ΜΕΡΟΣ V ΔΙΑΒΙΒΑΣΗ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ ΠΡΟΣ ΤΡΙΤΕΣ ΧΩΡΕΣ Ή ΔΙΕΘΝΕΙΣ ΟΡΓΑΝΙΣΜΟΥΣ
Γενικές αρχές που διέπουν τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα

38.-(1) Κάθε διαβίβαση από αρμόδια αρχή, δεδομένων προσωπικού χαρακτήρα τα οποία υποβάλλονται σε επεξεργασία ή προορίζονται να υποβληθούν σε επεξεργασία μετά τη διαβίβασή τους προς τρίτη χώρα ή διεθνή οργανισμό, συμπεριλαμβανομένων των περαιτέρω διαβιβάσεων προς άλλη τρίτη χώρα ή διεθνή οργανισμό, επιτρέπεται να πραγματοποιηθεί, τηρουμένων των λοιπών διατάξεων του παρόντος Νόμου, μόνον εφόσον πληρούνται οι όροι που ορίζονται στο παρόν Μέρος και ειδικότερα όταν πληρούνται οι πιο κάτω όροι:

(α) Η διαβίβαση είναι αναγκαία για τους σκοπούς που ορίζονται στην παράγραφο (α) του άρθρου 3·

(β) τα δεδομένα προσωπικού χαρακτήρα διαβιβάζονται σε υπεύθυνο επεξεργασίας σε τρίτη χώρα ή διεθνή οργανισμό που αποτελεί αρμόδια αρχή για τους σκοπούς που ορίζονται στην παράγραφο (α) του άρθρου 3·

(γ) σε περίπτωση που τα δεδομένα προσωπικού χαρακτήρα διαβιβάζονται ή καθίστανται διαθέσιμα από άλλο κράτος μέλος, το εν λόγω κράτος μέλος έχει δώσει προηγουμένως την έγκρισή του για τη διαβίβαση σύμφωνα με το εθνικό του δίκαιο·

(δ) η Επιτροπή έχει προβεί σε απόφαση περί επάρκειας όπως προβλέπεται στο άρθρο 39 ή, ελλείψει τέτοιας απόφασης, έχουν παρασχεθεί ή υπάρχουν κατάλληλες εγγυήσεις σύμφωνα με το άρθρο 40 ή, ελλείψει τόσο απόφασης περί επάρκειας όπως προβλέπεται στο άρθρο 39 όσο και κατάλληλων εγγυήσεων σύμφωνα με το άρθρο 40, ισχύουν παρεκκλίσεις για ειδικές καταστάσεις σύμφωνα με το άρθρο 41· και

(ε) σε περίπτωση περαιτέρω διαβίβασης σε άλλη τρίτη χώρα ή διεθνή οργανισμό, η αρμόδια αρχή που διενήργησε την αρχική διαβίβαση ή άλλη αρμόδια αρχή στο ίδιο κράτος μέλος επιτρέπει την περαιτέρω διαβίβαση, αφού λάβει δεόντως υπόψη όλους τους σχετικούς παράγοντες, συμπεριλαμβανομένων της σοβαρότητας του ποινικού αδικήματος, των σκοπών για τους οποίους διαβιβάστηκαν αρχικά τα δεδομένα προσωπικού χαρακτήρα και του επιπέδου προστασίας των δεδομένων προσωπικού χαρακτήρα στην τρίτη χώρα ή τον διεθνή οργανισμό στα οποία διαβιβάζονται περαιτέρω τα δεδομένα προσωπικού χαρακτήρα.

(2) Διαβίβαση χωρίς την προηγούμενη έγκριση άλλου κράτους μέλους, όπως προβλέπεται στην παράγραφο (γ) του εδαφίου (1), επιτρέπεται μόνον εφόσον η διαβίβαση των δεδομένων προσωπικού χαρακτήρα είναι απαραίτητη για την αποτροπή άμεσης και σοβαρής απειλής για τη δημόσια ασφάλεια της Δημοκρατίας ή άλλου κράτους μέλους ή τρίτης χώρας ή για τα ουσιώδη συμφέροντα άλλου κράτους μέλους και η προηγούμενη έγκριση δεν μπορεί να ληφθεί εγκαίρως:

Νοείται ότι, σε τέτοια περίπτωση η αρχή που είναι υπεύθυνη για την παροχή της προηγούμενης έγκρισης ενημερώνεται χωρίς καθυστέρηση.

