Na naši spletni strani uporabljamo piškotke.
Nekateri od njih so potrebni za delovanje strani, o drugih pa se lahko odločite sami. Preberi več
"Prenosi podatkov iz Severne Makedonije v tretje države lahko temeljijo na različnih razlogih, ki izhajajo iz lokalnega okvira ali odločitev Evropske komisije o ustreznosti."
Po Zakonu o varstvu osebnih podatkov iz leta 2020 („Zakon o varstvu podatkov“) so prenosi osebnih podatkov v države, ki niso članice EU/EGP, v veliki meri omejeni. Agencija za varstvo osebnih podatkov („DZLP“) ima pooblastila za ugotavljanje, ali nekatere države, ozemlja ali mednarodne organizacije ponujajo ustrezno raven zaščite za prenose podatkov, kot tudi za izdajo individualnih odobritev za prenose osebnih podatkov v države, ki niso članice EU/EGP. Pri določanju ustreznosti mora DZLP zlasti upoštevati, ali tretja država ponuja ravni zaščite, ki so v bistvu enakovredne tistim, zagotovljenim v Severni Makedoniji, in ali posameznikom, na katere se nanašajo osebni podatki, zagotavlja učinkovite in izvršljive pravice ter pravna sredstva. DZLP ima tudi pooblastilo, da razveljavi, spremeni ali začasno prekine vse odločitve o ustreznosti.
Odločitev DZLP o ustreznosti ni potrebna za prenose osebnih podatkov v države EU/EGP ali države, ki so na „belem seznamu“ Evropske komisije, tj. za katere je bilo ocenjeno, da zagotavljajo ustrezno raven varstva osebnih podatkov. Države na belem seznamu vključujejo Andoro, Argentino, Kanado (kjer velja Zakon o varstvu osebnih podatkov in elektronskih dokumentih iz leta 2000), Ferske otoke, Guernsey, otok Man, Izrael, Jersey, Novo Zelandijo, Švico, Urugvaj in ZDA (samo za podjetja, ki delujejo v skladu z zasebnostnim ščitom EU-ZDA). Vendar pa morajo upravljavci in obdelovalci podatkov obvestiti DZLP o prenosih osebnih podatkov v države EU/EGP in države na „belem seznamu“ vsaj 15 dni pred začetkom takšnih prenosov. Obvestilo je potrebno oddati po elektronski pošti ali preko elektronskega sistema DZLP.
Če ni odločitve o ustreznosti, Zakon o varstvu podatkov dovoljuje prenos, če je upravljavec ali obdelovalec zagotovil „ustrezne zaščitne ukrepe“. Ti različni zaščitni ukrepi so obravnavani v nadaljevanju.
Standardne pogodbene klavzule („SCC“)
SCC so vzorčne klavzule o varstvu podatkov, ki jih je sprejel DZLP ali odobrila Evropska komisija. Klavzule vsebujejo pogodbene obveznosti izvoznika in uvoznika podatkov ter pravice posameznikov, na katere se nanašajo osebni podatki, katerih osebni podatki se prenašajo. Posamezniki, na katere se nanašajo osebni podatki, lahko te pravice neposredno uveljavljajo proti uvozniku in izvozniku podatkov.
Zavezujoča poslovna pravila (»BCR«)
BCR tvorijo pravno zavezujoč notranji kodeks ravnanja, ki deluje znotraj večnacionalne skupine, ki se uporablja za prenose osebnih podatkov iz subjektov skupine v EU/EGP subjektom skupine zunaj EU/EGP. BCR so pravno zavezujoča pravila o varstvu podatkov z izvršljivimi pravicami posameznika, ki se nanašajo na osebne podatke, ki jih je odobril DZLP.
Odobreni kodeksi ravnanja
Kodeksi ravnanja so prostovoljni in določajo posebna pravila o varstvu podatkov za kategorije upravljavcev in obdelovalcev. Lahko so uporabno in učinkovito orodje za zagotavljanje odgovornosti, saj zagotavljajo podroben opis tega, kaj je najprimernejše, zakonito in etično vedenje znotraj sektorja. Kodeksi ravnanja, ki se nanašajo na dejavnosti obdelave osebnih podatkov s strani upravljavcev in obdelovalcev v več kot eni državi članici EU in za katere je Evropska komisija sprejela izvedbeni akt, skupaj z zavezujočimi in izvršljivimi obveznostmi upravljavca ali obdelovalca v tretji državi, bi se lahko v prihodnosti uporabljali kot orodje za prenos.
Odobreni certifikacijski mehanizmi
Zakon o varstvu podatkov opredeljuje certificiranje kot „zagotovitev pisnega zagotovila (certifikata) neodvisnega organa, da zadevni izdelek, storitev ali sistem izpolnjuje posebne zahteve.“ Zato se lahko razvijejo mehanizmi certificiranja, da se dokaže obstoj ustreznih zaščitnih ukrepov, ki jih zagotavljajo upravljavci in obdelovalci v tretjih državah. Ti upravljavci in obdelovalci bi prav tako sprejeli zavezujoče in izvršljive zaveze za uporabo zaščitnih ukrepov, vključno z določbami o pravicah posameznikov, na katere se nanašajo osebni podatki.
Pravno zavezujoči in izvršljivi instrumenti med javnimi organi
Organizacija lahko izvede omejen prenos, če je javni organ ali telo in se prenaša na drug javni organ ali organizacijo, pri čemer sta oba javna organa podpisala pogodbo ali drug instrument, ki je pravno zavezujoč in izvršljiv. Ta pogodba ali instrument mora vključevati izvršljive pravice in učinkovita pravna sredstva za posameznike, na katere se nanašajo osebni podatki, katerih osebni podatki se prenašajo. To ni ustrezen zaščitni ukrep, če sta organizacija prenosnik ali prejemnik zasebni organ ali posameznik. Če javni organ ali organizacija nima pooblastila za sklenitev pravno zavezujočih in izvršljivih dogovorov, lahko razmisli o upravnem dogovoru, ki namesto tega vključuje izvršljive in učinkovite pravice posameznika.
Upravljavci oziroma obdelovalci se morajo prijaviti DZLP, bodisi preko elektronske pošte.