Οι διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε χώρες εκτός του Ευρωπαϊκού Οικονομικού Χώρου (ΕΟΧ) είναι συχνά απαραίτητες στο πλαίσιο του διεθνούς εμπορίου ή της διεθνούς συνεργασίας. Η εταιρεία σας ενδέχεται να χρειαστεί να διαβιβάσει δεδομένα προσωπικού χαρακτήρα σε χώρα εκτός του ΕΟΧ στο πλαίσιο των δραστηριοτήτων της, για παράδειγμα, όταν χρειάζεται να μοιραστείτε προσωπικά δεδομένα με τους επιχειρηματικούς σας εταίρους ή με τους προμηθευτές σας που εδρεύουν εκτός του ΕΟΧ.
Ο ΓΚΠΔ περιέχει ειδικές διατάξεις για τις εν λόγω διαβιβάσεις. Με τις διατάξεις αυτές, ο ΓΚΠΔ αποσκοπεί στη διασφάλιση ισοδύναμου επιπέδου προστασίας με εκείνο που απολαύουν τα προσωπικά δεδομένα που διαβιβάζονται εντός του ΕΟΧ.
Πότε πραγματοποιείται διαβίβαση προσωπικών δεδομένων εκτός του ΕΟΧ;
Ο ΓΚΠΔ δεν προβλέπει ορισμό για τις εν λόγω διαβιβάσεις. Ωστόσο, το ΕΣΠΔ έχει προσδιορίσει τα ακόλουθα τρία σωρευτικά κριτήρια για τον προσδιορισμό μιας διαβίβασης εκτός του ΕΟΧ:
- ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία υπόκειται στον ΓΚΠΔ για τη κεκριμένη επεξεργασία·
- ο εν λόγω υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία γνωστοποιεί με διαβίβαση ή με άλλο τρόπο καθιστά διαθέσιμα προσωπικά δεδομένα σε άλλον οργανισμό (υπεύθυνο επεξεργασίας δεδομένων ή εκτελούντα την επεξεργασία)·
- αυτός ο άλλος οργανισμός βρίσκεται σε χώρα εκτός του ΕΟΧ ή είναι διεθνής οργανισμός.
Πώς να διαβιβάσετε προσωπικά δεδομένα εκτός του ΕΟΧ;
Εν ολίγοις, ο ΓΚΠΔ επιβάλλει περιορισμούς στη διαβίβαση προσωπικών δεδομένων εκτός του ΕΟΧ, σε χώρες εκτός του ΕΟΧ ή σε διεθνείς οργανισμούς, προκειμένου να διασφαλιστεί ότι το επίπεδο προστασίας των φυσικών προσώπων που παρέχεται από τον ΓΚΠΔ παραμένει το ίδιο.
Τα δεδομένα προσωπικού χαρακτήρα μπορούν να διαβιβάζονται εκτός του ΕΟΧ μόνο σύμφωνα με τις προϋποθέσεις που ορίζονται στο κεφάλαιο V του ΓΚΠΔ για τις εν λόγω διαβιβάσεις.
Οι προϋποθέσεις για τις διαβιβάσεις πρέπει να τηρούνται επιπλέον της γενικής συμμόρφωσης με άλλους κανόνες του ΓΚΠΔ. Για παράδειγμα, οι προϋποθέσεις αυτές αποτελούν πρόσθετη απαίτηση στις βασικές αρχές επεξεργασίας, οι οποίες πρέπει επίσης να τηρούνται στο πλαίσιο των διεθνών διαβιβάσεων. Κατά τη διαβίβαση προσωπικών δεδομένων, πρέπει να διασφαλίζετε ότι έχετε την κατάλληλη νομική βάση για την επεξεργασία∙ ότι εφαρμόζονται τα απαραίτητα μέτρα ασφάλειας∙ ότι επεξεργάζεστε μόνο τα απαραίτητα προσωπικά δεδομένα για τη συγκεκριμένη πράξη επεξεργασίας (αρχή της ελαχιστοποίησης των δεδομένων), κ.λπ. Εάν ο αποδέκτης των προσωπικών δεδομένων ενεργεί ως εκτελών την επεξεργασία, εξακολουθείτε να είστε νομικά υποχρεωμένοι να συνάψετε σύμβαση. Όπως ακριβώς θα κάνατε στην περίπτωση εκτελούντος την επεξεργασία εντός του ΕΟΧ.
