Presuda Schrems II – Često postavljana pitanja
Standardne ugovorne klauzule– poveznica na internetsku stranicu Europske komisije
Standardne ugovorne klauzule-dokument u wordu na hrvatskom
PROVEDBENA ODLUKA KOMISIJE (EU) 2021/914 o standardnim ugovornim klauzulama za prijenos osobnih podataka u treće zemlje
Često postavljana pitanja- Standardne ugovorne klauzule
Smjernice 04/2021 o kodeksima ponašanja kao alatima za prijenose
Sažetak sudske prakse o prijenosima podataka u treće zemlje
Sukladno članku 44. Opće uredbe o zaštiti podataka, svaki prijenos osobnih podataka koji se obrađuju ili su namijenjeni za obradu nakon prijenosa u treću zemlju ili međunarodnu organizaciju, može se odvijati jedino ako voditelj obrade i izvršitelj obrade djeluju u skladu s uvjetima iz poglavlja V. koji vrijede i za daljnje prijenose osobnih podataka iz treće zemlje ili međunarodne organizacije u još jednu treću zemlju ili međunarodnu organizaciju. Sve odredbe iz ovog poglavlja primjenjuju se kako bi se osiguralo da se ne ugrozi razina zaštite pojedinaca zajamčena ovom Uredbom. Osobni podaci mogu se prenositi u treće zemlje za koje je izdana odluka o primjerenosti (prijenosi na temelju odluke o primjerenosti). Prijenos osobnih podataka trećoj zemlji ili međunarodnoj organizaciji može se odvijati kad Europska komisija donese odluku da treća zemlja, područje, ili jedan ili više određenih sektora unutar te treće zemlje, ili međunarodna organizacija o kojoj je riječ osigurava primjerenu razinu zaštite. Takav prijenos ne zahtijeva posebno odobrenje. Europska komisija sastavlja i javno objavljuje popis trećih zemalja koje pružaju primjerenu razinu zaštite osobnih podataka i u koje se osobni podaci mogu iznositi bez daljnjih ograničenja.: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_hr
Ako nije donesena odluka na temelju članka 45. stavka 3., voditelj obrade ili izvršitelj obrade trećoj zemlji ili međunarodnoj organizaciji osobne podatke mogu prenijeti samo ako je voditelj obrade ili izvršitelj obrade predvidio odgovarajuće zaštitne mjere i pod uvjetom da su ispitanicima na raspolaganju provediva prava i učinkovita sudska zaštita.
Pravni instrumenti na temelju kojih je moguće iznositi osobne podatke u treće zemlje taksativno su navedeni u Općoj uredbi o zaštiti podataka, a ti instrumenti su pravno obvezujući instrumenti između javnih tijela, obvezujuća korporativna pravila, standardne ugovorne klauzule, kodeksi ponašanja, odobreni mehanizam certificiranja, ugovorne klauzule te odredbe iz administrativnih dogovora. Iznimno, u posebnim situacijama i ako prijenosi podataka nisu redovitog tipa, moguće je prenositi osobne podatke u treće države uz privolu ispitanika ako je bio prethodno obaviješten o rizicima prijenosa, ako je prijenos nužan za sklapanje ili izvršenje ugovora sklopljenog s ispitanikom ili u njegovom interesu, ako je prijenos nužan iz važnih razloga javnog interesa ili za pravne zahtjeve, ako je nužan za zaštitu ključnih interesa ispitanika a on ne može dati svoju privolu, te ako se prijenos obavlja iz registra javnih tijela sukladno posebnim propisima.
O prijenosima podataka u SAD
Od 16. srpnja 2020. godine prijenosi podataka iz EU u SAD na temelju Štita privatnosti su nezakoniti. Osobni podaci mogu se i dalje prenositi u SAD na temelju standardnih ugovornih klauzula, a pritom je potrebno poduzeti dodatne mjere kojima se osigurava odgovarajuća razina zaštite osobnih podataka europskih građana. Sud Europske unije je istaknuo da je primarna odgovornost na izvozniku i uvozniku podataka da procijene je li osigurana odgovarajuća razina zaštite te da pruže potrebne dodatne mjere. Te dodatne mjere zajedno sa standardnim ugovornim klauzulama, nakon analize okolnosti u kojima se odvija prijenos i ovisno od slučaja do slučaja, morale bi osigurati da pravo SAD-a ne narušava odgovarajuću razinu zaštite koju iste jamče. Na 34. plenarnoj sjednici Europskog odbora za zaštitu podataka održanoj 17. srpnja 2020. godine. Glavna tema rasprave bila je presuda Suda Europske unije u predmetu C-311/18 Data Protection Commissioner/ Maximillian Schrems i Facebook Ireland, kojom je poništena Odluka 2016/1250 o primjerenosti zaštite u okviru europsko-američkog sustava zaštite privatnosti. Nasuprot tomu, Sud je presudio da je Odluka Komisije 2010/87 o standardnim ugovornim klauzulama za prijenos osobnih podataka obrađivačima u trećim zemljama valjana.
