NOVI PRAVNI OKVIR PRENOSA OP MED EU IN ZDA V VELJAVI

Evropska komisija je 10. julija 2023 sprejela odločitev o ustreznosti prenosa osebnih podatkov med EU-ZDA. Zaključek sklepa je, da ZDA zagotavljajo ustrezno raven zaščite – primerljivo z Evropsko unijo – za osebne podatke, prenesene iz EU v ameriška podjetja v skladu z novim okvirom. Na podlagi nove odločbe o ustreznosti, ki je pričela veljati 11.7.2023 lahko osebni podatki varno prehajajo iz EU v podjetja iz ZDA, ki sodelujejo v programu, ne da bi bilo treba uvesti dodatne zaščitne ukrepe za varstvo podatkov (t.i. SCC).

 Nova odločba o ustreznosti je pomembna pridobitev tako za mala in srednje velika podjetja kot za velika podjetja v oblaku. Odpravlja negotovost glede pravne podlage za čezatlantske prenose podatkov ter ponuja cenejšo in predvsem manj zapleteno alternativo dodatnim mehanizmom prenosa, kot so standardne pogodbene klavzule. Nov pravni okvir bo poenostavil prenose podatkov iz EU k certificiranim uvoznikom podatkov v ZDA. Vendar pa bodo zaradi negotovosti glede veljavnosti okvira (tožbe so že napovedane) verjetno številni izvozniki podatkov iz EU morda raje uporabili alternativne mehanizme prenosa, kot so SCC-ji EU v povezavi z ocenami učinka prenosa (transfer impact assessment).

Ključni poudarki:

- Neoviran in varen pretok podatkov: Nov okvir omogoča neoviran in varen pretok osebnih podatkov med EU in sodelujočimi podjetji iz ZDA;

- Omejitve dostopa do podatkov: Dostop ameriških obveščevalnih organov do podatkov je omejen na tisto, kar je potrebno in sorazmerno za zaščito nacionalne varnosti.

- Mehanizem pravnih sredstev: Vzpostavljen je nov dvotirni sistem pravnih sredstev za preiskovanje in reševanje pritožb Evropejcev glede dostopa do njihovih podatkov in njihove uporabe s strani ameriških obveščevalnih agencij.

- Obveznosti podjetja: podjetja, ki obdelujejo podatke, prenesene iz EU, ki se želijo zanašati na novipravni okvir, morajo samocertificirati svojo spoštovanje standardov prek Ministrstva za trgovino ZDA.

- Mehanizmi spremljanja in pregleda: Novi pravni okvir vključuje posebne mehanizme spremljanja izvajanja in pregleda za zagotavljanje skladnosti.

Ob tem pa pripominjamo, da je skrbnost še vedno na mestu:

- novi pravni okvir velja samo za tisto USA podjetja, ki se bodo po novem režimu tudi certificirala pri pristojnem ameriškem ministrstva (US Department of Commerce). Trenutno na listi še ni nobenega podjetja iz ZDA in pravila prehoda iz obstoječega Privacy shealda na nov pravni okvir niso jasna;

- pravni okvir ne velja za prenose osebnih podatkov v javni sektor.

PRELOMNA ODLOČITEV EU SODIŠČA -PRAVICA POSAMEZNIKA DO SEZNANITVE

EU sodišče je ta teden sprejelo prelomno odločitev glede obveze upravljalca osebnih podatkih, da seznani posameznika s kom vse konkretno je delil osebne podatke.

Avstrijska pošta je vzdrževala ogromno bazo podatkov o prebivalcih Avstrije. Podatke je delila s tretjimi osebami. Ko pa so posamezniki, na katere se nanašajo osebni podatki, zahtevali informacije o takšnih prejemnikih podatkov tretjih oseb, je avstrijska poštna služba zavrnila razkritje teh informacij. Namesto tega se je odzvala na pravico posameznikov, na katere se nanašajo osebni podatki, in do zahtev za dostop tako, da je zgolj navedla »kategorije prejemnikov«, kot so »oglaševalci, ki trgujejo po pošti in stacionarnih mestih, IT podjetja, ponudniki poštnih seznamov in združenja, kot so dobrodelne organizacije, nevladne organizacije. (NVO) ali politične stranke.« Vrhovno sodišče Avstrije ni bilo prepričano, ali ta praksa izpolnjuje zahteve 15. člena GDPR.

 EU sodišče pa je sedaj jasno presodilo, da ima posameznik pravico vedeti konkretno komu so bili podatki posredovani. Sodišče je postavilo še nekaj izjem če je:

- Nemogoče je identificirati prejemnike;

- Upravljavec dokaže, da so zahteve posameznika za dostop očitno neutemeljene;

- Upravljavec dokaže, da so zahteve posameznika za dostop pretirane.

 Sodišče teh omejitev sicer ni pojasnilo. Vendar pa bo dokazno breme v zvezi s temi omejitvami vendarle nosil upravljavec podatkov.

Gre za izredno pomembno odločitev. Pravilno izvrševanje te pravice je pomembno tudi v luči zahtev ZVOP-2 glede vodenja dnevnikov obdelav, ki prične veljati ta četrtek, 26.1. 2023.

Vesna Stanković, univ. dipl. pravnica s p.d.i.

ZVOP-2 sprejet!

Državni Zbor je 15.12.2022 sprejel Zakon o varstvu osebnih podatkov (ZVOP-2), s katerim se prenaša evropsko Uredbo o varstvu podatkov (GDPR) v slovensko zakonodajo, ter ureja nacionalne posebnosti varstva osebnih podatkov. Besedilo ZVOP-2 v Uradnem listu še ni objavljeno. Začetek veljavnosti se pričakuje v drugi polovici januarja 2023.

Objavljen je osnutek sklepa o ustreznosti ravni varstva osebnih podatkov v ZDA

EU komisija je 13.12. 2022 sprejela osnutek sklepa o ustreznosti, da ZDA zagotavlja ustrezno raven varstva osebnih podatkov.

 Skladno z določbami Splošne uredbe o varstvu podatkov se lahko prenos osebnih podatkov v tretje države (države izven EU oz. EGP) izvrši, če Evropska komisija za določeno državo, ozemlje oz. mednarodno organizacijo odloči, da ta zagotavlja ustrezno raven varstva osebnih podatkov (t.i. adequacy decision; spisek držav, ozemelj oz. mednarodnih organizacij, za katere je Evropska komisija ugotovila, da zagotavljajo ustrezno raven varstva osebnih podatkov, se nahaja tu). Če take odločitve o ustreznosti za določeno državo, ozemlje ali mednarodno organizacijo ni, se lahko prenos izvede, če je upravljavec ali obdelovalec predvidel ustrezne zaščitne ukrepe in pod pogojem, da imajo posamezniki na voljo izvršljive pravice in učinkovita pravna sredstva. Eden od mehanizmov, ki zagotavlja take ustrezne zaščitne ukrepe, so t.i. standardne pogodbene klavzule (tipske pogodbe), ki jih sprejme Evropska komisija (člen 46/2/(c) Splošne uredbe o varstvu podatkov).

Osnutek sklepa o ustreznosti bo zdaj šel v postopek sprejemanja. Kot prvi korak je Komisija svoj osnutek odločitve predložila Evropskemu odboru za varstvo podatkov (EDPB). Nato bo Komisija zaprosila za odobritev odbora, ki ga sestavljajo predstavniki držav članic EU. Poleg tega ima Evropski parlament pravico do nadzora nad odločitvami o ustreznosti. Ko je ta postopek zaključen, lahko Komisija nadaljuje s sprejetjem končne odločitve o ustreznosti.

Več pa tukaj.

Organizacija Noyb (noyb.eu) v kateri deluje znani aktivist Max Schrems pa je v prvem odzivu že zapisala, da predlagani osnutek sklepa o ustreznosti ravni vrstva osebnih podatkov v ZDA ne bo prestal preizkušnje pred EU sodiiščem

Obseg uporabe legitimnega interesa

Obseg uporabe zakonitega interesa, kot enega od dopustnih pravnh podlag za obdelavo osebnih podatkov še vedno sproža veliko dilem. Spomnimo, da uporaba točke (f) člena 6(1) GDPR zahteva, da so kumulativno izpolnjeni trije pogoji:

– da se z obdelavo zasleduje legitimen (zakonit) interes upravljavca ali tretjih oseb; in 

– da je obdelava potrebna za uresničitev tega interesa; ter

– da ne prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se podatki nanašajo. 

