Dostop do zbirke vseh zbirk
+ -Številka: 07121-1/2024/534
Kategorije: Informiranje posameznika, Pravica do seznanitve z lastnimi osebnimi podatki, Register zbirk osebnih podatkov
Informacijski pooblaščenec (v nadaljevanju: IP) je po e-pošti prejel vaše zaprosilo za mnenje. Prosite nas za informacijo, kdo in kje hrani zbirko vseh zbirk oz. register vseh registrov vseh obdelovalcev v RS; ali se v tej zbirki vodi tudi register držav, kjer se lahko nahajajo osebni podatki posameznika; ali se lahko iz te zbirke pridobi podatek, v katerih registrih se zbirajo osebni podatki posameznika in ali obstaja obrazec za pridobitev teh informacij. Podatek potrebujete, da bi se celostno seznanili s svojimi zdravstvenimi in drugimi osebnimi podatki. Menite, da bo odgovor prinesel veliko dobrobit posamezniku, IP pa tudi visoko renomiran sistemski položaj v njegovih aktivnostih na ravni EU v pridruženosti usklajeni akciji sodelovanja 2024 na temo pravice do dostopa do lastnih osebnih podatkov.
* * *
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.
Za vsako obdelavo osebnih podatkov, kakor tudi za povezovanje evidenc, mora obstajati ustrezna pravna podlaga. T.i. »zbirka zbirk«, ki bi npr. vsebovala podatek, v katerih konkretnih zbirkah se vodijo osebni podatki določenega posameznika, ne obstaja.
Posameznik lahko skladno s Splošno uredbo sam uveljavlja pravico do seznanitve (dostopa) pri upravljavcih, za katere meni, da obdelujejo njegove osebne podatke. V kolikor bi bila vaša zahteva za seznanitev z lastnimi osebnimi podatki zavrnjena ali upravljavec nanjo ne bi odgovoril v enomesečnem roku, lahko pri IP podate pritožbo.
O b r a z l o ž i t e v:
Uvodoma poudarjamo, da IP izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka konkretnih obdelav osebnih podatkov ne more presojati. V okviru nezavezujočega mnenja vam lahko podamo zgolj splošna pojasnila in priporočila.
Pojasnjujemo, da mora biti za vsako obdelavo osebnih podatkov podana ustrezna pravna podlaga za obdelavo osebnih podatkov skladno s prvim odstavkom 6. člena Splošne uredbe. Vsak upravljavec vam mora, že preden mu posredujete svoje podatke, podati informacije o obdelavi osebnih podatkov po 13. členu Splošne uredbe (npr. glede namena in pravne podlage za obdelavo, roka hrambe, itd.), oz. lahko pri njemu uveljavljate pravico dostopa, kot je pojasnjeno v nadaljevanju. Zbirka vseh zbirk, ki bi vključevala npr. podatke o vseh zbirkah, v katerih se obdelujejo vaši podatki, ne obstaja. Skladno s 27. členom prej veljavnega ZVOP-1 so upravljavci morali pred vzpostavitvijo zbirke osebnih podatkov IP sporočiti nekatere informacije iz kataloga zbirke osebnih podatkov v register zbirk pri IP. IP je te informacije objavil na svoji spletni strani. Ta obveznost po novem ZVOP-2 več ne obstaja. Poudarjamo pa, da je bilo v tej zbirki mogoče razbrati npr. kategorije posameznikov, na katere se nanašajo osebni podatki, vrste osebnih podatkov v zbirki osebnih podatkov in namen obdelave – in ne konkretno informacijo, kateri upravljavci konkretno obdelujejo vaše osebne podatke. Več o tem lahko preberete na: https://www.ip-rs.si/varstvo-osebnih-podatkov/register-zbirk.
Prav tako opozarjamo, da mora obstajati pravna podlaga tudi za morebitno povezovanje evidenc, pri tem npr. 87. člen ZVOP-2 izrecno določa, da mora povezovanje določenih zbirk osebnih podatkov javnega sektorja (npr. iz uradnih evidenc in javnih knjig, kjer se obdelujejo posebne vrste osebnih podatkov, osebni podatki v zvezi s kazenskimi obsodbami in prekrški, itd.) določati zakon. Pri tem mora zakon določati tudi vrste osebnih podatkov, ki se lahko povezujejo, kategorije posameznikov, na katere se nanašajo osebni podatki, namen njihove obdelave in rok hrambe. Upravljavci so skladno z 87. členom ZVOP-2 zavezani izdelati tudi oceno učinka in se posvetovati z IP.
