Informacije o obdelavi osebnih podatkov
+ -Številka: 07121-1/2024/448
Kategorije: Delovna razmerja, Pravica do seznanitve z lastnimi osebnimi podatki
Informacijski pooblaščenec (v nadaljevanju IP) je po elektronski pošti prejel vaše vprašanje o konkretnem členu, ki posameznikom omogoča, da od upravljavca pridobijo informacije o obdelavi njihovih osebnih podatkov (npr. informacije o tem, kaj podjetja počnejo z vašimi CV-ji?).
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše nezavezujoče mnenje v zvezi z vašim vprašanjem.
Vsak upravljavec osebnih podatkov je dolžan posameznike obvestiti (pred samo obdelavo) z informacijami glede obdelave njihovih osebnih podatkov, med drugim tudi glede namena obdelave ter obdobja do katerega bo osebne podatke hranil.
Posameznik ima vzporedno tudi pravico od upravljavca zahtevati seznanitev z lastnimi osebnimi podatki ter z informacijami kot so namen obdelave; vrste obdelave, obdobje hrambe osebnih podatkov; vir informacij itd. Dodatne informacije, pogoje in rok za odločitev lahko razberete iz mnenja spodaj.
Če posameznik meni, da so mu bile kršene pravice varstva osebnih podatkov (npr. do seznanitve z lastnimi osebnimi podatki ali do ustrezne obveščenosti glede obdelave osebnih podatkov) lahko pri IP vloži prijavo.
O b r a z l o ž i t e v:
IP uvodoma izpostavlja, da v okviru mnenja ne sme presojati, ali mora upravljavec v konkretnem primeru vaši zahtevi ugoditi, oziroma mu predlagati, kakšno odločitev naj sprejme, saj nastopa v zvezi z uveljavljanjem pravic po Splošni uredbi kot pritožbeni organ in bi s tem lahko prejudiciral svojo odločitev v morebitnem kasnejšem nadzornem postopku. V nadaljevanju vam zato v zvezi s konkretnimi vprašanji izven nadzornega postopka le neformalno svetujemo, na podlagi naše dosedanje prakse.
Vsak upravljavec osebnih podatkov je dolžan skladno s 13. členom (kadar se osebni podatki pridobijo od posameznika, na katerega se nanašajo) oz. 14. členom Splošne uredbe (kadar se osebni podatki pridobijo ne pridobijo od posameznika, na katerega se nanašajo) posameznike obvestiti (pred samo obdelavo) o informacijah glede obdelave osebnih podatkov, kar je izredno pomemben vendar žal (pre)pogosto zapostavljen vidik vsake obdelave osebnih podatkov.
V zvezi s tem, je skladno z določbo 13. člena Splošne uredbe, upravljavec dolžan v primeru, kadar so bili osebni podatki pridobljeni od posameznika, na katerega se ti nanašajo, le-temu takrat, ko pridobi osebne podatke, zagotoviti naslednje informacije:
(a) identiteto in kontaktne podatke upravljavca in njegovega predstavnika, kadar ta obstaja;
(b) kontaktne podatke pooblaščene osebe za varstvo podatkov, kadar ta obstaja;
(c) namene, za katere se osebni podatki obdelujejo, kakor tudi pravno podlago za njihovo obdelavo;
(d) kadar obdelava temelji na točki (f) člena 6(1), zakonite interese, za uveljavljanje katerih si prizadeva upravljavec ali tretja oseba;
(e) uporabnike ali kategorije uporabnikov osebnih podatkov, kadar obstajajo;
(f) kadar je ustrezno, informacije o tem, da namerava upravljavec prenesti osebne podatke uporabniku v tretji državi ali mednarodni organizaciji, ter o obstoju ali neobstoju sklepa Komisije o ustreznosti ali v primeru prenosov iz člena 46 ali 47 ali drugega pododstavka člena 49(1) sklic na ustrezne ali primerne zaščitne ukrepe in sredstva za pridobitev njihove kopije ali kje so na voljo;
Poleg navedenih informacij (iz prvega odstavka) upravljavec takrat, ko pridobi osebne podatke posamezniku, na katerega se ti nanašajo, zagotovi naslednje dodatne informacije, ki so potrebne za zagotovitev poštene in pregledne obdelave:
