Γραφείο Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα

Γραφείο Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα

Διαβίβαση δεδομένων προς τρίτες χώρες

  Τι είναι τρίτη χώρα;

  Τρίτη χώρα είναι κάθε χώρα που είναι εκτός του Ευρωπαϊκού Οικονομικού Χώρου (ΕΟΧ).

  Οι χώρες του ΕΟΧ είναι τα 28 κράτη-μελή της Ευρωπαϊκής Ένωσης, καθώς και η Ισλανδία, η Νορβηγία και το Λιχνενστάιν.

  Διαβίβαση δεδομένων σε τρίτες χώρες ή διεθνείς οργανισμούς - Γενικός κανόνας

  Κατά τη διαβίβαση δεδομένων, ο Κανονισμός επιβάλλει αυστηρούς περιορισμούς στις μεταφορές σε προορισμούς εκτός του ΕΟΧ, όταν τα δεδομένα προορίζονται να υποβληθούν σε επεξεργασία μετά από τη διαβίβασή τους σε τρίτη χώρα ή διεθνή οργανισμό.

  Αυτό γίνεται προκειμένου να διασφαλιστεί ότι το επίπεδο προστασίας των φυσικών προσώπων που εγγυάται ο κανονισμός θα παραμένει το ίδιο μετά την διαβίβαση.

  Η διαβίβαση δεδομένων εντός του ΕΟΧ είναι ελεύθερη και δεν απαιτεί την τήρηση των εγγυήσεων και προϋποθέσεων του Κεφ.V του κανονισμού.

  Παράδειγμα

  Εάν μια θυγατρική ενός διεθνούς ομίλου επιχειρήσεων που είναι εγκατεστημένη σε διάφορα κράτη μέλη, μεταξύ των οποίων η Σλοβενία και η Γαλλία, αποστέλλει προσωπικά δεδομένα από τη Σλοβενία στη Γαλλία, μια τέτοια ροή δεδομένων δεν μπορεί να περιορίζεται ή να απαγορεύεται από το εθνικό δίκαιο της Σλοβενίας για λόγους προστασίας προσωπικών δεδομένων. Εάν, ωστόσο, η θυγατρική της Γαλλίας επιθυμεί να διαβιβάσει τα ίδια προσωπικά δεδομένα σε εκτελούντα την επεξεργασία στη Μαλαισία, τότε ο Σλοβένος εξαγωγέας δεδομένων πρέπει να εφαρμόσει τους κανόνες του κεφαλαίου V του ΓΚΠΔ και εφόσον του ζητηθεί από την εποπτική Αρχή να αποδείξει ότι έχει συμμορφωθεί κατάλληλα.

  Γενικά, η διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό μπορεί να λάβει χώρα είτε (ι) στα πλαίσια απόφασης της Επιτροπής ότι υπάρχει επαρκής προστασία στην υπό κρίση τρίτη χώρα ή διεθνή οργανισμό είτε (ιι) ελλείψει τέτοιας απόφασης, ο υπεύθυνος ή ο εκτελών την επεξεργασία έχει παράσχει τις κατάλληλες εγγυήσεις για την προστασία των δεδομένων είτε (ιιι) ελλείψει και των δύο προαναφερόμενων προϋποθέσεων, υπάρχουν ειδικές περιστάσεις που να δικαιολογούν τέτοια διαβίβαση, ως εξηγείται κατωτέρω.

  A. Διαβιβάσεις βάσει απόφασης επάρκειας

  Η διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα ή διεθνή οργανισμό μπορεί να πραγματοποιηθεί εφόσον η Επιτροπή έχει αποφασίσει ότι διασφαλίζεται επαρκές επίπεδο προστασίας από την τρίτη χώρα, από έδαφος ή από έναν ή περισσότερους συγκεκριμένους τομείς στην εν λόγω τρίτη χώρα ή από τον εν λόγω διεθνή οργανισμό. Για μια τέτοια διαβίβαση δεν απαιτείται ειδική άδεια ή έγκριση και αυτό σημαίνει ότι τα προσωπικά δεδομένα μπορούν να διαβιβάζονται ελεύθερα προς τις χώρες αυτές.

  Η Ευρωπαϊκή Επιτροπή έχει κρίνει με Αποφάσεις της (Αποφάσεις επάρκειας) ότι η διαβίβαση στους ακόλουθους προορισμούς είναι ασφαλής επειδή εξασφαλίζουν ισοδύναμο επίπεδο προστασίας ΠΔ:
   · Ανδόρρα
   · Ισραήλ,
   · Αργεντινή,
   · Νησιά Φαρόε,
   · Καναδάς (εμπορικοί οργανισμοί),
   · Νέα Ζηλανδία,
   · Isle of Man,
   · Guernsey,
   · Jersey,
   · Ελβετία,
   · Ουρουγουάη
   · Ιαπωνία
   • Ηνωμένο Βασίλειο
   • Νότια Κορέα

