Μετάβαση στο κύριο περιεχόμενο
Λογότυπος της Ευρωπαϊκής Επιτροπής
el
Ευρωπαϊκή Επιτροπή

Τι κανόνες ισχύουν εάν ο οργανισμός μου διαβιβάζει δεδομένα εκτός της ΕΕ;

Απάντηση

Στον σημερινό παγκοσμιοποιημένο κόσμο, γίνονται διασυνοριακές διαβιβάσεις μεγάλου όγκου δεδομένων προσωπικού χαρακτήρα, τα οποία ορισμένες φορές αποθηκεύονται σε διακομιστές σε διαφορετικές χώρες. Η προστασία που προσφέρει ο Γενικός Κανονισμός για την Προστασία των Δεδομένων (ΓΚΠΔ) συνοδεύει τα δεδομένα, πράγμα που σημαίνει ότι οι κανόνες για την προστασία των δεδομένων προσωπικού χαρακτήρα εξακολουθούν να ισχύουν ανεξάρτητα από το πού καταλήγουν τα δεδομένα. Αυτό ισχύει επίσης όταν τα δεδομένα διαβιβάζονται σε χώρα που δεν ανήκει στην ΕΕ (τρίτη χώρα).

Ο ΓΚΠΔ παρέχει διαφορετικά εργαλεία που πλαισιώνουν τις διαβιβάσεις δεδομένων από την ΕΕ προς τρίτη χώρα:

  • Ορισμένες φορές, μια τρίτη χώρα μπορεί, μέσω απόφασης της Ευρωπαϊκής Επιτροπής («απόφαση επάρκειας»), να κηρυχθεί ως προσφέρουσα επαρκές επίπεδο προστασίας , πράγμα που σημαίνει ότι επιτρέπεται να διαβιβασθούν δεδομένα σε άλλη εταιρεία στην εν λόγω τρίτη χώρα χωρίς να απαιτείται από τον εξαγωγέα δεδομένων να παρέχει περαιτέρω εγγυήσεις ή να υπόκειται σε επιπλέον όρους. Με άλλα λόγια, οι διαβιβάσεις σε μια «επαρκή» τρίτη χώρα εξομοιώνονται με διαβίβαση δεδομένων εντός της ΕΕ.
  • Σε περίπτωση που δεν υπάρχει απόφαση επάρκειας, μπορεί να γίνει διαβίβαση με την παροχή κατάλληλων εγγυήσεων και με την προϋπόθεση ότι τα φυσικά πρόσωπα έχουν στη διάθεσή τους εκτελεστά δικαιώματα και πραγματικά ένδικα μέσα. Τέτοιες κατάλληλες εγγυήσεις περιλαμβάνουν τα εξής:
  • στην περίπτωση ομίλου επιχειρήσεων ή ομίλου εταιρειών που ασκούν κοινή οικονομική δραστηριότητα, οι εταιρείες μπορούν να διαβιβάζουν δεδομένα προσωπικού χαρακτήρα με βάση τους αποκαλούμενους δεσμευτικούς εταιρικούς κανόνες·
  • συμβατικές ρυθμίσεις με τον αποδέκτη των δεδομένων προσωπικού χαρακτήρα, μέσω της χρήσης, για παράδειγμα, τυποποιημένων συμβατικών ρητρών που έχουν λάβει την έγκριση της Ευρωπαϊκής Επιτροπής·
  • την τήρηση ενός κώδικα δεοντολογίας ή μηχανισμού πιστοποίησης παράλληλα με τη λήψη δεσμευτικών και εκτελεστών δεσμεύσεων από τον αποδέκτη σχετικά με την εφαρμογή κατάλληλων εγγυήσεων για την προστασία των δεδομένων που διαβιβάζονται.
  • Τέλος, εάν προβλέπεται διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα που δεν υπόκειται σε απόφαση επάρκειας και εάν δεν υπάρχουν κατάλληλες εγγυήσεις, μπορεί να γίνει διαβίβαση με βάση ορισμένες εξαιρέσεις για συγκεκριμένες καταστάσεις, για παράδειγμα, όταν ένα φυσικό πρόσωπο συγκατατέθηκε ρητώς στην προτεινόμενη διαβίβαση αφού του παρασχέθηκαν όλες οι απαραίτητες πληροφορίες σχετικά με τους κινδύνους που αυτή ενέχει.

Παράδειγμα

Είστε γαλλική εταιρεία που σκοπεύει να επεκτείνει τις υπηρεσίες της στη Νότια Αμερική, και πιο συγκεκριμένα στην Αργεντινή, την Ουρουγουάη και τη Βραζιλία. Το πρώτο βήμα που θα πρέπει να κάνετε είναι να ελέγξετε αν οι εν λόγω τρίτες χώρες υπόκεινται σε απόφαση επάρκειας. Πράγματι, η Αργεντινή και η Ουρουγουάη έχουν κηρυχθεί επαρκείς. Επομένως, θα μπορείτε να διαβιβάσετε δεδομένα προσωπικού χαρακτήρα σε αυτές τις δύο τρίτες χώρες χωρίς πρόσθετες εγγυήσεις, ενώ για τις διαβιβάσεις προς τη Βραζιλία, για την οποία δεν έχει εκδοθεί απόφαση επάρκειας, πρέπει να πλαισιώσετε τις διαβιβάσεις σας με την παροχή κατάλληλων εγγυήσεων.

Παραπομπές

1 COM(2017)7 final

Example

You're a French company intending to expand its services to South America, notably Argentina, Uruguay and Brazil. The first step would be to check whether those third countries are subject to an Adequacy Decision. In this case, both Argentina and Uruguay have been declared adequate. You’d be able to transfer personal data to those two third countries without any additional safeguards while for transfers to Brazil which is not the subject of Adequacy Decision, you’ll have to frame your transfers by providing appropriate safeguards.