Informacijski pooblaščenec Republika Slovenija
   
dekorativna slika

Prenos osebnih podatkov v Avstralijo

+ -

Opozorilo: Mnenje je bilo izdano na podlagi določb Zakona o varstvu osebnih podatkov (ZVOP-1, Uradni list RS, št. 94/07 - uradno prečiščeno besedilo), ki je z dnem 26. 1. 2023 prenehal veljati in ga je nadomestil nov Zakon o varstvu osebnih podatkov (ZVOP-2, Uradni list RS, št. 163/22), zato mnenje ni več nujno aktualno. Mnenja po ZVOP-2 so na voljo tukaj.

Datum: 24.11.2022
Številka: 07120-1/2022/1279
Kategorije: Pogodbena obdelava podatkov, Prenos osebnih podatkov v tretje države ali mednarodne organizacije

pri Informacijskem pooblaščencu (IP) smo prejeli vaše zaprosilo za mnenje glede iznosa osebnih podatkov v Avstralijo. Navajate, da vaš zavod na podlagi zakona obdeluje določene osebne podatke (tudi posebne vrste), ki bi jih za namene izvajanja storitev svetovanja oziroma pomoči pri izvajanju dejavnosti zavoda želeli prenesti (v psevdonimizirani obliki) izvajalcem (pogodbenim obdelovalcem) v tretji državi - konkretno v Avstraliji. Sprašujete, ali zadošča, da z izvajalci sklenete pogodbo, v katero se vključijo standardne pogodbene klavzule, ki jih je pripravila Evropska komisija -  varianta MODUL DVA: Prenos od upravljavca obdelovalcu. Sprašujete tudi, ali je za tovrsten prenos osebnih podatkov potrebno pridobiti dovoljenje Informacijskega pooblaščenca.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1 in 177/20, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem, pri čemer pojasnjujemo, da IP izven konkretnega inšpekcijskega postopka posameznim poslovnim subjektom ne more in ne sme svetovati, kako organizirati konkretne poslovne procese in v tem okviru obdelovati osebne podatke, niti ne more vnaprej potrjevati posameznih rešitev z vidika skladnosti s Splošno uredbo o varstvu podatkov.

 

V primeru prenosa osebnih podatkov v tretjo državo na podlagi standardnih pogodbenih klavzul iz člena 46(2)(c) Splošne uredbe o varstvu podatkov mora biti zagotovljeno, da imajo posamezniki na voljo izvršljive pravice in učinkovita pravna sredstva. Izvoznik mora torej oceniti, ali so v okviru zadevnega prenosa zaščitni ukrepi iz člena 46 delujoči tudi v praksi, torej ali je karkoli v pravu ali praksi tretje države, kar posega v njihovo učinkovitost.

 

Sicer pa za prenose osebnih podatkov na podlagi člena 46(2)(c) Splošne uredbe o varstvu podatkov dovoljenje Informacijskega pooblaščenca ni potrebno.

 

 

O b r a z l o ž i t e v:

 

V primeru prenosa osebnih podatkov v tretjo državo na podlagi standardnih pogodbenih klavzul iz člena 46(2)(c) Splošne uredbe o varstvu podatkov mora biti zagotovljeno, da imajo posamezniki, na katere se osebni podatki nanašajo, tudi po prenosu na voljo izvršljive pravice in učinkovita pravna sredstva. V nasprotnem primeru prenos na podlagi člena 46(2)(c) ne bi bil zakonit. Izvoznik podatkov je tako dolžan po potrebi zagotoviti dopolnilne zaščitne ukrepe, ki zagotavljajo varovanje zasebnosti ter temeljnih človekovih pravic na enaki ravni, kot je to zagotovljeno v okviru EU.

 

Izvoznik podatkov (s pomočjo uvoznika) je torej dolžan v skladu s priporočili Evropskega odbora za varstvo podatkov (EDPB)[1] oceniti, ali so v okviru zadevnega prenosa ustrezni zaščitni ukrepi delujoči tudi v praksi, torej ali je karkoli v pravu ali praksi tretje države (zlasti v zvezi z dostopom do osebnih podatkov s strani javnih organov v tretji državi, npr. za namene kazenskega pregona in nacionalne varnosti), kar posega v učinkovitost ustreznih zaščitnih ukrepov iz člena 46, na katere se izvoznik opira. Če je odgovor pritrdilen, mora izvoznik določiti in sprejeti dodatne ukrepe, ki so potrebni za zagotovitev, da se posameznikom, na katere se nanašajo osebni podatki, zagotovi raven zaščite, ki je v bistvu enakovredna tisti, ki je zagotovljena v EGP. Kadar taka ocena vodi do zaključka, da skladnost ni (ali ni več) zagotovljena in da ni bilo mogoče določiti dodatnih ukrepov, morajo izvozniki podatkov (začasno) ustaviti prenos podatkov.

 

IP izven konkretnega inšpekcijskega postopka ocene stanja v državi uvoznici ne more opraviti za oz. namesto upravljavca, saj izven konkretnega postopka ne razpolaga z vsemi ustreznimi informacijami in okoliščinami zadevnega prenosa. Skladno s členom 5 Splošne uredbe o varstvu podatkov je za skladnost obdelave osebnih podatkov s Splošno uredbo o varstvu podatkov odgovoren upravljavec, ki mora biti to skladnost zmožen tudi izkazati.

 

Sicer pa za prenose osebnih podatkov na podlagi člena 46(2)(c) Splošne uredbe o varstvu podatkov dovoljenje nadzornega organa ni potrebno.

 

S spoštovanjem.

 

 

Pripravila:

mag. Eva Kalan Logar,

vodja državnih nadzornikov

 

Mojca Prelesnik, univ. dipl. prav.,

informacijska pooblaščenka

 

[1] Priporočila 01/2020 o ukrepih, ki dopolnjujejo orodja za prenos, za zagotovitev skladnosti z ravnjo varstva osebnih podatkov na ravni EU: https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_en