Prijenosi osobnih podataka u zemlje izvan Europskog gospodarskog prostora (EGP) često su ključni za međunarodnu trgovinu ili suradnju. Vaš MSP možda će morati prenijeti osobne podatke u zemlju izvan EGP-a tijekom svojih aktivnosti, na primjer, kada trebate dijeliti osobne podatke sa svojim poslovnim partnerima ili s dobavljačima sa sjedištem izvan EGP-a.
Opća uredba o zaštiti podataka sadržava posebne odredbe za takve prijenose. S tim odredbama Opća uredba o zaštiti podataka ima za cilj zajamčiti jednaku razinu zaštite kao i prijenos osobnih podataka na one koje uživaju unutar EGP-a.
Kada dolazi do prijenosa osobnih podataka izvan EGP-a?
U Općoj uredbi o zaštiti podataka ne navodi se definicija takvih prijenosa. Međutim, Europski odbor za zaštitu podataka utvrdio je sljedeća tri kumulativna kriterija za utvrđivanje prijenosa izvan EGP-a:
- voditelj obrade ili izvršitelj obrade podliježe Općoj uredbi o zaštiti podataka za predmetnu obradu;
- taj voditelj obrade ili izvršitelj obrade otkriva prijenosom ili na drugi način stavlja osobne podatke na raspolaganje drugoj organizaciji (voditelju obrade ili izvršitelju obrade);
- ova druga organizacija nalazi se u zemlji izvan EGP-a ili je međunarodna organizacija.
Kako prenijeti osobne podatke izvan EGP-a?
Ukratko, Općom uredbom o zaštiti podataka uvode se ograničenja prijenosa osobnih podataka izvan EGP-a, zemljama izvan EGP-a ili međunarodnim organizacijama kako bi se osiguralo da razina zaštite pojedinaca zajamčena Općom uredbom o zaštiti podataka ostane ista.
Osobni podaci mogu se prenositi izvan EGP-a samo u skladu s uvjetima za takve prijenose utvrđenima u poglavlju V. Opće uredbe o zaštiti podataka.
Uvjeti za prijenose moraju se poštovati uz opću usklađenost s drugim pravilima Opće uredbe o zaštiti podataka. Na primjer, ti uvjeti čine dodatni zahtjev uz osnovna načela obrade, koja se također moraju poštovati u kontekstu međunarodnih prijenosa. Prilikom prijenosa osobnih podataka još uvijek morate osigurati da imate odgovarajuću pravnu osnovu za obradu; da se provode potrebne sigurnosne mjere; da obrađujete samo osobne podatke potrebne za ovu određenu aktivnost obrade (načelo smanjenja količine podataka) itd. Ako primatelj osobnih podataka djeluje kao izvršitelj obrade, i dalje ste zakonski obvezni sklopiti ugovor. Baš kao i za izvršitelja obrade unutar EGP-a.
U skladu s Općom uredbom o zaštiti podataka, u načelu postoje dva glavna načina prijenosa osobnih podataka zemlji koja nije članica EGP-a ili međunarodnoj organizaciji. Prijenosi se mogu odvijati na temelju odluke o primjerenosti ili, ako takva odluka ne postoji, na temelju odgovarajućih zaštitnih mjera, uključujući provediva prava i pravna sredstva za pojedince. U nedostatku odluke o primjerenosti ili odgovarajućih zaštitnih mjera, Općom uredbom o zaštiti podataka dopuštena su određena odstupanja u određenim situacijama.
U nastavku ćete pronaći više informacija o različitim opcijama.
Prijenosi podataka na temelju odluke o primjerenosti
Europska komisija ima mogućnost donošenja odluka o primjerenosti kako bi službeno potvrdila, s obvezujućim učinkom na zemlje EGP-a, da je razina zaštite podataka u zemlji koja nije članica EGP-a ili međunarodnoj organizaciji u osnovi istovjetna razini zaštite u Europskom gospodarskom prostoru.
