Informacijski pooblaščenec Republika Slovenija
   
dekorativna slika

Prenos osebnih podatkov v tretje države in mednarodne organizacije

+ -

O prenosu oz. iznosu osebnih podatkov v tretje države govorimo takrat, ko upravljavec ali obdelovalec iz Slovenije ali druge države članice Evropske unije (to je lahko tudi podružnica) osebne podatke iz takega ali drugačnega razloga posreduje v države izven Evropske unije (EU) ali Evropskega gospodarskega prostora (EGP; sem sodijo poleg držav EU še: Islandija, Norveška in Lihtenštajn) ali mednarodni organizaciji. O prenosu govorimo tudi takrat, ko je dostop do osebnih podatkov omogočen organizacijam, podjetjem, posameznikom ali drugim subjektom iz tretjih držav izven EGP, pa čeprav so podatki hranjeni znotraj EGP (npr. oddaljen dostop podjetja iz tretje države, ki nudi tehnično podporo).

Za podrobnejše informacije glede prenosov v tretje države in mednarodne organizacije vas napotujemo na smernice glede prenosa.

Za razumljivejši pregled nad dopustnimi podlagami za prenose po Splošni uredbi je Informacijski pooblaščenec izdelal tudi infografiko: PRENOS OSEBNIH PODATKOV PO SPLOŠNI UREDBI V TRETJO DRŽAVO/MEDNARODNO ORGANIZACIJO V 2 KORAKIH 

Splošna uredba predvideva ukrepe, ki zagotavljajo, da osebni podatki ostanejo varovani tudi po prenosu v tretje države oz. mednarodne organizacije. Za zakonito posredovanje osebnih podatkov upravljavcu, obdelovalcu ali uporabniku osebnih podatkov v tretji državi ali mednarodni organizaciji morata biti izpolnjena dva pogoja, in sicer:

1. Za posredovanje oz. dajanje osebnih podatkov na razpolago upravljavcu, obdelovalcu ali uporabniku osebnih podatkov v tretji državi mora obstajati katera izmed pravnih podlag, ki so določene v 6. ter 9. členu Splošne uredbe, za javni sektor pa dodatno še v 6. členu ZVOP-2. Obdelovalcu (pravni ali fizični osebi, ki obdeluje osebne podatke v imenu in na račun upravljavca osebnih podatkov) se lahko osebni podatki posredujejo pod pogoji, določenimi v 28. členu Splošne uredbe.

2. Ob izpolnjenem prvem pogoju je posredovanje osebnih podatkov upravljavcu ali pogodbenemu obdelovalcu v tretji državi ali mednarodni organizaciji dopustno pod pogoji, ki jih ureja V. poglavje Splošne uredbe, in sicer:

  • če Evropska komisija izda odločbo, da država, ozemlje, določen sektor v državi ali mednarodna organizacija, v katero se prenašajo, zagotavlja ustrezno raven varstva osebnih podatkov;
  • če izvoznik podatkov zagotovi ustrezne zaščitne ukrepe v skladu s členom 46 Splošne uredbe ter posameznikom zagotovi izvršljive pravice in učinkovita pravna sredstva;
  • če gre za posebne primere, ki so natančno določeni v členu 48 in 49 Splošne uredbe, v katerih so mogoča odstopanja.

 

I) Države in mednarodne organizacije, ki zagotavljajo ustrezno raven varstva osebnih podatkov

Prenos podatkov v tretjo državo ali mednarodno organizacijo se lahko izvede, če Evropska komisija odloči, da zadevna tretja država, ozemlje, eden ali več določenih sektorjev v tej tretji državi ali mednarodna organizacija zagotavlja ustrezno raven varstva podatkov (člen 45 Splošne uredbe). Za tak prenos osebnih podatkov na podlagi sklepa o ustreznosti ni potrebno posebno dovoljenje Informacijskega pooblaščenca.

Evropska komisija pri ocenjevanju ustreznosti ravni varstva osebnih podatkov v tretji državi ali mednarodni organizaciji upošteva med drugim elemente kot so: načelo pravne države, spoštovanje človekovih pravic in temeljnih svoboščin, pravni okvir za varstvo osebnih podatkov in udejanjanje v praksi, obstoj učinkovito delujočih neodvisnih nadzornih organov, mednarodne zaveze tretje države.

