Iznošenje osobnih podataka u inozemstvo


Iznošenje osobnih podataka u inozemstvo


Od ove Agencije je zatraženo mišljenje vezano za iznošenje osobnih podataka u inozemstvo te za povjeravanje poslova obrade osobnih podataka.

Pošiljatelj upita zastupa austrijsko trgovačko društvo iz Beča, Austrija, koji se bavi razvojem baza podataka i implementacijom softvera i usluga, a sve to vezano za automobile i osiguranja, te su iz tog razloga većina klijenata tog austrijskog društva osiguravajuća društva, nezavisni procjenitelji i automehaničarske radionice. U upitu se ističe da navedeno društvo ima namjeru proširivanja svog poslovanja u Hrvatskoj, te u sklopu navedenog pružati svojim klijentima u Hrvatskoj on-line usluge kroz server situiran u Švicarskoj, na koji bi klijent prenosio podatke potrebne za procjenu troškova popravka štete, na način da se, među tako iznošenim podacima, mogu naći i osobni podaci iz definicije čl. 2. st. 1. toč. 1 Zakona o zaštiti osobnih podataka (Nar. nov. 103/03, 118/06, 41/08, 130/11, dalje u tekstu: ZZOP).

Iz opisanog činjeničnog stanje može se najprije utvrditi da su potencijalni klijenti navedenog austrijskog društva voditelji zbirke osobnih podataka budući da su isti fizičke ili pravne osobe, državna ili druga tijela koje utvrđuje svrhu i način obrade osobnih podataka (čl. 2. st. 1. toč. 4 ZZOP); dalje se utvrđuje da je navedeno društvo izvršitelj obrade osobnih podataka budući da je pravna osoba koja obrađuje osobne podatke u ime voditelja zbirke osobnih podataka (čl. 2. st. 1. toč. 7 ZZOP); te se konačno može utvrditi da će se izvršiti iznošenje osobnih podataka iz Republike Hrvatske u Švicarsku.

Slijedom navedenog, a vezano za pitanja zastupnika austrijskog trgovačkog društva u Hrvatskoj, ističemo sljedeće:

1. Prikupljanje i obrađivanje osobnih podataka je moguć isključivo ako je ispunjen bilo koji uvjet iz čl. 7. st. 1. ZZOP-a, odnosno iz čl. 8. st. 2. ZZOP-a ako se radi o posebnim kategorijama osobnih podataka (npr. podaci odnosni na zdravlje ili prekršajni postupak). Nadalje, voditelji zbirke osobnih podataka dužni su svoje zbirke registrirati u Središnji registar koji vodi ova Agencija sukladno odredbama glave VII. ZZOP-a.

2. Austrijsko trgovačko društvo je izvršitelj obrade osobnih podataka kojemu bi njegovi klijenti, kao voditelji zbirke osobnih podataka, povjeravali pojedine poslove u vezi s obradom osobnih podataka u okvirima svog djelokruga; pri čemu bi se koristio server situiran u Švicarskoj. Takvo povjeravanje poslova obrade osobnih podataka od strane voditelja zbirke osobnih podataka prema izvršitelju obrade mora nužno biti u skladu s odredbom čl. 10 ZZOP-a, a navedeno iznošenje osobnih podataka u Švicarsku kao i eventualno iznošenje osobnih podataka u Austriju je moguć (ukoliko su ispunjene sve zakonske pretpostavke) budući da senavedene zemlje nalaze na popisu država koje imaju odgovarajuće uređenu zaštitu osobnih podataka, a koji popis sastavlja ova Agencija sukladno čl. 32. st. 1. podst. 3 ZZOP-a.

3. Prikupljanje i obrada osobnih podataka moraju imati svoj zakonski temelj u čl. 7. st. 1., odnosno u čl. 8. st. 2. ZZOP-a. Iz čl. 7. st. 1. proizlazi da su privola ispitanikasamo u svrhu za koju je ispitanik dao privolu (čl. 7. st. 1. podst. 1. ZZOP-a) i svrha sklapanja i izvršenja ugovora u kojem je ispitanik stranka, jednako valjani pravni temelji za prikupljanje i obradu osobnih podataka, koji ne moraju biti kumulativno ispunjeni.

4. Iznošenje osobnih podataka u inozemstvo uvijek podliježe istim zakonskim određenjima, pri čemu nije odlučna činjenica vrši li se navedeni prijenos (iznošenje) među nepovezanim, odnosno među povezanim društvima.

5. Vezano za Odluku Europske komisije br. 2010/87/EU od 5. veljače 2010. godine (dalje u tekstu: Odluka) na koju se pošiljatelj upita poziva, navodimo da se u čl. 2. st. 2. Odluke ističe da se ista odnosi na prijenos osobnih podataka između voditelja zbirke osobnih podataka (controller) koji ima sjedište/prebivalište u zemlji članice Europske unije, i primatelja iz neke zemlje ne članice Europske unije (engl. tekst: This Decision shall apply to the transfer of personal data by controllers established in the European Union to recipients established outside the territory of the European Union who act only as processors.), što u ovom konkretnom slučaju nije primjenjivo budući da Republika Hrvatska još nije članica Europske unije. Nadalje, u aneksu Odluke koji nosi naslov Standard Contractual Clauses (Processors), navodi se da su takve standardne ugovorne klauzule predviđene za zemlje koje ne osiguravaju primjerenu razinu zaštite osobnih podataka (engl. tekst: For the purposes of Article 26(2) of Directive 95/46/EC for the transfer of personal data to processors established in third countries which do not ensure an adequate level of data protection), navedeno u ovom slučaju nije primjenjivo budući da Švicarska ima odgovarajuće uređenu zaštitu osobnih podataka.

Dakle, pisani ugovor između austrijskog trgovačkog društva i njenih klijenata mora sadržavati određenja iz čl. 10. ZZOP-a, a vezano za iznošenje osobnih podataka u Švicarsku ističe se obveza voditelja zbirke osobnih podataka (u ovom konkretnom slučaju osiguravajuće kuće, automehaničarske radionice, i sl.) da u Središnji registar evidentira iznošenje pojedine zbirke osobnih podataka izvan Republike Hrvatske sukladno glavi VII. ZZOP-a.

 
 
  Natrag