Nakon javnih konzultacija, EDPB je u lipnju usvojio konačnu verziju Smjernica o članku 48. Opće uredbe o zaštiti podataka (GDPR) u vezi s prijenosom podataka tijelima trećih zemalja. U svojim smjernicama, EDPB pojašnjava kako organizacije mogu najbolje procijeniti pod kojim uvjetima mogu zakonito odgovoriti na zahtjeve za prijenos osobnih podataka od tijela trećih zemalja (tj. tijela iz zemalja izvan Europe). Smjernice su posebno relevantne za tvrtke koje posluju na međunarodnoj razini.
EDPB objašnjava da se presude ili odluke tijela trećih zemalja ne mogu automatski priznati ili izvršiti u Europi. Općenito, međunarodni sporazum može predvidjeti i pravnu osnovu i osnovu za prijenos. U slučaju da ne postoji međunarodni sporazum ili ako sporazum ne predviđa odgovarajuću pravnu osnovu ili zaštitne mjere, mogu se razmotriti druge pravne osnove ili drugi razlozi za prijenos, u iznimnim okolnostima i od slučaja do slučaja.
Izmjene uvedene u ažuriranim smjernicama ne mijenjaju njihovu orijentaciju, ali imaju za cilj pružiti daljnja pojašnjenja o različitim aspektima koji su izneseni tijekom konzultacija. Na primjer, ažurirane smjernice bave se situacijom u kojoj je primatelj zahtjeva izvršitelj. Osim toga, pružaju dodatne detalje o situaciji u kojoj matična tvrtka u trećoj zemlji primi zahtjev od tijela te treće zemlje, a zatim zatraži osobne podatke od svoje podružnice u Europi.
Područje primjene
Članak 48. GDPR-a uređuje uvjete pod kojima voditelj obrade ili izvršitelj u EU može biti obvezan otkriti osobne podatke po nalogu tijela treće zemlje. Ključno: Takvi nalozi imaju pravnu snagu samo ako se temelje na međunarodnom sporazumu, kao što je bilateralni ili multilateralni sporazum o međusobnoj pravnoj pomoći. Bez takvog sporazuma, presude ili upravne odluke trećih zemalja općenito se ne mogu izvršiti unutar EU-a.
Smjernice EDPB-a 02/2024, dovršene 4. lipnja 2025., imaju za cilj razjasniti praktični značaj članka 48. Namijenjene su pomoći odgovornima u EU da odgovore na zahtjeve trećih zemalja u skladu sa zakonom. Naglasak je posebno na:
- Izravnim zahtjevima tijela trećih zemalja privatnim tvrtkama iz EU.
- Odnosu članka 48. prema općim pravilima za međunarodni prijenos podataka u Poglavlju V. GDPR-a.
- Preporukama za interno postupanje s takvim zahtjevima.
Slučajevi u kojima, na primjer, matična tvrtka u trećoj zemlji traži podatke od svoje podružnice u EU kako bi se pridržavala službenog naloga nisu obuhvaćeni, iako se i to smatra međunarodnim prijenosom podataka. Iako ovi slučajevi nisu izravno obuhvaćeni člankom 48., oni također podliježu strogim zahtjevima Poglavlja V. GDPR-a.
Dvostupanjski mehanizam testiranja („dvostupanjski test“) za zahtjeve trećih zemalja
Smjernice EDPB-a predviđaju dvostupanjski test za procjenu zahtjeva trećih zemalja za otkrivanje osobnih podataka kako bi se sustavno ispunili zahtjevi GDPR-a. Ovaj takozvani "dvostupanjski test" služi kao praktičan alat za strukturiranu pravnu klasifikaciju takvih zahtjeva:
Korak 1: Provjera pravne osnove u skladu s člankom 6. GDPR-a
Prije svega, potrebno je razjasniti postoji li pravna osnova za obradu osobnih podataka u konkretnom slučaju. Sam zahtjev ili službeni nalog treće zemlje nije dovoljan. Umjesto toga, mora postojati pravna osnova u skladu s člankom 6(1) GDPR-a, na primjer:
- Pravna obveza (čl. 6. stavak 1. točka c GDPR-a) koja proizlazi iz primjenjivog međunarodnog sporazuma.
- Obrada u javnom interesu (čl. 6. stavak 1. točka e GDPR-a), ako nacionalni ili propisi Unije dopuštaju takvu suradnju.
U rijetkim iznimnim slučajevima, legitimni interes (čl. 6. stavak 1. točka f GDPR-a), pri čemu se mora provesti strogo odmjeravanje interesa.
