Τριακοστή τέταρτη σύνοδος ολομέλειας του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων: Schrems II, αλληλεπίδραση μεταξύ της οδηγίας για τις υπηρεσίες πληρωμών (PSD2) και του ΓΚΠΔ και επιστολή στην βουλευτή του Ευρωπαϊκού Κοινοβουλίου Ďuriš Nicholsonová σχετ

20 July 2020

Βρυξέλλες, 20 Ιουλίου — Το ΕΣΠΔ, στην 34η σύνοδο ολομέλειάς του, εξέδωσε δήλωση σχετικά με την απόφαση του ΔΕΕ στην υπόθεση Facebook Ireland κατά Schrems, ενέκρινε κατευθυντήριες γραμμές σχετικά με την αλληλεπίδραση μεταξύ της δεύτερης οδηγίας για τις υπηρεσίες πληρωμών (PSD2) και του ΓΚΠΔ και απέστειλε απαντητική επιστολή στην βουλευτή του Ευρωπαϊκού Κοινοβουλίου Ďuriš Nicholsonová σχετικά με την ιχνηλάτηση επαφών, τη διαλειτουργικότητα των εφαρμογών και τις εκτιμήσεις αντικτύπου για την προστασία δεδομένων (DPIA).

Το ΕΣΠΔ εξέδωσε δήλωση σχετικά με την απόφαση του Δικαστηρίου της Ευρωπαϊκής Ένωσης στην υπόθεση C-311/18 — Data Protection Commissioner κατά Facebook Ireland και Maximillian Schrems, η οποία ακυρώνει την απόφαση 2016/1250 σχετικά με την επάρκεια της προστασίας που παρέχεται από την ασπίδα προστασίας της ιδιωτικής ζωής ΕΕ-ΗΠΑ ενώ θεωρεί έγκυρη την απόφαση 2010/87 της Επιτροπής σχετικά με τις τυποποιημένες συμβατικές ρήτρες (SCC) για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε εκτελούντες την επεξεργασία εγκατεστημένους σε τρίτες χώρες.

Όσον αφορά την ασπίδα προστασίας της ιδιωτικής ζωής, το ΕΣΠΔ επισημαίνει ότι η ΕΕ και οι ΗΠΑ θα πρέπει να καθορίσουν ένα πλήρες και αποτελεσματικό πλαίσιο, σύμφωνα με την απόφαση, το οποίο να εξασφαλίζει ότι το επίπεδο προστασίας που ισχύει για τα δεδομένα προσωπικού χαρακτήρα στις ΗΠΑ είναι ουσιαστικά ισοδύναμο με το επίπεδο που διασφαλίζεται εντός της ΕΕ. Το ΕΣΠΔ προτίθεται να συνεχίσει να διαδραματίζει εποικοδομητικό ρόλο διασφαλίζοντας τη διατλαντική διαβίβαση δεδομένων προσωπικού χαρακτήρα προς όφελος των πολιτών και των οργανισμών του ΕΟΧ, και είναι έτοιμο να παρέχει συνδρομή και καθοδήγηση στην Ευρωπαϊκή Επιτροπή ώστε να τη βοηθήσει να θεσπίσει, σε συνεργασία με τις ΗΠΑ, ένα νέο πλαίσιο το οποίο συμμορφώνεται πλήρως με τη νομοθεσία της ΕΕ περί προστασίας δεδομένων.

Όσον αφορά τις τυποποιημένες συμβατικές ρήτρες, το ΕΣΠΔ λαμβάνει υπόψη την πρωταρχική ευθύνη του εξαγωγέα και του εισαγωγέα, όταν εξετάζουν το ενδεχόμενο να συνάψουν τυποποιημένες συμβατικές ρήτρες, να διασφαλίζουν ένα επίπεδο προστασίας που είναι κατ' ουσίαν ισοδύναμο με το επίπεδο που εγγυάται ο ΓΚΠΔ, σύμφωνα με τον Χάρτη της ΕΕ. Κατά τη διενέργεια της εν λόγω προηγούμενης αξιολόγησης, ο εξαγωγέας (εφόσον κρίνεται αναγκαίο, με τη συνδρομή του εισαγωγέα) λαμβάνει υπόψη το περιεχόμενο των τυποποιημένων συμβατικών ρητρών, τις ειδικές περιστάσεις της διαβίβασης, καθώς και το εφαρμοστέο νομικό καθεστώς στη χώρα του εισαγωγέα. Το Δικαστήριο υπογραμμίζει ότι ο εξαγωγέας ίσως χρειαστεί να εξετάσει το ενδεχόμενο να εφαρμόσει επιπρόσθετα μέτρα πέραν εκείνων που συμπεριλαμβάνονται στις τυποποιημένες συμβατικές ρήτρες. Το ΕΣΠΔ θα διερευνήσει περαιτέρω ποια θα μπορούσαν να είναι τα εν λόγω επιπρόσθετα μέτρα.

