Evropski odbor za varstvo podatkov

Evropski odbor za varstvo podatkov - 41. plenarno zasedanje: Evropski odbor za varstvo podatkov je sprejel priporočila o dopolnilnih ukrepih v skladu s sodbo Schrems II

Wednesday, 11 November, 2020

Bruselj, dne 11. 11. 2020 — Evropski odbor za varstvo podatkov je na 41. plenarnem zasedanju sprejel priporočila o ukrepih, ki dopolnjujejo orodja za prenos podatkov, katerih namen je zagotovitev skladnosti z ravnjo varstva osebnih podatkov v EU, ter priporočila o evropskih temeljnih jamstvih.

Oba dokumenta sta bila sprejeta na podlagi sodbe Sodišča EU v zadevi Schrems II. V skladu s sodbo z dne 16. 7. 2020 morajo upravljavci, ki uporabljajo standardne pogodbene klavzule (SPK), za vsak primer posebej in po potrebi v sodelovanju s prejemnikom podatkov v tretji državi preveriti, ali pravo tretje države zagotavlja raven varstva prenesenih podatkov, ki je v bistvenem enakovredna ravni, zagotovljeni v Evropskem gospodarskem prostoru (EGP). Sodišče EU je izvoznikom osebnih podatkov dovolilo, da, kadar zaščitni ukrepi iz SPK ne zadostujejo, sprejmejo dopolnilne ukrepe, ki dopolnjujejo SPK, z namenom, da bi zagotovili učinkovito skladnost z navedeno ravnjo varstva podatkov.

Namen priporočil je pomagati upravljavcem in obdelovalcem, ki izvažajo osebne podatkov, pri njihovih dolžnostih glede opredelitve in izvedbe ustreznih dopolnilnih ukrepov, kadar so ti potrebni za zagotovitev bistveno enakovredne ravni varstva podatkov, ki jih prenašajo v tretje države. Pri tem si Evropski odbor za varstvo podatkov prizadeva za dosledno uporabo Splošne uredbe o varstvu podatkov in sodbe Sodišča EU v celotnem EGP.

Predsednica Evropskega odbora za varstvo podatkov Andrea Jelinek je povedala: „Evropski odbor za varstvo podatkov se povsem zaveda vpliva sodbe v zadevi Schrems II, ki jih ta ima na tisoče podjetij v EU, in pomembne odgovornosti, ki jo nalaga izvoznikom podatkov. Evropski odbor za varstvo podatkov upa, da bodo ta priporočila izvoznikom podatkov pomagala pri opredelitvi in izvajanju učinkovitih dopolnilnih ukrepov, kjer so ti potrebni. Naš cilj je omogočiti zakonite prenose osebnih podatkov v tretje države, ob tem pa zagotoviti, da se prenesenim podatkom zagotovi raven varstva, ki je v bistvenem enakovredna tisti, zagotovljeni v EGP.“

Priporočila opisujejo korake, ki jih morajo izvozniki podatkov upoštevati pri ugotavljanju, ali je treba za zakonit prenos podatkov iz EGP v tretje države uvesti dopolnilne ukrepe, in pri opredelitvi ukrepov, ki bi bili v danem primeru učinkoviti. V pomoč izvoznikom podatkov priporočila vsebujejo tudi neizčrpen seznam primerov dopolnilnih ukrepov in nekaterih pogojev, ki bi morali biti izpolnjeni.

Ne glede na to pa so na koncu izvozniki podatkov odgovorni za izvedbo konkretne presoje glede prenosov, prava tretje države in orodja, na podlagi katerega prenašajo podatki. Izvozniki podatkov morajo pri tem ravnati s potrebno skrbnostjo in temeljito dokumentirati svoj postopek, saj bodo v skladu z načelom odgovornosti iz Splošne uredbe o varstvu podatkov odgovorni za svoje odločitve, ki jih v zvezi s tem sprejmejo. Poleg tega bi se morali izvozniki podatkov zavedeti, da v vsakem primeru morda ne bo mogoče izvesti zadostnih dopolnilnih ukrepov.

Priporočila o dopolnilnih ukrepih bodo predložena v javno obravnavo. Začnejo se uporabljati takoj po njihovi objavi.

Poleg tega je Evropski odbor za varstvo podatkov sprejel tudi priporočila o evropskih temeljnih jamstvih glede ukrepov nadzora. Priporočila o evropskih temeljnih jamstvih dopolnjujejo priporočila o dopolnilnih ukrepih. Priporočila o evropskih temeljnih jamstvih izvoznikom podatkov pojasnjujejo elemente, s katerimi lahko ugotovijo, ali je pravni okvir, ki ureja dostop javnih organov v tretjih državah do podatkov za namene nadzora, mogoče šteti za upravičen poseg v pravico do zasebnosti in pravico do varstva osebnih podatkov in posledično ne predstavlja posega v obveznosti iz člena 46 Splošne uredbe o varstvu podatkov, ki jih imata izvoznik in uvoznik pri uporabi določenega mehanizma za prenos.

Predsednica je dodala: „Posledice sodbe v zadevi Schrems II zajemajo vse prenose v tretje države. Zato ni hitrih rešitev in niti enotne rešitve za vse prenose, saj je treba upoštevati velike raznolikosti položajev, s katerimi se soočajo izvozniki podatkov. Izvozniki podatkov bodo morali oceniti svoje postopke obdelave podatkov in prenose ter sprejeti učinkovite ukrepe upoštevajoč pravni red tretjih držav, v katere prenašajo ali nameravajo prenašati podatke.“

Nadzorni organi za varstvo podatkov v EGP bodo še naprej z namenom zagotavljanja skladne uporabe zakonodaje EU o varstvu podatkov usklajevali svoje ukrepe v okviru Evropskega odbora za varstvo podatkov.

Opomba urednikom: opozoriti je treba,
da se za vse dokumente, sprejete na plenarnem zasedanju Evropskega odbora za varstvo podatkov, opravijo potrebni pravni, jezikovni in oblikovni pregledi ter da bodo ti dokumenti, ko bodo dokončani, na voljo na spletnem mestu Evropskega odbora za varstvo podatkov.

EDPB_Press Release_2020_18