Informacijski pooblaščenec Republika Slovenija
SLO | ENG

Iznos osebnih podatkov v tretje države

+ -

O prenosu oziroma iznosu osebnih podatkov v tretje države govorimo takrat, ko upravljavec ali obdelovalec, katerega skladno s členom 3 Splošna uredba o varstvu podatkov zavezuje (izvoznik podatkov), posreduje osebne podatke mednarodni organizaciji ali upravljavcu oz. obdelovalcu osebnih podatkov s sedežem v državi izven Evropske unije (EU) ali Evropskega gospodarskega prostora (EGS) (uvoznik podatkov), katerega Uredba ne zavezuje (po členu 3).


Najpogosteje gre za prenos podatkov takrat, ko upravljavec ali obdelovalec s sedežem v EU/EGS posreduje podatke upravljavcu ali obdelovalcu izven EU/EGS. Uredba pa se skladno s členom 3(2) uporablja tudi za obdelavo osebnih podatkov s strani upravljavcev in obdelovalcev, ki nimajo sedeža v EU/EGS, temveč v tretji državi, kadar so dejavnosti obdelave povezane: (a) z nudenjem blaga ali storitev posameznikom v EU, ali (b) s spremljanjem vedenja teh posameznikov v EU. To pomeni, da gre lahko za prenos podatkov tudi v primeru, ko takšen izvoznik v tretji državi posreduje osebne podatke uvozniku v tretji državi, katerega Uredba skladno s členom 3 ne zavezuje.


Za podrobnejše informacije glede prenosov v tretje države in mednarodne organizacije vas Informacijski pooblaščenec napotuje na svoje smernice glede prenosa.

Za razumljivejši pregled nad dopustnimi podlagami za prenose je Informacijski pooblaščenec izdelal  tudi infografiko: PRENOS OSEBNIH PODATKOV PO UREDBI V TRETJO DRŽAVO/MEDNARODNO ORGANIZACIJO V 2 KORAKIH  


Uredba predvideva ukrepe, ki zagotavljajo, da osebni podatki ostanejo varovani tudi po prenosu v tretje države oz. mednarodne organizacije. Za zakonito posredovanje osebnih podatkov upravljavcu, obdelovalcu ali uporabniku osebnih podatkov v tretji državi ali mednarodni organizaciji morata biti izpolnjena dva pogoja, in sicer:

1. Za posredovanje oz. dajanje osebnih podatkov na razpolago upravljavcu, obdelovalcu ali uporabniku osebnih podatkov v tretji državi mora obstajati katera izmed pravnih podlag, ki so določene v 6. ter 9. členu Uredbe, za javni sektor pa dodatno še v 9. členu ZVOP-1. Obdelovalcu (pravni ali fizični osebi, ki obdeluje osebne podatke v imenu in na račun upravljavca osebnih podatkov) se lahko osebni podatki posredujejo pod pogoji, določenimi v 28. členu Uredbe.

2. Ob izpolnjenem prvem pogoju je posredovanje osebnih podatkov upravljavcu ali pogodbenemu obdelovalcu v tretji državi ali mednarodni organizaciji dopustno pod pogoji, ki jih ureja V. poglavje Uredbe, in sicer:

  • če Evropska komisija izda odločbo, da država, ozemlje, določen sektor v državi ali mednarodna organizacija, v katero se prenašajo, zagotavlja ustrezno raven varstva osebnih podatkov. Odločbe o ustreznosti ravni varstva osebnih podatkov, ki jih je izdal Informacijski pooblaščenec pred 25. 5. 2018, ostajajo še naprej v veljavi, dokler jih IP ne spremeni, nadomesti ali razveljavi;
  • če izvoznik podatkov zagotovi ustrezne zaščitne ukrepe v skladu s členom 46 Uredbe ter posameznikom zagotovi izvršljive pravice in učinkovita pravna sredstva;
  • če gre za posebne primere, ki so natančno določeni v členu 48 in 49 Uredbe, v katerih so mogoča odstopanja.

 

I) Države in mednarodne organizacije, ki zagotavljajo ustrezno raven varstva osebnih podatkov

Prenos podatkov v tretjo državo ali mednarodno organizacijo se lahko izvede, če Evropska komisija odloči, da zadevna tretja država, ozemlje, eden ali več določenih sektorjev v tej tretji državi ali mednarodna organizacija zagotavlja ustrezno raven varstva podatkov (člen 45 Uredbe). Za tak prenos osebnih podatkov na podlagi sklepa o ustreznosti ni potrebno posebno dovoljenje Informacijskega pooblaščenca.

Evropska komisija pri ocenjevanju ustreznosti ravni varstva osebnih podatkov v tretji državi ali mednarodni organizaciji upošteva med drugim elemente kot so: načelo pravne države, spoštovanje človekovih pravic in temeljnih svoboščin, pravni okvir za varstvo osebnih podatkov in udejanjanje v praksi, obstoj učinkovito delujočih neodvisnih nadzornih organov, mednarodne zaveze tretje države.

