Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 28.06.2019
Naslov: Prenos v tretje države na podlagi 49. člena
Številka: 0712-1/2019/1378
Vsebina: Delovna razmerja, Prenos osebnih podatkov v tretje države ali mednarodne organizacije
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je prejel vaše zaprosilo za mnenje v zvezi s posredovanjem osebnih podatkov v tretje države na podlagi določbe prvega odstavka 49. člena Splošne uredbe o varstvu podatkov. Navajate, da narava dejavnosti vaše stranke, ki ima sedež v Sloveniji, zahteva zagotavljanje stroge protikorupcijske politike in politike preprečevanja nasprotja interesov, zato je bila za zaposlene sestavljena izjava v zvezi s posredovanjem osebnih podatkov, ki jo mora podpisati vsak zaposleni, s čimer se ta zaveže, da bo v primeru zaposlitve njegovega družinskega člana v javni upravi ali kateremkoli organu, ki se financira iz javnih sredstev, o tem brez odlašanja obvestil direktorja družbe. Pri tem ta slovenska družba ne bi bila edini upravljavec zbranih osebnih podatkov, temveč bi bili osebni podatki posredovani tudi njenim pogodbenim partnerjem iz tretjih držav. Prosite za mnenje, ali je mogoče namen, s katerim se bodo osebni podatki zbirali in obdelovali (tj. preprečiti korupcijo, nezakonite in nelegitimne posle, zlorabe položaja in nasprotja interesov) interpretirati kot »nujen zakoniti interes«, za katerega si prizadevajo upravljavci in bi bilo tako mogoče zakonitost posredovanja osebnih podatkov v tretje države s strani slovenske družbe utemeljiti na podlagi prvega odstavka 49. člena Splošne uredbe.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

Za prenos osebnih podatkov v tretje države mora najprej obstajati zakonita pravna podlaga za samo zbiranje in obdelavo osebnih podatkov s strani izvoznika podatkov. IP glede tega izraža dvom v zakonitost zbirke osebnih podatkov zaposlenih ter njihovih družinskih članov, ki bi nastala na podlagi privolitve zaposlenih. Osebni podatki se namreč v okviru delovnega razmerja lahko obdelujejo le, če tako določa zakon ali pa če je to potrebno zaradi uresničevanja pravic in obveznosti iz ali v zvezi z delovnim razmerjem. Prav tako lahko privolitev v obdelavo osebnih podatkov poda le posameznik, na katerega se osebni podatki nanašajo; privolitve ni mogoče dati v imenu tretje osebe.

 

Če bi upravljavec vseeno uspel izkazati zakonitost predmetne zbirke osebnih podatkov, ki bi jo želel prenesti v tretje države, pa se IP poraja tudi dvom v to, da je v konkretnem primeru določba prvega pododstavka 49(1) primerna pravna podlaga za prenos. Tudi če bi namreč izvoznik zagotovil vsem ostalim v mnenju pojasnjenim pogojem tega člena, IP iz posredovanih informacij ne more razbrati, zakaj v konkretnem primeru ne bi bilo mogoče uporabiti nobene druge podlage za prenos (npr. standardne pogodbene klavzule) in bi bil prenos na podlagi prvega pododstavka 49(1) dejansko edina preostala možnost.

 

IP uvodoma poudarja, da v okviru mnenja ne more presojati ustreznosti določene obdelave osebnih podatkov z vidika skladnosti z obstoječimi predpisi. Presojo o ustreznosti lahko izvede le v okviru konkretnega inšpekcijskega ali drugega upravnega postopka, in sicer le v delu zakonite obdelave osebnih podatkov, za katerega je pristojen.

 

Na splošno pa velja pojasniti, da je treba pri uporabi določb Splošne uredbe o prenosu osebnih podatkov v tretje države upoštevati, da mora izvoznik podatkov v skladu s členom 44 izpolnjevati tudi pogoje drugih določb Splošne uredbe. Vsaka dejavnost obdelave mora biti skladna z ustreznimi določbami o varstvu podatkov, zlasti členoma 5 in 6. Zato je treba pri presoji zakonitosti nameravanega prenosa uporabiti preizkus v dveh korakih: (1) za obdelavo podatkov mora obstajati pravna podlaga kot taka, skupaj z vsemi ustreznimi določbami Splošne uredbe, in (2) upoštevane morajo biti določbe poglavja V.

