logo-print

Εκτίμηση αντικτύπου στις διαβιβάσεις δεδομένων (Transfer Impact Assessment)

Οδηγίες της γαλλικής αρχής CNIL για τις διαβιβάσεις δεδομένων του άρθρου 46 ΓΚΠΔ

03/02/2025

05/02/2025

Δίκαιο πληροφορικής - E έκδοση
Δίκαιο πληροφορικής - E έκδοση

Δημοσιεύτηκε το τελικό κείμενο των νέων οδηγιών της γαλλικής αρχής προστασίας δεδομένων CNIL, σχετικά με το Transfer Impact Assessment που απαιτείται στις διαβιβάσεις δεδομένων εκτός Ε.Ε. Οι νέες οδηγίες εκδόθηκαν μετά από δημόσια διαβούλευση και αποσκοπούν στο να συνδράμουν υπευθύνους επεξεργασίας και εκτελούντες την επεξεργασία στη συμμόρφωσή τους με τις απαιτήσεις του ΓΚΠΔ για ασφαλή διαβίβαση δεδομένων σε τρίτες χώρες.

Σύμφωνα με την εισαγωγή του κειμένου:

Ανεξάρτητα από τον χαρακτήρα τους (δημόσιο ή ιδιωτικό, κερδοσκοπικό ή μη κερδοσκοπικό) και το μέγεθός τους (πολυεθνικές ή μικρομεσαίες επιχειρήσεις, τοπικές ή κεντρικές διοικήσεις, βιοτέχνες ή ελεύθεροι επαγγελματίες), ένας πολύ μεγάλος αριθμός υπευθύνων επεξεργασίας και εκτελούντων την επεξεργασία ενδιαφέρεται για το ζήτημα της διαβίβασης δεδομένων εκτός του ΕΟΧ. Η ανάπτυξη διασυνοριακών υπηρεσιών, ιδίως με το cloud computing, έχει πολλαπλασιάσει τις καταστάσεις στις οποίες τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία εν όλω ή εν μέρει σε τρίτες χώρες που δεν υπόκεινται στο δίκαιο της ΕΕ. Οι καταστάσεις αυτές μπορεί συνεπώς να οδηγήσουν σε διαβιβάσεις βάσει ΓΚΠΔ.

Ο κανόνας που τίθεται από τον ΓΚΠΔ είναι ότι, σε περίπτωση διαβίβασης, τα δεδομένα πρέπει να συνεχίσουν να τυγχάνουν προστασίας ουσιαστικά ισοδύναμης με εκείνη που παρέχει ο Κανονισμός. Η αιτιολογική σκέψη 101 ορίζει ότι «όταν δεδομένα προσωπικού χαρακτήρα διαβιβάζονται από την Ένωση σε υπευθύνους επεξεργασίας, εκτελούντες την επεξεργασία ή άλλους αποδέκτες σε τρίτες χώρες ή σε διεθνείς οργανισμούς, δεν θα πρέπει να υπονομεύεται το επίπεδο προστασίας των φυσικών προσώπων το οποίο διασφαλίζει στην Ένωση ο παρών κανονισμός». Το κεφάλαιο V του ΓΚΠΔ περιέχει ειδικές διατάξεις σχετικά με τη διαβίβαση δεδομένων.

Διαβάστε επίσης: Οδηγός για τις μικρές και μεσαίες επιχειρήσεις από το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων

Στην απόφαση που είναι γνωστή ως «Schrems II» , το Δικαστήριο της Ευρωπαϊκής Ένωσης τόνισε την ευθύνη των εξαγωγέων και εισαγωγέων να διασφαλίζουν ότι η επεξεργασία δεδομένων πραγματοποιείται σύμφωνα με το επίπεδο προστασίας που προβλέπεται στη νομοθεσία της ΕΕ για την προστασία των δεδομένων. Σύμφωνα με το Δικαστήριο, οι εξαγωγείς έχουν την ευθύνη για την αναστολή της διαβίβασης ή/και την καταγγελία της σύμβασης εάν ο εισαγωγέας δεν είναι ή δεν είναι πλέον σε θέση να συμμορφωθεί με τις δεσμεύσεις του όσον αφορά την προστασία των δεδομένων. Έτσι, οι εξαγωγείς που βασίζονται στα εργαλεία διαβίβασης που απαριθμούνται στο άρθρο 46 ΓΚΠΔ για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα έχουν την υποχρέωση να αξιολογούν το επίπεδο προστασίας στις τρίτες χώρες προορισμού και την ανάγκη λήψης συμπληρωματικών μέτρων. Η εν λόγω αξιολόγηση ονομάζεται Transfer Impact Assessment.

Ο εξαγωγέας που υπόκειται στον ΓΚΠΔ, είτε ενεργεί ως υπεύθυνος επεξεργασίας είτε ως εκτελών την επεξεργασία, πρέπει να διενεργεί ΤΙΑ με τη συνδρομή του εισαγωγέα, πριν από τη διαβίβαση των δεδομένων σε τρίτη χώρα εκτός του ΕΟΧ, όταν η διαβίβαση αυτή βασίζεται σε εργαλείο του άρθρου 46 ΓΚΠΔ. Εάν η χώρα προορισμού καλύπτεται από απόφαση επάρκειας της Ευρωπαϊκής Επιτροπής, ο εξαγωγέας δεν υπόκειται στην υποχρέωση αυτή. Ο εξαγωγέας δεν χρειάζεται επίσης να προβεί σε ΤΙΑ, εάν η διαβίβαση πραγματοποιείται βάσει μιας από τις παρεκκλίσεις που απαριθμούνται στο άρθρο 49 ΓΚΠΔ.

Το πλήρες κείμενο των νέων Οδηγιών είναι διαθέσιμο στα αγγλικά εδώ.

Κώδικας Ποινικής Δικονομίας ΙΙ
Εργατικό Δίκαιο - Ατομικές εργασιακές σχέσεις και το δίκαιο της ευελιξίας της εργασίας, 10η έκδ., 2024