18. studenog 2021. Europski odbor za zaštitu podataka (dalje u tekstu: EDPB; Odbor; Europski odbor) usvojio je nove Smjernice 05/2021 o međudjelovanju primjene članka 3. i odredbi o međunarodnim prijenosima prema Poglavlju V. Opće uredbe o zaštiti podataka,1 a koje su bile otvorene za javnu raspravu do 31. siječnja 2022.
Cilj Odbora je bio prikazati kroz Smjernice tri kriterija za potrebe utvrđivanja hoće li se određena radnja smatrati međunarodnim prijenosom osobnih podataka, te pojasniti da se ograničenja međunarodnog prijenosa podataka primjenjuju na prijenose subjektima koji se nalaze u trećoj zemlji, ali na koje se primjenjuje Opća uredba o zaštiti podataka u njenom izvanteritorijalnom dosegu.
Isto tako, u smjernicama je posebno naglašeno kako se od organizacija može zahtijevati implementacija dodatnih alata kako bi osigurali da su takvi prijenosi primjereno zaštićeni, čak i ako se na primatelja primjenjuje Opća uredba.
Kada se osobni podaci prenose u treće zemlje, prijenos se mora izvršiti u skladu s Poglavljem V. Uredbe.
Poglavlje V. navodi nekoliko alata na koje se kompanije mogu osloniti pri prijenosu podataka u treće zemlje. Jedna od njih su takozvane odluke o primjerenosti Europske komisije (čl. 45. Opće uredbe o zaštiti podataka), kada postoji odluka Komisije da određene zemlje osiguravaju primjerenu razinu zaštite osobnih podataka.
Prijenosi u treće zemlje u odnosu na koje ne postoji odluka o primjerenosti mogu se temeljiti na “odgovarajućim zaštitnim mjerama” (članak 46. Uredbe) za zaštitu osobnih podataka koji se prenose, uključujući Standardne ugovorne klauzule (“SCC”). Kada se koriste neki od ovih alata, također se mora procijeniti jesu li potrebne kakve dodatne mjere za postizanje ekvivalentne razine zaštite za prenesene osobne podatke, uz uvažavanje odluke u predmetu Schrems II Suda Europske unije i smjernica Odbora koje su uslijedile nakon njenog donošenja.2
U određenim situacijama i pod određenim uvjetima, može se primijeniti odstupanje prema čl. 49. Opće uredbe o zaštiti podataka.
Međunarodni prijenos osobnih podataka
Sama Uredba ne sadrži pravnu definiciju „ prijenosa osobnih podataka u treću zemlju ili međunarodnu organizaciju“. Kako bi pomogao voditeljima obrade i izvršiteljima obrade osobnih podataka u EU da utvrde kada će se primjenjivati ograničenja na međunarodne prijenose tih podataka, Europski odbor identificirao je tri kumulativna kriterija koji će se, ako budu ispunjeni, kvalificirati kao međunarodni prijenos:
1. Na voditelja obrade ili izvršitelja obrade primjenjuje se Opća uredba u vezi njihovih aktivnosti obrade osobnih podataka;
2. Ovaj voditelj obrade ili izvršitelj obrade ("izvoznik") otkriva, prenosi ili na drugi način stavlja relevantne osobne podatke na raspolaganje drugom voditelju obrade, zajedničkom voditelju obrade ili izvršitelju obrade ("uvoznik")
3. „Uvoznik“ je u trećoj zemlji ili je međunarodna organizacija (bez obzira na to primjenjuje li se na „uvoznika“ Opća uredba u skladu s njenim člankom 3.).
Za istaknuti je u odnosu na kriterij pod točkom 2. da su pojmovi „voditelj obrade“ i „izvršitelj obrade“ dodatno razrađeni u Smjernicama broj 07/2020 o konceptima voditelja obrade i izvršitelja obrade prema Općoj uredbi o zaštiti podataka.3
Treba, između ostalog, imati na umu da se radi o funkcionalnim konceptima u smislu da im je cilj raspodijeliti odgovornosti prema stvarnim ulogama stranaka i i o autonomnim konceptima, u smislu da ih treba tumačiti u najvećoj mjeri prema zakonodavstvu EU o zaštiti osobnih podataka. Svakako je ovdje uvijek nužna analiza od slučaja do slučaja dotične obrade i uloga uključenih aktera.
Drugi kriterij dalje podrazumijeva da se koncept „prijenosa osobnih podataka u treću zemlju ili međunarodnu organizaciju” primjenjuje samo na otkrivanje osobnih podataka gdje su dvije različite (zasebne) strane (svaka od njih voditelj obrade, zajednički voditelj obrade ili izvršitelj obrade) uključene. Kako bi se kvalificirao kao prijenos, mora postojati voditelj obrade ili izvršitelj obrade koji otkriva podatke (izvoznik) i drugi voditelj obrade ili izvršitelj obrade koji prima podatke ili mu se daje pristup (uvoznik).
U svakom slučaju, ako su ispunjena gore navedena tri kriterija, aktivnost se prema Uredbi smatra "prijenosom u treću zemlju ili u međunarodnu organizaciju". Stoga se stranke moraju pridržavati uvjeta poglavlja V. Uredbe.
Te zahtjeve moraju ispunjavati i svi podizvršitelji obrade osobnih podataka koji obavljaju međunarodni prijenos podataka.
Ako pak gornji kriteriji nisu kumulativno ispunjeni, nema "prijenosa" i Poglavlje V. Opće uredbe o zaštiti podataka se ne primjenjuje. Voditelj obrade je unatoč tome odgovoran za svu obradu koju kontrolira, bez obzira na to gdje se odvija, a obrada podataka u trećim zemljama može uključivati rizike koje je potrebno identificirati i s njima postupati (ublažiti ih ili eliminirati, ovisno o okolnostima), kako bi takva obrada bila zakonita, uvažavajući zahtjeve koji proizlaze iz odredbi same Uredbe.
Smjernice također razjašnjavaju slijedeće situacije:
1. Kada zaposlenik kompanije koja podliježe Uredbi putuje u treću zemlju i pristupa osobnim podacima na daljinu na svom računalu u toj zemlji, to se ne smatra međunarodnim prijenosom, jer se zaposlenik smatra sastavnim dijelom tog poduzeća, a ne smatra se zasebnim voditeljem obrade.
2. Ako kompanija u trećoj zemlji prikuplja podatke izravno od ispitanika unutar Europske unije i na isključivu inicijativu istoga (npr. ispitanici unose osobne podatke na web-stranicu kojom upravlja kompanija sa sjedištem u trećoj zemlji koja nije prisutna u Uniji), to nije međunarodni prijenos podataka jer nema „izvoznika“;
3. Kada voditelj obrade podataka koji se nalazi u trećoj zemlji upućuje izvršitelja obrade osobnih podataka, koji podliježe Uredbi zbog svog poslovnog nastana u EU, da obrađuje osobne podatke u njegovo ime, a izvršitelj obrade zatim ponovno šalje osobne podatke voditelju obrade, razmjena podataka će se smatrati međunarodnim prijenosom osobnih podataka, jer bi se voditelj obrade u tom slučaju smatrao „uvoznikom“ u trećoj zemlji, a izvršitelj „izvoznikom“.
Utjecaj članka 3. Opće uredbe o zaštiti podataka na međunarodne prijenose
Predmetne smjernice potvrđuju da se zahtjevi Poglavlja V. Opće uredbe primjenjuju na prijenose subjektima koji se nalaze u trećoj zemlji, ali podliježu Uredbi zbog njenog ekstrateritorijalnog učinka, kao na primjer u situacijama kada poduzeće obrađuje osobne podatke ispitanika koji se nalaze u Europskoj uniji i ispunjava druge kriterije navedene u članku 3. stavku 2. Uredbe.
U vezi s takvim prijenosima, Odbor navodi da iako se na „uvoznika“ primjenjuje Uredba, alat za prijenos i dalje je potreban, jer lokalni zakon treće zemlje ne sadrži ostala pravila koja postoje na razini EU i država članica s ciljem zaštite osobnih podataka, kao i Povelje Europske unije o temeljnim pravima .
Stoga, kada se razvijaju relevantni alati za prijenos, odnosno standardne ugovorne klauzule ili ad hoc ugovorne klauzule, treba uzeti u obzir situaciju iz članka 3. stavka 2. Opće uredbe o zaštiti podataka, a kako se ne bi duplicirale obveze koje nameće sama Uredba, već kako bi se adekvatno adresirali elementi i načela koji „nedostaju” i stoga su potrebni za popunjavanje praznina u vezi s proturječnim nacionalnim zakonima u trećoj zemlji, kao i poteškoćama u provedbi i dobivanju odštete protiv subjekta koji se nalazi izvan EU.
Takvi alati bi se, na primjer, trebali odnositi na mjere koje treba poduzeti u slučaju sukoba zakona između zakonodavstva treće zemlje i Opće uredbe o zaštiti podataka, te u slučaju pravno obvezujućih zahtjeva od strane treće zemlje za otkrivanje podataka.
Tihana Kozina Barišić
___________________________________
^ 1 https://edpb.europa.eu/our-work-tools/documents/public-consultations/2021/guidelines-052021-interplay-between-application_en
^ 2Dostupno na https://edpb.europa.eu/system/files/2021-06/edpb_recommendations_202001vo.2.0_supplementarymeasurestransferstools_en.pdf
^ 3 Dostupno na: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-072020-concepts-controller-and-processor-gdpr_en
