52015DC0566

EVROPSKA KOMISIJA

Bruselj, 6.11.2015

COM(2015) 566 final

SPOROČILO KOMISIJE EVROPSKEMU PARLAMENTU IN SVETU

o prenosu osebnih podatkov iz EU v Združene države Amerike v skladu z Direktivo 95/46/ES po sodbi Sodišča v zadevi C-362/14 (Schrems)

SPOROČILO KOMISIJE EVROPSKEMU PARLAMENTU IN SVETU

o prenosu osebnih podatkov iz EU v Združene države Amerike v skladu z Direktivo 95/46/ES po sodbi Sodišča v zadevi C-362/14 (Schrems)

1. Uvod: Razveljavitev odločbe o varnem pristanu

Sodišče Evropske unije (v nadaljnjem besedilu: ƒ„Sodišče“) je s sodbo z dne 6. oktobra 2015 v zadevi C-362/14 (Schrems) 1 ponovno poudarilo pomen temeljne pravice do varstva osebnih podatkov, kot je določena v Listini Evropske unije o temeljnih pravicah, tudi kadar se taki podatki prenašajo zunaj EU.

Prenosi osebnih podatkov so bistven element čezatlantskih odnosov. EU in Združene države so si medsebojno najpomembnejši trgovinski partnerji in prenosi podatkov čedalje bolj tvorijo sestavni del njihove trgovinske menjave.

Komisija je s sprejetjem Odločbe Komisije 2000/520/ES z dne 20. julija 2000 priznala ustreznost okvira „varni pristan“ (v nadaljnjem besedilu: odločba o varnem pristanu), da bi bil mogoč lažji prenos teh podatkov ob zagotavljanju visoke ravni varstva osebnih podatkov. V tej odločbi, ki temelji na členu 25(6) Direktive 95/46/ES 2 , je Komisija priznala, da načela zasebnosti varnega pristana in z njimi povezana najpogosteje zastavljena vprašanja, ki jih je izdalo Ministrstvo za trgovino ZDA, zagotavljajo ustrezno varstvo za prenos osebnih podatkov iz EU 3 . Posledično bi se osebni podatki lahko prosto prenašali iz držav članic EU družbam v Združenih državah, ki so sprejela navedena načela, kljub temu, da Združene države nimajo splošnega predpisa o varstvu podatkov. Delovanje ureditve varnega pristana je temeljilo na zavezah in samocertificiranju družb, ki so se zavezale k načelom varnega pristana. Sprejetje načel zasebnosti varnega pristana in najpogosteje zastavljenih vprašanj sicer ni obvezno, vendar pa so ta pravila v skladu z zakonodajo ZDA zavezujoča za osebe, ki jih sprejmejo, izvršuje pa jih zvezna komisija ZDA za trgovino 4 .

Sodišče je s sodbo z dne 6. oktobra 2015 razglasilo, da je odločba o varnem pristanu neveljavna. Glede na navedeno je namen tega sporočila zagotoviti pregled alternativnih mehanizmov za čezatlantske prenose podatkov v skladu z Direktivo 95/46/ES v odsotnosti sklepa o ustreznosti. Poleg tega zajema kratek opis posledic sodbe za druge tovrstne sklepe Komisije. Sodišče je v sodbi pojasnilo, da je sklep o ustreznosti v skladu s členom 25(6) Direktive 95/46/ES odvisen od ugotovitve Komisije, da v zadevni tretji državi obstaja raven varstva osebnih podatkov, ki ni nujno enaka, je pa „v bistvu enakovredna‘ ravni varstva, ki je zagotovljena v EU na podlagi Direktive, kot se razlaga v luči Listine o temeljnih pravicah. Kar izrecno zadeva odločbo o varnem pristanu, je Sodišče razsodilo, da ta ni vsebovala zadostnih ugotovitev Komisije o omejitvah v zvezi z dostopom javnih organov ZDA do podatkov, prenesenih v skladu s to odločbo, in o obstoju učinkovitega pravnega varstva pred takim vmešavanjem. Sodišče je zlasti pojasnilo, da je treba šteti, da zakonodaja, ki na splošni podlagi dovoljuje dostop javnih organov do vsebine elektronskih komunikacij, ogroža bistvo temeljne pravice do spoštovanja zasebnega življenja. Poleg tega je Sodišče potrdilo, da so organi držav članic za varstvo podatkov tudi v primeru obstoja sklepa o ustreznosti v skladu s členom 25(6) Direktive 95/46/ES pooblaščene in dolžne popolnoma neodvisno preveriti, ali je prenos podatkov v tretjo državo v skladu z zahtevami, določenimi v Direktivi 95/46/ES, kot se razlaga ob upoštevanju členov 7, 8 in 47 Listine o temeljnih pravicah. Hkrati pa je Sodišče tudi potrdilo, da lahko le Sodišče razglasi neveljavnost akta EU, kot je sklep Komisije o ustreznosti.

Sodba Sodišča temelji na Sporočilu Komisije iz leta 2013 o delovanju varnega pristana z vidika državljanov EU in družb, ustanovljenih v EU 5 , v katerem je Komisija ugotovila številne pomanjkljivosti in navedla 13 priporočil. Na podlagi teh priporočil je Komisija po januarju 2014 opravila pogovore z organi ZDA, da bi vzpostavili prenovljen in okrepljen režim za čezatlantsko izmenjavo podatkov.

Po izdaji sodbe Komisija ostaja zavezana cilju prenovljenega in učinkovitega okvira za čezatlantske prenose osebnih podatkov. V zvezi s tem je takoj nadaljevala in okrepila pogovore z vlado ZDA, da bi zagotovili popolno skladnost morebitne nove ureditve za čezatlantske prenose osebnih podatkov s standardom, ki ga je določilo sodišče. Tak okvir mora zato vključevati zadostne omejitve, zaščitne ukrepe in mehanizme sodnega nadzora za zagotovitev nadaljnjega varstva osebnih podatkov državljanov EU, tudi kar zadeva morebiten dostop javnih organov za namene nacionalne varnosti in kazenskega pregona. Medtem je industrija izrazila zaskrbljenost glede možnosti za nadaljnje prenose podatkov 6 . Zato je treba pojasniti pogoje, pod katerimi bi se taki prenosi lahko nadaljevali. Navedeno je spodbudilo Delovno skupino iz člena 29 – neodvisen svetovalni organ, ki združuje predstavnike vseh organov za varstvo podatkov držav članic in Evropskega nadzornika za varstvo podatkov – da je 16. oktobra podala izjavo 7 o prvih zaključkih na podlagi sodbe. Izjava med drugim vsebuje naslednje smernice o prenosih podatkov:

prenosi podatkov ne morejo več temeljiti na razveljavljeni odločbi Komisije o varnem pristanu;

v vmesnem času se kot podlaga za prenose podatkov lahko uporabljajo standardne pogodbene klavzule in zavezujoča poslovna pravila, čeprav je Delovna skupina iz člena 29 tudi izjavila, da bo še naprej analizirala vpliv te sodbe na te alternativne mehanizme.

Z izjavo so bile države članice in institucije EU poleg tega pozvane, naj začnejo razprave z organi ZDA z namenom najti pravne in tehnične rešitve za prenose podatkov; po mnenju Delovne skupine iz člena 29 bi lahko bila del take rešitve pogajanja o novem varnem pristanu.

Delovna skupina iz člena 29 je sporočila, da bodo, tudi glede na oceno alternativnih mehanizmov za prenose podatkov, organi za varstvo podatkov sprejeli vse potrebne in ustrezne ukrepe, med drugim tudi usklajene izvršilne ukrepe, če do konca januarja 2016 skupaj z organi ZDA ne bodo našli ustrezne rešitve.

