| Pravice posameznika |
| Inšpekcijski nadzor |
| Iskalnik po odločbah in mnenjih |
| Register zbirk |
| Informacijske tehnologije in osebni podatki |
| Informacije javnega značaja |
Safe Harbor
1. Uvodno
Uporaba Safe Harbor načel v praksi pomeni, da je organizacija, ki želi prenesti osebne podatke v tretjo državo, najprej zavezana nacionalni zakonodaji, da zagotovi, da se podatki obdelujejo pravično in zakonito; organizacija iz Slovenije, ki želi prenesti osebne podatke v tretje države je tako najprej zavezana načelom ZVOP-1, v katerem so implementirane zahteve Direktive 95/46/EC, in pred prenosom podatkov v tretje države potrebuje odločbo o ustrezni ravni varstva osebnih podatkov s strani tretje države, ki jo izda državni nadzorni organ (v tem primeru Informacijski pooblaščenec). Informacijski pooblaščenec je v Sloveniji organ, pristojen za nadzor nad izvajanjem določb ZVOP-1, torej pristojen tudi za to, da organizacije spoštujejo določbe glede prenosa osebnih podatkov v tretje države.
V primeru iznosa podatkov v ZDA se po odločbi Evropske Komisije 2000/520/ES zavezanost organizacije načelom Safe Harbor šteje kot zagotovilo, da organizacija ustrezno varuje osebne podatke. Organizacija iz ZDA se za pridobitev ugodnosti varnega pristana samocertificira pri Ministrstvu za trgovino ZDA, kar pomeni, da se zaveže k spoštovanju načel varnega pristana in to tudi javno razglasi v svojih politikah varnosti podatkov. Seznam organizacij, ki so se zavezale, da bodo osebne podatke obdelovale v skladu z načeli je objavljen na spletni strani Ministrstva za trgovino ZDA: www.export.gov/safeharbor/.
Načela varnega pristana določajo, da mora organizacija posameznike obvestiti o namenu zbiranja in uporabe njihovih podatkov. Prav tako mora posameznikom ponuditi možnost izbire o tem, ali se bodo njihovi osebni podatki razkrili tretji stranki ali se bodo uporabili za namen, ki je različen od tistega, s katerim so bili zbrani. Prenos podatkov tretjim osebam je tako možen samo ob upoštevanju zgornjih dveh načel. Zavezanost načelom varnega pristana tako načeloma ščiti osebne podatke, prenesene v ZDA pred nepooblaščeno uporabo in določa pod kakšnimi pogoji sme organizacija iz ZDA posredovati osebne podatke tretji osebi.
Da organizacija pokaže, da spoštuje načela varnega pristana, mora izvajanje načel preverjati ali s samoocenjevanjem ali zunanjim pregledom. Pri samoocenjevanju mora tako preverjanje pokazati, da je objavljena politika organizacije glede zasebnosti osebnih podatkov, prejetih iz EU, točna, celovita, prikazana na vidnem mestu, v celoti izvedena in dostopna. Pokazati mora tudi, da je njena politika zasebnosti v skladu z načeli varnega pristana. Organizacije morajo voditi evidenco o svojem izvajanju prakse zasebnosti varnega pristana in jo v primeru preiskave ali pritožbe zaradi neskladnosti izročiti neodvisnemu organu, ki je pristojen za preiskavo pritožb, ali agenciji, ki je pristojna za obravnavo nepoštenih in goljufivih praks.
Organizacija je ob nespoštovanju načel, h katerim se zaveže, podvržena zakonskim pooblastilom pristojnih organov v ZDA, ki so pooblaščeni za preiskave pritožb v primeru nepoštenih praks (Federal Trade Commission ali Ministrstvo za promet ZDA). Nacionalnim nadzornim telesom v državah članicah (torej tudi Informacijskemu pooblaščencu v Sloveniji) pa daje 3. člen Odločbe Komisije 2000/520/ES pooblastilo, da ob ugotovitvi pristojnega organa iz ZDA ali pri utemeljeni podlagi, ki kaže na to, da se kršijo določila varnega pristana, prekinejo prenos podatkov v organizacijo iz ZDA, tako da naslovijo zahtevo po prenehanju prenosa podatkov na organizacijo, ki izvaža podatke. Prekinitev preneha takoj, ko je ugotovljeno, da organizacija iz ZDA zopet spoštuje načela varnega pristana.
2. O prenosu podatkov v tretje države in ZDA
Direktiva 95/46/ES Evropskega Parlamenta in Sveta z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (od tu naprej: Direktiva) v 25. in 26. členu določa prenos osebnih podatkov v tretje države. V skladu s 1. točko 25. člena se lahko prenos osebnih podatkov, ki so med obdelavo ali so namenjeni obdelavi po prenosu, v tretjo državo izvede le, če brez poseganja v skladnost z nacionalnimi določbami, ki so sprejete v skladu z drugimi določbami te direktive, ta tretja država zagotovi ustrezno raven varstva. Določbe Direktive so implementirane v ZVOP-1, ki podrobno določa prenos podatkov v tretje države v Sloveniji.
Za posredovanje osebnih podatkov upravljavcu osebnih podatkov, pogodbenemu obdelovalcu ali uporabniku osebnih podatkov v tretji državi morata biti izpolnjena dva pogoja, in sicer:
1. Za posredovanje oziroma sporočanje in dajanje osebnih podatkov na razpolago upravljavcu ali uporabniku osebnih podatkov v tretji državi mora obstajati katera izmed pravnih podlag, ki so za javni sektor določene v 9. členu ZVOP-1, za zasebni sektor pa v 10. členu ZVOP-1. Pogodbenemu obdelovalcu (pravni ali fizični osebi, ki obdeluje osebne podatke v imenu in na račun upravljavca osebnih podatkov) se lahko osebni podatki posredujejo pod pogoji, določenimi v 11. členu ZVOP-1.
2. Ob izpolnjenem prvem pogoju je posredovanje osebnih podatkov upravljavcu osebnih podatkov, uporabniku osebnih podatkov ali pogodbenemu obdelovalcu v tretji državi dopustno po določbi prvega odstavka 63. člena ZVOP-1 dopustna, če državni nadzorni organ (Informacijski pooblaščenec) izda odločbo, da država, v katero se iznašajo, zagotavlja ustrezno raven varstva osebnih podatkov. Odločba ni potrebna, če je tretja država na seznamu tistih držav iz 66. člena ZVOP-1, za katere je ugotovljeno, da v celoti zagotavljajo ustrezno raven varstva osebnih podatkov, ali pa le to zagotavljajo delno, če se posredujejo tisti osebni podatki in za tiste namene, za katere je ugotovljena ustrezna raven varstva.
Ne glede na prvi odstavek 63. člena ZVOP-1 oziroma ne glede na zgoraj navedene pogoje, se po določbah prvega odstavka 70. člena ZVOP-1 lahko iznesejo osebni podatki in posredujejo v tretjo državo, če:
1. tako določa drug zakon ali obvezujoča mednarodna pogodba;
2. je podana osebna privolitev posameznika, na katerega se nanašajo osebni podatki in je seznanjen s posledicami takšnega posredovanja;
3. je iznos potreben za izpolnitev pogodbe med posameznikom, na katerega se nanašajo osebni podatki, in upravljavcem osebnih podatkov ali za izvršitev predpogodbenih ukrepov, sprejetih kot odgovor na zahtevo posameznika, na katerega se nanašajo osebni podatki;
4. je iznos potreben za sklenitev ali izvršitev pogodbe, ki je v korist posameznika, na katerega se nanašajo osebni podatki, sklenjeno med upravljavcem osebnih podatkov in tretjo stranko;
5. je iznos potreben, da se pred hujšim ogrožanjem zavaruje življenje ali telo posameznika, na katerega se nanašajo osebni podatki;
6. se iznos opravi iz registrov, javnih knjig ali uradnih evidenc, ki so po zakonu namenjene zagotavljanju informacij javnosti in so na voljo za vpogled javnosti na splošno ali katerikoli osebi, ki lahko izkaže pravni interes, da so v posameznem primeru izpolnjeni pogoji, ki jih za vpogled določa zakon;
7. upravljavec osebnih podatkov zagotovi ustrezne ukrepe zavarovanja osebnih podatkov ter temeljnih pravic in svoboščin posameznikov in navede možnosti njihovega uresničevanja ali varstva, predvsem v določbah pogodb ali v splošnih pogojih poslovanja.
V primeru iznosa osebnih podatkov po 7. točki prejšnjega odstavka 70. člena ZVOP-1 mora oseba, ki namerava iznesti osebne podatke, pridobiti posebno odločbo državnega nadzornega organa (Informacijskega pooblaščenca), ki dovoljuje iznos osebnih podatkov.
3. Zavezanost načelom varnega pristana za ustrezno raven zaščite osebnih podatkov
Po Odločbi Komisije 2000/520/ES z dne 26. julija 2000 po Direktivi Evropskega parlamenta in Sveta 95/46/ES se šteje, da načela zasebnosti varnega pristana (Safe Harbor Guidelines) in najpogosteje postavljena vprašanja – FAQ ("načela"), ki jih je izdalo Ministrstvo za trgovino ZDA (notificirano pod dokumentarno številko K(2000)2441), zagotavljajo ustrezno raven zaščite osebnih podatkov, ki se prenašajo iz Skupnosti v organizacije s sedežem v ZDA.
Načela varnega pristana so namenjena izključno organizacijam iz ZDA, ki prejemajo osebne podatke iz Evropske unije, da izpolnijo pogoje ustreznosti varstva osebnih podatkov. Odločitev organizacij, da izpolnijo pogoje varnega pristana, je povsem prostovoljna.
Po načelih Safe Harbor morajo biti pri vsakem prenosu podatkov izpolnjeni naslednji pogoji:
(a) organizacija, ki prejema podatke, je nedvomno in javno razglasila zavezanost k spoštovanju Safe Harbor načel, in
(b) organizacija je podvržena zakonskim pooblastilom vladnega organa v Združenih državah, ki je pooblaščen za preiskave pritožb ter za pridobitev pomoči v primeru nepoštenih ali goljufivih praks, pa tudi odškodnine za posameznike, ne glede na njihovo državo stalnega prebivališča ali državljanstvo, kadar organizacije ne spoštujejo načel Safe Harbor.
Pogoji iz prejšnjega odstavka se štejejo za izpolnjene za vsako organizacijo, ki samocertificira zavezanost k načelom, od datuma, ko organizacija uradno obvesti Ministrstvo za trgovino ZDA (ali njegovega pooblaščenega predstavnika) o javni razglasitvi zavezanosti iz odstavka (a) in o identiteti vladnega organa iz odstavka (b).
Če se želi organizacija samocertificirati glede varnega pristana, lahko Ministrstvu za trgovino ZDA (ali njegovemu pooblaščenemu predstavniku) pošlje pismo, ki ga podpiše vodstveni delavec v imenu organizacije, ki pristopa k varnemu pristanu, in mora vsebovati vsaj naslednje podatke:
1. ime organizacije, poštni naslov, elektronski naslov, telefonsko številko in število faksa;
2. opis dejavnosti organizacije v zvezi z osebnimi podatki, ki jih prejema iz EU; in
3. opis politike organizacije glede varstva zasebnosti.
Taka samocertifikacijska pisma se zagotavljajo najmanj vsako leto. Drugače se organizacija zbriše s seznama in ji ugodnosti varnega pristana ne bodo več zagotovljene. Za vsako zavajanje širše javnosti v zvezi zavezanostjo k načelom varnega pristana lahko Federal Trade Commission ali drug pristojni državni organ ukrepa proti kršitvi. Zavajanje Ministrstva za trgovino (ali njegovega pooblaščenega predstavnika) se lahko kazensko preganja po False Statements Acts (18 U.S.C. § 1001). Seznam organizacij, ki so se zavezale, da bodo osebne podatke obdelovale v skladu z načeli je objavljen na spletni Ministrstvo za trgovino ZDA strani www.export.gov/safeharbor/.
