
Βρυξέλλες, 09 Οκτωβρίου — Κατά τη διάρκεια της τελευταίας ολομέλειάς του, το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (ΕΣΠΔ) εξέδωσε γνώμη σχετικά με ορισμένες υποχρεώσεις που απορρέουν από την εξάρτηση από τον εκτελούντα την επεξεργασία και τον υπεργολάβο/τους εκτελούντες την επεξεργασία, τις κατευθυντήριες γραμμές για το έννομο συμφέρον, δήλωση σχετικά με τον καθορισμό πρόσθετων διαδικαστικών κανόνων για την επιβολή του ΓΚΠΔ και το πρόγραμμα εργασίας του ΕΣΠΔ για την περίοδο 2024-2025.
Πρώτον, το ΕΣΠΔ εξέδωσε γνώμη σχετικά με ορισμένες υποχρεώσεις που απορρέουν από την εξάρτηση από εκτελούντα την επεξεργασία και υπεργολάβους επεξεργασίας κατόπιν αιτήματος της δανικής αρχής προστασίας δεδομένων (ΑΠΔ) βάσει του άρθρου 64 παράγραφος 2 του ΓΚΠΔ. Το άρθρο 64 παράγραφος 2 του ΓΚΠΔ προβλέπει ότι κάθε ΑΠΔ μπορεί να ζητήσει από το Συμβούλιο Προστασίας Δεδομένων να εκδώσει γνώμη για θέματα γενικής εφαρμογής ή που παράγουν αποτελέσματα σε περισσότερα του ενός κράτη μέλη.
Η γνώμη αφορά καταστάσεις στις οποίες οι υπεύθυνοι επεξεργασίας βασίζονται σε έναν ή περισσότερους εκτελούντες την επεξεργασία και υπεργολάβους επεξεργασίας. Ειδικότερα, εξετάζει οκτώ ερωτήματα σχετικά με την ερμηνεία ορισμένων καθηκόντων των υπευθύνων επεξεργασίας που βασίζονται σε εκτελούντες την επεξεργασία και υπεργολάβους επεξεργασίας, καθώς και τη διατύπωση των συμβάσεων υπευθύνου επεξεργασίας-εκτελούντος την επεξεργασία, τα οποία απορρέουν ιδίως από το άρθρο 28 του ΓΚΠΔ.
Η γνώμη εξηγεί ότι οι υπεύθυνοι επεξεργασίας θα πρέπει να διαθέτουν ανά πάσα στιγμή τις πληροφορίες σχετικά με την ταυτότητα (δηλ. όνομα, διεύθυνση, υπεύθυνος επικοινωνίας) όλων των εκτελούντων την επεξεργασία, των υπεργολάβων επεξεργασίας κ.λπ., ώστε να είναι σε θέση να εκπληρώνουν με τον καλύτερο δυνατό τρόπο τις υποχρεώσεις τους βάσει του άρθρου 28 του ΓΚΠΔ. Επιπλέον, η υποχρέωση του υπευθύνου επεξεργασίας να επαληθεύει κατά πόσον οι (υπο)εκτελούντες την επεξεργασία παρέχουν «επαρκείς εγγυήσεις» θα πρέπει να ισχύει ανεξάρτητα από τον κίνδυνο για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων, αν και η έκταση της εν λόγω επαλήθευσης μπορεί να διαφέρει, ιδίως με βάση τους κινδύνους που συνδέονται με την επεξεργασία.
Η γνώμη αναφέρει επίσης ότι, ενώ ο αρχικός εκτελών την επεξεργασία θα πρέπει να διασφαλίζει ότι προτείνει υπεργολάβους επεξεργασίας με επαρκείς εγγυήσεις, η τελική απόφαση και η ευθύνη για τη συμμετοχή συγκεκριμένου υπεργολάβου επεξεργασίας παραμένουν στον υπεύθυνο επεξεργασίας.
