Βρυξέλλες, 10.1.2017

COM(2017) 7 final

ΑΝΑΚΟΙΝΩΣΗ ΤΗΣ ΕΠΙΤΡΟΠΗΣ ΠΡΟΣ ΤΟ ΕΥΡΩΠΑΪΚΟ ΚΟΙΝΟΒΟΥΛΙΟ ΚΑΙ ΤΟ ΣΥΜΒΟΥΛΙΟ

Ανταλλαγή και προστασία των δεδομένων προσωπικού χαρακτήρα σε έναν παγκοσμιοποιημένο κόσμο


1. Εισαγωγή

H προστασία των δεδομένων προσωπικού χαρακτήρα είναι συνυφασμένη με το κοινό θεσμικό κεκτημένο της Ευρώπης και κατοχυρώνεται στο άρθρο 8 του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης. Για πάνω από 20 έτη, η εν λόγω προστασία αποτέλεσε βασική ιδέα για το δίκαιο της ΕΕ, από την οδηγία για την προστασία των δεδομένων του 1995 1 (στο εξής, «η οδηγία του 1995») στη θέσπιση του γενικού κανονισμού για την προστασία των δεδομένων 2 και της οδηγίας για την αστυνομία 3 του 2016.

Όπως τόνισε ο Πρόεδρος Juncker στην ομιλία για την κατάσταση της Ευρωπαϊκής Ένωσης στις 14 Σεπτεμβρίου 2016: «[το] να είσαι Ευρωπαίος σημαίνει πως έχεις το δικαίωμα να απαιτείς την προστασία των προσωπικών σου δεδομένων χάρη σε ισχυρούς, ευρωπαϊκούς νόμους. [...] Διότι στην Ευρώπη η ιδιωτική ζωή έχει σημασία. Είναι ένα θέμα που αφορά την ανθρώπινη αξιοπρέπεια».

Εντούτοις, η απαίτηση για την προστασία των δεδομένων προσωπικού χαρακτήρα δεν περιορίζεται στην Ευρώπη. Οι καταναλωτές σε όλο τον κόσμο προασπίζουν και εκτιμούν την ιδιωτική τους ζωή ολοένα και περισσότερο. Οι επιχειρήσεις αναγνωρίζουν, με τη σειρά τους, ότι η ισχυρή προστασία της ιδιωτικής ζωής τούς παρέχει συγκριτικό πλεονέκτημα καθώς ενισχύεται η εμπιστοσύνη στις υπηρεσίες τους. Πολλές επιχειρήσεις, ιδίως εκείνες που δραστηριοποιούνται σε παγκόσμιο επίπεδο, ευθυγραμμίζουν τις πολιτικές τους περί προστασίας της ιδιωτικής ζωής με τον γενικό κανονισμό για την προστασία των δεδομένων, τόσο διότι επιθυμούν να ασκήσουν τις δραστηριότητές τους εντός της ΕΕ, αλλά και διότι το θεωρούν παράδειγμα προς μίμηση.

Εξάλλου, διάφορες χώρες και περιφερειακοί οργανισμοί εκτός ΕΕ, κυρίως από τις άμεσα γειτονικές χώρες της Ασίας, Λατινικής Αμερικής και Αφρικής, υιοθετούν νέους ή επικαιροποιημένους νόμους προστασίας των δεδομένων για την αξιοποίηση των ευκαιριών που προσφέρει η παγκόσμια ψηφιακή οικονομία και την ανταπόκριση στην αυξανόμενη ζήτηση για ισχυρότερη προστασία της ιδιωτικής ζωής και της ασφάλειας των δεδομένων. Καίτοι υπάρχουν διαφορές μεταξύ των χωρών όσον αφορά τόσο την προσέγγιση όσο και το επίπεδο της νομοθετικής εξέλιξης, υφίστανται σημάδια ανοδικής σύγκλισης προς τη θέσπιση σημαντικών αρχών προστασίας των δεδομένων, κυρίως όσον αφορά ορισμένες γεωγραφικές περιοχές 4 . Η ευρύτερη συμβατότητα μεταξύ των διαφόρων συστημάτων προστασίας των δεδομένων θα διευκόλυνε τη διεθνή ροή των δεδομένων προσωπικού χαρακτήρα, είτε πρόκειται για εμπορικούς σκοπούς είτε στο πλαίσιο της συνεργασίας μεταξύ δημοσίων αρχών (για παράδειγμα, όσον αφορά τον τομέα επιβολής του νόμου). Η ΕΕ θα πρέπει να εκμεταλλευτεί την ευκαιρία που δημιουργείται για την προώθηση των αξιών προστασίας των δεδομένων και τη διευκόλυνση των ροών μέσω της ενθάρρυνσης της σύγκλισης μεταξύ των νομικών συστημάτων. Όπως ανακοινώθηκε στο πρόγραμμα εργασιών της Επιτροπής 5 , η παρούσα ανακοίνωση θεσπίζει το στρατηγικό πλαίσιο της Επιτροπής για τη «λήψη αποφάσεων περί επάρκειας» καθώς και λοιπά εργαλεία για τη μεταφορά δεδομένων και μέσα διεθνούς προστασίας των δεδομένων.

2. H δέσμη μέτρων της Ευρωπαϊκής Ένωσης για τη μεταρρύθμιση της προστασίας των δεδομένων – Ένα σύγχρονο νομοθετικό πλαίσιο για την προστασία της διεθνούς ροής δεδομένων που εγγυάται τη διατήρηση υψηλής προστασίας

H μεταρρύθμιση του δικαίου της Ένωσης για την προστασία των δεδομένων που εγκρίθηκε τον Απρίλιο του 2016 θεσπίζει σύστημα που διασφαλίζει ένα ισχυρό επίπεδο προστασίας και είναι ανοικτό στις ευκαιρίες που προσφέρει η παγκόσμια κοινωνία της πληροφορίας. Προσφέρει στα φυσικά πρόσωπα περισσότερο έλεγχο επί των προσωπικών τους δεδομένων και επομένως ενισχύει την εμπιστοσύνη των καταναλωτών στην ψηφιακή οικονομία. H εναρμόνιση και απλούστευση του σχετικού νομοθετικού περιβάλλοντος διευκολύνει και καθιστά λιγότερο επαχθή για τις επιχειρήσεις (εγχώριες και αλλοδαπές) τη διεξαγωγή των επιχειρηματικών δραστηριοτήτων στην ΕΕ, συμπεριλαμβανομένων των διεθνών ανταλλαγών δεδομένων. Η ΕΕ του σήμερα ενθαρρύνει τη διεθνή ροή δεδομένων, ενώ παράλληλα σκοπεί στη διασφάλιση του υψηλότερου δυνατού επιπέδου προστασίας για τους πολίτες της. H EE διαθέτει τη δυνατότητα να μετατραπεί σε κόμβο των υπηρεσιών δεδομένων, οι οποίες απαιτούν τη διασφάλιση ελεύθερης ροής αλλά και την εγγύηση της ενισχυμένης εμπιστοσύνης στις εν λόγω υπηρεσίες.

2.1 Ολοκληρωμένο, ενιαίο και απλουστευμένο πλαίσιο προστασίας της ΕΕ όσον αφορά την προστασία των δεδομένων

Η μεταρρύθμιση του δικαίου της ΕΕ θεσπίζει ένα ολοκληρωμένο πλαίσιο κανόνων για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα τόσο όσον αφορά τον ιδιωτικό όσο και τον δημόσιο τομέα, οι οποίοι εφαρμόζονται στο πεδίο των εμπορικών συναλλαγών αλλά και στο πεδίο επιβολής του νόμου (με τον γενικό κανονισμό για την προστασία των δεδομένων και την οδηγία για την αστυνομία αντίστοιχα).

Δυνάμει του γενικού κανονισμού για την προστασία των δεδομένων, από τον Μάιο του 2018 θα υπάρχει μια ενιαία πανευρωπαϊκή δέσμη κανόνων, σε αντιπαράθεση με τις 28 εθνικές νομοθεσίες που υπάρχουν επί του παρόντος στον εν λόγω τομέα. Ο νεοθεσπισθείς μηχανισμός μιας στάσης θα διασφαλίζει ότι μία αρχή προστασίας των δεδομένων θα είναι υπεύθυνη για την εποπτεία των διασυνοριακών πράξεων επεξεργασίας δεδομένων που πραγματοποιούνται από μια εταιρεία στην ΕΕ. Θα διασφαλιστεί η συνοχή στην ερμηνεία των νέων κανόνων. Συγκεκριμένα, σε διασυνοριακές υποθέσεις οι οποίες συνεπάγονται τη συνεργασία διαφόρων εθνικών αρχών προστασίας των δεδομένων, θα εκδίδεται ενιαία απόφαση προκειμένου να διασφαλίζεται ότι τα κοινά προβλήματα αντιμετωπίζονται με κοινές λύσεις. Επιπλέον, ο γενικός κανονισμός για την προστασία των δεδομένων δημιουργεί ίσους όρους ανταγωνισμού μεταξύ των εταιρειών εντός και εκτός της ΕΕ, κατά το μέτρο που οι τελευταίες οφείλουν να εφαρμόζουν τους ίδιους κανόνες με τις εταιρείες της ΕΕ, εφόσον παρέχουν αγαθά και υπηρεσίες ή παρακολουθούν τη συμπεριφορά φυσικών προσώπων στην ΕΕ. Η ενισχυμένη εμπιστοσύνη των καταναλωτών θα ωφελήσει τους οικονομικούς παράγοντες με έδρα στην ΕΕ αλλά και σε τρίτες χώρες.

Η οδηγία για την αστυνομία θεσπίζει κοινούς κανόνες για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα των ατόμων τα οποία εμπλέκονται σε ποινική διαδικασία, είτε πρόκειται για υπόπτους, θύματα ή μάρτυρες, ενώ λαμβάνεται υπόψη η ιδιαίτερη φύση του τομέα της αστυνομίας και της ποινικής δικαιοσύνης. Η εναρμόνιση των κανόνων προστασίας των δεδομένων στο πεδίο επιβολής του νόμου, συμπεριλαμβανομένων των κανόνων σχετικά με τις διεθνείς διαβιβάσεις, θα διευκολύνει τη διασυνοριακή συνεργασία μεταξύ των αστυνομικών και δικαστικών αρχών, τόσο εντός της ΕΕ όσο και με διεθνείς εταίρους, και θα δημιουργήσει ως εκ τούτου τις αναγκαίες συνθήκες για την αποτελεσματικότερη καταπολέμηση του εγκλήματος. Το σημείο αυτό αποτελεί κρίσιμο μέρος του ευρωπαϊκού θεματολογίου για την ασφάλεια 6 .

2.2. Μια ανανεωμένη και διαφοροποιημένη δέσμη εργαλείων για τις διεθνείς διαβιβάσεις

Ήδη από τη σύλληψή της, η ενωσιακή νομοθεσία για την προστασία των δεδομένων προσέφερε διάφορους μηχανισμούς για τη διευκόλυνση των διεθνών διαβιβάσεων δεδομένων. Πρωταρχικός σκοπός των εν λόγω κανόνων είναι η διασφάλιση ότι η προστασία συνοδεύει τα δεδομένα των Ευρωπαίων κατά τη διεθνή διαβίβασή τους. Σταδιακά, οι εν λόγω κανόνες έθεσαν τα πρότυπα για τις διεθνείς ροές δεδομένων σε πολλές έννομες τάξεις. Καίτοι τα θεμέλια παραμένουν ουσιαστικά ίδια με εκείνα της οδηγίας του 1995, εντούτοις με τη μεταρρύθμιση των κανόνων σχετικά με τις διεθνείς διαβιβάσεις αποσαφηνίζεται και απλουστεύεται η χρήση τους, ενώ εισάγονται νέα εργαλεία για τις διαβιβάσεις δεδομένων.