Σύμφωνα με τον ΓΚΠΔ, υπάρχουν, κατ’ αρχήν, δύο βασικοί τρόποι διαβίβασης προσωπικών δεδομένων σε χώρα εκτός ΕΟΧ ή διεθνή οργανισμό. Οι διαβιβάσεις μπορούν να πραγματοποιούνται βάσει απόφασης επάρκειας ή, ελλείψει τέτοιας απόφασης, βάσει κατάλληλων εγγυήσεων, συμπεριλαμβανομένων εκτελεστών δικαιωμάτων και ένδικων μέσων για φυσικά πρόσωπα. Ελλείψει απόφασης επάρκειας ή κατάλληλων εγγυήσεων, ο ΓΚΠΔ επιτρέπει παρεκκλίσεις για ειδικές καταστάσεις.
Θα βρείτε περισσότερες πληροφορίες σχετικά με τις διάφορες επιλογές παρακάτω.
Διαβιβάσεις δεδομένων βάσει απόφασης επάρκειας
Η Ευρωπαϊκή Επιτροπή έχει τη δυνατότητα να εκδίδει αποφάσεις επάρκειας για να επιβεβαιώνει επίσημα, με δεσμευτική ισχύ για τις χώρες του ΕΟΧ, ότι το επίπεδο προστασίας των δεδομένων σε χώρα εκτός ΕΟΧ ή σε διεθνή οργανισμό είναι ουσιαστικά ισοδύναμο με το επίπεδο προστασίας στον Ευρωπαϊκό Οικονομικό Χώρο.
Κατά την αξιολόγηση της επάρκειας του επιπέδου προστασίας, η Ευρωπαϊκή Επιτροπή εξετάζει στοιχεία όπως το κράτος δικαίου, ο σεβασμός των ανθρωπίνων δικαιωμάτων και των θεμελιωδών ελευθεριών, καθώς και κατά πόσον τα δικαιώματα των υποκειμένων των δεδομένων είναι αποτελεσματικά και εκτελεστά, την ύπαρξη και την αποτελεσματική λειτουργία ανεξάρτητης αρχής προστασίας δεδομένων στη χώρα εκτός ΕΟΧ και τις διεθνείς δεσμεύσεις που έχει αναλάβει η χώρα ή ο διεθνής οργανισμός.
Εάν η Ευρωπαϊκή Επιτροπή αποφασίσει ότι η χώρα προσφέρει επαρκές επίπεδο προστασίας και εκδοθεί απόφαση επάρκειας, τα προσωπικά δεδομένα μπορούν να διαβιβαστούν σε εταιρεία ή οργανισμό στην εν λόγω χώρα εκτός ΕΟΧ χωρίς ο εξαγωγέας των δεδομένων, δηλαδή η οντότητα που διαβιβάζει τα δεδομένα, να υποχρεούται να παράσχει περαιτέρω εγγυήσεις ή να υπόκειται σε πρόσθετες προϋποθέσεις σχετικά με τις διεθνείς διαβιβάσεις. Με άλλα λόγια, οι διαβιβάσεις σε μια «επαρκή» χώρα εκτός ΕΟΧ θα είναι συγκρίσιμες με τη διαβίβαση δεδομένων εντός του ΕΟΧ. Ωστόσο, ο οργανισμός σας θα πρέπει να συμμορφώνεται με τις άλλες βασικές αρχές του ΓΚΠΔ, όπως εξηγείται παραπάνω.
Οι αποφάσεις επάρκειας μπορούν να καλύπτουν μια χώρα στο σύνολό της ή να περιορίζονται σε ένα μέρος της (δηλαδή σε μια περιφέρεια). Οι αποφάσεις επάρκειας μπορούν να καλύπτουν όλες τις διαβιβάσεις δεδομένων σε μια χώρα ή να περιορίζονται σε συγκεκριμένες κατηγορίες διαβιβάσεων (π.χ. σε έναν τομέα).
