Informacijski pooblaščenec Republika Slovenija
SLO | ENG

Iznos osebnih podatkov v ZDA

+ -

Združene države Amerike so uvrščene na listo tretjih držav, ki zagotavljajo ustrezno raven varstva osebnih podatkov, in sicer, ko gre za osebne podatke, ki se prenašajo v okviru zasebnostnega ščita EU-ZDA (odločba št. 0601-3/2017/2, z dne 20. 3. 2017).

Tako upravljavci osebnih podatkov v Sloveniji, ki za obdelavo osebnih podatkov uporabljajo storitve pogodbenih partnerjev iz ZDA, za prenos osebnih podatkov ne potrebujejo posebnega dovoljenja Informacijskega pooblaščenca, če je pogodbeni partner ustrezno samo-certificiran v okviru zasebnostnega ščita (Privacy Shield). Zasebnostni ščit je v uporabi od 1. 8. 2016 in je nadomestil prej veljavni dogovor Varni pristan.

Vloga zasebnostnega ščita EU–ZDA je, da dovoljuje iznos osebnih podatkov iz EU podjetju v ZDA, če jih to podjetje tam obdeluje (npr. uporablja, hrani ali prenaša naprej) v skladu z nizom strogih pravil o varstvu podatkov in zaščitnih ukrepov zanje. Osebni podatki se varujejo ne glede na to, ali gre za državljana EU ali ne.

Številni upravljavci osebnih podatkov uporabljajo storitve pogodbenih partnerjev iz ZDA, to pa lahko pomeni obdelavo osebnih podatkov npr. njihovih strank, zaposlenih, uporabnikov in prenos teh osebnih podatkov v ZDA. Vsem upravljavcem iz EU (torej tudi upravljavcem iz Slovenije), ki osebne podatke iznašajo podjetjem v ZDA, je torej zdaj za zakonit iznos osebnih podatkov v ZDA poleg drugih mehanizmov na voljo uporaba mehanizma tega dogovora in zagotavljanje varstva na podlagi vključitve 'partnerskega podjetja iz ZDA' v shemo zasebnostnega ščita. Če želite preveriti ali je določena organizacija samo-certificirana v okviru zasebnostnega ščita, to lahko storite na tej povezavi.

Zasebnostni ščita EU-ZDA temelji na naslednjih načelih:
•    Obveznosti za podjetja, ki obdelujejo osebne podatke: ameriško ministrstvo za trgovino bo  izvajalo redne posodobitve in preglede sodelujočih podjetij in  s tem zagotavljalo, da podjetja spoštujejo predpise, ki so jih sprejela. Če podjetja teh predpisov ne bodo spoštovala v praksi, se jim lahko naložijo sankcije, celo črtanje s seznama. Zaostritev pogojev za nadaljnje prenose podatkov tretjim osebam naj bi zagotavljala enako raven varstva v primeru prenosa podatkov iz podjetja, ki sodeluje v Ščitu zasebnosti.
•    Jasni zaščitni ukrepi in obveznosti glede preglednosti za dostop do podatkov s strani vlade ZDA: ZDA naj bi dale EU zagotovilo, da za dostop javnih organov za namene kazenskega pregona in nacionalne varnosti veljajo jasne omejitve, zaščitni ukrepi in nadzorni mehanizmi. Masovni zajem podatkov bo mogoč le v izjemnih primerih.
•    Vsakemu v EU naj bi bili na tem področju prvič na voljo mehanizmi pravnega varstva: bodisi preko pritožbe organizaciji sami, preko možnosti alternativnega reševanja spora, ali preko nadzornega organa za varstvo osebnih podatkov v EU ali arbitraže.
•    Vzpostavitev možnosti pravnega varstva na področju nacionalne obveščevalne dejavnosti za evropske državljane naj bi se zagotavljala prek mehanizma varuha pravic na ameriškem ministrstvu za zunanje zadeve. Obrazec za podajo zahtevka varuhu pravic je na voljo na tej povezavi.
•    Letni skupni pregled zasebnostnega ščita bosta izvajala Evropska komisija in ameriško ministrstvo za trgovino v sodelovanju s strokovnjaki za obveščevalne službe in nadzornimi organi za varstvo osebnih podatkov iz EU. Prvi tovrsten pregled bo izveden jeseni 2017.

Več o zasebnostnem ščitu EU-ZDA v priročniku, ki ga je pripravila Evropska komisija in je na voljo na spletni strani: ec.europa.eu/justice/data-protection/files/eu-us_privacy_shield_guide_sl.pdf.

Več informacij lahko najdete na spletni strani Evropske komisije.

Odločba o ustreznosti Zasebnostnega ščita je dostopna na tej povezavi.