Početna Blog Donosimo vam pregled najbitnijih vijesti i materijale koji se odnose na prijenos osobnih podataka u treće zemlje!

Donosimo vam pregled najbitnijih vijesti i materijale koji se odnose na prijenos osobnih podataka u treće zemlje!

Svi članci
02.07.2021.

2020. godine došlo je velikih promjena u pogledu prijenosa osobnih podataka u treće zemlje (zemlje koje nisu članice Europske Unije).

Max Schrems je austrijski aktivist koji je bio korisnik društvene mreže Facebook. On je nadležnom tijelu uputio pritužbu kojom je od njega zatražio da zabrani Facebooku Ireland (društvo kćeri Facebooka Inc.) da prenosi njegove osobne podatke u SAD,  pri čemu je naveo da važeće pravo i praksa u toj zemlji ne jamče dovoljnu razinu zaštite osobnih podataka.

U presudi Schrems II Sud Europske Unije potvrdio je valjanost standardnih ugovornih klauzula za prijenos podataka i utvrdio nevaljanost „Privacy Shielda“ – kao pravnog okvira koji je jamčio zakonitost prijenosa podataka između EU i SAD-a.

Što se tiče Privacy Shielda, u presudi Schrems II Sud Europske unije je istaknuo njegovu nevaljanost iz nekoliko razloga. Prvo, Privacy Shieldom se ne može osigurati primjereni stupanj zaštite osobnih podataka s obzirom na američke propise kojima se uređuje nacionalna sigurnost i javni interes. Drugo, nedostatak potrebnih ograničenja i zaštitnih ovlasti vlasti prema američkom zakonu, posebno u svjetlu zahtjeva razmjernosti, imajući u vidu činjenicu da američki savezni zakoni u kombinaciji s ovlastima izvršne vlasti omogućuju masovni obavještajni nadzor. Treće, nedostatak prava koja bi se protiv američkih tijela mogla ostvarivati pred sudovima, tako da te osobe ne raspolažu pravom na djelotvoran pravni lijek jer ne uživaju ista prava i zaštitu koje američkim građanima jamči Ustav SAD-a. Na kraju presude u Schrems II, Sud EU zaključuje da je Privacy Shield nevaljan.

Navedeno je dovelo do poprilične pravne nesigurnosti i mnogih nejasnoća u pogledu korištenja američkih alata koji su mnogima dio svakodnevice (Google, Facebook, Zoom…). No ništa nije nerješivo.

Ako vas zanima više: možete pročitati naš članak: Prijenos podataka u SAD: "Schrems II" iz drugog kuta

 

Europska komisija objavila je 4. lipnja 2021.g nove standardne klauzule o zaštiti podataka (Standardne ugovorne klauzule, „SCC“).

Nove standardne ugovorne klauzule sadrže velik broj „Schrems II“ smjernica kako bi se udovoljilo zahtjevima Europskog suda pravde i Europskog odbora za zaštitu podataka što se tiče prijenosa podataka u treće zemlje. Ipak, nove standardne ugovorne klauzule neće biti uvijek (pod određenim okolnostima) dovoljne za potpuno udovoljavanje tim zahtjevima. Umjesto toga, provedba dodatnih zaštitnih mjera i dalje će često, ovisno od slučaja do slučaja, biti potrebna.

Nove standardne ugovorne klauzule predviđaju obveznu procjenu učinka prijenosa podataka (TIA) koju će provesti ugovorne strane. O TIA će ovisiti puno toga. Obje strane moraju jamčiti da ne sumnjaju da su zahtjevi zemlje uvoznika podataka u skladu s europskim standardima. S obzirom na odluku Suda EU Schrems II, ovo bi u nekim slučajevima moglo postati problematično, posebno za američke uvoznike. Uz TIA i procjena učinka mora se dokumentirati te na zahtjev dostaviti nadzornim tijelima.

Nadalje, nove standardne ugovorne klauzule slijede modularni pristup, što znači da će umjesto različitih skupova standardnih ugovornih klauzula, postojati (postoji) samo jedan skup standardnih ugovornih klauzula, koji se mogu prilagoditi upotrebom određenih modula i izostavljanjem drugih, ovisno o specifičnim pojedinostima o odgovarajućem prijenosu podataka. Iako ovo povećava fleksibilnost, ostaje za vidjeti hoće li to otežati korištenje klauzula.