V pomoč nam je zdaj lahko tudi interpretacija Evropske komisije.  

Evropska komisija je namreč pisala nizozemskemu organu za varstvo podatkov, ki je sprejel zelo restriktiven obseg uporabe legitimnega interesa, saj je odločil, da izključno komercialni interesi upravljavca ne morejo veljati za zakonit interes. 

Evropska komisija poudari, da namen GDPR ni oviranje poslovnih dejavnosti, temveč omogočanje poslovanja ob hkratnem zagotavljanju visoke ravni varstva podatkov. Stroga razlaga, ki jo določa nizozemski regulatorni organ, močno omejuje možnosti podjetij za obdelavo osebnih podatkov za komercialne interese, saj bi morala pridobiti soglasje posameznika, na katerega se nanašajo osebni podatki, v vsakem primeru, ko se zasleduje gospodarski interes, saj druge ustrezne pravne podlage v Členu 6(1) GDPR nii vsled česar bi ta člen dejansko postal neuporaben. 

Evropska komisija podrobno razloži namen in obseg uprabe zakonitega interesa. Komisija svoje pojasnilo temelji na tridelnem preizkusu zanašanja na zakonite interese v kontekstu GDPR in sicer iz primerov odločenih pred EU Sodiščem v zadevi Rigas satiksme in Google Španija ter FashionID.  

Poudarja dejstvo, da sicer lahko povsem komercialni interesi zadostijo prvemu delu testa (ugotavljanje zakonitega interesa za obdelavo) prav tako pa vprašanju, ali je obdelava potrebna, in tehtanju, da se ugotovi, ali ta interes prevlada nad pravicami in svoboščinami posameznika, na katerega se nanašajo osebni podatki. Če naj bi veljala interpretacija nizozemskega nadzornega organa bi bila izvedba testa sploh povsem onemogočena.  Evropska komisija pa meni nasprotno, da nobeden od drugih dveh delov preizkusa namreč ne izključuje čisto komercialnih interesov, ki izpolnjujejo vse tri dele preizkusa.

Evropska komisija pojasnjuje nove standardne pogodbene klavzule

Evropska komisija je 25. maja 2022 objavila vrsto vprašanj in odgovorov o SCC-jih, ki naj bi se uporabljali med upravljavci in obdelovalci znotraj Evropskega gospodarskega prostora ("EGP"), in o SCC-jih, ki naj bi se uporabljali za prenose v države, ki po mnenju Evropske unije niso ustrezne. Komisija ("tretje države").

Vprašanja in odgovori so sestavljeni iz 44 vprašanj in odgovorov, ki pokrivajo teme, vključno z ozadjem SCC; kako SCC povezovati s širšimi komercialnimi sporazumi (v katere so lahko vključeni); uporaba klavzule o pristopu; in vrste prenosov v tretje države, za katere je treba uporabiti SCC.

Besedilo vprašanj in odgovorov je na voljotukaj. 

Kmalu novi pravni okvir prenosa osebnih podatkov med EU in ZDA?

Komisar za pravosodje EU  in ameriška ministrica za trgovino  sta sporočila, da pospešujeta pogajanja za iskanje rešitve za izziv prenosa podatkov med EU in ZDA po razveljavitvi zasebnostnega ščita leta 2020.

Po predvidenjih naj bi novi okvir EU-ZDA prenosa osebnih podatkov bil sprejet do konca pomladi.

Več na https://ec.europa.eu/commission/presscorner/detail/en/STATEMENT_21_1443

Objavljen je bil novi osnutek ZVOP-2

Osnutek ZVOP-2 je bil konec decembra 2021 predložen v obravnavo pri vladnem delovnem telesu. To je prvi osnutek, ki je prišel tako daleč. Upamo, da zato ne bo prihajalo do pomembnejših sprememb oziroma celo do umika predloga.

Med drugim trenutni predlog ZVOP-2 vsebuje naslednje določbe:

- Posameznik bo imel pravico do sodnega varstva svojih pravic, ne da bi mu bilo treba pred tem izkoristiti kakršna koli druga pravna sredstva. Trenutno je sodno varstvo predvideno le na upravnem sodišču in se ne šteje več za nujni in prednostni postopek, kot je bil/je po veljavnem zakonu o varstvu podatkov (ZVOP-1).

- Starost za privolitev mladoletnikov bo 15 let, kar je tudi skladno z določbami Družinskega zakonika. Za osebe mlajše od 15 let, bo poleg zakonitega zastopnika lahko soglasje podal tudi rejnik ali predstavnik institucije, v katero je nameščen mladoletnik. 

- Določbe o varstvu osebnih podatkov pokojnika bodo veljale še 20 let po smrti posameznika. 

- Za povezovanje s podatki v matičnih registrih (Centralni register prebivalstva, davčni register, ipd.) tako kljub rabi uradnih povezovalnih znakov več ne bo potrebno ne dovoljenje ne notifikacija Informacijskega pooblaščenca, le še zakonska določba, da sme upravljavec določene zbirke za te in te namene pridobivati tudi te in te podatke iz matičnega registra.

- Osnutek predvideva posebna pravila o varnosti osebnih podatkov na področju posebnih vrst obdelave, ki med drugim vključuje upravljavce/obdelovalce, ki v svojih zbirkah hranijo večinoma posebne kategorije osebnih podatkov.

- Evidence obdelave je treba voditi v primeru (i) obsežne obdelave posebnih kategorij osebnih podatkov ali (ii) rednega ali sistematičnega spremljanja posameznikov ali (iii) če je z oceno učinka obdelave podatkov ugotovljeno, da bi bilo ugotovljeno tveganje mogoče uspešno zmanjšati z vodenjem evidenc ali (iv) če tako določa zakon. Po sedanjem osnutku bi morali evidence obdelav hraniti najmanj 2 leti in ne več kot 5 let.

- V zvezi s pooblaščeno osebo za varstvo osebnih podatkov osnutek izrecno določa, kaj se šteje kot konflikt interesob in katere funkcije so nezdružljive z imenovanjem na funkcijo pooblaščene osebe za varstvo osebnih podatkov.

- Za zasebni sektor je predviden krajši rok za odgovor na zahtevo posameznika po dostopu do podatkov glede na tistega, ki je določen v GDPR – razen v posebnih okoliščinah je rok za odgovor 15 dni (namesto 30 dni, kot to določa GDPR).

- .Spremenjeno je tudi poglavje o videonadzoru, saj bo  posnetke po novem dovoljeno hraniti največ 1 leto (sedanji ZVOP-1 predvideva 2 leti), obvestilo o videonadzoru pa bo moralo vsebovati vse podatke, predvidene v 13. členu GDPR (vendar bodo podjetja lahko vključila povezavo do spletnega mesta, ki vključuje vse takšne informacije, namesto da bi vse to vključila v samo obvestilo na lokaciji).

- V zvezi s postopkom certificiranja (izdani certifikat lahko uporabi za izkazovanje, da so dejanja obdelave osebnih podatkov s strani upravljavca ali obdelovalca skladna s Splošno uredbo) bo Slovenska akreditacija podeljevala akreditacije certifikacijskim organom. Postopek akreditacije se bo začel 1. januarja 2024.

- Novi osnutek ZVOP-2 še vedno predvideva globe ne le za pravne osebe, temveč tudi za odgovorne osebe teh pravnih oseb (kot so direktorji ali osebe, odgovorne za posamezno področje, na katerega se kršitev nanaša). 

