Διαβιβάσεις δεδομένων εκτός ΕΕ

Οι διαβιβάσεις δεδομένων προς τρίτες χώρες ή διεθνείς οργανισμούς ρυθμίζονται στο Κεφάλαιο V του ΓΚΠΔ. Σύμφωνα με το άρθρο 44 του ΓΚΠΔ, κάθε διαβίβαση δεδομένων προς τρίτη χώρα ή διεθνή οργανισμό πρέπει να είναι νόμιμη σύμφωνα με τις γενικές διατάξεις του ΓΚΠΔ (άρθρα 5, 6, 9) και να πληροί τους όρους του Κεφαλαίου V.

Όπως έχει παγίως ερμηνεύσει τις σχετικές διατάξεις η Ομάδα εργασίας του άρθρου 29, η οποία έχει πλέον αντικατασταθεί από το Ευρωπαϊκό Συμβούλιο Προσωπικών Δεδομένων, οι διεθνείς διαβιβάσεις πρέπει να προσεγγίζονται «ολιστικά και πολυεπίπεδα» («holistic and layered approach»). Αυτό σημαίνει ότι ως βάση νομιμότητας της διεθνούς διαβίβασης προτιμώνται οι αποφάσεις επάρκειας (άρθρο 45 ΓΚΠΔ). Ελλείψει τέτοιας απόφασης, ο υπεύθυνος επεξεργασίας ή εκτελών, που επιθυμεί να διαβιβάσει προσωπικά δεδομένα εκτός ΕΕ, πρέπει να παρέχει τις κατάλληλες εγγυήσεις μέσω κάποιου από τα εργαλεία διαβίβασης που προβλέπονται στο άρθρο 46 ΓΚΠΔ (Δεσμευτικοί Εταιρικοί Κανόνες - BCR, τυποποιημένες συμβατικές ρήτρες, εγκεκριμένος κώδικας δεοντολογίας, κ.λπ.).

Στην περίπτωση που δεν μπορεί να εφαρμοστεί κανείς από τους μηχανισμούς των άρθρων 45 ή 46 του ΓΚΠΔ, υπάρχει –ως ύστατη λύση– η εφαρμογή, υπό συγκεκριμένες προϋποθέσεις, των παρεκκλίσεων του άρθρου 49 του ΓΚΠΔ.

Στις υπο-ενότητες της παρούσας ενότητας παρατίθενται πληροφορίες για τα εργαλεία διαβίβασης δεδομένων εκτός ΕΕ. Επισημαίνεται ότι με την απόφαση Schrems II του Δικαστηρίου της Ευρωπαϊκής Ένωσης καταργήθηκε η απόφαση επάρκειας που αφορά το Privacy Shield, ενώ επηρεάζονται όλα τα εργαλεία διαβίβασης. Περισσότερα για τις εξελίξεις σχετικά με την απόφαση Schrems II είναι διαθέσιμες εδώ.