Το ΕΣΠΔ θεωρεί ότι, σύμφωνα με τον ΓΚΠΔ, ο υπεύθυνος επεξεργασίας δεν έχει υποχρέωση να ζητεί συστηματικά από τις συμβάσεις υπεργολαβίας επεξεργασίας να ελέγχουν εάν οι υποχρεώσεις προστασίας δεδομένων έχουν μετακυλιστεί στην αλυσίδα επεξεργασίας. Ο υπεύθυνος επεξεργασίας θα πρέπει να αξιολογεί κατά πόσον η αίτηση αντιγράφου των εν λόγω συμβάσεων ή η εξέτασή τους είναι αναγκαία για να είναι σε θέση να αποδείξει τη συμμόρφωση με τον ΓΚΠΔ.
Επιπλέον, όταν οι διαβιβάσεις δεδομένων προσωπικού χαρακτήρα εκτός του Ευρωπαϊκού Οικονομικού Χώρου πραγματοποιούνται μεταξύ δύο (υπο)εκτελούντων την επεξεργασία, ο εκτελών την επεξεργασία ως εξαγωγέας δεδομένων θα πρέπει να καταρτίζει τα σχετικά έγγραφα, όπως ο λόγος της διαβίβασης που χρησιμοποιήθηκε, η εκτίμηση επιπτώσεων της διαβίβασης και τα πιθανά συμπληρωματικά μέτρα. Ωστόσο, δεδομένου ότι ο υπεύθυνος επεξεργασίας εξακολουθεί να υπόκειται στα καθήκοντα που απορρέουν από το άρθρο 28 παράγραφος 1 του ΓΚΠΔ σχετικά με τις «επαρκείς εγγυήσεις», πέραν εκείνων που προβλέπονται στο άρθρο 44, ώστε να διασφαλίζεται ότι το επίπεδο προστασίας δεν υπονομεύεται από τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα, θα πρέπει να αξιολογεί την εν λόγω τεκμηρίωση και να είναι σε θέση να την αποδείξει στην αρμόδια αρχή προστασίας δεδομένων.
Στη συνέχεια, το Συμβούλιο Προστασίας Δεδομένων εξέδωσε κατευθυντήριες γραμμές σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα βάσει έννομου συμφέροντος.
Οι υπεύθυνοι επεξεργασίας δεδομένων χρειάζονται νομική βάση για τη νόμιμη επεξεργασία των δεδομένων προσωπικού χαρακτήρα. Το έννομο συμφέρον είναι μία από τις έξι πιθανές νομικές βάσεις.
Οι παρούσες κατευθυντήριες γραμμές αναλύουν τα κριτήρια που ορίζονται στο άρθρο 6 παράγραφος 1 στοιχείο στ) του ΓΚΠΔ, τα οποία πρέπει να πληρούν οι υπεύθυνοι επεξεργασίας για τη νόμιμη επεξεργασία δεδομένων προσωπικού χαρακτήρα με βάση το έννομο συμφέρον. Λαμβάνει επίσης υπόψη την πρόσφατη απόφαση του ΔΕΕ επί του θέματος (C-621/22, 4 Οκτωβρίου 2024).
Προκειμένου να επικαλεστεί έννομο συμφέρον, ο υπεύθυνος επεξεργασίας πρέπει να πληροί τρεις σωρευτικές προϋποθέσεις:
-
Την επιδίωξη έννομου συμφέροντος από τον υπεύθυνο επεξεργασίας ή από τρίτο μέρος·
-
Την ανάγκη επεξεργασίας δεδομένων προσωπικού χαρακτήρα για τους σκοπούς της επιδίωξης του έννομου συμφέροντος·
-
Τα συμφέροντα ή οι θεμελιώδεις ελευθερίες και τα δικαιώματα των φυσικών προσώπων δεν υπερισχύουν του (των) έννομου(-ων) συμφέροντος(-ων) του υπευθύνου επεξεργασίας ή τρίτου (εξισορρόπηση).
