Ali bodo standarde pogodbene klavzule še zakonit način prenosa osebnih podatkov izven EU?

 

Kateri vaši zunanji dobavitelji lahko obdelujejo osebne podatke, ki so v vašem upravljanju

EU Sodišče bo sprejelo svojo dokončno odločitev v zadevi Case C-311/18 Data Protection Commissioner v Facebook Ireland & Schrems 16 julija 2020. Ta odločitev EU sodišča se nanaša na zakonitost standardnih pogodbenih klavzul, ki jih je sprejela EU Komisija  in na temelju katerih podjetja v EU temeljijo svoje iznose osebnih podatkov izven EU, še posebej gre tu za primere najemanja zunanjih sodelavcev (outsourcing services).

Generalni pravobranilec je 19 Decembra 2019 podal svoje nezavezujoče mnenje. Mnenja je, da so standardne pogodbene klavzule veljaven načun prenosa osebnih podatkov izven EEA ampak, da to ne sme veljati avtomatično in v vsakem primeru prenosa zoiroma iznosa.  Iz mnenja generalnega pravobranilca izhaja, da morajo stranke, ki bodo uporabljale standardne pogodbene klavzule, ugotoviti ali zakoni države uvoznice osebnih podatkov s področja državne varnosti so v svoji osnovi ekvivalentni takšnim predpisom v EU in ali torej zagotavljajo pravico do zasebnosti in svoboščine v tej povezavi ter zagotavljajo učinkovita pravna sredstva. Če ne, potem se standardne pogodbene klavzule ne smejo uporabiti kot temelj prenosa osebnih podatkov.

Vprašanje, ki trenutno vse nas, ki se ukvarjamo s področjem varstva osebnih podatkov, najbolj zanima je v kakšnem obsegu se bo Sodišče EU strinjalo z mnenjem pravobranilca.

Primerno in preudarno je, da zato upravljavci osebnih podatkov, še posebej tisti, ki so obdelavo osebnih podatkov poverili tretjim osebam (outsorcing storitve) na temelju podpisanih standardnih pogodbenih klavzul, začnejo z analizo posledic odločitve Sodišča EU in kaj to konkretno za njih pomeni.

Prva stvar, ki jo je potrebno ugotoviti (če to ne izhaja jasno iz vaših evidenc obdelav osebnih podatkov) je od kje se outsorcing storitve zagotavljajo. To ne pomeni zgolj ugotoviti kje so podatkovni centri (data centre) temveč tudi od kod vse se dostopa do vaših osebnih podatkov. Npr. podatkovni center je lociran na ozemlju Nizozemske, ampak podpora pa se vrši neposredno iz ZDA. Ko to ugotovite je “enostavna” rešitev, da pogodbeni stranki raziščeta, če lahko outsorcing partner zagotovi, da se do osebnih podatkov v EU ne dostopa s strani oseb, ki niso v EU. To ima lahko vpliv na ceno storitve (zagotovitev tim. “all EU access” je vedno dražja opcija) in je to potrebno tehtati v luči morebitne odločbe Sodišča EU, ki bo presodila, da so standardne pogodbene klavzule nezakonit način prenosa osebnih podatkov izven EU.

Druga stvar, ki jo morate znati razumeti so vaši podatki. Kaj je ali bi lahko bilo v interesu državnih organov? Pravobranilec je v svojem mnenju zapisal, da se mora vsak izvoznik osebnih podatkov opredeliti glede vseh okoliščin prenosa še preden pride do dejanskega iznosa osebnih podatkov. To sugerira, da stranke, ko se opredeljujejo do tega, vzamejo v obzir vrsto osebnih podatkov in njihovo naravo (občutljivi osebni podatki) in pa naravo in namen obdelav osebnih podatkov s strani državnih organov v državi uvoznici osebnih podatkov. Takšna analiza lahko pokaže, da posamezne vrste osebnih podatkov niso zanimive državnim organom v državi uvoznici in zatorej ni potrebe po temeljiti analizi zakonodaje države uvoznice na področjih javne varnosti, komunikacije in nadzora. Po drugi strani, če pa so osebni podatki, ki se prenašajo, lahko zanimivi za državne organe v državi uvoznici pa mora biti analiza temeljita. Ta vaja ni tako preprosta, saj to, kar zanima obveščevalne agencije, ni vedno dobro zapisano oziroma jasno, zakoni, ki urejajo njihovo delovanje, pa so lahko nepregledni in zelo strokovno napisani.

Tretja opcija, ki obstaja je, da razmislite o vašem položaju. Obe pogodbeni stranki bosta morali odločiti kdo lahko najbolje presoja in analizira zakone s področja nacionalne varnosti in ki lahko ugotovi posledice. Kakorkoli  takšna analiza zagotovo ne bo enostavna v večini primerov. To bo časovno zahteven projekt, že v primeru držav, ki imajo zakonodajo s področja nacionalne varnosti transparentno, v primerih držav, kjer pa ta zakonodaja ni transparentna bo odgovor morda sploh nemogoče dobiti. V vsakem primeru bo torej podrobna analiza zahtevala svoj čas, da se primerno ovrednotijo tveganja.

Še eno od vprašanj, ki zahtevajo vašo pozornost je ali bi lahko odločitev Sodišča EU glede standardnih pogodbenih klavzul vplivala tudi na druge mehanizme prenosov osebnih podatkov izven EU, kot na primer zavezujoča poslovna pravila, certifikacijein drugo. Vsi ti mehanizmi so del člena 46. GDPR kot zaščita za osebne podatke, ki se iznašajo iz EU, in zato lahko odločitev Sodišča EU vpliva tudi na njih.

Predlagamo, da ste na zgornja vprašanja kot upravljavec osebnih podatkov pozorni in že sedaj pri svojih outsorcing partnerjih preverite njihove načrte v primeru če bo EU Sodišče sledilo mnenju generalnega pravobranilca oz celo v celoti razveljavilo standardne pogodbene klavzule kot mehanizem izvoza osebnih podatkov izven EEA.

Enako kot zgoraj velja za vse ponudnike IT in drugih storitev. Na njih je, da ocenijo kateri podatkovni centri oziroma dostopi so lahko predmet odločitve Sodišča EU in da primerno rekonfigurirajo svojo organizacijo za namene obdelovanja osebnih podatkov svojih strank iz EEA.

V primeru potrebe po dodatnih pojasnilih nas prosim kontaktirajte na info@itlaw-vsj.si

Vesna Stankovič, ustanoviteljica ILAW, specializirane pravne pisarne za področje mednarodnih prenosov osebnih podatkov

Leave a Reply

Your email address will not be published.