Το ΕΣΠΔ λαμβάνει επίσης υπόψη τα καθήκοντα των αρμόδιων εποπτικών αρχών να αναστέλλουν ή να απαγορεύουν τη διαβίβαση δεδομένων σε τρίτη χώρα σύμφωνα με τις τυποποιημένες συμβατικές ρήτρες αν, κατά την άποψη της αρμόδιας εποπτικής αρχής και υπό το πρίσμα όλων των περιστάσεων της εκάστοτε διαβίβασης, οι ρήτρες αυτές δεν τηρούνται ή δεν είναι δυνατόν να τηρηθούν στην εν λόγω τρίτη χώρα, και η προστασία των διαβιβαζόμενων δεδομένων δεν μπορεί να εξασφαλιστεί με άλλο τρόπο, ιδίως όταν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία δεν έχει ήδη αναστείλει ή τερματίσει τη διαβίβαση.

Το ΕΣΠΔ υπενθυμίζει ότι έχει εκδώσει κατευθυντήριες γραμμές σχετικά με το άρθρο 49 του ΓΚΠΔ και επισημαίνει ότι οι εν λόγω παρεκκλίσεις πρέπει να εφαρμόζονται κατά περίπτωση.

Το ΕΣΠΔ θα εξετάσει διεξοδικότερα την απόφαση και θα παράσχει περαιτέρω διευκρινίσεις για τους ενδιαφερομένους και κατευθυντήριες γραμμές σχετικά με τη χρήση των μέσων για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες σύμφωνα με την απόφαση. Το ΕΣΠΔ και οι ευρωπαϊκές εποπτικές αρχές προτίθενται, όπως ορίζει το ΔΕΕ, να διασφαλίσουν τη συνεκτικότητα σε ολόκληρο τον ΕΟΧ.

Η πλήρης δήλωση είναι διαθέσιμη εδώ: https://edpb.europa.eu/news/news/2020/statement-court-justice-european-union-judgment-case-c-31118-data-protection_en

Το ΕΣΠΔ εξέδωσε κατευθυντήριες γραμμές για τη δεύτερη οδηγία για τις υπηρεσίες πληρωμών (PSD2). Η PSD2 εκσυγχρονίζει το νομικό πλαίσιο για την αγορά των υπηρεσιών πληρωμών. Σημαντικό είναι ότι η PSD2 εισάγει ένα νομικό πλαίσιο για τις νέες υπηρεσίες εκκίνησης πληρωμής (PISP) και τις υπηρεσίες πληροφοριών λογαριασμού (AISP). Οι χρήστες μπορούν να παρέχουν στους νέους αυτούς παρόχους υπηρεσιών πληρωμών πρόσβαση στους λογαριασμούς πληρωμών τους. Μετά το εργαστήριο για τα ενδιαφερόμενα μέρη που πραγματοποιήθηκε τον Φεβρουάριο του 2019, το ΕΣΠΔ εκπόνησε κατευθυντήριες γραμμές σχετικά με την εφαρμογή των διατάξεων του ΓΚΠΔ σε αυτές τις νέες υπηρεσίες πληρωμών.

Στις κατευθυντήριες γραμμές επισημαίνεται ότι στο συγκεκριμένο πλαίσιο η επεξεργασία των ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα εν γένει απαγορεύεται (σύμφωνα με το άρθρο 9 παράγραφος 1 του ΓΚΠΔ), εκτός εάν το υποκείμενο των δεδομένων έχει παράσχει ρητή συγκατάθεση (άρθρο 9 παράγραφος 2 στοιχείο α) του ΓΚΠΔ) ή η επεξεργασία είναι απαραίτητη για λόγους ουσιαστικού δημόσιου συμφέροντος (άρθρο 9 παράγραφος 2 στοιχείο ζ) του ΓΚΠΔ).

Στις κατευθυντήριες γραμμές εξετάζονται επίσης οι όροι υπό τους οποίους οι πάροχοι υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού (ASPSP) παρέχουν στους PISP και AISP πρόσβαση σε πληροφορίες λογαριασμών πληρωμών, ιδίως μερική πρόσβαση σε λογαριασμούς πληρωμών.

Διευκρινίζεται στις εν λόγω κατευθυντήριες γραμμές ότι ούτε το άρθρο 66 παράγραφος 3 στοιχείο ζ) ούτε το άρθρο 67 παράγραφος 2 στοιχείο στ) της οδηγίας PSD2 προβλέπουν τη δυνατότητα περαιτέρω επεξεργασίας, εκτός εάν το υποκείμενο των δεδομένων έχει δώσει τη συγκατάθεσή του σύμφωνα με το άρθρο 6 παράγραφος 1 στοιχείο α) του ΓΚΠΔ ή εάν η επεξεργασία προβλέπεται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους. Οι κατευθυντήριες γραμμές θα υποβληθούν σε δημόσια διαβούλευση.

Τέλος, το ΕΣΠΔ απάντησε στις ερωτήσεις της κας Ďuriš Nicholsonová, μέλους του Ευρωπαϊκού Κοινοβουλίου, σχετικά με την προστασία των δεδομένων στο πλαίσιο της καταπολέμησης της COVID-19. Η επιστολή απαντά σε ερωτήσεις σχετικά με την εναρμόνιση και τη διαλειτουργικότητα των εφαρμογών ιχνηλάτησης επαφών, την απαίτηση διενέργειας DPIA για την εν λόγω επεξεργασία και το χρονικό διάστημα επεξεργασίας που μπορεί να καθοριστεί.

EDPB_Press Release_2020_12