Međunarodni transfer osobnih podataka - prava i obaveze ispitanika


Međunarodni transfer osobnih podataka - prava i obaveze ispitanika


1.) Kojim zakonom se regulira iznošenje osobnih podataka iz RH?

Iznošenje osobnih podataka iz Republike Hrvatske regulirano je Zakonom o zaštiti osobnih podataka (NN).  Sukladno čl. 13 st. 1. zbirke osobnih podataka, odnosno osobni podaci sadržani u zbirkama osobnih podataka smiju se iznositi iz Republike Hrvatske u svrhu daljnje obrade samo ako država ili međunarodna organizacija u koju se osobni podaci iznose ima odgovarajuće uređenu zaštitu osobnih podataka, odnosno osiguranu adekvatnu razinu zaštite.


2.) Je li, i kada je potrebno zatražiti mišljenje Agencije za iznošenje  zbirki osobnih podataka iz RH?

Prije iznošenja osobnih podataka iz Republike Hrvatske, voditelj zbirke osobnih podataka dužan je, u slučaju kada postoji osnova za sumnju o postojanju odgovarajuće uređene zaštite osobnih podataka, odnosno osigurane adekvatne razine zaštite, pribaviti mišljenje Agencije za zaštitu osobnih podataka.


3.) Na koji način se procjenjuje adekvatna razina zaštite koju pruža država ili međunarodna organizacija?

Adekvatna razina zaštite koju pruža država ili međunarodna organizacija procjenjuje se s obzirom na okolnosti u svezi s iznošenjem osobnih podataka a posebno s obzirom na vrstu podataka, svrhu i trajanje obrade, zemlju u koju se podaci iznose, zakonske odredbe koje su na snazi u toj zemlji te profesionalna pravila i sigurnosne mjere koje se primjenjuju u toj zemlji.


4.) Koje zemlje imaju osiguranu razinu zaštite osobnih podataka?

Osim zemalja koje su članice Europske unije, Europska komisija objavljuje listu trećih zemalja za koje je utvrdila da imaju odgovarajuću razinu zaštite osobnih podataka. Lista je dostupna na Internet stranici: http://ec.europa.eu/justice/data-protection/international-transfers/adequacy/index_en.htm
Osim zemalja navedenih na ovoj listi, te svih zemalja članica Europske unije, odgovarajuću razinu zaštite osobnih podataka imaju i Norveška, Lihtenštajn i Island.


5.) Što poduzeti u slučaju kada postoji namjera iznošenja osobnih podataka u treće zemlje koje se ne nalazi na listi zemalja koju utvrđuje Europska komisija?

U slučaju kada postoji osnova za sumnju o postojanju odgovarajuće uređene zaštite osobnih podataka, odnosno osigurane adekvatne razine zaštite, dakle, u slučaju kada postoji namjera iznošenja osobnih podataka iz Republike Hrvatske u neku od trećih zemalja koja se ne nalazi na listi koju utvrđuje Europska komisija, voditelj zbirke osobnih podataka je dužan, prije iznošenja osobnih podataka iz Republike Hrvatske, pribaviti mišljenje Agencije.

6.) Smiju li se osobni podaci iznositi iz Republike Hrvatske u zemlje koje ne osiguravaju adekvatnu razinu zaštite i u kojim slučajevima?

Sukladno čl. 13. stavku 4. Zakona o zaštiti osobnih podataka, osobni podaci sadržani u zbirkama osobnih podataka smiju se iznositi iz Republike Hrvatske u države ili međunarodne organizacije koje ne osiguravaju adekvatnu razinu zaštite samo u slučajevima:

- ako je ispitanik dao privolu za iznošenje podataka koji se na njega odnose samo u svrhu za koju je ispitanik dao privolu, ili

- ako je iznošenje nužno u svrhu zaštite života ili tjelesnog integriteta ispitanika, ili

- ako voditelj zbirke pruži dovoljna jamstva glede zaštite privatnosti i temeljnih prava i sloboda pojedinca, koja mogu proizlaziti iz ugovornih odredaba, za koja Agencija utvrdi da su odgovarajuća u skladu s važećim propisima kojima se uređuje zaštita osobnih podataka, ili

- ako je iznošenje podataka potrebno radi izvršenja ugovora između voditelja zbirke osobnih podataka i ispitanika ili provedbe predugovornih mjera poduzetih na zahtjev ispitanika, ili

