Σήμερα, η Ευρωπαϊκή Επιτροπή δημοσίευσε νέες κατευθυντήριες γραμμές σχετικά με την αλληλεπίδραση μεταξύ της ελεύθερης ροής δεδομένων μη προσωπικού χαρακτήρα και των κανόνων της ΕΕ για την προστασία των δεδομένων.
Στο πλαίσιο της στρατηγικής για την ψηφιακή ενιαία αγορά, ο νέος κανονισμός για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα, ο οποίος άρχισε να εφαρμόζεται στα κράτη μέλη, θα επιτρέψει την αποθήκευση και επεξεργασία δεδομένων σε ολόκληρη την ΕΕ χωρίς αδικαιολόγητους περιορισμούς. Οι σημερινές κατευθυντήριες γραμμές έχουν ως στόχο να βοηθήσουν τους χρήστες, ιδίως τις μικρομεσαίες επιχειρήσεις, να κατανοήσουν την αλληλεπίδραση μεταξύ των νέων αυτών κανόνων και του γενικού κανονισμού για την προστασία δεδομένων (ΓΚΠΔ), ιδίως όταν τα σύνολα δεδομένων αποτελούνται από δεδομένα τόσο προσωπικού όσο και μη προσωπικού χαρακτήρα.
Ποιος είναι ο σκοπός των κατευθυντήριων γραμμών;
Οι κατευθυντήριες γραμμές πληρούν την υποχρέωση που προβλέπει ο κανονισμός για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα, ο οποίος επιβάλλει στην Επιτροπή να δημοσιεύσει κατευθυντήριες γραμμές σχετικά με την αλληλεπίδραση μεταξύ του εν λόγω κανονισμού και του γενικού κανονισμού για την προστασία δεδομένων, (ΓΚΠΔ), ιδίως όσον αφορά τα σύνολα δεδομένων που αποτελούνται από δεδομένα τόσο προσωπικού όσο και μη προσωπικού χαρακτήρα. Στόχος τους είναι να βοηθήσουν τους χρήστες, ιδίως τις μικρομεσαίες επιχειρήσεις, να κατανοήσουν την αλληλεπίδραση μεταξύ των δύο κανονισμών.
Σύμφωνα με τα υφιστάμενα έγγραφα του ΓΚΠΔ, τα οποία εκπονήθηκαν από το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων, σκοπός των εν λόγω κατευθυντήριων γραμμών είναι να διευκρινιστεί ποιοι κανόνες εφαρμόζονται κατά την επεξεργασία δεδομένων προσωπικού και μη προσωπικού χαρακτήρα. Παρέχουν χρήσιμη επισκόπηση των κεντρικών εννοιών της ελεύθερης ροής δεδομένων προσωπικού και μη προσωπικού χαρακτήρα εντός της ΕΕ, ενώ αποσαφηνίζουν τη σχέση μεταξύ των δύο κανονισμών στην πράξη και με συγκεκριμένα παραδείγματα.
Ποιοι θα επωφεληθούν από τις κατευθυντήριες γραμμές;
Οι κατευθυντήριες γραμμές είναι ιδιαίτερα σημαντικές για τις ιδιωτικές επιχειρήσεις, ιδίως τις μικρομεσαίες, τις οργανώσεις και άλλες οντότητες, οι οποίες επεξεργάζονται δεδομένα στο πλαίσιο των επαγγελματικών τους δραστηριοτήτων. Καλύπτουν την παραγωγή, τη συλλογή, την αποθήκευση, τη διαβίβαση ή άλλες πράξεις επεξεργασίας δεδομένων, τόσο προσωπικού όσο και μη προσωπικού χαρακτήρα. Ακόμη και επιχειρήσεις που επεξεργάζονται μόνο δεδομένα μη προσωπικού χαρακτήρα μπορεί να βρουν χρήσιμες τις κατευθυντήριες γραμμές δεδομένου ότι το έγγραφο των κατευθυντήριων γραμμών αναφέρεται σε καταστάσεις στις οποίες τα δεδομένα ενδέχεται να υπόκεινται σε απαιτήσεις τοπικοποίησης ή, υπό ορισμένες προϋποθέσεις, σε κανόνες προστασίας δεδομένων.
Οι κατευθυντήριες γραμμές διασφαλίζουν επίσης ότι τηρούνται πάντοτε τα δικαιώματα των πολιτών όσον αφορά την προστασία των δεδομένων τους προσωπικού χαρακτήρα, ακόμη και όταν τα δεδομένα τους έχουν αναμειχθεί με άλλα είδη δεδομένων, καθώς και ότι τα δεδομένα τους έχουν ανωνυμοποιηθεί δεόντως.
Επιπλέον, οι κατευθυντήριες γραμμές έχουν επίσης ενημερωτική αξία για τις δημόσιες αρχές, οι οποίες επεξεργάζονται τακτικά δεδομένα και συμμετέχουν άμεσα στη εκπόνηση νομοθετικών και διοικητικών κανόνων σχετικά με την επεξεργασία δεδομένων.
