- Napreden AI iskalnik za hitro iskanje primerov
- Dostop do celotne evropske in slovenske sodne prakse
- Samodejno označevanje ključnih relevantnih odstavkov
Podobni dokumenti
Ogledaj podobne dokumente za vaš primer.Prijavi se in poglej več podobnih dokumentov
Prenos osebnih podatkov na podlagi privolitve
Z nami najdeš vse. Preizkusi zdaj!
Samo zamislim si kaj bi rada da piše v sodbi, to vpišem v iskalnik, in dobim kar sem iskala. Hvala!
Tara K., odvetnica
Prenos osebnih podatkov na podlagi privolitve
Datum
11.03.2024
Številka
07121-1/2024/266
Kategorije
Delovna razmerja, Prenos osebnih podatkov v tretje države ali mednarodne organizacije, Privolitev
Pri Informacijskem pooblaščencu (IP) smo prejeli vaše zaprosilo za mnenje, ali je za izvažanje osebnih podatkov v tretje države dovolj samo privolitev posameznika, ali je potrebno še kaj več od tega. Navajate, da gre za osebne podatke, ki se zbirajo z namenom zaposlovanja posameznikov (recruitment procedure).
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.
Ob neobstoju podlage iz člena 45 Splošne uredbe o varstvu podatkov in v kolikor ustreznih zaščitnih ukrepov za varstvo podatkov iz člena 46 ni mogoče sprejeti, se lahko prenos v določenih primerih vrši tudi na podlagi ene od izjem iz člena 49, med katerimi je navedena tudi izrecna privolitev posameznika v predlagani prenos, potem ko je bil ta obveščen o morebitnih tveganjih, ki jih zaradi nesprejetja sklepa o ustreznosti in ustreznih zaščitnih ukrepov takšni prenosi pomenijo zanj.
Privolitev kot podlaga za prenos mora ustrezati veljavni privolitvi po 4(11) členu Splošne uredbe o varstvu podatkov, torej mora biti prostovoljna, konkretna, informirana in nedvoumna, poleg tega mora biti tudi izrecna, saj je v primeru privolitve kot podlage za prenos zahtevana še višja individualna raven nadzora nad osebnimi podatki.
V predstavljenem premeru je vprašljiva predvsem prostovoljnost privolitve. Prostovoljna privolitev namreč pomeni, da je odločitev prepuščena svobodni volji posameznika in da odklon privolitve zanj nima posledic.
V kolikor se prenos podatkov izvaja kot del rednega in običajnega poslovanja upravljavca, bi najprimernejšo podlago za prenos najverjetneje predstavljala sklenitev standardnih pogodbenih klavzul po točki (c) drugega odstavka člena 46 Splošne uredbe o varstvu podatkov.
Obrazložitev
Za zakonito posredovanje osebnih podatkov upravljavcu, obdelovalcu ali uporabniku osebnih podatkov v tretji državi ali mednarodni organizaciji morata biti izpolnjena dva pogoja, in sicer:
1.Za posredovanje oz. dajanje osebnih podatkov na razpolago upravljavcu, obdelovalcu ali uporabniku osebnih podatkov v tretji državi mora obstajati katera izmed pravnih podlag, ki so določene v 6. oziroma 9. členu Splošne uredbe o varstvu podatkov ter v 6. členu ZVOP-2. Obdelovalcu (pravni ali fizični osebi, ki obdeluje osebne podatke v imenu in za račun upravljavca osebnih podatkov) se lahko osebni podatki posredujejo pod pogoji, določenimi v 28. členu Splošne uredbe o varstvu podatkov.
2.Ob izpolnjenem prvem pogoju je prenos osebnih podatkov upravljavcu ali obdelovalcu v tretji državi dopusten pod pogoji, ki jih ureja V. Poglavje Splošne uredbe o varstvu podatkov, in sicer:
a)če Evropska komisija odloči, da država, ozemlje, določen sektor v državi ali mednarodna organizacija, v katero se podatki prenašajo, zagotavlja ustrezno raven varstva osebnih podatkov (člen 45 Splošne uredbe o varstvu podatkov);
b)če izvoznik podatkov zagotovi ustrezne zaščitne ukrepe ter posameznikom zagotovi izvršljive pravice in učinkovita pravna sredstva na podlagi členov 46 in 47 Splošne uredbe o varstvu podatkov;
c)če gre za posebne primere, ki so določeni v členu 49 Splošne uredbe o varstvu podatkov, v katerih so mogoča odstopanja.
