Početna Blog Preporuke 01/2020 o mjerama koje dopunjuju alate za prijenos kako bi se osigurala usklađenost s EU razinom zaštite osobnih podataka

Preporuke 01/2020 o mjerama koje dopunjuju alate za prijenos kako bi se osigurala usklađenost s EU razinom zaštite osobnih podataka

Svi članci
23.06.2021.

Europski odbor za zaštitu podataka usvojio je 16. lipnja 2021. g. nove Preporuke 01/2020 o mjerama koje dopunjuju alate za prijenos kako bi se osigurala usklađenost s EU razinom zaštite osobnih podataka.

Cijeli dokument može pronaći ovdje:

https://edpb.europa.eu/system/files/2021-06/edpb_recommendations_202001vo.2.0_supplementarymeasurestransferstools_en.pdf

Ako vas zanima više, kolega, njemački stručnjak za zaštitu osobnih podataka Christopher Schmidt objavio je dokument gdje je jasno označio promjene u odnosu na nacrt iz 2020. g.

https://drive.google.com/drive/u/0/folders/1LYYElynX2kORiXyU2MasEZmk-m7zKcjx

 

Preporuke raspravljaju o mjerama, od kojih mnoge već postoje i provode se. Nove preporuke EDPB-a usklađene su s novim #SCC klauzulama kako bi voditelji obrade mogli imati veću pravnu sigurnost.

Ključne riječi za promjene u novim smjernicama su "u praksi" i "učinkovito".

Voditelji obrade bi trebali napraviti analizu specifičnu za prijenos, a ne potpunu odluku o adekvatnosti. Međutim, analiza mora biti detaljna, temeljita i dokumentirana. Mora uzeti u obzir ne samo zakone, već i iskustvo u praksi u vezi s pristupom javnih vlasti podacima koji se tiču određenih prijenosa ili uvoznika podataka.

Izvoznik mora potkrijepiti podatke primljene od uvoznika iz dodatnih izvora navedenih u Prilogu 3.

Djelotvorne mjere moraju spriječiti pristup podacima od strane javnog tijela, a ne samo ublažavanje štete ispitaniku od pristupa. To je razlog zašto se naglašava važnost tehnoloških mjera.

Ne smije se zaboraviti zaštititi prijenos, na primjer enkripcijom end-to-end.

Stoga, trebalo bi udružiti resurse i treće strane kako bi se lakše postigla učinkovita procjena.

 

Dodatak II Preporuka EDPB-a predstavlja sedam hipotetičkih "slučajeva upotrebe" za prijenos podataka.

EDPB navodi kako i na koji način stranke mogu poduzeti korake za zaštitu osobnih podataka u svakom pojedinom slučaju.

Što se tiče prijenosa podataka u SAD-a, ključan je "Slučaj upotrebe 6“.

Ovaj slučaj izuzetno je važan i predstavlja ogroman problem svima koji koriste američke izvršitelje obrade poput Googlea, Facebooka i Microsofta.

EDPB ovaj slučaj naziva "Prijenos na davatelje usluga u oblaku ili druge voditelje obrade kojima je potreban pristup podacima bez enkripcije".

U ovom su slučaju tri uvjeta:

1. Voditelj obrade (izvoznik) prenosi osobne podatke izvršitelju obrade (uvozniku).

2. Uvoznik zahtijeva pristup podacima "in the clear" (bez enkripcije ) kako bi mogao obavljati svoje usluge.

3. Uvoznik je podložan problematičnom zakonodavstvu gdje javno tijelo ima ovlasti pristupiti podacima, ovlasti koji nadilaze "preko onoga što je potrebno i proporcionalno u demokratskom društvu".

U ovom slučaju, EDPB kaže da je teško predvidjeti učinkovitu tehničku mjeru kako bi spriječio da taj pristup krši temeljna prava ispitanika.

O tome treba reći nekoliko stvari:

"Prijenos" iz točke 1. ne znači da se treba raditi o fizičkom premještanju osobnih podataka u treću zemlju. Navedeno je sljedeće: "… daljinski pristup subjekta iz treće zemlje podacima koji se nalaze u EGP-u također se smatra prijenosom".

Tvrtke poput Googlea, Facebooka i Microsofta zahtijevaju pristup bez enkripcije (točka 2).

EU smatra američko pravo nepotrebnim i nerazmjerno nametljivim (točka 3).

Ako se europska nadzorna tijela i (u konačnici) Sud Europske unije slože s EDPB-om o Slučaju upotrebe 6, to bi moglo predstavljati egzistencijalnu prijetnju europskim operacijama mnogih američkih poduzeća - i učiniti tisuće tvrtki iz EU odgovornima za nezakonite prijenose.

No, što je s izuzećima iz članka 49. i kako provesti TIA (analizu procjene prijenosa)? Što ukoliko Vaša TIA bude pozitivna i dozvoljava prijenos podataka?

Unatoč navedenom, ne očekuje se da će većina EU tvrtki prestati koristiti Google, Facebook, Microsoft itd.

I po nama…

Postoji nada i rješenje… Javite nam se.

 

 

 

 

Imate pitanja? Kontaktirajte nas!
Odgovaramo u najbržem mogućem roku.

Newsletter
Prijavi se i ostvari eksluzivan pristup novostima iz svijeta GDPR-a.