Posredovanje osebnih podatkov podjetju v tujini

Datum

24.04.2023

Številka

07120-1/2023/235

Kategorije

Posredovanje osebnih podatkov, Privolitev, Šolstvo, Prenos osebnih podatkov v tretje države ali mednarodne organizacije

Pri Informacijskem pooblaščencu (IP) smo dne 17. 4. 2023 prejeli vaše zaprosilo za mnenje glede dopustnosti posredovanja osebnih podatkov. Navajate, da ste kot izobraževalna ustanova od tujega podjetja prejeli zaprosilo za posredovanje podatkov o izobrazbi vašega nekdanjega dijaka. Prošnji za posredovanje je podjetje priložilo tudi privolitev posameznika, na katerega se podatki nanašajo, za obdelavo osebnih podatkov s strani navedenega tujega podjetja.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba), 76. člena Zakona o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (Uradni list RS, št. 177/20, ZVOPOKD) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

1.1. Posredovanje osebnih podatkov je dopustno le, če sta izpolnjena formalni (procesni) in vsebinski (materialni) pogoj: prosilec za osebne podatke zaprosi s predložitvijo zahteve, ki vsebuje vse predpisane sestavne dele, in v njej navede ustrezno pravno podlago za posredovanje podatkov ter utemelji, zakaj podatke potrebuje.

2.2. Posredovanje osebnih podatkov ni omejeno na pravne osebe, inkorporirane v Republiki Sloveniji, temveč zakon pod enakimi pogoji dopušča tudi posredovanje osebnih podatkov pravnim osebam iz tujine.

3.3. Zahteva za posredovanje osebnih podatkov mora v primeru, da se bodo osebni podatki obdelovali tudi izven EU (tj. prenos v tretjo državo), poleg splošne pravne podlage za obdelavo podatkov, vsebovati tudi navedbo pravne podlage za prenos podatkov v vsako izmed navedenih tretjih držav.

Obrazložitev

IP uvodoma pojasnjuje, da izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka nima zakonskih pooblastil za presojo zakonitosti konkretnih obdelav osebnih podatkov in morebitnih kršitev pravic posameznikov, na katere se podatki nanašajo. V nadaljevanju vam zato podajamo zgolj splošna pojasnila in pravna izhodišča v zvezi z vašim dopisom.

V skladu z definicijo iz 3. točke prvega odstavka 5. člena ZVOP-2 javne zavode uvrščamo med osebe javnega sektorja.

Postopek posredovanja osebnih podatkov s strani javnega sektorja urejata 39. in 41. člen ZVOP-2. Na podlagi prvega odstavka 39. člena ZVOP-2 lahko osebe javnega sektorja posredujejo osebne podatke drugim pravnim osebam na podlagi priložene zahteve iz prvega odstavka 41. člena ZVOP-2, iz katere izhaja veljavna pravna podlaga za pridobitev podatkov in utemeljenost zahteve. Posredovanje osebnih podatkov, ki jih hrani upravljavec (v obravnavanem primeru je to vaš izobraževalni zavod), je torej dopustno le, če sta izpolnjena formalni (procesni) in vsebinski (materialni) pogoj: prosilec za osebne podatke zaprosi s predložitvijo zahteve, ki vsebuje vse predpisane sestavne dele in v njej navede ustrezno pravno podlago za posredovanje podatkov ter utemelji, zakaj podatke potrebuje. Glede na določbe 39. in 41. člena ZVOP-2 posredovanje osebnih podatkov ni omejeno na pravne osebe, inkorporirane v Republiki Sloveniji, temveč zakon pod enakimi pogoji dopušča tudi posredovanje osebnih podatkov pravnim osebam iz tujine.

Glede zahteve za posredovanje podatkov ZVOP-2 določa, da mora vsebovati naslednje podatke:

1.podatke o vlagatelju zahteve (za fizično osebo: osebno ime, naslov stalnega ali začasnega prebivališča; za samostojnega podjetnika posameznika, posameznika, ki samostojno opravlja dejavnost, ter za pravno osebo: naziv oziroma firmo in naslov oziroma sedež in matično številko) ter podpis vlagatelja oziroma pooblaščene osebe;

2.pravno podlago za pridobitev zahtevanih osebnih podatkov;

3.namen obdelave osebnih podatkov oziroma razloge, ki izkazujejo potrebnost in primernost osebnih podatkov za dosego namena pridobitve;

4.predmet in številko ali drugo identifikacijo zadeve, v zvezi s katero so osebni podatki potrebni, ter navedbo organa ali drugega subjekta, ki obravnava zadevo;

5.vrste osebnih podatkov, ki naj se mu posredujejo;

6.obliko in način pridobitve zahtevanih osebnih podatkov.

Pravne podlage za obdelavo osebnih podatkov, kar vključuje tudi posredovanje podatkov so navedene v 6(1) členu Splošne uredbe, v skladu s katerim je obdelava osebnih podatkov zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:

(a)posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b)obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c)obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d)obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e)obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f)obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

Privolitev posameznika je vsaka prostovoljna, konkretna, informirana in nedvoumna izkazana volja posameznika, na katerega se nanašajo osebni podatki, s katero z izjavo ali jasnim pritrdilnim dejanjem izrazi soglasje z obdelavo osebnih podatkov, ki se nanašajo nanj. Več o privolitvi in njenih obveznih sestavinah lahko preberete na spletni strani IP: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/kljucna-podrocja-uredbe/privolitev/.

IP od tem opozarja, da iz priložene privolitve izhaja, da se bodo osebni podatki posameznika morda obdelovali tudi v državah izven EU, na primer v ZDA, Mehiki in na Filipinih, kar pomeni, da bo prišlo do prenosa v tretjo državo, za katerega mora upravljavec izkazati dodatno pravno podlago. Zato mora zahteva za posredovanje osebnih podatkov poleg splošne pravne podlage za obdelavo podatkov, vsebovati tudi navedbo pravne podlage za prenos podatkov v vsako izmed navedenih tretjih držav.

Prenose osebnih podatkov v tretje države in mednarodne organizacije ureja Poglavje V Splošne uredbe, ki temelji na predpostavki, da se raven varstva osebnih podatkov zaradi prenosa v tretjo državo ne sme zmanjšati v primerjavi z varstvom, ki ga zagotavlja Splošna uredba. Upravljavec lahko na različne načine izkaže, da je raven varstva osebnih podatkov v tretji državi ustrezna (pravne podlage za prenos podatkov v tretjo državo): s sklepom o ustreznosti, ustreznimi zaščitnimi ukrepi ali na podlagi odstopanj v posebnih primerih.

Več o prenosih osebnih podatkov si lahko preberete v Smernicah glede prenosa osebnih podatkov v tretje države in mednarodne organizacije po Splošni uredbi o varstvu podatkov in ZVOP-2, ki so dostopne na spletni strani Informacijskega pooblaščenca: https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice%20glede%20prenosa%20OP_v1.5.pdf).

V upanju, da ste dobili odgovor na vaša vprašanja, vas lepo pozdravljamo.

Pripravila

dr. Pika Šarf, Svetovalka IP za mednarodne odnose

Mojca Prelesnik, univ. dipl. prav., informacijska pooblaščenka