Διαβιβάσεις που υπόκεινται σε κατάλληλες εγγυήσεις: Κατευθυντήριες Γραμμές για τις διαβιβάσεις δεδομένων του άρθρου 37 της Αστυνομικής Οδηγίας 2016/680 από το ΕΣΠΔ
Το άρθρο 37 έχει ενσωματωθεί στην εθνική έννομη τάξη με το άρθρο 76 του νόμου 4624/2019
ΕΜΠΟΡΙΚΟ ΔΙΚΑΙΟ / ΔΙΚΑΙΟ ΒΙΟΜΗΧΑΝΙΚΉΣ ΚΑΙ ΠΝΕΥΜΑΤΙΚΉΣ ΙΔΙΟΚΤΗΣΙΑΣ ΝΕΕΣ ΤΕΧΝΟΛΟΓΙΕΣ & ΔΙΚΑΙΟ ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ / ΕΙΔΙΚΟ ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ / ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ
ΙΩΑΝΝΗΣ ΙΓΓΛΕΖΑΚΗΣ
Σε δημόσια διαβούλευση έθεσε το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων τις πρώτες Κατευθυντήριες Γραμμές του 2023. Πρόκειται για τις Κατευθυντήριες 1/2023 σχετικά με το άρθρο 37 της Οδηγίας 2016/680, γνωστής και ως «Αστυνομικής Οδηγίας».
Το άρθρο 37 της Οδηγίας έχει ενσωματωθεί στο εθνικό δίκαιο με το άρθρο 76 Ν.4624/2019, σύμφωνα με το οποίο:
Άρθρο 76
Διαβιβάσεις που υπόκεινται σε κατάλληλες εγγυήσεις
1. Ελλείψει απόφασης περί εξασφάλισης επαρκούς επιπέδου προστασίας σύμφωνα με την παράγραφο 1 εδάφιο β του προηγούμενου άρθρου, η διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα ή διεθνή οργανισμό μπορεί να πραγματοποιηθεί εφόσον: α) παρασχέθηκαν σε νομικά δεσμευτική πράξη κατάλληλες εγγυήσεις όσον αφορά την προστασία δεδομένων προσωπικού χαρακτήρα, ή β) ο υπεύθυνος επεξεργασίας αξιολόγησε τις συνθήκες της διαβίβασης δεδομένων προσωπικού χαρακτήρα και έκρινε ότι υπάρχουν κατάλληλες εγγυήσεις όσον αφορά την προστασία τους.
2. Ο υπεύθυνος επεξεργασίας καταχωρίζει τις διαβιβάσεις σύμφωνα με την περίπτωση β της παραγράφου 1. Η καταχώριση περιλαμβάνει την ημερομηνία και την ώρα της διαβίβασης, την ταυτότητα του αποδέκτη, τον λόγο της διαβίβασης και τα διαβιβαζόμενα δεδομένα προσωπικού χαρακτήρα. Η ανωτέρω καταχώριση τίθεται στη διάθεση της Αρχής κατόπιν αιτήματός της.
Σύμφωνα με την εισαγωγή των Κατευθυντηρίων:
Οι παρούσες κατευθυντήριες γραμμές παρέχουν καθοδήγηση σχετικά με την εφαρμογή του άρθρου 37 της Οδηγίας 2016/680 (LED), ιδίως σχετικά με το νομικό κανόνα για τις κατάλληλες εγγυήσεις που πρέπει να εφαρμόζονται από τις αρμόδιες αρχές σύμφωνα με το άρθρο 37 παρ.1α και β LED και, κατά συνέπεια, σχετικά με τους σχετικούς παράγοντες για την αξιολόγηση της ύπαρξης τέτοιων εγγυήσεων. Συνεπώς, οι παρούσες κατευθυντήριες γραμμές περιλαμβάνουν μια ένδειξη σχετικά με τις προσδοκίες του ΕΣΠΔ από τα κράτη μέλη, ως διαπραγματευόμενα μέρη, όταν σκοπεύουν να συνάψουν ή να τροποποιήσουν μια νομικά δεσμευτική πράξη μεταξύ του ενδιαφερόμενου κράτους μέλους και μιας τρίτης χώρας ή ενός διεθνούς οργανισμού σύμφωνα με το άρθρο 37 παράγραφος 1 στοιχείο α) της LED.
