Prijenosi podataka dopušteni, ali regulirani

Ulomak iz knjige Bruna DUMAYA: DEŠIFRACIJA GDPR-a – Za menadžere, strateške odjele i zaposlenike tvrtki i organizacija – Predgovor Gaëlle MONTEILLER

Koliko god to iznenađujuće zvučalo u globaliziranom gospodarstvu gdje se pojam granica čini nekompatibilnim s transakcijama putem interneta, EU je zabranila prijenos osobnih podataka radi daljnje obrade u treću zemlju, tj. zemlju koja se nalazi izvan Unije, bez odobrenja nadzornog tijela.

GDPR ukida režim prethodnog odobrenja. Međutim, za prijenos su potrebni određeni uvjeti. Komisija mora odlukom utvrditi da primatelj izvan EU-a (zemlja, teritorij ili sektor zemlje, međunarodna organizacija) „osigurava odgovarajuću razinu zaštite“ (članak 45-1). 

Drugi^e U prvom stavku članka 45. navedeni su kriteriji koji odgovaraju toj odgovarajućoj razini zaštite, uključujući vladavinu prava, poštivanje ljudskih prava i temeljnih sloboda, zakonodavstvo, učinkovito postojanje neovisnog nadzornog tijela, međunarodne obveze itd. Ako ispitivanje tih kriterija dovede do zaključka da je mjera u skladu s europskim pravilima, Komisija donosi „provedbeni akt“, podložan periodičnom preispitivanju najmanje svake četiri godine (čl. 45-3). Nadalje je precizirano da će Komisija stalno pratiti razvoj događaja u trećim zemljama (čl. 45-4).

Međutim, prijenos je moguć, uvijek bez prethodnog odobrenja, na odredište koje nije bilo predmetom provedbenog akta. Doista, članak 46. propisuje da voditelj obrade podataka ili obrađivač može prenijeti podatke „ako je pružio odgovarajuća jamstva i pod uvjetom da ispitanici imaju provediva prava i učinkovite pravne lijekove“ (čl. 46-1).

Ta odgovarajuća jamstva mogu se pružiti na različite načine, od kojih smo neke već spomenuli:

•  Pravno obvezujući i provedivi instrument između javnih vlasti ili tijela;
•  Obvezujuća korporativna pravila (za grupe društava, uvjeti tih pravila, koje mora odobriti nadzorno tijelo, navedeni su u članku 47.);
• Standardne klauzule koje je odobrila Komisija, bilo izravno ili putem nadzornog tijela;
•  Kodeks ponašanja ili mehanizam certificiranja „popraćen obvezujućom i provedivom obvezom koju je preuzeo kontrolor ili obrađivač u trećoj zemlji o primjeni odgovarajućih zaštitnih mjera“ (čl. 46-2).

Odgovarajuće zaštitne mjere za prijenos mogu se osigurati, ovaj put nakon odobrenja nadzornog tijela, na dva druga načina:

– Ugovor između voditelja obrade podataka ili podizvođača s njihovim kolegama u trećoj zemlji;

– „Odredbe koje treba uključiti u administrativne dogovore između javnih vlasti ili javnih tijela“ (čl. 46-3).

Stoga je svaki prijenos zabranjen izvan provedbenog akta kojim se jamči odgovarajuća razina zaštite ili posebna jamstva. Međutim, predviđene su iznimke za specifične situacije navedene u članku 49. Prijenos je posebno moguć:

– Kada je dotična osoba dala svoj izričit pristanak nakon što je obaviještena o uključenim rizicima; 

– U kontekstu izvršenja ugovora između ispitanika i kontrolora (ili u njegovom interesu s drugom fizičkom ili pravnom osobom);

– Kada je prijenos u javnom interesu ili je povezan s ostvarivanjem zakonskih prava ili je potreban za zaštitu vitalnih interesa ispitanika.

Ove brojne odredbe o mogućnostima prijenosa pokazuju da inicijatori GDPR-a žele jamčiti zaštitu osobnih podataka, bez ometanja aktivnosti tvrtki i uprava. Uklanjanjem prethodnog odobrenja u velikoj većini slučajeva, klade se na odgovornost aktera, čiji rad mora biti moguće provjeriti, prema poznatom načelu odgovornosti.