Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 30.07.2019
Naslov: Prenos v tretje države
Številka: 0712-1/2019/1772
Vsebina: Bančništvo, Prenos osebnih podatkov v tretje države ali mednarodne organizacije
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je prejel vaše zaprosilo za mnenje, v katerem navajate, da banka za izvajanje plačilnega prometa s tujino uporablja storitve ponudnika xy,, ki je registriran in odobren izvajalec tovrstnih storitev s strani SWIFT in ima certifikat za upravljanje informacijske varnosti (ISO 27001). Družba xy ima svoj primarni operativni center lociran v Sloveniji (Ljubljana), rezervni center pa je lociran v tretji državi. Z omenjeno družbo ima banka sklenjeno pogodbo, katere predmet je posredovanje podatkov iz strežnikov banke v sistem SWIFT. Glede na to, da gre v navedenem primeru za iznos podatkov v tretje države, vas zanima, ali je pri tem potrebno pridobiti posebno dovoljenje za tovrsten prenos podatkov oz. zavzeti kakšne dodatne ukrepe.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

Pri prenosu osebnih podatkov v tretjo državo na podlagi določbe točke c. drugega odstavka člena 46 Splošne uredbe o varstvu podatkov, na primer s sklenitvijo t.i. standardnih pogodbenih klavzul za prenos podatkov k obdelovalcu v tretji državi (skupaj z obema dodatkoma, posebno predhodno dovoljenje Informacijskega pooblaščenca ni potrebno.

 

Informacijski pooblaščenec izven postopka inšpekcijskega nadzora ne more in ne sme komentirati sklenjenih pogodb, lahko pa vam podamo mnenje glede ustreznosti izvajanja prenosa osebnih podatkov v tretje države.

 

Posredovanje osebnih podatkov upravljavcu ali obdelovalcu v tretji državi ali mednarodni organizaciji je dopustno pod pogoji, ki jih ureja V. poglavje Splošne uredbe o varstvu podatkov, in sicer:

  1. če Evropska komisija izda odločbo, da država, ozemlje, določen sektor v državi ali mednarodna organizacija, v katero se prenašajo, zagotavlja ustrezno raven varstva osebnih podatkov (člen 45 Splošne uredbe o varstvu podatkov);
  2. če izvoznik podatkov zagotovi ustrezne zaščitne ukrepe ter posameznikom zagotovi izvršljive pravice in učinkovita pravna sredstva na podlagi členov 46 in 47 Splošne uredbe o varstvu podatkov;
  3. če gre za posebne primere, ki so določeni v členu 49 Splošne uredbe o varstvu podatkov, v katerih so mogoča odstopanja.

 

Za Srbijo sklep o ustreznosti iz člena 45 Splošne uredbe o varstvu podatkov (še) ni bil izdan. V takem primeru se lahko osebni podatki posredujejo v tretjo državo, ki ne zagotavlja ustrezne ravni varstva osebnih podatkov, tudi, če upravljavec osebnih podatkov zagotovi ustrezne zaščitne ukrepe in pod pogojem, da imajo posamezniki, na katere se nanašajo osebni podatki, na voljo izvršljive pravice in učinkovita pravna sredstva. Navedenima pogojema lahko upravljavec zadosti npr. s sklenitvijo t.i. standardnih pogodbenih klavzul (SPK), pripravljenih s strani Evropske komisije (c. točka drugega odstavka člena 46 Splošne uredbe o varstvu podatkov). Takšen način prenosa podatkov v tretjo državo je hiter in enostaven in pri tem upravljavcu ni potrebno pridobiti predhodnega dovoljenja Informacijskega pooblaščenca.

 

V SPK podpisnika določita pogoje zavarovanja, odgovornosti in obveznosti, ki veljajo za obdelavo osebnih podatkov. Ključno je, da podpisnika natančno določita ukrepe za zavarovanje osebnih podatkov in izpolnita oba dodatka SPK. Za zakonit prenos osebnih podatkov v tretjo državo mora biti zadoščeno tudi vsem ostalim pogojem za zakonito obdelavo osebnih podatkov po Splošni uredbi o varstvu podatkov. To med drugim pomeni, da v kolikor gre za prenos podatkov v tretjo državo od upravljavca k obdelovalcu, je potrebno poleg SPK v pogodbo vključiti tudi druge obvezne pogodbene sestavine, ki jih mora vsebovati pogodba med upravljavcem in obdelovalcem, kakor to določa člen 28 Splošne uredbe o varstvu podatkov, vendar te določbe ne smejo biti v nasprotju s SPK.

 

S spoštovanjem,

 

 

Pripravila:

mag. Eva Kalan Logar,

državna nadzornica za varstvo osebnih podatkov

 

 

Mojca Prelesnik, univ. dipl. prav.,

informacijska pooblaščenka