Korak 2: Postojanje dopuštenog mehanizma prijenosa u skladu s Poglavljem V GDPR-a
Ako je obrada dopuštena prema članku 6., potreban je dodatni prijenos u skladu s odredbama Poglavlja V. Moguće osnove su:
- Odluka o adekvatnosti Europske komisije (čl. 45. GDPR-a), koja priznaje ekvivalentnu razinu zaštite podataka u trećoj zemlji.
- Odgovarajuće zaštitne mjere, posebno putem standardnih klauzula o zaštiti podataka, obvezujućih korporativnih pravila (BCR) ili drugih instrumenata u skladu s člankom 46. GDPR-a.
- U iznimnim slučajevima, privola ili druge iznimke prema članku 49. GDPR-a, koje se moraju usko tumačiti.
Ako nedostaje pravna osnova prema članku 6. GDPR-a ili dopušteni mehanizam prijenosa prema Poglavlju V., otkrivanje podataka nije dopušteno.
Tvrtkama se preporučuje da uspostave interne postupke koji mapiraju i dokumentiraju ovaj dvostupanjski mehanizam. U slučaju nužde, tada se može jasno pokazati kako je provedena procjena zaštite podataka.
Što je novo u verziji 2.0 smjernica o članku 48. GDPR-a?
Konačna verzija 2.0 uzima u obzir povratne informacije iz javnih konzultacija. Posebno pruža sljedeća pojašnjenja:
- Izvršitelji obrade moraju odmah obavijestiti voditelja obrade ako prime zahtjev treće zemlje. Iznimka: Zakon im zabranjuje to.
- Zahtjevi za podatke unutar grupe iz treće zemlje (npr. putem matičnih društava) nisu obuhvaćeni člankom 48., već općim pravilima Poglavlja V.
- Legitimni interesi (čl. 6. stavak 1. točka f) mogu se koristiti kao pravna osnova samo u iznimnim slučajevima. Posebno ne za preventivno pohranjivanje u potencijalne istražne svrhe.
Osim toga, EDPB pojašnjava da se pojam "presuda" ili "odluka" u smislu članka 48. GDPR-a ne može procijeniti na temelju formalnih ili konceptualnih kriterija prava treće zemlje.
Jedini odlučujući faktor je je li temeljni postupak službena, suverena mjera koju je izdalo strano tijelo, a koja ima za cilj stvoriti obvezu prijenosa osobnih podataka voditelju obrade ili izvršitelju u EU. Odlučujući faktor ovdje nije kako je mjera označena ili kvalificirana u zemlji podrijetla, već njezina pravno obvezujuća i provedbena priroda te njezin cilj prikupljanja podataka. Mehanizam zaštite iz članka 48. GDPR-a stoga se primjenjuje i ako službeni nalog nije nazvan, na primjer, kao "presuda" ili "odluka", već zapravo ima svrhu obveznog prijenosa podataka.
Međunarodni ugovori kao ključna točka
Međunarodni sporazumi čine središnju vezu između europske uredbe o zaštiti podataka i pravnih zahtjeva iz trećih zemalja. Članak 48. GDPR-a jasno navodi da je provedivost stranih presuda ili upravnih akata kojima se traži otkrivanje osobnih podataka od strane tijela sa sjedištem u EU moguća samo ako postoji odgovarajući međunarodni sporazum. Bez takvog sporazuma ne postoji ni pravna osnova za obradu u skladu s člankom 6. GDPR-a niti poveznica prema pravu prijenosa u smislu Poglavlja V. GDPR-a.
U svojim smjernicama, EDPB naglašava da takvi sporazumi ne moraju postojati samo formalno, već moraju i sadržavati specifične mjere zaštite podataka. To uključuje odredbe o ograničenju svrhe, proporcionalnosti i ograničenju daljnje obrade, kao i učinkovite nadzorne sustave i sustave pravne zaštite u trećoj zemlji. Sporazum mora izričito regulirati u kojim slučajevima i pod kojim uvjetima privatno tijelo u EU može izravno prenijeti osobne podatke stranom državnom tijelu.
Takav sporazum može poslužiti kao prikladno jamstvo u smislu članka 46(2)(a) GDPR-a, pod uvjetom da je to "pravno obvezujući i provedivi instrument između javnih tijela".
Smjernice posebno naglašavaju drugi dodatni protokol uz Konvenciju o kibernetičkom kriminalu (CETS br. 224). Iako još nije na snazi u vrijeme objave, pruža primjer kako bi se mogli strukturirati budući sporazumi. Navedeno omogućuje tijelima trećih zemalja izravan pristup podacima europskih tvrtki pod strogim uvjetima, ali postavlja jasna materijalna i proceduralna ograničenja.
