GDPR: Πώς γίνονται οι διαβιβάσεις δεδομένων προς τρίτες χώρες ή διεθνείς οργανισμούς;

Χρήσιμες πληροφορίες από την ΑΠΔΠΧ για τις διαβιβάσεις δεδομένων προς τρίτες χώρες ή διεθνείς οργανισμούς

ΣΥΝΤΑΚΤΗΣ:

Lawspot.gr

ΔΗΜΟΣΙΕΥΣΗ:

01/07/2018 - 13:18

ΤΕΛΕΥΤΑΙΑ ΤΡΟΠΟΠΟΙΗΣΗ:

06/07/2018 - 10:57

Με πληροφορίες από την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα

Οι διαβιβάσεις προς τρίτες χώρες ή διεθνείς οργανισμούς ρυθμίζονται στο Κεφάλαιο V του Γενικού Κανονισμού για την Προστασία Δεδομένων. Σύμφωνα με το άρθρο 44 ΓΚΠΔ, κάθε διαβίβαση εκτός ΕΕ πρέπει να είναι νόμιμη σύμφωνα με τις γενικές διατάξεις του ΓΚΠΔ (άρ. 5, 6, 9) και να πληροί τους όρους του Κεφαλαίου V.

Όπως παγίως ερμηνεύει τις σχετικές διατάξεις η Ομάδα εργασίας του άρθρου 29, οι διεθνείς διαβιβάσεις πρέπει να προσεγγίζονται «ολιστικά και πολυεπίπεδα» («holistic and layered approach»). Aυτό σημαίνει ότι ως βάση νομιμότητας της διεθνούς διαβίβασης προτιμώνται οι αποφάσεις επάρκειας της χώρας-εισαγωγέα (άρ. 45 ΓΚΠΔ). Ελλείψει τέτοιας απόφασης, ο υπεύθυνος επεξεργασίας ή εκτελών, που επιθυμεί να διαβιβάσει προσωπικά δεδομένα εκτός ΕΕ, πρέπει να παρέχει τις κατάλληλες εγγυήσεις μέσω κάποιου από τα εργαλεία διαβίβασης που προβλέπονται στο άρθρο 46 ΓΚΠΔ (Δεσμευτικοί Εταιρικοί Κανόνες - BCRs), τυποποιημένες συμβατικές ρήτρες, εγκεκριμένος κώδικας δεοντολογίας, κ.λπ.).

Στην περίπτωση που δεν μπορεί να εφαρμοστεί κανείς από τους μηχανισμούς των άρθρων 45 ή 46, υπάρχει –ως ύστατη λύση– η εφαρμογή, υπό συγκεκριμένες προϋποθέσεις, των παρεκκλίσεων του άρθρου 49.

Αποφάσεις επάρκειας – άρ. 45, Εισαγ. Σκ. 103-107, 169 ΓΚΠΔ

Οι διαβιβάσεις βάσει απόφασης επάρκειας της Επιτροπής ρυθμίζονται στο άρθρο 45 ΓΚΠΔ και δεν απαιτούν την έκδοση άδειας από την εποπτική αρχή*.

*Σημ: Σχετικό είναι επίσης το WP 254 – Adequacy Referential της Ομάδας εργασίας του άρθρου 29, το οποίο αποτελεί την επικαιροποίηση του προηγούμενου WP 12 υπό το φως των νέων ρυθμίσεων του ΓΚΠΔ, αλλά και της νομολογίας του ΔΕΕ και δη της απόφασης Schrems (C-362/2014).

Οι αποφάσεις επάρκειας του επιπέδου προστασίας μπορεί να αφορούν είτε τρίτη χώρα στο σύνολό της είτε έδαφος ή συγκεκριμένο τομέα ή τομείς της τρίτης χώρας ή του διεθνούς οργανισμού.