Δυνάμει του δικαίου της Ένωσης, η διαβίβαση δεδομένων προσωπικού χαρακτήρα σε άλλη χώρα πραγματοποιείται με βάση «απόφαση περί επάρκειας» της Επιτροπής που προβλέπει ότι η τρίτη χώρα εξασφαλίζει επίπεδο προστασίας των δεδομένων το οποίο είναι «ουσιαστικά ισοδύναμο» [ουσιωδώς ισοδύναμο / κατ’ ουσίαν ισοδύναμο] 7 με εκείνο της ΕΕ. Δυνάμει της απόφασης αυτής καθίσταται δυνατή η ελεύθερη ροή των δεδομένων προσωπικού χαρακτήρα στην εν λόγω τρίτη χώρα χωρίς να απαιτείται από τον εξαγωγέα δεδομένων να παρέχει πρόσθετες εγγυήσεις ή να εξασφαλίσει τυχόν σχετική έγκριση. Παρέχεται ακριβής και λεπτομερής κατάλογος των στοιχείων που πρέπει να λάβει υπόψη της η Επιτροπή κατά την αξιολόγηση της επάρκειας της προστασίας των δεδομένων που παρέχεται στην έννομη τάξη μιας τρίτης χώρας, ο οποίος είναι διαθέσιμος για χρήση από τις ενδιαφερόμενες χώρες ή τους σχετικούς διεθνείς οργανισμούς 8 . Η Επιτροπή μπορεί να εκδίδει αποφάσεις περί επάρκειας επίσης όσον αφορά τον τομέα επιβολής του νόμου 9 . Επιπλέον, με βάση την πρακτική που έχει δημιουργηθεί από την εφαρμογή της οδηγίας του 1995, η μεταρρύθμιση επιτρέπει ρητά τον καθορισμό της επάρκειας ως προς συγκεκριμένη εδαφική περιοχή τρίτης χώρας ή συγκεκριμένο τομέα ή επιχειρηματικό κλάδο εντός τρίτης χώρας (γνωστή ως «μερική» επάρκεια) 10 . 

Ελλείψει απόφασης περί επάρκειας, οι διεθνείς διαβιβάσεις μπορούν να πραγματοποιηθούν με βάση ορισμένα εναλλακτικά εργαλεία διαβίβασης που προσφέρουν τις απαραίτητες εγγυήσεις προστασίας των δεδομένων 11 . Η μεταρρύθμιση τυποποιεί και διευρύνει τις δυνατότητες χρήσης των υφισταμένων μέσων, όπως οι τυποποιημένες συμβατικές ρήτρες 12 και οι δεσμευτικοί εταιρικοί κανόνες 13 . Για παράδειγμα, οι τυποποιημένες συμβατικές ρήτρες μπορούν πλέον να συμπεριληφθούν σε σύμβαση μεταξύ εκτελούντων την επεξεργασία φορέων με έδρα στην ΕΕ και εκτελούντων την επεξεργασία φορέων σε τρίτη χώρα (γνωστές ως πρότυπες ρήτρες μεταξύ εκτελούντων την επεξεργασία φορέων) 14 . Ως προς τους δεσμευτικούς εταιρικούς κανόνες, οι οποίοι μέχρι στιγμής περιορίζονται στις συμφωνίες μεταξύ των οντοτήτων του ίδιου ομίλου επιχειρήσεων, μπορούν πλέον να χρησιμοποιηθούν από ομάδα επιχειρήσεων που ασκούν κοινή οικονομική δραστηριότητα χωρίς να ανήκουν κατ’ ανάγκην στον ίδιο όμιλο επιχειρήσεων 15 . Η μεταρρύθμιση επίσης μειώνει τη γραφειοκρατία καταργώντας γενικές απαιτήσεις περί προηγούμενης ενημέρωσης και παροχής έγκρισης από αρχές προστασίας των δεδομένων ως προς διαβιβάσεις σε τρίτη χώρα, με βάση τις τυποποιημένες συμβατικές ρήτρες και τους δεσμευτικούς εταιρικούς κανόνες 16 . Πρόκειται για σημαντική απλούστευση του ενωσιακού συστήματος διεθνών διαβιβάσεων δεδομένων, καθώς η ύπαρξη των εν λόγω απαιτήσεων, οι οποίες επί του παρόντος διαφέρουν ανά κράτος μέλος, θεωρείται συχνά σημαντικός φραγμός για τη ροή των δεδομένων, κυρίως δε για τις μικρότερες επιχειρήσεις 17 .

Επιπλέον, η μεταρρύθμιση εισάγει νέα μέσα για την εκτέλεση διεθνών διαβιβάσεων 18 . Οι υπεύθυνοι επεξεργασίας και οι εκτελούντες επεξεργασία δύνανται πλέον να χρησιμοποιούν, υπό ορισμένους όρους, 19 εγκεκριμένους κώδικες συμπεριφοράς και μηχανισμούς πιστοποίησης (όπως σφραγίδες ή σήματα προστασίας των δεδομένων) για τη θέσπιση «κατάλληλων εγγυήσεων». Με τον τρόπο αυτό θα καταστεί δυνατή η ανάπτυξη πιο εξατομικευμένων λύσεων για τις διεθνείς διαβιβάσεις, οι οποίες θα εκφράζουν καλύτερα, για παράδειγμα, τα ειδικά χαρακτηριστικά και τις ανάγκες συγκεκριμένου τομέα ή πεδίου δραστηριοτήτων, ή συγκεκριμένων ροών δεδομένων. Επίσης, προσφέρει τη δυνατότητα παροχής κατάλληλων εγγυήσεων για τις διαβιβάσεις δεδομένων μεταξύ δημοσίων αρχών ή φορέων δυνάμει διεθνών συμφωνιών ή διοικητικών ρυθμίσεων 20 . Τέλος, ο γενικός κανονισμός για την προστασία των δεδομένων προσωπικού χαρακτήρα αποσαφηνίζει τη χρήση των καλούμενων «παρεκκλίσεων» 21 (για παράδειγμα, συγκατάθεση, εκτέλεση σύμβασης ή σημαντικοί λόγοι δημοσίου συμφέροντος) με βάση τις οποίες μπορούν να δικαιολογηθούν διαβιβάσεις των δεδομένων των οντοτήτων σε ειδικές καταστάσεις, σε περίπτωση που δεν υφίσταται απόφαση περί επάρκειας και ανεξαρτήτως της χρήσης ενός εκ των ως άνω μέσων. Συγκεκριμένα, περιέχει μια νέα, έστω και περιορισμένη, παρέκκλιση όσον αφορά τις διαβιβάσεις που μπορούν να λάβουν χώρα προς επιδίωξη του έννομου συμφέροντος 22 μιας επιχείρησης.

Τέλος, η μεταρρύθμιση παρέχει στην Επιτροπή τη δυνατότητα ανάπτυξης μηχανισμών διεθνούς συνεργασίας για τη διευκόλυνση της αποτελεσματικής επιβολής της νομοθεσίας σχετικά με την προστασία των δεδομένων, μεταξύ άλλων με την παροχή αμοιβαίας συνδρομής 23 . Με τον τρόπο αυτό αναγνωρίζεται ότι οι στενότερες μορφές συνεργασίας μεταξύ αρχών εποπτείας σε διεθνές επίπεδο μπορούν να διασφαλίζουν αφενός, πιο αποτελεσματική προστασία των ατομικών δικαιωμάτων, και, αφετέρου, ευρύτερη ασφάλεια δικαίου για τις επιχειρήσεις.

3. Διεθνής διαβίβαση δεδομένων στον εμπορικό τομέα: Διευκόλυνση του εμπορίου με προστασία της ιδιωτικής ζωής

Ο σεβασμός της ιδιωτικής ζωής συνιστά προϋπόθεση για τη σταθερή, ασφαλή και ανταγωνιστική παγκόσμια εμπορική δραστηριότητα. Η ιδιωτική ζωή δεν αποτελεί εμπόρευμα το οποίο μπορεί να αποτελέσει αντικείμενο συναλλαγής 24 . Το διαδίκτυο και η ψηφιοποίηση των αγαθών και των υπηρεσιών έχουν μεταμορφώσει την παγκόσμια οικονομία, ενώ η διασυνοριακή διαβίβαση των δεδομένων, συμπεριλαμβανομένων των δεδομένων προσωπικού χαρακτήρα, αποτελεί μέρος των καθημερινών συναλλαγών των ευρωπαϊκών επιχειρήσεων παντός μεγέθους και σε όλους τους τομείς. Εφόσον οι εμπορικές συναλλαγές βασίζονται ολοένα και περισσότερο στη ροή των δεδομένων προσωπικού χαρακτήρα, η ιδιωτικότητα και η ασφάλεια των εν λόγω δεδομένων έχει καταστεί βασικός παράγοντας της εμπιστοσύνης των καταναλωτών. Για παράδειγμα, τα δύο τρίτα των Ευρωπαίων πολιτών εκφράζουν ανησυχίες σχετικά με το γεγονός ότι δεν έχουν πλήρη έλεγχο των πληροφοριών που παρέχουν στο διαδίκτυο, ενώ οι μισοί εκ των αποκριθέντων φοβούνται ότι θα πέσουν θύμα απάτης 25 . Ταυτόχρονα, οι ευρωπαϊκές επιχειρήσεις που δραστηριοποιούνται σε τρίτες χώρες βρίσκονται αντιμέτωπες ολοένα και πιο συχνά με περιορισμούς που χαρακτηρίζονται από προστατευτισμό, οι οποίοι δεν δικαιολογούνται με βάση θεμιτούς λόγους προστασίας της ιδιωτικής ζωής.

Στην ψηφιακή εποχή, η προώθηση υψηλών προτύπων προστασίας των δεδομένων πρέπει υποχρεωτικά να συνοδεύεται από τη διευκόλυνση των διεθνών εμπορικών συναλλαγών και αντίστροφα. Ενώ η προστασία των δεδομένων προσωπικού χαρακτήρα είναι μη διαπραγματεύσιμη 26 στις εμπορικές συμφωνίες, το καθεστώς της ΕΕ σχετικά με τις διεθνείς διαβιβάσεις δεδομένων, όπως υπογραμμίζεται ανωτέρω, προσφέρει μια πλούσια και ποικίλη δέσμη εργαλείων για τη διευκόλυνση της ροής των δεδομένων, ενώ παράλληλα διασφαλίζει υψηλό επίπεδο προστασίας.

3.1 Αποφάσεις περί επάρκειας

Η απόφαση περί επάρκειας επιτρέπει την ελεύθερη ροή των δεδομένων προσωπικού χαρακτήρα από την ΕΕ χωρίς να απαιτείται από τον εξαγωγέα δεδομένων εντός της ΕΕ να παράσχει πρόσθετες εγγυήσεις ή να υπόκειται σε περαιτέρω όρους. Εφόσον διαπιστωθεί ότι η σχετική έννομη τάξη προσφέρει επαρκές επίπεδο προστασίας, η απόφαση αναγνωρίζει ότι το σύστημα της χώρας προσεγγίζει την προστασία που παρέχουν τα κράτη μέλη της ΕΕ. Ως εκ τούτου, οι διαβιβάσεις στην εν λόγω χώρα θα εξομοιώνονται με ενδοκοινοτικές διαβιβάσεις δεδομένων, με αποτέλεσμα την παροχή προνομιούχας πρόσβασης στην ενιαία αγορά της ΕΕ και παράλληλα άνοιγμα νέων εμπορικών διόδων για τους οικονομικούς παράγοντες της ΕΕ. Όπως εξηγείται ανωτέρω, η εν λόγω αναγνώριση απαιτεί ένα εφάμιλλο επίπεδο προστασίας (ή «ουσιαστικά ισοδύναμο» [ουσιωδώς ισοδύναμο / κατ’ ουσίαν ισοδύναμο]) 27 με το σύστημα προστασίας της Ένωσης. Περιλαμβάνει τη διενέργεια συνολικής εκτίμησης του συστήματος της τρίτης χώρας, συμπεριλαμβανομένων των κανόνων σχετικά με την πρόσβαση στα δεδομένα προσωπικού χαρακτήρα από δημόσιες αρχές για λόγους εθνικής ασφάλειας, επιβολής του νόμου και λοιπούς σκοπούς δημόσιου συμφέροντος.

