Διασυνοριακή διαβίβαση προσωπικών δεδομένων στον GDPR

Επιμέλεια: Ζωή Βελαέτη, Ασκ. Δικηγόρος - Πωλίνα Ξηνταράκου, Ασκ. Δικηγόρος

Διασυνοριακή διαβίβαση προσωπικών δεδομένων σε τρίτες χώρες και διεθνείς οργανισμούς

Στη σύγχρονη ψηφιακή εποχή πλήθος οικονομικών, εμπορικών και κοινωνικών δραστηριοτήτων απαιτούν τη διαβίβαση μεγάλου όγκου προσωπικών δεδομένων, τα οποία και αποθηκεύονται σε διακομιστές σε διάφορες χώρες. Βασική πρόκληση του ΓΚΠΔ είναι να θεσπίζει ένα στεγανό, εναρμονισμένο πλαίσιο εντός του οποίου να καθίσταται δυνατή τόσο η ελεύθερη μεταβίβαση προσωπικών δεδομένων όσο και η προστασία της ιδιωτικότητας των φυσικών προσώπων. Η «διασυνοριακή διαβίβαση δεδομένων» αποτελεί μορφή επεξεργασίας των προσωπικών δεδομένων, τα οποία αποστέλλονται από έναν υπεύθυνο επεξεργασίας εγκατεστημένο στην ΕΕ προς ένα τρίτο κράτος ή διεθνή οργανισμό. Από τις 30.03.2019, και με βάση τα παρόντα δεδομένα, μεταξύ των τρίτων κρατών θα συγκαταλέγεται και το Ηνωμένο Βασίλειο, η εξαγωγή δεδομένων προς το οποίο θα υπόκειται στις σχετικές διατάξεις του ΓΚΠΔ.

Στο πέμπτο κεφάλαιο του ΓΚΠΔ θεσμοθετείται η διαδικασία δυνάμει της οποίας είναι επιτρεπτή η διαβίβαση των δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες ή διεθνείς οργανισμούς, συμπεριλαμβανομένης της διασυνοριακής διαβίβασης μεταξύ εταιριών ή επιχειρήσεων, που ανήκουν στον ίδιο όμιλο ή επιδιώκουν κοινό οικονομικό σκοπό. Υπογραμμίζεται δε ότι η διαβίβαση δεδομένων εκτός ΕΕ αποτελεί στην ουσία μια διαδικασία δύο σταδίων: ο εξαγωγέας δεδομένων πρέπει, σε πρώτο στάδιο, να διασφαλίσει ότι η διαβίβαση δεδομένων, ως μορφή επεξεργασίας, πληροί τις γενικές προϋποθέσεις των γενικών διατάξεων των άρθρων 5, 6 και 9 του ΓΚΠΔ, και σε δεύτερο στάδιο, ότι τηρούνται οι ασφαλιστικές δικλείδες του πέμπτου κεφαλαίου.

Η διεθνής διαβίβαση δεδομένων πρέπει να βασίζεται σε μία από τις βάσεις νομιμότητα που εκτίθενται ακολούθως, κατά σειρά προτεραιότητας.

Αποφάσεις επάρκειας της Ευρωπαϊκής Επιτροπής

Για να λάβει χώρα μια διασυνοριακή διαβίβαση θα πρέπει να έχει προηγηθεί βεβαιωτική απόφαση της Επιτροπής επί της επάρκειας του επιπέδου προστασίας που μπορεί να παράσχει το τρίτο κράτος ή ο διεθνής οργανισμός. Σε περίπτωση ύπαρξης απόφασης επάρκειας (adequancy decision), η διασυνοριακή διαβίβαση δεν απαιτεί την έκδοση ειδικής άδειας από την εποπτική αρχή ή άλλη περαιτέρω ενέργεια.

