IT Law logo
News

Evropski odbor za varstvo podatkov sprejel Smernice o kodeksih ravnanja kot orodje za prenos osebnih podatkov

Evropski odbor za varstvo podatkov (EDPB) je 7.6.2021 sprejel Smernice o kodeksih ravnanja kot orodje za prenose. Glavni namen Smernic je pojasniti uporabo členov 40/3 in 46/2 (e) Splošne uredbe o varstvu osebnih podatkov (v nadaljevanju, GDPR). Ta člena določata, da lahko po odobritvi pristojnega nadzornega organa in po tem, ko mu je Komisija podelila splošno veljavnost v EGP, kodeks ravnanja upoštevajo in uporabljajo tudi upravljavci in obdelovalci, za katere GDPR ne velja, da zagotovijo ustrezne zaščitne ukrepe za prenose podatkov zunaj EU.


Smernice dopolnjujejo Smernice EDPB 1/2019 o kodeksih ravnanja, ki določajo splošni okvir za sprejemanje kodeksov ravnanja ter postopke in pravila, povezana s predložitvijo, odobritvijo in objavo kodeksov na nacionalni in evropski ravni.


Poleg tega, da so kodeksi učinkovito orodje za ugotavljanje odgovornosti, lahko zagotovijo tudi dosledne pristope k skladnosti z GDPR na ravni celotnega sektorja. Spoštovanje odobrenega kodeksa ravnanja bo tudi dejavnik, ki ga bodo nadzorni organi upoštevali pri ocenjevanju posebnih značilnosti obdelave podatkov, kot je varnost podatkov, ocenjevanju učinka obdelave v okviru ocene učinka v zvezi z varstvom podatkov ali pri izrekanju upravne globe.


Nove smernice bodo kmalu na voljo na spletni strani EDPB.


Ana Novinec


18 / 7 / 2021 18
Jul
2021

EK odločila: prenos podatkov med EU in Združenim kraljestvom se lahko nadaljuje

Evropska komisija (v nadaljevanju, EK) je 28.6.2021 s sklepom o ustreznosti (v nadaljevanju, sklep) uradno priznala, da je zakonodaja Združenega kraljestva o varstvu podatkov ustrezna za omogočanje prostega pretoka osebnih podatkov iz Evropskega gospodarskega prostora v Združeno kraljestvo. To pomeni, da se lahko osebni podatki še naprej prosto prenašajo iz EU v Združeno kraljestvo, ne da bi morali upravljalci in obdelovalci sprejeti dodatne ukrepe.


Zaenkrat se sklep ne nanaša na osebne podatke, ki se posredujejo za namene nadzora priseljevanja v Združeno kraljestvo ali ki so drugače izvzeti iz nekaterih pravic posameznikov, na katere se nanašajo osebni podatki, za namene vzdrževanja učinkovitega nadzora priseljevanja (izjema za priseljevanje). Izjema za priseljevanje je bila med komentatorji pogosto kritizirana kot sporna izjema v Zakonu o varstvu podatkov Združenega kraljestva iz leta 2018. Zaradi tega je organizacija Open Rights Group (ORG) proti vladi sprožila pravni postopek, v katerem je trdila, da ministrstvo za notranje zadeve izjemo uporablja z namenom, da ljudem onemogoča dostop do njihovih osebnih podatkov, ter da je "veliko preširoka in nenatančna". Prizivno sodišče Združenega kraljestva je 26.5.2021 potrdilo, da se strinja z ORG, in navedlo, da izjema za priseljevanje v sedanji obliki ni združljiva z zakonodajo Združenega kraljestva. Sodišče je navedlo, da izjema za priseljevanje ne vsebuje potrebnih zakonodajnih zaščitnih ukrepov, ki so navedeni v členu 23(2) Splošne uredbe o varstvu podatkov Združenega kraljestva. V sklepu EK je navedeno, da bosta, ko bo Združeno kraljestvo odpravilo to nezdružljivost, izjema za priseljevanje in področje uporabe sklepa ponovno ocenjena.


Namigovanja Združenega kraljestva na morebitno odstopanje od evropskih standardov, določenih v Splošni uredbi o varstvu podatkov (v nadaljevanju, GDPR), je imelo za posledico, da je EK v sklepu o ustreznosti prvič uporabila štiriletno klavzulo o prenehanju veljavnosti. Sklep EK se bo namreč uporabljal za začetno obdobje štirih let. Podaljša se lahko za štiri leta, če EK pri spremljanju izvajanja sklepa ugotovi, da Združeno kraljestvo še vedno ustrezno varuje osebne podatke, vendar se v tem primeru postopek sprejemanja sklepa začne znova. Če pa EK meni, da Združeno kraljestvo ne ohranja več ustreznega varstva in da državni organi v določenem časovnem okviru ne sprejmejo ustreznih korektivnih ukrepov, lahko EK delno ali v celoti začasno ali trajno razveljavi odločbo.