Najvišje nemško sodišče razširi področje uporabe zahtevkov za dostop do lastnih osebnih podatkov v Nemčiji

Najvišje nemško civilno sodišče, Zvezno vrhovno sodišče (Bundesgerichtshof, FCJ), je izdalo odločbo, s katero je določilo obseg zahtev za dostop do lastnih osebnih podatkov. Sodišče je odločilo, da ima 15. člen Splošne uredbe o varstvu podatkov (v nadaljevanju, GDPR) širše področje uporabe, kot je bilo v Nemčiji doslej razumljeno. V skladu z odločitvijo sodišča, pravica dostopa posameznika, na katerega se nanašajo osebni podatki, iz 15. člena GDPR zajema tudi že znane informacije o posamezniku, na katerega se nanašajo osebni podatki, prejšnjo korespondenco in zapiske o notranjih postopkih ali notranjih komunikacijah, povezanih s posameznikom, na katerega se nanašajo osebni podatki.

Dejansko stanje:

Tožena stranka je bila zavarovalnica, ki je ponujala življenjsko zavarovanje, tožnik pa njen zavarovanec. Na prvi stopnji se je tožnik skliceval na zakonodajo, ki je veljala pred uredbo GDPR in v sporu izgubil, na drugi stopnji pa je svoj zahtevek za dostop do lastnih osebnih podatkov oprl na 15. člen GDPR in zahteval informacije o vseh osebnih podatkih, ki jih je tožena stranka dejansko imela, ter podrobneje opredelil svojo zahtevo. Sodišče druge stopnje, deželno sodišče v Kölnu, je tožbeni zahtevek zavrnilo, saj je menilo, da je tožena stranka predložila vse informacije, ki jih zahteva 15. člen GDPR. Menilo je, da tožnik ni dokazal, da so bile informacije, ki jih je upravljavec že zagotovil, nepopolne. Tožeča stranka se je na to odločitev pritožila na Zvezno vrhovno sodišče.

Zvezno vrhovno sodišče je menilo, da tožena stranka ni ustrezno odgovorila na tožnikovo zahtevo, in podrobno opisalo obseg posameznikove pravice do dostopa do lastnih osebnih podatkov, v skladu s 15. členom GDPR. Sodišče je menilo zlasti naslednje:

• Ni zahteve po "bistvenih biografskih podatkih": V zvezi z obsegom pravice dostopa posameznika, na katerega se nanašajo osebni podatki, se sodišče sklicuje na pravno opredelitev osebnih podatkov iz 4/1 GDPR. Poudarja, da je treba ta izraz razlagati široko in da ni omejen na občutljive ali zasebne informacije, temveč potencialno vključuje vse vrste informacij, tako objektivne kot subjektivne, v obliki mnenj ali ocen, pod pogojem, da se te informacije nanašajo na posameznika, na katerega se nanašajo osebni podatki. To velja, če je mogoče informacije zaradi njihove vsebine, namena ali učinka povezati z določeno osebo. V skladu s tem, področja uporabe 15. člena GDPR ni mogoče omejiti na "bistvene biografske podatke", saj takšna razlaga ne bi bila skladna s sodno prakso Sodišča Evropske unije (v nadaljevanju, SEU) o pojmu osebnih podatkov.
• Znanje posameznika, na katerega se nanašajo podatki, o informacijah ni pomembno: Nadalje sodišče navaja, da lahko posameznik, na katerega se nanašajo osebni podatki, uveljavlja svojo pravico do dostopa, četudi je že seznanjen z določeno korespondenco (vključno z osebnimi podatki) med strankama. V skladu s 1. stavkom 63. uvodne izjave GDPR je namen pravice do dostopa zagotoviti, da "se lahko posameznik, na katerega se nanašajo osebni podatki, seznani z zakonitostjo obdelave in jo preveri". Poleg tega iz 63. uvodne izjave in 2. stavka 5. odstavka 12. člena GDPR izhaja, da je mogoče informacije zahtevati večkrat. V skladu s tem lahko posameznik, na katerega se nanašajo osebni podatki, zahteva predložitev informacij, tudi če se zaveda predhodne korespondence.
• Pravica do dostopa tudi za osebne podatke, vključene v "notranje postopke": Sodišče je prav tako odločilo, da je treba zagotoviti tudi informacije v internih zapiskih, npr. o zdravju posameznika, na katerega se nanašajo osebni podatki, ali o izjavah posameznika, na katerega se nanašajo osebni podatki, v telefonskih pogovorih. Izjava tožene stranke, da gre za "notranje procese", je nepomembna. Niti besedilo, niti namen 15/1 GDPR ne določata, da morajo biti osebni podatki dostopni navzven.
• Ocena pravnega okvira ne predstavlja osebnega podatka: Nazadnje se sodišče sklicuje na sodno prakso SEU (sodba z dne 17. julija 2014, opr. št. C-141/12 in C-372/12), v skladu s katero pravna analiza sicer lahko vsebuje osebne podatke, vendar ne pomeni osebnega podatka v primeru, da je zagotovljen povzetek informacij o osebnih podatkih, ki jih ima, saj gre za informacije o oceni in uporabi prava za položaj posameznika, na katerega se nanašajo osebni podatki. V skladu s tem pravna ocena plačil provizij, ki jih je upravljavec opravil tretjim osebam, čeprav je vsebovala imena posameznikov, na katere se nanašajo osebni podatki, v skladu s sodno prakso SEU ni ustrezala zahtevi.

Nemško Zvezno vrhovno sodišče se je vzdržalo predložitve zadeve SEU, ker je opredelitev tega, kaj so "osebni podatki", jasno urejena v sodni praksi SEU (acte éclairé).

Pomen in komentar sodbe:

Sodišče je s svojo odločitvijo razširilo obseg informacij, ki jih je treba predložiti v odgovor na zahtevo za dostop do lastnih osebnih podatkov v Nemčiji.

Sodba FCJ pravzaprav ni presenetljiva, saj le pojasnjuje, da je treba zagotoviti vse osebne podatke, povezane s posameznikom, na katerega se nanašajo osebni podatki. V skladu s tem se morajo podjetja na zahteve posameznikov, na katere se nanašajo osebni podatki, odzvati z zagotavljanjem izčrpnih informacij, kar bo zahtevalo več truda. To prinaša tudi tveganje (ki je že tako razširjeno v Združenem kraljestvu in na Irskem), da se bodo zahteve po dostopu do lastnih osebnih podatkov uporabljale za "lovljenje" dokazov za stranske spore in zahtevke. V zvezi s tem je dobro, da podjetja skrbno preučijo možnost sklicevanja na morebitne omejitve in izključitve zahteve za dostop do podatkov zaradi nesorazmernosti ali prevladujočih pravic in svoboščin tretjih oseb. Delodajalci lahko na primer od zaposlenih zahtevajo, da opredelijo dejavnosti obdelave ali informacije, ki jih iščejo, namesto da bi zagotovili vse informacije. Nemško zvezno Vrhovno sodišče se do teh vprašanj ni opredelilo, zelo verjetno pa bodo v bližnji prihodnosti postala predmet sporov med posamezniki, na katere se nanašajo osebni podatki, in upravljavci.

Ana Novinec

Smernice IP glede izpolnjevanja PCT pogojev

V zvezi z vprašanji varstva osebnih podatkov in zasebnosti zaposlenih in obiskovalcev pri preverjanju izpolnjevanja PCT pogojev je Informacijski Pooblaščenec v petek prejšnji teden izdal smernice, ki nakazujejo, kako naj družba organizira izpolnjevanje preverjanja PCT pogojev.

Glavni poudarki:

- Vladni odloki, ki urejajo ukrepe za zajezitev epidemije COVID-19, določajo, kdaj mora delavec izpolnjevati PCT pogoje, kar pomeni, da urejajo dodatne »pravice in obveznosti iz delovnega razmerja«. Zato je podlaga za dopustno obdelavo osebnih podatkov delavcev, do katere pride s preverjanjem pogoja PCT, že v 48. členu ZDR-1 v povezavi z (b) točko drugega odstavka 9. člena Splošne uredbe o varstvu podatkov in s trenutno veljavnimi predpisi. Odloki namreč delavcu nalagajo obveznost, da v zvezi s svojim delovnim razmerjem izkaže, da izpolnjuje pogoj PCT, delodajalcu pa obveznost, da te pogoje preveri pri svojih zaposlenih in tudi pri uporabnikih storitev (npr. pri strankah, ki obiščejo podjetje).