Odločbe, s katerimi je Informacijski pooblaščenec pred uveljavitvijo Splošne uredbe skladno s 66. členom ZVOP-1 ugotovil, da določene tretje države ali mednarodne organizacije zagotavljajo ustrezno raven varstva osebnih podatkov, so bile po 25. 5. 2018 v praksi razveljavljene, saj lahko po veljavni ureditvi odločitve o ustreznosti varstva osebnih podatkov v tretjih državah izdaja le Evropska komisija. Seznam tretjih držav iz 66. člena ZVOP-1 pa je bil z uveljavitvijo ZVOP-2 tudi formalno razveljavljen.

Pritožbe po Sklepu o ustreznosti varstva osebnih podatkov na podlagi okvira za varstvo zasebnosti podatkov med EU in ZDA

 

II) Prenos na podlagi ustreznih zaščitnih ukrepov

Kadar sklep o ustreznosti, s katerim Evropska komisija ugotovi, da tretja država ali mednarodna organizacija zagotavlja ustrezno raven varstva osebnih podatkov, ni sprejet, lahko upravljavec ali obdelovalec prenese osebne podatke v tretjo državo ali mednarodno organizacijo s pomočjo ustreznih zaščitnih ukrepov. Pogoj za to pa je, da izvoznik ugotovi, da je raven varstva osebnih podatkov v tretji državi v okviru konkretnega prenosa podatkov, v bistvu enakovredna ravni varstva podatkov, kot je ta zagotovljena v EU (oz. EGP) in, da imajo posamezniki, na katere se nanašajo preneseni osebni podatki, na voljo izvršljive pravice in učinkovita pravna sredstva.

Ustrezni zaščitni ukrepi se lahko zagotovijo:

  • s pravno zavezujočim in izvršljivim instrumentom, ki ga sprejmejo javni organi ali telesa,
  • z zavezujočimi poslovnimi pravili v skladu s členom 47 (angl. Binding Corporate Rules – BCR),
  • s standardnimi določili o varstvu podatkov, ki jih sprejme Evropska komisija ali nadzorni organ in jih odobri Evropska komisija,
  • z odobrenim kodeksom ravnanja v skladu s členom 40, skupaj z zavezujočimi in izvršljivimi zavezami upravljavca ali obdelovalca v tretji državi, da bo uporabljal ustrezne zaščitne ukrepe, tudi glede pravic posameznikov, na katere se nanašajo osebni podatki, ali
  • z odobrenim mehanizmom potrjevanja v skladu s členom 42, skupaj z zavezujočimi in izvršljivimi zavezami upravljavca ali obdelovalca v tretji državi, da bo uporabljal ustrezne zaščitne ukrepe, tudi glede pravic posameznikov, na katere se nanašajo osebni podatki.

Za takšen prenos podatkov predhodno dovoljenje Informacijskega pooblaščenca ni (več) potrebno.

Ustrezni zaščitni ukrepi pa se lahko s predhodnim dovoljenjem Informacijskega pooblaščenca zagotovijo tudi s:

  • pogodbenimi določili, ki jih izvoznik in uvoznik osebnih podatkov sama določita,
  • določbami, ki se vstavijo v upravne dogovore med javnimi organi ali telesi in v katere so vključene izvršljive in učinkovite pravice za posameznike, na katere se nanašajo podatki.

Odločbe Informacijskega pooblaščenca, ki so bile izdane pred 25. 5. 2018, ostanejo veljavne, dokler jih ta ne spremeni, nadomesti ali razveljavi, če je to potrebno. Enako velja za odločitve Evropske komisije.

V EU še ni razvit in potrjen noben mehanizem certificiranja po členu 42 Splošne uredbe, kar pomeni, da prenos podatkov na tej podlagi trenutno še ni mogoč.

V primeru prenosa osebnih podatkov na podlagi ustreznih zaščitnih ukrepov je izvoznik podatkov dolžan po potrebi zagotoviti dopolnilne zaščitne ukrepe, ki zagotavljajo varovanje zasebnosti ter temeljnih človekovih pravic na enaki ravni, kot je to zagotovljeno v okviru EU. Več o tem v dveh priporočilih EDPB:

 

Prenos na podlagi standardnih določil o varstvu podatkov

Standardne pogodbene klavzule urejajo prenose podatkov od upravljavca ali obdelovalca, ki te podatke obdeluje v skladu s Splošno uredbo, k upravljavcu ali (pod)obdelovalcu, za katerega se pri obdelavi teh podatkov navedena uredba ne uporablja. Klavzule omogočajo dodajanje več kot dveh strank v pogodbeno ureditev, tako med njenim sklepanjem kot tudi kasneje (npr. s pogodbo se lahko naknadno zaveže podobdelovalec).

