ΕΥΡΩΠΑΪΚΗ ΕΠΙΤΡΟΠΗ

Βρυξέλλες, 29.5.2019

COM(2019) 250 final

ΑΝΑΚΟΙΝΩΣΗ ΤΗΣ ΕΠΙΤΡΟΠΗΣ ΠΡΟΣ ΤΟ ΕΥΡΩΠΑΪΚΟ ΚΟΙΝΟΒΟΥΛΙΟ ΚΑΙ ΤΟ ΣΥΜΒΟΥΛΙΟ EMPTY

Κατευθυντήριες γραμμές για τον κανονισμό σχετικά με ένα πλαίσιο για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα στην Ευρωπαϊκή Ένωση

Περιεχόμενα

1    Εισαγωγή    

Σκοπός των παρουσών κατευθυντήριων γραμμών    

2    Η αλληλεπίδραση μεταξύ του κανονισμού για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα και του γενικού κανονισμού για την προστασία δεδομένων – μεικτά σύνολα δεδομένων    

2.1    Η έννοια των δεδομένων μη προσωπικού χαρακτήρα στον κανονισμό για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα    

Δεδομένα προσωπικού χαρακτήρα    

Δεδομένα μη προσωπικού χαρακτήρα    

2.2    Μεικτά σύνολα δεδομένων    

3    Ελεύθερη ροή των δεδομένων και άρση των απαιτήσεων τοπικοποίησης δεδομένων    

3.1    Ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα    

3.2    Ελεύθερη ροή των δεδομένων προσωπικού χαρακτήρα    

3.3    Πεδίο εφαρμογής του κανονισμού για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα    

3.4    Δραστηριότητες που σχετίζονται με την εσωτερική οργάνωση των κρατών μελών    

4    Προσεγγίσεις αυτορρύθμισης που υποστηρίζουν την ελεύθερη ροή δεδομένων    

4.1    Η μεταφορά δεδομένων και η αλλαγή παρόχων υπηρεσιών υπολογιστικού νέφους    

Η έννοια της φορητότητας και η αλληλεπίδραση με τον γενικό κανονισμό για την προστασία δεδομένων    

4.2    Κώδικες δεοντολογίας και συστήματα πιστοποίησης σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα    

4.3    Ενίσχυση της εμπιστοσύνης στη διασυνοριακή επεξεργασία δεδομένων – πιστοποίηση ασφάλειας    

Τελικές παρατηρήσεις    

Το παρόν έγγραφο διατίθεται από την Ευρωπαϊκή Επιτροπή αποκλειστικά για ενημερωτικούς σκοπούς. Δεν περιέχει οποιαδήποτε αυθεντική ερμηνεία του κανονισμού (ΕΕ) 2018/1807 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Νοεμβρίου 2018, σχετικά με ένα πλαίσιο για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα στην Ευρωπαϊκή Ένωση και δεν συνιστά απόφαση ή θέση της Ευρωπαϊκής Επιτροπής. Δημοσιεύεται με την επιφύλαξη οποιασδήποτε σχετικής απόφασης ή θέσης της Ευρωπαϊκής Επιτροπής, καθώς και της εξουσίας του Δικαστηρίου της Ευρωπαϊκής Ένωσης όσον αφορά την ερμηνεία του κανονισμού σύμφωνα με τις Συνθήκες της ΕΕ.

1    Εισαγωγή

Στο πλαίσιο μιας οικονομίας που βασίζεται ολοένα και περισσότερο στα δεδομένα, οι ροές δεδομένων βρίσκονται στο επίκεντρο των επιχειρηματικών διαδικασιών των εταιρειών κάθε μεγέθους και σε όλους τους τομείς. Οι νέες ψηφιακές τεχνολογίες διανοίγουν νέες ευκαιρίες για το ευρύ κοινό, τις επιχειρήσεις και τις δημόσιες διοικήσεις στην Ευρωπαϊκή Ένωση («ΕΕ»).

Με σκοπό να αυξηθεί περαιτέρω η διασυνοριακή ανταλλαγή δεδομένων και να δοθεί ώθηση στην οικονομία δεδομένων, τον Νοέμβριο του 2018 το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο εξέδωσαν τον κανονισμό (ΕΕ) 2018/1807 σχετικά με ένα πλαίσιο για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα στην Ευρωπαϊκή Ένωση 1 («κανονισμός για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα»), βάσει πρότασης της Ευρωπαϊκής Επιτροπής («Επιτροπή»). Ο κανονισμός εφαρμόζεται από τις 28 Μαΐου 2019. Η αρχή της ελεύθερης κυκλοφορίας των δεδομένων προσωπικού χαρακτήρα θεσπίζεται ήδη στον κανονισμό (ΕΕ) 2016/679 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ («γενικός κανονισμός για την προστασία δεδομένων») 2 . Κατά συνέπεια, υπάρχει πλέον ολοκληρωμένο πλαίσιο για έναν κοινό ευρωπαϊκό χώρο δεδομένων και για την ελεύθερη κυκλοφορία όλων των δεδομένων εντός της Ευρωπαϊκής Ένωσης (ΕΕ) 3 .

Ο κανονισμός για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα δημιουργεί ασφάλεια δικαίου για τις επιχειρήσεις όσον αφορά την επεξεργασία των δεδομένων τους οπουδήποτε επιθυμούν στην ΕΕ, αυξάνει την εμπιστοσύνη στις υπηρεσίες επεξεργασίας δεδομένων και καταπολεμά τις πρακτικές εγκλωβισμού σε συγκεκριμένο πάροχο. Με τον τρόπο αυτόν θα αυξηθούν οι επιλογές των καταναλωτών, θα βελτιωθεί η αποτελεσματικότητα και θα ενθαρρυνθεί η υιοθέτηση των τεχνολογιών υπολογιστικού νέφους, με αποτέλεσμα σημαντικές εξοικονομήσεις για τις επιχειρήσεις στην ΕΕ. Όπως προκύπτει από μία μελέτη, οι επιχειρήσεις στην ΕΕ μπορούν να εξοικονομήσουν ποσοστό 20‑50 % των δαπανών τους στον τομέα της ΤΠ μέσω της μετάβασής τους στο υπολογιστικό νέφος 4 .

Χάρη στους δύο κανονισμούς, τα δεδομένα μπορούν να ρέουν ελεύθερα μεταξύ των κρατών μελών, παρέχοντας στους χρήστες υπηρεσιών επεξεργασίας δεδομένων τη δυνατότητα να χρησιμοποιούν τα δεδομένα που συλλέγονται σε διάφορες αγορές της ΕΕ για τη βελτίωση της παραγωγικότητας και της ανταγωνιστικότητάς τους. Ως εκ τούτου, οι χρήστες μπορούν να επωφελούνται πλήρως από τις οικονομίες κλίμακας τις οποίες παρέχει η μεγάλη αγορά της ΕΕ, με αποτέλεσμα τη βελτίωση της ανταγωνιστικότητάς τους σε παγκόσμιο επίπεδο και την αύξηση της διασυνδεσιμότητας της ευρωπαϊκής οικονομίας δεδομένων.

Τα σημαντικά χαρακτηριστικά του κανονισμού για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα είναι τρία:

·Απαγορεύει, κατά κανόνα, στα κράτη μέλη να επιβάλλουν απαιτήσεις τοπικοποίησης των δεδομένων. Εξαιρέσεις στον κανόνα αυτόν δικαιολογούνται μόνο για λόγους δημόσιας ασφάλειας σύμφωνα με την αρχή της αναλογικότητας.

·Καθιερώνει μηχανισμό συνεργασίας ώστε να διασφαλίζεται ότι οι αρμόδιες αρχές εξακολουθούν να μπορούν να ασκήσουν τυχόν δικαιώματα πρόσβασης σε δεδομένα τα οποία υποβάλλονται σε επεξεργασία σε άλλο κράτος μέλος.

·Παρέχει κίνητρα στη βιομηχανία για να αναπτύξει, με τη στήριξη της Επιτροπής, κώδικες δεοντολογίας αυτορρύθμισης σχετικά με την αλλαγή παρόχων υπηρεσιών και τη μεταφορά δεδομένων. 

Σκοπός των παρουσών κατευθυντήριων γραμμών

Οι παρούσες κατευθυντήριες γραμμές πληρούν τις διατάξεις του άρθρου 8 παράγραφος 3 του κανονισμού για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα, το οποίο επιβάλλει στην Επιτροπή την υποχρέωση να δημοσιεύσει κατευθυντήριες γραμμές σχετικά με την αλληλεπίδραση μεταξύ του παρόντος κανονισμού και του γενικού κανονισμού για την προστασία δεδομένων, «ιδίως όσον αφορά τα σύνολα δεδομένων που συντίθενται από δεδομένα τόσο προσωπικού όσο και μη προσωπικού χαρακτήρα».

Σκοπός των παρουσών κατευθυντήριων γραμμών είναι να βοηθήσουν τους χρήστες –ιδιαίτερα τις μικρομεσαίες επιχειρήσεις– να κατανοήσουν την αλληλεπίδραση μεταξύ του κανονισμού για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα και του γενικού κανονισμού για την προστασία δεδομένων 5 . Ως εκ τούτου, στις παρούσες κατευθυντήριες γραμμές εξετάζονται ιδίως: i) οι έννοιες των δεδομένων μη προσωπικού χαρακτήρα και των δεδομένων προσωπικού χαρακτήρα· ii) οι αρχές της ελεύθερης κυκλοφορίας των δεδομένων και της απαγόρευσης της επιβολής απαιτήσεων τοπικοποίησης των δεδομένων βάσει και των δύο κανονισμών· και iii) η έννοια της φορητότητας των δεδομένων βάσει του κανονισμού για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα. Καλύπτονται επίσης οι απαιτήσεις αυτορρύθμισης που προβλέπονται και στους δύο κανονισμούς.

Ο κανονισμός για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα καλύπτει μόνο τα δεδομένα που δεν είναι «δεδομένα προσωπικού χαρακτήρα» όπως ορίζονται στον γενικό κανονισμό για την προστασία δεδομένων. Ο γενικός κανονισμός για την προστασία δεδομένων διέπει την επεξεργασία των δεδομένων προσωπικού χαρακτήρα, η οποία αποτελεί βασικό στοιχείο του πλαισίου της ΕΕ για την προστασία δεδομένων 6 . Τέθηκε σε ισχύ στα κράτη μέλη στις 25 Μαΐου 2018. Ο κανονισμός προβλέπει εναρμονισμένους κανόνες για την προστασία των προσώπων στην ΕΕ / στον ΕΟΧ έναντι της επεξεργασίας των δεδομένων τους προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών. Ο γενικός κανονισμός για την προστασία δεδομένων: i) προσδιορίζει ποιες πληροφορίες συνιστούν δεδομένα προσωπικού χαρακτήρα· ii) καθορίζει τους νομικούς λόγους για την επεξεργασία τους· και iii) ορίζει τα δικαιώματα και τις υποχρεώσεις που πρέπει να τηρούνται κατά την επεξεργασία αυτών των δεδομένων 7 , μεταξύ άλλων διατάξεων. Όσον αφορά την αρχή της ελεύθερης κυκλοφορίας των δεδομένων προσωπικού χαρακτήρα, το άρθρο 1 παράγραφος 3 του γενικού κανονισμού για την προστασία δεδομένων ορίζει ότι «η ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα εντός της Ένωσης δεν περιορίζεται ούτε απαγορεύεται για λόγους που σχετίζονται με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα».

Στις περισσότερες πραγματικές καταστάσεις, ένα σύνολο δεδομένων είναι πολύ πιθανό να αποτελείται τόσο από δεδομένα προσωπικού χαρακτήρα όσο και από δεδομένα μη προσωπικού χαρακτήρα. Το σύνολο αυτό συχνά αποκαλείται «μεικτό σύνολο δεδομένων». Στην ενότητα 2.2 κατωτέρω επεξηγείται περαιτέρω η αλληλεπίδραση μεταξύ του κανονισμού για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα και του γενικού κανονισμού για την προστασία δεδομένων όσον αφορά τα μεικτά σύνολα δεδομένων.

