Dostop do ažurne (varnostne) kopije osebnih podatkov
+ -Številka: 07121-1/2022/1283
Kategorije: Moderne tehnologije, Pravica do seznanitve z lastnimi osebnimi podatki
Informacijski pooblaščenec (v nadaljevanju IP) je po elektronski pošti prejel vaš dopis, v katerem sprašujete, ali ima posameznik pravico dostopa (v okviru 15. člena Splošne uredbe ali druge podlage) do ažurne (varnostne) kopije svojih osebnih podatkov. Zanima vas, ali in na kateri pravni podlagi bi bilo možno podati enkratno zahtevo upravljavcu, ki bi veljala do preklica (torej tudi v naprej), za posredovanje vseh osebnih podatkov, ki jih upravljavec v zvezi s posameznikom obdeluje oziroma jih bo na novo (do preklica zahteve) obdeloval. Zanima vas torej možnost (ter pravna podlaga za vložitev) stalne kontinuirane zahteve za dostop do podatkov, ki bi pravzaprav pomenila sinhronizacijo podatkov, ob predpostavki, da bi informacijski sistem upravljavca to omogočal.
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem. Ob tem IP poudarja, da izven postopka inšpekcijskega nadzora konkretnih obdelav osebnih podatkov ne more presojati.
Pravica do dostopa do lastnih osebnih podatkov se praviloma izvršuje na podlagi zahteve, ki velja »za nazaj«. Splošna uredba sicer vzpodbuja mehanizme neposrednega dostopa do osebnih podatkov, če jih upravljavec nudi, vendar če upravljavec takšnega sistema ne omogoča, ga k temu ni mogoče prisiliti. Edino pravica, ki se jo uveljavlja prek zahteve upravljavcu po določbah 12. in 15. člena Splošne uredbe, uživa pravno varstvo in jo je torej mogoče izterjati. Posameznik pa sicer lahko vloži zahtevo večkrat, posebej če prihaja do pogostih sprememb podatkov v zbirkah upravljavca.
Obrazložitev
IP pojasnjuje, da ima vsak posameznik skladno z določbami Splošne uredbe pravico pridobiti v jedrnati, pregledni, razumljivi in lahko dostopni obliki ter jasnem in preprostem jeziku določene informacije o obdelavi osebnih podatkov ter dostop do samih osebnih podatkov.
Prvi odstavek 15. člena Splošne uredbe tako posamezniku daje pravico od upravljavca dobiti potrditev, ali se v zvezi z njim obdelujejo osebni podatki, in kadar je temu tako, dostop do osebnih podatkov in med drugim naslednje informacije: namen obdelave; vrste zadevnih osebnih podatkov; uporabnike ali kategorije uporabnika, ki so jim bili ali jim bodo razkriti osebni podatki, predvideno obdobje hrambe osebnih podatkov; obstoj pravic posameznika; informacije o virih idr.
Omenjene pravice po 15. členu Splošne uredbe se uveljavljajo na podlagi zahteve.
Skladno s tretjim odstavkom 12. člena Splošne uredbe upravljavec informacije o ukrepih, sprejetih na zahtevo v skladu s členi 15 do 22, posamezniku, na katerega se nanašajo osebni podatki, zagotovi brez nepotrebnega odlašanja in v vsakem primeru v enem mesecu po prejemu zahteve. Četrti odstavek 12. člena pa določa, da če upravljavec ne ukrepa na zahtevo posameznika upravljavec takega posameznika brez odlašanja, najpozneje pa v enem mesecu po prejemu zahteve, obvesti o razlogih za neukrepanje ter o možnosti vložitve pritožbe pri nadzornem organu in možnosti uveljavljanja pravnih sredstev.
Iz navedenih določb Splošne uredbe ne izhaja, da bi bilo možno podati zahtevo, ki jo v vašem dopisu opredeljujete kot enkratno zahtevo upravljavcu, ki bi veljala do preklica (torej tudi v naprej), oziroma kot stalno kontinuirano zahtevo za dostop do podatkov, ki bi pravzaprav pomenila sinhronizacijo podatkov.
Splošna uredba pa vsebuje sicer nekatere programske določbe, t.i. uvodne izjave (ki sicer nimajo zavezujoče narave), ki govorijo v prid čim lažjega izvrševanja pravic posameznikov. Uvodna izjava št. 59 navaja, da bi bilo treba zagotoviti »načine za lažje uresničevanje pravic posameznika, na katerega se nanašajo osebni podatki, iz te uredbe, vključno z mehanizmi, s katerimi se zahtevajo in po potrebi brezplačno pridobijo zlasti dostop do osebnih podatkov in popravek ali izbris osebnih podatkov ter uresničuje pravica do ugovora. Upravljavec bi zato moral omogočiti tudi elektronsko vlaganje zahtev, zlasti kadar se osebni podatki obdelujejo z elektronskimi sredstvi.« Nadalje Splošna uredba v uvodni izjavi št. 63 opredeljuje, da kadar je mogoče, »bi upravljavec moral imeti možnost zagotoviti dostop na daljavo do varnega sistema, ki bi posamezniku, na katerega se nanašajo osebni podatki, omogočil neposreden dostop do njegovih osebnih podatkov.«
Kadar torej tovrstni mehanizmi obstajajo, je Splošna uredba naklonjena načinu izvrševanja pravice do dostopa do lastnih osebnih podatkov na daljavo z dostopom do varnega sistema, ki omogoča neposreden dostop do osebnih podatkov. Vendar če takšnega mehanizma upravljavec osebnih podatkov ne omogoča, je edini način za uveljavljanje pravice do dostopa do lastnih osebnih podatkov s posamično zahtevo, ki se nanaša na pridobivanje osebnih podatkov, ki jih upravljavec obdeluje do tistega trenutka.
Posameznik pa lahko vloži zahtevo za dostop do lastnih osebnih podatkov tudi večkrat, in sicer v razumnih intervalih. Šteje se, da pogosteje ko prihaja do sprememb v zbirkah podatkov upravljavca, pogosteje sme posameznik zahtevati svoje osebne podatke, ne da bi njegova (ponovna) zahteva štela za pretirano (gl. Smernice Evropskega odbora za varstvo podatkov št. 01/2022 o pravicah posameznika do dostopa do osebnih podatkov, v javnem posvetovanju, dostopne na https://edpb.europa.eu/system/files/2022-01/edpb_guidelines_012022_right-of-access_0.pdf).
V upanju, da ste dobili odgovor na svoje vprašanje, vas lepo pozdravljamo.
Mojca Prelesnik, univ.dipl.prav.,
informacijska pooblaščenka
Pripravila:
mag. Polona Merc, univ. dipl. prav.,
svetovalka IP za varstvo osebnih podatkov