- ako je iznošenje podataka potrebno za zaključivanje ili izvršenje ugovora između voditelja zbirke osobnih podataka i treće osobe a koji je u interesu ispitanika, ili

- ako je iznošenje podataka potrebno ili određeno zakonom radi zaštite javnog interesa ili radi uspostave, ostvarenja ili zaštite potraživanja propisanih zakonom, ili

- ako se iznošenje podataka obavlja iz evidencije koja je sukladno zakonu ili drugom propisu namijenjena pružanju informacija javnosti ili svakoj drugoj osobi koja može dokazati pravni interes otvorena za uvid, podaci se mogu iznositi u onoj mjeri u kojoj su ispunjeni zakonom propisani uvjeti za uvid u pojedinom slučaju


7.) Koji su često korišteni mehanizmi za prijenos osobnih podataka u treće zemlje koje nemaju adekvatnu razinu zaštite?

Poslovni subjekti za prijenos osobnih podataka u treće zemlje koje nemaju adekvatnu razinu zaštite često koriste:

Standardne ugovorne klauzule (eng. Standard Contract Clauses)
Obvezujuća korporativna pravila (eng. Binding Corporate Rules)


8.) Što su standardne ugovorne klauzule?

Standardne ugovorne klauzule predstavljaju ugovorni mehanizam u smislu zaštitne mjere koja omogućava da države članice mogu odobriti, poštujući određene zaštitne mjere, prijenos ili skup prijenosa osobnih podataka u treće zemlje koje ne osiguravaju odgovarajuću razinu zaštite podataka, sukladno članku 26. stavku 2. Direktive 95/46/EZ kojim se propisuje da „država članica može odobriti prijenos ili skup prijenosa osobnih podataka trećoj zemlji koja ne osigurava odgovarajuću razinu zaštite u smislu članka 25. stavka 2. ove Direktive, kada nadzornik daje dovoljna jamstva u vezi zaštite privatnosti i temeljnih prava i sloboda pojedinaca te u vezi ostvarivanja tih prava; takva jamstva mogu posebno proizlaziti iz odgovarajućih ugovornih klauzula.“

9.) Na što se sve standardne ugovorne klauzule odnose?

Standardne ugovorne klauzule odnose se samo na zaštitu podataka. Stoga, izvoznik i uvoznik podataka mogu uključiti bilo koju drugu klauzulu u pitanjima vezanim uz poslovanje koju smatraju bitnom za ugovor sve dok nije suprotna standardnim ugovornim klauzulama.


10.) Gdje pronaći i kako ispuniti standardne ugovorne klauzule?

Komisija je izdala ukupno tri vrste standardnih ugovornih klauzula, kojima se pokrivaju dva slučaja iznošenja osobnih podataka:

od voditelja zbirke osobnih podataka ka drugom voditelju koji se nalazi izvan EU i
od voditelja zbirke osobnih podataka ka izvršitelju obrade koji se nalazi izvan EU

Iste je moguće pronaći na službenoj web stranici Europske komisije http://ec.europa.eu/justice/data-protection/international-transfers/transfer/index_en.htm, te ih ispunjene dostaviti Agenciji.


11.) Ukoliko se koriste standardne ugovorne klauzule koje je donijela EK, smatra li se automatski da je osigurana adekvatna razina zaštite osobnih podataka ili je potrebno zatražiti dodatnu potvrdu AZOP-a?

Ukoliko se kao pravni temelj za iznošenje osobnih podataka koriste standardne ugovorne klauzule koje je donijela Europska komisija, iste je potrebno dostaviti Agenciji za zaštitu osobnih podataka kako bi utvrdila je li ispunjen uvjet iz čl. 13. st. 4 podst. 3 Zakona o zaštiti osobnih podataka, koji propisuje da  voditelj zbirke treba pružati dovoljno jamstva glede zaštite privatnosti i temeljnih prava i sloboda pojedinaca, koja mogu proizlaziti iz ugovornih odredaba.


12.) Koriste li se obrasci standardnih ugovornih klauzula zasebno  ili se one koriste u dopunjenom obliku (kao dio većeg ugovora/ s dodatnim klauzulama)?

Standardne ugovorne klauzule moraju se koristiti sadržajno i u formi kako je propisala Europska komisija, te je potrebno da iste čine zasebnu cjelinu iako su sastavni dio nekog većeg ugovora.