Κατά την αξιολόγηση του επιπέδου προστασίας των δεδομένων σε τρίτες χώρες και διεθνούς οργανισμούς, η Επιτροπή λαμβάνει υπόψη της το νομικό πλαίσιο της τρίτης χώρα ή του διεθνούς οργανισμού ώστε να διαπιστωθεί αν εξασφαλίζεται ισοδύναμο επίπεδο προστασίας με το αντίστοιχο πλαίσιο της ΕΕ. Μεταξύ των στοιχείων που ερευνά είναι το κράτος δικαίου, τον σεβασμό των ανθρώπινων δικαιωμάτων και των θεμελιωδών ελευθεριών, την ύπαρξη και την αποτελεσματική λειτουργία μίας ή περισσότερων ανεξάρτητων εποπτικών αρχών οι οποίες βρίσκονται στην εν λόγω τρίτη χώρα ή στις οποίες υπόκειται ένας διεθνής οργανισμός, τις διεθνείς δεσμεύσεις ή άλλες υποχρεώσεις που έχει αναλάβει η εν λόγω τρίτη χώρα ή ο διεθνής οργανισμός ή άλλες υποχρεώσεις οι οποίες απορρέουν από νομικά δεσμευτικές συμβάσεις ή πράξεις και από τη συμμετοχή τους σε πολυμερή ή περιφερειακά συστήματα, ιδίως όσον αφορά την προστασία δεδομένων προσωπικού χαρακτήρα.

Η απόφαση επάρκειας της Επιτροπής συνιστά εκτελεστική πράξη, η οποία εκδίδεται σύμφωνα με το άρθρο 93 παρ. 2 και τον ΕΚ 182/2011, και υπόκειται σε τετραετή επανεξέταση δεδομένου ότι τα στοιχεία που λαμβάνει υπόψη για την έκδοση της απόφασης τείνουν να εξελίσσονται.

Αν ωστόσο διαπιστωθεί ότι ένα τρίτο κράτος ή ένας διεθνής οργανισμός δεν διασφαλίζει επαρκές επίπεδο προστασίας, αν και η Επιτροπή είχε αποφανθεί θετικά επ' αυτού, η Επιτροπή μπορεί περαιτέρω να καταργήσει, τροποποιήσει ή αναστείλει την απόφαση της επί της επάρκειας προστασίας εκδίδοντας εκτελεστικές πράξεις που θα ισχύουν ex nunc και όχι αναδρομικά ώστε να διασφαλίζεται η ασφάλεια των διασυνοριακών διαβιβάσεων που έλαβαν χώρα πριν την κατάργηση ή τροποποίηση της απόφασης. Σημειώνεται βέβαια πως η Επιτροπή δύναται να ξεκινήσει διαβουλεύσεις με το τρίτο κράτος/διεθνή οργανισμό με σκοπό την ώστε να επανορθωθεί η κατάσταση. Σε κάθε περίπτωση οι αποφάσεις της Επιτροπής ισχύουν μέχρι την αντικατάσταση ή κατάργηση τους με επόμενη απόφασή της.

Μέχρι σήμερα, η Επιτροπή έχει εκδώσει δώδεκα αποφάσεις επάρκειας για τα εξής τρίτα κράτη: Ανδόρα, Αργεντινή, Γκέρνσεϊ, Ελβετία, ΗΠΑ (μόνο στο πλαίσιο του μηχανισμού Privacy Shield), Ισραηλ, Καναδά, νήσους Φεροε, νησί του Μανώλη, Νέα Ζηλανδία, Ουρουγουάη και Τζέρσεϊ ενώ αναμένεται η έκδοση αποφάσεων για την Ιαπωνία και τη Νότια Κορέα.

Μετά την απόφαση Schrems, οι υπάρχουσες αποφάσεις επάρκειας τροποποιήθηκαν με την εκτελεστική απόφαση (EE) 2016/2295. Ιδιαίτερη βαρύτητα έχει η 2016/1250 απόφαση επάρκειας της Επιτροπής που αφορά την επάρκεια προστασίας του μηχανισμού της Ασπίδας Προστασίας (Privacy Shield).

Διαβιβάσεις που υπόκεινται σε κατάλληλες εγγυήσεις

Σε περίπτωση που η Επιτροπή δεν έχει εκδόσει απόφαση για ένα τρίτο κράτος ή διεθνή οργανισμό, σύμφωνα με το άρθρο 45 ΓΚΠΔ, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία, κατά περίπτωση, μπορεί να προβεί σε διασυνοριακή διαβίβαση δεδομένων υπό την προϋπόθεση ότι παράσχει κατάλληλες εγγυήσεις.

