Η διαβίβαση των δεδομένων προσωπικού χαρακτήρα από και προς χώρες εκτός Ένωσης και διεθνείς οργανισμούς κρίνονται αναγκαίες για την εξυπηρέτηση του διεθνούς εμπορίου και της διεθνούς συνεργασίας.

Πριν ξεκινήσουμε με αυτό το άρθρο όμως, σας προτείνουμε να διαβάσετε πρώτα την εισαγωγική ανάρτησή μας σχετικά με τα προσωπικά δεδομένα, έτσι ώστε να έχετε μια πιο ολοκληρωμένη άποψη του θέματος.

Τι θα δούμε σε αυτό το post;

Γιατί είναι σημαντική η ιδιαίτερη ρύθμιση της διαβίβασης των δεδομένων εκτός Ε.Ε;
Πότε είναι εφικτή η διαβίβαση των δεδομένων εκτός Ε.Ε.;
Και πώς μπορεί να γνωρίζει η εταιρία/οργανισμός σας ότι μία τρίτη χώρα ή ένας διεθνής οργανισμός εξασφαλίζει το απαραίτητο επίπεδο προστασίας;
Τι συμβαίνει σε περίπτωση που δεν έχει διενεργηθεί ο παραπάνω έλεγχος;
Τι γίνεται αν απουσιάζει η απόφαση επάρκειας και οι κατάλληλες εγγυήσεις;
Για την καλύτερη κατανόηση ακολουθεί ένα παράδειγμα…
Συμπεράσματα

Γιατί είναι σημαντική η ιδιαίτερη ρύθμιση της διαβίβασης των δεδομένων εκτός Ε.Ε;

Η επέκταση της διαβίβασης των προσωπικών δεδομένων δημιούργησε νέες προκλήσεις και προβλήματα που σχετίζονται με αυτά.

Όταν δεδομένα προσωπικού χαρακτήρα διαβιβάζονται από την Ένωση σε υπευθύνους επεξεργασίας, εκτελούντες την επεξεργασία ή άλλους αποδέκτες σε τρίτες χώρες ή σε διεθνείς οργανισμούς, δεν θα πρέπει να υποβιβάζεται το επίπεδο προστασίας των υποκειμένων των δεδομένων, το οποίο διασφαλίζεται εντός της Ένωσης από τον Κανονισμό GDPR.

Η προστασία που προσφέρει ο GDPR συνοδεύει τα δεδομένα. Αυτό σημαίνει ότι οι κανόνες για την προστασία των δεδομένων προσωπικού χαρακτήρα εξακολουθούν να ισχύουν ανεξάρτητα από το πού καταλήγουν τα δεδομένα.

Πότε είναι εφικτή η διαβίβαση των δεδομένων εκτός Ε.Ε.;

Για να κριθεί εάν είναι εφικτή ή όχι η διαβίβαση των δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα ή διεθνή οργανισμό θα πρέπει, πρώτα απ’ όλα, η Επιτροπή της Ε.Ε. να ελέγξει εάν εξασφαλίζεται ένα επαρκές επίπεδο προστασίας από την τρίτη χώρα ή από τον εν λόγω οργανισμό. Εφόσον κριθεί ότι υπάρχει το αναγκαίο επίπεδο προστασίας, δεν απαιτείται ειδική άδεια για την μεταφορά.

Συγκεκριμένα, όταν η Επιτροπή διενεργεί έλεγχο για να αποφασίσει σχετικά με το επίπεδο προστασίας που παρέχεται στην τρίτη χώρα ή τον οργανισμό, ελέγχει:

Το κράτος δικαίου, τον σεβασμό των ανθρώπινων δικαιωμάτων και των θεμελιωδών ελευθεριών, τη σχετική νομοθεσία σχετικά με διάφορους τομείς π.χ. όσον αφορά τη δημόσια ασφάλεια, την άμυνα, την εθνική ασφάλεια και το ποινικό δίκαιο, την πρόσβαση των δημόσιων αρχών σε δεδομένα προσωπικού χαρακτήρα, καθώς και την εφαρμογή αυτής της νομοθεσίας, τους κανόνες περί προστασίας δεδομένων, τους επαγγελματικούς κανόνες και τα μέτρα ασφάλειας, τη νομοθεσία που τηρεί η τρίτη χώρα ή ο οργανισμός σχετικά με την διαβίβαση δεδομένων προσωπικού χαρακτήρα σε άλλη χώρα ή διεθνή οργανισμό.

