Γράφει η Σοφία Τσιπτσέ
Δικηγόρος, Διαπ. Διαμεσολαβήτρια ΥΔΔΑΔ
Υπεύθυνη Προστασίας Δεδομένων / DPO exec.
Αν ψάχναμε να βρούμε την πιο καθοριστική λέξη για να μπει ως τίτλος στην εποχή που ζούμε, θα ήταν το δίχως άλλο η λέξη: «κρίση». Κρίση οικονομική, κρίση αξιών, κρίση κρίσεων, κρίση… data, ή αλλιώς κρίση δεδομένων. Ζούμε στην εποχή του διαδικτύου, όπου όλος ο πληθυσμός του πλανήτη χρησιμοποιεί το διαδίκτυο για την πληροφόρησή του, την εργασία του, την προσωπική του ζωή κτλ. Και τι σημαίνει χρησιμοποιεί; Σημαίνει πολύ απλά: φορτώνει προσωπικά του δεδομένα στις εφαρμογές. Τι γίνονται όμως αυτά τα δεδομένα;
Ας κάνουμε μία μικρή αναδρομή στο πρόσφατο παρελθόν, στο έτος 2011 τότε που ο Αυστριακός δικηγόρος ονόματι Σρεμς απευθύνθηκε με προσφυγές στον αρμόδιο Επίτροπο για την Facebook Ireland, με αίτημα την μη μεταφορά δεδομένων στην άλλη όχθη του ωκεανού (ΗΠΑ), καθότι δεν υπάρχει η απαραίτητη ασφάλεια των δεδομένων. Αρχικά, η προσφυγή του απορρίφθηκε, καθότι η Επιτροπή είχε κρίνει ότι η μεταφορά γίνεται με ασφάλεια «Safe Harbor» ή «ασφαλής λιμένας». Ο Σρεμς συνέχισε τον δικαστικό του αγώνα στην ιρλανδική δικαιοσύνη και η υπόθεση έφτασε μέχρι το Ευρωπαϊκό Δικαστήριο. Το Δικαστήριο της Ιρλανδίας έθεσε προδικαστικό ερώτημα στο Ευρωπαϊκό Δικαστήριο σχετικά με την προηγηθείσα απόρριψη της προσφυγής από την Ιρλανδική Επιτροπή. Τον Οκτώβριο του 2015 το Ευρωπαϊκό Δικαστήριο εξέδωσε την απόφαση του, σύμφωνα με την οποία κρίθηκε ως απαράδεκτη η απόφαση της Επιτροπής.
Ακολούθως και με βάση τα ως άνω δεδομένα και προκειμένου να γίνεται ασφαλής διαβίβαση δεδομένων στις ΗΠΑ, δημιουργήθηκε το Privacy Shield μεταξύ Ευρώπης και ΗΠΑ, γνωστό στα ελληνικά ως: «ασπίδα προστασίας ιδιωτικής ζωής».
Το Ευρωπαϊκό Δικαστήριο, σε συνέχεια της έρευνάς του, εξέδωσε και πρόσφατα με απόφασή του ότι το “Privacy Shield’ είναι ανίσχυρο, δημιουργώντας νέα δεδομένα, αποτελώντας με αυτόν τον τρόπο η Schrems II (σε συνέχεια της Schrems I) απόφαση σταθμό για τα προσωπικά δεδομένα. Αυτό σημαίνει πως γεννάται ζήτημα για όλες τις επιχειρήσεις και εν γένει για τους υπεύθυνους επεξεργασίας, που χρησιμοποιούν cloud υπηρεσίες, οι οποίες μεταβιβάζουν προσωπικά δεδομένα σε τρίτες χώρες.
