Συμφωνία Ε.Ε. – Ηνωμένου Βασιλείου και Προσωπικά Δεδομένα

Τη 1η Ιανουαρίου 2021 τέθηκε σε ισχύ η συμφωνία εμπορίου και συνεργασίας μεταξύ Ευρωπαϊκής Ένωσης και του Ηνωμένου Βασιλείου[1], με την οποία ρυθμίζονται οι μεταξύ τους σχέσεις στην μετά Brexit εποχή.

Πέραν της γενικότερης Ιστορικότητας της συμφωνίας αυτής, επηρεάζεται αισθητά και το καθεστώς επεξεργασίας και διαβίβασης δεδομένων προσωπικού χαρακτήρα μεταξύ κρατών-μελών που ανήκουν στον Ευρωπαϊκό Οικονομικό Χώρο (εφεξής «ΕΟΧ») και του  Ηνωμένου Βασίλειου (εφεξής «ΗΚ»). Συγκεκριμένα[2]:

Παραμένει ελεύθερη η ροή των δεδομένων μεταξύ του ΕΟΧ και του ΗΒ

Η συμφωνία περιλαμβάνει μια προσωρινή διάταξη που επιτρέπει τη συνέχιση της ελεύθερης ροής των προσωπικών δεδομένων μεταξύ των κρατών – μελών του ΕΟΧ και του ΗΒ[3]. Αυτή η «καθορισμένη περίοδος» θα είναι για τέσσερις μήνες, ωστόσο υπάρχει η δυνατότητα να παραταθεί σε έξι μήνες,. Ωστόσο, εάν εκδοθεί απόφαση επάρκειας εντός της περιόδου αυτής, τότε η «καθορισμένη περίοδος» λήγει. Πρακτικά, αυτό σημαίνει ότι επιχειρήσεις που δραστηριοποιούνται στον  ΕΟΧ μπορούν να συνεχίσουν να διαβιβάζουν ελεύθερα προσωπικά δεδομένα προς το ΗΒ χωρίς να χρειάζεται απόφαση επάρκειας ή η εφαρμογή κατάλληλων εγγυήσεων.

Το ΗΒ θα πρέπει να διατηρήσει το ισχύον καθεστώς προστασίας δεδομένων για  όλη την καθορισμένη περίοδο, ενώ θα μπορεί να ασκήσει συγκεκριμένες εξουσίες, όπως αναφορικά με την έγκριση νέων τυποποιημένων συμβατικών ρητρών, την αναγνώριση της επάρκειας τρίτων χωρών ή εδαφών ή η έγκριση νέων δεσμευτικών εταιρικών κανόνων. Ωστόσο, οι εξουσίες αυτές θα πρέπει να εγκριθούν από την Ε.Ε.

Εξαίρεση από το «One-Stop Shop Mechanism»

Η Αρχή Προστασίας Δεδομένων της Αγγλίας [Επίτροπος Πληροφοριών  (ICO)], δε συμμετέχει πλέον στον ενιαίο μηχανισμό που προβλέπει το άρθρο 56 του Κανονισμού ΕΕ 679/2016 (εφεξής «One Stop Shop Mechanism»), όπως διευκρίνισε και το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (EDPB)[4]. Αυτό σημαίνει, ότι όσες επιχειρήσεις έχουν δραστηριοποιούνται στο ΗΒ και ως εκ τούτο ο ICO αποτελεί την επικεφαλής Εποπτική Αρχή για θέματα προστασίας δεδομένων, ιδίως στο πλαίσιο ελέγχου, ενδέχεται να είναι εκτεθειμένες σε πολλαπλούς ελέγχους και από άλλα κράτη-μέλη του ΕΟΧ.

Επικαιροποίηση των Δεσμευτικών Εταιρικών Κανόνων

Σύμφωνα με το EDPB[5], οι Όμιλοι που έχουν εγκεκριμένους δεσμευτικούς εταιρικούς κανόνες (εφεξής «BCR») από τον ICO, θα πρέπει να λάβουν έγκριση από άλλη εποπτική αρχή κράτους – μέλους του ΕΟΧ και να τροποποιήσουν τα BCR τους αναλόγως, εάν χρειαστεί.

Οι οργανισμοί με BCR- εν αναμονή έγκρισης από τον ICO- θα πρέπει επίσης να ορίσουν μια νέα επικεφαλής Εποπτική Αρχή ή να υποβάλουν σχέδιο ενώπιον του EDPB για να προσδιοριστεί η BCR Επικεφαλής Εποπτική Αρχή. Σε κάθε περίπτωση, ο προσδιορισμός της νέας BCR εποπτικής αρχής θα γίνει βάσει[6]:

  • Της τοποθεσίας των κεντρικών γραφείων του Ομίλου,
  • Την εγκατάσταση της εταιρείας εντός του Ομίλου με κατ ‘εξουσιοδότηση ευθύνες για την προστασία δεδομένων,
  • την εγκατάσταση της εταιρείας του Ομίλου που βρίσκεται στην καλύτερη θέση (όσον αφορά τη διαχείριση λειτουργία, διοικητικός φόρτος κ.λπ.) για την διεκπεραίωση της αίτησης και την εφαρμογή των δεσμευτικών εταιρικών κανόνων του Ομίλου,
  • Την εγκατάσταση, όπου λαμβάνονται οι περισσότερες αποφάσεις όσον αφορά τους σκοπούς και τα μέσα της επεξεργασίας (δηλαδή διαβίβαση) και
  • Το κράτος μέλος εντός της ΕΕ από το οποίο πραγματοποιούνται οι περισσότερες ή όλες οι διαβιβάσειςεκτός του ΕΟΧ.

