logo-print

EDPB: Αλλάζει το τοπίο για τις διεθνείς διαβιβάσεις δεδομένων

Τι συνεπάγεται ο ορισμός που δίνει στις "διεθνείς διαβιβάσεις" το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων στις νέες κατευθυντήριες γραμμές του

Στις 18 Νοεμβρίου 2021, το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (εφεξής «ΕΣΠΔ») εξέδωσε τις Κατευθυντήριες Γραμμές 05/20211 (εφεξής "Κατευθυντήριες Γραμμές") οι οποίες - για πρώτη φορά - αποσαφηνίζουν την έννοια της «διαβίβασης δεδομένων». Παρεκκλίνοντας από την κοινή αντίληψη, το ΕΣΠΔ διαπίστωσε ότι δεν υπάρχει διαβίβαση δεδομένων όταν κάτοικοι του Ευρωπαϊκού Οικονομικού Χώρου κοινοποιούν με δική τους πρωτοβουλία προσωπικά δεδομένα απευθείας σε εταιρεία εκτός Ευρωπαϊκού Οικονομικού Χώρου (εφεξής «ΕΟΧ»). Κατά συνέπεια, δεν χρειάζεται να εφαρμοστεί ένα από τα εργαλεία διαβίβασης που προβλέπει το Κεφάλαιο V του Κανονισμού (ΕΕ) 2016/679 (εφεξής «ΓΚΠΔ») σε τέτοιες περιπτώσεις. Οι κατευθυντήριες γραμμές είναι ανοικτές σε δημόσια διαβούλευση έως το τέλος Ιανουαρίου 2022.

Ιστορικό

Ένα από τα πιο ενδιαφέροντα ζητήματα βάσει του ενωσιακού και εθνικού ρυθμιστικού πλαισίου της ΕΕ για την προστασία των δεδομένων είναι τι ορίζεται ως «διαβίβαση δεδομένων». Επιπλέον, αρκετά ενδιαφέρον είναι το κατά πόσον οι απαιτήσεις διαβίβασης δεδομένων του ΓΚΠΔ ισχύουν εάν μια εταιρεία, που βρίσκεται εκτός του ΕΟΧ, εμπίπτει στις διατάξεις του εδαφικού πεδίου εφαρμογής του τελευταίου2 και συλλέγει άμεσα δεδομένα προσωπικού χαρακτήρα από υποκείμενα των δεδομένων στην ΕΕ.

Ο ΓΚΠΔ δεν ορίζει την έννοια της «διαβίβασης δεδομένων» και η νομολογία για το θέμα αυτό είναι σπάνια ή παρωχημένη. Επιπλέον, κατά την κοινή αντίληψη της ενωσιακής αγοράς «διαβίβαση δεδομένων» πραγματοποιείται όταν μια εταιρεία εκτός ΕΟΧ συλλέγει προσωπικά δεδομένα (και) απευθείας από ιδιώτες στην ΕΟΧ. Η ερμηνεία αυτή αναπτύχθηκε βάσει της οδηγίας 95/46/ΕΚ για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών (προκάτοχος του ΓΚΠΔ). Λ.χ. οι εταιρείες των Η.Π.Α. που πραγματοποίησαν τέτοια άμεση συλλογή δεδομένων θα έπρεπε να βασιστούν είτε στις αποφάσεις επάρκειας3 «Safe Harbour» ή το μεταγενέστερο «Privacy Shield» για να νομιμοποιήσουν τις «διαβιβάσεις» δεδομένων τους από την Ε.Ε. στις ΗΠΑ είτε στις κατάλληλες εγγυήσεις του άρθρου 46 του ΓΚΠΔ είτε στις παρεκκλίσεις του άρθρου 49 του ίδιου Κανονισμού.

