Informacije o obdelavi osebnih podatkov
+ -Številka: 07121-1/2023/1061
Kategorije: Informiranje posameznika
Informacijski pooblaščenec (v nadaljevanju IP) je po elektronski pošti prejel vaš dopis, v katerem vas zanima, kaj morate imeti obešeno v čakalnici zobne ambulante glede informacij o obdelavi osebnih podatkov glede na določbe Splošne uredbe o varstvu podatkov.
***
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše nezavezujoče mnenje v zvezi z vašim vprašanjem.
Upravljavci osebnih podatkov imajo dolžnost obveščanja posameznikov o obdelavi njihovih osebnih podatkov, kar je izredno pomemben vendar žal (pre)pogosto zapostavljen vidik vsake obdelave osebnih podatkov.
Informacije o obdelavi osebnih podatkov morajo biti posameznikom dane že pred samo obdelavo in sicer v jedrnati, pregledni, razumljivi in lahko dostopni obliki ter v jasnem in preprostem jeziku.
O b r a z l o ž i t e v:
IP uvodoma poudarja, da lahko podaja nezavezujoča mnenja in pojasnila, ne sme pa namesto upravljavca v konkretnem primeru določati, katere konkretne informacije bi moral podati posameznikom in na kakšen način, da bi bili posamezniki ustrezno informirani o obdelavi njihovih osebnih podatkov in da bi upravljavec zadostil 13. in 14. členu Splošne uredbe. Ustrezna informiranost posameznikov o obdelavi osebnih podatkov je namreč odgovornost in naloga izključno vas kot upravljavca osebnih podatkov.
IP zgolj poudarja, da je upravljavec osebnih podatkov dolžan skladno s 13. členom (kadar se osebni podatki pridobijo od posameznika, na katerega se nanašajo) oz. 14. členom Splošne uredbe (kadar se osebni podatki pridobijo ne pridobijo od posameznika, na katerega se nanašajo) posameznike obvestiti (pred samo obdelavo) o informacijah glede obdelave osebnih podatkov, kar je izredno pomemben vendar žal (pre)pogosto zapostavljen vidik vsake obdelave osebnih podatkov.
V zvezi s tem, je skladno z določbo 13. člena Splošne uredbe upravljavec dolžan v primeru, kadar so bili osebni podatki pridobljeni od posameznika, na katerega se ti nanašajo, le-temu takrat, ko pridobi osebne podatke, zagotoviti naslednje informacije:
(a) identiteto in kontaktne podatke upravljavca in njegovega predstavnika, kadar ta obstaja;
(b) kontaktne podatke pooblaščene osebe za varstvo podatkov, kadar ta obstaja;
(c) namene, za katere se osebni podatki obdelujejo, kakor tudi pravno podlago za njihovo obdelavo;
(d) kadar obdelava temelji na točki (f) člena 6(1), zakonite interese, za uveljavljanje katerih si prizadeva upravljavec ali tretja oseba;
(e) uporabnike ali kategorije uporabnikov osebnih podatkov, kadar obstajajo;
(f) kadar je ustrezno, informacije o tem, da namerava upravljavec prenesti osebne podatke uporabniku v tretji državi ali mednarodni organizaciji, ter o obstoju ali neobstoju sklepa Komisije o ustreznosti ali v primeru prenosov iz člena 46 ali 47 ali drugega pododstavka člena 49(1) sklic na ustrezne ali primerne zaščitne ukrepe in sredstva za pridobitev njihove kopije ali kje so na voljo;
Poleg navedenih informacij (iz prvega odstavka) upravljavec takrat, ko pridobi osebne podatke posamezniku, na katerega se ti nanašajo, zagotovi naslednje dodatne informacije, ki so potrebne za zagotovitev poštene in pregledne obdelave:
(a) obdobje hrambe osebnih podatkov ali, kadar to ni mogoče, merila, ki se uporabijo za določitev tega obdobja;
