης κλίμακας στο πλαίσιο του ΓΚΠΔ με πληροφορίες σχετικά με τα εξής προκαθορισμένα πεδία:

- Αριθμός υπόθεσης.

- Εμπλεκόμενος υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία

- Τύπος έρευνας (αυτεπάγγελτη ή βάσει καταγγελίας)

- Σύνοψη του πεδίου της έρευνας (συμπεριλαμβανομένων των διατάξεων του ΓΚΠΔ που εμπλέκονται)

- Ενδιαφερόμενες Εποπτικές Αρχές

- Βασικά διαδικαστικά στάδια και ημερομηνίες

- Ερευνητικά ή άλλα μέτρα που ελήφθησαν και ημερομηνίες

2) Η Επιτροπή, στη δεύτερη έκθεσή της σχετικά με την εφαρμογή του ΓΚΠΔ, θα παράσχει απολογισμό της πρακτικής της να λαμβάνει τις πληροφορίες αυτές από τις εθνικές εποπτικές αρχές δεδομένων προστασίας δεδομένων, αναφέροντας τα συγκεκριμένα είδη δεδομένων που έλαβε».