Prenos osebnih podatkov znotraj povezane skupine družb
+ -Številka: 07121-1/2021/282
Kategorije: Prenos osebnih podatkov v tretje države ali mednarodne organizacije, Upravljanje gospodarskih družb
Informacijski pooblaščenec (v nadaljevanju IP) je prejel vaš dopis, v katerem navajate, da družba s sedežem v Sloveniji preko povezanih, odvisnih družb, namerava širiti svojo dejavnost izven meja EU v države, ki s strani Evropske komisije oz. z odločbo Informacijskega pooblaščenca še niso priznane kot države, ki zagotavljajo ustrezno raven varstva osebnih podatkov in mora za potrebe izvajanja dejavnosti zagotoviti prost pretok osebnih podatkov. Glede na to, da družba s svojimi dejavnostmi za sedaj deluje le znotraj meja EU in v Makedoniji (ki je priznana kot država, ki zagotavlja ustrezno raven varstva), namerava pa se širiti v druge države, vas zanima, na kakšen način je najbolj smiselno učinkovito urediti ustrezne zaščitne ukrepe za iznos podatkov. Ali je v tem primeru smiselno, da družba že vnaprej pripravi zavezujoča poslovna pravila, ki bi veljala za vse takšne bodoče odvisne družbe, ki še niso ustanovljene (npr. v Srbiji, Bosni in Hercegovini, itd.) in jih predloži v odobritev Informacijskemu pooblaščencu RS, saj se vodilna družba, ki tudi sprejema vse odločitve, vezane na obdelavo podatkov in iz katere se bo naprej posredovalo največ podatkov nahaja v Sloveniji? Oziroma ali bi v tem primeru bila primernejša ureditev s standardnimi pogodbenimi klavzulami. Ali je takšna ureditev za prenos podatkov v bodoče družbe, ki bodo del skupine, možna? V čem bi bila prednost ureditve ustreznega varstva z zavezujočimi poslovnimi pravili? V primeru, da bi pripravljali zavezujoča poslovna pravila, prosite za dodatno pojasnilo, in sicer glede obrazcev, ki jih je v postopku odobritve le-teh potrebno predložiti. Zanima vas tudi, koli časa predvidoma traja postopek potrditve primernega nadzornega organa za odločanje in same odobritve pravil.
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.
* * *
Za zakonito posredovanje osebnih podatkov upravljavcu, obdelovalcu ali uporabniku osebnih podatkov v tretji državi ali mednarodni organizaciji morata biti izpolnjena dva pogoja, in sicer:
1. Za posredovanje oz. dajanje osebnih podatkov na razpolago upravljavcu, obdelovalcu ali uporabniku osebnih podatkov v tretji državi mora obstajati katera izmed pravnih podlag, ki so določene v 6. oziroma 9. členu Splošne uredbe o varstvu podatkov, za javni sektor pa dodatno še v 9. členu ZVOP-1. Obdelovalcu (pravni ali fizični osebi, ki obdeluje osebne podatke v imenu in na račun upravljavca osebnih podatkov) se lahko osebni podatki posredujejo pod pogoji, določenimi v členu 28 Splošne uredbe o varstvu podatkov.
2. Ob izpolnjenem prvem pogoju je prenos osebnih podatkov upravljavcu ali pogodbenemu obdelovalcu v tretji državi ali mednarodni organizaciji dopusten pod pogoji, ki jih ureja V. Poglavje Splošne uredbe o varstvu podatkov, in sicer:
a) če Evropska komisija odloči, da država, ozemlje, določen sektor v državi ali mednarodna organizacija, v katero se prenašajo, zagotavlja ustrezno raven varstva osebnih podatkov (člen 45 Splošne uredbe o varstvu podatkov);
b) če izvoznik podatkov zagotovi ustrezne zaščitne ukrepe ter posameznikom zagotovi izvršljive pravice in učinkovita pravna sredstva na podlagi členov 46 in 47 Splošne uredbe o varstvu podatkov;
c) če gre za posebne primere, ki so določeni v členu 49 Splošne uredbe o varstvu podatkov, v katerih so mogoča odstopanja.
