Varstvo zasebnosti pri prenosu osebnih podatkov v tretje države

1. KAKO IN ZA KAKŠNE NAMENE JE DOVOLJENA OBDELAVA IN PRENOS OSEBNIH PODATKOV:
Agencija za trg vrednostnih papirjev (ATVP) lahko prenese osebne podatke organom tretje države za izvajanje njihovih nalog kot javnih organov, pristojnih za regulacijo in nadzor trgov vrednostnih papirjev in/ali izvedenih finančnih instrumentov, kar vključujejo urejanje, upravljanje, nadzor, izvrševanje in zagotavljanje skladnosti s predpisi s področja vrednostnih papirjev ali izvedenih finančnih instrumentov (v nadaljevanju organ tretje države).

Organom tretjih držav bo ATVP prenesla izključno osebne podatke, ki so ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se prenesejo in nadalje obdelujejo.
Pri prenosu osebnih podatkov ATVP zagotavlja ustrezne tehnične in organizacijske ukrepe za zaščito osebnih podatkov pred nenamernim ali nezakonitim dostopom, izgubo, spremembo ali nepooblaščenim razkritjem. Takšni ukrepi vključujejo ustrezne upravne, tehnične in fizične varnostne ukrepe.

Ko ATVP prejme osebne podatke od organov tretje države, bo te osebne podatke prenesla naprej oziroma posredovala tretjim osebam le s predhodnim pisnim soglasjem organa, od katerega je ATVP osebne podatke pridobila, in če tretja oseba priskrbi ustrezna zagotovila, ki so v skladu z zaščitnimi ukrepi iz GDPR (tretji odstavek 488.a člena Zakona o trgu finančnih instrumentov; ZTFI). Le v izjemnih primerih lahko ATVP posreduje osebne podatke tudi brez navedenega predhodnega soglasja (npr. zaradi javnega interesa, vodenja civilnega in upravnega izvršilnega postopka, pomoči pri kazenskem pregonu).

2. VRSTE SUBJEKTOV, KATERIM SE LAHKO OSEBNI PODATKI PRENESEJO:
V skladu z GDPR lahko ATVP prenese osebne podatke organom tretjih držav, če Evropska Komisija odloči, da zadevna tretja država, ozemlje, eden ali več določenih sektorjev v tej tretji državi ali mednarodna organizacija zagotavlja ustrezno raven varstva podatkov (sklep o ustreznosti, 45. člen GDPR).

ATVP lahko prenese osebne podatke tudi v tiste tretje države (in posledično organom tretjih držav), za katere Informacijski pooblaščenec Republike Slovenije ugotovi, da imajo v celoti ali delno zagotovljeno ustrezno raven varstva osebnih podatkov. Seznam je dostopen tu.

Izjemoma lahko ATVP lahko prenese osebne podatke organom tretjih držav tudi, kadar je ta prenos potreben zaradi pomembnih razlogov javnega interesa (točka (d) prvega odstavka 49. člena GDPR).

GDPR dopušča tudi prenose osebnih podatkov v tretje države v primeru sklenjenih posebnih dogovorov med javnimi organi (glej točko (b) tretjega odstavka 46. člena GDPR).
Izjemoma lahko ATVP prenese osebne podatke organom tretjih držav tudi, kadar je ta prenos potreben zaradi pomembnih razlogov javnega interesa (točka (d) prvega odstavka 49. člena GDPR).

Prenos osebnih podatkov v skladu z AA je omejen na prenos osebnih podatkov med ATVP in organi tretjih držav, ki so podpisali AA, v vlogi javnih organov, pristojnih za regulacijo in nadzor trgov vrednostnih papirjev in/ali izvedenih finančnih instrumentov.
Prenos zaupnih podatkov, ki vključujejo osebne podatke, ureja tudi 469.c člen ZTFI.

3. PRAVICE, KI SO NA VOLJO POSAMEZNIKOM IN KAKO UVELJAVLJATI TE PRAVICE:
ATVP varuje osebne podatke v skladu z Zakonom o varstvu osebnih podatkov (ZVOP-1) in GDPR.