4. Načela zasebnosti varnega pristana (Safe Harbor Guidelines) in najpogosteje postavljena vprašanja (FAQ)
Načela varnega pristana skupaj z najpogosteje zastavljenimi vprašanji vsebujejo sledeča načela, katerim se zavežejo organizacije iz ZDA, ki želijo uživati ugodnosti varnega pristana:
OBVESTILO
Organizacija mora posameznike obvestiti o namenih zbiranja in uporabe njihovih osebnih podatkov, kako se s kakršnimi koli vprašanji in pritožbami obrnejo na organizacijo, kategorije strank, katerim razkrije informacije, ter kakšne možnosti in sredstva za omejevanje uporabe ali razkritja organizacija ponuja posameznikom. To obvestilo organizacije mora biti jasno in nedvoumno, ko posameznika prvič prosi za zagotovitev osebnih podatkov oziroma v vsakem primeru pa pred uporabo teh podatkov za namene, ki niso tisti, za katere jih je prvotno zbrala in obdelala pošiljajoča organizacija, ali pred prvim razkrijem tretji stranki.
MOŽNOST IZBIRE
Organizacija mora posameznikom ponuditi možnost izbire (zavrnitve) o tem, ali se bodo njihovi osebni podatki razkrili tretji stranki ali se bodo uporabili za namen, ki ni nezdružljiv z namenom(-i), za katerega so bili prvotno zbrani ali ga(jih) je posameznik pozneje odobril. Pri občutljivih podatkih morajo imeti posamezniki možnost izrecne pozitivne izbire (privolitve), kadar je te podatke treba razkriti tretji stranki ali jih uporabiti za namen, ki ni tisti, za katerega so bili prvotno zbrani ali ga je posameznik pozneje odobril s svojo izbiro privolitve.
PRENOS TRETJEMU
Pri razkrivanju podatkov tretji stranki morajo organizacije uporabiti načeli obvestila in možnosti izbire. Kadar organizacija želi razkriti podatke tretji stranki, ki v vlogi posrednika izvaja nalogo(-e) v imenu in po navodilih organizacije, lahko to stori, če je bodisi tretja stranka pristopila k načelom ali je podvržena Direktivi ali je zajeta z drugo primerno zaščito podatkov bodisi da s to tretjo stranjo sklene pisni sporazum, po katerem mora tretja stranka zagotoviti vsaj takšno raven varstva zasebnosti, kakor jo zahtevajo ustrezna načela. Če organizacija ravna v skladu s temi zahtevami, ne bo odgovorna (razen če se organizacija drugače dogovori), kadar tretja stranka, kateri prenese take podatke, te podatke obdela v nasprotju z vsemi omejitvami in dogovori, razen če je organizacija vedela ali bi morala vedeti, da jih bo tretja stranka obdelala na ta način, in ni ustrezno ukrepala, da bi tako obdelavo preprečila ali ustavila.
VARNOST
Organizacije, ki pripravljajo, vzdržujejo, uporabljajo ali razširijo osebne podatke, morajo sprejeti ustrezne preventivne ukrepe, da jih zavarujejo pred izgubo, zlorabo in nepooblaščenim dostopom, razkritjem, spreminjanjem ali uničenjem.
NEOKRNJENOST PODATKOV
V skladu z načeli morajo osebni podatki ustrezati namenu, za katerega se bodo uporabili. Organizacija ne sme obdelovati osebnih podatkov na način, ki je nezdružljiv z nameni, za katere so bili podatki zbrani ali jih je posameznik pozneje odobril. V obsegu, potrebnem za ta namen, mora organizacija z ustreznimi ukrepi zagotoviti, da so podatki zanesljivi za nameravano uporabo, točni, popolni in trenutni.
DOSTOP
Posamezniki morajo imeti dostop do svojih osebnih podatkov, ki jih hrani organizacija, in možnost, da te podatke popravijo, spremenijo ali izbrišejo, kadar niso točni, razen kadar bi bili stroški ali izdatki za zagotovitev dostopa nesorazmerni s tveganjem za zasebnost zadevnega posameznika ali kadar bi bile kršene pravice drugih oseb.