Pri procjeni primjerenosti razine zaštite Europska komisija uzima u obzir elemente kao što su vladavina prava, poštovanje ljudskih prava i temeljnih sloboda te jesu li prava ispitanika djelotvorna i provediva, postojanje i djelotvorno funkcioniranje neovisnog tijela za zaštitu podataka u zemlji koja nije članica EGP-a te međunarodne obveze koje su zemlja ili međunarodna organizacija preuzele.
Ako Europska komisija odluči da zemlja nudi odgovarajuću razinu zaštite i da se donese odluka o primjerenosti, osobni podaci mogu se prenijeti drugom poduzeću ili organizaciji u toj zemlji izvan EGP-a, a da izvoznik podataka, tj. subjekt koji prenosi podatke, ne mora pružiti dodatne zaštitne mjere ili da podliježe dodatnim uvjetima povezanima s međunarodnim prijenosima. Drugim riječima, prijenosi u „odgovarajuću” zemlju izvan EGP-a bit će usporedivi s prijenosom podataka unutar EGP-a. Međutim, vaša će se organizacija i dalje morati pridržavati drugih temeljnih načela Opće uredbe o zaštiti podataka, kako je prethodno objašnjeno.
Odluke o primjerenosti mogu obuhvaćati zemlju u cjelini ili biti ograničene na njezin dio (tj. na regiju). Odluke o primjerenosti mogu obuhvaćati sve prijenose podataka u zemlju ili biti ograničene na neke vrste prijenosa (npr. u jednom sektoru).
Europska komisija dosad je donijela odluke o primjerenosti za:
- Andora,
- Argentina,
- Kanada (komercijalne organizacije),
- Farski otoci,
- Guernsey,
- Izrael,
- Otok Man,
- Japan,
- Jersey,
- Novi Zeland,
- Republika Koreja,
- Švicarska,
- Ujedinjena Kraljevina,
- Sjedinjene Američke Države (komercijalne organizacije koje sudjeluju u Okviru za zaštitu podataka između EU-a i SAD-a),
- i Urugvaj.
Europska komisija objavljuje popis svojih odluka o primjerenosti na svojim internetskim stranicama.
Izvoznici podataka odgovorni su za praćenje jesu li odluke o primjerenosti relevantne za njihove prijenose i dalje na snazi, a ne u postupku opoziva ili poništenja.
Napominjemo da odluke o primjerenosti ne sprečavaju pojedince da podnesu pritužbu. Ne sprečavaju ni tijela za zaštitu podataka da izvršavaju svoje ovlasti u skladu s Općom uredbom o zaštiti podataka.
Prijenosi podataka na temelju odgovarajućih zaštitnih mjera
Ako ne postoji odluka o primjerenosti, organizacije mogu prenositi i osobne podatke ako se mogu pružiti odgovarajuće zaštitne mjere u odnosu na organizaciju koja prima osobne podatke. Osim toga, pojedinci moraju moći ostvariti svoja prava i imati na raspolaganju učinkovite pravne lijekove.
U članku 46. Opće uredbe o zaštiti podataka naveden je niz alata za prijenos koji sadržavaju „odgovarajuće zaštitne mjere” koje možete upotrijebiti za prijenos osobnih podataka u zemlje izvan EGP-a u nedostatku odluka o primjerenosti. Glavne vrste alata za prijenos iz članka 46. Opće uredbe o zaštiti podataka, koji su relevantni za privatne organizacije, jesu:
- Standardne klauzule o zaštiti podataka;
- Obvezujuća korporativna pravila (BCR-ovi);
- Kodekse ponašanja;
- Mehanizme certificiranja;
- Ad hoc ugovorne klauzule.
Standardne ugovorne klauzule (SCC-ovi)
Standardne ugovorne klauzule skup su standardiziranih ugovora koji izvoznicima podataka omogućuju pružanje odgovarajućih zaštitnih mjera. To je alat koji obično koriste mnoge organizacije. Europska komisija ovlaštena je donijeti standardne ugovorne klauzule kao odgovarajuću zaštitnu mjeru za prijenos osobnih podataka u zemlje izvan EGP-a u skladu s člankom 46. stavkom 2. točkom (c) Opće uredbe o zaštiti podataka.
