Πρακτικός οδηγός για τη διαβίβαση δεδομένων μεταξύ ΕΕ-Ηνωμένου Βασιλείου κατά το πρώτο εξάμηνο του 2021

Τι σηματοδοτεί η Συμφωνία Εμπορίου και Συνεργασίας μεταξύ ΕΕ – Ηνωμένου Βασιλείου για τη διαβίβαση δεδομένων υπό το πρίσμα της απόφασης       SchremsII  και ποιες ενέργειες πρέπει να γίνουν όσον αφορά στην προστασία των δεδομένων.

Εισαγωγή

Τεσσεράμισι χρόνια μετά το δημοψήφισμα για την αποχώρηση του Ηνωμένου Βασιλείου (ΗΒ) από την ΕΕ, επιτεύχθηκε τελικά – έστω και την ύστατη στιγμή – συμφωνία μεταξύ των δυο μερών. Από την 1η Ιανουαρίου 2021, η ΕΕ και το ΗΒ λειτουργούν ως ξεχωριστές αυτόνομες δικαιοδοσίες που υπόκεινται σε ειδικότερες συμφωνίες για επιμέρους θέματα, συμπεριλαμβανομένων των ζητημάτων σχετικά  με την ιδιωτικότητα και την προστασία των δεδομένων προσωπικού χαρακτήρα. Στο μεταξύ, η απόφαση Schrems II του Δικαστηρίου της Ευρωπαϊκής Ένωσης επέφερε σημαντικές επιπτώσεις στις διεθνείς διαβιβάσεις δεδομένων επιβάλλοντας την ανάγκη λήψης περαιτέρω διασφαλίσεων για τις διαβιβάσεις σε τρίτες χώρες (εκτός ΕΕ/ΕΟΧ). Στο πλαίσιο αυτό, η  πρόσφατη Συμφωνία μεταξύ ΕΕ – ΗΒ για το Εμπόριο και τη Συνεργασία / Trade and Co-operation Agreement (TCA, ή συμφωνία για το Brexit), προβλέπει αναστολή ισχύος  των αποτελεσμάτων αποχώρησης για περίοδο έως έξι μήνες (άρθρο FINPROV.10Α),  κατά τη διάρκεια της οποίας αναμένεται να οριστικοποιηθεί και η λύση για τη διαβίβαση δεδομένων μεταξύ ΕΕ/ΕΟΧ και ΗΒ.