(a) obdobje hrambe osebnih podatkov ali, kadar to ni mogoče, merila, ki se uporabijo za določitev tega obdobja;
(b) obstoj pravice, da se od upravljavca zahtevajo dostop do osebnih podatkov in popravek ali izbris osebnih podatkov ali omejitev obdelave v zvezi s posameznikom, na katerega se nanašajo osebni podatki, ali obstoj pravice do ugovora obdelavi in pravice do prenosljivosti podatkov;
(c) kadar obdelava temelji na točki (a) člena 6(1) ali točki (a) člena 9(2), obstoj pravice, da se lahko privolitev kadar koli prekliče, ne da bi to vplivalo na zakonitost obdelave podatkov, ki se je na podlagi privolitve izvajala do njenega preklica;
(d) pravico do vložitve pritožbe pri nadzornem organu,
(e) ali je zagotovitev osebnih podatkov statutarna ali pogodbena obveznost ali pa obveznost, ki je potrebna za sklenitev pogodbe, ter ali mora posameznik, na katerega se nanašajo osebni podatki, zagotoviti osebne podatke ter kakšne so morebitne posledice, če se tki podatki ne zagotovijo ter
(f) obstoj avtomatiziranega sprejemanja odločitev, vključno z oblikovanjem profilov iz člena 22(1) in (4), ter vsaj v takih primerih smiselne informacije o razlogih zanj, kot tudi pomen in predvidene posledice take obdelave za posameznika, na katerega se nanašajo osebni podatki.
Podobno tudi 14. člen Splošne uredbe določa informacije, ki jih je treba zagotoviti posamezniku, na katerega se nanašajo osebni podatki, kadar osebni podatki niso bili pridobljeni s strani posameznika. V tem primeru mora upravljavec posamezniku (poleg zgoraj navedenih informacij) zagotoviti tudi podatek o vrstah zadevnih osebnih podatkov, ki se obdelujejo ter od kje izvirajo osebni podatki in po potrebi, ali izvirajo iz javno dostopnih virov.
Način konkretnega obveščanja posameznikov določi upravljavec, pri čemer je treba upoštevati prvi odstavek 12. člena Splošne uredbe. Informacije morajo biti posamezniku predstavljene v jedrnati, pregledni, razumljivi in lahko dostopni obliki ter v jasnem in preprostem jeziku, kar velja zlasti za vse informacije, namenjene posebej otroku. Informacije se posredujejo v pisni obliki ali z drugimi sredstvi, vključno, kjer je ustrezno z elektronskimi sredstvi. Pri presoji, kako podati informacije posameznikom, mora upravljavec upoštevati tudi načelo zakonitosti, poštenosti in preglednosti (točka (a) prvega odstavka 5. člena Splošne uredbe) skladno s katerim morajo biti osebni podatki obdelani zakonito, pošteno in na pregleden način v zvezi s posameznikom, na katerega se osebni podatki nanašajo. IP zato priporoča, da upravljavec izbere tak način obveščanja posameznika, ki je za konkretno obdelavo najbolj primeren zlasti upoštevaje naravo razmerja in načine komuniciranja, ki ga ima upravljavec s posamezniki, katerih podatke obdeluje (npr. preko obvestila v papirni obliki, e-poštno sporočilo, spletno obvestilo, oz. drug učinkovit način obveščanja).
Glavni namen ustreznega obveščanja posameznikov pred samo obdelavo osebnih podatkov je posameznikom zagotoviti dejansko možnost izbire, ali bodo svoje osebne podatke upravljavcu posredovali ali ne oz. v primerih, ko je obdelava osebnih podatkov potrebna zaradi izpolnjevanja zakonskih obveznosti pa vsaj seznanitev, kako in zakaj se njihove osebne podatke obdeluje. Obveščanje posameznikov vključuje zlasti informacije o tem katere osebne podatke se obdeluje; pravni podlagi za obdelavo osebnih podatkov; namenih te obdelave; trajanju in hrambi osebnih podatkov ter drugih ključnih informacijah pomembnih za posameznikovo možnost odločanja o posredovanju.