(3) Όλες οι διατάξεις του παρόντος Μέρους εφαρμόζονται για να εξασφαλιστεί ότι δεν υπονομεύεται το επίπεδο προστασίας των φυσικών προσώπων που διασφαλίζεται δυνάμει των διατάξεων του παρόντος Νόμου.

Διαβιβάσεις με απόφαση περί επάρκειας

39.-(1) Η διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα ή διεθνή οργανισμό, μπορεί να πραγματοποιηθεί εφόσον η Επιτροπή έχει αποφασίσει ότι εξασφαλίζεται επαρκές επίπεδο προστασίας από την τρίτη χώρα, περιοχή ή από έναν ή περισσότερους συγκεκριμένους τομείς εντός της εν λόγω τρίτης χώρας ή από τον εν λόγω διεθνή οργανισμό.

(2) Για την προβλεπόμενη στο εδάφιο (1) διαβίβαση δεν απαιτείται ειδική έγκριση.

(3) Απόφαση της Επιτροπής ότι, μια τρίτη χώρα, μια περιοχή ή ένας ή περισσότεροι συγκεκριμένοι τομείς εντός της εν λόγω τρίτης χώρας ή ένας διεθνής οργανισμός δεν εξασφαλίζει πλέον επαρκές επίπεδο προστασίας, δεν θίγει τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα στην τρίτη χώρα, στην εδαφική περιοχή ή στον ένα ή περισσότερους συγκεκριμένους τομείς εντός της εν λόγω τρίτης χώρας ή στον εν λόγω διεθνή οργανισμό που πραγματοποιήθηκαν στη βάση κατάλληλων εγγυήσεων σύμφωνα με τις διατάξεις του άρθρου 40 ή στη βάση παρεκκλίσεων για ειδικές καταστάσεις σύμφωνα με τις διατάξεις του άρθρου 41.

Διαβιβάσεις που υπόκεινται σε κατάλληλες εγγυήσεις

40.-(1) Ελλείψει απόφασης επάρκειας όπως προβλέπεται στο εδάφιο (1) του άρθρου 39, διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα ή διεθνή οργανισμό μπορεί να πραγματοποιηθεί, εφόσον-

(α) Παρασχέθηκαν κατάλληλες εγγυήσεις όσον αφορά την προστασία δεδομένων προσωπικού χαρακτήρα σε νομικά δεσμευτική πράξη, ή

(β) τηρουμένων των διατάξεων του εδαφίου (7) του άρθρου 30, ο υπεύθυνος επεξεργασίας αξιολόγησε όλες τις περιστάσεις που περιβάλλουν τη διαβίβαση δεδομένων προσωπικού χαρακτήρα και κατέληξε στο συμπέρασμα ότι υπάρχουν κατάλληλες εγγυήσεις όσον αφορά την προστασία των δεδομένων προσωπικού χαρακτήρα.

(2) Ο υπεύθυνος επεξεργασίας ενημερώνει τον Επίτροπο σχετικά με τις κατηγορίες διαβιβάσεων που διενεργήθηκαν δυνάμει των διατάξεων της παραγράφου (β) του εδαφίου (1).

(3) Διαβίβαση που διενεργείται δυνάμει των διατάξεων της παραγράφου (β) του εδαφίου (1) τεκμηριώνεται και η τεκμηρίωση τίθεται στη διάθεση του Επιτρόπου, κατόπιν αιτήματός του, και περιλαμβάνει την ημερομηνία και τον χρόνο της διαβίβασης, πληροφορίες σχετικά με την αρμόδια αρχή αποδοχής, την αιτιολόγηση της διαβίβασης και τα διαβιβαζόμενα δεδομένα προσωπικού χαρακτήρα.