Φυσικά, λαμβάνονται υπόψη και τα δικαιώματα υποκειμένων των δεδομένων, τα αποτελεσματικά διοικητικά και δικαστικά μέσα προσφυγής για τα υποκείμενα των δεδομένων των οποίων τα δεδομένα προσωπικού χαρακτήρα διαβιβάζονται.

Το κατά πόσο υπάρχουν και λειτουργούν αποτελεσματικά μία ή περισσότερες ανεξάρτητες εποπτικές αρχές, που βρίσκονται στην τρίτη χώρα ή στις οποίες υπόκειται ο διεθνής οργανισμός και είναι υπεύθυνες να διασφαλίζουν και να επιβάλουν τη συμμόρφωση προς τους κανόνες προστασίας δεδομένων και να συμβουλεύουν τα υποκείμενα των δεδομένων σχετικά με την άσκηση των δικαιωμάτων τους.

Τις διεθνείς δεσμεύσεις που έχει αναλάβει η εν λόγω τρίτη χώρα ή ο διεθνής οργανισμός ή άλλες υποχρεώσεις οι οποίες απορρέουν από νομικά δεσμευτικές συμβάσεις ή πράξεις, ιδίως όσον αφορά την προστασία δεδομένων προσωπικού χαρακτήρα.

Η Επιτροπή εφόσον ελέγξει την επάρκεια του επιπέδου προστασίας, μπορεί να αποφασίσει, μέσω εκτελεστικής πράξης, ότι εξασφαλίζεται επαρκές επίπεδο προστασίας στην τρίτη χώρα ή στον διεθνή οργανισμό. Η απόφαση αυτή ονομάζεται απόφαση επάρκειας.

Στην εν λόγω εκτελεστική πράξη προβλέπεται μηχανισμός περιοδικής επανεξέτασης, τουλάχιστον ανά τετραετία, στην οποία συνεκτιμώνται όλες οι σχετικές εξελίξεις στην τρίτη χώρα ή τον διεθνή οργανισμό.

Και πώς μπορεί να γνωρίζει η εταιρία/οργανισμός σας ότι μία τρίτη χώρα ή ένας διεθνής οργανισμός εξασφαλίζει το απαραίτητο επίπεδο προστασίας;

Η Επιτροπή δημοσιεύει στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης και στον ιστότοπό της κατάλογο των τρίτων χωρών, εδαφών και συγκεκριμένων τομέων σε τρίτη χώρα, καθώς και των διεθνών οργανισμών, για τα οποία έχει αποφασίσει ότι διασφαλίζεται ή δεν διασφαλίζεται πλέον επαρκές επίπεδο προστασίας.

Τι συμβαίνει σε περίπτωση που δεν έχει διενεργηθεί ο παραπάνω έλεγχος;

Σε περίπτωση που δεν υπάρχει σχετική εκτελεστική πράξη με απόφαση επάρκειας, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία μπορεί να διαβιβάσει δεδομένα προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό μόνο εάν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία έχει παράσχει κατάλληλες εγγυήσεις, συμπεριλαμβανομένων και εκτελεστών δικαιωμάτων και αποτελεσματικών ένδικων μέσων για τα υποκείμενα των δεδομένων.

Τέτοιες κατάλληλες εγγυήσεις υπάρχουν :

Όσον αφορά ομίλους επιχειρήσεων ή ομίλους εταιρειών, που ασκούν κοινή οικονομική δραστηριότητα, οι εταιρείες μπορούν να διαβιβάζουν δεδομένα προσωπικού χαρακτήρα με βάση τους αποκαλούμενους δεσμευτικούς εταιρικούς κανόνες, οι οποίοι θα πρέπει να περιλαμβάνουν όλες τις βασικές αρχές και δικαιώματα που τυγχάνουν δικαστικής προστασίας.

Συγκεκριμένα, σύμφωνα με το άρθρο 4 του GDPR, ως «δεσμευτικοί εταιρικοί κανόνες» ορίζονται οι πολιτικές προστασίας δεδομένων προσωπικού χαρακτήρα τις οποίες ακολουθεί ένας υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία εγκατεστημένος στο έδαφος κράτους μέλους για διαβιβάσεις ή δέσμη διαβιβάσεων δεδομένων προσωπικού χαρακτήρα σε υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία σε μία ή περισσότερες τρίτες χώρες εντός ομίλου επιχειρήσεων, ή ομίλου εταιρειών που ασκεί κοινή οικονομική δραστηριότητα,

Όταν υπάρχουν συμβατικές ρυθμίσεις μεταξύ του υπεύθυνου/εκτελούντος την επεξεργασία και του αποδέκτη των δεδομένων προσωπικού χαρακτήρα, που περιλαμβάνουν τυποποιημένες συμβατικές ρήτρες που έχουν λάβει την έγκριση της Ευρωπαϊκής Επιτροπής.

