Evropski odbor za zaštitu podataka (European Data Protection Board - EDPB) 2. decembra 2024. godine objavio je smjernice o prenosu podataka organima trećih država, kojima se razrađuje odredba člana 48. Opšte uredbe o zaštiti podataka EU 2016/679 (General Data Protection Regulation - GDPR).
Navedenom odredbom propisano je da svaka presuda suda ili odluka upravnog organa treće države, kojom se od kontrolora ili obrađivača zahtijeva prenos ili otkrivanje ličnih podataka, može biti priznata ili izvršiva na bilo koji način samo ako se zasniva na nekom međunarodnom sporazumu, poput ugovora o uzajamnoj pravnoj pomoći, koji je na snazi između treće države koja je podnijela zahtjev i Unije ili države članice, ne dovodeći u pitanje druge razloge za prenos u skladu s predmetnim poglavljem Uredbe.
Cilj smjernica je da razjasne smisao navedenog člana Uredbe, uključujući njegovu primjenu u vezi s drugim odredbama Uredbe, posebno s aspekta poštovanja opštih principa Uredbe i odredaba o zakonitosti i pravnom osnovu obrade i prenosa ličnih podataka. Takođe, smjernicama se pružaju praktične preporuke kontrolorima i obrađivačima u Evropskoj uniji u pogledu postupanja sa zahtjevima za prenos ili otkrivanje podataka koje dobijaju od organa trećih država.
Čitaj više

Reljić: Domaća privreda mora da obrati pažnju na zaštitu ličnih podataka
Dragoljub Reljić, direktor Agencije za zaštitu ličnih podataka Bosne i Hercegovine, govorio je za Bloomberg Adriju o GDPR-u.
23.07.2024

Zbog kršenja GDPR-a Meta kažnjena sa 390 miliona evra
Kazna je uslijedila zbog načina na koji Meta koristi podatke korisnika pri personalizovanju reklama.
05.01.2023

