- Napreden AI iskalnik za hitro iskanje primerov
- Dostop do celotne evropske in slovenske sodne prakse
- Samodejno označevanje ključnih relevantnih odstavkov
Podobni dokumenti
Ogledaj podobne dokumente za vaš primer.Prijavi se in poglej več podobnih dokumentov
Obveznost vodenja dnevnika obdelav in prenos osebnih podatkov v tretje države po ZVOP-2
Z nami najdeš vse. Preizkusi zdaj!
Samo zamislim si kaj bi rada da piše v sodbi, to vpišem v iskalnik, in dobim kar sem iskala. Hvala!
Tara K., odvetnica
Obveznost vodenja dnevnika obdelav in prenos osebnih podatkov v tretje države po ZVOP-2
Datum
12.04.2023
Številka
07121-1/2023/488
Kategorije
Prenos osebnih podatkov v tretje države ali mednarodne organizacije, Varnost osebnih podatkov
Informacijski pooblaščenec (v nadaljevanju IP) je po elektronski pošti prejel vaš dopis, v katerem nas sprašujete, ali se obveznost vodenja dnevnika obdelav nanaša na vas ter ali izjave o skladnosti določenih podjetij, ki jih naštevate, za prenos osebnih podatkov v tretje države ustrezajo ZVOP-2 in Splošni uredbi.
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.
Upravljavec mora sam opraviti presojo, ali se nanj nanaša obveznost vodenja dnevnika obdelav; žal vam IP tega v mnenju ne more potrditi ali ovreči, saj ne poznamo podrobnosti vaših procesov, prav tako pa nezavezujoče mnenje ni namenjeno zavezujoči presoji obveznosti. Prav tako morate glede prenosa v tretje države sami ugotoviti, ali je posredovanje osebnih podatkov upravljavcu ali pogodbenemu obdelovalcu v tretji državi ali mednarodni organizaciji dopustno, pri tem pa IP podaja nekatere usmeritve in nadaljnje informacije oziroma povezave.
Obrazložitev
IP uvodoma poudarja, da konkretnega in dokončnega odgovora o zakonitosti obdelave osebnih podatkov v okviru mnenja v nobenem primeru ne more podati, saj lahko IP posamezne primere obdelave podatkov konkretno presoja zgolj v okviru inšpekcijskega ali drugega upravnega postopka.
Dnevnik obdelav
Prvi odstavek 22. člena ZVOP-2, kot že sami ugotavljate, določa obveznost vodenja dnevnika obdelave, in sicer kadar se v avtomatiziranih sistemih obdelave osebnih podatkov izvajajo obsežne obdelave posebnih vrst osebnih podatkov, ali kadar gre za redno in sistematično spremljanje posameznikov, ali kadar je z oceno učinka ugotovljeno tveganje, ki ga je mogoče učinkovito upravljati z vodenjem dnevnika obdelave, ali če tako določa zakon.
Sami navajate, da ne izvajate obsežnih obdelav in ne obdelujete posebnih vrst podatkov, posameznikov ne spremljate redno in sistematično, ni tveganja, ki bi ga lahko učinkovito upravljali z vodenjem dnevnika. Vprašanje pa imate pri zadnji navedbi "če tako določa zakon", zato vas zanima, ali zakon določa ali ne določa vodenja dnevnika obdelav.
V zvezi s tem vam sporočamo, da je seveda na samem upravljavcu, da ustrezno ugotovi svoje obveznosti po ZVOP-2. IP sicer lahko pomaga z neobveznimi usmeritvami, vendar zavezujoče seveda ne moremo zatrditi, ali morate voditi dnevnik obdelav ali ne, saj ne poznamo vaših procesov, poleg tega v mnenju niti ne moremo podati takšnega zavezujočega zagotovila.
V zvezi z navedbo "če tako določa zakon" lahko jasno zapišemo, da je na tem mestu mišljeno, da za upravljavca velja obveznost vodenja dnevnika obdelav, če mu to nalaga ta ali drug zakon, kot na primer velja v skladu z Zakonom o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj ipd.
Več o obveznosti vodenja dnevnika obdelav si lahko preberete na: https://www.ip-rs.si/varstvo-osebnih-podatkov/obveznosti-upravljavcev/zavarovanje-oz-varnost-osebnih-podatkov
Prenos v tretje države
V zvezi z obvestili o skladnosti za prenos v tretje države štirih podjetij, ki jih navajate, naj uvodoma poudarimo, da IP v mnenju ne more presojati, ali ima določeno podjetje zagotovljene pogoje za izvajanje zakonitega prenosa osebnih podatkov v tretje države.
Če obstaja pravna podlaga za obdelavo osebnih podatkov, je posredovanje osebnih podatkov upravljavcu ali pogodbenemu obdelovalcu v tretji državi ali mednarodni organizaciji dopustno:
1.če Evropska komisija izda odločbo, da država, ozemlje, določen sektor v državi ali mednarodna organizacija, v katero se prenašajo, zagotavlja ustrezno raven varstva osebnih podatkov;
2.če izvoznik podatkov zagotovi ustrezne zaščitne ukrepe v skladu s členom 46 Splošne uredbe ter posameznikom zagotovi izvršljive pravice in učinkovita pravna sredstva;
3.če gre za posebne primere, ki so natančno določeni v členu 48 in 49 Splošne uredbe, v katerih so mogoča odstopanja.
V zvezi s prvo točko (odločba Evropske komisije) naj povemo, da za Združene države Amerike trenutno takšna odločba Komisije ni v veljavi, se pa pripravlja nova, ki naj bi bila sprejeta v kratkem. To pomeni, da se lahko v tem trenutku prenosi podatkov v ZDA vršijo le na podlagi ustreznih zaščitnih ukrepov iz člena 46 Splošne uredbe o varstvu podatkov (npr. na podlagi standardnih pogodbenih klavzul ali zavezujočih poslovnih pravil), oziroma če je to ustrezno tudi na podlagi katerih od izjem iz člena 49 Splošne uredbe o varstvu podatkov.
Ob tem je izvoznik podatkov dolžan oceniti, ali bo prenesenim podatkom zagotovljena v bistvu enakovredna raven varstva podatkov tej v EU. Izvoznik podatkov mora preučiti relevantno zakonodajo in prakso javnih organov v ZDA in oceniti, ali morebitni dostopi javnih organov do prenesenih podatkov presegajo to, kar je sprejemljivo po pravu EU. V takem primeru lahko izvoznik prenese podatke le pod pogojem, da je mogoče z dopolnilnimi zaščitnimi ukrepi zagotoviti enakovredno raven varstva podatkov. Kako opraviti navedeno oceno in kaj so dopolnilni zaščitni ukrepi, si preberite v Priporočilih 01/2020 o ukrepih, ki dopolnjujejo orodja za prenos, da se zagotovi skladnost z v EU zagotovljenim varstvom osebnih podatkov:
• https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_en;
in v Priporočilih 02/2020 Evropskega odbora za varstvo podatkov glede evropskih bistvenih jamstev:
• https://edpb.europa.eu/sites/default/files/files/file1/edpb_recommendations_202002_europeanessentialguaranteessurveillance_sl.pdf.
Bistveno več od teh splošnih pojasnil in napotila še na spletno stran IP (https://www.ip-rs.si/varstvo-osebnih-podatkov/obveznosti-upravljavcev/prenos-osebnih-podatkov-v-tretje-dr%C5%BEave-in-mednarodne-organizacije/) vam v mnenju žal ne moremo podati. Vsekakor bi lahko IP skladnost prenosov v tretje države ocenjeval izključno v nadzornem postopku in ne vnaprej v mnenju, v katerem nam tudi ni dostopna vsa relevantna dokumentacija in sodelovanje upravljavca osebnih podatkov.
Zagotovimo vam lahko, da dokler Evropska komisija ne sprejme nove odločbe o ustrezni ravni varstva osebnih podatkov v ZDA, so prenosi v to državo podvrženi predvsem ureditvi, ki nalaga obstoj ustreznih zaščitnih ukrepov.
Žal se IP izven nadzornega postopka ne more opredeliti o tem, ali je prenos osebnih podatkov v tretje države omenjenim upravljavcem osebnih podatkov dopusten ali ne, glede morebitnih pogodb, ki jih morate v primeru neskladnosti skleniti, pa vam svetujemo, da si natanko ogledate informacije, dosegljive prek zgoraj navedenih povezav.
V upanju, da ste dobili odgovor na svoje vprašanje, vas lepo pozdravljamo.
Mojca Prelesnik, univ.dipl.prav., informacijska pooblaščenka
Pripravila
mag. Polona Merc, univ. dipl. prav., svetovalka IP za varstvo osebnih podatkov