logo-print

Διαβίβαση δεδομένων στις ΗΠΑ: Τι ισχύει μετά την απόφαση του Δικαστηρίου της ΕΕ στην υπόθεση Schrems ΙΙ

Συχνές ερωτήσεις και απαντήσεις από το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων

Lawspot.gr

23/08/2020

Διαδίκτυο & τεχνητή νοημοσύνη στο ελληνικό δίκαιο

ΓΕΩΡΓΙΟΣ ΖΕΚΟΣ

ΝΕΕΣ ΤΕΧΝΟΛΟΓΙΕΣ & ΔΙΚΑΙΟ

Διαδίκτυο & τεχνητή νοημοσύνη στο ελληνικό δίκαιο

ΓΕΩΡΓΙΟΣ ΖΕΚΟΣ

ΝΕΕΣ ΤΕΧΝΟΛΟΓΙΕΣ & ΔΙΚΑΙΟ

Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (ΕΣΠΔ) εξέδωσε έγγραφο με απαντήσεις σε συχνές ερωτήσεις σχετικά με την απόφαση του Δικαστηρίου της Ευρωπαϊκής Ένωσης στην υπόθεση C- 311/18 - Επίτροπος προστασίας δεδομένων κατά Facebook Ireland Ltd και Maximillian Schrems.

Όπως αναφέρει το ΕΣΠΔ, το έγγραφο έχει ως στόχο να παρουσιάσει απαντήσεις σε ορισμένες συχνές ερωτήσεις που λαμβάνουν οι εποπτικές αρχές («ΕΑ»).

Θα καταρτιστεί και θα συμπληρωθεί μαζί με περαιτέρω ανάλυση, καθώς το ΕΣΠΔ εξακολουθεί να εξετάζει και να αξιολογεί την απόφαση του Δικαστηρίου της Ευρωπαϊκής Ένωσης (το «Δικαστήριο»).

Η απόφαση C-311/18 είναι διαθέσιμη εδώ.

1) Τι έκρινε το Δικαστήριο στην απόφασή του;

Στην απόφασή του, το Δικαστήριο εξέτασε το κύρος της απόφασης 2010/87/EΕ της Επιτροπής σχετικά με τις τυποποιημένες συμβατικές ρήτρες («ΤΣΡ») και την έκρινε έγκυρη.

Πράγματι, το κύρος της εν λόγω απόφασης δεν αμφισβητείται απλώς και μόνο από το γεγονός ότι οι τυποποιημένες ρήτρες προστασίας δεδομένων, δεδομένου ότι είναι συμβατικής φύσης, δεν δεσμεύουν την τρίτη χώρα στην οποία μπορεί να διαβιβάζονται δεδομένα.

Ωστόσο, το Δικαστήριο προσθέτει ότι το κύρος εξαρτάται από το αν η απόφαση 2010/87/ΕΕ περιλαμβάνει αποτελεσματικούς μηχανισμούς που καθιστούν δυνατή, στην πράξη, τη διασφάλιση της συμμόρφωσης με επίπεδο προστασίας ουσιαστικά ισοδύναμο με το επίπεδο που εγγυάται ο ΓΚΠΔ εντός της ΕΕ και ότι η διαβίβαση δεδομένων προσωπικού χαρακτήρα, σύμφωνα με τις εν λόγω ρήτρες, αναστέλλεται ή απαγορεύεται σε περίπτωση παραβίασης των εν λόγω ρητρών ή αδυναμίας εκπλήρωσής τους.

Συναφώς, το Δικαστήριο επισημαίνει, ειδικότερα, ότι η απόφαση 2010/87/ΕΕ επιβάλλει στον εξαγωγέα των δεδομένων και στον αποδέκτη των δεδομένων («εισαγωγέας δεδομένων») την υποχρέωση να ελέγχουν, πριν από κάθε διαβίβαση, και λαμβάνοντας υπόψη τις περιστάσεις της διαβίβασης, αν το συγκεκριμένο επίπεδο προστασίας τηρείται στην οικεία τρίτη χώρα, και ότι η απόφαση 2010/87/ΕΕ υποχρεώνει τον εισαγωγέα δεδομένων να ενημερώνει τον εξαγωγέα δεδομένων για κάθε αδυναμία συμμόρφωσης με τις τυποποιημένες ρήτρες προστασίας δεδομένων και, εν ανάγκη, με τυχόν πρόσθετα μέτρα εκτός εκείνων που παρέχει η εν λόγω ρήτρα, ο οποίος, με τη σειρά του, υποχρεούται να αναστείλει τη διαβίβαση των δεδομένων ή/και να καταγγείλει τη σύμβαση με τον εισαγωγέα των δεδομένων.

