Διαβιβάσεις που υπόκεινται σε κατάλληλες εγγυήσεις (ΕΣΠΔ Κατευθυντήριες Γραμμές 1/2023)
Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων ερμηνεύει το άρθρο 37 της Οδηγίας 2016/680
Δημοσιεύθηκε το τελικό κείμενο των Κατευθυντηρίων Γραμμών 1/2023 του ΕΣΠΔ με αντικείμενο την ερμηνεία του άρθρου 37 της Οδηγίας 2016/680 για την επεξεργασία δεδομένων από αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων.
Το άρθρο 37 της Οδηγίας («Διαβιβάσεις που υπόκεινται σε κατάλληλες εγγυήσεις») ρυθμίζει τα ζητήματα των διαβιβάσεων δεδομένων ελλείψει απόφασης επάρκειας και προβλέπει ότι:
1. Ελλείψει απόφασης δυνάμει του άρθρου 36 παράγραφος 3, τα κράτη μέλη προβλέπουν ότι μια διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα ή διεθνή οργανισμό μπορεί να πραγματοποιηθεί εφόσον:
α) παρασχέθηκαν κατάλληλες εγγυήσεις όσον αφορά στην προστασία δεδομένων προσωπικού χαρακτήρα σε νομικά δεσμευτική πράξη· ή
β) ο υπεύθυνος επεξεργασίας αξιολόγησε όλες τις περιστάσεις που περιβάλλουν τη διαβίβαση δεδομένων προσωπικού χαρακτήρα και κατέληξε στο συμπέρασμα ότι υπάρχουν κατάλληλες εγγυήσεις όσον αφορά την προστασία των δεδομένων προσωπικού χαρακτήρα.
2. Ο υπεύθυνος επεξεργασίας ενημερώνει την εποπτική αρχή σχετικά με τις κατηγορίες διαβιβάσεων δυνάμει της παραγράφου 1 στοιχείο β).
3. Μια διαβίβαση που βασίζεται στην παράγραφο 1 στοιχείο β) τεκμηριώνεται και η τεκμηρίωση πρέπει να τίθεται στη διάθεση της εποπτικής αρχής κατόπιν αιτήματος που συμπεριλαμβάνει την ημερομηνία και τον χρόνο της διαβίβασης, πληροφορίες σχετικά με την αποδέκτρια αρμόδια αρχή, την αιτιολόγηση της διαβίβασης και τα διαβιβαζόμενα δεδομένα προσωπικού χαρακτήρα.
Η διάταξη αυτή έχει ενσωματωθεί στο εθνικό δίκαιο με το άρθρο 76 του Ν.4624/2019, σύμφωνα με το οποίο:
1. Ελλείψει απόφασης περί εξασφάλισης επαρκούς επιπέδου προστασίας σύμφωνα με την παράγραφο 1 εδάφιο β του προηγούμενου άρθρου, η διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα ή διεθνή οργανισμό μπορεί να πραγματοποιηθεί εφόσον: α) παρασχέθηκαν σε νομικά δεσμευτική πράξη κατάλληλες εγγυήσεις όσον αφορά την προστασία δεδομένων προσωπικού χαρακτήρα, ή β) ο υπεύθυνος επεξεργασίας αξιολόγησε τις συνθήκες της διαβίβασης δεδομένων προσωπικού χαρακτήρα και έκρινε ότι υπάρχουν κατάλληλες εγγυήσεις όσον αφορά την προστασία τους.
2. Ο υπεύθυνος επεξεργασίας καταχωρίζει τις διαβιβάσεις σύμφωνα με την περίπτωση β της παραγράφου 1. Η καταχώριση περιλαμβάνει την ημερομηνία και την ώρα της διαβίβασης, την ταυτότητα του αποδέκτη, τον λόγο της διαβίβασης και τα διαβιβαζόμενα δεδομένα προσωπικού χαρακτήρα. Η ανωτέρω καταχώριση τίθεται στη διάθεση της Αρχής κατόπιν αιτήματός της.
