Διαβίβαση δεδομένων προσωπικού χαρακτήρα σε χώρες εκτός ΕΕ: Τυποποιημένες συμβατικές ρήτρες

ΣΥΝΟΨΗ ΤΟΥ ΑΚΟΛΟΥΘΟΥ ΚΕΙΜΕΝΟΥ:

Απόφαση 2010/87/ΕΕ σχετικά με τις τυποποιημένες συμβατικές ρήτρες για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε εκτελούντες επεξεργασία εγκατεστημένους σε τρίτες χώρες βάσει της οδηγίας 95/46/ΕΚ

ΠΟΙΟΣ ΕΙΝΑΙ Ο ΣΚΟΠΟΣ ΤΗΣ ΑΠΟΦΑΣΗΣ;

Η απόφαση θεσπίζει τυποποιημένες συμβατικές ρήτρες που μπορούν να χρησιμοποιηθούν από τους υπεύθυνους επεξεργασίας δεδομένων* (εξαγωγείς) στην Ευρωπαϊκή Ένωση (ΕΕ), οι οποίοι διαβιβάζουν δεδομένα προσωπικού χαρακτήρα* στους εκτελούντες την επεξεργασία δεδομένων* (εισαγωγείς) που είναι εγκατεστημένοι εκτός ΕΕ ή ΕΟΧ, για την παροχή κατάλληλων εγγυήσεων προστασίας των δεδομένων και τη συμμόρφωση με τις απαιτήσεις της νομοθεσίας της ΕΕ για την προστασία των δεδομένων [τον γενικό κανονισμό για την προστασία δεδομένων — κανονισμός (ΕΕ) 2016/679 — βλέπε σύνοψη].

ΒΑΣΙΚΑ ΣΗΜΕΙΑ

Οι τυποποιημένες συμβατικές ρήτρες παρατίθενται στο παράρτημα της απόφασης ως εξής: Οι τυποποιημένες συμβατικές ρήτρες αφορούν μόνο την προστασία των δεδομένων και μπορούν να συμπεριλαμβάνονται από τα συμβαλλόμενα μέρη σε μια ευρύτερη σύμβαση ή να συμπληρώνονται με άλλες ρήτρες ή πρόσθετες διασφαλίσεις, εφόσον δεν αντιφάσκουν, άμεσα ή έμμεσα, με τις τυποποιημένες συμβατικές ρήτρες που προβλέπονται από την παρούσα απόφαση.

Ρήτρα 1: Ορισμοί

Περιλαμβάνονται οι ορισμοί βασικών εννοιών που χρησιμοποιούνται στις τυποποιημένες συμβατικές ρήτρες.

Ρήτρα 2: Λεπτομέρειες της διαβίβασης

Τα συμβαλλόμενα μέρη θα πρέπει να αναφέρουν, σε παράρτημα των συμβατικών ρητρών, τις λεπτομέρειες των διαβιβάσεων, περιλαμβανομένων των σχετικών δραστηριοτήτων του εισαγωγέα και εξαγωγέα δεδομένων, των κατηγοριών δεδομένων προσωπικού χαρακτήρα που διαβιβάζονται και τις δραστηριότητες επεξεργασίας στις οποίες θα υπόκεινται τα δεδομένα προσωπικού χαρακτήρα μόλις διαβιβασθούν.

Ρήτρα 3: Ρήτρα δικαιούχου τρίτου

Η ρήτρα επιτρέπει στα πρόσωπα στα οποία αναφέρονται τα δεδομένα να επικαλούνται, ως τρίτοι δικαιούχοι, αρκετές από τις ρήτρες έναντι του εξαγωγέα δεδομένων, του εισαγωγέα δεδομένων ή του υπεργολάβου επεξεργασίας. Επιπλέον, προβλέπει ότι τα συμβαλλόμενα μέρη δεν αντιτάσσονται στην εκπροσώπηση του προσώπου στο οποίο αναφέρονται τα δεδομένα από ένωση ή άλλο φορέα εφόσον το επιτρέπει το εθνικό δίκαιο.

