Objavljeno: 19.12.2022.
Nastavno na Vaš upit o prijenosu genetskih podataka u Australiju, Agencija se očituje kako slijedi:
Prvenstveno ističemo da je za svako prikupljanje i obradu osobnih podataka u skladu s Općom uredbom o zaštiti podataka potrebno postojanje pravnog temelja iz članka 6. dok je za prijenos podataka trećim zemljama ili međunarodnim organizacijama potrebno i ispunjenje dodatnih uvjeta iz poglavlja V. Opće uredbe o zaštiti podataka.
Dodatno, budući da se u konkretnom slučaju radi o genetskim podacima koji predstavljaju posebnu kategoriju osobnih podataka u smislu odredbi Opće uredbe o zaštiti podataka, za njihovu je obradu potrebno i postojanje jedne od iznimaka iz članka 9. stavka 2. Opće uredbe o zaštiti podataka.
Člankom 6. stavkom 1. Opće uredbe o zaštiti podataka propisano je da je obrada zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega: (a) ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha; (b) obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora; (c) obrada je nužna radi poštovanja pravnih obveza voditelja obrade; (d) obrada je nužna kako bi se zaštitili životno važni interesi ispitanika ili druge fizičke osobe; (e) obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade; (f) obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.
Ako je pravni temelj za obradu osobnih podataka pravna obveza voditelja obrade, tada ta pravna osnova mora biti utvrđena u pravu Unije ili pravu države članice kojem voditelj obrade podliježe, a tom pravnom osnovom mora biti određena i svrha obrade.
Člankom 9. stavkom 3. Opće uredbe o zaštiti podataka propisano je da se osobni podaci iz stavka 1. mogu obrađivati u svrhe navedene u stavku 2. točki h) kada te podatke obrađuje stručno tijelo ili se podaci obrađuju pod odgovornošću stručnog tijela koje podliježe obvezi čuvanja poslovne tajne sukladno pravu Unije ili pravu države članice ili pravilima koja su odredila nadležna nacionalna tijela ili druga osoba koja također podliježe obvezi čuvanja tajne sukladno pravu Unije ili pravu države članice ili pravilima koja su utvrdila nadležna nacionalna tijela.
Stoga, u konkretnom slučaju, a prema dostupnim podacima iz Vašeg upita, pravni temelj za obradu posebnih kategorija osobnih podataka klijenata od strane Vaše tvrtke, kao voditelja obrade, može biti privola iz članka 6., stavka 1. točke a) ili ugovor iz članka 6., stavka 1., točke b) te iznimka iz članka 9., stavka 2., točke a) Opće uredbe.
Dodatno ističemo kako se u uvodnoj odredbi 34 Opće uredbe o zaštiti podataka navodi da bi se genetski podaci trebali definirati kao osobni podaci u vezi s naslijeđenim ili stečenim genetskim obilježjima pojedinca koji proizlaze iz analize biološkog uzorka pojedinca o kojemu je riječ, osobito analize kromosoma, deoksiribonukleinske kiseline (DNK) ili ribonukleinske kiseline (RNK) ili iz analize drugog elementa koji omogućuje dobivanje jednakovrijedne informacije, dok je člankom 9. stavkom 4. Opće uredbe o zaštiti podataka propisano da države članice mogu zadržati ili uvesti dodatne uvjete, uključujući ograničenja s obzirom na obradu genetskih podataka, biometrijskih podataka ili podataka koji se odnose na zdravlje.
U tom smislu je Zakonom o provedbi Opće uredbe o zaštiti podataka (NN 42/18) detaljno uređena obrada genetskih podataka u člancima 20. do 24.
U članku 44. Opće uredbe o zaštiti podataka naznačeno je kako se svaki prijenos osobnih podataka u treću zemlju ili međunarodnu organizaciju odvija sukladno odredbama Opće uredbe o zaštiti podataka te samo ukoliko voditelj obrade ili izvršitelj obrade ispunjavaju uvjete utvrđene u odredbama Uredbe vezanim za prijenos osobnih podataka trećim zemljama i međunarodnim organizacijama (poglavlje V).
