Ova tema većini nas fizičkih osoba nije od posebnog interesa ali je izrazito važna za sve poslovne ili pravne subjekte s obzirom na presudu Europskog suda iz srpnja 2020. kojom se ukida EU-US Privacy Shield i temeljem kojeg svaki voditelj ili izvršitelj obrade za prijenos podataka iz EU u SAD ili neku drugu državu izvan EEA, mora osigurati zadovoljavanje uvjeta iz članaka 46-49. GDPR-a.
Samo je nekoliko zemalja izuzeto od ovih obveza voditelja ili izvršitelja obrada:
https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en
Posebno smo o toj temi govorili na Europskom danu zaštite osobnih podataka 28.01.2021., međunarodnoj konferenciji u organizaciji AZOP-a:
https://www.youtube.com/watch?v=i_rmxGpcFxA s početkom od 3:03:33.
Sada često u medijima uočavamo spominjanje rješenja problema na način da se osobni podaci fizički smještaju na serverima unutar EU.
To je načelno dobar način, ali ne predstavlja i konačno rješenje.
Naime, ako neki poslovni subjekt ili tijelo javne vlasti neke non-EU zemlje može daljinskim pristupiti osobnim podacima fizički smještenima unutar EU, takav slučaj također se smatra prijenosom osobnih podataka izvan EU/EEA.
Potvrdio je to i francuski sud.
Također je potvrđeno ukoliko poslovni subjekt ili tijelo javne vlasti neke non-EU zemlje daljinski pristupa enkriptiranim podacima bez pristupa ključu za dekripciju, tada se isto ne smatra prijenosom osobnih podataka izvan EU/EEA jer su isti nedostupni izvan EU/EEA.
Više o presudi francuskog suda:
https://gdprhub.eu/index.php?title=CE_-_450163
