Περισσότερα
Πλοήγηση
ΚΕΦΑΛΑΙΟ I Γενικές διατάξεις (1-4)
Άρθρο 1. Αντικείμενο και στόχοιΆρθρο 2. Ουσιαστικό πεδίο εφαρμογήςΆρθρο 3. Εδαφικό πεδίο εφαρμογήςΆρθρο 4. Ορισμοί
ΚΕΦΑΛΑΙΟ II Αρχές (5-11)
Άρθρο 5. Αρχές που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήραΆρθρο 6. Νομιμότητα της επεξεργασίαςΆρθρο 7. Προϋποθέσεις για συγκατάθεσηΆρθρο 8. Προϋποθέσεις που ισχύουν για τη συγκατάθεση παιδιού σε σχέση με τις υπηρεσίες της κοινωνίας των πληροφοριώνΆρθρο 9. Επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήραΆρθρο 10. Επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματαΆρθρο 11. Επεξεργασία η οποία δεν απαιτεί εξακρίβωση ταυτότητας
ΚΕΦΑΛΑΙΟ III Δικαιώματά του υποκειμένου των δεδομένων (12-23)
Άρθρο 12. Διαφανής ενημέρωση, ανακοίνωση και ρυθμίσεις για την άσκηση των δικαιωμάτων του υποκειμένου των δεδομένωνΆρθρο 13. Πληροφορίες που παρέχονται εάν τα δεδομένα προσωπικού χαρακτήρα συλλέγονται από το υποκείμενο των δεδομένωνΆρθρο 14. Πληροφορίες που παρέχονται εάν τα δεδομένα προσωπικού χαρακτήρα δεν έχουν συλλεγεί από το υποκείμενο των δεδομένωνΆρθρο 15. Δικαίωμα πρόσβασης του υποκειμένου των δεδομένωνΆρθρο 16. Δικαίωμα διόρθωσηςΆρθρο 17. Δικαίωμα διαγραφής («δικαίωμα στη λήθη»)Άρθρο 18. Δικαίωμα περιορισμού της επεξεργασίαςΆρθρο 19. Υποχρέωση γνωστοποίησης όσον αφορά τη διόρθωση ή τη διαγραφή δεδομένων προσωπικού χαρακτήρα ή τον περιορισμό της επεξεργασίαςΆρθρο 20. Δικαίωμα στη φορητότητα των δεδομένωνΆρθρο 21. Δικαίωμα εναντίωσηςΆρθρο 22. Αυτοματοποιημένη ατομική λήψη αποφάσεων, περιλαμβανομένης της κατάρτισης προφίλΆρθρο 23. Περιορισμοί
ΚΕΦΑΛΑΙΟ IV Υπεύθυνος επεξεργασίας και εκτελών την επεξεργασία (24-43)
Άρθρο 24. Αντικείμενο και στόχοιΆρθρο 25. Προστασία των δεδομένων ήδη από το σχεδιασμό και εξ ορισμούΆρθρο 26. Από κοινού υπεύθυνοι επεξεργασίαςΆρθρο 27. Εκπρόσωποι υπευθύνων επεξεργασίας ή εκτελούντων την επεξεργασία μη εγκατεστημένων στην ΈνωσηΆρθρο 28. Εκτελών την επεξεργασίαΆρθρο 29. Επεξεργασία υπό την εποπτεία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασίαΆρθρο 30. Αρχεία των δραστηριοτήτων επεξεργασίαςΆρθρο 31. Συνεργασία με την εποπτική αρχήΆρθρο 32. Ασφάλεια επεξεργασίαςΆρθρο 33. Γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στην εποπτική αρχήΆρθρο 34. Ανακοίνωση παραβίασης δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένωνΆρθρο 35. Εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένωνΆρθρο 36. Προηγούμενη διαβούλευσηΆρθρο 37. Ορισμός του υπευθύνου προστασίας δεδομένωνΆρθρο 38. Θέση του υπευθύνου προστασίας δεδομένωνΆρθρο 39. Καθήκοντα του υπευθύνου προστασίας δεδομένωνΆρθρο 40. Κώδικες δεοντολογίαςΆρθρο 41. Παρακολούθηση των εγκεκριμένων κωδίκων δεοντολογίαςΆρθρο 42. ΠιστοποίησηΆρθρο 43. Φορείς πιστοποίησης
ΚΕΦΑΛΑΙΟ V Διαβιβάσεις δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες ή διεθνείς οργανισμούς (44-50)
Άρθρο 44. Γενικές αρχές για διαβιβάσεις
Άρθρο 45. Διαβιβάσεις βάσει απόφαση επάρκειας