Ειδικότερα, οι εγγυήσεις αυτές μπορεί να προβλέπονται μέσω:

α) ενός νομικά δεσμευτικού και εκτελεστού μέσου μεταξύ δημόσιων αρχών ή φορέων,

β) δεσμευτικών εταιρικών κανόνων (Binding Corporate Rules),

γ) τυποποιημένων ρητρών προστασίας δεδομένων που εκδίδονται από την Επιτροπή,

δ) τυποποιημένων ρητρών προστασίας δεδομένων που εκδίδονται από εποπτική αρχή και εγκρίνονται από την Επιτροπή,

ε) εγκεκριμένου κώδικα δεοντολογίας, από κοινού με δεσμευτικές και εκτελεστές υποχρεώσεις του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία στην τρίτη χώρα να εφαρμόζει τις κατάλληλες εγγυήσεις, μεταξύ άλλων όσον αφορά τα δικαιώματα των υποκειμένων των δεδομένων,

ή στ) εγκεκριμένου μηχανισμού πιστοποίησης από κοινού με δεσμευτικές και εκτελεστές υποχρεώσεις του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία στην τρίτη χώρα να εφαρμόζει τις κατάλληλες εγγυήσεις, μεταξύ άλλων όσον αφορά τα δικαιώματα των υποκειμένων των δεδομένων.

Οι εγγυήσεις αυτές δεν απαιτούν προηγούμενη ειδική άδεια της εποπτικής αρχής. Ωστόσο, κατόπιν σχετικής άδειας από την αρμόδια εποπτική αρχή, οι κατάλληλες εγγυήσεις μπορεί να παρέχονται και σε ad hoc συμβατικές ρήτρες μεταξύ εισαγωγέα και εξαγωγέα των δεδομένων ή σε διοικητικές ρυθμίσεις μεταξύ δημόσιων αρχών ή φορέων οι οποίες περιλαμβάνουν εκτελεστά και ουσιαστικά δικαιώματα υπέρ των υποκειμένων των δεδομένων.

Στις περιπτώσεις αυτές, οι εποπτικές αρχές δύνανται να συνεργάζονται μεταξύ τους καθώς και με την Επιτροπή στα πλαίσια του μηχανισμού συνεκτικότητας (άρθρα 63 επ.) ώστε να διασφαλίζεται η συνεκτική εφαρμογή του ΓΚΠΔ σε ολόκληρη την ΕΕ.

Επισημαίνεται δε πως οι άδειες και οι αποφάσεις που είχαν δοθεί σύμφωνα με την οδηγία 95/46/ΕΚ παραμένουν σε ισχύ έως ότου τροποποιηθούν, αντικατασταθούν ή καταργηθούν, εάν απαιτείται, από την εν λόγω εποπτική αρχή ή με απόφαση της Επιτροπής.

Όσον αφορά τους δεσμευτικούς εταιρικούς κανόνες (εσωτερικοί κανόνες στο πλαίσιο ενός ομίλου επιχειρήσεων, οι οποίοι ρυθμίζουν τη διαβίβαση δεδομένων σε οντότητες του ίδιου ομίλου, οι οποίες όμως είναι εγκατεστημένες σε τρίτες χώρες για τις οποίες δεν έχει εκδοθεί απόφαση επάρκειας), αξίζει να μνημονευθεί ότι ο ΓΚΠΔ δεν περιορίζει την εφαρμογή των δεσμευτικών εταιρικών κανόνων μόνο σε διαβιβάσεις δεδομένων μεταξύ οντοτήτων εντός του ίδιου ομίλου επιχειρήσεων, όπως όριζε ήδη η Οδηγία 95/46/ΕΚ, αλλά την διευρύνει και σε περιπτώσεις διαβιβάσεων μεταξύ επιχειρήσεων οι οποίες ασκούν κοινή οικονομική δραστηριότητα χωρίς απαραίτητα να είναι μέλη του ίδιου ομίλου, π.χ. στο πλαίσιο κοινοπραξίας. Οι δεσμευτικοί εταιρικοί κανόνες δεσμεύουν όλα τα μέλη του οικείου ομίλου στον οποίο εφαρμόζονται και απονέμουν ρητά εκτελεστά δικαιώματα στα υποκείμενα των δεδομένων. Οι δεσμευτικοί εταιρικοί κανόνες διαφέρουν ανάλογα με το εάν η διασυνοριακή διαβίβαση δεδομένων πραγματοποιείται από υπεύθυνο επεξεργασίας εγκατεστημένο στην ΕΕ προς άλλο υπεύθυνο προστασίας ή εκτελούντα την επεξεργασία του ίδιου ομίλου αλλά εγκατεστημένο εκτός ΕΕ, ή από υπεύθυνο επεξεργασίας εγκατεστημένο στην ΕΕ, ο οποίος δεν είναι μέλος του ίδιου ομίλου, προς υπεύθυνους επεξεργασίας ή εκτελούντες την επεξεργασία, μέλη του ίδιου ομίλου.