Standardne pogodbene klavzule so modularnega značaja, kar pomeni, da vključujejo različne scenarije obdelave osebnih podatkov, ki jih pogodbeni stranki izbereta glede na konkretne okoliščine prenosa oziroma glede na to, kdo sta stranki pogodbe:

  • Modul 1: upravljavec prenaša podatke upravljavcu,
  • Modul 2: upravljavec prenaša podatke obdelovalcu,
  • Modul 3: obdelovalec prenaša podatke obdelovalcu,
  • Modul 4: obdelovalec prenaša podlage upravljavcu.

Do vseh štirih modulov standardnih pogodbenih klavzul oziroma do Izvedbenega sklepa Komisije (EU) 2021/914 z dne 4. junija 2021 o standardnih pogodbenih določilih za prenos osebnih podatkov v tretje države v skladu z Splošno uredbo lahko dostopate prek povezave:

https://eur-lex.europa.eu/legal-content/SL/TXT/?uri=uriserv%3AOJ.L_.2021.199.01.0031.01.SLV&toc=OJ%3AL%3A2021%3A199%3ATOC.

V primeru, da izvoznik ugotovi, da tretja država v okviru konkretnega prenosa podatkov ne zagotavlja v bistvu enakovredne ravni varstva podatkov, kot je ta zagotovljena v EU (v tretji državi obstaja npr. možnost dostopa organov pregona do prenesenih podatkov, ki ne ustreza EU standardom), mora sprejeti ustrezne dopolnilne ukrepe (npr. šifriranje podatkov, organizacijski ukrepi itd.) s pomočjo katerih naslovi ocenjeno vrzel in s tem zagotovi, da bodo osebni podatki kljub prenosu v tretjo državo in kljub tamkajšnji pomanjkljivi zakonodaji oz. praksi, vseeno varovani na način, ki je v bistvu enakovreden zagotovljenemu varstvu podatkov v EU. Če ocenjene vrzeli upravljavec z nobenim dopolnilnim ukrepom ali kombinacijo teh ne more nasloviti, potem takega prenosa ne sme izvršiti.

 

Prenos na podlagi zavezujočih poslovnih pravil

Zavezujoča poslovna pravila predstavljajo notranji akt večnacionalnih korporacij, namenjen prenosu podatkov znotraj skupine podjetij, od katerih so določena podjetja locirana v tretjih državah, ki ne zagotavljajo ustreznega varstva osebnih podatkov.

Zavezujoča poslovna pravila (angl. »Binding Corporate Rules« oz. na kratko BCR) morajo biti odobrena s strani vodilnega nadzornega organa v skladu z mehanizmom za skladnost iz člena  63 Splošne uredbe. Odobrena so lahko le pod pogojem, da so pravno zavezujoča za vsakega člana povezane družbe ali skupine podjetij, tudi za zaposlene, da posameznikom izrecno podeljujejo izvršljive pravice v zvezi z obdelavo njihovih podatkov in da izpolnjujejo zahteve iz člena 47/II Splošne uredbe, ki določa minimalno vsebino zavezujočih poslovnih pravil. Dodatno predhodno dovoljenje s strani Informacijskega pooblaščenca pa ni (več) potrebno.

 

III) Prenos podatkov na podlagi odstopanj v posebnih primerih

Če sklep o ustreznosti za določeno državo oz. mednarodno organizacijo iz člena 45 Splošne uredbe ni sprejet in če niso sprejeti ustrezni zaščitni ukrepi v skladu s členom 46, se lahko prenos izvede le v določenih posebnih primerih (člena 48 in 49 Splošne uredbe). Izpolnjen mora biti eden izmed sledečih pogojev:

a) posameznik, na katerega se nanašajo osebni podatki, je izrecno privolil v predlagani prenos, potem ko je bil obveščen o morebitnih tveganjih, ki jih zaradi nesprejetja sklepa o ustreznosti in ustreznih zaščitnih ukrepov takšni prenosi pomenijo zanj;

(b) prenos je potreben za izvajanje pogodbe med posameznikom, na katerega se nanašajo osebni podatki, in upravljavcem ali za izvajanje predpogodbenih ukrepov, sprejetih na zahtevo posameznika, na katerega se nanašajo osebni podatki;

(c) prenos je potreben za sklenitev ali izvajanje pogodbe med upravljavcem in drugo fizično ali pravno osebo, ki je v interesu posameznika, na katerega se nanašajo osebni podatki;

(d) prenos je potreben zaradi pomembnih razlogov javnega interesa;

(e) prenos je potreben za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov;

(f) prenos je potreben za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali drugih oseb, kadar posameznik, na katerega se nanašajo osebni podatki, fizično ali pravno ni sposoben dati privolitve;