Ρήτρα 4: Υποχρεώσεις του εξαγωγέα δεδομένων

Η εν λόγω ρήτρα ορίζει τις συμβατικές υποχρεώσεις του εξαγωγέα δεδομένων, ο οποίος εγγυάται και συμφωνεί:

να επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα μόνο σύμφωνα με τη νομοθεσία περί προστασίας των δεδομένων·
να υποδεικνύει στον εισαγωγέα δεδομένων να επεξεργάζεται τα δεδομένα αποκλειστικά για λογαριασμό του εξαγωγέα δεδομένων και σύμφωνα με τη νομοθεσία περί προστασίας των δεδομένων και τις ρήτρες·
να παρέχει (και να συμμορφώνεται με) επαρκείς εγγυήσεις όσον αφορά τα τεχνικά και οργανωτικά μέτρα ασφαλείας για την προστασία των δεδομένων προσωπικού χαρακτήρα από την τυχαία ή παράνομη καταστροφή, την τυχαία απώλεια, την αλλοίωση, τη μη εξουσιοδοτημένη κοινοποίηση ή πρόσβαση, ιδίως όταν η επεξεργασία πραγματοποιείται μέσω δικτύου·
να ενημερώνει το πρόσωπο στο οποίο αναφέρονται τα δεδομένα εάν ενδέχεται να διαβιβαστούν ειδικές κατηγορίες δεδομένων σε χώρα εκτός ΕΕ που δεν παρέχει ικανοποιητική προστασία δεδομένων·
να διαβιβάζει την κοινοποίηση που λαμβάνει από τον εισαγωγέα δεδομένων σχετικά με την ανικανότητα του τελευταίου να συμμορφωθεί με τις ρήτρες στην αρμόδια εποπτική αρχή προστασίας, εάν αποφασίσει να συνεχίσει τη διαβίβαση·
να θέτει στη διάθεση των προσώπων στα οποία αναφέρονται τα δεδομένα, κατόπιν αιτήσεως, αντίγραφο των ρητρών, με συνοπτική παρουσίαση των μέτρων ασφαλείας·
στην περίπτωση υπεργολαβίας επεξεργασίας, ο υπεργολάβος επεξεργασίας πρέπει να παρέχει τουλάχιστον το ίδιο επίπεδο προστασίας για τα δεδομένα προσωπικού χαρακτήρα όπως ο εισαγωγέας δεδομένων.

Ρήτρα 5: Υποχρεώσεις του εισαγωγέα δεδομένων

Η εν λόγω ρήτρα ορίζει τις συμβατικές υποχρεώσεις του εισαγωγέα δεδομένων, ο οποίος εγγυάται και συμφωνεί:

να επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα μόνο για λογαριασμό του εξαγωγέα δεδομένων και σύμφωνα με τις οδηγίες του και τις ρήτρες·
ότι δεν έχει λόγους να πιστεύει ότι η νομοθεσία που ισχύει γι’ αυτόν τον εμποδίζει να τηρήσει τις οδηγίες που λαμβάνει από τον εξαγωγέα δεδομένων και να εκπληρώσει τις υποχρεώσεις του βάσει της σύμβασης·
να κοινοποιεί αμέσως κάθε τροποποίηση της εν λόγω νομοθεσίας η οποία ενδέχεται να έχει σημαντικό αρνητικό αντίκτυπο στις εγγυήσεις και τις υποχρεώσεις που προβλέπονται από τις ρήτρες, οπότε και ο εξαγωγέας δεδομένων θα δικαιούται να αναστείλει τη διαβίβαση των δεδομένων και/ή να λύσει τη σύμβαση·
να εφαρμόζει τα οριζόμενα τεχνικά και οργανωτικά μέτρα ασφαλείας πριν από την επεξεργασία των διαβιβαζόμενων δεδομένων προσωπικού χαρακτήρα·
να ενημερώνει αμέσως τον εξαγωγέα δεδομένων σχετικά με κάθε αίτημα κοινοποίησης των δεδομένων προσωπικού χαρακτήρα που υποβάλλεται από αρχή επιβολής του νόμου, κάθε τυχαία ή μη εξουσιοδοτημένη πρόσβαση, και κάθε αίτημα που λαμβάνει απευθείας από τα πρόσωπα στα οποία αναφέρονται τα δεδομένα χωρίς να τους απαντά, εκτός αν του έχει δοθεί η σχετική άδεια·
να ανταποκρίνεται άμεσα σε όλα τα αιτήματα πληροφοριών του εξαγωγέα δεδομένων και να συμμορφώνεται με τη γνώμη της αρχής ελέγχου·
να διαθέτει προς έλεγχο, κατόπιν αιτήσεως του εξαγωγέα δεδομένων, τις εγκαταστάσεις επεξεργασίας δεδομένων προκειμένου να ελέγχονται οι δραστηριότητες επεξεργασίας που καλύπτονται από τις ρήτρες·
να θέτει στη διάθεση των προσώπων στα οποία αναφέρονται τα δεδομένα, κατόπιν αιτήσεως, αντίγραφο των ρητρών, με συνοπτική παρουσίαση των μέτρων ασφαλείας·
να προσλαμβάνει υπεργολάβο επεξεργασίας μονό εάν έχει προηγουμένως λάβει τη γραπτή συγκατάθεση του εξαγωγέα δεδομένων.

