Εγγραφή - Είσοδος μελών
Username:
Password
 
Αποφάσεις
 
Συχνές ερωτήσεις
 
Θεματικές ενότητες
 
Σημαντικά αρχεία
 
 
Μικροί Πολίτες
 
Ασφάλεια
 
 

Εισαγωγή

Η διαβίβαση προσωπικών δεδομένων σε τρίτες χώρες διέπεται από τα άρθρα 25 και 26 της Οδηγίας 95/46/ΕΚ και από το άρθρο 9 του Ν. 2472/1997. Η ίδια η Οδηγία αναγνωρίζει ότι η διασυνοριακή ροή δεδομένων είναι απαραίτητη για την ανάπτυξη των διεθνών εμπορικών συναλλαγών και ότι πρέπει να τεθούν συγκεκριμένοι όροι προκειμένου να πραγματοποιείται με τέτοιο τρόπο, ώστε να μη θίγονται τα δικαιώματα των υποκειμένων των δεδομένων (βλ. Αιτιολογικές Σκέψεις 56-60 της Οδηγίας).

Το άρθρο 25 της Οδηγίας 95/46/ΕΚ προβλέπει ότι η διαβίβαση προσωπικών δεδομένων προς τρίτη χώρα επιτρέπεται μόνον εάν η τρίτη χώρα εξασφαλίζει ικανοποιητικό επίπεδο προστασίας. Ωστόσο, όπως ορίζεται στο άρθρο 26 παρ. 2 της Οδηγίας, είναι δυνατή η διαβίβαση προσωπικών δεδομένων προς τρίτη χώρα η οποία δεν εξασφαλίζει ικανοποιητικό επίπεδο προστασίας κατά την έννοια του άρ. 25 της Οδηγίας, εφόσον ο υπεύθυνος επεξεργασίας παρέχει επαρκείς εγγυήσεις για την προστασία της ιδιωτικής ζωής και των θεμελιωδών δικαιωμάτων και ελευθεριών των προσώπων καθώς και την άσκηση των σχετικών δικαιωμάτων. Οι εγγυήσεις αυτές μπορούν, σύμφωνα με την ίδια διάταξη, να απορρέουν ιδίως από κατάλληλες συμβατικές ρήτρες.

Σύμφωνα δε με το άρθρο 9 παρ. 2 στοιχ. στ' του Ν. 2472/1997 “Η διαβίβαση δεδομένων προσωπικού χαρακτήρα προς χώρα που δεν ανήκει στην Ευρωπαϊκή Ένωση και η οποία δεν εξασφαλίζει ικανοποιητικό επίπεδο προστασίας, επιτρέπεται κατ’ εξαίρεση, με άδεια της Αρχής, εφ’ όσον συντρέχει μία ή περισσότερες από τις κατωτέρω προϋποθέσεις: [...] στ) Ο υπεύθυνος επεξεργασίας παρέχει επαρκείς εγγυήσεις για την προστασία των προσωπικών δεδομένων των υποκειμένων και την άσκηση των σχετικών δικαιωμάτων τους, όταν οι εγγυήσεις προκύπτουν από συμβατικές ρήτρες, σύμφωνες με τις ρυθμίσεις του παρόντος νόμου.”.

Τα Binding Corporate Rules ή δεσμευτικοί εταιρικοί κανόνες (στο εξής: BCR) είναι το νομικό εργαλείο που δίνει τη δυνατότητα σε ομίλους εταιριών (πολυεθνικές επιχειρήσεις) να διαβιβάζουν προσωπικά δεδομένα από εταιρείες του ομίλου που είναι εγκατεστημένες στην Ευρωπαϊκή Ένωση, σε εταιρίες του ίδιου ομίλου που είναι εγκατεστημένες σε τρίτες χώρες (εκτός της Ε.Ε.), οι οποίες δεν εξασφαλίζουν ικανοποιητικό επίπεδο προστασίας. Αποτελούν ένα σύνολο νομικά δεσμευτικών κανόνων με το οποίο μία ομάδα εταιρειών που συνιστούν όμιλο, μπορεί να παράσχει τις ως άνω απαιτούμενες επαρκείς εγγυήσεις αναφορικά με τις διαβιβάσεις προσωπικών δεδομένων στο εσωτερικό του ομίλου. Πρόκειται δηλαδή για μία από τις υπάρχουσες βάσεις νομιμότητας της διαβίβασης προσωπικών δεδομένων μεταξύ εταιρειών που ανήκουν μεν στον ίδιο όμιλο, εδρεύουν ωστόσο σε διαφορετικές έννομες τάξεις, και δη εκτός Ε.Ε.

