Στις 23.11.2018 το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων εξέδωσε τις κατευθυντήριες γραμμές του (3/2018) σχετικά με το εδαφικό πεδίο εφαρμογής του GDPR, οι οποίες διευκρινίζουν ζητήματα σχετικά με επεξεργασίες δεδομένων από υπεύθυνους (controllers) και εκτελούντες (processors)αυτές, εντός και εκτός της Ε.Ε.

Εγκατάσταση στην Ε.Ε.

Η έννοια της εγκατάστασης στην Ε.Ε. ερμηνεύεται ευρέως, καθώς ο Κανονισμός μπορεί να τύχει εφαρμογής ακόμα και σε οντότητες με έναν εργαζόμενο στην Ε.Ε. Εκτελούντες επεξεργασία με εγκατάσταση στην Ε.Ε. υπόκεινται στις διατάξεις του Κανονισμού, ακόμα και αν ο υπεύθυνος επεξεργασίας για λογαριασμό του οποίου αυτή εκτελείται εδρεύει εκτός Ε.Ε. Πρακτικά, αυτό σημαίνει ότι πχ μια οντότητα με εγκατάσταση στην Ε.Ε. που εκτελεί επεξεργασία δεδομένων κατοίκων των ΗΠΑ για λογαριασμό μιας οντότητας-υπευθύνου που εδρεύει στις ΗΠΑ θα υπόκειται στις προβλέψεις του Κανονισμού.

Παρακολούθηση της συμπεριφοράς υποκειμένων στην Ε.Ε.

Υπεύθυνοι και εκτελούντες που παρακολουθούν συμπεριφορά υποκειμένων η οποία λαμβάνει χώρα στην Ε.Ε. υπόκεινται στις διατάξεις του Κανονισμού, ασχέτως αν έχουν εγκατάσταση στην Ε.Ε. Για να προσδιοριστεί αν η παρακολούθηση της συμπεριφοράς λαμβάνει χώρα στην Ε.Ε οι κατευθυντήριες προσεγγίζουν το θέμα σε δύο επίπεδα:

1. Τα υπό επεξεργασία δεδομένα αφορούν σε υποκείμενα εντός της Ε.Ε;
2. Τα υπό επεξεργασία δεδομένα αφορούν στην προσφορά αγαθών και υπηρεσιών σε υποκείμενα εντός της Ε.Ε. ή την παρακολούθηση υποκειμένων εντός της Ε.Ε;

Ποια υποκείμενα βρίσκονται εντός της Ε.Ε;

Υποκείμενα που βρίσκονται στην Ε.Ε. σημαίνει κάθε φυσικό πρόσωπο εντός της Ε.Ε. του οποίου τα προσωπικά δεδομένα υφίστανται επεξεργασία, ανεξαρτήτως της ιθαγένειας ή της νομικής τους κατάστασης. Πολίτες της Ε.Ε. και μη, αντιμετωπίζονται με όμοιο τρόπο. Ακόμα και ένας Αμερικάνος τουρίστας που χρησιμοποιεί μια εφαρμογή στην Ε.Ε. αποτελεί υποκείμενο υπό την έννοια του Κανονισμού.

Οι κατευθυντήριες διευκρινίζουν ότι η επεξεργασία δεδομένων ευρωπαίων πολιτών η οποία λαμβάνει χώρα εκτός της Ε.Ε. δεν υπόκειται στον Κανονισμό εφόσον δεν αφορά σε προσφορά απευθυνόμενη σε ευρισκόμενους στην Ε.Ε. ή στην παρακολούθηση της συμπεριφοράς τους εντός της Ε.Ε. Για παράδειγμα, μια Αμερικάνικη εταιρεία με υπαλλήλους στις ΗΠΑ οι οποίοι έχουν ευρωπαϊκή ιθαγένεια δεν εμπίπτει στο πεδίο εφαρμογής του Κανονισμού, απλά και μόνο επειδή απασχολεί ευρωπαίους πολίτες. Αντίθετα, μια Αμερικάνικη εταιρεία που απασχολεί Αμερικανούς πολίτες στην Ε.Ε. εμπίπτει στο πεδίο εφαρμογής του Κανονισμού.

Τι σημαίνει προσφορά αγαθών και υπηρεσιών;

Ο Κανονισμός αφορά σε οντότητες που «στοχεύουν» υποκείμενα που βρίσκονται εντός της Ε.Ε. με αγαθά ή υπηρεσίες. Αρκεί δε η πρόθεση προσφοράς αγαθών ή υπηρεσιών. Δεν απαιτείται δηλαδή η σύναψη εμπορικής ή οικονομικής συναλλαγής. Για παράδειγμα αν η ιστοσελίδα μιας εταιρείας είναι διαθέσιμη σε γλώσσες της ΕΕ ή επιτρέπει συναλλαγές σε ευρώ, τότε η εταιρεία θεωρείται ότι στοχεύει υποκείμενα δεδομένων στην Ε.Ε. ακόμα και αν δεν ολοκληρώσει ούτε μια πώληση στην Ε.Ε.