Ρήτρα 6: Ευθύνη

Η ρήτρα απαιτεί από τα συμβαλλόμενα μέρη να συμφωνούν ότι κάθε πρόσωπο στο οποίο αναφέρονται τα δεδομένα, το οποίο υφίσταται ζημίες συνεπεία αθέτησης των υποχρεώσεων, δικαιούται να λάβει αποζημίωση από τον εξαγωγέα δεδομένων για τις ζημίες τις οποίες υπέστη.

Ρήτρα 7: Διαμεσολάβηση και δικαιοδοσία

Ο εισαγωγέας δεδομένων οφείλει να συμφωνεί ότι εάν το πρόσωπο στο οποίο αναφέρονται τα δεδομένα επικαλείται έναντι αυτού το δικαίωμα του δικαιούχου τρίτου και/ή διεκδικεί αποζημίωση για τις ζημίες που υπέστη, θα δεχθεί την απόφαση του προσώπου στο οποίο αναφέρονται τα δεδομένα να παραπέμψουν τη διαφορά σε ανεξάρτητο διαμεσολαβητή, ή στα δικαστήρια της χώρας της ΕΕ στην οποία είναι εγκατεστημένος ο εξαγωγέας δεδομένων (με δικαίωμα αναζήτησης έννομης προστασίας βάσει άλλων διατάξεων του εθνικού ή του διεθνούς δικαίου).

Ρήτρα 8: Συνεργασία με τις αρχές ελέγχου

Η εν λόγω ρήτρα διέπει τη συνεργασία με την αρμόδια αρχή ελέγχου, προβλέποντας ότι:

η αρχή ελέγχου έχει το δικαίωμα να διενεργεί ελέγχους στις εγκαταστάσεις του εισαγωγέα δεδομένων και κάθε υπεργολάβου επεξεργασίας·
ο εισαγωγέας δεδομένων συμφωνεί να ενημερώνει τον εξαγωγέα δεδομένων σχετικά με την ύπαρξη νομοθεσίας που εμποδίζει τη διενέργεια ελέγχου στις εγκαταστάσεις του εισαγωγέα δεδομένων. Στην περίπτωση αυτή, ο εξαγωγέας δεδομένων δικαιούται να αναστείλει τη διαβίβαση των δεδομένων ή να λύσει τη σύμβαση.

Ρήτρα 9: Εφαρμοστέο δίκαιο

Οι ρήτρες θα πρέπει να διέπονται από το εθνικό δίκαιο της χώρας της ΕΕ στην οποία είναι εγκατεστημένος ο εξαγωγέας δεδομένων.

Ρήτρα 10: Τροποποίηση της σύμβασης

Τα συμβαλλόμενα μέρη δεν πρέπει να μεταβάλουν ή να τροποποιήσουν τις ρήτρες, καθώς και ούτε να αντιβαίνουν σε αυτές.

Ρήτρα 11: Υπεργολαβία επεξεργασίας

Οι διατάξεις που αφορούν την υπεργολαβία επεξεργασίας θα πρέπει να διέπονται από το δίκαιο της χώρας της ΕΕ στην οποία είναι εγκατεστημένος ο εξαγωγέας δεδομένων.