Άρθρο 46. Διαβιβάσεις που υπόκεινται σε κατάλληλες εγγυήσειςΆρθρο 47. Δεσμευτικοί εταιρικοί κανόνεςΆρθρο 48. Διαβιβάσεις ή κοινοποιήσεις που δεν επιτρέπονται από το δίκαιο της ΈνωσηςΆρθρο 49. Παρεκκλίσεις για ειδικές καταστάσειςΆρθρο 50. Διεθνής συνεργασία για την προστασία δεδομένων προσωπικού χαρακτήρα
ΚΕΦΑΛΑΙΟ VI Ανεξάρτητες εποπτικές αρχές (51-59)
Άρθρο 51. Εποπτική αρχήΆρθρο 52. ΑνεξαρτησίαΆρθρο 53. Γενικές προϋποθέσεις για τα μέλη της εποπτικής αρχήςΆρθρο 54. Κανόνες για τη σύσταση της εποπτικής αρχήςΆρθρο 55. ΑρμοδιότηταΆρθρο 56. Αρμοδιότητα της επικεφαλής εποπτικής αρχήςΆρθρο 57. ΚαθήκονταΆρθρο 58. ΕξουσίεςΆρθρο 59. Εκθέσεις δραστηριοτήτων
ΚΕΦΑΛΑΙΟ VII Συνεργασία και συνεκτικότητα (60-70)
Άρθρο 60. Συνεργασία μεταξύ της επικεφαλής εποπτικής αρχής και των άλλων ενδιαφερόμενων εποπτικών αρχώνΆρθρο 61. Αμοιβαία συνδρομήΆρθρο 62. Κοινές επιχειρήσεις αρχών ελέγχουΆρθρο 63. Μηχανισμός συνεκτικότηταςΆρθρο 64. Γνώμη του ΣυμβουλίουΆρθρο 65. Επίλυση διαφορών από το Συμβούλιο Προστασίας ΔεδομένωνΆρθρο 66. Επείγουσα διαδικασίαΆρθρο 67. Ανταλλαγή πληροφοριώνΆρθρο 68. Ευρωπαϊκό Συμβούλιο Προστασίας ΔεδομένωνΆρθρο 69. ΑνεξαρτησίαΆρθρο 70. Καθήκοντα του Ευρωπαϊκού Συμβουλίου Προστασίας ΔεδομένωνΆρθρο 71. ΕκθέσειςΆρθρο 72. ΔιαδικασίαΆρθρο 73. ΠρόεδροςΆρθρο 74. Καθήκοντα του ΠροέδρουΆρθρο 75. ΓραμματείαΆρθρο 76. Εμπιστευτικότητα
ΚΕΦΑΛΑΙΟ VIII Προσφυγές, ευθύνη και κυρώσεις (77-84)
Άρθρο 77. Δικαίωμα υποβολής καταγγελίας σε εποπτική αρχήΆρθρο 78. Δικαίωμα πραγματικής δικαστικής προσφυγής κατά αρχής ελέγχουΆρθρο 79. Δικαίωμα πραγματικής δικαστικής προσφυγής κατά υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασίαΆρθρο 80. Εκπροσώπηση υποκειμένων των δεδομένωνΆρθρο 81. Αναστολή των διαδικασιώνΆρθρο 82. Δικαίωμα αποζημίωσης και ευθύνηΆρθρο 83. Γενικοί όροι επιβολής διοικητικών προστίμωνΆρθρο 84. Κυρώσεις
ΚΕΦΑΛΑΙΟ IX Διατάξεις που αφορούν ειδικές περιπτώσεις επεξεργασίας (85-91)
Άρθρο 85. Επεξεργασία και ελευθερία έκφρασης και πληροφόρησηςΆρθρο 86. Επεξεργασία και πρόσβαση του κοινού σε επίσημα έγγραφαΆρθρο 87. Επεξεργασία του εθνικού αριθμού ταυτότηταςΆρθρο 88. Επεξεργασία στο πλαίσιο της απασχόλησηςΆρθρο 89. Διασφαλίσεις και παρεκκλίσεις σχετικά με την επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον ή σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούςΆρθρο 90. Υποχρεώσεις τήρησης απορρήτουΆρθρο 91. Υφιστάμενοι κανόνες προστασίας των δεδομένων εκκλησιών και θρησκευτικών ενώσεων
ΚΕΦΑΛΑΙΟ X Κατ' εξουσιοδότηση πράξεις και εκτελεστικές πράξεις (92-93)
Άρθρο 92. Άσκηση της εξουσιοδότησηςΆρθρο 93. Διαδικασία επιτροπής
ΚΕΦΑΛΑΙΟ XI Τελικές διατάξεις (94-95)
Άρθρο 94. Κατάργηση της οδηγίας 95/46/ΕΚΆρθρο 95. Σχέση με την οδηγία 2002/58/ΕΚΆρθρο 96. Σχέση με συμφωνίες που έχουν συναφθεί παλαιότεραΆρθρο 97. Εκθέσεις της ΕπιτροπήςΆρθρο 98. Επισκόπηση άλλων νομικών πράξεων της Ένωσης για την προστασία των δεδομένωνΆρθρο 99. Έναρξη ισχύος και εφαρμογή
GDPR > Άρθρο 45. Διαβιβάσεις βάσει απόφαση επάρκειας
Μεταφόρτωση

