OBAVIJEST O PRIJENOSIMA OSOBNIH PODATAKA ZA SLUČAJ NEUREĐENOG IZLASKA UJEDINJENOG KRALJEVSTVA IZ EUROPSKE UNIJE


OBAVIJEST O PRIJENOSIMA OSOBNIH PODATAKA ZA SLUČAJ NEUREĐENOG IZLASKA UJEDINJENOG KRALJEVSTVA IZ EUROPSKE UNIJE


Uvodno

U slučaju nepostizanja Sporazuma o povlačenju između Europske Unije i Ujedinjenog Kraljevstva Velike Britanije i Sjeverne Irske, Ujedinjeno Kraljevstvo će od 30. ožujka 2019. godine postati treća zemlja u smislu odredaba Opće uredbe. To znači da će se, od tog trenutka, svi prijenosi osobnih u Ujedinjenu Kraljevinu morati temeljiti na jednom od sljedećih instrumenata:
- Standardnim ugovornim klauzulama
- Obvezujućim korporativnim pravilima
- Odobrenim kodeksima ponašanja i odobrenim mehanizmima certificiranja
- Odstupanjima za posebne situacije

Na temelju smjernice koju je izradio Europski odbor za zaštitu podataka, ovim putem pružiti ćemo informacije privatnim i javnim organizacijama o instrumentima prijenosa osobnih podataka u slučaju tzv. „no-deal Brexita“.

Međutim, dodatno napominjemo kako se organizacije u okviru Europskog gospodarskog prostora mogu, ukoliko je potrebno, obratiti nadzornim tijelima vezano uz nadgledanje aktivnosti obrade osobnih podataka u kontekstu „no-deal Brexita“.

Koraci koje organizacije trebaju poduzeti kako bi bili pripravni za Brexit bez dogovora:

1. Identificirati koje aktivnosti obrade će zahtijevati prijenos osobnih podataka u Ujedinjeno Kraljevstvo
2. Odrediti odgovarajući instrument prijenosa osobnih podataka za svoju situaciju
3. Implementirati odabrani instrument prijenosa do 30. ožujka 2019.
4. Naznačiti u svojim internim dokumentima da će prijenosi biti vršeni u Ujedinjeno Kraljevstvo
5. Primjereno ažurirati svoje Politike Privatnosti/Pravila Privatnosti kako bi o navedenom informirali ispitanike

Prijenos osobnih podataka iz zemalja Europskog gospodarskog prostora u Ujedinjeno Kraljevstvo Velike Britanije i Sjeverne Irske:

1. Dostupni instrumenti za prijenos

Budući da u trenutku izlaska Ujedinjenog Kraljevstva iz EU neće postojati Odluka o primjerenosti zaštite, svi prijenosi osobnih podataka iz Republike Hrvatske u Ujedinjenu Kraljevinu morati će se temeljiti na jednom od sljedećih instrumenata:

a) Standardne i ad-hoc ugovorne klauzule

Vi i Vaš partner u Ujedinjenom Kraljevstvu možete dogovoriti primjenu standardnih ugovornih klauzula odobrenih od strane Europske komisije. Navedene klauzule predstavljaju odgovarajuće zaštitne mjere potrebne za zaštitu podataka u slučaju prijenosa u treću zemlju.

Trenutno su dostupna tri seta Standardnih ugovornih klauzula:

- EEA controller to third country controller (voditelj iz Europskog gospodarskog prostora – voditelj iz treće zemlje – primjerice iz Ujedinjenog Kraljevstva)
o 2001/497/EC
o 2004/915/EC
- EEA controller to third country processor (voditelj iz Europskog gospodarskog prostora – izvršitelj iz treće zemlje – primjerice iz Ujedinjenog Kraljevstva)
o 2010/87/EU

Važno je napomenuti kako se navedene klauzule ne mogu mijenjati ni modificirati te moraju biti potpisane upravo u onom sadržaju u kojem su dostupne. Međutim, klauzule mogu biti uključene u šire ugovore te mogu biti dodane dodatne klauzule koje ne proturječe, izravno ili neizravno, Standardnim ugovornim klauzulama odobrenim od strane Europske komisije. Imajući na umu vremenski period prije 30. ožujka 2019., Europski odbor za zaštitu podataka ističe da su navedene klauzule instrument koji je spreman za uporabu.

Svaka dodatna promjena navedenih klauzula implicirati će da se iste tretiraju kao ad-hoc ugovorne klauzule (ugovorne klauzule koje nisu odobrene od strane Komisije) koje mogu predstavljati odgovarajuće zaštitne mjere, ovisno o okolnostima pojedine situacije.