Novi moduli su:

  • Modul 1: Prijenos između dva (ili više) regulatora (“voditelj obrade-voditelj obrade”)
  • Modul 2: Prijenos s jednog voditelja obrade na jednog (ili više) izvršitelja obrade („voditelj obrade-izvršitelj obrade“)
  • Modul 3: Prijenos s izvršitelja obrade na jednog (ili više) izvršitelja obrade („izvršitelj obrade-izvršitelj obrade“).
  • Modul 4: Prijenos s izvršitelja na jedan (ili više) voditelja obrade („izvršitelj obrade-voditelj obrade“).

 

Potrebno je učiniti sljedeće:

  1. utvrditi u kojim slučajevima treba zaključiti nove standardne ugovorne klauzule,
  2. pripremiti standardne ugovorne klauzule koji su potrebne za vas tako da se odabere odgovarajući modul,
  3. pripremiti procjenu učinka prijenosa i dokumentirati te
  4.  preispitivati ​​poduzete mjere (u određenim slučajevima napraviti i TIA).

 

EU je također objavila "standardne ugovorne klauzule" za imenovanog izvršitelja obrade. To su standardni DPA obrasci koji se odnose na zahtjeve iz članka 28. GDPR-a

 

Europski odbor za zaštitu podataka usvojio je 16. lipnja 2021. g. nove Preporuke 01/2020 o mjerama koje dopunjuju alate za prijenos kako bi se osigurala usklađenost s EU razinom zaštite osobnih podataka.

 

Preporuke raspravljaju o mjerama, od kojih mnoge već postoje i provode se. Nove preporuke EDPB-a usklađene su s novim SCC klauzulama kako bi voditelji obrade mogli imati veću pravnu sigurnost.

 

Voditelji obrade bi trebali napraviti analizu specifičnu za prijenos (TIA), a ne potpunu ˝odluku o adekvatnosti˝. Međutim, analiza mora biti detaljna, temeljita i dokumentirana. Mora uzeti u obzir ne samo zakone, već i iskustvo u praksi u vezi s pristupom javnih vlasti podacima koji se tiču određenih prijenosa ili uvoznika podataka.

 

Što se tiče SAD-a, ključan je slučaj: "Prijenos na davatelje usluga u oblaku ili druge voditelje obrade kojima je potreban pristup podacima bez enkripcije".

 

Ovdje imamo tri uvjeta:

1. Voditelj obrade (izvoznik) prenosi osobne podatke izvršitelju obrade (uvozniku).

2. Uvoznik zahtijeva pristup podacima "in the clear" (bez enkripcije ) kako bi mogao obavljati svoje usluge.

3. Uvoznik je podložan problematičnom zakonodavstvu gdje javno tijelo ima ovlasti pristupiti podacima, ovlasti koji nadilaze "preko onoga što je potrebno i proporcionalno u demokratskom društvu".

 

U ovom slučaju, EDPB kaže da je teško predvidjeti učinkovitu tehničku mjeru kako bi spriječio da taj pristup krši temeljna prava ispitanika. No, ništa nije nemoguće.

 

Što se tiče materijala koji vam mogu pomoći kod analize prijenosa podataka u treće zemlje, u nastavku vam donosimo sljedeće.

 

Njemačka nadzorna tijela za zaštitu osobnih podataka zajednički su izradili i objavili upitnike za provjeru usklađenosti po pitanju međunarodnih prijenosa osobnih podataka.

Ukupno je 5 upitnika koji pokrivaju sljedeća područja: Zahtjevi ispitanika, Prijenos podataka unutar grupe poduzetnika, Poslužitelji elektroničke pošte, Web poslužitelji i Alati za praćenje.

Nadzorna tijela će kontaktirati tvrtke na temelju ovih upitnika, nakon čega će svako njemačko nadzorno tijelo samostalno odlučiti u kojem će od ovih područja poduzeti mjere.