Μέχρι σήμερα, η Επιτροπή έχει εκδώσει 12 αποφάσεις επάρκειας για τις εξής χώρες: Ανδόρα, Αργεντική, Καναδά, νήσους Φερόες, Γκέρνσεϊ, Ισραήλ, νήσο του Μαν, Τζέρσεϊ, Νέα Ζηλανδία, Ελβετία, Ουρουγουάη και ΗΠΑ (μόνο στο πλαίσιο του Privacy Shield)*. Βρίσκονται σε εξέλιξη συνομιλίες για την έκδοση αποφάσεων επάρκειας για την Ιαπωνία και τη Νότιο Κορέα.

*Σημ: Μετά την απόφαση Schrems, οι υπάρχουσες αποφάσεις επάρκειας τροποποιήθηκαν με την εκτελεστική απόφαση (EE) 2016/2295.

Ιδιαίτερη βαρύτητα έχει η 2016/1250 απόφαση επάρκειας της Επιτροπής που αφορά την επάρκεια προστασίας του μηχανισμού της Ασπίδας Προστασίας (Privacy Shield).

Σύμφωνα με το άρ. 45 παρ. 9 ΓΚΠΔ, οι ήδη εκδοθείσες, υπό το καθεστώς της Οδηγίας 95/46, αποφάσεις επάρκειας παραμένουν σε ισχύ έως ότου τροποποιηθούν, αντικατασταθούν ή καταργηθούν από την Επιτροπή.

Διαβιβάσεις που υπόκεινται σε κατάλληλες εγγυήσεις – άρ. 46, Εισαγ. Σκ. 108-110, 114 ΓΚΠΔ

Ελλείψει απόφασης επάρκειας της Επιτροπής, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία πρέπει να λαμβάνουν μέτρα αντιστάθμισης της ελλιπούς προστασίας των δεδομένων στην τρίτη χώρα μέσω κατάλληλων εγγυήσεων υπέρ του υποκειμένου. Οι εγγυήσεις αυτές μπορεί να συνίστανται στη χρήση:

1. Δεσμευτικών εταιρικών κανόνων (Binding Corporate Rules),

2. Τυποποιημένων ρητρών προστασίας δεδομένων θεσπιζομένων από την Επιτροπή*,

*Σημ: Μετά την απόφαση Schrems, οι υπάρχουσες τυποποιημένες συμβατικές ρήτρες (Standard Contractual Clauses, SCC) τροποποιήθηκαν με την εκτελεστική απόφαση (EE) 2016/2297. Πλέον, οι εθνικές εποπτικές αρχές μπορούν, μετά από προσφυγή ή αυτεπάγγελτα, να απαγορεύσουν ή να αναστείλουν τη διαβίβαση δεδομένων σε τρίτες χώρες, εάν θεωρήσουν ότι η διαβίβαση διενεργείται κατά παράβαση της ευρωπαϊκής ή εθνικής νομοθεσίας για την προστασία των δεδομένων.

ή

3. Τυποποιημένων ρητρών προστασίας δεδομένων θεσπιζομένων από την εποπτική αρχή

4. Εγκεκριμένου κώδικα δεοντολογίας (άρ. 40 ΓΚΠΔ),

5. Εγκεκριμένου μηχανισμού πιστοποίησης (άρ. 42 ΓΚΠΔ),

6. Νομικά δεσμευτικού και εκτελεστού μέσου μεταξύ δημοσίων αρχών.

Οι παραπάνω εγγυήσεις ΔΕΝ απαιτούν την έκδοση άδειας από την εποπτική αρχή.

Οι εγγυήσεις υπέρ του υποκειμένου μπορεί να παρέχονται και μέσω των παρακάτω εργαλείων, τα οποία όμως απαιτούν την έκδοση άδειας από την εποπτική αρχή:

1. Ad hoc συμβατικές ρήτρες μεταξύ εισαγωγέα και εξαγωγέα των δεδομένων,

2. Διοικητικές ρυθμίσεις μεταξύ δημοσίων αρχών ή φορέων, οι οποίες περιλαμβάνουν εκτελεστά και ουσιαστικά δικαιώματα των υποκειμένων (π.χ. Memorandum of Understanding - MOUs μεταξύ δημοσίων αρχών με αντίστοιχες αρμοδιότητες). Η άδεια της εποπτικής αρχής είναι απαραίτητη, διότι οι διοικητικές ρυθμίσεις αυτού του τύπου είναι νομικά μη δεσμευτικές.