Παρεκκλίσεις του άρθρου 49

Ο ΓΚΠΔ προβλέπει ως έσχατη λύση την ύπαρξη ορισμένων παρεκκλίσεων από τον γενικό κανόνα, σύμφωνα με τον οποίο οι διαβιβάσεις δεδομένων προς τρίτες χώρες πρέπει να συνοδεύονται είτε με απόφαση επάρκειας της Επιτροπής είτε υπό κατάλληλες εγγυήσεις. Βασικές προϋποθέσεις για τη σύννομη προσφυγή στις εν λόγω παρεκκλίσεις είναι ο εξαγωγέας να έχει προβεί προηγουμένως σε έλεγχο αναγκαιότητας όσον αφορά την εφαρμογή της σχετικής παρέκκλισης και οι εν λόγω διαβιβάσεις να είναι περιστασιακές, με την έννοια ότι δύνανται να πραγματοποιούνται περισσότερες από μία φορές, όχι όμως και σε τακτική βάση. Με τον τρόπο αυτό διασφαλίζεται ο εξαιρετικός χαρακτήρας της ρύθμισης και αποτρέπεται ο κίνδυνος υπονόμευσης των θεμελιωδών δικαιωμάτων του υποκειμένου των δεδομένων.

Το άρθρο 49 παρ. 1 του ΓΚΠΔ προβλέπει, περιοριστικά και στενά ερμηνευόμενες, τις εξής περιπτώσεις παρεκκλίσεων:

1. το υποκείμενο έχει ενημερωθεί για τους πιθανούς κινδύνους μιας τέτοιας διαβίβασης και έχει δώσει ρητώς τη συγκατάθεσή του στη συγκεκριμένη διαβίβαση (για την έννοια και τις προϋποθέσεις της συγκατάθεσης στο πλαίσιο του ΓΚΠΔ βλ. )·

2. η διαβίβαση είναι απαραίτητη για την εκτέλεση σύμβασης μεταξύ του υποκειμένου και του υπευθύνου επεξεργασίας ή την εφαρμογή προσυμβατικών μέτρων κατόπιν αιτήματος του υποκειμένου ή για τη σύναψη σύμβασης που συνήφθη προς όφελος του υποκειμένου·

3. η διαβίβαση (είτε από δημόσιες αρχές είτε από ιδιωτικές οντότητες) είναι απαραίτητη για σπουδαίους λόγους δημοσίου συμφέροντος που αναγνωρίζονται είτε από το δίκαιο της ΕΕ είτε από το δίκαιο του κράτους μέλους στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας, συμπεριλαμβανομένων και των λόγων δημοσίου συμφέροντος που εξυπηρετούν το πνεύμα αμοιβαιότητας για διεθνή συνεργασία·

4. η διαβίβαση είναι απαραίτητη για τη θεμελίωση, άσκηση ή υπεράσπιση νομικών αξιώσεων στο πλαίσιο εξωδικαστικών, δικαστικών και διοικητικών διαδικασιών·

5. η διαβίβαση είναι απαραίτητη προκειμένου να προστατευθούν τα ζωτικά συμφέροντα του υποκειμένου ή άλλων προσώπων, όταν το υποκείμενο είναι φυσικά ή νομικά ανίκανο να δώσει τη συγκατάθεσή τους, ιδίως σε περιπτώσεις εκτάκτου ιατρικής ανάγκης, φυσικών καταστροφών, ενόπλων συρράξεων, κλπ. ·

6. η διαβίβαση πραγματοποιείται από δημόσιο μητρώο, το οποίο είτε είναι ανοιχτό στο ευρώ κοινό είτε η πρόσβαση επιτρέπεται κατόπιν σχετικού αιτήματος οποιουδήποτε προσώπου που επικαλείται την ύπαρξη εννόμου συμφέροντος (π.χ. μητρώα εταιριών, ποινικά μητρώα, κλπ.). Σημειωτέον δε ότι τρείς πρώτες εξαιρέσεις δεν εφαρμόζονται σε δραστηριότητες που εκτελούνται από δημόσιες αρχές κατά την άσκηση δημόσιας εξουσίας.