Ukrepi, ki zagotavljajo varstvo osebnih podatkov po GDPR, so vključeni tudi v AA, posamezniku pa omogočajo:
(1) identifikacijo vseh osebnih podatkov, ki jih je prenesel drugemu organu tretje države v skladu z AA;
(2) splošne informacije, tudi na spletni strani ATVP , o ukrepih za varovanje osebnih podatkov, ki se uporabljajo za prenose drugim organom tretje države, in
(3) dostop do osebnih podatkov in potrditev, da so osebni podatki popolni, točni in po potrebi posodobljeni.

ATVP bo omogočil posameznikom, ki menijo, da so njihovi osebni podatki nepopolni, netočni, zastareli ali obdelani na način, ki ni v skladu z veljavnimi zakonskimi zahtevami, kot tudi v skladu z zaščitnimi ukrepi, določenimi v AA, da zahtevajo popravek, izbris, omejitev obdelave ali blokiranje podatkov (glej tudi Splošne informacije o obdelavi osebnih podatkov oziroma dokument dostopen na povezavi, navedeni v prejšnji opombi). ATVP bo o zahtevi odločila najkasneje v roku enega meseca od prejema zahteve. Navedeni rok lahko ATVP v izjemnih primerih podaljša še za dva meseca; o podaljšanju roka in o razlogih zanj, bo posameznik obveščen v roku enega meseca od prejema zahteve.

ATVP ne uporablja avtomatizirane obdelave osebnih podatkov pri sprejemanju pravne odločitve v zvezi s posameznikom, vključno z oblikovanjem profilov.

ATVP osebne podatke praviloma hrani 5 let, razen če poseben zakon ali predpis določa drugače, oziroma tako dolgo kot je to potrebno za namene izvajanja nadzorih pristojnosti ATVP.

Posameznik, ki meni, da ATVP ne varuje osebnih podatkov skladno z določbami GDPR ali AA, lahko sproži postopek zoper ATVP oziroma zahteva odškodnino pred pristojnim sodiščem v Republiki Sloveniji.

V skladu s 77. členom GDPR ima tudi vsak posameznik pravico do vložitve pritožbe pri nadzornem organu v Republiki Sloveniji, Informacijskemu pooblaščencu, kadar ta meni, da obdelava osebnih podatkov v zvezi z njim krši GDPR.

4. INFORMACIJE O VELJAVNIH ODLOGIH ALI OMEJITVAH V ZVEZI Z URESNIČEVANJEM TEH PRAVIC, VKLJUČNO Z OMEJITVAMI, KI SE UPORABLJAJO V PRIMERU ČEZMEJNIH PRENOSOV OSEBNIH PODATKOV:
Poleg ukrepov za varovanje osebnih podatkov, ki se nanašajo na pravice posameznikov po GDPR, ATVP prav tako ravna skladno z zakonsko predpisano obveznostjo o varovanju zaupnih informacij (glej 488. člen ZTFI). Upoštevajoč dejstvo, da so pogoji za pridobivanje in razkrivanje zaupnih in/oziroma osebnih podatkov določeni v predpisih, ki se uporabljajo za ATVP, ATVP na podlagi točke (c) petega odstavka 14. člena GDPR posamezniku v navedenem primerih ne bo posredovala informacij v skladu s prvim do četrtim odstavkom tega člena GDPR. ATVP se lahko tako odloči tudi, če pridobi osebne podatke od organa tretje države ali jih posreduje organom tretje države, če se s tem prepreči vplivanje na nadzorne postopke, ki jih vodijo ti organi (npr. spremljanje ali ocenjevanje skladnosti z veljavnimi predpisi, preprečevanje ali preiskovanje domnevnih kaznivih dejanj) - osmi odstavek 463. člena ZTFI-1.

5. KONTAKTNI PODATKI GLEDE VARSTVA OSEBNIH PODATKOV NA ATVP:

AGENCIJA ZA TRG VREDNOSTNIH PAPIRJEV
Poljanski nasip 6
1000 Ljubljana
SLOVENIJA

Pooblaščena oseba za varstvo podatkov: e-naslov: gdpr@atvp.si

  1. Delovni čas ATVP: vsak delovni dan med 8. in 16. uro
  2. Sprejem pošte: vsak delovni dan med 8. in 15. uro,
    razen na delovna dneva 24. 12. in 31. 12. od 8. do 13. ure
  3. Medijsko središče: pr@atvp.si