Nazadnje je Delovna skupina iz člena 29 poudarila skupno odgovornost organov za varstvo podatkov, institucij EU, držav članic in podjetij pri iskanju trajnih rešitev za izvajanje sodbe Sodišča. Zlasti je pozvala podjetja, naj razmislijo o uvedbi morebitnih pravnih in tehničnih rešitev za ublažitev morebitnih tveganj, s katerimi se soočajo pri prenosu podatkov.

To sporočilo ne posega v pooblastila in dolžnost organov za varstvo podatkov, da popolnoma neodvisno preučijo zakonitost takih prenosov 8 . Ne določa nobenih zavezujočih pravil in v celoti spoštuje pristojnost nacionalnih sodišč, da razlagajo pravo, ki se uporablja, in, kadar je potrebno, zaprosijo Sodišče za predhodno odločanje. To sporočilo tudi ne more biti podlaga za kakršno koli individualno ali kolektivno pravno upravičenje ali zahtevek.

2. Alternativne podlage za prenose osebnih podatkov v ZDA

Pravila o mednarodnih prenosih podatkov, kot so določena v Direktivi 95/46/ES, temeljijo na jasnem razlikovanju med prenosi v tretje države, ki zagotavljajo ustrezno raven varstva (člen 25 Direktive), in prenosi v tretje države, za katere ni bilo ugotovljeno, da zagotavljajo ustrezno raven varstva (člen 26 Direktive).

Sodba v zadevi Schrems obravnava pogoje, pod katerimi Komisija v skladu s členom 25(6) Direktive 95/46/ES lahko ugotovi, da tretja država zagotavlja ustrezno raven varstva.

Kadar za tretjo državo, v katero naj bi se izvozili osebni podatki iz EU, ni bilo ugotovljeno, da zagotavlja tako ustrezno raven varstva, člen 26 Direktive 95/46/ES določa vrsto alternativnih podlag, da se prenos vseeno lahko opravi. Zlasti se prenose lahko opravi, kadar subjekt, pristojen za določanje namenov obdelave osebnih podatkov in sredstev zanjo („upravljavec“):

navede ustrezne zaščitne ukrepe v smislu člena 26(2) Direktive 95/46/ES v zvezi z varovanjem zasebnosti in temeljnih pravic in svoboščin posameznika ter v zvezi z izvajanjem teh pravic. Taki zaščitni ukrepi se lahko zagotovijo zlasti s pogodbenimi klavzulami, zavezujočimi za izvoznika in uvoznika podatkov (glej oddelka 2.1 in 2.2 spodaj). Ti zajemajo standardne pogodbene klavzule, ki jih je izdala Komisija, v zvezi s prenosi med različnimi subjekti večnacionalne skupine podjetij pa zavezujoča poslovna pravila, ki jih odobrijo organi za varstvo podatkov; ali

se sklicuje na eno od izjem, ki so izrecno določene v točkah od (a) do (f) člena 26(1) Direktive 95/46/ES (glej oddelek 2.3 spodaj).

V primerjavi s sklepi o ustreznosti, ki izhajajo iz splošne ocene sistema zadevne tretje države in lahko načeloma vključujejo vse prenose vanj, imajo te alternativne podlage za prenose bolj omejeno področje uporabe (saj se uporabljajo le za posebne podatkovne tokove) in širšo pokritost (saj niso nujno omejene na določeno državo). Uporabljajo se za podatkovne tokove, ki jih izvajajo določeni subjekti, ki so se odločili uporabiti eno od možnosti, ki jih ponuja člen 26 Direktive 95/46/ES. Kadar izvozniki in uvozniki podatkov za prenose uporabijo tako podlago, so poleg tega tudi odgovorni za zagotavljanje, da so prenosi v skladu z zahtevami Direktive, saj se ne morejo opreti na ugotovitev o ustreznosti v tretji državi iz sklepa Komisije.

2.1. Pogodbene rešitve

Kot je poudarila Delovna skupina iz člena 29 morajo za zagotovitev zadostnih zaščitnih ukrepov v smislu člena 26(2) Direktive 95/46/ES pogodbene klavzule „zadovoljivo odtehtati neobstoj splošne ravni ustreznega varstva, tako da vključijo bistvene elemente varstva, ki manjkajo v danem položaju“ 9 . Za lažjo uporabo takih instrumentov pri mednarodnih prenosih je Komisija v skladu s členom 26(4) Direktive odobrila štiri sklope standardnih pogodbenih klavzul, za katere se šteje, da izpolnjujejo zahteve iz člena 26(2) Direktive. Dva sklopa vzorčnih klavzul se nanašata na prenose med upravljavci 10 , medtem ko druga dva sklopa zadevata prenose med upravljavcem in obdelovalcem, ki deluje po njegovih navodilih 11 . Vsak sklop vzorčnih klavzul določa obveznosti izvoznikov in uvoznikov podatkov. Te med drugim zajemajo obveznosti glede varnostnih ukrepov, obveščanja posameznikov, na katere se nanašajo osebni podatki, v primeru prenosa občutljivih podatkov, obveščanja izvoznika podatkov o zahtevkih za dostop s strani organov kazenskega pregona tretjih držav oziroma o morebitnem naključnem ali nepooblaščenem dostopu, ter glede pravic posameznikov, na katere se nanašajo osebni podatki, do dostopa, popravka in izbrisa njihovih osebnih podatkov, ter pravil o odškodninah za osebo, na katero se nanašajo podatki, v primeru škode, ki bi nastala zaradi kršitve s strani ene od pogodbenic standardnih pogodbenih klavzul. Vzorčne klavzule poleg tega vsebujejo zahtevo, da imajo posamezniki iz EU, na katere se nanašajo osebni podatki, možnost, da pred organom za varstvo podatkov in/ali pred sodiščem države članice, v kateri je sedež izvoznika podatkov, uveljavijo svoje pravice, ki jih imajo iz pogodbenih klavzul v vlogi tretje osebe 12 . Te pravice in obveznosti morajo biti vsebovane v pogodbenih klavzulah, ker drugače kot v primeru, ko Komisija poda ugotovitev glede ustreznosti varstva, ni mogoče domnevati, da je uvoznik podatkov v tretji državi predmet ustreznega sistema nadzora in izvrševanja pravil o varstvu podatkov.

Sklepi Komisije so v državah članicah v celoti zavezujoči, zato so ob vključitvi standardnih pogodbenih klavzul v pogodbo nacionalni organi načeloma dolžni te sprejeti. Posledično ne smejo zavrniti prenosa podatkov v tretjo državo izključno zato, ker te standardne pogodbene klavzule ne zagotavljajo zadostnih zaščitnih ukrepov. To ne posega v njihovo pristojnost, da preučijo te klavzule glede na zahteve, ki jih je Sodišče določilo v sodbi v zadevi Schrems. V primeru dvoma morajo zadevo predložiti v obravnavo nacionalnemu sodišču, ki lahko pri Sodišču vloži predlog za sprejetje predhodne odločbe. Zakonodaja večine držav članic za prenos Direktive 95/45/ES sicer ne zahteva predhodnega dovoljenja nacionalnih organov za izvedbo prenosa, vendar nekatere države članice vzdržujejo sistem uradnega obveščanja in/ali predhodnih dovoljenj za uporabo standardnih pogodbenih klavzul. Kjer je tako, nacionalni organ za varstvo podatkov primerja klavzule, ki so dejansko vključene v zadevno pogodbo, s standardnimi pogodbenimi klavzulami, in preveri, da te niso bile spremenjene 13 . Če se klavzule uporabijo brez sprememb 14 , se dovoljenje načeloma 15 izda samodejno 16 . Kot je podrobneje razloženo v nadaljevanju (glej oddelek 2.4), to ne posega v dodatne ukrepe, ki jih mora morda sprejeti izvoznik podatkov, zlasti na podlagi informacij, ki jih uvoznik podatkov posreduje o spremembah pravnega sistema tretje države, ki bi uvozniku podatkov lahko preprečile izpolnjevanje njegovih obveznosti iz pogodbe. Pri uporabi standardnih pogodbenih klavzul so tako izvozniki podatkov kot uvozniki podatkov, ki so sklenili pogodbo, pod nadzorom organov za varstvo podatkov.