Europska komisija donijela je 4. lipnja 2021. provedbenu odluku o standardnim ugovornim klauzulama za prijenos osobnih podataka zemljama izvan EGP-a u skladu s Općom uredbom o zaštiti podataka. Europska komisija također na svojim internetskim stranicama objavljuje niz standardnih ugovornih klauzula. Saznajte više o standardnim ugovornim klauzulama.
Standardne ugovorne klauzule (SCC-ovi)
Standardne ugovorne klauzule skup su standardiziranih ugovora koji izvoznicima podataka omogućuju pružanje odgovarajućih zaštitnih mjera. To je alat koji obično koriste mnoge organizacije. Europska komisija ovlaštena je donijeti standardne ugovorne klauzule kao odgovarajuću zaštitnu mjeru za prijenos osobnih podataka u zemlje izvan EGP-a u skladu s člankom 46. stavkom 2. točkom (c) Opće uredbe o zaštiti podataka.
Standardnim ugovornim klauzulama obuhvaćeni su različiti scenariji prijenosa i složenost modernih lanaca obrade. Voditelji obrade i izvršitelji obrade mogu koristiti nekoliko mogućnosti, ovisno o posebnim okolnostima prijenosa, koje uključuju:
- od voditelj obrade do voditelja obrade (C2C);
- od voditelja obrade do izvršitelja obrade (C2P);
- od izvršitelja obrade do -izvršitelja obrade (P2P);
- od izvršitelja obrade do voditelja obrade (P2C), pri čemu se izvršitelj obrade nalazi u EU-u, a voditelj obrade u trećoj zemlji.
Ostali važni aspekti standardnih ugovornih klauzula uključuju:
- mogućnost da se više od dvije stranke pridržava odredbi;
- mogućnost, uz neke iznimke, upotrebe standardnih ugovornih klauzula pri prijenosu osobnih podataka podizvršitelju obrade u zemlji koja nije članica EGP-a;
- mogućnost, uz neke iznimke, da se pojedinci pozivaju na klauzule kao treće strane korisnici;
- pravila o odgovornosti između stranaka u slučaju kršenja prava pojedinaca;
- Pravo pojedinaca na naknadu pretrpljene štete ako su prekršena njihova prava kao treće strane korisnika;
- zahtjev da se provede „procjena učinka prijenosa” kojom se dokumentiraju posebne okolnosti prijenosa, zakoni u zemlji odredišta i dodatne zaštitne mjere uspostavljene radi zaštite osobnih podataka;
- obveze u slučaju pristupa javnih tijela prenesenim podacima, npr. obveza pružanja informacija izvoznicima podataka i osporavanja nezakonitih zahtjeva.
Obvezujuća korporativna pravila (BCR-ovi)
Obvezujuća korporativna pravila (BCR-ovi) pomažu u osiguravanju odgovarajuće razine zaštite podataka koji se razmjenjuju unutar grupe poduzeća koja se nalaze unutar i izvan EGP-a te su prikladnija za multinacionalnu skupinu poduzeća koja obavlja velik broj prijenosa podataka.
Obvezujuća korporativna pravila interna su pravila koja je donijela grupa trgovačkih društava i kojima se utvrđuje njihova globalna politika za prijenos osobnih podataka. Ta pravila moraju biti obvezujuća i moraju ih poštovati svi subjekti grupe, bez obzira na zemlju domaćina. Osim toga, one moraju pojedincima izričito dodijeliti provediva prava u pogledu obrade njihovih osobnih podataka.
