Προς μια Ευρώπη προστασίας δεδομένων: ο δρόμος είναι μακρύς.

Νομική Παρακολούθηση Αρ. 36 – Ιούνιος 2021

Προς μια Ευρώπη προστασίας δεδομένων: ο δρόμος είναι μακρύςΟ Γενικός Κανονισμός για την Προστασία Δεδομένων δημιούργησε πολλές ελπίδες όσον αφορά τη σαφήνεια και την αποτελεσματικότητα όταν τέθηκε σε ισχύ.

Ενώ η Ευρωπαϊκή Οδηγία που αντικατέστησε παρείχε ήδη ένα σχετικά ακριβές και δεσμευτικό νομικό πλαίσιο, ο ΓΚΠΔ είχε ως στόχο να επιτρέψει την εναρμονισμένη εφαρμογή αυτών των αρχών, όπου και αν βρίσκονται οι εμπλεκόμενες εταιρείες στην Ευρωπαϊκή Ένωση.

Οι εφαρμοστέες κυρώσεις, αναθεωρημένες προς τα πάνω, έπρεπε επίσης να αξιολογηθούν από τις εποπτικές αρχές χρησιμοποιώντας ένα συνεκτικό πλέγμα ανάλυσης.

Στην πραγματικότητα, φαίνεται ότι υπάρχουν πολλές παγίδες που εξακολουθούν να περιορίζουν αυτήν την πολυαναμενόμενη εναρμόνιση.

Ο Γερμανός Επίτροπος Γιοχάνες Κάσπαρ, ο οποίος πλησιάζει στο τέλος της θητείας του μετά από δώδεκα χρόνια στην ηγεσία της εποπτικής αρχής του κρατιδίου του Αμβούργου, επιμένει και υπογράφει τον Ιούνιο καταγγέλλοντας τις ατέλειες στην εφαρμογή του ΓΚΠΔ.

Η αιτία είναι οι χρονοβόρες και πολύπλοκες διαδικασίες που απαιτούνται πριν από την επίτευξη κοινής θέσης από όλες τις αρχές που συνεδριάζουν στο πλαίσιο του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων (ΕΣΠΔ).

Ο ΓΚΠΔ έχει θεσπίσει μια λεγόμενη διαδικασία «μονοαπευθυντικής θυρίδας», η οποία προβλέπει την αρμοδιότητα μιας επικεφαλής αρχής, αυτής της χώρας της κύριας εγκατάστασης της εταιρείας που εμπλέκεται στην έρευνα.

Αυτή η επικεφαλής αρχή πρέπει ωστόσο να συνεργάζεται με τις άλλες εμπλεκόμενες εθνικές αρχές στα διάφορα στάδια της διαδικασίας.

Στην πράξη, υπάρχει συγκέντρωση των ερευνών υπό την ιρλανδική αρχή, η οποία είναι αρμόδια να διευθύνει τις περισσότερες υποθέσεις κατά της GAFAM που έχουν συσταθεί στην επικράτειά της. Σύμφωνα με πληροφορίες, βρίσκονται σε εξέλιξη είκοσι οκτώ διαδικασίες με την εν λόγω αρχή, η οποία επικρίνεται για τις αργές και επιεικές διαδικασίες της όσον αφορά τις μεγάλες εταιρείες τεχνολογίας όπως το Facebook και το Twitter, κάτι που, σύμφωνα με πληροφορίες, οδηγεί σε μακρές και δύσκολες συζητήσεις με τους ομολόγους της εντός του ΕΕΠΔ.

Ο Επίτροπος της Αρχής του Αμβούργου ζητά να δοθούν εγκαίρως σαφή και αποτρεπτικά μηνύματα από τις εποπτικές αρχές, ώστε οι υπεύθυνοι επεξεργασίας δεδομένων να συμμορφώνονται με παρόμοιο τρόπο όπου κι αν βρίσκονται στην Ευρωπαϊκή Ένωση και χωρίς στρεβλώσεις του ανταγωνισμού.

Θα πρέπει να σημειωθεί ότι το ζήτημα αυτό εντοπίστηκε από την ίδια την Επιτροπή στην ετήσια έκθεσή της για το 2020 και ότι η βελτίωση της συνεργασίας μεταξύ των αρχών αποτελεί μία από τις προτεραιότητές της για την περίοδο 2021-2022.

Ας προσθέσουμε ότι, αν και πάσχει από διαδικαστική δυσκαμψία, το σύστημα της «υπηρεσίας μίας στάσης» έχει ωστόσο το πλεονέκτημα για κάθε πολίτη της Ευρωπαϊκής Ένωσης να μπορεί να υποβάλει καταγγελία στην εθνική εποπτική αρχή του, ακόμη και αν ο υπεύθυνος επεξεργασίας δεδομένων είναι εγκατεστημένος σε άλλη χώρα, με τις αρμόδιες αρχές να είναι υπεύθυνες για τη συνεργασία κατά την επεξεργασία της καταγγελίας.

Εάν ο καταγγέλλων δεν είναι ικανοποιημένος με το αποτέλεσμα της έρευνας, μπορεί επίσης να ζητήσει αποκατάσταση στη χώρα του.

Το Ευρωπαϊκό Δικαστήριο υπενθύμισε επίσης σε απόφαση της 15ης Ιουνίου το περιθώριο ελιγμών των αρχών που δεν είναι οι κύριες αρχές στην επεξεργασία διασυνοριακών καταγγελιών.

Στο πλαίσιο διαφοράς μεταξύ του Facebook (με έδρα την Ιρλανδία) και της βελγικής αρχής προστασίας δεδομένων, το Δικαστήριο έκρινε ότι η βελγική αρχή, αν και όχι η επικεφαλής αρχή, θα μπορούσε να προσφύγει στα βελγικά δικαστήρια για ορισμένες παραβιάσεις του ΓΚΠΔ από το Facebook.

Ωστόσο, οι όροι αυτοί περιορίζονται σε περιπτώσεις που παρουσιάζουν έκτακτη ανάγκη (άρθρο 66 του ΓΚΠΔ) ή σε τοπικές περιπτώσεις (άρθρο 56.2 του ΓΚΠΔ). Συνεπώς, η παρούσα απόφαση δεν σηματοδοτεί το τέλος του ενιαίου συστήματος εξυπηρέτησης, αλλά τείνει να προσδιορίσει τις εξαιρέσεις από την εφαρμογή του. Η αρχή της συνεργασίας μεταξύ των αρχών παραμένει επομένως ο κανόνας.

Και επίσης

Γαλλία:

Στις 30 Ιουνίου, η CNIL δημοσίευσε την τρίτη έκδοση του λογισμικού της, που έχει σχεδιαστεί για να διευκολύνει τις αναλύσεις επιπτώσεων στην ιδιωτικότητα.

Αυτή η νέα έκδοση καθοδηγεί τους διαχειριστές στη διεξαγωγή της ανάλυσης επιπτώσεων και επιτρέπει την ανάπτυξη βάσεων γνώσεων παράλληλων με εκείνες που παρέχονται από το CNIL.

Η περιορισμένη επιτροπή της CNIL επέβαλε πρόστιμο 500.000 ευρώ στην εταιρεία. Bricoprivé για

• Αποστολή email υποψήφιων πελατών χωρίς τη συγκατάθεση ατόμων και μη συμμόρφωση με διάφορες άλλες υποχρεώσεις του GDPR:
  • Μη συμμόρφωση με τις περιόδους διατήρησης δεδομένων που η εταιρεία είχε ορίσει για τον εαυτό της,
  • Μη συμμόρφωση με τις υποχρεώσεις πληροφόρησης και το δικαίωμα διαγραφής δεδομένων, και
  • Έλλειψη ισχυρών κωδικών πρόσβασης όσον αφορά τις πτυχές της ασφάλειας δεδομένων.

Η CNIL σημείωσε επίσης τη χρήση cookies χωρίς τη συγκατάθεση του χρήστη.

Ευρώπη:

Στις 4 Ιουνίου, η Ευρωπαϊκή Επιτροπή δημοσίευσε μια νέα έκδοση των τυποποιημένων συμβατικών ρητρών, που αποσκοπούν στη διευκόλυνση των διεθνών μεταφορών δεδομένων.

Αυτές οι ρήτρες λαμβάνουν υπόψη τις συνέπειες της απόφασης Schrems II του Ευρωπαϊκού Δικαστηρίου σχετικά με τους κινδύνους πρόσβασης σε δεδομένα από τις αρχές τρίτων χωρών, ιδίως σε πλαίσιο εθνικής ασφάλειας.