Sprejetje standardnih pogodbenih klavzul gospodarskim družbam ne preprečuje, da bi se v dokaz, da njihovi prenosi potekajo ob zadostnih zaščitnih ukrepih v smislu člena 26(2) Direktive 95/46/ES, sklicevali na druge instrumente, kot so ad hoc pogodbeni dogovori. V skladu s členom 26(2) Direktive morajo take instrumente nacionalni organi odobriti za vsak posamezen primer. Nekateri organi za varstvo podatkov so oblikovali smernice na tem področju, tudi v obliki standardiziranih pogodb ali podrobnih pravil, ki jih je treba upoštevati pri oblikovanju klavzul o prenosu podatkov. Večina pogodb, ki jih družbe trenutno uporabljajo za izvajanje mednarodnih prenosov podatkov, pa temelji na standardnih pogodbenih klavzulah, ki jih je odobrila Komisija 17 .

2.2. Prenosi znotraj skupine

Za prenos osebnih podatkov iz EU v podružnice s sedežem zunaj EU v skladu z zahtevami, določenimi v členu 26(2) Direktive 95/46/ES, lahko večnacionalna družba sprejme zavezujoča poslovna pravila. Tak kodeks ravnanja je podlaga le za prenose, opravljene znotraj skupine podjetij.

Uporaba zavezujočih poslovnih pravil tako omogoča prost pretok osebnih podatkov med različnimi subjekti skupine podjetij po vsem svetu – tako da ni potreben pogodben dogovor za vsak posamezen gospodarski subjekt – ob hkratnem zagotavljanju enako visoke ravni varstva osebnih podatkov v vsej skupini z enim samim nizom zavezujočih in izvršljivih pravil. Enoten sklop pravil tvori enostavnejši in učinkovitejši sistem, ki ga uslužbenci lažje izvajajo, osebe, na katere se nanašajo osebni podatki, pa ga lažje razumejo. Da bi podjetjem pomagala pri oblikovanju zavezujočih poslovnih pravil, je Delovna skupina iz člena 29 na podlagi standardov EU za varstvo podatkov opredelila materialne (npr. načelo omejitve namena, varnost obdelave, preglednost informacij posameznikom, na katere se nanašajo osebni podatki, omejitve v zvezi z nadaljnjimi prenosi zunaj skupine, individualne pravice do dostopa, popravka in ugovora) in postopkovne (npr. revizije, spremljanje skladnosti, obravnava pritožb, sodelovanje z organi za varstvo podatkov, odgovornost in pristojnost) zahteve za zavezujoča poslovna pravila 18 . Ta pravila niso zavezujoča samo za člane skupine podjetij, ampak so, podobno kot standardne pogodbene klavzule, tudi izvršljiva v EU: posamezniki, katerih podatke obdeluje subjekt v skupini, imajo kot upravičene tretje osebe pravico, da uveljavijo upoštevanje zavezujočih poslovnih pravil z vložitvijo pritožbe organu za varstvo podatkov in z vložitvijo tožbe na sodišče države članice. Poleg tega morajo zavezujoča poslovna pravila določiti subjekt v EU, ki sprejema odgovornost za kršitve teh pravil s strani katerega koli člana skupine zunaj EU, ki ga ta pravila zavezujejo.

V skladu z zakonodajo večine držav članic, s katero je bila prenesena Direktiva, mora prenose podatkov na podlagi zavezujočih poslovnih pravil odobriti organ za varstvo podatkov v vsaki državi članici, v katero namerava večnacionalna družba prenašati podatke. Da bi omogočili in pospešili ta proces ter zmanjšali breme za vložnike, je Delovna skupina iz člena 29 oblikovala poseben standardiziran obrazec za vlogo 19 in poseben postopek za sodelovanje med zadevnimi organi za varstvo podatkov 20 , ki vključuje imenovanje enega „vodilnega organa“, ki je odgovoren za obravnavo postopka odobritve.

2.3. Odstopanja

Če ni sklepa o ustreznosti v skladu s členom 25(6) Direktive 95/46/ES in ne glede na uporabo standardnih pogodbenih klavzul in/ali zavezujočih poslovnih pravil, je osebne podatke še vedno mogoče prenesti na subjekte s sedežem v tretji državi, če velja eno od alternativnih odstopanj iz člena 26(1) Direktive 95/46/ES 21 , torej pod pogojem, da:

je posameznik, na katerega se osebni podatki nanašajo, nedvoumno dal svojo privolitev k predlaganemu prenosu;

je prenos potreben za izvedbo pogodbe med posameznikom, na katerega se nanašajo osebni podatki, in upravljavcem ali za izvajanje predpogodbenih ukrepov, sprejetih kot odgovor na zahtevo posameznika, na katerega se nanašajo osebni podatki;

je prenos potreben za sklenitev ali izpolnitev pogodbe med upravljavcem in tretjo stranko, ki je v korist posameznika, na katerega se osebni podatki nanašajo;

je prenos potreben oziroma ga zahteva zakon na temelju pomembnega javnega interesa 22 ali pa za uveljavitev, uresničevanje ali varstvo pravice do vlaganja pravnih zahtevkov;

je prenos potreben, da bi zaščitili življenjske interese posameznikov, na katere se osebni podatki nanašajo;

se prenos opravi iz registra, ki je skladno z zakoni ali predpisi namenjen zagotavljanju informacij javnosti in je na voljo za vpogled javnosti na splošno ali kateri koli osebi, ki lahko izkaže zakoniti interes, če so v posameznem primeru izpolnjeni pogoji, ki jih za vpogled določa zakon.

Ti razlogi zagotavljajo odstopanje od splošne prepovedi prenosa osebnih podatkov subjektom s sedežem v tretji državi, ki nima ustrezne ravni varstva. Izvozniku podatkov dejansko ni treba zagotoviti, da bo uvoznik podatkov zagotovil ustrezno varstvo, in mu za prenos običajno ni treba pridobiti predhodne odobritve ustreznih nacionalnih organov. Delovna skupina iz člena 29 kljub temu meni, da je treba zaradi njihove izjemnosti ta odstopanja razlagati ozko 23 .

Delovna skupina iz člena 29 je izdala več nezavezujočih smernic o uporabi člena 26(1) Direktive 95/46/ES 24 . Te zajemajo številna pravila „dobre prakse“, oblikovana za usmerjanje izvršilnih ukrepov organov za varstvo podatkov 25 . Delovna skupina zlasti priporoča, da je treba prenose osebnih podatkov, ki se lahko štejejo za večkratne, množične ali strukturne, izvajati z zadostnimi zaščitnimi ukrepi in, če je to mogoče, v okviru posebnega pravnega okvira, kot so standardne pogodbene klavzule ali zavezujoča poslovna pravila 26 .