Άρθρο 45 GDPR. Διαβιβάσεις βάσει απόφαση επάρκειας

1. Η διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα ή διεθνή οργανισμό μπορεί να πραγματοποιηθεί εφόσον η Επιτροπή έχει αποφασίσει ότι διασφαλίζεται επαρκές επίπεδο προστασίας από την τρίτη χώρα, από έδαφος ή από έναν ή περισσότερους συγκεκριμένους τομείς στην εν λόγω τρίτη χώρα ή από τον εν λόγω διεθνή οργανισμό. Για μια τέτοια διαβίβαση δεν απαιτείται ειδική άδεια.

Αιτιολογικές σκέψεις
Αιτιολογικές σκέψεις

(103) Η Επιτροπή μπορεί να αποφασίζει, με ισχύ για ολόκληρη την Ένωση, ότι τρίτη χώρα, έδαφος ή συγκεκριμένος τομέας σε μια τρίτη χώρα ή διεθνής οργανισμός προσφέρουν επαρκές επίπεδο προστασίας δεδομένων και να κατοχυρώνει έτσι ασφάλεια δικαίου και ομοιομορφία σε ολόκληρη την Ένωση ως προς την τρίτη χώρα ή τον διεθνή οργανισμό που θεωρείται ότι παρέχει τέτοιο επίπεδο προστασίας. Στις περιπτώσεις αυτές, οι διαβιβάσεις δεδομένων προσωπικού χαρακτήρα στην εν λόγω τρίτη χώρα ή διεθνή οργανισμό μπορούν να πραγματοποιούνται χωρίς να χρειάζεται να ζητηθεί άλλη άδεια. Η Επιτροπή δύναται επίσης να αποφασίσει την ανάκληση της εν λόγω απόφασης, κατόπιν ειδοποίησης και δήλωσης αιτιολόγησης προς την τρίτη χώρα ή τον διεθνή οργανισμό.

2. Κατά την εκτίμηση της επάρκειας του επιπέδου προστασίας, η Επιτροπή λαμβάνει υπόψη, ιδίως, τα ακόλουθα στοιχεία:

Αιτιολογικές σκέψεις
Αιτιολογικές σκέψεις

(104) Σύμφωνα με τις θεμελιώδεις αρχές της Ένωσης, ιδίως με την προστασία των ανθρώπινων δικαιωμάτων, η Επιτροπή θα πρέπει, κατά την αξιολόγηση της τρίτης χώρας ή ενός εδάφους ή ενός συγκεκριμένου τομέα σε μια τρίτη χώρα, να συνεκτιμά κατά πόσο μια συγκεκριμένη τρίτη χώρα σέβεται το κράτος δικαίου, την πρόσβαση στη δικαιοσύνη, καθώς και τους διεθνείς κανόνες και τα πρότυπα για τα ανθρώπινα δικαιώματα και το γενικό και το κατά τομείς δίκαιό της, μεταξύ άλλων τη νομοθεσία που αφορά τη δημόσια ασφάλεια, την άμυνα και την εθνική ασφάλεια, καθώς και τη δημόσια τάξη και το ποινικό δίκαιο. Η έκδοση απόφασης επάρκειας για ένα έδαφος ή συγκεκριμένο τομέα τρίτης χώρας θα πρέπει να συνεκτιμά σαφή και αντικειμενικά κριτήρια, όπως συγκεκριμένες δραστηριότητες επεξεργασίας και το πεδίο εφαρμογής των εφαρμοστέων νομικών προτύπων και της νομοθεσίας που ισχύουν στην τρίτη χώρα. Η τρίτη χώρα θα πρέπει να προσφέρει εγγυήσεις που να διασφαλίζουν ένα κατάλληλο επίπεδο προστασίας, ουσιωδώς ισοδύναμο με αυτό που διασφαλίζεται εντός της Ένωσης, ιδίως όταν η επεξεργασία των δεδομένων προσωπικού χαρακτήρα γίνεται σε έναν ή διαφόρους συγκεκριμένους τομείς. Ειδικότερα, η τρίτη χώρα θα πρέπει να διασφαλίζει την αποτελεσματική ανεξάρτητη εποπτεία της προστασίας των δεδομένων και να προβλέπει μηχανισμούς συνεργασίας με τις αρχές προστασίας δεδομένων των κρατών μελών, τα δε υποκείμενα των δεδομένων θα πρέπει να έχουν στη διάθεσή τους αποτελεσματικά και νομικώς ισχυρά δικαιώματα, καθώς και τη δυνατότητα άσκησης αποτελεσματικών διοικητικών και δικαστικών προσφυγών.