Μέχρι στιγμής, η Ευρωπαϊκή Επιτροπή έχει εκδώσει αποφάσεις επάρκειας για:
- Ανδόρα,
- Αργεντινή,
- Καναδά (εμπορικοί οργανισμοί),
- Φερόες Νήσοι,
- Γκέρνσεϊ,
- Ισραήλ,
- Νήσος του Μαν,
- Ιαπωνία,
- Τζέρσεϊ,
- Νέα Ζηλανδία,
- Δημοκρατία της Κορέας,
- Ελβετία,
- Ηνωμένο Βασίλειο,
- Ηνωμένες Πολιτείες (εμπορικοί οργανισμοί που συμμετέχουν στο πλαίσιο προστασίας δεδομένων ΕΕ-ΗΠΑ),
- και την Ουρουγουάη.
Η Ευρωπαϊκή Επιτροπή δημοσιεύει τον κατάλογο των αποφάσεων επάρκειας στον ιστότοπό της.
Οι εξαγωγείς δεδομένων είναι υπεύθυνοι για την παρακολούθηση των σχετικών με τις διαβιβάσεις τους αποφάσεων επάρκειας κατά πόσον εξακολουθούν να ισχύουν και ότι δεν βρίσκονται σε διαδικασία ανάκλησης ή ακύρωσης.
Επισημαίνεται ότι οι αποφάσεις επάρκειας δεν εμποδίζουν τα άτομα να υποβάλουν καταγγελία. Ούτε εμποδίζουν τις αρχές προστασίας δεδομένων (ΑΠΔ) να ασκούν τις εξουσίες τους βάσει του ΓΚΠΔ.
Διαβιβάσεις δεδομένων βάσει κατάλληλων εγγυήσεων
Ελλείψει απόφασης επάρκειας, οι οργανισμοί μπορούν επίσης να διαβιβάζουν προσωπικά δεδομένα όταν μπορούν να παρασχεθούν κατάλληλες εγγυήσεις σχετικά με τον οργανισμό που λαμβάνει τα προσωπικά δεδομένα. Επιπλέον, τα άτομα θα πρέπει να είναι σε θέση να ασκούν τα δικαιώματά τους και να έχουν στη διάθεσή τους αποτελεσματικά ένδικα μέσα.
Το άρθρο 46 του ΓΚΠΔ περιλαμβάνει μια σειρά εργαλείων διαβίβασης που παρέχουν «κατάλληλες εγγυήσεις» τις οποίες μπορείτε να χρησιμοποιήσετε για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε χώρες εκτός ΕΟΧ ελλείψει αποφάσεων επάρκειας. Οι βασικές κατηγορίες εργαλείων διαβίβασης του άρθρου 46 του ΓΚΠΔ, που αφορούν ιδιωτικούς οργανισμούς, είναι:
- Τυποποιημένες συμβατικές ρήτρες προστασίας δεδομένων (ΤΣΡ)·
- Δεσμευτικοί εταιρικοί κανόνες (ΔΕΚ)·
- Κώδικες δεοντολογίας·
- Μηχανισμοί πιστοποίησης·
- Συμβατικές ρήτρες ad hoc.
Τυποποιημένες συμβατικές ρήτρες (ΤΣΡ)
Οι τυποποιημένες συμβατικές ρήτρες (ΤΣΡ) είναι ένα σύνολο τυποποιημένων συμβάσεων που επιτρέπουν στους εξαγωγείς δεδομένων να παρέχουν κατάλληλες εγγυήσεις. Είναι ένα εργαλείο που χρησιμοποιείται συνήθως από πολλούς οργανισμούς. Η Ευρωπαϊκή Επιτροπή έχει την εξουσία να εγκρίνει ΤΣΡ ως κατάλληλη εγγύηση για τις διαβιβάσεις προσωπικών δεδομένων σε χώρες εκτός ΕΟΧ σύμφωνα με το άρθρο 46 παράγραφος 2 στοιχείο γ) του ΓΚΠΔ.