Για λόγους σαφήνειας, δεν υπάρχουν αντιφατικές υποχρεώσεις βάσει του γενικού κανονισμού για την προστασία δεδομένων και του κανονισμού για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα.

2    Η αλληλεπίδραση μεταξύ του κανονισμού για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα και του γενικού κανονισμού για την προστασία δεδομένων – μεικτά σύνολα δεδομένων

2.1    Η έννοια των δεδομένων μη προσωπικού χαρακτήρα στον κανονισμό για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα

Ο κανονισμός για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα 8 έχει ως στόχο να διασφαλισθεί η ελεύθερη ροή δεδομένων πλην των δεδομένων προσωπικού χαρακτήρα. Σε όλο το κείμενο του κανονισμού χρησιμοποιείται ο όρος «δεδομένα», ο οποίος θα πρέπει να νοείται ως «δεδομένα άλλα πλην των δεδομένων προσωπικού χαρακτήρα όπως αυτά ορίζονται στο άρθρο 4 σημείο 1 του κανονισμού (ΕΕ) 2016/679 [Γενικός Κανονισμός για την Προστασία Δεδομένων]» 9 . Τα δεδομένα αυτά, τα οποία αναφέρονται επίσης ως «δεδομένα μη προσωπικού χαρακτήρα» στο παρόν έγγραφο, ορίζονται κατ’ αντιδιαστολή (a contrario) προς τα δεδομένα προσωπικού χαρακτήρα, όπως ορίζονται στον γενικό κανονισμό για την προστασία δεδομένων.

Δεδομένα προσωπικού χαρακτήρα

Σύμφωνα με τον γενικό κανονισμό για την προστασία δεδομένων: «“δεδομένα προσωπικού χαρακτήρα”: κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο (“υποκείμενο των δεδομένων”)· το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου.»

Ο ευρύς ορισμός των δεδομένων προσωπικού χαρακτήρα είναι σκόπιμος και έχει παραμείνει ουσιαστικά αμετάβλητος στον γενικό κανονισμό για την προστασία δεδομένων σε σύγκριση με την προηγούμενη νομοθεσία 10 . Διάφορες πτυχές του ορισμού των δεδομένων προσωπικού χαρακτήρα, όπως οι φράσεις «κάθε πληροφορία», «που αφορά», «ταυτοποιημένο ή ταυτοποιήσιμο», είχαν ήδη εξεταστεί από την ομάδα εργασίας του άρθρου 29 11 στη γνώμη 4/2007 σχετικά με την έννοια του όρου «δεδομένα προσωπικού χαρακτήρα» της 20ής Ιουνίου 2007, WP 136.

Σε τομείς όπως η έρευνα αποτελεί συνήθη πρακτική η ψευδωνυμοποίηση δεδομένων προσωπικού χαρακτήρα προκειμένου να αποκρύπτεται η ταυτότητα ενός προσώπου. Ψευδωνυμοποίηση είναι η επεξεργασία δεδομένων προσωπικού χαρακτήρα κατά τρόπο ώστε τα δεδομένα να μην μπορούν να αποδοθούν σε συγκεκριμένο πρόσωπο χωρίς τη χρήση συμπληρωματικών πληροφοριών. Οι εν λόγω συμπληρωματικές πληροφορίες διατηρούνται χωριστά και προστατεύονται μέσω τεχνικών ή οργανωτικών μέτρων (π.χ. κρυπτογράφηση) 12 , 13 . Ωστόσο, τα δεδομένα που έχουν ψευδωνυμοποιηθεί εξακολουθούν να θεωρούνται πληροφορίες σχετικές με ταυτοποιήσιμο πρόσωπο εάν μπορούν να αποδοθούν στο πρόσωπο αυτό με τη χρήση συμπληρωματικών πληροφοριών 14 . Τα δεδομένα αυτά συνιστούν δεδομένα προσωπικού χαρακτήρα σύμφωνα με τον γενικό κανονισμό για την προστασία δεδομένων.

Δεδομένα μη προσωπικού χαρακτήρα

Εάν τα δεδομένα δεν είναι «δεδομένα προσωπικού χαρακτήρα» όπως ορίζονται στον γενικό κανονισμό για την προστασία δεδομένων, είναι δεδομένα μη προσωπικού χαρακτήρα. Τα δεδομένα μη προσωπικού χαρακτήρα μπορούν να κατηγοριοποιηθούν βάσει της προέλευσής τους ως εξής:

·Πρώτον, δεδομένα τα οποία εξαρχής δεν αφορούσαν ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο, όπως δεδομένα σχετικά με τις καιρικές συνθήκες τα οποία παράγονται από αισθητήρες εγκατεστημένους σε ανεμογεννήτριες ή δεδομένα σχετικά με τις ανάγκες συντήρησης βιομηχανικών μηχανημάτων.

·Δεύτερο, δεδομένα τα οποία αρχικά ήταν δεδομένα προσωπικού χαρακτήρα, αλλά αργότερα ανωνυμοποιήθηκαν 15 . Η «ανωνυμοποίηση» των δεδομένων προσωπικού χαρακτήρα διαφέρει από την ψευδωνυμοποίηση (βλέπε ανωτέρω), καθώς τα δεόντως ανωνυμοποιημένα δεδομένα δεν μπορούν να αποδοθούν σε συγκεκριμένο πρόσωπο –ούτε ακόμη και με τη χρήση συμπληρωματικών δεδομένων 16 – και, συνεπώς, συνιστούν δεδομένα προσωπικού χαρακτήρα.

Η αξιολόγηση του κατά πόσον τα δεδομένα έχουν ανωνυμοποιηθεί δεόντως εξαρτάται από τις ειδικές και μοναδικές περιστάσεις της κάθε επιμέρους περίπτωσης 17 . Όπως προκύπτει από διάφορα παραδείγματα εκ νέου ταυτοποίησης συνόλων δεδομένων που υποτίθεται ότι είχαν ανωνυμοποιηθεί, η αξιολόγηση αυτή μπορεί να παρουσιάζει δυσκολίες 18 . Προκειμένου να εξακριβωθεί αν ένα πρόσωπο είναι ταυτοποιήσιμο, πρέπει να εξετάζονται όλα τα μέσα τα οποία είναι ευλόγως πιθανό ότι θα χρησιμοποιηθούν από έναν υπεύθυνο επεξεργασίας ή από άλλο πρόσωπο για την εξακρίβωση της ταυτότητας ενός προσώπου άμεσα ή έμμεσα 19 .

Ωστόσο, εάν τα δεδομένα μη προσωπικού χαρακτήρα μπορούν να συνδεθούν με ένα πρόσωπο με οποιονδήποτε τρόπο, με αποτέλεσμα το εν λόγω πρόσωπο να καθίσταται άμεσα ή έμμεσα ταυτοποιήσιμο, τα δεδομένα πρέπει να θεωρούνται δεδομένα προσωπικού χαρακτήρα.

Για παράδειγμα, εάν μια έκθεση ελέγχου ποιότητας για μια γραμμή παραγωγής καθιστά δυνατή τη σύνδεση των δεδομένων με συγκεκριμένους εργαζόμενους στο εργοστάσιο (π.χ. εκείνους που καθορίζουν τις παραμέτρους παραγωγής), τα δεδομένα χαρακτηρίζονται δεδομένα προσωπικού χαρακτήρα και πρέπει να εφαρμοστεί ο γενικός κανονισμός για την προστασία δεδομένων. Οι ίδιοι κανόνες ισχύουν και όταν οι εξελίξεις στην τεχνολογία και την ανάλυση δεδομένων καθιστούν δυνατή τη μετατροπή ανωνυμοποιημένων δεδομένων σε δεδομένα προσωπικού χαρακτήρα 21 .

Δεδομένου ότι ο ορισμός των δεδομένων προσωπικού χαρακτήρα αναφέρεται σε «φυσικά πρόσωπα», τα σύνολα δεδομένων που περιέχουν επωνυμίες και στοιχεία επικοινωνίας νομικών προσώπων αποτελούν καταρχήν δεδομένα μη προσωπικού χαρακτήρα 22 . Ωστόσο, σε ορισμένες περιπτώσεις μπορεί να αποτελούν δεδομένα προσωπικού χαρακτήρα 23 . Αυτό συμβαίνει εάν, για παράδειγμα, η επωνυμία του νομικού προσώπου είναι ίδια με το όνομα του φυσικού προσώπου-ιδιοκτήτη ή εάν οι πληροφορίες αφορούν ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο 24 . 

2.2    Μεικτά σύνολα δεδομένων

Ο κανονισμός για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα και ο γενικός κανονισμός για την προστασία δεδομένων προσεγγίζουν την ελεύθερη ροή των δεδομένων στην ΕΕ υπό δύο διαφορετικές οπτικές γωνίες.

Ο κανονισμός για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα προβλέπει γενική απαγόρευση των απαιτήσεων τοπικοποίησης δεδομένων για τα δεδομένα μη προσωπικού χαρακτήρα. Σύμφωνα με το άρθρο 4 παράγραφος 1 του κανονισμού, οι απαιτήσεις τοπικοποίησης δεδομένων απαγορεύονται, εκτός εάν δικαιολογούνται από λόγους δημόσιας ασφάλειας σύμφωνα με την αρχή της αναλογικότητας.

Ο γενικός κανονισμός για την προστασία δεδομένων, εκτός του ότι εξασφαλίζει υψηλό επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα, διασφαλίζει επίσης την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα. Σύμφωνα με το άρθρο 1 παράγραφος 3 του κανονισμού, η ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα «δεν περιορίζεται ούτε απαγορεύεται για λόγους που σχετίζονται με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα». Από κοινού, οι δύο κανονισμοί προβλέπουν την ελεύθερη κυκλοφορία «όλων» των δεδομένων εντός της ΕΕ. Οι συγκεκριμένες διατάξεις εξετάζονται περαιτέρω στις ενότητες 3.1 και 3.2.

Ένα μεικτό σύνολο δεδομένων αποτελείται τόσο από δεδομένα προσωπικού χαρακτήρα όσο και από δεδομένα μη προσωπικού χαρακτήρα. Τα μεικτά σύνολα δεδομένων αντιπροσωπεύουν την πλειονότητα των συνόλων δεδομένων που χρησιμοποιούνται στην οικονομία των δεδομένων και είναι συνήθη λόγω τεχνολογικών εξελίξεων όπως το διαδίκτυο των πραγμάτων (δηλαδή ψηφιακά συνδεδεμένα αντικείμενα), η τεχνητή νοημοσύνη και οι τεχνολογίες που καθιστούν δυνατή την ανάλυση μαζικών δεδομένων.

Όσον αφορά τα μεικτά σύνολα δεδομένων, ο κανονισμός για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα 25 ορίζει τα εξής:

«Στην περίπτωση συνόλου δεδομένων που συντίθεται τόσο από δεδομένα προσωπικού όσο και από δεδομένα μη προσωπικού χαρακτήρα, ο παρών κανονισμός εφαρμόζεται στο μέρος του συνόλου δεδομένων που αφορά τα δεδομένα μη προσωπικού χαρακτήρα. Όταν τα δεδομένα προσωπικού και μη προσωπικού χαρακτήρα σε ένα σύνολο δεδομένων είναι άρρηκτα συνδεδεμένα, ο παρών κανονισμός εφαρμόζεται με την επιφύλαξη του κανονισμού (ΕΕ) 2016/679.»

Αυτό σημαίνει ότι στην περίπτωση συνόλου δεδομένων που συντίθεται τόσο από δεδομένα προσωπικού χαρακτήρα όσο και από δεδομένα μη προσωπικού χαρακτήρα:

·ο κανονισμός για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα εφαρμόζεται στο μέρος του συνόλου δεδομένων που αφορά τα δεδομένα μη προσωπικού χαρακτήρα·

·η διάταξη του γενικού κανονισμού για την προστασία δεδομένων σχετικά με την ελεύθερη ροή 26 εφαρμόζεται στο μέρος του συνόλου δεδομένων που αφορά τα δεδομένα προσωπικού χαρακτήρα· και

·εάν το μέρος του συνόλου δεδομένων που αφορά τα δεδομένα μη προσωπικού χαρακτήρα και το μέρος που αφορά τα δεδομένα προσωπικού χαρακτήρα είναι «άρρηκτα συνδεδεμένα», τα δικαιώματα και οι υποχρεώσεις προστασίας των δεδομένων που απορρέουν από τον γενικό κανονισμό για την προστασία δεδομένων εφαρμόζονται πλήρως σε ολόκληρο το μεικτό σύνολο δεδομένων, ακόμη και όταν τα δεδομένα προσωπικού χαρακτήρα αντιπροσωπεύουν μικρό μόνο μέρος του συνόλου δεδομένων 27 .

