Informacijski pooblaščenec Republika Slovenija
   
dekorativna slika

Prenos osebnih podatkov v Združeno kraljestvo v primeru »Brexita« brez dogovora

+ -
24.01.2019

Organizacije in podjetja, ki prenašajo osebne podatke v Združeno kraljestvo Velike Britanije in Severne Irske, čaka v primeru, da do 12. 4. 2019 ne bo dogovora o t. i. Brexitu, med drugim tudi naloga zagotavljanja zakonitosti prenosa osebnih podatkov. Usoda dogovora ostaja neznanka, zato je Informacijski pooblaščenec (IP) pripravil navodila za organizacije in podjetja ter svetuje pozorno spremljanje novosti na tem področju. Po zagotovilih Vlade Združenega kraljestva zaenkrat v nobenem primeru ne bo sprememb glede prenosa osebnih podatkov iz Združenega kraljestva v Slovenijo.

Združeno kraljestvo bo v primeru, da dogovora o izstopu iz EU ne bo, dobilo položaj tretje države (enako kot vse ostale države izven EU in Evropskega gospodarskega prostora – EGP). To bi pomenilo, da bi bilo za prenos osebnih podatkov v Združeno kraljestvo po 12. 4. 2019 poleg ostalih zahtev Splošne uredbe o varstvu podatkov (uredbe) treba zagotoviti tudi ustrezne mehanizme varovanja podatkov po prenosu (kot jih določa V. poglavje uredbe, kot npr. standardna pogodbena določila, zavezujoča poslovna pravila). Dogovor o t.i. Brexitu med EU in Združenim kraljestvom naj bi namreč med drugim uredil tudi področje prenosa osebnih podatkov iz držav članic EU v Združeno kraljestvo po izstopu iz EU in omogočil nadaljnje prenose osebnih podatkov brez dodatnih ukrepov.

Skladno z uredbo lahko osebni podatki potujejo k uvozniku podatkov izven EU oz. EGP (v tretjo državo) ali v mednarodno organizacijo le pod pogojem, da izvoznik in uvoznik podatkov uporabita posebne mehanizme za varstvo podatkov, da zagotovita tudi po prenosu enako raven varstva osebnih podatkov kot velja znotraj EU.

To velja na primer za podjetje, ki shranjuje podatke (med drugim tudi osebne podatke) v oblaku podjetja s sedežem v Združenem kraljestvu, in prav tako na primer za hčerinsko podjetje, ki pošilja podatke o svojih zaposlenih svojemu materinskemu podjetju v Združenem kraljestvu.

Trije koraki za organizacije in podjetja v primeru izstopa Združenega kraljestva iz EU brez dogovora:

  1. Ugotovite, če in katere osebne podatke prenašate v Združeno kraljestvo.

  2. Ugotovite, ali boste te osebne podatke prenašali tudi po 12. 4. 2019.

  3. Če boste prenašali tudi po datumu, ocenite, kateri mehanizem za prenos osebnih podatkov v tretjo državo je najbolj primeren v vašem primeru (npr. standardne pogodbene klavzule) in poskrbite, da bo ta mehanizem vzpostavljen do dne 12. 4. 2019.

Posredovanje osebnih podatkov upravljavcu ali pogodbenemu obdelovalcu v tretji državi ali mednarodni organizaciji je dopustno pod pogojem, (1) da ima izvoznik podatkov pravno podlago za obdelavo osebnih podatkov (glej člena 6 in 9 Splošne uredbe o varstvu podatkov), in (2) da upošteva določbe, ki urejajo prenos podatkov. Podatki se smejo prenesti:

  1. če Evropska komisija izda odločbo, da država, ozemlje, določen sektor v državi ali mednarodna organizacija, v katero se prenašajo, zagotavlja ustrezno raven varstva osebnih podatkov. Enako velja za odločbe Informacijskega pooblaščenca, ki jih je ta izdal pred 25. 5. 2018. V takšne države (npr. Švico, ZDA v okviru zasebnostnega ščita EU-ZDA) lahko osebni podatki potujejo brez dodatnih zaščitnih ukrepov, podobno kot med državami EU;

  2. če izvoznik podatkov zagotovi ustrezne zaščitne ukrepe, kot so določeni v členih 46 in 47 Splošne uredbe o varstvu podatkov (npr. standardne pogodbene klavzule, zavezujoča poslovna pravila). Eden izmed najpogosteje uporabljenih ukrepov so standardne pogodbene klavzule, ki jih je pripravila Evropska komisija.

  3. če gre za posebne primere, v katerih so mogoča odstopanja, ki so natančno določeni v členih 48 in 49 Splošne uredbe o varstvu podatkov.

Več informacij o prenosu osebnih podatkov v tretje države: na spletni strani IP in v Smernicah IP glede prenosa osebnih podatkov.

Več praktičnih informacij o prenosu osebnih podatkov v Združeno kraljestvo Velike Britanije v primeru, da dogovora o Brexitu ne bo, je na voljo tudi v angleščini na spletni strani Evropskega odbora za varstvo podatkov: https://edpb.europa.eu/sites/edpb/files/files/file1/edpb-2019-02-12-infonote-nodeal-brexit_en.pdf .

Več informacij tudi v obvestilu in smernicah nadzornega organa za varstvo osebnih podatkov Združenega kraljestva glede »brexita« ter javnem obvestilu Vlade Združenega kraljestva.