Dokument je dostupan ovdje:

https://arc-rec-project.eu/wp-content/uploads/2021/10/Transferi-FAQs.pdf

i tiče se brojnih organizacija u EU i RH, pa i mikro, malih i srednjih poduzetnika za koje je AZOP broušura u okviru ARC projekta izrađena.

 

Sve je krenulo presudom Europskog suda u slučaju "Schrems II":

https://curia.europa.eu/juris/liste.jsf?num=C-311/18

kojom su od 16.07.2020. gotovo svi prijenosi osobnih podataka iz EU u SAD postali su praktički nezakoniti, a teško je naći poslovni subjekt koji ih ne radi.

 

Sad je toj nezakonitosti vrijeme isteklo. Kao "zamjensko zakonito rješenje" svaki voditelj ili izvršitelj obrade, da kolokvijalno pojednostavimo, svaki pravni subjekt u RH i EU, mora odmah pronaći neki drugi temelj zakonitosti prijenosa osobnih podataka u SAD traženjem rješenja u člancima 46-49. GDPR-a.

Članak 46. stavak 1. GDPR-a određuje ovu obvezu, citiramo: "osobne podatke mogu prenijeti samo ako je voditelj obrade ili izvršitelj obrade predvidio odgovarajuće zaštitne mjere i pod uvjetom da su ispitanicima na raspolaganju provediva prava i učinkovita sudska zaštita."

Uvjerljivo najzastupljenije "zamjensko" rješenje koje će mnogi od nas morati implementirati jesu:

 

Standardne ugovorne klauzule (Standard Contractual Clauses, SCC) + Dodatne mjere

Kako bi ozakonili prijenos podataka u SAD, ali i u svaku "treću zemlju", odnosno, zemlju izvan EEA (osim Andore, Argentine, Kanade za komercijalne organizacije, Farskih otoka, Guernsey, Izraela, Isle of Man, Japana, Jerseya, Novog Zelanda, Švicarske, Urugvaja i UK u koje je prijenos dozvoljen bez posebnih preduvjeta), pravni subjekti kao izvoznici podataka dužni su izraditi procjenu učinka prijenosa (tzv. Transfer Impact Assessment, TIA) kojom se moraju preispitati i dokumentirati posebne okolnosti svakog prijenosa, relevantne zakoni i prakse odredišne zemlje te relevantni ugovorne, tehničke i organizacijske zaštitne mjere za povećanje zaštite prenesenih podataka radi procjene razine zaštite u toj trećoj zemlji.

Od slučaja do slučaja analiza zaštite koju pruža treća zemlja uvoznika podataka i provedba odgovarajućih dodatnih zaštitnih mjera kada postoje naznake da tamošnje zakonodavstvo može utjecati na temeljna prava i slobode građana EU – primjerice kada postoji potencijalni rizik od tajnog nadzora ili praćenja – uvoznik podataka u trećoj zemlji mora uvesti dodatne mjere kako bi zaštitio osobne podatke koji dolaze iz EU/EEA. To mogu biti tehničke, organizacijske i/ili ugovorne mjere.

To će biti vrlo opterećujuće za mikro, male i srednje poduzetnike, ali i velike organizacije koje obavljaju brojne prijenose osobnih podataka iz EU/EEA.

 

Koje štivo gotovo svaki pravni subjekt mora dobro proučiti?

  1. Standardne ugovorne klauzule

Europska komisija je u lipnju 2021. usvojila nove Standardne ugovorne klauzule (SCC) za ozakonjenje prijenosa osobnih podataka u treće zemlje, izrađene modularno:

https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?uri=CELEX:32021D0914

Važno je znati da se stare, dosadašnje SCC, moglo ugovarati do 27.09.2021., a svi pravni subjekti koji ih imaju već stare sklopljene iste moraju zamijeniti novima do 27.12.2022. godine.

 

  1. EDPB Preporuke o mjerama kojima se dopunjuju alati za prijenos kako bi se osigurala usklađenost s razinom zaštite osobnih podataka EU-a

https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_en

Te preporuke daju hodogram usklađivanja u 6 koraka:

Korak 1 - Analizirati i mapirati svoje prijenose podataka u treće zemlje

Korak 2 - Utvrditi odgovarajuće zaštitne mjere iz članaka 46. ili 49. iz poglavlja V. GDPR-a.

Korak 3 - Procjeniti ima li u zakonima i/ili sudskoj praksi treće zemlje išta što bi moglo utjecati na učinkovitost odgovarajućih zaštitnih mjera,

Korak 4 - Utvrditi i donijeti dodatne mjere potrebne za dostizanje razine zaštite prenesenih podataka do standarda EU u bitnoj istovjetnosti

Korak 5 - Poduzeti sve formalne korake u uvođenju dodatnih mjera

Korak 6 - U odgovarajućim vremenskim razmacima ponovno provjeravati razinu zaštite osobnih podataka koje prenosimo u treće zemlje

 

OPREZ:

Lokalizacija podataka, koju preporučuju neki profesionalci, ne može biti rješenje za bijeg iz ove kompleksne priče, jer se prijenosom osobnih podataka smatra i situacija kada su osobni podaci fizički pohranjeni u EU ali im pristupa pravni entitet izvan EU/EEA.

Poseban izazov će biti na temu ozakonjenja korištenja Cloud usluga izvan EU/EEA, čitajući preporuke nismo pronašli kvalitetno rješenje.

Enkripcija osobnih podataka može postati rješenjem, pod uvjetom da ključ za enkripciju ostane u EU i ni na koji način ne bude dostupan entitetu u trećoj zemlji. To može biti poseban problem kada se podacima u trećoj zemlji mora pristupiti iz EU.

 

Kao što vidimo, ova je tematika izuzetno kompleksna i bit će predmetom naših daljnjih razrada i postova, korak po korak.