Η ερμηνεία αυτή συνάδει με το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα που κατοχυρώνεται στον Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης 28 , καθώς και με την αιτιολογική σκέψη 8 του κανονισμού για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα 29 . Σύμφωνα με την αιτιολογική σκέψη 8 του εν λόγω κανονισμού, «το νομικό πλαίσιο για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα [...] και ιδίως ο [γενικός κανονισμός για την προστασία δεδομένων] και οι οδηγίες (ΕΕ) 2016/680 και 2002/58/ΕΚ [...] δεν θίγονται από τον παρόντα κανονισμό».

Η έννοια της φράσης «άρρηκτα συνδεδεμένα» δεν ορίζεται σε κανέναν από τους δύο κανονισμούς 30 . Για πρακτικούς σκοπούς, μπορεί να αναφέρεται σε μια κατάσταση στην οποία ένα σύνολο δεδομένων περιέχει δεδομένα προσωπικού χαρακτήρα καθώς και δεδομένα μη προσωπικού χαρακτήρα και ο διαχωρισμός των δύο αυτών κατηγοριών δεδομένων είτε είναι αδύνατος είτε θεωρείται οικονομικά μη αποδοτικός ή τεχνικά ανέφικτος από τον υπεύθυνο επεξεργασίας. Για παράδειγμα, κατά την αγορά συστημάτων CRM και αναφοράς πωλήσεων, το κόστος λογισμικού για την εταιρεία θα διπλασιαζόταν με την αγορά χωριστού λογισμικού για τα συστήματα CRM (δεδομένα προσωπικού χαρακτήρα) και τα συστήματα αναφοράς πωλήσεων (συγκεντρωτικά δεδομένα / δεδομένα μη προσωπικού χαρακτήρα) βάσει των δεδομένων CRM.

Ο διαχωρισμός του συνόλου δεδομένων είναι επίσης πιθανό να οδηγήσει σε σημαντική μείωση της αξίας του συνόλου δεδομένων. Επιπλέον, ο μεταβαλλόμενος χαρακτήρας των δεδομένων (βλέπε ενότητα 2.1) καθιστά δυσχερέστερη τη σαφή διαφοροποίηση και, συνεπώς, τον διαχωρισμό μεταξύ διαφορετικών κατηγοριών δεδομένων.

Είναι σημαντικό να επισημανθεί ότι κανένας από τους δύο κανονισμούς δεν υποχρεώνει τις επιχειρήσεις να διαχωρίζουν τα σύνολα δεδομένων τα οποία επεξεργάζονται υπό την ιδιότητα του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία.

Κατά συνέπεια, ένα μεικτό σύνολο δεδομένων υπόκειται γενικά στις υποχρεώσεις των υπευθύνων επεξεργασίας και των εκτελούντων την επεξεργασία και σέβεται τα δικαιώματα των υποκειμένων των δεδομένων που κατοχυρώνονται στον γενικό κανονισμό για την προστασία δεδομένων.

Τέλος, η ασφάλεια δικαίου και η εμπιστοσύνη στην επεξεργασία των δεδομένων είναι ουσιώδους σημασίας για τα φυσικά πρόσωπα και τις εταιρείες. Είναι επίσης ζωτικής σημασίας για την οικονομία των δεδομένων. Οι δύο κανονισμοί διασφαλίζουν τα ανωτέρω και επιδιώκουν αμφότεροι τον στόχο της μη μεταβολής της ελεύθερης κυκλοφορίας των δεδομένων.

3    Ελεύθερη ροή των δεδομένων και άρση των απαιτήσεων τοπικοποίησης δεδομένων

Στην παρούσα ενότητα εξηγείται αναλυτικότερα η έννοια των απαιτήσεων τοπικοποίησης δεδομένων βάσει του κανονισμού για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα, καθώς και η έννοια της αρχής της ελεύθερης κυκλοφορίας που προβλέπεται στον γενικό κανονισμό για την προστασία δεδομένων. Παρότι οι διατάξεις αυτές στοχεύουν τα κράτη μέλη, οι επιχειρήσεις μπορούν να σχηματίσουν ακριβέστερη εικόνα του τρόπου με τον οποίο οι δύο αυτοί κανονισμοί συμβάλλουν στην ελεύθερη κυκλοφορία όλων των δεδομένων εντός της ΕΕ.

3.1    Ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα

Ο κανονισμός για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα 33  προβλέπει ότι «οι απαιτήσεις τοπικοποίησης δεδομένων απαγορεύονται, εκτός εάν δικαιολογούνται από λόγους δημόσιας ασφάλειας σύμφωνα με την αρχή της αναλογικότητας».

Οι απαιτήσεις τοπικοποίησης δεδομένων ορίζονται ως 34 : «οποιαδήποτε υποχρέωση, απαγόρευση, προϋπόθεση, όριο ή άλλη απαίτηση προβλεπόμενη από νομοθετικές, κανονιστικές ή διοικητικές διατάξεις κράτους μέλους ή απορρέουσα από γενικές και συνεπείς διοικητικές πρακτικές κράτους μέλους και οργανισμών δημόσιου δικαίου, μεταξύ άλλων και στον τομέα των δημόσιων προμηθειών, με την επιφύλαξη της οδηγίας 2014/24/ΕΕ, βάσει της οποίας επιβάλλεται η επεξεργασία δεδομένων στην επικράτεια συγκεκριμένου κράτους μέλους ή απαγορεύεται η επεξεργασία δεδομένων σε άλλο κράτος μέλος 35 ».

Από τον ορισμό προκύπτει ότι τα μέτρα που περιορίζουν την ελεύθερη κυκλοφορία των δεδομένων εντός της ΕΕ μπορούν να λάβουν διάφορες μορφές. Μπορεί να καθορίζονται σε νομοθετικές, κανονιστικές ή διοικητικές διατάξεις ή, ακόμη, να απορρέουν από γενικές και συνεκτικές διοικητικές πρακτικές. Επιπλέον, η απαγόρευση των απαιτήσεων τοπικοποίησης δεδομένων καλύπτει τόσο τα άμεσα όσο και τα έμμεσα μέτρα που θα περιόριζαν την ελεύθερη κυκλοφορία δεδομένων μη προσωπικού χαρακτήρα.

Οι άμεσες απαιτήσεις τοπικοποίησης δεδομένων μπορεί να συνίστανται, για παράδειγμα, στην υποχρέωση αποθήκευσης των δεδομένων σε συγκεκριμένη γεωγραφική θέση (π.χ. οι εξυπηρετητές πρέπει να βρίσκονται σε συγκεκριμένο κράτος μέλος) ή στην υποχρέωση συμμόρφωσης με μοναδικές εθνικές τεχνικές απαιτήσεις (π.χ. για τα δεδομένα πρέπει να χρησιμοποιούνται συγκεκριμένοι εθνικοί μορφότυποι).

Οι έμμεσες απαιτήσεις τοπικοποίησης δεδομένων, οι οποίες παρεμποδίζουν την επεξεργασία δεδομένων μη προσωπικού χαρακτήρα σε οποιοδήποτε άλλο κράτος μέλος, μπορούν να λάβουν διάφορες μορφές. Μπορεί να περιλαμβάνουν απαιτήσεις χρήσης τεχνολογικών εγκαταστάσεων που έχουν πιστοποιηθεί ή εγκριθεί σε συγκεκριμένο κράτος μέλος ή άλλες απαιτήσεις που έχουν ως αποτέλεσμα να δυσχεραίνεται ακόμη περισσότερο η επεξεργασία των δεδομένων εκτός συγκεκριμένης γεωγραφικής περιοχής ή επικράτειας στην Ευρωπαϊκή Ένωση 36 , 37 .

Κατά την αξιολόγηση του κατά πόσον ένα συγκεκριμένο μέτρο συνιστά έμμεση απαίτηση τοπικοποίησης δεδομένων πρέπει να λαμβάνονται υπόψη οι ειδικές περιστάσεις κάθε περίπτωσης.

Ο κανονισμός για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα 38 αναφέρεται στην έννοια της δημόσιας ασφάλειας όπως περιγράφεται στη νομολογία του Δικαστηρίου της Ευρωπαϊκής Ένωσης. Η δημόσια ασφάλεια «καλύπτει τόσο την εσωτερική όσο και την εξωτερική ασφάλεια ενός κράτους μέλους 39 , καθώς και ζητήματα δημόσιας ασφάλειας, προκειμένου, ιδίως, να καθίσταται δυνατή η διερεύνηση, η ανίχνευση και η δίωξη ποινικών αδικημάτων. Προϋποθέτει την ύπαρξη πραγματικής και αρκούντως σοβαρής απειλής έναντι κάποιου από τα θεμελιώδη συμφέροντα της κοινωνίας 40 , όπως η απειλή έναντι της λειτουργίας των θεσμών και των βασικών δημοσίων υπηρεσιών, η απειλή έναντι της επιβίωσης του πληθυσμού, καθώς και ο κίνδυνος σοβαρής διαταραχής των εξωτερικών σχέσεων ή της ειρηνικής συνύπαρξης των λαών ή ο κίνδυνος έναντι στρατιωτικών συμφερόντων.»

Επιπλέον, κάθε απαίτηση τοπικοποίησης δεδομένων που δικαιολογείται για λόγους δημόσιας ασφάλειας πρέπει να είναι αναλογική. Σύμφωνα με τη νομολογία του Δικαστηρίου της Ευρωπαϊκής Ένωσης, η αρχή της αναλογικότητας απαιτεί τα μέτρα που λαμβάνονται να είναι κατάλληλα για τη διασφάλιση της επίτευξης του επιδιωκόμενου στόχου και να μην υπερβαίνουν τα όρια του αναγκαίου μέτρου για τον σκοπό αυτόν 41 .

Για λόγους σαφήνειας, η απαγόρευση των απαιτήσεων τοπικοποίησης δεδομένων ισχύει με την επιφύλαξη ήδη υφιστάμενων περιορισμών που προβλέπονται στη νομοθεσία της ΕΕ 42 .

Επιπλέον, η ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα δεν επιβάλλει υποχρεώσεις στις επιχειρήσεις ούτε περιορίζει τη συμβατική τους ελευθερία να αποφασίζουν σχετικά με τον τόπο επεξεργασίας των δεδομένων τους.

Τα κράτη μέλη υποχρεούνται να δημοσιοποιούν τις λεπτομέρειες οποιασδήποτε απαίτησης τοπικοποίησης δεδομένων που εφαρμόζεται στην επικράτειά τους σε ένα εθνικό επιγραμμικό ενιαίο σημείο πληροφόρησης (εθνικοί δικτυακοί τόποι). Πρέπει να επικαιροποιούν ή να παρέχουν τις εν λόγω επικαιροποιημένες λεπτομέρειες κάθε τέτοιας απαίτησης τοπικοποίησης σε κεντρικό σημείο πληροφόρησης που θα συσταθεί βάσει άλλης ενωσιακής πράξης 43 . Για τη διευκόλυνση των επιχειρήσεων και για τη διασφάλιση της εύκολης πρόσβασής τους σε σχετικές πληροφορίες σε ολόκληρη την ΕΕ, η Επιτροπή θα δημοσιεύσει συνδέσμους προς αυτά τα σημεία πληροφόρησης στη δικτυακή πύλη «Η Ευρώπη σου» 44 .

3.2    Ελεύθερη ροή των δεδομένων προσωπικού χαρακτήρα

O γενικός κανονισμός για την προστασία δεδομένων 45 προβλέπει ότι «η ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα εντός της Ένωσης δεν περιορίζεται ούτε απαγορεύεται για λόγους που σχετίζονται με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα».

