Novosti koje nas očekuju: EDPB će objaviti smjernice o prijenosu podataka uvoznicima koji podliježu GDPR-u, dok je Europska komisija potvrdila da namjerava razviti novi i specifičan skup Standardnih ugovornih klauzula za prijenos podataka uvoznicima izvan EU-a koji su podložni članku 3. (2) GDPR-a .
Prijenosi osobnih podataka u zemlje izvan Europskog gospodarskog prostora (EEA) moraju ispunjavati određene zahtjeve prema Općoj uredbi o zaštiti podataka (GDPR). Ako treća zemlja u koju se osobni podaci prenose ne pruža odgovarajuću razinu zaštite podataka, potrebno je poduzeti određene mjere.
Od presude Schrems II i onemogućavanja Privacy Shield-a, takvi su prijenosi postali znatno kompliciraniji.
Uobičajena zaštita za prijenos podataka u treće zemlje su takozvane Standardne ugovorne klauzule (SCC).
4. lipnja 2021. Europska komisija objavila je nove Standardne ugovorne klauzule o zaštiti podataka koje slijede modularni pristup. Europski odbor za zaštitu podataka (EDPB) usvojio je 16. lipnja 2021. g. Preporuke o mjerama koje dopunjuju alate za prijenos podataka.
Provedba revidiranih SCC klauzule u skladu s preporukama EDPB-a nije, najblaže rečeno, lak zadatak.
Čini se, međutim, da će stvari u budućnosti postati još zamršenije.
Velika nepoznanica je uvodna izjava (7) Provedbene odluke Europske komisije o standardnim ugovornim klauzulama za prijenos osobnih podataka u treće zemlje u skladu s Uredbom (EU) 2016/679 Europskog parlamenta i Vijeća u kojoj se navodi sljedeće:
„Voditelj obrade ili izvršitelj obrade može primijeniti standardne ugovorne klauzule utvrđene u Prilogu ovoj Odluci kako bi se osigurale odgovarajuće zaštitne mjere u smislu članka 46. stavka 1. Uredbe (EU) 2016/679 za prijenos osobnih podataka izvršitelju obrade ili voditelju obrade s poslovnim nastanom u trećoj zemlji, ne dovodeći u pitanje tumačenje pojma međunarodnog prijenosa iz Uredbe (EU) 2016/679. Standardne ugovorne klauzule mogu se primjenjivati za takve prijenose samo ako obrada koju uvoznik obavlja nije obuhvaćena područjem primjene Uredbe (EU) 2016/679. To se odnosi i na prijenos osobnih podataka koji obavlja voditelj obrade ili izvršitelj obrade bez poslovnog nastana u Uniji ako se na obradu primjenjuje Uredba (EU) 2016/679 (u skladu s njezinim člankom 3. stavkom 2.) jer se odnosi na nuđenje robe ili usluga ispitanicima u Uniji ili praćenje njihova ponašanja dok se ono odvija unutar Unije.“
Ova uvodna izjava (7) izazvala je mnogo rasprava i nesigurnosti među tvrtkama, budući da se čini da bi tvrtke morale pronaći drugačija rješenja osim revidiranih SCC u slučajevima kada obrada od strane primatelja podataka (uvoznika) u trećoj zemlji pripada pod okvir GDPR-a.
Ako, na primjer, europski webshop koristi podizvršitelja u Sjedinjenim Državama, a obrada podataka američkih tvrtki podliježe GDPR-u (članak 3. stavak 2. GDPR-a), u određenim slučajevima webshop se ne može osloniti na revidirane klauzule kao prijenosni mehanizam.
Pročitajte kako se ENISA savjetovala s EDPS-om oko prijenosa podataka u SAD!
EDPB je nedavno objavio zapisnik svoje plenarne sjednice održane u rujnu 2021. Prema zapisniku (stavak 2.), očekuje se da će EDPB usvojiti smjernice u vezi s odnosom između dosega GDPR-a i ograničenja prijenosa podataka. Nadalje, u zapisniku se također navodi da će nakon usvajanja ovih smjernica, Europska razviti nove Standardne ugovorne klauzule koje će se posebno baviti prijenosom podaka iz Europskog gospodarskog prostora stranom uvozniku podataka koji već podliježe GDPR-u (članak 3. stavak 2. GDPR-a).
Zapisnik sugerira da će se tvrtke uskoro morati nositi s dva različita skupa SCC-a:
Kako to utječe na tvrtke?
Iako je lijepo vidjeti da će postojati smjernice u pogledu dosega GDPR-a i ograničenja prijenosa za tvrtke koje se bave međunarodnim prijenosom podataka, ovaj razvoj događaja dodatno otežava ionako težak proces procjene i dokumentiranja rizika prijenosa podataka (Transfer Impact Assessment).
Mnoge tvrtke iz EU-a još su u procesu analize svojih međunarodnih tokova podataka i usred su implementacije revidiranih SCC. Uskoro će se morati upravljati različitim setovima SCC-a, ovisno o aktivnostima uvoznika podataka.