Hramba osebnih podatkov znotraj države, ki ni članica EU
+ -Številka: 07121-1/2023/9
Kategorije: Delovna razmerja, Prenos osebnih podatkov v tretje države ali mednarodne organizacije
Pri Informacijskem pooblaščencu (IP) smo prejeli vaše zaprosilo za mnenje. Navajate, da prejema oseba, ki je zadolžena za regionalni kadrovski proces, življenjepise kandidatov za zaposlitev iz celotne regije v Beograd. Zanima vas, ali obstaja kakšen pravni okvir, ki bi onemogočal shranjevanje teh življenjepisov, ki bi se hranili s soglasjem kandidatov. Pojasnjujete, da se je vprašanje pojavilo, saj bi oseba hranila tudi življenjepise iz Hrvaške in Slovenije, ki sta v Evropski uniji, Srbija namreč ni. Program, v katerem bi oddali dokumentacijo, je sicer slovenski.
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju Splošna uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.
V primeru obdelave osebnih podatkov kandidatov za zaposlitev je treba najprej ugotoviti, ali upravljavca ter morebitnega obdelovalca zavezujejo določbe Splošne uredbe. Zgolj državljanstvo posameznikov, katerih osebnih podatki se obdelujejo, oziroma dejanski kraj obdelave nista pomembni merili za to presojo, temveč sta to merilo »ustanovitve« upravljavca oziroma obdelovalca ter merilo »ciljanja«.
Če se Splošna uredba uporablja za konkretno obdelavo, je nadalje pomembno, ali gre pri posredovanju podatkov kandidatov za zaposlitev iz Slovenije in Hrvaške v Srbijo za prenos v smislu poglavja V Splošne uredbe.
O b r a z l o ž i t e v:
IP uvodoma poudarja, da izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka konkretnih obdelav osebnih podatkov ne more presojati. Prav tako iz vašega vprašanja ni povsem jasno, kdo je v konkretnem primeru upravljavec (tj. tisti, ki določa namene in sredstva obdelave), v kakšni vlogi nastopa oseba v Srbiji, kdo ji posreduje osebne podatke kandidatov za zaposlitev ipd. Zato vam v nadaljevanju podajamo splošna pojasnila ter pravna izhodišča in pogoje za zakonito obdelavo osebnih podatkov.
IP pojasnjuje, da je treba najprej ugotoviti, kdo je upravljavec ter morebitni obdelovalec osebnih podatkov kandidatov za zaposlitev ter ali ga/ju zavezujejo določbe Splošne uredbe, prav tako pa, v kakšni vlogi nastopa oseba v Srbiji ter od koga prejema življenjepise. Zgolj državljanstvo posameznikov, katerih osebni podatki se obdelujejo, namreč ni merilo za uporabo določb Splošne uredbe oziroma tudi določb nedavno sprejetega Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/2022; v nadaljevanju ZVOP-2)[1]. Prav tako za to presojo ni pomemben dejanski kraj obdelave, torej da se podatki slovenskih in hrvaških kandidatov za zaposlitev hranijo v Srbiji.
Ozemeljsko veljavnost opredeljuje Splošna uredba v členu 3, in sicer na podlagi dveh glavnih meril: merila »ustanovitve« upravljavca ali obdelovalca v skladu s členom 3(1) in merila »ciljanja« v skladu s členom 3(2). Kadar je izpolnjeno eno od teh dveh meril, se za obdelavo osebnih podatkov, ki jo izvaja določen upravljavec ali obdelovalec, uporabljajo določbe Splošne uredbe. Več o tem si lahko preberete v Smernicah št. 3/2018 o ozemeljski veljavnosti Splošne uredbe, ki jih je izdal Evropski odbor za varstvo podatkov (v nadaljevanju EDPB) in so dostopne na: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-32018-territorial-scope-gdpr-article-3-version_sl. V teh smernicah so opisani različni scenariji, ki se lahko pojavijo, odvisno od vrste dejavnosti obdelave, subjekta, ki izvaja te dejavnosti obdelave, ali lokacije tega subjekta, navedene pa so tudi določbe, ki se uporabljajo v posameznih primerih.
Glede ozemeljske veljavnosti podobno določa tudi ZVOP-2, in sicer da velja ta zakon za obdelavo osebnih podatkov, ki se izvaja v okviru javnega sektorja Republike Slovenije, in za zasebni sektor, kadar gre za obdelavo osebnih podatkov, ki se izvaja v okviru dejavnosti ustanovitve upravljavca ali obdelovalca, registrirane v Republiki Sloveniji, čeprav obdelava osebnih podatkov ne poteka v Republiki Sloveniji. Ta zakon velja tudi za obdelavo osebnih podatkov, ki se izvaja v okviru dejavnosti ustanovitve upravljavca ali obdelovalca, ki je registrirana zunaj Evropske unije, če so dejavnosti obdelave povezane z nudenjem blaga ali storitev posameznikom v Republiki Sloveniji, ne glede na to, ali je zanje potrebno plačilo, ali če so povezane s spremljanjem delovanja ali vedenja posameznikov, če to poteka v Republiki Sloveniji.