Στις 4 Ιουνίου 2021, η Ευρωπαϊκή Επιτροπή εξέδωσε εκτελεστική απόφαση σχετικά με τις ΤΣΡ για τη διαβίβαση προσωπικών δεδομένων σε χώρες εκτός ΕΟΧ δυνάμει του ΓΚΠΔ. Η Ευρωπαϊκή Επιτροπή έχει αναρτημένη επίσης στον ιστότοπό της μια δέσμη τυποποιημένων συμβατικών ρητρών. Μάθετε περισσότερα για τις τυποποιημένες συμβατικές ρήτρες.
Οι ΤΣΡ εξετάζουν διάφορα σενάρια διαβίβασης και την πολυπλοκότητα των σύγχρονων αλυσίδων επεξεργασίας. Οι υπεύθυνοι επεξεργασίας και οι εκτελούντες την επεξεργασία μπορούν να χρησιμοποιήσουν διάφορες επιλογές, ανάλογα με τις ειδικές περιστάσεις της διαβίβασης, οι οποίες περιλαμβάνουν:
- υπεύθυνος επεξεργασίας προς υπεύθυνο επεξεργασίας (C2C)·
- υπεύθυνος επεξεργασίας προς εκτελούντα την επεξεργασία (C2P)·
- εκτελών την επεξεργασία προς εκτελούντα την επεξεργασία (P2P)·
- εκτελών την επεξεργασία προς υπεύθυνο επεξεργασίας (P2C), ο εκτελών την επεξεργασία βρίσκεται στην ΕΕ και ο υπεύθυνος επεξεργασίας σε τρίτη χώρα.
Άλλες σημαντικές πτυχές των ΤΣΡ περιλαμβάνουν:
- δυνατότητα για περισσότερα από δύο μέρη να τηρούν τις ρήτρες·
- δυνατότητα, με ορισμένες εξαιρέσεις, να χρησιμοποιούνται ΤΣΡ κατά τη διαβίβαση προσωπικών δεδομένων σε υπεργολάβο εκτός ΕΟΧ·
- δυνατότητα, με ορισμένες εξαιρέσεις, για τα φυσικά πρόσωπα να επικαλούνται τις ρήτρες ως τρίτοι δικαιούχοι·
- κανόνες σχετικά με την ευθύνη μεταξύ των μερών σε περίπτωση παραβίασης των δικαιωμάτων των φυσικών προσώπων·
- το δικαίωμα των φυσικών προσώπων για αποζημίωση για τη ζημία που υπέστησαν σε περίπτωση παραβίασης των δικαιωμάτων τους ως τρίτων δικαιούχων·
- απαίτηση διενέργειας «εκτίμησης αντικτύπου διαβίβασης» στην οποία θα τεκμηριώνονται οι ειδικές περιστάσεις της διαβίβασης, οι νόμοι στη χώρα προορισμού και οι πρόσθετες εγγυήσεις που έχουν θεσπιστεί για την προστασία των προσωπικών δεδομένων·
- υποχρεώσεις σε περίπτωση πρόσβασης των δημόσιων αρχών στα δεδομένα που έχουν διαβιβαστεί, π.χ. υποχρέωση παροχής πληροφοριών στους εξαγωγείς δεδομένων και αμφισβήτησης παράνομων αιτημάτων.
Δεσμευτικοί Εταιρικοί Κανόνες (ΔΕΚ)
Οι δεσμευτικοί εταιρικοί κανόνες (ΔΕΚ) συμβάλλουν στη διασφάλιση επαρκούς επιπέδου προστασίας των δεδομένων που ανταλλάσσονται μεταξύ εταιρειών εντός του ομίλου εταιρειών που είναι εγκατεστημένες τόσο εντός όσο και εκτός του ΕΟΧ, και είναι καταλληλότεροι για έναν πολυεθνικό όμιλο εταιρειών που πραγματοποιεί μεγάλο αριθμό διαβιβάσεων δεδομένων.
Οι ΔΕΚ είναι εσωτερικοί κανόνες που θεσπίζονται από έναν όμιλο εταιρειών, οι οποίοι καθορίζουν τη συνολική πολιτική τους για τη διαβίβαση προσωπικών δεδομένων. Οι κανόνες αυτοί πρέπει να είναι δεσμευτικοί και να τηρούνται από όλες τις οντότητες του ομίλου, ανεξάρτητα από τις χώρες εγκατάστασής τους. Επιπλέον, πρέπει να παρέχουν ρητώς εκτελεστά δικαιώματα στα φυσικά πρόσωπα όσον αφορά στην επεξεργασία των προσωπικών τους δεδομένων.