Ωστόσο, τα τελευταία χρόνια, το νομικό τοπίο της ΕΕ έχει αλλάξει σημαντικά. Ο ΓΚΠΔ, με το ευρύ εδαφικό πεδίο εφαρμογής του, που ξεπερνάει το εδαφικά όρια της ΕΟΧ, εφαρμόζεται όχι μόνο στις εταιρείες με έδρα στην ΕΟΧ αλλά και σε εταιρείες με έδρα εκτός που στοχεύουν σε κατοίκους του ΕΟΧ προσφέροντάς τους αγαθά ή υπηρεσίες ή παρακολουθώντας τη συμπεριφορά τους. Για παράδειγμα, μια εταιρεία με έδρα τις Η.Π.Α. που απευθύνεται σε άτομα του ΕΟΧ και συλλέγει προσωπικά δεδομένα σχετικά με αυτά τα άτομα μέσω του ιστότοπου ή της εφαρμογής της υπόκειται στον ΓΚΠΔ. Ωστόσο, εταιρείες με έδρα τις Η.Π.Α. χωρίς εγκατάσταση στην ΕΟΧ αντιμετώπισαν ένα αίνιγμα τα τελευταία χρόνια, καθώς δεν υπήρχε διαθέσιμος μηχανισμός μεταφοράς δεδομένων: Τόσο το «Safe Harbour»4 και αργότερα το «Privacy Shield»5 ακυρώθηκαν από το Δικαστήριο της Ευρωπαϊκής Ένωσης (ΔΕΕ) και οι κατάλληλες εγγυήσεις καθώς και οι παρεκκλίσεις είναι διαθέσιμες μόνο σε περιορισμένες περιπτώσεις και συχνά δεν προσφέρουν ασφάλεια δικαίου.

«Διαβίβαση δεδομένων» - 3 Σωρευτικές προϋποθέσεις

Οι Κατευθυντήριες Γραμμές ορίζουν ως «διαβίβαση δεδομένων» τη δημοσιοποίηση δεδομένων προσωπικού χαρακτήρα από οργανισμό που υπόκειται στον ΓΚΠΔ σε άλλον οργανισμό που βρίσκεται σε «τρίτη χώρα» (δηλαδή σε χώρα εκτός ΕΟΧ) ή διεθνή οργανισμό. Οι κατευθυντήριες γραμμές προσδιορίζουν τρείς σωρευτικές προϋποθέσεις για τον προσδιορισμό μιας «διαβίβασης δεδομένων»:

1. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία υπόκειται στον ΓΚΠΔ για την επεξεργασία προσωπικών δεδομένων,

2. Αυτός ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία (εξαγωγέας) καθιστά τα προσωπικά δεδομένα διαθέσιμα σε άλλον υπεύθύνο επεξεργασίας, από κοινού υπεύθύνο επεξεργασίας ή εκτελών την επεξεργασία (εισαγωγέας)·και

3. Ο εισαγωγέας βρίσκεται σε τρίτη χώρα (ή είναι διεθνής οργανισμός), ανεξάρτητα από το αν ο εν λόγω εισαγωγέας υπόκειται άμεσα στον ΓΚΠΔ όσον αφορά τη δεδομένη επεξεργασία.

Συνέπειες του νέου ορισμού

Ενώ οι πρακτικές συνέπειες θα διαφανούν μόνο με την πάροδο του χρόνου, οι κατευθυντήριες γραμμές έχουν ορισμένες άμεσες επιπτώσεις:

1. Καμία διαβίβαση δεδομένων εάν τα άτομα παρέχουν δεδομένα με δική τους πρωτοβουλία. Το ΕΣΠΔ θεωρεί ότι δεν υπάρχει διαβίβαση δεδομένων όταν τα άτομα αποκαλύπτουν τα προσωπικά τους δεδομένα απευθείας σε έναν οργανισμό με δική τους πρωτοβουλία. Για παράδειγμα, εάν ένα άτομο αγοράσει ένα προϊόν από εταιρεία εκτός ΕΕ μέσω ιστότοπου και, ως εκ τούτου, συμπληρώσει ένα ηλεκτρονικό έντυπο παραγγελίας, η κοινοποίηση των προσωπικών του δεδομένων στην εταιρεία με έδρα εκτός ΕΟΧ μέσω του εν λόγω εντύπου δεν θα συνιστούσε διαβίβαση δεδομένων. Ωστόσο, αυτό υποδηλώνει ότι εάν τα δεδομένα συλλέγονται με πρωτοβουλία της εταιρείας με έδρα εκτός ΕΟΧ (με άλλα λόγια, παθητικά ή όχι με πρωτοβουλία των υποκειμένων), ισχύουν οι κανόνες διαβίβασης δεδομένων6. Το ακριβές πεδίο εφαρμογής του τι συνιστά κοινοποίηση με πρωτοβουλία ενός υποκειμένου των δεδομένων είναι ασαφές και ενδέχεται να προκαλέσει συζητήσεις.

2. Η αποκάλυψη δεδομένων εντός του ίδιου οργανισμού δεν είναι διαβίβαση δεδομένων. Οι Κατευθυντήριες Γραμμές προβλέπουν ότι δεν υπάρχει διαβίβαση όταν τα δεδομένα παραμένουν στα χέρια του ίδιου οργανισμού μέσα και εκτός του ΕΟΧ. Για παράδειγμα, όταν οι εργαζόμενοι μιας εταιρείας του ΕΟΧ ταξιδεύουν σε τρίτη χώρα και έχουν απομακρυσμένη πρόσβαση στο σύστημα της εταιρείας τους, αυτό δεν συνιστά διαβίβαση δεδομένων. Ωστόσο, θα υπάρξει διαβίβαση δεδομένων όταν τα προσωπικά δεδομένα κοινοποιούνται σε άλλη οντότητα εντός του ίδιου εταιρικού ομίλου. Οι Κατευθυντήριες Γραμμές επιβεβαιώνουν ρητά ότι οι οντότητες που αποτελούν μέρος του ίδιου εταιρικού ομίλου μπορεί να χαρακτηριστούν Αυτοτελώς Υπεύθυνοι Επεξεργασίας ή Εκτελούντες την Επεξεργασία.

3. Ο εκτελών την επεξεργασία του ΕΟΧ επιστρέφει δεδομένα σε υπεύθυνο επεξεργασίας εκτός ΕΟΧ. Οι Κατευθυντήριες Γραμμές αναφέρουν ότι όταν ένας εκτελών την επεξεργασία του ΕΟΧ επεξεργάζεται δεδομένα για λογαριασμό Υπευθύνου Επεξεργασίας εκτός ΕΟΧ και αποστέλλει τα δεδομένα στον εν λόγω Υπεύθυνο Επεξεργασίας, πρέπει να συμμορφώνεται με τους περιορισμούς του ΓΚΠΔ για τη διαβίβαση δεδομένων. Αυτό ευθυγραμμίζεται με το νέο πακέτο Τυποποιημένων Συμβατικών Ρητρών (ΤΣΡ)7 που εκδόθηκε πρόσφατα από την Ευρωπαϊκή Επιτροπή και παρέχει μια κατηγορία διαβίβασης μεταξύ εκτελούντος την Επεξεργασία προς Υπεύθυνο Επεξεργασίας εκτός ΕΟΧ. Αυτό το σενάριο καλύπτει περιπτώσεις όπου ο εκτελών την επεξεργασία υπόκειται άμεσα στον ΓΚΠΔ, αλλά αυτό δεν σημαίνει ότι η διαβίβαση δεδομένων από τον Υπεύθυνο Επεξεργασίας απαιτεί τώρα επίσης μηχανισμό μεταφοράς δεδομένων από τον Εκτελούντα την Επεξεργασία.

