Dopustnost prenosa podatkov v tretje države

Datum

19.09.2023

Številka

07121-1/2023/1163

Kategorije

Prenos osebnih podatkov v tretje države ali mednarodne organizacije

Pri Informacijskem pooblaščencu (IP) smo dne 7. 9. 2023 prejeli vaše zaprosilo za mnenje glede dopustnosti prenosov osebnih podatkov v tretje države (Kitajska, Rusija, Indija). Zanima vas, kakšne ustrezne zaščitne ukrepe mora izvoznik sprejeti, da bo prenos v navedene tretje države skladen s Splošno uredbo glede na različne kategorije podatkov, ki bi se tja prenašali. Dodatno sprašujete, kakšna je razdelitev vlog upravljavca in obdelovalca v primeru, da povezane družbe uporabljajo komunikacijske aplikacije kot so MS365, MS Teams, ipd. preko licence obvladujoče družbe. Glede vseh navedenih primerov vas zanima tudi, ali lahko zakoniti interes predstavlja pravno podlago za obdelavo osebnih podatkov.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

1.V skladu z načelom odgovornosti je upravljavec tisti, ki je dolžan zagotoviti skladnost obdelave osebnih podatkov s Splošno uredbo, vključno z zagotavljanjem zakonitosti prenosov osebnih podatkov v tretje države.

2.Kadar sklep o ustreznosti ni sprejet ali je bil razveljavljen, lahko upravljavec ali obdelovalec podatke prenese v tretjo državo pod pogojem, da je predvidel ustrezne zaščitne ukrepe ter da imajo posamezniki, na katere se nanašajo osebni podatki, na voljo izvršljive pravice in učinkovita pravna sredstva. Izvoznik in uvoznik morata pred prenosom osebnih podatkov na podlagi ustreznih zaščitnih ukrepov oceniti, ali ti tudi dejansko zagotavljajo jamstva, ki ustrezajo ravni varstva v EU in v nasprotnem primeru sprejeti dopolnilne zaščitne ukrepe.

3.Izvozniki morajo na podlagi okoliščin vsakega posameznega primera določiti, kateri dopolnilni ukrepi so učinkoviti za prenos podatkov v določeno tretjo državo, zato da bo raven varstva primerljiva z zaščito, ki jo nudi Splošna uredba. Dopolnilni ukrepi imajo lahko pogodbeno, tehnično ali organizacijsko naravo ter se lahko medsebojno kombinirajo, zato da se izboljša raven zaščite osebnih podatkov.

O b r a z l o ž i t e v:

IP uvodoma pojasnjuje, da izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka nima zakonskih pooblastil za presojo zakonitosti konkretnih obdelav osebnih podatkov in morebitnih kršitev pravic posameznikov, na katere se podatki nanašajo. Zato vnaprej ne more in ne sme presojati ustreznosti pravnih podlag za obdelavo podatkov in prenos v tretjo državo, ustreznosti zaščitnih ukrepov za prenos podatkov v tretjo državo, niti ne more ocenjevati, kdo v konkretnem primeru je upravljavec, obdelovalec ali podobdelovalec. V nadaljevanju vam zato podajamo zgolj splošna pojasnila in pravna izhodišča v zvezi z vašim dopisom.

IP izpostavlja, da je v skladu z načelom odgovornosti upravljavec tisti, ki je dolžan zagotoviti skladnost obdelave osebnih podatkov s Splošno uredbo, vključno z zagotavljanjem zakonitosti prenosov osebnih podatkov v tretje države.

a. Glede prenosov v tretje države

Prenose osebnih podatkov v tretje države in mednarodne organizacije ureja Poglavje V Splošne uredbe, ki temelji na predpostavki, da se raven varstva osebnih podatkov zaradi prenosa v tretjo državo ne sme zmanjšati v primerjavi z varstvom, ki ga zagotavlja Splošna uredba. Upravljavec lahko na različne načine izkaže, da je raven varstva osebnih podatkov v tretji državi ustrezna: s sklepom o ustreznosti, ustreznimi zaščitnimi ukrepi ali na podlagi odstopanj v posebnih primerih.

Kadar sklep o ustreznosti ni sprejet ali je bil razveljavljen, lahko upravljavec ali obdelovalec (v tem primeru izvoznik) na podlagi člena 46 Splošne uredbe podatke prenese v tretjo državo pod pogojem, da je predvidel ustrezne zaščitne ukrepe (za določene zaščitne ukrepe se zahteva tudi predhodno dovoljenje IP) ter da imajo posamezniki, na katere se nanašajo osebni podatki, na voljo izvršljive pravice in učinkovita pravna sredstva. Izvoznik in uvoznik morata pred prenosom osebnih podatkov na podlagi ustreznih zaščitnih ukrepov oceniti, ali ti tudi dejansko zagotavljajo jamstva, ki ustrezajo ravni varstva v EU in v nasprotnem primeru sprejeti dopolnilne zaščitne ukrepe (glede dopolnilnih zaščitnih ukrepov so relevantna predvsem priporočila Evropskega odbora za varstva podatkov (European Data Protection Board, EDPB), dostopna na: https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_en).

EDPB v priporočilih izvoznikom svetuje, da na podlagi okoliščin vsakega posameznega primera določijo, kateri dopolnilni ukrepi so učinkoviti za prenos v določeno tretjo državo, zato da bo raven varstva primerljiva z zaščito, ki jo nudi Splošna uredba. Dopolnilni ukrepi imajo lahko pogodbeno, tehnično ali organizacijsko naravo ter se lahko medsebojno kombinirajo, zato da se izboljša raven zaščite osebnih podatkov. Primeri dopolnilnih ukrepov so navedeni v Dodatku II navedenih smernic, vendar seznam ni izčrpen in lahko izvoznik glede na okoliščine primera uporabi tudi druge dopolnilne ukrepe.

Če tudi sklep o ustreznosti za določeno državo ni sprejet in če ni mogoče sprejeti ustreznih zaščitnih ukrepov, se lahko prenos izvede le v nekaterih posebnih primerih, ki so določeni v členu 49 Splošne uredbe. Prenos se lahko na podlagi pogojev iz tega člena izvede zgolj izjemoma, če prenos v tretjo državo z uporabo drugih mehanizmov varstva na podlagi člena 45 ali člena 46 resnično ni možen (oziroma dokler ni možen).

Splošna uredba določa tudi odstopanje od zgoraj navedenih pravil (tim. odstopanje od odstopanj), v skladu s katerim je izjemoma dovoljen tudi prenos osebnih podatkov v tretjo državo, če niso izpolnjeni pogoji za uporabo nobenega izmed opisanih mehanizmov. Tovrstni prenosi podatkov so dopustni le izjemoma ob upoštevanju strogo določenih pogojev, predvsem se ne smejo ponavljati in lahko zadevajo le omejeno število posameznikov, o njih pa mora izvoznik podatkov obvestiti IP.

Več o prenosih osebnih podatkov si lahko preberete v Smernicah glede prenosa osebnih podatkov v tretje države in mednarodne organizacije po Splošni uredbi o varstvu podatkov in ZVOP-2, ki so dostopne na spletni strani Informacijskega pooblaščenca (https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice%20glede%20prenosa%20OP_v1.5.pdf). Smernice vsebujejo tudi več uporabnih povezav do dodatnega gradiva o prenosih podatkov v tretje države, na primer do priporočil Evropskega odbora za varstvo podatkov in izvedbenih aktov Komisije, ki so vam lahko v pomoč pri vzpostavljanju ustreznih mehanizmov za prenos podatkov v tretje države.

b. Glede vloge upravljavca in obdelovalca

V skladu z definicijo iz 8. točke 4. člena Splošne Uredbe je obdelovalec fizična ali pravna oseba, javni organ, agencija ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca. Obdelovalec je torej subjekt, ki dejansko obdelujejo osebne podatke v imenu in za namene, ki jih določi upravljavec.

Upravljavec je po drugi strani tisti subjekt, ki usmerja obdelavo osebnih podatkov s tem da določa namene in sredstva njihove obdelave, zato je v skladu z načelom odgovornosti tudi odgovoren za skladnost obdelave podatkov z Splošno uredbo in nacionalnimi pravili glede varstva podatkov, ki jo mora biti sposoben tudi dokazati. Poleg tega je dolžnost upravljavca, da za obdelavo podatkov izbere obdelovalca, ki bo podatke obdeloval zakonito in pri tem spoštoval vse pravice posameznikov, na katere se podatki nanašajo, ter mu o tem na njegovo zahtevo tudi poročal. Pravni status upravljavca in obdelovalca naj bi sledila dejanskim okoliščinam obdelave podatkov, zato določitev upravljavca in obdelovalca v konkretnem primeru praviloma ne temelji na formalnih, temveč dejanskih okoliščinah obdelave.

Več o konceptu upravljavca in obdelovalca si lahko preberete v smernicah Evropskega odbora za varstvo podatkov, ki so dostopne na naslednji povezavi: https://edpb.europa.eu/system/files/2021-07/eppb_guidelines_202007_controllerprocessor_final_en.pdf.

c. Glede ustrezne pravne podlage za obdelavo osebnih podatkov

V skladu s členom 6(1) Splošne uredbe je obdelava osebnih podatkov zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:

(a) posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b) obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c) obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d) obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e) obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f) obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

Kot smo že pojasnili zgoraj, se IP kot nadzorni organ na področju varstva osebnih podatkov ne more vnaprej opredeljevati do vprašanja ustreznosti pravnih podlag za obdelavo osebnih podatkov v konkretnih primerih.

V upanju, da ste dobili odgovor na vaša vprašanja, vas lepo pozdravljamo.

Pripravila:

dr. Pika Šarf, Svetovalka IP za mednarodne odnose

Mojca Prelesnik, univ. dipl. prav., informacijska pooblaščenka