Informacijski pooblaščenec Republika Slovenija
   
dekorativna slika

Pravica do seznanitve z OP

+ -
Datum: 15.04.2019
Številka: 0712-1/2019/869
Kategorije: Pravica do seznanitve z lastnimi osebnimi podatki

Informacijski pooblaščenec (v nadaljevanju IP) je prejel vaše zaprosilo za mnenje. Zanima vas, kateri podatki, ki jih hrani vaša banka, so osebni podatki v smislu Splošne uredbe o varstvu podatkov (ang. GDPR). Navajate, da vam banka ni pripravljena dati informacije, do kdaj je bila vaša stara bančna kartica veljavna. Sprašujete, ali lahko ta podatek zahtevate na podlagi člena 15 Splošne uredbe o varstvu podatkov.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov, v nadaljevanju Splošna uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji. Ob tem poudarjamo, da IP izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka konkretnih obdelav osebnih podatkov ne more presojati. Zato vam v nadaljevanju podajamo zgolj splošna pojasnila, ne moremo pa presojati ustreznosti konkretnega ravnanja posameznih upravljavcev.

Pojem osebni podatki pomeni katero koli informacijo v zvezi z določenim ali določljivim posameznikom; določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, gensko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika.

Podatki, ki jih navajate v zaprosilu, torej številka tekočega računa in kreditne kartice, veljavnost kartice tekočega računa in kreditne kartice, številka PIN za kartico tekočega računa in za kreditno kartico ter podatki za dostop do elektronskega bančništva (uporabniško ime), so osebni podatki, če so v zvezi s fizično osebo, saj je na njihovi podlagi mogoče določiti posameznika.

Pravica do seznanitve z lastnimi osebnimi podatki oziroma pravica do dostopa do osebnih podatkov je zagotovljena vsakemu posamezniku v tretjem odstavku 38. člena Ustave Republike Slovenije in v členu 15 Splošne uredbe o varstvu podatkov. Postopkovna pravila pa so urejena v členu 11 in 12 omenjene uredbe. Skladno s temi določbami mora upravljavec posamezniku na njegovo zahtevo:

•      posredovati potrditev, ali se v zvezi z njim obdelujejo osebni podatki;

•      omogočiti vpogled ali posredovati reprodukcijo teh osebnih podatkov, torej zagotoviti dostop do njihove vsebine, in

•      če se osebni podatki posameznika pri upravljavcu res obdelujejo, tudi določene informacije, ki so natančno naštete v členu 15(1) Splošne uredbe.

Zahteva se vloži pri upravljavcu, za katerega posameznik meni, da obdeluje njegove osebne podatke. Zahteva se vloži praviloma pisno, tudi po e-pošti ter na neobvezujočem obrazcu »SLOP«, ki je objavljen na spletni strani IP: https://www.ip-rs.si/obrazci/varstvo-osebnih-podatkov/. Upravljavec ima pravico, da od posameznika zahteva dodatne informacije zato, da se odpravi dvom v identiteto posameznika, ki je podal zahtevo. Zahteva mora, poleg ostalih vsebin iz obrazca, vsebovati čim bolj podroben opis osebnih podatkov oziroma dokumentov, ki jih želi posameznik prejeti.

Upravljavec o zahtevi odloči s pisnim obvestilom. Rok za odločitev upravljavca je en mesec od prejema zahteve, ta rok pa se lahko po potrebi podaljša za največ dva dodatna meseca ob upoštevanju kompleksnosti in števila zahtev. Posredovanje zahtevanih osebnih podatkov in informacij se praviloma zagotovi brezplačno.

Zoper molk upravljavca (tj. če posamezniku ne odgovori v enomesečnem roku) ali zoper zavrnilni odgovor upravljavca je mogoča pritožba, za reševanje katere je pristojen IP. Pritožbo lahko podate s pomočjo posebnega obrazca »P-SLOP«, ki je objavljen na spletni strani IP: https://www.ip-rs.si/obrazci/varstvo-osebnih-podatkov/.

Več o pravici do seznanitve z lastnimi osebnimi podatki si lahko preberete na spletni strani IP: https://www.ip-rs.si/varstvo-osebnih-podatkov/pravice-posameznika/seznanitev-z-lastnimi-osebnimi-podatki/ ter https://tiodlocas.si/. Prav tako je s področja pravice do seznanitve z lastnimi osebnimi podatki na spletni strani IP že dostopnih več mnenj.

Glede na navedeno vam svetujemo, da banki priporočeno pošljete svojo zahtevo za seznanitev z vašimi osebnimi podatki, ki jih želite prejeti. Če nanjo ne boste prejeli pisnega odgovora v roku enega meseca ali če bo vaša zahteva zavrnjena, lahko zoper molk oz. zavrnitev upravljavca pri IP vložite pritožbo. Ker nastopamo kot pritožbeni organ ter ker ne poznamo vseh dejstev in okoliščin konkretnega primera, pa vam dokončnega odgovora na vprašanje, ali vam je v konkretnem primeru dolžna banka podatke, ki jih naštevate, dati na voljo, ne moremo podati.

Lep pozdrav,

                                                                                       Mojca Prelesnik, univ. dipl. prav.,                                                

                                                                                           informacijska pooblaščenka

Pripravila:                                                                                                                              

Tina Ivanc, univ. dipl. prav.,
svetovalka IP za varstvo osebnih podatkov