Prenos OP v republiko Srbijo
+ -Številka: 07120-1/2022/966
Kategorije: Pogodbena obdelava podatkov, Prenos osebnih podatkov v tretje države ali mednarodne organizacije
Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede prenosa osebnih podatkov v tretjo državo (Republiko Srbijo).
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, 177/20, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.
Vaš obdelovalec lahko sklene standardna pogodbena določila s podobdelovalcem v Republiki Srbiji. IP ob tem glede na navedbe v vašem zaprosilu za mnenje meni, da vaša družba kot upravljavec ni zavezana skleniti takšnih pogodbenih določil s podobdelovalcem v Republiki Srbiji, mora pa kot upravljavec z vašim obdelovalcem skleniti pogodbo o obdelavi osebnih podatkov v skladu s členom 28 Splošne uredbe o varstvu podatkov
O b r a z l o ž i t e v:
IP uvodoma poudarja, da lahko podaja nezavezujoča mnenja in pojasnila, ne sme pa izven konkretnih inšpekcijskih postopkov preverjati zakonitosti in primernosti obdelave osebnih podatkov v konkretnem primeru. IP tako v nadaljevanju podaja zgolj splošna pojasnila ter pravna izhodišča in pogoje za zakonito obdelavo (tudi prenos) osebnih podatkov.
Skladno z določbo člena 46 Splošne uredbe o varstvu podatkov se vsak prenos osebnih podatkov, ki se obdelujejo ali so namenjeni obdelavi po prenosu v tretjo državo ali mednarodno organizacijo, ob upoštevanju drugih določb te uredbe lahko izvede le, če upravljavec in obdelovalec ravnata v skladu s pogoji iz poglavja V Splošne uredbe o varstvu podatkov. Vse določbe tega poglavja se uporabljajo za zagotovitev, da ni ogrožena raven varstva posameznikov, ki jo zagotavlja Splošna uredba o varstvu podatkov.
O prenosu osebnih podatkov v tretje države govorimo torej vedno, ko upravljavec ali obdelovalec iz Slovenije ali druge države članice EU osebne podatke iz takega ali drugačnega razloga posreduje v države izven EU ali Evropskega gospodarskega prostora (EGP; sem sodijo poleg držav članic EU še Islandija, Norveška in Lihtenštajn).
Za zakonito posredovanje osebnih podatkov upravljavcu, obdelovalcu ali uporabniku osebnih podatkov v tretji državi morata biti izpolnjena dva pogoja, in sicer:
1. Za posredovanje oz. dajanje osebnih podatkov na razpolago upravljavcu, obdelovalcu ali uporabniku osebnih podatkov v tretji državi mora obstajati katera izmed pravnih podlag, ki so določene v 6. oz. 9. členu Splošne uredbe o varstvu podatkov, za javni sektor pa dodatno še v 9. členu ZVOP-1. Obdelovalcu (pravni ali fizični osebi, ki obdeluje osebne podatke v imenu in na račun upravljavca osebnih podatkov) se lahko osebni podatki posredujejo pod pogoji, določenimi v 28. členu Uredbe.
2. Ob izpolnjenem prvem pogoju je prenos osebnih podatkov upravljavcu ali pogodbenemu obdelovalcu v tretji državi dopusten pod pogoji, ki jih ureja V. Poglavje Splošne uredbe o varstvu podatkov, in sicer:
a) če Evropska komisija odloči, da država, ozemlje, določen sektor v državi ali mednarodna organizacija, v katero se osebni podatki prenašajo, zagotavlja ustrezno raven varstva osebnih podatkov (člen 45 Splošne uredbe o varstvu podatkov);
b) če izvoznik podatkov zagotovi ustrezne zaščitne ukrepe ter posameznikom zagotovi izvršljive pravice in učinkovita pravna sredstva na podlagi členov 46 in 47 Splošne uredbe o varstvu podatkov;
c) če gre za posebne primere, ki so določeni v členu 49 Splošne uredbe o varstvu podatkov, v katerih so mogoča odstopanja.
Ker za Republiko Srbijo Evropska komisija še ni izdala sklepa o ustreznosti po členu 45 Splošne uredbe o varstvu podatkov, bi se lahko osebni podatki v to tretjo državo prenašali na podlagi ustreznih zaščitnih ukrepov iz 46. člena Splošne uredbe o varstvu podatkov. Eden takšnih ukrepov so standardna pogodbena določila EU iz točke (c) drugega odstavka 46. člena Splošne uredbe o varstvu podatkov. Standardna pogodbena določila so modularnega značaja, kar pomeni, da vključujejo različne scenarije obdelave osebnih podatkov, ki jih pogodbeni stranki izbereta glede na konkretne okoliščine prenosa oziroma glede na to, kdo sta stranki pogodbe. Eden izmed teh modulov (modul 3) se nanaša na situacijo, ko obdelovalec prenaša podatke (pod)obdelovalcu. Vaš obdelovalec torej lahko sklene standardna pogodbena določila s podobdelovalcem v Republiki Srbiji. IP ob tem glede na navedbe v vašem zaprosilu za mnenje meni, da vaša družba kot upravljavec ni zavezana skleniti takšnih pogodbenih določil s podobdelovalcem v Republiki Srbiji, mora pa kot upravljavec z vašim obdelovalcem skleniti pogodbo o obdelavi osebnih podatkov v skladu s členom 28 Splošne uredbe o varstvu podatkov. Ta pogodba mora med drugim vsebovati tudi ustrezne določbe glede dovoljenja za zaposlitev podobdelovalca (drugi odstavek 28. člena) in o obstoju prenosa OP v tretje države (točka a tretjega odstavka 28. člena). Več informacij o pogodbeni obdelavi nasploh je dostopnih na spletni strani IP:
IP ob tem dodaja, da je Sodišče Evropske unije v svoji sodbi v zadevi Schrems II poudarilo, da morata izvoznik podatkov in uvoznik podatkov oceniti, ali se v zadevni tretji državi upošteva raven varstva, ki jo zahteva zakonodaja EU, da bi ugotovila, ali je mogoče v praksi zagotoviti jamstva, ki jih zagotavljajo standardne pogodbene klavzule ali zavezujoča poslovna pravila. V nasprotnem primeru je treba presoditi, ali se lahko zajamčijo dodatni ukrepi, da se zagotovi v bistvu enakovredna raven varstva, kot je zagotovljena v EGP, in da pravo tretje države v te dodatne ukrepe ne bo posegalo tako, da bi preprečilo njihovo učinkovitost. Za izvedbo konkretne presoje glede prenosov, prava tretje države in orodja, na podlagi katerega se bodo prenašali podatki, so odgovorni izvozniki podatkov. Izvozniki podatkov morajo pri tem ravnati s potrebno skrbnostjo in temeljito dokumentirati svoj postopek, saj bodo v skladu z načelom odgovornosti iz Splošne uredbe o varstvu podatkov odgovorni za svoje odločitve, ki jih v zvezi s tem sprejmejo.
IP sklepno poudarja, da je navedeno mnenje oblikovano glede na razpoložljive informacije, o ustreznosti in zakonitosti obdelave osebnih podatkov v konkretnem primeru pa lahko presoja le v okviru konkretnega inšpekcijskega postopka.
S spoštovanjem.
Pripravil:
Matej Sironič,
Svetovalec pooblaščenca
za varstvo osebnih podatkov
Mojca Prelesnik, univ. dipl. prav.,
Informacijska pooblaščenka