  Ως κριτήρια για την κρίση της Επιτροπής ότι πράγματι η διαβίβαση σε τρίτες χώρες ή οργανισμούς είναι ασφαλής, λαμβάνονται υπόψη μεταξύ άλλων, το επίπεδο του κράτους δικαίου, ο σεβασμός των ανθρωπίνων δικαιωμάτων και των θεμελιωδών ελευθεριών, η σχετική νομοθεσία, η ύπαρξη και η αποτελεσματική λειτουργία ανεξάρτητων εποπτικών αρχών, συμπεριλαμβανομένων επαρκών εξουσιών επιβολής στα ζητήματα προστασίας των υποκείμενων των δεδομένων, τυχόν διεθνείς δεσμεύσεις που έχει αναλάβει η υπό κρίση τρίτη χώρα ή ο διεθνής οργανισμός ή άλλες υποχρεώσεις που δυνατό να απορρέουν από νομικά δεσμευτικές συμβάσεις.

  Οι Αποφάσεις επάρκειας ισχύουν μέχρι να τροποποιηθούν /αντικατασταθούν ή καταργηθούν. Ειδικότερα, η Επιτροπή έχει την δυνατότητα να εφαρμόσει μηχανισμό περιοδικής επανεξέτασης και δύναται να παρακολουθεί σε συνεχή και τακτική βάση τις εξελίξεις σε τρίτες χώρες και οργανισμούς που θα μπορούσαν να επηρεάσουν στο μέλλον την κρίση της σε σχέση με την επάρκεια προστασίας. Επιπλέον, στην βάση πληροφοριών που δυνατόν να αποκαλύπτουν, κατόπιν επανεξέτασης, ότι μια τρίτη χώρα ή οργανισμός δεν διαθέτει και δεν διασφαλίζει πλέον επαρκές επίπεδο προστασίας των δεδομένων, η Επιτροπή ανάλογα με την περίπτωση μπορεί να προχωρήσει στην κατάργηση, τροποποίηση ή αναστολή της απόφασης της περί επάρκειας προστασίας. Σε τέτοια περίπτωση, η Επιτροπή ξεκινά διαβουλεύσεις με την τρίτη χώρα ή τον διεθνή οργανισμό με σκοπό την επανόρθωση της κατάστασης.

  Μπορείτε να ανατρέξετε στο κείμενο των Αποφάσεων της Ευρωπαϊκής Επιτροπής στην σχετική ιστοσελίδα της Ευρωπαϊκής Επιτροπής και στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης, όπου δημοσιεύεται κατάλογος των τρίτων χωρών και των διεθνών οργανισμών, όπου ήδη έχει αποφασίσει ότι διασφαλίζεται ή όχι επαρκές επίπεδο προστασίας

  Σημειώνεται ότι οι Αποφάσεις αυτές δεν αφορούν ούτε καλύπτουν διαβιβάσεις δεδομένων στους προορισμούς αυτούς που εμπίπτουν στον τομέα της επιβολής του νόμου.

   B. Άλλες νομικές βάσεις για τη διαβίβαση


    Ελλείψει απόφασης επάρκειας δυνάμει του άρθρου 45 παράγραφος 3 του Κανονισμού, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία μπορεί να διαβιβάσει δεδομένα προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό μόνο εάν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία έχει παράσχει κατάλληλες εγγυήσεις και υπό την προϋπόθεση ότι ισχύουν εκτελεστά δικαιώματα και αποτελεσματικά ένδικα μέσα για τα υποκείμενα των δεδομένων.


    Οι κατάλληλες εγγυήσεις μπορεί να προβλέπονται χωρίς Άδεια της Επιτρόπου με:

    o Νομικά δεσμευτικό και εκτελεστό μέσο μεταξύ δημόσιων αρχών π.χ. πολυμερής συμφωνία, FATCA ή
    o Δεσμευτικούς εταιρικούς κανόνες (binding corporate rules – BCRs) - για ομίλους επιχειρήσεων - που εγκρίνονται από την Επίτροπο στα πλαίσια του μηχανισμού συνεκτικότητας και υπό τους όρους του άρθρου 47 ή
    o Τυποποιημένες ρήτρες (standard DP clauses) που εκδίδονται από την Επιτροπή (σύμφωνα με τη διαδικασία εξέτασης του άρθρου 93(2) του Κανονισμού) ή
    o Τυποποιημένες ρήτρες (standard DP clauses) που εκδίδονται από την Επίτροπο και εγκρίνονται από την Επιτροπή (σύμφωνα με τη διαδικασία εξέτασης του άρθρου 93(2) του Κανονισμού) ή
    o Κώδικα δεοντολογίας, ο οποίος εγκρίνεται από την Επίτροπο ή από το Συμβούλιο Προστασίας Δεδομένων, εάν αφορά διάφορα ΚΜ ή
    o Μηχανισμό πιστοποίησης, ο οποίος εγκρίνεται από την Επίτροπο ή τον εθνικό οργανισμό πιστοποίησης ή και από τους δύο

    Επιτρέπεται επίσης η διαβίβαση που υπόκειται σε κατάλληλες εγγυήσεις με Άδεια της Επιτρόπου εάν ο Οργανισμός επιλέξει ως νομική βάση για τη διαβίβαση συμβατικές ρήτρες (contractual clauses) που θα ετοιμάσει και θα εγκριθούν από την Επίτροπο.

