Iznos podatkov v tretje države in Ščit zasebnosti EU/ZDA – vse, kar morate spletni trgovci vedeti!

Kaj je iznos podatkov izven EU?

Iznos podatkov izven EU oziroma v tretje države pomeni, da podjetje iz Slovenije oziroma EU posreduje osebne podatke izven Evropske unije ali pa je dostop do podatkov omogočen organizacijam ali posameznikom izven EU, čeprav so podatki hranjeni znotraj Evropske unije.

Kdaj je iznos osebnih podatkov v tretje države dovoljen?

Da je posredovanje osebnih podatkov izven EU dovoljeno, morata biti izpolnjena 2 pogoja, ki jih navajajo na spletni strani Informacijskega pooblaščenca:

“1. Za posredovanje oziroma sporočanje in dajanje osebnih podatkov na razpolago upravljavcu ali uporabniku osebnih podatkov v tretji državi mora obstajati katera izmed pravnih podlag, ki so za javni sektor določene v 9. členu ZVOP-1, za zasebni sektor pa v 10. členu ZVOP-1. Pogodbenemu obdelovalcu (pravni ali fizični osebi, ki obdeluje osebne podatke v imenu in na račun upravljavca osebnih podatkov) se lahko osebni podatki posredujejo pod pogoji, določenimi v 11. členu ZVOP-1.

2. Ob izpolnjenem prvem pogoju je posredovanje osebnih podatkov uporabniku osebnih podatkov ali pogodbenemu obdelovalcu v tretji državi dopustno:

• Če Informacijski pooblaščenec (IP) izda odločbo, da država, v katero se iznašajo, zagotavlja ustrezno raven varstva osebnih podatkov.
• Iznos je po pridobitvi odločbe IP dopusten tudi, če izvoznik podatkov zagotovi ustrezne ukrepe zavarovanja osebnih podatkov ter temeljnih pravic in svoboščin posameznikov in navede možnosti njihovega uresničevanja ali varstva, predvsem v določbah pogodb ali v splošnih pogojih poslovanja.
• Brez predhodne odločbe IP je iznos dopusten pod pogoji iz 70. člena ZVOP-1.”

Katere države zagotavljajo ustrezno raven varstva osebnih podatkov?

Predhodna odločba Informacijskega pooblaščenca (IP) ni potrebna, če je tretja država na seznamu tistih držav, ki v celoti zagotavljajo ustrezno raven varstva osebnih podatkov ali pa to zagotavljajo delno, če se posredujejo tisti osebni podatki in za tiste namene, za katere je ugotovljena ustrezna raven varstva.

Preverite:

• za katere države IP potrjuje, da zagotavljajo ustrezno raven varstva osebnih podatkov » seznam 
• za katere države je Komisija ugotovila, da izpolnjujejo ustrezno raven varstva podatkov » seznam 

Kaj je Ščit zasebnosti EU/ZDA?

Ščit zasebnosti EU/ZDA (EU-US Privacy Shield), ki je v uporabi od 1. 8. 2016, ureja čezatlantsko izmenjavo osebnih podatkov med EU in ZDA in naj bi po mnenju Evropske unije zagotavljal večjo zaščito pri prenosu osebnih podatkov, obenem pa podjetjem omogočal večjo pravno varnost.

Dogovor o novem okviru za čezatlantsko izmenjavo osebnih podatkov za komercialne namene sta dosegli ameriška vlada in Evropska komisija, ki meni, da omogoča večje zaupanje potrošnikov pri prenosu njihovih osebnih podatkov v ZDA. Ščit zasebnosti je nasledil sporazum Varen pristan (Safe Harbour), ki je bil razveljavljen oktobra 2015.

Kaj je Varen pristan (Safe Harbour) in zakaj ne obstaja več?

Od leta 2000 je področje čezatlantskega prenosa osebnih podatkov urejal dogovor Varen pristan (Safe Harbour), mehanizem, v okviru katerega je zadnjih 15 let več kot 4000 podjetij vseh velikosti in panog zakonito prenašalo podatke iz Evrope v ZDA. Oktobra 2015 je Sodišče Evropske unije odločilo, da je ta dogovor neveljaven, saj njegova pravila niso več zadoščala poostrenim standardom. Informacijski pooblaščenci namreč niso mogli več predpostavljati, da je varovanje osebnih podatkov pri posameznem podjetju ustrezno že samo zato, ker je del Varnega pristana.

Kaj Ščit zasebnosti pomeni za podjetja v EU in Sloveniji?

Upravljalci osebnih podatkov v Sloveniji ali EU, ki za obdelavo teh podatkov uporabljajo storitve pogodbenih partnerjev iz ZDA, za prenos osebnih podatkov ne potrebujejo dovoljenja Informacijskega pooblaščenca, če je pogodbeni partner certificiran v okviru programa Ščit zasebnosti EU/ZDA (EU-US Privacy Shield), pišejo na spletni strani IP.

To, da je podjetje iz ZDA del programa Ščit zasebnosti pomeni, da je ustrezno samo-certificirano in da obdeluje osebne podatke v skladu s številnimi strogimi pravili o varstvu podatkov in drugimi zaščitnimi ukrepi. Odločitev podjetja, da se bo pridružilo programu, je prostovoljna.

Ščit zasebnosti EU/ZDA podjetjem, ki se pridružijo programu, nalaga:

• dodatne varnostne obveznosti glede prenosa osebnih podatkov
• zaščitne ukrepe in transparentnost v povezavi z dostopom do javnih podatkov
• večjo zaščito pravic prebivalcev EU
• mehanizem letnega pregleda politike varstva zasebnosti

Katera podjetja iz ZDA so se pridružila Ščitu zasebnosti, lahko pogledate tukaj »

Kateri so lahko problematični deli programa Ščit zasebnosti?

Delovna skupina evropskih nadzornih organov za varstvo osebnih podatkov ugotavlja, da Ščit zasebnosti (EU-US Privacy Shield) brez dvoma prinaša nekatere izboljšave, obenem pa poraja tudi določena problematična področja, ki jih povzemamo s spletne strani Informacijskega pooblaščenca. Delovna skupina želi tako na prvem letnem skupnem pregledu programa, ki bo septembra v ZDA, preveriti:

• obstoj pravnih jamstev v zvezi z avtomatiziranim odločanjem in vsebino morebitnih navodil, ki jih je Ministrstvo za trgovino ZDA glede uporabe načel Ščita zasebnosti že posredovalo organizacijam, ki delujejo kot obdelovalci (posredniki)
• pojasnila v zvezi z najnovejšimi spremembami ameriške zakonodaje in sodne prakse na področju zasebnosti kar se tiče uporabe osebnih podatkov za namene kazenskega pregona in nacionalne varnosti
• natančne dokaze, da je v primerih množičnega zbiranja podatkov takšno zbiranje dejansko »usmerjeno, kolikor je to mogoče«, obdelava pa omejena in sorazmerna
• informacije v zvezi z imenovanjem štirih manjkajočih članov Nadzornega odbora za zasebnost in državljanske svoboščine
• informacije v zvezi z imenovanjem varuha pravic v okviru Ščita zasebnosti in glede postopkov, ki urejajo mehanizem delovanja varuha

Vas zanima več?

Preberite tudi:

• [INTERVJU] Mag. Matjaž Drev, državni nadzornik za varstvo osebnih podatkov