- Napreden AI iskalnik za hitro iskanje primerov
- Dostop do celotne evropske in slovenske sodne prakse
- Samodejno označevanje ključnih relevantnih odstavkov
Podobni dokumenti
Ogledaj podobne dokumente za vaš primer.Prijavi se in poglej več podobnih dokumentov
Prenos osebnih podatkov v ZDA
Z nami najdeš vse. Preizkusi zdaj!
Samo zamislim si kaj bi rada da piše v sodbi, to vpišem v iskalnik, in dobim kar sem iskala. Hvala!
Tara K., odvetnica
Prenos osebnih podatkov v ZDA
Datum
08.05.2025
Številka
07120-1/2025/206
Kategorije
Prenos osebnih podatkov v tretje države ali mednarodne organizacije, Posebne vrste OP, Pravne podlage, Statistika in raziskovanje, Zdravstveni osebni podatki
pri Informacijskem pooblaščencu (IP) smo prejeli vaše zaprosilo za mnenje. Navajate, da se pri pogodbi o kliničnem preskušanju, pri kateri sodelujete, po potrebi posredujejo psevdonimizirani osebni podatki pacienta nadzornemu organu FDA v ZDA. To je v skladu z zakonodajo na tem področju. Zanima vas, ali je treba pri takšnem prenosu v ZDA upoštevati določbe Splošne uredbe v smislu, da je treba skleniti kakšno pogodbo o prenosu in upoštevati 5. poglavje.
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A; v nadaljevanju ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.
Ker je psevdonimizirane podatke mogoče povezati z določenim posameznikom, se ti še vedno štejejo za osebne podatke, za katere se uporablja Splošna uredba. Pred prenosom teh podatkov v ZDA je treba najprej presoditi, ali je podana ustrezna pravna podlaga za njihovo obdelavo (po 6. in 9. členu Splošne uredbe). Nato pa je treba zagotoviti ustrezen mehanizem za prenos podatkov v tretjo državo (po V. poglavju Splošne uredbe). Izjeme po 49. členu Splošne uredbe se lahko uporabijo le kot skrajni ukrep in pod strogo določenimi pogoji.
Zahteve organov tretjih držav po 48. členu Splošne uredbe ne predstavljajo samostojne podlage za prenos, zato je tudi v takih primerih treba zagotoviti skladnost s pravili V. poglavja Splošne uredbe.
Tako pravno podlago za obdelavo (po 6. in 9. členu Splošne uredbe) kot tudi ustrezne zaščitne ukrepe za prenos (po točki a drugega odstavka 46. člena Splošne uredbe) lahko zagotavljajo mednarodni sporazumi.
Obrazložitev
Uvodoma pojasnjujemo, da v okviru izdaje mnenja IP ne more odločati o tem, katere obveznosti morate izpolniti, da bo prenos osebnih podatkov v primeru, ki ga opisujete, zakonit. To je namreč vaša primarna naloga in odgovornost, ki jo nosite kot upravljavec osebnih podatkov. Zato na vaše vprašanje ne moremo dokončno odgovoriti, temveč v nadaljevanju podajamo le splošna pojasnila in pravna izhodišča, ki vam lahko pomagajo pri sprejemanju ustreznih odločitev.
Čeprav so določeni podatki psevdonimizirani, gre še vedno za osebne podatke, saj jih je mogoče z dodatnimi informacijami pripisati določenemu posamezniku. Zato tudi psevdonimizirani podatki spadajo na področje uporabe Splošne uredbe, kar pomeni, da je za njihovo obdelavo in prenos treba upoštevati vse zahteve, ki jih ta uredba določa.
V prvi fazi je treba tako oceniti, ali je za posredovanje osebnih podatkov FDA sploh podana ustrezna pravna podlaga po 6. in 9. členu Splošne uredbe. Možne pravne podlage po 6. členu Splošne uredbe bi bile v konkretnem primeru lahko predvsem:
-točka c prvega odstavka 6. člena – če gre za obveznost poročanja, ki izhaja iz nacionalne ali EU zakonodaje,
-točka e prvega odstavka 6. člena – če se šteje, da gre za opravljanje nalog v javnem interesu.