Drugo vprašanje pa je, na kakšen način in pod katerimi pogoji je dovoljeno osebne podatke kandidatov za zaposlitev prenašati iz Slovenije in Hrvaške v tretje države, kamor sodi tudi Srbija. Kadar upravljavec ali obdelovalec iz Slovenije ali druge države članice Evropske unije osebne podatke posreduje v države izven Evropske unije ali Evropskega gospodarskega prostora, lahko govorimo o prenosu osebnih podatkov. Za prenos podatkov v tretjo državo ali mednarodno organizacijo gre, ko so kumulativno izpolnjeni trije kriteriji:
1. Splošna uredba zavezuje upravljavca ali obdelovalca za konkretno obdelavo podatkov;
2. Upravljavec ali obdelovalec[2] (v nadaljevanju izvoznik) s posredovanjem ali kako drugače da osebne podatke, ki so predmet te obdelave, na voljo drugemu upravljavcu, skupnemu upravljavcu ali obdelovalcu (v nadaljevanju uvoznik);
3. Uvoznik se nahaja v tretji državi ali je mednarodna organizacija, ne glede na to, ali za uvoznika glede te obdelave velja Splošna uredba na podlagi člena 3.
V primeru, da slovenski oziroma hrvaški kandidati za zaposlitev na svojo pobudo posredujejo osebne podatke prejemniku v Srbiji, na primer ne gre za prenos v smislu poglavja V Splošne uredbe, saj ni upravljavec ali obdelovalec tisti, ki da podatke na voljo. Prav tako za prenos ne bo šlo v primeru, če je oseba v Srbiji delavec upravljavca ali obdelovalca, saj mora iti pri prenosu za posredovanje podatkov drugemu upravljavcu ali obdelovalcu. Ob tem pa IP opozarja, da so lahko entitete znotraj iste korporacijske skupine ločeni upravljavci in obdelovalci. Pri presoji, ali gre v konkretnem primeru za prenos, so vam lahko v pomoč Smernice EDPB št. 5/2021 o medsebojnem prepletanju člena 3 in določb o mednarodnih prenosih podatkov iz poglavja V Splošne uredbe, ki so dostopne na: https://edpb.europa.eu/our-work-tools/documents/public-consultations/2021/guidelines-052021-interplay-between-application_en.
Če gre za prenos, morata biti za zakonitost posredovanja osebnih podatkov upravljavcu, obdelovalcu ali uporabniku osebnih podatkov v tretji državi izpolnjena dva pogoja, in sicer:
1. Za posredovanje oziroma dajanje osebnih podatkov na razpolago upravljavcu, obdelovalcu ali uporabniku osebnih podatkov v tretji državi mora obstajati katera izmed pravnih podlag, ki so določene v členih 6 in 9 Splošne uredbe;
2. Ob izpolnjenem prvem pogoju je posredovanje osebnih podatkov upravljavcu ali pogodbenemu obdelovalcu v tretji državi dopustno pod pogoji, ki jih ureja poglavje V Splošne uredbe, in sicer:
a. če Evropska komisija odloči, da država, ozemlje, določen sektor v državi ali mednarodna organizacija, v katero se prenašajo, zagotavlja ustrezno raven varstva osebnih podatkov (člen 45 Splošne uredbe; za Srbijo takšen sklep o ustreznosti še ni bil izdan);
b. če izvoznik podatkov zagotovi ustrezne zaščitne ukrepe v skladu s členom 46 Splošne uredbe ter posameznikom zagotovi izvršljive pravice in učinkovita pravna sredstva;
c. če gre za posebne primere, ki so natančno določeni v členu 48 in 49 Splošne uredbe, v katerih so mogoča odstopanja.
Več o prenosih osebnih podatkov v tretje države in mednarodne organizacije si lahko preberete tudi na spletni strani IP: https://www.ip-rs.si/varstvo-osebnih-podatkov/obveznosti-upravljavcev/prenos-osebnih-podatkov-v-tretje-dr%C5%BEave-in-mednarodne-organizacije/ in v smernicah IP, ki so dostopne na: https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_glede_prenosa_OP_v_tretje_drzave_in_mednarodne_organizacije_po_Splosni_uredbi.pdf. O prenosih, tudi v Srbijo, je IP izdal že več mnenj, ki so objavljena na spletni stani: https://www.ip-rs.si/mnenja-gdpr/ (kategorija »Prenos osebnih podatkov v tretje države ali mednarodne organizacije«).
IP na koncu dodaja, da je o varstvu osebnih podatkov v delovnih razmerjih pripravil smernice, ki so dostopne na povezavi: https://www.ip-rs.si/publikacije/priro%C4%8Dniki-in-smernice/smernice-po-splo%C5%A1ni-uredbi-o-varstvu-podatkov-gdpr/varstvo-osebnih-podatkov-v-delovnih-razmerjih. Smernice podajajo odgovore na najpogosteje zastavljena vprašanja glede varstva osebnih podatkov, s katerimi se srečujejo delavci in delodajalci. V poglavju 7. 2. je obravnavana tudi obdelava osebnih podatkov kandidatov za zaposlitev.
Lepo vas pozdravljamo,
Pripravila:
Tina Ivanc, univ. dipl. prav.,
svetovalka IP za varstvo osebnih podatkov
Mojca Prelesnik, univ. dipl. prav.
informacijska pooblaščenka
[1] ZVOP-2 v času priprave tega mnenja še ni v veljavi, veljati pa bo začel 26. 1. 2023.
[2] Več o tem v Smernicah EDPB št. 7/2020 o pojmih upravljavec in obdelovalec iz Splošne uredbe, ki so dostopne na: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-072020-concepts-controller-and-processor-gdpr_sl.