logo-print

Προς μία νέα συμφωνία διατλαντικής διαβίβασης δεδομένων

Επιτέλους λύση ή εν αναμονή της Schrems III;

01/04/2022

26/04/2022

Όπως, μάλλον, θυμάστε οι περισσότεροι από τις περσινές μας αναλύσεις, η χρόνια διαμάχη του κ. Schrems με το Facebook έχει οδηγήσει σε δύο αποφάσεις του Δικαστηρίου της Ευρωπαϊκής Ένωσης και ισάριθμες καταρρεύσεις δύο συμφωνιών επάρκειας για την διαβίβαση δεδομένων από την ΕΕ στις ΗΠΑ. Οι συμφωνίες αυτές, που είχαν ψηφιστεί από την Ευρωπαϊκή Επιτροπή (η συμφωνία Ασφαλούς Λιμένα ή Safe Harbor Agreement και η διάδοχη της Ασπίδα Προστασίας ή Privacy Shield) αποτέλεσαν για χρόνια την κύρια νομική βάση για την διασυνοριακή ροή προσωπικών δεδομένων προς τις ΗΠΑ και είχαν ανακοινωθεί με ιδιαίτερο ενθουσιασμό από τα θεσμικά όργανα της ΕΕ, όμως και οι δύο κρίθηκαν τελικά, μετά από τις σχετικές προσφυγές του κ. Schrems και τις σχετικές αποφάσεις που είναι γνωστές ως Schrems I και Schrems II, άκυρες διότι δεν κάλυπταν τις προϋποθέσεις επάρκειας που υποτίθεται ότι είχαν ήδη ελεγχθεί από την Ευρωπαϊκή Επιτροπή!

Πιο συγκεκριμένα, το Δικαστήριο έκρινε ότι το σύνολο, σχεδόν, των δεδομένων από την ΕΕ στις ΗΠΑ διαβιβάζονται μέσω ηλεκτρονικών δικτύων στα οποία η NSA (National Security Agency) δύναται να έχει πρόσβαση με βάση την ομοσπονδιακή νομοθεσία (Executive Order 12333, άρθρο 702 FISA, EO12333 και PPD-28), οπότε η νομοθεσία και η πρακτική των ΗΠΑ είναι ασυμβίβαστη με τις απαιτήσεις της ΕΕ για επαρκές επίπεδο προστασίας των προσωπικών δεδομένων (adequacy). Τα όρια που βάζει το Δικαστήριο ισχύουν, μάλιστα, για όλες τις κατάλληλες εγγυήσεις βάσει του άρθρου 46 του ΓΚΠΔ οι οποίες χρησιμοποιούνται για τη διαβίβαση δεδομένων από τον ΕΟΧ σε οποιαδήποτε τρίτη χώρα.

Με δεδομένη αυτή την έλλειψη επάρκειας κάθε υπεύθυνος επεξεργασίας (με τους υπάρχοντες μηχανισμούς διαβίβασης) ήταν αναγκασμένος να επιλέξει είτε τις τυποποιημένες συμβάσεις (SCC), είτε τις ad hoc συμβατικές ρήτρες, είτε τους δεσμευτικούς εταιρικούς κανόνες (BCRs), είτε συγκατάθεση είτε κάποια άλλη παρέκκλιση του άρθρου 49 του Κανονισμού. Όμως, όπως είχαμε διεξοδικά αναλύσει, η συγκατάθεση δεν είναι ασφαλής νόμιμη βάση ενώ όπου η διαβίβαση είναι απαραίτητη δεν μπορούμε να μιλάμε για γενική άδεια διαβίβασης δεδομένων ενώ εξακολουθεί το πρόβλημα να είναι οι δημόσιες αρχές, οι οποίες, προφανώς, δεν δεσμεύονται από διατάξεις που έχουν συμφωνηθεί σε συμβάσεις μεταξύ εταιρειών ή με καταναλωτές. Η λύση που τελικά φάνηκε να προτιμούν όλοι (και η Google για τα cookies analytics), τα Standard Contractual Clauses, και μάλιστα η ανανεωμένη μορφή τους, χωρίς, βέβαια, αυτό να σημαίνει ότι κι αυτό το νομικό εργαλείο εξασφαλίζει σίγουρη συμμόρφωση, όπως άλλωστε κατέδειξαν και οι δύο πρόσφατες αποφάσεις της Αυστριακής και της Γαλλικής Αρχής.

