Άρθρο 44 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Γενικές αρχές για διαβιβάσεις

ΗΜΕΡΟΜΗΝΙΑ ΙΣΧΥΟΣ:

25/05/2018

Κωδικοποιημένο

Κάθε διαβίβαση δεδομένων προσωπικού χαρακτήρα τα οποία υποβάλλονται σε επεξεργασία ή προορίζονται να υποβληθούν σε επεξεργασία μετά από τη διαβίβασή τους σε τρίτη χώρα ή διεθνή οργανισμό πραγματοποιείται μόνο εάν, με την επιφύλαξη των λοιπών διατάξεων του παρόντος κανονισμού, οι προϋποθέσεις που θεσπίζονται στο παρόν κεφάλαιο τηρούνται από τον υπεύθυνο επεξεργασίας και τον εκτελούντα την επεξεργασία, μεταξύ άλλων για περαιτέρω διαβιβάσεις δεδομένων προσωπικού χαρακτήρα από την τρίτη χώρα ή τον διεθνή οργανισμό σε άλλη τρίτη χώρα ή άλλο διεθνή οργανισμό. Όλες οι διατάξεις του παρόντος κεφαλαίου εφαρμόζονται με σκοπό να διασφαλίζεται ότι το επίπεδο προστασίας των φυσικών προσώπων που εγγυάται ο παρών κανονισμός δεν υπονομεύεται.

Σημειωσεις επι του αρθρου

Σχετικά σημεία αιτιολογικής έκθεσης:

(101) Οι ροές δεδομένων προσωπικού χαρακτήρα από και προς χώρες εκτός Ένωσης και διεθνείς οργανισμούς είναι απαραίτητες για την επέκταση του διεθνούς εμπορίου και της διεθνούς συνεργασίας. Η διόγκωση των ροών αυτών δημιούργησε νέες προκλήσεις και μελήματα που αφορούν την προστασία δεδομένων προσωπικού χαρακτήρα. Ωστόσο, όταν δεδομένα προσωπικού χαρακτήρα διαβιβάζονται από την Ένωση σε υπευθύνους επεξεργασίας, εκτελούντες την επεξεργασία ή άλλους αποδέκτες σε τρίτες χώρες ή σε διεθνείς οργανισμούς, δεν θα πρέπει να υπονομεύεται το επίπεδο προστασίας των φυσικών προσώπων το οποίο διασφαλίζει στην Ένωση ο παρών κανονισμός, μεταξύ άλλων και στις περιπτώσεις περαιτέρω διαβιβάσεων δεδομένων προσωπικού χαρακτήρα από την τρίτη χώρα ή τον διεθνή οργανισμό προς υπευθύνους επεξεργασίας και εκτελούντες την επεξεργασία στην ίδια ή σε άλλη τρίτη χώρα ή άλλο διεθνή οργανισμό. Σε κάθε περίπτωση, οι διαβιβάσεις προς τρίτες χώρες και διεθνείς οργανισμούς μπορούν να πραγματοποιούνται μόνο σε πλήρη συμμόρφωση προς τον παρόντα κανονισμό. Διαβίβαση θα μπορούσε να πραγματοποιηθεί μόνο εάν, με την επιφύλαξη των άλλων διατάξεων του παρόντος κανονισμού, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία τηρεί τους όρους των διατάξεων του παρόντος κανονισμού σχετικά με τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες ή διεθνείς οργανισμούς.

(102) Ο παρών κανονισμός δεν θίγει τις διεθνείς συμφωνίες που έχουν συναφθεί μεταξύ της Ένωσης και τρίτων χωρών οι οποίες διέπουν τη διαβίβαση δεδομένων προσωπικού χαρακτήρα και προβλέπουν κατάλληλες εγγυήσεις για τα υποκείμενα των δεδομένων. Τα κράτη μέλη μπορούν να συνάπτουν διεθνείς συμφωνίες οι οποίες προβλέπουν διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες ή διεθνείς οργανισμούς, στον βαθμό που οι εν λόγω συμφωνίες δεν θίγουν τις διατάξεις του παρόντος κανονισμού ή άλλες διατάξεις του δικαίου της Ένωσης και περιλαμβάνουν κατάλληλο επίπεδο προστασίας για τα θεμελιώδη δικαιώματα των υποκειμένων των δεδομένων.

