Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Mnenja - VOP

+ -
Datum: 01.08.2018
Naslov: Prenos OP v ZDA, biometrični podatki
Številka: 0712-3/2018/1154
Vsebina: Iznos osebnih podatkov v tretje države, Biometrija
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je po elektronski pošti prejel vaš dopis, v katerem vas zanima glede prenosa osebnih podatkov iz družbe v Sloveniji v matično družbo v ZDA na podlagi zasebnostnega ščita EU-ZDA. Zanima vas, ali zadostuje, da sklenete pogodbo med obdelovalcem in upravljavcem osebnih podatkov.

 

Zanima vas tudi, kako je po novi zakonodaji urejeno zbiranje prstnih odtisov. Zanima vas, ali za to potrebujete odločbo Informacijskega pooblaščenca. Rabi bi vzpostavili sistem za vstop zaposlenih v poslovne prostore na podlagi prstnih odtisov. Zaposleni bi imeli možnost, da se sami odločijo med uporabo ključa ali prstnega odtisa za vstop.

 

* * *

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

Prenos osebnih podatkov v ZDA je za komercialne namene med drugim možen na podlagi zasebnostnega ščita EU-ZDA, če je, kakor navajate v elektronski pošti, podjetje v ZDA na seznamu subjektov, ki skladno s ščitom zasebnosti zagotavljajo ustrezno raven varstva osebnih podatkov. Seznam je dostopen tukaj: https://www.privacyshield.gov/list. V primeru takšnega prenosa ne potrebujete posebnega dovoljenja s strani Informacijskega pooblaščenca. Zasebnostni ščit EU-ZDA, na podlagi katerega je Evropska komisija sprejela sklep o ustreznosti, namreč v skladu z določbami 45. člena Splošne uredbe že sam predstavlja zadostno zagotovilo o ustrezni ravni varstva osebnih podatkov po prenosu podatkov za komercialne namene in predvideva, da takšna družba zagotavlja ustrezno raven varstva podatkov. Za več informacij o tem vas IP napotuje na svojo spletno stran:

https://www.ip-rs.si/varstvo-osebnih-podatkov/obveznosti-upravljavcev/iznos-osebnih-podatkov-v-tretje-drzave/iznos-osebnih-podatkov-v-zda/.

 

Neodvisno od tega pa morate imeti za osnovno obdelavo sami ustrezno pravno podlago, kakor tudi pogodbeni obdelovalec. Vsekakor morate torej, v kolikor gre v konkretnem primeru za razmerje med upravljavcem in obdelovalcem, upoštevati določbe člena 28 Splošne uredbe. Skladno z navedenim členom sta dolžna upravljavec in obdelovalec svoje razmerje urediti s pogodbo in vanjo vključiti obvezne pogodbene klavzule kot jih določa tretji odstavek člena 28 Splošne uredbe. Za več informacij o pogodbeni obdelavi osebnih podatkov vas IP napotuje na svojo spletno stran:

https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/kljucna-podrocja-uredbe/pogodbena-obdelava/.

 

Glede ureditve uporabe biometrijskih ukrepov za namene vstopov in izstopov zaposlenih IP pojasnjuje, da

ostaja do morebitne drugačne zakonske ureditve (npr. v ZVOP-2) upoštevajoč določbo četrtega odstavka 9. člena Splošne uredbe ureditev enaka kot doslej. To pomeni, da tudi po začetku uporabe Splošne uredbe ostajajo v veljavi členi 78-82 ZVOP-1, ki urejajo vprašanja biometrije. Zasebni sektor tako lahko izvaja biometrijske ukrepe še vedno le nad svojimi zaposlenimi, če so bili ti o tem predhodno obveščeni, in le na podlagi predhodne odločbe IP. Za več informacij o uporabi biometrijskih ukrepov si preberite smernice na spletni povezavi:

https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Biometrija_-_smernice.pdf

 

 

V upanju, da ste dobili odgovor na svoje vprašanje, vas lepo pozdravljamo.

 

 

 

Mojca Prelesnik, univ.dipl.prav.,                                                  

informacijska pooblaščenka

 

 

Pripravila:                                                                                                                                

Neja Domnik, mag. prav.,

raziskovalka pri IP