Δεσμευτικοί Εταιρικοί Κανόνες (BCR) - άρ. 47, εισ. Σκ. 110 ΓΚΠΔ

Ο ΓΚΠΔ κατοχυρώνει πλέον ρητά τα ερμηνευτικά συμπεράσματα που έχει διατυπώσει η Ομάδα εργασίας του άρθρου 29 στα διάφορα κείμενα εργασίας (WP). Σύμφωνα με το άρθρο 4 παρ. 20, τα BCR είναι οι πολιτικές προστασίας προσωπικών δεδομένων τις οποίες ακολουθεί ένας υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία εγκατεστημένος στο έδαφος κράτους μέλους για διαβιβάσεις δεδομένων σε υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία σε μία ή περισσότερες τρίτες χώρες εντός ομίλου επιχειρήσεων ή ομίλου εταιρειών που ασκεί κοινή οικονομική δραστηριότητα. Ο ΓΚΠΔ διευρύνει εν προκειμένω την εφαρμογή BCR και την επεκτείνει όχι μόνο σε ομίλους επιχειρήσεων (ορισμός άρ. 4 παρ. 19, εισ. σκ. 37), αλλά και σε χαλαρότερες μορφές συνεργασίας, π.χ. κοινοπραξίες.

Τα BCR διακρίνονται σε αυτά που αφορούν υπευθύνους επεξεργασίας και αυτά που απευθύνονται σε εκτελούντες την επεξεργασία. Σύμφωνα με το άρθρο 47 παρ. 1 ΓΚΠΔ, πρέπει να είναι νομικά δεσμευτικά, να εφαρμόζονται σε κάθε μέλος του ομίλου και να επιβάλλονται από κάθε μέλος του ομίλου, περιλαμβανομένων των υπαλλήλων, να απονέμουν εκτελεστά δικαιώματα στα υποκείμενα και να περιέχουν τα στοιχεία της παρ. 2 του άρ. 47*.

*Σημ: Βλ. WP 256: Working Document setting up a table with the elements to be found in BCR (παλιό WP 153) και WP 257: Working Document setting up a table with the elements to be found in Processor BCR (παλιό WP 195).

Εν όψει των αλλαγών που επιφέρει ο Κανονισμός, πρέπει να επισημανθεί ότι όλοι οι όμιλοι επιχειρήσεων που διαβιβάζουν προσωπικά δεδομένα με βάση BCR ήδη εγκεκριμένα κατά την Οδηγία 95/46 θα πρέπει να τα τροποποιήσουν, ώστε να είναι συμβατά με τον Κανονισμό.

Τα BCR εγκρίνονται πλέον σε ευρωπαϊκό επίπεδο, σύμφωνα με τον μηχανισμό συνεκτικότητας (άρ. 47, 63 ΓΚΠΔ) και δεν απαιτείται η έκδοση εθνικής άδειας.

Παρεκκλίσεις για ειδικές καταστάσεις – άρ. 49, Εισαγ. Σκ. 111, 112 ΓΚΠΔ

Το άρθρο 49 εφαρμόζεται ως έσχατη λύση όταν δεν μπορούν να εφαρμοστούν τα άρθρα 45 ή 46. Οι παρεκκλίσεις αποτελούν εξαιρέσεις από τον γενικό κανόνα απαίτησης επαρκούς επιπέδου προστασίας (άρ. 45) ή επαρκών εγγυήσεων και αποτελεσματικών δικαιωμάτων (άρ. 46) και, συνεπώς, πρέπει να ερμηνεύονται στενά. Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων έχει εκδώσει σχετικά τις Κατευθυντήριες Γραμμές 2/2018.