    Εάν από τη διαβίβαση επηρεάζονται πολίτες ΚΜ, οι συμβατικές ρήτρες θα εγκριθούν στα πλαίσια του μηχανισμού συνεκτικότητας*
    * Ο μηχανισμός συνεκτικότητας αποσκοπεί στη συνεργασία μεταξύ των εποπτικών αρχών, ιδιαίτερα όταν μια εποπτική αρχή θεσπίζει μέτρο που επηρεάζει ουσιωδώς σημαντικό αριθμό υποκειμένων των δεδομένων σε περισσότερα από ένα ΚΜ.

    Με βάση το Άρθρο 46(5) του Κανονισμού, άδειες διαβίβασης που σήμερα βασίζονται σε τυποποιημένες συμβατικές ρήτρες που έχουν εγκριθεί από την Ευρωπαϊκή Επιτροπή ή σε δεσμευτικούς εταιρικούς κανόνες, δυνάμει της Οδηγίας 95/46/ΕΚ, παραμένουν σε ισχύ μέχρι να τροποποιηθούν, αντικατασταθούν ή καταργηθούν, εάν απαιτείται από αρμόδια εποπτική αρχή.

    Πιο κάτω παρέχουμε καθοδήγηση ανάλογα με τη νομική βάση στην οποία βασίστηκε η κάθε άδεια:

    1. Άδειες Διαβίβασης στη βάση τυποποιημένων συμβατικών ρητρών

    Η Ευρωπαϊκή Επιτροπή έχει υιοθετήσει καινούργιες τυποποιημένες συμβατικές ρήτρες, που αντικαθιστούν τις υφιστάμενες.

    Συγκεκριμένα, από τις 27.6.21 έχουν τεθεί σε ισχύ οι νέες πρότυπες συμβατικές ρήτρες της Επιτροπής για τις διαβιβάσεις δεδομένων προς τρίτες χώρες με βάση την Εκτελεστική Απόφαση (ΕΕ) 2021/914 της ημερομηνίας 4 Ιουνίου 2021. Σκοπός των νέων ρητρών είναι η όσο το δυνατό αποτελεσματικότερη προστασία των δεδομένων εντός του πνεύματος και των στόχων του Κανονισμού και η αντιμετώπιση των ανησυχιών και των προκλήσεων που προέκυψαν από την απόφαση του ΔΕΕ στην υπόθεση Schrems II, ως ανωτέρω. λαμβάνοντας υπόψη και τις νέες πραγματικότητες που ισχύουν σε ό,τι αφορά την μετάβαση όλο και περισσότερων εταιρειών στην ψηφιακή εποχή.

    Οι νέες αυτές τυποποιημένες ρήτρες (https://eur-lex.europa.eu/legal-content/EL/TXT/?uri=CELEX:32021D0914) αφορούν τέσσερις ενότητες, δηλαδή ρυθμίζουν την διαβίβαση δεδομένων από υπεύθυνο επεξεργασίας σε υπεύθυνο επεξεργασίας, από υπεύθυνο επεξεργασίας σε αυτόν που εκτελεί την επεξεργασία, από αυτόν που εκτελεί την επεξεργασία σε επίσης εκτελούντα επεξεργασία και από εκτελούντα την επεξεργασία σε υπεύθυνο επεξεργασίας.

    Σημειώνουμε ότι, το άρθρο 17 του Νόμου 125(Ι)/2018 προβλέπει ειδικές ρυθμίσεις για τη διαβίβαση ειδικών κατηγοριών δεδομένων (ευαίσθητα δεδομένα) σε τρίτη χώρα, που πραγματοποιείται στη βάση καταλλήλων εγγυήσεων όπως οι τυποποιημένες συμβατικές ρήτρες και επιβάλλει την υποχρέωση της ενημέρωσης της Επιτρόπου πριν από κάθε διαβίβαση τέτοιων δεδομένων Η Επίτροπος δύναται για σοβαρούς λόγους δημοσίου συμφέροντος να επιβάλει περιορισμούς στην διαβίβαση των δεδομένων, λαμβάνοντας υπόψη κατά περίπτωση την ενδεχόμενη ύπαρξη έγκρισης από την Επιτροπή ή από τον μηχανισμό συνεκτικότητας των εγγυήσεων ή δεσμευτικών εταιρικών κανόνων στην βάση των οποίων επιχειρείται η διαβίβαση των δεδομένων. Συνεπώς, αν ο οργανισμός σας διαβιβάζει τέτοια δεδομένα στη βάση τέτοιων ρητρών, πρόσθετα από τα όσα αναφέρουμε στην παράγραφο πιο πάνω, θα πρέπει να εξετάσει και τις διατάξεις του Νόμου 125(Ι)/2018.