(105) Πέραν των διεθνών δεσμεύσεων που έχει αναλάβει η τρίτη χώρα ή ο διεθνής οργανισμός, η Επιτροπή θα πρέπει να συνεκτιμά τις υποχρεώσεις που απορρέουν από τη συμμετοχή της τρίτης χώρας ή του διεθνούς οργανισμού σε πολυμερή ή περιφερειακά συστήματα, ιδίως σε σχέση με την προστασία δεδομένων προσωπικού χαρακτήρα, καθώς την εφαρμογή τέτοιων υποχρεώσεων. Θα πρέπει, ιδίως, να συνεκτιμάται η προσχώρηση της τρίτης χώρας στη σύμβαση του Συμβουλίου της Ευρώπης της 28ης Ιανουαρίου 1981 για την προστασία των φυσικών προσώπων έναντι της αυτόματης επεξεργασίας δεδομένων προσωπικού χαρακτήρα και στο πρόσθετο πρωτόκολλό της. Η Επιτροπή θα πρέπει να ζητεί τη γνώμη του Συμβουλίου Προστασίας Δεδομένων όποτε εκτιμά το επίπεδο προστασίας σε τρίτες χώρες ή σε διεθνείς οργανισμούς.

α) το κράτος δικαίου, τον σεβασμό των ανθρώπινων δικαιωμάτων και των θεμελιωδών ελευθεριών, τη σχετική νομοθεσία, τόσο τη γενική όσο και την τομεακή, μεταξύ άλλων όσον αφορά τη δημόσια ασφάλεια, την άμυνα, την εθνική ασφάλεια και το ποινικό δίκαιο και την πρόσβαση των δημόσιων αρχών σε δεδομένα προσωπικού χαρακτήρα, καθώς και την εφαρμογή αυτής της νομοθεσίας, τους κανόνες περί προστασίας δεδομένων, τους επαγγελματικούς κανόνες και τα μέτρα ασφάλειας, περιλαμβανομένων των κανόνων για τις περαιτέρω διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε άλλη χώρα ή διεθνή οργανισμό που τηρούνται στη συγκεκριμένη τρίτη χώρα ή τον διεθνή οργανισμό, νομολογία, καθώς και ουσιαστικά και εκτελεστά δικαιώματα υποκειμένων των δεδομένων και αποτελεσματικά διοικητικά και δικαστικά μέσα προσφυγής για τα υποκείμενα των δεδομένων των οποίων τα δεδομένα προσωπικού χαρακτήρα διαβιβάζονται,

β) την ύπαρξη και την αποτελεσματική λειτουργία μίας ή περισσότερων ανεξάρτητων εποπτικών αρχών οι οποίες βρίσκονται στην εν λόγω τρίτη χώρα ή στις οποίες υπόκειται ένας διεθνής οργανισμός, υπεύθυνων να διασφαλίζουν και να επιβάλουν τη συμμόρφωση προς τους κανόνες προστασίας δεδομένων, συμπεριλαμβανομένων επαρκών εξουσιών επιβολής, να συνδράμουν και να συμβουλεύουν τα υποκείμενα των δεδομένων κατά την άσκηση των δικαιωμάτων τους και να συνεργάζονται με τις εποπτικές αρχές των κρατών μελών, και

γ) τις διεθνείς δεσμεύσεις που έχει αναλάβει η εν λόγω τρίτη χώρα ή ο διεθνής οργανισμός ή άλλες υποχρεώσεις οι οποίες απορρέουν από νομικά δεσμευτικές συμβάσεις ή πράξεις και από τη συμμετοχή τους σε πολυμερή ή περιφερειακά συστήματα, ιδίως όσον αφορά την προστασία δεδομένων προσωπικού χαρακτήρα.