Ob pogoju obstoja ustrezne pravne podlage iz točke 1 mora torej upravljavec v drugi fazi zagotoviti še ustrezno pravno podlago za sam prenos osebnih podatkov v tretjo državo, torej državo izven EU oz. EGP, in sicer v skladu z določbami V. poglavja Splošne uredbe o varstvu podatkov. Tako pravno podlago lahko predstavljajo odločitve Evropske komisije iz člena 45 Splošne uredbe o varstvu podatkov (t.i. sklepi o ustreznosti). Spisek držav, za katere je Evropska komisija ugotovila, da zagotavljajo ustrezno raven varstva osebnih podatkov se nahaja tu: https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en.
Odločbe, s katerimi je Informacijski pooblaščenec pred 25. 5. 2018 skladno s 66. členom ZVOP-1 ugotovil, da določene tretje države ali mednarodne organizacije zagotavljajo ustrezno raven varstva osebnih podatkov, so trenutno v postopku razveljavitve. Sledeč določbam Splošne uredbe o varstvu podatkov, ki v členu 45 prenose osebnih podatkov v tretje države na podlagi sklepa o ustreznosti dopušča le ob pogoju, da tak sklep izda Evropska komisija, prenos osebnih podatkov na podlagi odločb o ustreznosti, ki jih je na podlagi 64. in 66. člena ZVOP-1 v preteklosti izdal IP, po uveljavitvi Splošne uredbe o varstvu podatkov ni več zakonit, zato morajo upravljavci, ki so se zanašali na te določbe ZVOP-1, prenos podatkov v Makedonijo (le Makedonija namreč ni tudi na spisku držav o ustreznosti Evropske komisije) ustrezno prilagoditi zahtevam Splošne uredbe o varstvu podatkov.
Osebni podatki se lahko ob neobstoju podlage iz člena 45 v tretjo državo prenašajo na podlagi ustreznih zaščitnih ukrepov iz člena 46 Splošne uredbe o varstvu podatkov. Kot najenostavnejšo in časovno najmanj zahtevno podlago IP ocenjuje sprejem ustreznih zaščitnih ukrepov po členu 46/2/c, torej sklenitev t.i. standardnih pogodbenih klavzul (angl. SCC), pripravljenih s strani Evropske komisije. Tak način prenosa podatkov v tretjo državo je hiter in enostaven in pri tem upravljavcu ni treba pridobiti predhodnega dovoljenja IP.
Obstajata dva modela SCC, pri čemer mora zavezanec izbrati ustrezni model glede na to, ali podatke prenaša drugemu upravljavcu, ki bo podatke uporabljal za svoje lastne namene, ali obdelovalcu, ki dela v imenu upravljavca in za njegov račun. V SCC podpisnika določita pogoje zavarovanja, odgovornosti in obveznosti, ki veljajo za obdelavo osebnih podatkov. Ključno je, da podpisnika natančno določita ukrepe za zavarovanje osebnih podatkov in izpolnita oba dodatka SCC.
Pri prenosu osebnih podatkov v tretjo državo na podlagi ustreznih zaščitnih ukrepov pa posebej opozarjamo še na dolžnost izvoznika podatkov, da po potrebi zagotovi tudi ustrezne dopolnilne ukrepe, ki zagotavljajo varovanje zasebnosti ter temeljnih človekovih pravic na enaki ravni, kot je to zagotovljeno v okviru EU. Gre za dolžnost upravljavcev, ki izhaja iz sodbe Sodišča Evropske unije (C 311/18 z dne 16. 7. 2020) v zadevi Schrems II. Več o tem si lahko preberete na spletni strani IP: https://www.ip-rs.si/novice/za-izvoznike-podatkov-objavljena-nova-priporocila-edpb-za-prenose-podatkov-v-tretje-drzav-1208/.
Evropska komisija je trenutno v zaključni fazi sprejema novih SCC, ki bodo namenjene tudi obdelovalcem osebnih podatkov kot izvoznikom ter razmeram podpogodbenega odnosa, med drugim pa so tudi že odsev novih zahtev sledeč sodbi v zadevi Schrems II, zato vam svetujemo, spremljate spletno stran Evropske komisije in Informacijskega pooblaščenca.
