Ενημερωτικό σημείωμα: Διεθνείς διαβιβάσεις δεδομένων
μετά την απόφαση του C‑311/18 ΔΕΕ στην υπόθεση Schrems II
Αθήνα, 7 Σεπτεμβρίου 2020
1. Σύντομο Ιστορικό
Η υπόθεση C‑311/18 «Data Protection Commissioner of Ireland v. Facebook & Max Schrems» (εφεξής «Schrems II») του Δικαστηρίου της Ευρωπαϊκής Ένωσης (εφεξής «ΔΕΕ») έθεσε ως επίκεντρο το προδικαστικό ερώτημα που υπεβλήθη, το Μάιο του 2018, από το Ανώτερο Δικαστήριο της Ιρλανδίας ενώπιον του ΔΕΕ, σχετικά με την προσφυγή της Ιρλανδικής Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, ενάντια στο Facebook και τον Max Schrems. Ειδικότερα, αφορά στην καταγγελία που υπέβαλε ο τελευταίος ενώπιον της Ιρλανδικής Αρχής με σκοπό την απαγόρευση διαβίβασης των προσωπικών του δεδομένων βάσει των τυποποιημένων συμβατικών ρητρών προστασίας δεδομένων, οι οποίες περιλαμβάνονταν στο παράρτημα της σχετικής απόφασης της Ευρωπαϊκής Επιτροπής (Standard Contractual Clauses, εφεξής «ΤΣΡ» ή «SCCs»)[1].
Η καταγγελία αυτή ήρθε ως συνέχεια προηγούμενης απόφασης του ΔΕΕ[2], σύμφωνα με την οποία κρίθηκε ως ανίσχυρη η απόφαση επάρκειας για την διαβίβαση των δεδομένων ανάμεσα στην Ε.Ε. και τις Η.Π.Α. (Safe Harbor)[3].
2. Σύνοψη απόφασης Shrems II
Το ΔΕΕ με την απόφαση της 16ης/07/2020, κατέληξε στα ακόλουθα συμπεράσματα:
- Η ισχύουσα απόφαση επάρκειας, για τη διαβίβαση δεδομένων μεταξύ Ε.Ε. και Η.Π.Α. (εφεξής «Privacy Shield»)[4], κρίνεται ως ανίσχυρη,
- Οι ΤΣΡ παραμένουν ισχυρές, ωστόσο, πρέπει να διεξάγεται πριν τη διαβίβαση δεδομένων, η προηγούμενη αξιολόγησή τους από τα μέρη,
- Οι Αρχές Προστασίας Δεδομένων Προσωπικού Χαρακτήρα των κρατών της ΕΟΧ, συμπεριλαμβανομένης και της Ελλάδας (ΑΠΔΠΧ), έχουν καθήκον να αναστείλουν ή να απαγορεύσουν τη μεταφορά δεδομένων σε τρίτη χώρα, βάσει των ΤΣΡ, εάν, κατά την άποψη της ΑΠΔΠΧ και υπό το πρίσμα όλων των περιστάσεων αυτής της μεταφοράς, αυτές οι ρήτρες δεν τηρούνται ή δεν μπορούν να τηρηθούν με αυτήν την τρίτη χώρα.
3. Αντιδράσεις από τις Αρχές Προστασίας Δεδομένων των κρατών-μελών της Ε.Ε.
Ήδη οι Αρχές Προστασίας Δεδομένων (εφεξής «ΑΠΔ») πολλών κρατών μελών έχουν αντιδράσει επισήμως στο θέμα των διαβιβάσεων προσωπικών δεδομένων από την ΕΕ προς τις ΗΠΑ βάσει των ΤΣΡ.
Στο πλαίσιο αυτό, πολλές ΑΠΔ (μεταξύ των οποίων ο BfDI, η Εσθονική Επιθεώρηση Προστασίας Δεδομένων) συμβουλεύουν τους Υπεύθυνους Επεξεργασίας να χρησιμοποιούν παρόχους υπηρεσιών που εδρεύουν στην ΕΕ ή σε άλλη τρίτη χώρα με επαρκή επίπεδο προστασίας αντί των ΗΠΑ, ενώ καλούν τους υπεύθυνους επεξεργασίας να αξιολογήσουν την ύπαρξη κατάλληλων εγγυήσεων και διασφαλίσεων για τη μεταφορά δεδομένων στις ΗΠΑ.
