Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 08.05.2020
Naslov: Prenos OP javnih uslužbencev zavarovalnici v ZDA
Številka: 07120-1/2020/344
Vsebina: Pogodbena obdelava podatkov, Pravne podlage, Prenos osebnih podatkov v tretje države ali mednarodne organizacije
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je prejel vaš dopis, v katerem navajate, da želi … z ameriško zavarovalnico za zobozdravstvene storitve za napotene slovenske javne uslužbence skleniti zavarovalno pogodbo. Ker bi pri izvajanju pogodbe prišlo do prenosa osebnih podatkov javnih uslužbencev v tretjo državo (ZDA), izbrana zavarovalnica pa ni samocertificirana v okviru sporazuma "zasebnostni ščit EU-ZDA", je … zavarovalnici predlagalo podpis standardnih pogodbenih klavzul za prenos osebnih podatkov od upravljavca iz EU/EGS k upravljavcu v tretji državi, s čimer pa se izbrana zavarovalnica ni strinjala. Zavarovalnica ima sprejeta svoja pravila o varovanju osebnih podatkov v skladu z zakonodajo ZDA, ki ste jih priložili svojemu zaprosilu, in navedli, da po vaših informacija ne gre za zavezujoča poslovna pravila (BCR). Navajate, da v kolikor pravilno razumete postopek, bi v takšnem primeru izvoznik osebnih podatkov (predvidevate, da je to … in ne …) moral pri Informacijskem pooblaščencu vložiti vlogo za prenos osebnih podatkov v tretje države ali mednarodne organizacije, ki bi ji priložili pravila zavarovalnice o varovanju osebnih podatkov. Glede na to, da je prenos osebnih podatkov v tretjo državo v izrecno korist javnih uslužbencev, na katere se ti osebni podatki nanašajo, saj bodo s tem pridobili ustrezno zdravstveno zavarovanje, vas zanima tudi, ali bi bilo možno prenesti osebne podatke zavarovalnici tudi na drugi podlagi, na primer na podlagi izrecnega soglasja javnega uslužbenca.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

Za zakonito posredovanje osebnih podatkov upravljavcu, obdelovalcu ali uporabniku osebnih podatkov v tretji državi ali mednarodni organizaciji morata biti izpolnjena dva pogoja, in sicer:

 

1.    Za posredovanje oz. dajanje osebnih podatkov na razpolago upravljavcu, obdelovalcu ali uporabniku osebnih podatkov v tretji državi mora obstajati katera izmed pravnih podlag, ki so določene v 6. ter 9. členu Splošne uredbe o varstvu podatkov, za javni sektor pa dodatno še v 9. členu ZVOP-1. Obdelovalcu (pravni ali fizični osebi, ki obdeluje osebne podatke v imenu in na račun upravljavca osebnih podatkov) se lahko osebni podatki posredujejo pod pogoji, določenimi v 28. členu Uredbe.

 

2.    Ob izpolnjenem prvem pogoju je posredovanje osebnih podatkov upravljavcu ali pogodbenemu obdelovalcu v tretji državi ali mednarodni organizaciji dopustno pod pogoji, ki jih ureja V. Poglavje Splošne uredbe o varstvu podatkov, in sicer:
a)    če Evropska komisija izda odločbo, da država, ozemlje, določen sektor v državi ali mednarodna organizacija, v katero se prenašajo, zagotavlja ustrezno raven varstva osebnih podatkov (člen 45 Splošne uredbe o varstvu podatkov);
b)    če izvoznik podatkov zagotovi ustrezne zaščitne ukrepe ter posameznikom zagotovi izvršljive pravice in učinkovita pravna sredstva na podlagi členov 46 in 47 Splošne uredbe o varstvu podatkov; 
c)    če gre za posebne primere, ki so določeni v členu 49 Splošne uredbe o varstvu podatkov, v katerih so mogoča odstopanja.
 

 

Za ZDA je Evropska komisija sicer izdala odločbo o zagotavljanju ustrezne ravni varstva osebnih podatkov, vendar pa se ta nanaša le na okvir t.i. zasebnostnega ščita EU-ZDA, glede česar pa navajate, da izbrana zavarovalnica ni samocertificirana v tem okviru.

 

Na podlagi zapisnega v vašem dopisu IP meni, da bi najprimernejšo pravno podlago za prenos osebnih podatkov v konkretnem primeru predstavljala sklenitev t.i. standardnih pogodbenih klavzul (SPK), pripravljenih s strani Evropske komisije (točka c. drugega odstavka člena 46 Splošne uredbe o varstvu podatkov). Takšen način prenosa podatkov v tretjo državo je hiter in enostaven in pri tem upravljavcu ni treba pridobiti predhodnega dovoljenja IP. V kolikor uvozniku taka rešitev ne odgovarja, je sicer na voljo tudi pravna podlaga za prenos po točki a. tretjega odstavka člena 46, torej sklenitev pogodbenih določil, ki jih izvoznik in uvoznik osebnih podatkov sama določita, glede česar pa je treba izpostaviti, da je pred prenosom na tej pravni podlagi treba pridobiti predhodno dovoljenje IP, sam postopek pa je zaradi dejstva, da se v tem primeru uporabi mehanizem za skladnost iz člena 63 Splošne uredbe o varstvu podatkov, precej dolgotrajen.