Cyber napadi na kompanije - kako izgleda jedan od njih i kako se odbraniti
Dejan Jarić iz kompanije Lanaco govorio je o cyber napadu na jednu od retail kompanija u BiH.
14.11.2024
Bitno je naglasiti da se smjernice odnose samo na slučajeve u kojima su kontrolor ili obrađivač iz Evropske unije privatna lica, a ne javni organi. Ako je riječ o javnim organima, postupanje se provodi u skladu sa zaključenim multilateralnim i bilateralnim međunarodnim sporazumima.
Evropski odbor za zaštitu podataka u smjernicama ističe da kontrolori i obrađivači ličnih podataka u Evropskoj uniji, po dobijanju zahtjeva nadležnog organa treće države, u svakom slučaju moraju primijeniti tzv. "test u dva koraka".
Prvi korak podrazumijeva da postoji pravni osnov za obradu podataka u skladu s primjenjivim odredbama Uredbe.
Drugi korak se odnosi na činjenicu da se otkrivanje ili prenos ličnih podataka odvijaju u saglasnosti s poglavljem V Uredbe, kao i u skladu s opštim principima iz člana 5. i na temelju nekog od pravnih osnova iz člana 6. Uredbe.
Takođe, obavezna je i primjena opštih odredaba kojima se uređuju odgovarajuće mjere zaštite nosilaca podataka u slučaju prenosa podataka u treće države, a tu se, prije svega, misli na postojanje tzv. "odluke o adekvatnosti" Evropske komisije, kojom Komisija određuje da li država van Evropske unije pruža adekvatan nivo zaštite podataka, ili druge odgovarajuće mjere zaštite propisane članom 46. Uredbe.
Ilustracija (Depositphotos)
Kada je riječ o poglavlju V Uredbe, prvenstveno se ističe član 44 - Opšta načela prenosa, kojim je propisano da svaki prenos ličnih podataka koji se obrađuju ili su namijenjeni obradi nakon prenosa u treću državu ili međunarodnu organizaciju se, uz primjenu ostalih odredaba Uredbe, vrši samo ako kontrolor i obrađivač postupaju u skladu s uslovima iz ovog poglavlja koji važe i za dalje prenose ličnih podataka iz treće države ili međunarodne organizacije u drugu, treću državu ili međunarodnu organizaciju.
Pored toga što prenos mora ispuniti sve uslove vezane za usaglašenost s Uredbom, kontrolor ili obrađivač moraju da ispoštuju i druge zahtjeve koji proizilaze iz drugih pravnih instrumenata, npr. nacionalna procesna pravila ili međunarodne ugovore koji predviđaju saradnju s organom treće države.
Smjernicama su dalje razrađeni pravni osnovi za zakonitost obrade, te njihova primjenjivost u slučaju prenosa ili otkrivanja ličnih podataka na zahtjev organa treće države. Primjera radi, navodi se da je teško opravdati situaciju u kojoj se primjenjuje osnov iz člana 6. stav (1) tačka b), koji se odnosi na obradu potrebnu radi izvršenja ugovora u kojem je lice na koje se podaci odnose ugovorna strana ili radi preduzimanja mjera na zahtjev lica na koje se podaci odnose prije zaključenja ugovora. S druge strane, pravni osnov iz člana 6. stav (1) tačka c), tj. slučaj u kojem je obrada potrebna za izvršavanje zakonske obaveze, bio bi odgovarajući pravni osnov pod uslovom da su ispunjeni i drugi uslovi za prenos.
Kada je riječ o saglasnosti nosilaca podataka, ona bi se načelno mogla smatrati valjanim pravnim osnovom za prenos podataka u treće države. Međutim, u nekim sferama takva mogućnost je isključena, jer se radi o vršenju autoritarnih ovlašćenja nosilaca vlasti i takva saglasnost često ne bi mogla imati kvalitete koji se zahtijevaju u skladu sa Uredbom, tj. ne bi se mogla smatrati slobodno datom, konkretnom, informisanom i nedvosmislenom.
Na kraju, smjernice sadrže grafički prikaz koraka koje kontrolor ili obrađivač iz Evropske unije treba da preduzme da bi utvrdio da li je dozvoljen prenos ili otkrivanje ličnih podataka nadležnom organu treće države u skladu sa članom 48. Uredbe:
* Test u dva koraka: Zakonit prenos zahtijeva pravni osnov iz člana 6. Uredbe i osnov za prenos u Poglavlju V Uredbe.
** Primjenjiv međunarodni ugovor jeste ugovor koji predviđa mogućnost direktnih zahtjeva javnih organa iz trećih zemalja za pristup ličnim podacima koje obrađuju privatni subjekti u Evropskoj uniji. Ako takav ugovor ne postoji, ali međunarodni ugovor predviđa saradnju između javnih organa u toj konkretnoj oblasti, poput ugovora o međusobnoj pravnoj pomoći, privatni subjekti u Evropskoj uniji bi, u skladu s procedurom predviđenom tim sporazumom ili ugovorom, u načelu trebalo da upute organ treće zemlje koji podnosi zahtjev na njegov nadležni nacionalni organ.
*** Pod uslovom da je obezbijeđena usklađenost s ostalim relevantnim odredbama Uredbe.
Izvor: Igor Letica
Prema tome, smjernicama se daju instrukcije kontrolorima i obrađivačima u Evropskoj uniji vezano za prenos podataka u treće države koje nisu članice Evropske unije. U njima je sadržan niz koraka koje je potrebno preduzeti radi procjene da li je takav prenos u treće države dozvoljen.
Smjernice će biti od značaja i za nadležne sudske, upravne i druge organe u Bosni i Hercegovini, jer će zahtjeve i naloge za prenos ličnih podataka morati strukturisati tako da ispune uslove iz smjernica Evropskog odbora za zaštitu podataka.
U suprotnom, privatni kontrolori i obrađivači ličnih podataka iz Evropske unije neće biti dužni da postupe po zahtjevima i nalozima nadležnih organa država koje nisu članice Unije. Stoga je od velikog značaja i usklađivanje domaćeg zakonodavstva s propisima Evropske unije, koje je rezultiralo donošenjem novog Zakona o zaštiti ličnih podataka BiH.
--- Igor Letica je advokat u Advokatskoj firmi "Sajić" iz Banje Luke
Sadržaj, stavovi i mišljenja izneseni u komentarima objavljenim na Bloomberg Adriji pripadaju autoru i ne predstavljaju nužno stavove uredništva Bloomberg Adrije.