Informacijski pooblaščenec Republika Slovenija
SLO | ENG

Združene države Amerike so v delu, ko gre za iznos osebnih podatkov v okviru zasebnostnega ščita EU-ZDA, uvrščene na listo držav, pri katerih za iznos osebnih podatkov tem organizacijam ni (več) potrebno dovoljenje Informacijskega pooblaščenca

+ -

Sporočilo za javnost

 

Informacijski pooblaščenec (IP) je po prejemu predloga Združene države Amerike (ZDA) uvrstil na listo tretjih držav, za katere se šteje, da v delu, ko gre za iznos osebnih podatkov v okviru zasebnostnega ščita EU-ZDA samocertificiranim organizacijam v ZDA, zagotavljajo ustrezno raven varstva osebnih podatkov. Tako upravljavci osebnih podatkov v Sloveniji, ki za obdelavo osebnih podatkov uporabljajo storitve pogodbenih partnerjev iz ZDA, za prenos osebnih podatkov ne potrebujejo posebnega dovoljenja IP, če je njihov pogodbeni partner ustrezno samocertificiran v okviru zasebnostnega ščita (Privacy Shield).

 

Zagotavljanje ustreznega izvajanja določb zasebnostnega ščita EU-ZDA v okviru delovne skupine WP 29, katere član je tudi IP, nadzorujejo tudi evropski nadzorni organi za varstvo osebnih podatkov. V ta namen je v preteklem tednu delegacija delovne skupine WP29 pod vodstvom predsedujoče, Isabelle Falque-Pierrotin obiskala ZDA in se sestala s predstavniki ameriških oblasti, upravljavcev in civilne družbe.

 

Številni upravljavci osebnih podatkov uporabljajo storitve pogodbenih partnerjev iz ZDA, to pa lahko pomeni obdelavo osebnih podatkov npr. njihovih strank, zaposlenih, uporabnikov in prenos teh osebnih podatkov v ZDA.

 

IP opozarja, da so upravljavci osebnih podatkov tisti, ki  morajo zagotoviti, da za tak prenos osebnih podatkov v tretjo državo obstaja primerna pravna podlaga in ustrezno varstvo osebnih podatkov v državi, kamor se osebni podatki prenašajo. To je npr. lahko sklenitev tipskih pogodb, ki jih je sprejela Evropska Komisija (t.i. standardnih pogodbenih klavzul) oziroma drugih pogodbenih določil. Pri takem iznosu osebnih podatkov je potrebno pridobiti tudi dovoljenje IP. V izjemnih primerih se lahko prenos osebnih podatkov v tretje države opravi tudi na kateri od podlag iz 1. odstavka 70. člena ZVOP-1.

 

Prenos v tretje države pa je brez posebnega dovoljenja IP mogoč tudi, kadar gre za državo, ki je uvrščena na seznam držav, ki v celoti ali delno zagotavljajo ustrezno raven varstva osebnih podatkov. ZDA po odločitvi Evropske komisije, ki jo je IP v svoji odločbi z dne 20. 3. 2017 moral upoštevati, zagotavljajo ustrezno raven varstva osebnih podatkov, ko gre za iznos osebnih podatkov, ki se v okviru zasebnostnega ščita EU-ZDA prenašajo iz Evropske unije samocertificiranim organizacijam v ZDA.

 

IP zato priporoča, da upravljavci zbirk osebnih podatkov in obdelovalci osebnih podatkov, pred sklenitvijo pravnega posla s podjetjem iz ZDA na ustrezen način zagotovijo, da bodo osebni podatki v ZDA ustrezno varovani. Ena od možnih oblik je, da najprej preverijo, če je to podjetje vpisano na seznamu podjetij, ki zagotavljajo varstvo na podlagi zasebnostnega ščita EU-ZDA (https://www.privacyshield.gov/article?id=How-to-Verify-an-Organization-s-Privacy-Shield-Commitments). Pričakovati sicer je, da se bodo organizacije oziroma podjetja, ki so bila samocertificirana v okvir dogovora o Varnem pristanu (Safe Harbour), vključile tudi v zasebnostni ščit EU-ZDA, ni pa to seveda nujno. Še vedno pa so na voljo tudi druge možnosti zagotavljanja ustrezne ravni varstva npr. zgoraj omenjene.

 

Več o tem na spletni strani IP: https://www.ip-rs.si/varstvo-osebnih-podatkov/obveznosti-upravljavcev/iznos-osebnih-podatkov-v-tretje-drzave/

 

Ažuren seznam tretjih držav, za katere je IP ugotovil, da v celoti ali v delu zagotavljajo ustrezno raven varstva osebnih podatkov, je objavljan na spletni strani IP in v Uradnem listu Republike Slovenije.

 

Mojca Prelesnik,
informacijska pooblaščenka