Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 01.03.2019
Naslov: Prenos v tretjo državo na podlagi standardnih pogodbenih klavzul
Številka: 0712-1/2019/433
Vsebina: Prenos osebnih podatkov v tretje države ali mednarodne organizacije
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je po elektronski pošti prejel vaš dopis, v katerem nam pojasnjujete, da bi radi sklenili pogodbo za zakup storitev v oblaku (SaaS) s podjetjem Snowflake. Podjetje ima sedež v ZDA in je samo-certificirano v sklopi sporazuma »ščit zasebnosti«. Podjetje ima dva pogodbena obdelovalca, pri katerih je mogoče zakupiti strežniške kapacitete, oba imata sedež v ZDA. Lokacijo strežnikov si lahko sami izberete, vi bi izbrali v EU. Nadalje pojasnjujete, da je v drugi pogodbi določeno, da lahko podjetje Snowflake ali njeni pod-obdelovalci obdelujejo te podatke v katerikoli državi (ne glede na vašo izbiro lokacije). Zanima vas, ali potrebujete dovoljenje IP v primeru sklenitve standardnih pogodbenih klavzul.

***

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

Za prenos osebnih podatkov v tretjo državo ali mednarodno organizacijo na podlagi standardnih pogodbenih določil, ki jih je pripravila Evropska komisija, ni potrebno pridobiti posebnega dovoljenja IP (člen 46(2)(c) Splošne uredbe).

 

Prenos osebnih podatkov v ZDA je možen na podlagi zasebnostnega ščita EU-ZDA. Zasebnostni ščit EU-ZDA, na podlagi katerega je Evropska komisija sprejela sklep o ustreznosti, namreč v skladu z določbami 45. člena Splošne uredbe že sam predstavlja zadostno zagotovilo o ustrezni ravni varstva osebnih podatkov po njihovem prenosu organizacijam iz ZDA, samo-certificiranim v okviru Zasebnostnega ščita EU-ZDA (seznam je dostopen tukaj: https://www.privacyshield.gov/list). V takem primeru ne potrebujete posebnega dovoljenja s strani IP.

 

Upravljavec ali obdelovalec lahko osebne podatke prenese v tretjo državo ali mednarodno organizacijo tudi, če je sprejel ustrezne zaščitne ukrepe, med katere v skladu s točko c drugega odstavka člena 46 Splošne uredbe sodijo tudi sprejeta standardna pogodbena določila, ki jih je sprejela Evropska komisija, in to brez posebnega dovoljenja nadzornega organa. To pomeni, da v primeru prenosa osebnih podatkov na podlagi standardnih pogodbenih klavzul ni potrebno za to pridobiti posebnega dovoljenja IP. IP ob tem opozarja, da morajo biti standardne pogodbene klavzule uporabljane v celoti in nespremenjene. Če so vključene v sistem drugih pogodbenih določil, jim druga pogodbena določila ne smejo nasprotovati. V nasprotnem primeru, oziroma, če prenos temelji na pogodbi, ki ne vsebuje zgoraj omenjenih standardnih pogodbenih določil v celoti in nespremenjenih, je za zakonit prenos osebnih podatkov v tretjo državo potrebno pridobiti predhodno dovoljenje IP (člen 46(3)(a) Splošne uredbe).

 

IP sklepno pojasnjuje, da standardne pogodbene klavzule za prenos podatkov od upravljavca k pogodbenemu obdelovalcu določajo tudi pravila in varovala glede pod-obdelave osebnih podatkov. Obdelovalec mora bodisi pridobiti vaše predhodno posebno ali splošno pisno pooblastilo, da lahko posamezna opravila obdelave osebnih podatkov prenese na pod-obdelovalca in z njim sklene ustrezno pogodbo, ali pa morajo upravljavec, obdelovalec in pod-obdelovalec skleniti ustrezno tripartitno pogodbo. Namen določb je v tem, da upravljavec ohrani nadzor nad osebnimi podatki.

 

IP vas na koncu napotuje tudi na svoje smernice o prenosu podatkov v tretje države in mednarodne organizacije, kjer lahko najdete podrobnejša pojasnila glede prenosov:

https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_glede_prenosa_OP_v_tretje_drzave_in_mednarodne_organizacije_po_Splosni_uredbi.pdf.

 

V upanju, da ste dobili odgovor na svoje vprašanje, vas lepo pozdravljamo.

 

 

                                                                                               Mojca Prelesnik, univ.dipl.prav.,                                                 

                                                                                               informacijska pooblaščenka

 

Pripravila:                                                                                                                              

Neja Domnik, mag. prav.,

raziskovalka pri IP