Odločbe, s katerimi je Informacijski pooblaščenec pred 25. 5. 2018 skladno s 66. členom ZVOP-1 ugotovil, da določene tretje države ali mednarodne organizacije zagotavljajo ustrezno raven varstva osebnih podatkov, ostajajo v veljavi tudi po navedenem datumu vse dokler jih ta ne spremeni, nadomesti ali razveljavi.

Oglejte si spisek držav, za katere je Informacijski pooblaščenec ugotovil, da zagotavljajo ustrezno raven varstva osebnih podatkov ter trenuten spisek držav, za katere je Evropska komisija ugotovila, da zagotavljajo ustrezno raven varstva osebnih podatkov.

 

II) Prenos na podlagi ustreznih zaščitnih ukrepov

Kadar sklep o ustreznosti, s katerim Evropska komisija ugotovi, da tretja država ali mednarodna organizacija zagotavlja ustrezno raven varstva osebnih podatkov, ni sprejet, lahko upravljavec ali obdelovalec prenese osebne podatke v tretjo državo ali mednarodno organizacijo s pomočjo ustreznih zaščitnih ukrepov. Pogoj za to pa je, da imajo posamezniki, na katere se nanašajo preneseni osebni podatki, na voljo izvršljive pravice in učinkovita pravna sredstva.

Ustrezni zaščitni ukrepi se lahko zagotovijo:

  • s pravno zavezujočim in izvršljivim instrumentom, ki ga sprejmejo javni organi ali telesa,
  • z zavezujočimi poslovnimi pravili v skladu s členom 47,
  • s standardnimi določili o varstvu podatkov, ki jih sprejme Evropska komisija ali nadzorni organ in jih odobri Evropska komisija,
  • z odobrenim kodeksom ravnanja v skladu s členom 40, skupaj z zavezujočimi in izvršljivimi zavezami upravljavca ali obdelovalca v tretji državi, da bo uporabljal ustrezne zaščitne ukrepe, tudi glede pravic posameznikov, na katere se nanašajo osebni podatki, ali
  • z odobrenim mehanizmom potrjevanja v skladu s členom 42, skupaj z zavezujočimi in izvršljivimi zavezami upravljavca ali obdelovalca v tretji državi, da bo uporabljal ustrezne zaščitne ukrepe, tudi glede pravic posameznikov, na katere se nanašajo osebni podatki.

Za takšen prenos podatkov predhodno dovoljenje Informacijskega pooblaščenca ni (več) potrebno.

Ustrezni zaščitni ukrepi pa se lahko s predhodnim dovoljenjem Informacijskega pooblaščenca zagotovijo tudi s:

  • pogodbenimi določili, ki jih izvoznik in uvoznik osebnih podatkov sama določita,
  • določbami, ki se vstavijo v upravne dogovore med javnimi organi ali telesi in v katere so vključene izvršljive in učinkovite pravice za posameznike, na katere se nanašajo podatki.

Odločbe Informacijskega pooblaščenca, ki so bile izdane pred 25. 5. 2018, ostanejo veljavne, dokler jih ta ne spremeni, nadomesti ali razveljavi, če je to potrebno. Enako velja za odločitve Evropske komisije.

V EU še ni razvit in potrjen noben mehanizem certificiranja po členu 42 Uredbe, kar pomeni, da prenos podatkov na tej podlagi trenutno še ni mogoč.

 

Prenos na podlagi standardnih določil o varstvu podatkov

Izvoznik in uvoznik osebnih podatkov v takem primeru skleneta pogodbo, v katero v celoti vključita standardna pogodbena določila ter oba dodatka, ki sta sestavni del teh določil. Evropska Komisija je sprejela dva modela standardnih pogodbenih klavzul za prenos osebnih podatkov, ki jih lahko uporabijo upravljavci iz EU/EGS za prenos podatkov:

  • standardne pogodbene klavzule za prenos podatkov od upravljavca iz EU/EGS k obdelovalcu v tretji državi so dostopne na tej povezavi;
  • standardne pogodbene klavzule za prenos podatkov od upravljavca iz EU/EGS k upravljavcu v tretji državi so dostopne tukaj in tukaj (izbirate lahko med dvema možnostma).

Modela standardnih pogodbenih klavzul ostajata v veljavi tudi po pričetku uporabe Uredbe, in sicer vse dokler jih Evropska komisija ne bo razveljavila, nadomestila ali spremenila.

 

Prenos na podlagi zavezujočih poslovnih pravil

Zavezujoča poslovna pravila predstavljajo notranji akt večnacionalnih korporacij, namenjen prenosu podatkov znotraj skupine podjetij, od katerih so določena podjetja locirana v tretjih državah, ki ne zagotavljajo ustreznega varstva osebnih podatkov.