Posledice sklepa o ustreznosti:


Čeprav je sklep nedvomno dobra novica, še vedno obstajajo področja ureditve varstva podatkov v Združenem kraljestvu, ki so lahko predmet pravnega izpodbijanja in ogrožajo dolgoročni status ustreznosti ureditve Združenega kraljestva. Tako so na primer skupine za varstvo pravice do zasebnosti in parlament EU izrazili pomisleke glede režima Združenega kraljestva za množični nadzor. Vendar pa bi vsi takšni izzivi potrebovali nekaj časa, da bi se prebili skozi sodni postopek do Sodišča EU.


Bolj neposredno grožnjo predstavlja delovanje vlade Združenega kraljestva, ki pregleduje pristop Združenega kraljestva k regulaciji v svetu po Brexitu.


Delovna skupina za inovacije, rast in regulativno reformo (ki jo vodijo različni člani parlamenta) je prejšnji mesec objavila poročilo vladi, v katerem poziva k "pogumnemu novemu regulativnemu okviru Združenega kraljestva, ki bo temeljil na temeljnih načelih prava Združenega kraljestva". V poročilu je bilo predlagano, da se GDPR nadomesti z novo ureditvijo Združenega kraljestva za varstvo podatkov, ki bi bila "bolj sorazmerna". V poročilu je GDPR kritizirana kot "normativna in neprilagodljiva ter še posebej obremenjujoča za delovanje manjših podjetij in dobrodelnih organizacij".


Poleg tega je vlada Združenega kraljestva javno sporočila, da želi z novimi partnerji po svetu skleniti lastne "dogovore o ustreznosti ureditve Združenega kraljestva", da bi svojim organizacijam olajšala mednarodno pošiljanje podatkov. To je sprožilo zaskrbljenost, saj bi se lahko Združeno kraljestvo uporabljalo kot "zadnja vrata" za prenos podatkov EU v "nevarne" jurisdikcije. Sklep EK se te zaskrbljenosti zelo dobro zaveda, zato Komisija pravi, da bo "pozorno spremljala razmere", da bi "ocenila, ali se različni mehanizmi prenosa uporabljajo na način, ki zagotavlja kontinuiteto varstva, in po potrebi sprejela ustrezne ukrepe za odpravo morebitnih negativnih učinkov za takšno kontinuiteto", vendar da "se pričakuje, da bi se problematičnim razhajanjem lahko izognili tudi s sodelovanjem ter izmenjavo informacij in izkušenj med Uradom informacijskega pooblaščenca Združenega kraljestva in Evropskim odborom za varstvo poudarkov".


Strokovnjaki za varstvo podatkov si lahko torej oddahnejo, ker je bila v zadnjem trenutku sprejeta odločitev o ustreznosti, vendar pa lahko prihodnji politični dogodki pretresejo njeno stabilnost.


Ana Novinec


5 / 7 / 2021 05
Jul
2021

Nacionalni nadzorni organi lahko sprožijo postopek proti upravljalcu, katerega vodilni nadzorni organ je iz druge države članice

Sodišče Evropske unije (v nadaljevanju, SEU) je 15.6.2021 s sodbo v postopku predhodnega odločanja potrdilo, da lahko nacionalni nadzorni organ za varstvo osebnih podatkov v skladu z GDPR in pod določenimi pogoji začne sodni postopek proti upravljavcu v svoji državi, tudi če ni vodilni nadzorni organ. To se nanaša na čezmejne primere, ko je sedež evropskega podjetja v drugi državi članici.


Dejansko stanje:

Vprašanje se je pojavilo v postopku, ki ga je leta 2015 začela belgijska komisija za varstvo podatkov proti družbi Facebook, ki ima sedež v EU na Irskem. Komisija za varstvo podatkov je pred belgijskim sodiščem vložila tožbo zaradi domnevnih kršitev belgijske zakonodaje o varstvu podatkov s strani družbe Facebook. Zatrjevane kršitve so obsegale zbiranje in uporabo informacij o spletnem obnašanju belgijskih internetnih uporabnikov, ne glede na to, ali so bili slednji imetniki računa na Facebooku. Predložitveno sodišče ni bilo prepričano, ali uporaba mehanizma "vse na enem mestu" vpliva na pristojnosti organa za varstvo podatkov in zlasti, ali lahko organ za varstvo podatkov vloži tožbo proti družbi Facebook Belgium, glede na to, da je bila za upravljavca zadevnih podatkov določena družba Facebook Ireland. Pravilo GDPR "vse na enem mestu" namreč določa, da je lahko samo pooblaščenec za varstvo podatkov (Irska) pristojen za uvedbo postopka za izdajo odredbe, ki ga lahko preverijo irska sodišča.


