ΕΣΠΔ: Κατευθυντήριες Γραμμές 7/2022 σχετικά με την πιστοποίηση ως εργαλείο για τις διαβιβάσεις

Οι μηχανισμοί πιστοποίησης του άρθρου 42 ΓΚΠΔ μπορούν να λειτουργούν ως κατάλληλες εγγυήσεις του άρθρου 46 για τη διαβίβαση δεδομένων σε τρίτη χώρα

17/05/2023

19/05/2023

Διεθνή

Γενικός Κανονισμός για την Προστασία των Προσωπικών Δεδομένων και Ευθύνη για Αποζημίωση

Δημοσιεύτηκε η ελληνική μετάφραση των νέων Κατευθυντηρίων Γραμμών του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων σχετικά με την πιστοποίηση ως εργαλείο για τις διαβιβάσεις.

Υπενθυμίζεται ότι η πιστοποίηση, ως εργαλείο διαβιβάσεων, αναφέρεται στο άρθρο 42 παρ.2 ΓΚΠΔ, σύμφωνα με το οποίο:

2. Πέραν της εφαρμογής τους από τους υπευθύνους επεξεργασίας ή τους εκτελούντες την επεξεργασία που υπόκεινται στον παρόντα κανονισμό, οι μηχανισμοί πιστοποίησης της προστασίας δεδομένων και οι σφραγίδες και τα σήματα προστασίας δεδομένων που εγκρίνονται βάσει της παραγράφου 5 του παρόντος άρθρου μπορούν να θεσπίζονται για τον σκοπό της απόδειξης ότι παρέχονται κατάλληλες εγγυήσεις από τους υπευθύνους επεξεργασίας ή τους εκτελούντες την επεξεργασία που δεν υπόκεινται στον παρόντα κανονισμό, σύμφωνα με το άρθρο 3, στο πλαίσιο των διαβιβάσεων δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες ή διεθνείς οργανισμούς, σύμφωνα με τους όρους που αναφέρονται στο άρθρο 46 παράγραφος 2 στοιχείο στ). Οι εν λόγω υπεύθυνοι επεξεργασίας ή εκτελούντες την επεξεργασία αναλαμβάνουν δεσμευτικές και εκτελεστές υποχρεώσεις μέσω συμβάσεων ή άλλων νομικά δεσμευτικών πράξεων, προκειμένου να εφαρμόσουν τις εν λόγω κατάλληλες εγγυήσεις, μεταξύ άλλων όσον αφορά τα δικαιώματα των υποκειμένων των δεδομένων.

Παράλληλα, το άρθρο 46 παρ.2στ’ ΓΚΠΔ προβλέπει ότι:

2. Οι κατάλληλες εγγυήσεις που αναφέρονται στην παράγραφο 1 μπορούν να προβλέπονται, χωρίς να απαιτείται ειδική άδεια εποπτικής αρχής, μέσω:

στ) εγκεκριμένου μηχανισμού πιστοποίησης, σύμφωνα με το άρθρο 42, από κοινού με δεσμευτικές και εκτελεστές υποχρεώσεις του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία στην τρίτη χώρα να εφαρμόζει τις κατάλληλες εγγυήσεις, μεταξύ άλλων όσον αφορά τα δικαιώματα των υποκειμένων των δεδομένων.

Σύμφωνα με τη Συνοπτική Παρουσίαση των Κατευθυντηρίων Γραμμών 7/2022:

Το άρθρο 46 του γενικού κανονισμού για την προστασία δεδομένων (στο εξής: ΓΚΠΔ) απαιτεί από τους εξαγωγείς δεδομένων να εφαρμόζουν κατάλληλες εγγυήσεις για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες ή διεθνείς οργανισμούς. Προς τον σκοπό αυτόν, ο ΓΚΠΔ διαφοροποιεί τις κατάλληλες εγγυήσεις που μπορούν να χρησιμοποιούν οι εξαγωγείς δεδομένων βάσει του άρθρου 46 για την πλαισίωση των διαβιβάσεων σε τρίτες χώρες, με την εισαγωγή, μεταξύ άλλων, της πιστοποίησης ως νέου μηχανισμού διαβίβασης [άρθρο 42 παράγραφος 2 και άρθρο 46 παράγραφος 2 στοιχείο στ) του ΓΚΠΔ].