 

V konkretnem primeru je torej v prvi fazi treba presoditi zakonitost samega zbiranja in obdelave osebnih podatkov s strani slovenske družbe. Iz informacij, ki ste nam jih posredovali, izhaja, da bi se osebni podatki družinskih članov zaposlenih zbirali na podlagi izjave, ki jo bo moral podpisati vsak zaposleni. Poudariti je treba, da se osebni podatki v okviru delovnega razmerja skladno z določbami 48. člena ZDR-1 lahko zbirajo, obdelujejo, uporabljajo in posredujejo tretjim osebam le na podlagi zakona ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Iz vašega dopisa ni jasno razvidna zakonska podlaga za obdelavo predmetnih osebnih podatkov, zato poudarjamo, da je zbiranje osebnih podatkov zaposlenih na podlagi njihove privolitve sicer v določenih primerih resda lahko zakonito, vendar pa zaposleni v tako obdelavo nikakor ne more biti prisiljen (izjava, ki jo »mora podpisati« vsak zaposleni). Privolitev je namreč skladno s členom 4(11) Splošne uredbe prostovoljna izjava volje posameznika. V kolikor bi se obdelava predmetnih osebnih podatkov vršila zaradi uresničevanja pravic in obveznosti iz ali v zvezi z delovnim razmerjem pa velja izpostaviti, da mora taka obdelava upoštevati načelo najmanjšega obsega podatkov, ki določa, da morajo biti pod pogojem, da obstaja pravna podlaga, osebni podatki, ki se obdelujejo, ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Navedeno načelo pomeni, da je dovoljeno obdelovati samo toliko osebnih podatkov, kolikor je nujno potrebno za dosego zakonitega namena obdelave.

 

Izpostaviti pa velja še en vidik, in sicer vprašanje zakonitosti zbiranja osebnih podatkov o tretjih osebah. Navajate, da bi morali zaposleni na podlagi podpisane izjave delodajalcu posredovati ne le svoje osebne podatke, temveč tudi osebne podatke svojih družinskih članov. Iz vašega dopisa nikjer ne izhaja, da bi zaposleni za tako posredovanje osebnih podatkov svojih družinskih članov svojemu delodajalcu nujno razpolagali s prostovoljnimi, konkretnimi, informiranimi in nedvoumnimi privolitvami teh posameznikov. Poudariti velja, da je obdelava osebnih podatkov, ki temelji na privolitvi, lahko zakonita le v primeru, če je privolitev podal posameznik, na katerega se osebni podatki, ki se bodo obdelovali, nanašajo. Privolitve, kot pravne podlage za obdelavo podatkov, torej ni mogoče dati v imenu tretje osebe.

 

Na podlagi navedenega IP izraža dvom v zakonitost samega zbiranja osebnih podatkov od zaposlenih  s strani slovenske družbe, če za to ni ustrezne druge pravne podlage (morda podlaga zakonitih interesov iz točke f člena 6(1) Splošne uredbe).

 

Šele in če bi vseeno uspeli izkazati zakonitost predmetne obdelave osebnih podatkov zaposlenih in njihovih družinskih članov s strani slovenske družbe, pa bi se v naslednji fazi presojalo še izpolnjevanje drugega pogoja, in sicer upoštevanje določb poglavja V Splošne uredbe.

 

V skladu v poglavjem V je prenos osebnih podatkov v tretje države zakonit v naslednjih primerih:

  • na podlagi sklepa Evropske komisije o ustreznosti;
  • na podlagi ustreznih zaščitnih ukrepov (pod pogojem, da imajo posamezniki na voljo izvršljive pravice in ustrezna pravna sredstva) – npr. zavezujoča poslovna pravila iz člena 47; standardna določila o varstvu podatkov, ki jih sprejme oz. potrdi Komisija; certifikati; kodeksi ravnanja; ad hoc pogodbena določila itd.;
  • na podlagi ene od izjem iz člena 49.

 

Navajate, da bi želeli nameravani prenos podatkov v tretje države opraviti zaradi nujnih zakonitih interesov, za katere si prizadevajo upravljavci (preprečevanje korupcije, preprečevanje nezakonitih poslov, zlorabe položaja in nasprotja interesov). Prvi pododstavek 49(1) v zvezi s prenosi zaradi izpolnjevanja nujnih zakonitih interesov upravljavca jasno navaja pogoje, ki morajo biti pri tem izpolnjeni, in sicer:

  • tak prenos je lahko zakonit le kot zadnja možnost, torej le v primeru kadar podlaga za prenos ne morejo biti določbe iz člena 45 ali 46 in ne velja nobeno od odstopanj v posebnih primerih iz prvega pododstavka prvega odstavka tega člena;
  • tak prenos ni ponavljajoč;
  • tak prenos zadeva le omejeno število posameznikov;
  • je potreben zaradi nujnih zakonitih interesov upravljavca;
  • nad temi nujnimi zakoniti interesi upravljavca ne prevladajo interesi ali pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki;
  • da upravljavec oceni vse okoliščine v zvezi s prenosom podatkov in na podlagi te ocene predvidi ustrezne zaščitne ukrepe v zvezi z varstvom osebnih podatkov;
  • da upravljavec dokumentira oceno in ustrezne zaščitne ukrepe v evidenci iz člena 30;
  • da upravljavec o takem prenosu obvesti nadzorni organ, v Sloveniji torej Informacijskega pooblaščenca;
  • da upravljavec o takem prenosu obvesti posameznika, pri čemer mu poleg informacij iz členov 13 in 14 zagotovi tudi informacije o zadevnem prenosu in nujnih zakonitih interesih, za katere si prizadeva.

 

Kot prvo, prenosi na podlagi drugega pododstavka 49(1) so zakoniti le v izjemnih primerih, torej kadar ni mogoče uporabiti nobenih drugih podlag za prenos. Upravljavec mora biti torej zmožen dokazati, da prenosa ni bilo mogoče uokviriti z ustreznimi zaščitnimi ukrepi iz člena 46 niti uporabiti enega od odstopanj iz prvega pododstavka 49(1). Pri tem se IP zastavlja vprašanje, zakaj ne bi bilo v konkretnem primeru mogoče uporabiti npr. standardnih določil o varstvu podatkov iz 46(2)c oz. d., torej standardnih pogodbenih klavzul za prenos osebnih podatkov drugim upravljavcem v tretjih državah: https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en.

 

Kot drugo, IP meni, da nameravani prenos osebnih podatkov ne bi bilo mogoče opredeliti kot neponavljajoč. Res je sicer, da Splošna uredba ne zahteva, da je prenos le enkraten, vendar pa mora biti skladno s Smernicami EDPB št. 2/2018 tak prenos zunaj običajnega delovanja, npr. v naključnih, neznanih okoliščinah in v okviru samovoljnih časovnih intervalov. Prenos, ki poteka redno v okviru vzpostavljenega odnosa med izvoznikom in uvoznikom podatkov, se šteje za sistematičnega in ponavljajočega ter zato ni občasen in neponavljajoč.

 

Tretjič, predmetni prenos osebnih podatkov po mnenju IP ne zadeva le omejenega števila posameznikov temveč potencialno prav vse zaposlene pri izvozniku podatkov.

 

Četrtič, relevantni so le nujni zakoniti interesi, torej tisti, ki so bistveni za upravljavca, npr. taki, ki bi ga prisilili prenesti osebne podatke da bi zaščitil svojo organizacijo ali sisteme pred hudo neposredno škodo ali pred visoko kaznijo, ki bi močno ogrozila njegovo delovanje. Poleg tega pa tak prenos ne bi bil zakonit, če bi nad temi nujnimi interesi upravljavca prevladali interesi ali pravice in svoboščine posameznikov, na katere se osebni podatki nanašajo. Upravljavec mora torej opraviti preizkus tehtanja med nujnim interesom, ki ga zasleduje kot izvoznik podatkov, ter interesi, pravicami in svoboščinami posameznikov. V zvezi s tem zakonodaja izrecno določa, da mora izvoznik podatkov presoditi vse okoliščine zadevnega prenosa podatkov ter na podlagi take presoje zagotoviti »ustrezne zaščitne ukrepe« za varstvo prenesenih podatkov. Ta zahteva poudarja posebno vlogo, ki jo lahko imajo zaščitni ukrepi pri zmanjševanju neželenega učinka prenosa podatkov na posameznike ter s tem tudi pri možnem vplivanju na uravnoteženje pravic in interesov, če ti ne prevladajo nad interesi upravljavca podatkov. V primeru, da upravljavec ne bi zagotovil dodatnih zaščitnih ukrepov bi bilo sledeč Smernicam EDPB št. 2/2018 mogoče sklepati, da interesi ali pravice in svoboščine posameznika v vsakem primeru prevladajo nad interesi upravljavca v zvezi s prenosom podatkov. Upravljavec mora na koncu oceno, ki jo je opravil, in ustrezne zaščitne ukrepe, ki jih je sprejel, dokumentirati v evidenci iz člena 30.

 

In petič, o prenosu, ki ga namerava izvršiti v skladu s prvim pododstavkom 49(1) Splošne uredbe mora upravljavec obvestiti posameznika. Obvestiti ga mora tudi o nujnih zakonitih interesih, za katere si prizadeva. Te informacije mora zagotoviti poleg informacij, ki jih mora zagotoviti v skladu s členoma 13 in 14 Splošne uredbe. O prenosu pa mora obvestiti tudi Informacijskega pooblaščenca.

 

V zaključku velja poudariti še dejstvo, da je treba vsako izjemo, torej tudi določbe člena 49 Splošne uredbe, razumeti restriktivno, tako da izjema ne postane pravilo.

 

S spoštovanjem,

 

 

Pripravila:

mag. Eva Kalan Logar,

državna nadzornica za varstvo osebnih podatkov

 

 

Mojca Prelesnik, univ. dipl. prav.,

informacijska pooblaščenka