Εκτίμηση αντικτύπου στη διαβίβαση δεδομένων (Transfer Impact Assessment)
Οδηγίες για το Transfer Impact Assessment ετοιμάζει η γαλλική αρχή
ΕΜΠΟΡΙΚΟ ΔΙΚΑΙΟ / ΔΙΚΑΙΟ ΒΙΟΜΗΧΑΝΙΚΉΣ ΚΑΙ ΠΝΕΥΜΑΤΙΚΉΣ ΙΔΙΟΚΤΗΣΙΑΣ ΝΕΕΣ ΤΕΧΝΟΛΟΓΙΕΣ & ΔΙΚΑΙΟ ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ / ΕΙΔΙΚΟ ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ / ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ
ΙΩΑΝΝΗΣ ΙΓΓΛΕΖΑΚΗΣ
ΕΜΠΟΡΙΚΟ ΔΙΚΑΙΟ / ΔΙΚΑΙΟ ΒΙΟΜΗΧΑΝΙΚΉΣ ΚΑΙ ΠΝΕΥΜΑΤΙΚΉΣ ΙΔΙΟΚΤΗΣΙΑΣ ΝΕΕΣ ΤΕΧΝΟΛΟΓΙΕΣ & ΔΙΚΑΙΟ ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ / ΕΙΔΙΚΟ ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ / ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ
ΙΩΑΝΝΗΣ ΙΓΓΛΕΖΑΚΗΣ
Σε δημόσια διαβούλευση έδωσε η γαλλική αρχή προστασίας δεδομένων το σχέδιο Οδηγιών για την εκτίμηση αντικτύπου στις διαβιβάσεις δεδομένων που έχει συντάξει.
Το κείμενο που έχει τον τίτλο ”Draft Practical Guide: Transfer Impact Assessment” απευθύνεται στους οργανισμούς που πραγματοποιούν διαβιβάσεις δεδομένων εκτός ΕΟΧ και φιλοδοξεί να εξηγήσει τη σημασία της εκτίμησης αντικτύπου για τις διαβιβάσεις, αλλά και τον τρόπο εκπόνησής της.
Σύμφωνα με την ανακοίνωση της CNIL:
Οι οργανισμοί που διαβιβάζουν δεδομένα προσωπικού χαρακτήρα εκτός του Ευρωπαϊκού Οικονομικού Χώρου (ΕΟΧ) πρέπει να αξιολογούν το επίπεδο προστασίας των δεδομένων στις χώρες προορισμού και την ανάγκη θέσπισης συμπληρωματικών μέτρων. Για να τους βοηθήσει, η CNIL διοργανώνει δημόσια διαβούλευση επί σχεδίου Οδηγιών έως τις 12 Φεβρουαρίου 2024.
Εγγύηση του ίδιου επιπέδου προστασίας με τον ΓΚΠΔ για τις διαβιβάσεις δεδομένων
Ανεξάρτητα από τον χαρακτήρα ή το μέγεθός τους, πολλοί είναι οι φορείς που ενδιαφέρονται για το ζήτημα των διαβιβάσεων εκτός του Ευρωπαϊκού Οικονομικού Χώρου (ΕΟΧ). Οι τεχνικές εξελίξεις, ιδίως οι υπηρεσίες νέφους, έχουν αυξήσει τον αριθμό των περιπτώσεων κατά τις οποίες δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία εν όλω ή εν μέρει σε τρίτες χώρες που δεν υπόκεινται στο δίκαιο της ΕΕ (ιδίως στον ΓΚΠΔ). Ωστόσο, σε περίπτωση διαβίβασης, τα δεδομένα πρέπει να συνεχίσουν να απολαμβάνουν το ίδιο επίπεδο προστασίας με αυτό που παρέχει ο ΓΚΠΔ.
Στην απόφασή του "Schrems II" , το Δικαστήριο της Ευρωπαϊκής Ένωσης (ΔΕΕ) τόνισε την ευθύνη των εξαγωγέων και εισαγωγέων να διασφαλίζουν ότι η επεξεργασία των δεδομένων προσωπικού χαρακτήρα γίνεται και συνεχίζει να γίνεται σύμφωνα με το επίπεδο προστασίας που ορίζει η νομοθεσία της ΕΕ για την προστασία των δεδομένων. Σύμφωνα με το ΔΕΕ, οι εξαγωγείς έχουν την ευθύνη και να διακόψουν τη διαβίβαση ή/και να καταγγείλουν τη σύμβαση, εάν ο εισαγωγέας δεν είναι ή δεν είναι πλέον σε θέση να συμμορφωθεί με τις υποχρεώσεις του για την προστασία των δεδομένων προσωπικού χαρακτήρα.
