Γραφείο Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα

Γραφείο Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα

Διαβίβαση δεδομένων προς τρίτες χώρες

    Τι είναι τρίτη χώρα;

    Τρίτη χώρα είναι κάθε χώρα που είναι εκτός του Ευρωπαϊκού Οικονομικού Χώρου (ΕΟΧ).

    Οι χώρες του ΕΟΧ είναι τα 28 κράτη-μελή της Ευρωπαϊκής Ένωσης, καθώς και η Ισλανδία, η Νορβηγία και το Λιχνενστάιν.

    Διαβίβαση δεδομένων σε τρίτες χώρες ή διεθνείς οργανισμούς - Γενικός κανόνας

    Κατά τη διαβίβαση δεδομένων, ο Κανονισμός επιβάλλει αυστηρούς περιορισμούς στις μεταφορές σε προορισμούς εκτός του ΕΟΧ, όταν τα δεδομένα προορίζονται να υποβληθούν σε επεξεργασία μετά από τη διαβίβασή τους σε τρίτη χώρα ή διεθνή οργανισμό.

    Αυτό γίνεται προκειμένου να διασφαλιστεί ότι το επίπεδο προστασίας των φυσικών προσώπων που εγγυάται ο κανονισμός θα παραμένει το ίδιο μετά την διαβίβαση.

    Η διαβίβαση δεδομένων εντός του ΕΟΧ είναι ελεύθερη και δεν απαιτεί την τήρηση των εγγυήσεων και προϋποθέσεων του Κεφ.V του κανονισμού.

    Παράδειγμα
    Εάν μια θυγατρική ενός διεθνούς ομίλου επιχειρήσεων που είναι εγκατεστημένη σε διάφορα κράτη μέλη, μεταξύ των οποίων η Σλοβενία και η Γαλλία, αποστέλλει προσωπικά δεδομένα από τη Σλοβενία στη Γαλλία, μια τέτοια ροή δεδομένων δεν μπορεί να περιορίζεται ή να απαγορεύεται από το εθνικό δίκαιο της Σλοβενίας για λόγους προστασίας προσωπικών δεδομένων.
    Εάν, ωστόσο, η θυγατρική της Γαλλίας επιθυμεί να διαβιβάσει τα ίδια προσωπικά δεδομένα σε εκτελούντα την επεξεργασία στη Μαλαισία, τότε ο Σλοβένος εξαγωγέας δεδομένων πρέπει να εφαρμόσει τους κανόνες του κεφαλαίου V του ΓΚΠΔ και εφόσον του ζητηθεί από την εποπτική Αρχή να αποδείξει ότι έχει συμμορφωθεί κατάλληλα.

    A. Διαβιβάσεις βάσει απόφασης επάρκειας

    Η διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα ή διεθνή οργανισμό μπορεί να πραγματοποιηθεί εφόσον η Επιτροπή έχει αποφασίσει ότι διασφαλίζεται επαρκές επίπεδο προστασίας από την τρίτη χώρα, από έδαφος ή από έναν ή περισσότερους συγκεκριμένους τομείς στην εν λόγω τρίτη χώρα ή από τον εν λόγω διεθνή οργανισμό. Για μια τέτοια διαβίβαση δεν απαιτείται ειδική άδεια ή έγκριση και αυτό σημαίνει ότι τα προσωπικά δεδομένα μπορούν να διαβιβάζονται ελεύθερα προς τις χώρες αυτές.

    Η Ευρωπαϊκή Επιτροπή έχει κρίνει με Αποφάσεις της (Αποφάσεις επάρκειας) ότι η διαβίβαση στους ακόλουθους προορισμούς είναι ασφαλής επειδή εξασφαλίζουν ισοδύναμο επίπεδο προστασίας ΠΔ:
      · Ανδόρρα
      · Ισραήλ,
      · Αργεντινή,
      · Νησιά Φαρόε,
      · Καναδάς (εμπορικοί οργανισμοί),
      · Νέα Ζηλανδία,
      · Isle of Man,
      · Guernsey,
      · Jersey,
      · Ελβετία,
      · Ουρουγουάη
      · Ιαπωνία
      • Ηνωμένο Βασίλειο

    Οι Αποφάσεις επάρκειας ισχύουν μέχρι να τροποποιηθούν /αντικατασταθούν ή καταργηθούν.

    Μπορείτε να ανατρέξετε στο κείμενο των Αποφάσεων της Ευρωπαϊκής Επιτροπής στην σχετική ιστοσελίδα της Ευρωπαϊκής Επιτροπής.