Sodba SEU:

1. Nacionalni nadzorni organ, ki ima v skladu z 58. členom GDPR pooblastilo za predložitev domnevnih kršitev sodišču njegove države članice in po potrebi sprožitev sodnega postopka, lahko to pooblastilo izvršuje v zvezi s čezmejno obdelavo podatkov, čeprav glede take obdelave podatkov ni vodilni nadzorni organ, če gre za enega od primerov, v katerih je temu nadzornemu organu podeljena pristojnost za sprejemanje odločb o ugotovitvi, da so z navedeno obdelavo kršena pravila o varstvu osebnih podatkov, ter ob spoštovanju postopka sodelovanja in postopka za skladnost iz te uredbe.


V zvezi s čezmejno obdelavo GDPR določa mehanizem "vse na enem mestu", ki temelji na razdelitvi pristojnosti med enim vodilnim nadzornim organom in drugimi zadevnimi nacionalnimi nadzornimi organi. Ta mehanizem zahteva tesno, iskreno in učinkovito sodelovanje med temi organi, da se zagotovi dosledno in homogeno varstvo pravil o varstvu osebnih podatkov ter tako ohrani njegova učinkovitost. Splošno pravilo je, da ima vodilni nadzorni organ pristojnost za sprejetje odločitve, s katero se ugotovi, da primer čezmejne obdelave pomeni kršitev pravil GDPR, medtem ko pristojnost drugih zadevnih nadzornih organov za sprejetje take odločitve, tudi začasne, predstavlja izjemo od pravila. Vseeno pa se vodilni nadzorni organ pri izvajanju svojih pristojnosti ne sme izogibati bistvenemu dialogu ter iskrenemu in učinkovitemu sodelovanju z drugimi zadevnimi nadzornimi organi. Posledično v okviru tega sodelovanja vodilni nadzorni organ ne sme zanemariti stališč drugih nadzornih organov, vsak ustrezen in utemeljen ugovor enega od drugih nadzornih organov pa ima za posledico vsaj začasno preprečitev sprejetja osnutka odločitve vodilnega nadzornega organa.


2. V primeru čezmejne obdelave podatkov sedež upravljalca ne predstavlja pogoja za izvajanje pooblastila nadzornega organa, ki ni vodilni nadzorni organ, da začne postopke, ki spadajo v okvir njegovih pristojnosti v skladu z 58. členom GDPR. Vseeno pa mora izvajanje te pristojnosti spadati na ozemeljsko področje GDPR, ki predpostavlja, da ima upravljavec ali obdelovalec v zvezi s čezmejno obdelavo sedež v EU.


3. Pooblastilo nadzornega organa države članice, ki ni vodilni nadzorni organ, da sodišče te države članice opozori na vsakršno domnevno kršitev in po potrebi začne sodni postopek, je mogoče izvrševati tako glede glavne poslovne enote upravljavca, ki je v državi članici tega organa, kot glede druge poslovne enote tega upravljavca, če se sodni postopek nanaša na obdelavo podatkov, ki se izvaja v okviru dejavnosti teh poslovnih enot, in če je navedeni organ pristojen za izvrševanje tega pooblastila.


Sodišče je dodalo, da izvajanje tega pooblastila predpostavlja uporabo GDPR. Ker so bile v konkretnem primeru dejavnosti skupine Facebook s sedežem v Belgiji neločljivo povezane z obdelavo osebnih podatkov, ki se obravnava v postopku v glavni stvari, pri čemer je družba Facebook Ireland upravljavec znotraj EU, je to obdelava, ki se izvaja "v okviru dejavnosti poslovne enote upravljavca" in zato spada na področje uporabe GDPR.


4. Kadar je nadzorni organ države članice, ki ni vodilni nadzorni organ, sodni postopek v zvezi s čezmejno obdelavo osebnih podatkov začel pred 25.5.2018 (pred datumom uporabe GDPR), je ta postopek mogoče nadaljevati na podlagi določb Direktive 95/46/ES, ki se še naprej uporablja za kršitve njenih pravil, ki so bile storjene do datuma njene razveljavitve. Poleg tega lahko ta organ navedeni postopek začne zaradi kršitev, ki so bile storjene po tem datumu, če gre za enega od primerov, v katerih je z GDPR nadzornemu organu države članice, ki ni vodilni nadzorni organ, izjemoma podeljena pristojnost za sprejetje odločbe o ugotovitvi, da so z zadevno obdelavo podatkov kršena pravila, ki jih navedena uredba vsebuje v zvezi z varstvom pravic posameznikov pri obdelavi osebnih podatkov, ob spoštovanju postopka sodelovanja in postopka za skladnost, določenih v tej uredbi, kar pa mora preveriti predložitveno sodišče.