Το ΕΣΠΔ σημειώνει ότι το άρθρο 35 παρ.3 της οδηγίας LED εφαρμόζεται στις διαβιβάσεις που πραγματοποιούνται βάσει του άρθρου 37 της οδηγίας. Συνεπώς, το άρθρο 37 θα πρέπει να εφαρμόζεται υπό το πρίσμα της αρχής ότι το επίπεδο προστασίας των δεδομένων που ισχύει στην Ευρωπαϊκή Ένωση δεν πρέπει να υπονομεύεται από τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε άλλη δικαιοδοσία. Το ΕΣΠΔ καταλήγει στο συμπέρασμα ότι το άρθρο 37 απαιτεί ουσιαστικά ισοδύναμο επίπεδο προστασίας των δεδομένων στην αποδέκτρια τρίτη χώρα ή διεθνή οργανισμό. Ωστόσο, η απαίτηση αυτή αφορά τη συγκεκριμένη διαβίβαση δεδομένων ή την κατηγορία διαβιβάσεων που εξετάζεται. Σύμφωνα με το άρθρο 37, η ουσιαστική ισοδυναμία με την προστασία που εγγυάται η LED θα πρέπει να εξασφαλίζεται για τη συγκεκριμένη περίπτωση και όχι κατ' ανάγκη όσον αφορά το σύνολο της ισχύουσας νομοθεσίας στην τρίτη χώρα ή τον διεθνή οργανισμό.
Το ΕΣΠΔ έχει ήδη εκδώσει συστάσεις σχετικά με την αναφορά της επάρκειας στο πλαίσιο της LED, οι οποίες αφορούν τις αρχές προστασίας των δεδομένων που πρέπει να υπάρχουν για να διασφαλιστεί η ουσιαστική ισοδυναμία με το πλαίσιο της ΕΕ στο πεδίο εφαρμογής της LED. Το ΕΣΠΔ θεωρεί ότι οι αρχές και οι εγγυήσεις που περιγράφονται στις εν λόγω συστάσεις εφαρμόζονται επί της ουσίας στο πλαίσιο του άρθρου 37 της LED, δηλαδή όσον αφορά τη συγκεκριμένη διαβίβαση ή κατηγορία διαβιβάσεων.
Μια νομικά δεσμευτική πράξη κατά την έννοια του άρθρου 37 παρ.1α LED πρέπει να συναφθεί από την οντότητα που είναι εξουσιοδοτημένη να αναλάβει υποχρεώσεις όσον αφορά τις διασφαλίσεις που προβλέπονται στην πράξη. Η διεθνής συμφωνία θα πρέπει συνεπώς να έχει ισχύ νόμου. Η εν λόγω νομικά δεσμευτική πράξη μπορεί να εκτελεστεί από τα μέρη και από τα υποκείμενα των δεδομένων των οποίων η επεξεργασία δεδομένων προσωπικού χαρακτήρα διέπεται από τη συμφωνία. Η νομικά δεσμευτική πράξη θα πρέπει να περιέχει όλους τους σχετικούς κανόνες που επιτρέπουν την αντιμετώπιση τυχόν ελλείψεων ή περιορισμών της νομοθεσίας της τρίτης χώρας ή του διεθνούς οργανισμού όσον αφορά την προστασία των δεδομένων, με τον καθορισμό ενός πλαισίου κατάλληλων εγγυήσεων που παρέχουν ουσιαστικά ισοδύναμο επίπεδο προστασίας των δεδομένων.
Το ΕΣΠΔ θεωρεί ότι η χρήση νομικά δεσμευτικής πράξης που ρυθμίζει τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα μεταξύ των μερών θα πρέπει, ελλείψει απόφασης επάρκειας, καταρχήν να υπερισχύει της αξιολόγησης από τον υπεύθυνο επεξεργασίας σύμφωνα με το άρθρο 37 παρ.1β LED, καθώς παρέχει μεγαλύτερη ασφάλεια δικαίου, διαφάνεια, προβλεψιμότητα, σταθερότητα, συνέπεια και εγγυήσεις για την αποτελεσματική εφαρμογή των εγγυήσεων προστασίας δεδομένων.
Οι Κατευθυντήριες Γραμμές 1/2023 θα παραμείνουν σε διαβούλευση μέχρι τις 8 Νοεμβρίου και είναι διαθέσιμες εδώ.
