Dana 3. prosinca 2024. Europski odbor za zaštitu podataka ("EDPB") objavio je svoj nacrt Smjernica 02/2024 o članku 48. GDPR-a ("Smjernice"). Smjernice su usredotočene na to kako bi voditelj obrade trebao postupati kada je predmet prijenosa podataka presuda ili upravna odluka kojom se zahtijeva prijenos ili otkrivanje osobnih podataka javnom tijelu u trećoj zemlji.
Kao što je objasnio EDPB, prema članku 48. GDPR-a (Opće uredbe o zaštiti podataka, dalje: GDPR), zahtjevi javnih tijela u trećim zemljama mogu biti priznati ili provedivi samo ako se temelje na međunarodnom sporazumu, kao što je ugovor o uzajamnoj pravnoj pomoći, koji je na snazi između treće zemlje koja podnosi zahtjev i EU ili država članica EU.
Sve presude suda ili sve odluke upravnog tijela treće zemlje kojima se od voditelja obrade ili izvršitelja obrade zahtijeva prijenos ili otkrivanje osobnih podataka mogu biti priznate ili izvršive na bilo koji način samo ako se temelje na nekom međunarodnom sporazumu, poput ugovora o uzajamnoj pravnoj pomoći, koji je na snazi između treće zemlje koja je podnijela zahtjev i Unije ili države članice, ne dovodeći u pitanje druge razloge za prijenos u skladu s Općom uredbom o zaštiti podataka.
Smjernice pojašnjavaju da članak 48. sam po sebi nije mehanizam prijenosa. Kao takve, organizacije koje se oslanjaju na ovu odredbu i dalje moraju pronaći i pravnu osnovu prema članku 6. GDPR-a i osnovu za prijenose prema Poglavlju V. GDPR-a.
Ovisno o međunarodnom sporazumu koji je na snazi s relevantnom državom koja zahtjeva/ traži podatke potencijalna pravna osnova može biti, na primjer, zakonska obveza, javni interes, legitiman interes ili pristanak. Ovisno o ishodu testa ravnoteže i pod pretpostavkom da su preneseni podaci ograničeni na ono što je objektivno potrebno, EDPB također smatra da bi legitimni interesi mogli biti odgovarajuća pravna osnova za obradu, iako u iznimnim slučajevima.
Ako je prijenos unutar opsega međunarodnog sporazuma koji pruža odgovarajuću zaštitu osobnih podataka i dopušta suradnju između javnih i privatnih pravnih subjekata, primjenjivi mehanizam prijenosa trebao bi biti postojanje pravno obvezujućeg i provedivog instrumenta između javnih tijela ili tijela prema članku 46. stavak 1. točka (a). Međutim, ako takvi zahtjevi nisu ispunjeni (npr. međunarodni sporazum ne predviđa odgovarajuće zaštitne mjere), bit će potreban alternativni mehanizam prijenosa.
Pravila u članku 48. ne dovode u pitanje druge osnove za prijenose prema Poglavlju V. GDPR-a. Odnosno, u nedostatku međunarodnog sporazuma, voditelji obrade još uvijek mogu prenijeti osobne podatke tijelima trećih zemalja ako: (1) se može identificirati drugi mehanizam prijenosa kao što su standardne ugovorne klauzule ili odstupanja za posebne situacije; i (2) postoji pravna osnova za prijenos prema članku 6. GDPR-a.
Smjernice će biti dostupne za javno savjetovanje do 27. siječnja 2025.
Pročitajte Smjernice.