    Σημειώνεται ότι οι Αποφάσεις αυτές δεν αφορούν ούτε καλύπτουν διαβιβάσεις δεδομένων στους προορισμούς αυτούς που εμπίπτουν στον τομέα της επιβολής του νόμου.

    Η «Ασπίδα Προστασίας της Ιδιωτικής Ζωής ΕΕ–ΗΠΑ» - PRIVACY SHIELD

    20.07.2020 - Σημαντική Απόφαση του Δικαστηρίου της Ευρωπαϊκής Ένωσης - Καταργήθηκε το Privacy Shield: Στις 16 Ιουλίου, το Δικαστήριο της ΕΕ (ΔΕΕ) εξέδωσε μία πολύ σημαντική Απόφαση, με βάση την οποία καταργείται το Privacy Shield, το νομικό εργαλείο που καθιστούσε ελεύθερη την διαβίβαση προσωπικών δεδομένων στις ΗΠΑ. Ταυτόχρονα, έκρινε ότι, παραμένουν σε ισχύ οι Τυποποιημένες Συμβατικές Ρήτρες (ΤΣΡ), ένα άλλο νομικό εργαλείο που μπορεί να χρησιμοποιηθεί για διαβίβαση δεδομένων σε τρίτες χώρες, με αυστηρές όμως προϋποθέσεις. Η Απόφαση αυτή επηρεάζει όλους τους οργανισμούς που διαβιβάζουν ή προτίθενται να διαβιβάσουν δεδομένα σε τρίτες χώρες και ιδιαίτερα στις ΗΠΑ (συνέχεια...).

    Τι είναι το PRIVACY SHIELD;

    Είναι ένας μηχανισμός αυτοπιστοποίησης για εταιρείες που εδρεύουν στις ΗΠΑ ο οποίος έχει αναγνωριστεί με Εκτελεστική Απόφαση της Ευρωπαϊκής Επιτροπής (ΕΕ) 2016/1250 ότι εξασφαλίζει ικανοποιητικό επίπεδο προστασίας των προσωπικών δεδομένων που διαβιβάζονται από οργανισμούς της ΕΕ σε οργανισμούς οι οποίοι έχουν αυτοπιστοποιηθεί ότι παρέχουν τις κατάλληλες νομικές εγγυήσεις για αυτές τις διαβιβάσεις δεδομένων και δεσμεύονται να τηρούν ένα σύνολο αρχών προστασίας της ιδιωτικής ζωής — τις λεγόμενες αρχές του πλαισίου της ασπίδας προστασίας της ιδιωτικής ζωής ΕΕ–ΗΠΑ .

    Σχετικά θέματα

    B. Άλλες νομικές βάσεις για τη διαβίβαση

    Ελλείψει απόφασης επάρκειας δυνάμει του άρθρου 45 παράγραφος 3, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία μπορεί να διαβιβάσει δεδομένα προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό μόνο εάν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία έχει παράσχει κατάλληλες εγγυήσεις και υπό την προϋπόθεση ότι ισχύουν εκτελεστά δικαιώματα και αποτελεσματικά ένδικα μέσα για τα υποκείμενα των δεδομένων.

    Οι κατάλληλες εγγυήσεις μπορεί να προβλέπονται χωρίς Άδεια της Επιτρόπου με:
    • Νομικά δεσμευτικό μέσο μεταξύ δημόσιων αρχών π.χ. πολυμερής συμφωνία, FATCA ή
    • Δεσμευτικούς εταιρικούς κανόνες (binding corporate rules – BCRs) - για ομίλους επιχειρήσεων - που εγκρίνονται από την Επίτροπο στα πλαίσια του μηχανισμού συνεκτικότητας και υπό τον όρους του άρθρου 47 ή
    • Τυποποιημένες ρήτρες (standard DP clauses) που εκδίδονται από την Επιτροπή (σύμφωνα με τη διαδικασία εξέτασης του άρθρου 93(2) του Κανονισμού) ή
    • Τυποποιημένες ρήτρες (standard DP clauses) που εκδίδονται από την Επίτροπο και εγκρίνονται από την Επιτροπή (σύμφωνα με τη διαδικασία εξέτασης του άρθρου 93(2) του Κανονισμού) ή
    • Κώδικα δεοντολογίας, ο οποίος εγκρίνεται από την Επίτροπο ή από το Συμβούλιο Προστασίας Δεδομένων, εάν αφορά διάφορα ΚΜ ή
    • Μηχανισμό πιστοποίησης, ο οποίος εγκρίνεται από την Επίτροπο ή τον εθνικό οργανισμό πιστοποίησης ή και από τους δύο