Σημεία κλειδιά                                    

• Μεταβατική περίοδος 6 μηνών: Ως αποτέλεσμα του Brexit, το ΗΒ μετατρέπεται σε τρίτη χώρα στην οποία δεν μπορούν να διαβιβασθούν δεδομένα χωρίς προηγουμένως να ληφθούν μέτρα για την κατάλληλη διασφάλιση αυτών. Ωστόσο, για μια σύντομη μεταβατική περίοδο έξι μηνών συνολικά (4+2), η διαβίβαση δεδομένων από την ΕΕ προς το ΗΒ δεν θα αντιμετωπίζεται ως διαβίβαση σε τρίτη χώρα. Αντιθέτως, κατά τη διάρκεια της μεταβατικής περιόδου, οι διαβιβάσεις δεδομένων μεταξύ ΕΕ και ΗΒ θα συνεχιστούν με τους ίδιους όρους όπως γινόταν μέχρι σήμερα, χωρίς να απαιτούνται επιπλέον διασφαλίσεις, καθώς το ΗΒ θα αντιμετωπίζεται ως υφιστάμενο Κράτος Μέλος της ΕΕ.
• Στάδια της μεταβατικής περιόδου: Δύο κύρια στάδια συνθέτουν τη μεταβατική περίοδο 6 μηνών ως εξής:
• Η αρχική μεταβατική περίοδος διαρκεί έως την 1^η Μαΐου 2021 ή έως ότου ληφθεί τυχόν απόφαση επάρκειας από την Ευρωπαϊκή Επιτροπή για το ΗΒ (ό,τι συμβεί πρώτο).
• Εάν δεν έχει εκδοθεί απόφαση επάρκειας μέχρι την ως άνω ημερομηνία, τότε θα υπάρξει περαιτέρω αυτόματη παράταση δυο μηνών, έως την 1^η Ιουλίου 2021, εκτός εάν κάποιο από τα μέρη αντιταχθεί στην παράταση αυτή.
• Γενικός Κανονισμός για την Προστασία Δεδομένων (ΓΚΠΔ): Επί της αρχής, ο ΓΚΠΔ δεν έχει πλέον άμεση ισχύ για το ΗΒ, καθώς αυτό έπαψε να αποτελεί τυπικά Κράτος Μέλος της ΕΕ από την 1^η Ιανουαρίου 2021. Ωστόσο, ο βρετανικός νόμος για την προστασία των δεδομένων του 2018 (Data Protection Act 2018), ο οποίος ευθυγραμμίζεται σε μεγάλο βαθμό με τον ΓΚΠΔ[1], θα παραμείνει σε ισχύ για το διάστημα της συμφωνημένης μεταβατικής περιόδου. Με απλά λόγια, επί της ουσίας ο ΓΚΠΔ θα συνεχίσει να έχει άμεση εφαρμογή στο ΗΒ κατά την ως άνω μεταβατική περίοδο.
• Διεθνείς διαβιβάσεις δεδομένων: Για την καλύτερη κατανόηση της σχέσης μεταξύ ΕΕ – ΗΒ στο πλαίσιο των διεθνών διαβιβάσεων δεδομένων μεταξύ των δυο μερών, κρίνεται αναγκαίο να επισημανθούν ξεχωριστά οι διαβιβάσεις από και προς το ΗΒ, ως εξής:

• Διαβιβάσεις προς το ΗΒ: Από την 1^η Ιανουαρίου 2021, το ΗΒ έχει τυπικά καταστεί «τρίτη χώρα» και εμπίπτει πλέον στους κανόνες του ΓΚΠΔ για τις διεθνείς διαβιβάσεις δεδομένων, γεγονός που υπό κανονικές συνθήκες θα σήμαινε την υποχρέωση λήψης κατάλληλων διασφαλίσεων, όπως είναι οι Τυποποιημένες Συμβατικές Ρήτρες / Standard Contractual Clauses (SCCs) ή οι Δεσμευτικοί Εταιρικοί Κανόνες / Binding Corporate Rules (BCR). Εντούτοις, δεδομένου ότι αφενός η Ευρωπαϊκή Επιτροπή εξακολουθεί να εξετάζει εάν θα εκδώσει απόφαση επάρκειας για το ΗΒ, προκειμένου να μην χρειάζονται περαιτέρω διασφαλίσεις για την διαβίβαση δεδομένων προς αυτό, αφετέρου εκκρεμεί η έκδοση των νέων επικαιροποιημένων Τυποποιημένων Συμβατικών Ρητρών (SCCs)[2], είναι σίγουρο και βέβαιο ότι οι υφιστάμενες Τυποποιημένες Συμβατικές Ρήτρες (SCCs) δεν θα συνιστούσαν ένα επαρκές μέτρο προστασίας των δεδομένων προσωπικού χαρακτήρα με το πέρας της εξάμηνης μεταβατικής περιόδου.

