Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων — Γνωμοδοτήσεις σχετικά με τα σχέδια αποφάσεων επάρκειας του Ηνωμένου Βασιλείου, κατευθυντήριες γραμμές για την εφαρμογή του άρθρου 65 παράγραφος 1 στοιχείο α) του ΓΚΠΔ, κατευθυντήριες γραμμές σχετικά με τη στόχευσ

14 April 2021 EDPB

Βρυξέλλες, 14 Απριλίου — Κατά τη σύνοδο ολομέλειάς του, το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (EΣΠΔ) εξέδωσε δύο γνώμες σχετικά με τα σχέδια αποφάσεων επάρκειας του ΗΒ. Η γνώμη 14/2021 βασίζεται στον γενικό κανονισμό για την προστασία δεδομένων (ΓΚΠΔ) και αξιολογεί τόσο γενικές πτυχές της προστασίας των δεδομένων όσο και την κρατική πρόσβαση σε δεδομένα προσωπικού χαρακτήρα που διαβιβάζονται από τον ΕΟΧ για τους σκοπούς της επιβολής του νόμου και της εθνικής ασφάλειας που περιλαμβάνονται στο σχέδιο απόφασης επάρκειας. Η εν λόγω αξιολόγηση βασίζεται στα σημεία αναφοράς για την επάρκεια ως προς τον ΓΚΠΔ, του WP254. Η γνώμη 15/2021 βασίζεται στην οδηγία για την επιβολή του νόμου (LED) και αναλύει το σχέδιο απόφασης επάρκειας υπό το πρίσμα των συστάσεων 01/2021 σχετικά με τα σημεία αναφοράς για την επάρκεια βάσει της οδηγίας για την επιβολή του νόμου, καθώς και της σχετικής νομολογίας που αποτυπώνεται στις συστάσεις 02/2020 σχετικά με τις ευρωπαϊκές βασικές εγγυήσεις για τα μέτρα παρακολούθησης. Πρόκειται για το πρώτο σχέδιο εκτελεστικής απόφασης σχετικά με την επάρκεια τρίτης χώρας στο πλαίσιο της οδηγίας για την επιβολή του νόμου, το οποίο υποβλήθηκε από την Ευρωπαϊκή Επιτροπή και αξιολογήθηκε από το ΕΣΠΔ.

Το ΕΣΠΔ επισημαίνει ότι υπάρχουν βασικοί τομείς στους οποίους υπάρχει σημαντική ευθυγράμμιση του πλαισίου προστασίας δεδομένων της ΕΕ και του αντίστοιχου του Ηνωμένου Βασιλείου σε ορισμένες διατάξεις μείζονος σημασίας, όπως: οι λόγοι σύννομης και θεμιτής επεξεργασίας για νόμιμους σκοπούς· ο περιορισμός του σκοπού· η ποιότητα και αναλογικότητα των δεδομένων· η διατήρηση, ασφάλεια και εμπιστευτικότητα των δεδομένων· η διαφάνεια· ειδικές κατηγορίες δεδομένων· και ό,τι αφορά την αυτοματοποιημένη λήψη αποφάσεων και κατάρτιση προφίλ.

Η πρόεδρος του ΕΣΠΔ, κ. Andrea Jelinek, δήλωσε τα εξής: «Το πλαίσιο προστασίας δεδομένων του Ηνωμένου Βασιλείου βασίζεται σε μεγάλο βαθμό στο πλαίσιο της ΕΕ για την προστασία των δεδομένων. Ο νόμος του Ηνωμένου Βασιλείου για την προστασία των δεδομένων του 2018 προσδιορίζει περαιτέρω την εφαρμογή του ΓΚΠΔ στο δίκαιο του Ηνωμένου Βασιλείου, πέραν της μεταφοράς της οδηγίας για την επιβολή του νόμου, καθώς και την ανάθεση εξουσιών και την επιβολή καθηκόντων στην εθνική εποπτική αρχή προστασίας δεδομένων, τον ICO. Ως εκ τούτου, το ΕΣΠΔ αναγνωρίζει ότι το Ηνωμένο Βασίλειο έχει αποτυπώσει, ως επί το πλείστον, τον ΓΚΠΔ και την οδηγία για την επιβολή του νόμου στο νομικό του πλαίσιο για την προστασία των δεδομένων και, κατά την ανάλυση της νομοθεσίας και της πρακτικής του, το ΕΣΠΔ εντόπισε πολλές πτυχές ως ουσιαστικά ισοδύναμες. Ωστόσο, ενώ η νομοθεσία μπορεί να εξελιχθεί, η ευθυγράμμιση αυτή θα πρέπει να διατηρηθεί. Ως εκ τούτου, επικροτούμε την απόφαση της Επιτροπής να περιορίσει εγκαίρως την παρεχόμενη επάρκεια και την πρόθεση να παρακολουθεί εκ του σύνεγγυς τις εξελίξεις στο Ηνωμένο Βασίλειο.»