(103) Η Επιτροπή μπορεί να αποφασίζει, με ισχύ για ολόκληρη την Ένωση, ότι τρίτη χώρα, έδαφος ή συγκεκριμένος τομέας σε μια τρίτη χώρα ή διεθνής οργανισμός προσφέρουν επαρκές επίπεδο προστασίας δεδομένων και να κατοχυρώνει έτσι ασφάλεια δικαίου και ομοιομορφία σε ολόκληρη την Ένωση ως προς την τρίτη χώρα ή τον διεθνή οργανισμό που θεωρείται ότι παρέχει τέτοιο επίπεδο προστασίας. Στις περιπτώσεις αυτές, οι διαβιβάσεις δεδομένων προσωπικού χαρακτήρα στην εν λόγω τρίτη χώρα ή διεθνή οργανισμό μπορούν να πραγματοποιούνται χωρίς να χρειάζεται να ζητηθεί άλλη άδεια. Η Επιτροπή δύναται επίσης να αποφασίσει την ανάκληση της εν λόγω απόφασης, κατόπιν ειδοποίησης και δήλωσης αιτιολόγησης προς την τρίτη χώρα ή τον διεθνή οργανισμό.

(104) Σύμφωνα με τις θεμελιώδεις αρχές της Ένωσης, ιδίως με την προστασία των ανθρώπινων δικαιωμάτων, η Επιτροπή θα πρέπει, κατά την αξιολόγηση της τρίτης χώρας ή ενός εδάφους ή ενός συγκεκριμένου τομέα σε μια τρίτη χώρα, να συνεκτιμά κατά πόσο μια συγκεκριμένη τρίτη χώρα σέβεται το κράτος δικαίου, την πρόσβαση στη δικαιοσύνη, καθώς και τους διεθνείς κανόνες και τα πρότυπα για τα ανθρώπινα δικαιώματα και το γενικό και το κατά τομείς δίκαιό της, μεταξύ άλλων τη νομοθεσία που αφορά τη δημόσια ασφάλεια, την άμυνα και την εθνική ασφάλεια, καθώς και τη δημόσια τάξη και το ποινικό δίκαιο. Η έκδοση απόφασης επάρκειας για ένα έδαφος ή συγκεκριμένο τομέα τρίτης χώρας θα πρέπει να συνεκτιμά σαφή και αντικειμενικά κριτήρια, όπως συγκεκριμένες δραστηριότητες επεξεργασίας και το πεδίο εφαρμογής των εφαρμοστέων νομικών προτύπων και της νομοθεσίας που ισχύουν στην τρίτη χώρα. Η τρίτη χώρα θα πρέπει να προσφέρει εγγυήσεις που να διασφαλίζουν ένα κατάλληλο επίπεδο προστασίας, ουσιωδώς ισοδύναμο με αυτό που διασφαλίζεται εντός της Ένωσης, ιδίως όταν η επεξεργασία των δεδομένων προσωπικού χαρακτήρα γίνεται σε έναν ή διαφόρους συγκεκριμένους τομείς. Ειδικότερα, η τρίτη χώρα θα πρέπει να διασφαλίζει την αποτελεσματική ανεξάρτητη εποπτεία της προστασίας των δεδομένων και να προβλέπει μηχανισμούς συνεργασίας με τις αρχές προστασίας δεδομένων των κρατών μελών, τα δε υποκείμενα των δεδομένων θα πρέπει να έχουν στη διάθεσή τους αποτελεσματικά και νομικώς ισχυρά δικαιώματα, καθώς και τη δυνατότητα άσκησης αποτελεσματικών διοικητικών και δικαστικών προσφυγών.