Uvjeti koje je potrebno poštovati kako bi nadležno tijelo za zaštitu podataka odobrilo obvezujuće korporativne propise navedeni su u članku 47. Opće uredbe o zaštiti podataka i dodatno objašnjeni u preporukama koje je donijela Radna skupina 29 i potvrdio Europski odbor za zaštitu podataka. Za voditelje obrade obvezujućih korporativnih pravila i izvršitelje obrade obvezujućih korporativnih pravila predviđen je drugačiji skup.
Pročitaj više
Preporuka o standardnom obrascu zahtjeva za odobrenje voditelja obrade obvezujućih korporativnih pravila za prijenos osobnih podataka od Europskog odbora za zaštitu podataka
EUROPSKI ODBOR ZA ZAŠTITU PODATAKA
Radnu skupinu iz članka 29.: preporuka o odobrenju obvezujućih korporativnih pravila izvršitelja obrade
Vijesti Europske komisije
Kodeksi ponašanja
Općom uredbom o zaštiti podataka uvodi se taj novi alat za prijenos podataka. Za razliku od obvezujućih korporativnih pravila, koje mogu izravno pripremiti pojedinačne skupine društava, kodeksi ponašanja sektorski su i razvijaju ih udruženja koja predstavljaju kategorije organizacija. Potrebno je uspostaviti sustav akreditiranih tijela koja prate usklađenost s kodeksom ponašanja. Europski odbor za zaštitu podataka preuzeo je inicijativu kako bi pojasnio uvjete pod kojima se kodeksi ponašanja mogu upotrebljavati i odobriti nadležna tijela. Osim toga, Europski odbor za zaštitu podataka zadužen je i za osiguravanje dosljednosti uvjeta pod kojima se tijela za praćenje mogu akreditirati.
Certifikacija
Općom uredbom o zaštiti podataka uvodi se taj novi alat za prijenos podataka organizacijama koje su certificirala certifikacijska tijela ili tijela za zaštitu podataka iz EGP-a.
Europski odbor za zaštitu podataka donio je smjernice kako bi pojasnio uvjete pod kojima se može uspostaviti mehanizam certificiranja. Taj je alat još uvijek u razvoju.
Europski odbor za zaštitu podataka zadužen je i za osiguravanje dosljednosti uvjeta za akreditaciju certifikacijskih tijela.
Ad hoc ugovorne odredbe
Ako voditelji obrade ili izvršitelji obrade podataka odluče da neće upotrebljavati standardne ugovorne klauzule Europske komisije, mogu sastaviti vlastite ugovorne klauzule („ad hoc” klauzule) koje nude dostatne mjere zaštite podataka. Prije prijenosa podataka nadležno nacionalno tijelo za zaštitu podataka mora odobriti takve ad hoc ugovorne klauzule u skladu s člankom 46. stavkom 3. točkom (a) Opće uredbe o zaštiti podataka nakon mišljenja Europskog odbora za zaštitu podataka.
Pročitaj više
Dodatne mjere nakon presude Schrems II
U presudi C-311/18 (Schrems II) iz 2020. Sud Europske unije naglasio je moguću potrebu da organizacije osiguraju dodatne mjere uz odgovarajuće zaštitne mjere pri prijenosu osobnih podataka izvan EGP-a.
SCCS i drugi alati za prijenos navedeni u članku 46. Opće uredbe o zaštiti podataka ne rade u vakuumu. Sud EU-a naveo je da su voditelji obrade ili izvršitelji obrade, koji djeluju kao izvoznici, odgovorni za provjeru, na pojedinačnoj osnovi, utječe li pravo ili praksa zemlje izvan EGP-a, na primjer zbog zakonodavstva kojim se nameće pristup podacima, na učinkovitost odgovarajućih zaštitnih mjera sadržanih u članku 46. Opće uredbe o zaštiti podataka.
Kako bi se izvoznicima pomoglo u složenoj zadaći procjene zemalja koje primaju podatke i, prema potrebi, utvrđivanja odgovarajućih dopunskih mjera, Europski odbor za zaštitu podataka donio je preporuke.
