Odločbe ZIN: Iznos podatkov v tretje države

Odločbe ZIN: Iznos podatkov v tretje države
30. 09. 2023 objavil/a Info Hiša
49. člen GDPR
iznos podatkov
prenos podatkov v tretje države
tretje države

 

Številka:           06110-498/2022/5

Datum: 29. 8. 2023

 

Informacijski pooblaščenec (v nadaljevanju: IP) po pooblaščeni uradni osebi, državnemu nadzorniku za varstvo osebnih podatkov …, na podlagi četrtega odstavka 135. člena Zakona o splošnem upravnem postopku (Uradni list RS, št. 24/06 – uradno prečiščeno besedilo, 105/06 – ZUS-1, 126/07, 65/08, 8/10, 82/13, 175/20 – ZIUOPDVE in 3/22 – ZDeb; v nadaljevanju ZUP), v zadevi opravljanja inšpekcijskega nadzora, ki je uveden po uradni dolžnosti zoper zavezanca (v nadaljevanju zavezanec) glede prenosov osebnih podatkov v tretje države, izdaja naslednji

 

S K L E P

 

1.      Postopek inšpekcijskega nadzora, ki ga IP pod št. 06110-498/2022 vodi zoper zavezanca …, se ustavi.

2.      Posebni stroški postopka niso nastali.

 

Obrazložitev

I.     Dejansko stanje

1.      IP je dne 11. 11. 2022 uvedel postopek inšpekcijskega nadzora glede zakonitosti prenosa osebnih podatkov v tretje države pri prijavi na tekmovanja prek aplikacije F3XVault, na podlagi pobude, da naj bi zavezanec od članov, ki se želijo prijaviti na tekmovanja v organizaciji zavezanca, zahteval, da se prijavijo z uporabo spletne aplikacije F3XVault, ki prenaša osebne podatke v ZDA. Iz objavljene politike zasebnosti ponudnika aplikacije F3XVault[1] izhaja, da je sedež ponudnika 1180 Miramar Drive Vista, CA 92081 - Kalifornija, Združene države Amerike. V pojasnilu glede kraja obdelave izhaja, da so podatki shranjeni v kraju, ki ga določi ponudnik storitve F3XVault.

2.      Zavezanec je na poziv IP podal izjavo dne 22. 12. 2023, v kateri je pojasnil, da za organizacijo svojih tekmovanj uporablja platformo, ki jo nudi F3Xvault in ki jo uporabljajo tudi druga podobna društva po Evropi in po svetu za organizacijo podobnih tekmovanj (pobočno letenje, F3F kategorija). Kot pojasnjuje zavezanec, zaradi specifičnih lastnosti tekmovanja uporablja aplikacijo F3Xvault, ki omogoči pravilno točkovanje in izračun uvrstitve pilota. Podatki, ki se pri tem prenesejo, so ime in priimek, država ter FAI registrska številka pilota. Podatke vpiše vsak pilot sam, kdor ne želi, pa ga vpiše društvo tako, da ga opredeli pod psevdonimom, npr. Pilot št. 1 ali neznana oseba.

3.      Dne 10. 7. 2023 je Evropska komisija (EK) sprejela sklep o ustreznosti varstva osebnih podatkov na podlagi Okvira za varstvo zasebnosti podatkov med EU in ZDA (v nad. Sklep EK). Iz sklepa izhaja, da ZDA zagotavljajo ustrezno raven varstva (primerljivo z EU) za tiste osebne podatke, ki se iz EU prenašajo v ameriška podjetja v skladu z novim okvirom. Potrditev Sklepa o ustreznosti z dne 10. 7. 2023 je sledilo naporom EU in ZDA za izboljšanje pogojev varstva osebnih podatkov državljanov EU za obdelavo osebnih podatkov, ki se izvajajo v ZDA – tudi s sprejemom ustreznih zakonodajnih ukrepov, ki veljajo v ZDA.

II.   Ugotovitve IP

4.      Pogoji za prenose osebnih podatkov v tretje države, tudi ZDA, so opredeljeni v poglavju V., členi 44 – 50 Splošne uredbe.[2] Prenos osebnih podatkov je na podlagi člena 49(1)(c) Splošne uredbe dopusten tudi, ko je ta potreben za sklenitev ali izvajanje pogodbe med upravljavcem in drugo fizično ali pravno osebo, ki je v interesu posameznika, na katerega se nanašajo osebni podatki. Prenosi na podlagi navedenega člena se lahko vršijo, če so ti občasni in omejeni oziroma potrebni glede na namen pogodbe..

