Koristimo li neka aplikativna rješenja koja su nam isporučile i održavaju nam tvrtke iz Kine, Indije ili Rusije?
Tada svakako preporučamo takvim organizacijama da pročitaju ovaj post.
Presudom u slučaju "Schrems II" Europskog suda:
https://curia.europa.eu/juris/liste.jsf?num=C-311/18
od 16.07.2020. gotovo svi prijenosi osobnih podataka iz EU u SAD postali su praktički nezakoniti, a teško je naći poslovni subjekt koji ih ne radi.
Također, ozbiljno su dovedeni u pitanje i svi ostali prijenosi osobnih podataka iz EU/EEA u tzv. treće zemlje.
Da bi smo ih legalizirali, svaki voditelj ili izvršitelj obrade, da kolokvijalno pojednostavimo, svaki pravni subjekt u RH i EU, mora pronaći valjani temelj zakonitosti prijenosa osobnih podataka u treću zemlju traženjem rješenja u člancima 46-49. GDPR-a.
OPREZ:
Lokalizacija podataka ne može biti rješenje za bijeg iz ove kompleksne priče, jer se prijenosom osobnih podataka smatra i situacija kada su osobni podaci fizički pohranjeni u EU ali im pristupa pravni entitet izvan EU/EEA.
Članak 46. stavak 1. GDPR-a određuje ovu obvezu, citiramo: "osobne podatke mogu prenijeti samo ako je voditelj obrade ili izvršitelj obrade predvidio odgovarajuće zaštitne mjere i pod uvjetom da su ispitanicima na raspolaganju provediva prava i učinkovita sudska zaštita."
Uvjerljivo najzastupljenije rješenje koje ćemo morati implementirati jesu: Standardne ugovorne klauzule (Standard Contractual Clauses, SCC) + Dodatne mjere
Kako bi ozakonili prijenos podataka u treće zemlje, odnosno, zemlju izvan EEA (osim Andore, Argentine, Kanade za komercijalne organizacije, Farskih otoka, Guernsey, Izraela, Isle of Man, Japana, Jerseya, Novog Zelanda, Švicarske, Urugvaja i UK u koje je prijenos dozvoljen bez posebnih preduvjeta), pravni subjekti kao izvoznici podataka dužni su izraditi procjenu učinka prijenosa (Transfer Impact Assessment, TIA) kojom se moraju preispitati i dokumentirati posebne okolnosti svakog prijenosa, relevantne zakoni i prakse odredišne zemlje te relevantni ugovorne, tehničke i organizacijske zaštitne mjere za povećanje zaštite prenesenih podataka radi procjene razine zaštite u toj trećoj zemlji.
Od slučaja do slučaja analiza zaštite koju pruža treća zemlja uvoznika podataka i provedba odgovarajućih dodatnih zaštitnih mjera kada postoje naznake da tamošnje zakonodavstvo može utjecati na temeljna prava i slobode građana EU – primjerice kada postoji potencijalni rizik od tajnog nadzora ili praćenja – uvoznik podataka u trećoj zemlji mora uvesti dodatne mjere kako bi zaštitio osobne podatke koji dolaze iz EU/EEA. To mogu biti tehničke, organizacijske i/ili ugovorne mjere.
Takav postupak je vrlo opterećujuć za mikro, male i srednje poduzetnike, ali i velike organizacije koje obavljaju stotine, ako ne i tisuće, prijenosa osobnih podataka iz EU/EEA.
Koje štivo moramo dobro proučiti?
- Standardne ugovorne klauzule
Europska komisija je u lipnju 2021. usvojila dva skupa Standardnih ugovornih klauzula (SCC):
- za reguliranje odnosa između voditelja obrade prema izvršitelju obrade ili kaskadno prema njegovom podizvršitelju, ali nisu obvezujuće: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32021D0915
- za ozakonjenje prijenosa osobnih podataka u treće zemlje, izrađene modularno: https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?uri=CELEX:32021D0914
Svi pravni subjekti koji već imaju stare SCC sklopljene, iste moraju zamijeniti novima do 27.12.2022. godine.
- EDPB Preporuke o mjerama kojima se dopunjuju alati za prijenos kako bi se osigurala usklađenost s razinom zaštite osobnih podataka EU-a
https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_en
Te preporuke daju hodogram usklađivanja u 6 koraka:
Korak 1 - Analizirati i mapirati svoje prijenose podataka u treće zemlje
Korak 2 - Utvrditi odgovarajuće zaštitne mjere iz članaka 46. ili 49. iz poglavlja V. GDPR-a.
Korak 3 - Procjeniti ima li u zakonima i/ili sudskoj praksi treće zemlje išta što bi moglo utjecati na učinkovitost odgovarajućih zaštitnih mjera,
Korak 4 - Utvrditi i donijeti dodatne mjere potrebne za dostizanje razine zaštite prenesenih podataka do standarda EU u bitnoj istovjetnosti
Korak 5 - Poduzeti sve formalne korake u uvođenju dodatnih mjera
Korak 6 - U odgovarajućim vremenskim razmacima ponovno provjeravati razinu zaštite osobnih podataka koje prenosimo u treće zemlje
Posebnu pozornost treba obratiti na izvoz osobnih podataka u Kinu, Indiju i Rusiju, kao i za slučajeve da tvrtke iz tih zemalja imaju pristup osobnim podacima koje je naša organizacija pohranila u RH ili EU.
U tom slučaju vrlo je važno i korisno pročitati najsvježiju dokument analize tamošnjih zakonodavstava i negativnih utjecaja na temeljna prava i slobode građana EU, primjerice kada postoji potencijalni rizik od tajnog nadzora ili praćenja njihovih sigurnosnih agencija.
EDPB je izradio i javno objavio takvu analizu dostupnu na linku:
https://edpb.europa.eu/our-work-tools/our-documents/legal-study-external-provider/legal-study-government-access-data-third_en
Na najsažetiji mogući način ćemo reći da za zakonit izvoz osobnih podataka u te zemlje ne postoje dobre perspektive.