    2. Άδειες διαβίβασης στη βάση του άρθρου 46(3)(β) του ΓΚΠΔ (Διοικητικές Ρυθμίσεις/ Administrative Arrangements)


    Μετά την ολοκλήρωση της προβλεπόμενης διαδικασίας μηχανισμού συνεκτικότητας και την έκδοση Γνώμης (4/2019) από το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (ΕΣΠΔ) σχετικά με το σχέδιο Διοικητικής Ρύθμισης που υπέβαλε η Ευρωπαϊκή Αρχή Κινητών Αξιών και Αγορών (ESMA), ενεργώντας τόσο ως διαμεσολαβήτρια για λογαριασμό των αρχών χρηματοπιστωτικής εποπτείας του ΕΟΧ (αρμόδιες εθνικές αρχές) όσο και υπό την ιδιότητά της, και ο Διεθνής Οργανισμός Εποπτικών Αρχών Κεφαλαιαγοράς (IOSCO) σύμφωνα με το άρθρο 46 παράγραφος 3 στοιχείο β) του ΓΚΠΔ, με σκοπό τον καθορισμό του πλαισίου εντός του οποίου θα διενεργούνται οι διαβιβάσεις δεδομένων προσωπικού χαρακτήρα από τις αρμόδιες εθνικές αρχές του ΕΟΧ (και την ίδια την ESMA) στις ομολόγους τους εκτός ΕΟΧ, η Επίτροπος εξέδωσε έγκριση ημερ. 15 Απριλίου 2019 της Διοικητικής Ρύθμισης που υποβλήθηκε στο Γραφείο της από την Επιτροπή Κεφαλαιαγοράς Κύπρου.


    3. Άδειες Διαβίβασης στη βάση δεσμευτικών εταιρικών κανόνων (ΔΕΚ)

    Αν η επιχείρησή σας είναι μέρος ομίλου επιχειρήσεων και έχει εξασφαλίσει Άδεια από την Επίτροπο στη βάση του προηγούμενου νομοθετικού πλαισίου (Οδηγία 95/46/ΕΚ), για διαβίβαση προσωπικών δεδομένων σε επιχειρήσεις του ίδιου ομίλου που εδρεύουν σε τρίτες χώρες, στη βάση Δεσμευτικών Εταιρικών Κανόνων που έχει εγκρίνει η Αρχή Προστασίας των Δεδομένων του Κράτους Μέλους της ΕΕ που ο όμιλός σας έχει την κύρια του έδρα, με βάση το Άρθρο 46(5) του Κανονισμού, οι εν λόγω ΔΕΚ παραμένουν σε ισχύ εκτός αν η εν λόγω Αρχή Προστασίας Δεδομένων, απαιτήσει να τροποποιηθούν, αντικατασταθούν ή καταργηθούν.


    Συνεπώς, η επιχείρηση σας, θα πρέπει να διαβουλευτεί με τα κεντρικά γραφεία του ομίλου (την κύρια έδρα) για να εξετάσει αν οι Δεσμευτικοί Εταιρικοί Κανόνες του ομίλου σας παραμένουν σε ισχύ ή αν έχουν καταργηθεί ή αν βρίσκονται σε διαδικασία τροποποίησης ή αντικατάστασης, κατ’ απαίτηση της αρμόδιας Επικεφαλής Αρχής Προστασίας των Δεδομένων που τους έχει εγκρίνει.


    Αν η επιχείρησή σας είναι μέρος ομίλου επιχειρήσεων ο οποίος δραστηριοποιείται σε χώρες μέλη του ΕΟΧ και σε τρίτες χώρες και έχει τα κεντρικά της γραφεία στην Κύπρο θα μπορούσε να ενεργοποιήσει το εργαλείο των ΔΕΚ, υποβάλλοντας την κατάλληλη αίτηση στο Γραφείο της Επιτρόπου, η οποία θα μεριμνήσει μέσω της διαδικασίας του μηχανισμού συνεκτικότητας να εγκρίνει τους ΔΕΚ.

    Υπάρχουν ΔΕΚ για υπεύθυνους επεξεργασίας και ΔΕΚ για εκτελούντες την επεξεργασία.   Περισσότερες πληροφορίες σχετικά με τα απαιτούμενα έγγραφα και διαδικασία μπορείτε να εντοπίσετε στα ακόλουθα έγγραφα:


   Σε ό,τι αφορά στην ουσία των ΔΕΚ, αξίζει να σημειώσουμε ότι αυτοί θα πρέπει, μεταξύ άλλων, να παρέχουν στοιχεία/πληροφορίες/διευκρινίσεις για τα ακόλουθα:

