Συνεχης ενημερωση

    Δευτέρα, 05-Οκτ-2020 00:05

    Η διαβίβαση προσωπικών δεδομένων σε τρίτες χώρες μετά την απόφαση Schrems II -"Now what?"

    • Εκτύπωση
    • Αποστολή με email
    • Προσθήκη στη λίστα ανάγνωσης
    • Μεγαλύτερο μέγεθος κειμένου
    • Μικρότερο μέγεθος κειμένου

    Του Κομνηνού Κόμνιου 

    Σύμφωνα με το Γενικό Κανονισμό για την Προστασία Δεδομένων (ΓΚΠΔ),  η διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες (δηλαδή εκτός του Ευρωπαϊκού Οικονομικού Χώρου) ή προς διεθνείς οργανισμούς, ρυθμίζεται από το Κεφάλαιο V ΓΚΠΔ και επιτρέπεται μόνον εάν η συγκεκριμένη τρίτη χώρα εξασφαλίζει ικανοποιητικό επίπεδο προστασίας των δεδομένων. Για το σκοπό αυτό, σύμφωνα με το άρθρο 45 ΓΚΠΔ, η Ευρωπαϊκή Επιτροπή μπορεί να αποφανθεί ότι μια τρίτη χώρα διασφαλίζει, μέσω της εσωτερικής της νομοθεσίας ή των διεθνών δεσμεύσεων που έχει αναλάβει, επαρκές επίπεδο προστασίας, εκδίδοντας συναφή "απόφαση επάρκειας” της χώρας-εισαγωγέα των δεδομένων.

    Σε συνέχεια της προηγούμενης νομολογίας του (απόφαση Schrems I), δυνάμει της οποίας το Δικαστήριο της ΕΕ (ΔΕΕ) είχε κηρύξει ανίσχυρη την απόφαση 2000/520  της Επιτροπής σύμφωνα με την οποία οι Ηνωμένες Πολιτείες εξασφάλιζαν ικανοποιητικό επίπεδο προστασίας (γνωστή και ως απόφαση "Safe Harbour - ασφαλούς λιμένα"), το ΔΕΕ, με την απόφαση Schrems II, προσφάτως κήρυξε ανίσχυρη και την απόφαση 2016/1250 σχετικά με την επάρκεια της προστασίας που παρέχεται από την ασπίδα προστασίας της ιδιωτικής ζωής Ευρωπαϊκής Ένωσης-Ηνωμένων Πολιτειών (γνωστή και ως απόφαση "EU-US Privacy Shield - ασπίδα προστασίας της ιδιωτικής ζωής"), η οποία είχε εκδοθεί σε αντικατάσταση της ακυρωθείσας απόφασης "ασφαλούς λιμένα".

    Στην απόφαση Schrems II, μεταξύ άλλων, το ΔΕΕ διαπίστωσε ότι η πρόσβαση των αμερικανικών δημοσίων αρχών σε προσωπικά δεδομένα διαβιβαζόμενα από την Ένωση προς τις Ηνωμένες Πολιτείες δεν οριοθετείται με τέτοιο τρόπο, ώστε να ανταποκρίνεται στις απαιτήσεις που επιβάλλει το δίκαιο της Ένωσης (σκέψη 180 επ.). Επιπλέον, διαγνώστηκε ότι αναφορικά με την παρακολούθησή τους από τις αμερικανικές αρχές, δεν παρέχονται στα υποκείμενα των προσωπικών δεδομένων δικαιώματα που να μπορούν να προβληθούν δικαστικά έναντι των αμερικανικών αρχών και, συνεπώς, παραβιάζεται στην ουσία του το θεμελιώδες δικαίωμα των πολιτών στην αποτελεσματική δικαστική προστασία.

    Ως αποτέλεσμα του ανίσχυρου της "EU-US Privacy Shield”, η διαβίβαση προσωπικών δεδομένων προς της ΗΠΑ δεν μπορεί πλέον να θεμελιώνεται στην τελευταία. Ήδη, η  Επίτροπος για την προστασία των δεδομένων και την ελευθερία της πληροφόρησης του Βερολίνου, Μάγια Σμόλτσεκ, κάλεσε τις βερολινέζικες επιχειρήσεις να μεταφέρουν στην Ευρώπη τα δεδομένα προσωπικού χαρακτήρα που διατηρούν αποθηκευμένα στις ΗΠΑ. 

    Στο αυτό πλαίσιο, υπεύθυνοι επεξεργασίας, οι οποίοι χρησιμοποιούν υπηρεσίες υπολογιστικού νέφους (cloud computing), που αποθηκεύουν προσωπικά δεδομένα στις ΗΠΑ, θα πρέπει να ενεργήσουν άμεσα ώστε, κατά κανόνα, να μετακινηθούν σε παρόχους υπηρεσιών στην Ευρωπαϊκή Ένωση ή σε τρίτη χώρα με επαρκές επίπεδο προστασίας δεδομένων.  