Το Δικαστήριο εξέτασε επίσης το κύρος της απόφασης για την ασπίδα προστασίας της ιδιωτικής ζωής (απόφαση 2016/1250 σχετικά με την επάρκεια της προστασίας που παρέχεται από την ασπίδα προστασίας της ιδιωτικής ζωής ΕΕ–ΗΠΑ), καθώς οι επίμαχες διαβιβάσεις στο πλαίσιο της εθνικής διαμάχης που οδήγησε στην αίτηση έκδοσης προδικαστικής απόφασης έλαβαν χώρα μεταξύ της ΕΕ και των Ηνωμένων Πολιτειών («ΗΠΑ»).

Το Δικαστήριο έκρινε ότι οι απαιτήσεις της εσωτερικής νομοθεσίας των ΗΠΑ, και συγκεκριμένα ορισμένα προγράμματα τα οποία επιτρέπουν την πρόσβαση αμερικανικών δημόσιων αρχών σε δεδομένα προσωπικού χαρακτήρα που διαβιβάζονται από την ΕΕ στις ΗΠΑ για σκοπούς εθνικής ασφάλειας, οδηγούν σε περιορισμούς της προστασίας δεδομένων προσωπικού χαρακτήρα οι οποίοι δεν οριοθετούνται με τέτοιον τρόπο ώστε να ανταποκρίνονται σε απαιτήσεις ουσιαστικά ισοδύναμες με εκείνες που επιβάλλει το δίκαιο της Ένωσης1, και ότι αυτή η νομοθεσία δεν παρέχει στα υποκείμενο των δεδομένων εκτελεστά δικαιώματα τα οποία να μπορούν να προβληθούν έναντι των αμερικανικών αρχών ενώπιον των δικαστηρίων.

Ως συνέπεια αυτού του βαθμού παρέμβασης στα θεμελιώδη δικαιώματα των προσώπων των οποίων τα δεδομένα διαβιβάζονται στην εν λόγω τρίτη χώρα, το Δικαστήριο κηρύσσει την απόφαση για την ασπίδα προστασίας της ιδιωτικής ζωής άκυρη.

2) Έχει επιπτώσεις η απόφαση του Δικαστηρίου σε άλλα εργαλεία διαβίβασης πέραν της ασπίδας προστασίας της ιδιωτικής ζωής;

Γενικά, όσον αφορά τις τρίτες χώρες, το κατώτατο όριο που ορίζει το Δικαστήριο ισχύει για όλες τις κατάλληλες εγγυήσεις βάσει του άρθρου 46 του ΓΚΠΔ οι οποίες χρησιμοποιούνται για τη διαβίβαση δεδομένων από τον ΕΟΧ σε οποιαδήποτε τρίτη χώρα. Η νομοθεσία των ΗΠΑ στην οποία παραπέμπει το Δικαστήριο (ήτοι άρθρο 702 του νόμου FISA και εκτελεστικό διάταγμα ΕΟ 12333) ισχύει για οποιαδήποτε διαβίβαση προς τις ΗΠΑ με χρήση ηλεκτρονικού μέσου, η οποία εμπίπτει στο πεδίο εφαρμογής της εν λόγω νομοθεσίας, ανεξάρτητα από το εργαλείο διαβίβασης που χρησιμοποιείται για τη διαβίβαση2.

3) Υπάρχει περίοδος χάριτος κατά τη διάρκεια της οποίας μπορώ να συνεχίσω να διαβιβάζω δεδομένα στις ΗΠΑ χωρίς αξιολόγηση της νομικής βάσης για τη διαβίβαση;

Όχι, το Δικαστήριο έχει κηρύξει άκυρη την απόφαση για την ασπίδα προστασίας της ιδιωτικής ζωής χωρίς να διατηρούνται τα αποτελέσματά της, καθώς η νομοθεσία των ΗΠΑ που αξιολογήθηκε από το Δικαστήριο δεν παρέχει ουσιαστικά ισοδύναμο επίπεδο προστασίας με εκείνο της ΕΕ. Αυτή η αξιολόγηση θα πρέπει να λαμβάνεται υπόψη για κάθε διαβίβαση προς τις ΗΠΑ.

4) Διαβίβαζα δεδομένα σε εισαγωγέα δεδομένων στις ΗΠΑ ο οποίος τηρούσε την ασπίδα προστασίας, τι θα πρέπει να κάνω τώρα;

Οι διαβιβάσεις βάσει αυτού του νομικού πλαισίου είναι παράνομες. Εάν επιθυμείτε να συνεχίσετε να διαβιβάζετε δεδομένα στις ΗΠΑ, θα πρέπει να ελέγξετε κατά πόσο μπορείτε να το κάνετε υπό τους όρους που παρατίθενται στη συνέχεια.