Ήταν εμφανές σε όλους και κυρίως όσους χρησιμοποιούν την μεγαλύτερη υπηρεσία ανάλυσης της διαδικτυακής κίνησης, τα google analytics, ότι η απόφαση αυτή του ΔΕΕ εισήγαγε μία ακόμη σημαντική αβεβαιότητα στις εταιρείες που βασίζονταν στην ύπαρξη μίας θεσμικής συμφωνίας για τη διασυνοριακή διαβίβαση δεδομένων προς τις Ηνωμένες Πολιτείες για τις βασικές τους εταιρικές λειτουργίες. Για το λόγο αυτό επανειλημμένα θέταμε το ζήτημα όχι τόσο ως νομικό/ρυθμιστικό αλλά πολιτικό.

Και, πράγματι, οι εξελίξεις δείχνουν ότι αφορά, μεν, το ρυθμιστικό πλαίσιο της ΕΕ σε ότι αφορά τον έλεγχο των διασυνοριακών διαβιβάσεων, είναι όμως ένα θέμα που χρειάζεται πολιτική απόφαση για να μιλάμε για μία επαρκή διαχείριση του. Ο Πρόεδρος των Ηνωμένων Πολιτειών, Τζο Μπάιντεν, και η Πρόεδρος της Ευρωπαϊκής Επιτροπής, Ούρσουλα φον ντερ Λάιεν, ανακοίνωσαν στις 25 Μαρτίου 2022, στις Βρυξέλλες, μια πολιτική συμφωνία για ένα νέο διατλαντικό πλαίσιο που θα αντικαταστήσει την ασπίδα προστασίας της ιδιωτικής ζωής (Privacy Shield). Αφού ανακοινώθηκε η «κατ' αρχήν» συμφωνία στο υψηλότερο δυνατό πολιτικό επίπεδο, ο Επίτροπος Δικαιοσύνης της ΕΕ Ντιντιέ Ρέιντερς υποστήριξε ότι αυτή η συμφωνία επιτυγχάνεται καταρχήν σε «επίπεδο αρχών» για ένα νέο πλαίσιο και όχι στις λεπτομέρειες της και έδωσε τα εύσημα στην Υπουργό Εμπορίου Τζίνα Ραϊμόντο και στον Γενικό Εισαγγελέα των ΗΠΑ Merrick Garland για την έμπρακτη συμμετοχή τους στην προσπάθεια για την επίτευξη αυτής της συμφωνίας. Επισημαίνεται πάντως, σημειολογικά, ότι το περίφημο Άρθρο 702 του νόμου FISA πρόκειται να λήξει στις 31 Δεκεμβρίου 2023 δίνοντας στο Κογκρέσο ακόμα μία ευκαιρία για εισαγωγή νομοθετικής ρύθμισης που θα συγκλίνει ευκολότερα με τα όσα είναι προστατευτέα στην ΕΕ, στο πλαίσιο της συζήτησης για τις διατλαντικές διαβιβάσεις δεδομένων.

Πρόκειται για μια εξαιρετικά σημαντική εξέλιξη στο θέμα των διασυνοριακών διαβιβάσεων που απηχεί, πρωτίστως, τις πρακτικές ανάγκες της αγοράς από την εκτεταμένη χρήση υπηρεσιών ΚτΠ. Αν, βέβαια αναλογιστούμε πόσοι μήνες πέρασαν από την πολιτική δήλωση έως την υλοποίηση για τις δύο προηγούμενες συμφωνίες (Safe Harbor και Privacy Shield Ι) θα πρέπει, για να είμαστε ρεαλιστές, να αναμένουμε τουλάχιστον ένα εξάμηνο διαβουλεύσεων και διορθώσεων του κειμένου που θα τεθεί προς έγκριση. Ειδικά δεδομένου ότι η αμερικανική πλευρά πρέπει ακόμη να περάσει τουλάχιστον ένα Εκτελεστικό Διάταγμα για να προβλέψει τις συμφωνημένες νέες διασφαλίσεις.

