Η διασυνοριακή ροή δεδομένων υπό το πρίσμα του ΓΚΠΔ

GDPR

           Η διασυνοριακή ροή δεδομένων υπό το πρίσμα του ΓΚΠΔ             

Ι Ω Α Ν Ν Α     Π Α Π Α Ι Ω Α Ν Ν Ο Υ

                                       Δ Ι Κ Η Γ Ο Ρ Ο Σ

                                       ΘΕΜΑ ΕΡΓΑΣΙΑΣ

«Η ΔΙΑΣΥΝΟΡΙΑΚΗ ΡΟΗ ΔΕΔΟΜΕΝΩΝ ΥΠΟ ΤΟ ΠΡΙΣΜΑ ΤΟΥ ΓΕΝΙΚΟΥ ΚΑΝΟΝΙΣΜΟΥ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ»

                                      ΕΠΙΒΛΕΠΩΝ ΚΑΘΗΓΗΤΗΣ

                                         ΑΘΑΝΑΣΙΟΣ ΔΑΒΑΛΑΣ

                                       ΠΑΝΕΠΙΣΤΗΜΙΟ ΑΙΓΑΙΟΥ

                                                CERTIFIED DPO

                                                   MAΙΟΣ 2023

ΠΕΡΙΕΧΟΜΕΝΑ

  1. ΠΡΟΛΟΓΟΣ

  1. ΓΚΠΔ – ΝΟΜΟΘΕΤΙΚΟ ΚΑΘΕΣΤΩΣ

  1. ΔΙΑΣΥΝΟΡΙΑΚΗ ΡΟΗ ΔΕΔΟΜΕΝΩΝ
  2. Έννοια
  3. Νομοθετικό Πλαίσιο
  • Η διασυνοριακή Ροή Υπό το Πρίσμα του ΓΚΠΔ 2016/679
  1. Η.Π.Α. – Ασπίδα Προστασίας

  1. ΤΡΙΤΕΣ ΧΩΡΕΣ

  1. ΣΥΜΠΕΡΑΣΜΑΤΑ

ΠΡΟΛΟΓΟΣ

Στη σύγχρονη εποχή της επιστημονικής προόδου δικαίως δόθηκε το προσωνύμιο «Εποχή της πληροφορίας», μιας και η ανθρωπότητα κατακλύζεται από νέα δεδομένα, που διαμορφώνουν μια νέα πραγματικότητα και μεταλλάσσουν τη ζωή του ανθρώπου και της κοινωνίας σε όλες της τις εκφάνσεις.

Το άτομο στην προσωπική και επαγγελματική του ζωή βιώνει καθημερινά τις συνέπειες της ψηφιοποίησης, της αυτοματοποίησης, της πληροφορίας που συλλέγεται μέσω του διαδικτύου, βιώνει την επενέργεια του διαδικτύου στις σχέσεις του με το Κράτος και τους Δημόσιους φορείς ή με τρίτα νομικά & φυσικά πρόσωπα, ενώ παράλληλα καλείται να συμμετέχει σε μορφές συναλλαγών με τις οποίες δεν έχει εξοικειωθεί όντας μέρος μιας παγκόσμιας αγοράς και οικονομίας, που του επιβάλλει κανόνες και νόρμες.

Ως εκ τούτου, οι νέες συνθήκες καταδεικνύουν την αναγκαιότητα προσαρμογής της κοινωνίας μα πρωτίστως επιτάσσουν την ενσωμάτωση των εξελίξεων από τη νομοθεσία προκειμένου ένα νέο νομοθετικό πλαίσιο να καλύψει το κενό που έχει δημιουργηθεί, προκρίνοντας την ταχύτητα των συναλλαγών μα μέσα σε ένα πλέγμα κανόνων ασφάλειας θέτοντας στο επίκεντρο αυτού τις θεμελιώδεις ελευθερίες του ατόμου.

 

ΝΟΜΟΘΕΤΙΚΟ ΚΑΘΕΣΤΩΣ

 

ΕΙΣΑΓΩΓΗ

Ο νομοθέτης πάντα αφουγκράζεται την κοινωνία, τις ανάγκες της, τις  εξελίξεις στην επιστήμη, στο εμπόριο, στην οικονομία, στις σχέσεις των ατόμων μεταξύ τους και με την Πολιτεία, στις διακρατικές σχέσεις και αφομοιώνει τις επιταγές του κοινωνικού γίγνεσθαι μέσα από διαρκείς προσαρμογές της νομοθεσίας.