5) Χρησιμοποιώ ΤΣΡ με εισαγωγέα δεδομένων στις ΗΠΑ, τι θα πρέπει να κάνω;

Το Δικαστήριο έκρινε ότι η νομοθεσία των ΗΠΑ (ήτοι άρθρο 702 του νόμου FISA και εκτελεστικό διάταγμα EO 12333) δεν εξασφαλίζουν ουσιαστικά ισοδύναμο επίπεδο προστασίας.

Το κατά πόσο μπορείτε ή όχι να διαβιβάζετε δεδομένα προσωπικού χαρακτήρα με βάση τις ΤΣΡ θα εξαρτηθεί από το αποτέλεσμα της αξιολόγησής σας, δεδομένων και των περιστάσεων της διαβίβασης, καθώς και των πρόσθετων μέτρων που θα μπορούσατε να εφαρμόσετε. Τα πρόσθετα μέτρα, σε συνδυασμό με τις ΤΣΡ, μετά την κατά περίπτωση ανάλυση των περιστάσεων που αφορούν τη διαβίβαση, θα πρέπει να διασφαλίζουν ότι η νομοθεσία των ΗΠΑ δεν θίγει το επαρκές επίπεδο προστασίας που αυτά εγγυώνται.

Εάν καταλήξετε στο συμπέρασμα ότι, λαμβάνοντας υπόψη τις περιστάσεις της διαβίβασης και τα πιθανά πρόσθετα μέτρα, δεν θα μπορούσαν να διασφαλιστούν κατάλληλες εγγυήσεις, έχετε την υποχρέωση να αναστείλετε ή να τερματίσετε τη διαβίβαση των δεδομένων προσωπικού χαρακτήρα. Ωστόσο, εάν σκοπεύετε να συνεχίσετε τη διαβίβαση δεδομένων παρά το συμπέρασμα αυτό, θα πρέπει να ειδοποιήσετε την αρμόδια εποπτική αρχή3.

6) Χρησιμοποιώ δεσμευτικούς εταιρικούς κανόνες («ΔΕΚ») με νομικό πρόσωπο στις ΗΠΑ, τι θα πρέπει να κάνω;

Δεδομένης της απόφασης του Δικαστηρίου, με την οποία κηρύχθηκε άκυρη η ασπίδα προστασίας της ιδιωτικής ζωής λόγω του βαθμού επέμβασης που δημιουργεί η νομοθεσία των ΗΠΑ στα θεμελιώδη δικαιώματα των προσώπων των οποίων τα δεδομένα διαβιβάζονται στην εν λόγω τρίτη χώρα, και του γεγονότος ότι η ασπίδα προστασίας είχε επίσης σκοπό να παρέχει εγγυήσεις στα δεδομένα που διαβιβάζονται με άλλα εργαλεία, όπως οι ΔΕΚ, η αξιολόγηση του Δικαστηρίου ισχύει και στο πλαίσιο των ΔΕΚ, εφόσον η νομοθεσία των ΗΠΑ υπερισχύει και έναντι αυτού του εργαλείου.

Το κατά πόσο μπορείτε ή όχι να διαβιβάζετε δεδομένα προσωπικού χαρακτήρα με βάση τους ΔΕΚ θα εξαρτηθεί από το αποτέλεσμα της αξιολόγησής σας, δεδομένων και των περιστάσεων της διαβίβασης, καθώς και των πρόσθετων μέτρων που θα μπορούσατε να εφαρμόσετε. Αυτά τα πρόσθετα μέτρα, σε συνδυασμό με τους ΔΕΚ, μετά την κατά περίπτωση ανάλυση των περιστάσεων που αφορούν τη διαβίβαση, θα πρέπει να διασφαλίζουν ότι η νομοθεσία των ΗΠΑ δεν θίγει το επαρκές επίπεδο προστασίας που αυτά εγγυώνται.

Εάν καταλήξετε στο συμπέρασμα ότι, λαμβάνοντας υπόψη τις περιστάσεις της διαβίβασης και τα πιθανά πρόσθετα μέτρα, δεν θα μπορούσαν να διασφαλιστούν κατάλληλες εγγυήσεις, έχετε την υποχρέωση να αναστείλετε ή να τερματίσετε τη διαβίβαση των δεδομένων προσωπικού χαρακτήρα. Ωστόσο, εάν σκοπεύετε να συνεχίσετε τη διαβίβαση δεδομένων παρά το συμπέρασμα αυτό, θα πρέπει να ειδοποιήσετε την αρμόδια εποπτική αρχή4.

