Prenosi osebnih podatkov v države zunaj Evropskega gospodarskega prostora (EGP) so pogosto bistveni za mednarodno trgovino ali sodelovanje. Vaše majhno ali srednje veliko podjetje (MSP) bo morda moralo v okviru svojih dejavnosti prenesti osebne podatke v državo zunaj EGP, na primer kadar morate osebne podatke deliti s poslovnimi partnerji ali dobavitelji, ki imajo sedež zunaj EGP.
Splošna uredba o varstvu podatkov vsebuje posebne določbe za take prenose. S temi določbami je cilj Splošne uredbe o varstvu podatkov zagotoviti enakovredno raven varstva z varstvom, ki je zagotovljeno v EGP.
Kdaj pride do prenosa osebnih podatkov izven EGP?
Splošna uredba o varstvu podatkov ne opredeljuje takih prenosov. EOVP je opredelil naslednja tri kumulativna merila za opredelitev prenosa izven EGP:
- za upravljavca ali obdelovalca velja Splošna uredba o varstvu podatkov za zadevno obdelavo;
- ta upravljavec ali obdelovalec s prenosom ali kako drugače da na voljo osebne podatke drugi organizaciji (upravljavec ali obdelovalec);
- ta druga organizacija je v državi zunaj EGP ali je mednarodna organizacija.
Kako prenesti osebne podatke izven EGP?
Skratka, Splošna uredba o varstvu podatkov določa omejitve pri prenosu osebnih podatkov izven EGP, v države zunaj EGP ali mednarodne organizacije, da se zagotovi, da raven varstva posameznikov, ki jo zagotavlja Splošna uredba o varstvu podatkov, ostane enaka.
Osebni podatki se lahko prenesejo izven EGP le v skladu s pogoji za take prenose, določenimi v poglavju V Splošne uredbe o varstvu podatkov.
Poleg splošne skladnosti z drugimi pravili Splošne uredbe o varstvu podatkov je treba upoštevati pogoje za prenose. Ti pogoji na primer predstavljajo dodatno zahtevo poleg osnovnih načel obdelave, ki jih je treba upoštevati tudi v okviru mednarodnih prenosov. Pri prenosu osebnih podatkov se morate še vedno prepričati, da imate ustrezno pravno podlago za obdelavo; da izvajate potrebne varnostne ukrepe; da obdelujete samo osebne podatke, potrebne za to določeno dejavnost obdelave (načelo najmanjšega obsega podatkov), itd. Če prejemnik osebnih podatkov deluje kot obdelovalec podatkov, ste še vedno zakonsko zavezani k sklenitvi pogodbe, tako kot bi to veljalo za obdelovalca v EGP.
V skladu s Splošno uredbo o varstvu podatkov obstajata načeloma dva glavna načina za prenos osebnih podatkov v državo zunaj EGP ali mednarodno organizacijo. Prenosi se lahko izvedejo na podlagi sklepa o ustreznosti ali, če take odločitve ni, na podlagi ustreznih zaščitnih ukrepov, vključno z izvršljivimi pravicami in pravnimi sredstvi za posameznike. Kadar sklep o ustreznosti ali ustrezni zaščitni ukrepi ne obstajajo, Splošna uredba o varstvu podatkov v določenih primerih dovoljuje nekatera odstopanja.
Več informacij o različnih možnostih najdete spodaj.
Prenosi podatkov na podlagi sklepa o ustreznosti
Evropska komisija ima možnost, da sprejme sklepe o ustreznosti, s katerimi z zavezujočim učinkom za države EGP uradno potrdi, da je raven varstva podatkov v državi zunaj EGP ali mednarodni organizaciji v bistvu enakovredna ravni varstva v Evropskem gospodarskem prostoru.
Evropska komisija pri ocenjevanju ustreznosti ravni varstva upošteva elemente, kot so pravna država, spoštovanje človekovih pravic in temeljnih svoboščin, pa tudi to, ali so pravice posameznikov, na katere se nanašajo osebni podatki, učinkovite in izvršljive, obstoj in učinkovito delovanje neodvisnega organa za varstvo podatkov v državi zunaj EGP ter mednarodne zaveze, ki jih je država ali mednarodna organizacija sprejela.
Če Evropska komisija odloči, da država zagotavlja ustrezno raven varstva in sprejme sklep o ustreznosti, se lahko osebni podatki prenesejo drugemu podjetju ali organizaciji v tej državi zunaj EGP, ne da bi izvoznik podatkov, tj. subjekt, ki podatke prenaša, moral zagotoviti dodatne zaščitne ukrepe ali da bi zanje veljali dodatni pogoji v zvezi z mednarodnimi prenosi. Z drugimi besedami, prenosi v „ustrezno“ državo zunaj EGP bodo primerljivi s prenosom podatkov znotraj EGP. Vendar pa bo vaša organizacija še vedno morala upoštevati druga temeljna načela Splošne uredbe o varstvu podatkov, kot je pojasnjeno zgoraj.
Sklepi o ustreznosti lahko zajemajo državo kot celoto ali so omejeni na njen del (npr. na regijo). Sklepi o ustreznosti lahko zajemajo vse prenose podatkov v državo ali so omejeni na nekatere vrste prenosov (npr. v enem sektorju).
Evropska komisija je doslej sprejela sklepe o ustreznosti za:
- Andoro,
- Argentino,
- Kanado (komercialne organizacije),
- Ferske otoke,
- Guernsey,
- Izrael,
- Otok Man,
- Japonsko,
- Jersey,
- Novo Zelandijo,
- Republiko Korejo,
- Švico,
- Združeno kraljestvo,
- Združene države Amerike (komercialne organizacije, ki sodelujejo v okviru za varstvo zasebnosti podatkov med EU in ZDA) in
- Urugvaj.
Evropska komisija je objavila seznam svojih sklepov o ustreznosti na svoji spletni strani.
Izvozniki podatkov so odgovorni za spremljanje, ali so sklepi o ustreznosti, ki so relevantni za njihove prenose, še vedno v veljavi in niso v postopku preklica ali razveljavitve.
Upoštevajte, da sklepi o ustreznosti posameznikom ne preprečujejo vložitve pritožbe. Prav tako organom za varstvo podatkov ne preprečujejo izvajanja njihovih pooblastil v skladu s Splošno uredbo o varstvu podatkov.
Prenosi podatkov na podlagi ustreznih zaščitnih ukrepov
Če sklep o ustreznosti ni sprejet, lahko organizacije osebne podatke prenesejo tudi, kadar je mogoče zagotoviti ustrezne zaščitne ukrepe v zvezi z organizacijo, ki prejme osebne podatke. Poleg tega mora biti posameznikom omogočeno uveljavljanje svojih pravic in na voljo morajo imeti učinkovita pravna sredstva.
46. člen Splošne uredbe o varstvu podatkov določa vrsto orodij za prenos, ki vsebujejo „ustrezne zaščitne ukrepe“, ki jih lahko uporabite za prenos osebnih podatkov v države zunaj EGP, če sklepi o ustreznosti ne obstajajo. Glavne vrste orodij za prenos v skladu s 46. členom Splošne uredbe o varstvu podatkov, ki so pomembna za zasebne organizacije, so:
- standardne pogodbene klavzule;
- zavezujoča poslovna pravila;
- kodeksi ravnanja;
- mehanizmi certificiranja;
- ad hoc pogodbena določila.
Standardne pogodbene klavzule
Standardne pogodbene klavzule so sklop standardiziranih pogodb, ki izvoznikom podatkov omogočajo, da zagotovijo ustrezne zaščitne ukrepe. To je orodje, ki ga pogosto uporabljajo številne organizacije. Evropska komisija je pooblaščena za sprejetje standardnih pogodbenih klavzul kot ustreznega zaščitnega ukrepa za prenos osebnih podatkov v države, ki niso članice EGP, v skladu s točko (c) drugega odstavka 46. člena Splošne uredbe o varstvu podatkov.
Evropska komisija je 4. junija 2021 sprejela Izvedbeni sklep o standardnih pogodbenih klavzulah za prenos osebnih podatkov v države, ki niso članice EGP, v skladu s Splošno uredbo o varstvu podatkov. Evropska komisija na svoji spletni strani objavila tudi nabor standardnih pogodbenih klavzul. Preberite več o standardnih pogodbenih klavzulah.
Standardne pogodbene klavzule obravnavajo različne scenarije prenosa in kompleksnost sodobnih obdelovalnih verig. Upravljavci in obdelovalci podatkov lahko uporabijo več možnosti, odvisno od posebnih okoliščin prenosa, med katerimi so:
- upravljavec prenaša podatke upravljavcu;
- upravljavec prenaša podatke obdelovalcu;
- obdelovalec prenaša podatke obdelovalcu;
- obdelovalec prenaša podatke upravljavcu, pri čemer je obdelovalec v EU in upravljavec v tretji državi.
Drugi pomembni vidiki standardnih pogodbenih klavzul so:
- možnost, da več kot dve stranki upoštevata klavzule;
- možnost, z nekaterimi izjemami, za uporabo standardnih pogodbenih določil pri prenosu osebnih podatkov podobdelovalcu v državo zunaj EGP;
- možnost, z nekaterimi izjemami, da se posamezniki sklicujejo na klavzule kot tretje upravičene osebe;
- pravila o odgovornosti med strankami v primeru kršitve pravic posameznikov;
- pravica posameznikov do odškodnine za nastalo škodo, če so bile kršene njihove pravice tretje upravičene osebe;
- zahtevo po izvedbi „ocene učinka prenosa“, v kateri so dokumentirane posebne okoliščine prenosa, zakoni v namembni državi in dodatni zaščitni ukrepi, vzpostavljeni za zavarovanje osebnih podatkov;
- obveznosti v primeru dostopa javnih organov do prenesenih podatkov, npr. obveznost zagotavljanja informacij izvoznikom podatkov in izpodbijanja nezakonitih zahtev.
Zavezujoča poslovna pravila (BCR)
Zavezujoča poslovna pravila pomagajo zagotoviti ustrezno raven varstva podatkov, izmenjanih znotraj skupine podjetij, ki se nahajajo v EGP in zunaj nje in so primernejša za večnacionalno skupino podjetij, ki izvaja veliko število prenosov podatkov.
Zavezujoča poslovna pravila so notranja pravila, ki jih sprejme skupina podjetij in ki določajo njihovo splošno politiko prenosa osebnih podatkov. Ta pravila morajo biti zavezujoča in jih morajo spoštovati vsi subjekti v skupini, ne glede na državo gostiteljico. Poleg tega morajo posameznikom izrecno podeliti izvršljive pravice v zvezi z obdelavo njihovih osebnih podatkov.
Pogoji, ki jih je treba upoštevati, da pristojni organ za varstvo podatkov odobri zavezujoče pravilo, so navedeni v 47. členu Splošne uredbe o varstvu podatkov in podrobneje pojasnjeni v priporočilih, ki jih je sprejela Delovna skupina 29 in jih je potrdil EOVP. Za upravljavce in obdelovalce je na voljo drugačen nabor.
Preberite več
Kodeksi ravnanja
Splošna uredba o varstvu podatkov uvaja to novo orodje za prenos podatkov. V nasprotju z zavezujočimi poslovnimi pravili, ki jih lahko neposredno pripravijo posamezne skupine podjetij, so kodeksi ravnanja sektorski in jih oblikujejo združenja, ki zastopajo kategorije organizacij. Vzpostaviti je treba sistem akreditiranih teles, ki spremljajo skladnost s kodeksom ravnanja. EOVP je prevzel pobudo za pojasnitev pogojev, pod katerimi lahko pristojni organi uporabljajo in odobrijo kodekse ravnanja. Poleg tega je EOVP odgovoren tudi za zagotavljanje skladnosti pogojev, pod katerimi se lahko akreditirajo organi za spremljanje.
Certificiranje
Splošna uredba o varstvu podatkov uvaja to novo orodje za prenos podatkov organizacijam, ki so jih certificirali certifikacijski organi ali organi za varstvo podatkov EGP.
EOVP je sprejel smernice za pojasnitev pogojev, pod katerimi se lahko vzpostavi mehanizem potrjevanja. To orodje je še vedno v razvoju.
EOVP je odgovoren tudi za zagotavljanje skladnosti pogojev za akreditacijo certifikacijskih organov.
Ad hoc pogodbena določila
Če se upravljavci ali obdelovalci podatkov odločijo, da ne bodo uporabljali standardnih pogodbenih klavzul Evropske komisije, lahko pripravijo lastna pogodbena določila („ad hoc“ pogodbena določila), ki zagotavljajo zadostne zaščitne ukrepe za varstvo podatkov. Pred kakršnim koli prenosom podatkov mora taka ad hoc pogodbena določila odobriti pristojni nacionalni organ za varstvo podatkov v skladu s točko (a) tretjega odstavka 46. člena Splošne uredbe o varstvu podatkov, in sicer na podlagi mnenja EOVP.
Preberite več
Dodatni ukrepi po sodbi Schrems II
Sodišče Evropske unije (v nadaljnjem besedilu: Sodišče) je v sodbi C-311/18 (Schrems II) iz leta 2020 poudarilo, da bi organizacije pri prenosu osebnih podatkov izven EGP morda morale zagotoviti dopolnilne ukrepe poleg ustreznih zaščitnih ukrepov.
Standardne pogodbene klavzule in druga orodja za prenos iz 46. člena Splošne uredbe o varstvu podatkov ne delujejo v vakuumu. Sodišče Evropske unije je navedlo, da so upravljavci ali obdelovalci podatkov, ki delujejo kot izvozniki, odgovorni, da za vsak primer posebej preverijo, ali zakonodaja ali praksa države, ki ni članica EGP, na primer zaradi zakonodaje, ki določa dostop do podatkov, vpliva na učinkovitost ustreznih zaščitnih ukrepov iz 46. člena Splošne uredbe o varstvu podatkov.
EOVP je sprejel priporočila za pomoč izvoznikom pri zapleteni nalogi ocenjevanja držav, ki prejemajo podatke, in po potrebi opredelitvi ustreznih dopolnilnih ukrepov.
Prenosi podatkov na podlagi odstopanj
Poleg sklepov o ustreznosti in 46. člena Splošne uredbe o varstvu podatkov vsebuje Splošna uredba še tretjo pot, ki omogoča prenos osebnih podatkov v določenih primerih. Pod posebnimi pogoji lahko osebne podatke še vedno prenesete na podlagi odstopanja iz 49. člena Splošne uredbe o varstvu podatkov.
49. člen Splošne uredbe o varstvu podatkov je izjemne narave. Odstopanja je treba razlagati na način, ki ni v nasprotju z naravo odstopanj kot izjem od pravila, da se osebni podatki ne smejo prenesti v državo, ki ni članica EGP, razen če ta država zagotavlja ustrezno raven varstva podatkov ali če so vzpostavljeni ustrezni zaščitni ukrepi. Odstopanja v praksi ne morejo postati „pravilo“, ampak jih je treba omejiti na izjemne primere.
Na podlagi 49. člena Splošne uredbe o varstvu podatkov se prenos ali niz prenosov lahko izvede, če je prenos:
- izveden z izrecnim soglasjem posameznika;
- potreben za izvajanje pogodbe med posameznikom in organizacijo ali za predpogodbene ukrepe, sprejete na zahtevo posameznika;
- potreben za izvajanje pogodbe, sklenjene v interesu posameznika med upravljavcem podatkov in drugo osebo;
- potreben iz pomembnih razlogov javnega interesa;
- potreben za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov;
- potreben za zaščito življenjskih interesov zadevnega posameznika ali drugih oseb, kadar posameznik fizično ali pravno ni sposoben dati privolitve ali
- izveden iz registra, ki je v skladu z nacionalno zakonodajo države EGP ali pravom EU namenjen zagotavljanju informacij javnosti (in ki je na voljo javnosti na splošno ali tistim, ki lahko izkažejo legitimen interes za pregled registra).
Za oceno nujnosti prenosa je treba uporabiti določen „test nujnosti“. Pri tem preizkusu je treba oceniti, ali se prenos osebnih podatkov lahko šteje za potreben za poseben namen zadevnega odstopanja.
Kadar nobeno od zgoraj navedenih odstopanj ne velja za določeno situacijo, je mogoče prenesti podatke zaradi nujnih zakonitih interesov upravljavca podatkov.
Vendar so taki prenosi dovoljeni le, če:
- se prenos ne ponavlja (podobni prenosi se ne izvajajo redno);
- vključuje podatke, ki se nanašajo le na omejeno število posameznikov;
- je potreben zaradi nujnih zakonitih interesov organizacije (če nad takimi interesi ne prevladajo interesi posameznika);
- je predmet ustreznih zaščitnih ukrepov, ki jih je organizacija vzpostavila (glede na oceno vseh okoliščin prenosa) za varstvo osebnih podatkov in
- ga pri izvajanju svojih javnih pooblastil ne izvaja javni organ.
V teh primerih so organizacije dolžne obvestiti zadevni organ za varstvo podatkov o prenosu in posameznikom zagotoviti dodatne informacije.
Na splošno bi bilo treba odstopanja uporabiti le kot zadnjo možnost za oblikovanje okvira za prenos podatkov – organizacije bi morale najprej oceniti, ali ni mogoče uporabiti sklepa o ustreznosti ali ustreznega zaščitnega ukrepa.
Pri sklicevanju na 49. člen Splošne uredbe o varstvu podatkov morate upoštevati, da morajo organizacije, ki prenašajo podatke, upoštevati tudi druge določbe Splošne uredbe o varstvu podatkov (imeti morajo pravno podlago za posredovanje podatkov, izvajati varnostne ukrepe, minimizirati podatke, podpisati pogodbo, če je prejemnik obdelovalec podatkov itd.).