Άρθρο 46 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Διαβιβάσεις που υπόκεινται σε κατάλληλες εγγυήσεις

ΗΜΕΡΟΜΗΝΙΑ ΙΣΧΥΟΣ:

25/05/2018

Κωδικοποιημένο

1. Ελλείψει απόφασης δυνάμει του άρθρου 45 παράγραφος 3, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία μπορεί να διαβιβάσει δεδομένα προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό μόνο εάν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία έχει παράσχει κατάλληλες εγγυήσεις και υπό την προϋπόθεση ότι υφίστανται εκτελεστά δικαιώματα και αποτελεσματικά ένδικα μέσα για τα υποκείμενα των δεδομένων.

2. Οι κατάλληλες εγγυήσεις που αναφέρονται στην παράγραφο 1 μπορούν να προβλέπονται, χωρίς να απαιτείται ειδική άδεια εποπτικής αρχής, μέσω:

α) ενός νομικά δεσμευτικού και εκτελεστού μέσου μεταξύ δημόσιων αρχών ή φορέων,

β) δεσμευτικών εταιρικών κανόνων σύμφωνα με το άρθρο 47,

γ) τυποποιημένων ρητρών προστασίας δεδομένων που εκδίδονται από την Επιτροπή σύμφωνα με τη διαδικασία εξέτασης που προβλέπεται στο άρθρο 93 παράγραφος 2,

δ) τυποποιημένων ρητρών προστασίας δεδομένων που εκδίδονται από εποπτική αρχή και εγκρίνονται από την Επιτροπή σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 93 παράγραφος 2,

ε) εγκεκριμένου κώδικα δεοντολογίας, σύμφωνα με το άρθρο 40, από κοινού με δεσμευτικές και εκτελεστές υποχρεώσεις του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία στην τρίτη χώρα να εφαρμόζει τις κατάλληλες εγγυήσεις, μεταξύ άλλων όσον αφορά τα δικαιώματα των υποκειμένων των δεδομένων, ή

στ) εγκεκριμένου μηχανισμού πιστοποίησης, σύμφωνα με το άρθρο 42, από κοινού με δεσμευτικές και εκτελεστές υποχρεώσεις του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία στην τρίτη χώρα να εφαρμόζει τις κατάλληλες εγγυήσεις, μεταξύ άλλων όσον αφορά τα δικαιώματα των υποκειμένων των δεδομένων.

3. Με την επιφύλαξη της άδειας από την αρμόδια εποπτική αρχή, οι κατάλληλες εγγυήσεις της παραγράφου 1 μπορούν επίσης να παρέχονται ιδίως μέσω:

α) συμβατικών ρητρών μεταξύ του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία και του υπευθύνου επεξεργασίας, του εκτελούντος την επεξεργασία ή του αποδέκτη των δεδομένων προσωπικού χαρακτήρα στην τρίτη χώρα ή τον διεθνή οργανισμό ή

β) διατάξεων προς συμπερίληψη σε διοικητικές ρυθμίσεις μεταξύ δημόσιων αρχών ή φορέων οι οποίες περιλαμβάνουν εκτελεστά και ουσιαστικά δικαιώματα υποκειμένων των δεδομένων.

4. Η εποπτική αρχή εφαρμόζει τον μηχανισμό συνεκτικότητας που αναφέρεται στο άρθρο 63 στις περιπτώσεις που αναφέρονται στην παράγραφο 3 του παρόντος άρθρου.

5. Οι άδειες από κράτος μέλος ή εποπτική αρχή βάσει του άρθρου 26 παράγραφος 2 της οδηγίας 95/46/ΕΚ παραμένουν σε ισχύ έως ότου τροποποιηθούν, αντικατασταθούν ή καταργηθούν, εάν απαιτείται, από την εν λόγω εποπτική αρχή. Οι αποφάσεις που εκδίδονται από την Επιτροπή βάσει του άρθρου 26 παράγραφος 4 της οδηγίας 95/46/ΕΚ παραμένουν σε ισχύ έως ότου τροποποιηθούν, αντικατασταθούν ή καταργηθούν, εάν απαιτείται, με απόφαση της Επιτροπής εκδοθείσα σύμφωνα με την παράγραφο 2 του παρόντος άρθρου.

Σημειωσεις επι του αρθρου

Σχετικά σημεία αιτιολογικής έκθεσης:

(108) Ελλείψει απόφασης επάρκειας, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία θα πρέπει να λαμβάνουν μέτρα για να αντισταθμίζουν την έλλειψη προστασίας των δεδομένων στην τρίτη χώρα μέσω κατάλληλων εγγυήσεων υπέρ του υποκειμένου των δεδομένων. Αυτές οι κατάλληλες εγγυήσεις μπορεί να συνίστανται στη χρήση δεσμευτικών εταιρικών κανόνων, τυποποιημένων ρητρών προστασίας των δεδομένων που θεσπίζονται από την Επιτροπή, τυποποιημένων ρητρών προστασίας των δεδομένων που θεσπίζονται από αρχή ελέγχου ή συμβατικών ρητρών που εγκρίνονται από αρχή ελέγχου. Οι εγγυήσεις αυτές θα πρέπει να διασφαλίζουν συμμόρφωση με τις απαιτήσεις προστασίας των δεδομένων και με τα δικαιώματα των υποκειμένων των δεδομένων, υπό το πρίσμα της επεξεργασίας εντός της Ένωσης, συμπεριλαμβανομένης της διαθεσιμότητας νομικώς ισχυρών δικαιωμάτων των υποκειμένων των δεδομένων και πραγματικών ένδικων μέσων, όπως είναι μεταξύ άλλων το δικαίωμα άσκησης αποτελεσματικής διοικητικής ή δικαστικής προσφυγής και αξίωσης αποζημίωσης, στην Ένωση ή σε τρίτη χώρα. Θα πρέπει να αφορούν ιδίως την τήρηση των γενικών αρχών που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα και των αρχών περί προστασίας των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού. Οι διαβιβάσεις μπορούν να διενεργούνται επίσης από δημόσιες αρχές ή φορείς με δημόσιες αρχές ή φορείς σε τρίτες χώρες ή με διεθνείς οργανισμούς που έχουν αντίστοιχα καθήκοντα ή αρμοδιότητες, μεταξύ άλλων βάσει διατάξεων που πρέπει να ενσωματωθούν σε διοικητικές ρυθμίσεις, όπως σε υπόμνημα συμφωνίας, όπου να προβλέπονται αποτελεσματικά και νομικώς ισχυρά δικαιώματα για τα υποκείμενα των δεδομένων. Η άδεια της αρμόδιας εποπτικής αρχής θα πρέπει να αποκτάται εφόσον οι εγγυήσεις προβλέπονται σε νομικά μη δεσμευτικές διοικητικές ρυθμίσεις.

(109) Η δυνατότητα του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία να χρησιμοποιεί τυποποιημένες ρήτρες προστασίας των δεδομένων εγκεκριμένες από την Επιτροπή ή από ελεγκτική αρχή δεν θα πρέπει να εμποδίζει τους υπευθύνους επεξεργασίας ή εκτελούντες την επεξεργασία να ενσωματώνουν τις τυποποιημένες ρήτρες προστασίας δεδομένων σε ευρύτερη σύμβαση, όπως σε σύμβαση μεταξύ του εκτελούντος την επεξεργασία και άλλου εκτελούντος την επεξεργασία, ούτε να προσθέτουν άλλες ρήτρες ή πρόσθετες εγγυήσεις, εφόσον αυτές δεν αντιφάσκουν, άμεσα ή έμμεσα, προς τις εγκεκριμένες από την Επιτροπή ή από ελεγκτική αρχή τυποποιημένες συμβατικές ρήτρες ούτε θίγουν τα θεμελιώδη δικαιώματα ή τις ελευθερίες των υποκειμένων των δεδομένων. Οι υπεύθυνοι επεξεργασίας και οι εκτελούντες την επεξεργασία θα πρέπει να ενθαρρύνονται να παράσχουν πρόσθετες εγγυήσεις μέσω συμβατικών δεσμεύσεων που δρουν συμπληρωματικά ως προς τις υφιστάμενες ρήτρες προστασίας δεδομένων.

(110) Ένας όμιλος επιχειρήσεων, όπως επίσης και ένας όμιλος εταιρειών που ασκούν κοινή οικονομική δραστηριότητα, θα πρέπει να μπορεί να κάνει χρήση εγκεκριμένων δεσμευτικών εταιρικών κανόνων για τις διεθνείς διαβιβάσεις του από την Ένωση σε οργανισμούς εντός του ίδιου ομίλου επιχειρήσεων ή ομίλου εταιρειών που ασκούν κοινή οικονομική δραστηριότητα, εφόσον οι εν λόγω εταιρικοί κανόνες περιλαμβάνουν όλες τις βασικές αρχές και δικαιώματα τα οποία τυγχάνουν δικαστικής προστασίας, ώστε να διασφαλίζονται κατάλληλες εγγυήσεις για διαβιβάσεις ή κατηγορίες διαβιβάσεων δεδομένων προσωπικού χαρακτήρα.

(168) Η διαδικασία εξέτασης θα πρέπει να εφαρμόζεται για την έγκριση εκτελεστικών πράξεων σχετικά με τυποποιημένες συμβατικές ρήτρες μεταξύ υπευθύνων επεξεργασίας και εκτελούντων την επεξεργασία, καθώς και μεταξύ εκτελούντων την επεξεργασία· κώδικες δεοντολογίας· τεχνικά πρότυπα και μηχανισμούς πιστοποίησης· το κατάλληλο επίπεδο προστασίας που παρέχει μια τρίτη χώρα, ένα έδαφος ή ένας συγκεκριμένος τομέας εντός της εν λόγω τρίτης χώρας ή ένας διεθνής οργανισμός· τυποποιημένες ρήτρες για την προστασία· μορφοτύπους και διαδικασίες για την ηλεκτρονική ανταλλαγή πληροφοριών μεταξύ υπευθύνων επεξεργασίας, εκτελούντων την επεξεργασία και εποπτικών αρχών για τους δεσμευτικούς εταιρικούς κανόνες· αμοιβαία συνδρομή και ρυθμίσεις ανταλλαγής πληροφοριών με ηλεκτρονικά μέσα μεταξύ εποπτικών αρχών και μεταξύ εποπτικών αρχών και του Συμβουλίου Προστασίας Δεδομένων.

send