Ταυτόχρονα, το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων εξέδωσε συστάσεις στις 18 Ιουνίου με στόχο την καθοδήγηση των υπευθύνων επεξεργασίας δεδομένων στην ανάλυση τέτοιων κινδύνων υποκλοπής δεδομένων και τη δυνατότητα να λάβουν πρόσθετα προστατευτικά μέτρα.

Τεχνητή νοημοσύνη:

Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων και το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων δημοσίευσαν από κοινού έκκληση για την απαγόρευση της χρήσης της Τεχνητής Νοημοσύνης για...

• Αυτόματη αναγνώριση βιομετρικών δεδομένων σε δημόσιους χώρους,
• Κοινωνική βαθμολόγηση, συμπεριλαμβανομένων και μέσω των μέσων κοινωνικής δικτύωσης, και
• Η χρήση της Τεχνητής Νοημοσύνης για τον προσδιορισμό της συναισθηματικής κατάστασης των ανθρώπων.

Αυτή η θέση απηχεί τη δημοσίευση της πρότασης της Ευρωπαϊκής Επιτροπής για την Τεχνητή Νοημοσύνη στις 21 Απριλίου.

Διεθνείς μεταφορές δεδομένων:

Η Ευρωπαϊκή Επιτροπή δημοσίευσε τις συστάσεις της στις 28 Ιουνίου αποφάσεις επάρκειας που αφορούν το Ηνωμένο Βασίλειο.

Το ένα αφορά τις απαιτήσεις του ΓΚΠΔ και το άλλο την ευρωπαϊκή οδηγία για την αστυνομική επεξεργασία.

Ένα νέο στοιχείο είναι ότι η Επιτροπή εισάγει ένα «ρήτρα ηλιοβασιλέματος» η οποία περιορίζει την περίοδο ισχύος των αποφάσεων σε τέσσερα έτη.

Οι αποφάσεις μπορούν να ανανεωθούν εάν το επίπεδο προστασίας στο Ηνωμένο Βασίλειο εξακολουθεί να πληροί τις ευρωπαϊκές απαιτήσεις.

Οι τομείς ανησυχίας περιλαμβάνουν τα σχέδια της Βρετανίας για νέες συμφωνίες εμπορίου και ελεύθερης ροής δεδομένων με αναδυόμενες οικονομίες.

Βέλγιο βρίσκεται στο στόχαστρο της Ευρωπαϊκής Επιτροπής, η οποία έχει κινήσει διαδικασία παραβίασης του ΓΚΠΔ σχετικά με την ανεξαρτησία της αρχής προστασίας δεδομένων της.

Ο λόγος είναι η συμμετοχή αρκετών μελών του σε κυβερνητικούς φορείς.

Διεθνές:

Ένας διεθνής συνασπισμός περισσότερων από 55 οργανώσεων για την προστασία των καταναλωτών, τις πολιτικές ελευθερίες και τις μη κυβερνητικές οργανώσεις ζητά η απαγόρευση της διαφήμισης που βασίζεται στην παρακολούθηση και τη δημιουργία προφίλ ατόμων.

Ο λόγος για αυτή τη θέση ήταν μια έκθεση του Νορβηγικού Συμβουλίου Καταναλωτών, η οποία αποκάλυψε τις συνέπειες των πρακτικών επιτήρησης σε εμπορικά θέματα για την κοινωνία.

Στις 16 Ιουνίου, η Ευρωπαϊκή Επιτροπή ξεκίνησε μια διαδικασία με στόχο την αναγνώριση του επάρκεια της προστασίας δεδομένων στη Νότια Κορέα.

Οι κινεζικές αρχές ανακοίνωσαν στις 10 Ιουνίου την υιοθέτηση νόμου σχετικά με την ασφάλεια των δεδομένων, η οποία αποσκοπεί επίσης στην προστασία των δικαιωμάτων και των συμφερόντων των προσώπων των οποίων τα δεδομένα υποβάλλονται σε επεξεργασία.

Άννα Κριστίν Λακόστ

Η Anne Christine Lacoste, συνεργάτιδα της Olivier Weber Avocat, είναι δικηγόρος με εξειδίκευση στο δίκαιο των δεδομένων. Διετέλεσε επικεφαλής διεθνών σχέσεων στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων και εργάστηκε για την εφαρμογή του GDPR στην Ευρωπαϊκή Ένωση.