Συνεχης ενημερωση

    Τρίτη, 16-Φεβ-2021 00:03

    Διαβίβαση προσωπικών δεδομένων μεταξύ Ηνωμένου Βασιλείου και Ευρωπαϊκής Ένωσης

    • Εκτύπωση
    • Αποστολή με email
    • Προσθήκη στη λίστα ανάγνωσης
    • Μεγαλύτερο μέγεθος κειμένου
    • Μικρότερο μέγεθος κειμένου

    Του Κομνηνού Κόμνιου 

    Στις 24 Δεκεμβρίου 2020, μετά από τέσσερα χρόνια δύσκολων διαπραγματεύσεων, το Ηνωμένο Βασίλειο ("Η.Β.") και η Ευρωπαϊκή Ένωση ("Ε.Ε.") κατέληξαν, επιτέλους, σε συμφωνία για τις μελλοντικές τους σχέσεις, εμπορικές, οικονομικές  και ασφαλείας. Πρόκειται για την επονομαζόμενη "Συμφωνία Εμπορίου και Συνεργασίας μεταξύ του Η.Β. και της Ε.Ε." ("Σ.Ε.Σ."). Η Σ.Ε.Σ. ρυθμίζει μεταξύ άλλων και  τη διαβίβαση προσωπικών δεδομένων από την Ε.Ε. προς το Η.Β. 

    Πρέπει εξ αρχής να επισημανθεί ότι το Η.Β., από τη σκοπιά του ευρωπαϊκού δικαίου προστασίας δεδομένων προσωπικού χαρακτήρα, θεωρείται "τρίτη χώρα" σύμφωνα με το σχετικό ορισμό του Γενικού Κανονισμού Προστασίας Προσωπικών Δεδομένων (ΓΚΠΔ), αφού δεν αποτελεί πλέον μέλος της Ε.Ε. (άρθρα 44 επ. ΓΚΠΔ). Αναφορικά με τη διαβίβαση δεδομένων εκτός της Ένωσης, εάν η Ευρωπαϊκή Επιτροπή διαπιστώσει ότι μια τρίτη χώρα διασφαλίζει επαρκές επίπεδο προστασίας, δύναται να εκδώσει απόφαση επάρκειας η οποία έχει δεσμευτική ισχύ. Ενώ η Επιτροπή στόχευε στην έκδοση απόφασης επάρκειας αναφορικά με το Η.Β., οι προβληματισμοί που θα εκτεθούν πιο κάτω, αλλά και το "σφιχτό" χρονικό πλαίσιο κατέστησαν αδύνατη την εμπρόθεσμη υιοθέτηση μιας τέτοιας απόφασης, δηλαδή πριν από το τέλος της μεταβατικής περιόδου (31 Δεκεμβρίου 2020). Έτσι, μετά από κοπιώδεις συζητήσεις, τελικώς υιοθετήθηκε μία ενδιάμεση λύση.


    Απόφαση επάρκειας

    Κατά το άρθρο 44 ΓΚΠΔ, κάθε διαβίβαση δεδομένων προς τρίτη χώρα ή διεθνή οργανισμό πρέπει να είναι νόμιμη σύμφωνα με τις γενικές διατάξεις του ΓΚΠΔ (άρθρα 5, 6, 9) και να πληροί τους όρους του Κεφαλαίου V. Η ελεύθερη ροή δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες με επαρκές επίπεδο προστασίας των δεδομένων προβλέπεται στο άρθρο 45 ΓΚΠΔ. Σε περίπτωση απόφασης επάρκειας, δεν χρειάζεται καμία επιπρόσθετη δικλείδα ασφαλείας, όπως π.χ. Τυποποιημένες Συμβατικές Ρήτρες (άρθρο 46 ΓΚΠΔ) ή Δεσμευτικοί Εταιρικοί Κανόνες (άρθρο 47 ΓΚΠΔ). Είναι προφανές ότι η έκδοση απόφασης επάρκειας από την Ευρωπαϊκή Επιτροπή είναι ευνοϊκότερη για τις επιχειρήσεις, καθόσον, διαφορετικά, οι τελευταίες θα πρέπει να συνάπτουν ειδικές συμβάσεις για τη διαβίβαση προσωπικών δεδομένων, φέροντας μάλιστα και τη σχετική ευθύνη. Εξάλλου, εκτιμάται ότι μία συμφωνία επάρκειας θα σήμαινε εξοικονόμηση  1,6 εκατομμυρίων λιρών για το Ηνωμένο Βασίλειο. 