7) Τι ισχύει για άλλα εργαλεία διαβίβασης βάσει του άρθρου 46 του ΓΚΠΔ;

Το ΕΣΠΔ θα αξιολογήσει τις συνέπειες της απόφασης για άλλα εργαλεία διαβίβασης εκτός από τις ΤΣΡ και τους ΔΕΚ. Η απόφαση διευκρινίζει ότι το πρότυπο για τις κατάλληλες εγγυήσεις στο άρθρο 46 του ΓΚΠΔ είναι αυτό της «ουσιαστικής ισοδυναμίας».

Όπως υπογραμμίζει το Δικαστήριο, θα πρέπει να σημειωθεί ότι το άρθρο 46 περιλαμβάνεται στο κεφάλαιο V του ΓΚΠΔ, και, ως εκ τούτου, πρέπει να ερμηνευθεί σε συνδυασμό με το άρθρο 44 του ΓΚΠΔ, το οποίο προβλέπει ότι «Όλες οι διατάξεις του παρόντος κεφαλαίου εφαρμόζονται με σκοπό να διασφαλίζεται ότι το επίπεδο προστασίας των φυσικών προσώπων που εγγυάται ο παρών κανονισμός δεν υπονομεύεται».

8) Μπορώ να βασιστώ σε κάποια από τις παρεκκλίσεις του άρθρου 49 του ΓΚΠΔ για να διαβιβάσω δεδομένα στις ΗΠΑ;

Εξακολουθεί να είναι δυνατή η διαβίβαση δεδομένων από τον ΕΟΧ στις ΗΠΑ βάσει των παρεκκλίσεων που προβλέπονται στο άρθρο 49 του ΓΚΠΔ, υπό τον όρο ότι ισχύουν οι προϋποθέσεις που ορίζονται στο συγκεκριμένο άρθρο. Το ΕΣΠΔ παραπέμπει στις κατευθυντήριες γραμμές που έχει καταρτίσει σχετικά με τη συγκεκριμένη διάταξη5.

Ειδικότερα, θα πρέπει να υπενθυμιστεί ότι όταν οι διαβιβάσεις βασίζονται στη συγκατάθεση του υποκειμένου των δεδομένων, η εν λόγω συγκατάθεση θα πρέπει να:

  • είναι ρητή,
  • είναι ειδική για κάθε συγκεκριμένη διαβίβαση ή σύνολο διαβιβάσεων δεδομένων (υπό την έννοια ότι ο εξαγωγέας δεδομένων πρέπει να διασφαλίζει την ειδική συγκατάθεση πριν από την πραγματοποίηση της διαβίβασης ακόμα και εάν αυτή πραγματοποιηθεί μετά την ολοκλήρωση της συλλογής δεδομένων), και
  • να παρέχεται εν πλήρει επιγνώσει ως προς τους ενδεχόμενους κινδύνους της διαβίβασης (υπό την έννοια ότι το υποκείμενο των δεδομένων θα πρέπει να έχει επίσης επίγνωση των ειδικών κινδύνων οι οποίοι απορρέουν, αφενός, από το γεγονός ότι τα δεδομένα του θα διαβιβαστούν σε μια χώρα που δεν προσφέρει κατάλληλη προστασία και, αφετέρου, από τη μη εφαρμογή κατάλληλων διασφαλίσεων για την προστασία των δεδομένων).

Όσον αφορά διαβιβάσεις που είναι απαραίτητες για την εκτέλεση σύμβασης μεταξύ του υποκειμένου των δεδομένων και του υπεύθυνου επεξεργασίας, θα πρέπει να λαμβάνεται υπόψη ότι είναι δυνατή η διαβίβαση δεδομένων προσωπικού χαρακτήρα μόνον όταν αυτή έχει περιστασιακό χαρακτήρα. Θα προσδιορίζεται κατά περίπτωση κατά πόσον οι διαβιβάσεις δεδομένων προσδιορίζονται ως «περιστασιακές» ή ως «μη περιστασιακές».

Σε κάθε περίπτωση, η παρούσα παρέκκλιση μπορεί να ληφθεί υπόψη όταν η διαβίβαση είναι αντικειμενικά απαραίτητη για την εκτέλεση της σύμβασης.

