Na portalu Shopper’s Mind – sMind.si smo pred kratkim pisali o iznosu osebnih podatkov izven držav EU, še posebej v ZDA, ter s tem povezanimi obveznostmi za spletne trgovce in vse ostale upravljavce osebnih podatkov. Gre za izredno pomembno področje, zato smo se za dodatna strokovna pojasnila obrnili na Informacijskega pooblaščenca (IP) in opravili intervju z mag. Matjažem Drevom, državnim nadzornikom za varstvo osebnih podatkov pri IP. V nadaljevanju preverite, ali res poznate vse pomembne informacije.
Kaj so obveznosti podjetja oziroma spletnega trgovca, ki posreduje osebne podatke izven EU? Je za to potrebno posebno dovoljenje?
Podjetje, ki želi iznašati osebne podatke iz območja EU v tretje države (npr. jih tam shranjevati, analizirati ali kako drugače obdelovati), mora poskrbeti, da ima:
1.) pravno podlago za obdelavo osebnih podatkov,
2.) sprejete ukrepe za ustrezno zavarovanje osebnih podatkov in
3.) pravno podlago za iznos osebnih podatkov v tretje države.Pri iznosu osebnih podatkov iz EU v tretje države gre pogosto še za pogodbeno obdelavo osebnih podatkov (npr. podjetje v Sloveniji nastopa kot upravljavec in osebne podatke shrani pri podjetju iz ZDA, ki zato nastopa kot pogodbeni obdelovalec), zato mora v takih primerih obstajati ustrezna pogodba o pogodbeni obdelavi med obema podjetjema. Več o obveznosti upravljavcev pri pogodbeni obdelavi osebnih podatkov je na voljo v smernicah Informacijskega pooblaščenca na to temo.
Posebno dovoljenje oz. odločba Informacijskega pooblaščenca (IP) za iznos osebnih podatkov v tretje države je potrebna, če tretja država ni na seznamu t.i. varnih držav oziroma če iznosa ne omogoča veljaven mednarodni sporazum, kar velja za večji del sveta. Iznos v ZDA je dopusten na podlagi sporazuma Ščit zasebnosti, vendar le v tista podjetja, ki so pristopila k omenjenemu sporazumu.
Več pojasnil in smernic glede iznosa osebnih podatkov v tretje države in s tem povezanih obveznosti upravljavcev je na voljo na spletni strani IP.
Posebno dovoljenje Informacijskega pooblaščenca za iznos osebnih podatkov izven EU je potrebno, če tretja država ni na seznamu t.i. varnih držav.
Kakšno vlogo ima pri tem Informacijski pooblaščenec?
Poleg izdajanja odločb za iznos osebnih podatkov v tretje države v določenih primerih, kot je pojasnjeno zgoraj, Informacijski pooblaščenec kot inšpekcijski organ skrbi tudi za nadzor nad iznosom osebnih podatkov iz EU v tretje države. Osrednji namen zakonske ureditve tega področja je namreč zagotavljanje ustrezne ravni varstva osebnih podatkov tudi v primeru iznosa.
V primerih, ko podjetja ne izpolnjujejo zakonskih zahtev za iznos osebnih podatkov v tretje države, lahko zato IP uvede inšpekcijski postopek ter prepove iznos, če niso izpolnjeni zakonsko določeni pogoji. Če pa se ugotovijo kršitve, lahko IP začne tudi prekrškovni postopek. To pomeni, da v primeru ugotovljenih kršitev pri iznosu osebnih podatkov iz EU v ZDA, lahko podjetja v skrajnem primeru doletijo tudi sankcije.
Kaj za slovenska podjetja pomeni program Ščit zasebnosti EU/ZDA?
Mednarodni sporazum Ščit zasebnosti je vsebinsko naslednik podobnega sporazuma Varni pristan (Safe Harbour), ki ga je Sodišče EU oktobra 2015 razglasilo za neveljavnega. 12. julija 2016 je nato Evropska Komisija sprejela Sklep o ustreznosti varstva, ki ga zagotavlja Ščit zasebnosti EU/ZDA. Omogoča zakonit iznos osebnih podatkov iz EU v ZDA, toda le tistim podjetjem, ki so se samo-certificirala po predvidenem postopku in pristopila k sporazumu ter se s tem zavezala predvidenim standardom varstva osebnih podatkov.
Za slovenska podjetja omenjeni sporazum predstavlja preprost način iznosa osebnih podatkov v ZDA. Namesto predhodne odločbe Informacijskega pooblaščenca zadošča, da je posamezno podjetje iz ZDA formalno pristopilo k temu sporazumu. Seveda morajo biti izpolnjeni še pogoji iz točke 1 (pravna podlaga, zavarovanje, pogodba o pogodbeni obdelavi).
Slovensko podjetje lahko na tej povezavi preveri, ali je podjetje pristopilo k Ščitu zasebnosti. Več o Ščitu zasebnosti in iznosu osebnih podatkov v ZDA je na voljo na spletni strani Informacijskega pooblaščenca.
Za slovenska podjetja sporazum Ščit zasebnosti (Privacy Shield) predstavlja preprost način iznosa osebnih podatkov v ZDA.
Kaj so po vašem mnenju problematična področja tega programa?
Koncept varstva zasebnosti v ZDA je precej drugačen kot v EU, zato je osrednja skrb zagotoviti, da ne bi bila raven varstva osebnih podatkov v ZDA dejansko nižja, oziroma nadzor nad tem, kaj se z našimi podatki dogaja, bistveno manjši, kot če podatke obdržimo znotraj ozemlja EU.
Bistveno vprašanje je torej, ali bodo s Ščitom zasebnosti predvideni mehanizmi varstva osebnih podatkov, ko se ti znajdejo v ZDA, dejansko učinkoviti. To pa bo pokazala šele praksa, saj je Ščit zasebnosti v veljavi razmeroma kratek čas. Prav analiza dejanske učinkovitosti bo predmet vsakoletnega skupnega pregleda delovanja Ščita zasebnosti, pri katerem bodo sodelovali tudi predstavniki Delovne skupine nadzornih organov za varstvo osebnih podatkov iz držav članic EU po členu 29 (WP 29). Prvi pregled bo potekal predvidoma v septembru in bo torej ključni trenutek za oceno zanesljivosti in učinkovitosti mehanizma Ščita zasebnosti.
Ključna pri pregledu bi morala biti po mnenju nadzornih organov iz EU po eni strani vprašanja ustreznosti in nadzora glede dostopanja ameriških (proti)obveščevalnih služb do podatkov, ki prihajajo v ZDA iz EU. Po drugi strani pa bi morali v okviru pregleda preveriti tudi delovanje in obstoj pravnih jamstev, med drugim v zvezi z avtomatiziranim odločanjem in vsebino morebitnih navodil, ki jih je Ministrstvo za trgovino ZDA glede uporabe načel Ščita zasebnosti posredovalo organizacijam, ki delujejo kot obdelovalci (posredniki).
Vas zanima več?
Preberite tudi:
