Ako mislite da ne prenosite podatke i da se ove smjernice vas ne tiču, varate se ….
EDPB je konačno izdao svoje smjernice o međudjelovanju između primjene članka 3. i odredbi o međunarodnim prijenosima prema Poglavlju V . GDPR-a.
U članku 3. navodi se sljedeće:
Teritorijalno područje primjene
1. Ova se Uredba odnosi na obradu osobnih podataka u okviru aktivnosti poslovnog nastana voditelja obrade ili izvršitelja obrade u Uniji, neovisno o tome obavlja li se obrada u Uniji ili ne.
2. Ova se Uredba primjenjuje na obradu osobnih podataka ispitanikâ u Uniji koju obavlja voditelj obrade ili izvršitelj obrade bez poslovnog nastana u Uniji, ako su aktivnosti obrade povezane s:
(a) nuđenjem robe ili usluga takvim ispitanicima u Uniji, neovisno o tome treba li ispitanik izvršiti plaćanje; ili
(b) praćenjem njihova ponašanja dokle god se njihovo ponašanje odvija unutar Unije.
3. Ova se Uredba primjenjuje na obradu osobnih podataka koju obavlja voditelj obrade koji nema poslovni nastan u Uniji, već na mjestu gdje se pravo države članice primjenjuje na temelju međunarodnog javnog prava.
Sveobuhvatna svrha Poglavlja V. je osigurati da razina zaštite zajamčena GDPR-om ne bude narušena kada se osobni podaci prenose “trećim zemljama ili međunarodnim organizacijama”. Cilj je osigurati kontinuiranu zaštitu osobnih podataka nakon što su preneseni u treću zemlju ili međunarodnu organizaciju.
Kada se osobni podaci obrađuju na teritoriju EU-a, oni su zaštićeni ne samo zahtjevima iz GDPR-a nego i drugim zahtjevima i propisima koja moraju biti u skladu s GDPR-om (uključujući moguća odstupanja u njemu) te konačno s Poveljom EU-a. Kada se osobni podaci prenesu i učine dostupnim subjektima izvan teritorija EU-a, sveobuhvatni pravni okvir predviđen unutar Unije više se ne primjenjuje.
Stoga se mora osigurati da su preneseni osobni podaci zaštićeni na druge načine, kao što je prijenos u kontekstu odluke o primjerenosti Europske komisije ili pružanjem odgovarajućih zaštitnih mjera u skladu s Poglavljem V. GDPR-a. Kada se oslanjate na jedan od alata za prijenos navedenih u članku 46. GDPR-a, mora se procijeniti jesu li potrebne dodatne mjere kako bi se razina zaštite prenesenih podataka dovela do EU standarda.
U članku 46. navedeno je sljedeće:
Prijenosi koji podliježu odgovarajućim zaštitnim mjerama
1. Ako nije donesena odluka na temelju članka 45. stavka 3., voditelj obrade ili izvršitelj obrade trećoj zemlji ili međunarodnoj organizaciji osobne podatke mogu prenijeti samo ako je voditelj obrade ili izvršitelj obrade predvidio odgovarajuće zaštitne mjere i pod uvjetom da su ispitanicima na raspolaganju provediva prava i učinkovita sudska zaštita.
2. Odgovarajuće zaštitne mjere iz stavka 1. mogu, bez potrebe za ikakvim posebnim ovlaštenjem nadzornog tijela, pružati:
(a) pravno obvezujući i provedivi instrument između tijela javne vlasti ili javnih tijela;
(b) obvezujuća korporativna pravila u skladu s člankom 47.;
(c) standardne klauzule o zaštiti podataka koje donosi Komisija u skladu s postupkom ispitivanja iz članka 93. stavka 2.;
(d) standardne klauzule o zaštiti podataka koje donosi nadzorno tijelo i koje Komisija odobrava u skladu s postupkom ispitivanja iz članka 93. stavka 2.;
(e) odobreni kodeks ponašanja u skladu s člankom 40. zajedno s obvezujućim i provedivim obvezama voditelja obrade ili izvršitelja obrade u trećoj zemlji za primjenu odgovarajućih zaštitnih mjera, među ostalim u pogledu prava ispitanika; ili
(f) odobreni mehanizam certificiranja u skladu s člankom 42. zajedno s obvezujućim i provedivim obvezama voditelja obrade ili izvršitelja obrade u trećoj zemlji za primjenu odgovarajućih zaštitnih mjera, između ostalog u pogledu prava ispitanika.
3. Pod uvjetom da to odobri nadležno nadzorno tijelo, odgovarajuće zaštitne mjere iz stavka 1. konkretno mogu pružiti i:
(a) ugovorne klauzule između voditelja obrade ili izvršitelja obrade i voditelja obrade, izvršitelja obrade ili primatelja osobnih podataka u trećoj zemlji ili međunarodnoj organizaciji; ili
(b) odredbe koje treba unijeti u administrativne dogovore između tijela javne vlasti ili javnih tijela i koja sadrže provediva i djelotvorna prava ispitanika.
Sve navedeno se također primjenjuje u situacijama kada obrada spada pod članak 3. stavak 2. GDPR-a, kako bi se izbjeglo da zaštita koju pruža GDPR bude narušena drugim zakonodavstvom koje se primjenjuje na uvoznika. To, na primjer, može biti slučaj kada treća zemlja ima pravila o pristupu vlasti osobnim podacima koja nadilaze ono što je potrebno i proporcionalno u demokratskom društvu (kako bi se zaštitio jedan od važnih ciljeva koji je također priznat u pravu Unije ili država članica, poput onih navedenih u članku 23. stavku 1. GDPR-a). Odredbe Poglavlja V. služe za kompenzaciju ovog rizika i nadopunjavanje teritorijalnog opsega GDPR-a kako je definirano člankom 3. kada se osobni podaci prenose u zemlje izvan EU-a.
Nove smjernice imaju za cilj razjasniti ovu međusobnu povezanost između članka 3. i odredbi GDPR-a o međunarodnim prijenosima u poglavlju V.
Međutim, važno je imati na umu da, iako određeni tijek podataka možda ne predstavlja prijenos prema Poglavlju V, takva obrada još uvijek može biti povezana s rizicima za koje se moraju predvidjeti zaštitne mjere. Bez obzira na to odvija li se obrada u EU ili ne, voditelji obrade i izvršitelji uvijek se moraju pridržavati svih relevantnih odredbi GDPR-a, kao što je obveza iz članka 32. za provedbu tehničkih i organizacijskih mjera.
Smjernice će biti predmet javne rasprave do kraja siječnja.
Možete ih pročitati ovdje!
EDPB je identificirao 3 sljedeća kumulativna kriterija koji obradu podataka kvalificiraju kao prijenos:
1) Voditelj obrade ili izvršitelj obrade podliježe GDPR-u za predmetnu obradu.
2) Voditelj obrade ili izvršitelj obrade ("izvoznik") čini osobne podatke (prijenosom ili na drugi način) dostupnima drugom voditelju obrade, zajedničkom voditelju obrade ili izvršitelju obrade (“uvoznik”).
3) Uvoznik je u trećoj zemlji ili je međunarodna organizacija, bez obzira na to podliježe li uvoznik GDPR-u u pogledu predmetne obrade prema članku 3. GDPR-a.
U smjernicama možemo pronaći i nekoliko zanimljivih primjera koji nam pojašnjavaju radi li se ovdje o međunarodnom prijenosu podataka.
Primjer 1: Voditelj obrade u trećoj zemlji prikuplja podatke izravno od ispitanika u EU
Maria, koja živi u Italiji, unosi svoje osobne podatke u obrazac na online trgovini odjećom s ciljem da dovrši svoju narudžbu i dobije haljinu koju je kupila putem interneta u svojoj rezidenciji u Rimu. Online trgovinom odjećom upravlja tvrtka osnovana u Singapuru koja nije prisutna u EU. U ovome slučaju, ispitanik (Maria) prosljeđuje svoje osobne podatke singapurskoj tvrtki, ali to ne predstavlja prijenos osobnih podataka jer podatke ne prosljeđuje izvoznik (voditelj ili izvršitelj), budući da ih izravno i na vlastitu inicijativu prenosi sam ispitanik. Stoga se Poglavlje V. ne odnosi na ovaj slučaj. Ipak, singapurska će tvrtka morati provjeriti podliježu li njezini postupci obrade GDPR-u u skladu s člankom 3. stavkom 2.
Primjer 2: Voditelj obrade u EU šalje podatke izvršitelju u trećoj zemlji
Tvrtka X osnovana u Austriji (voditelj obrade), prenosi osobne podatke svojih zaposlenika ili kupaca tvrtki Z osnovanoj u Čileu, koja te podatke obrađuje kao izvršitelj u ime X. U ovom slučaju, podaci se prenose od voditelja koji, u pogledu ove obrade podliježe GDPR-u, izvršitelju u trećoj zemlji. Stoga će se ovo smatrati kao prijenos osobnih podataka u treću zemlju i na koje se primjenjuje Poglavlje V. GDPR-a.