Οι προϋποθέσεις που πρέπει να τηρούνται προκειμένου να εγκριθούν οι ΔΕΚ από την αρμόδια ΑΠΔ παρατίθενται στο άρθρο 47 του ΓΚΠΔ και επεξηγούνται περαιτέρω στις συστάσεις που υιοθετήθηκαν από την Ομάδα Εργασίας του Άρθρου 29 και εγκρίθηκαν από το ΕΣΠΔ. Προβλέπεται διαφορετική δέσμη ΔΕΚ για τους υπευθύνους επεξεργασίας και τους εκτελούντες την επεξεργασία.
Διαβάστε περισσότερα
σχετικά με την τυποποιημένη αίτηση για την έγκριση δεσμευτικών εταιρικών κανόνων υπεύθυνου επεξεργασίας για διαβίβαση δεδομένων προσωπικού χαρακτήρα από το ΕΣΠΔ
ΕΣΠΔ
Ομάδα Εργασίας του Άρθρου 29: Σύσταση σχετικά με την έγκριση των δεσμευτικών εταιρικών κανόνων του εκτελούντος την επεξεργασία
Αίθουσα Τύπου της Ευρωπαϊκής Επιτροπής
Κώδικες δεοντολογίας
Ο ΓΚΠΔ εισάγει αυτό το νέο εργαλείο για τη διαβίβαση δεδομένων. Σε αντίθεση με τους ΔΕΚ, οι οποίοι μπορούν να εκπονηθούν απευθείας από μεμονωμένους ομίλους εταιρειών, οι κώδικες δεοντολογίας είναι τομεακοί και αναπτύσσονται από ενώσεις που εκπροσωπούν κατηγορίες οργανισμών. Πρέπει να τεθεί σε εφαρμογή σύστημα διαπιστευμένων φορέων που παρακολουθούν τη συμμόρφωση με τον κώδικα δεοντολογίας. Το ΕΣΠΔ ανέλαβε την πρωτοβουλία να αποσαφηνίσει τους όρους υπό τους οποίους μπορούν να χρησιμοποιούνται και να εγκρίνονται από τις αρμόδιες αρχές κώδικες δεοντολογίας. Επιπλέον, το ΕΣΠΔ είναι επίσης αρμόδιο για τη διασφάλιση της συνεκτικότητας των όρων υπό τους οποίους μπορούν να διαπιστευθούν οι φορείς παρακολούθησης.
Πιστοποίηση
Ο ΓΚΠΔ εισάγει αυτό το νέο εργαλείο για τις διαβιβάσεις δεδομένων σε οργανισμούς που έχουν πιστοποιηθεί από φορείς πιστοποίησης ή ΑΠΔ του ΕΟΧ.
Το ΕΣΠΔ έχει εκδώσει κατευθυντήριες γραμμές για να αποσαφηνίσει τις προϋποθέσεις υπό τις οποίες μπορεί να τεθεί σε εφαρμογή μηχανισμός πιστοποίησης. Το εργαλείο αυτό βρίσκεται ακόμη υπό ανάπτυξη.
Το ΕΣΠΔ είναι επίσης αρμόδιο για τη διασφάλιση της συνεκτικότητας των προϋποθέσεων διαπίστευσης των οργανισμών πιστοποίησης.
Συμβατικές ρήτρες ad hoc
Εάν οι υπεύθυνοι επεξεργασίας ή οι εκτελούντες την επεξεργασία δεδομένων αποφασίσουν να μην χρησιμοποιήσουν τις τυποποιημένες συμβατικές ρήτρες της Ευρωπαϊκής Επιτροπής, μπορούν να συντάξουν τις δικές τους συμβατικές ρήτρες («ρήτρες ad hoc») παρέχοντας επαρκείς εγγυήσεις για την προστασία των δεδομένων. Πριν από οποιαδήποτε διαβίβαση δεδομένων, οι εν λόγω ad hoc συμβατικές ρήτρες πρέπει να εγκρίνονται από την αρμόδια εθνική ΑΠΔ σύμφωνα με το άρθρο 46 παράγραφος 3 στοιχείο α) του ΓΚΠΔ, κατόπιν γνώμης του ΕΣΠΔ.