Συμπληρωματικά μέτρα ακόμη και αν δεν υπάρχει διαβίβαση δεδομένων;

Μετά την απόφαση Schrems II του 2020, οι οργανισμοί που διαβιβάζουν προσωπικά δεδομένα εκτός του ΕΟΧ πρέπει να αξιολογήσουν το εθνικό ρυθμιστικό πλαίσιο για την προστασία δεδομένων, για κράτη χωρίς απόφαση επάρκειας και ιδιαίτερα εάν και υπό ποιες προϋποθέσεις οι ξένες κυβερνήσεις μπορούν να έχουν πρόσβαση στα δεδομένα τους μετά τη διαβίβαση. Εάν το ρυθμιστικό πλαίσιο αυτό δεν αντιστοιχεί στο πλαίσιο της ΕΕ, οι οργανισμοί πρέπει να θεσπίσουν συμπληρωματικά τεχνικά και οργανωτικά μέτρα για την προστασία των δεδομένων.

Σύμφωνα με το ΕΣΠΔ, εάν η δημοσιοποίηση δεδομένων δεν συνιστά «διαβίβαση δεδομένων», αυτό δεν απαλλάσσει έναν οργανισμό από την αξιολόγηση των κινδύνων που σχετίζονται με τη δημοσιοποίηση δεδομένων σε ένα κράτος εκτός ΕΟΧ και την εφαρμογή συμπληρωματικών μέτρων, ανάλογα με την περίπτωση, για την προστασία των δεδομένων. Οι Κατευθυντήριες Γραμμές προβλέπουν ότι, στην περίπτωση αυτή, οι υπόλοιπες απαιτήσεις του ΓΚΠΔ εξακολουθούν να ισχύουν για τα δεδομένα που υποβάλλονται σε επεξεργασία εκτός ΕΟΧ. Για παράδειγμα, το ΕΣΠΔ επισημαίνει ότι οι οργανισμοί πρέπει να εφαρμόζουν κατάλληλα μέτρα ασφάλειας δεδομένων για την προστασία των δεδομένων προσωπικού χαρακτήρα και σε ορισμένες περιπτώσεις, να διενεργούν Εκτίμηση Αντικτύπου για την Προστασία των Δεδομένων (εφεξής «ΕΑΠΔ» ή «DPIA») για την αξιολόγηση των κινδύνων από την επεξεργασία δεδομένων. Το ΕΣΠΔ αναφέρει ότι οι εταιρείες που υπόκεινται άμεσα στον ΓΚΠΔ θα πρέπει να αξιολογούν τους κινδύνους που σχετίζονται με την επεξεργασία προσωπικών δεδομένων σε ένα κράτος εκτός ΕΟΧ —με κάπως παρόμοιο τρόπο με αυτόν κατά τη διενέργεια ΕΑΠΔ— χωρίς να καταλήγουν σαφώς σε αυτό το συμπέρασμα.

Το ΕΣΠΔ προτείνει επίσης ότι το άρθρο 48 εφαρμόζεται σε αυτές τις περιπτώσεις (το άρθρο 48 απαγορεύει τη δημοσιοποίηση δεδομένων προσωπικού χαρακτήρα σε αλλοδαπή αρχή, εκτός εάν τα μέρη μπορούν να βασίζονται σε διεθνή συμφωνία, όπως συνθήκη αμοιβαίας συνδρομής). Το παράδοξο είναι ότι το άρθρο 48 εφαρμόζεται μόνο εάν πραγματοποιηθεί διαβίβαση δεδομένων.

Ένα ακόμη πακέτο SCCs

Το ΕΣΠΔ θα επικροτούσε ένα νέο εργαλείο διαβίβασης δεδομένων για τους εισαγωγείς δεδομένων που υπόκεινται άμεσα στον ΓΚΠΔ (π.χ. μια εταιρεία εκτός ΕΟΧ που προσφέρει αγαθά ή υπηρεσίες στην αγορά του ΕΟΧ) και τη διαβίβαση δεδομένων του ΕΟΧ σε άλλον οργανισμό. Ένα τέτοιο εργαλείο θα μπορούσε να λάβει τη μορφή νέων τυποποιημένων συμβατικών ρητρών (ΤΣΡ). Στόχος θα ήταν

