Prenos OP v tretje države

Datum

09.11.2023

Številka

07121-1/2023/1396

Kategorije

Delovna razmerja, Prenos osebnih podatkov v tretje države ali mednarodne organizacije

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede prenosa osebnih podatkov zaposlenih v tretje države.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZUstS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Osebni podatki delavcev se lahko zbirajo, obdelujejo, uporabljajo in posredujejo tretjim osebam samo, če je to določeno z ZDR-1 ali drugim zakonom ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem.

Prenose osebnih podatkov v tretje države in mednarodne organizacije ureja Poglavje V Splošne uredbe, ki temelji na predpostavki, da se raven varstva osebnih podatkov zaradi prenosa v tretjo državo ne sme zmanjšati v primerjavi z varstvom, ki ga zagotavlja Splošna uredba.

Upravljavec lahko na različne načine izkaže, da je raven varstva osebnih podatkov v tretji državi ustrezna: s sklepom o ustreznosti, ustreznimi zaščitnimi ukrepi ali na podlagi odstopanj v posebnih primerih.

Obrazložitev

IP uvodoma poudarja, da lahko podaja neobvezujoča mnenja in pojasnila, ne sme pa izven konkretnih inšpekcijskih postopkov preverjati primernosti izbrane pravne podlage ali namenov oziroma obsega obdelave osebnih podatkov v konkretnem primeru. IP kot nadzorni organ na področju varstva osebnih podatkov v okviru mnenja tako ne more presojati skladnosti konkretnega ravnanja, ki ste ga opisali v vašem zaprosilu za mnenje, s predpisi s področja varstva osebnih podatkov.

IP nadalje pojasnjuje, da mora vsaka obdelava osebnih podatkov potekati transparentno in skladno z določbami Splošne uredbe. Ta v prvem odstavku 6. člena določa, da je obdelava osebnih podatkov zakonita le in kolikor je za konkretni namen obdelave izpolnjen eden od naslednjih pogojev:

(a)posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b)obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c)obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d)obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e)obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f)obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

Ob tem je treba upoštevati, da se zadnja točka (f) ne more uporabljati za obdelavo s strani javnih organov pri opravljanju njihovih nalog.

Čeprav ZVOP-2 razlikuje med javnim in zasebnim sektorjem, je področje delovnega prava specialno urejeno za oba sektorja v posebnih zakonih, predvsem v Zakonu o delovnih razmerjih (ZDR-1; Uradni list RS, št. 21/13, 78/13 – popr., 47/15 – ZZSDT, 33/16 – PZ-F, 52/16, 15/17 – odl. US, 22/19 – ZPosS, 81/19, 203/20 – ZIUPOPDVE, 119/21 – ZČmlS-A, 202/21 – odl. US, 15/22, 54/22 – ZUPŠ-1) in Zakonu o evidencah na področju dela in socialne varnosti (ZEPDSV; Uradni list RS, št. 40/06). Zaradi izrazite neenakosti moči strank v delovnopravnih razmerjih oziroma zaradi varstva delavca, ki je v razmerju do delodajalca zagotovo šibkejša stranka, je zakonodajalec to področje uredil strožje, zaradi česar na tem področju praviloma niti v zasebnem sektorju ne dopušča avtonomije strank v smislu, da bi delodajalec lahko brez podlage v zakonu od delavca zahteval katerekoli osebne podatke ali jih obdeloval na drugi pravni podlagi (npr. privolitev, pogodba, …). Delavec lahko namreč tudi na delovnem mestu utemeljeno pričakuje določeno stopnjo zasebnosti.

ZDR-1 v 48. členu določa, da se lahko osebni podatki delavcev zbirajo, obdelujejo, uporabljajo in posredujejo tretjim osebam samo, če je to določeno s tem ali drugim zakonom ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Nadalje v tretjem odstavku 48. člena določa, da se morajo osebni podatki delavcev, za zbiranje katerih ne obstoji več zakonska podlaga, takoj zbrisati in prenehati uporabljati.

Upoštevajoč določbe ZDR-1 lahko torej delodajalec osebne podatke delavca obdeluje samo, če ima za to podlago v zakonu ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Pri tem so mišljene pravic in obveznosti obeh, tako delavca kot delodajalca. Delodajalec mora natančno izkazati, zakaj je potrebna takšne obdelava (v konkretnem primeru posredovanje) osebnih podatkov delavca. Pri tem mora delodajalec v skladu s 46. členom ZDR-1 varovati in spoštovati delavčevo osebnost ter upoštevati in ščititi delavčevo zasebnost. Delodajalec mora torej paziti tudi na spoštovanje zasebnosti in dostojanstva delavca, odgovornost delodajalca pa narašča z intenzivnostjo posega v zasebnost. Če okoliščine delovnega razmerja tega ne terjajo oziroma če delodajalec ne izkaže, da je obdelava osebnih podatkov delavca potrebna zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem, jih ne sme obdelovati.

Ob tem IP opozarja na načelo najmanjšega obsega podatkov, ki določa, da morajo biti pod pogojem, da obstaja pravna podlaga, osebni podatki, ki se obdelujejo, ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Navedeno načelo pomeni, da je potrebno obdelovati samo toliko osebnih podatkov, kolikor je nujno potrebno za dosego zakonitega namena obdelave.

IP dodatno pojasnjuje, da je o vprašanjih glede relacije delodajalec - zaposleni obširno pisal v smernicah Varstvo osebnih podatkov v delovnih razmerjih. Smernice so dostopne na spletni strani IP:

https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_-_Varstvo_OP_v_delovnih_razmerjih_verzija_1.1_koncna.pdf

Glede prenosa osebnih podatkov v tretje države (v konkretnem primeru Kitajsko) IP uvodoma izpostavlja, da je v skladu z načelom odgovornosti upravljavec (v konkretnem primeru vaš delodajalec) tisti, ki je dolžan zagotoviti skladnost obdelave osebnih podatkov s Splošno uredbo, kar vključuje tudi zagotavljanje zakonitosti prenosov osebnih podatkov v tretje države.

Prenose osebnih podatkov v tretje države in mednarodne organizacije ureja Poglavje V Splošne uredbe, ki temelji na predpostavki, da se raven varstva osebnih podatkov zaradi prenosa v tretjo državo ne sme zmanjšati v primerjavi z varstvom, ki ga zagotavlja Splošna uredba. Upravljavec lahko na različne načine izkaže, da je raven varstva osebnih podatkov v tretji državi ustrezna: s sklepom o ustreznosti, ustreznimi zaščitnimi ukrepi ali na podlagi odstopanj v posebnih primerih.

Ker za Kitajsko sklep o ustreznosti ni bil sprejet, lahko upravljavec (izvoznik podatkov) na podlagi 46. člena Splošne uredbe podatke prenese v to državo pod pogojem, da je predvidel ustrezne zaščitne ukrepe (za določene zaščitne ukrepe se zahteva tudi predhodno dovoljenje IP) ter da imajo posamezniki, na katere se nanašajo osebni podatki, na voljo izvršljive pravice in učinkovita pravna sredstva. Izvoznik in uvoznik podatkov morata pred prenosom osebnih podatkov na podlagi ustreznih zaščitnih ukrepov oceniti, ali ti tudi dejansko zagotavljajo jamstva, ki ustrezajo ravni varstva v EU in v nasprotnem primeru sprejeti dopolnilne zaščitne ukrepe (glede dopolnilnih zaščitnih ukrepov so relevantna predvsem priporočila Evropskega odbora za varstva podatkov (European Data Protection Board; v nadaljevanju: EDPB), dostopna na:

https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_en

EDPB v priporočilih izvoznikom svetuje, da na podlagi okoliščin vsakega posameznega primera določijo, kateri dopolnilni ukrepi so učinkoviti za prenos v določeno tretjo državo, zato da bo raven varstva primerljiva z zaščito, ki jo nudi Splošna uredba. Dopolnilni ukrepi imajo lahko pogodbeno, tehnično ali organizacijsko naravo ter se lahko medsebojno kombinirajo, zato da se izboljša raven zaščite osebnih podatkov. Primeri dopolnilnih ukrepov so navedeni v Dodatku II navedenih priporočil, vendar seznam ni izčrpen in lahko izvoznik glede na okoliščine primera uporabi tudi druge dopolnilne ukrepe.

Če za določeno državo ni bil sprejet sklep o ustreznosti in obenem tudi ni mogoče sprejeti omenjenih ustreznih zaščitnih ukrepov iz prejšnjih odstavkov, se lahko prenos izvede le v nekaterih posebnih primerih, ki so določeni v 49. členu Splošne uredbe. Prenos se lahko na podlagi pogojev iz tega člena izvede zgolj izjemoma, če prenos v tretjo državo z uporabo drugih mehanizmov varstva na podlagi 45. ali 46. člena Splošne uredbe resnično ni možen (oziroma dokler ni možen).

Splošna uredba določa tudi odstopanje od zgoraj navedenih pravil (t.i. odstopanje od odstopanj), v skladu s katerim je prenos osebnih podatkov v tretjo državo izjemoma dovoljen tudi, če niso izpolnjeni pogoji za uporabo nobenega izmed opisanih mehanizmov. Tovrstni prenosi podatkov so dopustni le izjemoma ob upoštevanju strogo določenih pogojev, predvsem se ne smejo ponavljati in lahko zadevajo le omejeno število posameznikov, o njih pa mora izvoznik podatkov obvestiti IP.

Več o prenosih osebnih podatkov si lahko preberete v Smernicah glede prenosa osebnih podatkov v tretje države in mednarodne organizacije po Splošni uredbi o varstvu podatkov in ZVOP-2, ki so dostopne na spletni strani IP:

https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice%20glede%20prenosa%20OP_v1.5.pdf

Smernice vsebujejo tudi več uporabnih povezav do dodatnega gradiva o prenosih podatkov v tretje države, npr. do priporočil EDPB in izvedbenih aktov Evropske Komisije, ki so izvoznikom osebnih podatkov lahko v pomoč pri vzpostavljanju ustreznih mehanizmov za prenos osebnih podatkov v tretje države.

Lepo vas pozdravljamo.

Pripravil

Matej Sironič, Svetovalec pooblaščenca za varstvo osebnih podatkov

Mojca Prelesnik, univ. dipl. prav., Informacijska pooblaščenka