13.) Što su obvezujuća korporativna pravila (eng. BCR Binding corporate rules)?

Obvezujuća korporativna pravila (eng. BCR - Binding Corporate Rules) su interna pravila usvojena od strane multinacionalne grupe tvrtki, a na temelju kojih se osobni podaci mogu prenositi u one članice grupacije koje se nalaze u zemljama koje ne pružaju odgovarajuću razinu zaštite


14.) Koja je svrha/uloga BCR-a?

BCR koriste multinacionalne tvrtke kako bi pružile odgovarajuću sigurnost za zaštitu privatnosti i temeljnih prava i sloboda pojedinaca u smislu članka 26. (2) Direktive 95/46/EZ za sva iznošenja/transfere osobnih podataka zaštićenih europskim zakonodavstvom.
S tim u vezi, BCR se koristi kako bi svi transferi unutar grupe imali adekvatnu razinu zaštite. To predstavlja alternativno rješenje za tvrtku koja ne treba svaki put potpisivati standardne ugovorne klauzule prilikom iznošenja osobnih podataka članu grupe. Treba napomenuti kako BCR ne pruža pravnu osnovu za iznošenja izvan grupacije.


15.) Kako se donose BCR-ovi?

Radna skupina za zaštitu osobnih podataka iz čl. 29 Direktive 95/46/EZ donijela je uputstva vezano za odobrenje BCR-a, a sama procedura se može sažeti u 5 glavnih koraka:

Prvi korak: tvrtka mora odrediti nadležno nadzorno tijelo za postupanje u procesu usvajanja BCR-a, odnosno tijelo koje će ostvarivati suradnju unutar EU među ostalim europskim tijelima za zaštitu osobnih podataka
Drugi korak: tvrtka izrađuje nacrtnu verziju BCR-a sukladno uvjetima iz radnih papira koje je usvojila Radna skupina iz čl. 29. Nacrtna verzija se potom dostavlja nadležnom tijelu koje ga pregledava te upućuje svoje komentare tvrtci kako bi se osiguralo da dokument odgovara uvjetima iz papira WP 153
Treći korak: nadležno nadzorno tijelo počinje postupak suradnje na razini EU-a dostavljanjem BCR-a drugim nadzornim tijelima iz država članica EU-a iz kojih članice grupacije iznose osobne podatke u treće zemlje koje nemaju adekvatnu razinu zaštite
Četvrti korak: postupak suradnje na razini EU-a okončan je nakon što države članice pod režimom međusobnog priznavanja odluka potvrde primitak BCR-a i nakon što države koje nisu pod navedenim režimom potvrde, u roku od jednog mjeseca, potvrde da je sadržaj BCR-a usklađen s aktima koje je donijela Radna skupina iz čl. 29
Peti korak: nakon što se potvrdi konačna verzija BCR od strane svih tijela za zaštitu osobnih podataka, tvrtka može zatražiti odobrenje transfera na temelju usvojenog BCR-a od strane


16.) Da li je potrebno od Agencije zatražiti odobrenje BCR-a koji je na snazi u drugim državama članicama?

Da, potrebno je  zatražiti od Agencije odobrenje sadržaja obvezujućih korporativnih pravila koji su na snazi u drugim državama članicama, a koje Agencija nije odobrila.


17.) Koju dokumentaciju je potrebno dostaviti radi primjene BCR-a u Hrvatskoj?

Radi odobrenja takvih pravila, države članice EU-a od društva podnositelja traže dostavu različite dokumentacije, međutim većina država članica traži dokumente koje je objavila Radna skupina iz čl. 29 (vidi prilog i web stranicu: http://ec.europa.eu/justice/data-protection/international-transfers/binding-corporate-rules/tools/index_en.htm), a to su:
Obrazac WP133 (za voditelje zbirke osobnih podataka) ili WP195 (za izvršitelje zbirke osobnih podataka)
Tekst obvezujućih korporativnih pravila
Opis iznošenja podataka

Pored navedene dokumentacije ovoj Agenciji je potrebno dostaviti i presliku odluke tzv. vodećeg nadzornog tijela (eng. lead authority) koje je vodilo postupak odobravanja obvezujućih korporativnih pravila.
Iz dostavljene dokumentacije mora jasno proizlaziti:
- obvezatnost primjene obvezujućih korporativnih pravila,
- osobni podaci na koje se ta pravila odnose i
- popis društava obuhvaćenih tim pravilima.

 
  Natrag