(b) obstoj pravice, da se od upravljavca zahtevajo dostop do osebnih podatkov in popravek ali izbris osebnih podatkov ali omejitev obdelave v zvezi s posameznikom, na katerega se nanašajo osebni podatki, ali obstoj pravice do ugovora obdelavi in pravice do prenosljivosti podatkov;
(c) kadar obdelava temelji na točki (a) člena 6(1) ali točki (a) člena 9(2), obstoj pravice, da se lahko privolitev kadar koli prekliče, ne da bi to vplivalo na zakonitost obdelave podatkov, ki se je na podlagi privolitve izvajala do njenega preklica;
(d) pravico do vložitve pritožbe pri nadzornem organu,
(e) ali je zagotovitev osebnih podatkov statutarna ali pogodbena obveznost ali pa obveznost, ki je potrebna za sklenitev pogodbe, ter ali mora posameznik, na katerega se nanašajo osebni podatki, zagotoviti osebne podatke ter kakšne so morebitne posledice, če se tki podatki ne zagotovijo ter
(f) obstoj avtomatiziranega sprejemanja odločitev, vključno z oblikovanjem profilov iz člena 22(1) in (4), ter vsaj v takih primerih smiselne informacije o razlogih zanj, kot tudi pomen in predvidene posledice take obdelave za posameznika, na katerega se nanašajo osebni podatki.
Podobno tudi 14. člen Splošne uredbe določa informacije, ki jih je treba zagotoviti posamezniku, na katerega se nanašajo osebni podatki, kadar osebni podatki niso bili pridobljeni s strani posameznika. V tem primeru mora upravljavec posamezniku (poleg zgoraj navedenih informacij) zagotoviti tudi podatek o vrstah zadevnih osebnih podatkov, ki se obdelujejo ter od kje izvirajo osebni podatki in po potrebi, ali izvirajo iz javno dostopnih virov.
Način konkretnega obveščanja posameznikov določi upravljavec, pri čemer je treba upoštevati prvi odstavek 12. člena Splošne uredbe. Informacije morajo biti posamezniku predstavljene v jedrnati, pregledni, razumljivi in lahko dostopni obliki ter v jasnem in preprostem jeziku, kar velja zlasti za vse informacije, namenjene posebej otroku. Informacije se posredujejo v pisni obliki ali z drugimi sredstvi, vključno, kjer je ustrezno z elektronskimi sredstvi. Pri presoji, kako podati informacije posameznikom, mora upravljavec upoštevati tudi načelo zakonitosti, poštenosti in preglednosti (točka (a) prvega odstavka 5. člena Splošne uredbe) skladno s katerim morajo biti osebni podatki obdelani zakonito, pošteno in na pregleden način v zvezi s posameznikom, na katerega se osebni podatki nanašajo. IP zato priporoča, da upravljavec izbere tak način obveščanja posameznika, ki je za konkretno obdelavo najbolj primeren zlasti upoštevaje naravo razmerja in načine komuniciranja, ki ga ima upravljavec s posamezniki, katerih podatke obdeluje (npr. preko obvestila v papirni obliki, e-poštno sporočilo, spletno obvestilo, oz. drug učinkovit način obveščanja).
IP je za pomoč upravljavcem pri obveščanju posameznikov glede obdelave osebnih podatkov pripravil tudi vzorca obvestil, ki sta dostopna na spletni strani IP:
Vzorec obvestila posameznikom glede obdelave osebnih podatkov (13. člen Splošne uredbe);
Vzorec obvestila posameznikom glede obdelave osebnih podatkov (14. člen Splošne uredbe).
IP predlaga, da si preberete tudi vsebino na naši spletni strani, kjer sistematično in obširno pojasnjujemo dolžnost obveščanja posameznikov o obdelavi osebnih podatkov: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/ključna-področja-uredbe/obveščanje-posameznikov-o-obdelavi-osebnih-podatkov
V upanju, da ste dobili odgovor na svoje vprašanje, vas lepo pozdravljamo.
Pripravil:
Grega Rudolf,
asistent svetovalca pri IP
Mojca Prelesnik, univ.dipl.prav.,
informacijska pooblaščenka