Συνεργασία με παρόχους υπηρεσιών από τρίτες χώρες

Καθώς ο Ευρωπαϊκός ΓΚΠΔ εφαρμόζεται σε όλα τα κράτη μέλη της ΕΕ, δεν υπάρχει τίποτα που να εμποδίζει την επεξεργασία δεδομένων προσωπικού χαρακτήρα εντός της Ευρωπαϊκής Ένωσης. Ωστόσο, εάν η επεξεργασία δεδομένων γίνεται εκτός της Ευρωπαϊκής Ένωσης στις λεγόμενες «τρίτες χώρες», πρέπει να ελέγξετε εάν υπάρχει επαρκές επίπεδο προστασίας δεδομένων προσωπικού χαρακτήρα στη χώρα, ώστε τα προσωπικά σας δεδομένα να προστατεύονται καλά και εκεί. 

Ο ΓΚΠΔ ρυθμίζει τις «διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες ή διεθνείς οργανισμούς» στο κεφάλαιο 5 (άρθρα 44 έως 50 ΓΚΠΔ). 

Άρθρο 44 ΓΚΠΔ -Γενικές αρχές για διαβιβάσεις. 

1. Κάθε διαβίβαση δεδομένων προσωπικού χαρακτήρα τα οποία υποβάλλονται σε επεξεργασία ή προορίζονται να υποβληθούν σε επεξεργασία μετά από τη διαβίβασή τους σε τρίτη χώρα ή διεθνή οργανισμό πραγματοποιείται μόνο εάν, με την επιφύλαξη των λοιπών διατάξεων του παρόντος κανονισμού, οι προϋποθέσεις που θεσπίζονται στο παρόν κεφάλαιο τηρούνται από τον υπεύθυνο επεξεργασίας και τον εκτελούντα την επεξεργασία, μεταξύ άλλων για περαιτέρω διαβιβάσεις δεδομένων προσωπικού χαρακτήρα από την τρίτη χώρα ή τον διεθνή οργανισμό σε άλλη τρίτη χώρα ή άλλο διεθνή οργανισμό.
   
2. Όλες οι διατάξεις του παρόντος κεφαλαίου εφαρμόζονται με σκοπό να διασφαλίζεται ότι το επίπεδο προστασίας των φυσικών προσώπων που εγγυάται ο παρών κανονισμός δεν υπονομεύεται.

Άρθρο 45 ΓΚΠΔ - Διαβιβάσεις βάσει απόφαση επάρκειας. 

1. Η διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα ή διεθνή οργανισμό μπορεί να πραγματοποιηθεί εφόσον η Επιτροπή έχει αποφασίσει ότι διασφαλίζεται επαρκές επίπεδο προστασίας από την τρίτη χώρα, από έδαφος ή από έναν ή περισσότερους συγκεκριμένους τομείς στην εν λόγω τρίτη χώρα ή από τον εν λόγω διεθνή οργανισμό. Για μια τέτοια διαβίβαση δεν απαιτείται ειδική άδεια.
2. […]

Τι σημαίνει αυτό;

Η διαβίβαση σε τρίτη χώρα εκτός της ΕΕ επιτρέπεται μόνο εάν η Ευρωπαϊκή Επιτροπή έχει αναγνωρίσει ότι η τρίτη χώρα διαθέτει επαρκές επίπεδο προστασίας. 

Χώρες με επαρκές επίπεδο προστασίας

Από την πλευρά της Ευρωπαϊκής Επιτροπής, η Νορβηγία, το Λίχτενσταϊν και η Ισλανδία είναι ισότιμες με τα κράτη μέλη της ΕΕ. Η Ευρωπαϊκή Επιτροπή αναγνώρισε επίσης ότι η Ανδόρα, η Αργεντινή, ο Καναδάς (εμπορικοί οργανισμοί), οι Νήσοι Φερόες, το Γκέρνσεϊ, το Ισραήλ, η Νήσος Μαν, η Ιαπωνία, το Τζέρσεϊ, η Νέα Ζηλανδία, η Δημοκρατία της Κορέας, η Ελβετία, το Ηνωμένο Βασίλειο στο πλαίσιο του ΓΚΠΔ και της επιβολής του νόμου, οι Ηνωμένες Πολιτείες Αμερικής (εμπορικοί οργανισμοί που συμμετέχουν στο πλαίσιο προστασίας δεδομένων ΕΕ-ΗΠΑ) και η Ουρουγουάη παρέχουν επαρκές επίπεδο προστασίας. 

Μπορείτε να βρείτε κατάλογο των χωρών που βρίσκονται σε ισχύ στον ιστότοπο της Επιτροπής της ΕΕ: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en

Χώρες χωρίς επαρκές επίπεδο προστασίας

Εάν σχεδιάζεται η διαβίβαση δεδομένων προσωπικού χαρακτήρα σε χώρες που δεν περιλαμβάνονται σε αυτόν τον κατάλογο, η μόνη επιλογή είναι να χρησιμοποιηθούν οι λεγόμενες «τυποποιημένες συμβατικές ρήτρες της ΕΕ» ή άλλες πρόσθετες εγγυήσεις. Οι τυποποιημένες συμβατικές ρήτρες αποτελούν υπόδειγμα σύμβασης που εκδίδεται από την Ευρωπαϊκή Επιτροπή. Με αυτές τις συμβάσεις, ο πάροχος υπηρεσιών στην τρίτη χώρα αναλαμβάνει την υποχρέωση να συμμορφώνεται με τα ευρωπαϊκά πρότυπα προστασίας δεδομένων προσωπικού χαρακτήρα. Εάν χρησιμοποιούνται αυτές οι πρότυπες συμβάσεις, τα δεδομένα προσωπικού χαρακτήρα μπορούν να διαβιβαστούν σε τρίτες χώρες χωρίς περαιτέρω άδεια από τις εποπτικές αρχές. 

Ένα υπόδειγμα των τυποποιημένων συμβατικών ρητρών της ΕΕ μπορείτε να βρείτε στον ιστότοπο της Επιτροπής της ΕΕ: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en