Prijenosi podataka na temelju odstupanja
Osim odluka o primjerenosti i alata za prijenos u skladu s člankom 46. Opće uredbe o zaštiti podataka, Opća uredba o zaštiti podataka sadržava i treći put kojim se omogućuje prijenos osobnih podataka u određenim situacijama. Ovisno o posebnim uvjetima, možda ćete i dalje moći prenositi osobne podatke na temelju odstupanja navedenog u članku 49. Opće uredbe o zaštiti podataka.
Članak 49. Opće uredbe o zaštiti podataka iznimne je prirode. Odstupanja se moraju tumačiti na način koji nije u suprotnosti sa samom prirodom odstupanja kao iznimke od pravila prema kojem se osobni podaci ne smiju prenositi u zemlju koja nije članica EGP-a, osim ako ta zemlja osigura odgovarajuću razinu zaštite podataka ili ako su, alternativno, uspostavljene odgovarajuće zaštitne mjere. Odstupanja ne mogu postati „pravilo” u praksi, već se moraju ograničiti na posebne situacije.
Na temelju članka 49. Opće uredbe o zaštiti podataka, prijenos ili skup prijenosa može se izvršiti ako je prijenos:
- ostvarenuz izričit pristanak pojedinca;
- potrebanza izvršenje ugovora između pojedinca i organizacije ili za predugovorne radnje poduzete na zahtjev pojedinca;
- potreban za izvršenje ugovora sklopljenog u interesu pojedinca između voditelja obrade podataka i druge osobe;
- potreban iz važnih razloga od javnog interesa;
- potreban za uspostavu, ostvarivanje ili obranu pravnih zahtjeva;
- potreban za zaštitu vitalnih interesa dotičnog pojedinca ili drugih osoba ako pojedinac fizički ili pravno nije sposoban dati pristanak; ili
- ostvareniz registra koji je u skladu s nacionalnim pravom države EGP-a ili pravom EU-a namijenjen pružanju informacija javnosti (i koji je otvoren za uvid javnosti općenito ili onima koji mogu pokazati legitiman interes za uvid u registar).
Kako bi se procijenila nužnost prijenosa, potrebno je primijeniti određeni „test nužnosti”. Za taj test potrebno je ocijeniti može li se prijenos osobnih podataka smatrati nužnim za posebnu svrhu predmetnog odstupanja.
Ako nijedno od gore navedenih odstupanja nije primjenjivo na određenu situaciju, moguće je prenijeti podatke za uvjerljive legitimne interese voditelja obrade podataka.
Međutim, takvi su prijenosi dopušteni samo ako:
- se prijenos ne ponavlja slični prijenosi ne provode se redovito);
- prijenos uključuje podatke koji se odnose samo na ograničen broj pojedinaca;
- je prijenos nužan u svrhu uvjerljivih legitimnih interesa organizacije (pod uvjetom da takvi interesi nisu podređeni interesima pojedinca);
- prijenos podliježe odgovarajućim zaštitnim mjerama koje je uspostavila organizacija (u svjetlu procjene svih okolnosti povezanih s prijenosom) radi zaštite osobnih podataka; i
- prijenos ne provodi ga javno tijelo u izvršavanju svojih javnih ovlasti.
U tim slučajevima organizacije su obvezne obavijestiti relevantno tijelo za zaštitu podataka o prijenosu i pružiti dodatne informacije pojedincima.
Općenito, odstupanja bi se trebala upotrebljavati samo kao krajnja mjera za oblikovanje prijenosa podataka – organizacije bi prvo trebale procijeniti nije li moguće primijeniti odluku o primjerenosti ili odgovarajuću zaštitnu mjeru.
Kada se oslanjate na odstupanja iz članka 49. Opće uredbe o zaštiti podataka, morate imati na umu da organizacije koje prenose podatke moraju poštovati i druge odredbe Opće uredbe o zaštiti podataka (imaju pravnu osnovu za priopćavanje podataka, provedbu sigurnosnih mjera, smanjenje količine podataka, potpisivanje ugovora ako je primatelj izvršitelj obrade podataka itd.).