Ταυτόχρονα, όπως επιβεβαιώθηκε το 2015 με την απόφαση του Δικαστηρίου στην υπόθεση Schrems, το πρότυπο της επάρκειας δεν θέτει ως όρο την αυτολεξεί αναπαραγωγή των ενωσιακών κανόνων 28 . Το καθοριστικό στοιχείο είναι κυρίως εάν, μέσω της ουσίας των δικαιωμάτων περί προστασίας της ιδιωτικής ζωής, της αποτελεσματικής εφαρμογής τους, καθώς και της δυνατότητας επιβολής και εποπτείας τους, το σύστημα της τρίτης χώρας ως σύνολο προσφέρει το απαιτούμενο επίπεδο προστασίας. Όπως αποδεικνύεται από τις αποφάσεις περί επάρκειας που έχουν εκδοθεί μέχρι στιγμής, η Επιτροπή είναι σε θέση να αναγνωρίσει την επάρκεια ενός ευρέος φάσματος συστημάτων προστασίας της ιδιωτικής ζωής, τα οποία αντανακλούν διαφορετικές νομικές παραδόσεις. Οι αποφάσεις αυτές αφορούν χώρες οι οποίες συνδέονται στενά με την Ευρωπαϊκή Ένωση και τα κράτη μέλη της (Ελβετία, Ανδόρα, Νήσοι Φερόε, Γκέρνζι, Τζέρζι, Νήσος του Μαν), σημαντικοί εμπορικοί εταίροι (Αργεντινή, Καναδάς, Ισραήλ, ΗΠΑ) και χώρες οι οποίες κατέχουν, στο πλαίσιο της γεωγραφικής τους περιοχής, ηγετικό ρόλο όσον αφορά την ανάπτυξη νομοθεσίας στο πεδίο προστασίας των δεδομένων (Νέα Ζηλανδία, Ουρουγουάη).

Οι αποφάσεις όσον αφορά το σύστημα του Καναδά και των Ηνωμένων Πολιτειών της Αμερικής περιέχουν διαπιστώσεις «μερικής» επάρκειας. Η απόφαση όσον αφορά τον Καναδά εφαρμόζεται αποκλειστικά σε ιδιωτικούς φορείς που εμπίπτουν στο πεδίο του καναδικού νόμου περί προστασίας των δεδομένων προσωπικού χαρακτήρα και ηλεκτρονικών εγγράφων. Η πρόσφατα εκδοθείσα απόφαση σχετικά με την ασπίδα προστασίας της ιδιωτικής ζωής ΕΕ–ΗΠΑ 29 αποτελεί ειδική περίπτωση καθώς, ελλείψει γενικής νομοθεσίας περί προστασίας των δεδομένων στις ΗΠΑ 30 , βασίζεται σε δεσμεύσεις στις οποίες προβαίνουν οι συμμετέχουσες εταιρείες ως προς την εφαρμογή των υψηλών προτύπων προστασίας των δεδομένων που θεσπίζονται βάσει της εν λόγω συμφωνίας, οι οποίες είναι με τη σειρά τους εφαρμοστέες βάσει του δικαίου των ΗΠΑ. Εξάλλου, η ασπίδα προστασίας βασίζεται σε συγκεκριμένες δηλώσεις και εγγυήσεις εκ μέρους της κυβέρνησης των ΗΠΑ όσον αφορά την πρόσβαση για σκοπούς εθνικής ασφαλείας 31 , οι οποίες και αποτελούν τη βάση της διαπιστώσεως επάρκειας. Η συμμόρφωση με τις εν λόγω δεσμεύσεις θα παρακολουθείται στενά από την Επιτροπή και θα συμπεριληφθεί στα ζητήματα της πρώτης ετήσιας επανεξέτασης ως προς τη λειτουργία του πλαισίου.

Στα πρόσφατα έτη όλο και περισσότερες χώρες παγκοσμίως έχουν θεσπίσει νέους νόμους στο πεδίο της προστασίας των δεδομένων και της ιδιωτικής ζωής ή βρίσκονται σε διαδικασία θέσπισής τους. Το 2015, ο αριθμός των χωρών που είχαν ήδη θεσπίσει νόμους για την προστασία των δεδομένων προσωπικού χαρακτήρα ανερχόταν στις 109, σημειώνοντας αξιοσημείωτη αύξηση από τις 76 χώρες που είχαν καταγραφεί στα μέσα του 2011 32 . Επιπλέον, περίπου 35 χώρες βρίσκονται επί του παρόντος σε διαδικασία κατάρτισης νόμων για την προστασία των δεδομένων προσωπικού χαρακτήρα 33 . Οι εν λόγω νέοι ή εκσυγχρονισμένοι νόμοι συνήθως βασίζονται σε μια κεντρική δέσμη κοινών αρχών, στις οποίες συμπεριλαμβάνονται μεταξύ άλλων, η αναγνώριση της προστασίας των δεδομένων ως θεμελιώδους δικαιώματος, η υιοθέτηση νομοθεσίας γενικής εμβέλειας στο πεδίο αυτό, η κατοχύρωση νομικώς εκτελεστών ατομικών δικαιωμάτων περί της ιδιωτικής ζωής, καθώς και η δημιουργία ανεξάρτητης εποπτικής αρχής. Το γεγονός αυτό προσφέρει νέες ευκαιρίες, ιδίως δε μέσω των αποφάσεων περί επάρκειας, για την περαιτέρω διευκόλυνση της ροής των δεδομένων υπό τον όρο της εγγύησης διατήρησης του υψηλού επιπέδου προστασίας των δεδομένων προσωπικού χαρακτήρα.

Δυνάμει της ενωσιακής νομοθεσίας, η απόφαση περί επάρκειας απαιτεί την ύπαρξη κανόνων για την προστασία των δεδομένων που να μπορούν να συγκριθούν με εκείνους της ΕΕ 34 . Οι κανόνες αυτοί αφορούν τόσο την ουσιαστική προστασία που απολαμβάνουν τα δεδομένα προσωπικού χαρακτήρα όσο και τους συναφείς μηχανισμούς εποπτείας και προσφυγής που διατίθενται στην τρίτη χώρα.

Στο πλαίσιο των διαπιστώσεών της περί επάρκειας, η Επιτροπή εκτιμά ότι τα ακόλουθα κριτήρια οφείλουν να λαμβάνονται υπόψη κατά την αξιολόγηση των τρίτων χωρών με τις οποίες θα πρέπει να επιδιωχθεί διάλογος περί επάρκειας 35 :

i)    ο βαθμός των εμπορικών σχέσεων (υφισταμένων ή εν δυνάμει) της ΕΕ με τρίτη χώρα, συμπεριλαμβανομένης της ύπαρξης συμφωνίας ελεύθερων συναλλαγών ή εν εξελίξει διαπραγματεύσεων,

ii)    ο βαθμός της ροής προσωπικών δεδομένων από την ΕΕ, ο οποίος και αντιπροσωπεύει τους γεωγραφικούς και/ή πολιτιστικούς δεσμούς,

iii)    ο ηγετικός ρόλος που διαδραματίζει η τρίτη χώρα στο πεδίο της προστασίας των δεδομένων και της ιδιωτικής ζωής, ο οποίος θα μπορούσε να χρησιμεύσει ως πρότυπο για άλλες χώρες στην οικεία γεωγραφική ζώνη 36 και

iv)    η εν γένει πολιτική σχέση με την εξεταζόμενη τρίτη χώρα, ιδίως δε όσον αφορά την προώθηση των κοινών αξιών και στόχων σε διεθνές επίπεδο.

Βάσει των ανωτέρω, η Επιτροπή θα συνεργαστεί ενεργά με τους βασικούς εμπορικούς εταίρους τόσο στην ανατολική όσο και στη νοτιοανατολική Ασία, ξεκινώντας από την Ιαπωνία και την Κορέα το 2017 37 και, ανάλογα με την πρόοδο προς την κατεύθυνση του εκσυγχρονισμού της νομοθεσίας της σχετικά με την προστασία των δεδομένων, με την Ινδία, αλλά επίσης και με χώρες της Λατινικής Αμερικής, ιδίως δε τις χώρες της Mercosur, καθώς και χώρες της Ευρωπαϊκής Γειτονίας που έχουν εκδηλώσει ενδιαφέρον για την απόκτηση της σχετικής «διαπίστωσης περί επάρκειας». Επιπλέον, η Επιτροπή ενθαρρύνει και άλλες τρίτες χώρες να εκδηλώσουν το ενδιαφέρον τους εάν επιθυμούν να συνεργαστούν στο εν λόγω πεδίο. Οι συζητήσεις σχετικά με το ενδεχόμενο διαπίστωσης περί επάρκειας συνίστανται σε έναν διμερή διάλογο στο πλαίσιο του οποίου παρέχονται τυχόν απαραίτητες διευκρινίσεις ως προς τους κανόνες προστασίας των δεδομένων της Ευρωπαϊκής Ένωσης, ενώ επίσης αναζητούνται τρόποι για την ενίσχυση της σύγκλισης της νομοθεσίας και πρακτικής των τρίτων χωρών.

Σε ορισμένες καταστάσεις, αντί να εξετασθεί η προσέγγιση σε εθνική κλίμακα, ίσως είναι καταλληλότερη η χρήση εναλλακτικών λύσεων, όπως η μερική ή τομεακή επάρκεια (για παράδειγμα, για χρηματοπιστωτικές υπηρεσίες ή τομείς πληροφορικής) που μπορεί να αφορά γεωγραφικές περιοχές ή τομείς δραστηριότητας που συνιστούν σημαντικό τμήμα της οικονομίας της τρίτης χώρας. H ως άνω προσέγγιση πρέπει να εξετασθεί υπό το πρίσμα λοιπών στοιχείων, όπως, για παράδειγμα, η φύση και το καθεστώς της ανάπτυξης του καθεστώτος προστασίας της ιδιωτικής ζωής (μεμονωμένος νόμος, πολλαπλοί ή τομεακοί νόμοι κ.λπ.), η συνταγματική δομή της τρίτης χώρας ή το κατά πόσον ορισμένοι τομείς της οικονομίας είναι ιδιαίτερα εκτεθειμένοι στις ροές δεδομένων από την ΕΕ.

Η έκδοση της απόφασης περί επάρκειας συνεπάγεται τη θέσπιση συγκεκριμένου διαλόγου και στενής συνεργασίας με τη σχετική τρίτη χώρα. Οι αποφάσεις περί επάρκειας συνιστούν «ζωντανά» έγγραφα που πρέπει να παρακολουθούνται στενά από την Επιτροπή και να προσαρμόζονται σε περιπτώσεις εξελίξεων που θίγουν το διασφαλιζόμενο επίπεδο προστασίας από την εν λόγω τρίτη χώρα 38 . Προς τον σκοπό αυτό, θα διεξάγονται περιοδικές επανεξετάσεις, τουλάχιστον κάθε τέσσερα έτη, για την αντιμετώπιση των ζητημάτων που ανακύπτουν και την ανταλλαγή των βέλτιστων πρακτικών μεταξύ στενών εταίρων 39 . Η εν λόγω δυναμική προσέγγιση εφαρμόζεται επίσης στις ήδη υφιστάμενες αποφάσεις περί επάρκειας, οι οποίες έχουν εκδοθεί δυνάμει της οδηγίας του 1995, οι οποίες θα πρέπει να επανεξετάζονται σε περίπτωση που δεν πληρούν πλέον τα εφαρμοστέα πρότυπα 40 . Οι σχετικές τρίτες χώρες καλούνται ως εκ τούτου να ενημερώνουν την Επιτροπή σχετικά με οποιαδήποτε σχετική αλλαγή στη νομοθεσία και την πρακτική η οποία έχει προκύψει από την έκδοση της απόφασης περί επάρκειας που σχετίζεται με αυτές. Αυτό είναι σημαντικό για τη διασφάλιση της συνέχειας των εν λόγω αποφάσεων δυνάμει των νέων μεταρρυθμιστικών κανόνων 41 . 