3. Η Επιτροπή, αφού εκτιμήσει την επάρκεια του επιπέδου προστασίας, μπορεί να αποφασίσει, μέσω εκτελεστικής πράξης, ότι εξασφαλίζεται επαρκές επίπεδο προστασίας κατά την έννοια της παραγράφου 2 του παρόντος άρθρου από τρίτη χώρα ή έδαφος ή έναν ή περισσότερους συγκεκριμένους τομείς σε τρίτη χώρα ή από διεθνή οργανισμό. Η εκτελεστική πράξη προβλέπει μηχανισμό περιοδικής επανεξέτασης, τουλάχιστον ανά τετραετία, στην οποία συνεκτιμώνται όλες οι σχετικές εξελίξεις στην τρίτη χώρα ή τον διεθνή οργανισμό. Η εκτελεστική πράξη προσδιορίζει την εδαφική και τομεακή εφαρμογή της, καθώς και, όπου συντρέχει περίπτωση, την εποπτική αρχή ή τις αρχές που αναφέρονται στο στοιχείο β) της παραγράφου 2 του παρόντος άρθρου. Η εκτελεστική πράξη εκδίδεται σύμφωνα με τη διαδικασία εξέτασης που προβλέπεται στο άρθρο 93 παράγραφος 2.

Σχετικά Άρθρα
Σχετικά Άρθρα

4. Η Επιτροπή παρακολουθεί σε συνεχή βάση εξελίξεις σε τρίτες χώρες και διεθνείς οργανισμούς που θα μπορούσαν να επηρεάσουν τη λειτουργία αποφάσεων που εκδίδονται σύμφωνα με την παράγραφο 3 του παρόντος άρθρου και αποφάσεων που εκδίδονται βάσει του άρθρου 25 παράγραφος 6 της οδηγίας 95/46/ΕΚ.

Αιτιολογικές σκέψεις
Αιτιολογικές σκέψεις

(106) Η Επιτροπή θα πρέπει να παρακολουθεί τη λειτουργία των αποφάσεων σχετικά με το επίπεδο προστασίας σε μια τρίτη χώρα, έδαφος ή συγκεκριμένο τομέα μιας τρίτης χώρας ή σε διεθνή οργανισμό και να παρακολουθεί τη λειτουργία των αποφάσεων που εκδίδονται βάσει του άρθρου 25 παράγραφος 6 ή του άρθρου 26 παράγραφος 4 της οδηγίας 95/46/ΕΚ. Στις αποφάσεις της επάρκειας, η Επιτροπή θα πρέπει να προβλέπει μηχανισμό περιοδικής επανεξέτασης της λειτουργίας τους. Αυτή η περιοδική επανεξέταση θα πρέπει να γίνεται σε διαβούλευση με την εκάστοτε τρίτη χώρα ή τον διεθνή οργανισμό και να λαμβάνει υπόψη όλες τις σχετικές εξελίξεις στην τρίτη χώρα ή τον διεθνή οργανισμό. Για τους σκοπούς της παρακολούθησης και της διεξαγωγής των περιοδικών επανεξετάσεων, η Επιτροπή θα πρέπει να λαμβάνει υπόψη τις γνώμες και τα συμπεράσματα του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, καθώς και άλλων σχετικών φορέων και πηγών. Η Επιτροπή θα πρέπει να αξιολογεί, εντός εύλογου χρόνου, τη λειτουργία των τελευταίων αποφάσεων και να αναφέρει κάθε σχετικό πόρισμα στην επιτροπή κατά την έννοια του κανονισμού (ΕΕ) αριθ. 182/2011 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου [12], όπως αυτή συγκροτείται βάσει του παρόντος κανονισμού, στο Ευρωπαϊκό Κοινοβούλιο και στο Συμβούλιο.

