Σύμφωνα με τον Νέο Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR) (άρθρα 46,48,49) οι διεθνείς διαβιβάσεις δεδομένων προσωπικού χαρακτήρα γίνονται, βάσει απόφαση επάρκειας, βάσει καταλλήλων εγγυήσεων χωρίς ειδική άδεια της Αρχής, βάσει καταλλήλων εγγυήσεων με ειδική άδεια της Αρχής, βάσει παρεκκλίσεων για ειδικές καταστάσεις

1. Διαβίβαση βάσει απόφαση επάρκειας (άρθρο 46)

Η διαβίβαση δεδομένων προσωπικού χαρακτήρα, γίνεται χωρίς ειδική άδεια, όρους, ή  περιορισμούς, μόνο όταν το έχει αποφασίσει η Επιτροπή. Όταν δηλαδή έχει δεχθεί  ότι η τρίτη χώρα, ή ο διεθνής οργανισμός εξασφαλίζει επαρκές επίπεδο ασφαλούς επεξεργασίας των προσωπικών δεδομένων. Μέχρι σήμερα, η Επιτροπή έχει εκδώσει 12 αποφάσεις επάρκειας για τις εξής χώρες. Ανδόρα, Αργεντική, Καναδά, νήσους Φερόες, Γκέρνσεϊ, Ισραήλ, νήσο του Μαν, Τζέρσεϊ, Νέα Ζηλανδία, Ελβετία, Ουρουγουάη και ΗΠΑ (μόνο στο πλαίσιο του Privacy Shield). Βρίσκονται σε εξέλιξη συνομιλίες για την επικαιροποίηση και έκδοση αποφάσεων επάρκειας για την Ιαπωνία και τη Νότιο Κορέα.

2. Διαβίβαση, βάσει καταλλήλων εγγυήσεων χωρίς ειδική άδεια της Αρχής (άρθρο 46).

Σε περίπτωση που δεν υπάρχει απόφαση επάρκειας, η διαβίβαση μπορεί να γίνει με την παροχή κατάλληλων εγγυήσεων. Τις κατάλληλες εγγυήσεις τις παράσχει ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία. Όπου υφίστανται κατάλληλες εγγυήσεις δεν απαιτείται ειδική άδεια της Αρχής.

Κατάλληλες εγγυήσεις αποτελούν 

α) Η διαβίβαση με βάση δεσμευτικούς εταιρικούς κανόνες (BCR)  

Σημείωση

Τα Binding Corporate Rules (BCR) είναι το εργαλείο που δίνει τη δυνατότητα σε ομίλους εταιριών, να διαβιβάζουν προσωπικά δεδομένα από εταιρείες του ομίλου που είναι εγκατεστημένες στην Ε.Ε, σε εταιρίες του ομίλου που είναι εγκατεστημένες σε τρίτες χώρες (εκτός της Ε.Ε), οι οποίες δεν εξασφαλίζουν ικανοποιητικό επίπεδο προστασίας. Για χρησιμοποιηθούν τα BCR ως νομική βάση για τη διαβίβαση δεδομένων εκτός Ε.Ε. πρέπει κάθε κράτος-μέλος, από το οποίο θα γίνεται η διαβίβαση, να εγκρίνει τα BCR. Τα BCR εγκρίνονται πλέον σε ευρωπαϊκό επίπεδο, σύμφωνα με τον μηχανισμό συνεκτικότητας και δεν απαιτείται έκδοση εθνικής άδειας. Οι διαβιβάσεις που γίνονται ήδη με βάση BCR εγκεκριμένα κατά την Οδηγία 95/46 πρέπει να τροποποιηθούν, ώστε να είναι συμβατά με τον Κανονισμό.

β) Η διαβίβαση με συμβατική ρύθμιση με τον αποδέκτη των δεδομένων.

Χρησιμοποιούνται τυποποιημένες συμβατικές ρήτρες, που έχουν λάβει την έγκριση της Επιτροπής.

γ) Η διαβίβαση με την τήρηση ενός Κώδικα Δεοντολογίας, ή μηχανισμού Πιστοποίησης. Απαιτείται η λήψη δεσμευτικών και εκτελεστών δεσμεύσεων από τον αποδέκτη, σχετικά με την εφαρμογή των κατάλληλων εγγυήσεων για την προστασία των δεδομένων που διαβιβάζονται.

δ) Η διαβίβαση με βάση ένα νομικά δεσμευτικό και εκτελεστό μέσο μεταξύ δημόσιων αρχών, ή φορέων

3. Διαβίβαση, βάσει καταλλήλων εγγυήσεων με ειδική άδεια της Αρχής (άρθρο 46).

