Informacijski pooblaščenec Republika Slovenija
SLO | ENG

Iskalnik po odločbah in mnenjih GDPR

+ -
Datum: 14.05.2019
Naslov: Uporaba osebnih podatkov pridobljenih od podjetja iz ZDA
Številka: 0712-1/2019/825
Vsebina: Razno
Pravni akt: Mnenje

obrnili ste se na Informacijskega pooblaščenca RS (v nadaljevanju IP) s svojim zaprosilom za mnenje. Zanima vas, ali lahko podjetje, ki posluje v EU in je prejelo osebne podatke od družbe iz ZDA, te podatke uporabi. Pojasnjujete tudi, da je ameriško podjetje s svojo izjavo potrdilo, da dovoljujejo uporabo podatkov njihovih kupcev. Ker menite, da lahko soglasje za uporabo njegovih podatkov poda le posameznik na kogar se podatki nanašajo, vas zanima ali lahko podjetje iz EU te podatke uporabi za svoj namen. Zanima vas tudi ali mora podjetje, ki deluje v Evropi spoštovati Splošno uredbo le za evropski trg ali tudi za ameriškega, ki ni zavezanec Splošne uredbe o varstvu podatkov.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

 

IP uvodoma pojasnjuje, da mora upravljavec za obdelavo osebnih podatkov skladno s pravili Splošne uredbe vselej zagotoviti ustrezno pravno podlago. Dopustne pravne podlage za obdelavo osebnih podatkov so navedene v členu 6 (1) Splošne uredbe pri čemer je privolitev kot podlaga le ena od dopustnih pravnih podlag za obdelavo osebnih podatkov. V konkretnem primeru, ki ga opisujete (ko podjetje iz EU prejme bazo osebnih podatkov kupcev ameriškega podjetja), lahko podjetje iz EU to bazo uporabi za svoj namen le, če za to zagotovi ustrezno pravno podlago. IP sicer ne izključuje možnosti, da takšna pravna podlaga lahko obstaja (npr. da je podjetje iz ZDA od svojih strank pridobilo privolitev skladno z Splošno uredbo, ki jim omogoča, da za specificiran namen njihove podatke posreduje partnerju iz EU, ki to bazo uporablja za svoj namen) –glede na dejstvo, da je zakonodaja v ZDA glede varstva osebnih podatkov povečini mnogo manj restriktivna kot zakonodaja EU, pa ni nujno, da v konkretnem primeru obstaja ustrezna pravna podlaga, na katero bi se lahko naslonilo podjetje iz EU za uporabo podatkov strank ameriškega podjetja za svoj namen. V vsakem primeru, pa bi moralo podjetje iz EU pred uporabo takšne baze preveriti, ali obstaja pravna podlaga skladna s Splošno uredbo. Izjava podjetja iz ZDA, ki jo omenjate v vprašanju, pa verjetno ne zatrjuje obstoja ustrezne pravne podlaga za obdelavo osebnih podatkov skladno s Splošno uredbo, temveč verjetno zgolj nakazuje na to, da se podjetje iz ZDA odreka uveljavljanju morebitnih poslovnih interesov, ki jih lahko ima v zvezi z bazo osebnih podatkov svojih strank.

 

Glede vašega vprašanja, ali mora podjetje, ki deluje v Evropi spoštovati Splošno uredbo le za evropski trg ali tudi za ameriškega, IP pojasnjuje, da se Splošna uredba uporablja za obdelave osebnih podatkov, ki potekajo v okviru dejavnosti ustanovitve upravljavca ali obdelovalca v Uniji, ne glede na to ali obdelava poteka v Uniji ali ne (člen 3(1) Splošne uredbe). Navedeno dalje pojasnjuje tudi uvodna določba 22 Splošne uredbe, po kateri bi morala biti vsaka obdelava osebnih podatkov v okviru dejavnosti ustanovitve upravljavca ali obdelovalca v Uniji izvedena v skladu s to uredbo, ne glede na to, ali sama obdelava poteka v Uniji. Ustanovitev pomeni, da se dejavnosti izvajajo dejansko in učinkovito prek ustaljenih ureditev. Pravna oblika takih ureditev, bodisi prek izpostave bodisi prek podružnice, ki je pravna oseba, v tem pogledu ni odločujoči dejavnik. Glede na navedeno lahko zaključimo, da je podjetje, ki posluje iz EU, ne glede na to ali ponuja izdelke na ameriški ali na evropski trg, zavezano v celoti spoštovati tudi Splošno uredbo. Zgolj dejstvo, da podjetje obdeluje podate oseb, ki niso iz EU, ne vpliva na veljavnost Splošne uredbe in s tem pristojnost EU nadzornih organov za nadzor nad obdelavo osebnih podatkov ki se izvajajo v okviru tega podjetja.

 

Lep pozdrav,

 

Mojca Prelesnik

informacijska pooblaščenka