Razkritje podatkov o prejemnikih dokumentov posamezniku

pri Informacijskem pooblaščencu (IP) smo dne 1. 2. 2019 prejeli vaše zaprosilo za mnenje o tem, ali lahko upravljavec v primeru posredovanja izpiska osebe A osebi B, osebi A razkrije osebne podatke B (prejemnika napačnega izpiska, ime priimek in naslov) v skladu s pravico do dostopa do osebnih podatkov po 15. členu Splošne uredbe (EU) o varstvu podatkov z namenom, da lahko oseba A sama opravi dejanja zavarovanja osebnih podatkov.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašimi vprašanji.

Posameznik, na katerega se posredovani dokument oziroma posredovani osebni podaki nanašajo, lahko na zahtevo prejme podatek o prejemniku dokumenta (zunanjem uporabniku) ne glede na to, ali je bilo posredovanje dokumenta zakonito ali ne.

V kolikor bi šlo za primer kršitve varnosti osebnih podatkov iz člena 34 v povezavi s členom 33 uredbe, bi moral upravljavec brez nepotrebnega odlašanja že samoiniciativno sporočiti posamezniku, na katerega se nanašajo osebni podatki, da je prišlo do kršitve varstva osebnih podatkov z vsebino, kot je predpisaa v členu 34 uredbe.

Podatek o zunanjem uporabniku je načeloma le osebno ime posameznika ali naziv pravne osebe.

O b r a z l o ž i t e v:

Po (c) točki prvega odstavka člena 15 Splošne uredbe o varstvu podatkov mora upravljavec posamezniku na njagovo zahtevo razkriti uporabnike ali kategorije uporabnika, ki so jim bili ali jim bodo razkriti osebni podatki, zlasti uporabnike v tretjih državah ali mednarodnih organizacijah. Če posameznik zahteva podatek o zunanjem uporabniku (in ne o kategoriji uporabnika) to pomeni, da je treba uporabnika poimenovati oziroma ga ustrezno določiti. Vendar pa v skladu z načelom najmanjšega obsega podatkov iz (c) točke prvega odstavka člena 5 Splošne uredbe o varstvu podatkov, IP meni, da je načeloma dovolj, če se pri fizičnih osebah razkrije le osebno ime, pri pravnih osebah pa registrski naziv. Večji obseg razkritja podatkov o uporabniku ni izključen v izjemnih primerih, vendar je to odvisno od okoliščin konkretnega primera ter presoje, ali je to še v skladu z omenjenim načelom.

Prijazen pozdrav,

Pripravil:
mag. Urban Brulc, univ. dipl. prav.

samostojni svetovalec IP

Mojca Prelesnik, univ. dipl. prav.
informacijska pooblaščenka