Ποια θέματα καλύπτουν οι κατευθυντήριες γραμμές;
Εκτός από την προβολή του πεδίου εφαρμογής του κανονισμού για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα και του ΓΚΠΔ, οι κατευθυντήριες γραμμές προσδιορίζουν την αλληλεπίδραση μεταξύ των δύο αυτών συνόλων κανόνων της ΕΕ. Αποσαφηνίζουν την αλληλεπίδραση μεταξύ των δύο κανονισμών όσον αφορά την ελεύθερη ροή των δεδομένων. Επιπλέον, παρουσιάζουν τις έννοιες των δεδομένων μη προσωπικού και προσωπικού χαρακτήρα και διευκρινίζουν ποιοι κανόνες πρέπει να τηρούνται κατά την επεξεργασία μεικτών συνόλων δεδομένων, δηλαδή συνόλων δεδομένων που αποτελούνται από δεδομένα τόσο προσωπικού όσο και μη προσωπικού χαρακτήρα. Το έγγραφο εξηγεί επίσης την έννοια της φορητότητας των δεδομένων και τον τρόπο με τον οποίο γίνεται σύγκριση μεταξύ του ΓΚΠΔ και του κανονισμού για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα. Παρέχει επισκόπηση στις επιχειρήσεις σχετικά με τους κώδικες δεοντολογίας για τη μεταφορά δεδομένων και την αλλαγή παρόχου υπηρεσιών επεξεργασίας δεδομένων, και περιγράφει τον ρόλο του έργου αυτορρύθμισης, όπως οι κώδικες δεοντολογίας και οι μηχανισμοί πιστοποίησης για την απόδειξη της συμμόρφωσης με τους κανόνες προστασίας των δεδομένων. Προκειμένου να διαμορφωθεί μια εικόνα του τρόπου με τον οποίο οι δύο κανονισμοί συμβάλλουν στην ελεύθερη κυκλοφορία των δεδομένων εντός της ΕΕ, οι κατευθυντήριες γραμμές εξηγούν τις έννοιες των απαιτήσεων τοπικοποίησης δεδομένων βάσει του κανονισμού για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα, καθώς και της αρχής της ελεύθερης κυκλοφορίας δυνάμει του ΓΚΠΔ.
Τι είναι τα δεδομένα μη προσωπικού χαρακτήρα;
Τα δεδομένα μη προσωπικού χαρακτήρα είναι διακριτά από τα δεδομένα προσωπικού χαρακτήρα, όπως ορίζεται στον κανονισμό ΓΚΠΔ. Τα δεδομένα μη προσωπικού χαρακτήρα μπορούν να κατηγοριοποιηθούν βάσει της προέλευσής τους ως εξής:
- δεδομένα τα οποία εξαρχής δεν αφορούσαν ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο, όπως δεδομένα σχετικά με τις καιρικές συνθήκες τα οποία παράγονται από αισθητήρες εγκατεστημένους σε ανεμογεννήτριες ή δεδομένα σχετικά με τις ανάγκες συντήρησης βιομηχανικών μηχανημάτων, ή
- δεδομένα τα οποία αρχικά ήταν δεδομένα προσωπικού χαρακτήρα, αλλά αργότερα ανωνυμοποιήθηκαν.
Ενώ οι κατευθυντήριες γραμμές αναφέρονται σε περισσότερα παραδείγματα δεδομένων μη προσωπικού χαρακτήρα, διασαφηνίζουν επίσης την έννοια των δεδομένων προσωπικού χαρακτήρα, ανωνυμοποιημένων και ψευδωνυμοποιημένων, ώστε να γίνουν καλύτερα κατανοητά, ενώ περιγράφουν επίσης τους περιορισμούς μεταξύ των δεδομένων προσωπικού και μη προσωπικού χαρακτήρα.
Τι είναι τα μεικτά σύνολα δεδομένων;
Στις περισσότερες πραγματικές καταστάσεις ένα σύνολο δεδομένων είναι πολύ πιθανό να αποτελείται από δεδομένα τόσο προσωπικού όσο και μη προσωπικού χαρακτήρα. Το σύνολο αυτό συχνά αποκαλείται «μεικτό σύνολο δεδομένων». Τα μεικτά σύνολα δεδομένων αντιπροσωπεύουν την πλειονότητα των συνόλων δεδομένων που χρησιμοποιούνται στην οικονομία των δεδομένων και συγκεντρώνονται συνήθως με αξιοποίηση των τεχνολογικών εξελίξεων όπως το διαδίκτυο των πραγμάτων (δηλαδή ψηφιακά συνδεδεμένα αντικείμενα), η τεχνητή νοημοσύνη και οι τεχνολογίες που καθιστούν δυνατή την ανάλυση μαζικών δεδομένων.
Στα παραδείγματα των μεικτών συνόλων δεδομένων συγκαταλέγονται τα φορολογικά στοιχεία μιας επιχείρησης, τα οποία περιλαμβάνουν το όνομα και τον αριθμό τηλεφώνου του διευθύνοντος συμβούλου της επιχείρησης. Ενδέχεται επίσης να περιλαμβάνουν τις γνώσεις μιας επιχείρησης όσον αφορά προβλήματα ΤΠ και λύσεις που βασίζονται σε επιμέρους εκθέσεις συμβάντων, ή τα ανωνυμοποιημένα στατιστικά δεδομένα ενός ερευνητικού ιδρύματος και τα μη επεξεργασμένα δεδομένα που συλλέχθηκαν αρχικά, όπως οι απαντήσεις των μεμονωμένων συμμετεχόντων σε ερωτήσεις στατιστικής έρευνας.