V tem sporočilu bo Komisija obravnavala samo tista odstopanja, ki se po ugotovitvi, da je odločba o varnem pristanu neveljavna, zdijo posebej pomembna za prenose v poslovnem okolju.

2.3.1. Prenosi, potrebni za izpolnitev pogodbe ali za izvajanje predpogodbenih ukrepov, sprejetih kot odgovor na zahtevo posameznika, na katerega se nanašajo osebni podatki (člen 26(1)(b))

To odstopanje se lahko na primer uporabi v okviru hotelske rezervacije ali kadar se podatki o plačilu prenesejo v tretjo državo za izvršitev bančnega nakazila. Vendar mora po mnenju Delovne skupine iz člena 29 v vsakem takem primeru obstajati „tesna in bistvena povezava“, „neposredna in dejanska zveza“ med posameznikom, na katerega se nanašajo osebni podatki, in nameni pogodbe oziroma predpogodbenega ukrepa (preskus nujnosti) 27 . Poleg tega odstopanja ni mogoče uporabljati za prenose dodatnih podatkov, ki niso potrebni za namen prenosa, ali prenosov za drug namen, kot je izpolnitev pogodbe (na primer spremljanje trženja) 28 . Glede predpogodbenih ukrepov Delovna skupina iz člena 29 meni, da ti zajemajo samo stike, katerih pobudnik je oseba, na katero se nanašajo osebni podatki (na primer zahteva za informacije o določeni storitvi), ne pa tudi stikov, ki izhajajo iz tržnih pristopov upravljavca podatkov 29 .

2.3.2. Prenosi, potrebni za sklenitev ali izpolnitev pogodbe med upravljavcem in tretjo stranko, ki je v korist posameznika, na katerega se osebni podatki nanašajo (člen 26(1)(c))

To odstopanje se na primer lahko uporabi, kadar je posameznik, na katerega se nanašajo osebni podatki, upravičenec mednarodnega bančnega nakazila, ali če potovalna agencija letalski družbi posreduje podrobne podatke o rezervaciji leta. Tudi tu se uporabi preskus nujnosti, ki v tem primeru zahteva tesno in bistveno zvezo med interesi posameznika, na katerega se nanašajo osebni podatki, in ciljem pogodbe.

2.3.3. Prenosi, ki so potrebni oziroma jih zahteva zakon za uveljavitev, izvajanje ali obdržanje pravice do pravnih zahtevkov (člen 26(1)(d)

To odstopanje se na primer lahko uporabi, če mora družba prenesti podatke, da se lahko brani proti pravnemu zahtevku, oziroma da lahko vloži tak zahtevek na sodišče ali javni organ. Tako kot predhodni odstopanji je tudi tudi to predmet preskusa nujnosti 30 : obstajati mora tesna zveza s pravdami ali pravnimi (vključno z upravnimi) postopki.

Po mnenju Delovne skupine iz člena 29 se odstopanje lahko uporabi samo ob spoštovanju mednarodnih pravil o sodelovanju v kazenskih in civilnih postopkih, ki urejajo zadevno vrsto prenosa, zlasti, ker ta izhajajo iz določb Haaške konvencije z dne 18. marca 1970 („Konvencija pridobivanja dokazov“) 31 .

2.3.4. Nedvoumna predhodna privolitev posameznika, na katerega se osebni podatki nanašajo, k predlaganemu prenosu (člen 26(1)(a))

Privolitev se sicer lahko uporabi kot podlago za prenose podatkov, vendar je pri tem treba upoštevati številne premisleke. Glede na to, da je za „predlagani“ prenos treba pridobiti privolitev, je potrebna predhodna privolitev za posamezni prenos (ali za določeno kategorijo prenosov). Kadar gre za zahtevo prek spleta, Delovna skupina iz člena 29 predlaga uporabo polj, ki jih je treba označiti (in ne vnaprej označenih polj) 32 . Privolitev mora biti nedvoumna, zato ob kakršnem koli dvomu, ali je bila dana privolitev, to odstopanje ne bi bilo mogoče. To verjetno pomeni, da številni primeri, ko je privolitev le morda nakazana (na primer, ker posameznik ni bil obveščen o prenosu in ni ugovarjal), ne bi izpolnjevali zahtev. Nasprotno se to odstopanje lahko uporablja v primerih, ko sta posameznik, na katerega se nanašajo osebni podatki, in subjekt, ki jih prenaša, v neposrednem stiku, ko je potrebne podatke mogoče zlahka predložiti in je privolitev nedvoumno pridobljena 33 .

Poleg tega mora biti v skladu s členom 2(h) Direktive 95/46/ES privolitev dana prostovoljno ter biti posebna in informirana. Po mnenju Delovne skupine iz člena 29 prvi pogoj pomeni, da je ob kakršnem koli „pritisku“ privolitev lahko neveljavna. To je zlasti pomembno v okviru zaposlitve, kjer je zanašanje na privolitev zaradi razmerja odvisnosti in podrejenosti zaposlenih običajno vprašljivo 34 . Splošneje, privolitev posameznika, na katerega se nanašajo osebni podatki, ki ni imel priložnosti izraziti svoje resnične izbire ali je bil postavljen pred že določeno izbiro, ne more šteti za veljavno 35 .

Bistvenega pomena je, da so posamezniki, na katere se nanašajo podatki, vnaprej ustrezno obveščeni, da se podatki lahko prenesejo iz EU, v katero tretjo državo in pod kakšnimi pogoji (namen prenosa, identiteta in podatki o prejemniku(-ih), itd.). Te informacije morajo zajemati posebno tveganje, da bodo njihovi podatki preneseni v tretjo državo, v kateri ni ustrezne zaščite 36 . Delovna skupina iz člena 29 je poleg tega poudarila, da bi umik privolitve posameznika, na katerega se nanašajo podatki, ki se sicer ne uporablja retroaktivno, načeloma moral preprečiti kakršno koli nadaljnjo obdelavo osebnih podatkov 37 . Glede na te omejitve Delovna skupina iz člena 29 meni, da je malo verjetno, da bo privolitev zagotovila ustrezen dolgoročen okvir za upravljavce podatkov v primerih strukturnih prenosov 38 .

2.4. Povzetek alternativnih podlag za prenose osebnih podatkov

Iz zgoraj navedenega sledi, da družbe lahko uporabijo več različnih alternativnih mehanizmov za izvajanje mednarodnih prenosov podatkov v tretje države, za katere se ne šteje, da zagotavljajo ustrezno raven varstva v smislu člena 25(2) Direktive 95/46/ES. Na podlagi sodbe v zadevi Schrems je Delovna skupina iz člena 29 predvsem pojasnila, da se, medtem ko nadaljuje svojo oceno, za prenos podatkov v ZDA lahko uporabijo standardne pogodbene klavzule in zavezujoča poslovna pravila, brez poseganja v pooblastila organov za varstvo podatkov za preiskovanje posameznih primerov 39 . Industrija se je na sodbo odzvala na različne načine, med drugim tako, da je za prenose podatkov uporabila te alternativne mehanizme 40 .

