Bruxelles, 11. studenoga – tijekom svoje 41. plenarne sjednice Europski odbor za zaštitu podataka (EDPB) je usvojio preporuke o europskim temeljnim jamstvima za nadzorne mjere i preporuke o mjerama koje dopunjuju alate za prijenos podataka kako bi osigurao da se poštuje zaštita osobnih podataka na razini EU-a.
Oba su dokumenta usvojena nakon presude Suda EU-a u predmetu Schrems II. Posljedica je presude od 16. srpnja da su voditelji obrade, koji se oslanjaju na standardne ugovorne klauzule, dužni provjeriti u svakom pojedinom slučaju, i prema potrebi u suradnji s primateljem podataka u zemlji izvan EU-a, osigurava li pravo zemlje izvan EU-a razinu zaštite prenesenih osobnih podataka koja je doista istovjetna s onom zajamčenom u Europskom gospodarskom prostoru (EGP). Sud EU-a dopustio je izvoznicima podataka da standardnim ugovornim klauzulama dodaju mjere kako bi se osiguralo učinkovito poštovanje razine zaštite u slučajevima kad zaštitne mjere standardnih ugovornih klauzula nisu dovoljne.
Cilj je preporuka pomoći voditeljima i izvršiteljima obrade u svojstvu izvoznika podataka s njihovom dužnošću utvrđivanja i provedbe odgovarajućih dodatnih mjera tamo gdje su potrebne za osiguranje doista istovjetne razine zaštite podataka prenesenih u zemlju izvan EU-a. Kako bi to postigao, EDPB traži konzistentnu primjenu GDPR-a i navedene presude Suda EU-a širom EGP-a.
Predsjednica EDPB-a, Andrea Jelinek izjavila je: „EDPB je potpuno svjestan utjecaja koji presuda u predmetu Schrems II ima na tisuće poduzeća u EU-u kao i izuzetne odgovornosti koju to stavlja na izvoznike podataka. EDPB se nada da će ove preporuke pomoći izvoznicima podataka pri utvrđivanju i provedbi učinkovitih dodatnih mjera tamo gdje je to potrebno. Naš je cilj omogućiti zakoniti prijenos osobnih podataka u zemlje izvan EU-a uz jamstvo da preneseni podatci imaju razinu zaštite koja je doista istovjetna onoj zajamčenoj u EGP-u.”
Preporuke sadrže plan djelovanja s koracima koje izvoznici podataka moraju poduzeti kako bi utvrdili trebaju li provesti dodatne mjere da bi izvezli podatke iz EGP-a u skladu s pravom EU-a i koji im može pomoći pri utvrđivanju učinkovitih mjera. Preporuke sadrže i ogledni popis primjera dodatnih mjera te neke dodatne uvjete za njihovu učinkovitost.
Međutim, izvoznici podataka su ti koji u konačnici moraju donijeti konkretnu procjenu u kontekstu prijenosa, pravnog sustava zemlje izvan EU-a i alata za prijenos na koji se oslanjaju. Izvoznici podataka moraju postupati s dužnom pažnjom i detaljno dokumentirati svoj postupak jer će biti odgovorni za odluke koje donesu na toj osnovi, u skladu s načelom odgovornosti propisanim GDPR-om. Nadalje, izvoznici podataka moraju biti svjesni da u svakoj situaciji neće biti moguće provesti dovoljne dodatne mjere.
Preporuke o dodatnim mjerama bit će upućene na javnu raspravu. Primjenjivat će se odmah nakon njihove objave.
Osim toga, EDPB je usvojio preporuke o europskim temeljnim jamstvima za nadzorne mjere. Preporuke o europskim temeljnim jamstvima dopunjuju preporuke o dodatnim mjerama. Preporuke o europskim temeljnim jamstvima sadrže elemente uz pomoć kojih izvoznici podataka mogu odlučiti može li se pravni okvir u sklopu kojeg nadležna javna tijela zemalja izvan EU-a imaju pristup podatcima s ciljem nadzora smatrati opravdanim zadiranjem u pravo na privatnost i zaštitu osobnih podataka te da stoga ne utječe negativno na obveze propisane člankom 46. GDPR-a o alatu za prijenos na koji se oslanjaju izvoznik i uvoznik podataka.
Predsjednica je dodala: „Implikacije presude u predmetu Schrems II obuhvaćaju sve prijenose u zemlje izvan EU-a. Stoga ne postoje brza rješenja niti jedinstveno rješenje za sve prijenose jer bi se time zanemario vrlo širok raspon situacija s kojima se suočavaju izvoznici podataka. Izvoznici podataka morat će ocijeniti svoje postupke obrade podataka i prijenose te poduzeti učinkovite mjere, uzimajući u obzir pravni poredak zemlje izvan EU-a u koju izvoze ili namjeravaju izvoziti podatke.”
Nadzorna tijela EGP-a za zaštitu podataka nastavit će koordinirati svoje aktivnosti unutar EDPB-a za osiguranje dosljedne primjene prava EU-a o zaštiti podataka.
Napomena urednicima:
Napominjemo da svi dokumenti doneseni tijekom plenarne sjednice EDPB-a podliježu potrebnim pravnim, jezičnim i oblikovnim provjerama te da će biti dostupni na mrežnom mjestu EDPB-a nakon tih provjera.
EDPB_Press Release_2020_18