Razširitev pravic dostopa do OP

Spoštovani,

Informacijski pooblaščenec (v nadaljevanju IP) je po elektronski pošti prejel vaš dopis, v katerem sprašujete, ali je upravičeno, da se pravice dostopa do TRR delavcev razširijo tudi na Službo za kadrovske in organizacijske zahteve ter razvoj.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov oz. Uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

Splošna uredbo o varstvu podatkov (Uredba (EU) 2016/679, v nadaljevanju Uredba) ne predpisuje načina oziroma postopkov, po katerih bi morale postopati posamezne organizacijske enote pri upravljalcu, ko gre za pregledovanje različnih evidenc, predvideva pa sprejem ustreznih politik, ki lahko vključujejo tudi opredelitev postopkov za pregledovanje in dostop do posameznih zbirk osebnih podatkov pri upravljavcu.

Uredba v 32. členu določa, da upravljavec ali obdelovalec zagotovita, da katerakoli fizična oseba, ki ukrepa pod vodstvom upravljavca ali obdelovalca, ki ima dostop do osebnih podatkov, slednjih ne sme obdelati brez navodil upravljavca, razen če to od nje zahteva pravo Unije ali pravi države članice.

Določitev pravic dostopa in pregledovanja posameznih zbirk je torej predmet notranje organizacije in upravljavec lahko za izvajanje posameznih dejanj obdelave določi katerokoli osebo, ki se mu zdi primerna, da izpolni nalogo v zvezi z obdelavo osebnih podatkov. Če oseba ni izrecno določena z notranjimi pravili organizacije (določitev je lahko urejena na različne načine: s pravilniki, aktom o sistemizaciji, pogodbo o zaposlitvi, ipd.), lahko dostopajo do posameznih evidenc le tiste osebe znotraj upravljavca, ki podatke (ki jih upravljavec zakonito hrani oz. zbira) potrebujejo za izvajanje svojih nalog oz. obveznosti v okviru upravljavca in je to upravičeno glede na namen in pravne podlage v zvezi z vodenjem posamezne evidence. Na ta način se preprečuje nepooblaščen dostop in zagotavlja zaupnost zbirk osebnih podatkov, kar je odgovornost upravljavca.

IP v okviru mnenja ne more presojati, ali so konkretni ukrepi zagotavljanja varnosti podatkov ustrezni, saj lahko IP presoja le v okviru inšpekcijskega oz. upravnega postopka.

Lep pozdrav,

                                                                                               Mojca Prelesnik, univ.dipl.prav.,                                                 

                                                                                               Informacijska pooblaščenka

Pripravil:                                                                                                                                

Darko Mohar,

Projektni sodelavec