  • η αποφυγή αλληλεπικαλύψεων με υποχρεώσεις του ΓΚΠΔ και
  • η αντιμετώπιση ζητημάτων σύγκρουσης νόμων και η δυσκολία επιβολής και λήψης επανόρθωσης σε οντότητα εκτός της ΕΟΧ. Δεν είναι σαφές εάν και πότε η Ευρωπαϊκή Επιτροπή θα εκδώσει ένα τέτοιο νέο εργαλείο μεταφοράς δεδομένων.

Συμπέρασμα

Οι Κατευθυντήριες Γραμμές είναι ανοικτές σε δημόσια διαβούλευση έως το τέλος Ιανουαρίου 2022 και μένει να δούμε εάν και πώς μπορεί να τροποποιηθεί η τελική έκδοση των κατευθυντήριων γραμμών ειδικότερα, καθώς πολλές έννοιες παραμένουν ασαφείς.

Ωστόσο, αν και δεν είναι ακόμη οριστικές, οι Κατευθυντήριες Γραμμές αποτελούν καλή ένδειξη του τρόπου με τον οποίο οι Αρχές Προστασίας Δεδομένων της ΕΕ ερμηνεύουν και εφαρμόζουν τους περιορισμούς στις διαβιβάσεις δεδομένων. Οι πρακτικές επιπτώσεις των Κατευθυντήριων Γραμμών είναι σημαντικές για τις εταιρείες που επεξεργάζονται προσωπικά δεδομένα του ΕΟΧ και οι οργανισμοί που δεν έχουν παρουσία στον ΕΟΧ αλλά δραστηριοποιούνται στην Ευρώπη θα πρέπει να αξιολογούν τον αντίκτυπο των Κατευθυντήριων Γραμμών στη στρατηγική συμμόρφωσης με την προστασία των δεδομένων.

  • 1. Guidelines 05/2021 on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR,18/11/2021
  • 2. Άρθρο 3 παρ. 2 ΓΚΠΔ
  • 3. Άρθρο 45 ΓΚΠΔ
  • 4. C-362/14 – Schrems, ECLI:EU:C:2015:650, 6/10/2015
  • 5. C-311/18 - Facebook Ireland and Schrems (Schrems II), ECLI:EU:C:2020:559, 16/07/2020
  • 6. Κεφάλαιο V ΓΚΠΔ
  • 7. Εκτελεστική απόφαση (ΕΕ) 2021/914 της Επιτροπής της 4ης Ιουνίου 2021 σχετικά με τις τυποποιημένες συμβατικές ρήτρες για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες σύμφωνα με τον κανονισμό (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (Κείμενο που παρουσιάζει ενδιαφέρον για τον ΕΟΧ)

Στέργιος Κωνσταντίνου

Ο Στέργιος Κωνσταντίνου είναι δικηγόρος με ειδίκευση στην προστασία προσωπικών δεδομένων, στη διανοητική ιδιοκτησία και στο δίκαιο των τηλεπικοινωνιών. Διαθέτει πιστοποίηση από το Διεθνή Σύλλογο Επαγγλματιών στην Ιδιωτικότητα (IAPP) στο ενωσιακό...

Ερμηνεία κατ΄ άρθρo του ΚΝ 489/1976 περί υποχρεωτικής ασφαλίσεως της εξ ατυχημάτων αυτοκινήτων αστικής ευθύνης"

ΑΣΤΙΚΟ ΔΙΚΑΙΟ / ΕΝΟΧΙΚΟ ΔΙΚΑΙΟ

ΑΘΑΝΑΣΙΟΣ ΚΡΗΤΙΚΟΣ

H ένωση δικαίου

ΙΩΑΝΝΗ ΣΑΡΜΑΣ

ΕΥΡΩΠΑΪΚΟ ΔΙΚΑΙΟ