Πού έγκειται το πρόβλημα;

Εδώ και πολύ καιρό ασκείται κριτική στο ότι το επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα στις ΗΠΑ δεν ανταποκρίνεται σε αυτό της ΕΕ. Η αρχική απόφαση περί επάρκειας μεταξύ της ΕΕ και των ΗΠΑ για τον προσδιορισμό της επάρκειας («ασφαλές λιμάνι») κηρύχθηκε άκυρη από το Ευρωπαϊκό Δικαστήριο το 2015. Η επακόλουθη συμφωνία «Ασπίδα προστασίας της ιδιωτικής ζωής» ανατράπηκε από το Ευρωπαϊκό Δικαστήριο το 2020.  

Ο αμερικανικός νόμος περί παρακολούθησης ξένων πληροφοριών „FISA 702“ θεωρείται ιδιαίτερα προβληματικός. Επιτρέπει στις αμερικανικές υπηρεσίες πληροφοριών να έχουν πρόσβαση σε δεδομένα προσωπικού χαρακτήρα. Σύμφωνα με το Δικαστήριο της Ευρωπαϊκής Ένωσης (ΔΕΕ), οι ανατραπείσες συμφωνίες δεν παρείχαν επαρκή προστασία ώστε να διασφαλιστεί ότι τα δεδομένα των πολιτών της ΕΕ δεν θα μπορούσαν να τύχουν επεξεργασίας με αυτόν τον τρόπο. Η αυστριακή οργάνωση  "NOYB" (none of your business) με επικεφαλής τον Max Schrems κατέθεσε αγωγή κατά των δύο συμφωνιών, γι' αυτό και οι αποφάσεις έγιναν γνωστές ως «Schrems I» και «Schrems II».

Μετά την απόφαση Schrems II, το επίπεδο προστασίας των δεδομένων στις ΗΠΑ κρίθηκε ανεπαρκές. Αυτό σήμαινε ότι η διαβίβαση δεδομένων στις ΗΠΑ και, συνεπώς, η χρήση παρόχων υπηρεσιών με έδρα τις ΗΠΑ σχετιζόταν με μεγάλες αβεβαιότητες. Αυτό επηρέασε επίσης τις υπηρεσίες εταιρειών όπως η Microsoft, η Google, η Zoom, κ.λπ. που χρησιμοποιούνται ευρέως στην ΕΕ. 

Το διατλαντικό πλαίσιο προστασίας των δεδομένων και της ιδιωτικής ζωής

Στις 10 Ιουλίου 2023 η Ευρωπαϊκή Επιτροπή εξέδωσε νέα απόφαση επάρκειας για ασφαλείς και έμπιστες ροές δεδομένων μεταξύ ΕΕ και ΗΠΑ (διάδοχος της «ασπίδας προστασίας της ιδιωτικής ζωής»). Η νέα συμφωνία ονομάζεται «Διατλαντικό πλαίσιο για την προστασία της ιδιωτικότητας των δεδομένων» (Trans-Atlantic Data Privacy Framework - TADPF) και μπορεί πλέον να χρησιμεύσει ως βάση για τη διαβίβαση δεδομένων σε πιστοποιημένους οργανισμούς στις ΗΠΑ.

Πηγή: https://www.bfdi.bund.de/SharedDocs/Kurzmeldungen/DE/2023/17_Angemessenheitsbeschluss-EU-US-DPF.html

Τι σημαίνει αυτό; 

Η Επιτροπή της ΕΕ διαπίστωσε στο Διατλαντικό πλαίσιο για την προστασία της ιδιωτικότητας των δεδομένων ότι υπάρχει επαρκές επίπεδο προστασίας δεδομένων και για τις αμερικανικές εταιρείες που υποβάλλονται σε ορισμένη διαδικασία (αυτο)πιστοποίησης. 

https://www.privacyshield.gov/welcome

Είμαστε πλέον ασφαλείς; 

Όχι. Αν και η αποκλειστική αυτοπιστοποίηση των αμερικανικών εταιρειών διευκολύνει τη χρήση των υπηρεσιών από άποψη προστασίας δεδομένων, δεν απαλλάσσει τις ευρωπαϊκές εταιρείες από τις γενικές υποχρεώσεις που απορρέουν από τη νομοθεσία περί προστασίας δεδομένων. Επιπλέον, οι αντίστοιχες πράξεις επεξεργασίας πρέπει να τεκμηριώνονται και, εάν είναι απαραίτητο, πρέπει να εφαρμόζονται ειδικά μέτρα προστασίας δεδομένων.  

Και τώρα τι;

Από την άποψη της προστασίας των δεδομένων, ο κίνδυνος από τη χρήση υπηρεσιών που εδρεύουν στις ΗΠΑ έχει αρχικά μειωθεί με τη νέα συμφωνία. Ωστόσο, υπάρχουν ήδη νέες ανησυχίες ότι ούτε η νέα απόφαση περί επάρκειας θα αντέξει σε νομικό έλεγχο. Οι υποστηρικτές της προστασίας των δεδομένων προσωπικού χαρακτήρα εξακολουθούν να θεωρούν τα μέτρα ανεπαρκή και η οργάνωση NOYB επεξεργάζεται ήδη αγωγή κατά της νέας συμφωνίας (https://noyb.eu/de/european-commission-gives-eu-us-data-transfers-third-round-cjeu).

Είναι πολύ πιθανό το Δικαστήριο της Ευρωπαϊκής Ένωσης να κηρύξει και πάλι άκυρο το Διατλαντικό πλαίσιο για την προστασία της ιδιωτικότητας των δεδομένων μέσα στα επόμενα 3-5 χρόνια.