На 19 ноември 2021 г. Европейският комитет по защита на данните (ЕКЗД) публикува проекта на насоки за взаимодействието между разпоредбите на GDPR относно териториалния обхват (в член 3) и за международния трансфер на данни (глава V).
Предложените насоки са от значение за всяка организация, която ангажира доставчици в трети държави или обработва лични данни на физически лица в ЕС.
Проектът на насоките ще бъде отворен за консултация до 31 януари 2021 г.
Проектът предполага, че за да се квалифицира като пренос на данни към трета държава, операцията по обработка трябва да отговаря на три кумулативни критерия. Ако тези критерии не са изпълнени, няма „пренос“ и глава V от GDPR не се прилага. ЕКЗД назовава следните три критерия и предоставя подробни примери за всеки критерий:
- администратор или обработващ следва да прилага GDPR за дадено обработване;
- този администратор или обработващ лични данни (дефиниран като износител) „разкрива чрез предаване или по друг начин предоставя лични данни, предмет на това обработване, прави данните достъпни“ на друг администратор, съвместен администратор или обработващ лични данни (дефиниран като вносител). Това изрично изключва ситуации на закупуване на артикули онлайн от уеб магазин извън ЕИП. Във връзка с корпоративна група, ЕКЗД отбелязва, че субектите, които са част от една и съща корпоративна група, могат да се квалифицират като отделни администратори или обработващи лица и следователно ще се прилага ситуацията на пренос (и приложимостта на глава V);
- вносителят е в трета страна или е международна организация, независимо дали този вносител е обект на GDPR по отношение на даденото обработвате в съответствие с член 3. ЕКЗД подчертава, че вносителят трябва да бъде географски в трета страна държава (или е международна организация), независимо дали обработването попада в обхвата на GDPR.
В периода за консултации всеки заинтересован може да предостави становище по проекта на насоките.