Διαβάστε περισσότερα
Συμπληρωματικά μέτρα μετά την απόφαση Schrems II
Στην απόφασή του το 2020, C-311/18 (Schrems II), το Δικαστήριο της Ευρωπαϊκής Ένωσης (ΔΕΕ) τόνισε την πιθανή ανάγκη οι οργανισμοί να παρέχουν συμπληρωματικά μέτρα επιπλέον των κατάλληλων εγγυήσεων, κατά τη διαβίβαση προσωπικών δεδομένων εκτός του ΕΟΧ.
Οι ΤΣΡ και άλλα εργαλεία διαβίβασης που αναφέρονται στο άρθρο 46 του ΓΚΠΔ δεν λειτουργούν απομονωμένα. Το ΔΕΕ δήλωσε ότι οι υπεύθυνοι επεξεργασίας ή οι εκτελούντες την επεξεργασία, που ενεργούν ως εξαγωγείς, είναι υπεύθυνοι για την εξακρίβωση, κατά περίπτωση, κατά πόσον η νομοθεσία ή η πρακτική της χώρας που δεν είναι μέλος του ΕΟΧ εμποδίζει, για παράδειγμα, λόγω της νομοθεσίας που επιβάλλει την πρόσβαση στα δεδομένα, την αποτελεσματικότητα των κατάλληλων εγγυήσεων που περιλαμβάνονται στα εργαλεία διαβίβασης του άρθρου 46 του ΓΚΠΔ.
Για να βοηθήσει τους εξαγωγείς να επιτελούν το πολύπλοκο έργο της αξιολόγησης των χωρών που λαμβάνουν τα δεδομένα και του εντοπισμού κατάλληλων συμπληρωματικών μέτρων, όπου χρειάζεται, το ΕΣΠΔ εξέδωσε συστάσεις.
Διαβιβάσεις δεδομένων βάσει παρεκκλίσεων
Εκτός από τις αποφάσεις επάρκειας και τα εργαλεία διαβίβασης του άρθρου 46 του ΓΚΠΔ, ο ΓΚΠΔ περιέχει ένα τρίτο τρόπο που επιτρέπει τη διαβίβαση προσωπικών δεδομένων σε ορισμένες περιπτώσεις. Υπό συγκεκριμένες προϋποθέσεις, ενδέχεται να εξακολουθείτε να είστε σε θέση να διαβιβάζετε προσωπικά δεδομένα βάσει παρέκκλισης που προβλέπεται στο άρθρο 49 του ΓΚΠΔ.
Το άρθρο 49 του ΓΚΠΔ εφαρμόζεται κατ’ εξαίρεση. Οι παρεκκλίσεις πρέπει να ερμηνεύονται κατά τρόπο που δεν αντιβαίνει στην ίδια τη φύση των παρεκκλίσεων ως εξαιρέσεις από τον κανόνα ότι τα προσωπικά δεδομένα δεν δύνανται να διαβιβάζονται σε χώρα εκτός ΕΟΧ, εκτός εάν η εν λόγω χώρα προβλέπει επαρκές επίπεδο προστασίας των δεδομένων ή, εναλλακτικά, έχουν θεσπιστεί κατάλληλες εγγυήσεις. Οι παρεκκλίσεις δεν μπορούν να καταστούν «κανόνας» στην πράξη, αλλά πρέπει να περιορίζονται σε ειδικές περιστάσεις.