5.      V obravnavani zadevi je prijava in izvedba tekmovanj, ki jih organizira zavezanec, v interesu posameznikov, ki se na tekmovanje sami prostovoljno prijavijo.

6.      Prijavo in izvedbo tekmovanja v organizaciji zavezanca je treba razumeti kot sklenitev pogodbe z organizatorjem v smislu člena 49(1)(c) Splošne uredbe – tekmovalec sodeluje kot član društva ali v drugi obliki udeležbe in plača štartnino, organizator pa mu v zameno zagotavlja izvedbo tekmovanja (navedeno kaže na vzajemnost dajatev oziroma storitev, kar so bistvene sestavine pogodbe).

7.      Zavezanec je tudi izkazal, da je uporaba aplikacije F3Xvault potrebna za izvedbo tekmovanja (potrebna za izvedbo pogodbe), saj se jo uporablja tudi pri točkovanju in izračunavanju uvrstitve. Ob tem velja dodati, da zavezanec pri izvedbi tekmovanja poskrbi tudi za dodatne zaščitne ukrepe za osebe, ki se ne želijo prijaviti sami prek spletne aplikacije tako, da jim omogoči sodelovanje z vpisom pod psevdonimom.

8.      Prenos, do katerega pride pri uporabi aplikacije F3Xvault, zadosti tudi pogoju občasnosti, saj se podatki prenesejo le za potrebe izvedbe občasnih tekmovanj in pri tem ne gre za sistematičen, neprekinjen prenos podatkov v ZDA.

9.      V okoliščinah obravnavane zadeve je IP upošteval tudi dejstvo, da je obseg osebnih podatkov, ki se prenaša, relativno majhen (ime, priimek, država, registrska številka pilota, podatki o meritvah/rezultatih), kar kaže na nizko tveganje za nastanek škodljivih posledic zaradi potencialne kršitve pravice do varstva osebnih podatkov.

10.   Upoštevati je treba tudi dejstvo, da so bila s sprejemom Sklepa o ustreznosti na zakonodajni ravni ZDA državljanom EU zagotovljena dodatna jamstva za zaščito pravice do varstva osebnih podatkov.

11.   Glede na vse zgoraj navedeno, IP zaključuje, da so pri uporabi aplikacije F3Xvault izpolnjeni pogoji za zakonit prenos osebnih podatkov v ZDA v skladu s členom 49(1)(c) Splošne uredbe.

12.   Namen inšpekcijskega postopka je odrediti odpravo pomanjkljivosti in nepravilnosti v zvezi z obdelavo osebnih podatkov ali pa odrediti prepoved nezakonite obdelave osebnih podatkov in s tem vzpostaviti zakonito stanje za naprej. V konkretnem primeru je IP presodil, da ni razlogov za nadaljevanje postopka in je na podlagi četrtega odstavka 135. člena ZUP predmetni postopek inšpekcijskega nadzora ustavil.

13.   Po tretjem odstavku 118. člena ZUP se odloči o stroških postopka v sklepu, s katerim se postopek konča. V tem postopku organu posebni stroški niso nastali, kot izhaja iz 2. točke izreka tega sklepa.

14.   Ta sklep je izdan po uradni dolžnosti in je na podlagi 22. člena Zakona o upravnih taksah (Uradni list RS, št. 106/10, s sprem. in dop.) takse prost.

III.  POUK O PRAVNEM SREDSTVU:

Zoper ta sklep ni pritožbe, dopustno pa je sprožiti upravni spor. Upravni spor se sproži z vložitvijo tožbe pri Upravnem sodišču, Fajfarjeva 33, 1000 Ljubljana, v roku tridesetih (30) dni od njene vročitve. Tožba se vloži neposredno pisno pri navedenem sodišču ali se mu pošlje po pošti. Šteje se za pravočasno vloženo, če je oddana zadnji dan tožbenega roka priporočeno po pošti. Tožbi je poleg sklepa, ki se izpodbija, v izvirniku, prepisu ali kopiji potrebno priložiti tudi po en prepis ali kopijo tožbe in prilog za toženca, če je kdo prizadet z upravnim aktom pa tudi zanj.

 

državni nadzornik za varstvo osebnih podatkov

 

 

 


[2] Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov)