Διαβίβαση προσωπικών δεδομένων στο πλαίσιο του νέου προτεινόμενου Κανονισμού The proposed EU Regulation on Personal Data & On-Line Services: An opportunity not to be lost Microsoft Ελλάς, 16 Απριλίου 2014 Βαγγέλης Παπακωνσταντίνου MPlegal
Το Δίκαιο Προστασίας Δεδομένων: Έχει, μεταξύ άλλων, τα ακόλουθα βασικά χαρακτηριστικά: Έχει σύντομη ιστορία (περίπου 40 ετών), Έχει έντονο το διεθνές στοιχείο, Σκοπό έχει τόσο την προστασία όσο και τη διαβίβαση των δεδομένων, ΟΜΩΣ, οι διακρατικές διαβιβάσεις των δεδομένων (είτε off-line είτε on-line) πάντα απασχολούσαν έντονα.
Το κριτήριο του «ικανοποιητικού επιπέδου προστασίας» (adequacy) για τις εξαγωγές δεδομένων: Συνόδευε το δίκαιο προστασίας δεδομένων από την αρχή, Αποτελεί ιδιαίτερη περίπτωση άσκησης «εξωτερικής» πολιτικής Διακρίνει τον κόσμο σε «δύο» μέρη Σε Κοινοτικό επίπεδο, έκφανση άσκησης κεντρικής πολιτικής
Σήμερα, το κριτήριο του «ικανοποιητικού επιπέδου προστασίας», Έχει επιφέρει αμφίβολα αποτελέσματα: - Μόνο 12 χώρες (εκ των οποίων οι 7 με σημαντικό όγκο επεξεργασίας) - Δεν υπάρχει ιδιαίτερο ενδιαφέρον από τρίτα κράτη, ΌΜΩΣ έχει επηρεάσει την Σύμβαση 108 του Συμβουλίου της Ευρώπης, που με τη σειρά της έχει επηρεάσει τρίτους.
ΌΜΩΣ, ΤΟ ΠΡΑΓΜΑΤΙΚΟ ΠΡΟΒΛΗΜΑ ΕΊΝΑΙ ΟΙ ΣΧΕΣΕΙΣ ΜΕ ΤΙΣ ΗΠΑ
Σχέσεις με ΗΠΑ: 1 ο στοιχείο πολυπλοκότητας Για τις επεξεργασίες του ιδιωτικού τομέα, εκεί εδρεύουν οι μεγαλύτερες εταιρείες, Το Web 2.0 και το cloud διέρρηξαν το μοντέλο του «υπεύθυνου επεξεργασίας» της Οδηγίας 95/46, αφού το άτομο στέλνει μόνο του τα δεδομένα απευθείας (υπεύθυνος σε τρίτη χώρα / ΗΠΑ) Οι εταιρείες πληροφορικής ΔΕΝ χρειάζονται ουσιαστική («πραγματική») έδρα σε κάθε χώρα ή έστω περιφέρεια/region Συνεπώς, το άτομο είναι ουσιαστικά αβοήθητο.
Σχέσεις με ΗΠΑ: 2ο στοιχείο πολυπλοκότητας Το νομοθετικό πλαίσιο διαβιβάσεων είναι, τουλάχιστον, σύνθετο: - Δεδομένα ιδιωτικού τομέα: Safe harbor, BCRs, Model Contracts. - Δεδομένα ασφαλείας: PNR, TFTP(SWIFT), Europol, Δικαστική συνεργασία. - Απευθείας διμερείς σχέσεις.
Commission calls on the U.S. to restore trust in EU-U.S. data flows Την 27η Νοεμβρίου 2013 η Επιτροπή κατέγραψε τις απαιτούμενες ενέργειες «to restore trust in data flows between the EU and the U.S., following deep concerns about revelations of large-scale U.S. intelligence collection programmes»: - A swift adoption of the EU's data protection reform, - Making Safe Harbor safer, - Strengthening data protection safeguards in the law enforcement area, - Using the existing Mutual Legal Assistance and Sectoral agreements to obtain data, - Addressing European concerns in the on-going U.S. reform process, - Promoting privacy standards internationally.
Η ΛΥΣΗ ΤΟΥ ΑΡΧΙΚΟΥ ΣΧΕΔΙΟΥ ΚΑΝΟΝΙΣΜΟΥ
Η προσέγγιση του Κανονισμού (Επιτροπής), Παραμένει το κριτήριο του «ικανοποιητικού επιπέδου προστασίας». Ρόλος European Data Protection Board. Η Επιτροπή αποφασίζει ιδίως σε σχέση με: - rule of law, - judicial redress, - independent supervision. κάτι που πρακτικά σημαίνει ότι το πρόβλημα με τις ΗΠΑ θα συνεχίσει να υπάρχει.
Η προσέγγιση του Κανονισμού (Κοινοβουλίου), Αλλαγές στο αρχικό σχέδιο του Κανονισμού κυρίως στην κατεύθυνση: - Ενίσχυσης του ρόλου του Board / αποδυνάμωσης του ρόλου της Επιτροπής, - Αφενός εισαγωγής επιπλέον διασφαλίσεων για το άτομο (πχ. Impact assessments), - Αφετέρου, «διευκόλυνσης» της διαδικασίας εξαγωγών (πχ. εξαγωγές και σε περίπτωση αρνητικής κρίσης της Επιτροπής, αποδοχή και των privacy seals ως επαρκών διασφαλίσεων, κλπ.) - Μέχρι δύο (2) έτη η διάρκεια των ήδη σε ισχύ εγκρίσεων. Συνολικά πάντως το «μοντέλο εξαγωγών» παραμένει το ίδιο. ΔΕΝ ΑΝΑΜΕΝΕΤΑΙ ΑΛΛΑΓΗ ΤΟΥ ΠΛΑΙΣΙΟΥ ΣΤΟ ΑΜΕΣΟ ΜΕΛΛΟΝ (βλ. άλλωστε και χρόνο εφαρμογής νέου Κανονισμού Οδηγίας)
Κάποιες σκέψεις σχετικά με τις διαβιβάσεις δεδομένων, Θα συνεχίσουν αυξανόμενες (βλ. και cloud computing τόσο σε ατομικό (πχ. dropbox) όσο και σε «επαγγελματικό» επίπεδο (βλ. SAAS), Θα παρακάμπτουν με μεγαλύτερη ευκολία τις εθνικές Αρχές / συζήτηση για one-stop-shop, Το άτομο θα πρέπει να προστατευθεί μέσω άμεσων, προσιτών και αποτελεσματικών (νομικών) μέσων.
MPlegal Εθνικής Αντιστάσεως 84Β 15231, Χαλάνδρι www.mplegal.gr