    Εμπόδια

    H Ευρωπαϊκή Επιτροπή, για δύο κυρίως λόγους, δεν κατάφερε να εκδώσει απόφαση επάρκειας μέχρι το τέλος του 2020. Ο πρώτος λόγος έγκειται στο ότι η προστασία των προσωπικών δεδομένων δεν θα αποτελεί πλέον θεμελιώδες δικαίωμα  στο Η.Β., τουλάχιστον δυνάμει του άρθρου 8 του Χάρτη Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης ("Χάρτης"). Βέβαια, η ως άνω διαπίστωση φαίνεται να μην λαμβάνει επαρκώς υπόψη της ότι το άρθρο 8 της Ευρωπαϊκής Σύμβασης Δικαιωμάτων του Ανθρώπου ("ΕΣΔΑ") εξακολουθεί να εφαρμόζεται στη Μ. Βρετανία. Συναφώς, το Ευρωπαϊκό Δικαστήριο Δικαιωμάτων του Ανθρώπου ("ΕΔΔΑ") έχει αναγνωρίσει ότι το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα περιλαμβάνεται στα δικαιώματα που προστατεύονται βάσει του άρθρου 8 της ΕΣΔΑ, στο οποίο κατοχυρώνεται το δικαίωμα στον σεβασμό της ιδιωτικής και οικογενειακής ζωής, της κατοικίας και της αλληλογραφίας και καθορίζονται οι προϋποθέσεις υπό τις οποίες επιτρέπονται περιορισμοί του εν λόγω δικαιώματος (ΕΔΔΑ, Amann κατά Ελβετίας, 16 Φεβρουαρίου 2000, σκέψη 65 – 67). 

    Δεύτερον, παρόλο που το Η.Β. έχει εκδηλώσει την επιθυμία για επίλυση του ζητήματος της διαβίβασης προσωπικών δεδομένων δια απόφασης επάρκειας, ευλόγως αμφισβητείται η συμβατότητα του βρετανικού νόμου "Ιnvestigatory Powers Act 2016" με τον ΓΚΠΔ. Και τούτο διότι το Δικαστήριο της Ευρωπαϊκής Ένωσης έχει ήδη αποφανθεί ότι το ενωσιακό δίκαιο "αντιτίθεται σε εθνική ρύθμιση η οποία επιτρέπει σε κρατική αρχή να επιβάλλει στους παρόχους υπηρεσιών ηλεκτρονικών επικοινωνιών, με σκοπό τη διαφύλαξη της εθνικής ασφάλειας, υποχρέωση γενικής και χωρίς διάκριση διαβίβασης των δεδομένων κίνησης και των δεδομένων θέσης στις υπηρεσίες ασφαλείας και πληροφοριών". Στο παραπάνω πλαίσιο, η νομοθεσία  του Η.Β. αναφορικά με τις εξουσίες για διενέργεια ερευνών δεν ανταποκρίνεται στο επίπεδο προστασίας της ιδιωτικότητας, που εγγυάται το Δίκαιο της Ε.Ε.

    Ενδιάμεση συμφωνία

    Ενόψει των παραπάνω, η Ε.Ε. και το Η.Β. υιοθέτησαν μια "ενδιάμεση  συμφωνία". Και η Ε.Ε. και το Η.Β. αντιμετώπισαν αυτή τη συμφωνία ως μία μεγάλη προσωρινή επιτυχία. Την Παραμονή των Χριστουγέννων, η Βουλή των Κοινοτήτων (με 521 ψήφους "υπέρ" προς 73 "κατά") ενέκρινε την ενδιάμεση συμφωνία. Αυτή η λύση ουσιαστικά κατοχυρώνει ότι το Η.Β. δεν θα θεωρείται "τρίτη χώρα" για τη διαβίβαση προσωπικών δεδομένων για περίοδο τεσσάρων μηνών, με δυνατότητα παράτασης δύο μηνών,  αρχίζοντας από 1 Ιανουαρίου 2021. 

