Λίγο περισσότερο από δύο έτη μετά την έναρξη ισχύος του γενικού κανονισμού για την προστασία δεδομένων (GDPR), η Ευρωπαϊκή Επιτροπή δημοσίευσε έκθεση αξιολόγησής του. Όπως προκύπτει από την έκθεση, ο ΓΚΠΔ εκπλήρωσε τους περισσότερους από τους στόχους του, ιδίως με την παροχή ενός ισχυρού συνόλου εκτελεστών δικαιωμάτων στους πολίτες και τη δημιουργία ενός νέου ευρωπαϊκού συστήματος διακυβέρνησης και επιβολής. Ο GDPR αποδείχθηκε ευέλικτο εργαλείο, ικανό να στηρίξει ψηφιακές λύσεις σε πρωτόγνωρες περιστάσεις, όπως η κρίση που ξέσπασε εξαιτίας της COVID-19. Η έκθεση καταλήγει επίσης στο συμπέρασμα ότι αυξάνεται η εναρμόνιση στο σύνολο των κρατών μελών, παρά τον κατακερματισμό που παρατηρείται και ο οποίος πρέπει να παρακολουθείται συνεχώς. Διαπιστώνει επίσης ότι οι επιχειρήσεις αναπτύσσουν νοοτροπία συμμόρφωσης και χρησιμοποιούν το υψηλό επίπεδο προστασίας των δεδομένων ολοένα και περισσότερο ως ανταγωνιστικό πλεονέκτημα. Η έκθεση περιλαμβάνει κατάλογο δράσεων με σκοπό την περαιτέρω διευκόλυνση της εφαρμογής του ΓΚΠΔ (GDPR) για όλα τα ενδιαφερόμενα μέρη, και ιδίως για τις μικρές και μεσαίες επιχειρήσεις, και την προώθηση, αφενός, μιας πραγματικά ευρωπαϊκής νοοτροπίας όσον αφορά την προστασία των δεδομένων και, αφετέρου, της αυστηρής επιβολή της νομοθεσίας.
Η κ. Βιέρα Γιούροβα, Αντιπρόεδρος αρμόδια για θέματα αξιών και διαφάνειας, δήλωσε: «Το ευρωπαϊκό καθεστώς προστασίας των δεδομένων αποτελεί πλέον πυξίδα που καθοδηγεί τα βήματά μας στην ανθρωποκεντρική ψηφιακή μετάβαση και συνιστά σημαντικό πυλώνα πάνω στον οποίο οικοδομούμε άλλες πολιτικές, όπως τη στρατηγική για τα δεδομένα ή την προσέγγισή μας για την τεχνητή νοημοσύνη. Ο ΓΚΠΔ αποτυπώνει ιδανικά τον τρόπο με τον οποίο η Ευρωπαϊκή Ένωση, ακολουθώντας μια προσέγγιση με γνώμονα τα θεμελιώδη δικαιώματα, ενδυναμώνει τους πολίτες της και παρέχει στις επιχειρήσεις ευκαιρίες να αξιοποιήσουν στο έπακρο την ψηφιακή επανάσταση. Αλλά όλοι πρέπει να συνεχίσουμε τις προσπάθειες ώστε να μπορέσει ο ΓΚΠΔ να αναπτύξει το πλήρες δυναμικό του.»
Ο κ. Ντιντιέ Ρεντέρς, Επίτροπος Δικαιοσύνης, δήλωσε: «Ο ΓΚΠΔ πέτυχε τους στόχους του και έχει καταστεί σημείο αναφοράς σε παγκόσμιο επίπεδο για όσες χώρες επιθυμούν να παράσχουν στους πολίτες τους υψηλό επίπεδο προστασίας. Κι όμως, μπορούμε να βελτιώσουμε τις επιδόσεις μας, όπως δείχνει η σημερινή έκθεση. Για παράδειγμα, χρειαζόμαστε περισσότερη ομοιομορφία ως προς την εφαρμογή των κανόνων σε ολόκληρη την Ένωση: αυτό είναι σημαντικό τόσο για τους πολίτες όσο και για τις επιχειρήσεις, ιδίως τις ΜΜΕ. Πρέπει επίσης να διασφαλίσουμε ότι οι πολίτες μπορούν να ασκούν πλήρως τα δικαιώματά τους. Η Επιτροπή θα παρακολουθεί την πρόοδο που σημειώνεται, σε στενή συνεργασία με το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων και στο πλαίσιο των τακτικών ανταλλαγών της με τα κράτη μέλη, ώστε ο ΓΚΠΔ να μπορέσει να κομίσει τα πλήρη οφέλη του.»