Τα δεδομένα προσωπικού και μη προσωπικού χαρακτήρα πρέπει να υποβάλλονται σε χωριστή επεξεργασία;
Όχι, ούτε ο κανονισμός για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα ούτε ο ΓΚΠΔ επιβάλλουν την υποχρέωση διαχωρισμού των μεικτών συνόλων δεδομένων ή χωριστής επεξεργασίας των δεδομένων προσωπικού και μη προσωπικού χαρακτήρα. Στις περισσότερες περιπτώσεις, αυτό θα ήταν δύσκολο και μη πρακτικό, αν όχι αδύνατο. Ως εκ τούτου, οι κατευθυντήριες γραμμές αποσαφηνίζουν τους εφαρμοστέους κανόνες σύμφωνα με τον κανονισμό για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα (άρθρο 2 παράγραφος 2), ενώ στην περίπτωση των μεικτών συνόλων δεδομένων:
- ο εν λόγω κανονισμός εφαρμόζεται στο μέρος του συνόλου δεδομένων που αφορά τα δεδομένα μη προσωπικού χαρακτήρα·
- η διάταξη του ΓΚΠΔ σχετικά με την ελεύθερη ροή εφαρμόζεται στο μέρος του συνόλου δεδομένων που αφορά τα δεδομένα προσωπικού χαρακτήρα·
εάν το μέρος του συνόλου δεδομένων που αφορά τα δεδομένα μη προσωπικού χαρακτήρα και το μέρος που αφορά τα δεδομένα προσωπικού χαρακτήρα είναι «άρρηκτα συνδεδεμένα», τα δικαιώματα και οι υποχρεώσεις προστασίας των δεδομένων που απορρέουν από τον ΓΚΠΔ εφαρμόζονται πλήρως σε ολόκληρο το μεικτό σύνολο δεδομένων, ακόμη και σε περιπτώσεις που τα δεδομένα προσωπικού χαρακτήρα αντιπροσωπεύουν μικρό μόνο μέρος του συνόλου δεδομένων.
Οι κατευθυντήριες γραμμές αποσαφηνίζουν επίσης ότι την έννοια της φράσης «άρρηκτα συνδεδεμένα» και παρέχουν πρακτικά παραδείγματα σχετικά με την εφαρμογή των ανωτέρω κανόνων.
Υπάρχει σύγκρουση μεταξύ των δύο κανονισμών;
Δεν υπάρχουν αντιφατικές υποχρεώσεις δυνάμει του ΓΚΠΔ και του κανονισμού για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα. Ενώ ο ΓΚΠΔ διασφαλίζει υψηλό επίπεδο κανόνων προστασίας των δεδομένων και προβλέπει την ελεύθερη ροή των δεδομένων προσωπικού χαρακτήρα, ο κανονισμός για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα προβλέπει την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα. Αμφότεροι οι κανονισμοί καθιστούν δυνατή την ελεύθερη κυκλοφορία όλων των δεδομένων εντός της ΕΕ.
Επιπλέον, ο κανονισμός για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα δεν περιλαμβάνει υποχρεώσεις για τις επιχειρήσεις ενώ οι πρακτικές λεπτομέρειες της επεξεργασίας δεδομένων μη προσωπικού χαρακτήρα είναι θέμα επιλογής για την εκάστοτε επιχείρηση. Ο κανονισμός για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα δεν περιορίζει τη συμβατική ελευθερία των επιχειρήσεων καθώς τους επιτρέπει να επιλέγουν τον τόπο επεξεργασίας των δεδομένων τους.
Γιατί οι κατευθυντήριες γραμμές καλύπτουν και τις εργασίες αυτορρύθμισης;
Στόχος του κανονισμού για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα είναι να επιτρέψει την ελεύθερη ροή δεδομένων μη προσωπικού χαρακτήρα εντός της ΕΕ. Διάφορες ομάδες ενδιαφερόμενων μερών καταρτίζουν κώδικες δεοντολογίας για τη μεταφορά δεδομένων και την αλλαγή παρόχου υπηρεσιών στις επιχειρηματικές σχέσεις, καθώς και κώδικες δεοντολογίας για την προστασία των δεδομένων στο πλαίσιο του ΓΚΠΔ. Εκτελούνται επίσης εργασίες για την πιστοποίηση της ασφάλειας στον κυβερνοχώρο των υπηρεσιών υπολογιστικού νέφους. Ως εκ τούτου, η αυτορρύθμιση θα επιτρέψει στους παράγοντες της αγοράς να γίνουν πιο καινοτόμοι και να οικοδομήσουν την εμπιστοσύνη στους τομείς τους, ενώ θα καταστούν ενδεχομένως πιο δεκτικοί στις αλλαγές στην αγορά.