Τέλος, εάν καμία από τις παραπάνω περιπτώσεις δεν τυγχάνει εφαρμογής, ο ΓΚΠΔ επιτρέπει, εξαιρετικά και υπό ορισμένες ειδικές και ρητές προϋποθέσεις, τη διασυνοριακή διαβίβαση δεδομένων για την εξυπηρέτηση επιτακτικών εννόμων συμφερόντων του εξαγωγέα δεδομένων (άρθρο 49 παρ. 2). Στην ιδιάζουσα αυτή περίπτωση, ο εξαγωγέας, ο οποίος αποκλείεται να είναι δημόσια αρχή κατά την άσκηση δημόσιας εξουσίας, πρέπει να αποδείξει ότι η εν λόγω διαβίβαση δεν είναι επαναλαμβανόμενη, αφορά μόνο περιορισμένο αριθμό υποκειμένων και ότι έχει προβεί σε προηγούμενη στάθμιση συμφερόντων και στην παροχή κατάλληλων εγγυήσεων προστασίας των δεδομένων. Περαιτέρω, ο εξαγωγέας υποχρεούται να ενημερώσει σχετικά με την εν λόγω διαβίβαση τόσο την εποπτική αρχή όσο και το υποκείμενο των δεδομένων.

p>Υπενθυμίζεται ότι διαβιβάσεις σε δικαστήριο ή διοικητική αρχή τρίτης χώρας που απαιτεί από υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία να διαβιβάσει ή να κοινοποιήσει προσωπικά δεδομένα είναι επιτρεπτές, μόνον εάν οι αποφάσεις των αλλοδαπών αρχών βασίζονται σε διεθνή συμφωνία (όπως σύμβαση αμοιβαίας δικαστικής συνδρομής), που ισχύει μεταξύ της αιτούσας τρίτης χώρας και της ΕΕ ή κράτους μέλους, με την επιφύλαξη άλλων λόγων διαβίβασης (άρ. 48 ΓΚΠΔ).

Privacy Shield: Διαβιβάσεις δεδομένων μεταξύ ΕΕ-ΗΠΑ

Η Ευρωπαϊκή Ένωση (ΕΕ) και οι Ηνωμένες Πολιτείες (ΗΠΑ) έχουν ισχυρούς εμπορικούς δεσμούς, με τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα να αποτελούν σημαντικό και απαραίτητο στοιχείο των διατλαντικών σχέσεων, ιδίως στην παγκοσμιοποιημένηψηφιακή οικονομία. Πολλές συναλλαγές περιλαμβάνουν τη συλλογή και χρήση δεδομένων προσωπικού χαρακτήρα. Για παράδειγμα, η συλλογή δεδομένων μπορεί να γίνει στην ΕΕ από υποκατάστημα ή επιχειρηματικό εταίρο εταιρείας των ΗΠΑ που λαμβάνει τα δεδομένα και στη συνέχεια τα χρησιμοποιεί στις ΗΠΑ. Αυτό συμβαίνει π.χ. στις αγορές αγαθών ή υπηρεσιών μέσω του διαδικτύου, στα μέσα κοινωνικής δικτύωσης ή υπηρεσίες αποθήκευσης σε νέφος ή σε υπαλλήλους εταιρείας με έδρα στην ΕΕ που χρησιμοποιεί άλλη εταιρεία στις ΗΠΑ (π.χ. τη μητρική εταιρία) για τον χειρισμό των προσωπικών δεδομένων του προσωπικού.

