ISO 27701
Αιτιολογικές σκέψεις
(103) Η Επιτροπή μπορεί να αποφασίζει, με ισχύ για ολόκληρη την Ένωση, ότι τρίτη χώρα, έδαφος ή συγκεκριμένος τομέας σε μια τρίτη χώρα ή διεθνής οργανισμός προσφέρουν επαρκές επίπεδο προστασίας δεδομένων και να κατοχυρώνει έτσι ασφάλεια δικαίου και ομοιομορφία σε ολόκληρη την Ένωση ως προς την τρίτη χώρα ή τον διεθνή οργανισμό που θεωρείται ότι παρέχει τέτοιο επίπεδο προστασίας. Στις περιπτώσεις αυτές, οι διαβιβάσεις δεδομένων προσωπικού χαρακτήρα στην εν λόγω τρίτη χώρα ή διεθνή οργανισμό μπορούν να πραγματοποιούνται χωρίς να χρειάζεται να ζητηθεί άλλη άδεια. Η Επιτροπή δύναται επίσης να αποφασίσει την ανάκληση της εν λόγω απόφασης, κατόπιν ειδοποίησης και δήλωσης αιτιολόγησης προς την τρίτη χώρα ή τον διεθνή οργανισμό.
(104) Σύμφωνα με τις θεμελιώδεις αρχές της Ένωσης, ιδίως με την προστασία των ανθρώπινων δικαιωμάτων, η Επιτροπή θα πρέπει, κατά την αξιολόγηση της τρίτης χώρας ή ενός εδάφους ή ενός συγκεκριμένου τομέα σε μια τρίτη χώρα, να συνεκτιμά κατά πόσο μια συγκεκριμένη τρίτη χώρα σέβεται το κράτος δικαίου, την πρόσβαση στη δικαιοσύνη, καθώς και τους διεθνείς κανόνες και τα πρότυπα για τα ανθρώπινα δικαιώματα και το γενικό και το κατά τομείς δίκαιό της, μεταξύ άλλων τη νομοθεσία που αφορά τη δημόσια ασφάλεια, την άμυνα και την εθνική ασφάλεια, καθώς και τη δημόσια τάξη και το ποινικό δίκαιο. Η έκδοση απόφασης επάρκειας για ένα έδαφος ή συγκεκριμένο τομέα τρίτης χώρας θα πρέπει να συνεκτιμά σαφή και αντικειμενικά κριτήρια, όπως συγκεκριμένες δραστηριότητες επεξεργασίας και το πεδίο εφαρμογής των εφαρμοστέων νομικών προτύπων και της νομοθεσίας που ισχύουν στην τρίτη χώρα. Η τρίτη χώρα θα πρέπει να προσφέρει εγγυήσεις που να διασφαλίζουν ένα κατάλληλο επίπεδο προστασίας, ουσιωδώς ισοδύναμο με αυτό που διασφαλίζεται εντός της Ένωσης, ιδίως όταν η επεξεργασία των δεδομένων προσωπικού χαρακτήρα γίνεται σε έναν ή διαφόρους συγκεκριμένους τομείς. Ειδικότερα, η τρίτη χώρα θα πρέπει να διασφαλίζει την αποτελεσματική ανεξάρτητη εποπτεία της προστασίας των δεδομένων και να προβλέπει μηχανισμούς συνεργασίας με τις αρχές προστασίας δεδομένων των κρατών μελών, τα δε υποκείμενα των δεδομένων θα πρέπει να έχουν στη διάθεσή τους αποτελεσματικά και νομικώς ισχυρά δικαιώματα, καθώς και τη δυνατότητα άσκησης αποτελεσματικών διοικητικών και δικαστικών προσφυγών.
(105) Πέραν των διεθνών δεσμεύσεων που έχει αναλάβει η τρίτη χώρα ή ο διεθνής οργανισμός, η Επιτροπή θα πρέπει να συνεκτιμά τις υποχρεώσεις που απορρέουν από τη συμμετοχή της τρίτης χώρας ή του διεθνούς οργανισμού σε πολυμερή ή περιφερειακά συστήματα, ιδίως σε σχέση με την προστασία δεδομένων προσωπικού χαρακτήρα, καθώς την εφαρμογή τέτοιων υποχρεώσεων. Θα πρέπει, ιδίως, να συνεκτιμάται η προσχώρηση της τρίτης χώρας στη σύμβαση του Συμβουλίου της Ευρώπης της 28ης Ιανουαρίου 1981 για την προστασία των φυσικών προσώπων έναντι της αυτόματης επεξεργασίας δεδομένων προσωπικού χαρακτήρα και στο πρόσθετο πρωτόκολλό της. Η Επιτροπή θα πρέπει να ζητεί τη γνώμη του Συμβουλίου Προστασίας Δεδομένων όποτε εκτιμά το επίπεδο προστασίας σε τρίτες χώρες ή σε διεθνείς οργανισμούς.
