- Napreden AI iskalnik za hitro iskanje primerov
- Dostop do celotne evropske in slovenske sodne prakse
- Samodejno označevanje ključnih relevantnih odstavkov
Podobni dokumenti
Ogledaj podobne dokumente za vaš primer.Prijavi se in poglej več podobnih dokumentov
Posredovanje osebnih podatkov v tujino
Z nami najdeš vse. Preizkusi zdaj!
Samo zamislim si kaj bi rada da piše v sodbi, to vpišem v iskalnik, in dobim kar sem iskala. Hvala!
Tara K., odvetnica
Posredovanje osebnih podatkov v tujino
Datum
23.05.2025
Številka
07121-1/2025/635
Kategorije
Informiranje posameznika, Posredovanje osebnih podatkov
Informacijski pooblaščenec (v nadaljevanju: IP) je po e-pošti prejel vaše zaprosilo za mnenje. Navajate, da je zasebni zavod, ki se ukvarja s prodajo knjig, na e-naslove, na katere pošilja novice, posredoval vabilo na dogodek, ki se bo odvijal v Nemčiji. Organizator prireditve ni bil naveden, priložen pa je bil obrazec prijave, ki ga je bilo treba poslati na sedež zavoda v Sloveniji. Posameznik je v zvezi s prijavo prejel telefonski klic z Nemčije. Sprašujete, ali je zasebni zavod ravnal zakonito, saj je očitno poslal osebne podatke osebe v Nemčijo, kar pa na prijavnici ni bilo navedeno, posameznik pa tudi ni podal soglasja za posredovanje podatkov v tujino. Pošiljate nam tudi izsek iz politike zasebnosti, v kateri je med drugim navedeno, da podatki ne bodo posredovani tretjim osebam oz. ne bodo uporabljeni za druge namene kot so navedeni.
* * *
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.
Za posredovanje osebnih podatkov tretji osebi mora obstajati ustrezna pravna podlaga skladno s prvim odstavkom 6. člena Splošne uredbe. Pojasnjujemo, da mora upravljavec osebnih podatkov skladno s 13. členom Splošne uredbe še pred obdelavo osebnih podatkov zagotoviti informacije o obdelavi osebnih podatkov, kot so npr. nameni ter pravna podlaga za obdelavo osebnih podatkov, uporabniki osebnih podatkov, obdobje hrambe, itd.
O zakonitosti konkretne obdelave bi lahko IP odločal v konkretnem inšpekcijskem oz. drugem nadzornem postopku.
Obrazložitev
Uvodoma poudarjamo, da IP izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka konkretnih obdelav osebnih podatkov ne more presojati.
Za vsako obdelavo osebnih podatkov (tudi npr. za njihovo posredovanje) mora obstajati ustrezna pravna podlaga skladno s prvim odstavkom 6. člena Splošne uredbe:
(a)posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;
(b)obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;
(c)obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;
(d)obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;
(e)obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;
(f)obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.
Ob tem opozarjamo, da se točka (f) ne uporablja za obdelavo s strani javnih organov pri opravljanju njihovih nalog.
Pojasnjujemo vam, da morajo upravljavci posameznikom, še preden jim posamezniki posredujejo svoje osebne podatke, podati nekatere informacije o obdelavi osebnih podatkov, kot to določa 13. člen Splošne uredbe. Tako morajo npr. podati informacije o namenih ter pravni podlagi za obdelavo osebnih podatkov; uporabnikih osebnih podatkov; obdobju hrambe osebnih podatkov; pravicah posameznika, itd. Več informacij glede obveščanja posameznikov je dostopnih na: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/ključna-področja-uredbe/obveščanje-posameznikov-o-obdelavi-osebnih-podatkov. Po samem posredovanje osebnih podatkov pa lahko posamezniki uveljavljajo tudi pravico dostopa posameznika po 15. členu Splošne uredbe in lahko med drugim prejmejo tudi informacijo o namenu obdelave in uporabnikih osebnih podatkov. Več o tem lahko preberete na povezavi: https://tiodlocas.si/zelim-vedeti-kaj-pocnejo-z-mojimi-podatki/.
IP v nezavezujočem mnenju ne more vnaprej presojati, ali gre v konkretnem primeru za zakonito obdelavo (posredovanje) osebnih podatkov – navedeno bi lahko storil zgolj v konkretnem inšpekcijskem ali drugem nadzornem postopku. Iz opisanega očitne kršitve ni mogoče razbrati, saj ni jasno, kdo bi naj obdeloval osebne podatke – ni razvidno kdo bi naj bila oseba, ki bi naj podatke prejela in kontaktirala posameznika.
Če menite, da so bili vaši osebni podatki nezakonito obdelani, lahko podate prijavo pri IP. Pomagate si lahko z obrazcem »Enotna vloga zaradi kršitve varstva osebnih podatkov (Obrazec VOP prijava)«, ki je objavljen na povezavi: https://www.ip-rs.si/obrazci/varstvo-osebnih-podatkov/.
V upanju, da vam bodo naša napotila v pomoč, vas lepo pozdravljamo.
dr. Jelena Virant Burnik,
informacijska pooblaščenka
Pripravila:
Barbara Žurej, univ. dipl. prav., svetovalka pooblaščenca za preventivo