Βρυξέλλες 3 Σεπτεμβρίου - Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (ΕΣΠΔ) εξέδωσε κατευθυντήριες γραμμές σχετικά με τις έννοιες του υπεύθυνου επεξεργασίας και του εκτελούντος την επεξεργασία στον ΓΚΠΔ καθώς και κατευθυντήριες γραμμές σχετικά με τη στόχευση των χρηστών των μέσων κοινωνικής δικτύωσης. Επιπλέον, το ΕΣΠΔ συγκρότησε ειδική ομάδα για τις καταγγελίες που υποβάλλονται σύμφωνα με την απόφαση Schrems II του ΔΕΕ και ειδική ομάδα για τα συμπληρωματικά μέτρα που ενδέχεται να πρέπει να λάβουν οι εξαγωγείς και οι εισαγωγείς κατά τη διαβίβαση δεδομένων με βάση την απόφαση Schrems ΙΙ του ΔΕΕ.
Το ΕΣΠΔ εξέδωσε κατευθυντήριες γραμμές σχετικά με τις έννοιες του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία στον ΓΚΠΔ. Από την έναρξη ισχύος του ΓΚΠΔ, έχουν τεθεί ερωτήματα σχετικά με τον βαθμό στον οποίο ο ΓΚΠΔ επέφερε αλλαγές στις εν λόγω έννοιες, ιδίως στην έννοια της από κοινού ευθύνης επεξεργασίας (όπως ορίζεται στο άρθρο 26 του ΓΚΠΔ και σε διάφορες αποφάσεις του ΔΕΕ), καθώς και στις υποχρεώσεις των εκτελούντων την επεξεργασία (που ορίζονται συγκεκριμένα στο άρθρο 28 του ΓΚΠΔ) σύμφωνα με τις διατάξεις του κεφαλαίου IV του ΓΚΠΔ.
Τον Μάρτιο του 2019, το ΕΣΠΔ, σε συνεργασία με τη γραμματεία του, διοργάνωσε εκδήλωση για τα ενδιαφερόμενα μέρη, στην οποία κατέστη σαφές ότι πρέπει να παρασχεθούν πιο πρακτικές οδηγίες και δόθηκε η δυνατότητα στο ΕΣΠΔ να κατανοήσει καλύτερα τις ανάγκες και τους προβληματισμούς στον συγκεκριμένο τομέα. Οι νέες κατευθυντήριες γραμμές αποτελούνται από δύο κύρια μέρη: στο πρώτο μέρος επεξηγούνται οι διάφορες έννοιες και στο δεύτερο μέρος παρέχεται αναλυτική καθοδήγηση σχετικά με τις κύριες συνέπειες αυτών των εννοιών για τους υπευθύνους επεξεργασίας, τους εκτελούντες την επεξεργασία και τους από κοινού υπεύθυνους επεξεργασίας. Οι κατευθυντήριες γραμμές περιλαμβάνουν διάγραμμα ροής των εργασιών για την παροχή περαιτέρω πρακτικών οδηγιών. Οι κατευθυντήριες γραμμές θα υποβληθούν σε δημόσια διαβούλευση.
Το ΕΣΠΔ εξέδωσε κατευθυντήριες γραμμές σχετικά με τη στόχευση των χρηστών των μέσων κοινωνικής δικτύωσης. Οι κατευθυντήριες γραμμές αποσκοπούν στην παροχή πρακτικών οδηγιών στα ενδιαφερόμενα μέρη και περιλαμβάνουν πολλά παραδείγματα για διάφορες περιπτώσεις, ώστε τα ενδιαφερόμενα μέρη να μπορούν να εντοπίζουν γρήγορα το «σενάριο» που αντιστοιχεί καλύτερα στην πρακτική στόχευσης που προτίθενται να εφαρμόσουν. Κύριος στόχος των κατευθυντήριων γραμμών είναι να διευκρινιστούν οι ρόλοι και οι αρμοδιότητες του παρόχου μέσων κοινωνικής δικτύωσης και του στοχευόμενου προσώπου. Για τον σκοπό αυτό, οι κατευθυντήριες γραμμές προσδιορίζουν, μεταξύ άλλων, τους δυνητικούς κινδύνους για τις ελευθερίες του ατόμου, τους κύριους φορείς και τον ρόλο τους, καθώς και την εφαρμογή των βασικών απαιτήσεων για την προστασία δεδομένων, όπως η νομιμότητα, η διαφάνεια και η εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων. Καθορίζονται τα βασικά στοιχεία των συμφωνιών μεταξύ των παρόχων μέσων κοινωνικής δικτύωσης και των στοχευόμενων προσώπων. Οι κατευθυντήριες γραμμές εστιάζουν επίσης στους διάφορους μηχανισμούς στόχευσης, στην επεξεργασία ειδικών κατηγοριών δεδομένων και στην υποχρέωση των από κοινού υπευθύνων επεξεργασίας να συνάπτουν κατάλληλη συμφωνία σύμφωνα με το άρθρο 26 του ΓΚΠΔ. Η ολομέλεια θα υποβάλει τις κατευθυντήριες γραμμές σε δημόσια διαβούλευση.
