Γραφείο Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα

Γραφείο Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα


Διαβίβαση δεδομένων προς τρίτες χώρες

    A. Διαβιβάσεις βάσει απόφασης επάρκειας

    Η διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα ή διεθνή οργανισμό μπορεί να πραγματοποιηθεί εφόσον η Ευρωπαϊκή Επιτροπή έχει αποφασίσει ότι διασφαλίζεται επαρκές επίπεδο προστασίας από την τρίτη χώρα, από έδαφος ή από έναν ή περισσότερους συγκεκριμένους τομείς στην εν λόγω τρίτη χώρα ή από τον εν λόγω διεθνή οργανισμό. Για μια τέτοια διαβίβαση δεν απαιτείται ειδική άδεια.

    Για περισσότερες πληροφορίες αναφορικά με τις αποφάσεις επάρκειας μετά την εφαρμογή του ΓΚΠΔ επισκεφθείτε την σχετική ιστοσελίδα της Ευρωπαϊκής Επιτροπής.

    Τελευταία νέα

    Απόφαση της Ευρωπαϊκής Επιτροπής περί επάρκειας για την Ιαπωνία

    Η Επιτροπή εξέδωσε στις 23.01.2019 την απόφασή της περί επάρκειας για την Ιαπωνία, έτσι ώστε τα προσωπικά δεδομένα να μπορούν να ρέουν ελεύθερα μεταξύ των δύο οικονομιών βάσει ισχυρών εγγυήσεων προστασίας. Πρόκειται για το τελευταίο στάδιο της διαδικασίας που δρομολογήθηκε τον Σεπτέμβριο του 2018, η οποία περιλάμβανε τη γνώμη του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων (ΕΣΠΔ) και τη συμφωνία μιας επιτροπής αποτελούμενης από εκπροσώπους των κρατών μελών της ΕΕ. Η απόφαση αυτή, μαζί με την ισοδύναμή της που εγκρίθηκε σήμερα από την Ιαπωνία, θα αρχίσει να ισχύει από σήμερα. Περισσότερα

    Ολόκληρη η Απόφαση

    Η «Ασπίδα Προστασίας της Ιδιωτικής Ζωής ΕΕ–ΗΠΑ» - PRIVACY SHIELD

    Το PRIVACY SHIELD είναι ένας μηχανισμός αυτοπιστοποίησης για εταιρείες που εδρεύουν στις ΗΠΑ ο οποίος έχει αναγνωριστεί με Εκτελεστή Απόφαση της Ευρωπαϊκής Επιτροπής (ΕΕ) 2016/1250 ότι εξασφαλίζει ικανοποιητικό επίπεδο προστασίας των προσωπικών δεδομένων που διαβιβάζονται από οργανισμούς της Ε.Ε, σε οργανισμούς στις ΗΠΑ οι οποίοι έχουν αυτοπιστοποιηθεί ότι παρέχουν τις κατάλληλες νομικές εγγυήσεις για αυτές τις διαβιβάσεις δεδομένων και δεσμεύονται να τηρούν ένα σύνολο αρχών προστασίας της ιδιωτικής ζωής —τις αρχές του πλαισίου της ασπίδας προστασίας της ιδιωτικής ζωής ΕΕ–ΗΠΑ.

    Σε τι αποσκοπεί το Privacy Shield:
    • Αναγνωρίζει ότι η ασπίδα προστασίας της ιδιωτικής ζωής ΕΕ–ΗΠΑ, η οποία περιλαμβάνει τις αρχές προστασίας της ιδιωτικής ζωής που ισχύουν για τους πιστοποιημένους οργανισμούς (εταιρείες) των ΗΠΑ και συναφείς δεσμεύσεις εκ μέρους του Υπουργείο Εμπορίου των ΗΠΑ και διάφορων άλλων αρχών των ΗΠΑ, παρέχει επαρκές επίπεδο προστασίας των προσωπικών δεδομένων τα οποία διαβιβάζονται από την ΕΕ προς εκείνους τους οργανισμούς.
    • Αυτό σημαίνει ότι προσωπικά δεδομένα μπορούν να διαβιβάζονται ελεύθερα προς τους οργανισμούς στις ΗΠΑ που περιλαμβάνονται στον «κατάλογο της ασπίδας προστασίας της ιδιωτικής ζωής», ο οποίος τηρείται και δημοσιεύεται από το Υπουργείο Εμπορίου των ΗΠΑ.
    • Η ρύθμιση της ασπίδας προστασίας της ιδιωτικής ζωής εγγυάται το δικαίωμα σεβασμού της ιδιωτικής ζωής και το δικαίωμα προστασίας των προσωπικών δεδομένων κάθε ατόμου από την ΕΕ τα προσωπικά δεδομένα του οποίου διαβιβάζονται στα πλαίσια της ασπίδας προστασίας της ιδιωτικής ζωής.
    • Εγγυάται επίσης νομική ασφάλεια στις επιχειρήσεις που βασίζονται σε αυτήν τη ρύθμιση προκειμένου να διαβιβάσουν προσωπικά δεδομένα από την ΕΕ προς οργανισμούς στις ΗΠΑ που έχουν πιστοποιηθεί μέσω της ασπίδας προστασίας της ιδιωτικής ζωής.