Βάσει του άρθρου 49 του ΓΚΠΔ, διαβίβαση ή σύνολο διαβιβάσεων μπορεί να πραγματοποιηθεί όταν η διαβίβαση:
- γίνεται με τη ρητή συγκατάθεση του ατόμου·
- είναι αναγκαία για την εκτέλεση σύμβασης μεταξύ του ατόμου και του οργανισμού ή για τα προσυμβατικά μέτρα που λαμβάνονται κατόπιν αιτήματος του ατόμου·
- είναι αναγκαία για την εκτέλεση σύμβασης που έχει συναφθεί προς το συμφέρον του ατόμου μεταξύ του υπευθύνου επεξεργασίας των δεδομένων και άλλου προσώπου·
- είναι αναγκαία για σημαντικούς λόγους δημόσιου συμφέροντος·
- είναι αναγκαία για τη θεμελίωση, άσκηση ή υπεράσπιση νομικών αξιώσεων·
- είναι αναγκαία για την προστασία των ζωτικών συμφερόντων του εν λόγω ατόμου ή άλλων προσώπων, όταν το άτομο δεν έχει τη φυσική ή νομική ικανότητα να παράσχει τη συγκατάθεσή του· ή
- γίνεται από μητρώο το οποίο, σύμφωνα με το εθνικό δίκαιο χώρας του ΕΟΧ ή το δίκαιο της ΕΕ, αποσκοπεί στην παροχή πληροφοριών στο κοινό (και το οποίο είναι ανοικτό είτε στο κοινό γενικά είτε σε όσους είναι σε θέση να αποδείξουν έννομο συμφέρον για την επιθεώρηση του μητρώου).
Για να αξιολογηθεί ί η αναγκαιότητα της διαβίβασης, πρέπει να προηγηθεί το «τεστ αναγκαιότητας». Το τεστ αυτό επιβάλλει να αξιολογηθεί κατά πόσον η διαβίβαση προσωπικών δεδομένων μπορεί να θεωρηθεί αναγκαία για τον συγκεκριμένο σκοπό της εν λόγω παρέκκλισης.
Όταν καμία από τις ανωτέρω παρεκκλίσεις δεν εφαρμόζεται σε συγκεκριμένη περίπτωση, είναι δυνατή η διαβίβαση δεδομένων για τα επιτακτικά έννομα συμφέροντα του υπευθύνου επεξεργασίας.
Ωστόσο, οι διαβιβάσεις αυτές επιτρέπονται μόνον όταν η διαβίβαση:
- δεν είναι επαναλαμβανόμενη (παρόμοιες διαβιβάσεις δεν πραγματοποιούνται σε τακτική βάση)·
- περιλαμβάνει δεδομένα που αφορούν μόνο περιορισμένο αριθμό ατόμων·
- είναι αναγκαία για τους σκοπούς των επιτακτικών έννομων συμφερόντων του οργανισμού (υπό την προϋπόθεση ότι τα συμφέροντα του ατόμου δεν υπερισχύουν των συμφερόντων αυτών)·
- υπόκειται σε κατάλληλες εγγυήσεις που έχει θεσπίσει ο οργανισμός (υπό το πρίσμα της αξιολόγησης όλων των περιστάσεων που περιβάλλουν τη διαβίβαση) για την προστασία των προσωπικών δεδομένων · και
- δεν γίνεται από δημόσια αρχή κατά την άσκηση της δημόσιας εξουσίας της.
Σε αυτές τις περιπτώσεις, οι οργανισμοί υποχρεούνται να ενημερώνουν την αρμόδια ΑΠΔ για τη διαβίβαση και να παρέχουν πρόσθετες πληροφορίες στα άτομα.
Γενικά, οι παρεκκλίσεις θα πρέπει να χρησιμοποιούνται μόνο ως έσχατη λύση για την πλαισίωση μιας διαβίβασης δεδομένων — οι οργανισμοί θα πρέπει πρώτα να αξιολογούν εάν δεν είναι δυνατή η χρήση απόφασης επάρκειας ή κατάλληλης εγγύησης.
Όταν βασίζεστε στις παρεκκλίσεις του άρθρου 49 του ΓΚΠΔ, πρέπει να έχετε κατά νου ότι οι οργανισμοί που διαβιβάζουν δεδομένα πρέπει επίσης να συμμορφώνονται με άλλες διατάξεις του ΓΚΠΔ (ύπαρξη νομικής βάσης για την κοινοποίηση δεδομένων, την εφαρμογή μέτρων ασφαλείας, αρχή ελαχιστοποίησης των δεδομένων, την υπογραφή σύμβασης εάν ο αποδέκτης είναι εκτελών την επεξεργασία δεδομένων κ.λπ.).