Απαγόρευση διαβίβασης δεδομένων στις ΗΠΑ μετά την απόφαση Schrems: Τι πρέπει πλέον να γνωρίζουν και να πράξουν οι ελληνικές εταιρείες

0

Στις 6-10-2015 το Δικαστήριο των Ευρωπαϊκών Κοινοτήτων εξέδωσε μια απόφαση σταθμό για την διασυνοριακή μεταβίβαση προσωπικών δεδομένων στην επονομαζόμενη υπόθεση Schrems. Κατά την απόφαση αυτή η νομική βάση του Ασφαλούς Λιμένα (Safe Harbor) που ακολουθούνταν τόσα χρόνια ως η πλέον διαδεδομένη πρακτική για την διαβίβαση δεδομένων από εταιρείες που δραστηριοποιούνται στην ΕΕ προς τις ΗΠΑ, δεν θεωρείται πλέον ως ισχυρή νόμιμη βάση διαβίβασης.

Πιο αναλυτικά, οι ΗΠΑ γενικά δεν θεωρούνται ως χώρα που εξασφαλίζει ικανοποιητικό επίπεδο ασφάλειας για την επεξεργασία των προσωπικών δεδομένων και άρα καταρχήν η διαβίβαση προσωπικών δεδομένων προς την χώρα αυτή δεν επιτρέπεται. Από το 2000 είχε υιοθετηθεί από την ΕΕ η Απόφαση 2000/520 δυνάμει της οποίας περιγράφονται οι νομικές προϋποθέσεις που έπρεπε να τηρεί μια εταιρεία εγκατεστημένη στις ΗΠΑ προκειμένου η εταιρεία αυτή να θεωρείται ως Ασφαλής Λιμένα (Safe Harbor) για την επεξεργασία προσωπικών δεδομένων που έχουν συλεγεί από εταιρείες εντός ΕΕ. Έτσι όσες Αμερικάνικές εταιρείες με δήλωσή τους υιοθετούσαν τις προϋποθέσεις της Απόφασης αυτής, θεωρούνται ασφαλείς έστω και αν ήταν εγκατεστημένες στις ΗΠΑ.

…η ελληνική Αρχή Προστασίας εξέδωσε στις 21-10-2015 σχετική ανακοίνωση στην οποία αναφέρει ότι όσες εταιρείες διαβιβάζουν δεδομένα στις ΗΠΑ βάση του Safe Harbor πρέπει να το σταματήσουν αμέσως καθότι η μεταφορά αυτή είναι πλέον μη νόμιμη…
Στο πλαίσιο αυτό, όποια ελληνική εταιρεία επιθυμούσε να διαβιβάσει προσωπικά δεδομένα στις ΗΠΑ, μπορούσε να το πράξει εφόσον η αποδέκτρια αμερικανική εταιρεία είχε υιοθετήσει το Safe Harbor. Δεν απαιτούνταν προηγούμενη άδεια της Αρχής Προστασίας, παρά μόνον μια Γνωστοποίηση περί διαβίβασης δεδομένων στις ΗΠΑ με νομική βάση το Safe Harbor. Με τον τρόπο αυτό λ.χ. μια ελληνική εταιρεία που ο server που φιλοξενεί το site της έχει έδρα στις ΗΠΑ, όφειλε καταρχήν να εξακριβώσει αν η εταιρεία στην οποία ανήκει ο server είχε υιοθετήσει το Safe Harbor. Αν ναι, τότε αρκούσε μια απλή Γνωστοποίηση στην Αρχή Προστασίας ότι η διαβίβαση των προσωπικών δεδομένων των χρηστών του site γίνεται στις ΗΠΑ ώστε η διαβίβαση αυτή να είναι νόμιμη (άλλως η διαβίβαση ήταν εξαρχής παράνομη χωρίς την προηγούμενη ειδική άδεια από την Αρχή Προστασίας!).

Υπό το πρίσμα, όμως, της απόφασης Schrems, η ελληνική Αρχή Προστασίας (στο πρότυπο και των υπολοίπων Αρχών των χωρών της ΕΕ) εξέδωσε στις 21-10-2015 σχετική ανακοίνωση στην οποία αναφέρει ότι όσες εταιρείες διαβιβάζουν δεδομένα στις ΗΠΑ βάση του Safe Harbor πρέπει να το σταματήσουν αμέσως καθότι η μεταφορά αυτή είναι πλέον μη νόμιμη!