    Οι εταιρείες που περιλαμβάνονται στον «κατάλογο της ασπίδας προστασίας της ιδιωτικής ζωής» είναι διαθέσιμες στην ιστοσελίδα του Privacy Shield Framework.

    Σχετικά θέματα


    B. Άλλες νομικές βάσεις για την διαβίβαση

      Όλες οι άδειες διαβίβασης που έχουν εκδοθεί από την Επίτροπο, έχουν ισχύ μέχρι τις 24 Μαΐου 2018, αφού στις 25 Μαΐου τέθηκε σε εφαρμογή ο Κανονισμός 2016/679. Οργανισμοί που έχουν εξασφαλίσει τέτοια άδεια, αλλά επιθυμούν να συνεχίσουν να διαβιβάζουν δεδομένα σε τρίτη χώρα, μετά τις 25 Μαΐου 2018, θα πρέπει να εξετάσουν τις πρόνοιες του Κανονισμού και να αναζητήσουν νομική βάση για τη διαβίβαση, σύμφωνα με τις πρόνοιες αυτού.

      Σημειώνουμε ότι, με βάση το Άρθρο 46(5) του Κανονισμού, άδειες διαβίβασης που σήμερα βασίζονται σε τυποποιημένες συμβατικές ρήτρες που έχουν εγκριθεί από την Ευρωπαϊκή Επιτροπή ή σε δεσμευτικούς εταιρικούς κανόνες, δυνάμει της Οδηγίας 95/46/ΕΚ, παραμένουν σε ισχύ μέχρι να τροποποιηθούν, αντικατασταθούν ή καταργηθούν, εάν απαιτείται από αρμόδια εποπτική αρχή.

      Πιο κάτω παρέχουμε καθοδήγηση ανάλογα με τη νομική βάση στην οποία βασίστηκε η κάθε άδεια:

      1. Άδειες Διαβίβασης στη βάση τυποποιημένων συμβατικών ρητρών

      Αν ο οργανισμός σας έχει Άδεια Διαβίβασης στη βάση τυποποιημένων συμβατικών ρητρών, αυτή, με βάση το Άρθρο 46(5) του Κανονισμού, μπορεί να παραμείνει σε ισχύ και μετά τις 25 Μαΐου, εκτός αν η Επίτροπος απαιτήσει διαφορετικά.

      Πρέπει να γνωρίζετε ότι, η Ευρωπαϊκή Επιτροπή προτίθεται να υιοθετήσει καινούργιες τυποποιημένες συμβατικές ρήτρες, που θα αντικαταστήσουν τις υφιστάμενες, στις οποίες βασίζεται η Άδεια σας. Αυτό όμως θα πάρει κάποιο χρόνο. Συνεπώς, μέχρι η Ευρωπαϊκή Επιτροπή υιοθετήσει τις νέες ρήτρες, ο οργανισμός σας μπορεί προσωρινά, να βασιστεί στις υφιστάμενες ρήτρες, εκτός αν η Επίτροπος απαιτήσει διαφορετικά ή να αναζητήσει άλλα εργαλεία διαβίβασης από αυτά που προσφέρει ο Κανονισμός.

