Hramba podatkov na strežnikih v EGP in prenos podatkov v tretjo državo

Informacijski pooblaščenec (v nadaljevanju IP) je prejel vaše zaprosilo za mnenje, v katerem pojasnjujete, da želi vaša stranka najeti storitve razvoja programske opreme s strani ponudnika iz tretje države. Za tretjo državo ni bil izdan sklep o ustreznosti. Podatki se bodo hranili izključno na strežnikih v EGP, ponudnik storitev v tretji državi bo tako podatke obdeloval le v internem računalniškem okolju izvoznika podatkov. Zanima vas, ali opisana obdelava podatkov predstavlja prenos podatkov v tretjo državo ali ne. Zanima vas tudi, ali je dostop preiskovalnih organov do podatkov relevanten za presojo.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

Uvodoma pojasnjujemo, da IP podaja nezavezujoča mnenja in pojasnila, ne more pa izven inšpekcijskih postopkov presojati konkretnih dejanj obdelave osebnih podatkov.

O prenosu osebnih podatkov v tretje države govorimo takrat, ko upravljavec ali obdelovalec iz Slovenije ali druge države članice EU osebne podatke iz takega ali drugačnega razloga posreduje v države izven EU ali Evropskega gospodarskega prostora (EGP; sem sodijo poleg držav članic EU še Islandija, Norveška in Lihtenštajn) ali mednarodni organizaciji. O prenosu govorimo tudi takrat, ko je dostop do osebnih podatkov omogočen organizacijam, podjetjem, posameznikom ali drugim subjektom iz tretjih držav izven EGP, pa čeprav so podatki hranjeni znotraj EGP. To pomeni, da v kolikor ima ponudnik storitev razvoja programske opreme iz tretje države dostop do osebnih podatkov vaše stranke oz. izvoznika podatkov, gre v danem primeru za prenos podatkov v tretjo državo.

Za zakonito posredovanje osebnih podatkov upravljavcu, obdelovalcu ali uporabniku osebnih podatkov v tretji državi ali mednarodni organizaciji morata biti izpolnjena dva pogoja, in sicer:

1. Za posredovanje oz. dajanje osebnih podatkov na razpolago upravljavcu, obdelovalcu ali uporabniku osebnih podatkov v tretji državi mora obstajati katera izmed pravnih podlag, ki so določene v 6. oziroma 9. členu Splošne uredbe o varstvu podatkov, za javni sektor pa dodatno še v 9. členu ZVOP-1. Obdelovalcu (pravni ali fizični osebi, ki obdeluje osebne podatke v imenu in na račun upravljavca osebnih podatkov) se lahko osebni podatki posredujejo pod pogoji, določenimi v členu 28 Splošne uredbe o varstvu podatkov.
2. Ob izpolnjenem prvem pogoju je prenos osebnih podatkov upravljavcu ali pogodbenemu obdelovalcu v tretji državi ali mednarodni organizaciji dopusten pod pogoji, ki jih ureja V. Poglavje Splošne uredbe o varstvu podatkov, in sicer:

• če Evropska komisija izda odločbo, da država, ozemlje, določen sektor v državi ali mednarodna organizacija, v katero se prenašajo, zagotavlja ustrezno raven varstva osebnih podatkov (člen 45 Splošne uredbe o varstvu podatkov);
• če izvoznik podatkov zagotovi ustrezne zaščitne ukrepe ter posameznikom zagotovi izvršljive pravice in učinkovita pravna sredstva na podlagi členov 46 in 47 Splošne uredbe o varstvu podatkov;
• če gre za posebne primere, ki so določeni v členu 49 Splošne uredbe o varstvu podatkov, v katerih so mogoča odstopanja.

V danem primeru bi pravno podlago za prenos podatkov v okviru V. Poglavja Splošne uredbe o varstvu podatkov lahko predstavljale standardne pogodbene klavzule. Takšen način prenosa podatkov v tretjo državo je hiter in enostaven in pri tem upravljavcu ni treba pridobiti predhodnega dovoljenja IP. Pri tem je treba omeniti, da je Evropska komisija prejšnji mesec sprejela nove standardne pogodbene klavzule, ki vsebujejo okrepljene zahteve za zagotavljanje varnosti osebnih podatkov, uvedbo omejitev pri razkrivanju osebnih podatkov javnim oblastem in določanje postopkov ocenjevanja in revizije, da se zagotovi skladnost s pogodbenimi klavzulami. Izvoznik in uvoznik s sklenitvijo novih standardnih pogodbenih klavzul jamčita, da »nimata razloga za domnevo, da zakoni in prakse v namembni tretji državi … uvozniku podatkov preprečujejo izpolnjevanje obveznosti iz teh določil«. To jamstvo mora temeljiti na oceni, ki jo je treba dokumentirati in katere predložitev lahko zahteva nacionalni nadzorni organi za varstvo osebnih podatkov, v Sloveniji IP. Nove standardne pogodbe klavzule so dostopne tu: Izvedbeni sklep Komisije (EU) 2021/914 z dne 4. junija 2021 o standardnih pogodbenih določilih za prenos osebnih podatkov v tretje države v skladu z Uredbo (EU) 2016/679 Evropskega parlamenta in Sveta.