Κατάλληλες εγγυήσεις αποτελούν, με την προϋπόθεση χορήγησης προηγούμενης ειδικής άδειας της εποπτικής αρχής

α) Η διαβίβαση μέσω συμβατικών ρητρών, μεταξύ του υπευθύνου επεξεργασίας, ή του εκτελούντος την επεξεργασία, και του αντιστοίχου των στην τρίτη χώρα, ή διεθνή οργανισμό.

β) Η διαβίβαση μέσω διατάξεων, προς συμπερίληψη σε διοικητικές ρυθμίσεις, μεταξύ δημόσιων αρχών, ή φορέων, οι οποίες περιλαμβάνουν εκτελεστά και ουσιαστικά δικαιώματα υποκειμένων των δεδομένων.

4. Διαβίβαση, βάσει παρεκκλίσεων για ειδικές καταστάσεις ( άρθρο 49)

α. Χωρίς άδεια της εποπτικής αρχής.

Σύμφωνα με το άρθρο 49 του Κανονισμού, ελλείψει απόφασης επάρκειας δυνάμει του άρθρου 45, ή κατάλληλων εγγυήσεων δυνάμει του άρθρου 46, οι διαβιβάσεις δεδομένων σε τρίτη χώρα μπορούν να λάβουν χώρα, χωρίς άδεια της εποπτικής αρχής, μόνο, όταν 

α. το υποκείμενο έχει ρητώς συγκατατεθεί στη συγκεκριμένη διαβίβαση, αφού προηγουμένως έχει ενημερωθεί για πιθανούς κινδύνους μιας τέτοιας διαβίβασης.

β. η διαβίβαση είναι απαραίτητη για τη σύναψη, ή εκτέλεση, σύμβασης, συναφθείσας προς όφελος του υποκειμένου.

γ. η διαβίβαση είναι απαραίτητη προκειμένου να προστατευθούν ζωτικά συμφέροντα του υποκειμένου, ή άλλων προσώπων, όταν το υποκείμενο είναι ανίκανο να δώσει συγκατάθεση.

δ. εάν τα διαβιβαζόμενα δεδομένα λαμβάνονται από μητρώο ανοιχτό στο κοινό.

ε. η διαβίβαση είναι απαραίτητη για την θεμελίωση, άσκηση, ή υπεράσπιση, νομικών αξιώσεων.

στ. η διαβίβαση είναι απαραίτητη για (σπουδαίους) λόγους δημοσίου συμφέροντος που αναγνωρίζονται, είτε στη νομοθεσία της ΕΕ, είτε στη νομοθεσία κράτους-μέλους στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας.

β. Εντελώς εξαιρετικά, με άδεια της εποπτικής αρχής και ενημέρωση του υποκειμένου.

Στην περίπτωση που καμία από τις ως άνω νομικές βάσεις δεν εφαρμόζεται, η διαβίβαση μπορεί να πραγματοποιηθεί όταν μόνο, όταν  συντρέχουν σωρευτικά οι παρακάτω προϋποθέσεις, με προηγούμενη ενημέρωση της εποπτικής αρχής και του υποκειμένου.

α. δεν εκτελείται από δημόσια αρχή, κατά την άσκηση των δημόσιων εξουσιών της.

β. δεν είναι επαναλαμβανόμενη.

γ. αφορά μόνο περιορισμένο αριθμό υποκειμένων.

δ. είναι απαραίτητη για τους σκοπούς «επιτακτικών έννομων συμφερόντων» του υπευθύνου επεξεργασίας, από τα οποία δεν υπερισχύουν τα συμφέροντα, ή τα δικαιώματα του υποκειμένου, και

ε. ο υπεύθυνος επεξεργασίας έχει παράσχει τις κατάλληλες διασφαλίσεις για τα διαβιβαζόμενα δεδομένα.

5. Διαβιβάσεις σε δικαστήριο, ή διοικητική αρχή, τρίτης χώρας (άρθρο 48)

Οι διαβιβάσεις σε δικαστήριο ή διοικητική αρχή, τρίτης χώρας, που απαιτεί από υπεύθυνο επεξεργασίας, ή εκτελούντα την επεξεργασία, να διαβιβάσει ή να κοινοποιήσει προσωπικά δεδομένα, είναι επιτρεπτές, μόνον εφ όσον οι αποφάσεις των αλλοδαπών αρχών βασίζονται σε διεθνή συμφωνία (όπως σύμβαση αμοιβαίας δικαστικής συνδρομής), που ισχύει μεταξύ της αιτούσας τρίτης χώρας και της Ε.Ε, ή κράτους-μέλους, με την επιφύλαξη άλλων λόγων διαβίβασης.