Ρήτρα 12: Υποχρέωση μετά την περάτωση των υπηρεσιών επεξεργασίας δεδομένων προσωπικού χαρακτήρα

Η εν λόγω ρήτρα ρυθμίζει τις υποχρεώσεις των συμβαλλόμενων μερών μετά την περάτωση της επεξεργασίας δεδομένων. Ειδικότερα, τα συμβαλλόμενα μέρη θα πρέπει να συμφωνούν ότι, όταν αποπερατωθεί η παροχή των υπηρεσιών επεξεργασίας δεδομένων, ο εισαγωγέας δεδομένων και ο υπεργολάβος επεξεργασίας πρέπει να επιστρέφουν (ή να καταστρέφουν, κατόπιν αιτήματος) όλα τα διαβιβασθέντα δεδομένα προσωπικού χαρακτήρα, εκτός εάν αυτό δεν προβλέπεται από τη νομοθεσία.

ΑΠΟ ΠΟΤΕ ΕΦΑΡΜΟΖΕΤΑΙ Η ΑΠΟΦΑΣΗ;

Η απόφαση εφαρμόζεται από τις 15 Μαΐου 2010.

ΓΕΝΙΚΟ ΠΛΑΙΣΙΟ

Σημείωση: Η παρούσα απόφαση αποτέλεσε το αντικείμενο αίτησης για έκδοση προδικαστικής απόφασης η οποία οδήγησε στη λήψη απόφασης του Δικαστηρίου της ΕΕ (υπόθεση C-311/18) τη 16η Ιουλίου 2020, στην οποία το Δικαστήριο επιβεβαίωσε το κύρος της απόφασης.
Η Ευρωπαϊκή Επιτροπή έχει επίσης εκδώσει δύο δέσμες τυποποιημένων συμβατικών ρητρών για τις διαβιβάσεις δεδομένων από τους υπευθύνους επεξεργασίας δεδομένων στην ΕΕ προς τους υπευθύνους επεξεργασίας δεδομένων που είναι εγκατεστημένοι εκτός ΕΕ ή ΕΟΧ.
Δείτε επίσης:
- Προστασία δεδομένων (Ευρωπαϊκή Επιτροπή)

ΒΑΣΙΚΟΙ ΟΡΟΙ

Υπεύθυνος επεξεργασίας δεδομένων: Το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που καθορίζει τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα.

Δεδομένα προσωπικού χαρακτήρα: Κάθε πληροφορία που αφορά πρόσωπο (υποκείμενο των δεδομένων) το οποίο μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, μέσω ονόματος, αριθμού ταυτότητας, δεδομένων θέσης, επιγραμμικού αναγνωριστικού ταυτότητας ή μέσω παραγόντων που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω προσώπου.

Εκτελών την επεξεργασία δεδομένων: Το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας.

ΒΑΣΙΚΟ ΚΕΙΜΕΝΟ

Απόφαση 2010/87/ΕΕ της Επιτροπής, της 5ης Φεβρουαρίου 2010, σχετικά με τις τυποποιημένες συμβατικές ρήτρες για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε εκτελούντες επεξεργασία εγκατεστημένους σε τρίτες χώρες βάσει της οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (EE L 39 της 12.2.2010, σ. 5-18)

Οι διαδοχικές τροποποιήσεις της απόφασης 2010/87/ΕΕ έχουν ενσωματωθεί στο αρχικό κείμενο. Αυτή η ενοποιημένη απόδοση έχει μόνο αξία τεκμηρίωσης.

ΣΥΝΑΦΗ ΚΕΙΜΕΝΑ

Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων) (ΕΕ L 119 της 4.5.2016, σ. 1-88)

Βλέπε ενοποιημένη έκδοση.

Απόφαση 2004/915/ΕΚ της Επιτροπής, της 27ης Δεκεμβρίου 2004, για την τροποποίηση της απόφασης 2001/497/ΕΚ όσον αφορά την εισαγωγή μιας εναλλακτικής δέσμης τυποποιημένων συμβατικών ρητρών για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες (ΕΕ L 385 της 29.12.2004, σ. 74-84)

Απόφαση 2001/497/ΕΚ της Επιτροπής, της 15ης Ιουνίου 2001, σχετικά με τις τυποποιημένες συμβατικές ρήτρες για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες δυνάμει της οδηγίας 95/46/ΕΚ (ΕΕ L 181 της 4.7.2001, σ. 19-31)

Βλέπε ενοποιημένη έκδοση.

Οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών (ΕΕ L 281 της 23.11.1995, σ. 31-50)

Βλέπε ενοποιημένη έκδοση.

τελευταία ενημέρωση 07.10.2020