Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Za izvoznike podatkov: objavljena nova priporočila EDPB za prenose podatkov v tretje države po Schrems II sodbi

+ -

Evropski odbor za varstvo podatkov (EDPB) je sprejel priporočila za upravljavce in obdelovalce, ki prenašajo osebne podatke v tretje države, torej države izven EGP, glede na zahteve sodbe Sodišča EU v zadevi „Schrems II“.

 

Iz omenjene sodbe izhaja, da morajo izvozniki podatkov, ki se pri prenosih osebnih podatkov v tretje države opirajo na standardne pogodbene klavzule, kjer je to primerno, za vsak primer posebej preveriti, ali zakonodaja tretje države, v katero želijo prenesti podatke, zagotavlja tako raven njihovega varstva, ki je v bistvu enakovredna ravni varstva osebnih podatkov, kot je ta zagotovljena v EU (oz. EGP). Sodišče torej ni prepovedalo prenosa osebnih podatkov v tretje države na temelju standardnih pogodbenih klavzul, je pa izvoznikom naložilo nove obveznosti zagotavljanja skladnosti prenosa, in sicer z zagotovitvijo ustreznih dopolnilnih ukrepov.

 

Izvozniki podatkov morajo tako po novem pred pričetkom izvajanja prenosa osebnih podatkov v tretje države (in tudi kasneje v rednih intervalih) sami presoditi, kakšen je pravni okvir in praksa v državi prejemnici. Če izvozniki ocenijo, da ta v bistvu ne ustreza ravni varstva osebnih podatkov, ki je zagotovljena v EU (npr. možnost dostopa organov pregona do prenesenih podatkov, ki ne ustreza EU standardom), morajo sprejeti ustrezne dopolnilne ukrepe (npr. šifriranje podatkov, organizacijski ukrepi itd.) s pomočjo katerih zagotovijo, da bodo osebni podatki kljub prenosu v tretjo državo in kljub tamkajšnji pomanjkljivi zakonodaji oz. praksi, vseeno varovani na način, ki je v bistvu enakovreden zagotovljenemu varstvu podatkov v EU. Če ocenjene vrzeli upravljavec z nobenim dopolnilnim ukrepom ali kombinacijo teh ne more nasloviti, potem takega prenosa ne sme izvršiti.

 

Pravkar objavljena Priporočila 01/2020 o ukrepih, ki dopolnjujejo orodja za prenos, da se zagotovi skladnost z v EU zagotovljenim varstvom osebnih podatkov, ki jih je sprejel EDPB, so namenjena upravljavcem in obdelovalcem (izvozniki podatkov), ki bodo morali določiti in izvajati dopolnilne ukrepe pri prenosu podatkov v tretje države. Priporočila vsebujejo korake, ki naj jim izvozniki sledijo, ko ugotavljajo, ali je za konkretni prenos podatkov treba uvesti tudi dopolnilne ukrepe. Poleg tega priporočila navajajo vire informacij, s pomočjo katerih lahko izvoznik podatkov oceni raven varstva osebnih podatkov v tretji državi ter nekaj konkretnih primerov dopolnilnih ukrepov.

 

EDPB je sprejel tudi Priporočila 2/2020 o evropskih temeljnih jamstvih glede ukrepov nadzora. Ta dopolnjujejo priporočila o dopolnilnih ukrepih in vsebujejo napotila,  kako izvozniki podatkov lahko presojajo pravni okvir, ki ureja dostop javnih organov v tretjih državah do podatkov za namene nadzora. Izvozniki morajo namreč sami presoditi, ali so tovrstni posegi lahko razumljeni kot upravičeni in ne posegajo v ustrezno raven varstva prenesenih podatkov.

 

Dejstvo je, da so za zakonito izvajanje prenosa osebnih podatkov v tretje države odgovorni upravljavci in obdelovalci sami, skladno z načelom odgovornosti iz člena 5 Splošne uredbe o varstvu podatkov. Izvoznikom podatkov tako priporočamo, da s prenosi podatkov nadaljujejo s premislekom in vso skrbnostjo.