Primjer 3: Izvršitelj obrade u EU šalje podatke natrag svom voditelju obrade u trećoj zemlji
XYZ Inc., voditelj obrade bez sjedišta u EU, šalje osobne podatke svojih zaposlenika/kupaca (nisu rezidenti EU), izvršitelju obrade ABC d.o.o. na obradu u EU, u ime XYZ. ABC ponovno prenosi podatke XYZ-u. Obrada koju obavlja ABC, izvršitelj, pokrivena je GDPR-om za specifične obveze izvršitelja u skladu s člankom 3. stavkom 1. budući da je ABC osnovan u EU. XYZ je voditelj obrade u trećoj zemlji, pa se prijenos podataka iz ABC u XYZ smatra prijenosom osobnih podataka na koje se primjenjuje Poglavlje V.
Primjer 4: Izvršitelj u EU šalje podatke podizvršitelju u trećoj zemlji
Tvrtka A osnovana u Njemačkoj (voditelj obrade), angažirala je B, francusku tvrtku, kao izvršitelja obrade u njezino ime. B želi dalje delegirati dio aktivnosti obrade koje obavlja u ime A podizvršitelju C, tvrtki osnovanoj u Indiji, te stoga mora poslati podatke tvrtki C za ovu svrhu. Obrada koju obavlja i A i njegov izvršitelj B provodi se za njihove poslovnice u EU-u i stoga podliježe GDPR-u u skladu s člankom 3. stavkom 1., dok obrada od strane C provodi se u trećoj zemlji. Dakle, prijenos podataka od izvršitelja B do podizvršitelja C je prijenos u treću zemlju - primjenjuje se Poglavlje V. GDPR-a.
Primjer 5: Zaposlenik voditelja obrade iz EU putuje u treću zemlju na službeno putovanje
George, zaposlenik A, tvrtke sa sjedištem u Poljskoj, putuje u Indiju na sastanak. Tijekom svog boravka u Indija, George uključuje svoje računalo i daljinski pristupa osobnim podacima u bazama podataka svoje tvrtke kako bi završio poslovni zadatak. Ovaj daljinski pristup osobnim podacima iz treće zemlje ne kvalificira se kao prijenos osobnih podataka, budući da George nije drugi voditelj, već zaposlenik, a time i sastavni dio voditelja (tvrtka A). Obradu podataka, uključujući daljinski pristup i aktivnosti obrade koje provodi George nakon pristupa, obavlja poljska tvrtka, odnosno voditelj sa sjedištem u EU prema članku 3. stavku 1. GDPR-a.
Primjer 6: Podružnica (voditelj) u EU dijeli podatke sa svojom matičnom tvrtkom (izvršiteljem) u trećoj zemlji
Irska tvrtka A, koja je podružnica američke matične tvrtke B, prenosi osobne podatke svojih zaposlenika koje će matična tvrtka B u SAD-u pohraniti u centraliziranu bazu podataka za HR odjel. U ovom slučaju irska tvrtka A obrađuje (i otkriva) podatke u svojstvu poslodavca i dakle kao voditelj, dok je matična tvrtka izvršitelj obrade. Tvrtka A podliježe GDPR-u u skladu s člankom 3. za ovu obradu, a tvrtka B nalazi se u trećoj zemlji. Stoga se ovo kvalificira kao prijenos u treću zemlju u smislu Poglavlja V. GDPR-a.
Primjer 7: Izvršitelj u EU šalje podatke natrag svom voditelju obrade u trećoj zemlji
Tvrtka A, voditelj bez sjedišta u EU, nudi robu i usluge tržištu EU. Francuska tvrtka B, obrađuje osobne podatke u ime tvrtke A. B ponovno prenosi podatke A. Obrada koju obavlja izvršitelj B pokrivena je GDPR-om u smislu specifičnih obveza izvršitelja u skladu s člankom 3. stavkom 1. budući da se te aktivnosti odvijaju u EU. Obrada koju obavlja A također je obuhvaćena GDPR-om, budući da se članak 3. stavak 2. primjenjuje na A. Međutim, budući da je A u trećoj zemlji, prijenos podataka od B do A smatra se prijenosom u treće zemlje i stoga se primjenjuje Poglavlje V.
Obveze koje imaju voditelji i izvršitelji obrade nisu zanemarive, dapače zahtijevaju puno pravne, ali i IT analize stoga budite pažljivi i eliminirajte rizike koje imate na vrijeme.
