SCHREMS II, un final attendu et redouté

SCHREMS II, ένα αναμενόμενο και τρομερό φινάλε

SCHREMS II, ένα αναμενόμενο και τρομερό φινάλεΣτις 16 Ιουλίου 2020, το Δικαστήριο της Ευρωπαϊκής Ένωσης ακύρωσε την Ασπίδα Προστασίας Προσωπικών Δεδομένων, μια βασική συμφωνία που αποτέλεσε τη νομική βάση για τις μεταφορές προσωπικών δεδομένων μεταξύ Ευρώπης και Ηνωμένων Πολιτειών.

Περισσότερες από 5.300 αμερικανικές εταιρείες χρησιμοποίησαν την Ασπίδα Προστασίας για την επεξεργασία των δεδομένων τους και τώρα πρέπει να αλλάξουν τη νομική βάση για τις μεταφορές τους.

Η απόφαση αυτή ελήφθη μετά από καταγγελία του Μαξ Σρεμς, ενός Αυστριακού πολίτη, ο οποίος είχε ήδη κινήσει την διαδικασία ακύρωσης της συμφωνίας που προηγήθηκε της Ασπίδας, των «Αρχών Ασφαλούς Λιμένα».

Ο καταγγέλλων αμφισβήτησε τους όρους υπό τους οποίους τα δεδομένα του που υποβλήθηκαν σε επεξεργασία από το Facebook διαβιβάστηκαν στις Ηνωμένες Πολιτείες.

Βάσει αυτής της διαφοράς, το Δικαστήριο, στην απόφασή του που συχνά αναφέρεται ως «Schrems II», μόλις ανέλυσε την εγκυρότητα δύο νομικών πράξεων που επιτρέπουν μεταφορές εκτός Ευρωπαϊκής Ένωσης:

  • Τυποποιημένες συμβατικές ρήτρες, οι οποίες μπορούν κατ' αρχήν να χρησιμοποιηθούν με οποιαδήποτε τρίτη χώρα, και
  • Απόφαση 2016/1250 της Ευρωπαϊκής Επιτροπής σχετικά με την Ασπίδα Προστασίας Προσωπικών Δεδομένων, μια συμφωνία προσαρμοσμένη στις διαβιβάσεις προς τις Ηνωμένες Πολιτείες.

Το Δικαστήριο δεν ακύρωσε τις τυποποιημένες συμβατικές ρήτρες – ένα σενάριο που προκάλεσε κρύο ιδρώτα σε πολλές εταιρείες και δικηγόρους.

Ωστόσο, η χρήση τους εξακολουθεί να υπόκειται στην συγκεκριμένη αξιολόγηση, από τον εξαγωγέα δεδομένων, του τρόπου με τον οποίο οι ρήτρες εφαρμόζονται στην πραγματικότητα στην τρίτη χώρα, λαμβάνοντας ιδίως υπόψη τις δυνατότητες των δημόσιων αρχών, όπως οι υπηρεσίες πληροφοριών, να έχουν πρόσβαση στα δεδομένα.

Σε περίπτωση πρόσβασης σε δεδομένα που δεν είναι συμβατή με τις αρχές των ρητρών, αποτελεί ευθύνη του εξαγωγέα, και εάν δεν το πράξει, της εποπτικής αρχής (ισοδύναμης με την CNIL) να αναστείλει τη μεταφορά.

 

Στην περίπτωση της Ασπίδας Προστασίας Προσωπικών Δεδομένων, το Δικαστήριο έκρινε ότι, ακόμη και αν οι αρχές της συμφωνίας παρείχαν κατ' αρχήν ένα επίπεδο προστασίας ουσιαστικά ισοδύναμο με αυτό της Ευρωπαϊκής Ένωσης, οι συγκεκριμένες απαιτήσεις που σχετίζονται με την εθνική ασφάλεια, το δημόσιο συμφέρον και τη συμμόρφωση με την αμερικανική νομοθεσία καθιστούσαν αυτές τις αρχές αναποτελεσματικές.

Διαπίστωσε ότι το εύρος των εξουσιών επιτήρησης των αμερικανικών αρχών ήταν υπερβολικό βάσει του ευρωπαϊκού δικαίου και ότι τα δικαιώματα των μη Αμερικανών πολιτών να προσφεύγουν σε ανεξάρτητα δικαστήρια δεν ήταν εγγυημένα.

Αυτά τα ευρήματα το οδήγησαν στο να θεωρήσει την απόφαση άκυρη.

Και τώρα;

Οι μεταφορές προς τις Ηνωμένες Πολιτείες δεν μπορούν πλέον να βασίζονται στην Ασπίδα.

Ενώ ορισμένοι στρέφονται σε τυποποιημένες συμβατικές ρήτρες, η λύση αυτή εγείρει αμφιβολίες: αυτές οι ρήτρες παραμένουν έγκυρες κατ' αρχήν, αλλά αντιμετωπίζουν το ίδιο πρόβλημα με την Ασπίδα όταν χρησιμοποιούνται για μεταφορά στις Ηνωμένες Πολιτείες: την κλίμακα των μέτρων επιτήρησης σε αμερικανικό έδαφος και τα ανεπαρκή μέσα έννομης προστασίας για τα εμπλεκόμενα άτομα.

Κάποιοι μιλούν για την πιθανότητα κρυπτογράφησης των δεδομένων πριν από τη μεταφορά, ώστε να αποτραπεί η χρήση τους από τις αρχές των ΗΠΑ, αλλά αυτό δεν λαμβάνει υπόψη τη δυνατότητα των αρχών να απαιτήσουν νόμιμα την αποκρυπτογράφησή τους.

Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (EDPB) δημοσίευσε δελτίο τύπου στις 17 Ιουλίου στο οποίο συνοψίζει τα αρχικά του ευρήματα και ανακοινώνει πρόσθετες κατευθυντήριες γραμμές.

Μπορούν να σημειωθούν οι ακόλουθες παρατηρήσεις:

– Η απόφαση του Δικαστηρίου επηρεάζει άμεσα τις μεταφορές προς τις Ηνωμένες Πολιτείες, αλλά επηρεάζονται και όλες οι διεθνείς μεταφορές·

– Η χρήση τυποποιημένων συμβατικών ρητρών για μεταφορά σε οποιαδήποτε τρίτη χώρα παραμένει δυνατή, αλλά πρέπει να υπόκειται, από τον εξαγωγέα, σε συγκεκριμένες επαληθεύσεις σχετικά με το περιεχόμενο των ρητρών, το πλαίσιο της μεταφοράς και το νομικό καθεστώς που ισχύει στην τρίτη χώρα (ιδίως όσον αφορά την εθνική ασφάλεια)·

– Εάν η κατάσταση παρουσιάζει ιδιαίτερους κινδύνους, θα πρέπει να ληφθούν πρόσθετα μέτρα: το ΕΣΠΔ εργάζεται επί του παρόντος για να προσδιορίσει αυτά τα μέτρα.

– Υπενθυμίζεται ότι ο εισαγωγέας έχει την υποχρέωση να ενημερώνει τον εξαγωγέα για κάθε αλλαγή στη νομοθεσία που θα μπορούσε να επηρεάσει την εφαρμογή των ρητρών και η οποία θα μπορούσε έτσι να οδηγήσει στην αναστολή τους.

Η Ευρωπαϊκή Επιτροπή ανακοίνωσε ότι έχει ξεκινήσει διάλογο με τους Αμερικανούς ομολόγους της με σκοπό την επίτευξη συμφωνίας που θα προβλέπει υψηλότερο επίπεδο προστασίας δεδομένων.

 

Εν τω μεταξύ, η ένωση του Max Schrems, NOYB («Δεν σε αφορά»), έχει καταθέσει 101 αγωγές εναντίον εταιρειών που δραστηριοποιούνται σε ολόκληρη την Ευρωπαϊκή Ένωση, συμπεριλαμβανομένων των Google, Facebook και Microsoft, ή χρησιμοποιούν το Google Analytics και το Facebook Connect χωρίς να λάβουν κανένα μέτρο σε απάντηση στην απόφαση του Δικαστηρίου.

Υπάρχουν δυνατότητες μεταφοράς δεδομένων, πέραν των τυποποιημένων συμβατικών ρητρών.

Εξηγήθηκαν στο κύριο άρθρο του Μαρτίου αυτού του ενημερωτικού δελτίου.

Η εναλλακτική λύση είναι η διαχείριση δεδομένων σε ευρωπαϊκό έδαφος αντί της μεταφοράς τους.

Ελπίζω ότι αυτή η απόφαση θα ενθαρρύνει την ανάπτυξη τέτοιων τοπικών υπηρεσιών.

Και επίσης

Γαλλία:

  • Η CNIL (Γαλλική Αρχή Προστασίας Δεδομένων) ξεκινά έρευνα για το TikTok: εκτός από την αντιπαράθεση μεταξύ της κινεζικής εταιρείας και των Ηνωμένων Πολιτειών, διεξάγονται έρευνες στην Ευρώπη σχετικά με τη συμμόρφωση της εφαρμογής με τον GDPR. Η CNIL συντονίζει το έργο της με άλλες εποπτικές αρχές στο πλαίσιο της EDPB.
  • Σε συνεργασία πάντα με τους Ευρωπαίους ομολόγους της, η CNIL επέβαλε πρόστιμο 250.000 ευρώ στην εταιρεία ηλεκτρονικών πωλήσεων Spartoo στις 5 Αυγούστου για μη συμμόρφωση με τις αρχές ελαχιστοποίησης, διατήρησης, πληροφόρησης και ασφάλειας δεδομένων που προβλέπονται από τον ΓΚΠΔ.

Ευρώπη:

  • Η βρετανική εποπτική αρχή, η ICO, έχει επικριθεί από τους βουλευτές για την ανεπαρκή δράση της ενόψει των παραβιάσεων του GDPR, ιδίως στο πλαίσιο της πανδημίας COVID-19.
  • Επίσης στο Ηνωμένο Βασίλειο, ένα εφετείο αποφάνθηκε στις 11 Αυγούστου ότι η χρήση τεχνολογίας αναγνώρισης προσώπου από την αστυνομία της Νότιας Ουαλίας παραβιάζει θεμελιώδη δικαιώματα, συμπεριλαμβανομένου του δικαιώματος στην προστασία των δεδομένων.
  • Η Ευρωπαϊκή Επιτροπή εργάζεται επί του παρόντος πάνω σε έναν κανονισμό για τις ψηφιακές υπηρεσίες, με στόχο την ενίσχυση αυτών των υπηρεσιών εντός της εσωτερικής αγοράς και την αποσαφήνιση του νομικού πλαισίου για τις μικρές επιχειρήσεις. Το Ευρωπαϊκό Κοινοβούλιο προετοιμάζει μια σύσταση σε αυτό το πλαίσιο, η οποία αναμένεται να αντιμετωπίσει μια σειρά ζητημάτων προστασίας δεδομένων, συμπεριλαμβανομένης της κρυπτογράφησης των πληροφοριών, της δυνατότητας ελέγχου των αλγορίθμων και της προστασίας των βιομετρικών δεδομένων.
  • Η Ευρωπαϊκή Επιτροπή ανακοίνωσε στις 4 Αυγούστου ότι ξεκινά έρευνα σχετικά με την προτεινόμενη εξαγορά της Fitbit από την Google. Οι ανησυχίες της αφορούν κυρίως τη συγκέντρωση δεδομένων στα χέρια ενός κυρίαρχου παράγοντα, ιδίως δεδομένων υγείας.

Διεθνές:

  • Ηνωμένες Πολιτείες: Σε μια ανάλυση επιπτώσεων με ημερομηνία 30 Ιουλίου, το Υπουργείο Εσωτερικής Ασφάλειας περιγράφει λεπτομερώς τις πρακτικές που παρατηρούνται εδώ και χρόνια στα εξωτερικά σύνορα της χώρας, οι οποίες επιτρέπουν στους πράκτορες να αντιγράφουν το περιεχόμενο των τηλεφώνων και των υπολογιστών των ατόμων που εισέρχονται στις Ηνωμένες Πολιτείες και να τα διατηρούν για περίοδο 75 ετών.
  • Το Twitter επιβεβαίωσε στις αρχές Αυγούστου ότι αποτέλεσε αντικείμενο έρευνας από την Ομοσπονδιακή Επιτροπή Εμπορίου των ΗΠΑ σχετικά με τη χρήση δεδομένων πελατών για διαφημιστικούς σκοπούς.
  • Βραζιλία: Ο νόμος για την προστασία των προσωπικών δεδομένων θα τεθεί σε ισχύ στις 27 Αυγούστου. Επίσης, μόλις συστάθηκε εποπτική αρχή.
  • Επίσης, στη Λατινική Αμερική, η Χιλή εκσυγχρονίζει τη νομοθεσία της για την προστασία των δεδομένων, ενώ βρίσκονται σε εξέλιξη κανονιστικά έργα στην Παραγουάη και τον Ισημερινό.
  • Η Αίγυπτος ψήφισε νόμο για την προστασία των προσωπικών δεδομένων στις 17 Ιουνίου.

 

Ανακαλύψτε το Viqtor®
elEL
fr_FRFR en_USEN de_DE_formalDE es_ESES it_ITIT hrHR pt_PTPT nl_NL_formalNL de_ATDE_AT etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL elEL