Συνεχης ενημερωση

    Τετάρτη, 26-Φεβ-2020 00:04

    Brexit και GDPR

    • Εκτύπωση
    • Αποστολή με email
    • Προσθήκη στη λίστα ανάγνωσης
    • Μεγαλύτερο μέγεθος κειμένου
    • Μικρότερο μέγεθος κειμένου

    Του Κομνηνού Κόμνιου 

    Το Ηνωμένο Βασίλειο (Η.Β.) αποχώρησε από την Ε.Ε την 31η Ιανουαρίου 2020. Από την 1η Φεβρουαρίου 2020, τέθηκε σε ισχύ η Συμφωνία Αποχώρησης, η οποία επιδιώκει να διασφαλίσει την ομαλή αποχώρηση, προκειμένου να μην κλονιστεί το αίσθημα ασφάλειας δικαίου για τους πολίτες και τις επιχειρήσεις που επηρεάζονται από την αποχώρηση του Ηνωμένου Βασιλείου. 

    Ταυτόχρονα, από την 1η Φεβρουαρίου 2020, άρχισε η μεταβατική περίοδος, η οποία θα διαρκέσει μέχρι τις 31 Δεκεμβρίου 2020 και κατά την οποία το Η.Β. θα εφαρμόζει το ενωσιακό κεκτημένο χωρίς όμως να συμμετέχει στις συνεδριάσεις Οργάνων της ΕΕ και στη λήψη αποφάσεων. Κατά την ως άνω μεταβατική περίοδο ο Γενικός Κανονισμός Προστασίας Δεδομένων (ΓΚΠΔ) συνεχίζει να εφαρμόζεται κανονικά, όπως και πριν.

    Ωστόσο, με αφετηρία την 01.01.2021, το Η.Β. θα λογίζεται πλέον ως τρίτη χώρα κατά την έννοια του Κανονισμού, όπως είχε ήδη επισημανθεί από τον Ευρωπαϊκό Οργανισμό Προστασίας Δεδομένων (ΕΣΠΔ) σε παλαιότερο ενημερωτικό του σημείωμα. Τρίτη χώρα είναι κάθε χώρα που είναι εκτός του Ευρωπαϊκού Οικονομικού Χώρου (ΕΟΧ). Οι χώρες του ΕΟΧ είναι τα κράτη-μελή της Ευρωπαϊκής Ένωσης, καθώς και η Ισλανδία, η Νορβηγία και το Λιχνενστάιν. Η διαβίβαση δεδομένων εντός του ΕΟΧ είναι ελεύθερη και δεν απαιτεί την τήρηση των εγγυήσεων και προϋποθέσεων του Κεφαλαίου V του Κανονισμού. Ωστόσο, για τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα προς το Η.Β., που είναι πλέον τρίτη χώρα, θα είναι εφαρμοστέο το Κεφάλαιο V ΓΚΠΔ.

    Τα διαθέσιμα μέσα νόμιμης διαβίβασης προσωπικών δεδομένων, σύμφωνα με τα άρθρα 44 επ. ΓΚΠΔ είναι τα ακόλουθα:

    -Δεσμευτικοί εταιρικοί κανόνες
    -Τυποποιημένες ή ad hoc ρήτρες προστασίας δεδομένων
    -Κώδικες δεοντολογίας και μηχανισμοί πιστοποίησης
    -Παρεκκλίσεις (Η χρήση  των παρεκκλίσεων είναι δυνατή  μόνο σε περίπτωση  απουσίας δεσμευτικών εταιρικών κανόνων ή άλλων εναλλακτικών κατάλληλων εγγυήσεων δυνάμει του άρθρου 46 ΓΚΠΔ).

