Nove EU Preporuke za prenos ličnih podataka u treće zemlje u okviru GDPR

Evropski odbor za zaštitu podataka usvojio je dana 10/11/2020. godine Preporuke o evropskim osnovnim garancijama za mere nadzora koje se bave pitanjem prenosa i razmene podataka o ličnosti sa trećim državama koje nisu članice EU.

Preporuke se odnose na procenu da li je pravo treće države u koju se podaci o ličnosti prenose – u skladu sa standardima zaštite EU (uključujući Povelju o osnovnim pravima EU, Evropsku konvenciju o ljudskim pravima, sudsku praksu Evropskog suda pravde i Evropskog suda za ljudska prava).

Ovaj dokument je usvojen nedugo nakon odluke Suda pravde EU donetu u slučaju Šrems II.

Posledica pomenute odluke je da su rukovaoci koji se oslanjaju na Standardne ugovorne klauzule EU,  dužni da potvrde u svakom konkretnom slučaju i prema potrebi, u saradnji sa primaocem podataka u trećoj zemlji, da li zakon treće zemlje osigurava nivo zaštite prenetih ličnih podataka koji je u suštini jednak onom koji se garantuje u Evropskoj ekonomskoj zoni.

Na taj način, Preporuke omogućavaju tzv. ’’izvoznicima podataka’’ da utvrde da li pravni okvir koji reguliše pristup podacima javnim organima u svrhe nadzora u trećim zemljama može biti posmatran kao opravdano mešanje u privatnost i zaštitu podataka o ličnosti.

Ako je mešanje opravdano, ne postoji povreda člana 46. Opšte uredbe o zaštiti podataka (tzv. GDPR) na koji se izvoznik i uvoznik podataka u EU oslanjaju i kojim je u stavu 1. predviđeno da Kontrolor ili obrađivač može preneti lične podatke u treću zemlju ili međunarodnu organizaciju samo ako je kontrolor ili obrađivač obezbedio odgovarajuće mere zaštite, i pod uslovom da su na raspolaganju izvršna prava subjekta podataka i efikasni pravni lekovi za subjekte podataka.

Preporuke uvode četiri osnovne garancije koje moraju biti zajedno prisutne kada se ispituje pravo treće države, i to:

1. Mere nadzora moraju biti zasnovane na preciznom, jasnom i (javnosti) dostupnom pravu;
2. Mešanje javnih organa u svrhu nadzora mora biti proporcionalno i strogo neophodno;
3. Mora postojati nezavisni kontrolni mehanizam;
4. Delotvorni pravni lekovi (predstavke, žalbe i sl.) moraju biti na raspolaganju pojedincima u cilju zaštite i ostvarivanja njihovih prava ne samo državljanima treće države, nego i građanima EU.

Prva garancija znači da svako mešanje mora biti na zakonu zasnovano, a sam zakon mora jasno da definiše obim svih ograničenja osnovnih prava i da pruži zaštitu od arbitrarnog mešanja i zloupotreba ovlašćenja. Takođe, sam zakon mora biti lako dostupan javnosti.

Za drugi uslov, neophodno je da postoji legitimni cilj (proporcionalnost) radi kojeg se mešanje vrši (npr. zaštita javnog reda i mira, zaštita od terorizma – suštinski, opravdani javni interes), ali zakon treba da postavi jasne kriterijume za procenu istih.

Za treći uslov je neophodno uspostaviti nezavisno i nepristrasno telo poput sudije koje će imati pristup svim neophodnim dokumentima i činjenicama i čije će odluke biti obavezujuće za sve, pa tako i obaveštajne službe koje sprovode nadzor, kako bi građani mogli da se oslone na navedeni mehanizam da spreči povredu privatnosti.

Sve u svemu, navedene garancije koliko – toliko olakšavaju prenosiocima podataka iz EU procenu prava trećih zemalja. Ako su ispunjene, prenos je dozvoljen, a ako nisu – prenos treba odbiti. Naravno, konkretniji smisao navedenih garancija tek treba dodatno da se odredi kroz praksu, a treba imati na umu i da nije pravo svake države isto kao pravo EU, te da će često biti neophodna dublja analiza prava treće zemlje kako bi se utvrdilo da li navedene garancije postoje.

Pomenute Preporuke će svakako biti izazov i za našeg zakonodavca u pogledu eventualne izmene propisa o zaštiti ličnih podataka.