Skip to Content

Prenos ličnih podataka u treće zemlje: Kako izbjeći kršenje GDPR-a

29. октобар 2025. by
Prenos ličnih podataka u treće zemlje: Kako izbjeći kršenje GDPR-a
Tanja Srdanović
1. Prvi korak – Identifikujte zemlju u koju se podaci prenose 2. Šta znači odluka o „adekvatnosti"? 3. Kada nema odluke o adekvatnosti – uspostavite odgovarajuće mjere zaštite 4. Dodatni uslovi za prenos ličnih podataka 5. Izuzeci – kada je prenos ipak moguć 6. Proces prenosa – kako to izgleda u praksi Zaključak: Međunarodni prenos podataka zahtijeva ozbiljan pristup

U eri globalne povezanosti, sve više kompanija sarađuje s partnerima i klijentima van Evropske unije. Međutim, prenos ličnih podataka u zemlje koje nisu članice EU donosi ozbiljne pravne rizike.

Da bi se zaštitila privatnost građana i izbjegle visoke kazne, svaki prenos mora biti usklađen s Opštom uredbom o zaštiti podataka (GDPR).

U nastavku objašnjavamo korake koje organizacije treba da slijede kako bi zakonito prenosile lične podatke u treće zemlje ili međunarodne organizacije.

1. Prvi korak – Identifikujte zemlju u koju se podaci prenose

Prije bilo kakvog prenosa, potrebno je jasno odrediti zemlju ili međunarodnu organizaciju koja će primati lične podatke.

Zakonitost prenosa zavisi od toga da li ta zemlja ima stabilan pravni sistem i da li njene institucije pružaju nivo zaštite podataka koji je uporediv sa standardima Evropske unije.

2. Šta znači odluka o „adekvatnosti"?

Evropska komisija može donijeti takozvanu odluka o adekvatnosti – to je potvrda da određena zemlja pruža zadovoljavajući nivo zaštite ličnih podataka.

U tom slučaju, podaci se mogu prenositi bez dodatnih pravnih mjera.

Odluke o adekvatnosti redovno se preispituju (najmanje jednom u četiri godine), a mogu biti i opozvane ako Evropska komisija procijeni da zemlja više ne ispunjava uslove zaštite.

Drugim riječima – ako zemlja ima važeću odluku o adekvatnosti, prenos je jednostavniji i sigurniji.

3. Kada nema odluke o adekvatnosti – uspostavite odgovarajuće mjere zaštite

Ako zemlja primaoci podataka nema odluku o adekvatnosti, organizacija mora uvesti dodatne mjere zaštite.

GDPR dozvoljava nekoliko načina da se to postigne:

  • sklapanjem pravno obavezujućih ugovora između javnih tijela;
  • korištenjem obavezujućih poslovnih pravila (Binding Corporate Rules) – interna pravila kompanije koja regulišu međunarodni prenos podataka unutar grupe;
  • primjenom standardnih ugovornih klauzula koje je odobrila Evropska komisija ili nadzorno tijelo;
  • kroz odobreni kodeks ponašanja ili sistem sertifikacije.

Izbor mehanizma zavisi od prirode podataka, vrste organizacije i pravnog odnosa sa stranim partnerom. Bitno je da svaka mjera bude dokumentovana i da se može dokazati da štiti prava lica čiji se podaci prenose.

4. Dodatni uslovi za prenos ličnih podataka

Ako zemlja nema odluku o adekvatnosti, a ni prethodno pomenute zaštitne mjere ne postoje, podaci se mogu prenijeti samo u izuzetnim slučajevima, kao što su:

  • osoba je dala izričit pristanak nakon što je obaviještena o rizicima;
  • prenos je neophodan za izvršenje ugovora ili za korake prije njegovog zaključenja;
  • prenos je u javnom interesu (npr. međunarodna saradnja u oblasti bezbjednosti);
  • prenos je potreban radi podnošenja, ostvarivanja ili odbrane pravnog zahtjeva;
  • prenos je neophodan radi zaštite vitalnih interesa osobe (npr. u hitnim medicinskim slučajevima);
  • podaci se prenose iz javnog registra (npr. poslovnog registra) u skladu sa zakonom.

5. Izuzeci – kada je prenos ipak moguć

Ako nijedan od gore navedenih uslova nije ispunjen, GDPR ipak predviđa izuzetnu mogućnost prenosa, ali samo ako su ispunjeni svi sljedeći kriterijumi:

  • prenos se ne ponavlja i odnosi se na ograničen broj osoba;
  • postoji legitiman interes za prenos koji nije nadjačan interesima osobe čiji se podaci obrađuju;
  • sprovedena je procjena svih okolnosti i uvedene su mjere zaštite;
  • sve je zabilježeno u dokumentaciji, a nadzorno tijelo i lica na koja se podaci odnose su obaviješteni.

6. Proces prenosa – kako to izgleda u praksi

Kada je prenos zakonski dozvoljen, potrebno je utvrditi način tehničkog i organizacionog sprovođenja.

To podrazumijeva određivanje:

  • vrste podataka koji se prenose,
  • količine informacija,
  • zemlje odredišta i
  • tehnologije koja se koristi za prenos (npr. enkripcija).

Organizacija mora čuvati dokaze o sprovedenim zaštitnim mjerama i pridržavati ih se tokom cijelog procesa.

To je ključni dokaz da je prenos urađen u skladu s GDPR-om i da su prava građana zaštićena.

Zaključak: Međunarodni prenos podataka zahtijeva ozbiljan pristup

Prenos ličnih podataka u treće zemlje nije zabranjen, ali je strogo regulisan.

Organizacije koje posluju globalno moraju razumjeti razliku između zemlje s odlukom o adekvatnosti i one bez nje, te uspostaviti odgovarajuće zaštitne mjere.

Transparentnost, dokumentovanost i poštovanje GDPR principa najbolja su zaštita od mogućih kazni – i dokaz odgovornog poslovanja u digitalnom dobu.

Kad privremeni posao postane stalan: šta kaže Zakon o radu Republike Srpske

Kad privremeni posao postane stalan: šta kaže Zakon o radu Republike Srpske