- Ponudnik storitev ne sme beležiti nobenih podatkov glede izpolnjevanja pogojev PCT obiskovalcev/uporabnikov, temveč lahko v dokazilo le vpogleda. Če se dokazovanje izvaja z evropskimi digitalnimi potrdili, si ob vpogledu lahko pomaga še z aplikacijo za odčitavanje QR kode zato, da se prepriča, ali je potrdilo pristno oziroma veljavno. Aplikacija upravljavcu ne omogoča vpogleda v centralne zbirke zdravstvenih podatkov.

- Delodajalec mora pri preverjanju PCT pogojev čim manj poseči v zasebnost posameznika in zato lahko preveri le tiste podatke, ki so relevantni za uresničitev namena njegove obveznosti glede preverjanja PCT pogojev. Gre za temeljno načelo varstva osebnih podatkov – načelo najmanjšega obsega podatkov – v skladu s katerim lahko delodajalec v dokazila glede izpolnjevanja pogojev PCT svojih delavcev (enako velja tudi za dokazila obiskovalcev in uporabnikov storitev) le VPOGLEDA, ne sme pa jih hraniti. Predloženih dokazil v papirni ali digitalni obliki torej delodajalec ne sme kopirati, preslikati, fotografirati ali drugače reproducirati njihove vsebine.

- Delodajalec lahko zbira oziroma obdeluje le tiste osebne podatke, ki so nujno potrebni za namen organiziranja preverjanja pogojev PCT (npr. predpisan evidenčni list za samotestiranje, izjavo o izpolnjevanju pogoja PCT, ime in priimek ter do kdaj oseba izpolnjuje pogoj PCT (brez beleženja drugih podatkov, ki niso ključni, npr. vrsta cepiva in izvajalec cepljenja )). Gre za spoštovanje načela najmanjšega obsega podatkov.

- Tudi pri samem preverjanju dokazil je priporočljivo, da se delodajalec seznani le z najnujnejšimi podatki iz dokazil (npr. na koga se dokazilo nanaša, časovna veljavnost potrdila za prebolevnike, in za cepljene podatek o polni cepljenosti - odmerek 1/1 ali odmerek 2/2).

- Podatke pa lahko obdeluje le za preverjanja izpolnjevanja PCT pogoja in ne za druge namene. Hrani jih lahko le toliko časa, kot je to nujno potrebno za namen njihovega zbiranja. Primeren rok hrambe teh podatkov v delovnih razmerjih je lahko do 2 leti.

- Delodajalec mora pred preverjanjem izpolnjevanja pogojev PCT svojih zaposlenih ter obiskovalcev in uporabnikov storitev tem omogočiti, da se seznanijo z osnovnimi informacijami glede obdelave podatkov, s dopolnijo politik zasebnosti zlasti pa:

• kdo obdeluje njihove podatke (tj. naziv upravljavca in morebitnih zunanjih uporabnikov),

• zakaj jih obdeluje,

• katere konkretne podatke obdeluje in koliko časa jih bo hranil ter druge informacije o obdelavi (13.

člen Splošne uredbe o varstvu podatkov).

Načrtovani evropski Akt o podatkih bi povečal dostop do podatkov in njihovo izmenjavo med podjetji

Evropska komisija je že oblikovala začetno oceno učinka in trenutno v okviru postopka javnega posvetovanja zbira mnenja o Aktu o podatkih, katerega cilj je povečati izmenjavo podatkov, kar bi lahko vključevalo tudi sektorsko izmenjavo podatkov med podjetji.

Predlog za regulacijo izhaja iz izkušenj, pridobljenih med pandemijo Covid-19, v smislu bistvene vloge uporabe podatkov za krizno upravljanje. Komisija želi spodbuditi večjo izmenjavo podatkov, da bi lahko več javnih in zasebnih akterjev izkoristilo tehnike, kot so masovni podatki (Big Data) in strojno učenje. Predlog naj bi bil v celoti skladen z uredbo GDPR in pravili o e-zasebnosti.

Javno posvetovanje o predlogu je razdeljeno na osem delov:

1. Souporaba podatkov med podjetji in državnimi upravami za javni interes;

2. Souporaba podatkov med podjetji;

3. Orodja za souporabo podatkov: pametne pogodbe;

4. Pojasnitev pravic v zvezi z neosebnimi podatki interneta stvari (IoT), ki izhajajo iz poklicne uporabe;

5. Izboljšanje prenosljivosti storitev v oblaku za poslovne uporabnike;

6. Dopolnitev pravice do prenosljivosti v skladu z 20. členom GDPR;

7. Pravice intelektualne lastnine – varstvo zbirk podatkov;

8. Zaščitni ukrepi za neosebne podatke v mednarodnem okviru;

Mnenja deležnikov se pričakujejo do 3. septembra 2021.

Ana Novinec

Evropski odbor za varstvo podatkov sprejel Smernice o kodeksih ravnanja kot orodje za prenos osebnih podatkov

Evropski odbor za varstvo podatkov (EDPB) je 7.6.2021 sprejel Smernice o kodeksih ravnanja kot orodje za prenose. Glavni namen Smernic je pojasniti uporabo členov 40/3 in 46/2 (e) Splošne uredbe o varstvu osebnih podatkov (v nadaljevanju, GDPR). Ta člena določata, da lahko po odobritvi pristojnega nadzornega organa in po tem, ko mu je Komisija podelila splošno veljavnost v EGP, kodeks ravnanja upoštevajo in uporabljajo tudi upravljavci in obdelovalci, za katere GDPR ne velja, da zagotovijo ustrezne zaščitne ukrepe za prenose podatkov zunaj EU.

Smernice dopolnjujejo Smernice EDPB 1/2019 o kodeksih ravnanja, ki določajo splošni okvir za sprejemanje kodeksov ravnanja ter postopke in pravila, povezana s predložitvijo, odobritvijo in objavo kodeksov na nacionalni in evropski ravni.

Poleg tega, da so kodeksi učinkovito orodje za ugotavljanje odgovornosti, lahko zagotovijo tudi dosledne pristope k skladnosti z GDPR na ravni celotnega sektorja. Spoštovanje odobrenega kodeksa ravnanja bo tudi dejavnik, ki ga bodo nadzorni organi upoštevali pri ocenjevanju posebnih značilnosti obdelave podatkov, kot je varnost podatkov, ocenjevanju učinka obdelave v okviru ocene učinka v zvezi z varstvom podatkov ali pri izrekanju upravne globe.

Nove smernice bodo kmalu na voljo na spletni strani EDPB.

Ana Novinec

EK odločila: prenos podatkov med EU in Združenim kraljestvom se lahko nadaljuje

Evropska komisija (v nadaljevanju, EK) je 28.6.2021 s sklepom o ustreznosti (v nadaljevanju, sklep) uradno priznala, da je zakonodaja Združenega kraljestva o varstvu podatkov ustrezna za omogočanje prostega pretoka osebnih podatkov iz Evropskega gospodarskega prostora v Združeno kraljestvo. To pomeni, da se lahko osebni podatki še naprej prosto prenašajo iz EU v Združeno kraljestvo, ne da bi morali upravljalci in obdelovalci sprejeti dodatne ukrepe.

Zaenkrat se sklep ne nanaša na osebne podatke, ki se posredujejo za namene nadzora priseljevanja v Združeno kraljestvo ali ki so drugače izvzeti iz nekaterih pravic posameznikov, na katere se nanašajo osebni podatki, za namene vzdrževanja učinkovitega nadzora priseljevanja (izjema za priseljevanje). Izjema za priseljevanje je bila med komentatorji pogosto kritizirana kot sporna izjema v Zakonu o varstvu podatkov Združenega kraljestva iz leta 2018. Zaradi tega je organizacija Open Rights Group (ORG) proti vladi sprožila pravni postopek, v katerem je trdila, da ministrstvo za notranje zadeve izjemo uporablja z namenom, da ljudem onemogoča dostop do njihovih osebnih podatkov, ter da je "veliko preširoka in nenatančna". Prizivno sodišče Združenega kraljestva je 26.5.2021 potrdilo, da se strinja z ORG, in navedlo, da izjema za priseljevanje v sedanji obliki ni združljiva z zakonodajo Združenega kraljestva. Sodišče je navedlo, da izjema za priseljevanje ne vsebuje potrebnih zakonodajnih zaščitnih ukrepov, ki so navedeni v členu 23(2) Splošne uredbe o varstvu podatkov Združenega kraljestva. V sklepu EK je navedeno, da bosta, ko bo Združeno kraljestvo odpravilo to nezdružljivost, izjema za priseljevanje in področje uporabe sklepa ponovno ocenjena.