Vendar pa je treba poudariti dva pomembna pogoja. Prvič, treba je opozoriti, da se prenosi v tretjo državo, ne glede na njihovo posebno pravno podlago, lahko zakonito izvedejo samo, če je podatke prvotno zbral in nadalje obdelal upravljavec podatkov s sedežem v EU in sicer v skladu z veljavno nacionalno zakonodajo, ki prenaša Direktivo 95/46/ES. Direktiva izrecno določa, da je treba pri obdelavi podatkov pred prenosom tako kot pri prenosu samem v celoti spoštovati pravila, ki jih sprejmejo države članice v skladu z drugimi določbami Direktive 41 . Drugič, če ni ugotovitve Komisije o ustreznosti varstva, so upravljavci tisti, ki so dolžni zagotoviti, da njihovi prenosi podatkov potekajo ob zadostnih zaščitnih ukrepih v skladu s členom 26(2) Direktive. To oceno je treba opraviti ob upoštevanju vseh okoliščin zadevnega prenosa. Zlasti tako standardne pogodbene klavzule kot zavezujoča poslovna pravila določajo, da mora uvoznik podatkov, če utemeljeno domneva, da veljavna zakonodaja v državi prejemnici lahko prepreči izpolnjevanje njegovih obveznosti, o tem nemudoma obvestiti izvoznika podatkov v EU. V takem primeru mora izvoznik podatkov razmisliti o sprejetju ustreznih ukrepov, ki so potrebni za zagotovitev varstva osebnih podatkov 42 . Ti lahko zajemajo od tehničnih, organizacijskih ukrepov, ukrepov, povezanih s poslovnim modelom ali pravnih ukrepov 43 , do možnosti začasne ustavitve prenosa podatkov oziroma do prekinitve pogodbe. Ob upoštevanju vseh okoliščin prenosa podatkov morajo tako izvozniki podatkov za izpolnitev zahtev iz člena 26(2) Direktive morda uvesti dodatne zaščitne ukrepe, da bi dopolnili tiste, ki jih določa pravna podlaga za prenos, ki se uporablja.

Na koncu skladnost s temi zahtevami za vsak primer posebej ocenjujejo organi za varstvo podatkov, in sicer v okviru izvajanja svojih nadzornih in izvršilnih nalog, med drugim v okviru odobritve pogodbenih dogovorov in zavezujočih poslovnih pravil oziroma na podlagi posameznih pritožb. Nekateri organi za varstvo podatkov so izrazili pomisleke glede možnosti, da se za čezatlantske podatkovne tokove uporabi instrumente za prenos 44 , kot so standardne pogodbene klavzule in zavezujoča poslovna pravila, vendar je Delovna skupina iz člena 29 v izjavi glede sodbe v zadevi Schrems napovedala, da bo še naprej analizirala vpliv sodbe na druge mehanizme za prenos 45 . To ne posega v pooblastila organov za varstvo podatkov za preiskovanje posameznih primerov in za izvrševanje njihovih pristojnosti, da bi zavarovali posameznike.

3. Posledice sodbe v zadevi Schrems na sklepe o ustreznosti

Sodišče v svoji sodbi ne postavlja pod vprašaj pristojnosti Komisije v skladu s členom 25(6) Direktive 95/46/ES, da ugotovi, da tretja država zagotavlja ustrezno raven zaščite, če se pri tem spoštujejo zahteve, ki jih je določilo Sodišče. V skladu s temi zahtevami predlog Splošne uredbe o varstvu podatkov iz leta 2012 46 , ki bi nadomestila Direktivo 95/46/ES, nadalje pojasnjuje in podrobneje določa pogoje, pod katerimi se lahko sprejmejo sklepi o ustreznosti. V sodbi v zadevi Schrems je Sodišče tudi pojasnilo, da je sklep o ustreznosti, kadar ga Komisija sprejme, zavezujoč za vse države članice in njihove organe, vključno z organi za varstvo podatkov, dokler ni umaknjen oziroma dokler ga Sodišče, ki je edino pristojno s tem v zvezi, ne razglasi za nično ali neveljavno. Organi za varstvo podatkov so še naprej pristojni za preučitev zahtevkov v smislu člena 28(4) Direktive 95/46/ES, ali je prenos podatkov v skladu z zahtevami, določenimi v Direktivi (kot jih razlaga Sodišče), vendar ne morejo podati dokončnih ugotovitev. Namesto tega morajo države članice zagotoviti možnost, da se vloži tožbo na nacionalno sodišče, ki nato lahko sproži pristojnost Sodišča, tako da predlaga sprejetje predhodne odločbe v skladu s členom 267 Pogodbe o delovanju Evropske unije (PDEU).

Poleg tega je Sodišče izrecno potrdilo, da sklicevanje tretje države na sistem samocertificiranja (kot velja v primeru načel zasebnosti varnega pristana) ne izključuje ugotovitve o ustreznosti varstva v skladu s členom 25(6) Direktive 95/46/ES, če so v veljavi učinkoviti mehanizmi za odkrivanje in nadzor, s katerimi je mogoče v praksi ugotoviti in sankcionirati morebitne kršitve pravil o varstvu podatkov.

Glede na to, da odločba o varnem pristanu ni vsebovala zadostnih ugotovitev v zvezi s tem, jo je Sodišče razglasilo za neveljavno. Tako je jasno, da prenosov podatkov med EU in Združenimi državami ni več mogoče opravljati na tej podlagi, tj. izključno ob sklicevanju na zavezanost k načelom zasebnosti varnega pristana. Prenosi podatkov v tretjo državo, ki ne zagotavlja ustrezne ravni varstva (oziroma v primerih, ko ta ni ugotovljena z odločitvijo Komisije v skladu s členom 25(6) Direktive 95/46/ES), so načeloma prepovedani 47 , zakoniti bodo le v primeru, da se izvoznik podatkov lahko opre na enega od alternativnih mehanizmov, opisanih zgoraj v oddelku 2. Če ni sklepa o ustreznosti, izvoznik podatkov nosi odgovornost, da v zvezi z zadevnim prenosom podatkov pod nadzorom organov za varstvo podatkov zagotovi izpolnjevanje pogojev za uporabo (enega od) teh mehanizmov.

Področje uporabe sodbe je omejeno na odločbo Komisije o varnem pristanu. Vendar pa vsi drugi sklepi o ustreznosti 48 vsebujejo omejitev pooblastil organov za varstvo podatkov, ki je enaka členu 3 odločbe o varnem pristanu in jo je Sodišče štelo za neveljavno 49 . Komisija bo zdaj na podlagi sodbe ustrezno ukrepala, tako da bo kmalu pripravila sklep, ki bo sprejet v skladu z veljavnim postopkom komitologije in bo nadomestil zadevno določbo v vseh obstoječih sklepih o ustreznosti. Komisija bo tudi redno ocenjevala obstoječe in prihodnje sklepe o ustreznosti, vključno z rednimi skupnimi pregledi njihovega delovanja, skupaj s pristojnimi organi zadevne tretje države.

4. Zaključek

Kot je potrdila Delovna skupina iz člena 29, lahko družbe za zakonite prenose podatkov v tretje države, kot so Združene države Amerike, še naprej uporabljajo alternativne mehanizme za odobritev podatkovnih tokov. Vendar Komisija meni, da ključna prednostna naloga ostaja prenovljen in učinkovit okvir za prenose osebnih podatkov v ZDA. Tak okvir je najcelovitejša rešitev za zagotovitev učinkovite kontinuitete varstva osebnih podatkov evropskih državljanov, ko so preneseni v Združene države. Zagotavlja tudi najboljšo rešitev za čezatlantsko trgovino, saj omogoča preprostejši, manj obremenjujoč in zato cenejši mehanizem prenosa, zlasti za MSP.