    Η ενδιάμεση λύση συνεπάγεται ότι, για το παραπάνω χρονικό πλαίσιο, τα άρθρα 44 επ. ΓΚΠΔ συνεχίζουν να μην εφαρμόζονται ως προς το Η.Β., με τη διαβίβαση προσωπικών δεδομένων από την Ε.Ε. προς το Η.Β. να διενεργείται ελεύθερα. Συνεπώς, οι διαβιβάσεις προς το Η.Β. δεν υπόκεινται στις ίδιες προϋποθέσεις με τις διαβιβάσεις προς άλλες τρίτες χώρες. Ουσιαστικά, το Η.Β. τελεί σε μία ιδιόρρυθμη (sui generis) κατάσταση σχετικά με τον ΓΚΠΔ, καθώς διαφέρει από οποιαδήποτε άλλη (τρίτη) χώρα.

    Διαπιστωτικές επισημάνσεις

    Παραμένει ζητούμενο εάν η Ευρωπαϊκή Επιτροπή θα είναι σε θέση να υιοθετήσει απόφαση επάρκειας εντός του 2021, μολονότι οι διαδικασίες προχωρούν με ταχείς ρυθμούς. Μέχρι τότε, τα προσωπικά δεδομένα συνεχίζουν να διαβιβάζονται ελεύθερα από την Ε.Ε. προς το Η.Β. από την 1η Ιανουαρίου 2021, είτε μέχρι την υιοθέτηση τέτοιας απόφασης επάρκειας, είτε για διάρκεια τεσσάρων μηνών με παράταση δύο μηνών. Παράλληλα, η Data Protection Act 2018, η οποία είναι ο εφαρμοστικός νόμος του ΓΚΠΔ, θα συνεχίσει να εφαρμόζεται εντός του Η.Β.

    Δεν θα προκαλέσει εντύπωση, εάν αυτή η ενδιάμεση λύση προκαλέσει δυσφορία στις διεθνείς σχέσεις της Ένωσης, αφού άλλες τρίτες χώρες βρίσκονται σε λιγότερο ευνοϊκή θέση σε σχέση με το Η.Β. Οι Ηνωμένες Πολιτείες της Αμερικής, για παράδειγμα, διατηρούν παρόμοιο σύστημα επιτήρησης με αυτό του Η.Β. Μάλιστα, εντελώς προσφάτως, στην απόφαση Schrems II, το ΔΕΕ διαπίστωσε ότι η πρόσβαση των αμερικανικών δημοσίων αρχών σε προσωπικά δεδομένα διαβιβαζόμενα από την Ένωση προς τις Ηνωμένες Πολιτείες δεν οριοθετείται με τέτοιο τρόπο, ώστε να ανταποκρίνεται στις απαιτήσεις που επιβάλλει το δίκαιο της Ένωσης (σκέψη 180 επ.). 

    Ενόψει των παραπάνω, η μη εφαρμογή των άρθρων 44 επ. ΓΚΠΔ στο Η.Β., ακόμη και για περιορισμένο χρονικό διάστημα, αξιολογείται ως μάλλον προβληματική επιλογή. 


    * Ο κ. Κομνηνός Γ. Κόμνιος είναι Δικηγόρος, Διαπιστευμένος Διαμεσολαβητής, Επ. Καθηγητής Διεθνούς Πανεπιστημίου της Ελλάδος και συγγραφέας του βιβλίου "Γενικός κανονισμός για την προστασία δεδομένων: Προσφυγές – Ευθύνη – Κυρώσεις"

    ΣΑΣ ΑΡΕΣΕ ΤΟ ΑΡΘΡΟ;

    ΣΧΕΤΙΚΑ ΑΡΘΡΑ