Όσον αφορά διαβιβάσεις που είναι απαραίτητες για σημαντικούς λόγους δημοσίου συμφέροντος (που πρέπει να αναγνωρίζονται στο δίκαιο της ΕΕ ή των κρατών μελών6), το ΕΣΠΔ αναγνωρίζει ότι η ουσιώδης απαίτηση για την εφαρμοσιμότητα της παρούσας παρέκκλισης είναι η διαπίστωση ενός σημαντικού δημοσίου συμφέροντος και όχι η φύση του οργανισμού, και ότι μολονότι η παρούσα παρέκκλιση δεν περιορίζεται σε «περιστασιακές» διαβιβάσεις δεδομένων, αυτό δεν σημαίνει ότι οι διαβιβάσεις δεδομένων βάσει της παρέκκλισης του σημαντικού δημοσίου συμφέροντος μπορεί να εφαρμοστεί σε μεγάλη κλίμακα και με συστηματικό τρόπο. Αντίθετα, πρέπει να τηρείται η γενική αρχή σύμφωνα με την οποία η παρέκκλιση όπως αναφέρεται στο άρθρο 49 του ΓΚΠΔ δεν θα πρέπει στην πράξη να γίνει «ο κανόνας», αλλά πρέπει να περιορίζεται σε συγκεκριμένες περιπτώσεις και κάθε εξαγωγέας δεδομένων πρέπει να διασφαλίζει ότι η διαβίβαση πρέπει να πληροί το αυστηρό κριτήριο της αναγκαιότητας.

9) Μπορώ να εξακολουθήσω να χρησιμοποιώ τυποποιημένες συμβατικές ρήτρες ή δεσμευτικούς εταιρικούς κανόνες για τη διαβίβαση δεδομένων σε άλλη τρίτη χώρα εκτός των ΗΠΑ;

Το Δικαστήριο έχει υποδείξει ότι κατά κανόνα οι τυποποιημένες συμβατικές ρήτρες μπορούν να συνεχίσουν να χρησιμοποιούνται για τη διαβίβαση δεδομένων σε τρίτη χώρα, ωστόσο το όριο διαβιβάσεων που το ίδιο έχει θέσει για τις ΗΠΑ ισχύει για οποιαδήποτε τρίτη χώρα. Το ίδιο ισχύει και για τους δεσμευτικούς εταιρικούς κανόνες. Το Δικαστήριο επισήμανε ότι αποτελεί ευθύνη του εξαγωγέα και του εισαγωγέα δεδομένων να αξιολογούν κατά πόσον τηρείται το επίπεδο προστασίας που απαιτείται από το ενωσιακό δίκαιο στην τρίτη χώρα, προκειμένου να καθορίζουν κατά πόσον είναι πρακτικά δυνατή η συμμόρφωση με τις εγγυήσεις που προβλέπονται από τις τυποποιημένες συμβατικές ρήτρες ή τους δεσμευτικούς εταιρικούς κανόνες. Σε διαφορετική περίπτωση, θα πρέπει να αξιολογείτε κατά πόσον μπορείτε να λάβετε πρόσθετα μέτρα για να διασφαλίσετε ένα ουσιωδώς ισοδύναμο επίπεδο προστασίας όπως παρέχεται στον ΕΟΧ, και εάν το δίκαιο της τρίτης χώρας δεν θίγει τα πρόσθετα μέτρα σε βαθμό που αποτρέπει την αποτελεσματικότητά τους.

Μπορείτε να επικοινωνήσετε με τον οικείο εισαγωγέα δεδομένων για να επαληθεύσετε τη νομοθεσία της χώρας του και να συνεργαστείτε για την αξιολόγησή του. Εάν εσείς ή ο εισαγωγέας δεδομένων στην τρίτη χώρα κρίνετε ότι στην περίπτωση των δεδομένων που διαβιβάζονται σύμφωνα με τις τυποποιημένες συμβατικές ρήτρες ή τους δεσμευτικούς εταιρικούς κανόνες δεν διασφαλίζεται ένα επίπεδο προστασίας που είναι ουσιωδώς ισοδύναμο με αυτό που παρέχεται εντός του ΕΟΧ, θα πρέπει να αναστείλετε άμεσα τις διαβιβάσεις. Σε περίπτωση που δεν το πράξετε, πρέπει να ενημερώσετε την οικεία αρμόδια ΕΑ7.

Αν και, όπως υπογραμμίζεται από το Δικαστήριο, είναι πρώτη αποστολή των εξαγωγέων και των εισαγωγέων δεδομένων να αξιολογήσουν οι ίδιοι κατά πόσον η νομοθεσία της τρίτης χώρας προορισμού επιτρέπει στον εισαγωγέα δεδομένων να συμμορφώνεται με τις τυποποιημένες ρήτρες προστασίας δεδομένων ή τους δεσμευτικούς εταιρικούς κανόνες, πριν από τη διαβίβαση δεδομένων προσωπικού χαρακτήρα στην εν λόγω τρίτη χώρα, και οι ΕΑ θα διαδραματίζουν καίριο ρόλο κατά την επιβολή του ΓΚΠΔ και την έκδοση περαιτέρω αποφάσεων σχετικά με διαβιβάσεις σε τρίτες χώρες.