Σύμφωνα με την εισαγωγή του κειμένου:
Το παρόν έγγραφο επιδιώκει να παράσχει καθοδήγηση όσον αφορά την εφαρμογή του άρθρου 37 της Οδηγίας 2016/680 σχετικά με τη διαβίβαση δεδομένων προσωπικού χαρακτήρα από τις αρμόδιες αρχές των κρατών μελών της ΕΕ σε αρχές τρίτων χωρών ή διεθνείς οργανισμούς που είναι αρμόδιοι στον τομέα της επιβολής του νόμου. Ειδικότερα, οι παρούσες κατευθυντήριες γραμμές αποσκοπούν στην αποσαφήνιση του νομικού προτύπου για τις κατάλληλες εγγυήσεις που πρέπει να εφαρμόζουν οι αρμόδιες αρχές σύμφωνα με το άρθρο 37 παράγραφος 1 στοιχεία α) και β) της Οδηγίας και, κατά συνέπεια, των σχετικών παραγόντων για την αξιολόγηση της ύπαρξης τέτοιων εγγυήσεων.
Οι παρούσες κατευθυντήριες γραμμές σκοπεύουν επίσης να παράσχουν μια ένδειξη σχετικά με τις προσδοκίες του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων όσον αφορά τις εγγυήσεις για την προστασία των δεδομένων προσωπικού χαρακτήρα που απαιτείται να θεσπιστούν με νομικά δεσμευτική πράξη σύμφωνα με το άρθρο 37 παράγραφος 1 στοιχείο α) της Οδηγίας. Το ΕΣΠΔ συνιστά στα κράτη μέλη, ως διαπραγματευόμενα μέρη, να χρησιμοποιούν τις εν λόγω κατευθυντήριες γραμμές ως σημείο αναφοράς όταν σχεδιάζουν να συνάψουν ή να τροποποιήσουν τέτοιες πράξεις.
Στο πλαίσιο αυτό, οι παρούσες κατευθυντήριες γραμμές επιπροσθέτως παρέχουν καθοδήγηση στις εθνικές εποπτικές αρχές, όταν ζητείται η γνώμη τους ή εμπλέκονται με άλλο τρόπο από τα κράτη μέλη στη διαπραγμάτευση των μέσων σύμφωνα με το άρθρο 37 παράγραφος 1 στοιχείο α) της Οδηγίας ή όταν στη συνέχεια επανεξετάζουν την εφαρμογή των εν λόγω μέσων. Οι παρούσες κατευθυντήριες γραμμές αφορούν επίσης τον ρόλο των εποπτικών αρχών στο πλαίσιο των υποχρεώσεων λογοδοσίας του υπευθύνου επεξεργασίας σύμφωνα με το άρθρο 37 παράγραφοι 2 και 3 της Οδηγίας.
Το ΕΣΠΔ επισημαίνει ότι υπάρχει αυξανόμενη απαίτηση για καθοδήγηση σε επίπεδο ΕΕ όσον αφορά την πρακτική εφαρμογή του άρθρου 37 της Οδηγίας σε όλα τα κράτη μέλη. Στην πρόσφατη θέση και τα πορίσματά του σχετικά με την εφαρμογή της Οδηγίας, το Συμβούλιο έκρινε ότι οι κατευθυντήριες γραμμές για το άρθρο 37 θα είχαν ιδιαίτερη σημασία για τα κράτη μέλη. Για το σκοπό αυτό, το Συμβούλιο θεωρεί πως οι εν λόγω κατευθυντήριες γραμμές θα πρέπει να βασίζονται σε μια ρεαλιστική προσέγγιση που θα λαμβάνει υπόψη τις πρακτικές ανάγκες των αρμόδιων αρχών. Το ΕΣΠΔ συμπεριέλαβε την ανάπτυξη κατευθυντήριων γραμμών για το άρθρο 37 στο πρόγραμμα εργασίας του και αναγνωρίζει ότι η δυνατότητα ανταλλαγής πληροφοριών, συμπεριλαμβανομένων των δεδομένων προσωπικού χαρακτήρα, αποτελεί βασικό στοιχείο για την αποτελεσματική διεθνή συνεργασία σε ποινικές υποθέσεις. Το ΕΣΠΔ επιθυμεί να τονίσει ότι η διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες μπορεί να είναι επιτρεπτή μόνο εντός και βάσει του ισχύοντος νομικού πλαισίου και διασφαλίζοντας παράλληλα υψηλό επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα. Σύμφωνα με τα καθήκοντα που του ανατίθενται στο άρθρο 51 της Οδηγίας, οι παρούσες κατευθυντήριες γραμμές παρέχουν μια ερμηνεία του εν λόγω νομικού πλαισίου και των δεσμευτικών απαιτήσεων που ορίζονται στο νόμο.
Οι Κατευθυντήριες Γραμμές 1/2023 είναι διαθέσιμες στα αγγλικά.
