Europski odbor za zaštitu podataka usvojio je 12. srpnja 2022. Izjavu 02/2022 o prijenosima osobnih podataka u Rusku Federaciju. Izjava je u originalu dostupna na stranicama EDPB-a na engleskom jeziku, a u nastavku ju, u slobodnom prijevodu na hrvatski, prenosimo u cijelosti. Napominjemo da navedeno nije službeni prijevod.

Europski odbor za zaštitu podataka usvojio je sljedeću izjavu:

Od 24. veljače 2022. Ruska Federacija (Rusija) je u de facto ratu s Ukrajinom. Kao posljedica toga, 16. ožujka 2022. isključena je iz Vijeća Europe. Shodno tome, Rusija više nije ugovorna stranka u konvencijama i protokolima Vijeća Europe koji su otvoreni isključivo zemljama članicama. Također, od 16. rujna 2022. [Rusija] više neće biti visoka ugovorna stranka u Europskoj konvenciji o ljudskim pravima.

Iako je Odbor ministara Vijeća Europe u svojoj odluci usvojenoj 23. ožujka 2022. tvrdio da će Rusija ostati ugovorna stranka u onim konvencijama i protokolima Vijeća Europe koje je izričito pristala poštovati i koji su otvoreni za pristupanje i zemljama koje nisu članice – primjerice, Konvenciji 108 –, modaliteti po kojima će Rusija ostati uključena u tim instrumentima još se trebaju utvrditi¹. Ove promjene mogle bi imati značajan utjecaj na razinu zaštite ispitanika.

Europski odbor za zaštitu podataka (EDPB) podsjeća da su prijenosi osobnih podataka trećoj zemlji, ukoliko ne postoji odluka o primjerenosti koju je izdala Europska komisija sukladno članku 45. GDPR-a, mogući samo ako je voditelj ili izvršitelj obrade osigurao odgovarajuće zaštitne mjere, te pod uvjetom da su ispitanicima na raspolaganju provediva prava i učinkovita sudska zaštita (članak 46. GDPR-a). Ukoliko nema odluke o primjerenosti sukladno članku 45. stavak 3. GDPR-a ili odgovarajućih zaštitnih mjera sukladno članku 46. GDPR-a, prijenos ili prijenosi osobnih podataka trećoj zemlji provest će se, u posebnim slučajevima, samo ako je ispunjen neki od uvjeta iz članka 49. GDPR-a („Odstupanja za posebne situacije“)².

Rusija nema odluku o primjerenosti koju je izdala Europska komisija sukladno članku 45. GDPR-a. Shodno tome, prijenosi osobnih podataka u Rusiju moraju se provesti koristeći jedan od ostalih instrumenata koji su predviđeni Poglavljem V. GDPR-a. Uzimajući to u obzir, EDPB napominje da bi, kad prenose osobne podatke u Rusiju, izvoznici podataka na koje se primjenjuje GDPR trebali procijeniti i identificirati pravnu osnovu i instrument prijenosa iz Poglavlja V. GDPR-a (Standardne ugovorne klauzule ili Obvezujuća korporativna pravila), kako bi osigurali primjenu odgovarajućih zaštitnih mjera.

Nadalje, EDPB podsjeća da bi, nastavno na Schrems II presudu Europskog suda pravde³, te prema EDPB preporukama o dopunskim mjerama⁴, izvoznici podataka trebali procijeniti postoji li, u kontekstu tog prijenosa, nešto u zakonu i/ili praksi na snazi u Rusiji (prvenstveno u vezi s pristupom osobnim podacima od strane ruskih javnih tijela, posebice u svrhe provedbe kaznenog zakona osiguravanja nacionalne sigurnosti) što bi moglo utjecati na učinkovitost odgovarajućih zaštitnih mjera koje osiguravaju identificirani instrumenti prijenosa. U tom slučaju izvoznici podataka trebali bi identificirati i primijeniti dodatne mjere koje su nužne kako bi se ispitanicima osigurala razina zaštite koja je istovjetna onoj zajamčenoj unutar EGP⁵. Ako takva procjena dovede do zaključka da usklađenost nije (ili više nije) osigurana i da nije moguće identificirati dodatne mjere, izvoznici podataka moraju prekinuti s takvim prijenosima.

Nekoliko zemalja članica EGP su u bliskim ekonomskim i povijesnim odnosima s Rusijom, zbog čega se između tih zemalja i Rusije provode redoviti prijenosi osobnih podataka. Neka nacionalna nadzorna tijela za zaštitu podataka već preispituju zakonitost prijenosa podataka u Rusiju, uključujući i u kontekstu istraga koje su u tijeku. Nadzorna tijela nastavit će pratiti promjene zakonodavstva i druge relevantne događaje u Rusiji koji bi mogli utjecati na prijenose podataka. Nadzorna tijela će rješavati slučajeve koji uključuju prijenose podataka u Rusiju uzimajući u obzir povećan utjecaj na prava i slobode ispitanika koji mogu proizaći iz takvih postupaka obrade podataka, te će prema potrebi koordinirati s EDPB-om.

Za Europski odbor za zaštitu podataka

Predsjednik

(Andrea Jelinek)

¹ Sukladno Rezoluciji CM/Res(2022)3 o pravnim i financijskim posljedicama prestanka članstva Rusije u Vijeću Europe, modaliteti sudjelovanja Rusije u tim instrumentima utvrdit će posebno za svaki od njih Odbor ministara ili, ako je primjereno, države potpisnice.
² Pogledajte Smjernice 2/2018 o odstupanjima prema Članku 49. Uredbe 2016/679.
³ CJEU, presuda od 16. srpnja 2020., Facebook Ireland i Schrems, C-311/18, ECLI:EU:C:2020:559.
⁴ EDPB Preporuke 01/2020 o mjerama koje dopunjuju alate prijenosa kako bi se osigurala usklađenost razinom zaštite osobnih podataka u EU, konačna verzija usvojena 18. lipnja 2021.
⁵ Europski gospodarski pojas, skraćeno EGP, uključuje države članice Europske unije (EU) i tri zemlje Europskog udruženja za slobodnu trgovinu (EFTA) (Island, Lihtenštajn i Norveška; ne uključujući Švicarsku).