Sukladno 101. uvodnoj izjavi Opće uredbe o zaštiti podataka, kada se osobni podaci prenose iz Unije voditeljima obrade, izvršiteljima obrade ili drugim primateljima u trećim zemljama ili međunarodnim organizacijama, ne bi smjela biti narušena razina zaštite pojedinaca osigurana ovom Uredbom u Uniji, među ostalim u slučajevima daljnjih prijenosa osobnih podataka iz treće zemlje ili međunarodne organizacije voditeljima obrade, izvršiteljima obrade u istoj ili nekoj drugoj trećoj zemlji ili međunarodnoj organizaciji. U svakom slučaju, prijenosi u treće zemlje i međunarodne organizacije mogu se obavljati isključivo uz puno poštovanje ove Uredbe. Prijenos bi se smio obavljati isključivo ako, u skladu s drugim odredbama ove Uredbe, voditelj obrade ili izvršitelj obrade ispunjavaju uvjete utvrđene u odredbama ove Uredbe vezanim za prijenos osobnih podataka trećim zemljama ili međunarodnim organizacijama.
U tom smislu prijenos osobnih podataka trećim zemljama bit će u skladu s odredbama Opće uredbe o zaštiti podataka samo ukoliko postoji odluka o primjerenosti (članak 45.) odnosno ukoliko prijenosi podliježu odgovarajućim zaštitnim mjerama (članak 46, 47.).
Tek u slučajevima u kojima nije moguće primijeniti jednu od gore navedenih osnova, rješenje treba potražiti u članku 49. Opće uredbe o zaštiti podataka u kojem su naznačeni slučajevi odstupanja za posebne situacije.
Budući da Europska komisija nije donijela odluku o primjerenosti razine zaštite u Australiji, u konkretnom slučaju nije moguća primjena članka 45.Opće uredbe o zaštiti podataka. Ujedno napominjemo kako popis zemalja za koje je donesena odluka o primjerenosti zaštite možete pronaći na internetskoj stranici: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en.
Dana 4. lipnja 2021. Europska komisija je izdala modernizirane standardne ugovorne klauzule prema Općoj uredbi o zaštiti podataka za prijenose podataka od voditelja obrade ili izvršitelja obrade u Europskoj uniji/Europskom gospodarskom prostoru voditeljima obrade ili izvršiteljima obrade s poslovnim nastanom izvan Europske unije/Europskog gospodarskog prostora.
Ove modnernizirane standardne ugovorne klauzule su zamijenile tri seta standardnih ugovornih klauzula koje su usvojene prema prethodnoj Direktivi o zaštiti podataka 95/46 te iste nije moguće sklopiti od 27. rujna 2021.
Do 27. prosinca 2022. voditelji obrade i izvršitelji obrade mogu se nastaviti oslanjati na standardne ugovorne klauzule koje su sklopljene prije 27. rujna 2021., pod uvjetom da operacije obrade koje su predmet ugovora ostanu nepromijenjene.
Europska komisija je objavila pitanja i odgovore (Q&A) kako bi pružila praktične smjernice o korištenju novih standardnih ugovornih klauzula i pomogla dionicima u njihovim nastojanjima da se usklade s Općom uredbom o zaštiti podataka. Ova se pitanja i odgovori temelje na povratnim informacijama dobivenim od raznih dionika o njihovom iskustvu s korištenjem novih standardnih ugovornih klauzula u prvim mjesecima nakon njihova usvajanja.
Standardne ugovorne klauzule i često postavljana pitanja možete pronaći na poveznici: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en.
U svojoj nedavnoj presudi C-311/18 (Schrems II) Sud Europske unije (Sud EU-a) podsjetio je da se zaštita koja se dodjeljuje osobnim podatcima u Europskom gospodarskom prostoru (EGP) mora primjenjivati na podatke neovisno o tome kamo se prenose. Prijenos osobnih podataka u treće zemlje ne može biti sredstvo narušavanja ili umanjivanja zaštite koja im se pruža u EGP-u. Sud to također potvrđuje objašnjavajući da razina zaštite u trećim zemljama ne mora biti identična zaštiti zajamčenoj u EGP-u, nego mora biti u načelu istovjetna. Sud također potvrđuje valjanost standardnih ugovornih klauzula kao alata za prijenos kojim se može ugovorno osigurati u načelu istovjetna razina zaštite podataka koji se prenose u treće zemlje.
Standardne ugovorne klauzule i drugi alati za prijenos navedeni u članku 46. Opće uredbe o zaštiti podataka ne primjenjuju se izolirano. Sud navodi da je na voditeljima ili izvršiteljima obrade podataka, koji djeluju kao izvoznici, da u svakom slučaju zasebno i, ako je potrebno, u suradnji s uvoznikom u trećoj zemlji, provjere dovode li pravo ili praksa treće zemlje u pitanje učinkovitost odgovarajućih zaštitnih mjera sadržanih u alatima za prijenos iz članka 46. Opće uredbe. U tim slučajevima Sud i dalje ostavlja mogućnost izvoznicima da provedu dodatne mjere kojima se nadoknađuju nedostatci u zaštiti i kojima se zaštita podiže na razinu propisanu pravom Unije.