Παράλληλα, σε πολλές δηλώσεις των ΑΠΔ υπογραμμίζεται ότι η απόφαση «επικύρωσε» τη χρήση των ΤΣΡ ως μηχανισμού μεταφοράς. Χαρακτηριστικό παράδειγμα αποτελεί το Γραφείο Επιτρόπου Πληροφοριών (ICO) του Ηνωμένου Βασιλείου, το οποίο εξέφρασε την ετοιμότητά του να εργαστεί «για να διασφαλίσει τη συνέχιση της ροής παγκόσμιων δεδομένων», η Datatilsynet της Δανίας, η οποία δήλωσε ότι οι ΤΣΡ είναι «γενικά ακόμη έγκυρες», το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων, η Επιτροπή της Γαλλίας (CNIL), η Πολωνική «Urząd Ochrony Danych Osobowych», η Εθνική Εποπτική Αρχή για την Επεξεργασία Προσωπικών Δεδομένων της Ρουμανίας (ANSPDCP), ο Επίτροπος Πληροφοριών της Σλοβενίας, η Ισπανική «Agencia Española de Protección de Datos», η Επιθεώρηση Προστασίας Δεδομένων της Λιθουανίας και ο Ομοσπονδιακός Επίτροπος Προστασίας Δεδομένων και Πληροφοριών της Ελβετίας (που σημείωσε, ωστόσο, ότι η απόφαση δεν είναι άμεσα εφαρμόσιμη σε εκείνον). Η δε Ελληνική ΑΠΔΠΧ αναμένεται να εκδώσει σύντομα και τη δική της σχετική γνωμοδότηση στο προσεχές χρονικό διάστημα.
4. Υποχρεώσεις υπευθύνων επεξεργασίας μετά την Schrems II
Οι υπεύθυνοι επεξεργασίας που πραγματοποιούν διαβιβάσεις δεδομένων προσωπικού χαρακτήρα στις Η.Π.Α. και έχουν στηρίξει τη διαβίβαση δεδομένων στο σύστημα Privacy Shield, θα πρέπει να επαναπροσδιορίσουν άμεσα τη νομική βάση διαβίβασης.
Για τις διαβιβάσεις που θα χρησιμοποιήσουν ως νόμιμη βάση διαβίβασης τις ΤΣΡ, είναι απαραίτητο να διεξαχθεί προηγούμενη αξιολόγηση από πλευράς του εξαγωγέα ή/και του εισαγωγέα των δεδομένων προσωπικού χαρακτήρα.
Τα στοιχεία που πρέπει να ληφθούν υπόψη κατά τη διενέργεια μιας τέτοιας προηγούμενης αξιολόγησης είναι:
- το περιεχόμενο των ΤΣΡ,
- οι ειδικές περιστάσεις της διαβίβασης,
- το νομικό καθεστώς που εφαρμόζεται στη χώρα του εισαγωγέα υπό το φως των μη εξαντλητικών παραγόντων που ορίζονται στον ΓΚΠΔ[5].
Εάν η αξιολόγηση οδηγεί στο συμπέρασμα ότι η χώρα του εισαγωγέα των δεδομένων δεν παρέχει ουσιαστικά ισοδύναμο επίπεδο προστασίας με αυτό της Ε.Ε., ο εξαγωγέας δεδομένων θα πρέπει να εφαρμόσει πρόσθετα μέτρα έναντι εκείνων που περιλαμβάνονται στις ΤΣΡ.
Ειδικότερα, όταν οι συμβατικές υποχρεώσεις των ΤΣΡ δεν τηρούνται ή δεν μπορούν να τηρηθούν, ο εξαγωγέας δεδομένων υποχρεούται είτε να αναστείλει τη μεταφορά δεδομένων, είτε να επιλέξει άλλη νομική βάση, είτε να ενημερώσει την αρμόδια εποπτική αρχή προστασίας δεδομένων προσωπικού χαρακτήρα σε περίπτωση που σκοπεύει να συνεχίσει τη μεταφορά δεδομένων.