Κατ’ αρχάς, μπορούν να θεωρηθούν θεμιτά μόνον τα νόμιμα, σαφώς και επακριβώς διατυπωμένα, πραγματικά και παρόντα συμφέροντα. Για παράδειγμα, τέτοια έννομα συμφέροντα θα μπορούσαν να υπάρχουν σε μια κατάσταση όπου το φυσικό πρόσωπο είναι πελάτης ή στην υπηρεσία του υπευθύνου επεξεργασίας.
Δεύτερον, εάν υπάρχουν εύλογες, εξίσου αποτελεσματικές, αλλά λιγότερο παρεμβατικές εναλλακτικές λύσεις για την επίτευξη των επιδιωκόμενων συμφερόντων, η επεξεργασία δεν μπορεί να θεωρηθεί αναγκαία. Η αναγκαιότητα της επεξεργασίας θα πρέπει επίσης να εξετάζεται με την αρχή της ελαχιστοποίησης των δεδομένων.
Τρίτον, ο υπεύθυνος επεξεργασίας πρέπει να διασφαλίζει ότι το έννομο συμφέρον του δεν υπερισχύει των συμφερόντων του ατόμου, των θεμελιωδών δικαιωμάτων των ελευθεριών. Στο πλαίσιο αυτής της διαδικασίας εξισορρόπησης, ο υπεύθυνος επεξεργασίας πρέπει να λαμβάνει υπόψη τα συμφέροντα των φυσικών προσώπων, τον αντίκτυπο της επεξεργασίας και τις εύλογες προσδοκίες τους, καθώς και την ύπαρξη πρόσθετων εγγυήσεων που θα μπορούσαν να περιορίσουν τον αντίκτυπο στο άτομο.
Επιπλέον, οι παρούσες κατευθυντήριες γραμμές εξηγούν τον τρόπο με τον οποίο αυτή η αξιολόγηση θα πρέπει να διενεργείται στην πράξη, μεταξύ άλλων σε ορισμένα ειδικά πλαίσια, όπως η πρόληψη της απάτης, το άμεσο μάρκετινγκ και η ασφάλεια των πληροφοριών. Το έγγραφο εξηγεί επίσης τη σχέση μεταξύ αυτής της νομικής βάσης και ορισμένων δικαιωμάτων των υποκειμένων των δεδομένων βάσει του ΓΚΠΔ.
Οι κατευθυντήριες γραμμές θα αποτελέσουν αντικείμενο δημόσιας διαβούλευσης έως τις 20 Νοεμβρίου 2024.
Στη συνέχεια, το ΕΣΠΔ εξέδωσε δήλωση μετά τις τροποποιήσεις που επέφεραν το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο στην πρόταση κανονισμού της Ευρωπαϊκής Επιτροπής για τη θέσπιση πρόσθετων διαδικαστικών κανόνων σχετικά με την επιβολή του ΓΚΠΔ.
Η δήλωση εκφράζει γενικά την ικανοποίησή της για τις τροποποιήσεις που επήλθαν από το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο και συνιστά την περαιτέρω εξέταση συγκεκριμένων στοιχείων προκειμένου ο νέος κανονισμός να επιτύχει τους στόχους του εξορθολογισμού της συνεργασίας μεταξύ των αρχών και της βελτίωσης της επιβολής του ΓΚΠΔ.
Η δήλωση διατυπώνει πρακτικές συστάσεις που μπορούν να χρησιμοποιηθούν στο πλαίσιο των επικείμενων τριμερών διαλόγων. Ειδικότερα, το ΕΣΠΔ επαναλαμβάνει την ανάγκη για νομική βάση και εναρμονισμένη διαδικασία για φιλικούς διακανονισμούς και διατυπώνει συστάσεις προκειμένου να διασφαλιστεί η επίτευξη συναίνεσης σχετικά με την περίληψη των βασικών ζητημάτων με τον πλέον αποτελεσματικό τρόπο. Το ΕΣΠΔ εκφράζει επίσης την ικανοποίησή του για τη συμπερίληψη πρόσθετων προθεσμιών, υπενθυμίζοντας παράλληλα ότι πρέπει να είναι ρεαλιστικές και παροτρύνει τους συννομοθέτες να καταργήσουν τις διατάξεις που σχετίζονται με τις σχετικές και αιτιολογημένες αντιρρήσεις και την «αιτιολόγηση» στη διαδικασία επίλυσης διαφορών.
