Prijenos osobnih podataka u treće zemlje

Prilikom prijenosa osobnih podataka u zemlje koje nisu dio Europskog gospodarskog prostora (EU + Norveška, Lihtenštajn i Island) nužno je osigurati podatke jednim od mehanizama zaštite koje definira Opća uredba o zaštiti podataka.

Odluka o primjerenosti

Dovoljnu razinu zaštite osiguravaju i zemlje koje se odlukom Europske komisije o primjerenosti (eng. adequacy decision) smatraju sigurnima za prijenos (uvoz) podataka.

Europska komisija prilikom donošenja takve odluke uzima u obzir niz elemenata, a posebno vladavinu prava, razinu zaštite ljudskih prava i temeljnih sloboda, relevantno zakonodavstvo, postojanje i djelotvorno funkcioniranje neovisnog nadzornog tijela nadležnog za provođenje propisa o zaštiti podataka, međunarodne obveze koje je dotična zemlja ili organizacija preuzela te druge relevantne okolnosti neophodne za procjenu.

Na ovom popisu nalaze se Andora, Argentina, Farski otoci, Guernsey, Izrael, Otok Man, Jersey, Kanada, Novi Zeland, Švicarska, Urugvaj, SAD (u okviru Privacy Shield), a odnedavno i Japan.
Prilikom prijenosa u navedene zemlje nije potrebno poduzimati dodatne mjere zaštite.

Obvezujuća korporativna pravila (BCR)

BCR su najbolje rješenje za prijenos podataka unutar multinacionalnih grupacija čije se članice, osim u EU, nalaze i u zemljama koje ne pružaju odgovarajuće mjere zaštite. Grupacija kroz BCR postavlja interna “pravila ponašanja“ kojima se uređuje obrada, zaštita i prijenos osobnih podataka.

Između ostalog, BCR opisuju organizacijsku strukturu kompanije, važnost i ulogu osobnih podataka u ostvarivanju poslovnih ciljeva, kategorije podataka i svrhe obrade, način poštovanja načela obrade podataka, opis prava koja su dostupna ispitanicima i postupak ostvarivanja tih prava, odgovornosti u slučajevima povrede podataka i kršenja prava ispitanika, obveze zaposlenika, program edukacije i osposobljavanja, postupke povodom pritužbi, pravno obvezujuće obilježje i dr.

Procedura usvajanja BCR strogo je propisana, a obuhvaća nekoliko osnovnih koraka:

  • izbor vodećeg nadzornog tijela
  • izradu i dostavu nacrta teksta izabranom nadzornom tijelu koje može dostaviti eventualne komentare i prijedloge izmjena u tekstu
  • postupak suradnje između nadležnih nadzornih tijela u EU
  • potvrda/odobrenje BCR

Više informacija o samom postupku i potrebnoj dokumentaciji dostupno je u dokumentima Radne skupine 29: [WP 256, WP 263]

BCR su svakako potvrda dobrih praksi u zaštiti osobnih podataka, ulijevaju povjerenje klijenata, a imaju i utjecaja na samu tržišnu vrijednost kompanije, međutim reguliraju samo prijenose podataka unutar članica grupe.

[Popis tvrtki koje imaju BCR]

Standardne ugovorne klauzule (SCC)

Standardne ugovorne klauzule trenutno su najčešće korišteni mehanizam zaštite podataka prilikom prijenosa u treće zemlje, u odnosima između voditelja i izvršitelja obrade (EU controller to non-EU processor). Čine ih set unaprijed definiranih odredbi (klauzula) propisanih Odlukom Europske komisije 2010/87.

Ovim ugovorom definiraju se obveze i odgovornosti izvoznika i uvoznika osobnih podataka, nadležnost i mjerodavno pravo, ugovaranje podizvršitelja, opis tehničkih i organizacijskih mjera zaštite, te obveze nakon prestanka obrade. Međutim, u ovom obliku, SCC ne zadovoljavaju sve zahtjeve Uredbe koji su propisani za reguliranje odnosa između voditelja i izvršitelja obrade (članak 28.) te ih je potrebno dopuniti/prilagoditi u postupku koji bi trebala provesti Europska komisija.

Uz navedeno, postoji i mogućnosti da se SCC stave izvan snage, ovisno o ishodu slučaja Schrems i odluke Suda pravde EU, koja bi mogla potvrditi da prilikom prijenosa osobnih podataka u SAD SCC ne pružaju primjerenu zaštitu.

Odstupanja za posebne situacije

Postoje i propisana odstupanja u posebnim situacijama kada je moguć prijenos podataka i bez poduzimanja definiranih mjera zaštite, a to su sljedeći slučajevi (članak 49. Uredbe):

  • ispitanik je izričito pristao na predloženi prijenos
  • prijenos je nužan za izvršavanje ugovora između ispitanika i voditelja obrade ili provedbu predugovornih radnji na zahtjev ispitanika
  • prijenos je nužan za sklapanje ili izvršavanje ugovora sklopljenog u interesu ispitanika
  • prijenos je nužan iz važnih razloga javnog interesa
  • prijenos je nužan za postavljanje, ostvarivanje ili obranu pravnih zahtjeva
  • prijenos je nužan za zaštitu životno važnih interesa ispitanika ili drugih osoba
  • prijenos se vrši iz registra koji prema pravu EU služi pružanju informacija javnosti i koji je otvoren na uvid javnosti

Uz navedene mjere zaštite Uredbe predviđa i druge mehanizme propisane člankom 46., od kojih neki tek trebaju zaživjeti – odobreni mehanizam certificiranja i odobreni kodeksi ponašanja.