Ukratko, transferi osobnih podatka iz EU u SAD mogu se odvijati na temelju standardnih ugovornih klauzula uz dodatne zaštitne mjere kad je to potrebno, a na izvozniku podataka (voditelju obrade) je da sam odredi jesu li ili nisu te mjere potrebne. EDPB je donio Preporuke 01/2020 o mjerama kojima se dopunjuju alati za prijenos podataka kako bi se osigurala usklađenost s razinom zaštite osobnih podataka u EU-u.
“Posljedice presude Schrems II proširuju se na sve transfere (podataka) u treće zemlje. Stoga ne postoji jedinstveno rješenje za sve transfere, jer bi to značilo ignoriranje različitosti situacija s kojima se susreću izvoznici podataka “, izjavila je predsjednica EDPB-a i čelnica austrijskog nadzornog tijela za zaštitu podataka, gđa Jelinek.
Europski odbor utvrđuje da su voditelji obrade koji se oslanjaju na mehanizam standardnih ugovornih klauzula, od slučaja do slučaja, dužni provjeriti pruža li zakonodavstvo treće zemlje razinu zaštite jednaku onoj zajamčenoj u Europskom gospodarskom prostoru. Izvoznici podataka (voditelji obrade) trebaju osigurati dodatna jamstva uz standardne ugovorne klauzule kako bi ostvarili učinkovito poštivanje ove razine zaštite podataka kada jamstva sadržana u klauzulama nisu dovoljna.
Članak 46. Opće uredbe o zaštiti podataka navodi niz alata za prijenos koji sadrže „odgovarajuće zaštitne mjere” kojima se izvoznici mogu služiti za prijenos osobnih podataka u treće zemlje ako ne postoje relevantne odluke o primjerenosti. Glavne vrste alata za prijenos iz članka 46. Opće uredbe: standardne klauzule o zaštiti podataka, obvezujuća korporativna pravila, kodeksi ponašanja, mehanizmi certificiranja, ad hoc ugovorne klauzule.
Neovisno o tome koji alat za prijenos iz članka 46. Opće uredbe o zaštiti podataka odaberete, morate osigurati da će preneseni podatci u cjelini uživati u načelu istovjetnu razinu zaštite. Alati za prijenos iz članka 46. Opće uredbe o zaštiti podataka uglavnom sadrže odgovarajuće zaštitne mjere ugovorne naravi koje se mogu primijeniti na prijenose u sve treće zemlje. Situacija u trećoj zemlji u koju prenosite podatke može od vas i dalje zahtijevati da dopunite te alate za prijenos i u njima sadržane zaštitne mjere dodatnim mjerama kako biste osigurali u načelu istovjetnu razinu zaštite.
Priopćenje Suda Europske unije
https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091hr.pdf
Cjeloviti tekst presude
Europski odbor za zaštitu podataka pozdravlja presudu Suda Europske unije u kojoj se ističe temeljno pravo na privatnost u kontekstu prijenosa osobnih podataka trećim zemljama. Odluka Suda Europske unije od velikog je značaja. Europski odbor za zaštitu podataka primio je na znanje činjenicu da je Sud Europske unije poništio Odluku 2016/1250 o primjerenosti zaštite koju pruža sustav zaštite privatnosti između EU-a i SAD-a Štit Privatnosti, te činjenicu da Odluku Komisije 2010/87 o standardnim ugovornim klauzulama smatra valjanom za prijenos obrađivačima osobnih podataka s poslovnim nastanom u trećim zemljama. U pogledu Štita privatnosti, Europski odbor za zaštitu podataka ističe da bi, u skladu s presudom, EU i SAD trebali donijeti potpun i učinkovit okvir kojim se jamči da je razina zaštite osobnih podataka u SAD-u jednaka onoj zajamčenoj u Europskoj uniji.