Επομένως, δεν θα μπορούσε ο νομοθέτης να αγνοήσει το ιστορικό γίγνεσθαι και τις μεταλλάξεις στις διεθνείς συναλλαγές, στο τραπεζικό και χρηματοπιστωτικό σύστημα που υιοθετεί νέα εργαλεία, στο ηλεκτρονικό εμπόριο, στις νέες τεχνολογίες, τομείς που αποτελούν τους πυλώνες της σημερινής ψηφιακής παγκόσμιας οικονομίας, όπου η μεταβίβαση δεδομένων μεταξύ προσώπων και εταιρειών ακολουθεί αλματώδη ρυθμό, ενώ η επεξεργασία αυτών συντελείται σε ευρεία κλίμακα δίνοντας μια διαφορετική διάσταση στην έννοια των δεδομένων προσωπικού χαρακτήρα αλλά και στην διαβίβαση και κυρίως στη διασυνοριακή ροή των δεδομένων με εμφανή την ανάγκη λήψης πρόσθετων μέτρων.

Η Ευρωπαϊκή Ένωση αναγνωρίζοντας την σημασία της διαβίβασης και επεξεργασίας των προσωπικών δεδομένων και διαβλέποντας την επιτακτική ανάγκη προστασίας των θεμελιωδών δικαιωμάτων και ελευθεριών του ατόμου από την εν λόγω διαβίβαση και επεξεργασία των προσωπικών του δεδομένων, υπήρξε πρωτοπόρος στη θέσπιση σχετικού νομοθετικού πλαισίου.

Ειδικότερα:

  1. Προισχύον νομοθετικό καθεστώς

Η διαβίβαση και επεξεργασία δεδομένων προσωπικού χαρακτήρα υπό το προισχύσαν δίκαιο διέπονταν από μια σειρά Οδηγιών. Συγκεκριμένα:

Α. Οδηγία 97/66 Ευρωπαϊκού Κοινοβουλίου και Συμβουλίου, όπως αντικαταστάθηκε από την Οδηγία 2002/58/ΕΚ που τροποποιήθηκε από την Οδηγία 2006/24/ΕΚ και τον Κανονισμό (ΕΚ) 45/2001.

Β. Οδηγία 95/46 ΕΚ που εισήγαγε κανόνες, οι οποίοι αφορούσαν στη νομιμότητα επεξεργασίας των δεδομένων προσωπικού χαρακτήρα προκρίνοντας τη θέσπιση από τα κράτη – μέλη Ανεξάρτητων Εθνικών Αρχών και εισάγοντας τις έννοιες της γνωστοποίησης της επεξεργασίας δεδομένων και της συγκατάθεσης, ενώ οριοθέτησε με νομικούς όρους τη διασυνοριακή μεταβίβαση δεδομένων προσωπικού χαρακτήρα εκτός των ορίων της Ε.Ε. θέτοντας μια σειρά από κριτήρια, όπως η επάρκεια προστασίας, η συναίνεση του προσώπου, η αναγκαιότητα ροής δεδομένων προσωπικού χαρακτήρα για τη σύναψη και την εκτέλεση συμφωνιών.

  1. Ισχύον νομοθετικό καθεστώς

Το γεγονός ότι το προισχύσαν νομοθετικό καθεστώς δεν γνώρισε καθολική εφαρμογή από όλα τα κράτη – μέλη της Ε.Ε., οι τεχνολογικές εξελίξεις και οι νέες μορφές συναλλαγών σε διεθνές επίπεδο κατέστησαν αναχρονιστικό το προισχύσαν νομοθετικό πλαίσιο, η αναμόρφωση δε αυτού του πλαισίου οδήγησε στην ψήφιση του ΓΚΠΔ τον Απρίλιο 2016, ο οποίος τέθηκε σε ισχύ τον Μάιο του 2016 και σε εφαρμογή στις 25 Μαίου του 2018.

Ο ΓΚΠΔ 2016/679 είναι ένα νομοθέτημα 99 άρθρων, που φέρει μια σειρά καινοτομιών στις διατάξεις του. Από τα πρώτα του άρθρα συνάγεται με σαφήνεια το πεδίο εφαρμογής του, καθώς θέτει στο κέντρο της προστασίας του τα θεμελιώδη δικαιώματα και τις ελευθερίες των φυσικών προσώπων, την προστασία της ιδιωτικότητας και ως εκ τούτου την προστασία δεδομένων προσωπικού χαρακτήρα (άρθρο 8 § 1 – Χάρτης Θεμελιωδών Δικαιωμάτων της ΕΕ, άρθρο 16 § 1 – Συνθήκη για τη λειτουργία της ΕΕ).