Βασικές διαπιστώσεις της επανεξέτασης του GDPR
Οι πολίτες έχουν αποκτήσει μεγαλύτερη δύναμη και γνωρίζουν καλύτερα τα δικαιώματά τους: Ο GDPR ενισχύει τη διαφάνεια και παρέχει στα φυσικά πρόσωπα εκτελεστά δικαιώματα, όπως το δικαίωμα πρόσβασης σε δεδομένα, το δικαίωμα διόρθωσης και διαγραφής τους, το δικαίωμα αντίταξης στην επεξεργασία τους και το δικαίωμα φορητότητάς τους. Σήμερα το 69 % των πολιτών της ΕΕ ηλικίας άνω των 16 ετών έχουν ακούσει για τον ΓΚΠΔ και το 71 % έχουν ακούσει για την εθνική τους αρχή προστασίας δεδομένων, σύμφωνα με τα αποτελέσματα έρευνας του Οργανισμού Θεμελιωδών Δικαιωμάτων της ΕΕ που δημοσιεύθηκαν την προηγούμενη εβδομάδα. Ωστόσο, μπορούν να γίνουν περισσότερα για να βοηθηθούν οι πολίτες να ασκήσουν τα δικαιώματά τους, ιδίως το δικαίωμα στη φορητότητα των δεδομένων.
- Οι κανόνες για την προστασία των δεδομένων είναι κατάλληλοι για την ψηφιακή εποχή: Χάρη στον ΓΚΠΔ, τα φυσικά πρόσωπα είναι σε θέση να διαδραματίζουν ενεργότερο ρόλο όσον αφορά τη χρησιμοποίηση των δεδομένων τους κατά την ψηφιακή μετάβαση. Επιπλέον, ο ΓΚΠΔ συμβάλλει στην προώθηση αξιόπιστης καινοτομίας, κυρίως υιοθετώντας μια προσέγγιση βάσει κινδύνου και αρχές όπως η προστασία των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού.
- Οι αρχές προστασίας δεδομένων κάνουν χρήση των ενισχυμένων διορθωτικών εξουσιών τους: Από τις προειδοποιήσεις και τις επιπλήξεις μέχρι τα διοικητικά πρόστιμα, ο ΓΚΠΔ παρέχει στις εθνικές αρχές προστασίας δεδομένων τα κατάλληλα εργαλεία για την επιβολή των κανόνων. Ωστόσο, τα εργαλεία αυτά πρέπει να υποστηρίζονται επαρκώς με τους απαραίτητους ανθρώπινους, τεχνικούς και οικονομικούς πόρους. Πολλά κράτη μέλη παρέχουν ήδη αυτή την υποστήριξη, έχοντας αυξήσει σημαντικά τις πιστώσεις του προϋπολογισμού και το προσωπικό. Συνολικά, από το 2016 έως το 2019 σημειώθηκε σε όλες τις εθνικές αρχές προστασίας δεδομένων στην ΕΕ αύξηση του προσωπικού τους κατά 42 % και αύξηση του προϋπολογισμού τους κατά 49 %. Ωστόσο, εξακολουθούν να υπάρχουν σημαντικές διαφορές μεταξύ κρατών μελών.
- Οι αρχές προστασίας δεδομένων συνεργάζονται στο πλαίσιο του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων (ΕΣΠΔ), αλλά υπάρχουν περιθώρια βελτίωσης: Ο ΓΚΠΔ θέσπισε καινοτόμο σύστημα διακυβέρνησης, το οποίο έχει σχεδιαστεί για να εξασφαλίζει τη συνεκτική και αποτελεσματική εφαρμογή του κανονισμού μέσω της αποκαλούμενης «υπηρεσίας μίας στάσης», χάρη στην οποία μια εταιρεία που επεξεργάζεται δεδομένα σε διασυνοριακό επίπεδο χρειάζεται να απευθύνεται σε μία μόνο αρχή προστασίας δεδομένων, την αρχή του κράτους μέλους στο οποίο βρίσκεται η κύρια εγκατάστασή της. Από τις 25 Μαΐου 2018 έως τις 31 Δεκεμβρίου 2019 είχαν υποβληθεί μέσω της «υπηρεσίας μίας στάσης» 141 σχέδια αποφάσεων, εκ των οποίων τα 79 κατέληξαν σε τελικές αποφάσεις. Ωστόσο, μπορούν να γίνουν περισσότερα για την ανάπτυξη μιας πραγματικά κοινής νοοτροπίας όσον αφορά την προστασία των δεδομένων. Ειδικότερα, ο χειρισμός διασυνοριακών υποθέσεων απαιτεί πιο αποδοτική και εναρμονισμένη προσέγγιση και αποτελεσματική χρήση όλων των εργαλείων που παρέχει ο ΓΚΠΔ για τη συνεργασία των αρχών προστασίας των δεδομένων.