Σύμφωνα με το άρθρο 49 ΓΚΠΔ, ελλείψει απόφασης επάρκειας δυνάμει του άρ. 45 ή κατάλληλων εγγυήσεων δυνάμει του άρ. 46, διαβιβάσεις δεδομένων σε τρίτη χώρα λαμβάνουν χώρα μόνον εφόσον*:

1. το υποκείμενο έχει ενημερωθεί για τους πιθανούς κινδύνους μιας τέτοιας διαβίβασης και έχει ρητώς συγκατατεθεί στη συγκεκριμένη διαβίβαση ή

2. η διαβίβαση είναι απαραίτητη για την εκτέλεση σύμβασης μεταξύ του υποκειμένου και του υπευθύνου επεξεργασίας ή την εφαρμογή προσυμβατικών μέτρων κατόπιν αιτήματος του υποκειμένου ή για τη σύναψη σύμβασης που συνήφθη προς όφελος του υποκειμένου ή

3. η διαβίβαση είναι απαραίτητη για τη σύναψη ή εκτέλεση σύμβασης συναφθείσας προς όφελος του υποκειμένου ή

*Σημ: Οι τρείς πρώτες περιπτώσεις παρεκκλίσεων ΔΕΝ εφαρμόζονται σε δραστηριότητες που εκτελούνται από δημόσιες αρχές κατά την άσκηση των δημόσιων εξουσιών τους.

4. η διαβίβαση είναι απαραίτητη για σπουδαίους λόγους δημοσίου συμφέροντος που αναγνωρίζονται είτε στη νομοθεσία της ΕΕ είτε στη νομοθεσία κράτους μέλους στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας ή

5. η διαβίβαση είναι απαραίτητη για τη θεμελίωση, άσκηση ή υπεράσπιση νομικών αξιώσεων ή

6. η διαβίβαση είναι απαραίτητη προκειμένου να προστατευθούν τα ζωτικά συμφέροντα του υποκειμένου ή άλλων προσώπων, όταν το υποκείμενο είναι φυσικά ή νομικά ανίκανο να δώσει συγκατάθεση ή

7. εάν τα διαβιβαζόμενα δεδομένα λαμβάνονται από μητρώο ανοιχτό στο κοινό ή έπειτα από αίτημα σε κάθε πρόσωπο που μπορεί να θεμελιώσει έννομο συμφέρον στην πρόσβαση σε αυτό.

Για τις διαβιβάσεις βάσει των ως άνω παρεκκλίσεων δεν απαιτείται άδεια της εποπτικής αρχής.

Στην περίπτωση που καμία από τις ως άνω νομικές βάσεις δεν εφαρμόζεται, η διαβίβαση μπορεί να πραγματοποιηθεί όταν:.

1. δεν εκτελείται από δημόσια αρχή κατά την άσκηση των δημόσιων εξουσιών της,

2. δεν είναι επαναλαμβανόμενη,

3. αφορά μόνο περιορισμένο αριθμό υποκειμένων,

4. είναι απαραίτητη για τους σκοπούς «επιτακτικών έννομων συμφερόντων» του υπευθύνου επεξεργασίας, από τα οποία δεν υπερισχύουν τα συμφέροντα ή τα δικαιώματα του υποκειμένου, και

5. ο υπεύθυνος επεξεργασίας έχει παράσχει τις κατάλληλες διασφαλίσεις για τα διαβιβαζόμενα δεδομένα.

Στην περίπτωση αυτή ο υπεύθυνος επεξεργασίας επιτρέπεται να διαβιβάζει μόνον εφόσον συντρέχουν σωρευτικά οι ως άνω προϋποθέσεις. Επιπλέον, υποχρεούται να ενημερώσει την εποπτική αρχή για τη διαβίβαση και να παράσχει επιπλέον ενημέρωση στο υποκείμενο.

Τέλος, διαβιβάσεις σε δικαστήριο ή διοικητική αρχή τρίτης χώρας που απαιτεί από υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία να διαβιβάσει ή να κοινοποιήσει προσωπικά δεδομένα είναι επιτρεπτές, μόνον εάν οι αποφάσεις των αλλοδαπών αρχών βασίζονται σε διεθνή συμφωνία (όπως σύμβαση αμοιβαίας δικαστικής συνδρομής), που ισχύει μεταξύ της αιτούσας τρίτης χώρας και της ΕΕ ή κράτους μέλους, με την επιφύλαξη άλλων λόγων διαβίβασης (άρ. 48 ΓΚΠΔ).

send