Προσωπικά δεδομένα και "άτακτο" Brexit

Της Αγγελικής Μητροπούλου

Ο Κανονισμός (ΕΕ) 2016/679 (GDPR) ισχύει σε όλη την Ευρωπαϊκή Ένωση και τις χώρες της Ευρωπαϊκής Οικονομικής Ζώνης (Νορβηγία, Λιχτενστάιν, Ισλανδία), δηλαδή στο έδαφος του Ευρωπαϊκού Οικονομικού Χώρου (ΕΟΧ). 

Μέχρι στιγμής, βρίσκεται εντός ΕΕ και το Ηνωμένο Βασίλειο (ΗΒ εφεξής). Εάν η έξοδος του Ηνωμένου Βασιλείου από την ΕΕ γίνει άτακτα, χωρίς συμφωνία που θα ρυθμίζει το καθεστώς των νομικών σχέσεων των δύο οντοτήτων (ΕΕ και ΗΒ), τότε το ΗΒ "χάνει" τον GDPR, δηλαδή σταματά να ισχύει αυτομάτως στο έδαφός του.

Επειδή όμως συντρέχουν και διάφορα τεχνικά νομικά ζητήματα, λόγω αποχώρησης από την ΕΕ, το ΗΒ δεν μπορεί ούτε να κυρώσει τον GDPR, έτσι ώστε να τον ενσωματώσει στο εσωτερικό του δίκαιο. Θα πρέπει, λοιπόν, αποκόπτοντας κάθε νομικό δεσμό με την ΕΕ, να συντάξει και ψηφίσει δικό του νομοθέτημα, με το οποίο θα προστατεύονται τα προσωπικά δεδομένα των φυσικών προσώπων.

Το ζήτημα είναι, ότι όποιο κι αν είναι αυτό το νομοθέτημα, θα πρέπει να πληροί τις προδιαγραφές που ζητά ο GDPR, έτσι ώστε να μπορούν οι βρετανικές επιχειρήσεις και οργανισμοί, να εξακολουθήσουν να συναλλάσσονται με τα κράτη μέλη της ΕΕ, ειδάλλως, κάθε συμφωνία, είτε  δημοσίων είτε ιδιωτικών οργανισμών, θα είναι άκυρη για την ΕΕ και όποιοι το επιχειρήσουν, θα αντιμετωπίσουν βαρύτατα πρόστιμα.

Είναι γνωστό, εδώ και καιρό, ότι όσοι ευρωπαίοι έχουν έδρα ή κατοικία στο ΗΒ, πρέπει να σπεύσουν να το δηλώσουν στο  βρετανικό κράτος, έτσι ώστε να καταγραφούν πριν το Brexit, διότι κατόπιν αυτού, θα αντιμετωπίζονται ως "ξένοι". Όσοι, λοιπόν, φροντίσουν να εξασφαλίσουν  έγκαιρα και να διατηρήσουν τη δραστηριότητά τους στο ΗΒ, αλλά και προς το ΗΒ, θα πρέπει να λάβουν υπ’ όψη τους τις επικείμενες αλλαγές που θα φέρει η ξαφνική "εξαφάνιση" του GDPRαπό το νομικό πλέγμα δικαιωμάτων και υποχρεώσεων του ΗΒ γενικότερα, αλλά και σε σχέση με την ΕΕ.

Ας τα δούμε όμως αναλυτικότερα.

Ποιους επηρεάζει;

Επηρεάζει όσες επιχειρήσεις έχουν την έδρα τους στο Ηνωμένο Βασίλειο και, μάλιστα, δύο κατηγορίες:
* Επιχειρήσεις χωρίς υποκαταστήματα, πρακτορεία, θυγατρικές στην ΕΕ
* Επιχειρήσεις που προσφέρουν αγαθά και υπηρεσίες σε φυσικά πρόσωπα στην ΕΕ. Το ίδιο ισχύει και για όσες επιχειρήσεις  παρακολουθούν συμπεριφορές φυσικών προσώπων, εντός ΕΕ.

Πώς μπορούμε να προετοιμαστούμε;

Εάν ανήκετε σε εκείνους που έχουν επιχειρήσεις στο ΗΒ, αλλά δεν έχετε γραφεία, υποκαταστήματα ή άλλες εγκαταστάσεις στην ΕΕ, θα πρέπει να εξετάσετε αν επεξεργάζεστε προσωπικά δεδομένα ατόμων που βρίσκονται στην ΕΕ που αφορούν είτε προσφορά αγαθών ή υπηρεσιών σε ιδιώτες ή παρακολούθηση της συμπεριφοράς τους.

Αν διεξάγετε μια τέτοια επεξεργασία και σκοπεύετε να συνεχίσετε μετά την ημερομηνία εξόδου του Ηνωμένου Βασιλείου από την Ευρωπαϊκή Ένωση (το γνωστό "Brexit"), θα πρέπει να εξετάσετε αν πρέπει να διορίσετε έναν εκπρόσωπο σας, εντός ΕΕ ή ΕΟΧ.

Θα χρειαστεί να εξετάσετε σε ποιο κράτος μέλος της ΕΕ ο εκπρόσωπός σας θα ιδρύσει την έδρα του και θα τον εφοδιάσετε με τη σχετική γραπτή εντολή, ώστε να ενεργεί εκ μέρους σας. 

Από τη στιγμή αυτή και μετά, η επιχείρησή σας στο ΗΒ θα πρέπει να παρέχει στα υποκείμενα των δεδομένων πληροφορίες σχετικά με τον εκπρόσωπό σας (όπως, για παράδειγμα, στην Πολιτική Απορρήτου). Η ίδια ενημέρωση θα πρέπει να γίνει και στην εποπτική αρχή, οπότε, μια καλή ιδέα θα ήταν να το αναγράφετε στον ιστότοπό σας.

Πρέπει να λάβετε υπ’ όψη σας ότι θα πρέπει η επιχείρηση που διατηρείτε εντός ΗΒ, να συμμορφώνεται με το GDPR, ακόμα και μετά την Brexit. 

Έστω πχ ότι μια βρετανική εταιρία δεν έχει γραφεία σε άλλες χώρες του ΕΟΧ, αλλά έχει τακτική βάση πελατών στη Σουηδία και τη Νορβηγία (μόνο). Η επιχείρηση πρέπει να διορίσει έναν ευρωπαίο εκπρόσωπο που θα ενεργεί άμεσα με τα υποκείμενα των δεδομένων (φυσικά πρόσωπα, πελάτες, προμηθευτές, υπάλληλοι) καθώς και με τις εποπτικές αρχές των κρατών μελών της ΕΕ και του ΕΟΧ, ανάλογα με το πού έχει εγκατασταθεί ο εκπρόσωπος. Αυτός ο ευρωπαίος εκπρόσωπος μπορεί να εδρεύει στη Σουηδία ή τη Νορβηγία, αλλά όχι σε οποιοδήποτε άλλο κράτος μέλος της ΕΕ ή του ΕΟΧ.

Η επιχείρηση θα πρέπει να περιλαμβάνει το όνομα του ευρωπαίου εκπροσώπου στις πληροφορίες που παρέχει στα υποκείμενα των δεδομένων (εργαζόμενους, πελάτες, προμηθευτές, συνδρομητές, αν πρόκειται για eshop ή ιστοσελίδα), για παράδειγμα στην ανακοίνωσή της για την προστασία της ιδιωτικής ζωής. Δεν χρειάζεται να προβεί σε κάποια ιδιαίτερη ενημέρωση ή ανακοίνωση προς τις εποπτικές αρχές στη Σουηδία ή τη Νορβηγία (στο παράδειγμά μας), αλλά οι λεπτομέρειες αυτές θα πρέπει να είναι εύκολα προσιτές σε αυτές τις εποπτικές αρχές.

Δεν χρειάζεται να ορίσετε έναν εκπρόσωπο εάν:
* Είστε δημόσια αρχή ή
* Η επεξεργασία σας είναι απλώς περιστασιακή, χαμηλού κινδύνου για τα δικαιώματα προστασίας προσωπικών δεδομένων και δεν συνεπάγεται τη επεξεργασία, σε μεγάλη κλίμακα, δεδομένων ειδικών κατηγοριών ή ποινικών αδικημάτων.

Το Ευρωπαϊκό Συμβούλιο για την Προστασία των Προσωπικών Δεδομένων (EDPB) δημοσίευσε κατευθυντήριες γραμμές σχετικά με το εδαφικό πεδίο εφαρμογής, οι οποίες είναι ήδη σε διαβούλευση. Αυτές αποτελούν περισσότερες οδηγίες σχετικά με το διορισμό εκπροσώπου. Η άποψη του EDPB είναι ότι οι εποπτικές αρχές στη χώρα όπου είναι εγκατεστημένος ο εκπρόσωπος της επιχείρησης, είναι σε θέση να κινήσουν ενέργειες επιβολής (συμπεριλαμβανομένων των προστίμων) εναντίον ενός εκπροσώπου με τον ίδιο τρόπο που θα μπορούσαν να ασκήσουν εναντίον της βρετανικής επιχείρησης σας.

Με άλλα λόγια, ο εκπρόσωπος που θα ορίσετε, εάν διατηρείτε έδρα στο ΗΒ και υποκατάστημα στην ΕΕ ή τον ΕΟΧ, θα έχει αυτοτελείς ευθύνες και συνέπειες ως προς τις κυρώσεις και τα πρόστιμα.

Η βρετανική κυβέρνηση σκοπεύει, μετά το Brexit, να διαμορφώσει νομοθεσία σύμφωνα με την οποίαμία επιχείρηση που έχει το ρόλο του υπεύθυνου επεξεργασίας, εκτός του ΗΒ - αλλά θέλει να έχει εμπορικές συναλλαγές με το ΗΒ - θα πρέπει να διορίσει αντίστοιχα, έναν εκπρόσωπο εντός του ΗΒ.

*Η κα Αγγελική Μητροπούλου είναι Δικηγόρος (CIPP/E)) - Υπεύθυνος Προστασίας Δεδομένων, και Εταίρος GAGDPR