Ο Υπεύθυνος Προστασίας Δεδομένων (DPO) ενός οργανισμού κατέχει καθοριστικό ρόλο με τη συνδρομή του στον προσδιορισμό της, κατά περίπτωση, κατάλληλης νομικής βάσης διαβίβασης δεδομένων, καθώς και στη διεξαγωγή των απαραίτητων προπαρασκευαστικών πράξεων (λ.χ. προηγούμενη αξιολόγηση για την χρήση ΤΣΡ) για την ομαλή μετάβαση στο νέο νομικό καθεστώς.
Για τη Δικηγορική Εταιρεία
«ΝΙΚΟΛΑΣ ΚΑΝΕΛΛΟΠΟΥΛΟΣ – ΧΑΡΑ ΖΕΡΒΑ &
ΣΥΝΕΡΓΑΤΕΣ ΔΙΚΗΓΟΡΙΚΗ ΕΤΑΙΡΕΙΑ»,
ΧΑΡΑ Δ. ΖΕΡΒΑ ΣΤΕΡΓΙΟΣ Φ. ΚΩΝΣΤΑΝΤΙΝΟΥ
Διαχειρίστρια Εταίρος Δικηγόρος, Advanced LLM, CIPP/E
ΠΑΡΑΡΤΗΜΑ – ΔΗΛΩΣΕΙΣ ΘΕΣΜΩΝ ΤΗΣ ΕΕ, ΑΠΔ ΚΡΑΤΩΝ ΜΕΛΩΝ ΚΑΙ ΤΩΝ Η.Π.Α.
Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων
Ευρωπαίος Επόπτης Προστασίας Δεδομένων
Tσεχία
Δανία
Εσθονία
Γαλλία
Γερμανία
- Μπάτεν – Βούτεμπεργκ: Δήλωση
- Βερολίνο: Δήλωση
- Ομοσπονδιακό: Δήλωση
- Αμβούργο: Δήλωση
- Ρηνανία-Παλατινάτο:Δήλωση, Συχνές Ερωτήσεις
- Θουριγία: Δήλωση
- Ολομέλεια Γερμανικών ΑΠΔ: Δήλωση
Ιρλανδία
Ιταλία
Λιχτενστάιν
Λιθουανία
Ολλανδία
Νορβηγία
Πολωνία
Σλοβενία
Ισπανία
Σουηδία
Ηνωμένο Βασίλειο
Υπουργείο Εμπορίου των Η.Π.Α.
- Δήλωση
- Συχνές Ερωτήσεις – Σουηδία – ΗΠΑ Privacy Shield
- Συχνές Ερωτήσεις – ΕΕ-ΗΠΑ Privacy Shield Program Update
[1] Απόφαση 2010/87/ΕΕ της Ευρωπαϊκής Επιτροπής, της 5ης Φεβρουαρίου 2010, σχετικά με τις τυποποιημένες συμβατικές ρήτρες για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε εκτελούντες επεξεργασία εγκατεστημένους σε τρίτες χώρες βάσει της οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (ΕΕ 2010, L 39, σ. 5), όπως τροποποιήθηκε με την εκτελεστική απόφαση (ΕΕ) 2016/2297 της Επιτροπής, της 16ης Δεκεμβρίου 2016 (ΕΕ 2016, L 344, σ. 100)
[2] Απόφαση της 6ης Οκτωβρίου 2015, Schrems, C‑362/14, EU:C:2015:650
[3] 2000/520/ΕΚ: Απόφαση της Επιτροπής, της 26ης Ιουλίου 2000, βάσει της οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με την επάρκεια της προστασίας που παρέχεται από τις αρχές ασφαλούς λιμένα για την προστασία της ιδιωτικής ζωής και τις συναφείς συχνές ερωτήσεις που εκδίδονται από το Υπουργείο Εμπορίου των ΗΠΑ [κοινοποιηθείσα υπό τον αριθμό Ε(2000) 2441]
[4] Εκτελεστική απόφαση (ΕΕ) 2016/1250 της Επιτροπής, της 12ης Ιουλίου 2016, βάσει της οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με την επάρκεια της προστασίας που παρέχεται από την ασπίδα προστασίας της ιδιωτικής ζωής ΕΕ–ΗΠΑ [κοινοποιηθείσα υπό τον αριθμό C(2016) 4176]
[5] Άρθρο 45§2