Οι κατευθυντήριες παραθέτουν επίσης μια λίστα με εννέα παράγοντες προκειμένου να καθορίζεται αν υφίσταται πρόθεση προσφοράς αγαθών ή υπηρεσιών η οποία περιλαμβάνει: τον ορισμό της Ε.Ε ή ενός τουλάχιστον κράτους-μέλους σε συσχέτιση με την παρεχόμενη υπηρεσία ή αγαθό, την υλοποίηση διαφημιστικών ενεργειών διαδικτυακά με στόχευση σε καταναλωτές εντός της Ε.Ε., τη διεθνή φύση της δραστηριότητας –όπως οι τουριστικές υπηρεσίες-, την αναφορά διευθύνσεων ή αριθμών τηλεφώνου που είναι προσβάσιμοι από χώρα της ΕΕ, τη χρήση ενός top level EU domain nameδιαφορετικού από αυτό που χρησιμοποιεί ο υπεύθυνος ή εκτελών στη χώρα εγκατάστασης του (πχ .eu ή .gr), την παροχή ταξιδιωτικών οδηγιών από ένα κράτος-μέλος της Ε.Ε. προς τον τόπο όπου παρέχεται η υπηρεσία ή το προϊόν, την αναφορά σε διεθνές πελατολόγιο αποτελούμενο από πελάτες που βρίσκονται στην ΕΕ, τη χρήση γλώσσας ή νομίσματος διαφορετικών από αυτά που χρησιμοποιούνται στη χώρα του παρόχου και ιδίως αν πρόκειται για γλώσσα ή νόμισμα ενός ή περισσοτέρων κρατών-μελών και τέλος την προσφορά αποστολής αγαθών σε κράτη-μέλη.

Τι σημαίνει παρακολούθηση συμπεριφοράς υποκειμένων που βρίσκονται στην ΕΕ;

Για το ΕΣΠΔ παρακολούθηση σημαίνει ότι ο υπεύθυνος επεξεργασίας έχει έναν συγκεκριμένο σκοπό για τη συλλογή και την επακόλουθη επαναχρησιμοποίηση των δεδομένων σχετικά με τη συμπεριφορά ενός ατόμου εντός της ΕΕ. Παραδείγματα αποτελούν η χρήση διαδικτυακών εργαλείων όπως τα cookies, εφαρμογές γεωεντοπισμού, συμπεριφορικής διαφήμισης αλλά και η παρακολούθηση μέσω κλειστών κυκλωμάτων (CCTV).

Εκπρόσωποι υπευθύνων ή εκτελούντων μη εγκατεστημένων στην ΕΕ.

Μετά από μια σύντομη αναφορά σχετικά με την εφαρμογή του Κανονισμού σε διπλωματικές αποστολές, οι κατευθυντήριες εστιάζουν στους εκπροσώπους των υπευθύνων ή εκτελούντων μη εγκατεστημένων στην ΕΕ. Εντός της ΕΕ πρέπει να διοριστεί εκπρόσωπος εάν ο υπεύθυνος επεξεργασίας ή ο εκτελών υπόκεινται στον Κανονισμό λόγω της προσφοράς αγαθών ή υπηρεσιών ή της παρακολούθησης των υποκειμένων των δεδομένων στην Ε.Ε. Ιδιαίτερα, οι κατευθυντήριες αναφέρουν ότι οι ευθύνες ενός εκπροσώπου στην ΕΕ είναι ασυμβίβαστες με τις αρμοδιότητες ενός εξωτερικού DPO και σύμφωνα με το ΕΣΠΔ μπορούν να επιβληθούν πρόστιμα και κυρώσεις κατά του εκπροσώπου στην ΕΕ.

Η άποψη μας

Όπως αναμενόταν, το ΕΣΠΔ διεύρυνε σε ακραία όρια το πεδίο εφαρμογής του Κανονισμού. Το διάστημα που έχει περάσει από την εφαρμογή του είναι πολύ μικρό για να εκτιμηθεί η επίπτωση του στην ευρωπαϊκή αγορά. Οι πρώτες έρευνες πάντως δείχνουν ότι τα «μεγαθήρια» έχουν ευνοηθεί από την εφαρμογή του, σε αντίθεση με τις μικρομεσαίες επιχειρήσεις που ασθμαίνουν να προσαρμοστούν. Στην εγχώρια έννομη τάξη, η ΑΠΔΠΧ κινείται μουδιασμένα και διστακτικά προς το παρόν, αρκούμενη σε συστάσεις έως ότου ψηφιστεί το πολυαναμενόμενο εγχώριο νομοθέτημα. Στάση η οποία έχει καθαρά πραγματιστική λογική.

*Οι κατευθυντήριες γραμμές είναι διαθέσιμες για δημόσια διαβούλευση έως τις 18 Ιανουαρίου 2019. Σχόλια μπορούν να γίνουν στο EDPB@edpb.europa.eu.

Νίκος Παπαντωνόπουλος
Δικηγόρος
Υπ. Δρ. Ποινικού Δικαίου
Certified Data Protection Officer