Službene verzije svih 5 upitnika su dostupne na njemačkom jeziku, a možete ih preuzeti ovdje:

https://www.datenschutz.rlp.de/de/aktuelles/detail/news/detail/News/koordinierte-pruefung-internationaler-datentransfers/

Što se tiče engleskog prijevoda, ovdje možete pronaći prijevod koji je izradio njemački stručnjak za zaštitu osobnih podataka Christopher Schmidt. Radi se o upitniku koji se odnosi na prijenos podataka unutar grupe poduzetnika.

https://drive.google.com/drive/u/0/folders/1TtCaLlwXthUEGXPocpdSqNixDPfh9vb9

 

Europski nadzornik za zaštitu podataka (EDPS) objavio je sažetak sudske prakse koja se odnosi na prijenose osobnih podataka trećim zemljama.

Sažetak uključuje slučajeve od Lindqvist iz 2003. do Schrems II iz 2020. godine.

Objavom ovog dokumenta EDPS je želio objasniti čime se Sud Europske Unije vodio u presudama koje se odnose na prijenos osobnih podataka u treće zemlje i pravnu stečevinu u relevantnoj sudskoj praksi, te pružiti mogućnost istraživanja ključnih pitanja koja se odnose na međunarodne prijenose osobnih podataka.

EDPS je naveo 9 ključnih pitanja u vezi transfera podataka na koje je dao vrlo detaljne odgovore i objašnjenja temeljenima na sljedećim pravnim izvorima: presuda u slučaju Lindqvist (6.11.2003.); presuda u slučaju Schrems (6.10.2015.); Mišljenje 1/15 Suda EU o Sporazumu između EU i Kanade o razmjeni podataka putnika u zrakoplovnom prijevozu (26.7.2017.) i presuda u slučaju Schrems II (16.7.2020.)

Sažetak sudske prakse možete pronaći ovdje: 

https://edps.europa.eu/data-protection/our-work/publications/court-cases/case-law-digest-2021-transfers-personal-data_en

 

Europska komisija usvojila je dvije odluke o adekvatnosti za Ujedinjeno Kraljevstvo 28. lipnja 2021.g.

EK je ustanovila da je UK u stanju osigurati istovjetnu razinu zaštite osobnih podataka kao i EU, zbog čega se osobni podaci mogu slobodno prenositi između voditelja i izvršitelja obrade.

Europska komisija utvrdila je da se britanski sustav zaštite podataka i dalje pridržava istih pravila koja su bila primjenjiva dok je bila država članica EU, budući da je nakon Brexita u potpunosti usvojila načela, prava i obveze GDPR-a. EK je također navela da britanski sustav pruža snažne zaštitne mjere u pogledu načina na koji postupa s pristupom osobnih podataka od strane javnih vlasti, posebno za pitanja nacionalne sigurnosti.

Time je konačno potvrđeno da je prijenos osobnih podataka iz EU u UK uvijek zakonit i da nije potrebno provoditi dodatne zaštitne mjere.

Po prvi puta odluka o adekvatnosti ima službeno vremensko ograničenje. Odluka će automatski prestati važiti četiri godine nakon stupanja na snagu. Dokle god Ujedinjeno Kraljevstvo osigurava odgovarajuću razinu zaštite podataka, odluka o adekvatnosti se može obnoviti.

Ako dođe do odstupanja od razine zaštite koja trenutno postoji, Komisija ima pravo intervenirati.

Više možete saznati na sljedećem linku:

https://ec.europa.eu/commission/presscorner/detail/en/ip_21_3183?fbclid=IwAR3POSETonGFaY_fmYZYyxJCD67nwgwkTN-8N5vjs9QGB---q1_sPjcDjUw

 

Ovdje možete saznati za koje još države postoji odluka o adekvatnosti.

https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en?fbclid=IwAR2b5ZGciDd6YCcofGlyK2lD0YRunhtUl8Kyv_yp40fIGQkVNreVJPez71U

 

Među njima je i Švicarska - švicarsko nadzorno tijelo je ovih dana objavilo vodič kojim se možete poslužiti u vezi pitanja prijenosa podataka u treće zemlje.

Vodič je namijenjen voditeljima obrade kako bi lakše provjerili dopuštenost prijenosa osobnih podataka u inozemstvo.

https://www.edoeb.admin.ch/edoeb/en/home/data-protection/handel-und-wirtschaft/transborder-data-flows.html#1365403537

Imate pitanja? Kontaktirajte nas!
Odgovaramo u najbržem mogućem roku.

Newsletter
Prijavi se i ostvari eksluzivan pristup novostima iz svijeta GDPR-a.