Prenos osebnih podatkov v tretje države po uveljavitvi ZVOP-2
+ -Številka: 07121-1/2023/336
Kategorije: Prenos osebnih podatkov v tretje države ali mednarodne organizacije
Informacijski pooblaščenec (v nadaljevanju IP) je po elektronski pošti prejel vaš dopis, v katerem pojasnjujete, da imate v vašem podjetju sklenjeno pogodbo s partnerjem, ki ima sedež v Severni Makedoniji in za vas izvaja določene IT storitve. V okviru svojih pogodbenih obveznosti ima vaš partner vpogled tudi do nekaterih osebnih podatkov. Podatki pa se fizično ne prenašajo v Severno Makedonijo. Sprašujete nas, ali se glede na trenutno veljavno zakonodajo Severna Makedonija še vedno obravnava kot država z ustrezno stopnjo varovanja osebnih podatkov; ali morate spremeniti pogodbe s partnerji s sedežem v Severni Makedoniji na način, da bo skladu z zahtevami za iznos podatkov v tretje države, ki jih opredeljuje GDPR; ter ali morate v informacijah za stranke (pravno obvestilo) navesti Severno Makedonijo kot tretjo državo, kamor se iznašajo podatki.
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.
Za Severno Makedonijo Evropska komisija (še) ni izdala sklepa, da omenjena država zagotavlja ustrezno raven varstva podatkov. Pretekle odločbe IP o ustreznosti so bile razveljavljene, prav tako je bil razveljavljen seznam držav, za katere je IP ugotovil, da imajo v celoti ali delno zagotovljeno ustrezno raven varstva osebnih podatkov ali da te nimajo zagotovljene.
Zakonit prenos osebnih podatkov lahko v vašem primeru torej poteka le na podlagi ustreznih zaščitnih ukrepov ali na podlagi odstopanj v posebnih primerih, o čemer vam svetujemo, da natančno preučite ustrezno spletno stran IP in relevantne predpise.
Pogodbe s poslovnimi partnerji iz tretjih držav boste po vsej verjetnosti morali prilagoditi, prav tako boste morali posameznike obvestiti o nameravanem prenosu osebnih podatkov v tretjo državo.
O b r a z l o ž i t e v:
Uvodoma IP ugotavlja, da gre v opisanem primeru vsekakor za prenos osebnih podatkov v tretje države, in sicer ne glede na način, kako se prenašajo podatki, ki so namenjeni obdelavi v tretji državi (bodisi z omogočanjem neposrednega pridobivanja z vstopom v IT sistem, ki je v Sloveniji, bodisi na drug način).
Nadalje vas napotujemo na izčrpne informacije o prenosu osebnih podatkov v tretje države, ki smo jih podali na spletni strani https://www.ip-rs.si/varstvo-osebnih-podatkov/obveznosti-upravljavcev/prenos-osebnih-podatkov-v-tretje-dr%C5%BEave-in-mednarodne-organizacije/. V izogib ponavljanju vseh informacij v tem mnenju vam svetujemo, da najprej omenjeno spletno stran temeljito preučite.
Kot povzetek in odgovor na vaše vprašanje, ali se glede na trenutno veljavno zakonodajo Severna Makedonija še vedno obravnava kot država z ustrezno stopnjo varovanja osebnih podatkov, odgovarjamo, da so bile odločbe, s katerimi je IP ugotovil, da nekatere države zagotavljajo ustrezno raven varstva osebnih podatkov, razveljavljene, prav tako je bil z uveljavitvijo ZVOP-2 razveljavljen seznam tretjih držav, ki zagotavljajo ustrezno raven varstva osebnih podatkov. Samo Evropska komisija je tista, ki po Splošni uredbi odloči, da zadevna tretja država zagotavlja ustrezno raven varstva podatkov. Med njimi Severne Makedonije (še) ni, zato vam sporočamo, da Severna Makedonija ni država, za katero velja, da zagotavlja ustrezno raven varstva podatkov.
Navedeno pomeni, da je treba iskati drugo podlago za zakonit prenos osebnih podatkov, in sicer bodisi prenos na podlagi ustreznih zaščitnih ukrepov bodisi prenos podatkov na podlagi odstopanj v posebnih primerih.
Odgovor na drugo vaše vprašanje, ali morate spremeniti pogodbe s partnerji s sedežem v Severni Makedoniji, da bodo skladne s Splošno uredbo v delu, ki se nanaša na prenos podatkov, je pritrdilen, odvisen pa je tudi od podlage, na podlagi katere lahko zakonito prenašate osebne podatke. Če gre denimo za prenos na podlagi standardnih pogodbenih klavzul, bo to seveda narekovalo temeljite spremembe že obstoječih pogodb in podobno.
Za konec ste zastavili tudi vprašanje, ali morate v informacijah za stranke (pravno obvestilo) navesti Severno Makedonijo kot tretjo državo, kamor se iznašajo podatki. Odgovor je ponovno pritrdilen zaradi izrecne določbe točke (f) prvega odstavka 13. člena Splošne uredbe, po kateri morate posameznike obvestiti, da nameravate prenesti osebne podatke v tretjo državo, ter o obstoju ali neobstoju sklepa Komisije o ustreznosti ali v primeru prenosov iz člena 46 ali 47 ali drugega pododstavka člena 49(1) sklic na ustrezne ali primerne zaščitne ukrepe in sredstva za pridobitev njihove kopije ali kje so na voljo. Enako določbo vsebuje tudi točka (f) prvega odstavka 14. člena Splošne uredbe, kadar se osebni podatki ne pridobijo od posameznika.
V upanju, da ste dobili odgovor na svoje vprašanje, vas lepo pozdravljamo.
Mojca Prelesnik, univ.dipl.prav.,
informacijska pooblaščenka
Pripravila:
mag. Polona Merc, univ. dipl. prav.,
svetovalka IP za varstvo osebnih podatkov