Informacijski pooblaščenec Republika Slovenija
   
dekorativna slika

Ali gre pri obdelavi podatkov za prenos ali ne? - Nove smernice EDPB

+ -
11.02.2022

Evropski odbor za varstvo podatkov (EDPB) je sprejel Smernice št. 5/2021 o medsebojnem prepletanju člena 3 in določb o mednarodnih prenosih podatkov iz poglavja V Splošne uredbe, ki so bile v javni obravnavi do 31. 1. 2022. Namen smernic je pomoč upravljavcem in obdelovalcem pri ugotavljanju, ali določena obdelava podatkov predstavlja prenos v tretjo državo ali mednarodno organizacijo ali ne. Če upravljavec ali obdelovalec podatke prenaša v tretjo državo ali mednarodno organizacijo, mora pri tem upoštevati tudi določbe poglavja V Splošne uredbe o varstvu podatkov.

Smernice podajajo tri kriterije – če so kumulativno izpolnjeni, kažejo na to, da določena obdelava osebnih podatkov predstavlja prenos podatkov v tretjo državo ali mednarodno organizacijo:

  1. kriterij: Splošna uredba zavezuje upravljavca ali obdelovalca za konkretno obdelavo podatkov.
  2. kriterij: Upravljavec ali obdelovalec (v nadaljevanju: izvoznik) s posredovanjem ali kako drugače da osebne podatke, ki so predmet te obdelave, na voljo drugemu upravljavcu, skupnemu upravljavcu ali obdelovalcu (v nadaljevanju: uvoznik).
  3. kriterij: Uvoznik se nahaja v tretji državi ali je mednarodna organizacija, ne glede na to, ali za uvoznika glede te obdelave velja Splošna uredba na podlagi člena 3.

Glede prvega kriterija smernice napotujejo na Smernice št. 3/2018 o ozemeljski veljavnosti Splošne uredbe, ki podrobneje pojasnjujejo, kdaj Splošna uredba zavezuje upravljavca ali obdelovalca.

V povezavi z drugim kriterijem je odbor pojme kot so »upravljavec«, »obdelovalec« in »skupni upravljavec« obrazložil v Smernicah št. 7/2020 o konceptih upravljavca in obdelovalca v Splošni uredbi. Ključno je, da sta izvoznik in uvoznik dve ločeni entiteti. To pomeni, da gre za prenos le, ko en upravljavec ali obdelovalec posreduje podatke drugemu upravljavcu ali obdelovalcu.

Četudi v primeru obdelave podatkov ne gre za prenos podatkov (npr. delavec, ki je na službeni poti v ZDA, dostopa do baze podatke iz tretje države, a ne predstavlja ločenega upravljavca), je upravljavec ali obdelovalec podatkov dolžan upoštevati tveganja, ki jih lahko predstavlja pravo in praksa tretje države (npr. glede dostopov tujih organov do podatkov za namene nadzora), in zagotoviti skladnost s Splošno uredbo – med drugim mora zagotoviti varnost osebnih podatkov s sprejetjem ustreznih tehničnih in organizacijskih ukrepov.

Tretji kriterij je geografski kriterij, po katerem mora biti uvoznik podatkov v tretji državi ali mednarodna organizacija, pri čemer to, ali za uvoznika velja Splošna uredba, na ta kriterij ne vpliva.

Če so izpolnjeni vsi trije kriteriji, potem konkretna obdelava podatkov predstavlja prenos podatkov v tretjo državo ali mednarodno organizacijo. V takem primeru sta izvoznik in uvoznik dolžna upoštevati določbe poglavja V Splošne uredbe. Več o tem, kako zakonito prenašati podatke v tretjo državi ali mednarodno organizacijo, si lahko preberite v smernicah IP glede prenosa podatkov.