• Διαβιβάσεις από το ΗΒ: Όσον αφορά στη διαβίβαση δεδομένων προσωπικού χαρακτήρα από το ΗΒ προς την ΕΕ/ΕΟΧ, επισημαίνεται ότι το ΗΒ αναγνωρίζει ότι όλες οι χώρες του ΕΟΧ, το Γιβραλτάρ και τα θεσμικά όργανα της ΕΕ παρέχουν επαρκές επίπεδο προστασίας των δεδομένων, έτσι ώστε να μην χρειάζεται να θεσπιστούν περαιτέρω διασφαλίσεις για τη νομιμοποίηση των εν λόγω διαβιβάσεων. Ωστόσο, ο χαρακτηρισμός αυτός μπορεί να ανακληθεί ανά πάσα στιγμή. Κατά τα λοιπά, για τις διαβιβάσεις δεδομένων προς τα Κράτη Μέλη της ΕΕ ισχύουν οι διατάξεις του βρετανικού νόμου Data Protection Act 2018.
• Διορισμός εκπροσώπου στην ΕΕ για την προστασία δεδομένων: Προς το παρόν (έως το τέλος της μεταβατικής περιόδου), δεν αποτελεί υποχρέωση  για τους Υπεύθυνους Επεξεργασίας εντός ΗΒ ο διορισμός εκπροσώπου στην ΕΕ για την προστασία δεδομένων. Ωστόσο, τίποτα δεν διασφαλίζει ότι αυτό το  status quo  θα παραμείνει ως έχει στο εγγύς μέλλον.

Προτεινόμενες ενέργειες

Εν αναμονή περαιτέρω αποφάσεων της Ευρωπαϊκής Επιτροπής και κατευθυντήριων οδηγιών του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων (EDPB), το κείμενο με τίτλο “Strategy for Union institutions, offices, bodies and agencies to comply with the ‘Schrems II’ Ruling” [3] που εξέδωσε στις 29 Οκτωβρίου 2020 ο Ευρωπαίος Επίτροπος Προστασίας Δεδομένων (EDPS), αποτελεί έναν ασφαλή οδικό χάρτη συμμόρφωσης σχετικά με τις διεθνείς διαβιβάσεις δεδομένων, παρότι αφορά αποκλειστικά στα όργανα της ΕΕ. Δεδομένου δε ότι η έννοια της «πρόληψης» είναι διάχυτη στο πνεύμα του ΓΚΠΔ, ιδίως όπως αυτή αντανακλάται στο άρθρο 25 – Προστασία εξ ορισμού και από σχεδιασμού, κρίνεται φρόνιμο οι ενδιαφερόμενες επιχειρήσεις και φορείς να προβούν εγκαίρως στις παρακάτω ενδεικτικές ενέργειες:

• Χαρτογράφηση ροής δεδομένων (data flow mapping): Η καταγραφή της ροής των δεδομένων αποτελεί το πρώτο ουσιαστικό βήμα αυτογνωσίας. Αυτή η άσκηση επιτρέπει σε κάθε Υπεύθυνο Επεξεργασίας να είναι σε θέση να εντοπίζει άμεσα ποιες διαβιβάσεις πραγματοποιούνται προς το ΗΒ. Κατ’ αυτόν τον τρόπο, θα γίνει ευκολότερη και η ενδεχόμενη προσαρμογή σε οποιοδήποτε μελλοντικό καθεστώς διαβιβάσεων προς το ΗΒ.

