Διαβιβάσεις προσωπικών δεδομένων από την ΕΕ προς τρίτη χώρα.

Η προστασία που προσφέρει ο GDPR είναι ότι τα δεδομένα προσωπικού χαρακτήρα εξακολουθούν να προστατεύονται ανεξάρτητα που καταλήγουν τα δεδομένα. Αυτό ισχύει και όταν τα δεδομένα διαβιβάζονται σε χώρα που δεν ανήκει στην ΕΕ (τρίτη χώρα). Ο GDPR παρέχει διάφορα εργαλεία που πλαισιώνουν τις διαβιβάσεις δεδομένων από την ΕΕ προς τρίτη χώρα. Η βάση της νομιμότητας της διεθνούς διαβίβασης δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες είναι οι αποφάσεις επάρκειας του άρθρο 45 του GDPR. Σε έλλειψη απόφασης επάρκειας η διαβίβαση δεδομένων γίνεται βάσει καταλλήλων εγγυήσεων, με ή χωρίς, ειδική άδεια της Αρχής του άρθρου 46 του GDPR. Στην περίπτωση που δεν μπορεί να εφαρμοστεί κανένας από τους παραπάνω μηχανισμούς (άρθρα 45 - 46 του GDPR)  η διαβίβαση των δεδομένων γίνεται με εφαρμογή των παρεκκλίσεων του άρθρου 49 του GDPR.

Αναλύοντας, οι διεθνείς διαβιβάσεις δεδομένων σε τρίτες χώρες γίνονται 

1. Διαβίβαση με βάση απόφαση επάρκειας (άρθρο 46). Η διαβίβαση των δεδομένων γίνεται χωρίς ειδική άδεια, όρους, ή  περιορισμούς, μόνο όταν το έχει αποφασίσει η Επιτροπή. Όταν δηλαδή έχει δεχθεί ότι η τρίτη χώρα, ή ο διεθνής οργανισμός, εξασφαλίζει επαρκές επίπεδο ασφαλούς επεξεργασίας των προσωπικών δεδομένων.

2. Διαβίβαση με βάση κατάλληλες εγγυήσεις, χωρίς ειδική άδεια της Αρχής (άρθρο 46). Σε περίπτωση που δεν υπάρχει απόφαση επάρκειας, η διαβίβαση μπορεί να γίνει με την παροχή κατάλληλων εγγυήσεων. Τις κατάλληλες εγγυήσεις τις παράσχει ο υπεύθυνος επεξεργασίας, ή ο εκτελών την επεξεργασία. Όπου υφίστανται κατάλληλες εγγυήσεις δεν απαιτείται ειδική άδεια της Αρχής. Κατάλληλες εγγυήσεις αποτελούν, α) Η διαβίβαση με βάση δεσμευτικούς εταιρικούς κανόνες (BCR), β) Η διαβίβαση με συμβατική ρύθμιση με τον αποδέκτη των δεδομένων, γ) Η διαβίβαση με την τήρηση ενός Κώδικα Δεοντολογίας, ή μηχανισμού Πιστοποίησης, δ) Η διαβίβαση με βάση ένα νομικά δεσμευτικό και εκτελεστό μέσο μεταξύ δημόσιων αρχών, ή φορέων.

3. Διαβίβαση με βάση κατάλληλες εγγυήσεις, με ειδική άδεια της Αρχής (άρθρο 46). Κατάλληλες εγγυήσεις αποτελούν, με την προϋπόθεση χορήγησης προηγούμενης ειδικής άδειας της εποπτικής αρχής, α) Η διαβίβαση μέσω συμβατικών ρητρών, μεταξύ του υπευθύνου επεξεργασίας, ή του εκτελούντος την επεξεργασία, και του αντιστοίχου των στην τρίτη χώρα, ή διεθνή οργανισμό, β) Η διαβίβαση μέσω διατάξεων, προς συμπερίληψη σε διοικητικές ρυθμίσεις, μεταξύ δημόσιων αρχών, ή φορέων, οι οποίες περιλαμβάνουν εκτελεστά και ουσιαστικά δικαιώματα υποκειμένων των δεδομένων.