 

Za konkretni prenos osebnih podatkov v ZDA pa bi v poštev prišla tudi katera od pravnih podlag iz prvega odstavka člena 49 Splošne uredbe o varstvu podatkov, ki določa, da se prenos v določenih posebnih primerih lahko izvede tudi, če je izpolnjen eden izmed sledečih pogojev:

a)    posameznik, na katerega se nanašajo osebni podatki, je izrecno privolil v predlagani prenos, potem ko je bil obveščen o morebitnih tveganjih, ki jih zaradi nesprejetja sklepa o ustreznosti in ustreznih zaščitnih ukrepov takšni prenosi pomenijo zanj;
b)    prenos je potreben za izvajanje pogodbe med posameznikom, na katerega se nanašajo osebni podatki, in upravljavcem ali za izvajanje predpogodbenih ukrepov, sprejetih na zahtevo posameznika, na katerega se nanašajo osebni podatki;
c)    prenos je potreben za sklenitev ali izvajanje pogodbe med upravljavcem in drugo fizično ali pravno osebo, ki je v interesu posameznika, na katerega se nanašajo osebni podatki;
d)    prenos je potreben zaradi pomembnih razlogov javnega interesa;
e)    prenos je potreben za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov;
f)    prenos je potreben za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali drugih oseb, kadar posameznik, na katerega se nanašajo osebni podatki, fizično ali pravno ni sposoben dati privolitve;
g)    prenos se opravi iz registra, ki je po pravu EU ali pravu države članice namenjen zagotavljanju informacij javnosti in je na voljo za vpogled bodisi javnosti na splošno bodisi kateri koli osebi, ki lahko izkaže zakonit interes, vendar le, če so v posameznem primeru izpolnjeni pogoji za tak vpogled, določeni s pravom EU ali pravom države članice. Dodatno velja omejitev, da prenosi na tej podlagi ne smejo vključevati vseh osebnih podatkov ali celih vrst osebnih podatkov, ki jih vsebuje register. Kadar je register namenjen vpogledu oseb, ki imajo zakonit interes, se prenos opravi samo, če to zahtevajo te osebe ali če bodo te osebe uporabniki.

 

Določba tretjega odstavka člena 49 Splošne uredbe o varstvu podatkov sicer izključi uporabo točk a., b. in c. prvega odstavka člena 49 v primerih izvajanja javnih pooblastil, vendar pa, kot je razumeti iz vašega dopisa, v konkretnem primeru ne gre za prenos osebnih podatkov v okviru dejavnosti, ki jo opravlja upravljavec (…) pri izvajanju svojih javnih pooblastil, temveč gre za izvrševanje pravic in obveznosti iz delovnega razmerja pri delodajalcu, zato se določba tretjega odstavka člena 49 v konkretni zadevi ne uporabi.  

 

Glede prenosa na podlagi ene od izjem iz prvega odstavka člena 49 Splošne uredbe o varstvu podatkov velja izpostaviti še, da je skladno s členom 44 določbe Poglavja V treba uporabiti tako, da raven varstva posameznikov, ki jo zagotavlja Splošna uredba o varstvu podatkov, ni ogrožena, kar pomeni, da tudi uporaba izjem iz člena 49 nikoli ne sme povzročiti kršitve temeljnih pravic.

 

Predlagamo vam, da si o podrobnostih pravnega okvira za prenos podatkov na podlagi člena 49 Splošne uredbe o varstvu podatkov preberete v smernicah Evropskega odbora za varstvo podatkov »Smernice št. 2/2018 o odstopanjih iz člena 49 v skladu z Uredbo (EU) 2016/679«, ki so dostopne na tej spletni povezavi: https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_2_2018_derogations_sl.pdf.

 

Kot ustrezna pravna podlaga iz prvega odstavka člena 49 Splošne uredbe o varstvu podatkov se, tudi z vidika dejstva, da skladno z recitalom 111 tak prenos ni omejen na »občasne« prenose, v konkretnem primeru zdi točka a), ki zahteva izrecno in konkretno privolitev posameznika ter obvestilo o morebitnih tveganjih, ki jih tak prenos pomeni zanj. V vsakem primeru pa je odločitev o izbiri pravne podlage za prenos podatkov v tretjo državo odgovornost upravljavca/izvoznika podatkov, ki naj pri tem izhaja iz konkretnih potreb, predvsem pa iz dejanskega stanja zadev.

 

S spoštovanjem,

 

 

Pripravila:

mag. Eva Kalan Logar,

vodja državnih nadzornikov

 

 

Mojca Prelesnik, univ. dipl. prav.,

informacijska pooblaščenka