Komisija je že leta 2013 začela pogajanja z vlado ZDA o novem dogovoru za čezatlantske prenose podatkov, ki bi temeljil na njenih 13 priporočilih 50 . Dosežen je bil znaten napredek pri zbliževanju stališč obeh strani, na primer glede strožjega spremljanja in uveljavljanja načel zasebnosti varnega pristana s strani Ministrstva za trgovino ZDA oziroma zvezne komisije ZDA za trgovino, večje preglednosti za potrošnike glede njihovih pravic do varstva podatkov, enostavnejših in cenejših možnosti za dostop do sodnega varstva v primeru pritožb, ter glede jasnejših pravil o nadaljnjih prenosih z družb varnega pristana na družbe, za katere varni pristan ne velja (npr. za obdelavo ali podobdelavo podatkov). Glede na to, da je bila odločba o varnem pristanu razglašena za neveljavno, je Komisija okrepila pogovore z vlado ZDA, da bi zagotovila izpolnjevanje pravnih zahtev, ki jih je oblikovalo Sodišče. Cilj Komisije je pogajanja skleniti in ta cilj izpolniti v treh mesecih.

Do vzpostavitve prenovljenega čezatlantskega okvira morajo družbe uporabljati razpoložljive alternativne mehanizme za prenos. Vendar je ta možnost vzpostavlja odgovornost izvoznikov podatkov pod nadzorom organov za varstvo podatkov.

V nasprotju s primerom, ko je Komisija ugotovila, da tretja država zagotavlja ustrezno raven varstva podatkov in so se izvozniki podatkov za namene prenosa podatkov iz EU lahko oprli na tako ugotovitev, slednji ostajajo odgovorni za preverjanje, ali so osebni podatki ob uporabi alternativnih mehanizmov učinkovito zaščiteni. To lahko vključuje sprejetje ustreznih ukrepov, kadar je to potrebno.

Pri tem imajo organi za varstvo podatkov osrednjo vlogo. Organi za varstvo podatkov so glavni izvrševalci temeljnih pravic oseb, na katere se nanašajo podatki, zato so odgovorni in pooblaščeni za nadzor prenosa podatkov iz EU v tretje države, pri čemer delujejo popolnoma neodvisno. Komisija poziva upravljavce podatkov k sodelovanju z organi za zaščito podatkov, s čimer jim tako pomagajo, da lahko učinkovito opravljajo svojo nadzorno vlogo. Komisija bo še naprej tesno sodelovala z Delovno skupino iz člena 29, da bi zagotovili enotno uporabo zakonodaje EU o varstvu podatkov.

(1)

Sodba z dne 6. oktobra 2015 v zadevi C-362/14, Maximilian Schrems proti Data Protection Commissioner, EU C 2015 650 (v nadaljnjem besedilu: „sodba“ ali „sodba v zadevi Schrems“).

(2)

Direktiva Evropskega parlamenta in Sveta 95/46/ES z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov, UL L 281 z dne 23.11.1995, str. 321 (v nadaljnjem besedilu: Direktiva 95/46/ES ali Direktiva).

(3)

Za namene tega sporočila izraz „EU“ zajema tudi EGP. Zato se sklicevanja na „države članice“ razume tako, da zajemajo tudi države članice EGP.

(4)

Za bolj poglobljen pregled ureditve varnega pristana glej Sporočilo Komisije Evropskemu parlamentu in Svetu o delovanju varnega pristana z vidika državljanov EU in družb, ustanovljenih v EU, COM/2013/847 final.

(5)

Sporočilo Komisije Evropskemu parlamentu in Svetu o delovanju varnega pristana z vidika državljanov EU in družb, ustanovljenih v EU, COM(2013) 847 final., 27.11.2013. Glej tudi Sporočilo Komisije Evropskemu parlamentu in Svetu Obnovitev zaupanja v pretok podatkov med EU in ZDA, COM(2013) 846 final, 27.11.2013, in z njim povezani memorandum „Restoring Trust in EU-US data flows – Frequently Asked Questions“ (Obnovitev zaupanja v pretok podatkov med EU in ZDA – pogosta vprašanja), MEMO/13/1059, 27.11.2013.

(6)

Predstavniki industrijskih združenj so te pomisleke med drugim izrazili na sestanku s podpredsednikom Ansipom ter komisarjema Güntherjem Oettingerjem in Věro Jourovo, ki je potekal kmalu po sodbi v zadevi Schrems, in sicer dne 14. oktobra. Glej Daily News (Dnevne novice) z dne 14. oktobra 2015 (MEX/15/5840). Glej tudi: „Odprto pismo o izvajanju sodbe Sodišča Evropske unije v zadevi C-362/14 Maximillian Schrems proti Data Protection Commissioner“ z dne 13. oktobra 2015, ki je bilo naslovljeno na predsednika Komisije Jean-Clauda Junckerja in so ga podpisala različna industrijska združenja in podjetja iz EU in ZDA: http://www.digitaleurope.org/DesktopModules/Bring2mind/DMX/Download.aspx?Command=Core_Download&EntryId=1045&PortalId=0&TabId=353.

(7)

Izjava Delovne skupine iz člena 29, ki je na voljo na spletni strani: http://ec.europa.eu/justice/data-protection/article-29/press-material/press-release/art29_press_material/2015/20151016_wp29_statement_on_schrems_judgement.pdf.

(8)

Glej člen 3 Listine o temeljnih pravicah in člen 16 PDEU. Ta neodvisnost je poudarjena tudi v sodbi Sodišča v zadevi Schrems.

(9)

Glej Delovna skupina iz člena 29: „Transfers of personal data to third countries: Applying Articles 25 and 26 of the EU data protection directive“ (Prenosi osebnih podatkov v tretje države: uporaba členov 25 in 26 Direktive EU o varstvu podatkov), (WP 12) z dne 24. julija 1998, str. 16.

(10)

Odločba Komisije 2001/497/ES z dne 15. junija 2001 o standardnih pogodbenih klavzulah za prenos osebnih podatkov v tretje države v skladu z Direktivo 95/46/ES, UL L 181, 4,7,2001, str. 19 in Odločba Komisije 2004/915/ES z dne 27. decembra 2004 o spremembi Odločbe 2001/497/ES glede uvedbe alternativnega sklopa standardnih pogodbenih klavzul za prenos osebnih podatkov v tretje države, UL L 385, 29.12.2004, str. 74

(11)

Odločba Komisije 2002/16/ES z dne 27. decembra 2001 o standardnih pogodbenih klavzulah za prenos osebnih podatkov obdelovalcem s sedežem v tretjih državah v skladu z Direktivo Evropskega parlamenta in sveta 95/46/ES, UL L 6, 10.1.2002, str. 52 in Sklep Komisije 2010/87/EU z dne 5. februarja 2010 o standardnih pogodbenih klavzulah za prenos osebnih podatkov obdelovalcem s sedežem v tretjih državah v skladu z Direktivo Evropskega parlamenta in Sveta 95/46/ES, UL L 39, 12.2.2010, str. 5. Navedena odločba, ki jo je razveljavil navedeni sklep, se uporablja le za pogodbe, sklenjene pred 15. majem 2010.

(12)

Glej na primer uvodno izjavo 6 Odločbe Komisije 2004/915/ES in klavzulo V njene priloge. Klavzula 7 Priloge k Sklepu Komisije 2010/87/EU.

(13)

Opozoriti je treba, da predlog Splošne uredbe o varstvu podatkov (COM(2012) 11 final) predvideva, da ni potrebno nobeno dodatno dovoljenje za prenose na podlagi standardnih pogodbenih klavzul ali zavezujočih poslovnih pravil, kolikor jih je sprejela Komisija ali so bili sprejeti v skladu s predvidenim mehanizmom za skladnost.