Στην ουσία της νέας συμφωνίας, φαίνεται ότι τα διδάγματα και οι αποφάσεις από τις δύο αποφάσεις του ΔΕΕ θα πρέπει να ληφθούν σοβαρά υπόψη και οι μεταρρυθμίσεις που φάνηκε ότι χρειάζονται για την ικανοποίηση των ειδικών ζητημάτων της Schrems II και τον σεβασμό όσων προβλέπονται στο άρθρο 52 του Χάρτη της ΕΕ σχετικά με τον τρόπο με τον οποίο μπορεί να περιοριστεί η άσκηση των θεμελιωδών δικαιωμάτων. Μία από τις σημαντικότερες καινοτομίες φαίνεται να είναι η ίδρυση ενός νέου πολυεπίπεδου μηχανισμού επανόρθωσης με κορωνίδα την ίδρυση μίας νέας ειδικής ανεξάρτητης αρχής (ένα Δικαστήριο Προσωπικών Δεδομένων), ως ένας «νέος μηχανισμός για τους εγκατεστημένους στην ΕΕ, ώστε να μπορούν να αναζητήσουν επανόρθωση εάν πιστεύουν ότι στοχοποιούνται παράνομα από δραστηριότητες επεξεργασίας δεδομένων τους» η οποία θα είναι επιφορτισμένη αποκλειστικά με τα ζητήματα των προσωπικών δεδομένων, σύμφωνα με τα απαιτούμενα στην Schrems II (παράγραφοι 187 και 196) για μία θεσμική διαδικασία επαρκώς ανεξάρτητη από την εκτελεστική εξουσία των ΗΠΑ (παράγραφοι 194 και 195) και με εξουσία να επιβάλλει κατάλληλες διορθωτικές ενέργειες από τις αρχές πληροφοριών των ΗΠΑ, συμπεριλαμβανομένης της απαίτησής τους να εκπληρώσουν τα δικαιώματα πρόσβασης, διόρθωσης και διαγραφής του υποκειμένου των δεδομένων (παράγραφοι 187 και 194). Βέβαια, αν και δεν είναι ακόμη σαφές ότι η ανανεωμένη Ασπίδα Απορρήτου θα αλλάξει θεμελιωδώς, το πλαίσιο πρόσβασης και χρήσης των δεδομένων που διαβιβάζονται, φαίνεται να αποτελεί μια σημαντική εξέλιξη, εφόσον τηρηθούν οι πολιτικές από την κυβέρνηση των ΗΠΑ να εφαρμόσει μηχανισμούς που αντιμετωπίζουν τις ανησυχίες του ΔΕΕ σχετικά με τα θεμελιώδη δικαιώματα της ΕΕ, ενώ φαίνεται ότι και στο νέο πλαίσιο θα συνεχίσει να υφίσταται ένα σύστημα αυτοπιστοποίησης (self-regulation) το οποίο θα διαχειρίζεται το Υπουργείο Εμπορίου των ΗΠΑ.

Τώρα, πώς χειριζόμαστε μέχρι τότε τις διαβιβάσεις αυτές;

Ουσιαστικά τίποτε δεν αλλάζει, πέρα από την αναγνώριση του προβλήματος και την τελική επίλυση του. Τα SCCs θα εξακολουθούν να αποτελούν τον καλύτερο μηχανισμό διαβίβασης και θα πρέπει να εκπονείται, όπως έχουμε από καιρό επισημάνει, η σχετική TIA (Transfer Impact Assessment) για κάθε κατηγορία διαβίβασης. Αυτό, επίσης, σημαίνει ότι οι διαβιβάσεις προσωπικών δεδομένων από την ΕΕ στις ΗΠΑ ενδέχεται να εξακολουθήσουν να μπλοκάρονται τους επόμενους μήνες, παρά την εκπεφρασμένη πολιτική αναγνώριση της ανυπαρξίας εναλλακτικού μηχανισμού, είτε υπό την ερμηνεία του Κεφαλαίου V του GDPR είτε ως αποτέλεσμα των 101 καταγγελιών της ΜΚΟ Noyb που υποβλήθηκαν τον Αύγουστο του 2020 και αρχίζουν σιγά σιγά να οδηγούν σε αποφάσεις από τις εθνικές αρχές ΠΔΧ.

Σε κάθε περίπτωση το τελικό κείμενο θα πρέπει να τεθεί στην κρίση (αν και όχι με δέσμια αρμοδιότητα της γνωμοδότησης τους) στον EDPB και τον EDPS, ο οποίος ξεκαθάρισε, ήδη, ότι «ένα νέο πλαίσιο για τις διατλαντικές ροές δεδομένων πρέπει να είναι βιώσιμο υπό το φως των απαιτήσεων που προσδιορίζονται από το Δικαστήριο της ΕΕ».

Σπ. Τάσσης

Tassis & Associates / ICTLC Greece

Πρόεδρος ΕΠΠΔΙ

Σπύρος Τάσσης

Ο κος Τάσσης είναι Δικηγόρος με εξειδίκευση (LLM) και μακρά πρακτική ενασχόληση με τα ζητήματα του Δικαίου της Πληροφορικής, των Ηλεκτρονικών Επικοινωνιών και των Προσωπικών Δεδομένων.

Είναι Πρόεδρος της Ένωσης Προστασίας Προσωπικών...