Το ΕΣΠΔ υπογραμμίζει ότι αρκετά στοιχεία θα πρέπει να αξιολογηθούν περαιτέρω και/ή να παρακολουθούνται στενά από την Ευρωπαϊκή Επιτροπή στην απόφασή της βάσει του ΓΚΠΔ, όπως:

  • η εξαίρεση για τη μετανάστευση και οι συνέπειές της όσον αφορά τους περιορισμούς των δικαιωμάτων των υποκειμένων των δεδομένων·
  • η εφαρμογή περιορισμών στις περαιτέρω διαβιβάσεις δεδομένων προσωπικού χαρακτήρα του ΕΟΧ που διαβιβάζονται στο Ηνωμένο Βασίλειο, βάσει, για παράδειγμα, μελλοντικών αποφάσεων επάρκειας που εκδίδονται από το Ηνωμένο Βασίλειο, διεθνών συμφωνιών που έχουν συναφθεί μεταξύ του Ηνωμένου Βασιλείου και τρίτων χωρών ή παρεκκλίσεων.

Όσον αφορά την πρόσβαση των δημόσιων αρχών για σκοπούς εθνικής ασφάλειας σε δεδομένα προσωπικού χαρακτήρα που διαβιβάζονται στο Ηνωμένο Βασίλειο, το ΕΣΠΔ εκφράζει την ικανοποίησή του για την ίδρυση του «Investigatory Powers Tribunal (IPT)» για την αντιμετώπιση των προκλήσεων της προσφυγής στον τομέα της εθνικής ασφάλειας, καθώς και για την καθιέρωση δικαστικών επιτρόπων στον νόμο περί αρμοδιοτήτων διερεύνησης (IPA) του 2016, προκειμένου να διασφαλιστεί καλύτερη εποπτεία στον ίδιο τομέα. Το ΕΣΠΔ εξακολουθεί να εντοπίζει ορισμένα σημεία που απαιτούν περαιτέρω διευκρινίσεις και/ή παρακολούθηση:

  • μαζικές παρακολουθήσεις δεδομένων·
  • ανεξάρτητη αξιολόγηση και εποπτεία της χρήσης αυτοματοποιημένων εργαλείων επεξεργασίας·
  • διασφαλίσεις που προβλέπονται από τη νομοθεσία του ΗΒ όσον αφορά την αποκάλυψη πληροφοριών στο εξωτερικό, ιδίως υπό το πρίσμα της εφαρμογής των εξαιρέσεων εθνικής ασφάλειας.

Το Συμβούλιο Προστασίας Δεδομένων εξέδωσε κατευθυντήριες γραμμές σχετικά με την εφαρμογή του άρθρου 65 παράγραφος 1 στοιχείο α) του ΓΚΠΔ προκειμένου να οριοθετηθούν τα κύρια στάδια της διαδικασίας και να αποσαφηνιστεί η αρμοδιότητα του ΕΣΠΔ κατά την έκδοση νομικά δεσμευτικής απόφασης βάσει του άρθρου 65 παράγραφος 1 στοιχείο α) του ΓΚΠΔ. Οι κατευθυντήριες γραμμές περιλαμβάνουν επίσης περιγραφή των εφαρμοστέων διαδικαστικών εγγυήσεων και μέσων έννομης προστασίας. Οι κατευθυντήριες γραμμές θα υποβληθούν σε δημόσια διαβούλευση για χρονική περίοδο έξι εβδομάδων.

Ύστερα από δημόσια διαβούλευση, το ΕΣΠΔ ενέκρινε την τελική έκδοση των κατευθυντήριων γραμμών για τη στόχευση των χρηστών των μέσων κοινωνικής δικτύωσης. Στόχος των κατευθυντήριων γραμμών είναι να αποσαφηνιστούν οι ρόλοι και οι αρμοδιότητες των παρόχων μέσων κοινωνικής δικτύωσης και των στοχευόμενων ατόμων. Η τελική έκδοση του κειμένου περιλαμβάνει επικαιροποιημένη διατύπωση και περαιτέρω διευκρινίσεις προκειμένου να ληφθούν υπόψη τα σχόλια και οι συνεισφορές που ελήφθησαν κατά τη διάρκεια της δημόσιας διαβούλευσης.

Το ΕΣΠΔ εξέδωσε δήλωση σχετικά με διεθνείς συμφωνίες, συμπεριλαμβανομένων των διαβιβάσεων. Το ΕΣΠΔ καλεί τα κράτη μέλη της ΕΕ να αξιολογήσουν και, όπου είναι αναγκαίο, να επανεξετάσουν τις διεθνείς συμφωνίες τους που περιλαμβάνουν διεθνείς διαβιβάσεις δεδομένων προσωπικού χαρακτήρα και οι οποίες συνήφθησαν πριν από τις 24 Μαΐου 2016 (για τις σχετικές με τον ΓΚΠΔ) και τις 6 Μαΐου 2016 (για τις συμφωνίες που αφορούν την οδηγία για την επιβολή του νόμου), ώστε να ευθυγραμμιστούν, όπου απαιτείται, με τη νομοθεσία της ΕΕ για την προστασία των δεδομένων.

 

Σημείωση για τους επιμελητές:
Επισημαίνεται ότι όλα τα έγγραφα που εγκρίνονται κατά τη συνεδρίαση ολομέλειας του ΕΣΠΔ υπόκεινται στους αναγκαίους νομικούς και γλωσσικούς ελέγχους, καθώς και στον αναγκαίο έλεγχο μορφοποίησης, και θα αναρτηθούν στον ιστότοπο του ΕΣΠΔ μετά την ολοκλήρωση των ελέγχων αυτών.

EDPB_Press Release_2021_03