Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Mnenja - VOP

+ -
Datum: 24.03.2009
Naslov: Iznos osebnih podatkov v tretje države
Številka: 0712-95/2009/2
Vsebina: Iznos osebnih podatkov v tretje države
Pravni akt: Mnenje

Spoštovani,

Informacijski pooblaščenec (v nadaljevanju Pooblaščenec) je 10. 3. 2009 prejel vaše elektronsko sporočilo, v katerem pojasnjujete, da s hrvaškim podjetjem podpisujete pogodbo o vzdrževanju baze podatkov. Podatki se fizično ne bodo izvozili na Hrvaško, pač pa bodo sodelavci iz Hrvaške za potrebe vzdrževanja dostopali do strežnika v Sloveniji. Pri tem bodo videli podatke, jih pa ne bodo odjemali ali presnemavali niti vsebinsko zanje niso pomembni. Sprašujete, ali v tem primeru veljajo enaka pravila kot za iznos osebnih podatkov v tretje države?

Avtentično razlago posameznih določb zakona daje le Državni zbor, neobvezno pa predlagatelj zakona, zato vam na podlagi informacij, ki ste nam jih posredovali, v nadaljevanju na podlagi 7. točke 1. odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, v nadaljevanju ZInfP), posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem:

Kljub dejstvu, da bodo hrvaški sodelavci do strežnika dostopali le za potrebe vzdrževanja in ob tem osebnih podatkov ne bodo odjemali ali jih kopirali, bodo v same osebne podatke vseeno lahko prosto vpogledovali. Uporabnik osebnih podatkov je v 8. točki 6. člena Zakona o varstvu osebnih podatkov definiran kot fizična ali pravna oseba ali druga oseba javnega ali zasebnega sektorja, ki se ji posredujejo ali razkrijejo osebni podatki. Na podlagi navedenega Pooblaščenec ugotavlja, da v dotičnem primeru veljajo povsem enaka določila kot za iznos osebnih podatkov v tretje države.

O b r a z l o ž i t e v:

Pooblaščenec uvodoma pojasnjuje, da ne glede na to, da bodo hrvaški sodelavci do strežnika dostopali le za potrebe vzdrževanja in ob tem osebnih podatkov ne bodo odjemali ali jih kopirali, jim bodo kljub temu na voljo in bodo v same osebne podatke lahko prosto vpogledovali. Glede na 8. točko 6. člena ZVOP-1, ki uporabnike osebnih podatkov opredeljuje kot fizične ali pravne oseba ali druge osebe javnega ali zasebnega sektorja, ki se ji posredujejo ali razkrijejo osebni podatki, veljajo v dotičnem primeru vsa določila ZVOP-1 glede iznosa osebnih podatkov.

Upravljavec osebnih podatkov lahko osebne podatke iznaša v tretjo državo le na podlagi ustrezne pravne podlage. Po določbah prvega odstavka 11. člena ZVOP-1 lahko upravljavec osebnih podatkov posamezna opravila v zvezi z obdelavo osebnih podatkov s pogodbo zaupa pogodbenemu obdelovalcu, ki je registriran za opravljanje takšne dejavnosti in zagotavlja ustrezne postopke in ukrepe iz 24. člena tega zakona. Pogodbeni obdelovalec po določbah 7. točke 6. člena ZVOP-1 pomeni fizično ali pravno osebo, ki obdeluje osebne podatke v imenu in za račun upravljavca osebnih podatkov. V drugem odstavku 11. člena ZVOP-1 je nadalje določeno, da sme pogodbeni obdelovalec opravljati posamezna opravila v zvezi z obdelavo osebnih podatkov v okviru naročnikovih pooblastil in osebnih podatkov ne sme obdelovati za noben drug namen. Medsebojne pravice in obveznosti se uredijo s pogodbo, ki mora biti sklenjena v pisni obliki in mora vsebovati tudi dogovor o postopkih in ukrepih iz 24. člena ZVOP-1. Upravljavec osebnih podatkov nadzoruje izvajanje postopkov in ukrepov iz 24. člena ZVOP-1.

