ΑΠΔΠΧ: Απόφαση Schrems (C-311/2018) – Ενημέρωση

0

Το Δικαστήριο της Ευρωπαϊκής Ένωσης (στο εξής ΔΕΕ) εξέδωσε στις 16.7.2020 μια πολύ σημαντική απόφαση, στο πλαίσιο εξέτασης της υπόθεσης C‑311/18 «Data Protection Commissioner of Ireland v. Facebook & Max Schrems» (εφεξής «Schrems II»). Με αυτήν την απόφαση έκρινε ως ανίσχυρη την απόφαση 2016/1250 της Επιτροπής σχετικά με την επάρκεια της προστασίας που παρέχεται από την ασπίδα προστασίας της ιδιωτικής ζωής ΕΕ-ΗΠΑ (στο εξής ΑΠΙΔ).

Με την ίδια απόφαση, το ΔΕΕ έκρινε ότι οι τυποποιημένες συμβατικές ρήτρες 2010/87 (στο εξής ΤΣΡ) για τη διαβίβαση προσωπικών δεδομένων σε εκτελούντες την επεξεργασία εγκατεστημένους εκτός ΕΕ (Απόφαση της Επιτροπής 2010/87) παραμένουν ισχυρές και για τη διαβίβαση προσωπικών δεδομένων στις ΗΠΑ, υπό συγκεκριμένες προϋποθέσεις. Ειδικότερα, πριν από οποιαδήποτε διαβίβαση με βάση τις ΤΣΡ, ο εξαγωγέας -με τη βοήθεια του εισαγωγέα των δεδομένων- πρέπει να εξετάζει εάν το επίπεδο προστασίας των δεδομένων, το οποίο κατοχυρώνει ο Γενικός Κανονισμός Προστασίας Δεδομένων (ΓΚΠΔ), εξασφαλίζεται στην εκάστοτε τρίτη χώρα, λαμβάνοντας υπόψη τις συνθήκες της συγκεκριμένης διαβίβασης και πρόσθετα μέτρα που μπορεί αυτός να λάβει. Σε περίπτωση δε που καταλήξει ότι δεν παρέχεται επαρκές επίπεδο προστασίας, ο εξαγωγέας πρέπει να αναστείλει τη διαβίβαση ή/και να καταγγείλει τη σύμβαση με τον εισαγωγέα.

Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (στο εξής ΕΣΠΔ), το οποίο εκπροσωπεί τις ευρωπαϊκές εποπτικές Αρχές, εξέδωσε κείμενο «Συχνών Ερωτήσεων» σχετικά με την απόφαση Schrems II (διαθέσιμο στο https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_faqs_schrems_ii_202007_adopted_el.pdf), οι οποίες θα συμπληρώνονται όσο το ΕΣΠΔ θα συνεχίζει την ανάλυση της απόφασης του ΔΕΕ.

Επιπλέον, το ΕΣΠΔ αποφάσισε τη συγκρότηση ειδικής ομάδας, η οποία θα αναλάβει την κατάρτιση συστάσεων που θα απευθύνονται στους υπευθύνους επεξεργασίας και τους εκτελούντες την επεξεργασία και θα αφορούν τα κατάλληλα συμπληρωματικά μέτρα που αυτοί μπορούν να λάβουν για να εξασφαλίζουν την τήρηση του απαιτούμενου από το δίκαιο της ΕΕ επιπέδου προστασίας, όταν διαβιβάζουν προσωπικά δεδομένα σε τρίτες χώρες.

Xρήσιμοι σύνδεσμοι:

 

 

Σχόλια