Επίσης, με την ίδια απόφαση, κρίθηκε ότι οι τυποποιημένες συμβατικές ρήτρες για τη διαβίβαση προσωπικών δεδομένων σε εκτελούντες την επεξεργασία εγκατεστημένους εκτός ΕΕ (Απόφαση της Επιτροπής 2010/87) παραμένουν ισχυρές και για τη διαβίβαση προσωπικών δεδομένων στις ΗΠΑ, υπό συγκεκριμένες προϋποθέσεις. Επιβάλλεται όμως πριν από οποιαδήποτε διαβίβαση με βάση τις τυποποιημένες συμβατικές ρήτρες, ο εξαγωγέας να εξετάζει εάν το επίπεδο προστασίας των δεδομένων, το οποίο ορίζεται από τον Γενικό Κανονισμό Προστασίας Δεδομένων (ΓΚΠΔ), εξασφαλίζεται στην εκάστοτε τρίτη χώρα. Σε περίπτωση που προκύψει ότι δεν παρέχεται επαρκές επίπεδο προστασίας, ο εξαγωγέας πρέπει να αναστείλει τη διαβίβαση ή να καταγγείλει τη σύμβαση.
Για να γίνουν κατανοητά όλα τα ανωτέρω παρέχεται η εξής διευκρίνηση: Η Ευρώπη για τη διασφάλιση των προσωπικών δεδομένων έχει δημιουργήσει το GDPR, ήτοι τον Γενικό Κανονισμό Προστασίας Προσωπικών Δεδομένων. Οι ΗΠΑ και άλλες τρίτες Χώρες δεν διασφαλίζουν με ανάλογα νομοθετήματα την ασφάλεια των προσωπικών δεδομένων. Σύμφωνα λοιπόν με το GDPR, η διαβίβαση προσωπικών δεδομένων σε τρίτες χώρες μπορεί να λάβει χώρα, εφόσον η συγκεκριμένη τρίτη χώρα εξασφαλίζει ικανοποιητικό επίπεδο προστασίας των δεδομένων. Για το σκοπό αυτό, σύμφωνα με το άρθρο 45 ΓΚΠΔ, η Ευρωπαϊκή Επιτροπή μπορεί να αποφανθεί ότι μια τρίτη χώρα διασφαλίζει με κατάλληλους κανόνες και εσωτερικά νομοθετήματα, ή μέσω διεθνών δεσμεύσεων τις απαραίτητες εγγυήσεις ασφαλούς προστασίας.
Με την εν λόγω απόφαση και με βάσει τα ως άνω συνοπτικώς αναφερόμενα δεδομένα, το συμπέρασμα είναι το εξής: ότι όλες οι cloud εφαρμογές που χρησιμοποιούμε, εφόσον διαβιβάζουν δεδομένα σε τρίτες χώρες, βρίσκονται ουσιαστικά «στον αέρα» από άποψη ασφάλειας δεδομένων.
Η Αρχή Προστασίας Προσωπικών Δεδομένων εξέδωσε την 30.09.2020 μία ενημέρωση για την απόφαση Schrems II, σύμφωνα με την οποία έκανε μνεία των όσων κρίθηκαν στην απόφαση και παρείχε ενημέρωση ότι το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων, το οποίο εκπροσωπεί τις εθνικές Αρχές, εξέδωσε κείμενο με ερωτο-απαντήσεις – που θα διευκολύνουν τους υπεύθυνους επεξεργασίας. Οι ερωτήσεις αυτές θα εμπλουτίζονται στην πορεία, όσο θα αναλύεται και θα ερμηνεύεται η απόφαση σταθμός. Επιπλέον, η Ευρωπαϊκή αυτή Επιτροπή προχώρησε σε σύσταση ειδικής ομάδας, με σκοπό την παροχή συστάσεων στους Υπευθύνους Επεξεργασίας, καθώς και στους Εκτελούντες, για τα συμπληρωματικά μέτρα που οφείλουν να λάβουν προκειμένου να τηρείται το συννόμως προαπαιτούμενο επίπεδο προστασίας.
Βρισκόμαστε στην αρχή μιας ανατροπής στο παγκόσμιο χάρτη διακίνησης δεδομένων. Η ερμηνεία της απόφασης Schrems σε συνδυασμό με τις συστάσεις των εθνικών εποπτικών αρχών προς τους Υπεύθυνους Επεξεργασίας, θα εμπλουτίσουν τα μέχρι σήμερα δεδομένα μας για το ζήτημα που γεννήθηκε. Ένα όμως είναι σίγουρο: ότι έχει κυριαρχήσει ένα συννεφιασμένο τοπίο για τις cloud εφαρμογές και για τα data μας.