(14)

Uporaba standardnih pogodbenih klavzul pa ne preprečuje stranem, da dodajo druge klavzule, če te niso neposredno ali posredno v nasprotju s klavzulami, ki jih je odobrila Komisija in ne posegajo v temeljne pravice ali svoboščine posameznika, na katerega se nanašajo osebni podatki. Glej Evropska komisija, „Frequently Asked Questions Relating to Transfers of Personal Data from the EU“ (Pogosta vprašanja v zvezi s prenosi osebnih podatkov iz EU/EGP v tretje države; Pogosta vprašanja B. 1.9), str. 28 (na voljo na spletni strani: http://ec.europa.eu/justice/policies/privacy/docs/international_transfers_faq/international_transfers_faq.pdf).

(15)

Če organ za varstvo podatkov dvomi o skladnosti standardnih pogodbenih klavzul z zahtevami Direktive, mora vprašanje predložiti nacionalnemu sodišču, ki lahko pri Sodišču nato vloži predlog za sprejetje predhodne odločbe (glej točke 51, 52, 64 in 65 sodbe v zadevi Schrems).

(16)

Delovna skupina iz člena 29 je vzpostavila poseben postopek sodelovanja med organi za varstvo podatkov za odobritev pogodbenih klavzul, ki jih želi družba uporabljati v različnih državah članicah. Glej Delovna skupina iz člena 29, „Working Document Setting Forth a Co-Operation Procedure for Issuing Common Opinions on 'Contractual clauses' Considered as compliant with the EC Model Clause“ (Delovni dokument o določitvi postopka sodelovanja za izdajo skupnih mnenj o „pogodbenih klavzulah“, ki se štejejo za skladne z Vzorčno klavzulo ES), (WP 226) z dne 26. novembra 2014. Glej tudi klavzulo VII Priloge k Odločbi Komisije 2004/915/ES in klavzulo 10 Priloge k Sklepu Komisije 2010/87/EU.

(17)

Glej Delovna skupina iz člena 29, „Working Document Setting Forth a Co-Operation Procedure for Issuing Common Opinions on 'Contractual clauses' Considered as compliant with the EC Model Clause“ (Delovni dokument o določitvi postopka sodelovanja za izdajo skupnih mnenj o „pogodbenih klavzulah“, ki se štejejo za skladne z Vzorčno klavzulo ES), (WP 226) z dne 26. novembra 2014, str. 2.

(18)

Glej Delovna skupina iz člena 29, „Working Document setting up a table with the elements and principles to be found in Binding Corporate Rules“ (Delovni dokument o oblikovanju preglednice z elementi in načeli, ki se vključijo v zavezujoča poslovna pravila), (WP 153) z dne 24. junija 2008; „Working Document setting up a framework for the structure of Binding Corporate Rules“ (Delovni dokument o vzpostavitvi okvira strukture zavezujočih poslovnih pravil), (WP 154) z dne 24. junija 2008 „Working Document on Frequently Asked Questions (FAQs) related to Binding Corporate Rules“ (Delovni dokument o pogosto zastavljenih vprašanjih v zvezi z zavezujočimi poslovnimi pravili), (WP 155) z dne 24. junija 2008.

(19)

Delovna skupina iz člena 29, „Standard Application for Approval of Binding Corporate Rules for the Transfer of Personal Data“ (Standardna vloga za odobritev zavezujočih poslovnih pravil za prenos osebnih podatkov), (WP 133) z dne 10. januarja 2007.

(20)

Delovna skupina iz člena 29, „Working Document Setting Forth a Co-Operation Procedure for Issuing Common Opinions on Adequate Safeguards Resulting From 'Binding Corporate Rules“ (Delovni dokument o določitvi postopka sodelovanja za izdajo skupnih mnenj o ustreznih zaščitnih ukrepih, ki izhajajo iz zavezujočih poslovnih pravil), (WP 107) z dne 14. aprila 2005.

(21)

Kot je poudarila Delovna skupina iz člena 29, je treba spoštovati določbe Direktive 95/46/ES, če vsebujejo dodatne zahteve, pomembne za uporabo teh odstopanj (na primer omejitve iz člena 8 za obdelavo občutljivih podatkov). Glej Delovna skupina iz člena 29, „Working document on a common interpretation of Article 26(1) of Directive 95/46/EC of 24 October 1995“ (Delovni dokument o skupni razlagi člena 26(1) Direktive 95/46/ES z dne 24. oktobra 1995), (WP 114) z dne 25. novembra 2005, str. 8. Glej tudi Evropska komisija, „Frequently Asked Questions Relating to Transfers of Personal Data from the EU/EEA to Third Countries“ (Pogosta vprašanja v zvezi s prenosi osebnih podatkov iz EU/EGP v tretje države; Pogosta vprašanja D.2), str. 50 .

(22)

To lahko na primer vključuje prenose podatkov med davčnimi ali carinskimi organi oziroma med službami, pristojnimi za zadeve na področju socialne varnosti (glej uvodno izjavo 58 Direktive 95/46/ES). Odstopanje se lahko uporabi tudi za prenose med nadzornimi organi v sektorju finančnih storitev. Glej Delovna skupina iz člena 29: „Working document: Transfers of personal data to third countries: Applying Articles 25 and 26 of the EU data protection directive“ (Delovni dokument: Prenosi osebnih podatkov v tretje države: uporaba členov 25 in 26 Direktive EU o varstvu podatkov), (WP 12) z dne 24. julija 1998, str. 25.

(23)

(24)

Glej Delovna skupina iz člena 29: „Working document: Transfers of personal data to third countries: Applying Articles 25 and 26 of the EU data protection directive“ (Delovni dokument: Prenosi osebnih podatkov v tretje države: uporaba členov 24 in 26 Direktive EU o varstvu podatkov), (WP 12) z dne 24. julija 1998; „Working document on a common interpretation of Article 26(1) of Directive 95/46/EC of 24 October 1995“ (Delovni dokument o skupni razlagi člena 26(1) Direktive 95/46/ES z dne 24. oktobra 1995), (WP 114) z dne 25. novembra 2005. Glej tudi Evropska komisija, „Pogosta vprašanja v zvezi s prenosi osebnih podatkov iz EU/EGP v tretje države“ (Frequently Asked Questions Relating to Transfers of Personal Data from the EU/EEA to Third Countries; Pogosta vprašanja D.1 do D.9), str. 48–54 .

(25)

(26)

Delovna skupina iz člena 29, „Working document on a common interpretation of Article 26(1) of Directive 95/46/EC of 24 October 1995“ (Delovni dokument o skupni razlagi člena 26(1) Direktive 95/46/ES z dne 24. oktobra 1995), (WP 114) z dne 25. novembra 2005, str. 9. Po mnenju delovne skupine je množične ali večkratne prenose mogoče opravljati na podlagi odstopanja le pod pogojem, da uporaba standardnih pogodbenih klavzul ali zavezujočih poslovnih pravil v praksi ni mogoča in kadar je tveganje za posameznike, na katere se nanašajo osebni podatki, majhno (npr. mednarodna denarna nakazila). Glej tudi Evropska komisija, „Frequently Asked Questions Relating to Transfers of Personal Data from the EU/EEA to Third Countries“ (Pogosta vprašanja v zvezi s prenosi osebnih podatkov iz EU/EGP v tretje države; Pogosta vprašanja D.1), str. 49 .

