Posredovanje podatkov o notranjih uporabnikih
+ -Številka: 07121-1/2023/703
Kategorije: Pravica do seznanitve z lastnimi osebnimi podatki
Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede posredovanja podatkov prosilcu.
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZUstS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.
Pravica do seznanitve z lastnimi osebnimi podatki iz 15. člena Splošne uredbe posamezniku ne omogoča tudi pravice do pridobitve podatka o zaposlenih osebah pri upravljavcu, ki so vpogledovale ali drugače obdelovale osebne podatke posameznika.
O b r a z l o ž i t e v:
IP uvodoma splošno pojasnjuje, da Splošna uredba pravico do dostopa oziroma do seznanitve z lastnimi osebnimi podatki ureja v 15. členu, ki v prvem odstavku določa, da ima posameznik, na katerega se nanašajo osebni podatki, pravico od upravljavca dobiti potrditev, ali se v zvezi z njim obdelujejo osebni podatki, in kadar je temu tako, dostop do osebnih podatkov in naslednje informacije:
a) namene obdelave;
b) vrste zadevnih osebnih podatkov;
c) uporabnike ali kategorije uporabnika, ki so jim bili ali jim bodo razkriti osebni podatki, zlasti uporabnike v tretjih državah ali mednarodnih organizacija;
d) kadar je mogoče, predvideno obdobje hrambe osebnih podatkov ali, če to ni mogoče, merila, ki se uporabijo za določitev tega obdobja;
e) obstoj pravice, da se od upravljavca zahteva popravek ali izbris osebnih podatkov ali omejitev obdelave osebnih podatkov v zvezi s posameznikom, na katerega se nanašajo osebni podatki, ali obstoj pravice do ugovora taki obdelavi;
f) pravico do vložitve pritožbe pri nadzornem organu;
g) kadar osebni podatki niso zbrani pri posamezniku, na katerega se ti nanašajo, vse razpoložljive informacije v zvezi z njihovim virom;
h) obstoj avtomatiziranega sprejemanja odločitev, vključno z oblikovanjem profilov iz člena 22(1) in (4) Splošne uredbe (EU) o varstvu podatkov, ter vsaj v takih primerih smiselne informacije o razlogih zanj, kot tudi pomen in predvidene posledice take obdelave za posameznika, na katerega se nanašajo osebni podatki.
Skladno s tretjim odstavkom 15. člena Splošne uredbe mora upravljavec posamezniku, na katerega se nanašajo osebni podatki, zagotoviti kopijo osebnih podatkov, ki jih obdeluje.
Zahteva za seznanitev z lastnimi osebnimi podatki se vloži pri upravljavcu, za katerega posameznik meni, da obdeluje njegove osebne podatke. Upravljavec se mora na podano zahtevo za seznanitev z osebnimi podatki odzvati brez nepotrebnega odlašanja in v vsakem primeru posredovati informacije oziroma zavrnilni odgovor v enem mesecu po prejemu zahteve. IP dodaja, da se ta rok lahko po potrebi podaljša za največ dva dodatna meseca ob upoštevanju kompleksnosti in števila zahtev (tretji odstavek 12. člena Splošne uredbe). Upravljavec obvesti posameznika, na katerega se nanašajo osebni podatki, o vsakem takem podaljšanju v enem mesecu po prejemu zahteve skupaj z razlogi za zamudo. V kolikor upravljavec na zahtevo za seznanitev ne odgovori v roku, lahko posameznik pri IP kot pritožbenemu organu vloži pritožbo. Pritožba pri IP je mogoča tudi zoper zavrnilni odgovor upravljavca, vložiti pa jo je treba v 15 dneh od prejema zavrnilnega odgovora upravljavca.
IP ob tem pojasnjuje, da po mnenju IP pravica do seznanitve z lastnimi osebnimi podatki iz 15. člena Splošne uredbe posamezniku ne omogoča tudi pravice do pridobitve podatka o zaposlenih osebah pri upravljavcu, ki so vpogledovale ali drugače obdelovale osebne podatke posameznika. Zaposleni pri upravljavcu se namreč ne štejejo med uporabnike, glede katerih lahko posameznik prejme informacije o obdelavi podatkov. Do tega vprašanja se je IP podrobno opredelil v mnenju, ki je dostopno na spletni strani IP:
https://www.ip-rs.si/mnenja-gdpr/6048a38d416ea
Na podlagi zahteve za seznanitev z lastnimi osebnimi podatki po 15. členu Splošne uredbe tako ni mogoče pridobiti informacij o konkretnih osebah, ki so znotraj upravljavca (v konkretnem primeru znotraj vaše zbornice) obdelovale osebne podatke posameznika. Splošna uredba tako ne pokriva dostopa do informacij o notranjih vpogledih v osebne podatke in s tem t.i. notranje sledljivosti.
Lepo vas pozdravljamo.
Pripravil:
Matej Sironič,
Svetovalec pooblaščenca
za varstvo osebnih podatkov
Mojca Prelesnik, univ. dipl. prav.,
Informacijska pooblaščenka