Σχέδια αποφάσεων επάρκειας του Ηνωμένου Βασιλείου: Το ΕΣΠΔ εκδίδει γνώμες

Βρυξέλλες, 20 Οκτωβρίου — Κατά την τελευταία σύνοδο ολομέλειάς του, το ΕΣΠΔ εξέδωσε δύο γνώμες σχετικά με τα σχέδια αποφάσεων της Ευρωπαϊκής Επιτροπής για την παράταση της ισχύος των αποφάσεων επάρκειας του Ηνωμένου Βασιλείου βάσει του γενικού κανονισμού για την προστασία δεδομένων (ΓΚΠΔ) και της οδηγίας για την επιβολή του νόμου (LED) έως τον Δεκέμβριο του 2031.*

Οι γνώμες του ΕΣΠΔ, τις οποίες ζήτησε η Επιτροπή σύμφωνα με το άρθρο 70 παράγραφος 1 στοιχείο ιθ) του ΓΚΠΔ και το άρθρο 51 παράγραφος 1 στοιχείο ζ) της οδηγίας LED, αφορούν την προτεινόμενη εξαετή παράταση των δύο αποφάσεων επάρκειας του Ηνωμένου Βασιλείου που πρόκειται να λήξουν τον Δεκέμβριο του 2025.

Η παράταση της ισχύος των αποφάσεων επάρκειας του Ηνωμένου Βασιλείου θα επιτρέψει στους οργανισμούς και τις αρμόδιες αρχές που εδρεύουν στην Ευρώπη να συνεχίσουν να διαβιβάζουν δεδομένα σε οργανισμούς και αρχές που εδρεύουν στο Ηνωμένο Βασίλειο χωρίς να εφαρμόζουν πρόσθετες εγγυήσεις.**

«ΤοΕΣΠΔ εκφράζει την ικανοποίησή του για τη συνεχιζόμενη ευθυγράμμιση μεταξύ του πλαισίου προστασίας δεδομένων του Ηνωμένου Βασιλείου και της Ευρώπης, παρά τις πρόσφατες αλλαγές στο νομικό πλαίσιο του Ηνωμένου Βασιλείου.

Καλώ την Ευρωπαϊκή Επιτροπή να εξετάσει τα σημεία που επισημάνθηκαν από το διοικητικό συμβούλιο και να διασφαλίσει την αποτελεσματική παρακολούθηση μόλις εγκριθούν οι αποφάσεις. Αυτό θα αυξήσει την ευρωστία της επάρκειας του Ηνωμένου Βασιλείου και θα διασφαλίσει μεγαλύτερη ασφάλεια δικαίου για τους οργανισμούς και τις αρμόδιες αρχές που διαβιβάζουν δεδομένα προσωπικού χαρακτήρα από την Ευρώπη στο Ηνωμένο Βασίλειο.»

Πρόεδρος του ΕΣΠΔ, Anu Talus

Σχετικά με τη γνώμη GDPR

Σύμφωνα με το Συμβούλιο Προστασίας Δεδομένων, οι περισσότερες από τις αλλαγές που εισήχθησαν στο πλαίσιο προστασίας δεδομένων του Ηνωμένου Βασιλείου αποσκοπούν στην αποσαφήνιση και τη διευκόλυνση της συμμόρφωσης με τη νομοθεσία.

Ορισμένες πτυχές του σχεδίου απόφασης θα μπορούσαν να αποσαφηνιστούν περαιτέρω.

ΤοΕΣΠΔ καλεί την Ευρωπαϊκή Επιτροπή να αναλύσει περαιτέρω και να παρακολουθήσει τις αλλαγές στον νόμο του 2023 για τη διατήρηση του δικαίου της ΕΕ (ανάκληση και μεταρρύθμιση), γνωστό και ως νόμο REUL, ιδίως την κατάργηση της αρχής της υπεροχής του δικαίου της ΕΕ και την κατάργηση της άμεσης εφαρμογής των αρχών του δικαίου της ΕΕ.