5. 58. člen GDPR, v skladu s katerim mora vsaka država članica z zakonom določiti, da je njen nadzorni organ pristojen za opozarjanje sodnih organov na kršitve te uredbe in po potrebi za sprožitev sodnega postopka ali za drugačno sodelovanje v njem, je treba razlagati tako, da ima ta določba neposredni učinek, tako da se nacionalni nadzorni organ na navedeno določbo lahko sklicuje, da bi začel ali nadaljeval postopek proti posameznikom, tudi če ta določba ni bila posebej prenesena v zakonodajo zadevne države članice.


Posledice odločitve:

Konkretna sodba ponuja pomembno pojasnilo o tem, kako je mogoče razlagati uredbo GDPR in njeno pravilo "vse na enem mestu".


Sodba pozitivno učinkuje na spoštovanje zasebnosti posameznikov, ne glede na to, kje v EU ima podjetje sedež. Ker v sistemu čezmejnega izvrševanja uredbe GDPR obstajajo ozka grla, je SEU odločilo, da morajo imeti vsi nacionalni organi možnost, da pod določenimi pogoji ravnajo proaktivno in uporabijo vsa svoja pooblastila, kadar so posameznikove pravice kršene. Glede na to, da ima večina velikih tehnoloških podjetij sedež na Irskem, je bila do sedanje odločitve sodišča zaščita 500 milijonov evropskih potrošnikov odvisna samo od nadzornega organa te države.


Ana Novinec

2 / 7 / 2021 02
Jul
2021

Nove standardne pogodbene klavzule

Evropska komisija (v nadaljevanju, EK) je 4.6.2021 izdala posodobljene standardne pogodbene klavzule (SCC), ki na podlagi Splošne uredbe o varstvu osebnih podatkov (v nadaljevanju, GDPR) veljajo za prenos podatkov od upravljavcev ali obdelovalcev iz EU/EGP (za katere sicer velja GDPR) k upravljavcem ali obdelovalcem s sedežem zunaj EU/EGP (za katere GDPR ne velja). Te posodobljene standardne pogodbene klavzule bodo nadomestile tri sklope standardnih pogodbenih klavzul, ki so bile sprejete na podlagi prejšnje Direktive o varstvu podatkov 95/46/ES.


V skladu z GDPR, se pogodbene klavzule, ki zagotavljajo ustrezne zaščitne ukrepe za varstvo podatkov, lahko uporabijo kot podlaga za prenos podatkov iz EU v tretje države. Te nove pogodbene klavzule je predhodno odobrila EK.


V izjavi EK je pojasnjeno, da lahko upravljavec ali obdelovalec, ki posreduje osebne podatke v tretjo državo (»izvoznik podatkov«), in upravljavec ali obdelovalec, ki prejema osebne podatke (»uvoznik podatkov«), te standardne pogodbene klavzule vključita v širšo pogodbo in dodata druge klavzule ali dodatne zaščitne ukrepe, če ti niso neposredno ali posredno v nasprotju s standardnimi pogodbenimi klavzulami ali ne posegajo v temeljne pravice ali svoboščine posameznikov, na katere se nanašajo osebni podatki.


Pomemben vidik novih prilagodljivih SCC je, da Priloga strankam omogoča »kombiniranje splošnih klavzul z modularnim pristopom, pri čemer se upoštevajo različni scenariji prenosa in zapletenost sodobnih verig obdelave. Poleg splošnih klavzul morajo upravljavci in obdelovalci izbrati modul, ki ustreza njihovemu položaju, da svoje obveznosti iz standardnih pogodbenih klavzul prilagodijo svoji vlogi in odgovornostim v zvezi z zadevno obdelavo podatkov.«


26 uvodnih izjav pojasnjuje, kako naj izvozniki in uvozniki uporabljajo nove SCC. V prilogah so navedene podrobnosti za različne scenarije in ustrezne module:

