Τον Ιανουάριο του 2018 όλοι, οι ασχολούμενοι με τα ζητήματα των προσωπικών δεδομένων και της τεχνολογίας, θεωρούσαμε ότι η χρονιά αυτή θα αποτελούσε ένα ορόσημο στην νομοθεσία και πρακτική της επεξεργασίας των δεδομένων.
Πράγματι, η έναρξη ισχύος του Γενικού Κανονισμού 679/2016 (GDPR) αναμενόταν με την ίδια προσοχή και δέος όπως, περίπου, αναμενόταν η έλευση της νέας χιλιετίας στα ηλεκτρονικά συστήματα τραπεζών, μεγάλων οργανισμών και κυβερνητικών υπηρεσιών. Το σημείο καμπής που θα έθετε σε δοκιμασία τις πολιτικές διαχείρισης δεδομένων, τα τεχνικά και οργανωτικά μέτρα προστασίας τους και τις αναλύσεις για τον αντίκτυπο μίας παραβίασης. Και πράγματι, η χρονιά αυτή έφερε μία σημαντική τομή στον τρόπο που χιλιάδες οργανισμοί και εκατομμύρια άνθρωποι, κυρίως σε Ευρώπη και ΗΠΑ, αντιμετωπίζουν τα δεδομένα που παράγονται σε απίστευτες ποσότητες και ποικιλία και την διαχείριση τους στον φυσικό και ψηφιακό κόσμο.
Όμως, έμελλε το 2020 να έρθει και να προκαλέσει μία εκ νέου αναμέτρηση του δικαιώματος στην προστασία των προσωπικών δεδομένων και της ιδιωτικότητας με ατομικά ή συλλογικά δικαιώματα μέσα από το πρίσμα μίας κινηματογραφικής πανδημίας, που κυριολεκτικά εγκλώβισε όλη την υφήλιο σε μία δίνη περιορισμού των θεμελιωδών δικαιωμάτων, μεταξύ των οποίων και η ιδιωτική σφαίρα.
Το δικαίωμα στην προστασία των προσωπικών δεδομένων δεν είναι ένα απόλυτο δικαίωμα αλλά πρέπει να εκτιμάται σε σχέση με τη λειτουργία του στην κοινωνία και να σταθμίζεται με άλλα θεμελιώδη δικαιώματα
Κι αυτό που είδαμε κυρίως το 2020 ήταν ένας αναπόφευκτος περιορισμός κάποιων ατομικών δικαιωμάτων με κύριο άξονα την προστασία του δικαιώματος που κινδύνεψε περισσότερο, του δικαιώματος στην ζωή. Αυτό οδήγησε στην συνειδητοποίηση, με έναν αρκετά απότομο και ισχυρό τρόπο, στο ότι το δικαίωμα στην προστασία των προσωπικών δεδομένων δεν είναι ένα απόλυτο δικαίωμα αλλά πρέπει να εκτιμάται σε σχέση με τη λειτουργία του στην κοινωνία και να σταθμίζεται με άλλα θεμελιώδη δικαιώματα, σύμφωνα με την αρχή της αναλογικότητας. Η αρχή, λοιπόν, ότι καμία επεξεργασία δεδομένων δεν μπορεί να κριθεί ως μη επιτρεπτή, αν δεν κριθεί υπό το πρίσμα της αρχής της αναλογικότητας, δείχνει και το εύρος της αρχής της λογοδοσίας που διέπει την επεξεργασία των δεδομένων που επιλέγει ο υπεύθυνος επεξεργασίας για την επίτευξη των επιδιωκόμενων σκοπών χωρίς να μπορεί εκ προοιμίου να αποκλειστεί ως απαγορευμένη οποιαδήποτε πράξη επεξεργασίας.
O GDPR φάνηκε να αποτελεί ένα ευέλικτο θεσμικό εργαλείο που μπορεί να επιτρέψει μια αποτελεσματική αντίδραση για την υποστήριξη της καταπολέμησης της πανδημίας
Επίσης σε αυτό το βεβιασμένο τεστ αντοχής, είδαμε ότι το υπάρχον θεσμικό πλαίσιο για την προστασία των δεδομένων λαμβάνει ήδη υπόψη τις διαδικασίες επεξεργασίας που είναι απαραίτητες για να συμβάλουν στην καταπολέμηση μιας επιδημίας, επομένως δεν υπάρχει λόγος να αρθούν οι διατάξεις του GDPR, αλλά, αντιθέτως, να τηρηθούν, έστω και στα άκρα όρια του, αφού φάνηκε να αποτελεί ένα ευέλικτο θεσμικό εργαλείο που μπορεί να επιτρέψει μια αποτελεσματική αντίδραση για την υποστήριξη της καταπολέμησης της πανδημίας, ενώ ταυτόχρονα να προστατεύει τα θεμελιώδη ανθρώπινα δικαιώματα και ελευθερίες. Ακόμα και στις πολύ δύσκολες κατηγορίες επεξεργασίας, όπως στα ευαίσθητα δεδομένα υγείας και τα δεδομένα στο περιβάλλον εργασίας, φάνηκε ότι ο Γενικός Κανονισμός παρέχει αρκετά εργαλεία για την ορθή αντιμετώπιση των ζητημάτων που αφορούν την χρήση, αλλά και την προστασία των προσωπικών δεδομένων.