Kot ustrezni zaščitni ukrepi pa se po členu 46/2/b štejejo tudi zavezujoča poslovna pravila (angl. binding corporate rules, BCR), ki predstavljajo interni akt skupine povezanih družb, med katerimi so določene družbe locirane zunaj EU/EGP, torej v tretjih državah, ki ne zagotavljajo ustrezne ravni varstva osebnih podatkov. Namen zavezujočih poslovnih pravil je, da je v skupini družb, ki ima lahko člane tudi v tretjih državah, omogočen prost pretok osebnih podatkov. Gre torej za pravila, ki omogočajo prenos podatkov znotraj povezane skupine družb, ne pa tudi družbam izven skupine. Podrobneje so pravila urejena v členu 47 Splošne uredbe o varstvu podatkov, več informacij o samem postopku in zahtevah pa je dostopnih na sledečih povezavah:
- Working Document on the approval procedure of the Binding Corporate Rules for controllers and processors (wp263rev.01)
- Recommendation on the approval of the Controller Binding Corporate Rules form (wp264)
- Recommendation on the approval of the Processor Binding Corporate Rules form (wp265)
- Working Document on Binding Corporate Rules for Controllers (wp256rev.01)
- Working Document on Binding Corporate Rules for Processors (wp257rev.01)
- Recommendation 1/2007 on the Standard Application for Approval of Binding Corporate Rules for the Transfer of Personal Data (wp133)
Predpogoj za prenos podatkov v tretjo državo na podlagi zavezujočih poslovnih pravil je njihova predhodna odobritev s strani vodilnega nadzornega organa v skladu z mehanizmom za skladnost iz člena 63 Splošne uredbe o varstvu podatkov. To pomeni, da se vlogo za odobritev zavezujočih poslovnih pravil z vso potrebno dokumentacijo naslovi na vodilni nadzorni organ (običajno je to tisti organ, kjer se nahaja (glavni) sedež upravljavca ali obdelovalca). Postopek lahko vključuje več nadzornih organov, saj ima lahko skupina, ki zaprosi za odobritev, subjekte v več kot eni državi članici. Vodilni nadzorni organ svoj osnutek odločbe na koncu sporoči EDPB, ki na osnutek poda svoje mnenje. Šele na podlagi pozitivnega mnenja EDPB vodilni nadzorni organ odobri predložena zavezujoča poslovna pravila. Sam postopek odobritve zavezujočih poslovnih pravil je zato precej dolgotrajen in lahko traja tudi dve leti. V primeru večjih sprememb zavezujočih poslovnih pravil pa se mora skupina povezanih družb znova obrniti na vodilni nadzorni organ, saj se šteje, da le tekst zavezujočih poslovnih pravil, ki ga je nadzorni organ skupaj z nadzornimi organi iz drugih držav članic v skladu z mehanizmom za skladnost sprejel, zagotavlja ustrezno varstvo osebnih podatkov.
Enako kot zapisano zgoraj že pri standardnih pogodbenih določilih je sodba v zadevi Schrems II vplivala tudi na prenose na podlagi zavezujočih poslovnih pravil in mora vlagatelj v okviru postopka sprejema takih pravil za tretje države po potrebi dodatno zagotovi tudi ustrezne dopolnilne ukrepe, ki zagotavljajo varovanje zasebnosti ter temeljnih človekovih pravic na enaki ravni, kot je to zagotovljeno v okviru EU.
Konkretna odločitev, torej izbira posameznega mehanizma za prenos osebnih podatkov v tretjo državo je vedno na strani upravljavca podatkov in je IP, tudi zaradi pomanjkanja vseh relevantnih informacij, ne more sprejeti za njega in v njegovem imenu. Pomembno pri tem je, da upravljavec izhaja iz svoje konkretne situacije in svojih konkretnih potreb.
S spoštovanjem.
Pripravila:
mag. Eva Kalan Logar,
vodja državnih nadzornikov
Mojca Prelesnik, univ. dipl. prav.,
informacijska pooblaščenka