    •την δομή και τα στοιχεία επικοινωνίας του ομίλου επιχειρήσεων.
    •τις διαβιβάσεις των δεδομένων, τον τύπο επεξεργασίας και τον σκοπό της.
    •την νομικά δεσμευτική φύση τους.
    •την εφαρμογή των γενικών αρχών προστασίας των δεδομένων, την νομική βάση για την επεξεργασία, τα μέτρα διασφάλισης της ασφάλειας των δεδομένων.
    •τα δικαιώματα των υποκείμενων των δεδομένων, όπως π.χ. το δικαίωμα σε καταγγελία ενώπιον των αρμόδιων αρχών και δικαστηρίων των κρατών μελών, καθώς και της εξασφάλισης αποζημίωσης για παράβαση των ΔΕΚ.
    •τις διαδικασίες καταγγελίας.
    •τους μηχανισμούς εντός του ομίλου επιχειρήσεων που ασκούν κοινή οικονομική δραστηριότητα για τον έλεγχο της συμμόρφωσης προς τους ΔΕΚ.
    •τους μηχανισμούς συνεργασίας με την εποπτική αρχή.
    •την κατάλληλη εκπαίδευση για την προστασία των δεδομένων, σε ό,τι αφορά προσωπικό που έχει μόνιμη ή τακτική πρόσβαση σε δεδομένα προσωπικού χαρακτήρα.


    Σημειώνουμε ότι όπως αναφέρεται ανωτέρω στο σημείο (1), το άρθρο 17 του Νόμου 125(Ι)/2018 προβλέπει ειδικές ρυθμίσεις για τη διαβίβαση ειδικών κατηγοριών δεδομένων (ευαίσθητα δεδομένα) σε τρίτη χώρα, που πραγματοποιείται στη βάση καταλλήλων εγγυήσεων όπως οι δεσμευτικοί εταιρικοί κανόνες. Συνεπώς, αν η επιχείρηση σας διαβιβάζει τέτοια δεδομένα στη βάση τέτοιων κανόνων, πρόσθετα από τα όσα αναφέρουμε στις πιο πάνω παραγράφους, θα πρέπει να εξετάσει και τις διατάξεις του Νόμου 125(Ι)/2018 και να τις θέσει υπόψη των κεντρικών γραφείων του ομίλου.

    Γ. Άδειες Διαβίβασης στη βάση παρεκκλίσεων (άρθρο 49 ΓΚΠΔ και 18 Ν. 125(Ι)/2018)


    Το Άρθρο 49 του Κανονισμού επιτρέπει τη διαβίβαση σε τρίτη χώρα, στη βάση παρεκκλίσεων, μόνο όμως ως έσχατη λύση εφόσον ο οργανισμός σας δεν μπορεί να διαβιβάζει τα εν λόγω δεδομένα στη βάση απόφασης επάρκειας, των κατάλληλων εγγυήσεων που προβλέπει το Άρθρο 46, του Κανονισμού ή στη βάση των Δεσμευτικών Εταιρικών Κανόνων που προβλέπει το Άρθρο 47 αυτού.

    Σημειώνεται ότι με βάση την Αρχή της Λογοδοσίας, θα πρέπει ο οργανισμός σας να είναι σε θέση να αποδείξει ότι έχει εξαντλήσει κάθε άλλη εναλλακτική λύση.

    Σύμφωνα με τις αρχές που είναι εγγενείς στο Ευρωπαϊκό δίκαιο, οι παρεκκλίσεις πρέπει να ερμηνεύονται στενά ώστε η εξαίρεση να μην καθίσταται κανόνας.

    Πότε μπορεί να εφαρμοστεί η παρέκκλιση αυτή;

    Εάν συντρέχει μία από τις κατωτέρω προϋποθέσεις:

      1. Να έχει υπάρξει ρητή συγκατάθεση από το υποκείμενο των δεδομένων

      2. Η διαβίβαση να είναι απαραίτητη για την εκτέλεση σύμβασης μεταξύ υποκείμενου δεδομένων και του υπεύθυνου επεξεργασίας.

      3. Η διαβίβαση είναι απαραίτητη για την εκτέλεση σύμβασης προς όφελος του του υποκείμενου δεδομένων

      4. Σημαντικοί λόγοι δημοσίου συμφέροντος που να δικαιολογούν την διαβίβαση.

      5. Η διαβίβαση είναι απαραίτητη για την θεμελίωση/άσκηση/υποστήριξη νομικών αξιώσεων.

      6. Η διαβίβαση είναι απαραίτητη για την προστασία ζωτικού συμφέροντος του υποκείμενου δεδομένων ή άλλου προσώπου, εφόσον το εν λόγω πρόσωπο δεν έχει εν προκειμένω την φυσική ή νομική ικανότητα να παράσχει την συγκατάθεση του.