Iz zgoraj citiranih določb 11. člena ZVOP-1 torej izhaja, da vam ZVOP-1 kot upravljavcu osebnih podatkov omogoča, da pogodbenim obdelovalcem v celoti ali delno poverite v izvajanje enega ali več opravil obdelave določenih vrst osebnih podatkov, pri čemer pa morajo biti izpolnjeni naslednji pogoji:
1.    Pogodbeni obdelovalec mora biti registriran za opravljanje opravil oziroma dejavnosti, ki se mu poverijo s pogodbo. Če je pogodbeni obdelovalec registriran in opravlja svojo dejavnost v tujini, mora biti registriran v skladu s predpisi, ki veljajo v državi, kjer opravlja svojo dejavnost.
2.    Pooblastila pogodbenemu obdelovalcu glede opravljanja posameznih opravil v zvezi z obdelavo osebnih podatkov morajo biti v pogodbi jasno določena, saj sme pogodbeni obdelovalec opravljati posamezna opravila v zvezi z obdelavo osebnih podatkov le v okviru naročnikovih pooblastil in osebnih podatkov ne sme obdelovati za noben drug namen.
3.    Pogodbeni obdelovalec mora zagotavljati ustrezne postopke in ukrepe iz 24. člena ZVOP-1, kar pomeni, da mora zagotavljati ustrezne organizacijske, tehnične in logično-tehnične postopke in ukrepe, s katerimi se varujejo osebni podatki, preprečuje slučajno ali namerno nepooblaščeno uničevanje podatkov, njihova sprememba ali izguba, ter nepooblaščeno obdelavo osebnih podatkov.
4.    Pogodba, v kateri so navedena pooblastila pogodbenemu obdelovalcu ter medsebojne pravice in obveznosti, mora biti obvezno sklenjena v pisni obliki in mora obvezno vsebovati tudi dogovor o postopkih in ukrepih za zavarovanje osebnih podatkov, upravljavec osebnih podatkov pa mora izvajanje dogovorjenih postopkov in ukrepov za zavarovanje osebnih podatkov tudi nadzorovati.

Kar zadeva pisne pogodbe med upravljavcem osebnih podatkov in pogodbenim obdelovalcem je potrebno opozoriti, da pogodbe, v katerih je določeno zgolj to, da bo izvajalec vse podatke, pridobljene s strani naročnika varoval v skladu z Zakonom o varstvu osebnih podatkov ali v skladu s kakšnim drugim predpisom oziroma jih bo varoval kot poslovno skrivnost, ne zadostijo zahtevam določb iz 11., 24. in 25. člena ZVOP-1. Upoštevajoč navedene določbe, mora biti namreč v pogodbah jasno določeno, s kakšnimi postopki in ukrepi mora pogodbeni obdelovalec varovati prostore, kjer se nahajajo nosilci osebnih podatkov, s kakšnimi postopki in ukrepi mora varovati sistemsko programsko in aplikativno programsko opremo, s katero se obdelujejo osebni podatki, s kakšnimi postopki in ukrepi se preprečuje nepooblaščen dostop do osebnih podatkov pri njihovem prenosu, vključno s prenosom po telekomunikacijskih omrežjih, s kakšnimi postopki in ukrepi se zagotavlja učinkovit način blokiranja, uničenja, izbrisa ali anonimiziranja osebnih podatkov ter s kakšnimi postopki in ukrepi se omogoča poznejše ugotavljanje, kdaj so bili posamezni osebni podatki vneseni v zbirko osebnih podatkov, uporabljeni ali drugače obdelani in kdo je to storil. Kljub temu pa se v primerih, ko ima bodisi upravljavec osebnih podatkov, bodisi pogodbeni obdelovalec ustrezne organizacijske, tehnične in logično-tehnične postopke in ukrepe za zavarovanje osebnih podatkov že predpisane v svojem notranjem aktu, lahko namesto ponovnega opisovanja vseh postopkov in ukrepov, v pogodbi zgolj citira takšen akt in navede, da je ta akt sestavni del te pogodbe ter da mora pogodbeni obdelovalec zagotoviti zavarovanje osebnih podatkov v skladu z določbami takšnega akta, ki se ga mora v teh primerih seveda priložiti k pogodbi. V teh primerih je potrebno poskrbeti, da se s takšnim aktom seznanijo vsi tisti zaposleni pri upravljavcu osebnih podatkov ter pri pogodbenem obdelovalcu, ki odgovarjajo za izvajanje dogovorjenih postopkov in ukrepov ter tiste osebe, ki zaradi narave svojega dela pri upravljavcu osebnih podatkov oziroma pri pogodbenem obdelovalcu obdelujejo določene osebne podatke.   

Poleg določitve postopkov in ukrepov za zavarovanje osebnih podatkov, bo moralo biti v pogodbi določeno tudi, na kakšen način bo upravljavec osebnih podatkov pri pogodbenem obdelovalcu nadzoroval izvajanje dogovorjenih postopkov in ukrepov za zavarovanje osebnih podatkov, ter katere osebe, ki so zaposlene pri upravljavcu osebnih podatkov, bodo opravljale takšen nadzor. V pogodbi bo moralo biti tudi določeno, katere osebe, ki so zaposlene pri upravljavcu osebnih podatkov oziroma pri pogodbenem obdelovalcu, lahko opravljajo posamezna opravila v zvezi z obdelavo osebnih podatkov, kakšna so njihova pooblastila v zvezi s tem ter dolžnost varovanja zaupnosti podatkov. Določeno bo moralo biti tudi, da je nadaljnje posredovanje osebnih podatkov, pridobljenih v okviru pogodbene obdelave, tretjim osebam mogoče le z dovoljenjem upravljavca osebnih podatkov.

