- Napreden AI iskalnik za hitro iskanje primerov
- Dostop do celotne evropske in slovenske sodne prakse
- Samodejno označevanje ključnih relevantnih odstavkov
Podobni dokumenti
Ogledaj podobne dokumente za vaš primer.Prijavi se in poglej več podobnih dokumentov
Prenos OP v ZDA
Z nami najdeš vse. Preizkusi zdaj!
Samo zamislim si kaj bi rada da piše v sodbi, to vpišem v iskalnik, in dobim kar sem iskala. Hvala!
Tara K., odvetnica
Prenos OP v ZDA
Datum
03.03.2025
Številka
07121-1/2025/271
Kategorije
Prenos osebnih podatkov v tretje države ali mednarodne organizacije
Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede prenosa osebnih podatkov v ZDA.
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZUstS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.
Po Splošni uredbi dovoljenje Informacijskega pooblaščenca za prenos podatkov v tretje države ali mednarodne organizacije v večini primerov ni (več) potrebno.
Upravljavec lahko na različne načine izkaže, da je raven varstva osebnih podatkov v tretji državi ustrezna: s sklepom o ustreznosti, ustreznimi zaščitnimi ukrepi ali na podlagi odstopanj v posebnih primerih.
Obrazložitev
IP uvodoma poudarja, da lahko podaja neobvezujoča mnenja in pojasnila, ne sme pa izven konkretnih nadzornih ali drugih upravnih postopkov preverjati primernosti izbrane pravne podlage ali namenov oziroma obsega obdelave osebnih podatkov v konkretnem primeru.
Glede prenosa osebnih podatkov v tretje države (v konkretnem primeru ZDA) IP uvodoma izpostavlja, da je v skladu z načelom odgovornosti upravljavec tisti, ki je dolžan zagotoviti skladnost obdelave osebnih podatkov s Splošno uredbo, kar vključuje tudi zagotavljanje zakonitosti prenosov osebnih podatkov v tretje države. Prenose osebnih podatkov v tretje države in mednarodne organizacije ureja Poglavje V Splošne uredbe, ki temelji na predpostavki, da se raven varstva osebnih podatkov zaradi prenosa v tretjo državo ne sme zmanjšati v primerjavi z varstvom, ki ga zagotavlja Splošna uredba. Upravljavec lahko na različne načine izkaže, da je raven varstva osebnih podatkov v tretji državi ustrezna: s sklepom o ustreznosti, ustreznimi zaščitnimi ukrepi ali na podlagi odstopanj v posebnih primerih.
IP nadalje pojasnjuje, da po Splošni uredbi (torej od 25.5.2018 dalje) dovoljenje Informacijskega pooblaščenca za prenos podatkov v tretje države ali mednarodne organizacije v večini primerov ni (več) potrebno. V določenih primerih pa je še zmeraj treba pridobiti dovoljenje oziroma odločbo glede ustreznosti zaščitnih ukrepov, ki predstavljajo podlago za prenos podatkov. Dovoljenje je tako potrebno:
-ko gre za prenos podatkov v tretjo državo na podlagi pogodbenih določil, ki jih kot ustrezne zaščitne ukrepe sama določita izvoznik in uvoznik podatkov (točka a tretjega odstavka 46. člena Splošne uredbe);
-ko gre za prenos podatkov med javnimi organi ali telesi na podlagi določb, ki se vstavijo v upravne dogovore in v katere so vključene izvršljive in učinkovite pravice za posameznike (točka b tretjega odstavka 46. člena Splošne uredbe).
V drugih primerih (tudi npr. v primeru uporabe standardnih pogodbenih določil) dovoljenje IP ni potrebno.
IP vas glede prenosa osebnih podatkov v ZDA napotuje na že izdano mnenje, ki je objavljeno na spletni strani IP:
https://www.ip-rs.si/mnenja-zvop-2/prenos-osebnih-podatkov-v-zda-1727941277
Iz navedenega izhaja, da je med drugim treba najprej preveriti, ali morda podjetje, kateremu nameravate prenesti osebne podatke, sodeluje v Data Protection Framework.
Več o prenosih osebnih podatkov si lahko preberete v Smernicah glede prenosa osebnih podatkov v tretje države in mednarodne organizacije po Splošni uredbi o varstvu podatkov in ZVOP-2, ki so dostopne na spletni strani IP:
https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice%20glede%20prenosa%20OP_v1.6.pdf
IP vam svetuje, da najprej preverite vse okoliščine prenosa osebnih podatkov. Na podlagi tega boste lahko sprejeli odločitev, ali potrebujete dovoljenje IP ali ne. V kolikor bo odgovor pozitiven, na IP naslovite vlogo (Obrazec – Vloga za prenos osebnih podatkov v tretje države ali mednarodne organizacije), ki je dostopna na spletni strani IP:
https://www.ip-rs.si/obrazci/varstvo-osebnih-podatkov/
Vlogi priložite tudi dokumentacijo, iz katere so razvidni zaščitni ukrepi za varstvo osebnih podatkov (npr. pogodbo z uvoznikom podatkov).
IP sklepno ponavlja, da v okviru neobvezujočega mnenja ne more presojati primernosti namenov oziroma obsega obdelave osebnih podatkov v konkretnem primeru. Prav tako IP v okviru neobvezujočega mnenja ne more presojati, ali je uporaba konkretne rešitve skladna s predpisi s področja varstva osebnih podatkov, ampak to lahko presoja le v okviru konkretnega nadzornega oziroma drugega upravnega postopka, ko so znane vse konkretne okoliščine posameznega primera. Presoja glede zakonitosti obdelave oziroma obstoja pravne podlage za posamezno obdelavo je primarno vedno na upravljavcu osebnih podatkov. Upravljavec je torej v vsakem posameznem primeru odgovoren za zakonitost ter sorazmernost obdelav osebnih podatkov, ki jih izvaja.
Lepo vas pozdravljamo.
Pripravil
Matej Sironič, Svetovalec pooblaščenca I
dr. Jelena Virant Burnik, Informacijska pooblaščenka