Τα βασικά χαρακτηριστικά των BCR είναι τα εξής:

α) Είναι νομικά δεσμευτικοί. Μόνο υπό αυτόν τον όρο μπορούν να αποτελούν “επαρκείς εγγυήσεις” υπό την έννοια του άρθρου 26 παρ. 2 της Οδηγίας 95/46/ΕΚ. Για να αποκτήσουν δε νομική δεσμευτικότητα, τα BCR μπορούν να έχουν τη μορφή είτε μονομερούς δήλωσης είτε μιας “εταιρικής συμφωνίας”, ήτοι μιας σύμβασης μεταξύ των εταιριών του ομίλου. Επίσης, μπορεί να περιλαμβάνονται σε ένα και μόνο κείμενο (κάτι το οποίο θεωρείται προτιμότερο - Βλ. υπ’ αριθμ. 155 Έγγραφο Εργασίας της Ομάδας του Άρθρου 29 “Συχνές Ερωτήσεις σχετικά με τους Εταιρικούς Δεσμευτικούς Κανόνες”, 24.06.2008 (όπως τροποποιήθηκε στις 08.04.2009), σελ. 4 (Ερώτηση 7), καθώς και υπ’ αριθμ 154 Έγγραφο Εργασίας της ίδιας Ομάδας “Θεσπίζοντας ένα πλαίσιο για τη δομή των Εταιρικών Δεσμευτικών Κανόνων”, 24.06.2008.) ή σε περισσότερα, π.χ. στο σύνολο των λεγόμενων “πολιτικών” (policies) ενός ομίλου.

β) Είναι εταιρικοί. Αυτό σημαίνει ότι ισχύουν για όλα τα μέλη μιας πολυεθνικής ή ενός ομίλου, αφού συνήθως έχουν δημιουργηθεί και επιβληθεί από την κεντρική διοίκηση του ομίλου. Επισημαίνεται δε ότι τα BCR καλύπτουν τις διαβιβάσεις δεδομένων αποκλειστικά μεταξύ εταιριών του ίδιου ομίλου (π.χ. από BP Γαλλίας σε BP Ιαπωνίας ή BP Ταϋλάνδης) και όχι τις διαβιβάσεις σε άλλες εταιρίες που δεν ανήκουν στον όμιλο (π.χ. από BP Γαλλίας σε Schell Ιαπωνίας ή Ecopetrol Κολομβίας).

γ) Ρυθμίζουν τη διασυνοριακή ροή δεδομένων. Τούτος είναι και ο κύριος λόγος ύπαρξής τους, καθώς τα BCR εξασφαλίζουν την παροχή επαρκούς προστασίας των δεδομένων που καλύπτονται από την Οδηγία 95/46/ΕΚ και διαβιβάζονται εκτός Ε.Ε., σε χώρες που δεν παρέχουν ικανοποιητικό επίπεδο προστασίας. Άλλα προσωπικά δεδομένα που τυγχάνουν επεξεργασίας από τον όμιλο, αλλά δεν τυγχάνουν καμιάς επεξεργασίας (ούτε καν συλλογής) εντός της Ε.Ε., δεν χρειάζεται να καλύπτονται από τα BCR(Βλ. υπ’ αριθμ. 155 Έγγραφο Εργασίας της Ομάδας του Άρθρου ό.π., σελ. 2 (Ερώτηση 1)) .

Επισημαίνεται ότι οι πληροφορίες που είναι διαθέσιμες στην παρούσα σελίδα δεν είναι ακόμη επικαιροποιημένες με βάση τον Γενικό Κανονισμό Προστασίας Δεδομένων.

Binding Corporate Rules - BCR