Οι παρούσες κατευθυντήριες γραμμές παρέχουν καθοδήγηση όσον αφορά την εφαρμογή του άρθρου 46 παράγραφος 2 στοιχείο στ) του ΓΚΠΔ σχετικά με τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες ή διεθνείς οργανισμούς βάσει πιστοποίησης. Το έγγραφο διαρθρώνεται σε τέσσερις ενότητες και ένα παράρτημα.

Στο πρώτο μέρος του παρόντος εγγράφου (με τίτλο «ΓΕΝΙΚΑ») διευκρινίζεται ότι οι κατευθυντήριες γραμμές συμπληρώνουν τις ήδη υφιστάμενες γενικές κατευθυντήριες γραμμές 1/2018 σχετικά με την πιστοποίηση και αφορούν τις ειδικές απαιτήσεις του κεφαλαίου V του ΓΚΠΔ για τη χρήση της πιστοποίησης ως εργαλείου διαβίβασης. Σύμφωνα με το άρθρο 44 του ΓΚΠΔ, κάθε διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες ή διεθνείς οργανισμούς πρέπει να πληροί τις προϋποθέσεις των λοιπών διατάξεων του ΓΚΠΔ, επιπλέον της συμμόρφωσης με τις διατάξεις του κεφαλαίου V του ΓΚΠΔ. Συνεπώς, σε πρώτο στάδιο, πρέπει να διασφαλίζεται η συμμόρφωση με τις γενικές διατάξεις του ΓΚΠΔ και, σε δεύτερο στάδιο, η συμμόρφωση με τις διατάξεις του κεφαλαίου V του ΓΚΠΔ. Περιγράφονται οι εμπλεκόμενοι φορείς και οι βασικοί ρόλοι που εκείνοι αναλαμβάνουν στο συγκεκριμένο πλαίσιο, με ιδιαίτερη έμφαση, αφενός, στον ρόλο του εισαγωγέα των δεδομένων στον οποίο θα χορηγηθεί πιστοποίηση και, αφετέρου, στον ρόλο του εξαγωγέα των δεδομένων που θα χρησιμοποιήσει την εν λόγω πιστοποίηση ως εργαλείο για την πλαισίωση των διαβιβάσεων που θα πραγματοποιήσει (δεδομένου ότι η ευθύνη για τη συμμόρφωση με τις διατάξεις για την επεξεργασία των δεδομένων βαρύνει τον εξαγωγέα των δεδομένων). Στο πλαίσιο αυτό, η πιστοποίηση μπορεί επίσης να περιλαμβάνει μέτρα που συμπληρώνουν τα εργαλεία διαβίβασης για τη διασφάλιση της συμμόρφωσης με το επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα στην ΕΕ. Το πρώτο μέρος των κατευθυντήριων γραμμών περιέχει επίσης πληροφορίες σχετικά με τη διαδικασία εξασφάλισης πιστοποίησης που πρόκειται να χρησιμοποιηθεί ως εργαλείο για τις διαβιβάσεις.

Στο δεύτερο μέρος των εν λόγω κατευθυντήριων γραμμών (με τίτλο «ΕΦΑΡΜΟΓΗ ΚΑΤΕΥΘΥΝΤΗΡΙΩΝ ΓΡΑΜΜΩΝ ΣΧΕΤΙΚΑ ΜΕ ΤΙΣ ΑΠΑΙΤΗΣΕΙΣ ΔΙΑΠΙΣΤΕΥΣΗΣ») υπενθυμίζεται ότι οι απαιτήσεις για τη διαπίστευση φορέα πιστοποίησης ορίζονται στο πρότυπο ISO 17065 και προσδιορίζονται με την ερμηνεία των κατευθυντήριων γραμμών 4/2018 σχετικά με τη διαπίστευση των φορέων πιστοποίησης βάσει του άρθρου 43 του ΓΚΠΔ και του παράρτηματός του στο πλαίσιο του κεφαλαίου V. Ωστόσο, όσον αφορά τη διαβίβαση δεδομένων, οι παρούσες κατευθυντήριες γραμμές διευκρινίζουν περαιτέρω ορισμένες από τις απαιτήσεις διαπίστευσης που ισχύουν για τον φορέα πιστοποίησης.