Če ste imeli v mislih zbirko vseh zbirk, ki bi vključevala vse vaše osebne podatke, lahko razmišljanje IP o nevarnosti obstoja take zbirke preberete v smernicah IP Varstvo osebnih podatkov pri povezovanju zbirk osebnih podatkov v javni upravi na str. 6: https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Varstvo_osebnih_podatkov_pri_povezovanju_zbirk_osebnih_podatkov_v_javni_upravi.pdf. Ob tem opozarjamo, da vsebina smernic glede pogojev za povezovanje zbirk v javnem sektorju ni posodobljena skladno z ZVOP-2. Več informacij o tem lahko preberete na spletni strani IP: https://www.ip-rs.si/varstvo-osebnih-podatkov/obveznosti-upravljavcev/povezava-zbirk-osebnih-podatkov
Pojasnjujemo, da ima posameznik pravico do seznanitve z lastnimi osebnimi podatki skladno s Splošno uredbo, ki je opredeljena v 15. členu Splošne uredbe in jo lahko uveljavlja pri upravljavcih, za katere meni, da obdelujejo njegove osebne podatke (npr. vaš zdravnik, v kolikor gre za vaše zdravstvene osebne podatke, itd.).
Prvi odstavek 15. člena Splošne uredbe tako določa, da ima posameznik, na katerega se nanašajo osebni podatki, pravico od upravljavca dobiti potrditev, ali se v zvezi z njim obdelujejo osebni podatki, in kadar je temu tako, dostop do osebnih podatkov ter naslednje informacije:
- namene obdelave;
- vrste zadevnih osebnih podatkov;
- uporabnike ali kategorije uporabnika, ki so jim bili ali jim bodo razkriti osebni podatki, zlasti uporabnike v tretjih državah ali mednarodnih organizacijah;
- kadar je mogoče, predvideno obdobje hrambe osebnih podatkov ali, če to ni mogoče, merila, ki se uporabijo za določitev tega obdobja;
- obstoj pravice, da se od upravljavca zahteva popravek ali izbris osebnih podatkov ali omejitev obdelave osebnih podatkov v zvezi s posameznikom, na katerega se nanašajo osebni podatki, ali obstoj pravice do ugovora taki obdelavi;
- pravico do vložitve pritožbe pri nadzornem organu;
- kadar osebni podatki niso zbrani pri posamezniku, na katerega se ti nanašajo, vse razpoložljive informacije v zvezi z njihovim virom;
- obstoj avtomatiziranega sprejemanja odločitev, vključno z oblikovanjem profilov iz prvega in četrtega odstavka 22. člena, ter vsaj v takih primerih smiselne informacije o razlogih zanj, kot tudi pomen in predvidene posledice take obdelave za posameznika, na katerega se nanašajo osebni podatki.
Skladno s tretjim odstavkom 15. člena Splošne uredbe mora upravljavec posamezniku, na katerega se nanašajo osebni podatki, zagotoviti tudi kopijo osebnih podatkov, ki jih obdeluje.
Obrazec, ki ga lahko uporabite pri uveljavljanju svoje pravice je dostopen na https://www.ip-rs.si/obrazci/varstvo-osebnih-podatkov/ (Zahteva za seznanitev z lastnimi osebnimi podatki - obrazec SLOP). V kolikor bi bila vaša zahteva za seznanitev z lastnimi osebnimi podatki zavrnjena ali upravljavec nanjo ne bi odgovoril v enomesečnem roku, lahko pri IP podate pritožbo.
Več informacij o pravici do seznanitve z lastnimi osebnimi podatki in glede njenega uveljavljanja je dostopnih tudi na naši spletni strani: https://tiodlocas.si/zelim-vedeti-kaj-pocnejo-z-mojimi-podatki/.
V zvezi z sodelovanjem IP v usklajeni akciji sodelovanja na temo pravice dostopa do lastnih osebnih podatkov v okviru Evropskega odbora za varstvo podatkov (EOVP), pojasnjujemo, da je namen usklajene akcije analizirati stanje v zvezi z uveljavljanjem pravice dostopa pri upravljavcih. IP je v ta namen pripravil vprašalnik, ki je bil predhodno usklajen na ravni EOVP in ga je poslal številnim upravljavcem. Na podlagi analize vseh rezultatov, ki jih bodo posredovale članice EOVP, se bo na ravni EOVP pripravilo skupno poročilo, ki bo izkazalo stanje pri upravljavcih, priporočila zanje in predloge, s katerimi aktivnostmi bi upravljavcem lahko EOVP in posamezni organi za varstvo podatkov dodatno pomagali pri usklajenosti z zahtevami Splošne uredbe, npr. z izvedbo različnih preventivnih aktivnosti. Več o usklajeni akciji lahko preberete v objavi IP: https://www.ip-rs.si/novice/ip-za%C4%8Denja-usklajeno-akcijo-sodelovanja-2024-na-temo-pravice-do-dostopa-do-lastnih-osebnih-podatkov-1710416544.
V upanju, da vam bodo naša napotila v pomoč, vas lepo pozdravljamo.
Mojca Prelesnik, univ. dipl. prav.,
informacijska pooblaščenka
Pripravila:
Barbara Žurej, univ. dipl. prav.,
svetovalka pooblaščenca za preventivo