Katera pravila veljajo, če moja organizacija prenaša podatke zunaj EU?

Odgovor

V današnjem globaliziranem svetu prihaja do obsežnih čezmejnih prenosov osebnih podatkov, ki so včasih shranjeni na strežnikih v več različnih državah. Varstvo, ki ga zagotavlja splošna uredba o varstvu podatkov, potuje s podatki, kar pomeni, da se pravila o varstvu osebnih podatkov uporabljajo še naprej, ne glede na to, kje se hranijo podatki. To velja tudi v primeru, ko se podatki prenesejo v državo zunaj EU.

Splošna uredba o varstvu podatkov določa različna orodja za opredelitev prenosa podatkov iz EU v države zunaj EU:

včasih se lahko z odločbo Evropske komisije („odločbo o ustreznosti)“ država zunaj EU razglasi za državo, ki ponuja ustrezno raven varstva, kar pomeni, da lahko prenašate podatke v druga podjetja v tej državi zunaj EU, ne da bi izvoznik podatkov moral zagotoviti dodatne zaščitne ukrepe ali izpolnjevati dodatne pogoje. Z drugimi besedami, prenosi v „ustrezno“ tretjo državo so izenačeni s prenosi podatkov znotraj EU;
če odločba o ustreznosti ne obstaja, se prenosi lahko opravijo z zagotavljanjem ustreznih zaščitnih ukrepov in pod pogojem, da se posameznikom zagotovijo izvršljive pravice in učinkovita pravna sredstva. Taka ustrezna zaščitna sredstva med drugim vključujejo:
- v primeru povezane družbe ali skupine podjetij, ki opravljajo skupno gospodarsko dejavnost, lahko podjetja prenašajo osebne podatke na podlagi tako imenovanih zavezujočih poslovnih pravil;
- pogodbene dogovore s prejemnikom osebnih podatkov, ki na primer uporabljajo standardna pogodbena določila, ki jih je odobrila Evropska komisija;
- upoštevanje kodeksa ravnanja ali mehanizma potrjevanja, skupaj z zavezujočimi in izvršljivimi zavezami prejemnika glede uporabe ustreznih zaščitnih ukrepov za varstvo prenesenih podatkov;
v primeru predvidenega prenosa osebnih podatkov v tretjo državo, za katero ni bila sprejeta odločba o ustreznosti, in v primeru odsotnosti ustreznih zaščitnih ukrepov, se prenos lahko opravi na podlagi več odstopanj v posebnih okoliščinah, na primer kadar posameznik poda izrecno privolitev za predlagani prenos, potem ko so mu bile zagotovljene vse potrebne informacije o tveganjih, povezanih s prenosom.

Primer

Ste francosko podjetje, ki namerava razširiti svoje storitve v Južno Ameriko, zlasti Argentino, Urugvaj in Brazilijo. Najprej bi morali preveriti, ali je bila za te države sprejeta odločba o ustreznosti. V tem primeru sta za ustrezni državi razglašeni Argentina in Urugvaj. Osebne podatke boste lahko v ti dve državi zunaj EU prenašali brez kakršnih koli dodatnih zaščitnih ukrepov, medtem ko boste morali v primeru Brazilije, za katero ni bila sprejeta odločba o ustreznosti, vzpostaviti okvir za prenose z zagotavljanjem ustreznih zaščitnih ukrepov.

Reference

Poglavje V (členi 44–50); uvodne izjave 101–116 Splošne uredbe o varstvu podatkov
Najnovejše smernice Evropskega odbora za varstvo podatkov o mednarodnih prenosih
Glejte tudi sporočilo Evropske komisije z naslovom Izmenjava in varstvo osebnih podatkov v globaliziranem svetu, 10. januarja 2017

Example

You're a French company intending to expand its services to South America, notably Argentina, Uruguay and Brazil. The first step would be to check whether those third countries are subject to an Adequacy Decision. In this case, both Argentina and Uruguay have been declared adequate. You’d be able to transfer personal data to those two third countries without any additional safeguards while for transfers to Brazil which is not the subject of Adequacy Decision, you’ll have to frame your transfers by providing appropriate safeguards.

References

Chapter V, Articles (44 to 50) and Recitals (101) to (116) of the GDPR
EDPB's latest guidelines on International transfers:
See also for reference the European Commission Communication on Exchanging and Protecting Personal Data in a Globalised World 1, 10 January 2017

1 COM(2017)7 final