    Η διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα ή διεθνή οργανισμό μπορεί να πραγματοποιηθεί, εφόσον η Ευρωπαϊκή Επιτροπή έχει αποφασίσει ότι διασφαλίζεται επαρκές επίπεδο προστασίας από την τρίτη χώρα ή από τον εν λόγω διεθνή οργανισμό. Για μια τέτοια διαβίβαση δεν απαιτείται άλλη ειδική άδεια ή έγκριση και αυτό σημαίνει ότι τα προσωπικά δεδομένα μπορούν να διαβιβάζονται ελεύθερα προς τις χώρες αυτές. 
Οι αποφάσεις επάρκειας ισχύουν μέχρι να τροποποιηθούν /αντικατασταθούν ή καταργηθούν. Η Ευρωπαϊκή Επιτροπή είχε εκδώσει και κατά το παρελθόν αποφάσεις επάρκειας σχετικά με τρίτες χώρες, όπως, μεταξύ άλλων, η Αργεντινή, η Νέα  Ζηλανδία,  το Ισραήλ και  πρόσφατα η Ιαπωνία.

    Κατά τη διάρκεια της μεταβατικής περιόδου, θα διενεργηθούν διαπραγματεύσεις με το Η.Β. για την έκδοση από την Ευρωπαϊκή Επιτροπή απόφασης επάρκειας, σύμφωνα με το άρθρο 45 ΓΚΠΔ. Η Task Force της Ευρωπαϊκής Επιτροπής για τις Σχέσεις με το Ηνωμένο Βασίλειο επιβεβαίωσε - σε δήλωση της 10ης Ιανουαρίου 2020 - ότι υφίσταται η πολιτική βούληση να επιτευχθεί απόφαση επάρκειας πριν από το τέλος της μεταβατικής περιόδου

    Εάν, τελικώς, επιτευχθεί η έκδοση απόφασης επάρκειας πριν το τέλος της μεταβατικής περιόδου, δεν θα χρειαστεί η ενεργοποίηση των εναλλακτικών  μέσων διαβίβασης. Δεδομένου, μάλιστα, ότι η UK Data Protection Act βασίζεται στον ΓΚΠΔ, ο φιλόδοξος ως άνω στόχος για έκδοση απόφασης είναι πιθανόν να τελεσφορήσει, αλλά είναι αβέβαιο ότι κάτι τέτοιο θα γίνει εμπροθέσμως εντός του 2020. 

    Σε κάθε περίπτωση, προκειμένου για διαβιβάσεις δεδομένων μετά την κρίσιμη μεταβατική περίοδο, οι οργανισμοί θα πρέπει να παρακολουθήσουν την πορεία των κατά τα άνω διαπραγματεύσεων για την έκδοση απόφασης επάρκειας. 

    Αν, πάντως, η σχετική απόφαση δεν έχει εκδοθεί, μέχρι την 31.12.2020, από την 01.01.2021 κατά τη διαβίβαση δεδομένων προς το Ηνωμένο Βασίλειο, θα πρέπει, κατά την καθοδήγηση του ΕΣΠΔ:

    -Να εντοπίσετε τις δραστηριότητες επεξεργασίας που συνεπάγονται διαβίβαση δεδομένων προσωπικού χαρακτήρα προς το Ηνωμένο Βασίλειο.
    -Να προσδιορίσετε ποιο είναι το ενδεδειγμένο μέσο διαβίβασης δεδομένων για την περίπτωσή σας. 
    -Να θέσετε σε εφαρμογή το επιλεγμένο μέσο διαβίβασης δεδομένων, το οποίο πρέπει να είναι έτοιμο για την 1η Ιανουαρίου 2021.
    -Να αναφέρετε στα εσωτερικά έγγραφα τεκμηρίωσης της συμμόρφωσης με τον ΓΚΠΔ  (π.χ. αρχείο δραστηριοτήτων) ότι θα πραγματοποιούνται διαβιβάσεις προς το Ηνωμένο Βασίλειο
    -Να επικαιροποιήσετε αναλόγως την οικεία δήλωση περί προστασίας δεδομένων προς ενημέρωση των ενδιαφερομένων.

    * Ο κ. Κομνηνός Γ. Κόμνιος είναι Δικηγόρος, Διαπιστευμένος Διαμεσολαβητής, Επ. Καθηγητής Διεθνούς Πανεπιστημίου της Ελλάδος
    k.komnios@ihu.edu.gr

    ΣΑΣ ΑΡΕΣΕ ΤΟ ΑΡΘΡΟ;

    ΣΧΕΤΙΚΑ ΑΡΘΡΑ