    Επιτρέπεται επίσης η διαβίβαση που υπόκειται σε κατάλληλες εγγυήσεις με Άδεια της Επιτρόπου εάν ο Οργανισμός επιλέξει ως νομική βάση για τη διαβίβαση συμβατικές ρήτρες (contractual clauses) που θα ετοιμάσει και θα εγκριθούν από την Επίτροπο

    Εάν από τη διαβίβαση επηρεάζονται πολίτες ΚΜ, οι συμβατικές ρήτρες θα εγκριθούν στα πλαίσια του μηχανισμού συνεκτικότητας*
      * Ο μηχανισμός συνεκτικότητας αποσκοπεί στη συνεργασία μεταξύ των εποπτικών αρχών, ιδιαίτερα όταν μια εποπτική αρχή θεσπίζει μέτρο που επηρεάζει ουσιωδώς σημαντικό αριθμό υποκειμένων των δεδομένων σε περισσότερα από ένα ΚΜ.

      Με βάση το Άρθρο 46(5) του Κανονισμού, άδειες διαβίβασης που σήμερα βασίζονται σε τυποποιημένες συμβατικές ρήτρες που έχουν εγκριθεί από την Ευρωπαϊκή Επιτροπή ή σε δεσμευτικούς εταιρικούς κανόνες, δυνάμει της Οδηγίας 95/46/ΕΚ, παραμένουν σε ισχύ μέχρι να τροποποιηθούν, αντικατασταθούν ή καταργηθούν, εάν απαιτείται από αρμόδια εποπτική αρχή.

      Πιο κάτω παρέχουμε καθοδήγηση ανάλογα με τη νομική βάση στην οποία βασίστηκε η κάθε άδεια:

      1. Άδειες Διαβίβασης στη βάση τυποποιημένων συμβατικών ρητρών

      Η Ευρωπαϊκή Επιτροπή προτίθεται να υιοθετήσει καινούργιες τυποποιημένες συμβατικές ρήτρες, που θα αντικαταστήσουν τις υφιστάμενες. Μέχρι η Ευρωπαϊκή Επιτροπή υιοθετήσει τις νέες ρήτρες, ο οργανισμός σας μπορεί προσωρινά, να βασιστεί στις υφιστάμενες ρήτρες, εκτός αν η Επίτροπος απαιτήσει διαφορετικά ή να αναζητήσει άλλα εργαλεία διαβίβασης από αυτά που προσφέρει ο Κανονισμός.

      Σημειώνουμε ότι, το άρθρο 17 του Νόμου 125(Ι)/2018 προβλέπει ειδικές ρυθμίσεις για τη διαβίβαση ειδικών κατηγοριών δεδομένων (ευαίσθητα δεδομένα) σε τρίτη χώρα, που πραγματοποιείται στη βάση καταλλήλων εγγυήσεων όπως οι τυποποιημένες συμβατικές ρήτρες. Συνεπώς, αν ο οργανισμός σας διαβιβάζει τέτοια δεδομένα στη βάση τέτοιων ρητρών, πρόσθετα από τα όσα αναφέρουμε στην παράγραφο πιο πάνω, θα πρέπει να εξετάσει και τις διατάξεις του Νόμου 125(Ι)/2018.

      2. Άδειες διαβίβασης στη βάση του άρθρου 46(3)(β) του ΓΚΠΔ (Διοικητικές Ρυθμίσεις/ Administrative Arrangements)