Οι κανόνες της ΕΕ για την προστασία των δεδομένων δεν μπορεί να αποτελέσουν αντικείμενο διαπραγμάτευσης σε συμφωνία ελεύθερων συναλλαγών 42 . Ενώ οι διάλογοι σχετικά με την προστασία των δεδομένων και οι εμπορικές διαπραγματεύσεις με τρίτες χώρες οφείλουν να ακολουθούν ξεχωριστούς δρόμους, εντούτοις η απόφαση περί επάρκειας, είτε πρόκειται για μερική είτε πρόκειται για ειδική ως προς τομέα δραστηριότητας, είναι το καλύτερο βήμα προς την οικοδόμηση αμοιβαίας εμπιστοσύνης, την εγγύηση της ανεμπόδιστης ροής δεδομένων προσωπικού χαρακτήρα, και επομένως, τη διευκόλυνση των εμπορικών ανταλλαγών, συμπεριλαμβανομένων των διαβιβάσεων δεδομένων προσωπικού χαρακτήρα στην εν λόγω τρίτη χώρα. Οι εν λόγω αποφάσεις μπορούν επομένως να διευκολύνουν τις εμπορικές διαπραγματεύσεις ή μπορούν να συμπληρώσουν τις υφιστάμενες εμπορικές συμφωνίες επιτρέποντας επομένως τη διεύρυνση των οφελών τους. Ταυτόχρονα, με την προώθηση της σύγκλισης του επιπέδου προστασίας στην ΕΕ και την τρίτη χώρα, η διαπίστωση περί επάρκειας περιορίζει τον κίνδυνο επίκλησης λόγων προστασίας των δεδομένων προσωπικού χαρακτήρα από την εν λόγω χώρα για την επιβολή αδικαιολόγητων απαιτήσεων εντοπισμού δεδομένων ή αποθήκευσης δεδομένων. Εξάλλου, όπως υποδεικνύεται στην ανακοίνωση «Εμπόριο για όλους», η Επιτροπή θα επιδιώξει να χρησιμοποιήσει τις εμπορικές συμφωνίες της ΕΕ για τη θέσπιση κανόνων όσον αφορά το ηλεκτρονικό εμπόριο και τις διασυνοριακές ροές δεδομένων και να αντιμετωπίσει τις νέες μορφές ψηφιακού προστατευτισμού, σε πλήρη συμμόρφωση και με την επιφύλαξη των κανόνων της ΕΕ για την προστασία των δεδομένων 43 . 

Η Επιτροπή θα προβεί στις εξής ενέργειες:

Θα δώσει προτεραιότητα στην έναρξη συζητήσεων με βασικούς εμπορικούς εταίρους τόσο στην ανατολική όσο και στη νοτιοανατολική Ασία, ξεκινώντας από την Ιαπωνία και την Κορέα το 2017, αλλά επίσης και με άλλους βασικούς εταίρους, όπως η Ινδία, καθώς και με χώρες της Λατινικής Αμερικής, ιδίως δε τις χώρες της Mercosur, και χώρες της Ευρωπαϊκής Γειτονίας.

Θα παρακολουθεί στενά τη λειτουργία των υφισταμένων αποφάσεων περί επάρκειας. Τα ως άνω περιλαμβάνουν ειδικότερα την εφαρμογή του πλαισίου ασπίδας προστασίας της ιδιωτικής ζωής ΕΕ–ΗΠΑ, κυρίως μέσω του ετήσιου μηχανισμού κοινής επανεξέτασης.

Θα συνεργάζεται και θα βοηθά χώρες που ενδιαφέρονται να θεσπίσουν ισχυρούς νόμους περί προστασίας των δεδομένων και θα στηρίζει τη σύγκλισή τους με τις αρχές της ΕΕ για την προστασία των δεδομένων.

3.2 Εναλλακτικοί μηχανισμοί διαβίβασης δεδομένων

Οι κανόνες προστασίας των δεδομένων της ΕΕ αναγνώριζαν ανέκαθεν ότι δεν υπάρχει μια ενιαία προσέγγιση όσον αφορά τις διεθνείς διαβιβάσεις δεδομένων. Η διαπίστωση αυτή ισχύει δε πολύ περισσότερο ως προς τους κανόνες που προκύπτουν από τη μεταρρύθμιση. Καίτοι οι διαπιστώσεις περί επάρκειας διατίθενται αποκλειστικά για τις τρίτες χώρες που πληρούν τα συναφή κριτήρια, ο γενικός κανονισμός για την προστασία των δεδομένων προβλέπει μια σειρά από μηχανισμούς οι οποίοι παρέχουν επαρκή ευελιξία για την προσαρμογή τους σε μια ποικιλία διαφορετικών καταστάσεων διαβίβασης. Μπορούν να αναπτυχθούν εργαλεία για την αξιολόγηση των ιδιαίτερων αναγκών ή όρων συγκεκριμένων τομέων δραστηριότητας, επιχειρηματικών προτύπων και/ή οικονομικών φορέων. Για παράδειγμα, θα μπορούσαν να έχουν την μορφή τυποποιημένων συμβατικών ρητρών που εστιάζουν στις απαιτήσεις συγκεκριμένου τομέα δραστηριότητας, όπως ειδικές εγγυήσεις κατά την επεξεργασία ευαίσθητων δεδομένων στον τομέα της υγείας, ή ειδικές μορφές δραστηριοτήτων επεξεργασίας που είναι ιδιαίτερα διαδεδομένες σε ορισμένες τρίτες χώρες, όπως η εξωτερική ανάθεση υπηρεσιών για λογαριασμό επιχειρήσεων με έδρα στην ΕΕ. Τα ως άνω θα μπορούσαν να επιτευχθούν μέσω της έκδοσης νέων δεσμών τυποποιημένων ρητρών ή της συμπλήρωσης των ήδη υφισταμένων με πρόσθετες εγγυήσεις, οι οποίες θα μπορούσαν ενδεικτικά να συνιστούν τεχνικές λύσεις, οργανωτικές λύσεις ή λύσεις ως προς το επιχειρηματικό πρότυπο 44 . Ορισμένες ειδικές τομεακές ανάγκες θα μπορούσαν επίσης να καλυφθούν με την χρήση δεσμευτικών εταιρικών κανόνων, οι οποίοι θα μπορούσαν να τύχουν εφαρμογής σε όμιλο επιχειρήσεων που ασκεί κοινή οικονομική δραστηριότητα, όπως στον κλάδο των ταξιδιωτικών υπηρεσιών. Οι διεθνείς διαβιβάσεις μεταξύ των εκτελούντων την επεξεργασία φορέων θα μπορούσαν να επωφεληθούν από την ανάπτυξη τυποποιημένων συμβατικών ρητρών μεταξύ των εκτελούντων την επεξεργασία φορέων και/ή δεσμευτικών εταιρικών κανόνων για τους εκτελούντες την επεξεργασία. Τέλος, νέοι μηχανισμοί διαβίβασης, όπως οι εγκεκριμένοι κώδικες συμπεριφοράς και οι εγκεκριμένοι μηχανισμοί πιστοποίησης παρέχουν τη δυνατότητα εισαγωγής εξατομικευμένων λύσεων για τις διεθνείς διαβιβάσεις ενώ μπορούν επίσης να αξιοποιηθούν τα σχετικά ανταγωνιστικά πλεονεκτήματα, όπως για παράδειγμα, οι σφραγίδες και τα σήματα προστασίας των δεδομένων. Ορισμένα εργαλεία μπορούν να αναπτυχθούν ως μηχανισμοί ειδικά ως προς τη διαβίβαση ή ως τμήμα ευρύτερων εργαλείων για την απόδειξη της συμμόρφωσης με το σύνολο των διατάξεων του γενικού κανονισμού για την προστασία των δεδομένων, όπως η περίπτωση του εγκεκριμένου κώδικα δεοντολογίας.

Η Επιτροπή θα εργαστεί από κοινού με τις αρχές προστασίας των δεδομένων, τους φορείς του σχετικού επιχειρηματικού κλάδου και της κοινωνίας των πολιτών για την πλήρη αξιοποίηση των δυνατοτήτων διεθνών διαβιβάσεων που προσφέρει η δέσμη εργαλείων του γενικού κανονισμού για την προστασία των δεδομένων. Ο εν εξελίξει διάλογος με τους ενδιαφερόμενους φορείς στο πλαίσιο της εφαρμογής της μεταρρύθμισης θα βοηθήσει στον εντοπισμό των πεδίων δράσης στα οποία πρέπει να δοθεί προτεραιότητα. Σε αυτά περιλαμβάνεται η ολοκλήρωση έργων που έχουν ήδη ξεκινήσει, όπως η κατάρτιση των τυποποιημένων συμβατικών ρητρών μεταξύ εκτελούντων την επεξεργασία φορέων, σε συνεργασία με την ομάδα εργασίας του άρθρου 29 (που θα αντικατασταθεί το 2018 από το Ευρωπαϊκό Συμβούλιο Προστασίας των δεδομένων) 45 . Περιλαμβάνει την ανάπτυξη νέων συστατικών για τη διάρθρωση κανόνων συμμόρφωσης της ΕΕ, για παράδειγμα μέσω των απαιτήσεων και τεχνικών προτύπων που ορίζει η Επιτροπή για τη δημιουργία και λειτουργία των μηχανισμών πιστοποίησης, καθώς και των πτυχών που σχετίζονται με τις διεθνείς διαβιβάσεις 46 . Ορισμένες εκ των ενεργειών αυτών μπορούν να συμπληρωθούν από την πραγματοποίηση έργων σε διεθνές επίπεδο, κυρίως με οργανισμούς που έχουν αναπτύξει παρεμφερείς μηχανισμούς διαβίβασης. Για παράδειγμα, θα μπορούσαν να διερευνηθούν τρόποι προώθησης της σύγκλισης μεταξύ δεσμευτικών εταιρικών κανόνων δυνάμει του δικαίου της Ένωσης και των διασυνοριακών κανόνων προστασίας της ιδιωτικής ζωής που αναπτύχθηκαν από την Οικονομική Συνεργασία Ασίας-Ειρηνικού (ΟΣΑΕ) 47 όσον αφορά τόσο τα εφαρμοστέα πρότυπα όσο και τη διαδικασία εφαρμογής σε κάθε σύστημα. Τα ως άνω θα μπορούσαν να συμβάλουν στην προώθηση υψηλών προτύπων προστασίας σε παγκόσμιο επίπεδο και στη γεφύρωση των διαφορετικών προσεγγίσεων όσον αφορά την προστασία της ιδιωτικής ζωής και των δεδομένων, βοηθώντας φορείς εκμετάλλευσης να ελίσσονται μεταξύ διαφορετικών συστημάτων, καθώς και στον σχεδιασμό πολιτικών συμμόρφωσης με αυτές.

Η Επιτροπή θα προβεί στις εξής ενέργειες:

Θα συνεργαστεί με ενδιαφερόμενους φορείς για την ανάπτυξη εναλλακτικών μηχανισμών διαβίβασης δεδομένων προσωπικού χαρακτήρα που είναι προσαρμοσμένοι στις ιδιαίτερες ανάγκες ή όρους των συγκεκριμένων κλάδων, επιχειρηματικών προτύπων και/ή φορέων.