(105) Πέραν των διεθνών δεσμεύσεων που έχει αναλάβει η τρίτη χώρα ή ο διεθνής οργανισμός, η Επιτροπή θα πρέπει να συνεκτιμά τις υποχρεώσεις που απορρέουν από τη συμμετοχή της τρίτης χώρας ή του διεθνούς οργανισμού σε πολυμερή ή περιφερειακά συστήματα, ιδίως σε σχέση με την προστασία δεδομένων προσωπικού χαρακτήρα, καθώς την εφαρμογή τέτοιων υποχρεώσεων. Θα πρέπει, ιδίως, να συνεκτιμάται η προσχώρηση της τρίτης χώρας στη σύμβαση του Συμβουλίου της Ευρώπης της 28ης Ιανουαρίου 1981 για την προστασία των φυσικών προσώπων έναντι της αυτόματης επεξεργασίας δεδομένων προσωπικού χαρακτήρα και στο πρόσθετο πρωτόκολλό της. Η Επιτροπή θα πρέπει να ζητεί τη γνώμη του Συμβουλίου Προστασίας Δεδομένων όποτε εκτιμά το επίπεδο προστασίας σε τρίτες χώρες ή σε διεθνείς οργανισμούς.

(106) Η Επιτροπή θα πρέπει να παρακολουθεί τη λειτουργία των αποφάσεων σχετικά με το επίπεδο προστασίας σε μια τρίτη χώρα, έδαφος ή συγκεκριμένο τομέα μιας τρίτης χώρας ή σε διεθνή οργανισμό και να παρακολουθεί τη λειτουργία των αποφάσεων που εκδίδονται βάσει του άρθρου 25 παράγραφος 6 ή του άρθρου 26 παράγραφος 4 της οδηγίας 95/46/ΕΚ. Στις αποφάσεις της επάρκειας, η Επιτροπή θα πρέπει να προβλέπει μηχανισμό περιοδικής επανεξέτασης της λειτουργίας τους. Αυτή η περιοδική επανεξέταση θα πρέπει να γίνεται σε διαβούλευση με την εκάστοτε τρίτη χώρα ή τον διεθνή οργανισμό και να λαμβάνει υπόψη όλες τις σχετικές εξελίξεις στην τρίτη χώρα ή τον διεθνή οργανισμό. Για τους σκοπούς της παρακολούθησης και της διεξαγωγής των περιοδικών επανεξετάσεων, η Επιτροπή θα πρέπει να λαμβάνει υπόψη τις γνώμες και τα συμπεράσματα του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, καθώς και άλλων σχετικών φορέων και πηγών. Η Επιτροπή θα πρέπει να αξιολογεί, εντός εύλογου χρόνου, τη λειτουργία των τελευταίων αποφάσεων και να αναφέρει κάθε σχετικό πόρισμα στην επιτροπή κατά την έννοια του κανονισμού (ΕΕ) αριθ. 182/2011 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, όπως αυτή συγκροτείται βάσει του παρόντος κανονισμού, στο Ευρωπαϊκό Κοινοβούλιο και στο Συμβούλιο.

(107) Η Επιτροπή μπορεί να διαπιστώσει ότι μια τρίτη χώρα, έδαφος ή συγκεκριμένος τομέας μιας τρίτης χώρας ή ένας διεθνής οργανισμός δεν διασφαλίζουν πλέον επαρκές επίπεδο προστασίας των δεδομένων. Ως εκ τούτου, θα πρέπει να απαγορεύεται η διαβίβαση δεδομένων προσωπικού χαρακτήρα στη συγκεκριμένη τρίτη χώρα ή τον διεθνή οργανισμό, εκτός εάν πληρούνται οι απαιτήσεις του παρόντος κανονισμού σχετικά με διαβιβάσεις υπό την επιφύλαξη κατάλληλων εγγυήσεων, συμπεριλαμβανομένων δεσμευτικών εταιρικών κανόνων, και σχετικά με παρεκκλίσεις για ειδικές καταστάσεις. Στην περίπτωση αυτή, θα πρέπει να προβλέπονται διαβουλεύσεις μεταξύ της Επιτροπής και των εν λόγω τρίτων χωρών ή διεθνών οργανισμών. Η Επιτροπή θα πρέπει, σε εύθετο χρόνο, να ενημερώνει την τρίτη χώρα ή τον διεθνή οργανισμό σχετικά με τους λόγους και να αρχίζει διαβουλεύσεις προς αντιμετώπιση της κατάστασης.