(106) Η Επιτροπή θα πρέπει να παρακολουθεί τη λειτουργία των αποφάσεων σχετικά με το επίπεδο προστασίας σε μια τρίτη χώρα, έδαφος ή συγκεκριμένο τομέα μιας τρίτης χώρας ή σε διεθνή οργανισμό και να παρακολουθεί τη λειτουργία των αποφάσεων που εκδίδονται βάσει του άρθρου 25 παράγραφος 6 ή του άρθρου 26 παράγραφος 4 της οδηγίας 95/46/ΕΚ. Στις αποφάσεις της επάρκειας, η Επιτροπή θα πρέπει να προβλέπει μηχανισμό περιοδικής επανεξέτασης της λειτουργίας τους. Αυτή η περιοδική επανεξέταση θα πρέπει να γίνεται σε διαβούλευση με την εκάστοτε τρίτη χώρα ή τον διεθνή οργανισμό και να λαμβάνει υπόψη όλες τις σχετικές εξελίξεις στην τρίτη χώρα ή τον διεθνή οργανισμό. Για τους σκοπούς της παρακολούθησης και της διεξαγωγής των περιοδικών επανεξετάσεων, η Επιτροπή θα πρέπει να λαμβάνει υπόψη τις γνώμες και τα συμπεράσματα του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, καθώς και άλλων σχετικών φορέων και πηγών. Η Επιτροπή θα πρέπει να αξιολογεί, εντός εύλογου χρόνου, τη λειτουργία των τελευταίων αποφάσεων και να αναφέρει κάθε σχετικό πόρισμα στην επιτροπή κατά την έννοια του κανονισμού (ΕΕ) αριθ. 182/2011 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου [12], όπως αυτή συγκροτείται βάσει του παρόντος κανονισμού, στο Ευρωπαϊκό Κοινοβούλιο και στο Συμβούλιο.
[12] Κανονισμός (ΕΕ) αριθ. 182/2011 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 16ης Φεβρουαρίου 2011, για τη θέσπιση κανόνων και γενικών αρχών σχετικά με τους τρόπους ελέγχου από τα κράτη μέλη της άσκησης των εκτελεστικών αρμοδιοτήτων από την Επιτροπή (ΕΕ L 55 της 28.2.2011, σ. 13). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2011:055:TOC
(107) Η Επιτροπή μπορεί να διαπιστώσει ότι μια τρίτη χώρα, έδαφος ή συγκεκριμένος τομέας μιας τρίτης χώρας ή ένας διεθνής οργανισμός δεν διασφαλίζουν πλέον επαρκές επίπεδο προστασίας των δεδομένων. Ως εκ τούτου, θα πρέπει να απαγορεύεται η διαβίβαση δεδομένων προσωπικού χαρακτήρα στη συγκεκριμένη τρίτη χώρα ή τον διεθνή οργανισμό, εκτός εάν πληρούνται οι απαιτήσεις του παρόντος κανονισμού σχετικά με διαβιβάσεις υπό την επιφύλαξη κατάλληλων εγγυήσεων, συμπεριλαμβανομένων δεσμευτικών εταιρικών κανόνων, και σχετικά με παρεκκλίσεις για ειδικές καταστάσεις. Στην περίπτωση αυτή, θα πρέπει να προβλέπονται διαβουλεύσεις μεταξύ της Επιτροπής και των εν λόγω τρίτων χωρών ή διεθνών οργανισμών. Η Επιτροπή θα πρέπει, σε εύθετο χρόνο, να ενημερώνει την τρίτη χώρα ή τον διεθνή οργανισμό σχετικά με τους λόγους και να αρχίζει διαβουλεύσεις προς αντιμετώπιση της κατάστασης.
Οδηγίες & Νομολογία
(EN)
Documents
Article 29 Working Party, Adequacy Referential (2018).
EDPS, Strategy for Union institutions, offices, bodies and agencies to comply with the ‘Schrems II’ Ruling (2020).
EDPB, Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data (2021).
EDPB, Recommendations 1/2021 on the Adequacy Referential under the Law Enforcement Directive (2021).
Case Law
CJEU, Schrems/Data Protection Commissioner, C-362/14 (2015).
CJEU, Draft Agreement between Canada and the European Union, opinion 1/15 (2017).
CJEU, Data Protection Commissioner/Facebook Ireland Ltd and Schrems, C-311/18 (2020).
(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.
Here is the relevant paragraph to article 45 GDPR:
7.5.1 Identify basis for PII transfer between jurisdictions
Control
The organization should identify and document the relevant basis for transfers of PII between jurisdictions.
Implementation guidance
PII transfer can be subject to legislation and/or regulation depending on the jurisdiction or international organization to which data is to be transferred (and from where it originates).
…
Σύνδεση
για πρόσβαση στο πλήρες κείμενο