EDPS напомня, че няма действащи решения за адекватност на международни организации
Европейският надзорен орган по защита на данните (EDPS/ЕНОЗД) публикува модел за предаване на лични данни от институции, органи, служби и агенции на ЕС към международни организации.
Моделът има за цел да помогне на ведомствата за спазването на приложимото законодателство на ЕС за защита на данните, Регламент (ЕС) 2018/1725, когато трябва да прехвърлят лични данни на международни организации, в рамките на тяхната роля.
Ръководителят на EDPS Войчех Вевюровски е цитиран да казва, че в зависимост от естеството на тяхната работа на институциите може да се наложи да прехвърли лични данни на международни организации, в изпълнение на важни цели, като предоставяне на хранителна помощ или застъпничество за правата на хората.
„В този контекст един от приоритетите на моята институция е да гарантира, че личните данни на физическите лица са защитени съгласно стандартите на ЕС както в ЕС/Европейското икономическо пространство, така и извън него. Новият административен ред позволява на ведомствата да се подготвят ефективно за възможни трансфери на лични данни към международни организации по цялостен начин.“
За да се гарантира практическото му прилагане от ведомствата, моделът поставя ударение върху основните принципи на защитата на данните и въвежда необходимите предпазни мерки, като начин да се осигури ниво на защита, което по същество е еквивалентно на гарантираното от законодателството на ЕС.
Одобрението на ЕНОЗД продължава да е необходимо, но използването на модела значително ще улесни процеса на одобрение в полза както на двете страни, така и на засегнатите лица.
В текста на примерния административен ред за предаване на лични данни пише, че прехвърлянето на лични данни към получатели извън Европейския съюз може да генерира допълнителни рискове за субектите на данни, тъй като приложимите правила за защита на данните в юрисдикцията на получателя може да са по-малко защитни, отколкото в рамките на Съюза. Институциите, агенциите, службите и органите на Европейския съюз („EUI“) трябва да спазват специфични изисквания съгласно Регламент 2018/1725 – тест в две стъпки: първо, обработването трябва да е законосъобразно и второ, трябва да е налице подходящо основание за прехвърляне в съответствие с глава V.
Първият механизъм, предвиден от законодателя на Съюза за осигуряване на по същество еквивалентно ниво на защита на данните, предавани на трета държава, е приемането на решение за адекватност от Европейската комисия. Подобно решение признава, че трета държава или международна организация осигурява на личните данни защита, която по същество е еквивалентна на тази в ЕС. Няма действащи решения за адекватност на международни организации.
При липса на решение относно адекватността, прехвърлянето може да се осъществи чрез предоставяне на подходящи гаранции и при условие, че за лицата са налице приложими права и ефективни правни средства за защита. Правно обвързващ и приложим инструмент между публични органи или организации може да предвижда такива подходящи гаранции без допълнително разрешение от Европейския надзорен орган по защита на данните.
Друг механизъм, който може да се използва за осигуряване на непрекъснатост на защитата чрез подходящи предпазни мерки за защита на данните, е административно споразумение (AA) сключено между EUI и публичен орган или IO, подлежащи на разрешение от ЕНОЗД.
Европейският комитет по защита на данните (EDPB/ЕКЗД) издаде Насоки 2/2020 относно член 46, параграф 2, буква „а“ и член 46, параграф 3, буква „б“ от Регламент 2016/679 за трансфер на лични данни между европейски и публични органи и ведомства извън ЕИП, изясняващи предпазните мерки, които трябва да бъдат включени. Критериите за подходящи предпазни мерки съгласно член 48, параграф 3, буква “б“ от регламента са същите като съгласно член 46, параграф 3, буква „б“ от GDPR. Следователно, Насоките на ЕКЗД 2/2020 са приложими и за АА, сключени между EUI и други публични органи, и бяха внимателно обмислени и за модела на АА на ЕНОЗД.
EUI приемат сътрудничеството и често работят заедно с международните организации, доколкото те редовно трябва да обменят лични данни, за да изпълнят своите мандати въз основа на Договора за функционирането на Европейския съюз. Международните организации имат специфичен статут съгласно международното право, поради приложимите привилегии и имунитети, предназначени да гарантират тяхното независимо и ефективно функциониране. Следователно техният статут също трябва да бъде взет предвид в инструментите, уреждащи прехвърлянето на лични данни от EUI към ведомствата. За допълнително улесняване на обмена на данни между EUI и IO и като се вземе предвид съответният специфичен контекст, беше разработен конкретен модел AA, който е приложен като приложение I.