(108) Ελλείψει απόφασης επάρκειας, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία θα πρέπει να λαμβάνουν μέτρα για να αντισταθμίζουν την έλλειψη προστασίας των δεδομένων στην τρίτη χώρα μέσω κατάλληλων εγγυήσεων υπέρ του υποκειμένου των δεδομένων. Αυτές οι κατάλληλες εγγυήσεις μπορεί να συνίστανται στη χρήση δεσμευτικών εταιρικών κανόνων, τυποποιημένων ρητρών προστασίας των δεδομένων που θεσπίζονται από την Επιτροπή, τυποποιημένων ρητρών προστασίας των δεδομένων που θεσπίζονται από αρχή ελέγχου ή συμβατικών ρητρών που εγκρίνονται από αρχή ελέγχου. Οι εγγυήσεις αυτές θα πρέπει να διασφαλίζουν συμμόρφωση με τις απαιτήσεις προστασίας των δεδομένων και με τα δικαιώματα των υποκειμένων των δεδομένων, υπό το πρίσμα της επεξεργασίας εντός της Ένωσης, συμπεριλαμβανομένης της διαθεσιμότητας νομικώς ισχυρών δικαιωμάτων των υποκειμένων των δεδομένων και πραγματικών ένδικων μέσων, όπως είναι μεταξύ άλλων το δικαίωμα άσκησης αποτελεσματικής διοικητικής ή δικαστικής προσφυγής και αξίωσης αποζημίωσης, στην Ένωση ή σε τρίτη χώρα. Θα πρέπει να αφορούν ιδίως την τήρηση των γενικών αρχών που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα και των αρχών περί προστασίας των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού. Οι διαβιβάσεις μπορούν να διενεργούνται επίσης από δημόσιες αρχές ή φορείς με δημόσιες αρχές ή φορείς σε τρίτες χώρες ή με διεθνείς οργανισμούς που έχουν αντίστοιχα καθήκοντα ή αρμοδιότητες, μεταξύ άλλων βάσει διατάξεων που πρέπει να ενσωματωθούν σε διοικητικές ρυθμίσεις, όπως σε υπόμνημα συμφωνίας, όπου να προβλέπονται αποτελεσματικά και νομικώς ισχυρά δικαιώματα για τα υποκείμενα των δεδομένων. Η άδεια της αρμόδιας εποπτικής αρχής θα πρέπει να αποκτάται εφόσον οι εγγυήσεις προβλέπονται σε νομικά μη δεσμευτικές διοικητικές ρυθμίσεις.

(109) Η δυνατότητα του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία να χρησιμοποιεί τυποποιημένες ρήτρες προστασίας των δεδομένων εγκεκριμένες από την Επιτροπή ή από ελεγκτική αρχή δεν θα πρέπει να εμποδίζει τους υπευθύνους επεξεργασίας ή εκτελούντες την επεξεργασία να ενσωματώνουν τις τυποποιημένες ρήτρες προστασίας δεδομένων σε ευρύτερη σύμβαση, όπως σε σύμβαση μεταξύ του εκτελούντος την επεξεργασία και άλλου εκτελούντος την επεξεργασία, ούτε να προσθέτουν άλλες ρήτρες ή πρόσθετες εγγυήσεις, εφόσον αυτές δεν αντιφάσκουν, άμεσα ή έμμεσα, προς τις εγκεκριμένες από την Επιτροπή ή από ελεγκτική αρχή τυποποιημένες συμβατικές ρήτρες ούτε θίγουν τα θεμελιώδη δικαιώματα ή τις ελευθερίες των υποκειμένων των δεδομένων. Οι υπεύθυνοι επεξεργασίας και οι εκτελούντες την επεξεργασία θα πρέπει να ενθαρρύνονται να παράσχουν πρόσθετες εγγυήσεις μέσω συμβατικών δεσμεύσεων που δρουν συμπληρωματικά ως προς τις υφιστάμενες ρήτρες προστασίας δεδομένων.