Sodišče Evropske unije je v svoji sodbi v zadevi Schrems II poudarilo, da morata izvoznik podatkov in uvoznik podatkov oceniti, ali se v zadevni tretji državi upošteva raven varstva, ki jo zahteva zakonodaja EU, da bi ugotovila, ali je mogoče v praksi zagotoviti jamstva, ki jih zagotavljajo standardne pogodbene klavzule ali zavezujoča poslovna pravila. V nasprotnem primeru je treba presoditi, ali lahko zajamčite dodatne ukrepe, da se zagotovi v bistvu enakovredna raven varstva, kot je zagotovljena v EGP, in da pravo tretje države v te dodatne ukrepe ne bo posegalo tako, da bi preprečilo njihovo učinkovitost. Za izvedbo konkretne presoje glede prenosov, prava tretje države in orodja, na podlagi katerega se bodo prenašali podatki, so odgovorni izvozniki podatkov. Izvozniki podatkov morajo pri tem ravnati s potrebno skrbnostjo in temeljito dokumentirati svoj postopek, saj bodo v skladu z načelom odgovornosti iz Splošne uredbe o varstvu podatkov odgovorni za svoje odločitve, ki jih v zvezi s tem sprejmejo.

Evropski odbor za varstvo podatkov je 18. junija 2021 sprejel dokončna Priporočila 01/2020 o ukrepih, ki dopolnjujejo orodja za prenos, da se zagotovi skladnost z v EU zagotovljenim varstvom osebnih podatkov, ki vsebujejo korake, ki so lahko pogodbenim strankam v pomoč pri ugotavljanju, ali je za konkretni prenos podatkov treba uvesti tudi dopolnilne ukrepe, da se zagotovi, da bodo osebni podatki kljub prenosu v tretjo državo in kljub tamkajšnji pomanjkljivi zakonodaji oz. praksi, vseeno varovani na način, ki je v bistvu enakovreden zagotovljenemu varstvu podatkov v EU – kot to zahteva sodba Sodišča EU v zadevi Schrems II. Poleg tega ta priporočila navajajo vire informacij, s pomočjo katerih lahko pogodbene stranke ocenijo raven varstva osebnih podatkov v tretji državi ter nekaj konkretnih primerov dopolnilnih ukrepov.

Kakor izhaja iz Priporočil 01/2020 o ukrepih, ki dopolnjujejo orodja za prenos (glej na primer str. 12, 13) je pomemben del presoje glede ravni varstva v tretji državi tudi vprašanje zakonodaj in s tem povezanih zahtev za razkritje osebnih podatkov javnim organom ali pooblastil javnih organov za dostop do osebnih podatkov. Te zahteve ali pooblastila morajo biti omejena na to, kar je potrebno in sorazmerno v demokratični družbi, kar pomeni, da ne posegajo v obveznosti, ki jih vsebuje orodje za prenos podatkov iz člena 46 Splošne uredbe o varstvu podatkov, na katero se opira prenos. IP vam priporoča, da si v zvezi s tem preberete omenjena Priporočila 01/2020 o ukrepih, ki dopolnjujejo orodja za prenos, poleg tega vas napotujemo tudi na Priporočila 02/2020 glede evropskih temeljnih jamstev za nadzorne ukrepe, ki so v pomoč pri presoji, ali se nadzorni ukrepi, ki omogočajo dostop do osebnih podatkov javnim organom v tretji državi, naj bodo to nacionalne varnostne agencije ali organi kazenskega pregona, lahko štejejo za utemeljen poseg ali ne.

V upanju, da ste dobili odgovor na svoje vprašanje, vas lepo pozdravljamo.

                                                                                               Mojca Prelesnik, univ.dipl.prav.,                                                 

                                                                                                informacijska pooblaščenka

Pripravila:                                                                                                                                

Neja Domnik, mag. prav.,

asistentka svetovalca pri IP