Kar zadeva pogodbene obdelovalce v tujini Pooblaščenec pojasnjuje, da lahko kot upravljavec osebnih podatkov pod pogoji, ki so določenimi v 11. členu ZVOP-1 in so zgoraj podrobneje pojasnjeni, posamezna opravila ali storitve v zvezi z obdelavo osebnih podatkov v celoti ali delno poverite v izvajanje tudi pogodbenim obdelovalcem, ki so ustanovljeni, imajo sedež ali so registrirani v državi članici Evropske unije ali Evropskega gospodarskega prostora.

V primeru, da pogodbeni obdelovalec ni ustanovljen, nima sedeža, ni registriran državi članici Evropske unije ali Evropskega gospodarskega prostora, mora upravljavec osebnih podatkov poleg določb 11. člena ZVOP-1, dodatno upoštevati tudi določbe V. dela ZVOP-1, ki urejajo iznos osebnih podatkov v tretje države. Tretja država je država, ki ni članica Evropske unije ali Evropskega gospodarskega prostora.

Po določbah 63. člena ZVOP-1 lahko upravljavec osebnih podatkov iznese in posreduje osebne podatke v obdelavo pogodbenemu obdelovalcu v tretji državi le pod pogojem, da državni nadzorni organ (Pooblaščenec) izda odločbo, da država, v katero se iznašajo, zagotavlja ustrezno raven varstva osebnih podatkov ali pa je takšna država že na seznamu držav, za katere je ugotovljeno, da delno ali v celoti zagotavljajo ustrezno raven varstva osebnih podatkov. Pooblaščenec trenutno na seznamu držav, za katere je bilo ugotovljeno, da v celoti zagotavljajo ustrezno raven varstva osebnih podatkov, vodi le Švicarsko konfederacijo. Trenutno pa Pooblaščenec vodi postopek za ugotavljanje ustrezne ravni varstva osebnih podatkov za Hrvaško. Če bo v postopku ugotovljeno, da Hrvaška v celoti zagotavlja ustrezno raven varstva osebnih podatkov, za iznos osebnih podatkov na Hrvaško ne bo več potrebna omenjena odločba Pooblaščenca.

Upravljavec osebnih podatkov pa lahko pogodbenemu upravljavcu v tretji državi posreduje osebne podatke tudi na podlagi oziroma po prejetju posebne odločbe, ki jo Pooblaščenec izda na podlagi drugega odstavka 70. člena ZVOP-1. ZVOP-1 v 7. točki prvega odstavka 70. člena namreč določa, da ne glede na prvi odstavek 63. člena tega zakona se lahko osebni podatki iznesejo in posredujejo v tretjo državo, če upravljavec osebnih podatkov zagotovi ustrezne ukrepe zavarovanja osebnih podatkov ter temeljnih pravic in svoboščin posameznikov in navede možnosti njihovega uresničevanja ali varstva, predvsem v določbah pogodb ali v splošnih pogojih poslovanja. Po določbi drugega odstavka 70. člena ZVOP-1 mora oseba, ki namerava iznesti osebne podatke, v takšnem primeru pridobiti posebno odločbo državnega nadzornega organa (Pooblaščenca), ki dovoljuje iznos osebnih podatkov.

Posebno odločbo Pooblaščenca iz drugega odstavka 70. člena ZVOP-1 za iznos oziroma posredovanje osebnih podatkov pogodbenemu obdelovalcu v tretji državi bo upravljavec osebnih podatkov najlažje dobil v primeru, če bo k pogodbi s pogodbenim obdelovalcem sklenil aneks, v katerem bo v celoti in nespremenjene uporabil standardne pogodbene klavzule in oba dodatka iz Odločbe Komisije evropskih skupnosti z dne 27. decembra 2001 o standardnih pogodbenih klavzulah za prenos osebnih podatkov obdelovalcem s sedežem v tretjih državah v skladu z Direktivo 95/46/ES, ki je bila nostrificirana pod dokumentarno številko C(2001) 4540) (2002/16/ES).

Obrazec vloge za izdajo posebne odločbe Pooblaščenca za iznos osebnih podatkov v tretje države je objavljen na spletnih straneh Pooblaščenca, na naslovu: www.ip-rs.si/varstvo-osebnih-podatkov/obveznosti-upravljavcev/iznos-osebnih-podatkov-v-tretje-drzave/.

Prijazen pozdrav,

Informacijski pooblaščenec:
Nataša Pirc Musar, univ.dipl.prav.,
pooblaščenka