Επιπροσθέτως, καινοτομεί εισάγοντας το εδαφικό κριτήριο, ήτοι: α) την εφαρμογή του Κανονισμού σε όλα τα κράτη – μέλη της Ε.Ε., τα οποία πρέπει να συμμορφώνονται με τις επιταγές του και β) την εφαρμογή του Κανονισμού και τη συμμόρφωση με τις επιταγές του από τις επιχειρήσεις που αναπτύσσουν τη δραστηριότητά τους εντός της Ε.Ε. ακόμη κι όταν έχουν την έδρα τους εκτός των ορίων αυτής.

Καινοτομία όμως αποτελεί η κατοχύρωση των αρχών της ασφάλειας και της λογοδοσίας στο κεφάλαιο (II) του ΓΚΠΔ. Τις ως άνω αρχές συναριθμεί με τις γενικές αρχές της προστασίας των προσωπικών δεδομένων, της νομιμότητας, της διαφάνειας, της ελαχιστοποίησης των δεδομένων, του περιορισμού του χρόνου αποθήκευσης, του περιορισμού του σκοπού.

Περαιτέρω, οριοθετεί τις αρμοδιότητες των Ανεξάρτητων Εθνικών Αρχών, όπου στο πλαίσιο του θεσμικού τους ρόλου παρέχουν εξειδικευμένες συμβουλές και χειρίζονται τις καταγγελίες για παραβιάσεις των κανόνων προστασίας προσωπικών δεδομένων. Ο επικεφαλής της Ανεξάρτητης Αρχής κάθε κράτους – μέλους συμμετέχει στο Ευρωπαϊκό Συμβούλιο Προστασίας Προσωπικών Δεδομένων (ΕΣΠΠΔ) μαζί με τον Επόπτη Προστασίας Δεδομένων. Η ιδιαίτερη θέση που ο ΓΚΠΔ επεφύλασσε στις Ανεξάρτητες Εθνικές Αρχές προκύπτει και από την υιοθέτηση του μηχανισμού «μιας στάσης», με τον οποίο διασφαλίζεται η συνεργασία μεταξύ των Εθνικών Αρχών κατά την διασυνοριακή επεξεργασία των δεδομένων. Επιπροσθέτως, ο ΓΚΠΔ ορίζει ότι Επικεφαλής εποπτική αρχή είναι η εποπτική αρχή της χώρας στην οποία βρίσκεται η κύρια εγκατάσταση του οργανισμού (άρθρο 56 ΓΚΠΔ). Η επικεφαλής εποπτική αρχή είναι υπεύθυνη για την εποπτεία των δραστηριοτήτων διασυνοριακής επεξεργασίας (βλ. «ορισμοί» άρθρο 4 σημείο 23 ΓΚΠΔ) (www.dpa.gr).

Αξίζει να σημειωθεί, ότι το πλέγμα των διατάξεων του ΓΚΠΔ ενισχύει την προστασία της προσωπικής ζωής του ατόμου μέσα από την κατοχύρωση δικαιωμάτων του υποκειμένου κατά την επεξεργασία των δεδομένων του, τα οποία είναι τα ακόλουθα:

  • Το δικαίωμα πληροφόρησης (άρθρα 13 και 14)
  • Το δικαίωμα πρόσβασης στα δεδομένα που συλλέγει ο υπεύθυνος ή εκτελών την επεξεργασία
  • Το δικαίωμα διόρθωσης και διαγραφής (δικαίωμα στη λήθη) ανακριβών δεδομένων
  • Το δικαίωμα στη φορητότητα των δεδομένων
  • Δικαίωμα εναντίωσης στην αυτοματοποιημένη επεξεργασία δεδομένων.

Εισάγει μια ακόμη καινοτομία o ΓΚΠΔ στο επίπεδο των κυρώσεων επιβάλλοντας αυστηρά διοικητικά πρόστιμα σε περίπτωση παραβίασης των διατάξεών του, που αγγίζουν ακόμη και το ποσό των είκοσι εκατομμυρίων ευρώ κατά περίπτωση.

 

ΔΙΑΣΥΝΟΡΙΑΚΗ ΡΟΗ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ

 

  1. ΕΙΣΑΓΩΓΗ

Ο όρος της διασυνοριακής ροής δεδομένων καλύπτει τη διαβίβαση αυτών σε μια ευρεία κλίμακα, σε ένα παγκόσμιο περιβάλλον, όπου δραστηριοποιούνται Όμιλοι εταιρειών, πολυεθνικές εταιρείες, διεθνείς οργανισμοί και Κράτη. Η πολυεπίπεδη παγκόσμια οικονομία, η κοινωνία των ανοιχτών συνόρων, η εποχή του “cloud” και του “e-commerce”,   καθώς εισέρχεται στο χώρο της τεχνητής νοημοσύνης “Al, στηρίζεται ολοένα και περισσότερο στην ευρεία ροή δεδομένων προσωπικού χαρακτήρα “data flow”, η οποία προσδίδει νέες διαστάσεις στην επιστημονική έρευνα, στην ιατρική, στη μεταφορά αγαθών και υπηρεσιών, στο επιχειρείν, στις διακρατικές σχέσεις.

