Smernice za varstvo osebnih podatkov in raÄunalniÅ¡tvo v oblaku
Smernice za varstvo osebnih podatkov in raÄunalniÅ¡tvo v oblaku
Smernice za varstvo osebnih podatkov in raÄunalniÅ¡tvo v oblaku
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
man, Jersey, ZDA (samo v določenem delu: varni pristan <strong>in</strong> podatki potnikov) 12 . V tem primeru po prejemuvloge Pooblaščenec upravljavcu izda dovoljenje po hitrem postopku <strong>in</strong> državo umesti na svoj seznam iz 66.člena ZVOP-1. Če države ni na seznamu Evropske komisije, Pooblaščenec izvede postopek ugotavljanja sam.3.4.2 Prenos organi<strong>za</strong>ciji, ki <strong>za</strong>gotavlja ustrezno raven varstva <strong>osebnih</strong> <strong>podatkov</strong> (SPK <strong>in</strong> BCR)Upravljavec lahko osebne podatke, po tem, ko je dobil dovoljenje Pooblaščenca, posreduje v tretjo državokadar upravljavec <strong>in</strong> točno določena organi<strong>za</strong>cija, ki ji bodo podatki posredovani, <strong>za</strong>gotavljata ustrezno ravenvarstva <strong>osebnih</strong> <strong>podatkov</strong>, predvsem z določili v pogodbi, ipd. Upravljavcem so na voljo naslednji <strong>in</strong>strumenti:1. tipske pogodbe, ki jih je pripravila Evropska komisija – standardne pogodbene klavzule (SPK),2. multi-nacionalna podjetja se lahko k ustrezni ravni varstva <strong>osebnih</strong> <strong>podatkov</strong> <strong>za</strong>vežejo tudi z<strong>za</strong>vezujočimi poslovnimi pravili (ang. »B<strong>in</strong>d<strong>in</strong>g Corporate Rules – BCR«), oziroma sestavijo3. drugo pogodbo ali pogoje poslovanja, ki <strong>za</strong>dosti pogojem ustreznega varstva <strong>osebnih</strong> <strong>podatkov</strong>.Najpogostejše izmed navedenih orodij so standardne pogodbene klavzule, ki veljajo <strong>za</strong> takšne, da <strong>za</strong>gotavljajoprimerne <strong>za</strong>ščitne ukrepe glede varstva <strong>za</strong>sebnosti <strong>in</strong> hkrati <strong>za</strong>dostijo tudi vsem <strong>za</strong>htevam iz 11. člena ZVOP-1, sajštejejo kot pisna pogodba med upravljavcem <strong>osebnih</strong> <strong>podatkov</strong> <strong>in</strong> pogodbenim obdelovalcem, iz katere so razvidnemedsebojne pravice <strong>in</strong> obveznosti, poleg tega pa skupaj z obema dodatkoma vsebujejo tudi dogovor o postopkih <strong>in</strong>ukrepih <strong>za</strong> <strong>za</strong>varovanje <strong>osebnih</strong> <strong>podatkov</strong> iz 24. člena ZVOP-1. Prvi model SPK je namenjen prenosu <strong>podatkov</strong> odupravljavca k pogodbenemu obdelovalcu v tretji državi 13 , drugi model SPK pa je namenjen prenosu <strong>podatkov</strong> odupravljavca k drugemu upravljavcu v tretji državi 14 , ki ne <strong>za</strong>gotavlja ustrezne ravni varstva <strong>osebnih</strong> <strong>podatkov</strong>. V SPKje urejena tudi podobdelava, kar pomeni, da pogodbeni obdelovalec lahko <strong>za</strong>upa podatke v podobdelavonaslednjemu obdelovalcu, vendar je <strong>za</strong> njegova dejanja odgovoren ter mora o tem seznaniti upravljavca 15 .Vse bolj v porastu je tudi uporaba <strong>za</strong>vezujočih poslovnih pravil (ang. »B<strong>in</strong>d<strong>in</strong>g Corporate Rules – BCR«), ki so<strong>in</strong>terni akt multi-nacionalne korporacije – skup<strong>in</strong>e podjetij, od katerih so določena podjetja morda lociranazunaj EU, v tretjih državah, ki ne <strong>za</strong>gotavljajo ustreznega varstva <strong>osebnih</strong> <strong>podatkov</strong>. V <strong>in</strong>ternem aktu jedef<strong>in</strong>irana politika korporacije glede iznosa <strong>podatkov</strong> v tretje države – skladno z <strong>za</strong>htevami Direktive o varstvu<strong>osebnih</strong> <strong>podatkov</strong> glede iznosa <strong>osebnih</strong> <strong>podatkov</strong> v tretje države. Ko so BCR sprejete s strani nadzornih organovv EU, se šteje, da <strong>za</strong>gotavljajo ustrezno raven varstva <strong>za</strong> posredovanje <strong>podatkov</strong> znotraj skup<strong>in</strong>epodjetij/korporacije, ki so se <strong>za</strong>ve<strong>za</strong>la k spoštovanju BCR. Na podlagi BCR ni mogoč prenos <strong>podatkov</strong>podjetjem zunaj korporacije. Namen BCR je, da je v korporaciji, ki ima lahko člane tudi izven EU, torej v tretjihdržavah, prost pretok <strong>osebnih</strong> <strong>podatkov</strong> <strong>in</strong> da ni potrebno <strong>za</strong> vsak iznos <strong>podatkov</strong> v tretje države posebnodovoljenje nadzornega organa. BCR mora sprejeti nadzorni organ (kot je opisano zgoraj), potem pa korporacijana podlagi sprejetih BCR <strong>za</strong>prosi <strong>za</strong> dovoljenje <strong>za</strong> iznos <strong>podatkov</strong>. Velja opozorilo, da je prenos <strong>podatkov</strong> na12 Spisek je dostopen preko http://ec.europa.eu/justice/data-protection/document/<strong>in</strong>ternationaltransfers/adequacy/<strong>in</strong>dex_en.htm.13 Model standardnih pogodbenih klavzul <strong>in</strong> oba dodatka iz Sklepa Komisije z dne 5. februarja 2010 o standardnih pogodbenihklavzulah <strong>za</strong> prenos <strong>osebnih</strong> <strong>podatkov</strong> obdelovalcem s sedežem v tretjih državah v skladu z Direktivo 95/46/ES (notificirana poddokumentarno številko C(2010) 593) (2010/87/ES) je dostopen na tej pove<strong>za</strong>vi: http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2010:039:0005:0018:SL:PDF.14 Model standardnih pogodbenih klavzul <strong>in</strong> oba dodatka iz Sklepa Komisije z dne 27. decembra 2004 o spremembi Odločbe2001/479/ES glede uvedbe alternativnega sklopa standardnih pogodbenih klavzul <strong>za</strong> prenos <strong>osebnih</strong> <strong>podatkov</strong> v tretje države(Notificirana pod dokumentarno številko K(2004) 5271 je dostopen na tej pove<strong>za</strong>vi: https://www.iprs.si/fileadm<strong>in</strong>/user_upload/Pdf/Contractual_clauses__slo.pdf.15 Podrobneje v Smernicah Pooblaščenca o iznosu <strong>podatkov</strong> v tretje države: https://www.ip-rs.si/<strong>varstvo</strong>-<strong>osebnih</strong><strong>podatkov</strong>/iskalnik-po-odlocbah-<strong>in</strong>-mnenjih/smernice/.11