Cookies

We’re on a diet! We are using just essential cookies to give you the best experience possible. One is to remember your language setting and the other one is for putting this cookie box away for good. Please note that we do not collect nor process your personal data.

Allow Deny
IT Law logo
Swipe up
4 / 10 / 2017

SODIŠČE EU BO PRESOJALO VELJAVNOST UPORABE STANDANDARDNIH POGODBENIH KLAVZUL

Blog4 / 10 / 2017

SODIŠČE EU BO PRESOJALO VELJAVNOST UPORABE STANDANDARDNIH POGODBENIH KLAVZUL

Bodo standardne pogodbene klavzule razveljavljene

Max Schrems je včeraj uspel v novem postopku pred Višjim sodiščem na Irskem. Višje sodišče na Irskem je tako zaprosilo sodišče EU glede veljavnosti iznosa podatkov iz EU v ZDA na temelju standardnih pogodbenih klavzul. To sedaj pomeni, da obstaja možnost, da bo EU sodišče, podobno kot v svoji odločitvi iz leta 2015 glede Varnega pristana (Safe Harbour), odločilo, da standardne klavzule niso zakonit temelj prenosa osebnih podatkov med EU in ZDA.

Kaj so standardne pogodbene klavzule?

Standardne pogodbene klavzule so eden od mehanizmov prenosa osebnih podatkov iz EU v tretje države. So v pomoč upravljavcem, ki želijo osebne podatke prenesti točno določeni organizaciji iz tretje države, ki ne zagotavlja ustreznega varstva osebnih podatkov. Evropska komisija jih je oblikovala tipske pogodbe, ki jih izpolnita in skleneta upravljalec in uvoznik podatkov, ki je lahko pogodbeni obdelovalec ali pa upravljalec.

Uporabljene standardne pogodbene klavzule veljajo za takšne, ki zagotavljajo primerne zaščitne ukrepe glede varstva zasebnosti ter temeljnih pravic in svoboščin posameznikov in glede uresničevanja ustreznih pravic in Informacijski pooblaščenec v Sloveniji brez večjih težav izdaja dovoljenja za iznos podatkov na takšnem temelju. Sprejete standardne pogodbene klavzule hkrati zadostijo tudi vsem zahtevam iz 11. člena ZVOP-1, saj štejejo kot pisna pogodba med upravljavcem osebnih podatkov in pogodbenim obdelovalcem, iz katere so razvidne medsebojne pravice in obveznosti, poleg tega pa skupaj z obema dodatkoma vsebujejo tudi dogovor o postopkih in ukrepih za zavarovanje osebnih podatkov iz 24. člena ZVOP-1.

Kaj je problem?

Da bo sodišče EU o tem odločalo je bilo v strokovni javnosti več ali manj pričakovano, saj se lahko razlogovanje, ki je vodilo sodišče EU k razveljavitvi Safe Harbor mehanizma neposredno aplicira tudi na vse druge mehanizme prenosa podatkov, to je standardne pogodbene klavzule in zavezujoča korporativna pravila (BCR). Glavni pomislek je pomankanje učinkovitega varstva po pravu ZDA, ki ni enakovreden varstvu po členu 47. Listine EU o temeljnih pravicah za EU državljane katerih podatki so bili preneseni v ZDA in do katerih dostopajo državni organi v ZDA. Standardne pogodbene klavzule naj tako ne bi zagotavljale primernih ukrepov, ki bi adresili navedeni pomislek. Irsko sodišče tako zahteva od Sodišča EU, da ugotovi ali je diskrecijska pravica, ki jo ima nadzorni organ skaldno členu 28. Direktive o varstvu osebnih podatkov, da zavrne oziroma prepove prenos podatkov na temelju pravnega sistme države uvoznice zadostna, da zagotovi veljavnost uporabe standardnih pogodbenih klavzul.

Kaj pomeni odločitev Irskega višjega sodišča za upravljalce in pogodbene obdelovalce v Sloveniji, ki izvajajo prenose na temelju standardnih pogodbenih klavzul?

EU sodišče je že dokazalo, da je sposobno sprejemati pogumne odločitve v povezavi z varstvom osebnih podatkov. Zato morajo vsi tisti, ki uporabljajo SPK kot edino pravno podlago za prenos podatkov skrbno spremljati nadaljevanje postopka pred EU sodiščem in imeti pripravljene rezervne scenarije prenosa podatkov oziroma zagotavljanja skladnosti obdelave z zakonodajo. V naslednjih mesecih se pričakuje tudi prvo poročilo o pregledu delovanja Ščita zasebnosti (Privacy shield EU/ZDA), ki bo nedvomno ponudil odgovore o primernosti prava v ZDA, ki se nanaša na varstvo osebnih podatkov EU državljanov in bo lahko eden od pokazateljev bodoče odločitve EU sodišča.

 

Vesna Stankovic Juricic

CC BY