(110) Ένας όμιλος επιχειρήσεων, όπως επίσης και ένας όμιλος εταιρειών που ασκούν κοινή οικονομική δραστηριότητα, θα πρέπει να μπορεί να κάνει χρήση εγκεκριμένων δεσμευτικών εταιρικών κανόνων για τις διεθνείς διαβιβάσεις του από την Ένωση σε οργανισμούς εντός του ίδιου ομίλου επιχειρήσεων ή ομίλου εταιρειών που ασκούν κοινή οικονομική δραστηριότητα, εφόσον οι εν λόγω εταιρικοί κανόνες περιλαμβάνουν όλες τις βασικές αρχές και δικαιώματα τα οποία τυγχάνουν δικαστικής προστασίας, ώστε να διασφαλίζονται κατάλληλες εγγυήσεις για διαβιβάσεις ή κατηγορίες διαβιβάσεων δεδομένων προσωπικού χαρακτήρα.

(111) Θα πρέπει να προβλεφθεί η δυνατότητα διαβιβάσεων σε ορισμένες περιπτώσεις, όταν το υποκείμενο των δεδομένων παρέσχε τη ρητή συγκατάθεσή του, εφόσον η διαβίβαση είναι περιστασιακή και αναγκαία σε σχέση με σύμβαση ή με νομική αξίωση, είτε σε δικαστική διαδικασία είτε σε διοικητική ή τυχόν εξωδικαστική διαδικασία, μεταξύ άλλων σε διαδικασίες ενώπιον ρυθμιστικών φορέων. Θα πρέπει επίσης να προβλεφθεί η δυνατότητα διαβιβάσεων, εφόσον σημαντικοί λόγοι δημόσιου συμφέροντος προβλεπόμενοι από το δίκαιο της Ένωσης ή των κρατών μελών απαιτούν κάτι τέτοιο ή εφόσον η διαβίβαση πραγματοποιείται από μητρώο το οποίο συστάθηκε διά νόμου και προορίζεται για άντληση πληροφοριών από το κοινό ή από πρόσωπα που έχουν έννομο συμφέρον. Στην τελευταία περίπτωση, η εν λόγω διαβίβαση δεν θα πρέπει να αφορά το σύνολο των δεδομένων ή ολόκληρες κατηγορίες δεδομένων προσωπικού χαρακτήρα που περιέχονται στο μητρώο και, όταν το μητρώο προορίζεται για άντληση πληροφοριών από πρόσωπα τα οποία έχουν έννομο συμφέρον, η διαβίβαση θα πρέπει να πραγματοποιείται μόνο κατόπιν αιτήσεως των εν λόγω προσώπων ή, εάν πρόκειται να είναι αυτά οι αποδέκτες της διαβίβασης, λαμβάνοντας πλήρως υπόψη τα συμφέροντα και τα θεμελιώδη δικαιώματα του υποκειμένου των δεδομένων.

