Prenos osebnih podatkov v ZDA

Datum

03.10.2024

Številka

07121-1/2024/1167

Kategorije

Prenos osebnih podatkov v tretje države ali mednarodne organizacije

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede prenosa podatkov v ZDA. Pojasnjujete, da bi slovenska družba prenašala podatke v ZDA obdelovalcu, ki je na seznamu Data Privacy Framework. Hkrati pa bi do podatkov imela dostop materinska družba s sedežem v ZDA. Z materinsko družbo ste sklenili standardna pogodbena odločila, ki jih je IP z odločbo potrdil leta 2016. Zanima vas, ali ste prenose podatkov ustrezno naslovili.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZUstS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Raven varstva osebnih podatkov se zaradi prenosa v tretjo državo ne sme zmanjšati v primerjavi z varstvom, ki ga zagotavlja Splošna uredba. Upravljavec lahko na različne načine izkaže, da je raven varstva osebnih podatkov v tretji državi ustrezna (pravne podlage za prenos podatkov v tretjo državo): s sklepom o ustreznosti, ustreznimi zaščitnimi ukrepi ali na podlagi odstopanj v posebnih primerih.

Evropska komisija je sprejela sklep o ustreznosti za ZDA, na podlagi katerega se lahko osebni podatki prenašajo tistim podjetjem, ki sodelujejo v Data Privacy Framework. V kolikor je torej podjetje na seznamu Data Privacy Framework, lahko osebne podatke prenašate na podlagi tega sporazuma (brez kakršnekoli dodatne odločbe nadzornega organa).

Standardna pogodbena določila iz leta 2016 ne veljajo več, Evropska komisija je pripravila nova standardna pogodbena določila. Gre za vnaprej potrjene in pripravljene standardne modele pogodb, ki jih lahko izvozniki in uvozniki podatkov uporabijo, za kar ni potrebno nobeno dovoljenje nadzornega organa. Pred takšnim prenosom (na podlagi 46. člena Splošne uredbe) mora izvoznik podatkov oceniti, ali je orodje za prenos dejansko učinkovito v praksi, ali orodje torej dejansko zagotavlja v bistvu enakovredno raven varstva osebnih podatkov, kot je zagotovljena v EGP. Če ne, je treba sprejeti dopolnilne zaščitne ukrepe, s katerimi se takšna raven varstva zagotavlja. To oceno mora izvoznik podatkov dokumentirati.

Obrazložitev

IP uvodoma poudarja, da lahko podaja neobvezujoča mnenja in pojasnila, ne sme pa izven konkretnih inšpekcijskih postopkov presojati skladnosti konkretnega ravnanja, ki ste ga opisali v vašem zaprosilu za mnenje, s predpisi s področja varstva osebnih podatkov.

V opisanem primeru bi lahko šlo za dva ločena prenosa osebnih podatkov iz EGP v tretjo državo (Združene države Amerike), in sicer v prvem primeru gre za shranjevanje osebnih podatkov na strežnikih v ZDA, v drugem primeru pa za zagotavljanje dostopa do podatkov s strani uvoznika podatkov v tretji državi. Za prenos osebnih podatkov gre namreč, ko so kumulativno izpolnjeni sledeči pogoji:

1.za upravljavca ali obdelovalca („izvoznika“) za določeno obdelavo velja Splošna uredba;

2.izvoznik osebne podatke, ki so predmet te obdelave, s posredovanjem razkrije ali kako drugače da na voljo drugemu upravljavcu, skupnemu upravljavcu ali obdelovalcu („uvozniku“);

3.uvoznik je v tretji državi, ne glede na to, ali zanj za določeno obdelavo velja Splošna uredba o varstvu podatkov oziroma ali je mednarodna organizacija.

V povezavi z drugim kriterijem IP opozarja, da so lahko entitete znotraj iste skupine podjetij ločeni upravljavci in obdelovalci, IP pa v okviru neobvezujočega mnenja ne more konkretno presoditi izpolnjenost kriterijev. Pri presoji, ali gre v konkretnem primeru za prenos, so vam lahko v pomoč Smernice EDPB št. 5/2021 o medsebojnem prepletanju člena 3 in določb o mednarodnih prenosih podatkov iz poglavja V Splošne uredbe, ki so dostopne na: https://edpb.europa.eu/our-work-tools/documents/public-consultations/2021/guidelines-052021-interplay-between-application_en.

Prenose osebnih podatkov v tretje države in mednarodne organizacije ureja V. poglavje Splošne uredbe, ki temelji na predpostavki, da se raven varstva osebnih podatkov zaradi prenosa v tretjo državo ne sme zmanjšati v primerjavi z varstvom, ki ga zagotavlja Splošna uredba. Upravljavec lahko na različne načine izkaže, da je raven varstva osebnih podatkov v tretji državi ustrezna (pravne podlage za prenos podatkov v tretjo državo): s sklepom o ustreznosti, ustreznimi zaščitnimi ukrepi ali na podlagi odstopanj v posebnih primerih. Ob tem je treba poudariti, da mora upravljavec zagotavljati skladnost z vsemi določbami Splošne uredbe, na primer za vsako obdelavo osebnih podatkov (kar je tudi prenos podatkov v tretjo državo) mora zagotoviti ustrezno pravno podlago iz 6. in 9. člena Splošne uredbe.

Glede na to, da podatke prenašate v ZDA, IP pojasnjuje, da je Evropska komisija sprejela sklep o ustreznosti za ZDA, na podlagi katerega se lahko osebni podatki prenašajo tistim podjetjem, ki sodelujejo v Data Privacy Framework. Seznam podjetij je dostopen na spletni strani: https://www.dataprivacyframework.gov/list. V kolikor je torej podjetje na seznamu Data Privacy Framework, lahko osebne podatke prenašate na podlagi tega sporazuma. Ker gre v opisanem primeru za razmerje med upravljavcem in obdelovalcem, je treba v skladu z 28. členom Splošne uredbe razmerje ustrezno pogodbeno urediti.

Za prenose v ZDA, ki ne temeljijo na navedenem sklepu o ustreznosti, je treba zagotoviti drugo pravno podlago za prenose. Splošna uredba v 46. členu določa ustrezne zaščitne ukrepe, v okviru katerih se podatki lahko prenašajo. Podjetja se v praksi najpogosteje poslužujejo standardnih pogodbenih klavzul, ki jih je sprejela Evropska komisija. Gre za vnaprej potrjene in pripravljene standardne modele pogodb, ki jih lahko izvozniki in uvozniki podatkov uporabijo. Te pogodbene klavzule lahko izvozniki in uvozniki podatkov takoj uporabijo, za kar ne potrebujejo nobenega dovoljenja nadzornega organa. Na voljo so štiri različni moduli klavzul, prilagojeni različnim vlogam izvoznika in uvoznika podatkov. Moduli standardnih pogodbenih klavzul so dostopni v dokumentu Izvedbeni sklep Komisije (EU) 2021/914 z dne 4. junija 2021, ki je dostopen na:

-https://eur-lex.europa.eu/legal-content/SL/TXT/?uri=uriserv%3AOJ.L_.2021.199.01.0031.01.SLV&toc=OJ%3AL%3A2021%3A199%3ATOC

V primeru prenašanja podatkov v tretjo državo na podlagi 46. člena Splošne uredbe je izvoznik podatkov pred prenosom podatkov dolžan oceniti (po potrebi s pomočjo uvoznika podatkov) in to pisno dokumentirati, ali je karkoli v pravu ali v praksi organov tretje države, kar bi onemogočalo, da bi podatkom bila zagotovljena v bistvu enakovredna raven varstva tej v EGP (na primer ali so dostopi s strani javnih organov tretje države do podatkov nesorazmerni in neskladni z načeli demokratične družbe). Oceniti je treba, ali so ustrezni zaščitni ukrepi učinkoviti tudi v praksi. Če je potrebno za namen zagotavljanja v bistvu enakovredne ravni varstva osebnih podatkov, izvoznik sprejme ustrezne dopolnilne ukrepe (npr. tehnične, pogodbene, organizacijske ukrepe), s katerimi zagotovi takšno raven varstva podatkov. Evropski odbor za varstvo podatkov je v pomoč izvoznikom pripravil priporočila o ukrepih, ki dopolnjujejo orodja za prenose, da se zagotovi skladnost s Splošno uredbo: https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_en. V priporočilih so predstavljeni tudi konkretni primeri glede implementacije različnih dopolnilnih zaščitnih ukrepov.

Glede pogodbenih določil iz leta 2016 IP pojasnjuje, da ta ne veljajo več, saj je Evropska komisija sprejela nova standardna pogodbena določila, ki so skladna s Splošno uredbo in s sodno prakso Sodišča EU (v zgornjem odstavku je dostopna povezava do navedenih pogodbenih določil). Prehodno obdobje, ko so se v praksi še lahko uporabljala stara standardna pogodbena določila, se je zaključilo konec leta 2022. Svetujemo vam, da svoje prenose podatkov v tretje države ustrezno uskladite z obstoječo zakonodajo.

Glede drugih orodij za prenose iz 46. člena in na splošno za več informacij o prenosih osebnih podatkov vas napotujemo na Smernice glede prenosa osebnih podatkov v tretje države in mednarodne organizacije po Splošni uredbi in ZVOP-2, ki so dostopne na spletni strani Informacijskega pooblaščenca:

-https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice%20glede%20prenosa%20OP_v1.5.pdf.

Lepo vas pozdravljamo,

Pripravila

Neja Domnik, Državna nadzornica za varstvo osebnih podatkov

dr. Jelena Virant Burnik, Informacijska pooblaščenka