 

3.3 Διεθνής συνεργασία για την προστασία των δεδομένων προσωπικού χαρακτήρα

3.3.1 Προώθηση των προτύπων προστασίας των δεδομένων μέσω πολυμερών συμφωνιών και φόρουμ

Το νομικό πλαίσιο της προστασίας των δεδομένων στην ΕΕ συχνά έχει αποτελέσει σημείο αναφοράς για την ανάπτυξη νομοθεσίας τρίτων χωρών στο πεδίο αυτό. Η ΕΕ θα συνεχίσει να συμμετέχει ενεργά στον διάλογο με τους διεθνείς της εταίρους, τόσο σε διμερές όσο και σε πολυμερές επίπεδο, για τη στήριξη της σύγκλισης μέσω της ανάπτυξης υψηλών και διαλειτουργικών προτύπων προστασίας των δεδομένων σε παγκόσμιο επίπεδο. Αυτό συμβάλλει στην πιο αποτελεσματική προστασία των ατομικών δικαιωμάτων και ταυτόχρονα μειώνει τους φραγμούς στη διασυνοριακή ροή των δεδομένων ως σημαντικό στοιχείο των ελεύθερων συναλλαγών.

Ειδικότερα, η Επιτροπή ενθαρρύνει την προσχώρηση τρίτων χωρών στη Σύμβαση 108 του Συμβουλίου της Ευρώπης και το πρόσθετο πρωτόκολλό της 48 . Η Σύμβαση, στην οποία μπορούν να προσχωρήσουν μη μέλη του Συμβουλίου της Ευρώπης, και η οποία έχει ήδη κυρωθεί από 50 χώρες, συμπεριλαμβανομένων κρατών της Αφρικής και της Λατινικής Αμερικής 49 , συνιστά τη μοναδική δεσμευτική πολυμερή πράξη στον τομέα της προστασίας των δεδομένων. Επί του παρόντος, τελεί υπό αναθεώρηση και η Επιτροπή θα προωθήσει ενεργά την ταχεία έκδοση του ανανεωμένου κειμένου με σκοπό την προσχώρηση της ΕΕ ως συμβαλλόμενου μέρους. Θα αναπαριστά τις ίδιες αρχές με εκείνες που κατοχυρώνονται στους νέους κανόνες προστασίας των δεδομένων της ΕΕ και επομένως θα συμβάλλει στη σύγκλιση προς μια δέσμη υψηλών προτύπων προστασίας των δεδομένων.

H Σύνοδος Κορυφής της Ομάδας G20 του έτους 2017 θα προσφέρει περαιτέρω ευκαιρίες στην ΕΕ για να εργαστεί υπέρ της σύγκλισης ως προς την ενιαία αρχή περί του ότι τα υψηλά πρότυπα προστασίας των δεδομένων συνιστούν θεμελιώδες στοιχείο για την περαιτέρω εξέλιξη μια παγκόσμιας κοινωνίας της πληροφορίας που είναι σε θέση να προωθήσει την καινοτομία, την ανάπτυξη και την κοινωνική ευημερία 50 .

Η Επιτροπή επίσης επιδιώκει να συνεργαστεί με σημαντικούς νέους παράγοντες, όπως ο Ειδικός Εισηγητής του ΟΗΕ για το δικαίωμα στην ιδιωτικότητα 51 , και να αναπτύξει περαιτέρω τις σχέσεις συνεργασίας με τοπικούς οργανισμούς όπως η ΟΣΑΕ, επιδιώκοντας να θεσπίσει μια παγκόσμια κουλτούρα σεβασμού για τα δικαιώματα της ιδιωτικής ζωής και της προστασίας των δεδομένων προσωπικού χαρακτήρα.

Η Επιτροπή, στο πλαίσιο των ευρύτερων προσπαθειών της να ενισχύσει την ευαισθητοποίηση για την προστασία της ιδιωτικής ζωής και τη θέσπιση εγγυήσεων για την προστασία των δεδομένων σε παγκόσμιο επίπεδο, ενέκρινε στις 15 Νοεμβρίου 2016 ένα σχέδιο, δυνάμει της εταιρικής σχέσης, για την ενίσχυση της συνεργασίας με χώρες εταίρους στο πεδίο αυτό 52 . Αυτά θα περιλαμβάνουν τη χρηματοδότηση των δραστηριοτήτων, όπως η εκπαίδευση και η ευαισθητοποίηση. Επίσης, στο πλαίσιο εφαρμογής της μεταρρύθμισης, η ΕΕ μπορεί να επωφεληθεί από την ανταλλαγή βέλτιστων πρακτικών και την εμπειρία λοιπών συστημάτων με νέες προκλήσεις για την προστασία της ιδιωτικής ζωής και τις αναδυόμενες νομικές ή τεχνικές λύσεις, όπως για παράδειγμα, ο τομέας επιβολής του νόμου, εργαλεία συμμόρφωσης (π.χ. μηχανισμοί πιστοποίησης, εκτιμήσεις επιπτώσεων στην ιδιωτική ζωή) ή οι μορφές προστασίας που επιφυλάσσονται σε συγκεκριμένες δέσμες δεδομένων (π.χ. δεδομένα που σχετίζονται με παιδιά).

3.3.2. Συνεργασία για την επιβολή της νομοθεσίας

Η ανάγκη για ενίσχυση της συνεργασίας με τις αρμόδιες αρχές τρίτων χωρών οι οποίες είναι υπεύθυνες για την εποπτεία και την επιβολή του νόμου στο πεδίο της ιδιωτικής ζωής καθίσταται ολοένα και πιο επιτακτική, δεδομένης της παγκόσμιας εμβέλειας των πολυεθνικών επιχειρήσεων που επεξεργάζονται τεράστιες ποσότητες δεδομένων προσωπικού χαρακτήρα σε μεγάλο αριθμό χωρών. Συχνά, ένα πρόβλημα μη συμμόρφωσης με τους κανόνες προστασίας των δεδομένων ή παραβιάσεις δεδομένων προσωπικού χαρακτήρα επηρεάζει ταυτόχρονα τα δικαιώματα διαφόρων ατόμων σε πάνω από μία έννομη τάξη. Στις περιπτώσεις αυτές, η προστασία των φυσικών προσώπων θα μπορούσε να καταστεί πιο αποτελεσματική μέσω της θέσπισης κοινής δράσης. Ταυτόχρονα, οι οικονομικοί φορείς θα μπορούσαν να ωφεληθούν ομοίως από ένα σαφέστερο νομικό περιβάλλον στο οποίο τα κοινά ερμηνευτικά εργαλεία και οι πρακτικές επιβολής του νόμου αναπτύσσονται σε παγκόσμιο επίπεδο.

Ο κόσμος της ροής δεδομένων είναι συνδεδεμένος και δεν παρουσιάζει σύνορα· έχει φτάσει επομένως η στιγμή να συνεργαστούν οι αρχές επιβολής του νόμου ως προς αυτό 53 . Η ΕΕ είναι πρόθυμη να διαδραματίσει τον δικό της ρόλο ως προς αυτό. Όπως έχει υπενθυμιστεί ανωτέρω, ο γενικός κανονισμός για την προστασία των δεδομένων παρέχει στην Επιτροπή τη δυνατότητα ανάπτυξης μηχανισμών διεθνούς συνεργασίας για τη διευκόλυνση της αποτελεσματικής επιβολής της νομοθεσίας σχετικά με την προστασία των δεδομένων, μεταξύ άλλων με την παροχή αμοιβαίας συνδρομής. Στο πλαίσιο αυτό, θα πρέπει να διερευνηθεί το ενδεχόμενο σύναψης μιας συμφωνίας-πλαισίου συνεργασίας μεταξύ των αρχών προστασίας των δεδομένων προσωπικού χαρακτήρα εντός της ΕΕ και των αρχών επιβολής του νόμου σε ορισμένες τρίτες χώρες, αντλώντας προς τούτο συμπεράσματα από τις εμπειρίες της Επιτροπής ως προς συμφωνίες σε λοιπά πεδία επιβολής του νόμου, όπως ο ανταγωνισμός και η προστασία των καταναλωτών.

Η Επιτροπή θα προβεί στις εξής ενέργειες:

Θα προωθήσει την ταχεία έκδοση του ανανεωμένου κειμένου της Σύμβασης 108 του Συμβουλίου της Ευρώπης με σκοπό την προσχώρηση της ΕΕ ως συμβαλλόμενου μέρους και θα ενθαρρύνει την προσχώρηση τρίτων χωρών.

Θα χρησιμοποιήσει τα πολυμερή φόρουμ, όπως τα Ηνωμένα Έθνη, η ομάδα G20 και η ΟΣΑΕ για τη θέσπιση παγκόσμιας κουλτούρας σεβασμού των δικαιωμάτων στην ιδιωτική ζωή.

Θα αναπτύξει μηχανισμούς διεθνούς συνεργασίας με βασικούς διεθνείς εταίρους για την προώθηση της αποτελεσματικής επιβολής του νόμου.

4. Πιο αποτελεσματική συνεργασία για την επιβολή του νόμου με ισχυρές εγγυήσεις για την προστασία των δεδομένων

Οι ανταλλαγές δεδομένων προσωπικού χαρακτήρα αποτελούν αναπόσπαστο μέρος της πρόληψης, της έρευνας και της δίωξης των ποινικών αδικημάτων. Σε έναν διασυνδεδεμένο κόσμο στον οποίο το έγκλημα υπερβαίνει τα εθνικά σύνορα, η ταχεία ανταλλαγή δεδομένων προσωπικού χαρακτήρα αποκτά ουσιώδη σημασία για την επιτυχημένη συνεργασία στο πεδίο επιβολής του νόμου, καθώς και για την αποτελεσματικότερη πάταξη του εγκλήματος. Οι εν λόγω ανταλλαγές πρέπει να διέπονται από ισχυρές εγγυήσεις για την προστασία των δεδομένων. Τα ως άνω συντελούν στην οικοδόμηση εμπιστοσύνης μεταξύ των αρχών επιβολής του νόμου και την ενίσχυση της ασφάλειας δικαίου κατά τη συλλογή και/ή ανταλλαγή πληροφοριών.

Οι κανόνες σχετικά με τις διεθνείς διαβιβάσεις στην οδηγία για την αστυνομία διέπουν τις ανταλλαγές δεδομένων μεταξύ των αρχών επιβολής του νόμου εντός της ΕΕ και των αρχών επιβολής του νόμου σε τρίτες χώρες, καθώς επίσης και, σε μερικές περιπτώσεις, διαβιβάσεις από αρχές επιβολής του νόμου σε άλλους φορείς. Η οδηγία εισάγει τη δυνατότητα κατάρτισης διαπιστώσεων περί επάρκειας στον τομέα επιβολής του νόμου στον τομέα του ποινικού δικαίου. Η Επιτροπή θα προαγάγει τη δυνατότητα χρήσης των εν λόγω διαπιστώσεων περί επάρκειας με τρίτες χώρες που πληρούν τους σχετικούς όρους, κυρίως με εκείνες με τις οποίες απαιτείται στενή και άμεση συνεργασία για την πάταξη του εγκλήματος και της τρομοκρατίας, και με εκείνες με τις οποίες πραγματοποιούνται ήδη σημαντικές ανταλλαγές δεδομένων προσωπικού χαρακτήρα. Σε αυτή τη βάση, η Επιτροπή θα δώσει προτεραιότητα σε συζητήσεις σχετικά με αποφάσεις περί επάρκειας με τρίτες χώρες που αποτελούν τους βασικούς εταίρους στο εγχείρημα αυτό.