Namigovanja Združenega kraljestva na morebitno odstopanje od evropskih standardov, določenih v Splošni uredbi o varstvu podatkov (v nadaljevanju, GDPR), je imelo za posledico, da je EK v sklepu o ustreznosti prvič uporabila štiriletno klavzulo o prenehanju veljavnosti. Sklep EK se bo namreč uporabljal za začetno obdobje štirih let. Podaljša se lahko za štiri leta, če EK pri spremljanju izvajanja sklepa ugotovi, da Združeno kraljestvo še vedno ustrezno varuje osebne podatke, vendar se v tem primeru postopek sprejemanja sklepa začne znova. Če pa EK meni, da Združeno kraljestvo ne ohranja več ustreznega varstva in da državni organi v določenem časovnem okviru ne sprejmejo ustreznih korektivnih ukrepov, lahko EK delno ali v celoti začasno ali trajno razveljavi odločbo.

Posledice sklepa o ustreznosti:

Čeprav je sklep nedvomno dobra novica, še vedno obstajajo področja ureditve varstva podatkov v Združenem kraljestvu, ki so lahko predmet pravnega izpodbijanja in ogrožajo dolgoročni status ustreznosti ureditve Združenega kraljestva. Tako so na primer skupine za varstvo pravice do zasebnosti in parlament EU izrazili pomisleke glede režima Združenega kraljestva za množični nadzor. Vendar pa bi vsi takšni izzivi potrebovali nekaj časa, da bi se prebili skozi sodni postopek do Sodišča EU.

Bolj neposredno grožnjo predstavlja delovanje vlade Združenega kraljestva, ki pregleduje pristop Združenega kraljestva k regulaciji v svetu po Brexitu.

Delovna skupina za inovacije, rast in regulativno reformo (ki jo vodijo različni člani parlamenta) je prejšnji mesec objavila poročilo vladi, v katerem poziva k "pogumnemu novemu regulativnemu okviru Združenega kraljestva, ki bo temeljil na temeljnih načelih prava Združenega kraljestva". V poročilu je bilo predlagano, da se GDPR nadomesti z novo ureditvijo Združenega kraljestva za varstvo podatkov, ki bi bila "bolj sorazmerna". V poročilu je GDPR kritizirana kot "normativna in neprilagodljiva ter še posebej obremenjujoča za delovanje manjših podjetij in dobrodelnih organizacij".

Poleg tega je vlada Združenega kraljestva javno sporočila, da želi z novimi partnerji po svetu skleniti lastne "dogovore o ustreznosti ureditve Združenega kraljestva", da bi svojim organizacijam olajšala mednarodno pošiljanje podatkov. To je sprožilo zaskrbljenost, saj bi se lahko Združeno kraljestvo uporabljalo kot "zadnja vrata" za prenos podatkov EU v "nevarne" jurisdikcije. Sklep EK se te zaskrbljenosti zelo dobro zaveda, zato Komisija pravi, da bo "pozorno spremljala razmere", da bi "ocenila, ali se različni mehanizmi prenosa uporabljajo na način, ki zagotavlja kontinuiteto varstva, in po potrebi sprejela ustrezne ukrepe za odpravo morebitnih negativnih učinkov za takšno kontinuiteto", vendar da "se pričakuje, da bi se problematičnim razhajanjem lahko izognili tudi s sodelovanjem ter izmenjavo informacij in izkušenj med Uradom informacijskega pooblaščenca Združenega kraljestva in Evropskim odborom za varstvo poudarkov".

Strokovnjaki za varstvo podatkov si lahko torej oddahnejo, ker je bila v zadnjem trenutku sprejeta odločitev o ustreznosti, vendar pa lahko prihodnji politični dogodki pretresejo njeno stabilnost.

Ana Novinec

Nacionalni nadzorni organi lahko sprožijo postopek proti upravljalcu, katerega vodilni nadzorni organ je iz druge države članice

Sodišče Evropske unije (v nadaljevanju, SEU) je 15.6.2021 s sodbo v postopku predhodnega odločanja potrdilo, da lahko nacionalni nadzorni organ za varstvo osebnih podatkov v skladu z GDPR in pod določenimi pogoji začne sodni postopek proti upravljavcu v svoji državi, tudi če ni vodilni nadzorni organ. To se nanaša na čezmejne primere, ko je sedež evropskega podjetja v drugi državi članici.

Dejansko stanje:

Vprašanje se je pojavilo v postopku, ki ga je leta 2015 začela belgijska komisija za varstvo podatkov proti družbi Facebook, ki ima sedež v EU na Irskem. Komisija za varstvo podatkov je pred belgijskim sodiščem vložila tožbo zaradi domnevnih kršitev belgijske zakonodaje o varstvu podatkov s strani družbe Facebook. Zatrjevane kršitve so obsegale zbiranje in uporabo informacij o spletnem obnašanju belgijskih internetnih uporabnikov, ne glede na to, ali so bili slednji imetniki računa na Facebooku. Predložitveno sodišče ni bilo prepričano, ali uporaba mehanizma "vse na enem mestu" vpliva na pristojnosti organa za varstvo podatkov in zlasti, ali lahko organ za varstvo podatkov vloži tožbo proti družbi Facebook Belgium, glede na to, da je bila za upravljavca zadevnih podatkov določena družba Facebook Ireland. Pravilo GDPR "vse na enem mestu" namreč določa, da je lahko samo pooblaščenec za varstvo podatkov (Irska) pristojen za uvedbo postopka za izdajo odredbe, ki ga lahko preverijo irska sodišča.

Sodba SEU:

1. Nacionalni nadzorni organ, ki ima v skladu z 58. členom GDPR pooblastilo za predložitev domnevnih kršitev sodišču njegove države članice in po potrebi sprožitev sodnega postopka, lahko to pooblastilo izvršuje v zvezi s čezmejno obdelavo podatkov, čeprav glede take obdelave podatkov ni vodilni nadzorni organ, če gre za enega od primerov, v katerih je temu nadzornemu organu podeljena pristojnost za sprejemanje odločb o ugotovitvi, da so z navedeno obdelavo kršena pravila o varstvu osebnih podatkov, ter ob spoštovanju postopka sodelovanja in postopka za skladnost iz te uredbe.

V zvezi s čezmejno obdelavo GDPR določa mehanizem "vse na enem mestu", ki temelji na razdelitvi pristojnosti med enim vodilnim nadzornim organom in drugimi zadevnimi nacionalnimi nadzornimi organi. Ta mehanizem zahteva tesno, iskreno in učinkovito sodelovanje med temi organi, da se zagotovi dosledno in homogeno varstvo pravil o varstvu osebnih podatkov ter tako ohrani njegova učinkovitost. Splošno pravilo je, da ima vodilni nadzorni organ pristojnost za sprejetje odločitve, s katero se ugotovi, da primer čezmejne obdelave pomeni kršitev pravil GDPR, medtem ko pristojnost drugih zadevnih nadzornih organov za sprejetje take odločitve, tudi začasne, predstavlja izjemo od pravila. Vseeno pa se vodilni nadzorni organ pri izvajanju svojih pristojnosti ne sme izogibati bistvenemu dialogu ter iskrenemu in učinkovitemu sodelovanju z drugimi zadevnimi nadzornimi organi. Posledično v okviru tega sodelovanja vodilni nadzorni organ ne sme zanemariti stališč drugih nadzornih organov, vsak ustrezen in utemeljen ugovor enega od drugih nadzornih organov pa ima za posledico vsaj začasno preprečitev sprejetja osnutka odločitve vodilnega nadzornega organa.

