Prenosi podatkov so dovoljeni, vendar so regulirani

Odlomek iz knjige Bruna DUMAYA: DEŠIFRIRANJE GDPR – Za vodje, strateške oddelke in zaposlene v podjetjih in organizacijah – Predgovor Gaëlle MONTEILLER

Čeprav se morda zdi presenetljivo v globaliziranem gospodarstvu, kjer se zdi pojem meja nezdružljiv s transakcijami prek interneta, je EU prepovedala prenos osebnih podatkov za nadaljnjo obdelavo v tretjo državo, tj. državo zunaj Unije, brez dovoljenja nadzornega organa.

GDPR odpravlja režim predhodne odobritve. Vendar pa so za izvedbo prenosa potrebni določeni pogoji. Komisija mora z odločitvijo ugotoviti, da prejemnik zunaj EU (država, ozemlje ali sektor države, mednarodna organizacija) „zagotavlja ustrezno raven varstva“ (člen 45-1). 

2.^e Prvi odstavek 45. člena navaja merila, ki ustrezajo tej ustrezni ravni varstva, vključno s pravno državo, spoštovanjem človekovih pravic in temeljnih svoboščin, zakonodajo, dejanskim obstojem neodvisnega nadzornega organa, mednarodnimi zavezami itd. Če pregled teh meril privede do zaključka, da je ukrep v skladu z evropskimi pravili, Komisija sprejme „izvedbeni akt“, ki se redno pregleduje vsaj vsaka štiri leta (45-3. člen). Nadalje je določeno, da Komisija stalno spremlja razvoj dogodkov v tretjih državah (45-4. člen).

Vendar je prenos mogoč, vedno brez predhodnega dovoljenja, na cilj, ki ni bil predmet izvedbenega akta. Člen 46 namreč določa, da lahko upravljavec ali obdelovalec podatkov prenese podatke, „če je zagotovil ustrezna jamstva in pod pogojem, da imajo posamezniki, na katere se nanašajo osebni podatki, izvršljive pravice in učinkovita pravna sredstva“ (člen 46-1).

Ta ustrezna jamstva je mogoče zagotoviti na različne načine, nekatere od njih smo že omenili:

•  Pravno zavezujoč in izvršljiv instrument med javnimi organi ali telesi;
•  Zavezujoča poslovna pravila (za skupine družb so določila teh pravil, ki jih mora odobriti nadzorni organ, določena v 47. členu);
• Standardne klavzule, ki jih odobri Komisija, bodisi neposredno bodisi prek nadzornega organa;
•  Kodeks ravnanja ali mehanizem certificiranja, „ki ga spremlja zavezujoča in izvršljiva zaveza upravljavca ali obdelovalca v tretji državi, da bo uporabil ustrezne zaščitne ukrepe“ (člen 46-2).

Ustrezne zaščitne ukrepe za prenos je mogoče zagotoviti, tokrat po odobritvi nadzornega organa, na dva druga načina:

– Pogodba med upravljavcem podatkov ali podizvajalcem in njihovimi partnerji v tretji državi;

– „Določbe, ki jih je treba vključiti v upravne dogovore med javnimi organi ali javnimi telesi“ (člen 46-3).

Vsak prenos je zato prepovedan zunaj izvedbenega akta, ki zagotavlja ustrezno raven varstva ali posebna jamstva. Vendar so določene izjeme za posebne primere, navedene v členu 49. Prenos je mogoč predvsem:

– Kadar je zadevna oseba dala izrecno soglasje, potem ko je bila obveščena o s tem povezanih tveganjih; 

– V okviru izvajanja pogodbe med posameznikom, na katerega se nanašajo osebni podatki, in upravljavcem (ali v njegovem interesu z drugo fizično ali pravno osebo);

– Kadar je prenos v javnem interesu ali povezan z uveljavljanjem zakonskih pravic ali potreben za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki.

Te številne določbe o možnostih prenosa kažejo, da želijo pobudniki GDPR zagotoviti varstvo osebnih podatkov, ne da bi pri tem ovirali delovanje podjetij in uprav. Z odpravo predhodne odobritve v veliki večini primerov stavijo na odgovornost akterjev, katerih delo mora biti mogoče preveriti v skladu z znanim načelom odgovornosti.