    Θα πρέπει, ωστόσο, να σημειωθεί επιπλέον ότι το ΔΕΕ έκρινε ότι η απόφαση 2010/87 της Επιτροπής σχετικά με τις τυποποιημένες συμβατικές ρήτρες για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε εκτελούντες επεξεργασία εγκατεστημένους σε τρίτες χώρες είναι έγκυρη. Αυτό σημαίνει ότι οι λεγόμενες τυποποιημένες συμβατικές ρήτρες που μπορούν να συνάψουν οι ευρωπαϊκές εταιρείες, που διαβιβάζουν προσωπικά δεδομένα εκτός της Ένωσης με τους εισαγωγείς των δεδομένων σε τρίτες χώρες επιτρέπονται καταρχήν υπό ορισμένες προϋποθέσεις, διανοίγοντας (μαζί με τους λεγόμενους "δεσμευτικούς εταιρικούς κανόνες") δυνατότητες επίλυσης του σημαντικού προβλήματος που προέκυψε από την ακύρωση της απόφασης "EU-US Privacy Shield”.

    Ωστόσο, ο εγκατεστημένος εντός της ΕΕ εξαγωγέας των δεδομένων και ο αποδέκτης της διαβίβασης δεδομένων προσωπικού χαρακτήρα υποχρεούνται να ελέγχουν εκ των προτέρων την τήρηση, στην οικεία τρίτη χώρα, του απαιτούμενου από το δίκαιο της Ένωσης επιπέδου προστασίας. Μάλιστα, ο αποδέκτης της διαβίβασης υποχρεούται, κατά περίπτωση,  να ενημερώσει τον εξαγωγέα για τυχόν αδυναμία του να συμμορφωθεί με τις ρήτρες αυτές, οπότε ο τελευταίος οφείλει να αναστείλει τη διαβίβαση δεδομένων και/ή να καταγγείλει τη σύμβαση.

    Με άλλα λόγια, τόσο οι ευρωπαίοι εξαγωγείς δεδομένων, όσο και οι εισαγωγείς δεδομένων σε τρίτη χώρα  έχουν υποχρέωση να ελέγχουν, πριν από την πρώτη διαβίβαση δεδομένων, εάν υπάρχει δυνατότητα για τις δημόσιες αρχές της τρίτης χώρας να έχει πρόσβαση στα διαβιβαζόμενα δεδομένα, κατά τρόπο που υπερβαίνει τα επιτρεπόμενα από το ευρωπαϊκό δίκαιο. Όπου λοιπόν υπάρχουν τέτοια δικαιώματα πρόσβασης των δημόσιων αρχών της τρίτης χώρας στα προσωπικά δεδομένα, οι τυποποιημένες συμβατικές ρήτρες δεν αρκούν για να νομιμοποιήσουν την εξαγωγή δεδομένων. Αντίθετα, τα δεδομένα που έχουν ήδη διαβιβαστεί στην τρίτη χώρα πρέπει να ανακτηθούν, επ’ απειλή οδυνηρών κυρώσεων. Συνεπώς, σε αντίθεση με ό,τι γινόταν ευρέως αποδεκτό μέχρι πρότινος, η απλή σύναψη τυποποιημένων συμβατικών ρητρών δεν επαρκεί για να επιτρέψει τις εξαγωγές δεδομένων.

    Τέλος, πρέπει να επισημανθεί και το καθήκον των αρμόδιων εποπτικών αρχών (π.χ. της ελληνικής Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα) να αναστέλλουν ή να απαγορεύουν τη διαβίβαση δεδομένων σε τρίτη χώρα σύμφωνα με τις τυποποιημένες συμβατικές ρήτρες αν, κατά την άποψη της αρμόδιας αρχής και υπό το πρίσμα όλων των περιστάσεων της εκάστοτε διαβίβασης, οι ρήτρες αυτές δεν τηρούνται ή δεν είναι δυνατόν να τηρηθούν στην εν λόγω τρίτη χώρα, και η προστασία των διαβιβαζόμενων δεδομένων δεν μπορεί να εξασφαλιστεί με άλλο τρόπο. 

    * Ο κ. Κομνηνός Γ. Κόμνιος είναι Δικηγόρος, Διαπιστευμένος Διαμεσολαβητής, Επ. Καθηγητής Διεθνούς Πανεπιστημίου της Ελλάδος
    k.komnios@ihu.edu.gr

    ΣΑΣ ΑΡΕΣΕ ΤΟ ΑΡΘΡΟ;

    ΣΧΕΤΙΚΑ ΑΡΘΡΑ