Εάν ένα κράτος μέλος επιβάλλει απαιτήσεις τοπικοποίησης επί δεδομένων προσωπικού χαρακτήρα για άλλους λόγους πλην της προστασίας των δεδομένων προσωπικού χαρακτήρα, οι απαιτήσεις αυτές θα πρέπει να αξιολογούνται με βάση τις διατάξεις σχετικά με τις θεμελιώδεις ελευθερίες και τους επιτρεπόμενους λόγους παρέκκλισης από τις ελευθερίες αυτές που προβλέπονται στη Συνθήκη για τη λειτουργία της Ευρωπαϊκής Ένωσης 46 , 47 και στη σχετική νομοθεσία της ΕΕ, όπως η οδηγία για τις υπηρεσίες 48 και η οδηγία για το ηλεκτρονικό εμπόριο 49 .

Ο γενικός κανονισμός για την προστασία δεδομένων 50 αναγνωρίζει ότι τα κράτη μέλη μπορούν να επιβάλλουν όρους, συμπεριλαμβανομένων περιορισμών, στην επεξεργασία γενετικών δεδομένων, βιομετρικών δεδομένων ή δεδομένων που αφορούν την υγεία. Ωστόσο, όπως αναφέρεται στην αιτιολογική σκέψη 53, αυτό δεν θα πρέπει να εμποδίζει την ελεύθερη κυκλοφορία δεδομένων προσωπικού χαρακτήρα εντός της Ένωσης, όταν οι όροι αυτοί εφαρμόζονται στη διασυνοριακή επεξεργασία των δεδομένων αυτών. Αυτό συνάδει με το άρθρο 16 της Συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης, το οποίο παρέχει τη νομική βάση για την έκδοση των κανόνων που αφορούν το δικαίωμα προστασίας των δεδομένων προσωπικού χαρακτήρα και των κανόνων που αφορούν την ελεύθερη κυκλοφορία των δεδομένων αυτών.

3.3    Πεδίο εφαρμογής του κανονισμού για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα

Όπως αναφέρθηκε ήδη, ο κανονισμός για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα έχει ως στόχο να διασφαλισθεί η ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα «εντός της Ένωσης» 51 . Ως εκ τούτου, δεν εφαρμόζεται σε πράξεις επεξεργασίας που λαμβάνουν χώρα εκτός της ΕΕ και σε απαιτήσεις τοπικοποίησης δεδομένων που σχετίζονται με την εν λόγω επεξεργασία 52 , 53 .

Ως εκ τούτου, το πεδίο εφαρμογής του κανονισμού, σύμφωνα με το άρθρο 2 παράγραφος 1, περιορίζεται στην επεξεργασία ηλεκτρονικών δεδομένων μη προσωπικού χαρακτήρα στην ΕΕ, η οποία:

(a)παρέχεται ως υπηρεσία σε χρήστες που έχουν τόπο διαμονής ή εγκατάσταση στην ΕΕ, ανεξαρτήτως εάν ο πάροχος της υπηρεσίας έχει την έδρα της επιχείρησής του στην ΕΕ· ή

(b)διεκπεραιώνεται από φυσικό ή νομικό πρόσωπο που έχει τόπο διαμονής ή εγκατάσταση στην EE για τις δικές του ανάγκες.

Παρότι ο κανονισμός για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα δεν εφαρμόζεται εάν όλες οι δραστηριότητες επεξεργασίας δεδομένων μη προσωπικού χαρακτήρα λαμβάνουν χώρα εκτός της ΕΕ, όταν στο σύνολο δεδομένων περιλαμβάνονται δεδομένα προσωπικού χαρακτήρα πρέπει να τηρείται ο γενικός κανονισμός για την προστασία δεδομένων. Ειδικότερα, πρέπει σε κάθε περίπτωση να τηρούνται οι κανόνες σχετικά με τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες ή διεθνείς οργανισμούς βάσει του γενικού κανονισμού για την προστασία δεδομένων 55 .

3.4    Δραστηριότητες που σχετίζονται με την εσωτερική οργάνωση των κρατών μελών

Ο κανονισμός για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα δεν υποχρεώνει τα κράτη μέλη να αναθέτουν σε τρίτους την παροχή υπηρεσιών σχετικών με δεδομένα μη προσωπικού χαρακτήρα τις οποίες επιθυμούν να παρέχουν τα ίδια ή να οργανώνουν με άλλα μέσα πλην των δημόσιων συμβάσεων 56 .

Στο άρθρο 2 παράγραφος 3 δεύτερο εδάφιο του κανονισμού για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα ορίζονται τα εξής:

«Ο παρών κανονισμός ισχύει με την επιφύλαξη των νομοθετικών, κανονιστικών και διοικητικών διατάξεων οι οποίες σχετίζονται με την εσωτερική οργάνωση των κρατών μελών και οι οποίες κατανέμουν, μεταξύ των δημόσιων αρχών και οργανισμών δημόσιου δικαίου που ορίζονται στο άρθρο 2 παράγραφος 1 σημείο 4) της οδηγίας 2014/24/ΕΕ 57 , εξουσίες και αρμοδιότητες για την επεξεργασία δεδομένων χωρίς συμβατική αμοιβή ιδιωτών, καθώς και των νομοθετικών, κανονιστικών και διοικητικών διατάξεων των κρατών μελών οι οποίες προβλέπουν την άσκηση των εν λόγω εξουσιών και αρμοδιοτήτων.» 58

Ενδέχεται να υπάρχουν θεμιτά συμφέροντα που δικαιολογούν την επιλογή αυτού του είδους «αυτοεφοδιασμού» των υπηρεσιών επεξεργασίας δεδομένων, όπως η «εσωτερική ανάθεση» ή οι αμοιβαίες ρυθμίσεις μεταξύ των δημόσιων διοικήσεων. Τυπικά παραδείγματα αποτελούν, μεταξύ άλλων, η χρήση «κυβερνητικού υπολογιστικού νέφους» ή η ανάθεση από την κυβέρνηση σε κεντρικό οργανισμό ΤΠ της παροχής υπηρεσιών επεξεργασίας δεδομένων για τους δημόσιους οργανισμούς και φορείς.

Ωστόσο, ο κανονισμός για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα ενθαρρύνει τα κράτη μέλη να εξετάσουν την οικονομική αποδοτικότητα και άλλα πλεονεκτήματα της χρήσης εξωτερικών παρόχων υπηρεσιών 59 , 60 . Μόλις οι εθνικές αρχές ξεκινήσουν την «εξωτερική ανάθεση» της επεξεργασίας δεδομένων με τη συμβατική αμοιβή ιδιωτών, και εφόσον η επεξεργασία λαμβάνει χώρα εντός της ΕΕ, η επεξεργασία αυτή καλύπτεται από τον κανονισμό για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα, που σημαίνει ότι η αρχή της ελεύθερης ροής των δεδομένων μη προσωπικού χαρακτήρα ισχύει για τις γενικές και διοικητικές πρακτικές των εθνικών αρχών. Οι εν λόγω αρχές θα πρέπει κυρίως να αποφεύγουν κάθε περιορισμό στην τοπικοποίηση των δεδομένων, π.χ. στο πλαίσιο διαγωνισμών για τη σύναψη δημόσιων συμβάσεων 61 ..

4    Προσεγγίσεις αυτορρύθμισης που υποστηρίζουν την ελεύθερη ροή δεδομένων

Η αυτορρύθμιση συμβάλλει στην καινοτομία και στην οικοδόμηση εμπιστοσύνης μεταξύ των παραγόντων της αγοράς και έχει τη δυνατότητα να ανταποκρίνεται καλύτερα στις αλλαγές στην αγορά. Στην παρούσα ενότητα παρέχεται επισκόπηση των προσεγγίσεων αυτορρύθμισης για την επεξεργασία τόσο των δεδομένων προσωπικού χαρακτήρα όσο και των δεδομένων μη προσωπικού χαρακτήρα.

4.1    Η μεταφορά δεδομένων και η αλλαγή παρόχων υπηρεσιών υπολογιστικού νέφους

Ένας από τους σκοπούς του κανονισμού για την ελεύθερη ροή δεδομένων μη προσωπικού χαρακτήρα είναι η αποτροπή των πρακτικών εγκλωβισμού σε συγκεκριμένο πάροχο. Οι πρακτικές αυτές προκύπτουν όταν οι χρήστες δεν μπορούν να αλλάξουν πάροχο υπηρεσιών διότι τα δεδομένα τους είναι «κλειδωμένα» στο σύστημα του παρόχου, για παράδειγμα λόγω συγκεκριμένου μορφοτύπου δεδομένων ή συμβατικών ρυθμίσεων, και δεν μπορούν να μεταφερθούν εκτός του συστήματος ΤΠ του παρόχου. Η απρόσκοπτη μεταφορά δεδομένων είναι σημαντική προκειμένου οι χρήστες να έχουν τη δυνατότητα να επιλέγουν ελεύθερα μεταξύ παρόχων υπηρεσιών επεξεργασίας δεδομένων και, συνεπώς, να διασφαλίζεται ο αποτελεσματικός ανταγωνισμός στην αγορά.

Η φορητότητα των δεδομένων μεταξύ επιχειρήσεων καθίσταται ολοένα και σημαντικότερη σε ευρύ φάσμα ψηφιακών τομέων, συμπεριλαμβανομένων των υπηρεσιών υπολογιστικού νέφους.

Σύμφωνα με το άρθρο 6 του κανονισμού για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα, η Επιτροπή ενθαρρύνει και διευκολύνει την ανάπτυξη κωδίκων δεοντολογίας αυτορρύθμισης στο επίπεδο της Ένωσης («κώδικες δεοντολογίας»), προκειμένου να συμβάλει σε μια ανταγωνιστική οικονομία των δεδομένων. Παρέχει στη βιομηχανία τη βάση για την ανάπτυξη κωδίκων δεοντολογίας αυτορρύθμισης σχετικά με την αλλαγή παρόχων υπηρεσιών και τη μεταφορά δεδομένων μεταξύ διαφορετικών συστημάτων ΤΠ. 

Κατά την ανάπτυξη αυτών των κωδίκων δεοντολογίας σχετικά με τη μεταφορά δεδομένων θα πρέπει να λαμβάνονται υπόψη διάφορες πτυχές, κυρίως οι εξής:

·βέλτιστες πρακτικές για τη διευκόλυνση της αλλαγής παρόχων υπηρεσιών και της μεταφοράς δεδομένων σε δομημένο, ευρέως χρησιμοποιούμενο μηχαναγνώσιμο μορφότυπο,

·ελάχιστες απαιτήσεις ενημέρωσης για να διασφαλιστεί ότι οι επαγγελματίες χρήστες θα έχουν στη διάθεσή τους, πριν από τη σύναψη σύμβασης, επαρκώς διεξοδικές και σαφείς πληροφορίες σε ό,τι αφορά τις διαδικασίες, τις τεχνικές απαιτήσεις, τις προθεσμίες και τις οικονομικές επιβαρύνσεις που ισχύουν σε περίπτωση που ένας επαγγελματίας χρήστης επιθυμεί να αλλάξει πάροχο υπηρεσιών ή να επαναφέρει δεδομένα στα δικά του συστήματα ΤΠ,

·προσεγγίσεις όσον αφορά τα συστήματα πιστοποίησης για την καλύτερη συγκρισιμότητα των υπηρεσιών υπολογιστικού νέφους, και

·πορείες γνωστοποιήσεων με στόχο την ευαισθητοποίηση σχετικά με τους κώδικες δεοντολογίας.