4. Διαβίβαση με βάση παρεκκλίσεις, χωρίς άδεια της Αρχής. Σύμφωνα με το άρθρο 49 του Κανονισμού, ελλείψει απόφασης επάρκειας δυνάμει του άρθρου 45, ή κατάλληλων εγγυήσεων δυνάμει του άρθρου 46, οι διαβιβάσεις δεδομένων σε τρίτη χώρα μπορούν να λάβουν χώρα, χωρίς άδεια της εποπτικής αρχής, μόνο, όταν, α)  το υποκείμενο έχει ρητώς συγκατατεθεί στη συγκεκριμένη διαβίβαση, αφού προηγουμένως έχει ενημερωθεί για πιθανούς κινδύνους μιας τέτοιας διαβίβασης, β) η διαβίβαση είναι απαραίτητη για την σύναψη, ή εκτέλεση, σύμβασης, συναφθείσας προς όφελος του υποκειμένου, γ) η διαβίβαση είναι απαραίτητη προκειμένου να προστατευθούν ζωτικά συμφέροντα του υποκειμένου, ή άλλων προσώπων, όταν το υποκείμενο είναι ανίκανο να δώσει συγκατάθεση, δ) εάν τα διαβιβαζόμενα δεδομένα λαμβάνονται από μητρώο ανοιχτό στο κοινό, ε) η διαβίβαση είναι απαραίτητη για την θεμελίωση, άσκηση, ή υπεράσπιση, νομικών αξιώσεων, στ) η διαβίβαση είναι απαραίτητη για (σπουδαίους) λόγους δημοσίου συμφέροντος που αναγνωρίζονται, είτε στη νομοθεσία της ΕΕ, είτε στη νομοθεσία κράτους-μέλους στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας.

5. Διαβίβαση με βάση παρεκκλίσεις, εντελώς εξαιρετικά, με άδεια της εποπτικής αρχής και ενημέρωση του υποκειμένου. Στην περίπτωση που καμία από τις ως άνω νομικές βάσεις δεν εφαρμόζεται, η διαβίβαση μπορεί να πραγματοποιηθεί μόνο, όταν  συντρέχουν σωρευτικά οι παρακάτω προϋποθέσεις, με προηγούμενη ενημέρωση της Αρχής και του υποκειμένου, α) δεν εκτελείται από δημόσια αρχή, κατά την άσκηση των δημόσιων εξουσιών της, β) δεν είναι επαναλαμβανόμενη, γ) αφορά μόνο περιορισμένο αριθμό υποκειμένων, δ) είναι απαραίτητη για τους σκοπούς «επιτακτικών έννομων συμφερόντων» του υπευθύνου επεξεργασίας, από τα οποία δεν υπερισχύουν τα συμφέροντα, ή τα δικαιώματα του υποκειμένου, και ε) ο υπεύθυνος επεξεργασίας έχει παράσχει τις κατάλληλες διασφαλίσεις για τα διαβιβαζόμενα δεδομένα.

6. Διαβίβαση σε δικαστήριο, ή διοικητική αρχή, τρίτης χώρας. Σύμφωνα με το άρθρο 48, οι διαβιβάσεις σε δικαστήριο ή διοικητική αρχή, τρίτης χώρας, που απαιτεί από τον υπεύθυνο επεξεργασίας, ή τον εκτελούντα την επεξεργασία, να διαβιβάσει, ή να κοινοποιήσει, προσωπικά δεδομένα, είναι επιτρεπτές, μόνον εφ όσον οι αποφάσεις των αλλοδαπών αρχών βασίζονται σε διεθνή συμφωνία (όπως σύμβαση αμοιβαίας δικαστικής συνδρομής), που ισχύει μεταξύ της αιτούσας τρίτης χώρας και της Ε.Ε, ή κράτους-μέλους, με την επιφύλαξη άλλων λόγων διαβίβασης.

Παρέχονται σεμινάρια GDPR - DPO (το σεμινάριο πλήρως ενημερωμένο θα σας δοθεί και σε στικάκι). Σε εκδήλωση ενδιαφέροντος αποστείλατε σχεικό email μέσω του site.

Χρίστος Καραμπάγιας | Μέλος του Δικηγορικού Συλλόγου Αθηνών