Όταν τηρείται εγκεκριμένος κώδικας δεοντολογίας ή μηχανισμός πιστοποίησης από κοινού με δεσμευτικές και εκτελεστές δεσμεύσεις από τον υπεύθυνο επεξεργασίας/εκτελούντα την επεξεργασίας σχετικά με την εφαρμογή κατάλληλων εγγυήσεων για την προστασία των δεδομένων που διαβιβάζονται.

Τι γίνεται αν απουσιάζει η απόφαση επάρκειας και οι κατάλληλες εγγυήσεις;

Σύμφωνα με το άρθρο 49 του GDPR σε περίπτωση που δεν υπάρχει ούτε απόφαση επάρκειας, ούτε οι παραπάνω κατάλληλες εγγυήσεις, η διαβίβαση είναι και πάλι εφικτή εφόσον πληρούται μία από τις ακόλουθες προϋποθέσεις:

το υποκείμενο των δεδομένων παρείχε την ρητή συγκατάθεσή του, αφού ενημερώθηκε πλήρως για του πιθανούς κινδύνους που εγκυμονούν σε τέτοιες διαβιβάσεις όπου λείπει απόφαση επάρκειας και κατάλληλες εγγυήσεις,
η διαβίβαση κρίνεται αναγκαία για την εκτέλεση σύμβασης μεταξύ του υποκειμένου των δεδομένων και του υπευθύνου επεξεργασίας ή για την εφαρμογή προσυμβατικών μέτρων τα οποία λαμβάνονται κατόπιν αιτήματος του υποκειμένου των δεδομένων,
η διαβίβαση είναι απαραίτητη για τη σύναψη ή την εκτέλεση σύμβασης η οποία συνήφθη προς όφελος του υποκειμένου των δεδομένων μεταξύ του υπευθύνου επεξεργασίας και άλλου φυσικού ή νομικού προσώπου,
η διαβίβαση είναι αναγκαία για σημαντικούς λόγους δημοσίου συμφέροντος. Για παράδειγμα σε περιπτώσεις διεθνών ανταλλαγών δεδομένων μεταξύ αρχών ανταγωνισμού, φορολογικών ή τελωνειακών αρχών, μεταξύ αρχών χρηματοοικονομικής εποπτείας, μεταξύ υπηρεσιών αρμόδιων για θέματα κοινωνικής ασφάλισης ή δημόσιας υγείας, λόγου χάρη σε περίπτωση ιχνηλάτησης επαφών για τη διαπίστωση μολυσματικών νόσων ή με σκοπό τον περιορισμό και/ή την εξάλειψη της φαρμακοδιέγερσης (ντόπινγκ) στον αθλητισμό.
η διαβίβαση είναι απαραίτητη για τη θεμελίωση, την άσκηση ή την υποστήριξη νομικών αξιώσεων,
η διαβίβαση είναι απαραίτητη για την προστασία των ζωτικών συμφερόντων του υποκειμένου των δεδομένων ή άλλων προσώπων, εφόσον το υποκείμενο των δεδομένων δεν έχει τη φυσική ή νομική ικανότητα να παράσχει τη συγκατάθεσή του. Παράδειγμα ζωτικών συμφερόντων αποτελεί η σωματική ακεραιότητα ή η ζωή,
η διαβίβαση πραγματοποιείται από μητρώο το οποίο σύμφωνα με το δίκαιο της Ένωσης ή του κράτους μέλους προορίζεται για την παροχή πληροφοριών στο κοινό και είναι ανοικτό για αναζήτηση πληροφοριών είτε στο ευρύ κοινό είτε σε οποιοδήποτε πρόσωπο μπορεί να επικαλεστεί έννομο συμφέρον. Σ αυτήν την περίπτωση η διαβίβαση πραγματοποιείται μόνο κατόπιν αιτήματος των προσώπων που έχουν έννομο συμφέρον από την αναζήτηση πληροφοριών ή μόνο εάν πρόκειται να είναι οι αποδέκτες.