Το ΕΣΠΔ επισημαίνει ότι ο υπουργός έχει λάβει νέες εξουσίες για την εισαγωγή αλλαγών στο νέο πλαίσιο προστασίας των δεδομένων, μέσω παράγωγων κανονισμών που απαιτούν λιγότερο κοινοβουλευτικό έλεγχο. Αυτό ισχύει για τις διεθνείς διαβιβάσεις, την αυτοματοποιημένη λήψη αποφάσεων και τη διακυβέρνηση του Γραφείου του Επιτρόπου Πληροφοριών (ICO). Το ΕΣΠΔ καλεί την Επιτροπή να αντιμετωπίσει τους πιθανούς κινδύνους απόκλισης επισημαίνοντας, στην τελική απόφαση επάρκειας, τους τομείς τους οποίους προτίθεται να παρακολουθεί προσεκτικά.

Το ΕΣΠΔ ενθαρρύνει επίσης την Επιτροπή να επεξεργαστεί περαιτέρω την αξιολόγησή της και να παρακολουθεί τους κανόνες σχετικά με τις διαβιβάσεις από το Ηνωμένο Βασίλειο σε τρίτες χώρες. Ο νέος έλεγχος επάρκειας, που θεσπίστηκε με τον νόμο του 2025 για τα δεδομένα (χρήση και πρόσβαση), απαιτεί το επίπεδο προστασίας της τρίτης χώρας να μην είναι ουσιωδώς χαμηλότερο από εκείνο που προβλέπεται για τα υποκείμενα των δεδομένων από το πλαίσιο του Ηνωμένου Βασιλείου, αλλά ο έλεγχος αυτός δεν αναφέρεται στον κίνδυνο πρόσβασης της κυβέρνησης, στην ύπαρξη έννομης προστασίας για τα φυσικά πρόσωπα και στην ανάγκη για ανεξάρτητη εποπτική αρχή.

Η Επιτροπή θα πρέπει επίσης να αξιολογήσει περαιτέρω και να παρακολουθεί την εικαζόμενη χρήση από την κυβέρνηση του Ηνωμένου Βασιλείου των ανακοινώσεων τεχνικών δυνατοτήτων (στο εξής: ΥΤΧ) που απαιτούν από τις εταιρείες να παρακάμπτουν την κρυπτογράφηση, καθώς αυτό θα δημιουργούσε συστημικά τρωτά σημεία και θα έθετε σε κίνδυνο την ακεραιότητα και το απόρρητο των ηλεκτρονικών επικοινωνιών.

Τέλος, το ΕΣΠΔ καλεί την Επιτροπή να αξιολογήσει περαιτέρω και να παρακολουθεί τις αλλαγές στη δομή του ICO και την άσκηση των διορθωτικών εξουσιών του. Στο πλαίσιο αυτό, το ΕΣΠΔ σημειώνει θετικά την πολιτική διαφάνειας του ICO και τη διαθεσιμότητα των στατιστικών και αναλυτικών δεδομένων των δραστηριοτήτων επιβολής του.

Οι νέες αποφάσεις επάρκειας θα προστεθούν στις αποφάσεις του 2021, οι οποίες θα εξακολουθήσουν να εφαρμόζονται σε τομείς που δεν καλύπτονται από τα σχέδια αποφάσεων του 2025. Το ΕΣΠΔ βασίζεται στις γνώμες που εξέδωσε το 2021 (14/2021 και 15/2021). Ειδικότερα, η στενή ευθυγράμμιση μεταξύ του πλαισίου του ΓΚΠΔ και του νομικού πλαισίου του Ηνωμένου Βασιλείου σχετικά με βασικές διατάξεις, η οποία επισημάνθηκε το 2021, εξακολουθεί να ισχύει σήμερα (συμπεριλαμβανομένων, για παράδειγμα, της διαφάνειας, των δικαιωμάτων των υποκειμένων των δεδομένων και των ειδικών κατηγοριών δεδομένων).

Σχετικά με τη γνώμη των LED

Το ΕΣΠΔ εκφράζει την ικανοποίησή του για τη συνεχή ευθυγράμμιση μεταξύ του πλαισίου προστασίας των δεδομένων στην Ευρώπη και του Ηνωμένου Βασιλείου και ενθαρρύνει την Επιτροπή να συμπληρώσει την αξιολόγησή της σχετικά με πτυχές που σχετίζονται με τις εξαιρέσεις για λόγους εθνικής ασφάλειας. Οι εξαιρέσεις αυτές ενδέχεται να παραιτούνται από τις περισσότερες αρχές προστασίας δεδομένων και από ορισμένους διεθνείς κανόνες διαβίβασης για τις αρχές επιβολής του νόμου, ενώπαράλληλα περιορίζουν τις εξουσίες επιβολής και επιθεώρησης του ICO.