Στην αγορά των υπηρεσιών υπολογιστικού νέφους, η Επιτροπή έχει αρχίσει να διευκολύνει το έργο των ομάδων εργασίας των ενδιαφερόμενων μερών στον τομέα του υπολογιστικού νέφους στο πλαίσιο της ψηφιακής ενιαίας αγοράς, στις οποίες συμμετέχουν εμπειρογνώμονες στον τομέα του υπολογιστικού νέφους και επαγγελματίες χρήστες, συμπεριλαμβανομένων μικρομεσαίων επιχειρήσεων. Στο παρόν στάδιο, μία υποομάδα καταρτίζει κώδικες δεοντολογίας αυτορρύθμισης σχετικά με τη μεταφορά δεδομένων και την αλλαγή παρόχων υπηρεσιών υπολογιστικού νέφους (ομάδα εργασίας SWIPO) 62 , ενώ μια άλλη υποομάδα εργάζεται για την ανάπτυξη πιστοποίησης στον τομέα της ασφάλειας του υπολογιστικού νέφους (ομάδα εργασίας CSPCERT) 63 ..

Η ομάδα εργασίας SWIPO καταρτίζει κώδικες δεοντολογίας που καλύπτουν όλο το φάσμα των υπηρεσιών υπολογιστικού νέφους· λογισμικό ως υπηρεσία (SaaS), πλατφόρμα ως υπηρεσία (PaaS) και υποδομή ως υπηρεσία (IaaS).

Η Επιτροπή αναμένει ότι οι διάφοροι κώδικες δεοντολογίας θα συμπληρωθούν με υποδείγματα συμβατικών ρητρών 64 . Τα εν λόγω υποδείγματα θα προσδώσουν επαρκή τεχνική και νομική ακρίβεια στην πρακτική υλοποίηση και εφαρμογή των κωδίκων δεοντολογίας, η οποία θα είναι ιδιαίτερα σημαντική για τις μικρομεσαίες επιχειρήσεις. Η εκπόνηση των υποδειγμάτων συμβατικών ρητρών προγραμματίζεται να πραγματοποιηθεί μετά την κατάρτιση των κωδίκων δεοντολογίας (που θα πρέπει να ολοκληρωθεί έως τις 29 Νοεμβρίου 2019).

Σύμφωνα με το άρθρο 8 του κανονισμού για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα, η Επιτροπή θα αξιολογήσει την εφαρμογή του κανονισμού έως τις 29 Νοεμβρίου 2022. Με τον τρόπο αυτόν, θα καταστεί δυνατό να αξιολογηθούν τα εξής: i) ο αντίκτυπος του κανονισμού στην ελεύθερη ροή δεδομένων στην Ευρώπη· ii) η εφαρμογή του κανονισμού, ιδίως στα μεικτά σύνολα δεδομένων· iii) ο βαθμός στον οποίο τα κράτη μέλη έχουν πράγματι καταργήσει υφιστάμενους αδικαιολόγητους περιορισμούς τοπικοποίησης των δεδομένων· και iv) η αποτελεσματικότητα των κωδίκων δεοντολογίας σε επίπεδο αγοράς στους τομείς της μεταφοράς δεδομένων και της αλλαγής παρόχων υπηρεσιών υπολογιστικού νέφους.

Η έννοια της φορητότητας και η αλληλεπίδραση με τον γενικό κανονισμό για την προστασία δεδομένων

Και οι δύο κανονισμοί 65 αναφέρονται στη φορητότητα των δεδομένων και στον στόχο να διευκολυνθεί η μεταφορά των δεδομένων από ένα περιβάλλον ΤΠ σε άλλο, δηλαδή είτε σε συστήματα άλλου παρόχου είτε σε επιτόπια συστήματα. Με τον τρόπο αυτόν αποτρέπεται ο εγκλωβισμός σε συγκεκριμένο πάροχο και προωθείται ο ανταγωνισμός μεταξύ παρόχων υπηρεσιών. Ωστόσο, οι κανονισμοί διαφέρουν ως προς τον τρόπο με τον οποίο προσεγγίζουν τη φορητότητα όσον αφορά τη σχέση μεταξύ των στοχευόμενων ομάδων συμφερόντων και της νομικής φύσης των διατάξεων.

Το δικαίωμα στη φορητότητα των δεδομένων προσωπικού χαρακτήρα βάσει του άρθρου 20 του γενικού κανονισμού για την προστασία δεδομένων εστιάζει στη σχέση μεταξύ του υποκειμένου των δεδομένων και του υπευθύνου επεξεργασίας. Αφορά το δικαίωμα του υποκειμένου των δεδομένων να λαμβάνει τα δεδομένα προσωπικού χαρακτήρα τα οποία έχει παράσχει στον υπεύθυνο επεξεργασίας, σε δομημένο, κοινώς χρησιμοποιούμενο και μηχαναγνώσιμο μορφότυπο, καθώς και το δικαίωμα να διαβιβάζει τα εν λόγω δεδομένα σε άλλον υπεύθυνο επεξεργασίας ή στη δική του ικανότητα αποθήκευσης χωρίς αντίρρηση από τον υπεύθυνο επεξεργασίας στον οποίο παρασχέθηκαν τα δεδομένα προσωπικού χαρακτήρα 66 . Συνήθως, τα υποκείμενα των δεδομένων στη σχέση αυτή είναι καταναλωτές διαφόρων επιγραμμικών υπηρεσιών που επιθυμούν να αλλάξουν πάροχο υπηρεσιών.

Το άρθρο 6 του κανονισμού για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα δεν προβλέπει δικαίωμα μεταφοράς δεδομένων για τους επαγγελματίες χρήστες, αλλά ακολουθεί μια προσέγγιση αυτορρύθμισης, με προαιρετικούς κώδικες δεοντολογίας για τη βιομηχανία. Παράλληλα, εστιάζει σε μια κατάσταση στην οποία ένας επαγγελματίας χρήστης έχει αναθέσει την επεξεργασία των δεδομένων του σε τρίτο, ο οποίος παρέχει υπηρεσίες επεξεργασίας δεδομένων 67 .Σύμφωνα με το άρθρο 3 σημείο 8 του κανονισμού για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα, ως «επαγγελματίας χρήστης» νοείται «φυσικό ή νομικό πρόσωπο, συμπεριλαμβανομένης δημόσιας αρχής ή οργανισμού δημόσιου δικαίου, που χρησιμοποιεί ή ζητά την παροχή υπηρεσίας επεξεργασίας δεδομένων για λόγους σχετιζόμενους με τις εμπορικές συναλλαγές του, την επιχείρησή του, το επάγγελμά του ή την εργασία του».

Στην πράξη, η φορητότητα βάσει του άρθρου 6 του κανονισμού για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα αφορά τις αλληλεπιδράσεις μεταξύ επιχειρήσεων που πραγματοποιούνται ανάμεσα σε έναν επαγγελματία χρήστη (ο οποίος, σε περιπτώσεις που περιλαμβάνουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα, μπορεί να χαρακτηριστεί ως «υπεύθυνος επεξεργασίας» σύμφωνα με τον γενικό κανονισμό για την προστασία δεδομένων) και έναν πάροχο υπηρεσιών (ο οποίος, ομοίως, μπορεί σε ορισμένες περιπτώσεις να χαρακτηριστεί ως «εκτελών την επεξεργασία»).

Παρά τις διαφορές, μπορεί να προκύψουν καταστάσεις στις οποίες η μεταφορά δεδομένων καλύπτεται τόσο από τον κανονισμό για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα όσο και από τον γενικό κανονισμό για την προστασία δεδομένων σε σχέση με μεικτά σύνολα δεδομένων.

4.2    Κώδικες δεοντολογίας και συστήματα πιστοποίησης σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα

Για την απόδειξη της συμμόρφωσης με τις υποχρεώσεις που ορίζονται στον γενικό κανονισμό για την προστασία δεδομένων μπορούν να χρησιμοποιούνται κώδικες δεοντολογίας και συστήματα πιστοποίησης (βλέπε άρθρο 24 παράγραφος 3 και άρθρο 28 παράγραφος 5).

Σύμφωνα με το άρθρο 40 παράγραφος 1 και το άρθρο 42 παράγραφος 1 του γενικού κανονισμού για την προστασία δεδομένων, τα κράτη μέλη, οι εποπτικές αρχές, το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων και η Επιτροπή θα πρέπει να παροτρύνουν τη βιομηχανία να αναπτύξει κώδικες δεοντολογίας και να θεσπίσει μηχανισμούς πιστοποίησης προστασίας δεδομένων.

Ενώσεις ή άλλοι φορείς που εκπροσωπούν μια συγκεκριμένη κατηγορία υπευθύνων επεξεργασίας ή εκτελούντων την επεξεργασία μπορούν να εκπονήσουν κώδικα δεοντολογίας για τον συγκεκριμένο τομέα. Το σχέδιο κώδικα πρέπει να υποβληθεί στη σχετική αρμόδια εποπτική αρχή προς έγκριση 69 . Εάν το σχέδιο κώδικα δεοντολογίας αφορά δραστηριότητες επεξεργασίας σε περισσότερα του ενός κράτη μέλη, η εποπτική αρχή πρέπει να το υποβάλει στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων πριν το εγκρίνει. Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων εκδίδει στη συνέχεια γνώμη σχετικά με το αν το σχέδιο κώδικα συμμορφώνεται με τον γενικό κανονισμό για την προστασία δεδομένων.

Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων δημοσίευσε τις κατευθυντήριες γραμμές 1/2019 σχετικά με τους κώδικες δεοντολογίας και τους φορείς παρακολούθησης βάσει του γενικού κανονισμού για την προστασία δεδομένων 70 . Οι κατευθυντήριες γραμμές περιλαμβάνουν πληροφορίες σχετικά με την εκπόνηση κωδίκων δεοντολογίας, κριτήρια για την έγκρισή τους και άλλες χρήσιμες πληροφορίες. Ομοίως, οι κατευθυντήριες γραμμές του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων 1/2018 σχετικά με την πιστοποίηση και τον προσδιορισμό κριτηρίων πιστοποίησης σύμφωνα με τα άρθρα 42 και 43 του γενικού κανονισμού για την προστασία δεδομένων παρέχουν πληροφορίες σχετικά με την πιστοποίηση βάσει του εν λόγω κανονισμού και την ανάπτυξη και έγκριση κριτηρίων πιστοποίησης 71 .

4.3    Ενίσχυση της εμπιστοσύνης στη διασυνοριακή επεξεργασία δεδομένων – πιστοποίηση ασφάλειας

Όπως αναφέρεται στην αιτιολογική σκέψη 33 του κανονισμού για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα, η ενίσχυση της εμπιστοσύνης στην ασφάλεια της επεξεργασίας δεδομένων πέραν συνόρων θα πρέπει να περιορίσει την τάση των φορέων της αγοράς και του δημόσιου τομέα να χρησιμοποιούν την τοπικοποίηση των δεδομένων ως μέσο για τη διασφάλιση της ασφάλειας των δεδομένων. Παράλληλα με τη δέσμη μέτρων για την ασφάλεια στον κυβερνοχώρο, την οποία πρότεινε η Επιτροπή το 2017 76 , η ομάδα εργασίας CSPCERT καταρτίζει συστάσεις για τους σκοπούς της θέσπισης ευρωπαϊκού συστήματος πιστοποίησης για το υπολογιστικό νέφος, οι οποίες θα υποβληθούν στην Επιτροπή. Το σύστημα αυτό έχει τη δυνατότητα να διευκολύνει την ελεύθερη κυκλοφορία των δεδομένων, να καταστήσει δυνατή την καλύτερη συγκρισιμότητα των υπηρεσιών υπολογιστικού νέφους και να προωθήσει τη διάδοση της χρήσης του υπολογιστικού νέφους. Η Επιτροπή μπορεί να ζητήσει από τον ENISA (τον οργανισμό κυβερνοασφάλειας της Ευρωπαϊκής Ένωσης) να καταρτίσει υποψήφιο σύστημα σύμφωνα με τις σχετικές διατάξεις της πράξης για την ασφάλεια στον κυβερνοχώρο 77 . Το σύστημα αυτό μπορεί να καλύπτει τόσο τα δεδομένα προσωπικού χαρακτήρα όσο και τα δεδομένα μη προσωπικού χαρακτήρα. Πέραν της πράξης για την ασφάλεια στον κυβερνοχώρο, και όπως επισημαίνεται στην ενότητα 4.2, ο ΓΚΠΔ μπορεί επίσης να χρησιμοποιηθεί για να αποδειχθεί η ύπαρξη κατάλληλων εγγυήσεων για την ασφάλεια των δεδομένων 78 .