Έτσι, οι εξαγωγείς που επικαλούνται τα εργαλεία του άρθρου 46 παρ.2 και 3 ΓΚΠΔ για τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα υποχρεούνται να αξιολογούν το επίπεδο προστασίας στην τρίτη χώρα προορισμού των δεδομένων και την ανάγκη θέσπισης πρόσθετων εγγυήσεων.
Η εν λόγω αξιολόγηση είναι συνήθως γνωστή ως εκτίμηση αντικτύπου διαβίβασης (Transfer Impact Assessment - TIA).
Με βάση τις Συστάσεις του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων (ΕΣΠΔ) σχετικά με τα πρόσθετα μέτρα που συμπληρώνουν τα εργαλεία διαβίβασης, η CNIL ανέπτυξε τις παρούσες Οδηγίες, προκειμένου να βοηθήσει τους εξαγωγείς δεδομένων στην εκπόνηση των ΤΙΑ.
Σε ποιες περιπτώσεις πρέπει να διενεργείται ΤΙΑ;
Η ΤΙΑ πρέπει να διενεργείται από τους υπευθύνους επεξεργασίας ή τους εκτελούντες την επεξεργασία που ενεργούν ως εξαγωγείς δεδομένων, με τη συνδρομή του εισαγωγέα, πριν από τη διαβίβαση δεδομένων από χώρα του Ευρωπαϊκού Οικονομικού Χώρου (ΕΟΧ) σε τρίτη χώρα, όταν η διαβίβαση αυτή βασίζεται σε εργαλεία διαβίβασης του άρθρου 46. Δεδομένου ότι ο εισαγωγέας διαθέτει πολλές από τις πληροφορίες που απαιτούνται για την εν λόγω αξιολόγηση, η συνεργασία του είναι απαραίτητη για την υλοποίησή της.
Εάν η χώρα προορισμού των δεδομένων καλύπτεται από απόφαση επάρκειας της Ευρωπαϊκής Επιτροπής, ο εξαγωγέας δεν υπόκειται στην εν λόγω υποχρέωση διενέργειας ΤΙΑ. Το ίδιο ισχύει εάν η διαβίβαση πραγματοποιείται βάσει μιας εκ των περιπτώσεων που απαριθμούνται στο άρθρο 49 ΓΚΠΔ.
Ποιος είναι ο σκοπός της ΤΙΑ;
Η ΤΙΑ θα πρέπει να επιτρέπει στον εξαγωγέα να αξιολογεί το επίπεδο προστασίας των δεδομένων που προσφέρει η τοπική νομοθεσία και να λαμβάνει υπόψη τις πρακτικές των αρχών της τρίτης χώρας όσον αφορά την πρόσβαση στα διαβιβαζόμενα δεδομένα. Για τον σκοπό αυτό, η ΤΙΑ θα πρέπει να επιτρέπει την αξιολόγηση της ύπαρξης στη χώρα προορισμού των βασικών ευρωπαϊκών εγγυήσεων για τα μέτρα επιτήρησης, όπως προσδιορίζονται στις Συστάσεις του ΕΣΠΔ.
Όπου είναι απαραίτητο, η ΤΙΑ θα πρέπει επίσης να αξιολογεί κατά πόσον συμπληρωματικά μέτρα θα επέτρεπαν την αποκατάσταση των ελλείψεων που εντοπίστηκαν και θα εξασφάλιζαν το επίπεδο προστασίας των δεδομένων που απαιτεί η νομοθεσία της ΕΕ.
Ποιοι είναι οι στόχοι και το πεδίο εφαρμογής των Οδηγιών για την TIA;
Οι παρούσες Οδηγίες αποτελούν μια μεθοδολογία, έναν κατάλογο ελέγχου, ο οποίος προσδιορίζει διάφορα στοιχεία που πρέπει να λαμβάνονται υπόψη κατά τη διενέργεια μιας ΤΙΑ. Παρέχει ενδείξεις για τον τρόπο με τον οποίο μπορεί να πραγματοποιηθεί η ανάλυση ακολουθώντας τα έξι βήματα που ορίζονται στις Συστάσεις του ΕΣΠΔ και παραπέμπει στη σχετική τεκμηρίωση. Δεν αποτελεί αξιολόγηση των νόμων και των πρακτικών της τρίτης χώρας και των κινδύνων που σχετίζονται με αυτές.
Το έγγραφο είναι διαθέσιμο στα αγγλικά εδώ.