  • Zaščitni ukrepi za varstvo podatkov: prenos podatkov upravljavca upravljavcu/ upravljavca obdelovalcu/ obdelovalca obdelovalcu/ obdelovalca upravljavcu;
  • Uporaba pod-obdelovalcev: prenos podatkov upravljavca obdelovalcu/ obdelovalca obdelovalcu;
  • Pravice posameznikov, na katere se nanašajo osebni podatki: prenos podatkov upravljavca upravljavcu/ upravljavca obdelovalcu/ obdelovalca obdelovalcu/ obdelovalca upravljavcu;
  • Pravna sredstva: prenos podatkov upravljavca upravljavcu/ upravljavca obdelovalcu/ obdelovalca obdelovalcu;
  • Odgovornost: prenos podatkov upravljavca upravljavcu/ obdelovalca upravljavcu/ upravljavca obdelovalcu/ obdelovalca obdelovalcu;
  • Nadzor: prenos podatkov upravljavca upravljavcu/ upravljavca obdelovalcu/ obdelovalca obdelovalcu;


SCC v nadaljevanju vsebujejo poglavja glede:

  • obveznosti v primeru dostopa javnih organov,
  • nespoštovanja klavzul in odpovedi,
  • veljavnega prava,
  • izbire sodišča in pristojnosti ter
  • besedila, ki ga je treba vključiti v priložene dokumente.

Upravljavci oziroma obdelovalci bodo imeli 18 mesecev časa, da se prilagodijo oziroma preidejo iz starih na nove standardne pogodbene klavzule.


Sklep EK začne veljati 20 dni po objavi v Uradnem listu EU.


Ana Novinec


10 / 6 / 2021 10
Jun
2021

Zahteva za dostop do podatkov – v Nemčiji ni potrebna kopija službenih elektronskih sporočil

Nemško zvezno delovno sodišče zavrnilo tožbo delavca:

Nemško zvezno delovno sodišče je 27.4.2021 odločilo, da delavci od delodajalca ne morejo zahtevati, da jim zagotovi kopije (i) celotne elektronske korespondence delavca in (ii) vseh elektronskih sporočil, v katerih je delavec omenjen z imenom.

Zvezno sodišče je navedlo, da v skladu z veljavnimi pravili civilnega postopka zahteva ni bila dovolj konkretizirana - elektronskih sporočil ni bilo mogoče opredeliti na način, da bi bilo mogoče izvršiti katero koli odredbo. Sodišče je svojo odločitev oprlo na zakon o civilnem postopku in ne na zakon o varstvu osebnih podatkov.


Dejansko stanje: 

Delavec je pri nekdanjem delodajalcu vložil zahtevo za dostop do podatkov v skladu s 15. členom Splošne uredbe o varstvu osebnih podatkov (v nadaljevanju, GDRP). Zahteval je "kopijo svojih osebnih podatkov, ki se obdelujejo". Delodajalec je delavcu posredoval kopijo njegovih osebnih podatkov in nekaj elektronskih sporočil, vendar je delavec trdil, da po njegovem mnenju kopija ni zadostovala zahtevi. Delavec je proti nekdanjemu delodajalcu vložil tožbo, v kateri je trdil, da mu delodajalec ni zagotovil popolne kopije njegove celotne elektronske korespondence in elektronskih sporočil, v katerih je bil omenjen po imenu.

Stranki sta del spora rešili sporazumno, vendar je zahtevek v zvezi s tem, ali je delodajalec moral zagotoviti celotno elektronsko korespondenco delavca, ostal odprt.

Delovno sodišče prve stopnje je tožbo zavrnilo. Ugotovilo je namreč, da zahteva po predložitvi celotne kopije elektronske pošte v skladu z nemškimi pravili civilnega postopka ni bila dovolj konkretizirana.

Pritožbeno sodišče pa je delodajalcu naložilo, naj delavcu zagotovi kopije njegove elektronske pošte, vendar le tiste, ki vsebujejo osebne podatke delavca, ker je to zajeto v pravici do dostopa, ki jo zagotavlja GDPR. Pritožbeno sodišče je menilo, da delodajalcu ni treba zagotoviti popolne kopije celotnih dokumentov in elektronskih sporočil (npr. kadrovskih map). 3. odstavek 15. člena GDPR namreč omenja le zahtevo po zagotovitvi "kopije osebnih podatkov, ki se obdelujejo", zato naj posamezniki, na katere se nanašajo osebni podatki, ne bi bili upravičeni do dostopa do celotnih zbirk podatkov. Menilo je tudi, da GDPR zahteva določeno stopnjo informativne vrednosti podatkov o posamezniku, na katerega se nanašajo osebni podatki, zlasti ker 63. uvodna izjava h GDPR določa, da morajo posamezniki, na katere se nanašajo osebni podatki, v primeru večjih količin podatkov določiti tudi, katere kopije je treba zagotoviti. Poleg tega je pritožbeno sodišče navedlo, da posameznikom, na katere se nanašajo osebni podatki, ni treba zagotoviti celotne elektronske korespondence, kadar so bili slednji njeni prejemniki ali avtorji, saj 15. člen GDPR ne zajema informacij, ki so posamezniku, na katerega se nanašajo osebni podatki, že znane.