Πάραυτα, ο «κίνδυνος» ελλοχεύει… οι συνέπειες από την αλόγιστη, αβασάνιστη και δίχως περιορισμούς χρήση δεδομένων θέτει ερωτηματικά, δημιουργεί αμφισβητήσεις και συγκεντρώνει το ενδιαφέρον της επιστημονικής κοινότητας γύρω από την ασφάλεια της ιδιωτικής σφαίρας του ατόμου, την ασφάλεια των διεθνών συναλλαγών, αλλά και γύρω από την εθνική ασφάλεια κρατών. Η ψηφιακή εποχή αναδεικνύει την επιτακτική ανάγκη σύγκλισης των διαφορετικών δικαιικών συστημάτων για την ρύθμιση της διασυνοριακής ροής δεδομένων.

  1. ΝΟΜΟΘΕΤΙΚΟ ΠΛΑΙΣΙΟ

Η αναγκαιότητα ρύθμισης της διασυνοριακής διαβίβασης δεδομένων προσωπικού χαρακτήρα διαφάνηκε από τον περασμένο αιώνα με τον ΟΟΣΑ να εισάγει τον πρώτο διεθνή Κανονισμό, όπου ετέθη το πλαίσιο προστασίας χωρίς όμως οι διατάξεις του να έχουν δεσμευτική ισχύ (www.oecd.org).

Το Συμβούλιο της Ευρώπης το 1981 καινοτόμησε έναντι του ΟΟΣΑ με την υπογραφή της «Σύμβασης 108», όπως έμεινε γνωστή στο νομικό κόσμο, στοχεύοντας στην προστασία της ιδιωτικής ζωής του ατόμου έναντι της αυτοματοποιημένης επεξεργασίας των προσωπικών δεδομένων του, ενώ οι διατάξεις της περιβλήθηκαν με δεσμευτική ισχύ και συμπληρώθηκαν από το Πρωτόκολλο του 2001, με το οποίο επιβλήθηκε για πρώτη φορά στα κράτη η σύσταση Ανεξάρτητων Εθνικών Αρχών.

Το 1995 η Ε.Ε. προχωρά ένα βήμα παρακάτω με την Οδηγία 95/46 (άρθρο 25 παρ. 1), η οποία πρόβαλε την έννοια της επάρκειας, κεντρικό όρο της διασυνοριακής ροής δεδομένων υπό το πρίσμα του ΓΚΠΔ.

  • Η διασυνοριακή ροή δεδομένων υπό το πρίσμα του ΓΚΠΔ

Διασυνοριακή ροή δεδομένων στο ΓΚΠΔ O ΓΚΠΔ είναι ένα νομοθέτημα 99 άρθρων, όπου στο πέμπτο (V) κεφάλαιο πραγματεύεται στα άρθρα 44 έως και 50 τη διαδικασία και τις αρχές διαβίβασης δεδομένων προσωπικού χαρακτήρα μεταξύ ομίλων εταιρειών, μεταξύ των κρατών – μελών της Ε.Ε. αλλά και τη διαβίβαση δεδομένων σε τρίτες χώρες και διεθνείς οργανισμούς με σκοπό να διασφαλίζεται το «επαρκές» επίπεδο προστασίας των δεδομένων τόσο κατά το στάδιο της αρχικής διαβίβασης όσο και κατά την όποια διαβίβαση στη συνέχεια.

Ειδικότερα:

  • Άρθρο 45 – Απόφαση Επάρκειας

Προυπόθεση για τη διασυνοριακή διαβίβαση είναι η απόφαση της Επιτροπής για την επάρκεια του επιπέδου προστασίας που παρέχει το τρίτο κράτος ή ο διεθνής οργανισμός στο οποίο γίνεται η διαβίβαση.

Η κρίση της Επιτροπής στηρίζεται σε μια σειρά κριτηρίων, όπως το κράτος δικαίου, ο σεβασμός των ανθρωπίνων δικαιωμάτων και των θεμελιωδών ελευθεριών του ατόμου, η νομοθεσία που αφορά στη δημόσια ασφάλεια, την άμυνα, το ποινικό δίκαιο, την εφαρμογή της νομοθεσίας, τους κανόνες προστασίας προσωπικών δεδομένων, τους κανόνες περαιτέρω διαβίβασης των δεδομένων σε άλλες χώρες και οργανισμούς, καθώς και τα εκτελεστικά δικαιώματα των υποκειμένων αλλά και τα δικαστικά μέσα προσφυγής. Περαιτέρω, ερευνάται η ύπαρξη και αποτελεσματική λειτουργία των εποπτικών αρχών, καθώς και οι διεθνείς δεσμεύσεις που έχει αναλάβει η τρίτη χώρα ή ο Οργανισμός, όπως είναι οι δεσμεύσεις από συμβάσεις. Αυτό που κρίνεται είναι αν εξασφαλίζεται ισοδύναμο επίπεδο προστασίας με αυτό της Ε.Ε.