- Συμβουλές και κατευθυντήριες γραμμές από τις αρχές προστασίας δεδομένων: Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων εκδίδει κατευθυντήριες γραμμές που καλύπτουν βασικές πτυχές του κανονισμού και νεοεμφανιζόμενα θέματα. Αρκετές αρχές προστασίας δεδομένων έχουν δημιουργήσει νέα εργαλεία, μεταξύ των οποίων τηλεφωνικές γραμμές βοήθειας για φυσικά πρόσωπα και επιχειρήσεις, καθώς και δέσμες εργαλείων για τις μικρές και τις πολύ μικρές επιχειρήσεις. Είναι σημαντικό να εξασφαλιστεί ότι η καθοδήγηση που παρέχεται σε εθνικό επίπεδο συνάδει πλήρως με τις κατευθυντήριες γραμμές του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων.
- Πλήρης αξιοποίηση του δυναμικού των διεθνών διαβιβάσεων δεδομένων: Την τελευταία διετία, η διεθνής δέσμευση της Επιτροπής για δωρεάν και ασφαλή διαβίβαση δεδομένων έχει αποφέρει σημαντικά αποτελέσματα. Ένα από αυτά είναι η διαβίβαση δεδομένων μεταξύ της ΕΕ και της Ιαπωνίας, οι οποίες αποτελούν από κοινού τον μεγαλύτερο χώρο ελεύθερων και ασφαλών ροών δεδομένων στον κόσμο. Η Επιτροπή θα συνεχίσει τη συνεργασία με τους εταίρους της σε ολόκληρο τον κόσμο όσον αφορά την επάρκεια. Επιπλέον, σε συνεργασία με το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων, η Επιτροπή εξετάζει το ενδεχόμενο εκσυγχρονισμού άλλων μηχανισμών για τη διαβίβαση δεδομένων, συμπεριλαμβανομένων των τυποποιημένων συμβατικών ρητρών — του πλέον ευρέως χρησιμοποιούμενου εργαλείου διαβίβασης δεδομένων. Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων καταρτίζει συγκεκριμένες κατευθυντήριες γραμμές σχετικά με τη χρήση της πιστοποίησης και των κωδίκων δεοντολογίας για τη διαβίβαση δεδομένων εκτός ΕΕ, οι οποίες πρέπει να οριστικοποιηθούν το συντομότερο δυνατόν. Δεδομένου ότι το Ευρωπαϊκό Δικαστήριο μπορεί να παράσχει διευκρινίσεις σε απόφαση που πρόκειται να εκδώσει στις 16 Ιουλίου, διευκρινίσεις οι οποίες μπορεί να αφορούν ορισμένα στοιχεία του προτύπου επάρκειας, η Επιτροπή θα υποβάλει χωριστές εκθέσεις σχετικά με τις υφιστάμενες αποφάσεις περί επάρκειας μετά την έκδοση της απόφασης του Δικαστηρίου.