Više informacija možete pronaći u Preporukama Europskog odbora za zaštitu podataka: https://edpb.europa.eu/system/files/2022-04/edpb_recommendations_202001vo.2.0_supplementarymeasurestransferstools_hr.pdf.
Stavkom 2. članka 46. Opće uredbe o zaštiti podataka propisano je da odgovarajuće zaštitne mjere bez potrebe za posebnim ovlaštenjem nadzornog tijela, mogu pružati: (a) pravno obvezujući i provedivi instrument između tijela javne vlasti ili javnih tijela; (b) obvezujuća korporativna pravila u skladu s člankom 47.; (c) standardne klauzule o zaštiti podataka koje donosi Komisija u skladu s postupkom ispitivanja iz članka 93. stavka 2.; (d) standardne klauzule o zaštiti podataka koje donosi nadzorno tijelo i koje Komisija odobrava u skladu s postupkom ispitivanja iz članka 93. stavka 2.; (e) odobreni kodeks ponašanja u skladu s člankom 40. zajedno s obvezujućim i provedivim obvezama voditelja obrade ili izvršitelja obrade u trećoj zemlji za primjenu odgovarajućih zaštitnih mjera, među ostalim u pogledu prava ispitanika; ili (f) odobreni mehanizam certificiranja u skladu s člankom 42. zajedno s obvezujućim i provedivim obvezama voditelja obrade ili izvršitelja obrade u trećoj zemlji za primjenu odgovarajućih zaštitnih mjera, između ostalog u pogledu prava ispitanika.
Slijedom navedenog, napominjemo da neovisno o tome koji alat za prijenos iz članka 46. Opće uredbe odaberete, morate osigurati da će preneseni podatci u načelu u cjelini uživati razinu zaštite istovjetnu onoj u Europskom gospodarskom prostoru.
Dodatno napominjemo kako je postupak odobravanja kodeksa ponašanja te postupak certificiranja detaljnije reguliran odredbama članaka 40.-42. Opće uredbe o zaštiti podataka dok je ispitivanje i odobravanje obvezujućih korporativnih pravila propisano člankom 47. Opće uredbe o zaštiti podataka. Više informacija o odobravanju obvezujućih korporativnih pravila možete pronaći u preporukama Europskog odbora za zaštitu podataka: https://edpb.europa.eu/system/files/2022-11/edpb_recommendations_20221_bcr-c_referentialapplicationform_en.pdf i na stranici Europske komisije: https://commission.europa.eu/law/law-topic/data-protection/reform/rules-business-and-organisations/obligations/what-rules-apply-if-my-organisation-transfers-data-outside-eu_en.
Nadalje, stavkom 3. članka 46. propisano je da ugovorne klauzule između voditelja obrade ili izvršitelja obrade i voditelja obrade, izvršitelja obrade ili primatelja osobnih podataka u trećoj zemlji ili međunarodnoj organizaciji kao i odredbe koje treba unijeti u administrativne dogovore između tijela javne vlasti ili javnih tijela, mogu predstavljati odgovarajuće zaštitne mjere pod uvjetom da to odobri nadležno nadzorno tijelo.
S tim u vezi ističemo kako je prije odobravanja ugovornih klauzula i obvezujućih korporativnih pravila od strane nadležnog nadzornog tijela, potrebno prethodno mišljenje Odbora za zaštitu podataka u smislu članka 64. stavka 1. Opće uredbe o zaštiti podataka. Osim toga, obavještavamo Vas kako su rokovi za usvajanje mišljenja od strane Odbora propisani stavkom 3. spomenutog članka dok je stavkom 7. istog članka propisan rok za daljnje postupanje nadzornog tijela.