Τελικές παρατηρήσεις

Η ασφάλεια δικαίου και η εμπιστοσύνη στην επεξεργασία δεδομένων είναι απαραίτητες προκειμένου η ΕΕ να είναι σε θέση να αξιοποιήσει στο έπακρο τις δυνατότητες χρήσης των δεδομένων, με στόχο την ανάπτυξη διατομεακών και διασυνοριακών αλυσίδων αξίας. Οι δύο κανονισμοί διασφαλίζουν τα στοιχεία αυτά και επιδιώκουν αμφότεροι τον στόχο της ελεύθερης κυκλοφορίας των δεδομένων. Από κοινού, ο κανονισμός για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα και ο γενικός κανονισμός για την προστασία δεδομένων θέτουν τα θεμέλια για την ελεύθερη ροή όλων των δεδομένων εντός της Ευρωπαϊκής Ένωσης και για τη διαμόρφωση μιας άκρως ανταγωνιστικής ευρωπαϊκής οικονομίας δεδομένων.

(1)

   Κανονισμός (ΕΕ) 2018/1807 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Νοεμβρίου 2018, σχετικά με ένα πλαίσιο για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα στην Ευρωπαϊκή Ένωση, ΕΕ L 303 της 28.11.2018, σ. 59.

(2)

   Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων), ΕΕ L 119 της 4.5.2016, σ. 1.

(3)

     Ο γενικός κανονισμός για την προστασία δεδομένων καλύπτει επίσης τον Ευρωπαϊκό Οικονομικό Χώρο (ΕΟΧ) που περιλαμβάνει την Ισλανδία, το Λιχτενστάιν και τη Νορβηγία. Επιπλέον, ο κανονισμός για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα επισημαίνεται ως πράξη που παρουσιάζει ενδιαφέρον για τον ΕΟΧ.

(4)

   Deloitte: Measuring the economic impact of cloud computing in Europe, SMART 2014/0031, 2016. Διατίθεται στο διαδίκτυο, στη διεύθυνση: http://ec.europa.eu/newsroom/document.cfm?doc_id=41184 .

(5)

   Αιτιολογική σκέψη 37 του κανονισμού (ΕΕ) 2018/1807 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Νοεμβρίου 2018, σχετικά με ένα πλαίσιο για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα στην Ευρωπαϊκή Ένωση.

(6)

-Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ («Γενικός Κανονισμός για την Προστασία Δεδομένων»), ΕΕ L 119/1 της 4.5.2016, σ. 1.

-Κανονισμός (ΕΕ) 2018/1725 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 23ης Οκτωβρίου 2018, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα θεσμικά και λοιπά όργανα και τους οργανισμούς της Ένωσης και την ελεύθερη κυκλοφορία των δεδομένων αυτών, και για την κατάργηση του κανονισμού (ΕΚ) αριθ. 45/2001 και της απόφασης αριθ. 1247/2002/ΕΚ, ΕΕ L 295 της 21.11.2018, σ. 39-98.

-Οδηγία (EE) 2016/680 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της απόφασης-πλαίσιο 2008/977/ΔΕΥ του Συμβουλίου, ΕΕ L 119 της 4.5.2016, σ. 89.

-Οδηγία 2002/58/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 12ης Ιουλίου 2002, σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών (οδηγία για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες), ΕΕ L 201 της 31.7.2002, σ. 37 (υπό αναθεώρηση).

(7)

   Για περαιτέρω καθοδήγηση σχετικά με διάφορες πτυχές του κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων), καθώς και σχετικά με την ευρωπαϊκή νομοθεσία για την προστασία των δεδομένων, βλέπε την ιστοσελίδα του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων, το οποίο έχει εκδώσει διάφορες κατευθυντήριες γραμμές σύμφωνα με το άρθρο 70 του γενικού κανονισμού για την προστασία δεδομένων, οι οποίες διατίθενται στη διεύθυνση: https://edpb.europa.eu/our-work-tools/general-guidance/gdpr-guidelines-recommendations-best-practices_el . Στη σχετική ιστοσελίδα περιλαμβάνονται επίσης παραπομπές σε κατευθυντήριες γραμμές, συστάσεις και άλλα έγγραφα που έχουν εκδοθεί από τον πρόδρομο του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων – την ομάδα εργασίας του άρθρου 29. Επιπλέον, προκειμένου να αυξηθεί η ευαισθητοποίηση των πολιτών και των επιχειρήσεων σχετικά με τον κανονισμό (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων), η Επιτροπή εξέδωσε ανακοίνωση σχετικά με την προστασία δεδομένων – κατευθυντήριες γραμμές σχετικά με την άμεση εφαρμογή του γενικού κανονισμού για την προστασία δεδομένων (COM/2018/43 final), που διατίθεται στη διεύθυνση: https://eur-lex.europa.eu/legal-content/EN/TXT/?qid=1517578296944&uri=CELEX%3A52018DC0043

(8)

   Άρθρο 1 του κανονισμού (ΕΕ) 2018/1807 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Νοεμβρίου 2018, σχετικά με ένα πλαίσιο για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα στην Ευρωπαϊκή Ένωση.

(9)

   Βλέπε άρθρο 3 σημείο 1 του κανονισμού (ΕΕ) 2018/1807 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Νοεμβρίου 2018, σχετικά με ένα πλαίσιο για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα στην Ευρωπαϊκή Ένωση.

(10)

   Βλέπε άρθρο 2 στοιχείο α) της οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών (ημερομηνία λήξης ισχύος: 24 Μαΐου 2018, καταργήθηκε με τον γενικό κανονισμό για την προστασία δεδομένων). Βλέπε επίσης τη νομολογία του Δικαστηρίου σχετικά με τον ορισμό των δεδομένων προσωπικού χαρακτήρα, στην οποία αναγνωρίζεται η ευρεία ερμηνεία της έννοιας αυτής, για παράδειγμα, απόφαση του Δικαστηρίου της 29ης Ιανουαρίου 2009, Productores de Música de España (Promusicae) κατά Telefónica de España SAU, C-275/06, ECLI:EU:C:2008:54· απόφαση του Δικαστηρίου της 24ης Νοεμβρίου 2011, Scarlet Extended SA κατά Société belge des auteurs, compositeurs et éditeurs SCRL (SABAM), C-70/10, ECLI:EU:C:2011:771· απόφαση του Δικαστηρίου της 19ης Οκτωβρίου 2016, Patrick Breyer κατά Bundersrepublik Deutschland, C-582/14, ECLI:EU:C:2016:779.

(11)

     Η ομάδα εργασίας του άρθρου 29 ήταν συμβουλευτικό όργανο το οποίο παρείχε συμβουλές στην Επιτροπή σχετικά με ζητήματα προστασίας δεδομένων και συνέβαλε στην ανάπτυξη εναρμονισμένων πολιτικών για την προστασία δεδομένων στην ΕΕ. Μετά την έναρξη ισχύος του γενικού κανονισμού για την προστασία δεδομένων στις 25 Μαΐου 2018, την ομάδα εργασίας για το άρθρο 29 διαδέχθηκε το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων.

(12)

   Βλέπε άρθρο 4 σημείο 5 του κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων), στο οποίο ορίζεται η «ψευδωνυμοποίηση».

(13)

   Για παράδειγμα, ερευνητική μελέτη σχετικά με τα αποτελέσματα ενός νέου φαρμάκου θα μπορούσε να χαρακτηριστεί ως ψευδωνυμοποίηση εάν τα δεδομένα προσωπικού χαρακτήρα των συμμετεχόντων στη μελέτη αντικαθίσταντο από μοναδικά χαρακτηριστικά (π.χ. αριθμός ή κωδικός) στα έγγραφα τεκμηρίωσης της έρευνας και τα δεδομένα τους προσωπικού χαρακτήρα τηρούνταν χωριστά με τα αντίστοιχα μοναδικά χαρακτηριστικά σε προστατευμένο έγγραφο (π.χ. σε βάση δεδομένων που προστατεύεται με κωδικό πρόσβασης).

(14)

   Βλέπε αιτιολογική σκέψη 26 του κανονισμού (EΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων).

(15)

   Βλέπε αιτιολογική σκέψη 26 του κανονισμού (EΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων), στην οποία αναφέρεται ότι «…οι αρχές της προστασίας δεδομένων δεν θα πρέπει συνεπώς να εφαρμόζονται σε ανώνυμες πληροφορίες, δηλαδή πληροφορίες που δεν σχετίζονται προς ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο ή σε δεδομένα προσωπικού χαρακτήρα που έχουν καταστεί ανώνυμα κατά τρόπο ώστε η ταυτότητα του υποκειμένου των δεδομένων να μην μπορεί ή να μην μπορεί πλέον να εξακριβωθεί».

(16)

   Βλέπε απόφαση του Δικαστηρίου της 19ης Οκτωβρίου 2016, Patrick Breyer κατά Bundersrepublik Deutschland, C-582/14, ECLI:EU:C:2016:779. Το Δικαστήριο αποφάνθηκε ότι η δυναμική διεύθυνση πρωτοκόλλου διαδικτύου (IP) μπορεί να αποτελεί δεδομένο προσωπικού χαρακτήρα ακόμη και αν βρίσκονται στην κατοχή τρίτου (π.χ. του παρόχου υπηρεσιών διαδικτύου) πρόσθετα δεδομένα που θα καθιστούσαν δυνατή την ταυτοποίηση του προσώπου. Η δυνατότητα ταυτοποίησης του προσώπου πρέπει να αποτελεί μέσο που μπορεί ευλόγως να χρησιμοποιηθεί για να εξακριβωθεί η ταυτότητα του οικείου προσώπου, είτε άμεσα είτε έμμεσα.

(17)

     Η ανωνυμοποίηση των δεδομένων θα πρέπει πάντα να διενεργείται με χρήση των πλέον σύγχρονων και προηγμένων τεχνικών ανωνυμοποίησης.

(18)

   Για παραδείγματα εκ νέου ταυτοποίησης ανωνυμοποιημένων δεδομένων που υποτίθεται ότι είχαν ανωνυμοποιηθεί, βλέπε τη μελέτη σχετικά με τις μελλοντικές ροές δεδομένων που εκπονήθηκε για την Επιτροπή Βιομηχανίας, Έρευνας και Ενέργειας (ITRE) του Ευρωπαϊκού Κοινοβουλίου από τους Blackman, C., Forge, S.: Data Flows — Future Scenarios: In-Depth Analysis for the ITRE Committee, 2017, σ. 22, πλαίσιο 2. Διατίθεται στο διαδίκτυο, στη διεύθυνση: http://www.europarl.europa.eu/RegData/etudes/IDAN/2017/607362/IPOL_IDA(2017)607362_EN.pdf

(19)

   Βλέπε αιτιολογική σκέψη 26 του κανονισμού (EΕ) 2016/679 (Γενικός Κανονισμός για την Προστασία Δεδομένων), σύμφωνα με την οποία «για να διαπιστωθεί κατά πόσον κάποια μέσα είναι ευλόγως πιθανό ότι θα χρησιμοποιηθούν για την εξακρίβωση της ταυτότητας του φυσικού προσώπου, θα πρέπει να λαμβάνονται υπόψη όλοι οι αντικειμενικοί παράγοντες, όπως τα έξοδα και ο χρόνος που απαιτούνται για την ταυτοποίηση, λαμβανομένων υπόψη της τεχνολογίας που είναι διαθέσιμη κατά τον χρόνο της επεξεργασίας και των εξελίξεων της τεχνολογίας.»