Εναλλακτικά, η συμφωνία ΕΕ-ΗΠΑ για την προστασία των δεδομένων 54 η οποία συνήφθη τον Δεκέμβριο του 2016 αποτελεί ένα επιτυχημένο παράδειγμα στο οποίο αντανακλάται πώς η συνεργασία με έναν σημαντικό διεθνή εταίρο στο πεδίο επιβολής του νόμου μπορεί να ενισχυθεί μέσω της διαπραγμάτευσης μιας ισχυρής δέσμης εγγυήσεων προστασίας των δεδομένων. Με την αυτόματη συμπλήρωση των ήδη υφισταμένων νομικών πράξεων στις οποίες βασίζονται οι ανταλλαγές δεδομένων (ιδίως δε οι διμερείς συμφωνίες τόσο σε επίπεδο ΕΕ όσο και κράτους μέλους μεμονωμένα) η ως άνω συμφωνία επιφέρει άμεσα οφέλη στα φυσικά πρόσωπα και ενισχύει τη συνεργασία στο πεδίο επιβολής του νόμου μέσω της διευκόλυνσης της ανταλλαγής πληροφοριών. Επίσης, η δημιουργία μιας προϋπάρχουσας βάσης για μελλοντικές συμφωνίες διαβίβασης δεδομένων με τις Ηνωμένες Πολιτείες καταργεί την ανάγκη επανειλημμένων διαπραγματεύσεων ως προς τις ίδιες (ήδη θεσπισθείσες) εγγυήσεις. Η εν λόγω συμφωνία αποτελεί την πρώτη διμερή διεθνή συμφωνία με περιεκτικό κατάλογο δικαιωμάτων και υποχρεώσεων όσον αφορά την προστασία των δεδομένων σε ευθυγράμμιση με το ενωσιακό κεκτημένο. Ως εκ τούτου, μπορεί να αποτελέσει τη βάση για τη διαπραγμάτευση παρόμοιων συμφωνιών με τρίτες χώρες, όχι μόνο στο πεδίο της δικαστικής και αστυνομικής συνεργασίας, αλλά επίσης και μεταξύ λοιπών δημόσιων αρχών επιβολής του νόμου (όπως η πολιτική ανταγωνισμού, η προστασία καταναλωτών). Τα ως άνω καλύπτουν τόσο τις ανταλλαγές δεδομένων μεταξύ κυβερνήσεων όσο και τις διαβιβάσεις δεδομένων μεταξύ ιδιωτικών φορέων και αρχών επιβολής του νόμου. Επίσης, θα διευκόλυνε τη σύναψη συμφωνιών από την Ένωση όσον αφορά την ανταλλαγή δεδομένων μεταξύ των σχετικών οργανισμών της ΕΕ (ιδίως δε της Ευρωπόλ και της Eurojust) και τρίτων χωρών 55 . Η Επιτροπή θα εξετάσει επομένως το ενδεχόμενο σύναψης παρόμοιων συμφωνιών-πλαισίων με τους σημαντικότερους εταίρους επιβολής του νόμου.

Επιπλέον, η οδηγία για την αστυνομία παρέχει στις αρχές επιβολής του νόμου εντός της ΕΕ τη δυνατότητα, δυνάμει αυστηρών εγγυήσεων και υπό ορισμένους όρους, να ζητήσουν πληροφορίες απευθείας από ιδιωτική επιχείρηση σε τρίτη χώρα και να διαβιβάσουν προσωπικές πληροφορίες στο αίτημα αυτό (συνήθως πρόκειται για ένα όνομα ή μια διεύθυνση IP) 56 . Αντίστροφα, ο γενικός κανονισμός για την προστασία των δεδομένων περιλαμβάνει προβλέψεις όσον αφορά τη δυνατότητα διαβίβασης από ιδιωτικές επιχειρήσεις στην ΕΕ δεδομένων προσωπικού χαρακτήρα στις αρχές επιβολής νόμου τρίτης χώρας κατόπιν υποβολής σχετικού αιτήματος: οι εν λόγω διαβιβάσεις εκτός της ΕΕ επιτρέπονται αποκλειστικά υπό ορισμένες προϋποθέσεις, όπως όταν βασίζονται σε διεθνή συμφωνία ή αν η κοινολόγηση είναι απαραίτητη για σημαντικό λόγο δημόσιου συμφέροντος ο οποίος αναγνωρίζεται στο δίκαιο της Ένωσης ή κράτους μέλους 57 . 

Η εν λόγω συνεργασία, η οποία έχει αναχθεί σε βασικό στοιχείο μιας επιτυχούς έρευνας και δίωξης του εγκλήματος και της τρομοκρατίας, υπογραμμίζεται στα συμπεράσματα του Συμβουλίου σχετικά με τη βελτίωση της ποινικής δικαιοσύνης στον κυβερνοχώρο. Το Συμβούλιο κάλεσε την Επιτροπή να λάβει συγκεκριμένες δράσεις, με βάση μια κοινή ενωσιακή προσέγγιση, για τη βελτίωση της συνεργασίας με τους παρόχους των υπηρεσιών, την παροχή μιας πιο αποτελεσματικής αμοιβαίας νομικής συνδρομής, καθώς και την παροχή λύσεων στα προβλήματα καθορισμού και επιβολής της νομοθεσίας στον κυβερνοχώρο 58 . Οι δράσεις αυτές καλύπτουν τόσο τις ανταλλαγές μεταξύ των αρχών επιβολής του νόμου και των παρόχων υπηρεσιών που εδρεύουν στην ΕΕ όσο και τις ανταλλαγές με αρχές και εταιρείες εκτός ΕΕ. Η Επιτροπή θα προτείνει τις εναλλακτικές επιλογές για την πρόσβαση σε ηλεκτρονικά αποδεικτικά στοιχεία τον Ιούνιο του 2017, λαμβάνοντας υπόψη την ανάγκη ύπαρξης ταχείας και αξιόπιστης συνεργασίας η οποία θα διέπεται από τα ισχυρά πρότυπα προστασίας που προβλέπει η οδηγία για την αστυνομία και ο γενικός κανονισμός για την προστασία των δεδομένων τόσο εντός της ΕΕ όσο και σε διεθνείς ανταλλαγές.

Τέλος, σύμφωνα με τη νέα νομική βάση για την Ευρωπόλ, η Επιτροπή θα εξετάσει τις διατάξεις που περιέχονται στις εν λόγω επιχειρησιακές συμφωνίες συνεργασίας μεταξύ της Ευρωπόλ και τρίτων μερών, οι οποίες συνήφθησαν δυνάμει της απόφασης 2009/371/ΔΕΥ του Συμβουλίου, συμπεριλαμβανομένων των διατάξεών τους σχετικά με την προστασία των δεδομένων 59 . Επιπλέον, όπως ορίζεται στο ευρωπαϊκό θεματολόγιο για την ασφάλεια του 2015, η μελλοντική προσέγγιση της Ένωσης όσον αφορά την ανταλλαγή στοιχείων καταστάσεων με ονόματα επιβατών (PNR) με χώρες εκτός ΕΕ θα λαμβάνει υπόψη την ανάγκη να εφαρμόζονται συνεκτικά πρότυπα και συγκεκριμένες προστασίες των θεμελιωδών δικαιωμάτων. Η Επιτροπή θα εργαστεί για την εξεύρεση νομικά βάσιμων και βιώσιμων λύσεων για την ανταλλαγή στοιχείων καταστάσεων με ονόματα επιβατών με τρίτες χώρες, μεταξύ άλλων και με την ανάπτυξη ενός υποδείγματος συμφωνίας για τις καταστάσεις ονομάτων επιβατών στο οποίο θα ορίζονται οι απαιτήσεις τις οποίες θα πρέπει να πληρούν οι τρίτες χώρες ώστε να λαμβάνουν στοιχεία PNR από την ΕΕ. Τυχόν μελλοντική θέσπιση πολιτικής στο πεδίο αυτό θα εξαρτάται, εντούτοις, από τη γνωμοδότηση που θα εκδώσει το Δικαστήριο της Ευρωπαϊκής Ένωσης σχετικά με την προβλεπόμενη συμφωνία για τις καταστάσεις ονομάτων επιβατών με τον Καναδά 60 . 

Πιο αποτελεσματική συνεργασία για την επιβολή του νόμου με ισχυρές εγγυήσεις για την προστασία των δεδομένων

Η Επιτροπή θα προβεί στις εξής ενέργειες:

Θα προαγάγει τη δυνατότητα έκδοσης αποφάσεων περί επάρκειας δυνάμει της οδηγίας για την αστυνομία με τις τρίτες χώρες που πληρούν τους σχετικούς όρους.

Θα προωθήσει τη διαπραγμάτευση συμφωνιών στον τομέα της επιβολής του νόμου με σημαντικούς διεθνείς εταίρους μαζί με το μοντέλο που παρέχεται από τη συμφωνία-πλαίσιο με τις ΗΠΑ.

Θα παρακολουθεί την εφαρμογή των συμπερασμάτων του Συμβουλίου σχετικά με τη βελτίωση της ποινικής δικαιοσύνης στον κυβερνοχώρο για τη διευκόλυνση της διασυνοριακής ανταλλαγής ηλεκτρονικών αποδεικτικών στοιχείων σε συμμόρφωση με τους κανόνες προστασίας των δεδομένων.

5. Συμπέρασμα

Η προστασία και η ανταλλαγή δεδομένων προσωπικού χαρακτήρα δεν συνιστούν αλληλοαναιρούμενα στοιχεία. Ένα ισχυρό σύστημα προστασίας των δεδομένων διευκολύνει τη ροή των δεδομένων μέσω της οικοδόμησης εμπιστοσύνης των καταναλωτών ως προς τις επιχειρήσεις οι οποίες επιδεικνύουν ενδιαφέρον ως προς τον τρόπο επεξεργασίας των δεδομένων προσωπικού χαρακτήρα των πελατών τους. Τα υψηλά πρότυπα προστασίας των δεδομένων συνιστούν επομένως ένα προνόμιο στην παγκόσμια ψηφιακή οικονομία. Τα εν λόγω ισχύουν και για τη συνεργασία στον τομέα επιβολής του νόμου: οι εγγυήσεις περί της προστασίας της ιδιωτικής ζωής αποτελούν αναπόσπαστο τμήμα της αποτελεσματικής και ταχείας ανταλλαγής πληροφοριών με σκοπό την πάταξη του εγκλήματος, με βάση την αμοιβαία εμπιστοσύνη και την ασφάλεια δικαίου.

Με την ολοκλήρωση της μεταρρύθμισης των κανόνων προστασίας των δεδομένων, η ΕΕ θα πρέπει να συνεργαστεί προορατικά με τρίτες χώρες όσον αφορά το εν λόγω ζήτημα. Θα πρέπει να επιδιώξει την αύξηση της ανοδικής σύγκλισης των αρχών προστασίας των δεδομένων διεθνώς, τόσο σε διμερές όσο και σε πολυμερές επίπεδο. Τα εν λόγω αποβαίνουν προς όφελος και συμφέρον τόσο των πολιτών όσο και των επιχειρήσεων. Το νέο νομοθετικό πλαίσιο για την προστασία των δεδομένων οπλίζει την ΕΕ με τα κατάλληλα και απαραίτητα εργαλεία για την επίτευξη των εν λόγω στόχων. Με βάση τη στρατηγική προσέγγιση που περιέχεται στην παρούσα ανακοίνωση, η Επιτροπή θα συνεργαστεί στενά με βασικές τρίτες χώρες για την εξέταση του ενδεχομένου έκδοσης διαπιστώσεων περί επάρκειας, αρχίζοντας με την Ιαπωνία και την Κορέα το 2017, για την προώθηση της ρυθμιστικής σύγκλισης προς τα ενωσιακά πρότυπα και τη διευκόλυνση των εμπορικών σχέσεων. Ταυτόχρονα, η Ευρωπαϊκή Ένωση θα διασφαλίσει την πλήρη αξιοποίηση της ποικιλίας εναλλακτικών μέσων διαβίβασης για την προστασία των δικαιωμάτων προστασίας των δεδομένων και τη στήριξη των οικονομικών παραγόντων όταν τα εν λόγω δεδομένα διαβιβάζονται σε χώρες των οποίων το εθνικό δίκαιο δεν εγγυάται επαρκές επίπεδο προστασίας των δεδομένων. Τα εν λόγω εργαλεία θα πρέπει να χρησιμοποιηθούν επίσης για την περαιτέρω διευκόλυνση της συνεργασίας μεταξύ ενωσιακών εποπτικών αρχών και αρχών επιβολής του νόμου και των σχετικών διεθνών εταίρων. Η Επιτροπή θα διασφαλίζει τη συνοχή της εσωτερικής και εξωτερικής διάστασης της ενωσιακής πολιτικής προστασίας των δεδομένων και θα προωθεί την προστασία των δεδομένων σε διεθνές επίπεδο για τη βελτίωση της συνεργασίας στο πεδίο επιβολής του νόμου, τη συμβολή στην ανάπτυξη των ελεύθερων συναλλαγών και την θέσπιση υψηλών προτύπων προστασίας των δεδομένων σε παγκόσμιο επίπεδο.

