Dostop do podatkov o dostopu do vaših osebnih podatkov

Opozorilo: Mnenje je bilo izdano na podlagi določb Zakona o varstvu osebnih podatkov (ZVOP-1, Uradni list RS, št. 94/07 - uradno prečiščeno besedilo), ki je z dnem 26. 1. 2023 prenehal veljati in ga je nadomestil nov Zakon o varstvu osebnih podatkov (ZVOP-2, Uradni list RS, št. 163/22), zato mnenje ni več nujno aktualno. Mnenja po ZVOP-2 so na voljo tukaj.

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaš elektronski dopis, v katerem vas zanima, ali je možno dobiti podatke, kdo vse in kdaj je dostopal do vaših osebnih podatkov. Pojasnjujete, da imate sum, da je nepooblaščena oseba dostopala do vaših zdravstvenih podatkov.

***

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

IP vas uvodoma napotuje na 15. člen Splošne uredbe, ki posameznikom omogoča pravico dostopa oz. seznanitve z osebnimi podatki. Skladno s 15 členom Splošne uredbe ima vsak posameznik pravico, da se seznani s svojimi osebnimi podatki. Tako mora upravljavec posamezniku na njegovo zahtevo: 

1. posredovati potrditev, ali se v zvezi z njim obdelujejo osebni podatki;
2. omogočiti vpogled ali posredovati reprodukcijo teh osebnih podatkov, torej zagotoviti dostop do njihove vsebine, in
3. če se osebni podatki posameznika pri upravljavcu res obdelujejo, tudi naslednje informacije:
   1. namene obdelave; 
   2. vrste zadevnih osebnih podatkov;
   3. uporabnika, ki so jim bili ali jim bodo razkriti osebni podatki, zlasti uporabnike v tretjih državah ali mednarodnih organizacijah; 
   4. kadar je mogoče, predvideno obdobje hrambe osebnih podatkov ali, če to ni mogoče, merila, ki se uporabijo za določitev tega obdobja; 
   5. obstoj pravice, da se od upravljavca zahteva popravek ali izbris osebnih podatkov ali omejitev obdelave osebnih podatkov v zvezi s posameznikom, na katerega se nanašajo osebni podatki, ali obstoj pravice do ugovora taki obdelavi; 
   6. pravico do vložitve pritožbe pri nadzornem organu; 
   7. kadar osebni podatki niso zbrani pri posamezniku, na katerega se ti nanašajo, vse razpoložljive informacije v zvezi z njihovim virom; 
   8. obstoj avtomatiziranega sprejemanja odločitev, vključno z oblikovanjem profilov iz člena 22(1) in (4) Splošne uredbe (EU) o varstvu podatkov, ter vsaj v takih primerih smiselne informacije o razlogih zanj, kot tudi pomen in predvidene posledice take obdelave za posameznika, na katerega se nanašajo osebni podatki.

V primeru, da boste pri upravljavcu osebnih podatkov (v vašem primeru UKC Ljubljana) izkoristili pravico, ki vam jo daje člen 15 Splošne uredbe,  si lahko pomagate z obrazcem, ki je objavljen na spletni strani IP, na naslovu https://www.ip-rs.si/obrazci/varstvo-osebnih-podatkov/. Zahtevo za seznanitev z lastnimi osebnimi podatki morate torej nasloviti neposredno na upravljavca vaših osebnih podatkov, IP pa je pristojen za odločanje o pritožbi posameznika, kadar upravljavec osebnih podatkov ne ugodi zahtevi posameznika glede pravice posameznika do seznanitve z zahtevanimi podatki. Če vam upravljavec osebnih podatkov na vašo zahtevo v roku enega meseca ne bo odgovoril ali pa vaši zahtevi ne bo ugodil, lahko torej na IP pošljete pritožbo, ki jo vložite na obrazcu »Pritožba zaradi kršitve pravice do seznanitve z lastnimi osebnimi podatki«, ki je prav tako objavljen na spletnih straneh IP.

Glede vaše prošnje, da bi radi pridobili informacijo, kdo vse in kdaj je dostopal do vaših podatkov, IP dodatno pojasnjuje, da lahko na podlagi navedene pravice od upravljavca pridobite informacijo glede uporabnikov oz. kategorij uporabnikov, ki so jim bili vaši osebni podatki posredovani (točka c prvega odstavka člena 15 Splošne uredbe). Na ta način se lahko seznanite komu so bili izven upravljavca posredovani vaši podatki (t.i. zunanja sledljivost).

IP v povezavi z vašim pojasnilom, da sumite, da je nepooblaščena oseba dostopala do vaših zdravstvenih podatkov, še pojasnjuje, da se zaposleni znotraj konkretnega organa ne štejejo za uporabnike, glede na določbe točke c prvega odstavka člena 15 Splošne uredbe. Skladno z dosedanjo prakso IP, na podlagi zahteve za seznanitev z lastnimi osebnimi podatki po 15. členu Splošne uredbe o varstvu podatkov, tako ni mogoče pridobiti informacij o konkretnih osebah, ki so znotraj upravljavca obdelovale osebne podatke posameznika. To velja ne glede na to:

- da je posameznik zaposlen pri upravljavcu,

- do katerih sistemov in zbirk je zaposleni dostopal in

- ali je bil dostop zakonit ali nezakonit.   

Z drugimi besedami to pomeni, da v kolikor so v vaše osebne podatke vpogledale zaposlene osebe, vam upravljavec ni dolžan podati poimenskega seznama teh oseb. Splošna uredba tako ne pokriva dostopa do informacij o notranjih vpogledih v osebne podatke in s tem notranje sledljivosti. Vsekakor pa se lahko v okviru vaše pravice do seznanitve z lastnimi osebnimi podatki seznanite z nameni, za katere so bili obdelovani vaši osebni podatki.

Ne glede na to, pa bi lahko preverjanje zakonitosti obdelave osebnih podatkov znotraj upravljavca IP lahko izvedel v okviru inšpekcijskega postopka, pri čemer IP v inšpekcijskem postopku ugotavlja, ali in kdo je znotraj upravljavca nezakonito obdeloval osebne podatke. V primeru konkretnega suma, da je prišlo do nezakonitega vpogleda v vaše zdravstvene podatke lahko pri IP vložite inšpekcijsko prijavo. Zaželeno je, da vašo prijavo utemeljite z navedbami kaj, kje in v katerem obdobju naj bi se kršitev zgodila ter zakaj sumite, da naj bi prišlo do kršitve. Predlagamo, da si pomagate z obrazcem ZIN PRIJAVA, ki je dostopen na tej povezavi: https://www.ip-rs.si/obrazci/varstvo-osebnih-podatkov/.

V upanju, da ste dobili odgovor na svoje vprašanje, vas lepo pozdravljamo.

Mojca Prelesnik, univ. dipl. prav.,

informacijska pooblaščenka