Zavezujoča poslovna pravila (po ang. »Binding Corporate Rules« oz. na kratko BCR) morajo biti odobrena s strani vodilnega nadzornega organa v skladu z mehanizmom za skladnost iz člena  63 Uredbe. Odobrena so lahko le pod pogojem, da so pravno zavezujoča za vsakega člana povezane družbe ali skupine podjetij, tudi za zaposlene, da posameznikom izrecno podeljujejo izvršljive pravice v zvezi z obdelavo njihovih podatkov in da izpolnjujejo zahteve iz člena 47/II Uredbe, ki določa minimalno vsebino zavezujočih poslovnih pravil. Dodatno predhodno dovoljenje s strani Informacijskega pooblaščenca pa ni (več) potrebno.

 

III) Prenos podatkov na podlagi odstopanj v posebnih primerih

Če sklep o ustreznosti za določeno državo oz. mednarodno organizacijo iz člena 45 Uredbe ni sprejet in če niso sprejeti ustrezni zaščitni ukrepi v skladu s členom 46, se lahko prenos izvede le v določenih posebnih primerih (člena 48 in 49 Uredbe). Izpolnjen mora biti eden izmed sledečih pogojev:

a) posameznik, na katerega se nanašajo osebni podatki, je izrecno privolil v predlagani prenos, potem ko je bil obveščen o morebitnih tveganjih, ki jih zaradi nesprejetja sklepa o ustreznosti in ustreznih zaščitnih ukrepov takšni prenosi pomenijo zanj;

(b) prenos je potreben za izvajanje pogodbe med posameznikom, na katerega se nanašajo osebni podatki, in upravljavcem ali za izvajanje predpogodbenih ukrepov, sprejetih na zahtevo posameznika, na katerega se nanašajo osebni podatki;

(c) prenos je potreben za sklenitev ali izvajanje pogodbe med upravljavcem in drugo fizično ali pravno osebo, ki je v interesu posameznika, na katerega se nanašajo osebni podatki;

(d) prenos je potreben zaradi pomembnih razlogov javnega interesa;

(e) prenos je potreben za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov;

(f) prenos je potreben za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali drugih oseb, kadar posameznik, na katerega se nanašajo osebni podatki, fizično ali pravno ni sposoben dati privolitve;

(g) prenos se opravi iz registra, ki je po pravu EU ali pravu države članice namenjen zagotavljanju informacij javnosti in je na voljo za vpogled bodisi javnosti na splošno bodisi kateri koli osebi, ki lahko izkaže zakonit interes, vendar le, če so v posameznem primeru izpolnjeni pogoji za tak vpogled, določeni s pravom EU ali pravom države članice. Dodatno velja omejitev, da prenosi na tej podlagi ne smejo vključevati vseh osebnih podatkov ali celih vrst osebnih podatkov, ki jih vsebuje register. Kadar je register namenjen vpogledu oseb, ki imajo zakonit interes, se prenos opravi samo, če to zahtevajo te osebe ali če bodo te osebe uporabniki.

V kolikor prenos ni možen na podlagi zgoraj navedenih pogojev, se lahko izvede le pod strogo določenimi pogoji, in sicer je prenos v takem primeru možen, če:

  • ni ponovljiv,
  • zadeva le omejeno število posameznikov, na katere se nanašajo osebni podatki,
  • je potreben zaradi nujnih zakonitih interesov, za katere si prizadeva upravljavec in ki ne prevladajo nad interesi ali pravicami in svoboščinami posameznika, ter
  • če je upravljavec predhodno ocenil vse okoliščine v zvezi s prenosom podatkov in na podlagi te ocene predvidel ustrezne zaščitne ukrepe v zvezi z varstvom osebnih podatkov.

Oceno in predvidene ukrepe mora upravljavec oz. obdelovalec dokumentirati v evidenci o obdelavi podatkov skladno s členom 30 Uredbe. Poleg tega mora upravljavec o tem obvestiti nadzorni organ, torej Informacijskega pooblaščenca, posameznikom pa zagotoviti informacije iz členov 13 in 14 Uredbe ter informacije o zadevnem prenosu in nujnih zakonitih interesih zaradi katerih je prenos potreben.

Posebej pa 48. člen Uredbe v zvezi s prenosi, ki potekajo v zvezi s sodbami sodišča in odločb upravnih organov tretje države, ki od upravljavca ali obdelovalca zahtevajo prenos ali razkritje osebnih podatkov, določa, da se te lahko prizna ali izvrši na kateri koli način le, če temeljijo na mednarodnem sporazumu, kot je pogodba o medsebojni pravni pomoči, sklenjenem med tretjo državo prosilko in EU ali državo članico, brez poseganja v druge razloge za prenos na podlagi V. poglavja Uredbe.Več o prenosu podatkov v tretje države lahko preberete še na spletni strani Evropske komisije.