      7. Η διαβίβαση γίνεται από μητρώο ανοικτό στο ευρύ κοινό ή σε έχοντα έννομο συμφέρον (όχι διαβίβαση του συνόλου των πληροφοριών ή συνόλου κατηγοριών π.δ)


    Όταν η διαβίβαση σε τρίτη χώρα ή διεθνή οργανισμό δεν μπορεί να βασιστεί σε κάποια απόφαση επάρκειας ή στην παροχή των κατάλληλων εγγυήσεων και δεν ισχύει οποιαδήποτε από τις πιο πάνω αναφερόμενες παρεκκλίσεις, αυτή μπορεί να γίνει μόνον εάν η διαβίβαση δεν είναι επαναλαμβανόμενη, αφορά μόνο περιορισμένο αριθμό υποκείμενων δεδομένων και είναι απαραίτητη για τους σκοπούς επιτακτικών εννόμων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας, τα οποία όμως δεν μπορεί να υπερισχύουν των συμφερόντων και ελευθεριών του υποκείμενου των δεδομένων και νοουμένου ότι έχει παράσχει τις κατάλληλες εγγυήσεις για τα δεδομένα προσωπικού χαρακτήρα που πρόκειται να διαβιβαστούν. Σε τέτοια περίπτωση ο υπεύθυνος επεξεργασίας ενημερώνει την Επίτροπο για την διαβίβαση.


    Σχετική καθοδήγηση αναφορικά με το πότε μία διαβίβαση πληροί τις πιο πάνω προϋποθέσεις μπορείτε να βρείτε στις κατευθυντήριες γραμμές 2/2018 που έκδωσε το EDPB (25.05.2018).    Επιπρόσθετα, θα πρέπει να λαμβάνονται υπόψη και οι πρόνοιες του άρθρου 18 του Ν. 125(Ι)/2018, στην βάση των οποίων όταν πρόκειται για διαβίβαση ειδικών κατηγοριών και/ή για ευαίσθητα δεδομένα προσωπικού χαρακτήρα στην βάση των προαναφερόμενων παρεκκλίσεων, θα πρέπει να διενεργείται εκτίμηση αντικτύπου και να υπάρχει προηγούμενη διαβούλευση με την Επίτροπο.    Δ. Ενημέρωση των υποκειμένων των δεδομένων


    Αν ο οργανισμός σας διαβιβάζει δεδομένα ή προτίθεται να διαβιβάσει δεδομένα σε τρίτη χώρα, στη βάση όλων όσων αναφέρονται πιο πάνω, θα πρέπει να ενημερώσει κατάλληλα τα υποκείμενα των δεδομένων, σύμφωνα με την υποχρέωσή του, που απορρέει, κατά περίπτωση, από τα Άρθρα 13(1)(στ) και 14(1)(στ) του Κανονισμού.

    Ε. Συμπληρωματικά μέτρα προστασίας-Η απόφαση SCHREMS II-Διαβίβαση δεδομένων στις ΗΠΑ-Συστάσεις 1/2020.


   Η «Ασπίδα Προστασίας της Ιδιωτικής Ζωής ΕΕ–ΗΠΑ» - PRIVACY SHIELD ήταν ένας μηχανισμός αυτοπιστοποίησης για εταιρείες που εδρεύουν στις ΗΠΑ ο οποίος είχε αναγνωριστεί με Εκτελεστική Απόφαση της Ευρωπαϊκής Επιτροπής (ΕΕ) 2016/1250 ότι εξασφαλίζει ικανοποιητικό επίπεδο προστασίας των προσωπικών δεδομένων που διαβιβάζονται από οργανισμούς της ΕΕ σε οργανισμούς οι οποίοι έχουν αυτοπιστοποιηθεί ότι παρέχουν τις κατάλληλες νομικές εγγυήσεις για αυτές τις διαβιβάσεις δεδομένων και δεσμεύονται να τηρούν ένα σύνολο αρχών προστασίας της ιδιωτικής ζωής — τις λεγόμενες αρχές του πλαισίου της ασπίδας προστασίας της ιδιωτικής ζωής ΕΕ–ΗΠΑ.
    Στις 16 Ιουλίου, το Δικαστήριο της ΕΕ (ΔΕΕ) εξέδωσε μία πολύ σημαντική Απόφαση, με βάση την οποία καταργείται το Privacy Shield, το νομικό εργαλείο που καθιστούσε ελεύθερη την διαβίβαση προσωπικών δεδομένων στις ΗΠΑ. Ταυτόχρονα, έκρινε ότι, παραμένουν σε ισχύ οι Τυποποιημένες Συμβατικές Ρήτρες (ΤΣΡ), ένα άλλο νομικό εργαλείο που μπορεί να χρησιμοποιηθεί για διαβίβαση δεδομένων σε τρίτες χώρες, με αυστηρές όμως προϋποθέσεις. Η Απόφαση αυτή επηρεάζει όλους τους οργανισμούς που διαβιβάζουν ή προτίθενται να διαβιβάσουν δεδομένα σε τρίτες χώρες και ιδιαίτερα στις ΗΠΑ.
     Την προσφυγή καταχώρησε ενώπιον του ΔΕΕ Αυστριακός χρήστης του Facebook, έναντι Απόφασης της Ιρλανδικής Αρχής Προστασίας Δεδομένων, κατά την οποία αμφισβητήθηκε η νομιμότητα του Privacy Shield και των ΤΣΡ. Το ΔΕΕ, αφού εξέτασε διάφορους παράγοντες και ιδιαίτερα το νομικό καθεστώς των ΗΠΑ που αφορά στην παρακολούθηση δεδομένων από την ΕΕ στις ΗΠΑ, κήρυξε ανίσχυρο το Privacy Shield.