(112) Οι εν λόγω παρεκκλίσεις θα πρέπει να εφαρμόζονται ιδίως σε διαβιβάσεις δεδομένων που ζητήθηκαν και είναι αναγκαίες για σημαντικούς λόγους δημόσιου συμφέροντος, για παράδειγμα σε περιπτώσεις διεθνών ανταλλαγών δεδομένων μεταξύ αρχών ανταγωνισμού, φορολογικών ή τελωνειακών αρχών, μεταξύ αρχών χρηματοοικονομικής εποπτείας, μεταξύ υπηρεσιών αρμόδιων για θέματα κοινωνικής ασφάλισης ή δημόσιας υγείας, λόγου χάρη σε περίπτωση ιχνηλάτησης επαφών για τη διαπίστωση μολυσματικών νόσων ή με σκοπό τον περιορισμό και/ή την εξάλειψη της φαρμακοδιέγερσης (ντόπινγκ) στον αθλητισμό. Η διαβίβαση δεδομένων προσωπικού χαρακτήρα θα πρέπει επίσης να θεωρείται σύννομη όταν είναι αναγκαία για την προστασία συμφέροντος που είναι ουσιώδες για τα ζωτικά συμφέροντα του υποκειμένου των δεδομένων ή άλλου προσώπου, μεταξύ άλλων για τη σωματική ακεραιότητα ή τη ζωή, εάν το υποκείμενο των δεδομένων δεν είναι σε θέση να δώσει συγκατάθεση. Ελλείψει απόφασης επάρκειας, το ενωσιακό δίκαιο ή το δίκαιο κράτους μέλους μπορεί, για σοβαρούς λόγους δημόσιου συμφέροντος, να προβλέπει ρητώς περιορισμούς στη διαβίβαση ειδικών κατηγοριών δεδομένων σε τρίτη χώρα ή σε διεθνή οργανισμό. Τα κράτη μέλη θα πρέπει να κοινοποιούν αυτές τις διατάξεις στην Επιτροπή. Οποιαδήποτε διαβίβαση σε διεθνή ανθρωπιστικό οργανισμό δεδομένων προσωπικού χαρακτήρα ενός υποκειμένου που δεν έχει τη φυσική ή νομική ικανότητα να παράσχει τη συγκατάθεσή του, η οποία γίνεται με σκοπό να εκπληρωθεί καθήκον σύμφωνα με τις Συμβάσεις της Γενεύης ή με σκοπό τη συμμόρφωση προς το διεθνές ανθρωπιστικό δίκαιο σε ένοπλες συγκρούσεις, θα μπορούσε να θεωρηθεί αναγκαία για ένα σοβαρό λόγο δημοσίου συμφέροντος ή επειδή αποσκοπεί σε ζωτικό συμφέρον του υποκειμένου των δεδομένων.

(113) Διαβιβάσεις οι οποίες μπορούν να χαρακτηρισθούν μη επαναλαμβανόμενες και οι οποίες αφορούν περιορισμένο αριθμό υποκειμένων των δεδομένων ενδέχεται να επιτρέπονται επίσης λόγω επιτακτικών έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας, όταν τα συμφέροντα ή τα δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων δεν υπερισχύουν των συμφερόντων αυτών και όταν ο υπεύθυνος επεξεργασίας έχει αξιολογήσει όλες τις περιστάσεις που περιβάλλουν τη διαβίβαση δεδομένων. Ο υπεύθυνος επεξεργασίας θα πρέπει να λαμβάνει ιδίως υπόψη τη φύση των δεδομένων προσωπικού χαρακτήρα, τον σκοπό και τη διάρκεια της σχεδιαζόμενης πράξης ή πράξεων επεξεργασίας, καθώς και την κατάσταση στη χώρα προέλευσης, στην τρίτη χώρα και στη χώρα τελικού προορισμού, και να προβλέπει τις παρεχόμενες κατάλληλες εγγυήσεις για την προστασία των θεμελιωδών δικαιωμάτων και ελευθεριών των φυσικών προσώπων όσον αφορά την προστασία των δεδομένων προσωπικού χαρακτήρα. Οι διαβιβάσεις αυτές θα πρέπει να είναι δυνατές μόνο στις περιπτώσεις στις οποίες δεν συντρέχει κανένας από τους άλλους λόγους μεταβίβασης. Για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς, θα πρέπει να λαμβάνονται υπόψη οι θεμιτές προσδοκίες της κοινωνίας για αύξηση της γνώσης. Ο υπεύθυνος επεξεργασίας θα πρέπει να ενημερώνει την εποπτική αρχή και το υποκείμενο των δεδομένων για τη διαβίβαση.

(114) Σε κάθε περίπτωση, αν η Επιτροπή δεν έλαβε απόφαση επάρκειας για το επίπεδο προστασίας των δεδομένων σε τρίτη χώρα, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία θα πρέπει να βρίσκουν λύσεις οι οποίες να παρέχουν στα υποκείμενα των δεδομένων αποτελεσματικά και νομικώς ισχυρά δικαιώματα όσον αφορά την επεξεργασία των δεδομένων τους στην Ένωση μετά τη διαβίβαση των εν λόγω δεδομένων, ώστε να συνεχίζουν να επωφελούνται των θεμελιωδών δικαιωμάτων και εγγυήσεων.

