|
17.12.2016 |
EL |
Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης |
L 344/100 |
ΕΚΤΕΛΕΣΤΙΚΉ ΑΠΌΦΑΣΗ (ΕΕ) 2016/2297 ΤΗΣ ΕΠΙΤΡΟΠΉΣ
της 16ης Δεκεμβρίου 2016
για την τροποποίηση των αποφάσεων 2001/497/ΕΚ και 2010/87/ΕΕ σχετικά με τις τυποποιημένες συμβατικές ρήτρες για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες και σε εκτελούντες επεξεργασία εγκατεστημένους σε τρίτες χώρες βάσει της οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου
[κοινοποιηθείσα υπό τον αριθμό C(2016) 8471]
(Κείμενο που παρουσιάζει ενδιαφέρον για τον ΕΟΧ)
Η ΕΥΡΩΠΑΪΚΗ ΕΠΙΤΡΟΠΗ,
Έχοντας υπόψη τη Συνθήκη για τη λειτουργία της Ευρωπαϊκής Ένωσης,
Έχοντας υπόψη την οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών (1), και ιδίως το άρθρο 26 παράγραφος 4,
Κατόπιν διαβούλευσης με τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων,
Εκτιμώντας τα ακόλουθα:
|
(1) |
Στην απόφασή του της 6ης Οκτωβρίου 2015 στην υπόθεση C-362/14, Maximillian Schrems κατά Data Protection Commissioner (2), το Δικαστήριο της Ευρωπαϊκής Ένωσης έκρινε ότι η Επιτροπή, θεσπίζοντας το άρθρο 3 της απόφασης 2000/520/ΕΚ (3), υπερέβη τις αρμοδιότητες που της απένειμε το άρθρο 25 παράγραφος 6 της οδηγίας 95/46/ΕΚ υπό το πρίσμα του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης και κήρυξε το άρθρο 3 της εν λόγω απόφασης ανίσχυρο. |
|
(2) |
Το άρθρο 3 παράγραφος 1 πρώτο εδάφιο της απόφασης 2000/520/ΕΚ προέβλεπε περιοριστικές προϋποθέσεις υπό τις οποίες οι εθνικές αρχές ελέγχου μπορούσαν να αποφασίσουν την αναστολή της ροής δεδομένων προς αυτοπιστοποιημένη εταιρεία των ΗΠΑ, παρά τη διαπίστωση της Επιτροπής περί ικανοποιητικού επιπέδου προστασίας. |
|
(3) |
Στην απόφασή του στην υπόθεση Schrems, το Δικαστήριο διευκρίνισε ότι οι εθνικές αρχές ελέγχου παραμένουν αρμόδιες να ελέγχουν τη διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα για την οποία η Επιτροπή έχει αποφανθεί ότι εξασφαλίζει ικανοποιητικό επίπεδο προστασίας, και ότι η Επιτροπή δεν έχει την εξουσία να περιορίσει τις αρμοδιότητες των εν λόγω εθνικών αρχών που απορρέουν από το άρθρο 28 της οδηγίας 95/46/ΕΚ. Σύμφωνα δε με το άρθρο αυτό, οι εν λόγω αρχές διαθέτουν, ιδίως, μέσα για τη διεξαγωγή έρευνας, όπως το δικαίωμα να συλλέγουν κάθε αναγκαία πληροφορία για την εκπλήρωση της αποστολής τους ελέγχου, αποτελεσματικές εξουσίες παρέμβασης, όπως την εξουσία να απαγορεύουν προσωρινά ή οριστικά την επεξεργασία δεδομένων, καθώς και την εξουσία να παρίστανται ενώπιον δικαστηρίου (4). |
|
(4) |