      Σημειώνουμε ότι, το Γραφείο μας ετοίμασε προσχέδιο Νομοσχεδίου για αποτελεσματική εφαρμογή ορισμένων διατάξεων του Κανονισμού. Το Νομοσχέδιο έχει αναρτηθεί στην ιστοσελίδα μας για δημόσια διαβούλευση, με προθεσμία υποβολής σχολίων την 27η Απριλίου 2018. Το εν λόγω Νομοσχέδιο προβλέπει ειδικές ρυθμίσεις για τη διαβίβαση ειδικών κατηγοριών δεδομένων (ευαίσθητα) σε τρίτη χώρα, που πραγματοποιείται στη βάση καταλλήλων εγγυήσεων όπως οι τυποποιημένες συμβατικές ρήτρες (άρθρο 15 του νομοσχεδίου). Συνεπώς, αν ο οργανισμός σας διαβιβάζει τέτοια δεδομένα στη βάση τέτοιων ρητρών, πρόσθετα από τα όσα αναφέρουμε στην δεύτερη παράγραφο, θα πρέπει να εξετάσει και τις διατάξεις του Νομοσχεδίου.

      2. Άδειες Διαβίβασης στη βάση δεσμευτικών εταιρικών κανόνων

      Αν η επιχείρησή σας είναι μέρος ομίλου επιχειρήσεων και έχει εξασφαλίσει Άδεια από την Επίτροπο, για διαβίβαση προσωπικών δεδομένων σε επιχειρήσεις του ίδιου ομίλου που εδρεύουν σε τρίτες χώρες, στη βάση Δεσμευτικών Εταιρικών Κανόνων που έχει εγκρίνει η Αρχή Προστασίας των Δεδομένων του Κράτους Μέλους της ΕΕ που ο όμιλός σας έχει την κύρια του έδρα, με βάση το Άρθρο 46(5) του Κανονισμού, οι εν λόγω Δεσμευτικοί Εταιρικοί Κανόνες παραμένουν σε ισχύ εκτός αν ΑΥΤΗ η Αρχή, απαιτήσει να τροποποιηθούν, αντικατασταθούν ή καταργηθούν.

      Συνεπώς, η επιχείρηση σας, θα πρέπει να διαβουλευτεί με τα κεντρικά γραφεία του ομίλου (την κύρια έδρα) για να εξετάσει αν οι Δεσμευτικοί Εταιρικοί Κανόνες του ομίλου σας παραμένουν σε ισχύ ή αν έχουν καταργηθεί ή αν βρίσκονται σε διαδικασία τροποποίησης ή αντικατάστασης, κατ’ απαίτηση της αρμόδιας Αρχής Προστασίας των Δεδομένων που τους έχει εγκρίνει.

      Σημειώνουμε ότι, το Γραφείο μας ετοίμασε προσχέδιο Νομοσχεδίου για αποτελεσματική εφαρμογή ορισμένων διατάξεων του Κανονισμού. Το Νομοσχέδιο έχει αναρτηθεί στην ιστοσελίδα μας για δημόσια διαβούλευση, με προθεσμία υποβολής σχολίων την 27η Απριλίου 2018. Το εν λόγω Νομοσχέδιο προβλέπει ειδικές ρυθμίσεις για τη διαβίβαση ειδικών κατηγοριών δεδομένων (ευαίσθητα) σε τρίτη χώρα, που πραγματοποιείται στη βάση καταλλήλων εγγυήσεων όπως οι δεσμευτικοί εταιρικοί κανόνες (άρθρο 15 του νομοσχεδίου). Συνεπώς, αν η επιχείρηση σας διαβιβάζει τέτοια δεδομένα στη βάση τέτοιων κανόνων, πρόσθετα από τα όσα αναφέρουμε στην δεύτερη παράγραφο, θα πρέπει να εξετάσει και τις διατάξεις του Νομοσχεδίου και να τις θέσει υπόψη των κεντρικών γραφείων του ομίλου.

      3. Άδειες Διαβίβασης στη βάση παρεκκλίσεων (άρθρο 9(2) του Νόμου 138(Ι)/2001

      Αν ο οργανισμός σας διαβιβάζει δεδομένα σε τρίτη χώρα, με Άδεια της Επιτρόπου που εκδόθηκε δυνάμει του άρθρου 9(2) του Νόμου 138(Ι)/2001, η Άδεια αυτή λήγει στις 24 Μαΐου 2018. Αν ο οργανισμός σας επιθυμεί να συνεχίσει να διαβιβάζει δεδομένα σε τρίτη χώρα, μετά τις 25 Μαΐου, θα πρέπει να εξετάσει τις πρόνοιες του Κανονισμού και να αναζητήσει νομική βάση για αυτή τη διαβίβαση, σύμφωνα με τις πρόνοιες αυτού.