Η απόφαση της Επιτροπής έχει τον χαρακτήρα εκτελεστικής πράξης, που εκδίδεται σύμφωνα με το άρθρο 93 παρ. 2 και προσδιορίζει την εδαφική και τομεακή εφαρμογή της, ενώ υπόκειται σε 4ετή αναθεώρηση. Προς τούτο, η Επιτροπή παρακολουθεί τις εξελίξεις σε τρίτες χώρες και διεθνείς Οργανισμούς και όπου διαπιστώνεται ότι δεν τηρούνται οι αποφάσεις βάσει των προυποθέσεων του άρ. 45, τροποποιεί, αναστέλλει, καταργεί αυτές μέσω εκτελεστικών πράξεων χωρίς αναδρομική ισχύ. Το άρθρο 45 προβλέπει τους όρους επανόρθωσης στις ανωτέρω περιπτώσεις. Τέλος, η Επιτροπή δημοσιεύει στην Εφημερίδα της Ε.Ε. και στον ιστότοπό της κατάλογο τρίτων χωρών / διεθνών οργανισμών, όπου διασφαλίζεται επαρκές επίπεδο προστασίας.

  • Άρθρο 46 – Εγγυήσεις

Εν ελλείψει απόφασης της Επιτροπής του άρθρου 45, η διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα / Διεθνή Οργανισμό μπορεί να γίνει μόνο με την παροχή εγγυήσεων και υπό την προυπόθεση ύπαρξης εκτελεστών δικαιωμάτων και αποτελεσματικών ενδίκων μέσων για τα υποκείμενα δεδομένων.

Οι εγγυήσεις μπορεί να προβλέπονται μέσω:

  • Ενός νομικά δεσμευτικού και εκτελεστού μέσου μεταξύ δημόσιων αρχών / φορέων
  • Δεσμευτικών εταιρικών κανόνων
  • Τυποποιημένων ρητρών προστασίας δεδομένων που εκδίδονται από την Επιτροπή ή από την εποπτική αρχή
  • Κώδικα δεοντολογίας σύμφωνα με το άρθρο 40
  • Μηχανισμού πιστοποίησης σύμφωνα με το άρθρο 42

Δεν απαιτείται άδεια της εποπτικής αρχής για τις εγγυήσεις. Με την επιφύλαξη περί της άδειας, οι εγγυήσεις μπορούν να παρέχονται μέσω:

  • Συμβατικών ρητρών μεταξύ του εισαγωγέα – εξαγωγέα δεδομένων
  • Διατάξεων διοικητικών ρυθμίσεων μεταξύ δημόσιων αρχών ή φορέων που περιλαμβάνουν εκτελεστά και ουσιαστικά δικαιώματα υποκειμένων δεδομένων.

Αξίζει να σημειωθεί ότι στις περιπτώσεις αυτές εφαρμόζεται ο μηχανισμός συνεκτικότητας του άρθρου 63 για να εξασφαλίζεται η καθολική εφαρμογή του Κανονισμού στην Ε.Ε.

  • Άρθρο 47 – Εταιρικοί κανόνες (Binding Corporate Rules)

Ο Κανονισμός  κατοχυρώνει πλέον ρητά τα ερμηνευτικά συμπεράσματα που είχε διατυπώσει η Ομάδα εργασίας του άρθρου 29 στα διάφορα κείμενα εργασίας (WP). Σύμφωνα με το άρθρο 4 παρ. 20, τα BCR είναι οι πολιτικές προστασίας προσωπικών δεδομένων, τις οποίες ακολουθεί ένας υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία εγκατεστημένος στο έδαφος κράτους μέλους για διαβιβάσεις δεδομένων σε υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία σε μία ή περισσότερες τρίτες χώρες εντός ομίλου επιχειρήσεων ή ομίλου εταιρειών που ασκεί κοινή οικονομική δραστηριότητα (άρθρο 47, Εισ. Σκ. 110 ΓΚΠΔ). Ο ΓΚΠΔ διευρύνει εν προκειμένω την εφαρμογή BCR και την επεκτείνει όχι μόνο σε ομίλους επιχειρήσεων (ορισμός άρθρο 4 παρ. 19, εισ. σκ. 37), αλλά και σε χαλαρότερες μορφές συνεργασίας, π.χ. κοινοπραξίες (www.dpa.gr).

