Βασίλης Σωτηρόπουλος: Ελεύθερη ροή μη προσωπικών δεδομένων

Η Ευρώπη δεν προβλέπει μόνο απαγορεύσεις, αλλά εγγυάται και τις ελευθερίες στην διακίνηση των πληροφοριών. Πολλά νομοθετήματα βρίσκονται προς την κατεύθυνση των «ανοιχτών δεδομένων» και συνυπάρχουν με νόμους για την προστασία προσωπικών δεδομένων. Το πιο πρόσφατο επίτευγμα σε αυτήν την «διαπάλη» είναι ο Κανονισμός για την ελεύθερη ροή δεδομένων μη προσωπικού χαρακτήρα, ο οποίος ψηφίστηκε το 2018. Αυτό που έρχεται να «ξεκλειδώσει» ο κανονισμός αυτός είναι η λεγόμενη «τοπικοποίηση των δεδομένων». Η τοπικοποίηση είναι η εθνική νομοθεσία ή γενικότερα κρατική ρύθμιση που επιβάλλει σε κάποιες κατηγορίες πληροφοριών να τυγχάνουν επεξεργασίας μόνο στο συγκεκριμένο κράτος ή απαγορεύουν την διακίνηση των πληροφοριών σε άλλα κράτη. Αυτό δημιουργεί εμπόδια στην ελευθερία της ροής των πληροφοριών μέσα στην Ε.Ε., γιαυτό και ο Ευρωπαίος νομοθέτης παρενέβη ώστε να επιτρέψει, παρά τις αντίθετες κρατικές νομοθεσίες, την ολοένα μεγαλύτερη κυκλοφορία των δεδομένων μη προσωπικού χαρακτήρα.

Στις 29.5.2019 η Κομισιόν δημοσίευσε νέες κατευθυντήριες γραμμές για την αλληλεπίδραση μεταξύ της ελεύθερης ροής δεδομένων μη προσωπικού χαρακτήρα και των κανόνων της Ε.Ε. για την προστασία των δεδομένων. Αυτές οι γραμμές δίνουν πρακτικά παραδείγματα για τον τρόπο με τον οποίο θα πρέπει να εφαρμόζονται οι κανόνες όταν μια επιχείρηση επεξεργάζεται σύνολα δεδομένων που αποτελούνται από δεδομένα τόσο προσωπικού όσο και μη προσωπικού χαρακτήρα. Χαρακτηριστικό είναι το παράδειγμα που αφορά σε εταιρεία που δραστηριοποιείται εντός της Ε.Ε. και παρέχει τις υπηρεσίες της μέσω πλατφόρμας. Οι πελάτες αναφορτώνουν στην πλατφόρμα τα έγγραφά τους, τα οποία περιέχουν μεικτά σύνολα δεδομένων, δηλαδή και προσωπικά δεδομένα αλλά και μη προσωπικά δεδομένα. Ως «υπεύθυνος επεξεργασίας», η επιχείρηση που αναφορτώνει τα έγγραφα πρέπει να διασφαλίσει ότι η επεξεργασία συμμορφώνεται με τον GDPR. Κατά την επεξεργασία του συνόλου δεδομένων για λογαριασμό του υπευθύνου επεξεργασίας η εταιρεία που παρέχει τις υπηρεσίες (ο «εκτελών την επεξεργασία») πρέπει να αποθηκεύσει και να επεξεργαστεί τα δεδομένα σύμφωνα με τον GDPR, για παράδειγμα οφείλει να μεριμνήσει για την εξασφάλιση κατάλληλου επιπέδου ασφάλειας σε σχέση με τα δεδομένα, μεταξύ άλλων μέσω κρυπτογράφησης.

Σε ένα άλλο παράδειγμα που αναφέρει η Κομισιόν, μια μικρή ευρωπαϊκή νεοφυής επιχείρηση από το κράτος μέλος Α αποφασίζει να επεκτείνει τις επιχειρηματικές της δραστηριότητες ανοίγοντας υποκατάστημα στο κράτος μέλος Β. Προκειμένου να ελαχιστοποιήσει το κόστος, αυτή η νεοφυής επιχείρηση επιλέγει να συγκεντρώσει σε κεντρικό επίπεδο την αποθήκευση και την επεξεργασία δεδομένων του νέου υποκαταστήματος στον εξυπηρετητή της, ο οποίος βρίσκεται στο κράτος μέλος Α. Τα κράτη μέλη δεν μπορούν να απαγορεύσουν αυτές τις προσπάθειες συγκέντρωσης των πληροφοριακών συστημάτων, εκτός εάν αυτό δικαιολογείται για λόγους δημόσιας ασφάλειας σύμφωνα με την αρχή της αναλογικότητας.

Κεντρικό θέμα στις κατευθυντήριες γραμμές της Κομισιόν κατέχουν οι κώδικες δεοντολογίας, καθώς φαίνεται ότι τα ζητήματα αυτά ολοένα και περισσότερο θα αποτελέσουν αντικείμενα αυτορρύθμισης. Κατά το σχετικό παράδειγμα, μια επιχείρηση που χρησιμοποιεί μια υπηρεσία υπολογιστικού νέφους αποφασίζει να αλλάξει πάροχο υπηρεσιών υπολογιστικού νέφους και να μεταφέρει όλα τα δεδομένα σε νέο πάροχο. Η αλλαγή του παρόχου υπηρεσιών και η μεταφορά των δεδομένων καλύπτονται στη σύμβαση μεταξύ του πελάτη και του παρόχου υπηρεσιών υπολογιστικού νέφους. Εάν ο παλαιός πάροχος υπηρεσιών υπολογιστικού νέφους τηρεί τους κώδικες δεοντολογίας που έχουν καταρτιστεί βάσει του κανονισμού για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα, η μεταφορά των δεδομένων πρέπει να πραγματοποιηθεί σύμφωνα με τις απαιτήσεις που προσδιορίζονται στους κώδικες αυτούς. Εάν τα δεδομένα προσωπικού χαρακτήρα αποτελούν επίσης μέρος των μεταφερόμενων συνόλων δεδομένων, η μεταφορά πρέπει να συμμορφώνεται με όλες τις σχετικές διατάξεις του γενικού κανονισμού για την προστασία δεδομένων, ειδικότερα πρέπει να διασφαλιστεί ότι ο νέος πάροχος υπηρεσιών υπολογιστικού νέφους τηρεί τις εφαρμοστέες απαιτήσεις, όπως η ασφάλεια.

Ο Βασίλης Σωτηρόπουλος είναι δικηγόρος.