      Μετά την ολοκλήρωση της προβλεπόμενης διαδικασίας μηχανισμού συνεκτικότητας και την έκδοση Γνώμης (4/2019) από το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (ΕΣΠΔ) σχετικά με το σχέδιο Διοικητικής Ρύθμισης που υπέβαλε η Ευρωπαϊκή Αρχή Κινητών Αξιών και Αγορών (ESMA), ενεργώντας τόσο ως διαμεσολαβήτρια για λογαριασμό των αρχών χρηματοπιστωτικής εποπτείας του ΕΟΧ (αρμόδιες εθνικές αρχές) όσο και υπό την ιδιότητά της, και ο Διεθνής Οργανισμός Εποπτικών Αρχών Κεφαλαιαγοράς (IOSCO) σύμφωνα με το άρθρο 46 παράγραφος 3 στοιχείο β) του ΓΚΠΔ, με σκοπό τον καθορισμό του πλαισίου εντός του οποίου θα διενεργούνται οι διαβιβάσεις δεδομένων προσωπικού χαρακτήρα από τις αρμόδιες εθνικές αρχές του ΕΟΧ (και την ίδια την ESMA) στις ομολόγους τους εκτός ΕΟΧ, η Επίτροπος εξέδωσε έγκριση Ημερ. 15 Απριλίου 2019 της Διοικητικής Ρύθμισης που υποβλήθηκε στο Γραφείο της από την Επιτροπή Κεφαλαιαγοράς Κύπρου.

      3. Άδειες Διαβίβασης στη βάση δεσμευτικών εταιρικών κανόνων (ΔΕΚ)

      Αν η επιχείρησή σας είναι μέρος ομίλου επιχειρήσεων και έχει εξασφαλίσει Άδεια από την Επίτροπο στη βάση του προηγούμενου νομοθετικού πλαισίου (Οδηγία 95/46/ΕΚ), για διαβίβαση προσωπικών δεδομένων σε επιχειρήσεις του ίδιου ομίλου που εδρεύουν σε τρίτες χώρες, στη βάση Δεσμευτικών Εταιρικών Κανόνων που έχει εγκρίνει η Αρχή Προστασίας των Δεδομένων του Κράτους Μέλους της ΕΕ που ο όμιλός σας έχει την κύρια του έδρα, με βάση το Άρθρο 46(5) του Κανονισμού, οι εν λόγω ΔΕΚ παραμένουν σε ισχύ εκτός αν η εν λόγω Αρχή ΠΔ, απαιτήσει να τροποποιηθούν, αντικατασταθούν ή καταργηθούν.

      Συνεπώς, η επιχείρηση σας, θα πρέπει να διαβουλευτεί με τα κεντρικά γραφεία του ομίλου (την κύρια έδρα) για να εξετάσει αν οι Δεσμευτικοί Εταιρικοί Κανόνες του ομίλου σας παραμένουν σε ισχύ ή αν έχουν καταργηθεί ή αν βρίσκονται σε διαδικασία τροποποίησης ή αντικατάστασης, κατ’ απαίτηση της αρμόδιας Επικεφαλής Αρχής Προστασίας των Δεδομένων που τους έχει εγκρίνει.

      Αν η επιχείρησή σας είναι μέρος ομίλου επιχειρήσεων ο οποίος δραστηριοποιείται σε χώρες μέλη του ΕΟΧ και σε τρίτες χώρες και έχει τα κεντρικά της γραφεία στην Κύπρο θα μπορούσε να ενεργοποιήσει το εργαλείο των ΔΕΚ, υποβάλλοντας την κατάλληλη αίτηση στο Γραφείο της Επιτρόπου, η οποία θα μεριμνήσει μέσω της διαδικασίας του μηχανισμού συνεκτικότητας να εγκρίνει τους ΔΕΚ.

      Υπάρχουν ΔΕΚ για υπεύθυνους επεξεργασίας και ΔΕΚ για εκτελούντες την επεξεργασία.

      Περισσότερες πληροφορίες σχετικά με τα απαιτούμενα έγγραφα και διαδικασία μπορείτε να εντοπίσετε στα ακόλουθα έγγραφα:


      Σημειώνουμε ότι, το άρθρο 17 του Νόμου 125(Ι)/2018 προβλέπει ειδικές ρυθμίσεις για τη διαβίβαση ειδικών κατηγοριών δεδομένων (ευαίσθητα δεδομένα) σε τρίτη χώρα, που πραγματοποιείται στη βάση καταλλήλων εγγυήσεων όπως οι δεσμευτικοί εταιρικοί κανόνες. Συνεπώς, αν η επιχείρηση σας διαβιβάζει τέτοια δεδομένα στη βάση τέτοιων κανόνων, πρόσθετα από τα όσα αναφέρουμε στις πιο πάνω παραγράφους, θα πρέπει να εξετάσει και τις διατάξεις του Νόμου 125(Ι)/2018 και να τις θέσει υπόψη των κεντρικών γραφείων του ομίλου.

