Prenos podatkov v ZDA

Datum

03.06.2026

Številka

07121-1/2026/528

Kategorije

Prenos osebnih podatkov v tretje države ali mednarodne organizacije

Pri Informacijskem pooblaščencu (IP) smo prejeli vaš dopis, v katerem pojasnjujete, da vaša družba, ustanovljena v Sloveniji, načrtuje vzpostavitev več spletni strani, namenjenih izključno ameriškemu trgu. S tem v zvezi na IP naslavljate več vprašanj:

1.Ali bi sploh šlo za prenos osebnih podatkov v tretjo državo po poglavju V Splošne uredbe, glede na to da bi bilo ciljno občinstvo izključno v ZDA?

2.Če gre za prenos — ali bi zadoščala pogodba o obdelavi + datacenter certifikacije brez standardnih določil o varstvu podatkov (SCCs), upoštevajoč, da gostitelj ni certificiran v okviru za varstvo zasebnosti podatkov med EU in ZDA (angl. Data Privacy Framework -  DPF)?

3.Ali bi lahko uporabili odstopanje po členu 49(1) Splošne uredbe?

4.Ali dejstvo da bi bili nekateri obdelovalci (Google) DPF certificirani, drugi (hosting) pa ne, vpliva na oceno skladnosti?

5.Ali bi zadoščal cookie consent banner z opt-in + izjava o zasebnosti z opisom prenosa podatkov v ZDA?

6.Ali bi bila struktura SLO d.o.o. → US LLC → US hosting problematična z vidika Splošne uredbe?

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, 40/25 – ZInfV-1 in 10/26 – ZP-1L, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba), ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Za opredelitev dejanja obdelave kot prenosa morajo biti izpolnjena tri kumulativna merila:

1.za upravljavca ali obdelovalca („izvoznika“) za določeno obdelavo velja Splošna uredba;

2.izvoznik osebne podatke, ki so predmet te obdelave, s posredovanjem razkrije ali kako drugače da na voljo drugemu upravljavcu, skupnemu upravljavcu ali obdelovalcu („uvozniku“); in

3.uvoznik je v tretji državi, ne glede na to, ali zanj za določeno obdelavo velja Splošna uredba oziroma ali je mednarodna organizacija.

Raven varstva osebnih podatkov se zaradi prenosa v tretjo državo ne sme zmanjšati v primerjavi z varstvom, ki ga zagotavlja Splošna uredba. Upravljavec lahko na različne načine izkaže, da je raven varstva osebnih podatkov v tretji državi ustrezna (pravne podlage za prenos podatkov v tretjo državo): s sklepom o ustreznosti, ustreznimi zaščitnimi ukrepi ali na podlagi odstopanj v posebnih primerih.

Evropska komisija je sprejela sklep o ustreznosti za ZDA, na podlagi katerega se lahko osebni podatki prenašajo tistim podjetjem, ki sodelujejo v Data Privacy Framework. V kolikor je torej podjetje na seznamu Data Privacy Framework, lahko osebne podatke prenašate na podlagi tega sporazuma. Z obdelovalci (tudi tistimi v tretjih državah) je potrebno skleniti pogodbo o obdelavi v skladu z 28. členom Splošne uredbe.

V skladu s 225. členom ZEKom-2 je namestitev piškotkov ali podobnih sledilnih tehnologij na terminalsko napravo uporabnika dovoljena le v primeru, da je uporabnik v namestitev privolil. Upravljavcu ni treba pridobiti predhodne privolitve le v primeru, da uporablja nujne piškotke in piškotke za prenos sporočila.

Obrazložitev

IP uvodoma pojasnjuje, da izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka nima zakonskih pooblastil za presojo zakonitosti konkretnih obdelav osebnih podatkov in morebitnih kršitev pravic posameznikov, na katere se podatki nanašajo. Zato vnaprej ne more in ne sme presojati ustreznosti pravnih podlag za obdelavo podatkov in prenos v tretjo državo, ustreznosti zaščitnih ukrepov za prenos podatkov v tretjo državo, niti ne more ocenjevati, kdo v konkretnem primeru je upravljavec, obdelovalec ali morebiti podobdelovalec. V nadaljevanju vam zato podajamo zgolj splošna pojasnila in pravna izhodišča v zvezi z vašim dopisom.

IP izpostavlja, da je v skladu z načelom odgovornosti upravljavec tisti, ki je dolžan zagotoviti skladnost obdelave osebnih podatkov s Splošno uredbo, vključno z zagotavljanjem zakonitosti prenosov osebnih podatkov v tretje države.

Kdaj gre za prenos podatkov v tretjo državo?

Splošna uredba ne vsebuje pravne opredelitve, kdaj gre za prenos osebnih podatkov v tretjo državo ali mednarodno organizacijo. Evropski odbor za varstvo osebnih podatkov (EDPB) je zato sprejel smernice, da bi pojasnil, v katerih primerih bi bilo potrebno uporabiti zahteve iz poglavja V Splošne uredbe, in v ta namen opredelil tri kumulativna merila za opredelitev dejanja obdelave kot prenosa:

1.za upravljavca ali obdelovalca („izvoznika“) za določeno obdelavo velja Splošna uredba;

2.izvoznik osebne podatke, ki so predmet te obdelave, s posredovanjem razkrije ali kako drugače da na voljo drugemu upravljavcu, skupnemu upravljavcu ali obdelovalcu („uvozniku“); in

3.uvoznik je v tretji državi, ne glede na to, ali zanj za določeno obdelavo velja Splošna uredba oziroma ali je mednarodna organizacija.

Če so izpolnjena vsa tri merila, gre za prenos in se uporablja poglavje V Splošne uredbe. 

Prvo merilo zahteva, da zadevna obdelava izpolnjuje zahteve iz člena 3 Splošne uredbe (ozemeljska veljavnost), tj. da za upravljavca ali obdelovalca za posamezno obdelavo velja Splošna uredba.

V povezavi z drugim merilom IP opozarja, da so lahko entitete znotraj iste skupine podjetij ločeni upravljavci in obdelovalci, IP pa v okviru neobvezujočega mnenja ne more konkretno presoditi izpolnjenost kriterijev. Pojma upravljavec in obdelovalec sta bila dodatno pojasnjena v smernicah EDPB 07/2020, ki so dostopne na: https://www.ip-rs.si/go?u=external%3Awww.edpb.europa.eu%2Four-work-tools%2Four-documents%2Fguidelines%2Fguidelines-072020-concepts-controller-and-processor-gdpr_sl . Upoštevati je potrebno, da so pojmi upravljavec, skupni upravljavec in obdelovalec funkcionalni pojmi – njihova opredelitev je odvisna glede na dejanske vloge strank pri določeni obdelavi podatkov. V vašem dopisu pojasnjujete, da bo SLO d.o.o. upravljavec osebnih podatkov, ni pa iz vašega zaprosila povsem jasno, kakšna bo vloga US LLC (ki je še v nastajanju) – bo ta družba skupni upravljavec s SLO d.o.o., ločen upravljavec, ali morebiti obdelovalec. Ustrezna opredelitev vlog posameznih akterjev je ključna, saj bodo od tega odvisne tudi njihove obveznosti po Splošni uredbi.  

Pri presoji, ali gre v konkretnem primeru za prenos, so vam lahko v pomoč Smernice EDPB št. 5/2021 o medsebojnem prepletanju člena 3 in določb o mednarodnih prenosih podatkov iz poglavja V Splošne uredbe (različica 2.0., sprejeta 14. 2. 2023), ki so dostopne na: https://www.ip-rs.si/go?u=external%3Awww.edpb.europa.eu%2Four-work-tools%2Four-documents%2Fguidelines%2Fguidelines-052021-interplay-between-application-article-3_sl .

Dopustne podlage za prenos po Splošni uredbi

Raven varstva osebnih podatkov se zaradi prenosa v tretjo državo ne sme zmanjšati v primerjavi z varstvom, ki ga zagotavlja Splošna uredba. Upravljavec lahko na različne načine izkaže, da je raven varstva osebnih podatkov v tretji državi ustrezna (pravne podlage za prenos podatkov v tretjo državo):

-s sklepom o ustreznosti (45. člen Splošne uredbe): glede na to, da podatke nameravate prenesti v ZDA (gostovanje, Google analitika in prikazovanje oglasov, pošiljanje novičnika), pojasnjujemo, da je Evropska komisija sprejela sklep o ustreznosti za ZDA, na podlagi katerega se lahko osebni podatki prenašajo tistim podjetjem, ki sodelujejo v Data Privacy Framework. Seznam podjetij je dostopen na spletni strani: https://www.dataprivacyframework.gov/list. V kolikor je torej podjetje na seznamu Data Privacy Framework, lahko osebne podatke prenašate na podlagi tega sporazuma.

-ustreznimi zaščitnimi ukrepi (46. člen Splošne uredbe): v praksi se podjetja najpogosteje poslužujejo standardnih pogodbenih klavzul, ki jih je sprejela Evropska komisija. Moduli standardnih pogodbenih klavzul so dostopni v dokumentu Izvedbeni sklep Komisije (EU) 2021/914 z dne 4. junija 2021, ki je dostopen na: https://eur-lex.europa.eu/legal-content/SL/TXT/?uri=uriserv%3AOJ.L_.2021.199.01.0031.01.SLV&toc=OJ%3AL%3A2021%3A199%3ATOC. Evropski odbor za varstvo podatkov je v pomoč izvoznikom pripravil priporočila o ukrepih, ki dopolnjujejo orodja za prenose, da se zagotovi skladnost s Splošno uredbo: https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_en. V priporočilih so predstavljeni tudi konkretni primeri glede implementacije različnih dopolnilnih zaščitnih ukrepov.

ali

-na podlagi odstopanj v posebnih primerih: v primerih, ko prenos ni mogoč na podlagi pravnih podlag iz prejšnjih dveh alinej in če je izpolnjen en od pogojev iz člena 49(1) Splošne uredbe. Če prenos tudi na tej podlagi ni mogoč, je pa nujen, se lahko prenos izvede ob izpolnjevanju vseh pogojev iz drugega pododstavka člena 49(1) Splošne uredbe, o tem prenosu pa mora upravljavec obvestiti tudi IP.

Ob tem je treba poudariti, da mora upravljavec zagotavljati skladnost z vsemi določbami Splošne uredbe, na primer za vsako obdelavo osebnih podatkov (kar je tudi prenos podatkov v tretjo državo) mora zagotoviti ustrezno pravno podlago iz 6. in 9. člena Splošne uredbe. Ker gre v opisanem primeru tudi za razmerje med upravljavcem in obdelovalcem (gostovanje, Google analitika in prikazovanje oglasov, pošiljanje novičnika), je treba v skladu z 28. členom Splošne uredbe razmerje tudi ustrezno pogodbeno urediti (ko gre za prenos osebnih podatkov od upravljavca iz EU k obdelovalcu v tretji državi, mora imeti upravljavec/izvoznik (i) pravno podlago za prenos v tretjo državo in (ii) sklenjeno ustrezno pogodbo o obdelavi z obdelovalcem).

Za razumljivejši pregled nad dopustnimi podlagami za prenose po Splošni uredbi je Informacijski pooblaščenec izdelal tudi infografiko: https://www.ip-rs.si/fileadmin/user_upload/Pdf/infografike/Prenos_osebnih_podatkov_v_dveh_korakih.pdf

Glede drugih orodij za prenose iz 46. člena in na splošno za več informacij o prenosih osebnih podatkov vas napotujemo na Smernice glede prenosa osebnih podatkov v tretje države in mednarodne organizacije po Splošni uredbi in ZVOP-2, ki so dostopne na spletni strani Informacijskega pooblaščenca: https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice%20glede%20prenosa%20OP_v1.5.pdf.

Glede piškotkov

Obveznosti upravljavcev spletnih strani glede piškotkov in drugih tehnologij za sledenje posameznikom ureja Zakon o elektronskih komunikacijah v 225. členu (Uradni list RS, št. 130/22, 18/23 – ZDU-1O in 40/25 – ZInfV-1, v nadaljevanju: ZEKom-2), ki praviloma namestitev piškotkov ali podobnih sledilnih tehnologij na terminalsko napravo uporabnika dovoljuje le v primeru, da je uporabnik v namestitev privolil, potem ko je bil jasno in izčrpno obveščen o okoliščinah obdelave podatkov.

Upravljavcu ni treba pridobiti predhodne privolitve le v primeru, da uporablja tim. nujne piškotke in piškotke za prenos sporočila. Nujni piškotki so le tisti, brez katerih ponudnik ne more nuditi storitve informacijske družbe uporabniku, ta pa je obenem jasno izrazil svojo voljo, da to storitev želi. Piškotki za prenos sporočila pa so piškotki, ki jih spletna stran potrebuje, da se prenese sporočilo, saj brez takega piškotka sporočila tehnično ne bi bilo mogoče prenesti v komunikacijskem omrežju. Ker gre za izjemi, ju je treba interpretirati ozko.

Upravljavec mora tudi glede podatkov, ki se obdelujejo v okviru piškotkov, posameznikom zagotoviti vse informacije o okoliščinah obdelave v skladu s členom 13 Splošne uredbe (vključno z informacijo, da upravljavec namerava osebne podatke prenesti v tretjo državo ter glede obstoja ali neobstoja sklepa Komisije o ustreznosti oziroma sklic na ustrezne ali primerne zaščitne ukrepe in sredstva za pridobitev njihove kopije), in sicer tudi v primeru, da obdeluje zgolj nujne piškotke in piškotke za prenos sporočila.

Lepo vas pozdravljamo.

Pripravila:

Sandra Kajtazović, univ. dipl. prav.

dr. Jelena Virant Burnik,

informacijska pooblaščenka