Η νομοθεσία της Ευρωπαϊκής Ένωσης ορίζει ότι, όταν τα προσωπικά σας δεδομένα διαβιβάζονται στις ΗΠΑ, εξακολουθούν να επωφελούνται από υψηλό επίπεδο προστασίας. Υπενθυμίζεται ότι στην υπόθεση Schrems το 2015, το Δικαστήριο της Ευρωπαϊκής Ένωσης (ΔΕΕ) κήρυξε ανίσχυρη την απόφαση της Ευρωπαϊκής Επιτροπής σχετικά με την επάρκεια του καθεστώτος «ασφαλούς λιμένα» (Safe Harbour) μεταξύ της Ευρωπαϊκής Ένωσης και των Ηνωμένων Πολιτειών της Αμερικής. Το 2016, η Ευρωπαϊκή Επιτροπή και οι ΗΠΑ υιοθέτησαν ένα νέο πλαίσιο για τη διατλαντική διαβίβαση προσωπικών δεδομένων, γνωστή ως Ασπίδα Προστασίας της ιδιωτικής ζωής (Privacy Shield). Η ασπίδα προστασίας επιτρέπει τη διαβίβαση των προσωπικών σας δεδομένων από την ΕΕ σε μια εταιρεία στις ΗΠΑ, υπό την προϋπόθεση ότι η αμερικανική εταιρεία επεξεργάζεται (π.χ. χρησιμοποιεί, αποθηκεύει και διαβιβάζει περαιτέρω) τα προσωπικά σας δεδομένα σύμφωνα με μια ισχυρή δέσμη κανόνων και διασφαλίσεων για την προστασία των δεδομένων. Η προστασία που παρέχεται στα δεδομένα σας ισχύει ανεξάρτητα από το αν είστε πολίτης της ΕΕ ή όχι.

Πώς λειτουργεί η ασπίδα προστασίας της ιδιωτικής ζωής;

Για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα από την ΕΕ στις ΗΠΑ διατίθενται ποικίλα εργαλεία όπως συμβατικές ρήτρες, δεσμευτικοί εταιρικοί κανόνες (βλέπε παραπάνω) και η ασπίδα προστασίας της ιδιωτικής ζωής. Εάν χρησιμοποιηθεί η ασπίδα προστασίας της ιδιωτικής ζωής, οι εταιρείες των ΗΠΑ πρέπει να έχουν προηγουμένως εγγραφεί στο πλαίσιο αυτό μέσω του Υπουργείου Εμπορίου των ΗΠΑ. Οι υποχρεώσεις που ισχύουν για τις εταιρείες βάσει της ασπίδας προστασίας της ιδιωτικής ζωής περιλαμβάνονται στις «αρχές προστασίας της ιδιωτικής ζωής». Το εν λόγω Υπουργείο είναι υπεύθυνο για τη διαχείριση και τη διοίκηση της ασπίδας προστασίας της ιδιωτικής ζωής και για να εξασφαλίζεται ότι οι εταιρείες τηρούν τις δεσμεύσεις τους. Για να είναι σε θέση να πιστοποιηθούν, οι εταιρείες πρέπει να εφαρμόζουν μία πολιτική προστασίας της ιδιωτικής ζωής που συνάδει με τις αρχές προστασίας της ιδιωτικής ζωής. Πρέπει να ανανεώνουν τη «συμμετοχή» τους στην ασπίδα προστασίας της ιδιωτικής ζωής σε ετήσια βάση. Εάν αυτό δεν συμβεί, δεν μπορούν πλέον να λαμβάνουν και να χρησιμοποιούν δεδομένα προσωπικού χαρακτήρα από την ΕΕ δυνάμει του εν λόγω πλαισίου.

Για να πληροφορηθείτε εάν μια εταιρεία στις ΗΠΑ είναι μέρος της ασπίδας προστασίας της ιδιωτικής ζωής, μπορείτε να ελέγξετε τον κατάλογο της ασπίδας προστασίας της ιδιωτικής ζωής στον ιστότοπο του Υπουργείου Εμπορίου των ΗΠΑ (https://www.privacyshield.gov/welcome). Ο κατάλογος αυτός θα σας δώσει πληροφορίες σχετικά με όλες τις εταιρείες που συμμετέχουν στην ασπίδα προστασίας της ιδιωτικής ζωής, το είδος προσωπικών δεδομένων που χρησιμοποιούν και το είδος των υπηρεσιών που παρέχουν. Μπορείτε επίσης να βρείτε κατάλογο με τις εταιρείες που δεν αποτελούν πλέον μέρος της ασπίδας προστασίας της ιδιωτικής ζωής. Αυτό σημαίνει ότι δεν επιτρέπεται πλέον να λαμβάνουν τα προσωπικά σας δεδομένα στο πλαίσιο της ασπίδας προστασίας της ιδιωτικής ζωής. Επίσης, οι εν λόγω εταιρείες μπορούν να διατηρούν τα προσωπικά σας δεδομένα μόνον εάν έχουν αναλάβει ενώπιον του Υπουργείου Εμπορίου των ΗΠΑ τη δέσμευση ότι θα εξακολουθήσουν να εφαρμόζουν τις αρχές προστασίας της ιδιωτικής ζωής.

Οι υποχρεώσεις των εταιρειών σε σχέση με την ασπίδα προστασίας της ιδιωτικής ζωής και τα δικαιώματά σας όσον αφορά τη χρήση των προσωπικών σας δεδομένων

Η ασπίδα προστασίας της ιδιωτικής ζωής σας παρέχει ορισμένα δικαιώματα και οι εταιρείες υποχρεούνται να προστατεύουν τα προσωπικά σας δεδομένα σύμφωνα με τις «αρχές προστασίας της ιδιωτικής ζωής»:

1. Το δικαίωμά σας στην ενημέρωση

2. Περιορισμοί σχετικά με τη χρήση των δεδομένων σας για διαφορετικούς σκοπούς

3. Ελαχιστοποίηση των δεδομένων και υποχρέωση διατήρησης των δεδομένων σας μόνο για το διάστημα που απαιτείται

4. Υποχρέωση διασφάλισης των δεδομένων σας

5. Υποχρέωση προστασίας των δεδομένων σας σε περίπτωση που διαβιβάζονται σε άλλη εταιρεία

6. Το δικαίωμά σας για πρόσβαση και διόρθωση των δεδομένων σας

7. Το δικαίωμά σας να υποβάλετε καταγγελία και να λάβετε έννομη προστασία

- Φορέας εναλλακτικής επίλυσης διαφορών: Ένας φορέας εναλλακτικής επίλυσης διαφορών είναι ένας ιδιωτικός φορέας που ασχολείται με καταγγελίες που υποβάλλονται κατά εταιρειών. Όταν μια εταιρεία που συμμετέχει στην ασπίδα προστασίας της ιδιωτικής ζωής επιλέξει την ΕΕΔ, πρέπει να αποφασίσει αν θα υποβάλει την καταγγελία σε ΕΕΔ στην ΕΕ ή στις ΗΠΑ. Η διαδικασία με την οποία η ΕΕΔ χειρίζεται τις καταγγελίες σας εξαρτάται από τον συγκεκριμένο φορέα που έχει επιλεγεί.

- Εθνική αρχή προστασίας δεδομένων: Σε κάθε κράτος μέλος της ΕΕ είναι εγκατεστημένη μια αρχή προστασίας δεδομένων η οποία είναι αρμόδια για την προστασία και την επιβολή των κανόνων προστασίας δεδομένων σε εθνικό επίπεδο.

- Επιτροπή της ασπίδας προστασίας της ιδιωτικής ζωής: Η επιτροπή της ασπίδας προστασίας της ιδιωτικής ζωής είναι ένας «μηχανισμός διαιτησίας» που αποτελείται από τρεις ουδέτερους διαιτητές, πράγμα που σημαίνει ότι προβαίνει σε διακανονισμό των διαφορών χωρίς προσφυγή σε δικαστήριο.

8. Έννομη προστασία σε περίπτωση πρόσβασης των δημόσιων αρχών των ΗΠΑ στα προσωπικά σας δεδομένα.

Πηγές

Γενικός Κανονισμός για την Προστασία Δεδομένων (άρθρα 45,46,47, 48 και 49)

Recommendation on the Standard Application for Approval of Controller Binding Corporate Rules for the Transfer of Personal Data, WP 264

Recommendation on the Standard Application form for Approval of Processor Binding Corporate Rules for the Transfer of Personal Data, WP 265

Working Document setting up a table with the elements and principles to be found in Binding Corporate Rules, WP 256 rev.01

Working Document setting up a table with the elements and principles to be found in Processor Binding Corporate Rules, WP 257 rev.01

Εκτελεστική Απόφαση (ΕΕ) 2016/1250 σχετικά με την επάρκεια της προστασίας που παρέχεται από την ασπίδα προστασίας της ιδιωτικής ζωής ΕΕ–ΗΠΑ

Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (dpa.gr)

Ιστοσελίδα Ευρωπαϊκής Επιτοπής (ec.europa.eu)

send