Odgovor
U današnjem globaliziranom svijetu preko granica se u velikoj mjeri prenose osobni podaci, koji su ponekad pohranjeni na poslužiteljima u različitim zemljama. Zaštita koju nudi Opća uredba o zaštiti podataka (OUZP) prati podatke, što znači da se pravila o zaštiti osobnih podataka nastavljaju primjenjivati neovisno o tome gdje podaci završe. Navedeno se primjenjuje i kad se podaci prenose u zemlju koja nije članica (dalje u tekstu „treća zemlja”).
OUZP pruža različite alate za prilagodbu prijenosa podatka iz EU-a u treću zemlju:
- ponekad se za treću zemlju odlukom Europske komisije može utvrditi da osigurava primjerenu razinu zaštite („odluka o primjerenosti”), što znači da se može prenositi podatke u drugo društvo u toj trećoj zemlji izvan, a da pritom nema potrebe za izvoznikom podataka koji bi pružio dodatne zaštitne mjere ili bez podlijeganja dodatnim uvjetima. Drugim riječima, prijenosi u „primjerenu” treću zemlju bit će izjednačeni s prijenosom podataka unutar EU-a,
- ako nema odluke o primjerenosti, prijenos se može provesti uz pružanje odgovarajućih zaštitnih mjera i pod uvjetom da su pojedincima na raspolaganju provediva prava i učinkovita sudska zaštita. Takve odgovarajuće zaštitne mjere uključuju:
- u slučaju grupe poduzetnika ili grupa poduzeća koja se bave zajedničkom gospodarskom djelatnošću, poduzeća mogu prenositi osobne podatke samo na temelju takozvanih obvezujućih korporativnih pravila;
- ugovorni dogovor s primateljem osobnih podataka, primjenom, primjerice, standardnih ugovornih klauzula koje odobrava Europska komisija;
- poštovanje kodeksa ponašanja ili mehanizama certificiranja, zajedno s dobivanjem obvezujućih i provedivih obveza od primatelja za primjenu odgovarajućih zaštitnih mjera za zaštitu prenesenih podataka;
- konačno, ako je predviđen prijenos osobnih podataka u treću zemlju koja ne podliježe odluci o primjerenosti te ako izostaju odgovarajuće zaštitne mjere, prijenos se može provesti na temelju niza odstupanja za određene situacije, primjerice kada je pojedinac dao izričitu privolu za predloženi prijenos nakon što je dobio sve potrebne informacije o rizicima povezanima s prijenosom.
Primjer
Francusko ste društvo koje svoje usluge namjerava proširiti na Južnu Ameriku, posebice Argentinu, Urugvaj i Brazil. Prvi bi korak bio provjeriti podliježu li te treće zemlje odluci o primjerenosti. U ovom su slučaju i Argentina i Urugvaj proglašeni primjerenima. U te ćete dvije treće države osobne podatke moći prenositi bez ikakvih dodatnih zaštitnih mjera, dok ćete za prijenose u Brazil, na kojeg se ne odnosi odluka o primjerenosti, trebati prilagoditi svoje prijenose pružanjem odgovarajućih zaštitnih mjera.
Upućivanja
- Poglavlje V., članci 44. – 50.i uvodne izjave (101) do (116) OUZP-a
- Najnovije smjernice Europskog odbora za zaštitu podataka o međunarodnim prijenosima
- Vidjeti i upućivanje na Komunikaciju Europske komisije o razmjeni i zaštiti osobnih podataka u globaliziranom svijetu1, 10. siječnja 2017.
1 COM (2017)7 final
Example
You're a French company intending to expand its services to South America, notably Argentina, Uruguay and Brazil. The first step would be to check whether those third countries are subject to an Adequacy Decision. In this case, both Argentina and Uruguay have been declared adequate. You’d be able to transfer personal data to those two third countries without any additional safeguards while for transfers to Brazil which is not the subject of Adequacy Decision, you’ll have to frame your transfers by providing appropriate safeguards.
References
- Chapter V, Articles (44 to 50) and Recitals (101) to (116) of the GDPR
- EDPB's latest guidelines on International transfers:
- See also for reference the European Commission Communication on Exchanging and Protecting Personal Data in a Globalised World1, 10 January 2017
1 COM(2017)7 final