Kao što smo više puta pisali, 15.07.2020. Europski je sud svojom presudom ukinuo EU-US Privacy Shield kao plaformu kojom su SAD bile zemlja u koju su (uglavnom) osobni podaci iz EU slobodno mogli biti preneseni. Ovdje se radi o prijenosu osobnih podataka putem npr. društvenih mreža, kolačića, cloud servisa, aplikacija i raznih programskih rješenja, operativnih sustava i svega što nam zapravo pada na pamet. Praktički je gotovo sav prijenos podataka u SAD danas nezakonit.
 
No, presuda Europskog suda unijela je i tektonski poremećaj u osiguravanja prijenosa osobnih podataka iz EU/EEA u bilo koju treću zemlju osim samo nekoliko zemalja u koje je dozvoljen prijenos bez prepreka, kao npr. Švicarska, Argentina, Novi Zeland, Japan.
 
Praktički jedini preostali način da svaka organizacija u Hrvatskoj, bez obzira radilo se o međunarodnoj korporaciji, udruzi ili malom obrtu, smije prenijeti osobne podatke izvan EU/EEA je da:
 
1. Sklopi Standardne ugovorne klauzule s tvrtkom koja primate podatke izvan EEA i
 
2. Osigura dodatne prikladne sigurnosne mjere.
 
Jučer je EDPB (European Data Protection Board) donio prijedlog Preporuka mjera za osiguranje zakonitosti prijenosa podataka izvan EEA, a od danas su na javnom savjetovanju na ovom linku:
 
https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2020/recommendations-012020-measures-supplement-transfer_en
 
Javno savjetovanje traje do 30.11.2020. i svatko može sudjelovati svojim komentarima i prijedlozima.
 
 
Preporuke definiraju nekoliko ključnih koraka koje je svaka organizacija u EEA dužna poduzeti:
 
A. Mapirati sve prijenose osobnih podataka u treće zemlje (npr. operativni sustavi na računalima i pametnim telefonima, cloud, aplikacije, programska rješenja, baze, društvene mreže...) i koji osobni podaci se prenose.
 
B. Utvrditi temelj iz članaka 45-49. sukladno kojem prenosimo osobne podatke izvan EEA, primarno promatrajući članak 45. i 46. GDPR-a. Tim redoslijedom. Tek nakon toga može se u iznimnim slučajevima povremenih prijenosa proučavati opcije iz članka 49. GDPR-a.
 
C. Utvrditi postoje li nacionalne zakonske ili druge okolnosti u toj trećoj zemlji koje bitno utječu na učinkovitost primjerenih sigurnosnih mjera, uključujući i provjeru činjenica koliko često sigurnosne agencije u trećoj zemlji uzimaju osobne podatke koje smo prenijelu u tu treću zemlju, i to dokumentirati u okviru svoje odgovornosti za dokazivanjem usklađenosti prema članku 5. GDPR-a.
 
D. Prepoznati i uvesti dodatne mjere kako bi se osigurala esencijalno jednaka zaštita osobnih podataka u toj trećoj zemlji, u usporadbi sa zaštitom podataka u EU.
 
OPREZ: U slučaju izostanka prethodno navedenih mjera, prijenos osobnih podataka mora se obustaviti. To može biti vrlo bolno.
 
E. Poduzeti formalne proceduralne korake u uvođenju dodatnih mjera, ako treba i uz pomoć nadzornog tijela (AZOP-a)
 
F. Redovito provjeravati održivost uvedenih mjera i utvrđivati eventualne promjene u trećim zemljama ili u primjeni mjera.
 
OPREZ: Nadzorna tijela imaju ovlast zabraniti organizaciji daljnje prijenose osobnih podataka u određenu treću zemlju ukoliko organizacija ne ispuni prethodne točke.