Napominjemo kako je člankom 49. u skladu s uvodnom odredbom 111 propisana mogućnost prijenosa osobnih podataka u treće zemlje unatoč činjenici da za prijenos nije osigurana adekvatna razina zaštite. Naime, stavkom 1. navedenog članka propisano je da ako ne postoji odluka o primjerenosti u skladu s člankom 45. stavkom 3., ili odgovarajuće zaštitne mjere u skladu s člankom 46., što uključuje obvezujuća korporativna pravila, prijenos ili skup prijenosa osobnih podataka u treću zemlju ili međunarodnu organizaciju ostvaruje se samo pod jednim od taksativno navedenih uvjeta:
| (a) ispitanik je izričito pristao na predloženi prijenos nakon što je bio obaviješten o mogućim rizicima takvih prijenosa za ispitanika zbog nepostojanja odluke o primjerenosti i odgovarajućih zaštitnih mjera; |
(b) prijenos je nužan za izvršavanje ugovora između ispitanika i voditelja obrade ili provedbu predugovornih mjera na zahtjev ispitanika;
(c) prijenos je nužan radi sklapanja ili izvršavanja ugovora sklopljenog u interesu ispitanika između voditelja obrade i druge fizičke ili pravne osobe
(d) prijenos je nužan iz važnih razloga javnog interesa;
(e) prijenos je nužan za postavljanje, ostvarivanje ili obranu pravnih zahtjeva;
(f) prijenos je nužan za zaštitu životno važnih interesa ispitanika ili drugih osoba ako ispitanik fizički ili pravno ne može dati privolu;
(g) prijenos se obavlja iz registra koji prema pravu Unije ili pravu države članice služi pružanju informacija javnosti i koji je otvoren na uvid javnosti ili bilo kojoj osobi koja može dokazati neki opravdani interes, ali samo u mjeri u kojoj su ispunjeni uvjeti propisani u pravu Unije ili pravu države članice za uvid u tom posebnom slučaju.
Međutim, ističemo kako navedena odstupanja iz članka 49. predstavljaju iznimke te se stoga moraju tumačiti restriktivno. Budući da se primjenom navedenih odredbi smanjuje razina zaštite pojedinca vezano uz obradu njegovih osobnih podataka, potrebno je ispitati nužnost takvog prijenosa za ostvarenje određene zakonite svrhe.
Jednako tako, potrebno je utvrditi učestalost takvog prijenosa s obzirom da članak 49. ne može predstavljati pravni temelj za kontinuirani i ponavljajući prijenos osobnih podataka između dva povezana subjekta.
S tim u vezi, a nastavno na Vaše navode iz upita, smatramo kako navedeni članak ne bi mogao predstavljati pravni temelj za prijenos osobnih podataka budući da se u konkretnom slučaju ne bi radilo o povremenom, već o kontinuiranom prijenosu osobnih podataka. Osim toga, izričita privola ispitanika (članak 49. stavak 1. točka a) teško da se može pokazati izvedivim dugoročnim rješenjem za prijenos u treće zemlje budući da se, sukladno Općoj uredbi, privola ispitanika može povući u svakom trenutku.
Zaključno ističemo kako bi u Vašem slučaju standardne ugovorne kaluzule dostupne na poveznici: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en. predstavljale naprimjereniji alat za prijenos osobnih podataka u treću zemlju, uz napomenu da neovisno o tome koji alat za prijenos iz članka 46. izaberete, morate osigurati da će preneseni podatci u načelu u cjelini uživati razinu zaštite istovjetnu onoj u Europskom gospodarskom prostoru. Europski odbor za zaštitu podataka donio je Preporuke 01/2020 o mjerama kojima se dopunjuju alati za prijenos podataka kako bi se osigurala usklađenost s razinom zaštite osobnih podataka u EU-u kako bi pomogao izvoznicima osobnih podataka u složenoj zadaći procjenjivanja trećih zemalja i, prema potrebi, utvrđivanja odgovarajućih dodatnih mjera. U ovim se preporukama izvoznicima pruža niz koraka koje mogu slijediti, mogući izvori informacija i neki primjeri dodatnih mjera koje se mogu provesti.
Vezano uz ograničenja prilikom uzimanja i daljnjeg prijenosa uzoraka biološkog materijala, napominjemo kako iz Vašeg upita nije razvidno na koji način, od kojih kategorija ispitanika niti u koje svrhe obrađujete navedene osobne podatke te Vas stoga u tom kontekstu upućujemo na važeće propise kojima je regulirano Vaše područje djelovanja.
Agencija zaključno navodi kako je prilikom prikupljanja odnosno obrade osobnih podataka u svakom slučaju potrebno voditi računa o načelima obrade osobnih podataka iz članka 5. kao i o obvezama voditelja obrade vezano uz pružanje svih informacija iz članaka 13. i 14. i svih komunikacija iz članaka 15. do 22. i članka 34. u vezi s obradom u sažetom, transparentnom, razumljivom i lako dostupnom obliku, uz uporabu jasnog i jednostavnog jezika, osobito za svaku informaciju koja je posebno namijenjena djetetu.