Ker gre za obdelavo posebnih vrst podatkov, mora biti podana tudi ena od izjem iz drugega odstavka 9. člena Splošne uredbe, v konkretnem primeru bi bila to zlasti:
-točka i drugega odstavka 9. člena – zaradi javnega interesa na področju javnega zdravja,
-točka j drugega odstavka 9. člena – za namene znanstvenih raziskav, ob ustreznih zaščitnih ukrepih iz 89. člena Splošne uredbe.
Če je za posredovanje podana ustrezna pravna podlaga, torej če je sama obdelava zakonita, je treba v drugi fazi še oceniti, ali so izpolnjene tudi zahteve za prenos osebnih podatkov v tretjo državo (v tem primeru ZDA), kot jih določa V. poglavje Splošne uredbe.
V konkretnem primeru ni dvoma, da bi šlo za prenos osebnih podatkov v tretjo državo. Zato je treba uporabiti enega izmed mehanizmov, predvidenih v členih 44 in naslednjih Splošne uredbe. Sklep o ustreznosti ne pride v poštev, saj FDA kot javni organ ni zajet v okviru Data Privacy Framework. Standardna določila o varstvu podatkov (tudi standardne pogodbene klavzule ali SCC; 46. člen Splošne uredbe) bi bile zato verjetno najustreznejši mehanizem.
Pri uporabi SCC za prenos podatkov v ZDA je priporočljivo, da se izvede ocena vpliva prenosa (t.i. Transfer Impact Assessment – TIA). Namen takšne ocene je, da se ugotovi, ali zakonodaja ZDA omogoča učinkovito varstvo pravic posameznikov. Francoski nadzorni organ je že podal podrobnejše usmeritve, kako izvesti to oceno, in so dostopne na: https://www.cnil.fr/en/transfer-impact-assessment-tia-cnil-publishes-final-version-its-guide.
Če SCC ni mogoče uporabiti, bi eventualno sicer lahko uporabili tudi kakšno od izjem iz 49. člena Splošne uredbe, vendar le v omejenem obsegu in za posamezne primere prenosa:
-točka d prvega odstavka 49. člena – prenos je nujen iz pomembnih razlogov javnega interesa,
-točka a prvega odstavka 49. člena – izrecna privolitev posameznika, pri čemer mora biti posameznik jasno obveščen o tveganjih prenosa v državo brez ustrezne zaščite.
Pomembno pa je opozoriti, da je treba za vse prenose v tretje države (tudi v okviru kliničnih preskušanj) uporabiti temeljne mehanizme iz V. poglavja Splošne uredbe, izjeme pa le kot skrajni ukrep.
Tudi iz smernic EDPB 2/2024 glede 48. člena Splošne uredbe izhaja, da če upravljavec ali obdelovalec iz EU prejme zahtevo tretje države za razkritje osebnih podatkov, to šteje kot prenos podatkov in mora biti skladen tako s pravno podlago za obdelavo kot tudi s pravili o prenosu podatkov. Zahteve organov tretjih držav po 48. členu Splošne uredbe ne predstavljajo samostojne podlage za prenos, medtem ko lahko mednarodni sporazumi oziroma konvencije zagotovijo tako pravno podlago za obdelavo (po 6. in 9. členu Splošne uredbe) kot tudi ustrezne zaščitne ukrepe za prenos (po točki a drugega odstavka 46. člena Splošne uredbe).
Na podlagi navedenega priporočamo, da pred posredovanjem osebnih podatkov FDA temeljito presodite, ali je v konkretnem primeru podana ustrezna pravna podlaga za tako obdelavo osebnih podatkov (v skladu s prvim odstavkom 6. člena in drugim odstavkom 9. člena Splošne uredbe) in ali je obenem zagotovljen ustrezen pravni mehanizem za prenos podatkov v tretjo državo (v skladu z določbami V. poglavja Splošne uredbe).
Lepo vas pozdravljamo,
Pripravila:
Tina Ivanc, univ. dipl. prav.,
svetovalka IP za varstvo osebnih podatkov
dr. Jelena Virant Burnik,
informacijska pooblaščenka
Financira Evropska unija. Izražena stališča in mnenja so izključno mnenja avtorja in ne odražajo nujno stališč in mnenj Evropske unije ali Evropske komisije. Niti Evropska unija niti organ, ki dodeljuje sredstva, zanje ne odgovarjata.