      4. Άδειες Διαβίβασης στη βάση παρεκκλίσεων (άρθρο 49 ΓΚΠΔ και 18 Ν. 125(Ι)/2018)

      Το Άρθρο 49 του Κανονισμού επιτρέπει τη διαβίβαση σε τρίτη χώρα, στη βάση παρεκκλίσεων, μόνο όμως ως έσχατη λύση εφόσον ο οργανισμός σας δεν μπορεί να διαβιβάζει τα εν λόγω δεδομένα στη βάση απόφασης επάρκειας, των κατάλληλων εγγυήσεων που προβλέπει το Άρθρο 46, του Κανονισμού ή στη βάση των Δεσμευτικών Εταιρικών Κανόνων που προβλέπει το Άρθρο 47 αυτού.

      Σημειώνεται ότι με βάση την Αρχή της Λογοδοσίας, θα πρέπει ο οργανισμός σας να είναι σε θέση να αποδείξει ότι έχει εξαντλήσει κάθε άλλη εναλλακτική λύση.

      Σύμφωνα με τις αρχές που είναι εγγενείς στο Ευρωπαϊκό δίκαιο, οι παρεκκλίσεις πρέπει να ερμηνεύονται στενά ώστε η εξαίρεση να μην καθίσταται κανόνας.

      Πότε μπορεί να εφαρμοστεί η παρέκκλιση αυτή;

      Εάν συντρέχει μία από τις κατωτέρω προϋποθέσεις:
        1. Ρητή συγκατάθεση
        2. Εκτέλεση σύμβασης μεταξύ υ.ε και υ.δ
        3. Εκτέλεση σύμβασης προς όφελος του υ.δ
        4. Σημαντικοί λόγοι δημοσίου συμφέροντος
        5. Θεμελίωση/άσκηση/υποστήριξη νομικών αξιώσεων
        6. Ζωτικό συμφέρον υ.δ ή άλλου προσώπου
        7. Μητρώο ανοικτό στο ευρύ κοινό ή σε έχοντα έννομο συμφέρον (όχι διαβίβαση του συνόλου των πληροφοριών ή συνόλου κατηγοριών π.δ)
        Υπό την προϋπόθεση ότι η εν λόγω διαβίβαση είναι περιστασιακή ή μη επαναλαμβανόμενη και τηρουμένων των διατάξεων του άρθρου 18 του Ν. 125(Ι)/2018 προκειμένου για ευαίσθητα /ειδικές κατηγορίες δεδομένων.
          Σχετική καθοδήγηση αναφορικά με το πότε μία διαβίβαση πληροί τις πιο πάνω προϋποθέσεις μπορείτε να βρείτε στις κατευθυντήριες γραμμές 2/2018 που έκδωσε το EDPB (25.05.2018).

          5. Ενημέρωση των υποκειμένων των δεδομένων

          Αν ο οργανισμός σας διαβιβάζει δεδομένα ή προτίθεται να διαβιβάσει δεδομένα σε τρίτη χώρα, στη βάση όλων όσων αναφέρονται πιο πάνω, θα πρέπει να ενημερώσει κατάλληλα τα υποκείμενα των δεδομένων, σύμφωνα με την υποχρέωσή του, που απορρέει, κατά περίπτωση, από τα Άρθρα 13(1)(στ) και 14(1)(στ) του Κανονισμού.

          Τελευταία νέα

          • 31.01.2019 - Απόφαση της Ευρωπαϊκής Επιτροπής περί επάρκειας για την Ιαπωνία

          Η Επιτροπή εξέδωσε στις 23.01.2019 την απόφασή της περί επάρκειας για την Ιαπωνία, έτσι ώστε τα προσωπικά δεδομένα να μπορούν να ρέουν ελεύθερα μεταξύ των δύο οικονομιών βάσει ισχυρών εγγυήσεων προστασίας. Πρόκειται για το τελευταίο στάδιο της διαδικασίας που δρομολογήθηκε τον Σεπτέμβριο του 2018, η οποία περιλάμβανε τη γνώμη του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων (ΕΣΠΔ) και τη συμφωνία μιας επιτροπής αποτελούμενης από εκπροσώπους των κρατών μελών της ΕΕ. Η απόφαση αυτή, μαζί με την ισοδύναμή της που εγκρίθηκε σήμερα από την Ιαπωνία, θα αρχίσει να ισχύει από σήμερα. Περισσότερα


          Σχετικά θέματα

          Last update: 05.08.2020





          Κατεβάστε το αρχείο τύπου Acrobat edpb_guidelines_2_2018_derogations_el.pdf


          Back To Top