(1)

     Οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών, ΕΕ L 281 της 23.11.95.

(2)

     Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (γενικός κανονισμός για την προστασία των δεδομένων) (ΕΕ 119 της 4.5.2016, σ. 1–88). Η εν λόγω πράξη άρχισε να ισχύει από τις 24 Μαΐου 2016 και θα αρχίζει να εφαρμόζεται από τις 25 Μαΐου 2018.

(3)

     Οδηγία (ΕΕ) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της απόφασης-πλαίσιο 2008/977/ΔΕΥ του Συμβουλίου (ΕΕ 119 της 4.5.2016, σ. 89-131). Η εν λόγω πράξη άρχισε να ισχύει από τις 5 Μαΐου 2016. Τα κράτη μέλη της ΕΕ οφείλουν να τη μεταφέρουν στο εθνικό τους δίκαιο έως τις 6 Μαΐου 2018.

(4)

     Βλ. «Data protection regulations and international data flows: Implications for trade and development» (Κανονισμοί για την προστασία των δεδομένων και διεθνείς ροές δεδομένων: Αντίκτυπος στο εμπόριο και την ανάπτυξη), UNCTAD (2016): http://unctad.org/en/PublicationsLibrary/dtlstict2016d1_en.pdf.

(5)

     Πρόγραμμα εργασίας της Επιτροπής 2017 – Δημιουργία μιας Ευρώπης που προστατεύει, ενδυναμώνει και υπερασπίζεται τους πολίτες της, COM(2016) 710 final της 25.10.2016, σ. 12 και Παράρτημα 1.

(6)

     Ανακοίνωση της Επιτροπής προς το Ευρωπαϊκό Κοινοβούλιο, το Συμβούλιο, την Ευρωπαϊκή Οικονομική και Κοινωνική Επιτροπή και την Επιτροπή των Περιφερειών, Το ευρωπαϊκό θεματολόγιο για την ασφάλεια, COM(2015) 185 final της 28.4.2015.

(7)

     Απόφαση του Δικαστηρίου της Ευρωπαϊκής Ένωσης της 6ης Οκτωβρίου 2015 στην υπόθεση C-362/14, Maximillian Schrems κατά Data Protection Commissioner, σκέψεις 73, 74 και 96. Βλ. επίσης αιτιολογική σκέψη 104 του γενικού κανονισμού για την προστασία των δεδομένων και αιτιολογική σκέψη 67 της οδηγίας για την αστυνομία οι οποίες αναφέρονται στο πρότυπο της ουσιώδους [κατ’ ουσίαν] ισοδυναμίας.

(8)

     Βλ. άρθρο 45 του γενικού κανονισμού για την προστασία των δεδομένων. Όπως ορίζεται στο άρθρο 45 παράγραφος 2 του εν λόγω κανονισμού, κατά την εκτίμηση της επάρκειας του επιπέδου προστασίας, η Επιτροπή λαμβάνει υπόψη, μεταξύ άλλων, το κράτος δικαίου, τον σεβασμό των ανθρώπινων δικαιωμάτων και των θεμελιωδών ελευθεριών, τη σχετική νομοθεσία, μεταξύ άλλων όσον αφορά την προστασία των δεδομένων, τη δημόσια ασφάλεια, την άμυνα και την εθνική ασφάλεια, καθώς και το ποινικό δίκαιο και τη δυνατότητα πρόσβασης στα δεδομένα προσωπικού χαρακτήρα από τις δημόσιες αρχές. Τα ως άνω θα πρέπει να στηρίζονται σε αποτελεσματικά και νομικώς ισχυρά δικαιώματα, συμπεριλαμβανόμενης της άσκησης αποτελεσματικών διοικητικών και δικαστικών προσφυγών, καθώς και στην αποτελεσματική λειτουργία ανεξάρτητης εποπτικής αρχής για τη διασφάλιση και την επιβολή της συμμόρφωσης με τους κανόνες προστασίας των δεδομένων. Η συμμόρφωση με τις νομικά δεσμευτικές συνθήκες, κυρίως δε τη Σύμβαση 108 του Συμβουλίου της Ευρώπης, και η συμμετοχή σε πολυμερή ή περιφερειακά συστήματα που σχετίζονται με την προστασία των δεδομένων, θα ληφθούν επίσης υπόψη.

(9)

     Βλ. άρθρο 36 παράγραφος 2 της οδηγίας για την αστυνομία για τα συγκεκριμένα στοιχεία εκτίμησης περί επάρκειας.

(10)

     Βλ. άρθρο 45 παράγραφος 1 του γενικού κανονισμού για την προστασία των δεδομένων και άρθρο 36 παράγραφος 1 της οδηγίας για την αστυνομία.

(11)

     Βλ. ανακοίνωση της Επιτροπής προς το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα από την ΕΕ προς τις Ηνωμένες Πολιτείες της Αμερικής σύμφωνα με την οδηγία 95/46/ΕΚ κατόπιν της απόφασης του Δικαστηρίου στην υπόθεση C-362/14 (Schrems), COM(2015) 566 final της 6.11.2015.

(12)

     Οι τυποποιημένες συμβατικές ρήτρες περιέχουν τις σχετικές υποχρεώσεις όσον αφορά την προστασία των δεδομένων μεταξύ του εξαγωγέα εντός της ΕΕ και του εισαγωγέα τρίτης χώρας.

(13)

     Οι δεσμευτικοί εταιρικοί κανόνες είναι οι εσωτερικοί κανόνες που εγκρίνονται στο πλαίσιο πολυεθνικού ομίλου επιχειρήσεων, για τη ρύθμιση των διαβιβάσεων δεδομένων στο πλαίσιο του ίδιου ομίλου επιχειρήσεων, σε οντότητες που βρίσκονται σε χώρες που δεν προσφέρουν επαρκές επίπεδο προστασίας. Καίτοι οι δεσμευτικοί εταιρικοί κανόνες τελούν ήδη σε χρήση βάσει της οδηγίας του 1995, εντούτοις ο γενικός κανονισμός για την προστασία των δεδομένων στην ουσία κωδικοποιεί και τυποποιεί τη λειτουργία τους ως εργαλείου διαβιβάσεων.

(14)

     Βλ. άρθρο 46 παράγραφος 2 στοιχεία γ) και δ) και αιτιολογική σκέψη 168 του γενικού κανονισμού για την προστασία των δεδομένων.

(15)

     Βλ. άρθρο 46 παράγραφος 2 στοιχείο β), άρθρο 47 και αιτιολογική σκέψη 110 του γενικού κανονισμού για την προστασία των δεδομένων.

(16)

     Βλ. άρθρο 46 παράγραφος 2 του γενικού κανονισμού για την προστασία των δεδομένων.

(17)

     Οι απαιτήσεις καταχώρισης δημιουργούν φραγμούς στις εμπορικές δραστηριότητες για πολλές επιχειρήσεις, κυρίως για τις μικρές και μεσαίες επιχειρήσεις, όπως επισημάνθηκε στην έκθεση της UNCTAD, σελ. 34.

(18)

     Βλ. άρθρο 46 παράγραφος 2 στοιχεία ε) και στ) του γενικού κανονισμού για την προστασία των δεδομένων.

(19)

     Οι υπεύθυνοι επεξεργασίας εκτός της ΕΕ θα έχουν τη δυνατότητα να ακολουθούν κώδικες συμπεριφοράς ή μηχανισμούς πιστοποίησης της ΕΕ αναλαμβάνοντας δεσμευτικές και εκτελεστές υποχρεώσεις μέσω συμβάσεων ή άλλων νομικά δεσμευτικών πράξεων, προκειμένου να εφαρμόσουν τις εν λόγω κατάλληλες εγγυήσεις περί προστασίας των δεδομένων που περιέχονται στα εν λόγω έγγραφα. Βλ. άρθρο 42 παράγραφος 2 του γενικού κανονισμού για την προστασία των δεδομένων.

(20)

     Βλ. άρθρο 46 παράγραφος 2 στοιχείο α) και άρθρο 46 παράγραφος 3 στοιχείο β) του γενικού κανονισμού για την προστασία των δεδομένων.

(21)

     Βλ. άρθρο 49 του γενικού κανονισμού για την προστασία των δεδομένων.

(22)

     Βλ. άρθρο 49 παράγραφος 1 δεύτερο εδάφιο.

(23)

     Βλ. άρθρο 50 του γενικού κανονισμού για την προστασία των δεδομένων.

(24)

     Βλ. π.χ. ανακοίνωση της Επιτροπής προς το Ευρωπαϊκό Κοινοβούλιο, το Συμβούλιο, την Ευρωπαϊκή Οικονομική και Κοινωνική Επιτροπή και την Επιτροπή των Περιφερειών «Εμπόριο για όλους – Προς μια πιο υπεύθυνη πολιτική για το εμπόριο και τις επενδύσεις», COM(2015) 497 final της 14.10.2015, σ. 7.

(25)

     Ειδικό Ευρωβαρόμετρο 431 για την προστασία προσωπικών δεδομένων, Ιούνιος 2015.

(26)

     Πολιτικές κατευθύνσεις του Προέδρου Γιούνκερ Νέο ξεκίνημα για την Ευρώπη: Το πρόγραμμά μου για απασχόληση, ανάπτυξη, δικαιοσύνη και δημοκρατική αλλαγή.

(27)

     Βλ. υποσημείωση 7.

(28)

     Πρβλ. σκέψη 74 της απόφασης Schrems.

(29)

     Εκτελεστική απόφαση ΕΕ (2016) 1250, της 12ης Ιουλίου 2016.

(30)

     Η Επιτροπή ενθαρρύνει τις ΗΠΑ να συνεχίσουν να καταβάλλουν προσπάθειες προς την κατεύθυνση ενός ολοκληρωμένου συστήματος προστασίας της ιδιωτικότητας και των δεδομένων. Μέσα από μια τέτοια ολοκληρωμένη προσέγγιση θα μπορούσε να επιτευχθεί μακροπρόθεσμα σύγκλιση μεταξύ των δύο συστημάτων. Ανακοίνωση της Επιτροπής προς το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο, Διατλαντικές ροές δεδομένων: Αποκατάσταση της εμπιστοσύνης μέσω ισχυρών διασφαλίσεων, COM(2016) 117 final της 29.2.2016.

(31)

     Τα εν λόγω περιλαμβάνουν ιδίως την εφαρμογή της προεδρικής οδηγίας πολιτικής (Presidential Policy DirectivePPD) 28, με την οποία επιβάλλονται ορισμένοι περιορισμοί για τις σχετικές με τις «πληροφορίες σημάτων» πράξεις, ενώ επίσης ορίζεται ειδικός μηχανισμός διαμεσολαβητή για καταγγελίες από πολίτες των ΗΠΑ όσον αφορά σχετικά ζητήματα.

(32)

     G. Greenleaf, «Global data privacy laws 2015: 109 countries, with European laws now in a minority», (2015) 133 Privacy Laws & Business International Report, σ. 14-17.

(33)

     Μελέτη της UNCTAD, σ. 8 και 42 (βλ. υποσημείωση 4 ανωτέρω).

(34)

     Στο πλαίσιο αυτό, η Επιτροπή λαμβάνει ομοίως υπόψη της, κατά την αξιολόγηση της επάρκειας, τις υποχρεώσεις οι οποίες απορρέουν από νομικά δεσμευτικές συμβάσεις, κυρίως δε από τη σύμβαση 108 και το πρόσθετο πρωτόκολλό της. Βλ. άρθρο 45 παράγραφος 2 στοιχείο γ) και αιτιολογική σκέψη 105 του γενικού κανονισμού για την προστασία των δεδομένων.