Μολονότι η δήλωση εκφράζει την ικανοποίησή της για τον στόχο της επίτευξης αυξημένης διαφάνειας, η καθιέρωση κοινού φακέλου υποθέσεων, όπως προτείνεται από το Ευρωπαϊκό Κοινοβούλιο, θα απαιτούσε περίπλοκες αλλαγές στα συστήματα διαχείρισης εγγράφων και επικοινωνίας που χρησιμοποιούνται σε ευρωπαϊκό και εθνικό επίπεδο. Οι τεχνικές λύσεις για την εφαρμογή του θα πρέπει να αξιολογηθούν προσεκτικά και θα πρέπει να αποσαφηνιστούν περαιτέρω οι λεπτομέρειες για τη χορήγηση πρόσβασης σε αυτήν.
Το ΕΣΠΔ εκφράζει την ικανοποίησή του για την τροπολογία του Συμβουλίου που επιτρέπει στην επικεφαλής ΑΠΔ να εξαιρεθεί από τη λεγόμενη ενισχυμένη συνεργασία σε απλές και απλές περιπτώσεις, αλλά τονίζει την ανάγκη περαιτέρω αποσαφήνισης του πεδίου εφαρμογής αυτής της εξαίρεσης.
Ο πρόεδρος του ΕΣΠΔ, κ. Anu Talus, δήλωσε: «Το σχέδιο κανονισμού έχει τη δυνατότητα να εξορθολογίσει σημαντικά την επιβολή του ΓΚΠΔ αυξάνοντας την αποτελεσματικότητα της διεκπεραίωσης των υποθέσεων. Απαιτείται μεγαλύτερη εναρμόνιση σε επίπεδο ΕΕ, προκειμένου να μεγιστοποιηθεί η πλήρης αποτελεσματικότητα των μηχανισμών συνεργασίας και συνέπειας του ΓΚΠΔ.»
Κατά την τελευταία ολομέλειά του, το ΕΣΠΔ ενέκρινε το πρόγραμμα εργασίας του για την περίοδο 2024-2025. Πρόκειται για το πρώτο από τα δύο προγράμματα εργασίας που θα εφαρμόσουν τη στρατηγική του ΕΣΠΔ για την περίοδο 2024-2027, η οποία εγκρίθηκε τον Απρίλιο του 2024. Βασίζεται στις προτεραιότητες που καθορίζονται στη στρατηγική του ΕΣΠΔ και λαμβάνει επίσης υπόψη τις ανάγκες που προσδιορίζονται ως σημαντικότερες για τα ενδιαφερόμενα μέρη.
Τέλος, τα μέλη του ΕΣΠΔ συμφώνησαν να χορηγήσουν το καθεστώς του παρατηρητή στις δραστηριότητες του ΕΣΠΔ στον Οργανισμό Πληροφοριών και Προστασίας της Ιδιωτικής Ζωής του Κοσσυφοπεδίου (ΑΠΔ του Κοσσυφοπεδίου), σύμφωνα με το άρθρο 8 του εσωτερικού κανονισμού του ΕΣΠΔ.
Το δελτίο τύπου που δημοσιεύεται εδώ έχει μεταφραστεί αυτόματα από τα αγγλικά. Το ΕΣΠΔ δεν εγγυάται την ακρίβεια της μετάφρασης. Παρακαλείσθε να ανατρέξετε στο επίσημο κείμενο στην αγγλική έκδοσή του, εάν υπάρχουν αμφιβολίες.