[12] Κανονισμός (ΕΕ) αριθ. 182/2011 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 16ης Φεβρουαρίου 2011, για τη θέσπιση κανόνων και γενικών αρχών σχετικά με τους τρόπους ελέγχου από τα κράτη μέλη της άσκησης των εκτελεστικών αρμοδιοτήτων από την Επιτροπή (ΕΕ L 55 της 28.2.2011, σ. 13). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2011:055:TOC

5. Η Επιτροπή, όταν οι υπάρχουσες πληροφορίες αποκαλύπτουν, κυρίως κατόπιν της επανεξέτασης που αναφέρεται στην παράγραφο 3 του παρόντος άρθρου, ότι μια τρίτη χώρα, έδαφος ή συγκεκριμένος τομέας σε τρίτη χώρα ή διεθνής οργανισμός δεν διασφαλίζει πλέον επαρκές επίπεδο προστασίας κατά την έννοια της παραγράφου 2 του παρόντος άρθρου, καταργεί, τροποποιεί ή αναστέλλει, στον βαθμό που είναι αναγκαίο, την απόφαση της παραγράφου 3 του παρόντος άρθρου μέσω εκτελεστικών πράξεων χωρίς αναδρομική ισχύ. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 93 παράγραφος 2.

Σχετικά Άρθρα
Σχετικά Άρθρα

Για δεόντως αιτιολογημένους επιτακτικούς λόγους επείγουσας ανάγκης, η Επιτροπή εκδίδει εκτελεστικές πράξεις άμεσης εφαρμογής σύμφωνα με τη διαδικασία στην οποία παραπέμπει το άρθρο 93 παράγραφος 3.

Σχετικά Άρθρα
Σχετικά Άρθρα

6. Η Επιτροπή ξεκινά διαβουλεύσεις με την τρίτη χώρα ή τον διεθνή οργανισμό με σκοπό την επανόρθωση της κατάστασης απόρροια της οποίας είναι η απόφαση που έχει ληφθεί δυνάμει της παραγράφου 5.

Αιτιολογικές σκέψεις
Αιτιολογικές σκέψεις

(107) Η Επιτροπή μπορεί να διαπιστώσει ότι μια τρίτη χώρα, έδαφος ή συγκεκριμένος τομέας μιας τρίτης χώρας ή ένας διεθνής οργανισμός δεν διασφαλίζουν πλέον επαρκές επίπεδο προστασίας των δεδομένων. Ως εκ τούτου, θα πρέπει να απαγορεύεται η διαβίβαση δεδομένων προσωπικού χαρακτήρα στη συγκεκριμένη τρίτη χώρα ή τον διεθνή οργανισμό, εκτός εάν πληρούνται οι απαιτήσεις του παρόντος κανονισμού σχετικά με διαβιβάσεις υπό την επιφύλαξη κατάλληλων εγγυήσεων, συμπεριλαμβανομένων δεσμευτικών εταιρικών κανόνων, και σχετικά με παρεκκλίσεις για ειδικές καταστάσεις. Στην περίπτωση αυτή, θα πρέπει να προβλέπονται διαβουλεύσεις μεταξύ της Επιτροπής και των εν λόγω τρίτων χωρών ή διεθνών οργανισμών. Η Επιτροπή θα πρέπει, σε εύθετο χρόνο, να ενημερώνει την τρίτη χώρα ή τον διεθνή οργανισμό σχετικά με τους λόγους και να αρχίζει διαβουλεύσεις προς αντιμετώπιση της κατάστασης.

7. Η απόφαση σύμφωνα με την παράγραφο 5 του παρόντος άρθρου δεν θίγει τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα στην τρίτη χώρα, στο έδαφος ή σε έναν ή περισσότερους συγκεκριμένους τομείς στην εν λόγω τρίτη χώρα ή στον διεθνή οργανισμό σύμφωνα με τα άρθρα 46 έως 49.

Σχετικά Άρθρα
Σχετικά Άρθρα

8. Η Επιτροπή δημοσιεύει στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης και στον ιστότοπό της κατάλογο των τρίτων χωρών, εδαφών και συγκεκριμένων τομέων σε τρίτη χώρα, καθώς και των διεθνών οργανισμών, για τα οποία έχει αποφασίσει ότι διασφαλίζεται ή δεν διασφαλίζεται πλέον επαρκές επίπεδο προστασίας.

9. Οι αποφάσεις που εκδίδονται από την Επιτροπή βάσει του άρθρου 25 παράγραφος 6 της οδηγίας 95/46/ΕΚ παραμένουν σε ισχύ έως ότου τροποποιηθούν, αντικατασταθούν ή καταργηθούν με απόφαση της Επιτροπής εκδοθείσα σύμφωνα με την παράγραφο 3 ή 5 του παρόντος άρθρου.

Γενικός Κανονισμός για την Προστασία Δεδομένων

ISO 27701 Αιτιολογικές σκέψεις Οδηγίες & Νομολογία Αφήστε ένα σχόλιο
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 45 GDPR:

7.5.1 Identify basis for PII transfer between jurisdictions

Control

The organization should identify and document the relevant basis for transfers of PII between jurisdictions.