Pomen in komentar sodbe:

Ta sodba je nedvomno omejila obseg pravice do dostopa posameznika, na katerega se nanašajo osebni podatki, česar druga nemška sodišča prej niso obravnavala. Prav tako je v sodbi poudarjeno, da je treba pri izvajanju GDPR upoštevati načela nacionalnega prava. Sodišče je očitno uporabilo predpise o civilnem postopku kot "enostaven izhod" iz zadeve, s čimer se je tudi izognilo temu, da bi moralo vprašanje o dosegu 15. člena GDPR predložiti Sodišču Evropske unije. Vseeno pa bi sodba evropskega sodišča v glavnem vplivala na zahteve posameznikov, na katere se nanašajo osebni podatki, ki so bile vložene v skladu z nemškim pravom.


Ana Novinec

8 / 6 / 2021 08
Jun
2021

Objavljen nov predlog ZVOP-2

Ministrstvo za pravosodje je v javno razpravo ter v strokovno in medresorsko usklajevanje posredovalo predlog novega Zakona o varstvu osebnih podatkov (ZVOP-2), ki na sistemski ravni izvaja določbe Splošne uredbe o varstvu podatkov iz leta 2016. Osnutek je na voljo na:

https://e-uprava.gov.si/drzava-in-druzba/e-demokracija/predlogi-predpisov/predlog-predpisa.html?id=10208

4 / 5 / 2021 04
May
2021

Bavarski informacijski pooblaščenec je prvi nadzorni organ v EU, ki je ugotovil nezakonitost prenosa osebnih podatkov iz EU v ZDA na temelju "Schrems II" odločitve.

Naj spomnimo - Sodišče Evropske unije (SEU) 16. julija 2020 izdalo težko pričakovano sodbo v zadevi C-311/18 (DPC Ireland v. Facebook Ireland and Schrems). S to sodbo je razveljavilo predhodno odločbo Evropske komisije (EK) 2016/1250 o ustreznosti varstva v okviru EU-ZDA dogovora Ščit zasebnosti (Privacy Shield), ki je služil kot ena izmed podlag za prenos osebnih podatkov iz EU v ZDA. Posledično so vsi prenosi osebnih podatkov v ZDA na tem pravnem temelju od 16.7.2020 naprej nezakoniti. SEU je svojo odločitev utemeljilo z dvomi v ameriško zakonodajo za zagotavljanje ustrezne ravni varstva, ki jo zahteva 45. člen GDPR, pri čemer je SEU posebej navedlo, da varstvo osebnih podatkov, kot ga zagotavlja zakonodaja v ZDA, ni ekvivalentno ravni varstva v EU.

 

SEU je v isti zadevi, sicer v načelu, potrdilo veljavnost standardnih pogodbenih klavzul, ki se še vedno lahko uporabljajo za prenose podatkov v tretje države, torej tudi ZDA, ki ne zagotavljajo ustreznega varstva osebnih podatkov. Po drugi strani pa je SEU izvozniku osebnih podatkov naložilo obvezo, da v vsakem posamičnem primeru izvoza podatkov, preveri in oceni ali je z izvozom zagotovljena ustrezna raven varstva podatkov. V primeru ugotovitve, da raven varstva ni ustrezna in primerljiva z evropsko, mora izvoznik osebnih podatkov s takšnimi iznosi osebnih podatkov prenehati, pristojni nadzorni organi pa lahko v takšnih primerih prepovedo iznos.

 

Konkretna odločitev sodišča o razveljavitvi Ščita zasebnosti ne predstavlja prepovedi prenosa osebnih podatkov v ZDA, saj je z njo odpadla zgolj ena izmed podlag, ki jih predvideva GDPR. Je pa pomembno, da izvozniki, ki so do sedaj podatke izvažali na podlagi Sporazuma o zasebnostnem ščitu, utemeljijo izvoz na eni izmed preostalih pravno-veljavnih podlag.