     Παρόλο που κρίθηκε ότι οι ΤΣΡ παραμένουν σε ισχύ, οργανισμός που τις χρησιμοποιεί ή προτίθενται να τις χρησιμοποιήσει, θα πρέπει να εξετάζει το καθεστώς της χώρας που αφορά στις παρακολουθήσεις και αν δεν παρέχεται ικανοποιητικό επίπεδο προστασίας, θα πρέπει να μην επιτρέψει ή να αναστείλει την οποία διαβίβαση. Επίσης, όπου χρειάζεται, θα πρέπει να λαμβάνει και πρόσθετα μέτρα προστασίας. Σε αντίθετη περίπτωση, επηρεαζόμενοι πολίτες μπορούν να κινηθούν νομικά εναντίον του οργανισμού για αποζημιώσεις και να υποβάλουν παράπονο ενώπιον της αρμόδιας εποπτικής Αρχής.

     Οι εποπτικές Αρχές, μέσω του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων, που αποτελεί το συλλογικό τους όργανο, έχουν παράσχει καθοδήγηση στους επηρεαζόμενους οργανισμούς, για την ομαλή και ομοιόμορφη εφαρμογή της Απόφασης του ΔΕΕ. Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων εξέδωσε σχετική ανακοίνωση στις 17 Ιουλίου.

     Επιπλέον, με αφορμή τους προβληματισμούς που έθεσε το ΔΕΕ στην πιο πάνω απόφαση, αλλά και τις αρχές που πρέπει να διέπουν την προστασία των δεδομένων κατά την διαβίβαση τους, το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (ΕΣΠΔ) υιοθέτησε τις Συστάσεις 1/2020. Στο σχετικό εισαγωγικό κείμενο τονίζεται ότι η διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες δεν μπορεί να αποτελέσει μέσο υπονόμευσης ή υποβάθμισης της προστασίας που παρέχεται στον ΕΟΧ ενώ ως και η σχετική επισήμανση του ΔΕΕ στην πιο πάνω απόφαση του, το επίπεδο προστασίας σε τρίτες χώρες δεν απαιτείται να είναι ίδιο με εκείνο που διασφαλίζεται εντός του ΕΟΧ, αλλά ουσιαστικά ισοδύναμο. Τονίζεται η επισήμανση του ΔΕΕ ότι οι υπεύθυνοι επεξεργασίας ή οι εκτελούντες την επεξεργασία, οι οποίοι ενεργούν ως εξαγωγείς, είναι υπεύθυνοι να ελέγχουν κατά περίπτωση και, ενδεχομένως, σε συνεργασία με τον εισαγωγέα στην τρίτη χώρα, κατά πόσο το δίκαιο ή η πρακτική στην τρίτη χώρα θίγει την αποτελεσματικότητα των κατάλληλων εγγυήσεων που περιέχονται στα εργαλεία διαβίβασης του άρθρου 46 του ΓΚΠΔ. Σε αυτές τις περιπτώσεις, εξακολουθεί να είναι ανοιχτό το ενδεχόμενο οι εξαγωγείς να εφαρμόζουν πρόσθετα μέτρα που καλύπτουν τα εν λόγω κενά στην προστασία και επιτυγχάνουν το επίπεδο που απαιτείται από το δίκαιο της Ένωσης. Προκειμένου λοιπόν να συνδράμει τους εξαγωγείς (είτε πρόκειται για υπεύθυνους επεξεργασίας ή εκτελούντες την επεξεργασία, είτε για πρόσωπα ιδιωτικού ή δημόσιου δικαίου, που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα εντός του πεδίου εφαρμογής του ΓΚΠΔ) στο περίπλοκο έργο της αξιολόγησης τρίτων χωρών και του προσδιορισμού κατάλληλων πρόσθετων μέτρων, όπου απαιτείται, το ΕΣΠΔ εξέδωσε τις προαναφερόμενες συστάσεις. Οι συστάσεις αυτές αφορούν τις εξής θεματικές ενότητες:

     · Οι εξαγωγείς θα πρέπει να γνωρίζουν τις διαβιβάσεις τους.
     · Η επαλήθευση του εργαλείου διαβίβασης στο οποίο βασίζεται η διαβίβαση.
     · Έλεγχος αν υπάρχει κάτι στη νομοθεσία και/ή στις ισχύουσες πρακτικές της τρίτης χώρας που θα μπορούσε να επηρεάσει την αποτελεσματικότητα των κατάλληλων εγγυήσεων των εργαλείων διαβίβασης στα οποία βασίζεται ο εξαγωγέας, στο πλαίσιο της συγκεκριμένης διαβίβασης.
     · Ο προσδιορισμός και η θέσπιση νέων μέτρων που τυχόν είναι αναγκαία, προκειμένου το επίπεδο προστασίας των διαβιβαζόμενων δεδομένων να προσεγγίσει το επίπεδο του προτύπου της ΕΕ όσον αφορά την ουσιαστική ισοδυναμία.
     · Η διενέργεια τυπικών διαδικαστικών ενεργειών που μπορεί να απαιτούνται από την έγκριση του πρόσθετου μέτρου του εξαγωγέας, ανάλογα με το εργαλείο διαβίβασης του άρθρου 46 του Κανονισμού, στο οποίο βασίζεται η διαβίβαση.
     · Η επανεκτίμηση ανά τακτά χρονικά διαστήματα του επιπέδου προστασίας των δεδομένων προσωπικού χαρακτήρα που διαβιβάζονται σε τρίτες χώρες και η παρακολούθηση αν υπήρξαν ή αν υπάρξουν εξελίξεις που μπορεί να τα επηρεάσουν.