(27)

(28)

(29)

(30)

Delovna skupina iz člena 29, „Working document on a common interpretation of Article 26(1) of Directive 95/46/EC of 24 October 1995" (WP 114)“ (Delovni dokument o skupni razlagi člena 26(1) Direktive 95/46/ES z dne 24. oktobra 1995), (WP 114) z dne 25. novembra 2005, str. 15. V okviru zaposlitve odstopanja na primer ni mogoče uporabiti za prenos vseh datotek o zaposlenem matični družbi skupine s sedežem v tretji državi zaradi morebitnih prihodnjih pravnih postopkov.

(31)

Haaška konvencija iz leta 1970 o pridobivanju dokazov v civilnih ali gospodarskih zadevah v tujini, na voljo za podpis od 18. marca 1970, 23 U.S.T. 2555, 847 U.N.T.S. 241. Ta konvencija obravnava na primer predobravnavno odkrivanje dokumentov v predhodnem postopku ali zaprosila sodnih organov ene države pristojnemu organu druge države, da pridobi dokaze, ki
so namenjeni za uporabo v sodnih postopkih v državi prosilki.

(32)

Delovna skupina iz člena 29, „Delovni dokument o skupni razlagi člena 26(1) Direktive 95/46/ES z dne 24. oktobra 1995“ (WP 114) z dne 25. novembra 2005, str. 10, ki se sklicuje na Mnenje 5/2004 o nepovabljenih sporočilih za neposredno trženje iz člena 13 Direktive 2002/58/ES, WP 90 z dne 27. februarja 2004, točka 3.2.

(33)

(34)

Delovna skupina iz člena 29, „Opinion 8/2001 on the processing of personal data in the employment context“ (Mnenje 8/2001 o obdelavi osebnih podatkov v okviru zaposlitve), (WP 48) z dne 13. septembra 2001, str. 3, 23 in 26. Delovna skupina meni, da bi moralo biti sklicevanje na privolitev omejeno na primere, ko ima delavec resnično prostovoljno izbiro in lahko naknadno privolitev vedno umakne brez škode. Glej tudi Delovna skupina iz člena 29, „Working document on a common interpretation of Article 26(1) of Directive 95/46/EC of 24 October 1995“ (Delovni dokument o skupni razlagi člena 26(1) Direktive 95/46/ES z dne 24. oktobra 1995), (WP 114) z dne 25. novembra 2005, str. 11.

(35)

Delovna skupina iz člena 29, „Working document on a common interpretation of Article 26(1) of Directive 95/46/EC of 24 October 1995" (WP 114)“ (Delovni dokument o skupni razlagi člena 26(1) Direktive 95/46/ES z dne 24. oktobra 1995), (WP 114) z dne 25. novembra 2005, str. 11. Glej tudi „Opinion 6/2002 on transmission of passenger manifest information and other data from airlines to the United States“ (Mnenje 6/2002 o prenosu očitnih informacij o potnikih in drugih podatkov s strani letalskih družb Združenim državam), (WP 66) z dne 24. oktobra 2002.

(36)

(37)

Delovna skupina iz člena 29, „Opinion 15/2011 on the definition of consent“ (Mnenje 15/2011 o opredelitvi privolitve), (WP 187) z dne 13. julija 20a1, str. 9.

(38)

(39)

Glej poročilo Delovne skupine iz člena 29 z dne 16. oktobra 2015 (opomba 8 zgoraj).

(40)

Številne multinacionalne družbe so izjavile, da njihov prenos podatkov v ZDA temelji na alternativnih mehanizmih. Glej npr. izjavi družb Microsoft (http://blogs.microsoft.com/on-the-issues/2015/10/06/a-message-to-our-customers-about-eu-us-safe-harbor/) ali Salesforce (http://www.salesforce.com/company/privacy/data-processing-addendum-faq.jsp). Druge družbe v ZDA, na primer Oracle, so dejale, da uporabnikom storitev v oblaku ponujajo možnost, da svoje podatke shranjujejo v Evropi, tako da se ti za potrebe skladiščenja ne pošiljajo drugam: http://www.irishtimes.com/business/technology/oracle-keeps-european-data-within-its-eu-based-data-centres-1.2408505?mode=print&ot=example.AjaxPageLayout.ot.

(41)

Glej uvodno izjavo 60 in člen 25(1) Direktive 95/46/ES.

(42)

Glej npr. klavzulo 5 Priloge k Sklepu Komisije 2010/87/EU in Delovna skupina iz člena 29, „Working Document setting up a framework for the structure of Binding Corporate Rules“ (Delovni dokument o vzpostavitvi okvira strukture zavezujočih poslovnih pravil), (WP 154) z dne 24. junija 2008, str. 8.

(43)

Glej npr. smernice, ki jih je izdala Agencija Evropske unije za varnost omrežij in informacij (ENISA): https://resilience.enisa.europa.eu/article-13/guideline-for-minimum-security-measures/Article_13a_ENISA_Technical_Guideline_On_Security_Measures_v2_0.pdf.

(44)

Glej npr. dokument o stališču konference o varstvu podatkov nemških organov za varstvo podatkov na zvezni in deželni ravni z dne 26. 10. 2015: https://www.datenschutz.hessen.de/ft-europa.htm#entry4521. V dokumentu o stališču je ob poudarku, da sodba v zadevi Schrems vsebuje „stroge vsebinske zahteve“, ki jih morajo spoštovati tako Komisija kot organi za varstvo podatkov, navedeno, da bodo nemški organi za varstvo podatkov ocenjevali zakonitost prenosov podatkov na podlagi alternativnih mehanizmov (standardne pogodbene klavzule, zavezujoča poslovna pravila) in v prihodnje ne bodo več odobrili novih dovoljenj za uporabo teh mehanizmov. Poleg tega so posamezni nemški organi za varstvo podatkov izdali jasna opozorila, da so alternativni mehanizmi za prenos predmet pravnega nadzora. Glej npr. dokumenta o stališču, ki sta ju izdala organa za varstvo podatkov dežel Schleswig-Holstein:https://www.datenschutzzentrum.de/artikel/981-ULD-Position-Paper-on-the-Judgment-of-the-Court-of-Justice-of-the-European-Union-of-6-October-2015,-C-36214.html in Rheinland-Pfalz: https://www.datenschutz.rlp.de/de/aktuell/2015/images/20151026_Folgerungen_des_LfDI_RLP_zum_EuGH-Urteil_Safe_Harbor.pdf.

(45)

Glej poročilo Delovne skupine iz člena 29 z dne 16. oktobra 2015 (opomba 8 zgoraj).

(46)

Evropska komisija, Predlog uredbe Evropskega parlamenta in Sveta o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (Splošna uredba o varstvu podatkov). Glej tudi Evropski parlament, Zakonodajna resolucija Evropskega parlamenta z dne 12. marca 2014 o predlogu uredbe Evropskega parlamenta in Sveta o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (Splošna uredba o varstvu podatkov) (COM(2012)0011 – C7-0025/2012 – 2012/0011(COD)); Svet, Predlog uredbe Evropskega parlamenta in Sveta o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (Splošna uredba o varstvu podatkov), priprava splošnega pristopa, 9565/15. Predlog je trenutno v zadnji fazi zakonodajnega procesa.

(47)

Glej uvodno izjavo 57 Direktive 95/46/ES.

(48)

Do sedaj so bili sprejeti sklepi o ustreznosti v zvezi z: Andoro, Argentino, Kanado, Ferskimi otoki, Guernseyem, Izraelom, Otokom Man, Jerseyem, Novo Zelandijo, Švico in Urugvajem. Glej: http://ec.europa.eu/justice/data-protection/international-transfers/adequacy/index_en.htm.

(49)

Glej točke 99–104 sodbe v zadevi Schrems.

(50)

Glej opombo 4.