Hramba zdravstvenih podatkov v oblaku

Pri Informacijskem pooblaščencu (IP) smo dne 16. 6. 2022 prejeli vaše zaprosilo za mnenje glede izvažanja posebej občutljivih osebnih podatkov (medicinskih podatkov) v Oblak multinacionalk kot so Google, Microsoft (Azur), Amazon.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1 in 177/20, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem, pri čemer pojasnjujemo, da IP izven konkretnega inšpekcijskega postopka posameznim poslovnim subjektom ne more in ne sme svetovati, kako organizirati konkretne poslovne procese in v tem okviru obdelovati osebne podatke, niti ne more vnaprej potrjevati posameznih rešitev z vidika skladnosti s Splošno uredbo o varstvu podatkov.

Pri uporabi storitev računalništva v oblaku je z vidika varstva osebnih podatkov treba upoštevati zlasti naslednje vidike:

1. da gre pri tem najverjetneje za pogodbeno obdelavo osebnih podatkov, ki zahteva sklenitev pogodbe po členu 28 Splošne uredbe o varstvu podatkov,
2. da mora upravljavec poskrbeti, da bo osebnim podatkom, ki jih bo hranil v oblaku, zagotovljena ustrezna varnost (člen 32 Splošne uredbe o varstvu podatkov),
3. da gre pri hrambi podatkov v oblaku, ki jih ponujajo veliki ameriški ponudniki, za prenos osebnih podatkov v ZDA, pri čemer IP glede na trenutni razvoj tehnologij ustreznih dopolnilnih ukrepov, ki bi trenutno omogočali zakonit prenos osebnih podatkov takim ponudnikom, ni sposoben predvideti.

O b r a z l o ž i t e v:

IP o uporabi oblačnih storitev za namene hrambe posebnih vrst osebnih podatkov piše že v mnenju št. 07121-1/2020/472, ki je dostopno na tej povezavi: https://www.ip-rs.si/mnenja-gdpr/6048a487a1221.

Ker v svojem zaprosilu izrecno navajate, da bi želeli posebne vrste osebnih podatkov hraniti v oblaku multinacionalk kot so Google, Microsoft oziroma Amazon (vse družbe so ustanovljene v ZDA), na tem mestu dodajamo zgolj nekaj dodatnih pojasnil v zvezi z možnostmi zakonitega prenosa osebnih podatkov v tretje države.

Osebni podatki se smejo upravljavcu ali pogodbenemu obdelovalcu v tretji državi (državi izven Evropskega gospodarskega prostora) prenesti zgolj pod pogoji, ki jih ureja V. Poglavje Splošne uredbe o varstvu podatkov, in sicer:

1. če Evropska komisija odloči, da država, ozemlje, določen sektor v državi ali mednarodna organizacija, v katero se podatki prenašajo, zagotavlja ustrezno raven varstva osebnih podatkov (člen 45 Splošne uredbe o varstvu podatkov);
2. če izvoznik podatkov zagotovi ustrezne zaščitne ukrepe ter posameznikom zagotovi izvršljive pravice in učinkovita pravna sredstva na podlagi členov 46 in 47 Splošne uredbe o varstvu podatkov;
3. če gre za posebne primere, ki so določeni v členu 49 Splošne uredbe o varstvu podatkov, v katerih so mogoča odstopanja (več o odstopanjih po členu 49 si lahko preberete v Smernicah EDPB št. 2/2018: https://edpb.europa.eu/our-work-tools/ourdocuments/guidelines/guidelines-22018-derogations-article-49-underregulation_sl).

Ker so vsi v vašem zaprosilu navedeni ponudniki oblačnih storitev ustanovljeni v ZDA, se v nadaljevanju osredotočamo zgolj na možnosti zakonitega prenosa osebnih podatkov v to tretjo državo.

ZDA trenutno ni na spisku držav, za katere je Evropska komisija odločila, da zagotavlja ustrezno raven varstva osebnih podatkov, zato podlaga po členu 45 Splošne uredbe o varstvu podatkov odpade.

Ob neobstoju podlage iz člena 45 se lahko osebni podatki v ZDA prenašajo na podlagi ustreznih zaščitnih ukrepov iz člena 46 Splošne uredbe o varstvu podatkov. Enega najpogosteje uporabljenih mehanizmov za zagotovitev zakonitega prenosa osebnih podatkov v tretje države predstavlja sprejem ustreznih zaščitnih ukrepov po členu 46(2)(c) Splošne uredbe o varstvu podatkov, torej sklenitev t.i. standardnih pogodbenih klavzul (angl. SCC), pripravljenih s strani Evropske komisije. Pri prenosu osebnih podatkov v tretjo državo na podlagi ustreznih zaščitnih ukrepov pa je treba izpostaviti dolžnost izvoznika podatkov, da po potrebi zagotovi tudi ustrezne dopolnilne ukrepe, ki zagotavljajo varovanje zasebnosti ter temeljnih človekovih pravic na enaki ravni, kot je to zagotovljeno v okviru EU. Gre za dolžnost upravljavcev, ki izhaja iz sodbe Sodišča Evropske unije (C 311/18 z dne 16. 7. 2020) v zadevi Schrems II. Več o tem si lahko preberete na spletni strani IP: https://www.ip-rs.si/novice/6051f21930774https://www.ip-rs.si/novice/za-izvoznike-podatkov-objavljena-nova-priporocila-edpb-za-prenose-podatkov-v-tretje-drzav-1208/.

Opozarjamo, da IP glede na trenutni razvoj tehnologij ustreznih dopolnilnih ukrepov, ki bi trenutno omogočali zakonit prenos osebnih podatkov ponudniku s sedežem v ZDA, ki je podvržen določbi 702. člena Foreign Intelligence Surveillance Act (FISA), ni sposoben predvideti (gl. Priporočila EDPB št. 01/2020 o ukrepih, ki dopolnjujejo orodja za prenos, za zagotovitev skladnosti z ravnjo varstva osebnih podatkov na ravni EU - Priloga 2, primer št. 6).

Na koncu vam svetujemo še, da kot zdravstveni zavod in s tem zavezanec po Zakonu o kritični infrastrukturi in Zakonu o informacijski varnosti, pogoje in morebitne omejitve pri uporabi oblačnih storitev za hrambo zdravstvenih podatkov preverite še skozi prizmo določb navedenih dveh zakonov.

Lepo vas pozdravljamo.

Pripravila:

mag. Eva Kalan Logar,

vodja državnih nadzornikov

Mojca Prelesnik, univ. dipl. prav.,

informacijska pooblaščenka