Τα BCR διακρίνονται σε αυτά που αφορούν υπευθύνους επεξεργασίας και αυτά που απευθύνονται σε εκτελούντες την επεξεργασία. Πρέπει να είναι νομικά δεσμευτικά, να εφαρμόζονται σε κάθε μέλος του ομίλου και να επιβάλλονται από κάθε μέλος του ομίλου, περιλαμβανομένων των υπαλλήλων, να απονέμουν εκτελεστά δικαιώματα στα υποκείμενα και να περιέχουν τα στοιχεία της παρ. 2 του άρ. 47.

Τα BCR εγκρίνονται από την αρμόδια Εποπτική Αρχή, σύμφωνα με τον μηχανισμό συνεκτικότητας (άρ. 47, 63 ΓΚΠΔ). Δεν απαιτείται η έκδοση εθνικής άδειας από κάθε ενδιαφερόμενη Εποπτική Αρχή. Σε αυτό το σημείο έγκειται η αξία της ρύθμισης αυτής, καθώς διευκολύνει τη ροή δεδομένων εντός του ομίλου επιχειρήσεων ή του ομίλου εταιρειών με κοινή οικονομική δραστηριότητα με τρόπο, ώστε να απαλλάσσονται από χρονοβόρες και κοστοβόρες διαδικασίες.

 

  • Άρθρο 48 – μη επιτρεπόμενες διαβιβάσεις

Διαβιβάσεις σε δικαστήριο ή διοικητική αρχή τρίτης χώρας που απαιτεί από υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία να διαβιβάσει ή να κοινοποιήσει προσωπικά δεδομένα είναι επιτρεπτές, μόνον εάν οι αποφάσεις των αλλοδαπών αρχών βασίζονται σε διεθνή συμφωνία (όπως σύμβαση αμοιβαίας δικαστικής συνδρομής), που ισχύει μεταξύ της αιτούσας τρίτης χώρας και της ΕΕ ή κράτους μέλους, με την επιφύλαξη άλλων λόγων διαβίβασης (www.dpa.gr).

  • Άρθρο 49 – Παρεκκλίσεις

Οι παρεκκλίσεις αποτελούν εξαίρεση από τον κανόνα των άρθρων 45 & 46 ΓΚΠΔ. Ως εκ τούτου, ελλείψει απόφασης επάρκειας ή εγγυήσεων, η διαβίβαση σε τρίτη χώρα / Διεθνή Οργανισμό γίνεται υπό προυποθέσεις, όπως:

  1. Ενημέρωση για τους κινδύνους της διαβίβασης & συγκατάθεση του υποκειμένου
  2. η διαβίβαση είναι απαραίτητη για την εκτέλεση σύμβασης μεταξύ του υποκειμένου και του υπευθύνου επεξεργασίας ή την εφαρμογή προσυμβατικών μέτρων
  • η διαβίβαση είναι απαραίτητη για τη σύναψη ή εκτέλεση σύμβασης συναφθείσας προς όφελος του υποκειμένου μεταξύ του υπεύθυνου επεξεργασίας και άλλου φυσικού ή νομικού προσώπου.

*Σημ: Οι τρεις πρώτες περιπτώσεις παρεκκλίσεων ΔΕΝ εφαρμόζονται σε δραστηριότητες που εκτελούνται από δημόσιες αρχές κατά την άσκηση των δημόσιων εξουσιών τους. (www.dpa.gr)

  1. η διαβίβαση είναι απαραίτητη για σπουδαίους λόγους δημοσίου συμφέροντος που αναγνωρίζονται είτε στη νομοθεσία της ΕΕ είτε στη νομοθεσία κράτους μέλους στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας
  2. η διαβίβαση είναι απαραίτητη για τη θεμελίωση, άσκηση ή υπεράσπιση νομικών αξιώσεων
  3. η διαβίβαση είναι απαραίτητη προκειμένου να προστατευθούν τα ζωτικά συμφέροντα του υποκειμένου ή άλλων προσώπων, όταν το υποκείμενο είναι φυσικά ή νομικά ανίκανο να δώσει συγκατάθεση
  • εάν τα διαβιβαζόμενα δεδομένα λαμβάνονται από μητρώο ανοιχτό στο κοινό ή έπειτα από αίτημα σε κάθε πρόσωπο που μπορεί να θεμελιώσει έννομο συμφέρον στην πρόσβαση σε αυτό.

Για τις διαβιβάσεις βάσει των ως άνω παρεκκλίσεων δεν απαιτείται άδεια της εποπτικής αρχής.