Έτσι, μέχρι να εκδοθεί νεότερη απόφαση από την Αρχή για τις προϋποθέσεις νομιμότητας μεταβίβασης δεδομένων στις ΗΠΑ, η διαβίβαση αυτή θα πρέπει να γίνεται ΜΟΝΟΝ κατόπιν έκδοσης σχετικής Άδειας από την Αρχή Προστασίας υπό τις ακόλουθες προϋποθέσεις (που ισχύουν και σήμερα για μεταβίβαση προς αμερικανικές εταιρείες που δεν ήταν ενταγμένες στο Safe Harbor):

α) Το υποκείμενο των δεδομένων έδωσε τη συγκατάθεσή του για τη διαβίβαση, εκτός εάν η συγκατάθεση έχει αποσπασθεί με τρόπο που να αντίκειται στο νόμο ή τα χρηστά ήθη.

β) Η διαβίβαση είναι απαραίτητη i) για τη διασφάλιση ζωτικού συμφέροντος του υποκειμένου των δεδομένων, εφ΄όσον αυτό τελεί σε φυσική ή νομική αδυναμία να δώσει τη συγκατάθεσή του, ή ii) για τη συνομολόγηση και εκτέλεση σύμβασης μεταξύ αυτού και του υπεύθυνου επεξεργασίας ή μεταξύ του υπεύθυνου επεξεργασίας και τρίτου προς το συμφέρον του υποκειμένου των δεδομένων, ή iii) για την εκτέλεση προσυμβατικών μέτρων που έχουν ληφθεί κατ΄αίτηση του υποκειμένου των δεδομένων

γ) Η διαβίβαση είναι απαραίτητη για την αντιμετώπιση εξαιρετικής ανάγκης και τη διαφύλαξη υπέρτερου δημόσιου συμφέροντος, ιδίως για την εκτέλεση συμβάσεων συνεργασίας με δημόσιες αρχές της άλλης χώρας, εφόσον ο υπεύθυνος επεξεργασίας παρέχει επαρκείς εγγυήσεις για την προστασία της ιδιωτικής ζωής και των θεμελιωδών ελευθεριών και την άσκηση των σχετικών δικαιωμάτων.

δ) Η διαβίβαση είναι αναγκαία για την αναγνώριση, άσκηση ή υπεράσπιση δικαιώματος ενώπιον του δικαστηρίου.

ε) Η μετάδοση πραγματοποιείται από δημόσιο μητρώο, το οποίο κατά το νόμο προορίζεται για την παροχή πληροφοριών στο κοινό και είναι προσιτό στο κοινό ή σε κάθε πρόσωπο που αποδεικνύει έννομο συμφέρον, εφόσον στη συγκεκριμένη περίπτωση πληρούνται οι νόμιμες προϋποθέσεις για την πρόσβαση στο μητρώο.

στ) Ο υπεύθυνος επεξεργασίας παρέχει επαρκείς εγγυήσεις για την προστασία των προσωπικών δεδομένων των υποκειμένων και την άσκηση των σχετικών δικαιωμάτων τους, όταν οι εγγυήσεις προκύπτουν από συμβατικές ρήτρες, σύμφωνες με τις ρυθμίσεις του παρόντος νόμου. Δεν απαιτείται άδεια εάν η Ευρωπαϊκή Επιτροπή έκρινε, κατά το άρθρο 26 παρ. 4 της Οδηγίας 95/46/ΕΚ, ότι ορισμένες συμβατικές ρήτρες παρέχουν επαρκείς εγγυήσεις για την προστασία των προσωπικών δεδομένων (Standard Contractual Clauses) ή αν έχει ακολουθηθεί η διαδικασία BCR για ενδο-ομιλικές διαβιβάσεις (intra group agreements)

Η Μίνα Ζούλοβιτς είναι δικηγόρος, συνεταίρος στο δικηγορικό γραφείο Φιλοθεϊδης & Συνεταίροι. Εξειδικεύεται στο εταιρικό δίκαιο και στον χώρο του δικαίου της Τεχνολογίας, των on line & mobile συναλλαγών & της Καινοτομίας. Παρέχει τις νομικές της υπηρεσίες σε αρκετές από τις μεγαλύτερες ελληνικές και πολυεθνικές εταιρείες (με παρουσία και σε αρκετές χώρες του εξωτερικού), καθώς και σε πολλά δυναμικά και φιλόδοξα start ups με καινοτόμες ιδέες. Έχει συμμετάσχει σε νομοπαρασκευαστικές επιτροπές, διδάσκει ως επισκέπτρια σε ακαδημαϊκά προγράμματα και είναι εισηγήτρια σε εγχώρια και διεθνή συνέδρια και ημερίδες. Επίσης είναι εκλεγμένο μέλος της Συμβουλευτικής Επιτροπής του Ελληνικού Συνδέσμου Ηλεκτρονικού Εμπορίου (GRECA). Το δικηγορικό γραφείο Φιλοθεϊδης & Συνεταίροι αναδείχθηκε πρόσφατα ως το «e-Commerce Law Firm of the Year 2014 in Greece» στα διεθνή βραβεία Corporate INTERNATIONAL Global Awards.

Leave A Reply