Osim što to rade u pravilu sve multinacionalne korporacije, tehnološke kompanije za svoje zaposlenike koji rade kontrolu kvalitete ili kad spremamo dokumente s osobnim podacima na raznim Cloud servisima, posebno je zanimljivo kako to rade i turističke agencije prenoseći osobne podatke hotelima ili turističkim agencijama izvan EU za rezervaciju vašeg smještaja, a škole i fakulteti za organizaciju izleta ili maturalaca u susjednim nam zemljama izvan EU, ili vaša strukovna udruženja za sudjelovanje na međunarodnom simpoziju u Budvi, samo kao primjer.
 
Smiju li se osobni podaci prenositi u zemlje izvan EU?
 
Naravno da smiju.
 
Postoje li neka pravila za prijenos podataka izvan EU?
 
Da, apsolutno, i vrlo su strogo definirana i kompleksna.
 
Prvi kriterij za slobodno slanje osobnih podataka izvan EU je da pregledate da li je zemlja u koju šaljete osobne podatke na vrlo kratkom popisu zemalja za koje je Europska komisija utvrdila da osiguravaju traženu razinu zaštite podataka.
 
To su npr. Argentina, Kanada, Izrael, Novi Zeland, Švicarska, Urugvaj, popis je ovdje:
 
https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/adequacy-protection-personal-data-non-eu-countries_en
 
a od jučer su presudom Europskog Suda, kojom je EU-US Privacy Shield platforma proglašena nezakonitom, SAD stavljene izvan popisa takvih zemalja.
 
Na gore navedenom popisu ne nalazimo nijednu zemlju iz naše regije koja nije članica EU, konkretno mislimo na BiH, Srbiju, Crnu Goru, Kosovo, Makedoniju, Albaniju, a vjerojatno se mnogi od vas susreću sa slučajevima da se osobni podaci zaposlenika ili klijenata šalju upravo u te zemlje.
 
Da biste mogli prenositi osobne podatke svojih klijenata u svrhe organizacije smještaja ili ljetovanja ili svojih zaposlenika u svrhe organizacije seminara u te zemlje, jedno od naizglednijih rješenja je sklapanje ugovora s tzv. standardnim ugovornim klauzulama o zaštiti podataka koje je definirala Europska komisija još 2001., 2004. i 2010. godine.
 
Tekstove tih standardnih ugovornih klauzula ne smijete ni na koji način mijenjati (iako su zastarjeli u odnosu na GDPR) ali ih možete u cijelosti uklopiti u vaše ugovore s trećim stranama.
 
Predlošci se nalaze na ovom linku:
 
https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/model-contracts-transfer-personal-data-third-countries_en
 
A ukoliko niste u mogućnosti sklopiti standardne ugovorne klauzule, tada vam preostaje jedino da uzmete GDPR u ruke i detaljno proučite članak 49. GDPR-a, i nađete eventualnu iznimku za posebne situacije za slanje osobnih podataka izvan EU, i to samo u ograničenim slučajevima, jasnim svrhama, bez ponavljanja, i za ograničen broj osoba.
 
Dodatna pojašnjenja nalaze se u EDPB smjernicama
 
https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-22018-derogations-article-49-under-regulation_en
 
Na kraju, pitanje za razmišljanje - da li ste se igdje susreli s Obaviješću da se vaši podaci prenose izvan EU, i da je naveden jedan od prethodno navedenih načina osiguranja zakonitosti takvog prijenosa podataka?
 
Bit će posla za AZOP...