(20)

   Βλέπε Ομάδα εργασίας του άρθρου 29: Γνώμη 05/2014 σχετικά με τις τεχνικές ανωνυμοποίησης, που εκδόθηκε στις 10 Απριλίου 2014, WP216, σ. 9: «Το σύνολο δεδομένων που προκύπτει μπορεί να χαρακτηριστεί ανώνυμο μόνον εάν ο υπεύθυνος επεξεργασίας ομαδοποιήσει τα δεδομένα σε επίπεδο στο οποίο δεν είναι πλέον δυνατή η ταυτοποίηση των επιμέρους συμβάντων. Για παράδειγμα: εάν ένας οργανισμός συλλέγει δεδομένα σχετικά με τις μετακινήσεις φυσικών προσώπων, τα πρότυπα των μετακινήσεων των φυσικών προσώπων σε επίπεδο συμβάντος εξακολουθούν να χαρακτηρίζονται ως δεδομένα προσωπικού χαρακτήρα για όλα τα μέρη, εφόσον ο υπεύθυνος επεξεργασίας (ή οποιοδήποτε τρίτο μέρος) εξακολουθεί να έχει πρόσβαση στα αρχικά μη επεξεργασμένα δεδομένα, ακόμα και αν τα άμεσα αναγνωριστικά στοιχεία ταυτότητας έχουν αφαιρεθεί από το σύνολο δεδομένων που διαβιβάζεται σε τρίτα μέρη. Σε περίπτωση όμως που ο υπεύθυνος επεξεργασίας έχει διαγράψει τα μη επεξεργασμένα δεδομένα, και διαβιβάζει σε τρίτα μέρη αποκλειστικά και μόνο συγκεντρωτικά στατιστικά στοιχεία σε υψηλό επίπεδο, όπως «οι επιβάτες που ακολουθούν τη διαδρομή Χ είναι κατά 160 % περισσότεροι τις Δευτέρες από ό,τι τις Τρίτες», τα στοιχεία αυτά μπορούν να χαρακτηριστούν ως ανώνυμα δεδομένα.»

(21)

     Εάν τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία παρανόμως ή η επεξεργασία παραβιάζει με άλλον τρόπο τον γενικό κανονισμό για την προστασία δεδομένων, τα υποκείμενα των δεδομένων (φυσικά πρόσωπα) δικαιούνται, βάσει του γενικού κανονισμού για την προστασία δεδομένων, να υποβάλουν καταγγελία σε εθνική εποπτική αρχή (αρχή προστασίας δεδομένων) στην ΕΕ ή να ασκήσουν δικαστική προσφυγή ενώπιον εθνικού δικαστηρίου. Τα καθήκοντα, οι αρμοδιότητες και οι εξουσίες των εθνικών εποπτικών αρχών ρυθμίζονται στο κεφάλαιο VI τμήμα 2 του γενικού κανονισμού για την προστασία δεδομένων.

(22)

     Η αιτιολογική σκέψη 14 του κανονισμού (EΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων) αναφέρει ότι «ο παρών κανονισμός δεν καλύπτει την επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν νομικά πρόσωπα και ιδίως επιχειρήσεις συσταθείσες ως νομικά πρόσωπα, περιλαμβανομένων της επωνυμίας, του τύπου και των στοιχείων επικοινωνίας του νομικού προσώπου». Ωστόσο, τα ανωτέρω πρέπει να ερμηνεύονται υπό το πρίσμα του ορισμού των δεδομένων προσωπικού χαρακτήρα που παρατίθεται στο άρθρο 4 σημείο 1 του γενικού κανονισμού για την προστασία δεδομένων.

(23)

     Βλέπε απόφαση του Δικαστηρίου της 9ης Νοεμβρίου 2010 στις συνεκδικασθείσες υποθέσεις Volker und Markus Schecke GbR, C-92/09 και Hartmut Eifert, C-93/09 κατά Land Hessen, ECLI:EU:C:2010:662, σκέψη 52.

(24)

      https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/application-regulation/do-data-protection-rules-apply-data-about-company_en

(25)

     Άρθρο 2 παράγραφος 2 του κανονισμού.

(26)

     Άρθρο 1 παράγραφος 3 του κανονισμού (EΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων). Βλέπε επίσης ενότητα 3.2 του παρόντος εγγράφου.

(27)

     Όπως υπενθυμίζεται στο έγγραφο εργασίας των υπηρεσιών της Επιτροπής για την εκτίμηση επιπτώσεων που συνοδεύει την πρόταση κανονισμού του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με ένα πλαίσιο για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα στην Ευρωπαϊκή Ένωση, με τίτλο Impact Assessment accompanying the document Proposal for a Regulation of the European Parliament and of the Council on a framework for the free flow of non-personal data in the European Union (SWD(2017) 304 final), μέρος 1/2, σ. 3, «ανεξαρτήτως του όγκου των δεδομένων προσωπικού χαρακτήρα που περιλαμβάνονται σε μεικτά σύνολα δεδομένων, ο ΓΚΠΔ [γενικός κανονισμός για την προστασία δεδομένων] πρέπει να τηρείται πλήρως σε σχέση με το μέρος του συνόλου που αφορά δεδομένα προσωπικού χαρακτήρα».

(28)

   Χάρτης των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης, ΕΕ C 362 της 26.10.2012, σ. 391.

(29)

     Αιτιολογική σκέψη 8.

(30)

     Κανονισμός για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα και γενικός κανονισμός για την προστασία δεδομένων.

(31)

   Για την ανάπτυξη και τη λειτουργία εφαρμογών κινητής υγείας απαιτείται αυστηρή συμμόρφωση με τους κανόνες του γενικού κανονισμού για την προστασία δεδομένων. Οι απαιτήσεις αυτές θα διευκρινιστούν περαιτέρω στον κώδικα δεοντολογίας για την προστασία της ιδιωτικότητας στις εφαρμογές κινητής υγείας, ο οποίος επί του παρόντος τελεί υπό κατάρτιση. Για περισσότερες πληροφορίες σχετικά με την κατάσταση της κατάρτισής του, βλέπε: https://ec.europa.eu/digital-single-market/en/privacy-code-conduct-mobile-health-apps

(32)

     Βλέπε άρθρο 6 παράγραφος 1 του κανονισμού (EΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων).

(33)

     Άρθρο 4 παράγραφος 1 του κανονισμού.

(34)

     Άρθρο 3 σημείο 5 του κανονισμού (ΕΕ) 2018/1807 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Νοεμβρίου 2018, σχετικά με ένα πλαίσιο για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα στην Ευρωπαϊκή Ένωση.

(35)

   Σημειώνεται ότι η έλλειψη ασφάλειας δικαίου όσον αφορά την έκταση των νόμιμων και παράτυπων απαιτήσεων τοπικοποίησης των δεδομένων περιορίζει περαιτέρω τις επιλογές που είναι διαθέσιμες στους φορείς της αγοράς και στον δημόσιο τομέα όσον αφορά τη θέση επεξεργασίας των δεδομένων (βλέπε αιτιολογική σκέψη 4 του κανονισμού (ΕΕ) 2018/1807 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Νοεμβρίου 2018, σχετικά με ένα πλαίσιο για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα στην Ευρωπαϊκή Ένωση).

(36)

   Αιτιολογική σκέψη 4 του κανονισμού (ΕΕ) 2018/1807 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Νοεμβρίου 2018, σχετικά με ένα πλαίσιο για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα στην Ευρωπαϊκή Ένωση.

(37)

   Βλέπε δύο μελέτες σχετικά με τις απαιτήσεις τοπικοποίησης δεδομένων που εκπονήθηκαν πριν από την έκδοση του κανονισμού για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα: (1) Godel, M. et al.: Facilitating cross border data flows in the Digital Single Market, SMART 2015/2016. Διατίθεται στο διαδίκτυο, στη διεύθυνση: http://ec.europa.eu/newsroom/document.cfm?doc_id=41185 και (2) Time.lex, Spark Legal Network, Tech4i2: Cross-border data flow in the digital single market: study on data localisation restrictions. SMART number 2015/0054.Διατίθεται στο διαδίκτυο, στη διεύθυνση:  http://ec.europa.eu/newsroom/dae/document.cfm?doc_id=46695 http://ec.europa.eu/newsroom/dae/document.cfm?doc_id=46695

(38)

   Αιτιολογική σκέψη 19.

(39)

   Βλέπε, για παράδειγμα, την απόφαση του Δικαστηρίου της 23ης Νοεμβρίου 2010, Land Baden-Württemberg κατά Παναγιώτη Τσακουρίδη, C-145/09, ECLI:EU:C:2010:708, σκέψη 43 και την απόφαση της 4ης Απριλίου 2017, Sahar Fahimian v Bundesrepublik Deutschland, C-544/15, ECLI:EU:C:2017:255, σκέψη 39.

(40)

   Βλέπε, για παράδειγμα, την απόφαση του Δικαστηρίου της 22ας Δεκεμβρίου 2008, Επιτροπή των Ευρωπαϊκών Κοινοτήτων κατά Δημοκρατίας της Αυστρίας, C-161/07, ECLI:EU:C:2008:759, σκέψη 35 και εκεί παρατεθείσα νομολογία και την απόφαση της 26ης Μαρτίου 2009, Επιτροπή των Ευρωπαϊκών Κοινοτήτων κατά Ιταλικής Δημοκρατίας, C-326/07, ECLI:EC:C:2009:193, σκέψη 70 και εκεί παρατιθέμενη νομολογία.

(41)

   Βλέπε για παράδειγμα την απόφαση του Δικαστηρίου της 8ης Ιουλίου 2010, Afton Chemical Limited κατά Secretary of State for Transport, C-343/09, ECLI:EU:C:2010:419, σκέψη 45 και εκεί παρατιθέμενη νομολογία.

(42)

   Βλέπε για παράδειγμα το άρθρο 245 παράγραφος 2 της οδηγίας 2006/112/ΕΚ, της 28ης Νοεμβρίου 2006 σχετικά με το κοινό σύστημα φόρου προστιθέμενης αξίας, στο οποίο προβλέπεται ότι «τα κράτη μέλη μπορούν να επιβάλλουν στους υποκείμενους στον φόρο που είναι εγκατεστημένοι στο έδαφός τους την υποχρέωση να τους γνωστοποιούν τον τόπο διαφύλαξης, εφόσον αυτός βρίσκεται εκτός του εδάφους τους». Ωστόσο, η απαίτηση αυτή πρέπει να ερμηνεύεται σύμφωνα με το άρθρο 249, το οποίο ορίζει τα εξής: «όταν ο υποκείμενος στον φόρο διαφυλάσσει τα τιμολόγια τα οποία εκδίδει ή λαμβάνει με ηλεκτρονικά μέσα που εξασφαλίζουν πρόσβαση με απευθείας σύνδεση στα δεδομένα και ο τόπος διαφύλαξης βρίσκεται σε άλλο κράτος μέλος από εκείνο στο οποίο είναι εγκατεστημένος, οι αρμόδιες αρχές του κράτους μέλους στο οποίο είναι εγκατεστημένος έχουν, για τους σκοπούς της παρούσας οδηγίας, δικαίωμα πρόσβασης με ηλεκτρονικά μέσα, τηλεφόρτωσης και χρήσης αυτών των τιμολογίων μέσα στα όρια που καθορίζονται από τους κανόνες του κράτους μέλους εγκατάστασης του υποκείμενου στον φόρο και κατά τον βαθμό που αυτό είναι αναγκαίο για τον έλεγχο».

(43)

   Άρθρο 4 παράγραφος 4 του κανονισμού (ΕΕ) 2018/1807 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Νοεμβρίου 2018, σχετικά με ένα πλαίσιο για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα στην Ευρωπαϊκή Ένωση.

(44)

    https://europa.eu/youreurope/index.htm

(45)

   Άρθρο 1 παράγραφος 3 του κανονισμού (EΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων).

(46)

   Ενοποιημένη απόδοση της Συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης, ΕΕ C 326 της 26.10.2012, σ. 47-390.

(47)

   Βλέπε επίσης την απόφαση του Δικαστηρίου της 19ης Ιουνίου 2008, Επιτροπή των Ευρωπαϊκών Κοινοτήτων κατά Μεγάλου Δουκάτου του Λουξεμβούργου, C-319/06, ECLI:EU:C:2008:350, σκέψεις 90-91: το Δικαστήριο έκρινε ότι η υποχρέωση διατήρησης στη διάθεση των αρχών και φύλαξης ορισμένων εγγράφων σε ένα συγκεκριμένο κράτος μέλος συνιστά περιορισμό στην ελεύθερη παροχή υπηρεσιών· η αιτιολόγηση ότι εν λόγω υποχρέωση «διευκολύνει γενικώς την εκπλήρωση της αποστολής ελέγχου εκ μέρους των αρχών του κράτους» δεν είναι επαρκής.