2. V primeru čezmejne obdelave podatkov sedež upravljalca ne predstavlja pogoja za izvajanje pooblastila nadzornega organa, ki ni vodilni nadzorni organ, da začne postopke, ki spadajo v okvir njegovih pristojnosti v skladu z 58. členom GDPR. Vseeno pa mora izvajanje te pristojnosti spadati na ozemeljsko področje GDPR, ki predpostavlja, da ima upravljavec ali obdelovalec v zvezi s čezmejno obdelavo sedež v EU.

3. Pooblastilo nadzornega organa države članice, ki ni vodilni nadzorni organ, da sodišče te države članice opozori na vsakršno domnevno kršitev in po potrebi začne sodni postopek, je mogoče izvrševati tako glede glavne poslovne enote upravljavca, ki je v državi članici tega organa, kot glede druge poslovne enote tega upravljavca, če se sodni postopek nanaša na obdelavo podatkov, ki se izvaja v okviru dejavnosti teh poslovnih enot, in če je navedeni organ pristojen za izvrševanje tega pooblastila.

Sodišče je dodalo, da izvajanje tega pooblastila predpostavlja uporabo GDPR. Ker so bile v konkretnem primeru dejavnosti skupine Facebook s sedežem v Belgiji neločljivo povezane z obdelavo osebnih podatkov, ki se obravnava v postopku v glavni stvari, pri čemer je družba Facebook Ireland upravljavec znotraj EU, je to obdelava, ki se izvaja "v okviru dejavnosti poslovne enote upravljavca" in zato spada na področje uporabe GDPR.

4. Kadar je nadzorni organ države članice, ki ni vodilni nadzorni organ, sodni postopek v zvezi s čezmejno obdelavo osebnih podatkov začel pred 25.5.2018 (pred datumom uporabe GDPR), je ta postopek mogoče nadaljevati na podlagi določb Direktive 95/46/ES, ki se še naprej uporablja za kršitve njenih pravil, ki so bile storjene do datuma njene razveljavitve. Poleg tega lahko ta organ navedeni postopek začne zaradi kršitev, ki so bile storjene po tem datumu, če gre za enega od primerov, v katerih je z GDPR nadzornemu organu države članice, ki ni vodilni nadzorni organ, izjemoma podeljena pristojnost za sprejetje odločbe o ugotovitvi, da so z zadevno obdelavo podatkov kršena pravila, ki jih navedena uredba vsebuje v zvezi z varstvom pravic posameznikov pri obdelavi osebnih podatkov, ob spoštovanju postopka sodelovanja in postopka za skladnost, določenih v tej uredbi, kar pa mora preveriti predložitveno sodišče.

5. 58. člen GDPR, v skladu s katerim mora vsaka država članica z zakonom določiti, da je njen nadzorni organ pristojen za opozarjanje sodnih organov na kršitve te uredbe in po potrebi za sprožitev sodnega postopka ali za drugačno sodelovanje v njem, je treba razlagati tako, da ima ta določba neposredni učinek, tako da se nacionalni nadzorni organ na navedeno določbo lahko sklicuje, da bi začel ali nadaljeval postopek proti posameznikom, tudi če ta določba ni bila posebej prenesena v zakonodajo zadevne države članice.

Posledice odločitve:

Konkretna sodba ponuja pomembno pojasnilo o tem, kako je mogoče razlagati uredbo GDPR in njeno pravilo "vse na enem mestu".

Sodba pozitivno učinkuje na spoštovanje zasebnosti posameznikov, ne glede na to, kje v EU ima podjetje sedež. Ker v sistemu čezmejnega izvrševanja uredbe GDPR obstajajo ozka grla, je SEU odločilo, da morajo imeti vsi nacionalni organi možnost, da pod določenimi pogoji ravnajo proaktivno in uporabijo vsa svoja pooblastila, kadar so posameznikove pravice kršene. Glede na to, da ima večina velikih tehnoloških podjetij sedež na Irskem, je bila do sedanje odločitve sodišča zaščita 500 milijonov evropskih potrošnikov odvisna samo od nadzornega organa te države.

Ana Novinec

Nove standardne pogodbene klavzule

Evropska komisija (v nadaljevanju, EK) je 4.6.2021 izdala posodobljene standardne pogodbene klavzule (SCC), ki na podlagi Splošne uredbe o varstvu osebnih podatkov (v nadaljevanju, GDPR) veljajo za prenos podatkov od upravljavcev ali obdelovalcev iz EU/EGP (za katere sicer velja GDPR) k upravljavcem ali obdelovalcem s sedežem zunaj EU/EGP (za katere GDPR ne velja). Te posodobljene standardne pogodbene klavzule bodo nadomestile tri sklope standardnih pogodbenih klavzul, ki so bile sprejete na podlagi prejšnje Direktive o varstvu podatkov 95/46/ES.

V skladu z GDPR, se pogodbene klavzule, ki zagotavljajo ustrezne zaščitne ukrepe za varstvo podatkov, lahko uporabijo kot podlaga za prenos podatkov iz EU v tretje države. Te nove pogodbene klavzule je predhodno odobrila EK.

V izjavi EK je pojasnjeno, da lahko upravljavec ali obdelovalec, ki posreduje osebne podatke v tretjo državo (»izvoznik podatkov«), in upravljavec ali obdelovalec, ki prejema osebne podatke (»uvoznik podatkov«), te standardne pogodbene klavzule vključita v širšo pogodbo in dodata druge klavzule ali dodatne zaščitne ukrepe, če ti niso neposredno ali posredno v nasprotju s standardnimi pogodbenimi klavzulami ali ne posegajo v temeljne pravice ali svoboščine posameznikov, na katere se nanašajo osebni podatki.

Pomemben vidik novih prilagodljivih SCC je, da Priloga strankam omogoča »kombiniranje splošnih klavzul z modularnim pristopom, pri čemer se upoštevajo različni scenariji prenosa in zapletenost sodobnih verig obdelave. Poleg splošnih klavzul morajo upravljavci in obdelovalci izbrati modul, ki ustreza njihovemu položaju, da svoje obveznosti iz standardnih pogodbenih klavzul prilagodijo svoji vlogi in odgovornostim v zvezi z zadevno obdelavo podatkov.«

26 uvodnih izjav pojasnjuje, kako naj izvozniki in uvozniki uporabljajo nove SCC. V prilogah so navedene podrobnosti za različne scenarije in ustrezne module:

• Zaščitni ukrepi za varstvo podatkov: prenos podatkov upravljavca upravljavcu/ upravljavca obdelovalcu/ obdelovalca obdelovalcu/ obdelovalca upravljavcu;
• Uporaba pod-obdelovalcev: prenos podatkov upravljavca obdelovalcu/ obdelovalca obdelovalcu;
• Pravice posameznikov, na katere se nanašajo osebni podatki: prenos podatkov upravljavca upravljavcu/ upravljavca obdelovalcu/ obdelovalca obdelovalcu/ obdelovalca upravljavcu;
• Pravna sredstva: prenos podatkov upravljavca upravljavcu/ upravljavca obdelovalcu/ obdelovalca obdelovalcu;
• Odgovornost: prenos podatkov upravljavca upravljavcu/ obdelovalca upravljavcu/ upravljavca obdelovalcu/ obdelovalca obdelovalcu;
• Nadzor: prenos podatkov upravljavca upravljavcu/ upravljavca obdelovalcu/ obdelovalca obdelovalcu;

SCC v nadaljevanju vsebujejo poglavja glede:

• obveznosti v primeru dostopa javnih organov,
• nespoštovanja klavzul in odpovedi,
• veljavnega prava,
• izbire sodišča in pristojnosti ter
• besedila, ki ga je treba vključiti v priložene dokumente.

Upravljavci oziroma obdelovalci bodo imeli 18 mesecev časa, da se prilagodijo oziroma preidejo iz starih na nove standardne pogodbene klavzule.

Sklep EK začne veljati 20 dni po objavi v Uradnem listu EU.