      Το Άρθρο 49 του Κανονισμού επιτρέπει τη διαβίβαση σε τρίτη χώρα, στη βάση παρεκκλίσεων όπως τη συγκατάθεση του υποκειμένου των δεδομένων, την εκτέλεση σύμβασης ή για προσυμβατικά μέτρα ή την άσκηση νομικών αξιώσεων και άλλα, μόνο όμως, εφόσον ο οργανισμός σας δεν μπορεί να διαβιβάζει τα εν λόγω δεδομένα στη βάση των κατάλληλων εγγυήσεων που προβλέπει το Άρθρο 46 του Κανονισμού ή στη βάση των Δεσμευτικών Εταιρικών Κανόνων που προβλέπει το Άρθρο 47 αυτού. Η διαβίβαση σε τρίτη χώρα, στη βάση παρεκκλίσεων, είναι το έσχατο μέτρο που μπορεί να επιλέξει ο οργανισμός σας. Αν ο οργανισμός σας δεν μπορεί βασίσει τη διαβίβαση στο Άρθρο 46 ή στο Άρθρο 47 του Κανονισμού, με βάση την Αρχή της Λογοδοσίας, θα πρέπει να είναι σε θέση να αποδείξει, τόσο στα υποκείμενα των δεδομένων όσο και στην Επίτροπο, γιατί δεν μπορεί να βασιστεί στα Άρθρα 46 και 47.

      Σημειώνουμε ότι, το Άρθρο 49 του Κανονισμού διαχωρίζει μεταξύ συνεχιζόμενων και περιστασιακών διαβιβάσεων και γι’ αυτό, θα πρέπει να το μελετήσετε πολύ προσεχτικά.

      Προσθέτουμε ότι, το Γραφείο μας ετοίμασε προσχέδιο Νομοσχεδίου για αποτελεσματική εφαρμογή ορισμένων διατάξεων του Κανονισμού, που έχει αναρτηθεί στην ιστοσελίδα μας για δημόσια διαβούλευση, με προθεσμία υποβολής σχολίων την 27η Απριλίου 2018. Το Νομοσχέδιο προβλέπει ειδικές ρυθμίσεις για τη διαβίβαση ειδικών κατηγοριών δεδομένων (ευαίσθητα) σε τρίτη χώρα, που πραγματοποιείται στη βάση παρεκκλίσεων (άρθρο 16 του νομοσχεδίου). Συνεπώς, αν ο οργανισμός σας διαβιβάζει τέτοια δεδομένα στη βάση τέτοιων παρεκκλίσεων, πρόσθετα από τα όσα αναφέρουμε πιο πάνω, θα πρέπει να εξετάσει και τις διατάξεις του Νομοσχεδίου.
    Για περισσότερες λεπτομέρειες, βλέπετε τις κατευθυντήριες γραμμές 2/2018 αναφορικά με τις παρεκκλίσεις που προβλέπονται στο άρθρο 49 του Κανονισμού 2016/679 (ημερ. 25 Μαΐου 2018).

      4. Ενημέρωση των υποκειμένων των δεδομένων

      Αν ο οργανισμός σας προτίθεται να διαβιβάζει δεδομένα σε τρίτη χώρα, μετά τις 25 Μαΐου, στη βάση όλων όσων αναφέρονται πιο πάνω, θα πρέπει να ενημερώσει κατάλληλα τα υποκείμενα των δεδομένων, σύμφωνα με την υποχρέωσή του, που απορρέει, κατά περίπτωση, από τα Άρθρα 13(1)(στ) και 14(1)(στ) του Κανονισμού.

      5. Συγκατάθεση των υποκειμένων των δεδομένων

      Αν ο οργανισμός σας προτίθεται να διαβιβάζει δεδομένα σε τρίτη χώρα, μετά τις 25 Μαΐου, στη βάση της συγκατάθεσης των υποκειμένων των δεδομένων ή στη βάση συμβολαίου ή για προσυμβατικά μέτρα (δείτε παράγραφο 3 πιο πάνω), ο οργανισμός σας θα πρέπει να εξετάσει προσεκτικά τις πρόνοιες του Κανονισμού που αφορούν στη συγκατάθεση και ιδιαίτερα, τις πρόνοιες του Άρθρου 7 του Κανονισμού και, εφόσον χρειάζεται, να λάβει εκ νέου τη συγκατάθεση του υποκειμένου των δεδομένων, ή να συνάψει καινούργια συμβόλαια, αφού ενημερώσει κατάλληλα τα υποκείμενα των δεδομένων.




    Κατεβάστε το αρχείο τύπου Acrobat edpb_guidelines_2_2018_derogations_el.pdf


    Back To Top