Implementation guidance

PII transfer can be subject to legislation and/or regulation depending on the jurisdiction or international organization to which data is to be transferred (and from where it originates).


για πρόσβαση στο πλήρες κείμενο

Αιτιολογικές σκέψεις

(103) Η Επιτροπή μπορεί να αποφασίζει, με ισχύ για ολόκληρη την Ένωση, ότι τρίτη χώρα, έδαφος ή συγκεκριμένος τομέας σε μια τρίτη χώρα ή διεθνής οργανισμός προσφέρουν επαρκές επίπεδο προστασίας δεδομένων και να κατοχυρώνει έτσι ασφάλεια δικαίου και ομοιομορφία σε ολόκληρη την Ένωση ως προς την τρίτη χώρα ή τον διεθνή οργανισμό που θεωρείται ότι παρέχει τέτοιο επίπεδο προστασίας. Στις περιπτώσεις αυτές, οι διαβιβάσεις δεδομένων προσωπικού χαρακτήρα στην εν λόγω τρίτη χώρα ή διεθνή οργανισμό μπορούν να πραγματοποιούνται χωρίς να χρειάζεται να ζητηθεί άλλη άδεια. Η Επιτροπή δύναται επίσης να αποφασίσει την ανάκληση της εν λόγω απόφασης, κατόπιν ειδοποίησης και δήλωσης αιτιολόγησης προς την τρίτη χώρα ή τον διεθνή οργανισμό.

(104) Σύμφωνα με τις θεμελιώδεις αρχές της Ένωσης, ιδίως με την προστασία των ανθρώπινων δικαιωμάτων, η Επιτροπή θα πρέπει, κατά την αξιολόγηση της τρίτης χώρας ή ενός εδάφους ή ενός συγκεκριμένου τομέα σε μια τρίτη χώρα, να συνεκτιμά κατά πόσο μια συγκεκριμένη τρίτη χώρα σέβεται το κράτος δικαίου, την πρόσβαση στη δικαιοσύνη, καθώς και τους διεθνείς κανόνες και τα πρότυπα για τα ανθρώπινα δικαιώματα και το γενικό και το κατά τομείς δίκαιό της, μεταξύ άλλων τη νομοθεσία που αφορά τη δημόσια ασφάλεια, την άμυνα και την εθνική ασφάλεια, καθώς και τη δημόσια τάξη και το ποινικό δίκαιο. Η έκδοση απόφασης επάρκειας για ένα έδαφος ή συγκεκριμένο τομέα τρίτης χώρας θα πρέπει να συνεκτιμά σαφή και αντικειμενικά κριτήρια, όπως συγκεκριμένες δραστηριότητες επεξεργασίας και το πεδίο εφαρμογής των εφαρμοστέων νομικών προτύπων και της νομοθεσίας που ισχύουν στην τρίτη χώρα. Η τρίτη χώρα θα πρέπει να προσφέρει εγγυήσεις που να διασφαλίζουν ένα κατάλληλο επίπεδο προστασίας, ουσιωδώς ισοδύναμο με αυτό που διασφαλίζεται εντός της Ένωσης, ιδίως όταν η επεξεργασία των δεδομένων προσωπικού χαρακτήρα γίνεται σε έναν ή διαφόρους συγκεκριμένους τομείς. Ειδικότερα, η τρίτη χώρα θα πρέπει να διασφαλίζει την αποτελεσματική ανεξάρτητη εποπτεία της προστασίας των δεδομένων και να προβλέπει μηχανισμούς συνεργασίας με τις αρχές προστασίας δεδομένων των κρατών μελών, τα δε υποκείμενα των δεδομένων θα πρέπει να έχουν στη διάθεσή τους αποτελεσματικά και νομικώς ισχυρά δικαιώματα, καθώς και τη δυνατότητα άσκησης αποτελεσματικών διοικητικών και δικαστικών προσφυγών.