Tvrtke su stoga obvezne provjeriti postoji li odgovarajući sporazum koji je ne samo formalno primjenjiv, već i relevantan i dovoljno specifičan u smislu sadržaja, prije nego što otkriju bilo kakve podatke tijelima trećih zemalja. Ako je potrebno, trebale bi se konzultirati s nadležnim nacionalnim ministarstvima (npr. Ministarstvom pravosuđa, Ministarstvom unutarnjih poslova ili Ministarstvom vanjskih poslova) ili nadzornim tijelima za zaštitu podataka.
Klasifikacija i značaj članka 48. GDPR-a za tvrtke
Smjernice o članku 48. GDPR-a od velike su važnosti i vrlo relevantne za tvrtke u Europskoj uniji. One se ne odnose samo na teorijska pravna pitanja, već imaju i izravan praktičan utjecaj na prakse usklađenosti tvrtki koje posluju u međunarodnom okruženju. Osnovna je poruka da se na zahtjeve trećih zemalja za otkrivanje osobnih podataka više ne može odgovoriti neformalno ili pragmatično. Umjesto toga, apsolutno je neophodan strukturiran, dokumentiran i pravno robustan pristup.
To proizlazi posebno iz činjenice da smjernice EDPB-a obvezujuće jasno daju do znanja da čak ni službeni nalozi trećih zemalja (npr. tijela za provedbu zakona, nadzornih ili sigurnosnih tijela) ne dovode automatski do obveze otkrivanja podataka. Umjesto toga, svaka tvrtka mora provjeriti postoji li odgovarajuća pravna osnova u smislu članka 6. GDPR-a i jesu li ispunjeni uvjeti za zakonit prijenos podataka u treću zemlju u skladu s Poglavljem V. GDPR-a.
Ova procjena ne smije se provesti samo formalno, već i strogo u smislu materijalnog prava, posebno u pogledu uravnoteženja interesa, proporcionalnosti i minimizacije podataka koje zahtijevaju smjernice. Sigurno provedite procjene učinka prijenosa uz smjernice CNIL-a.
Obveze djelovanja za korporativnu praksu
Tvrtke bi prvo trebale provjeriti ispunjavaju li njihove smjernice za zaštitu podataka, interne direktive i planovi odgovora na incidente zahtjeve novih smjernica. Posebno se mora regulirati način na koji se obrađuju zahtjevi tijela trećih zemalja, tko je odgovoran unutar tvrtke i koji se kriteriji koriste za pregled. Preporučljivo je odrediti središnje kontaktne točke (npr. službenika za zaštitu podataka ili pravni odjel) i uvesti standardizirani postupak za obradu takvih zahtjeva.
Osim toga, zaposlenici, posebno u odjelu za usklađenost, IT i pravnom odjelu, moraju biti obučeni o važnosti članka 48. GDPR-a i novih smjernica. Samo podizanjem svijesti i redovitom edukacijom se može osigurati da se izbjegnu nepravilnosti.
Situacija je posebno izazovna za međunarodne korporativne grupe. Često postoji napetost između očekivanja matične tvrtke (npr. u SAD-u) i zakonskih obveza europskih podružnica. Zbog toga je još važnije stvoriti smjernice za cijelu grupu koje ispunjavaju zahtjeve GDPR-a i operativne potrebe. U kritičnim slučajevima, prethodne konzultacije s nadležnim nadzornim tijelom također mogu biti korisne.
Tvrtke su također dužne dokumentirati svaki zahtjev trećih zemalja, zabilježiti postupak pregleda u pisanom obliku i navesti razumljive razloge za odbijanje ili odobrenje otkrivanja. Ova dokumentacija je također obvezna u smislu odgovornosti u skladu s člankom 5. stavkom 2. GDPR-a.
Sveukupno, smjernice jasno daju do znanja da se zaštita osobnih podataka u prekograničnim scenarijima može jamčiti samo proaktivnom usklađenošću, pravno usklađenim procesima i međunarodnom koordinacijom.
S konačnim smjernicama jasno je da tvrtke u EU više ne mogu gledati na upite trećih zemalja samo kao na rizike usklađenosti. Umjesto toga, zakonski su obvezne uspostaviti strukturirane mehanizme pregleda, razmjene ili druge obrade podataka i u skladu s tim uskladiti svoje interne procese.