Σύμφωνα με την προτροπή του Δικαστηρίου, προκειμένου να αποφύγουν τις αποκλίνουσες αποφάσεις, οι ΕΑ θα συνεργάζονται περαιτέρω με τον ΕΕΠΔ για τη διασφάλιση της συνεκτικότητας, ιδίως σχετικά με το εάν πρέπει να απαγορευτούν οι διαβιβάσεις σε τρίτες χώρες.

10) Τι είδους πρόσθετα μέτρα μπορώ να λάβω εάν χρησιμοποιώ τυποποιημένες συμβατικές ρήτρες ή δεσμευτικούς εταιρικούς κανόνες για τη διαβίβαση δεδομένων σε τρίτες χώρες;

Τα πρόσθετα μέτρα που θα μπορούσατε να λάβετε όπου είναι απαραίτητο πρέπει να θεσπίζονται κατά περίπτωση, λαμβανομένων υπόψη όλων των περιστάσεων της διαβίβασης και σύμφωνα με την αξιολόγηση του δικαίου της τρίτης χώρας, προκειμένου να ελέγχεται κατά πόσον διασφαλίζεται ένα κατάλληλο επίπεδο προστασίας.

Το Δικαστήριο επεσήμανε ότι αποτελεί πρώτη αποστολή του εξαγωγέα και του εισαγωγέα δεδομένων να πραγματοποιήσουν αυτή την αξιολόγηση, και να λάβουν τα απαραίτητα πρόσθετα μέτρα.

Το ΕΣΠΔ αναλύει επί του παρόντος την απόφαση του Δικαστηρίου για να προσδιορίσει το είδος πρόσθετων μέτρων που θα μπορούσαν να παρέχονται σε συνδυασμό με τις τυποποιημένες συμβατικές ρήτρες ή τους δεσμευτικούς εταιρικούς κανόνες, είτε πρόκειται για μέτρα νομικής, τεχνικής ή οργανωτικής φύσης, για τη διαβίβαση δεδομένων σε τρίτες χώρες όπου οι τυποποιημένες συμβατικές ρήτρες ή οι δεσμευτικοί εταιρικοί κανόνες δεν προσφέρουν από μόνοι τους το επαρκές επίπεδο διασφαλίσεων.

Το ΕΣΠΔ διερευνά περαιτέρω ποια θα μπορούσαν να είναι τα εν λόγω πρόσθετα μέτρα και θα παρέχει περισσότερη καθοδήγηση.

11) Χρησιμοποιώ έναν εκτελούντα την επεξεργασία που επεξεργάζεται δεδομένα για τα οποία φέρω την ευθύνη ως υπεύθυνος επεξεργασίας δεδομένων. Πώς μπορώ να γνωρίζω εάν ο εν λόγω εκτελών την επεξεργασία διαβιβάζει δεδομένα στις ΗΠΑ ή σε άλλη τρίτη χώρα;

Η σύμβαση που έχετε συνάψει με τον εκτελούντα την επεξεργασία σύμφωνα με το άρθρο 28 παράγραφος 3 του ΓΚΠΔ πρέπει να προβλέπει κατά πόσον επιτρέπονται ή όχι οι διαβιβάσεις (θα πρέπει να λαμβάνεται υπόψη ότι ακόμα και η παροχή πρόσβασης σε δεδομένα από τρίτη χώρα, λόγου χάρη για διοικητικούς σκοπούς ισοδυναμεί με διαβίβαση).

Πρέπει να παρέχεται άδεια και προκειμένου οι εκτελούντες την επεξεργασία να αναθέτουν στους υπεργολάβους επεξεργασίας τη διαβίβαση δεδομένων σε τρίτες χώρες. Θα πρέπει να είστε ιδιαίτερα προσεκτικοί, διότι ένα ευρύ φάσμα υπολογιστικών λύσεων ενδέχεται να συνεπάγεται τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα (π.χ. για σκοπούς αποθήκευσης ή συντήρησης).