(g) prenos se opravi iz registra, ki je po pravu EU ali pravu države članice namenjen zagotavljanju informacij javnosti in je na voljo za vpogled bodisi javnosti na splošno bodisi kateri koli osebi, ki lahko izkaže zakonit interes, vendar le, če so v posameznem primeru izpolnjeni pogoji za tak vpogled, določeni s pravom EU ali pravom države članice. Dodatno velja omejitev, da prenosi na tej podlagi ne smejo vključevati vseh osebnih podatkov ali celih vrst osebnih podatkov, ki jih vsebuje register. Kadar je register namenjen vpogledu oseb, ki imajo zakonit interes, se prenos opravi samo, če to zahtevajo te osebe ali če bodo te osebe uporabniki.

V kolikor prenos ni možen na podlagi zgoraj navedenih pogojev, se lahko izvede le pod strogo določenimi pogoji, in sicer je prenos v takem primeru možen, če:

  • ni ponovljiv,
  • zadeva le omejeno število posameznikov, na katere se nanašajo osebni podatki,
  • je potreben zaradi nujnih zakonitih interesov, za katere si prizadeva upravljavec in ki ne prevladajo nad interesi ali pravicami in svoboščinami posameznika, ter
  • če je upravljavec predhodno ocenil vse okoliščine v zvezi s prenosom podatkov in na podlagi te ocene predvidel ustrezne zaščitne ukrepe v zvezi z varstvom osebnih podatkov.

Oceno in predvidene ukrepe mora upravljavec oz. obdelovalec dokumentirati v evidenci o obdelavi podatkov skladno s členom 30 Splošne uredbe. Poleg tega mora upravljavec o tem obvestiti nadzorni organ, torej Informacijskega pooblaščenca, posameznikom pa zagotoviti informacije iz členov 13 in 14 Splošne uredbe ter informacije o zadevnem prenosu in nujnih zakonitih interesih zaradi katerih je prenos potreben.

Posebej pa 48. člen Splošne uredbe v zvezi s prenosi, ki potekajo v zvezi s sodbami sodišča in odločb upravnih organov tretje države, ki od upravljavca ali obdelovalca zahtevajo prenos ali razkritje osebnih podatkov, določa, da se te lahko prizna ali izvrši na kateri koli način le, če temeljijo na mednarodnem sporazumu, kot je pogodba o medsebojni pravni pomoči, sklenjenem med tretjo državo prosilko in EU ali državo članico, brez poseganja v druge razloge za prenos na podlagi V. poglavja Splošne uredbe. Več o prenosu podatkov v tretje države lahko preberete še na spletni strani Evropske komisije.

PRENOSI DOLOČENIH OSEBNIH PODATKOV PO ZVOP-2

Določbe ZVOP-2 o prenosih se nanašajo le na zelo ozek krog obdelav osebnih podatkov, in sicer zgolj na tiste obdelave, ki se vršijo na področjih zunaj uporabe prava EU, torej na področjih, ki so popolnoma ali delno v samostojni pristojnosti Republike Slovenije. Gre na primer za področja državne varnosti in obrambe države, med taka področja pa sodi tudi obdelava podatkov o umrlih.

Določbe ZVOP-2 v zvezi s prenosi se torej nanašajo zgolj na upravljavce kot sta npr. SOVA, OVS in Ministrstvo za obrambo, v delu mednarodnih civilnih misij tudi na Ministrstvo za zunanje zadeve, na upravljavce, ki želijo v tretjo državo prenesti podatke o umrlih itd. Za vse ostale upravljavce in obdelovalce, ki so zavezanci po Splošni uredbi, se v celoti uporabljajo zgolj določbe V. poglavja Splošne uredbe, torej členi od 44 do 49.

Osebni podatki se lahko skladno z določbami ZVOP-2 v tretje države in mednarodne organizacije, pa tudi v druge države članice EU, prenašajo:

  • skladno z odločbami 45. in 46. člena Splošne uredbe,
  • če tako določa nek drug zakon (npr. ZSOVA, ZObr), ob smiselni uporabi določb členov 44, 45(2), 48 in 49 Splošne uredbe,
  • če so bili sprejeti ustrezni zaščitni ukrepi iz tretjega odstavka 46. člena Splošne uredbe (potrebno dovoljenje IP) – ne velja za prenos osebnih podatkov, ki se izvaja za namene varnosti države,
  • izjemoma, po določbah četrtega odstavka 67. člena ZVOP-2 (treba obvestiti IP) – ne velja za prenos osebnih podatkov, ki se izvaja za namene varnosti države.