 

Bavarski informacijski pooblaščenec (DPA) je 15.3.2021 v pritožbenem postopku, ki ga je vodil na podlagi 77. člena GDPR, presodil, da je bila uporaba Mailchimpa za prenos e-poštnih naslovov v ZDA nezakonita. Mailchimp je ameriška avtomatizirana tržna platforma in ponudnik storitev e-trženja. Pri uporabi Mailchimpa za prenos podatkov iz Nemčije v ZDA se je nemško podjetje FOGS Magazin opiralo na standardne pogodbene klavzule EU. Toda Mailchimp bi se lahko po ameriškem zakonu o nadzoru kvalificiral za "ponudnika elektronskih komunikacijskih storitev", navaja DPA. Zato bi moralo nemško podjetje kot izvoznik podatkov ob sklicevanju na odločitev SEU v zadevi "Schrems II" oceniti dodatne ukrepe, ki bi jih bilo treba sprejeti za zagotovitev, da so bili preneseni podatki zaščiteni pred nadzorom pristojnih služb v ZDA.

 

Ker je toženec (podjetje FOGS Magazin) izjavil, da bo takoj prenehal z uporabo Mailchimpa, je bila morebitna kršitev zakona manjša in ker EK ni dokončala novih standardnih pogodbenih klavzul, Bavarski DPA ni naložil globe.

 

Več o zadevi si lahko preberete na naslednji povezavi: https://gdprhub.eu/index.php?title=BayLDA_-_LDA-1085.1-12159/20-IDV

 

V primeru vprašanj o vaši uporabi ameriških tehnoloških rešitev nas lahko kontaktirate.

 

Ana Novinec

6 / 4 / 2021 06
Apr
2021

Študija o odgovornosti spletnih platform

Evropski parlament je 8. februarja 2020 objavil, da je Odbor za prihodnost znanosti in tehnologije Evropske parlamentarne raziskovalne službe objavil svojo študijo o odgovornosti spletnih platform. Študija zlasti ugotavlja, da se glede na osrednjo vlogo, ki jo imajo spletne platforme v digitalnem gospodarstvu, postavljajo vprašanja o njihovi odgovornosti v zvezi z nezakonito / škodljivo vsebino ali izdelki, ki jih gostijo v okviru njihovega delovanja ter, da je zato treba oceniti ustreznost in učinkovitost obstoječega pravnega okvira EU, zlasti v zvezi z izjemami glede odgovornosti iz Direktive 2000/31 / ES z dne 8. junija 2000 o nekaterih pravnih vidikih storitev informacijske družbe. Poleg tega, študija ponuja klasifikacijo obstoječih platform, opredeljuje in ocenjuje ustreznost pravnega okvirja na evropski ravni ter ponuja vrsto možnosti o razpoložljivih alternativnih pristopih do regulacije spletnih platform.

11 / 2 / 2021 11
Feb
2021

Kako obdelovati podatkovne nize, ki vsebuje osebne in ne-osebne podatke

Uredba o prostem pretoku neosebnih podatkov in Splošna uredba o varstvu podatkov (GDPR) vsebujeta različna pristopa k prostemu pretoku podatkov v EU.


Osebni podatki, so tisti, ki jih kot take opredeljuje GDPR. Neosebni podatki, pa so vsi, ki niso osebni po GDPR.


Mešani podatkovni niz je sestavljen iz osebnih in neosebnih podatkov. Mešani podatkovni nizi predstavljajo večino podatkovnih nizov, ki se uporabljajo v podatkovnem gospodarstvu, in so pogosti zaradi tehnoloških dosežkov, kot so internet stvari (tj. digitalno povezovanje objektov), umetna inteligenca in tehnologije, ki omogočajo analizo velepodatkov (metadata).


V primeru podatkovnega niza, ki vsebuje osebne in neosebne podatke, velja naslednje:

  • uredba o prostem pretoku neosebnih podatkov se uporablja za del podatkovnega niza, ki obsega neosebne podatke;
  • določba o prostem pretoku26 iz splošne uredbe o varstvu podatkov se uporablja za del podatkovnega niza, ki obsega osebne podatke, ter
  • če sta del, ki obsega neosebne podatke, in del, ki obsega osebne podatke, “neločljivo povezana“, se pravice in obveznosti v zvezi z varstvom podatkov, ki izhajajo iz GDPR, v celoti uporabljajo za celotni mešani podatkovni niz, tudi če osebni podatki predstavljajo samo majhen del podatkovnega niza.

Pojem „neločljivo povezan“ ni opredeljen v nobeni od navedenih uredb. Iz praktičnih razlogov se lahko nanaša na položaj, v katerem podatkovni niz vsebuje osebne in neosebne podatke, pri čemer bi bilo ločevanje teh dveh vrst podatkov nemogoče ali pa bi bilo ločevanje po mnenju upravljavca ekonomsko neučinkovito ali tehnično neizvedljivo.