Στην ίδια απόφασή του, το Δικαστήριο υπενθύμισε ότι, σύμφωνα με το άρθρο 25 παράγραφος 6 δεύτερο εδάφιο της οδηγίας 95/46/ΕΚ, τα κράτη μέλη και τα όργανά τους πρέπει να λαμβάνουν τα αναγκαία μέτρα προκειμένου να συμμορφωθούν με τις πράξεις των θεσμικών οργάνων της Ένωσης, καθώς υπέρ των πράξεων αυτών υφίσταται, καταρχήν, τεκμήριο νομιμότητας, οι πράξεις δε αυτές παράγουν έννομα αποτελέσματα, εφόσον δεν έχουν ανακληθεί, ακυρωθεί κατόπιν προσφυγής ακύρωσης ή κριθεί ανίσχυρες κατόπιν προδικαστικής παραπομπής ή κατόπιν ένστασης έλλειψης νομιμότητας. |
|
(5) |
Κατ' αναλογία, απόφαση της Επιτροπής που έχει εκδοθεί βάσει του άρθρου 26 παράγραφος 4 της οδηγίας 95/46/ΕΚ είναι δεσμευτική για όλα τα όργανα των κρατών μελών στα οποία απευθύνεται, περιλαμβανομένων των ανεξάρτητων εποπτικών αρχών τους, στο μέτρο που έχει ως αποτέλεσμα την αναγνώριση ότι οι διαβιβάσεις που πραγματοποιούνται βάσει των τυποποιημένων συμβατικών ρητρών που προβλέπονται στην οικεία απόφαση παρέχουν τις επαρκείς εγγυήσεις που απαιτούνται από το άρθρο 26 παράγραφος 2 της ως άνω οδηγίας. Το γεγονός αυτό δεν κωλύει τις εθνικές αρχές ελέγχου να ασκούν τις αρμοδιότητές τους ελέγχου των ροών δεδομένων, συμπεριλαμβανομένης της εξουσίας τους να αναστέλλουν ή να απαγορεύουν τη διαβίβαση δεδομένων προσωπικού χαρακτήρα όταν κρίνουν ότι η διαβίβαση πραγματοποιείται κατά παράβαση της ενωσιακής ή της εθνικής νομοθεσίας για την προστασία των δεδομένων, όπως, για παράδειγμα, όταν ο εισαγωγέας των δεδομένων δεν τηρεί τις τυποποιημένες συμβατικές ρήτρες. |
|
(6) |
Οι αποφάσεις της Επιτροπής 2001/497/ΕΚ (5) και 2010/87/ΕΕ (6) περιλαμβάνουν έναν περιορισμό των αρμοδιοτήτων των εθνικών αρχών ελέγχου ο οποίος είναι αντίστοιχος με αυτόν του άρθρου 3 παράγραφος 1 πρώτο εδάφιο της απόφασης 2000/520/ΕΚ, διάταξη που το Δικαστήριο έκρινε ανίσχυρη. |
|
(7) |
Κατά συνέπεια, υπό το πρίσμα της απόφασης στην υπόθεση Schrems και σύμφωνα με το άρθρο 266 της Συνθήκης, οι διατάξεις των εν λόγω αποφάσεων που περιορίζουν τις αρμοδιότητες των εθνικών αρχών ελέγχου θα πρέπει να αντικατασταθούν. |
|
(8) |
Προκειμένου να διευκολυνθεί η αποτελεσματική παρακολούθηση της λειτουργίας των αποφάσεων σχετικά με τις τυποποιημένες συμβατικές ρήτρες που ισχύουν σήμερα, η Επιτροπή θα πρέπει να ενημερωθεί από τα κράτη μέλη για τα σχετικά μέτρα που τυχόν έχουν λάβει οι εθνικές αρχές ελέγχου. |
|
(9) |
Η ομάδα προστασίας των προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, η οποία συστάθηκε δυνάμει του άρθρου 29 της οδηγίας 95/46/ΕΚ, διατύπωσε τη γνώμη της, η οποία λήφθηκε υπόψη κατά την κατάρτιση της παρούσας απόφασης. |