Το ΕΣΠΔ συγκρότησε μια ειδική ομάδα για την εξέταση των καταγγελιών που υποβάλλονται μετά την έκδοση της απόφασης Schrems II του ΔΕΕ. Συνολικά, έχουν υποβληθεί 101 ταυτόσημες καταγγελίες στις αρχές προστασίας δεδομένων του ΕΟΧ κατά διαφόρων υπευθύνων επεξεργασίας στα κράτη μέλη του ΕΟΧ σχετικά με τη χρήση υπηρεσιών Google/Facebook οι οποίες περιλαμβάνουν τη διαβίβαση δεδομένων προσωπικού χαρακτήρα. Συγκεκριμένα, οι καταγγέλλοντες, εκπροσωπούμενοι από τη ΜΚΟ NOYB, ισχυρίζονται ότι η Google/Facebook διαβιβάζει δεδομένα προσωπικού χαρακτήρα στις ΗΠΑ βάσει της ασπίδας προστασίας της ιδιωτικής ζωής ΕΕ-ΗΠΑ ή των τυποποιημένων συμβατικών ρητρών και ότι, σύμφωνα με την πρόσφατη απόφαση του ΔΕΕ στην υπόθεση C-311/18, ο υπεύθυνος επεξεργασίας δεν είναι σε θέση να διασφαλίσει επαρκή προστασία των δεδομένων προσωπικού χαρακτήρα των καταγγελλόντων. Η ειδική ομάδα θα αναλύσει το ζήτημα και θα διασφαλίσει τη στενή συνεργασία μεταξύ των μελών του ΕΣΠΔ.
Κατόπιν της απόφασης Schrems II του ΔΕΕ, εκτός από το έγγραφο συχνών ερωτήσεων το οποίο εγκρίθηκε στις 23 Ιουλίου, το ΕΣΠΔ συγκρότησε επίσης ειδική ομάδα, η οποία θα εκπονήσει συστάσεις για να συνδράμει τους υπευθύνους επεξεργασίας και τους εκτελούντες την επεξεργασία στο καθήκον τους να θεσπίζουν και να εφαρμόζουν κατάλληλα συμπληρωματικά μέτρα για τη διασφάλιση επαρκούς προστασίας κατά τη διαβίβαση δεδομένων σε τρίτες χώρες.
Η κ. Andrea Jelinek, πρόεδρος του ΕΣΠΔ, δήλωσε: «Το ΕΣΠΔ έχει πλήρη επίγνωση του γεγονότος ότι η απόφαση Schrems II αναθέτει στους υπευθύνους επεξεργασίας σημαντική ευθύνη. Εκτός από τη γνωμοδότηση και το έγγραφο συχνών ερωτήσεων που δημοσιεύσαμε σύντομα μετά την απόφαση, θα εκπονήσουμε επίσης συστάσεις για την υποστήριξη των υπευθύνων επεξεργασίας και των εκτελούντων την επεξεργασία στο καθήκον τους να θεσπίζουν και να εφαρμόζουν κατάλληλα συμπληρωματικά μέτρα νομικού, τεχνικού και οργανωτικού χαρακτήρα που να εγγυώνται επίπεδο προστασίας που συνάδει με το πρότυπο «ουσιαστικής ισοδυναμίας» κατά τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες. Ωστόσο, οι συνέπειες της απόφασης είναι ευρείες και τα πλαίσια διαβίβασης δεδομένων σε τρίτες χώρες παρουσιάζουν μεγάλες διαφορές. Ως εκ τούτου, δεν μπορεί να βρεθεί μια άμεση λύση για όλες τις περιπτώσεις. Κάθε οργανισμός θα πρέπει να αξιολογεί τις δικές του πράξεις επεξεργασίας δεδομένων και διαβιβάσεις δεδομένων και να λαμβάνει τα κατάλληλα μέτρα.»
Σημείωση προς τους συντάκτες:
Επισημαίνεται ότι όλα τα έγγραφα που εγκρίνονται κατά τη σύνοδο ολομέλειας του ΕΣΠΔ υπόκεινται στους αναγκαίους νομικούς και γλωσσικούς ελέγχους, καθώς και στον αναγκαίο έλεγχο μορφοποίησης, και θα καταστούν διαθέσιμα στον ιστότοπο του ΕΣΠΔ μετά την ολοκλήρωση των ελέγχων αυτών.
EDPB_Press Release_2020_14