Prije svakog prijenosa podataka, takve ad-hoc ugovorne klauzule moraju biti odobrene od strane nadležnog nadzornog tijela (Agencije za zaštitu osobnih podataka), nakon usvajanja mišljenja od strane Europskog odbora za zaštitu podataka.

b) Obvezujuća korporativna pravila

Obvezujuća korporativna pravila su zaštitna pravila koja sastavljaju određene grupe poduzetnika ili poduzeća angažirani u zajedničkoj gospodarskoj aktivnosti kako bi ista predstavljala odgovarajuće zaštitne mjere uzimajući u obzir njihovu posebnu situaciju.
Ukoliko već imate odobrena obvezujuća korporativna pravila ili ste dio grupacije koja ih ima, tada se i dalje možete na njih oslanjati budući da su ista, i nadalje valjana sukladno odredbama Opće uredbe. Međutim, obvezujuća korporativna pravila moraju biti ažurirana na način da u cijelosti budu u skladu s odredbama Opće uredbe.
Ukoliko u ovom trenutku nemate obvezujuća korporativna pravila, ona moraju biti odobrena od strane nadležnog nadzornog tijela, nakon usvajanja mišljenja od strane Europskog odbora za zaštitu podataka.
Dodatne informacije o uvjetima za podnošenje istih na odobrenje možete pronaći na stranici Europskog odbora za zaštitu podataka putem sljedećeg linka: https://edpb.europa.eu/our-work-tools/general-guidance/gdpr-guidelines-recommendations-best-practices_en

c) Kodeksi ponašanja i Mehanizmi certificiranja

Kodeksi ponašanja ili mehanizmi certificiranja mogu predstavljati odgovarajuće zaštitne mjere za prijenose osobnih podataka ukoliko isti sadrže obvezujuće i provedive obveze organizacija u trećim zemljama za dobrobit ispitanika.
Ovi instrumenti su novi sukladno Općoj uredbi te Europski odbor za zaštitu podataka radi na smjernicama kako bi ponudio više objašnjenja o ujednačenim uvjetima i postupcima za uporabu tih alata.

2. Odstupanja

Odstupanja dozvoljavaju prijenos osobnih podataka pod određenim pretpostavkama te ona predstavljaju iznimke od pravila da se svi prijenosi u treće zemlje moraju temeljiti na odluci o primjerenosti, odnosno na odgovarajućim (gore iznesenim) zaštitnim mjerama. Stoga se moraju tumačiti restriktivno i uglavnom se primjenjivati na one aktivnosti obrade koje su povremene i ne- ponavljajuće.
Ta odstupanja sukladno članku 49. Opće uredbe, između ostalog uključuju sljedeće situacije:
(a) ispitanik je izričito pristao na predloženi prijenos nakon što je bio obaviješten o mogućim rizicima takvih prijenosa za ispitanika zbog nepostojanja odluke o primjerenosti i odgovarajućih zaštitnih mjera;
(b) prijenos je nužan za izvršavanje ugovora između ispitanika i voditelja obrade ili provedbu predugovornih mjera na zahtjev ispitanika;
(c) prijenos je nužan radi sklapanja ili izvršavanja ugovora sklopljenog u interesu ispitanika između voditelja obrade i druge fizičke ili pravne osobe
(d) prijenos je nužan iz važnih razloga javnog interesa;
(e) prijenos je nužan za postavljanje, ostvarivanje ili obranu pravnih zahtjeva;

Dodatne informacije o navedenim odstupanjima možete pronaći na sljedećem linku: https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_2_2018_derogations_en.pdf.

3. Instrumenti dostupni isključivo javnim tijelima

Javna tijela mogu razmotriti korištenje instrumenata koji sukladno Općoj uredbi, više odgovaraju njihovoj situaciji.

Jedna opcija je korištenje pravno obvezujućih i provedivih instrumenata, kao što su administrativni sporazumi, bilateralni ili multrilateralni sporazumi. Takvi sporazumi moraju biti obvezujući i provedivi za potpisnike

Druga opcija je korištenje administrativnih dogovora, kao što je „Memorandum razumijevanja“, koji iako nije pravno obvezujući, mora pružati provediva i djelotvorna prava ispitanicima. Administrativni dogovori podliježu odobrenju nadležnog nadzornog tijela, nakon usvajanja mišljenja od strane Europskog odbora za zaštitu podataka.

Dodatno, gore navedena odstupanja također su dostupna za prijenose osobnih podataka od strane javnih tijela, pod uvjetom ispunjavanja odgovarajućih uvjeta.

Za javna tijela koja se bave izvršenjem kaznenih sankcija, dostupni su i dodatni alati za prijenos.

Prijenosi osobnih podataka iz Ujedinjenog Kraljevstva Velike Britanije i Sjeverne Irske u zemlje Europskog gospodarskog prostora

Sukladno stavu Vlade Ujedinjenog Kraljevstva trenutna praksa, koja dopušta slobodan protok osobnih podataka iz Ujedinjenog Kraljevstva u Europski gospodarski prostor, nastavit će se u slučaju Brexita bez dogovora.

U tu svrhu, trebalo bi redovito pratiti internetsku stranicu Vlade Ujedinjenog Kraljevstva (https://www.gov.uk/government/publications/data-protection-if-theres-no-brexit-deal/data-protection-if-theres-no-brexit-deal)  i ICO-a (https://ico.org.uk/).

 
 
  Natrag