Βέβαια, σε περίπτωση όπου δεν υπάρχει καμία από τις παραπάνω περιπτώσεις η διαβίβαση σε τρίτη χώρα ή σε διεθνή οργανισμό μπορεί να πραγματοποιηθεί μόνον εάν η αυτή δεν είναι επαναλαμβανόμενη.

Αφορά μόνο περιορισμένο αριθμό υποκειμένων των δεδομένων, είναι απαραίτητη για τους σκοπούς επιτακτικών έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας, τα οποία συμφέροντα υπερισχύουν των συμφερόντων ή των δικαιωμάτων και των ελευθεριών του υποκειμένου των δεδομένων και ο υπεύθυνος επεξεργασίας έχει εκτιμήσει όλες τις περιστάσεις που σχετίζονται με τη διαβίβαση των δεδομένων και έχει παράσχει τις δέουσες εγγυήσεις για την προστασία των δεδομένων προσωπικού χαρακτήρα.

Σχετικά με την εκτίμηση των περιστάσεων, για παράδειγμα για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς, θα πρέπει να λαμβάνονται υπόψη οι θεμιτές προσδοκίες της κοινωνίας για αύξηση της γνώσης

Ο υπεύθυνος επεξεργασίας ενημερώνει την εποπτική αρχή και το υποκείμενο των δεδομένων για τη διαβίβαση.

Για την καλύτερη κατανόηση ακολουθεί ένα παράδειγμα…

Μία γαλλική εταιρία θέλει να επεκτείνει τις υπηρεσίες της στην Αργεντινή, την Ουρουγουάη και τη Βραζιλία. Αρχικά, θα πρέπει πρώτα απ’ όλα να ελέγξει αν οι παραπάνω τρίτες χώρες υπόκεινται σε απόφαση επάρκειας.

Πράγματι, η Αργεντινή και η Ουρουγουάη έχουν κηρυχθεί επαρκείς.

Άρα, είναι εφικτή η διαβίβαση των δεδομένων προσωπικού χαρακτήρα σε αυτές τις δύο τρίτες χώρες χωρίς πρόσθετες εγγυήσεις, ενώ για τις διαβιβάσεις προς τη Βραζιλία, για την οποία δεν έχει εκδοθεί απόφαση επάρκειας, πρέπει η διαβίβαση των δεδομένων να συνοδεύεται με την παροχή κατάλληλων εγγυήσεων.

Συμπεράσματα

Εφόσον η εταιρία ή ο οργανισμός σας επιθυμεί να επεκτείνει τις δραστηριότητές του σε τρίτες χώρες/ διεθνείς οργανισμούς εκτός Ε.Ε., θα πρέπει:

Να ελέγξει αν έχει εκδοθεί για την εν λόγω χώρα/οργανισμό απόφαση επάρκειας από την Επιτροπή της Ε.Ε. Αν δεν έχει εκδοθεί:
Να παράσχει κατάλληλες εγγυήσεις που θα συνοδεύουν την διαβίβαση των δεδομένων. Αν δεν υπάρχουν ούτε οι κατάλληλες εγγυήσεις θα πρέπει:
Να ελέγξει αν υπάρχει κάποια από τις περιπτώσεις του άρθρου 49 GDPR (συγκατάθεση, λόγος δημοσίου συμφέροντος κτλ).

Συγγραφέας

Ελένη Κωστάκογλου

Νομικός

Γιατί είναι σημαντική η ιδιαίτερη ρύθμιση της διαβίβασης των δεδομένων εκτός Ε.Ε;

Πότε είναι εφικτή η διαβίβαση των δεδομένων εκτός Ε.Ε.;

Και πώς μπορεί να γνωρίζει η εταιρία/οργανισμός σας ότι μία τρίτη χώρα ή ένας διεθνής οργανισμός εξασφαλίζει το απαραίτητο επίπεδο προστασίας;

Τι συμβαίνει σε περίπτωση που δεν έχει διενεργηθεί ο παραπάνω έλεγχος;

Τι γίνεται αν απουσιάζει η απόφαση επάρκειας και οι κατάλληλες εγγυήσεις;

Για την καλύτερη κατανόηση ακολουθεί ένα παράδειγμα…

Συμπεράσματα

Συγγραφέας

You Might Also Like

Συγκατάθεση επεξεργασίας προσωπικών δεδομένων

Χρήση Ιστοσελίδας από Ανήλικους Χρήστες

Πολιτική Απορρήτου: The Basics