IZVAJANJE
Učinkovito varstvo zasebnosti mora vključevati mehanizme, ki zagotavljajo skladnost z načeli, pritožbene mehanizme za posameznike, na katere se podatki nanašajo in jih neizpolnjevanje načel prizadene, in posledice za organizacije, kadar ne spoštujejo načel. Ti mehanizmi morajo vključevati vsaj (a) lahko dostopne in stroškovno ugodne neodvisne pritožbene mehanizme, ki omogočajo, da se pritožbe in spori vsakega posameznika preiščejo in rešijo s sklicevanjem na načela ter prisodi odškodnina, kadar veljavno pravo ali pobude zasebnega sektorja tako predvidevajo; (b) postopke za preverjanje resničnosti izjav in zatrjevanj podjetij glede njihove prakse varovanja zasebnosti ter preverjanje izvajanja praks varstva zasebnosti na naveden način; in (c) obveznosti odpravljanja težav, ki nastanejo, ker organizacije, ki so javno razglasile svojo zavezanost k načelom, teh ne spoštujejo, in posledice za te organizacije. Sankcije morajo biti dovolj stroge, da zagotovijo spoštovanje načel.
5. Preverjanje in nadzor nad zagotavljanjem ustrezne ravni varstva osebnih podatkov
Da organizacija izpolni zahteve preverjanja iz načela »izvajanja«, lahko takšne izjave in zatrjevanja preveri s samoocenjevanjem ali zunanjim pregledom skladnosti z načeli. Pri samoocenjevanju mora tako preverjanje pokazati, da je objavljena politika organizacije glede zasebnosti osebnih podatkov, prejetih iz EU, točna, celovita, prikazana na vidnem mestu, v celoti izvedena in dostopna. Pokazati mora tudi, da je njena politika zasebnosti v skladu z načeli varnega pristana. Organizacije morajo voditi evidenco o svojem izvajanju prakse zasebnosti varnega pristana in jo v primeru preiskave ali pritožbe zaradi neskladnosti izročiti neodvisnemu organu, ki je pristojen za preiskavo pritožb, ali agenciji, ki je pristojna za obravnavo nepoštenih in goljufivih praks.
Kadar se organizacija odloči za zunanji pregled skladnosti z načeli, mora tak pregled pokazati, da je njena politika zasebnosti v zvezi z osebnimi podatki, prejetimi iz EU, v skladu z načeli varnega pristana, da organizacija ravna v skladu z njo ter da so posamezniki obveščeni o mehanizmih za pritožbe. Metode pregledovanja so neomejene in lahko obsegajo revizijo, naključne preglede, uporabo "vab" ali tehnoloških orodij. Izjavo o uspešno končanem zunanjem pregledu mora podpisati bodisi izvajalec pregleda bodisi vodstveni delavec ali drug pooblaščeni predstavnik organizacije vsaj enkrat na leto in mora biti na voljo posameznikom na njihovo zahtevo ali organom za preiskavo ali pritožbe zaradi skladnosti z načeli.
3. člen Odločbe Komisije 2000/520/ES z dne 26. julija 2000 določa vlogo držav članic pri zaščiti osebni podatkov, ki se izvažajo iz Skupnosti v ZDA. Člen določa, da lahko nacionalni nadzorni organi izvršijo svoja obstoječa pooblastila za prekinitev prenosa podatkov v organizacijo, ki je samocertificirala zavezanost k načelom varnega pristana, da bi zaščitili posameznike glede obdelave njihovih osebnih podatkov v primerih, kadar:
(a) vladni organ v Združenih državah (Federal Trade Commission ali Ministrstvo za promet ZDA), ali neodvisni pritožbeni mehanizem v smislu načela »izvajanja« k tej odločbi ugotovita, da organizacija krši načela, uveljavljena v skladu s FAQ; ali
(b) obstaja precejšnja verjetnost, da se načela kršijo; obstaja utemeljena podlaga za prepričanje, da zadevni mehanizem uveljavljanja ne sprejema ali ne bo sprejel ustreznih in pravočasnih ukrepov za rešitev spornega primera; nadaljnji prenos podatkov bi povzročil neposredno nevarnost za nastanek velike škode za subjekte podatkov; in so si pristojni organi v državah članicah v danih okoliščinah razumno prizadevali, da bi organizacijo obvestili in ji dali priložnost za odgovor.
Prekinitev preneha takoj, ko je zagotovljena skladnost z načeli, uveljavljenimi v skladu s FAQ, in so zadevni pristojni organi v Skupnosti o tem uradno obveščeni.
Odločbo komisije s prilogo načel varnega pristana in s tem povezanih pogosto zastavljenih vprašanj najdete na naslovu: eur-lex.europa.eu/LexUriServ/LexUriServ.do