(105) Πέραν των διεθνών δεσμεύσεων που έχει αναλάβει η τρίτη χώρα ή ο διεθνής οργανισμός, η Επιτροπή θα πρέπει να συνεκτιμά τις υποχρεώσεις που απορρέουν από τη συμμετοχή της τρίτης χώρας ή του διεθνούς οργανισμού σε πολυμερή ή περιφερειακά συστήματα, ιδίως σε σχέση με την προστασία δεδομένων προσωπικού χαρακτήρα, καθώς την εφαρμογή τέτοιων υποχρεώσεων. Θα πρέπει, ιδίως, να συνεκτιμάται η προσχώρηση της τρίτης χώρας στη σύμβαση του Συμβουλίου της Ευρώπης της 28ης Ιανουαρίου 1981 για την προστασία των φυσικών προσώπων έναντι της αυτόματης επεξεργασίας δεδομένων προσωπικού χαρακτήρα και στο πρόσθετο πρωτόκολλό της. Η Επιτροπή θα πρέπει να ζητεί τη γνώμη του Συμβουλίου Προστασίας Δεδομένων όποτε εκτιμά το επίπεδο προστασίας σε τρίτες χώρες ή σε διεθνείς οργανισμούς.

(106) Η Επιτροπή θα πρέπει να παρακολουθεί τη λειτουργία των αποφάσεων σχετικά με το επίπεδο προστασίας σε μια τρίτη χώρα, έδαφος ή συγκεκριμένο τομέα μιας τρίτης χώρας ή σε διεθνή οργανισμό και να παρακολουθεί τη λειτουργία των αποφάσεων που εκδίδονται βάσει του άρθρου 25 παράγραφος 6 ή του άρθρου 26 παράγραφος 4 της οδηγίας 95/46/ΕΚ. Στις αποφάσεις της επάρκειας, η Επιτροπή θα πρέπει να προβλέπει μηχανισμό περιοδικής επανεξέτασης της λειτουργίας τους. Αυτή η περιοδική επανεξέταση θα πρέπει να γίνεται σε διαβούλευση με την εκάστοτε τρίτη χώρα ή τον διεθνή οργανισμό και να λαμβάνει υπόψη όλες τις σχετικές εξελίξεις στην τρίτη χώρα ή τον διεθνή οργανισμό. Για τους σκοπούς της παρακολούθησης και της διεξαγωγής των περιοδικών επανεξετάσεων, η Επιτροπή θα πρέπει να λαμβάνει υπόψη τις γνώμες και τα συμπεράσματα του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, καθώς και άλλων σχετικών φορέων και πηγών. Η Επιτροπή θα πρέπει να αξιολογεί, εντός εύλογου χρόνου, τη λειτουργία των τελευταίων αποφάσεων και να αναφέρει κάθε σχετικό πόρισμα στην επιτροπή κατά την έννοια του κανονισμού (ΕΕ) αριθ. 182/2011 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου [12], όπως αυτή συγκροτείται βάσει του παρόντος κανονισμού, στο Ευρωπαϊκό Κοινοβούλιο και στο Συμβούλιο.

[12] Κανονισμός (ΕΕ) αριθ. 182/2011 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 16ης Φεβρουαρίου 2011, για τη θέσπιση κανόνων και γενικών αρχών σχετικά με τους τρόπους ελέγχου από τα κράτη μέλη της άσκησης των εκτελεστικών αρμοδιοτήτων από την Επιτροπή (ΕΕ L 55 της 28.2.2011, σ. 13). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2011:055:TOC

(107) Η Επιτροπή μπορεί να διαπιστώσει ότι μια τρίτη χώρα, έδαφος ή συγκεκριμένος τομέας μιας τρίτης χώρας ή ένας διεθνής οργανισμός δεν διασφαλίζουν πλέον επαρκές επίπεδο προστασίας των δεδομένων. Ως εκ τούτου, θα πρέπει να απαγορεύεται η διαβίβαση δεδομένων προσωπικού χαρακτήρα στη συγκεκριμένη τρίτη χώρα ή τον διεθνή οργανισμό, εκτός εάν πληρούνται οι απαιτήσεις του παρόντος κανονισμού σχετικά με διαβιβάσεις υπό την επιφύλαξη κατάλληλων εγγυήσεων, συμπεριλαμβανομένων δεσμευτικών εταιρικών κανόνων, και σχετικά με παρεκκλίσεις για ειδικές καταστάσεις. Στην περίπτωση αυτή, θα πρέπει να προβλέπονται διαβουλεύσεις μεταξύ της Επιτροπής και των εν λόγω τρίτων χωρών ή διεθνών οργανισμών. Η Επιτροπή θα πρέπει, σε εύθετο χρόνο, να ενημερώνει την τρίτη χώρα ή τον διεθνή οργανισμό σχετικά με τους λόγους και να αρχίζει διαβουλεύσεις προς αντιμετώπιση της κατάστασης.

Οδηγίες & Νομολογία Αφήστε ένα σχόλιο
[js-disqus]