12) Τι μπορώ να κάνω για να συνεχίσω να χρησιμοποιώ τις υπηρεσίες του οικείου εκτελούντος την επεξεργασίας εάν η σύμβαση που έχει υπογραφεί σύμφωνα με το άρθρο 28 παράγραφος 3 του ΓΚΠΔ υποδεικνύει ότι τα δεδομένα ενδέχεται να διαβιβάζονται στις ΗΠΑ ή σε άλλη τρίτη χώρα;

Εάν τα δεδομένα ενδέχεται να διαβιβάζονται στις ΗΠΑ και ούτε είναι δυνατή η λήψη πρόσθετων μέτρων προκειμένου να διασφαλιστεί ότι η νομοθεσία των ΗΠΑ δεν θίγει το ουσιωδώς ισοδύναμο επίπεδο προστασίας που παρέχεται εντός του ΕΟΧ από τα εργαλεία διαβίβασης ούτε ισχύουν παρεκκλίσεις βάσει του άρθρου 49 του ΓΚΠΔ, η μόνη λύση είναι η διαπραγμάτευση μιας τροποποίησης ή μιας συμπληρωματικής ρήτρας στη σύμβασή σας για την απαγόρευση των διαβιβάσεων στις ΗΠΑ. Τόσο η αποθήκευση όσο και η διαχείριση των δεδομένων θα πρέπει να λαμβάνει χώρα εκτός ΗΠΑ.

Εάν τα δεδομένα σας μπορεί να διαβιβαστούν σε άλλη τρίτη χώρα, θα πρέπει να επαληθεύσετε και τη νομοθεσία της εν λόγω τρίτης χώρας για να ελέγξετε κατά πόσον συμμορφώνεται με τις απαιτήσεις του Δικαστηρίου και με το αναμενόμενο επίπεδο προστασίας δεδομένων προσωπικού χαρακτήρα. Εάν δεν υφίσταται καμία κατάλληλη αιτία για διαβιβάσεις σε τρίτη χώρα, τα δεδομένα προσωπικού χαρακτήρα δεν θα πρέπει να διαβιβάζονται εκτός της επικράτειας του ΕΟΧ και όλες οι δραστηριότητες επεξεργασίας θα πρέπει να λαμβάνουν χώρα εντός του ΕΟΧ.

Για το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων

Η Πρόεδρος Andrea Jelinek

Το αυθεντικό έγγραφο είναι διαθέσιμο στο edpb.europa.eu

  • 1. Το Δικαστήριο υπογραμμίζει ότι ορισμένα προγράμματα παρακολούθησης, τα οποία επιτρέπουν την πρόσβαση των αμερικανικών δημόσιων αρχών σε δεδομένα προσωπικού χαρακτήρα που διαβιβάζονται από την ΕΕ στις ΗΠΑ για σκοπούς εθνικής ασφάλειας, δεν προβλέπουν περιορισμούς στην εξουσία που παραχωρείται στις αμερικανικές αρχές, ούτε την ύπαρξη εγγυήσεων για τους μη Αμερικανούς πολίτες τους οποίους αφορούν εν δυνάμει τα σχετικά προγράμματα
  • 2. Το άρθρο 702 του νόμου FISA ισχύει για κάθε «πάροχο υπηρεσιών ηλεκτρονικής επικοινωνίας» (βλ. ορισμό στον τίτλο 50 του κώδικα των Ηνωμένων Πολιτειών, άρθρο 1881 στοιχείο β) σημείο 4), ενώ στο εκτελεστικό διάταγμα EO 12 333 προβλέπεται η ηλεκτρονική επιτήρηση, η οποία ορίζεται ως η «απόκτηση μη δημόσιας επικοινωνίας με ηλεκτρονικά μέσα χωρίς τη συναίνεση προσώπου το οποίο είναι μέρος ηλεκτρονικής επικοινωνίας, ή, στην περίπτωση μη ηλεκτρονικής επικοινωνίας, χωρίς τη συναίνεση προσώπου που εμφανώς παρίσταται στον τόπο της επικοινωνίας, αλλά χωρίς τη χρήση εξοπλισμού ραδιοκαθορισμού κατεύθυνσης αποκλειστικά για τον εντοπισμό της τοποθεσίας του διαβιβαστή» (σημείο 3.4, στοιχείο β)).
  • 3. Βλ. ειδικότερα αιτιολογική σκέψη 145 της απόφασης του Δικαστηρίου, και ρήτρα 4 στοιχείο ζ) της απόφασης 2010/87/ΕΕ της Επιτροπής, καθώς και ρήτρα 5 στοιχείο α) της απόφασης 2001/497/ΕΚ της Επιτροπής και Παράρτημα Δέσμη ΙΙ στοιχείο γ) της απόφασης 2004/915/ΕΚ της Επιτροπής
  • 4. Βλ. συγκεκριμένα αιτιολογική σκέψη 145 της απόφασης του Δικαστηρίου και ρήτρα 4 στοιχείο ζ) της απόφασης 2010/87/ΕΕ της Επιτροπής. Βλ. επίσης ενότητα 6.3 του WP256 αναθ. 01 (Ομάδα εργασίας του άρθρου 29, Έγγραφο εργασίας για την κατάρτιση πίνακα με τα στοιχεία και τις αρχές που πρέπει να περιέχονται στους δεσμευτικούς εταιρικούς κανόνες, εγκεκριμένο από το ΕΣΠΔ, http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=614109), και ενότητα 6.3 του WP257 αναθ. 01 (Ομάδα εργασίας του άρθρου 29, Έγγραφο εργασίας για την κατάρτιση πίνακα των στοιχείων και αρχών που πρέπει να περιλαμβάνονται στους δεσμευτικούς εταιρικούς κανόνες για εκτελούντες την επεξεργασία, εγκεκριμένο από το ΕΣΠΔ, http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=614110).
  • 5. Βλ. Κατευθυντήριες γραμμές 2/2018 του ΕΣΠΔ αναφορικά με τις παρεκκλίσεις που προβλέπονται στο άρθρο 49 του κανονισμού 2016/679, οι οποίες εκδόθηκαν στις 25 Μαΐου 2018, https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_2_2018_derogations_el.pdf, σ.3.
  • 6. Οι αναφορές στα «κράτη μέλη» θα πρέπει να νοούνται ως αναφορές στα «κράτη μέλη του ΕΟΧ»
  • 7. Βλέπε ειδικότερα την αιτιολογική σκέψη 145 της απόφασης του Δικαστηρίου. Σχετικά με τις τυποποιημένες συμβατικές ρήτρες, βλέπε τη ρήτρα 4 στοιχείο ζ) της απόφασης της Επιτροπής 2010/87/ΕΕ, καθώς και τη ρήτρα 5 στοιχεία α) της απόφασης της Επιτροπής 2001/497/ΕΚ και το παράρτημα δέσμη II στοιχείο γ) της απόφασης της Επιτροπής 2004/915/ΕΚ. Σχετικά με τους δεσμευτικούς εταιρικούς κανόνες, βλέπε ενότητα 6.3 WP256 αναθ.01 (εγκρίθηκε από το ΕΣΠΔ) και ενότητα 6.3 WP257 αναθ.01 (εγκρίθηκε από το ΕΣΠΔ).

Σχετικοί Τομείς

Λέξεις-Κλειδιά

ΣΤΗΝ ΙΔΙΑ ΚΑΤΗΓΟΡΙΑ

Δικαίωμα πρόσβασης στα προσωπικά δεδομένα (Κατευθυντήριες Γραμμές 1/2022)

Εξέταση καταγγελιών και λήψη διορθωτικών μέτρων από τις αρχές προστασίας δεδομένων (Γενικός Εισαγγελέας ΔΕΕ C-768/21)

Προσωπικά δεδομένα: Είναι νόμιμη η ανάρτηση βαθμολογίας μαθητών στην τάξη;

Συγκατάθεση ή πληρωμή: Κοινή επιστολή φορέων παροχής υπηρεσιών διαφήμισης προς το ΕΣΠΔ

ΔΗΜΟΦΙΛΗ ΝΕΑ

Αποχή των δικηγόρων για το Δικαστικό Χάρτη

2.9 εκατομμύρια ευρώ πρόστιμο στα ΕΛΤΑ για την παραβίαση δεδομένων (ΑΠΔΠΧ 10/2024)

Νέες διατάξεις για μικροδιαφορές: Πότε επέρχεται ερημοδικία (ΕιρΘεσ 1019/2023)

Άρειος Πάγος: Εγκύκλιος για τις Ευρωεκλογές της 9ης Ιουνίου 2024

ΔΗΜΟΦΙΛΗΣ ΑΡΘΡΟΓΡΑΦΙΑ

Έληξε το συμβόλαιο της μίσθωσής μου. Τι να κάνω; (Mέρος Α' - Μίσθωση Κατοικίας)

Τι είναι εξύβριση, δυσφήμιση και συκοφαντική δυσφήμιση;

Τα parking στην πυλωτή της πολυκατοικίας

Ενδικοφανής προσφυγή: Απαντήσεις στα συχνότερα ερωτήματα
Το δικαίωμα ιδιοκτησίας και η αναγκαστική απαλλοτρίωση -Κατ άρθρο ερμηνεία

ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ / ΓΕΝΙΚΟ ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ

Προκαταρκτική εξέταση - ένορκη διοικητική εξέταση (ΕΔΕ)

ΔΙΟΙΚΗΤΙΚΗ ΔΙΑΔΙΚΑΣΙΑ

ΜΑΡΙΑ ΣΤΥΛΙΑΝΙΔΟΥ

ΧΡΗΣΤΟΣ ΚΟΥΚΑΚΗΣ