(48)

   Οδηγία 2006/123/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 12ης Δεκεμβρίου 2006, σχετικά με τις υπηρεσίες στην εσωτερική αγορά, ΕΕ L 376 της 27.12.2006, σ. 36-68.

(49)

   Οδηγία 2000/31/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 8ης Ιουνίου 2000, για ορισμένες νομικές πτυχές των υπηρεσιών της κοινωνίας της πληροφορίας, ιδίως του ηλεκτρονικού εμπορίου, στην εσωτερική αγορά («οδηγία για το ηλεκτρονικό εμπόριο»), ΕΕ L 178 της 17.7.2000, σ. 1-16.

(50)

   Άρθρο 9 παράγραφος 4 του κανονισμού (EΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων).

(51)

   Βλέπε άρθρο 1 του κανονισμού (ΕΕ) 2018/1807 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Νοεμβρίου 2018, σχετικά με ένα πλαίσιο για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα στην Ευρωπαϊκή Ένωση.

(52)

   Βλέπε αιτιολογική σκέψη 15 του κανονισμού (ΕΕ) 2018/1807 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Νοεμβρίου 2018, σχετικά με ένα πλαίσιο για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα στην Ευρωπαϊκή Ένωση.

(53)

   Ο όρος «επεξεργασία» ορίζεται με την ευρεία έννοια [άρθρο 3 σημείο 2 του κανονισμού (ΕΕ) 2018/1807 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Νοεμβρίου 2018, σχετικά με ένα πλαίσιο για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα στην Ευρωπαϊκή Ένωση] και, όπως επισημαίνεται στην αιτιολογική σκέψη 17, ο κανονισμός θα πρέπει να εφαρμόζεται στην επεξεργασία δεδομένων υπό την ευρύτερη δυνατή έννοια, συμπεριλαμβανομένης της χρήσης όλων των τύπων συστημάτων ΤΠ.

(54)

   Επισημαίνεται ότι ο κανονισμός (ΕΕ) 2018/1807 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Νοεμβρίου 2018, σχετικά με ένα πλαίσιο για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα στην Ευρωπαϊκή Ένωση δεν αφορά τις απαιτήσεις τοπικοποίησης δεδομένων που επιβάλλονται από τα κράτη μέλη στην αποθήκευση δεδομένων μη προσωπικού χαρακτήρα σε τρίτες χώρες και οι απαιτήσεις αυτές μπορεί να προβλέπονται στις εθνικές έννομες τάξεις. Για λόγους σαφήνειας, ο γενικός κανονισμός για την προστασία δεδομένων εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα υποκειμένων των δεδομένων που βρίσκονται στην ΕΕ από υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία μη εγκατεστημένο στην ΕΕ, εάν οι δραστηριότητες επεξεργασίας σχετίζονται με: α) την προσφορά αγαθών ή υπηρεσιών στα εν λόγω υποκείμενα των δεδομένων στην Ένωση, ανεξαρτήτως εάν απαιτείται πληρωμή από τα υποκείμενα των δεδομένων, ή β) την παρακολούθηση της συμπεριφοράς τους, στον βαθμό που η συμπεριφορά αυτή λαμβάνει χώρα εντός της Ένωσης (βλ. άρθρο 3 παράγραφος 2 του γενικού κανονισμού για την προστασία των δεδομένων).

(55)

   Όσον αφορά τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες, συμβουλευτείτε την ιστοσελίδα της Επιτροπής: https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/obligations/what-rules-apply-if-my-organisation-transfers-data-outside-eu_el και την Ανακοίνωση της Επιτροπής προς το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο – Ανταλλαγή και προστασία των δεδομένων προσωπικού χαρακτήρα σε έναν παγκοσμιοποιημένο κόσμο, COM(2017) 7 final, διατίθεται στη διεύθυνση:  https://eur-lex.europa.eu/legal-content/EL/TXT/?uri=COM%3A2017%3A7%3AFIN . Όσον αφορά την Ιαπωνία, η Επιτροπή εξέδωσε την απόφασή της περί επάρκειας στις 23 Ιανουαρίου 2019, σύμφωνα με την οποία τα δεδομένα προσωπικού χαρακτήρα μπορούν να ρέουν ελεύθερα μεταξύ των δύο οικονομιών βάσει ισχυρών εγγυήσεων προστασίας.

(56)

   Αιτιολογική σκέψη 14 του κανονισμού (ΕΕ) 2018/1807 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Νοεμβρίου 2018, σχετικά με ένα πλαίσιο για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα στην Ευρωπαϊκή Ένωση.

(57)

   Το άρθρο 2 σημείο 1 στοιχείο 4 της οδηγίας 2014/24/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 26ης Φεβρουαρίου 2014, σχετικά με τις διαδικασίες σύναψης δημοσίων συμβάσεων και την κατάργηση της οδηγίας 2004/18/ΕΚ, ΕΕ L 94 της 28.3.2014, σ. 65-242 ορίζει ότι «ως «οργανισμοί δημοσίου δικαίου» νοούνται οι οργανισμοί που έχουν όλα τα ακόλουθα χαρακτηριστικά: (α) έχουν συσταθεί για τον συγκεκριμένο σκοπό της κάλυψης αναγκών γενικού συμφέροντος, που δεν έχουν βιομηχανικό ή εμπορικό χαρακτήρα· β) έχουν νομική προσωπικότητα· και (c) γ) χρηματοδοτούνται, κατά το μεγαλύτερο μέρος, από τις κρατικές αρχές, τις αρχές τοπικής αυτοδιοίκησης, ή άλλους οργανισμούς δημοσίου δικαίου· ή η διαχείριση των οποίων υπόκειται σε έλεγχο ασκούμενο από τις αρχές ή τους οργανισμούς αυτούς· ή έχουν διοικητικό, διευθυντικό ή εποπτικό συμβούλιο, του οποίου περισσότερο από το ήμισυ των μελών διορίζεται από τις κρατικές αρχές, τις αρχές τοπικής αυτοδιοίκησης, ή από άλλους οργανισμούς δημοσίου δικαίου.»

(58)

     Στην αιτιολογική σκέψη 13 του κανονισμού (ΕΕ) 2018/1807 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Νοεμβρίου 2018, σχετικά με ένα πλαίσιο για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα στην Ευρωπαϊκή Ένωση επισημαίνεται ότι ο κανονισμός ισχύει με την επιφύλαξη της οδηγίας 2014/24/ΕΕ.

(59)

   Αιτιολογική σκέψη 14 του κανονισμού (ΕΕ) 2018/1807 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Νοεμβρίου 2018, σχετικά με ένα πλαίσιο για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα στην Ευρωπαϊκή Ένωση.

(60)

   Εξωτερικός πάροχος υπηρεσιών μπορεί να είναι οποιαδήποτε οντότητα η οποία δεν είναι «οργανισμός δημοσίου δικαίου», όπως ορίζεται στο άρθρο 2 παράγραφος 1 σημείο 4 της οδηγίας 2014/24/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 26ης Φεβρουαρίου 2014, σχετικά με τις δημόσιες προμήθειες και την κατάργηση της οδηγίας 2004/18/ΕΚ, ΕΕ L 94 της 28.3.2014, σ. 65-242.

(61)

   Αιτιολογική σκέψη 13 του κανονισμού (ΕΕ) 2018/1807 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Νοεμβρίου 2018, σχετικά με ένα πλαίσιο για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα στην Ευρωπαϊκή Ένωση.

(62)

     Ομάδα εργασίας για την αλλαγή παρόχων υπηρεσιών και τη μεταφορά δεδομένων στο υπολογιστικό νέφος.

(63)

     Ομάδα εργασίας για την πιστοποίηση των Ευρωπαίων παρόχων υπηρεσιών υπολογιστικού νέφους. Βλέπε επίσης ενότητα 4.3.

(64)

     Βλέπε αιτιολογική σκέψη 30 του κανονισμού (ΕΕ) 2018/1807 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Νοεμβρίου 2018, σχετικά με ένα πλαίσιο για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα στην Ευρωπαϊκή Ένωση.

(65)

     Άρθρο 6 του κανονισμού (ΕΕ) 2018/1807 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Νοεμβρίου 2018, σχετικά με ένα πλαίσιο για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα στην Ευρωπαϊκή Ένωση, και άρθρο 20 του κανονισμού (EΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων).

(66)

     Βλέπε Ομάδα εργασίας του άρθρου 29: Κατευθυντήριες γραμμές σχετικά με το δικαίωμα στη φορητότητα των δεδομένων. WP 242 rev.01, που εκδόθηκε στις 13 Δεκεμβρίου 2016 όπως τελικώς αναθεωρήθηκε και εκδόθηκε στις 5 Απριλίου 2017.

(67)

   Στην αιτιολογική σκέψη 29 του κανονισμού (ΕΕ) 2018/1807 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Νοεμβρίου 2018, σχετικά με ένα πλαίσιο για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα στην Ευρωπαϊκή Ένωση αναφέρεται: «Παρότι οι μεμονωμένοι καταναλωτές ωφελούνται από το ισχύον ενωσιακό δίκαιο [ήτοι από τον γενικό κανονισμό για την προστασία δεδομένων], δεν διευκολύνεται η ικανότητα να αλλάζουν παρόχους υπηρεσιών για εκείνους τους χρήστες που δρουν στο πλαίσιο των επιχειρηματικών ή των επαγγελματικών τους δραστηριοτήτων.»

(68)

     Βλέπε Ομάδα εργασίας του άρθρου 29: Γνώμη 05/2012 σχετικά με τη νεφοϋπολογιστική που εκδόθηκε την 1η Ιουλίου 2012, WP196, στην οποία προσδιορίζονται περαιτέρω η θέση και οι υποχρεώσεις των χρηστών και των παρόχων υπηρεσιών υπολογιστικού νέφους σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα.

(69)

   Βλέπε άρθρο 40 παράγραφος 5 και άρθρο 55 του κανονισμού (EΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων).

(70)

   Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων: Guidelines 1/2019 on Codes of Conduct and Monitoring Bodies under Regulation 2016/679, εκδόθηκαν στις 12 Φεβρουαρίου 2019, έκδοση προς δημόσια διαβούλευση, διατίθενται στο διαδίκτυο στη διεύθυνση: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-12019-codes-conduct-and-monitoring-bodies-under_en  

(71)

   Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων: Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation 2016/679, εκδόθηκαν στις 23 Ιανουαρίου 2019, διατίθενται στο διαδίκτυο στη διεύθυνση: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-12018-certification-and-identifying-certification_en

(72)

   Οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών (ημερομηνία λήξης ισχύος: 24 Μαΐου 2018).

(73)

   Για περισσότερες πληροφορίες σχετικά με τον κώδικα δεοντολογίας της ΕΕ για το υπολογιστικό νέφος, βλέπε: https://eucoc.cloud/en/home.html

(74)

   Για περισσότερες πληροφορίες σχετικά με τον κώδικα δεοντολογίας CISPE, βλέπε: https://cispe.cloud/code-of-conduct/

(75)

   Για περισσότερες πληροφορίες σχετικά με τον κώδικα δεοντολογίας CSA, βλέπε: https://gdpr.cloudsecurityalliance.org/

(76)

   Για περισσότερες πληροφορίες, βλέπε: https://ec.europa.eu/digital-single-market/en/cyber-security

(77)

   Κανονισμός του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 17ης Απριλίου 2019, σχετικά με τον ENISA (τον οργανισμό κυβερνοασφάλειας της Ευρωπαϊκής Ένωσης) καθώς και σχετικά με την πιστοποίηση της ασφάλειας στον κυβερνοχώρο στον τομέα της τεχνολογίας πληροφοριών και επικοινωνιών, και την κατάργηση του κανονισμού (ΕΕ) αριθ. 526/2013 (πράξη για την ασφάλεια στον κυβερνοχώρο)

(78)

   Βλέπε αιτιολογική σκέψη 74 της πράξης για την ασφάλεια στον κυβερνοχώρο.