Στο τρίτο μέρος των παρουσών κατευθυντήριων γραμμών (με τίτλο «ΕΙΔΙΚΑ ΚΡΙΤΗΡΙΑ ΠΙΣΤΟΠΟΙΗΣΗΣ») παρέχεται καθοδήγηση σχετικά με τα κριτήρια πιστοποίησης που αναφέρονται ήδη στις κατευθυντήριες γραμμές 1/2018 και θεσπίζονται πρόσθετα ειδικά κριτήρια που θα πρέπει να περιλαμβάνονται σε μηχανισμό πιστοποίησης που πρόκειται να χρησιμοποιηθεί ως εργαλείο για διαβιβάσεις σε τρίτες χώρες. Τα εν λόγω κριτήρια καλύπτουν την αξιολόγηση της νομοθεσίας της τρίτης χώρας, τις γενικές υποχρεώσεις των εξαγωγέων δεδομένων και των εισαγωγέων δεδομένων, τους κανόνες για τις περαιτέρω διαβιβάσεις, τα μέσα επανόρθωσης και την επιβολή της νομοθεσίας, τις διαδικασίες και τις ενέργειες για περιπτώσεις στις οποίες η εθνική νομοθεσία και οι εθνικές πρακτικές εμποδίζουν τη συμμόρφωση με τις υποχρεώσεις που αναλαμβάνονται στο πλαίσιο της πιστοποίησης, καθώς και τα αιτήματα αρχών τρίτων χωρών για πρόσβαση σε δεδομένα.

Το τέταρτο μέρος των παρουσών κατευθυντήριων γραμμών (με τίτλο «ΔΕΣΜΕΥΤΙΚΕΣ ΚΑΙ ΕΚΤΕΛΕΣΤΕΣ ΥΠΟΧΡΕΩΣΕΙΣ ΠΟΥ ΠΡΕΠΕΙ ΝΑ ΕΚΠΛΗΡΩΝΟΝΤΑΙ») παρέχει τα στοιχεία που θα πρέπει να λαμβάνονται υπόψη στις δεσμευτικές και εκτελεστές υποχρεώσεις τις οποίες θα πρέπει να αναλαμβάνουν οι υπεύθυνοι επεξεργασίας ή οι εκτελούντες την επεξεργασία που δεν υπόκεινται στον ΓΚΠΔ με σκοπό την παροχή κατάλληλων εγγυήσεων για τις διαβιβάσεις δεδομένων σε τρίτες χώρες. Στις εν λόγω υποχρεώσεις, οι οποίες μπορούν να καθορίζονται σε διάφορες πράξεις συμπεριλαμβανομένων των συμβάσεων, περιλαμβάνεται ειδικότερα η εγγύηση ότι ο εισαγωγέας δεν έχει λόγο να πιστεύει ότι η νομοθεσία και οι πρακτικές της τρίτης χώρας που εφαρμόζονται στην εν λόγω επεξεργασία, όπως μεταξύ άλλων τυχόν απαιτήσεις για κοινολόγηση δεδομένων προσωπικού χαρακτήρα ή μέτρων που παρέχουν τη δυνατότητα πρόσβασης σε δημόσιες αρχές, τον εμποδίζουν να εκπληρώσει τις υποχρεώσεις του που απορρέουν από την πιστοποίηση.

Το ΠΑΡΑΡΤΗΜΑ των παρουσών κατευθυντήριων γραμμών περιέχει ορισμένα παραδείγματα συμπληρωματικών μέτρων που συνάδουν με τα μέτρα που αναφέρονται στο παράρτημα II των συστάσεων 01/2020 (συστάσεις 01/2020 σχετικά με τα μέτρα που συμπληρώνουν τα εργαλεία διαβίβασης για τη διασφάλιση της συμμόρφωσης με το επίπεδο προστασίας δεδομένων προσωπικού χαρακτήρα στην ΕΕ) στο πλαίσιο της χρήσης της πιστοποίησης ως εργαλείου για τις διαβιβάσεις. Παρέχονται παραδείγματα ώστε να δοθεί μεγαλύτερη προσοχή σε περιπτώσεις κρίσιμης σημασίας.