• Εκτίμηση Αντικτύπου Διαβίβασης (Transfer Impact Assessment): Το μέτρο αυτό επιτρέπει στον Υπεύθυνο Επεξεργασίας τον έγκαιρο εντοπισμό πιθανών ή υφιστάμενων κινδύνων λόγω της διαβίβασης δεδομένων εκτός ΕΕ/ΕΟΧ και ποιες είναι οι πιθανές συνέπειες στα δικαιώματα και ελευθερίες των υποκειμένων των δεδομένων κατά ΓΚΠΔ. Για ασφαλέστερα συμπεράσματα, συστήνεται η επιπλέον υιοθέτηση ενός εναλλακτικού σεναρίου, όπου το ΗΒ θα θεωρείται τρίτη χώρα χωρίς απόφαση επάρκειας της Ευρωπαϊκής Επιτροπής.
• Περαιτέρω συμβατικά, τεχνικά και οργανωτικά μέτρα, κατά περίπτωση: Δεδομένου ότι κάθε πράξη επεξεργασίας, άρα και κάθε διαβίβαση δεδομένων, ενδέχεται να παρουσιάζει ιδιαιτερότητες, ο εκάστοτε Υπεύθυνος Επεξεργασίας οφείλει να αξιολογεί ξεχωριστά κάθε διαβίβαση δεδομένων και ανάλογα με το επίπεδο κινδύνου για τις ελευθερίες και τα δικαιώματα των υποκειμένων, να λάβει ή να προετοιμάσει τη λήψη επιπλέον κατάλληλων συμβατικών, τεχνικών και οργανωτικών μέτρων κατά περίπτωση, όπως ενδεικτικά:
• Υιοθέτηση Τυποποιημένων Συμβατικών Ρητρών (SCCs)[4] ή/και Δεσμευτικών Εταιρικών Κανόνων (BCRs) εάν πρόκειται για όμιλο ή συνδεδεμένες επιχειρήσεις (συμβατικό μέτρο).
• Κρυπτογράφηση ή/και ψευδωνυμοποίηση δεδομένων (τεχνικό μέτρο).
• Επικαιροποίηση και εφαρμογή κατάλληλων εγκεκριμένων πολιτικών και διαδικασιών για την διασφάλιση των προσωπικών δεδομένων που υπόκεινται σε διεθνείς διαβιβάσεις (οργανωτικό μέτρο).

Επίλογος

Έξι μήνες μπορεί να μοιάζουν αρκετοί για να οριστικοποιηθούν οι όροι σχετικά με το νέο καθεστώς διαβίβασης δεδομένων μεταξύ ΕΕ και ΗΒ. Ωστόσο, λαμβάνοντας υπόψη ότι η διαδικασία συμμόρφωσης – ακόμα και της επιμέρους συμμόρφωσης, εκτός από εξειδικευμένες γνώσεις, απαιτεί χρόνο ανάλογο με την πολυπλοκότητα των πρακτικών και αναγκών της κάθε επιχείρησης και οργανισμού, η εν θέματι μεταβατική περίοδος θα πρέπει να εκληφθεί ως ευκαιρία έγκαιρης δράσης από τους Υπεύθυνους Επεξεργασίας, προκειμένου να αποφευχθούν στο άμεσο μέλλον δυσάρεστες καταστάσεις, όπως λ.χ. η παράνομη διαβίβαση δεδομένων, που θα μπορούσαν να έχουν σημαντικό κόστος τόσο σε οικονομικό επίπεδο όσο και σε επίπεδο φήμης.

---

[1] Ο βρετανικός νόμος “Data Protection Act 2018” περιλαμβάνει ορισμένες τροποποιήσεις σε σχέση με τον ΓΚΠΔ και στον βαθμό που αυτό γίνεται αποδεκτό, λαμβάνοντας υπόψη την (τότε) επικείμενη αποχώρηση του ΗΒ από την ΕΕ.

[2] Μέχρι σήμερα, εκκρεμεί η οριστικοποίηση του προσχεδίου των νέων επικαιροποιημένων Τυποποιημένων Συμβατικών Ρητρών που τέθηκε σε προηγούμενη διαβούλευση. Περισσότερες πληροφορίες: https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12741-Data-protection-standard-contractual-clauses-for-transferring-personal-data-to-non-EU-countries-implementing-act-.

[3] Για περισσότερες πληροφορίες ανατρέξτε εδώ: https://edps.europa.eu/data-protection/our-work/publications/papers/strategy-union-institutions-offices-bodies-and-agencies_en.

[4] Αφορά στην υιοθέτηση των εν ισχύ κάθε φορά Τυποποιημένων Συμβατικών Ρητρών (SCCs). Σε περίπτωση έκδοσης επικαιροποιημένης έκδοσης αυτών, είναι ευθύνη του Υπεύθυνου Επεξεργασίας να προβαίνει σε αναθεώρηση και επικαιροποίηση των ήδη υπογεγραμμένων, κατά περίπτωση.