Το ΕΣΠΔ καλεί την Επιτροπή να αναλύσει τους κανόνες του Ηνωμένου Βασιλείου σχετικά με τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες, ιδίως τον νέο έλεγχο επάρκειας, κατά τον ίδιο τρόπο όπως και στη γνώμη του ΓΚΠΔ.

Το συμβούλιο επισημαίνει επίσης την πιο ανεκτική προσέγγιση για την αυτοματοποιημένη λήψη αποφάσεων και τις νέες εξουσίες που ανατίθενται στον υπουργό στο θέμα αυτό. Υπενθυμίζει τη σημασία της ουσιαστικής επανεξέτασης από άνθρωπο και παροτρύνει την Επιτροπή να αποσαφηνίσει και να παρακολουθεί πιθανές εξαιρέσεις από το δικαίωμα των ατόμων να λαμβάνουν ανθρώπινη παρέμβαση.

Τέλος, το ΕΣΠΔ αναγνωρίζει ότι το σύστημα εποπτείας των υπηρεσιών επιβολής του ποινικού δικαίου, καθώς και οι μηχανισμοί προσφυγής παραμένουν σε μεγάλο βαθμό αμετάβλητοι, και επαναλαμβάνει την ανάγκη να παρακολουθεί εκ του σύνεγγυς η Επιτροπή την εφαρμογή των διορθωτικών εξουσιών και των μέσων προσφυγής για τα φυσικά πρόσωπα στο πλαίσιο του Ηνωμένου Βασιλείου για την προστασία των δεδομένων.

Σημείωση προς τους συντάκτες:

* Στις 22 Ιουλίου 2025, η Ευρωπαϊκή Επιτροπή εξέδωσε δύο σχέδια τροποποιητικών εκτελεστικών αποφάσεων σχετικά με την επαρκή προστασία των δεδομένων προσωπικού χαρακτήρα από το Ηνωμένο Βασίλειο σύμφωνα με το άρθρο 45 παράγραφος 3 του ΓΚΠΔ και το άρθρο 36 παράγραφος 3 της οδηγίας LED. Τα εν λόγω σχέδια αποφάσεων αποσκοπούν στην παράταση της ισχύος των προηγούμενων αποφάσεων επάρκειας που εκδόθηκαν στις 28 Ιουνίου 2021. 
Τον Μάιο του 2025 η Επιτροπή εξέδωσε απόφαση για την παράταση της ισχύος της απόφασης επάρκειας του Ηνωμένου Βασιλείου για έξι ακόμη μήνες, από τον Ιούνιο έως τον Δεκέμβριο του 2025. Το ΕΣΠΔ εξέδωσε γνώμη σχετικά με την παράταση αυτή τον Μάιο του 2025.

** Η απόφαση επάρκειας αποτελεί βασικό μηχανισμό της νομοθεσίας της ΕΕ για την προστασία των δεδομένων, ο οποίος επιτρέπει στην Ευρωπαϊκή Επιτροπή να καθορίζει κατά πόσον μια τρίτη χώρα ή ένας διεθνής οργανισμός προσφέρει επαρκές επίπεδο προστασίας των δεδομένων. Η Ευρωπαϊκή Επιτροπή έχει την εξουσία να καθορίζει, βάσει του άρθρου 45 του κανονισμού (ΕΕ) 2016/679, αν μια χώρα εκτός της ΕΕ προσφέρει επαρκές επίπεδο προστασίας των δεδομένων.

Η έκδοση απόφασης επάρκειας περιλαμβάνει: 1) πρόταση της Ευρωπαϊκής Επιτροπής· 2) γνωμοδότηση του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων· 3) έγκριση από εκπροσώπους των χωρών της ΕΕ· 4) την έκδοση της απόφασης από την Ευρωπαϊκή Επιτροπή.