Μη θέσπιση μέτρων περιορισμού της διασυνοριακής ροής δεδομένων

Η ΕΕ και το Ηνωμένο Βασίλειο δεσμεύτηκαν να μην περιορίσουν τις διασυνοριακές ροές μεταξύ τους[7], π.χ. επιβάλλοντας απαιτήσεις εντοπισμού δεδομένων ή απαγορεύοντας την αποθήκευση δεδομένων στην επικράτεια του άλλου μέρους για τρία έτη, μετά την παρέλευση των οποίων θα επανεξεταστεί αυτή η δέσμευση. Επιπλέον, η ΕΕ και το ΗΒ συμφώνησαν να μην επιβληθούν δασμοί[8] στις ηλεκτρονικές διαβιβάσεις δεδομένων.

Επιπλέον, συμφωνήθηκε η διατήρηση των ισχυόντων προτύπων προστασίας δεδομένων, που ρυθμίζουν επεξεργασίες για σκοπούς επιβολής του νόμου, δικαστικής συνεργασίας και αντιτρομοκρατικής δράσης, καθώς και για την κοινή χρήση και μεταφορά αρχείων ονομάτων επιβατών, DNA, δακτυλικών αποτυπωμάτων, και δεδομένα καταγραφής οχημάτων[9].

Ορισμός Eκπροσώπου Υπευθύνου Επεξεργασίας

Μετά την 1η Ιανουαρίου 2021, επιχειρήσεις χωρίς έδρα σε κράτος – μέλος του ΕΟΧ ή του ΗΒ θα χρειαστεί να ορίσουν έναν εκπρόσωπο του Υπευθύνου επεξεργασίας στο κράτος-μέλος του ΕΟΧ[10] ή του ΗΒ αντίστοιχα εάν εμπίπτουν στο πεδίο εφαρμογής των ρυθμιστικών πλαισίων των κρατών-μελών. Επιχειρήσεις χωρίς εγκαταστάση στην ΕΕ και το Ηνωμένο Βασίλειο, αλλά με δραστηριοποίηση και στις δύο περιοχές, θα χρειαστούν έναν εκπρόσωπο και στις δύο περιοχές. Στην πράξη, οι περισσότερες επιχειρήσεις θα έχουν ήδη έναν εκπρόσωπο σε μία από αυτές τις δικαιοδοσίες και, ως εκ τούτου, ενδέχεται να χρειαστεί να διορίσουν έναν πρόσθετο αντιπρόσωπο στην άλλη.

Για τη ΔΙΚΗΓΟΡΙΚΗ ΕΤAIPEIA

Ν . ΚΑΝΕΛΛΟΠΟΥΛΟΣ- Χ. ΖΕΡΒΑ & ΣΥΝΕΡΓΑΤΕΣ

ΥΠΕΥΘΥΝΟΣ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ Ε.Ε.Α.

Στέργιος Κωνσταντίνου

Δικηγόρος, Advanced LLM | CIPP/E

[1] Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης, ΣΥΜΦΩΝΙΑ ΕΜΠΟΡΙΟΥ ΚΑΙ ΣΥΝΕΡΓΑΣΙΑΣ ΜΕΤΑΞΥ ΤΗΣ ΕΥΡΩΠΑΪΚΗΣ ΕΝΩΣΗΣ ΚΑΙ ΤΗΣ ΕΥΡΩΠΑΪΚΗΣ ΚΟΙΝΟΤΗΤΑΣ ΑΤΟΜΙΚΗΣ ΕΝΕΡΓΕΙΑΣ, ΑΦΕΝΟΣ, ΚΑΙ ΤΟΥ ΗΝΩΜΕΝΟΥ ΒΑΣΙΛΕΙΟΥ ΤΗΣ ΜΕΓΑΛΗΣ ΒΡΕΤΑΝΙΑΣ ΚΑΙ ΤΗΣ ΒΟΡΕΙΑΣ ΙΡΛΑΝΔΙΑΣ, ΑΦΕΤΕΡΟΥ, L.444/14, 31.12.2020 (εφεξής «Συμφωνία»

[2] Συμφωνία, σελ. 337 επ.

[3] Συμφωνία, σελ. 478

[4] EDPB, Statement on the end of the Brexit transition period, 15/12/2020, p.1

[5] ΕΣΠΔ, Ενημερωτικό σημείωμα σχετικά με τους Δεσμευτικούς Εταιρικούς Κανόνες (BCR) για εταιρείες οι οποίες υπάγονται στο ICO ως Επικεφαλής Εποπτική Αρχή BCR, 12/02/2019

[6] Article 29 Working Party, Working Document Setting Forth a Co-Operation Procedure for the approval of “Binding Corporate Rules” for controllers and processors under the GDPR, 11/04/2018, σ. 3

[7] Συμφωνία, σελ. 146

[8] Συμφωνία, σελ. 147

[9] Συμφωνία, σελ. 336

[10] Άρθρο 27, ΓΚΠΔ