Europski odbor za zaštitu podataka (EDPB) objavio je nove preporuke koje se odnose na prijenose osobnih podataka u treće zemlje. Dokumentom su detaljno objašnjene odgovornosti “izvoznika” osobnih podataka, kao i koraci koje je potrebno poduzeti kako bi se osigurao zakonit prijenos u treće zemlje.
Postupak kojeg EDPB preporuča ukratko se svodi na sljedećih šest koraka:
- Identificirajte prijenose osobnih podataka u treće zemlje
- Odredite odgovarajuće zaštitne mjere
- Procijenite zakonodavni okvir treće zemlje u koju prenosite osobne podatke
- Odredite dodatne zaštitne mjere ako ste procijenili da zakonodavni okvir treće zemlje nije primjeren
- Usvojite potrebne procedure
- Redovito pratite i preispitujte primjerenost usvojenih zaštitnih mjera
Tema međunarodnih prijenosa osobnih podataka je “vrući krumpir” još od srpnja ove godine kad je Sud EU donio presudu u predmetu C-311/18 (Schrems II). O tome smo u mnogo navrata već pisali na dpo:reportu, a nedavno je i naša Vlatka dala intervju za Netokraciju o problematici međunarodnih prijenosa podataka nakon te sudske presude. Ovim preporukama EDPB je samo potvrdio savjete koje smo dali klijentima i javnosti. S tim u vezi izdvajamo dio teksta koji se odnosi na prijenose osobnih podataka u SAD:
The CJEU held, for example, that Section 702 of the U.S. FISA does not respect the minimum safeguards resulting from the principle of proportionality under EU law and cannot be regarded as limited to what is strictly necessary. This means that the level of protection of the programs authorised by 702 FISA is not essentially equivalent to the safeguards required under EU law. As a consequence, if the data importer or any further recipient to which the data importer may disclose the data falls under 702 FISA49, SCCs or other Article 46 GDPR transfer tools may only be relied upon for such transfer if additional supplementary technical measures make access to the data transferred impossible or ineffective.