Europski odbor za zaštitu podataka prethodno je identificirao neke od glavnih nedostataka Štita Privatnosti na kojima Sud Europske unije temelji svoju presudu o poništenju Odluke 2016/1250, te je u svojim izvješćima o godišnjim zajedničkim revizijama Šita privatnosti doveo u pitanje usklađenost prava SAD-a s načelima nužnosti i proporcionalnosti. Europski odbor za zaštitu podataka ima namjeru konstruktivno doprinijeti sigurnosti transatlantskog prijenosa podataka koji će koristiti građanima Europskog gospodarskog prostora kao i organizacijama, te je spreman pružiti pomoć Europskoj komisiji i SAD-u pri izgradnji novog okvira koji će biti u potpunosti usklađen s odredbama Opće uredbe. U presudi Suda Europske unije naglašeno je da standardne ugovorne klauzule služe tome da osiguraju razinu zaštite koja je u bitnome jednaka onoj zajamčenoj Općom uredbom o zaštiti podataka, a u svjetlu Povelje Europske unije o temeljnim pravima.
Procjena pruža li zemlja u koju se prenose podaci odgovarajuću razinu zaštitu prije svega je odgovornost izvoznika i uvoznika podataka. Pri provedbi takve prethodne procjene izvoznik (ako je potrebno uz pomoć uvoznika), uzima u obzir sadržaj standardnih ugovornih klauzula, posebne okolnosti prijenosa, kao i pravni režim koji se primjenjuje u zemlji uvoznika. Ispitivanje potonjeg provodi se s obzirom na neiscrpne čimbenike utvrđene u članku 45. stavku 2. Opće uredbe o zaštiti podataka. Ako je rezultat te procjene da zemlja uvoznika ne pruža ekvivalentnu razinu zaštite, izvoznik će možda morati razmotriti uvođenje dodatnih mjera u odnosu na one uključene u standardne ugovorne klauzule.
U presudi Suda Europske unije istaknuta je i važnost da izvoznik i uvoznik poštuju svoje obveze uključene u standardne ugovorne klauzule, a posebno obveze informiranja u vezi s promjenom zakonodavstva u zemlji uvoznika. Ako te ugovorne obveze nisu ispunjene ili ih se ne može ispuniti, standardne ugovorne klauzule obvezuju izvoznika da obustavi prijenos ili raskine standardne ugovorne klauzule ili da obavijesti nadležno nadzorno tijelo u svojoj zemlji ako namjerava nastaviti s prijenosom podataka. Europski odbor za zaštitu podataka prima na znanje obvezu nadležnih nadzornih tijela da obustave ili zabrane prijenos podataka u treću zemlju u skladu sa standardnim ugovornim klauzulama, u slučaju kad nadležno nadzorno tijelo, uzimajući u obzir sve okolnosti tog prijenosa, utvrdi da se standardne ugovorne klauzule ne poštuju ili se ne mogu poštovati u toj trećoj zemlji, a zaštita prenesenih podataka se ne može osigurati drugim sredstvima, posebno ako voditelj obrade ili izvršitelj obrade već nije sam obustavio ili prekinuo prijenos.
Podsjećamo da je Europski odbor za zaštitu podataka izdao smjernice o odstupanjima iz članka 49. Opće uredbe o zaštiti podataka https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_2_2018_derogations_hr.pdf te da se ta odstupanja mogu primjenjivati ovisno o pojedinačnom slučaju. Nastavno na presudu Suda Europske unije u predmetu C-311/18 – Data Protection Commissioner protiv Facebook Ireland i Maximilian Schrems, EDPB je usvojio dokument „često postavljana pitanja” kako bi se pružila uvodna pojašnjenja i preliminarne smjernice dionicima o uporabi pravnih instrumenata za prijenos osobnih podataka u treće zemlje, uključujući Sjedinjene Američke Države.
Neslužbeni prijevod dokumenta Često postavljana pitanja o presudi Suda Europske unije u predmetu C-311/18 dostupan je na poveznici https://azop.hr/cesto-postavljana-pitanja-o-presudi-suda-europske-unije-u-predmetu-c-311-18-data-protection-commissioner-protiv-facebook-ireland-i-maximilian-schrems/
Tekst u izvorniku dostupan je na: https://edpb.europa.eu/sites/edpb/files/files/file1/20200724_edpb_faqoncjeuc31118.pdf