Če ste osebne podatke upravljavcu že posredovali poudarjamo, da ima vsak posameznik tudi pravico do seznanitve z lastnimi osebnimi podatki skladno s Splošno uredbo, ki je opredeljena v 15. členu Splošne uredbe.
Prvi odstavek člena 15 Splošne uredbe določa, da ima vsak posameznik, na katerega se nanašajo osebni podatki, pravico od upravljavca dobiti potrditev, ali se v zvezi z njim obdelujejo osebni podatki, in kadar je temu tako, dostop do osebnih podatkov in naslednje informacije:
· namene obdelave (zakaj potrebuje vaše podatke oz. kaj bo z njimi počel);
· vrste zadevnih osebnih podatkov (katere podatke obdeluje);
· uporabnike ali kategorije uporabnika, ki so jim bili ali jim bodo razkriti osebni podatki, zlasti uporabnike v tretjih državah ali mednarodnih organizacijah (kdo vse je oz. bo do vaših podatkov dostopal);
· kadar je mogoče, predvideno obdobje hrambe osebnih podatkov ali, če to ni mogoče, merila, ki se uporabijo za določitev tega obdobja;
· obstoj pravice, da se od upravljavca zahteva popravek ali izbris osebnih podatkov ali omejitev obdelave osebnih podatkov v zvezi s posameznikom, na katerega se nanašajo osebni podatki, ali obstoj pravice do ugovora taki obdelavi;
· pravico do vložitve pritožbe pri nadzornem organu;
· kadar osebni podatki niso zbrani pri posamezniku, na katerega se ti nanašajo, vse razpoložljive informacije v zvezi z njihovim virom;
· obstoj avtomatiziranega sprejemanja odločitev, vključno z oblikovanjem profilov ter vsaj v takih primerih smiselne informacije o razlogih zanj, kot tudi pomen in predvidene posledice take obdelave za posameznika, na katerega se nanašajo osebni podatki.
Upravljavec se mora na podano zahtevo odzvati brez nepotrebnega odlašanja in mora v vsakem primeru posredovati informacije oziroma zavrnilni odgovor v enem mesecu po prejemu zahteve. Ta rok se lahko po potrebi podaljša za največ dva dodatna meseca ob upoštevanju kompleksnosti in števila zahtev (tretji odstavek 12 člena Splošne uredbe). Posredovanje zahtevanih osebnih podatkov in informacij se praviloma mora zagotoviti brezplačno.
Če upravljavec na zahtevo za seznanitev ne odgovori v enomesečnem roku, lahko posameznik pri IP kot pritožbenem organu vloži pritožbo. Pritožba pri IP je mogoča tudi zoper zavrnilni odgovor upravljavca, vložiti pa jo je treba v roku 15 dneh od prejema zavrnilnega odgovora upravljavca.
Več informacij o pravici do seznanitve lahko pridobite na spletnih straneh: https://tiodlocas.si/zelim-vedeti-kaj-pocnejo-z-mojimi-podatki/ in https://tiodlocas.si/kako-uveljavim-svoje-pravice/.
Če glede na naša pojasnila menite, da so vam bile kršene vaše pravice (npr. do seznanitve z lastnimi osebnimi podatki ali do ustrezne obveščenosti glede obdelave) v zvezi z varstvom osebnih podatkov, lahko pri IP vložite prijavo po elektronski pošti na naslov gp.ip@ip-rs.si oz. po navadni pošti na naslov: Informacijski pooblaščenec, Dunajska cesta 22, 1000 Ljubljana. Pomagate si lahko tudi z obrazcem, ki je dostopen na spletni strani IP: https://www.ip-rs.si/varstvo-osebnih-podatkov/pravice-posameznika/vlozitev-prijave
V upanju, da ste dobili odgovor na svoje vprašanje, vas lepo pozdravljamo.
Pripravil:
Grega Rudolf,
asistent svetovalca pri IP
Mojca Prelesnik, univ.dipl.prav.,
informacijska pooblaščenka