- Προώθηση της διεθνούς συνεργασίας: Την τελευταία διετία η Επιτροπή ενέτεινε τον διμερή, περιφερειακό και πολυμερή διάλογο, προωθώντας μια παγκόσμια αντίληψη περί σεβασμού της ιδιωτικότητας, καθώς και τη σύγκλιση μεταξύ των διαφόρων συστημάτων προστασίας της ιδιωτικότητας προς όφελος τόσο των πολιτών όσο και των επιχειρήσεων. Η Επιτροπή δεσμεύεται ότι θα συνεχίσει τις εργασίες αυτές ως μέρος της ευρύτερης εξωτερικής της δράσης, π.χ. στο πλαίσιο της εταιρικής σχέσης Αφρικής-ΕΕ και της υποστήριξης που παρέχει σε διεθνείς πρωτοβουλίες, όπως την πρωτοβουλία «Ελεύθερη ροή δεδομένων με εμπιστοσύνη». Σε μια εποχή κατά την οποία οι παραβιάσεις των κανόνων περί προστασίας της ιδιωτικότητας ενδέχεται να επηρεάσουν μεγάλο αριθμό ατόμων ταυτόχρονα σε διάφορα μέρη του κόσμου, πρέπει να ενισχυθεί η διεθνής συνεργασία μεταξύ των φορέων επιβολής της νομοθεσίας για την προστασία των δεδομένων. Αυτός είναι ο λόγος για τον οποίο η Επιτροπή θα ζητήσει εξουσιοδότηση από το Συμβούλιο προκειμένου να αρχίσει διαπραγματεύσεις για τη σύναψη συμφωνιών αμοιβαίας συνδρομής και συνεργασίας στον τομέα της επιβολής του νόμου με ενδιαφερόμενες τρίτες χώρες.
Ευθυγράμμιση της ενωσιακής νομοθεσίας με την οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου
Επιπλέον, σήμερα η Επιτροπή δημοσίευσε επίσης ανακοίνωση η οποία προσδιορίζει δέκα νομικές πράξεις που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα από τις αρμόδιες αρχές για τους σκοπούς της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων οι οποίες θα πρέπει να ευθυγραμμιστούν με την οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου. Η ευθυγράμμιση θα επιφέρει ασφάλεια δικαίου και θα αποσαφηνίσει ζητήματα όπως τους σκοπούς της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τις αρμόδιες αρχές και τα είδη δεδομένων που μπορούν να υποβληθούν στην εν λόγω επεξεργασία.
Ο γενικός κανονισμός για την προστασία δεδομένων ορίζει ότι η Επιτροπή υποβάλλει εκθέσεις σχετικά με την αξιολόγηση και την επανεξέτασή του: την πρώτη έκθεση την υποβάλλει μετά τα δύο πρώτα έτη εφαρμογής του και, στη συνέχεια, τις επόμενες εκθέσεις, κάθε τέσσερα έτη.
Ο ΓΚΠΔ είναι ένα ενιαίο σύνολο κανόνων του δικαίου της ΕΕ σχετικά με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και την ελεύθερη κυκλοφορία των δεδομένων αυτών. Ενισχύει τις εγγυήσεις για την προστασία των δεδομένων, χορηγεί πρόσθετα και ισχυρότερα δικαιώματα σε φυσικά πρόσωπα, αυξάνει τη διαφάνεια και καθιστά τα πρόσωπα που χειρίζονται δεδομένα προσωπικού χαρακτήρα πιο υπόλογα και υπεύθυνα. Έχει εξοπλίσει τις εθνικές αρχές προστασίας δεδομένων με ισχυρότερες και εναρμονισμένες εκτελεστικές εξουσίες και έχει θεσπίσει νέο σύστημα διακυβέρνησης μεταξύ των αρχών προστασίας δεδομένων. Επίσης, δημιουργεί ισότιμους όρους ανταγωνισμού για όλες τις επιχειρήσεις που δραστηριοποιούνται στην αγορά της ΕΕ, ανεξάρτητα από τον τόπο εγκατάστασής τους, διασφαλίζει την ελεύθερη ροή δεδομένων εντός της ΕΕ, διευκολύνει τις ασφαλείς διεθνείς διαβιβάσεις δεδομένων και έχει καταστεί σημείο αναφοράς σε παγκόσμιο επίπεδο.
Όπως ορίζεται στο άρθρο 97 παράγραφος 2 του ΓΚΠΔ, η έκθεση που δημοσιεύεται σήμερα καλύπτει ειδικότερα τις διεθνείς διαβιβάσεις και τον «μηχανισμό συνεργασίας και συνεκτικότητας», μολονότι η Επιτροπή υιοθέτησε ευρύτερη προσέγγιση στο πλαίσιο της επανεξέτασης, προκειμένου να διευθετήσει ζητήματα που έθιξαν διάφοροι παράγοντες κατά την τελευταία διετία. Σ’ αυτά περιλαμβάνονται συμβολές από το Συμβούλιο, το Ευρωπαϊκό Κοινοβούλιο, το ΕΣΠΔ, τις εθνικές αρχές προστασίας δεδομένων και τα ενδιαφερόμενα μέρη.