(115) Μερικές τρίτες χώρες θεσπίζουν νόμους, κανονισμούς και άλλες νομικές πράξεις που φιλοδοξούν να ρυθμίσουν άμεσα τις δραστηριότητες επεξεργασίας φυσικών και νομικών προσώπων που υπάγονται στη δικαιοδοσία των κρατών μελών. Αυτό μπορεί να περιλαμβάνει αποφάσεις δικαστηρίων ή αποφάσεις διοικητικών αρχών σε τρίτες χώρες οι οποίες να απαιτούν από υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία να μεταβιβάσει ή να κοινολογήσει δεδομένα προσωπικού χαρακτήρα και οι οποίες δεν βασίζονται σε διεθνή συμφωνία, όπως για παράδειγμα σύμβαση αμοιβαίας δικαστικής συνδρομής που ισχύει μεταξύ της αιτούσας τρίτης χώρας και της Ένωσης ή κράτους μέλους. Η εξωεδαφική εφαρμογή των εν λόγω νόμων, κανονισμών και άλλων νομικών πράξεων μπορεί να παραβιάζει το διεθνές δίκαιο και να εμποδίζει την επίτευξη της προστασίας των φυσικών προσώπων που διασφαλίζει στην Ένωση ο παρών κανονισμός. Οι διαβιβάσεις θα πρέπει να επιτρέπονται μόνο εάν πληρούνται οι προϋποθέσεις του παρόντος κανονισμού για διαβίβαση προς τρίτες χώρες. Αυτό μπορεί να συμβαίνει, μεταξύ άλλων, αν η κοινολόγηση είναι απαραίτητη για σημαντικό λόγο δημόσιου συμφέροντος ο οποίος αναγνωρίζεται στο δίκαιο της Ένωσης ή κράτους μέλους στο οποίο υπάγεται ο υπεύθυνος επεξεργασίας.

(116) Η διασυνοριακή διακίνηση δεδομένων προσωπικού χαρακτήρα εκτός της Ένωσης θέτει ενδεχομένως σε μεγαλύτερο κίνδυνο την ικανότητα των φυσικών προσώπων να ασκούν δικαιώματα προστασίας των δεδομένων ιδίως για να προστατεύονται έναντι της παράνομης χρήσης ή κοινολόγησης των συγκεκριμένων πληροφοριών. Ταυτόχρονα, οι εποπτικές αρχές μπορεί να διαπιστώσουν ότι αδυνατούν να δώσουν συνέχεια σε καταγγελίες ή να διενεργήσουν έρευνες σχετικά με δραστηριότητες εκτός των συνόρων τους. Οι προσπάθειές τους να συνεργασθούν σε διασυνοριακό πλαίσιο μπορεί επίσης να παρεμποδίζονται από ανεπαρκείς εξουσίες πρόληψης ή αποκατάστασης, από αντιφατικά νομικά καθεστώτα και από πρακτικά εμπόδια, όπως η απουσία πόρων. Επομένως, υπάρχει ανάγκη να προωθηθεί η στενότερη συνεργασία μεταξύ των εποπτικών αρχών προστασίας των δεδομένων, ώστε να διευκολύνονται να ανταλλάσσουν πληροφορίες και να διενεργούν έρευνες με τους διεθνείς ομολόγους τους. Για να αναπτυχθούν διεθνείς μηχανισμοί συνεργασίας με σκοπό τη διευκόλυνση και την παροχή διεθνούς αμοιβαίας συνδρομής για την εφαρμογή της νομοθεσίας περί προστασίας δεδομένων προσωπικού χαρακτήρα, η Επιτροπή και οι εποπτικές αρχές θα πρέπει να ανταλλάσσουν πληροφορίες και να συνεργάζονται σε δραστηριότητες σχετικές με την άσκηση των αρμοδιοτήτων τους με τις αρμόδιες αρχές τρίτων χωρών, βάσει της αρχής της αμοιβαιότητας και σύμφωνα με τον παρόντα κανονισμό.