(35)

     Για χώρες ως προς τις οποίες υπάρχει συναφές συμφέρον συνεργασίας στους τομείς εσωτερικής ασφάλειας και επιβολής του νόμου, η Επιτροπή θα διερευνήσει τη δυνατότητα συγκεκριμένων διαπιστώσεων περί επάρκειας, δυνάμει της οδηγίας για την αστυνομία, τμήμα 4.

(36)

     Το εν λόγω στοιχείο ενδέχεται να αποκτά μεγάλη σημασία ιδίως για αναπτυσσόμενες χώρες και χώρες σε μεταβατικό στάδιο, καθώς η προστασία των δεδομένων προσωπικού χαρακτήρα είναι θεμελιώδης πυλώνας του κράτους δικαίου, καθώς επίσης και σημαντικός παράγοντας οικονομικής ανταγωνιστικότητας.

(37)

     Η Ιαπωνία και η Κορέα θέσπισαν ή εκσυγχρόνισαν πρόσφατα τη νομοθεσία τους, ώστε να θέσουν σε εφαρμογή συστήματα πλήρους προστασίας των δεδομένων.

(38)

     Σύμφωνα με το άρθρο 45 παράγραφοι 4 και 5 του γενικού κανονισμού για την προστασία των δεδομένων, απαιτείται από την Επιτροπή να παρακολουθεί σε συνεχή βάση εξελίξεις σε τρίτες χώρες και να καταργεί, τροποποιεί ή αναστέλλει την απόφαση περί επάρκειας εάν διαπιστώσει ότι η αντίστοιχη χώρα δεν διασφαλίζει περαιτέρω ένα επαρκές επίπεδο προστασίας.

(39)

     Άρθρο 45 παράγραφος 3 του γενικού κανονισμού για την προστασία των δεδομένων.

(40)

     Το άρθρο 97 παράγραφος 2 στοιχείο α) του γενικού κανονισμού για την προστασία των δεδομένων επίσης απαιτεί από την Επιτροπή να υποβάλει έκθεση εκτίμησης το 2020 στο Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο.

(41)

     Κατόπιν της εκδόσεως της απόφασης Schrems, δυνάμει της οποίας η Επιτροπή είχε υπερβεί τις αρμοδιότητές της κατά το μέτρο που περιόρισε τις αρμοδιότητες των αρχών προστασίας των δεδομένων να αναστέλλουν προσωρινά ή να απαγορεύουν τη ροή δεδομένων στην απόφαση περί ασφαλούς λιμένα, η Επιτροπή εξέδωσε στις 16 Δεκεμβρίου 2016 μια τροποποιητική απόφαση γενικού χαρακτήρα που διαγράφει παρόμοιες διατάξεις στις υπάρχουσες αποφάσεις περί επάρκειας και τις αντικαθιστά με διατάξεις που θεσπίζουν ελάχιστες απαιτήσεις πληροφόρησης μεταξύ των κρατών μελών και της Επιτροπής σε περίπτωση που μια αρμόδια αρχή προστασίας των δεδομένων αναστέλλει ή απαγορεύει τις διαβιβάσεις σε τρίτη χώρα. Η απόφαση γενικού χαρακτήρα θεσπίζει επίσης την απαίτηση για την Επιτροπή να παρακολουθεί τις σχετικές εξελίξεις στην τρίτη χώρα. Βλ. ΕΕ L344 της 17.12.2016, σ. 83.

(42)

     Συγκεκριμένα, η διαπίστωση περί επάρκειας αποτελεί μια μονομερή εκτελεστική απόφαση της Επιτροπής σύμφωνα με την ενωσιακή νομοθεσία για την προστασία των δεδομένων, με βάση τα περιλαμβανόμενα σε αυτήν κριτήρια.

(43)

     Βλ. ανακοίνωση «Εμπόριο για όλους», σ. 12 (βλ. υποσημείωση 24 ανωτέρω).

(44)

     Βλ. άρθρο 46 παράγραφος 2 στοιχείο γ) και δ) και αιτιολογική σκέψη 109 του γενικού κανονισμού για την προστασία των δεδομένων, όπου διευκρινίζεται ότι οι πρότυπες ρήτρες μπορούν να προσαρμοσθούν, εφόσον αυτές δεν αντιφάσκουν, άμεσα ή έμμεσα, προς τις εν λόγω πρότυπες ρήτρες ούτε θίγουν τα θεμελιώδη δικαιώματα ή τις ελευθερίες των ατόμων.

(45)

     Επί του παρόντος, δεν έχουν τεθεί σε εφαρμογή τυποποιημένες συμβατικές ρήτρες μεταξύ εκτελούντων την επεξεργασία φορέων εντός της ΕΕ και εκτελούντων την επεξεργασία φορέων εκτός της ΕΕ.

(46)

     Άρθρο 43 παράγραφοι 8 και 9 του γενικού κανονισμού για την προστασία των δεδομένων.

(47)

     Βλ. το έγγραφο «2014 APEC/EU Common Referential for the Structure of the EU Binding Corporate Rules and the APEC Cross Border Privacy Rules System (CBPR)» (κοινό πλαίσιο αναφοράς ΟΣΑΕ/ΕΕ του 2014 για τη διάρθρωση των δεσμευτικών εταιρικών κανόνων της ΕΕ και σύστημα της ΟΣΑΕ περί διασυνοριακών κανόνων προστασίας των δεδομένων), στο οποίο συγκρίνονται οι απαιτήσεις συμμόρφωσης και πιστοποίησης αμφοτέρων των συστημάτων: http://www.apec.org/~/media/Files/Groups/ECSG/20140307_Referential-BCR-CBPR-reqs.pdf.

(48)

     Σύμβαση του Συμβουλίου της Ευρώπης της 28ης Ιανουαρίου 1981 για την προστασία των φυσικών προσώπων έναντι της αυτόματης επεξεργασίας δεδομένων προσωπικού χαρακτήρα [σειρές ευρωπαϊκών συνθηκών (STE) αριθ.: 180] και στο πρόσθετο πρωτόκολλο του 2001 στη σύμβαση για την προστασία φυσικών προσώπων έναντι της αυτόματης επεξεργασίας δεδομένων προσωπικού χαρακτήρα, σχετικά με τις ελεγκτικές αρχές και τις διασυνοριακές διαβιβάσεις δεδομένων (STE αριθ. 181).

(49)

Ο Μαυρίκιος, η Σενεγάλη και η Ουρουγουάη έχουν κυρώσει τη Σύμβαση. Επιπλέον, το Πράσινο Ακρωτήριο, το Μαρόκο και η Τυνησία έχουν προσκληθεί να προσχωρήσουν.

(50)

   Βλ. επίσης τη Δήλωση των Υπουργών του ΟΟΣΑ περί Ψηφιακής Οικονομίας: Καινοτομία, Ανάπτυξη και Κοινωνική Ευημερία («Δήλωση του Κανκούν»), 23 Ιουνίου 2016.

(51)

     Βλ.: http://www.ohchr.org/EN/Issues/Privacy/SR/Pages/SRPrivacyIndex.aspx .

(52)

     Εκτελεστική απόφαση της Επιτροπής C(2016)7198, με την οποία εγκρίνεται το δεύτερο στάδιο του ετησίου προγράμματος δράσης 2016 (AAP 2016) της εταιρικής σχέσης.

(53)

     Στα υφιστάμενα δίκτυα συμπεριλαμβάνεται το παγκόσμιο δίκτυο επιβολής προστασίας της ιδιωτικής ζωής (GPEN) που δημιουργήθηκε το 2010 υπό την αιγίδα του ΟΟΣΑ. Πρόκειται για ένα άτυπο δίκτυο αρχών επιβολής του νόμου, στο οποίο συμμετέχουν οι ενωσιακές αρχές προστασίας των δεδομένων και στις δραστηριότητες του οποίου συμπεριλαμβάνονται, μεταξύ άλλων, η συνεργασία στην επιβολή του νόμου, η ανταλλαγή βέλτιστων πρακτικών για την αντιμετώπιση διασυνοριακών προκλήσεων σε συνδυασμό με την προώθηση κοινών πρωτοβουλιών στο πεδίο επιβολής του νόμου και εκστρατειών ευαισθητοποίησης. Το δίκτυο δεν δημιουργεί νέες νομικά δεσμευτικές υποχρεώσεις στους συμμετέχοντες σε αυτό, ενώ εστιάζει κυρίως στη διευκόλυνση της συνεργασίας όσον αφορά την επιβολή των νόμων για την προστασία της ιδιωτικής ζωής στον ιδιωτικό τομέα. Βλ. https://privacyenforcement.net/ .

(54)

     Συμφωνία μεταξύ της ΕΕ και των ΗΠΑ σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα κατά τη διαβίβαση και επεξεργασία τους με σκοπό την πρόληψη, τη διερεύνηση, τη διαπίστωση ή τη δίωξη ποινικών αδικημάτων, συμπεριλαμβανομένης της τρομοκρατίας, στο πλαίσιο της αστυνομικής και δικαστικής συνεργασίας σε ποινικές υποθέσεις: http://ec.europa.eu/justice/data-protection/files/dp-umbrella-agreement_en.pdf (η «συμφωνία-πλαίσιο»)

(55)

     Η σύναψη επιχειρησιακών συμφωνιών με την Ευρωπόλ και την Eurojust αποτέλεσε επίσης σημείο αναφοράς για τους διαλόγους αναφορικά με την ελευθέρωση του καθεστώτος θεωρήσεων με ορισμένες τρίτες χώρες, όπως π.χ. ο εν εξελίξει σχετικός διάλογος με την Τουρκία.

(56)

     Βλέπε άρθρο 39 και αιτιολογική σκέψη 73 της οδηγίας για την αστυνομία.

(57)

     Βλέπε άρθρο 48 και αιτιολογική σκέψη 115 του γενικού κανονισμού για την προστασία των δεδομένων.

(58)

     Conclusions of the Council of the European Union on improving criminal justice in cyberspace (Συμπεράσματα του Συμβουλίου της Ευρωπαϊκής Ένωσης για τη βελτίωση της ποινικής δικαιοσύνης στον κυβερνοχώρο), 9 Ιουνίου 2016: www.consilium.europa.eu/en/meetings/jha/2016/06/cyberspace--en_pdf/. Η Επιτροπή έχει αναλάβει την ευθύνη να παρουσιάσει αποτελέσματα επί του ζητήματος αυτού στο Συμβούλιο έως τον Ιούνιο του 2017, με βάση την έκθεση προόδου που υπέβαλε στο Συμβούλιο τον Δεκέμβριο του 2016.

(59)

     Βλ. άρθρο 25 παράγραφος 4 του κανονισμού (ΕΕ) 2016/794 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 11ης Μαΐου 2016, για τον Οργανισμό της Ευρωπαϊκής Ένωσης για τη Συνεργασία στον Τομέα της Επιβολής του Νόμου (Ευρωπόλ) και την αντικατάσταση και κατάργηση των αποφάσεων του Συμβουλίου 2009/371/ΔΕΥ, 2009/934/ΔΕΥ, 2009/935/ΔΕΥ, 2009/936/ΔΕΥ και 2009/968/ΔΕΥ, ΕΕ L 135 της 24.5.2016 (σ. 53-114). Η Επιτροπή καλείται να υποβάλει έκθεση αξιολόγησης έως τις 14 Ιουνίου 2021 σχετικά με τις συμφωνίες συνεργασίας που έχει συνάψει η Ευρωπόλ πριν από την 1η Μαΐου 2017.

(60)

     Γνωμοδότηση του Δικαστηρίου της Ευρωπαϊκής Ένωσης σχετικά με το σχέδιο της συμφωνίας για τις καταστάσεις ονομάτων επιβατών με τον Καναδά, την έκδοση της οποίας ζήτησε το Ευρωπαϊκό Κοινοβούλιο (γνωμοδότηση 1/15). Το Δικαστήριο κλήθηκε να αποφανθεί περί του συμβατού χαρακτήρα του σχεδίου της συμφωνίας με τον Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης.