Prenosi podatkov v luči Splošne uredbe o varstvu osebnih podatkov (1. del)

25. maj 2018 se nezadržno bliža. S tem datumom se začne v vseh državah članicah Evropske unije (EU) neposredno uporabljati Splošna uredba o varstvu osebnih podatkov (General Data Protection Regulation, v nadaljevanju GDPR). GDPR bo nadomestila obstoječa nacionalna pravila o varstvu osebnih podatkov, med drugim tudi slovenski Zakon o varstvu osebnih podatkov (ZVOP-1).

Nacionalni zakonodajalec lahko sprejme samostojna pravila samo glede posameznih področij, ki jih GDPR izrecno določa, kot je na primer varstvo osebnih podatkov zaposlenih. Podjetja, ki izmenjujejo osebne podatke z drugimi podjetji in hranijo podatke - vedno pogosteje v oblaku IT-ponudnika ali pa njihove IT-sisteme vzdržujejo zunanji izvajalci - bodo morala upoštevati relevantne zahteve GDPR.

V prispevku (v dveh delih) bodo predstavljeni praktični napotki za upravljavce in obdelovalce osebnih podatkov glede prenosov osebnih podatkov z vidika prihajajočih pravnih pravil. GDPR namreč prinaša določene novosti tako za tiste, ki podatke posredujejo, kot za tiste, ki podatke sprejemajo. Tako bodo morali (neposredno) vsi (vključujoč pogodbene obdelovalce) odgovarjati zaradi nepravilnosti pri obdelavi podatkov ali zaradi neskladno sklenjenih relevantnih pogodb, in sicer so za kršitve zagrožene kazni v višini do 20 milijonov evrov oziroma 4 odstotkov svetovnega letnega prometa podjetja za prejšnje poslovno leto. Zato morajo podjetja podrobno preveriti relevantne določbe GDPR in izvesti interni pregled, kako zahteve GDPR glede prenosov podatkov vpeljati v svoje poslovne procese.

V vsakodnevnem življenju podjetja je težko predstavljivo, da si deležniki v poslovnem procesu ne bi izmenjevali podatkov. Podatki se tako prenašajo dobaviteljem, kupujejo od prodajalcev podatkov za namene trženja, obračun plač se izvaja centralizirano v koncernu za vse hčerinske družbe koncerna, klicni centri se nahajajo na primer v Indiji ali pa se podatki zaradi stroškovnih razlogov hranijo v ZDA, da navedemo zgolj nekaj najbolj izpostavljenih primerov.

V bodoče bo treba vedno, če bo šlo za osebne podatke fizičnih oseb, ki se nanašajo na določeno ali določljivo osebo (prvi odstavek 4. člena GDPR), preveriti, ali je posamezna izmenjava podatkov skladna s pravili GDPR. Kot "osebni podatki" se štejejo ime in priimek, elektronski naslov, morebitni hobiji, poklic, podatki o lokaciji, identifikacijska številka pa tudi IP-naslovi, prijavni (ang. login) podatki ali piškotki (v nadaljevanju podatki). Kot "posebni osebni podatki", ki zaradi svoje občutljivosti potrebujejo posebno varstvo, se štejejo na primer podatki o rasnem ali etničnem poreklu, političnem prepričanju, veri, zdravstvenem stanju, članstvu v sindikatu in v bodoče tudi genetski oziroma biometrični podatki (prvi odstavek 9. člena GDPR).

GDPR glede na razmerje oziroma porazdelitev odgovornosti zavezancev predvideva različna pravila igre, ki jih morajo slednji upoštevati pri izmenjavi podatkov. Tako je treba v prvem koraku preveriti, ali je izmenjava zakonita na podlagi vnaprej opredeljenih zakonskih razlogov ali privolitve posameznika. Prenos podatkov se lahko izvede tudi na podlagi pogodbene obdelave (prvi odstavek. 28. člena GDPR) ali kot izmenjava med "skupnimi upravljavci" (prvi odstavek. 26. člena GDPR).

Nadalje je treba preveriti, kje ima prejemnik podatkov svoj sedež. Če je prejemnik podatkov podjetje s sedežem v državi izven Evropskega gospodarskega prostora (EGP sestavljajo EU ter Islandija, Norveška in Lihtenštajn), ki ne zagotavlja (z vidika EU) ustreznega varstva podatkov, je treba (poleg koraka, opisanega v prejšnjem odstavku) zagotoviti ustrezne (pogodbene) garancije, da se zagotovi prenos podatkov, skladen z GDPR (46. člen GDPR).

Pravne podlage za prenos podatkov
Prenos podatkov je tako na podlagi obstoječe zakonodaje (ZVOP-1) kot bodoče GDPR dovoljen, če prenos dovoljuje zakon ali pa je podana privolitev posameznika (prvi odstavek 6. člena GDPR).

Zakonski razlogi
Kot zakonski razlog za obdelavo podatkov pride v poštev na primer 6. člen GDPR, ki opredeljuje, v katerih primerih lahko upravljavec obdeluje podatke. Upravljavec je skladno s 7. točko 4. člena GDPR vedno fizična oseba, podjetje ali javni organ, ki "sam ali skupaj z drugimi določa namene in sredstva obdelave". Pojem "obdelava" obsega skladno z 2. točko 4. člena GDPR tudi "vpogled, [...], razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa", tj. vsako obdelavo podatkov, katere končna posledica je prenos podatkov od enega telesa k drugemu.

Člen 6 GDPR prenos podatkov med drugim dovoljuje v naslednjih primerih:

- ko je to potrebno za sklenitev oziroma izvajanje pogodbe ali za izvajanje ukrepov pred sklenitvijo pogodbe (točka (b) prvega odstavka);
- za izpolnitev zakonske obveznosti (točka (c) prvega odstavka);
- v primeru zakonitih interesov upravljavca, ki prevladajo nad interesi ali temeljnimi pravicami in svoboščinami posameznika (točka (f) prvega odstavka).

Podjetja lahko tako podatke svojih strank na primer na podlagi točke (f) prvega odstavka 6. člena GDPR prenašajo dobaviteljem. Prenos podatkov je namreč redna akcesorna obveznost za izpolnjevanje pogodbenih obveznosti, v nasprotnem primeru stranke ne bi prejele pogodbeno dogovorjenega blaga. Poleg tega so podjetja na podlagi točke (c) prvega odstavka 6. člena GDPR upravičena podatke posredovati finančni upravi, če je to nujno zaradi izpolnjevanja z zakonom določenih davčnih obveznosti.

Veliko prenosov podatkov se bo lahko izvedlo na podlagi točke (f) prvega odstavka 6. člena GDPR. V tem primeru se lahko podatki vedno posredujejo, kadar zakoniti interesi podjetja prevladajo nad zaščitenimi interesi posameznika (tj. razumnimi pričakovanji posameznika glede na razmerje do posameznega podjetja, glej recital 47 GDPR). Čeprav je predmetno tehtanje interesov subjektivno in lahko (v odvisnosti od konkretnega primera) vodi k različnim interpretacijam ter posledično k pravni negotovosti, se v okviru predmetnega zakonskega razloga ponujajo določene priložnosti za koncerne, saj predmetna določba (pod določenimi pogoji) uvaja privilegij koncerna.

Nadaljevanje: Urban Kryštufek: Prenosi podatkov v luči Splošne uredbe o varstvu osebnih podatkov (1. del), Pravna praksa, 2018, št. 11.