Στην περίπτωση που καμία από τις ως άνω νομικές βάσεις δεν γνωρίζει εφαρμογής, τότε η διαβίβαση μπορεί να πραγματοποιηθεί όταν:

  1. δεν εκτελείται από δημόσια αρχή κατά την άσκηση των δημόσιων εξουσιών της,
  2. δεν είναι επαναλαμβανόμενη,
  • αφορά μόνο περιορισμένο αριθμό υποκειμένων,
  1. είναι απαραίτητη για τους σκοπούς «επιτακτικών έννομων συμφερόντων» του υπευθύνου επεξεργασίας, από τα οποία δεν υπερισχύουν τα συμφέροντα ή τα δικαιώματα του υποκειμένου, και
  2. ο υπεύθυνος επεξεργασίας έχει παράσχει τις κατάλληλες διασφαλίσεις για τα διαβιβαζόμενα δεδομένα.

Για τη διαβίβαση αυτή πρέπει να συντρέχουν σωρευτικά οι ως άνω προϋποθέσεις, ενώ απαιτείται ενημέρωση της εποπτικής αρχής και του υποκειμένου.

 

  • Άρθρο 50 – διεθνής συνεργασία

Η Επιτροπή και οι εποπτικές Αρχές λαμβάνουν κατάλληλα μέτρα για:

  • Την ανάπτυξη μηχανισμών διεθνούς συνεργασίας
  • Την παροχή διεθνούς αμοιβαίας συνδρομής
  • Τη συμμετοχή των ενδιαφερόμενων σε συζητήσεις με σκοπό την προώθηση διεθνούς συνεργασίας και την επιβολή της νομοθεσίας για την προστασία των δεδομένων προσωπικού χαρακτήρα
  • Την προώθηση ανταλλαγής νομοθεσίας και πρακτικών σε συγκρούσεις δικαιοδοσίας με τρίτες χώρες.

 

Η.Π.Α.

Η.Π.Α. και Ε.Ε. δύο δικαιικά συστήματα διαφορετικά μεταξύ τους, που οφείλουν να συγκεράσουν τις όποιες διαφοροποιήσεις, προκειμένου να υπάρξει ένα ενιαίο πλαίσιο προστασίας των δεδομένων προσωπικού χαρακτήρα που διαβιβάζονται.

Από την Αρχή του Ασφαλούς Λιμένα, όπου πιστοποιούνταν επιχειρήσεις στις Η.ΠΑ. ως ασφαλείς για διαβίβαση δεδομένων μεταξύ Η.Π.Α.-Ε.Ε., που όμως εξαιρούσε από το πεδίο εφαρμογής της τις Αμερικανικές Αρχές, οι οποίες μπορούσαν να έχουν πρόσβαση των δεδομένων που διαβιβάζονταν στην Αμερική από την Ε.Ε., έως την απόφαση SCHREMS II – που ανέτρεψε την ανωτέρω Αρχή – και την υιοθέτηση ενός νέου πλαισίου, τη γνωστή πλέον «Privacy Shield», μετά από την έγκριση από την Ευρωπαϊκή Επιτροπή της Ασπίδας Προστασίας ΕΕ-ΗΠΑ για τις διατλαντικές διαβιβάσεις δεδομένων, είναι δυνατή από την 1η Αυγούστου 2016 η διαβίβαση προσωπικών δεδομένων στις ΗΠΑ με τη χρήση ενός  μηχανισμού, ο οποίος θέτει νέες προυποθέσεις.

Το πλαίσιο προστασίας του Privacy Shield περιλαμβάνει:

  1. Αυστηρές υποχρεώσεις προστασίας των προσωπικών δεδομένων για τις εταιρείες που εισάγουν προσωπικά δεδομένα από την ΕΕ
  2. Εγγυήσεις προστασίας σχετικά με την πρόσβαση των αμερικανικών αρχών στα προσωπικά δεδομένα
  • Αποτελεσματικοί μηχανισμοί προστασίας και προσφυγής στη δικαιοσύνη για τα υποκείμενα των δεδομένων
  1. Ετήσια κοινή αξιολόγηση ΗΠΑ και ΕΕ προκειμένου να παρακολουθείται η σωστή εφαρμογή του Privacy Shield (www.dpa.gr).

 

ΤΡΙΤΕΣ ΧΩΡΕΣ

 Τεράστιο ζήτημα με σοβαρές προεκτάσεις και αμφισβητήσεις εκατέρωθεν αποτελεί η ροή δεδομένων μεταξύ Ε.Ε. και τρίτων χωρών, κυρίως δε αναπτυσσόμενων χωρών, όπου το δικαιικό σύστημα αλλά και το νομοθετικό πλαίσιο δεν παρέχουν επαρκείς εγγυήσεις προστασίας δεδομένων προσωπικού χαρακτήρα που διαβιβάζονται από την Ε.Ε. προς αυτές. Πέρα από τα προβλήματα της δικαστικής εξουσίας που μπορεί να μην περιβάλλεται από τις ελευθερίες και εγγυήσεις της αντίστοιχης εξουσίας στα κράτη – μέλη της Ε.Ε., μπορεί να υπάρχουν προβλήματα στην οργάνωση και λειτουργία των Κρατικών και διοικητικών Αρχών ή στο επίπεδο της πρόσβασης σε τεχνολογικό εξοπλισμό και στην εκπαίδευση.

Παρά τις δυσκολίες επιχειρήσεων που έχουν την έδρα τους σε τρίτες χώρες, οι οποίες υπολείπονται στην κατοχύρωση της προστασίας των προσωπικών δεδομένων κατά την ανάπτυξη δραστηριότητας τους στην Ε.Ε., οι επιχειρήσεις αυτές καλούνται να συμμορφωθούν με τον ΓΚΠΔ. Είναι ένα δύσκολο εγχείρημα, όπου όλες οι πλευρές οφείλουν να προσπαθήσουν να κατανοήσουν και να βρουν λύσεις προσαρμογής και βελτίωσης, προκειμένου η παγκόσμια οικονομία να επιτύχει τον στόχο των ανοιχτών συνόρων μέσα από την εκπαίδευση και την διεθνή συνεργασία και συνδρομή με εργαλεία που ο ΓΚΠΔ έχει ήδη κατοχυρώσει για τη   διασυνοριακή ροή δεδομένων.

 

Η διασυνοριακή ροή δεδομένων υπό το πρίσμα του ΓΚΠΔ  – Συμπεράσματα

Η προσεκτική παρατήρηση και μελέτη της σταδιακής μεταμόρφωσης του νομοθετικού πλαισίου στον τομέα της προστασίας των προσωπικών δεδομένων και δη της διασυνοριακής ροής των δεδομένων κατέδειξε ότι ο σύγχρονος «κόσμος της πληροφορίας», όπως αναδύθηκε μέσα στο διάβα της ιστορίας, σήμανε την απαρχή μιας νέας εποχής, μιας εύθραυστης ισορροπίας ανάμεσα στην προστασία των θεμελιωδών δικαιωμάτων του ατόμου και στην τεχνολογική πρόοδο με τις όποιες προεκτάσεις της στην παγκόσμια οικονομία.

Από τον πρώτο Κανονισμό που εισήγαγε ο ΟΟΣΑ και τη «Σύμβαση 108» του Συμβουλίου της Ευρώπης έως την Οδηγία 95/46 και τον ΓΚΠΔ γίνεται αντιληπτό ότι η «ιστορική συγκυρία της τεχνολογικής επανάστασης» υποχρέωσε τον νομοθέτη να  αφομοιώσει τις μεταλλάξεις που αυτή επέφερε στις σχέσεις των ατόμων μεταξύ τους ή με την Πολιτεία αλλά και στις διακρατικές σχέσεις.

Ειδικότερα, στο πλαίσιο του ΓΚΠΔ ο νομοθέτης αξιοποίησε την εμπειρία του παρελθόντος, ενώ καινοτόμησε υιοθετώντας μια σειρά «νομικών εργαλείων», που στόχο είχαν την καθολική εφαρμογή τους εντός της Ε.Ε. αλλά τη ρύθμιση της διαβίβασης και επεξεργασίας δεδομένων μεταξύ Ε.Ε. και Η.Π.Α. ή μεταξύ Ε.Ε. και τρίτων χωρών με κριτήριο το ισοδύναμο επίπεδο προστασίας που εξασφαλίζεται μέσα από τις αποφάσεις επάρκειας της Επιτροπής ή εγγυήσεων ή εταιρικών κανόνων προάγοντας τη διεθνή συνεργασία και συνδρομή.

Το διακύβευμα είναι σοβαρό: η ρύθμιση των διεθνών σχέσεων και της ισορροπίας δυνάμεων, η πρόοδος της παγκόσμιας οικονομίας, του εμπορίου και του διαδαλώδους χρηματοπιστωτικού συστήματος, των οποίων η λειτουργία στηρίζεται στη διασυνοριακή ροή δεδομένων, μέσα από την εναρμόνιση διαφορετικών δικαιικών συστημάτων και εννόμων τάξεων αναγορεύοντας ως θεμέλιο λίθο αυτών τα δικαιώματα και τις θεμελιώδεις ελευθερίες του ατόμου.

 

 

Rate this post

Αφήστε ένα Σχόλιο

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *