Osim što to rade u pravilu sve multinacionalne korporacije, tehnološke kompanije za svoje zaposlenike koji rade kontrolu kvalitete ili kad spremamo dokumente s osobnim podacima na raznim Cloud servisima, posebno je zanimljivo kako to rade i turističke agencije prenoseći osobne podatke hotelima ili turističkim agencijama izvan EU za rezervaciju vašeg smještaja, a škole i fakulteti za organizaciju izleta ili maturalaca u susjednim nam zemljama izvan EU, ili vaša strukovna udruženja za sudjelovanje na međunarodnom simpoziju u Budvi, samo kao primjer.
Smiju li se osobni podaci prenositi u zemlje izvan EU?
Naravno da smiju. P
ostoje li neka pravila za prijenos podataka izvan EU?
Da, apsolutno, i vrlo su stroga i kompleksna.
Prvi kriterij za slobodno slanje osobnih podataka izvan EU je da pregledate da li je zemlja u koju šaljete osobne podatke na vrlo kratkom popisu zemalja za koje je Europska komisija utvrdila da osiguravaju traženu razinu zaštite podataka.
To su npr. Argentina, Kanada, Izrael, Novi Zeland, Švicarska, Urugvaj, te djelomično SAD i to vrijedi samo za tvrtke ili institucije obuhvaćene EU-US Privacy Shield platformom.
Popis je ovdje: https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/adequacy-protection-personal-data-non-eu-countries_en
Koje su tvrtke ili institucije obuhvaćene EU-US Privacy Shield platformom, morate provjeriti prije nego li šaljete osobne podatke svojih zaposlenika ili klijenata u SAD. N
a gornjem popisu ne nalazimo nijednu zemlju iz naše regije koja nije članica EU, konkretno mislimo na BiH, Srbiju, Crnu Goru, Kosovo, Makedoniju, Albaniju, a vjerojatno se mnogi od vas susreću sa slučajevima da se osobni podaci zaposlenika ili klijenata šalju u te zemlje.
Da biste mogli prenositi osobne podatke svojih klijenata u svrhe organizacije smještaja ili ljetovanja ili svojih zaposlenika u svrhe organizacije seminara u te zemlje, morate sklopiti ugovor s tzv. standardnim ugovornim klauzulama o zaštiti podataka koje je definirala Europska komisija još 2001., 2004. i 2010. godine, i tekstove tih standardnih ugovornih klauzula ne smijete ni na koji način mijenjati (iako su zastarjeli u odnosu na GDPR).
Predlošci se nalaze na ovom linku:
Zanimljivo je da se danas svi Cloud provideri, Facebook, Google, Mailchimp i slični pozivaju na prijenos vaših osobnih podataka diljem svijeta upravo temeljem standardnih ugovornih klauzula, a da pri tom ne omogućavaju dokaze da su iste zaista i sklopljene.
A ukoliko niste u mogućnosti sklopiti standardne ugovorne klauzule, tada vam preostaje jedino da uzmete GDPR u ruke i detaljno proučite članak 49. GDPR-a, i nađete eventualnu iznimku za posebne situacije za slanje osobnih podataka izvan EU, i to samo u ograničenim slučajevima, jasnim svrhama, bez ponavljanja, i za ograničen broj osoba.
Dodatna pojašnjenja nalaze se u EDPB smjernicama
Na kraju, pitanje za razmišljanje - da li ste se igdje susreli s Obaviješću da se vaši podaci prenose izvan EU, i da je naveden jedan od prethodno navedenih načina osiguranja zakonitosti takvog prijenosa podataka?