Το αμέσως επόμενο κρίσιμο γεγονός του 2020 ήταν η απόφαση Schrems ΙΙ, μία απόφαση που περιμέναμε αλλά παράλληλα γνωρίζαμε ότι τυχόν θετική έκβαση για τον κ. Schrems θα σήμαινε πολλά και, εν πολλοίς, ανυπέρβλητα εμπόδια για μεγάλες κατηγορίες επεξεργασίας δεδομένων, ιδίως στον ψηφιακό κόσμο. Και, πράγματι, κατέρρευσε ο δεύτερος μηχανισμός διασφάλισης επαρκούς επιπέδου προστασίας και σεβασμού των προσωπικών δεδομένων των ευρωπαίων πολιτών κατά την επεξεργασία τους από εταιρείες στις ΗΠΑ, που είχε εκπονηθεί και ψηφιστεί από την Ευρωπαϊκή Επιτροπή, γνωστού και ως Privacy Shield (Ασπίδα Προστασίας).
Η ανυπαρξία του μηχανισμού αυτού για την διαβίβαση δεδομένων εκτός από αμηχανία και στις δύο πλευρές του Ατλαντικού (sic) έφερε και σε μεγάλη δυσκολία πολλούς οργανισμούς που στηρίζονταν σε αυτόν για τη διασυνοριακή ροή προσωπικών δεδομένων προς τις ΗΠΑ. Μόνο τις διαδικτυακές υπηρεσίες και τα analytics να λάβουμε υπόψη, κατανοούμε πώς πολλοί οργανισμοί βρέθηκαν σε δύσκολη θέση από την διαβίβασή τους σε υποδομές στις ΗΠΑ, κάτι που έσπευσε να επισημάνει και η ακτιβιστική οργάνωση Noyb του κ. Schrems.
Πλέον, για να είναι εφικτή μία τέτοια διαβίβαση αφού το δίκαιο της χώρας, στην οποία διαβιβάζονται τα δεδομένα, πρέπει να ληφθεί υπόψη πριν την διαβίβαση, αλλά στην συγκεκριμένη περίπτωση δεν κρίνεται επαρκές, κάθε οργανισμός που επιθυμεί να εξάγει δεδομένα θα πρέπει να αναζητεί τη λύση σε έναν από τους λοιπούς μηχανισμούς που προβλέπει η νομοθεσία. Τα βήματα που πρέπει να ακολουθήσει κάθε υπεύθυνος επεξεργασίας, σύμφωνα με τον EDPB, είναι καταρχήν δυο: πλήρης χαρτογράφηση των δεδομένων (data mapping) και επιλογή του κατάλληλου μηχανισμού διαβίβασης από αυτά που προβλέπονται στο 5ο κεφάλαιο του Γενικού Κανονισμού. Στην πράξη, όλη αυτή η διεργασία σημαίνει είτε τυποποιημένες συμβάσεις (SCC), είτε ad hoc συμβατικές ρήτρες, είτε δεσμευτικούς εταιρικούς κανόνες (BCRs), είτε συγκατάθεση είτε κάποια άλλη παρέκκλιση του άρθρου 49 του Κανονισμού (που είναι δύσκολο να εφαρμοστεί στην πράξη, αφού η συγκατάθεση δεν είναι ασφαλής νόμιμη βάση).
Το EDPB προειδοποιεί τους οργανισμούς που διαβιβάζουν δεδομένα να μην βασίζονται σε «υποκειμενικούς παράγοντες, όπως η πιθανότητα πρόσβασης των δημοσίων αρχών στα δεδομένα με τρόπο που δεν είναι σύμφωνος με τα πρότυπα της ΕΕ», αλλά να εξετάζουν τους νόμους που διέπουν την πρόσβαση και το επίπεδο προστασίας, δίνοντας έτσι ισοδύναμο βάρος τόσο στο ποιος έχει πρόσβαση στα δεδομένα όσο και με ποιες διαδικασίες. Επιπρόσθετα, σχεδόν επιβάλλει την λήψη συμπληρωματικών μέτρων για τα δεδομένα που διαβιβάζονται, όπως η κρυπτογράφηση, υποδηλώνοντας μια σχεδόν καθολική ανάγκη για πρόσθετες διασφαλίσεις.
Κάπως συναφές είναι και το τρίτο γεγονός που επηρεάζει πολλές διαδικασίες επεξεργασίας δεδομένων, και ιδίως στον τομέα των τραπεζικών και οικονομικών συναλλαγών, και είναι το Brexit. Από την 01ηΙανουαρίου 2021 το Ηνωμένο Βασίλειο δεν αποτελεί μέλος της ΕΕ, οπότε αυτόματα κάθε διαβίβαση δεδομένων προς αυτό αποτελεί διασυνοριακή διαβίβαση, η οποία θα πρέπει να διέπεται από τις αρχές που διέπει κάθε διαβίβαση εκτός ΕΕ.
Και αφού μέσα στο γενικότερο πλαίσιο της ανυπαρξίας μίας έγκαιρης συνολικής συμφωνίας εξόδου δεν υπήρξε χρόνος για έλεγχο της επάρκειας του επιπέδου προστασίας των δεδομένων των πολιτών της ΕΕ, δόθηκε καταρχήν μία λύση ανάγκης έως το τέλος του Ιουνίου 2021 ώστε να γίνουν οι απαραίτητοι έλεγχοι. Αυτό βέβαια δεν σημαίνει ότι οι οργανισμοί που διακινούν δεδομένα προς το Ηνωμένο Βασίλειο δεν χρειάζεται να κάνουν απολύτως τίποτε. Θα πρέπει να επικαιροποιήσουν την ενημέρωση για διασυνοριακές διαβιβάσεις και να είναι σίγουροι ότι οι εκτιμήσεις αντικτύπου θα περιλάβουν τους κινδύνους από μία τέτοια διαβίβαση. Όλοι, βέβαια, αποβλέπουν στην απόφαση επάρκειας διότι διαφορετικά θα καταστούν πολλές διαδικασίες επεξεργασίας παράνομες.