Ločevanje podatkovnega niza bi verjetno bistveno zmanjšalo njegovo vrednost. Poleg tega je zaradi spreminjajoče se narave podatkov težje jasno razlikovati med različnimi kategorijami podatkov in jih tako ločiti.


Pomembno je, da nobena od uredb podjetij ne zavezuje k ločevanju podatkovnih nizov, ki jih upravljajo ali obdelujejo.


Zato bodo za mešani podatkovni niz na splošno veljale obveznosti iz GDPR za upravljavcev in obdelovalcev podatkov ter zahteve glede spoštovanja pravic posameznikov, na katere se nanašajo osebni podatki, iz splošne uredbe o varstvu podatkov.


Z namenom pojasniti povezavo med osebnimi in neosebnimi podatki je EU Komisija izdala Smernice k uredbi o okviru za prosti pretok neosebnih podatkov v Evropski uniji

2 / 2 / 2021 02
Feb
2021

Predlog zakonodajnega akta o enotnem trgu za digitalne storitve in akta o digitalnem trgu

Evropska komisija je decembra 2020 po javnem posvetovanju objavila predlog zakonodajnega akta o enotnem trgu za digitalne storitve (Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on a Single Market For Digital Services (Digital Services Act) and amending Directive 2000/31/EC) in predlog zakonodajnega akta o digitalnem trgu ( Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on contestable and fair markets in the digital sector (Digital Markets Act).

18 / 1 / 2021 18
Jan
2021

Nemško sodišče odločilo o uporabi modela za določanje višine globe zaradi kršitev GDPR, ki ga je sprejel nemški zvezni informacijski pooblaščenec

Nemški model za izračunavanje in določanje glob zaradi kršitev GDPR, kot ga je sprejel Nemški zvezni informacijski pooblaščenec, ki sloni predvsem na kriteriji velikosti prihodkov kršitelja, je bil kritiziran s strani nemškega sodišča v Bonnu. Sodišče je konec leta 2020 jasno reklo, da model izračunavanja glob vodi k nesorazmernim globam in zato ni primeren.

Decembra je nemški zvezni informacijski pooblaščenec oglobil nemško telekomunikacijsko družbo 1&1 Telecom v višini € 9.55m. Regionalno sodišče v Bonnu pa je znižalo globo na 900.000 EUR na temelju ugotovitve, da je bila nesorazmerna, ni upoštevala vse okoliščine primera ter je bazirala primarno na vrednosti prihodkov podjetja in ne drugih okoliščinah.

Odziv zveznega informacijskega pooblaščenca je bil, da jih veseli, da je sodišče ugotovila kršitve GDPR ne glede na zmanjšanje kazni.

12 / 1 / 2021 12
Jan
2021

EU komisija je izdala oceno učinka o uporabi umetne inteligence v produktih in storitvah

Evropska komisija je izdala začetno oceno učinka za novi predlog uredbe o etičnem in pravnem temelju umetne intelligence, ki sledi Resoluciji Evropskega parlamenta z dne 12. februarja 2019 o celoviti evropski industrijski politiki na področju umetne inteligence in robotike Umetna inteligenca je hitro razvijajoča se in strateška tehnologija z izjemnim potencialom. Vendar nekatere vrste njene uporabe predstavljajo posebno veliko tveganje pri uporabi različnih pravil EU, namenjenih varstvu temeljnih pravic, zagotavljanju varnosti in pripisovanju odgovornosti.

S to pobudo se bo zagotovilo, da je umetna inteligenca varna, zakonita in v skladu s temeljnimi pravicami EU. Splošni cilj je spodbuditi uporabo zaupanja vredne umetne inteligence v gospodarstvu EU.

Umetna inteligenca je prednostna naloga Evropske unije, saj bo imela glede na napovedi ključno vlogo v digitalni preobrazbi gospodarstva in družbe.

Začetna ocena učinka in odzivi industrije so dostopni na: https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12527-Requirements-for-Artificial-Intelligence

10 / 1 / 2021 10
Jan
2021

Prenos osebnih podatkov v/iz Velike Britanije po 1. 1. 2021

The Trade and Cooperation Agreement (TCA) which sets out the future relationship between the EU and UK, contains provision in Article FINPROV.10A, for a data bridge to last no more than six months. This will allow personal data to flow freely between the EU and the UK without the need for additional transfer mechanisms as the UK will not be considered a third country for data export purposes during this period. In a statement, the ICO advised organisations to put transfer mechanisms in place to protect against any future disruption which suggests that EU adequacy is not a 'done deal'. She also confirmed that the UK has deemed the EU, EEA and EFTA countries to be adequate for the purposes of transfers of personal data from the UK.

7 / 1 / 2021 07
Jan
2021
CC BY