Ana Novinec

Zahteva za dostop do podatkov – v Nemčiji ni potrebna kopija službenih elektronskih sporočil

Nemško zvezno delovno sodišče zavrnilo tožbo delavca:

Nemško zvezno delovno sodišče je 27.4.2021 odločilo, da delavci od delodajalca ne morejo zahtevati, da jim zagotovi kopije (i) celotne elektronske korespondence delavca in (ii) vseh elektronskih sporočil, v katerih je delavec omenjen z imenom.

Zvezno sodišče je navedlo, da v skladu z veljavnimi pravili civilnega postopka zahteva ni bila dovolj konkretizirana - elektronskih sporočil ni bilo mogoče opredeliti na način, da bi bilo mogoče izvršiti katero koli odredbo. Sodišče je svojo odločitev oprlo na zakon o civilnem postopku in ne na zakon o varstvu osebnih podatkov.

Dejansko stanje: 

Delavec je pri nekdanjem delodajalcu vložil zahtevo za dostop do podatkov v skladu s 15. členom Splošne uredbe o varstvu osebnih podatkov (v nadaljevanju, GDRP). Zahteval je "kopijo svojih osebnih podatkov, ki se obdelujejo". Delodajalec je delavcu posredoval kopijo njegovih osebnih podatkov in nekaj elektronskih sporočil, vendar je delavec trdil, da po njegovem mnenju kopija ni zadostovala zahtevi. Delavec je proti nekdanjemu delodajalcu vložil tožbo, v kateri je trdil, da mu delodajalec ni zagotovil popolne kopije njegove celotne elektronske korespondence in elektronskih sporočil, v katerih je bil omenjen po imenu.

Stranki sta del spora rešili sporazumno, vendar je zahtevek v zvezi s tem, ali je delodajalec moral zagotoviti celotno elektronsko korespondenco delavca, ostal odprt.

Delovno sodišče prve stopnje je tožbo zavrnilo. Ugotovilo je namreč, da zahteva po predložitvi celotne kopije elektronske pošte v skladu z nemškimi pravili civilnega postopka ni bila dovolj konkretizirana.

Pritožbeno sodišče pa je delodajalcu naložilo, naj delavcu zagotovi kopije njegove elektronske pošte, vendar le tiste, ki vsebujejo osebne podatke delavca, ker je to zajeto v pravici do dostopa, ki jo zagotavlja GDPR. Pritožbeno sodišče je menilo, da delodajalcu ni treba zagotoviti popolne kopije celotnih dokumentov in elektronskih sporočil (npr. kadrovskih map). 3. odstavek 15. člena GDPR namreč omenja le zahtevo po zagotovitvi "kopije osebnih podatkov, ki se obdelujejo", zato naj posamezniki, na katere se nanašajo osebni podatki, ne bi bili upravičeni do dostopa do celotnih zbirk podatkov. Menilo je tudi, da GDPR zahteva določeno stopnjo informativne vrednosti podatkov o posamezniku, na katerega se nanašajo osebni podatki, zlasti ker 63. uvodna izjava h GDPR določa, da morajo posamezniki, na katere se nanašajo osebni podatki, v primeru večjih količin podatkov določiti tudi, katere kopije je treba zagotoviti. Poleg tega je pritožbeno sodišče navedlo, da posameznikom, na katere se nanašajo osebni podatki, ni treba zagotoviti celotne elektronske korespondence, kadar so bili slednji njeni prejemniki ali avtorji, saj 15. člen GDPR ne zajema informacij, ki so posamezniku, na katerega se nanašajo osebni podatki, že znane.

Pomen in komentar sodbe:

Ta sodba je nedvomno omejila obseg pravice do dostopa posameznika, na katerega se nanašajo osebni podatki, česar druga nemška sodišča prej niso obravnavala. Prav tako je v sodbi poudarjeno, da je treba pri izvajanju GDPR upoštevati načela nacionalnega prava. Sodišče je očitno uporabilo predpise o civilnem postopku kot "enostaven izhod" iz zadeve, s čimer se je tudi izognilo temu, da bi moralo vprašanje o dosegu 15. člena GDPR predložiti Sodišču Evropske unije. Vseeno pa bi sodba evropskega sodišča v glavnem vplivala na zahteve posameznikov, na katere se nanašajo osebni podatki, ki so bile vložene v skladu z nemškim pravom.

Ana Novinec

Objavljen nov predlog ZVOP-2

Ministrstvo za pravosodje je v javno razpravo ter v strokovno in medresorsko usklajevanje posredovalo predlog novega Zakona o varstvu osebnih podatkov (ZVOP-2), ki na sistemski ravni izvaja določbe Splošne uredbe o varstvu podatkov iz leta 2016. Osnutek je na voljo na:

https://e-uprava.gov.si/drzava-in-druzba/e-demokracija/predlogi-predpisov/predlog-predpisa.html?id=10208

Bavarski informacijski pooblaščenec je prvi nadzorni organ v EU, ki je ugotovil nezakonitost prenosa osebnih podatkov iz EU v ZDA na temelju "Schrems II" odločitve.

Naj spomnimo - Sodišče Evropske unije (SEU) 16. julija 2020 izdalo težko pričakovano sodbo v zadevi C-311/18 (DPC Ireland v. Facebook Ireland and Schrems). S to sodbo je razveljavilo predhodno odločbo Evropske komisije (EK) 2016/1250 o ustreznosti varstva v okviru EU-ZDA dogovora Ščit zasebnosti (Privacy Shield), ki je služil kot ena izmed podlag za prenos osebnih podatkov iz EU v ZDA. Posledično so vsi prenosi osebnih podatkov v ZDA na tem pravnem temelju od 16.7.2020 naprej nezakoniti. SEU je svojo odločitev utemeljilo z dvomi v ameriško zakonodajo za zagotavljanje ustrezne ravni varstva, ki jo zahteva 45. člen GDPR, pri čemer je SEU posebej navedlo, da varstvo osebnih podatkov, kot ga zagotavlja zakonodaja v ZDA, ni ekvivalentno ravni varstva v EU.

SEU je v isti zadevi, sicer v načelu, potrdilo veljavnost standardnih pogodbenih klavzul, ki se še vedno lahko uporabljajo za prenose podatkov v tretje države, torej tudi ZDA, ki ne zagotavljajo ustreznega varstva osebnih podatkov. Po drugi strani pa je SEU izvozniku osebnih podatkov naložilo obvezo, da v vsakem posamičnem primeru izvoza podatkov, preveri in oceni ali je z izvozom zagotovljena ustrezna raven varstva podatkov. V primeru ugotovitve, da raven varstva ni ustrezna in primerljiva z evropsko, mora izvoznik osebnih podatkov s takšnimi iznosi osebnih podatkov prenehati, pristojni nadzorni organi pa lahko v takšnih primerih prepovedo iznos.

Konkretna odločitev sodišča o razveljavitvi Ščita zasebnosti ne predstavlja prepovedi prenosa osebnih podatkov v ZDA, saj je z njo odpadla zgolj ena izmed podlag, ki jih predvideva GDPR. Je pa pomembno, da izvozniki, ki so do sedaj podatke izvažali na podlagi Sporazuma o zasebnostnem ščitu, utemeljijo izvoz na eni izmed preostalih pravno-veljavnih podlag.

Bavarski informacijski pooblaščenec (DPA) je 15.3.2021 v pritožbenem postopku, ki ga je vodil na podlagi 77. člena GDPR, presodil, da je bila uporaba Mailchimpa za prenos e-poštnih naslovov v ZDA nezakonita. Mailchimp je ameriška avtomatizirana tržna platforma in ponudnik storitev e-trženja. Pri uporabi Mailchimpa za prenos podatkov iz Nemčije v ZDA se je nemško podjetje FOGS Magazin opiralo na standardne pogodbene klavzule EU. Toda Mailchimp bi se lahko po ameriškem zakonu o nadzoru kvalificiral za "ponudnika elektronskih komunikacijskih storitev", navaja DPA. Zato bi moralo nemško podjetje kot izvoznik podatkov ob sklicevanju na odločitev SEU v zadevi "Schrems II" oceniti dodatne ukrepe, ki bi jih bilo treba sprejeti za zagotovitev, da so bili preneseni podatki zaščiteni pred nadzorom pristojnih služb v ZDA.