Pogoje za prenos, ki jih navaja V. Poglavje Splošne uredbe je treba brati in uporabiti v zapisanem vrstnem redu, kar pomeni, da mora izvoznik podatkov najprej preveriti, da se lahko osebni podatki v tretjo državo prenašajo na podlagi sprejetega sklepa Evropske Komisije iz člen 45 Splošne uredbe o varstvu podatkov. Spisek držav in mednarodnih organizacij, za katere je Evropska komisija ugotovila, da zagotavljajo ustrezno raven varstva osebnih podatkov se nahaja tu: https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en.
Osebni podatki se lahko ob neobstoju podlage iz člena 45 v tretjo državo oz. mednarodno organizacijo prenašajo na podlagi ustreznih zaščitnih ukrepov iz člena 46 Splošne uredbe o varstvu podatkov. Ob neobstoju podlage iz člena 45 je pravna podlaga iz člena 46 najprimernejša za prenose osebnih podatkov, ki so predvidljivi in del običajnega poslovanja in prakse upravljavca.
Če v okoliščinah konkretne obdelave osebnih podatkov pogojev iz člena 46 Splošne uredbe ni mogoče zagotoviti, bi ob izpolnjevanju pogojev lahko v poštev prišlo tudi eno od odstopanj iz člena 49 Splošne uredbe o varstvu podatkov. Ta člen izrecno določa, da če sklep o ustreznosti ni sprejet ali niso sprejeti ustrezni zaščitni ukrepi iz člena 46, se lahko prenos ali niz prenosov osebnih podatkov v tretjo državo ali mednarodno organizacijo izvede pod pogoji določenimi v tem členu. Hkrati člen 44 Splošne uredbe o varstvu podatkov določa, da je treba določbe V. poglavja uporabiti tako, da raven varstva posameznikov, ki jo zagotavlja Splošna uredba o varstvu podatkov, ni ogrožena. To pomeni tudi, da uporaba odstopanj iz člena 49 nikoli ne sme povzročiti kršitve temeljnih pravic.
Ker odstopanja iz člena 49, med temi tudi izrecna privolitev iz točke (a), ne zagotavljajo ustreznega varstva ali ustreznih zaščitnih ukrepov za osebne podatke, ki se prenesejo, in ker za prenose na podlagi odstopanja ni potrebno nobeno predhodno dovoljenje nadzornega organa, prenos osebnih podatkov v tretje države na podlagi odstopanj pomeni večje tveganje za pravice in svoboščine zadevnih posameznikov, na katere se osebni podatki nanašajo, zato je treba odstopanja razlagati restriktivno, tako da ta ne postanejo pravilo. Poleg tega pa izpostavljamo še, da je tudi izrecna privolitev iz točke (a) prvega odstavka člena 49 skladna veljavna le, če je ta prostovoljna, konkretna, informirana in nedvoumna. Več o pogojih za veljavno privolitev si lahko preberete v Smernice Evropskega odbora za varstvo podatkov št. 05/2020 o privolitvi na podlagi Uredbe 2016/679: https://www.edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_sl_0.pdf.
Več o prenosih si lahko preberete v smernicah IP glede prenosa osebnih podatkov v tretje države in mednarodne organizacije: https://www.ip-rs.si/publikacije/priro%C4%8Dniki-in-smernice/smernice-po-splo%C5%A1ni-uredbi-o-varstvu-podatkov-gdpr/smernice-glede-prenosa-osebnih-podatkov-v-tretje-dr%C5%BEave-in-mednarodne-organizacije-po-splo%C5%A1ni-uredbi-o-varstvu-podatkov.
S spoštovanjem.
Pripravila
mag. Eva Kalan Logar, vodja državnih nadzornikov
Mojca Prelesnik, univ. dipl. prav., informacijska pooblaščenka