Στις 12 Ιουλίου 2016 παρουσιάσθηκε εκ μέρους της Ευρωπαϊκής Επιτροπής (Εκτελεστική Απόφαση υπ’ αριθμόν 2016/1250 βάσει της οδηγίας 95/46/ΕΚ) έπειτα από μακρά περίοδο διαπραγματεύσεων με τις αρχές των ΗΠΑ -ήδη από το 2014- το πλαίσιο του Privacy Shield («Ασπίδα Προστασίας») με σκοπό την μεγαλύτερη διασφάλιση της μεταφοράς και εν τέλει προστασίας των δεδομένων προσωπικού χαρακτήρα που διαβιβάζονται μεταξύ Ευρώπης και Αμερικής. Στο πλαίσιο αυτό, η Ευρωπαϊκή Επιτροπή προχώρησε στην έκδοση και δημοσίευση ενός Oδηγού (Guide) με ερωτήσεις και απαντήσεις αναφορικά με τον τρόπο ενεργοποίησης του Privacy Shield και τα επιμέρους δικαίωματα των υποκειμένων των προσωπικών δεδομένων τα οποία διαβιβάζονται από την Ευρώπη στην Αμερική. Ο οδηγός αυτός παρέχει επαρκείς διευκρινίσεις ως προς τον τρόπο λειτουργίας του Privacy Shield και δρα συμβουλευτικά ως προς τη δυνατότητα και τον τρόπο και ασκήσεως των δικαιωμάτων που προβλέπονται δυνάμει του Privacy Shield. Αναλυτικότερα:
1) Τι ακριβώς είναι το Privacy Shield και πώς λειτουργεί;
Ως γνωστόν μεταξύ Ευρώπης και Αμερικής υπάρχουν ισχυροί εμπορικοί δεσμοί, με επίκεντρο τις εμπορικές συναλλαγές. Στο πλαίσιο αυτό, η υπερατλαντική διαβίβαση δεδομένων προσωπικού χαρακτήρα, όπως είναι το ονοματεπώνυμο, ο αριθμός τηλεφώνου, ημερομηνία γέννησης, διεύθυνση κατοικίας και ηλεκτρονικό ταχυδρομείο, φύλο καθώς και οποιοδήποτε άλλο στοιχείο δια της γνωστοποίησεως του οποίου μπορεί να ταυτοποιηθεί το υποκείμενο αποκτά ιδιαίτερη σημασία σήμερα, καθώς πλήθος πλέον υπερατλαντικών συναλλαγών μπορεί να συνεπάγονται την διαβίβαση των ως άνω δεδομένων. Ανακύπτει, έτσι, ως πρωταρχική η ανάγκη διαφύλαξης της προστασίας τους και διασφάλισης της προσήκουσας και ασφαλούς μεταφοράς τους από την μία ήπειρο στην άλλη. Για τον σκοπό αυτό ακριβώς δημιουργήθηκε το πλαίσιο προστασίας απορρήτου, το EU-US Privacy Shield. Πρόκειται για ένα πλαίσιο κανονιστικής συμμόρφωσης προς τους κανόνες για την προστασία προσωπικών δεδομένων ούτως ώστε τα τελευταία να διαβιβάζονται προς μία εταιρεία η οποία εδρεύει στις Ηνωμένες Πολιτείες μόνο εφόσον η τελευταία συμμορφώνεται προς το παραπάνω πλαίσιο. Σημειώνεται δε, ότι η προστασία κατά την διαβίβαση παρέχεται ανεξαρτήτως εάν το υποκείμενο των δεδομένων είναι Ευρωπαίος πολίτης. Κριτήριο για την ενεργοποιηθεί η παραπάνω προσασία αποτελεί η συλλογή των προσωπικών δεδομένων να διενεργείται εντός κράτους-μέλους της Ευρωπαϊκής Ένωσης.
Προκειμένου έτσι, να τεθεί σε εφαρμογή το Privacy Shield εκ μέρους μίας εταιρείας, η τελευταία πρέπει προηγουμένως να υποβάλλει σχετική αίτηση πιστοποίησης στο Υπουργείο Εμπορίου των Ηνωμένων Πολιτειών. Οι εταιρείες που υποβάλλουν τη σχετική αίτηση λαμβάνουν την ως άνω πιστοποίηση μόνο εφόσον διαθέτουν εσωτερική πολιτική απορρήτου η οποία τελεί σε συμμορφωση με τις Βασικές Αρχές περί Προστασίας Απορρήτου που προβλέπονται από τον θεσμό του Privacy Shield.
2) Ποιος ασκεί την εποπτεία τήρησης του Privacy Shield?
Την ευθύνη αναφορικά με την διοίκηση καθώς και την εποπτεία συμμόρφωσης προς τους κανόνες προς τους οποίους οι πιστοποιημένες εταιρείες οφείλουν να συμμορφώνονται στο Privacy Shield ασκεί το Υπουργείο Εμπορίου των Ηνωμένων Πολιτειών. Ειδικότερα, στην ιστοσελίδα του Υπουργείου Εμπορίου μπορεί να συμβουλεφθεί κανείς αναλυτική λίστα των εταιρειών που αποτελούν μέρος του Privacy Shield https://www.privacyshield.gov/welcome καθώς και περαιτέρω πληροφορίες σχετικά με το είδος των δεδομένων που επεξεργάζονται οι εταιρείες αυτές. Σημειώνεται ότι εταιρείες που δεν αποτελούν μέρος του Privacy Shield δεν έχουν δικαίωμα να συλλέγουν προσωπικά δεδομένα σύμφωνα με τους κανόνες που υπαγορεύονται από το συγκεκριμένο πρόγραμμα.
3) Ποιες είναι οι υποχρεώσεις μίας εταιρείας που συμμορφώνεται βάσει του Privacy Shield;
Μία εταιρεία που έχει πιστοποιηθεί για το Privacy Shield υποχρεούται να ενημερώνει καταρχήν τα υποκείμενα των δεδομένων αναφορικά με: α) τα είδη προσωπικών δεδομένων που συλλέγονται β) τους λόγους για τους οποίους επεξεργάζεται τα δεδομένα αυτά γ) εάν σκοπεύει να διαβιβάσει τα προσωπικά δεδομένα και για ποιούς λόγους δ) το δικαίωμα των υποκειμένων να αιτηθούν πρόσβαση στα δεδομένα τους ε) τον τρόπο επικοινωνίας με την εταιρεία σε περίπτωση ύπαρξης παραπόνων αναφορικά με την χρήση των προσωπικών δεδομένων στ) την ύπαρξη ανεξάρτητου φορέα επίλυσης διαφορών, είτε στην Ευρώπη είτε στην Αμερική, ενώπιον του οποίου μπορεί να επιλυθεί μία διαφορά.
Περαιτέρω, μία Privacy Shield εταιρεία δικαιούται να επεξεργάζεται τα προσωπικά δεδομένα αποκλειστικά και μόνο για τον σκοπό για τον οποίο αυτά συλλέχθησαν. Επεξεργασία για διαφορετικό σκοπό πλην του αρχικού επιτρέπεται μόνο εφόσον ο δεύτερος σκοπός σχετίζεται με τον πρώτο και μόνο εφόσον το υποκείμενο δεν προβάλλει αντιρρήσεις ή στην περίπτωση που λαμβάνει χώρα επεξεργασία ευαίσθητων προσωπικών δεδομένων, εφόσον το υποκείμενο παρέχει την συγκατάθεση του. Τέλος, μία Privacy Shield εταιρεία μπορεί να τηρεί αρχείο προσωπικών δεδομένων μόνο για όσο χρονικό διάστημα κρίνεται απαραίτητο ανάλογα με τον σκοπό της επεξεργασίας και όχι για μακρότερο χρονικό διάστημα, παρά μόνο εάν υπάρχουν συγκεκριμένοι λόγοι, όπως τήρηση αρχείου για σκοπούς στατιστικής ανάλυσης, λογοτεχνία, τέχνη, δημοσιογραφία.
4) Πώς ασκείται το δικαίωμα διατύπωσης παραπόνων και αξίωσης αποζημίωσης;
Σε περίπτωση που μία εταιρεία δεν συμμορφώνεται με τους κανόνες του Privacy Shield, παραβιάζοντας, ως εκ τούτου, την υποχρέωσή της να προστατεύει τα προσωπικά δεδομένα τα οποία επεξεργάζεται, τότε το υποκείμενο των δεδομένων η ασφάλεια των οποίων παραβιάζεται έχει το δικαίωμα να υποβάλλει καταγγελία και να διεκδικήσει αποζημίωση για την παραβίαση που τελείται σε βάρος του. Συνοπτικά, σε περίπτωση παραβίασης το υποκείμενο των προσωπικών δεδομένων που προσβάλλεται μπορεί να υποβάλλει μία καταγγελία με τους εξής τρόπους:
1) προς την ίδια την εταιρεία που εφαρμόζει το Privacy Shield,
2) προς έναν φορέα εναλλακτικής επίλυσης διαφορών,
3) προς την Εθνική Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα,
3) προς το Υπουργείο Εμπορίου των Ηνωμένων Πολιτειών, αποκλειστικά μέσω του υπό 2) ανεξάρτητου φορέα,
4) προς την Ομοσπονδιακή Επιτροπή Εμπορίου των Ηνωμένων Πολιτειών.
5) προς το Privacy Shield Panel, που αποτελεί όργανο Διαιτησίας στις ΗΠΑ, εφόσον άλλες εναλλακτικές έχουν αποτύχει.
Σχόλιο του γραφείου μας:
Το EU-US Privacy Shield είναι γεγονός ότι αποτελεί ένα ιδιαίτερα σημαντικό και καινοτόμο βήμα. Περαιτέρω, είναι σαφές ότι μολονότι η υιοθέτηση του Privacy Shield είναι προαιρετική για μία εταιρεία, εντούτοις η απόφασή της να συμμετάσχει στο νέο αυτό κανονιστικό πλαίσιο συνεπάγεται αυτομάτως τη δημόσια δέσμευσή της να συμμορφώνεται προς όλους τους νομικούς κανόνες που έχουν ως στόχο την προστασία των προσωπικών δεδομένων που συλλέγονται υπερατλαντικά. Ως εκ τούτου, αναμένουμε να δούμε πως το νέο πλαίσιο του Privacy Shield θα υιοθετηθεί από εταιρείες και από τις δύο πλευρές του Ατλαντικού και θα γεφυρώσει αποτελεσματικά και με πλήρη διαφάνεια το κενό που πρακτικά μέχρι σήμερα υπήρχε κατά την διαβίβαση δεδομένων προσωπικού χαρακτήρα μεταξύ Ευρώπης και Αμερικής.
