Διαβίβαση προσωπικών δεδομένων στο περιβάλλον του υπολογιστικού νέφους

Abstract

Αντικείμενο της παρούσας μελέτης αποτελούν τα θέματα της προστασίας των προσωπικών δεδομένων που ανακύπτουν κατά τη διασυνοριακή διαβίβασή τους στο περιβάλλον του υπολογιστικού νέφους. Αρχικά, στο πρώτο κεφάλαιο της παρούσας μελέτης περιγράφεται η αρχιτεκτονική του υπολογιστικού νέφους, δηλαδή τα χαρακτηριστικά του, οι τεχνικές εκδοχές, τα μοντέλα ανάπτυξης, το Ευρωπαϊκό κανονιστικό πλαίσιο ρύθμισής του, καθώς και τα πλεονεκτήματα και μειονεκτήματά του. Γίνεται σύντομη αναφορά επίσης στην ηθική δεοντολογία που πρέπει να διέπει τους παρόχους των υπηρεσιών υπολογιστικού νέφους και τους χρήστες αυτού. Στη συνέχεια, στο δεύτερο κεφάλαιο αναλύεται το νομικό πλαίσιο των διαβιβάσεων προσωπικών δεδομένων, σύμφωνα με τον Γενικό Κανονισμό Προστασίας Προσωπικών Δεδομένων 2016/679. Στη συνέχεια, γίνεται αναφορά στο καθεστώς διαβιβάσεων προς το Ηνωμένο Βασίλειο αλλά και προς τις ΗΠΑ. Η ενότητα αυτή καταλήγει με την ανάλυση της από 16.7.2020 απόφασης του Δικαστηρίου της Ευρωπαϊκής Ένωσης ‘Schrems II’, η οποία αποτελεί θεμέλιο λίθο για τον καθορισμό του πλαισίου των διαβιβάσεων, όταν ο πάροχος των υπηρεσιών «νέφους» είναι εγκατεστημένος εκτός της Ευρωπαϊκής Ένωσης. Περαιτέρω, στο τρίτο κεφάλαιο εντοπίζονται τα νομικά ζητήματα που ανακύπτουν κατά τη διαβίβαση προσωπικών δεδομένων στο περιβάλλον του υπολογιστικού νέφους, αφού πρώτα εξειδικεύσουμε πότε η διακίνηση δεδομένων αποτελεί «διαβίβαση». Μελετώνται τα θέματα του εδαφικού πεδίου εφαρμογής του ως άνω κανονισμού, τα τεχνικά και οργανωτικά μέτρα που πρέπει να λαμβάνει ο πάροχος των υπηρεσιών αυτών κατά τη διαβίβαση, αλλά και η νόμιμη βάση επεξεργασίας των δεδομένων εντός του «νέφους». Στο τέταρτο κεφάλαιο αναλύονται τα λοιπά νομικά θέματα που ανακύπτουν κατά τη χρήση των υπηρεσιών του υπολογιστικού νέφους, όπως κατά την επεξεργασία των προσωπικών δεδομένων, ή κατά τον προσδιορισμό του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία των δεδομένων. Άλλα τέτοια θέματα αποτελούν οι ουσιαστικές νομικές υποχρεώσεις του παρόχου των υπηρεσιών αυτών, η ανάκτηση του «απολεσθέντος» ελέγχου των δεδομένων αλλά και η υποχρέωση λογοδοσίας κατά τη διαβίβαση δεδομένων. Καταλήγοντας, εξάγονται συμπεράσματα σχετικά με την εξωεδαφική εφαρμογή του ΓΚΠΔ καθώς και με το εάν η διαβίβαση προσωπικών δεδομένων στο περιβάλλον του υπολογιστικού νέφους διέπεται από τους κανόνες του Γενικού Κανονισμού Προστασίας Δεδομένων, ακόμη και αν ο πάροχος είναι εγκατεστημένος εκτός της Ευρωπαϊκής Ένωσης.