Παρεκκλίσεις για ειδικές καταστάσεις

41.-(1) Ελλείψει απόφασης περί επάρκειας όπως προβλέπεται στο άρθρο 39 ή κατάλληλων εγγυήσεων όπως προβλέπεται στο άρθρο 40, διαβίβαση ή κατηγορία διαβιβάσεων δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα ή διεθνή οργανισμό μπορεί να πραγματοποιηθεί μόνον εφόσον η διαβίβαση είναι αναγκαία-

(α) Για την προστασία των ζωτικών συμφερόντων του υποκειμένου των δεδομένων ή άλλου προσώπου,

(β) για την προστασία έννομων συμφερόντων του υποκειμένου των δεδομένων, σύμφωνα με την οικεία νομοθεσία, νοουμένου ότι, η διαβίβαση δεν παρακωλύει το έργο της διαβιβάζουσας αρμόδιας αρχής στην συγκεκριμένη περίπτωση,

(γ) για την πρόληψη άμεσης και σοβαρής απειλής για τη δημόσια ασφάλεια ή την εθνική ασφάλεια της Δημοκρατίας ή τρίτης χώρας,

(δ) σε μεμονωμένες περιπτώσεις για τους σκοπούς που ορίζονται στην παράγραφο (α) του άρθρου 3, ή

(ε) σε μεμονωμένη περίπτωση για τη θεμελίωση, την άσκηση ή την υπεράσπιση νομικών αξιώσεων οι οποίες σχετίζονται με τους σκοπούς που ορίζονται στην παράγραφο (α) του άρθρου 3.

(2) Τα δεδομένα προσωπικού χαρακτήρα δεν διαβιβάζονται εάν η διαβιβάζουσα αρμόδια αρχή κρίνει ότι τα θεμελιώδη δικαιώματα και ελευθερίες του σχετικού υποκειμένου των δεδομένων υπερισχύουν του δημοσίου συμφέροντος για τις προβλεπόμενες στις παραγράφους (δ) και (ε) του εδαφίου (1) διαβιβάσεις.

(3) Διαβίβαση που διενεργείται δυνάμει των διατάξεων του εδαφίου (1) τεκμηριώνεται και η τεκμηρίωση τίθεται στη διάθεση του Επιτρόπου, κατόπιν αιτήματός του, και περιλαμβάνει την ημερομηνία και το χρόνο της διαβίβασης, πληροφορίες σχετικά με την αρμόδια αρχή αποδοχής, την αιτιολόγηση της διαβίβασης και τα διαβιβαζόμενα δεδομένα προσωπικού χαρακτήρα.

Διαβίβαση δεδομένων προσωπικού χαρακτήρα προς αποδέκτες εγκατεστημένους σε τρίτες χώρες

42.-(1) Κατά παρέκκλιση από τις διατάξεις της παραγράφου (β) του εδαφίου (1) του άρθρου 38 και με την επιφύλαξη τυχόν διεθνούς συμφωνίας που αναφέρεται στο εδάφιο (2) του παρόντος άρθρου, οι αρμόδιες αρχές δύνανται, σε μεμονωμένες και ειδικές περιπτώσεις, να διαβιβάζουν δεδομένα προσωπικού χαρακτήρα απευθείας προς αποδέκτες εγκατεστημένους σε τρίτες χώρες αλλά μόνον όταν τηρούνται οι άλλες διατάξεις του παρόντος Νόμου και πληρούνται όλοι οι ακόλουθοι όροι:

(α) Η διαβίβαση είναι απολύτως απαραίτητη για την εκτέλεση καθήκοντος της διαβιβάζουσας αρμόδιας αρχής, όπως προβλέπεται από το ενωσιακό δίκαιο ή την οικεία νομοθεσία για τους σκοπούς που ορίζονται στην παράγραφο (α) του άρθρου 3·