     Νέο Πλαίσιο για την διαβίβαση δεδομένων στις ΗΠΑ

    Η Ευρωπαϊκή Επιτροπή υιοθέτησε στις 10 Ιουλίου 2023, την εκτελεστική Απόφαση για το «Πλαίσιο Προστασίας Δεδομένων ΕΕ - ΗΠΑ». Δυνάμει του νέου πλαισίου προστασίας δεδομένων, οι διαβιβάσεις δεδομένων στις ΗΠΑ μπορούν να πραγματοποιούνται από χώρες της Ένωσης προς εταιρείες στις ΗΠΑ, χωρίς να απαιτείται άλλο εργαλείο διαβίβασης, σχετικές εγγυήσεις ή συμπληρωματικά μέτρα. Ωστόσο, εταιρείες των ΗΠΑ θα είναι σε θέση να προσχωρήσουν στο πλαίσιο αυτό, μετά την ανάληψη δέσμευσης για συμμόρφωση με ένα λεπτομερές σύνολο υποχρεώσεων για την προστασία της ιδιωτικής ζωής.

    Το νέο πλαίσιο αποτελεί την τρίτη κατά σειρά Απόφαση επάρκειας της Ευρωπαϊκής Επιτροπής για διαβίβαση δεδομένων στις ΗΠΑ. Από τις 26 Ιουλίου 2000, οι διαβιβάσεις δεδομένων προς τις ΗΠΑ καλύπτονταν από την Απόφαση της Ευρωπαϊκής Επιτροπής περί Ασφαλούς Λιμένα (Safe Harbour), η οποία ακυρώθηκε από το Δικαστήριο της Ευρωπαϊκής Ένωσης (ΔΕΕ) στις 6 Οκτωβρίου 2015, μετά από προσφυγή του Max Schrems. Ακολούθως, από τις 12 Ιουλίου 2016, τέθηκε σε ισχύ η Απόφαση της Ευρωπαϊκής Επιτροπής περί Ασπίδας Προστασίας της Ιδιωτικής Ζωής (Privacy Shield), η οποία επίσης ακυρώθηκε στις 16 Ιουλίου 2020 από το ΔΕΕ, μετά από νέα προσφυγή που καταχώρισε o Max Schrems.

    Η Απόφαση υιοθετήθηκε μετά από εκτεταμένες διαβουλεύσεις μεταξύ της Επιτροπής και των ΗΠΑ, και μετά από σχετική Γνώμη του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων. Σύμφωνα με την Ανακοίνωση της Επιτροπής, προβλέπονται διασφαλίσεις για περιορισμό της πρόσβασης των αρχών πληροφοριών των ΗΠΑ σε όσα δεδομένα Ευρωπαίων πολιτών είναι αναγκαία και αναλογικά για την προστασία της εθνικής ασφάλειας. Επίσης, προβλέπεται ενισχυμένη εποπτεία των δραστηριοτήτων των υπηρεσιών πληροφοριών των ΗΠΑ. Τέλος, κρίνεται σημαντική η σύσταση Δικαστηρίου Ελέγχου της Προστασίας Δεδομένων, το οποίο θα διερευνά και θα επιλύει καταγγελίες πολιτών της Ένωσης, αφορώσες την πρόσβαση των αρχών εθνικής ασφάλειας των ΗΠΑ στα δεδομένα τους.

    Το νέο πλαίσιο θα υπόκειται σε περιοδικές επανεξετάσεις, από την Ευρωπαϊκή Επιτροπή σε συνεργασία με εκπροσώπους της Αρχών Προστασίας Δεδομένων της Ένωσης. Συγκεκριμένα, η πρώτη επανεξέταση θα διενεργηθεί εντός έτους από την έναρξη ισχύος της Απόφασης επάρκειας.

    Εκτελεστική Απόφαση Ευρωπαϊκής Επιτροπής
    https://commission.europa.eu/document/fa09cbad-dd7d-4684-ae60-be03fcb0fddf_el

    Ανακοίνωση Ευρωπαϊκής Επιτροπής
    https://ec.europa.eu/commission/presscorner/detail/el/ip_23_3721


     Σχετικά θέματα


      Last update: 24.01.2023

      Κατεβάστε το αρχείο τύπου Acrobat edpb_guidelines_2_2018_derogations_el.pdf


      Back To Top