|
(10) |
Τα μέτρα που προβλέπονται στην παρούσα απόφαση συνάδουν προς τη γνώμη της επιτροπής που συστάθηκε βάσει του άρθρου 31 παράγραφος 1 της οδηγίας 95/46/ΕΚ. |
|
(11) |
Συνεπώς, οι αποφάσεις 2001/497/ΕΚ και 2010/87/ΕΕ θα πρέπει να τροποποιηθούν αναλόγως, |
ΕΞΕΔΩΣΕ ΤΗΝ ΠΑΡΟΥΣΑ ΑΠΟΦΑΣΗ:
Άρθρο 1
Το άρθρο 4 της απόφασης 2001/497/ΕΚ αντικαθίσταται από το ακόλουθο κείμενο:
«Άρθρο 4
Όταν αρμόδια αρχή κράτους μέλους ασκεί τις εξουσίες της βάσει του άρθρου 28 παράγραφος 3 της οδηγίας 95/46/ΕΚ για να αναστείλει ή να απαγορεύσει οριστικά ροή δεδομένων προς τρίτη χώρα προς τον σκοπό της προστασίας φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα που τα αφορούν, το οικείο κράτος μέλος ενημερώνει, χωρίς καθυστέρηση, την Επιτροπή, η οποία διαβιβάζει τις σχετικές πληροφορίες στα λοιπά κράτη μέλη.».
Άρθρο 2
Το άρθρο 4 της απόφασης 2010/87/ΕΕ αντικαθίσταται από το ακόλουθο κείμενο:
«Άρθρο 4
Όταν αρμόδια αρχή κράτους μέλους ασκεί τις εξουσίες της βάσει του άρθρου 28 παράγραφος 3 της οδηγίας 95/46/ΕΚ για να αναστείλει ή να απαγορεύσει οριστικά ροή δεδομένων προς τρίτη χώρα προς τον σκοπό της προστασίας φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα που τα αφορούν, το οικείο κράτος μέλος ενημερώνει, χωρίς καθυστέρηση, την Επιτροπή, η οποία διαβιβάζει τις σχετικές πληροφορίες στα λοιπά κράτη μέλη.».
Άρθρο 3
Η παρούσα απόφαση απευθύνεται στα κράτη μέλη.
Βρυξέλλες, 16 Δεκεμβρίου 2016.
Για την Επιτροπή
Věra JOUROVÁ
Μέλος της Επιτροπής
(1) ΕΕ L 281 της 23.11.1995, σ. 31.
(2) ECLI:EU:C:2015:650.
(3) Απόφαση 2000/520/ΕΚ της Επιτροπής, της 26ης Ιουλίου 2000, βάσει της οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με την επάρκεια της προστασίας που παρέχεται από τις αρχές ασφαλούς λιμένα για την προστασία της ιδιωτικής ζωής και τις συναφείς συχνές ερωτήσεις που εκδίδονται από το Υπουργείο Εμπορίου των ΗΠΑ (ΕΕ L 215 της 25.8.2000, σ. 7).
(4) Απόφαση στην υπόθεση Schrems, σκέψεις 40 και επόμενες, 101-103.
(5) Απόφαση 2001/497/ΕΚ της Επιτροπής, της 15ης Ιουνίου 2001, σχετικά με τις τυποποιημένες συμβατικές ρήτρες για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες δυνάμει του άρθρου 26 παράγραφος 4 της οδηγίας 95/46/ΕΚ (ΕΕ L 181 της 4.7.2001, σ. 19).
(6) Απόφαση 2010/87/ΕΕ της Επιτροπής, της 5ης Φεβρουαρίου 2010, σχετικά με τις τυποποιημένες συμβατικές ρήτρες για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε εκτελούντες επεξεργασία εγκατεστημένους σε τρίτες χώρες βάσει της οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (ΕΕ L 39 της 12.2.2010, σ. 5).