(β) η διαβιβάζουσα αρμόδια αρχή κρίνει ότι τα θεμελιώδη δικαιώματα και οι ελευθερίες του σχετικού υποκειμένου των δεδομένων δεν υπερισχύουν του δημοσίου συμφέροντος που απαιτεί τη διαβίβαση στη συγκεκριμένη περίπτωση·

(γ) η διαβιβάζουσα αρμόδια αρχή θεωρεί ότι η διαβίβαση προς αρχή αρμόδια για τους σκοπούς που ορίζονται στην παράγραφο (α) του άρθρου 3, στην τρίτη χώρα, είναι αναποτελεσματική ή ακατάλληλη, ιδίως διότι δεν μπορεί να επιτευχθεί σε εύθετο χρόνο·

(δ) η αρχή που είναι αρμόδια για τους σκοπούς που ορίζονται στην παράγραφο (α) του άρθρου 3, στην τρίτη χώρα, ενημερώνεται χωρίς αδικαιολόγητη καθυστέρηση εκτός εάν αυτό είναι αναποτελεσματικό ή ακατάλληλο· και

(ε) η διαβιβάζουσα αρμόδια αρχή ενημερώνει τον αποδέκτη για τον συγκεκριμένο σκοπό ή σκοπούς για τους οποίους τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία από τον τελευταίο αυτό υπό τον όρο ότι η εν λόγω επεξεργασία είναι απαραίτητη.

(2) Η αναφερόμενη στο εδάφιο (1) διεθνής συμφωνία δύναται να είναι οποιαδήποτε ισχύουσα διμερής ή πολυμερής διεθνής συμφωνία μεταξύ της Δημοκρατίας και τρίτων χωρών στον τομέα της δικαστικής συνεργασίας σε ποινικές υποθέσεις και της αστυνομικής συνεργασίας.

(3) Κάθε διαβίβαση που διενεργείται δυνάμει των διατάξεων του εδαφίου (1) τεκμηριώνεται.

(4) Η διαβιβάζουσα αρμόδια αρχή ενημερώνει τον Επίτροπο, σχετικά με τις διαβιβάσεις δυνάμει των διατάξεων του παρόντος άρθρου, καθώς και για την προβλεπόμενη στο εδάφιο (3) τεκμηρίωσή τους.

Διεθνής συνεργασία Επιτρόπου για την προστασία δεδομένων προσωπικού χαρακτήρα

43. Ο Επίτροπος δύναται, για σκοπούς εκτέλεσης των καθηκόντων του δυνάμει των διατάξεων του παρόντος Νόμου να συνομολογεί μνημόνια διεθνούς συνεργασίας με αντίστοιχες αρμόδιες αρχές τρίτων χωρών με σκοπό-

(α) Την ανάπτυξη μηχανισμών διεθνούς συνεργασίας για τη διευκόλυνση της αποτελεσματικής επιβολής της νομοθεσίας σχετικά με την προστασία δεδομένων προσωπικού χαρακτήρα,

(β) την παροχή διεθνούς αμοιβαίας συνδρομής για την εφαρμογή της νομοθεσίας σχετικά με την προστασία δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων, μέσω γνωστοποίησης, διαβίβασης καταγγελιών, συνδρομής σε έρευνες και ανταλλαγής πληροφοριών, με την επιφύλαξη κατάλληλων εγγυήσεων για την προστασία δεδομένων προσωπικού χαρακτήρα και άλλων θεμελιωδών δικαιωμάτων και ελευθεριών,

(γ) τη συμμετοχή των εκάστοτε ενδιαφερομένων σε συζητήσεις και δραστηριότητες με στόχο την προώθηση της διεθνούς συνεργασίας για την εφαρμογή της νομοθεσίας σχετικά με την προστασία δεδομένων προσωπικού χαρακτήρα,

(δ) την προώθηση της ανταλλαγής και της τεκμηρίωσης της νομοθεσίας και της πρακτικής που αφορούν στην προστασία δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων για θέματα συγκρούσεων δικαιοδοσίας με τρίτες χώρες.