Ker je toženec (podjetje FOGS Magazin) izjavil, da bo takoj prenehal z uporabo Mailchimpa, je bila morebitna kršitev zakona manjša in ker EK ni dokončala novih standardnih pogodbenih klavzul, Bavarski DPA ni naložil globe.

Več o zadevi si lahko preberete na naslednji povezavi: https://gdprhub.eu/index.php?title=BayLDA_-_LDA-1085.1-12159/20-IDV

V primeru vprašanj o vaši uporabi ameriških tehnoloških rešitev nas lahko kontaktirate.

Ana Novinec

Študija o odgovornosti spletnih platform

Evropski parlament je 8. februarja 2020 objavil, da je Odbor za prihodnost znanosti in tehnologije Evropske parlamentarne raziskovalne službe objavil svojo študijo o odgovornosti spletnih platform. Študija zlasti ugotavlja, da se glede na osrednjo vlogo, ki jo imajo spletne platforme v digitalnem gospodarstvu, postavljajo vprašanja o njihovi odgovornosti v zvezi z nezakonito / škodljivo vsebino ali izdelki, ki jih gostijo v okviru njihovega delovanja ter, da je zato treba oceniti ustreznost in učinkovitost obstoječega pravnega okvira EU, zlasti v zvezi z izjemami glede odgovornosti iz Direktive 2000/31 / ES z dne 8. junija 2000 o nekaterih pravnih vidikih storitev informacijske družbe. Poleg tega, študija ponuja klasifikacijo obstoječih platform, opredeljuje in ocenjuje ustreznost pravnega okvirja na evropski ravni ter ponuja vrsto možnosti o razpoložljivih alternativnih pristopih do regulacije spletnih platform.

Kako obdelovati podatkovne nize, ki vsebuje osebne in ne-osebne podatke

Uredba o prostem pretoku neosebnih podatkov in Splošna uredba o varstvu podatkov (GDPR) vsebujeta različna pristopa k prostemu pretoku podatkov v EU.

Osebni podatki, so tisti, ki jih kot take opredeljuje GDPR. Neosebni podatki, pa so vsi, ki niso osebni po GDPR.

Mešani podatkovni niz je sestavljen iz osebnih in neosebnih podatkov. Mešani podatkovni nizi predstavljajo večino podatkovnih nizov, ki se uporabljajo v podatkovnem gospodarstvu, in so pogosti zaradi tehnoloških dosežkov, kot so internet stvari (tj. digitalno povezovanje objektov), umetna inteligenca in tehnologije, ki omogočajo analizo velepodatkov (metadata).

V primeru podatkovnega niza, ki vsebuje osebne in neosebne podatke, velja naslednje:

• uredba o prostem pretoku neosebnih podatkov se uporablja za del podatkovnega niza, ki obsega neosebne podatke;
• določba o prostem pretoku26 iz splošne uredbe o varstvu podatkov se uporablja za del podatkovnega niza, ki obsega osebne podatke, ter
• če sta del, ki obsega neosebne podatke, in del, ki obsega osebne podatke, “neločljivo povezana“, se pravice in obveznosti v zvezi z varstvom podatkov, ki izhajajo iz GDPR, v celoti uporabljajo za celotni mešani podatkovni niz, tudi če osebni podatki predstavljajo samo majhen del podatkovnega niza.

Pojem „neločljivo povezan“ ni opredeljen v nobeni od navedenih uredb. Iz praktičnih razlogov se lahko nanaša na položaj, v katerem podatkovni niz vsebuje osebne in neosebne podatke, pri čemer bi bilo ločevanje teh dveh vrst podatkov nemogoče ali pa bi bilo ločevanje po mnenju upravljavca ekonomsko neučinkovito ali tehnično neizvedljivo.

Ločevanje podatkovnega niza bi verjetno bistveno zmanjšalo njegovo vrednost. Poleg tega je zaradi spreminjajoče se narave podatkov težje jasno razlikovati med različnimi kategorijami podatkov in jih tako ločiti.

Pomembno je, da nobena od uredb podjetij ne zavezuje k ločevanju podatkovnih nizov, ki jih upravljajo ali obdelujejo.

Zato bodo za mešani podatkovni niz na splošno veljale obveznosti iz GDPR za upravljavcev in obdelovalcev podatkov ter zahteve glede spoštovanja pravic posameznikov, na katere se nanašajo osebni podatki, iz splošne uredbe o varstvu podatkov.

Z namenom pojasniti povezavo med osebnimi in neosebnimi podatki je EU Komisija izdala Smernice k uredbi o okviru za prosti pretok neosebnih podatkov v Evropski uniji

Predlog zakonodajnega akta o enotnem trgu za digitalne storitve in akta o digitalnem trgu

Evropska komisija je decembra 2020 po javnem posvetovanju objavila predlog zakonodajnega akta o enotnem trgu za digitalne storitve (Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on a Single Market For Digital Services (Digital Services Act) and amending Directive 2000/31/EC) in predlog zakonodajnega akta o digitalnem trgu ( Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on contestable and fair markets in the digital sector (Digital Markets Act).

Nemško sodišče odločilo o uporabi modela za določanje višine globe zaradi kršitev GDPR, ki ga je sprejel nemški zvezni informacijski pooblaščenec

Nemški model za izračunavanje in določanje glob zaradi kršitev GDPR, kot ga je sprejel Nemški zvezni informacijski pooblaščenec, ki sloni predvsem na kriteriji velikosti prihodkov kršitelja, je bil kritiziran s strani nemškega sodišča v Bonnu. Sodišče je konec leta 2020 jasno reklo, da model izračunavanja glob vodi k nesorazmernim globam in zato ni primeren.

Decembra je nemški zvezni informacijski pooblaščenec oglobil nemško telekomunikacijsko družbo 1&1 Telecom v višini € 9.55m. Regionalno sodišče v Bonnu pa je znižalo globo na 900.000 EUR na temelju ugotovitve, da je bila nesorazmerna, ni upoštevala vse okoliščine primera ter je bazirala primarno na vrednosti prihodkov podjetja in ne drugih okoliščinah.

Odziv zveznega informacijskega pooblaščenca je bil, da jih veseli, da je sodišče ugotovila kršitve GDPR ne glede na zmanjšanje kazni.

EU komisija je izdala oceno učinka o uporabi umetne inteligence v produktih in storitvah

Evropska komisija je izdala začetno oceno učinka za novi predlog uredbe o etičnem in pravnem temelju umetne intelligence, ki sledi Resoluciji Evropskega parlamenta z dne 12. februarja 2019 o celoviti evropski industrijski politiki na področju umetne inteligence in robotike Umetna inteligenca je hitro razvijajoča se in strateška tehnologija z izjemnim potencialom. Vendar nekatere vrste njene uporabe predstavljajo posebno veliko tveganje pri uporabi različnih pravil EU, namenjenih varstvu temeljnih pravic, zagotavljanju varnosti in pripisovanju odgovornosti.

S to pobudo se bo zagotovilo, da je umetna inteligenca varna, zakonita in v skladu s temeljnimi pravicami EU. Splošni cilj je spodbuditi uporabo zaupanja vredne umetne inteligence v gospodarstvu EU.

Umetna inteligenca je prednostna naloga Evropske unije, saj bo imela glede na napovedi ključno vlogo v digitalni preobrazbi gospodarstva in družbe.

Začetna ocena učinka in odzivi industrije so dostopni na: https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12527-Requirements-for-Artificial-Intelligence

Prenos osebnih podatkov v/iz Velike Britanije po 1. 1. 2021

The Trade and Cooperation Agreement (TCA) which sets out the future relationship between the EU and UK, contains provision in Article FINPROV.10A, for a data bridge to last no more than six months. This will allow personal data to flow freely between the EU and the UK without the need for additional transfer mechanisms as the UK will not be considered a third country for data export purposes during this period. In a statement, the ICO advised organisations to put transfer mechanisms in place to protect against any future disruption which suggests that EU adequacy is not a 'done deal'. She also confirmed that the UK has deemed the EU, EEA and EFTA countries to be adequate for the purposes of transfers of personal data from the UK.