EDPB (European Data Protection Board) javno je objavio Smjernice na temu iz naslova pod nazivom:

„Guidelines 05/2021 on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR“

i dostupne su na linku:

https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-052021-interplay-between-application-article-3_en

 

Mnoge će organizacije reći da se to njih ne tiče, međutim, tiče se nas kao pojedinaca i naših osobnih podataka i naših GDPR prava.

Izdvajamo iz Smjernica:

Prijenos osobnih podataka u treće zemlje ili međunarodne organizacije nije tekstom GDPR-a pravno definiran, ali mora ispunjavati kumulativno tri slijedeća uvjeta:

  1. Da je izvoznik osobnih podataka, bez obzira bio voditelj ili izvršitelj, obveznik primjene GDPR-a za konkretnu obradu
  2. Da izvoznik osobnih podataka na bilo koji način otkriva osobne podatke uvozniku osobnih podataka, bez obzira bio on voditelj obrade, zajednički voditelj ili izvršitelj
  3. Da nije bitno je li uvoznik osobnih podataka u trećoj zemlji ujedno i obveznik primjene GDPR-a za konkretnu obradu osobnih podataka

Ukoliko su sva tri kriterija ispunjena kumulativno, tada se za prijenose podataka u treće zemlje ili međunarodne organizacije primjenjuju obveze iz Poglavlja V. GDPR-a.

 

Sveobuhvatna svrha Poglavlja V. GDPR-a je osigurati da razina zaštite zajamčena GDPR-om nije umanjena kad se osobni podaci prenose trećim zemljama ili međunarodnim organizacijama.

Stoga odredbe Poglavlja V. GDPR-a stoga imaju za cilj osigurati stalnu zaštitu osobnih podataka nakon što su preneseni u treću zemlju ili međunarodnu organizaciju. Kada se osobni podaci obrađuju u EU, zaštićeni su ne samo pravilima GDPR-a, već i drugim pravilima, kako na razini EU tako i na razini država članica, koja moraju biti u skladu s GDPR-om (uključujući moguća odstupanja u njemu) i u konačnici s Poveljom EU o temeljnim ljudskim pravima i slobodama. Kada se osobni podaci prenose ili stavljaju na raspolaganje subjektima izvan teritorija EU ili međunarodnim organizacijama, razina zaštite prava i sloboda pojedinaca vjerojatno neće biti jednaka onoj koju pruža sveobuhvatni pravni okvir unutar Unije.

Ako voditelj obrade ili izvršitelj obrade prenese podatke uvozniku u trećoj zemlji čija obrada potpada pod članak 3. stavak 2. GDPR-a, zaštita koju pruža GDPR može na sličan način biti umanjena pravnim okvirom koji se primjenjuje na uvoznika. To, primjerice, može biti slučaj kada treća zemlja ima pravila o pristupu vlasti osobnim podacima koja nadilaze ono što je nužno i razmjerno u demokratskom društvu (kako bi se zaštitio jedan od važnih ciljeva koji su također prepoznati u pravu Unije ili država članica, poput onih navedenih u članku 23. stavku 1. GDPR-a). Odredbe u Poglavlju V. služe kao kompenzacija za ovaj rizik i nadopunjuju teritorijalni opseg GDPR-a kako je definiran u članku 3.

Vrijedno je naglasiti da voditelji obrade i izvršitelji obrade, koji nemaju poslovni nastan u EU, mogu podlijegati GDPR-u u skladu s člankom 3. stavkom 2. za određenu obradu i stoga će se morati pridržavati Poglavlja V GDPR-a prilikom prijenosa osobnih podataka voditelju obrade ili izvršitelju obrade u istoj ili drugoj trećoj zemlji ili međunarodnoj organizaciji, uzimajući u obzir da se obveze prema GDPR-u ne razlikuju za voditelje obrade/izvršitelje obrade s poslovnim nastanom u EU i voditelje obrade/izvršitelje obrade izvan EU čija obrada potpada pod članak 3. (2).

Također se može primijetiti da se GDPR, uključujući Poglavlje V., primjenjuje na obradu osobnih podataka koju provode veleposlanstva i konzulati država članica EU koji se nalaze izvan EU budući da takva obrada spada u područje primjene GDPR-a na temelju članka 3. stavka 3. .

Neki primjeri kako osobni podaci mogu biti "učinjeni dostupnima" uvozniku podataka su kreiranje računa, dodjeljivanje prava pristupa postojećem računu, "potvrđivanje"/"prihvaćanje" učinkovitog zahtjeva za daljinski pristup, ugradnja tvrdog diska ili davanje lozinke datoteka.

Treba imati na umu da daljinski pristup iz treće zemlje (čak i ako se odvija samo putem prikazivanja osobnih podataka na zaslonu, na primjer u situacijama podrške, rješavanja problema ili u administrativne svrhe) i/ili pohranjivanje u oblaku koji se nalazi izvan EEA koje nudi pružatelj usluga, također se smatra prijenosom, pod uvjetom da su ispunjena tri kriterija navedena u gornjem stavku 9.

Suprotno tome, Poglavlje V. GDPR-a ne primjenjuje se na „internu obradu”, tj. gdje se podaci ne otkrivaju prijenosom ili na drugi način ne stavljaju na raspolaganje drugom voditelju obrade ili izvršitelju obrade, uključujući kada se takva obrada odvija izvan EU. U ovom slučaju, voditelj obrade ili izvršitelj obrade ostaje odgovoran za obradu, uključujući osiguravanje usklađenosti sa svim relevantnim odredbama i zaštitnim mjerama GDPR-a koji se izravno primjenjuje. Npr. ako službeno putujemo izvan EU/EEA i držimo podatke na svom laptopu ili USB sticku. Osim toga, ovaj se kriterij ne može smatrati ispunjenim ako nema voditelja obrade ili izvršitelja obrade koji šalje ili stavlja podatke na raspolaganje (tj. nema „izvoznika”) drugom voditelju obrade ili izvršitelju obrade, kao što je kada podatke izravno otkrije ispitanik.

 

#gdprcroatia