Pravica do seznanitve
+ -Številka: 07121-1/2024/561
Kategorije: Pravica do seznanitve z lastnimi osebnimi podatki
Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede obdelave vaših osebnih podatkov.
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZUstS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.
Splošna uredba pravico do dostopa oziroma do seznanitve z lastnimi osebnimi podatki ureja v 15. členu.
Posameznik, na katerega se nanašajo osebni podatki, ima tako pravico od upravljavca dobiti potrditev, ali se v zvezi z njim obdelujejo osebni podatki, in kadar je temu tako, dostop do osebnih podatkov in določene informacije.
O b r a z l o ž i t e v:
IP uvodoma poudarja, da lahko podaja neobvezujoča mnenja in pojasnila, ne sme pa izven konkretnih nadzornih ali drugih postopkov preverjati primernosti izbrane pravne podlage ali namenov oziroma obsega obdelave osebnih podatkov v konkretnem primeru.
IP splošno pojasnjuje, da je treba za vsako obdelavo osebnih podatkov najprej zagotoviti ustrezno pravno podlago. V skladu s prvim odstavkom 6. člena Splošne uredbe je obdelava tako zakonita le in kolikor je za konkretni namen obdelave in konkretne osebne podatke izpolnjen eden od naslednjih pogojev:
a) posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;
b) obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;
c) obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;
d) obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;
e) obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;
f) obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.
IP nadalje pojasnjuje, da Splošna uredba v 15. členu ureja pravico do dostopa oziroma do seznanitve z lastnimi osebnimi podatki. Tako v prvem odstavku določa, da ima posameznik, na katerega se nanašajo osebni podatki, pravico od upravljavca dobiti potrditev, ali se v zvezi z njim obdelujejo osebni podatki, in kadar je temu tako, dostop do osebnih podatkov in naslednje informacije:
a) namene obdelave;
b) vrste zadevnih osebnih podatkov;
c) uporabnike ali kategorije uporabnika, ki so jim bili ali jim bodo razkriti osebni podatki, zlasti uporabnike v tretjih državah ali mednarodnih organizacija;
d) kadar je mogoče, predvideno obdobje hrambe osebnih podatkov ali, če to ni mogoče, merila, ki se uporabijo za določitev tega obdobja;
e) obstoj pravice, da se od upravljavca zahteva popravek ali izbris osebnih podatkov ali omejitev obdelave osebnih podatkov v zvezi s posameznikom, na katerega se nanašajo osebni podatki, ali obstoj pravice do ugovora taki obdelavi;
f) pravico do vložitve pritožbe pri nadzornem organu;
g) kadar osebni podatki niso zbrani pri posamezniku, na katerega se ti nanašajo, vse razpoložljive informacije v zvezi z njihovim virom;
h) obstoj avtomatiziranega sprejemanja odločitev, vključno z oblikovanjem profilov iz člena 22(1) in (4) Splošne uredbe (EU) o varstvu podatkov, ter vsaj v takih primerih smiselne informacije o razlogih zanj, kot tudi pomen in predvidene posledice take obdelave za posameznika, na katerega se nanašajo osebni podatki.
Zahteva se vloži pri upravljavcu, za katerega posameznik meni, da obdeluje njegove osebne podatke (v konkretnem primeru podjetje iz Italije). IP vam svetuje, da pri konkretnem upravljavcu podate zahtevo za seznanitev z lastnimi osebnimi podatki in počakate na njihov odgovor oziroma na potek roka za odgovor. IP svetuje tudi, da v zahtevi čim bolj natančno opredelite, kaj v zvezi z vašimi osebnimi podatki vas posebej zanima (na podlagi vašega zaprosila za mnenje IP sklepa, da je to zlasti pravna podlaga za obdelavo vaših osebnih podatkov). Zoper molk upravljavca ali zoper njegov zavrnilni odgovor je mogoča pritožba pristojnemu nadzornemu organu za varstvo podatkov. Za podrobnejše informacije v zvezi z navedeno pravico in kako jo uveljavljati, vas napotujemo na našo spletno stran, kjer lahko najdete tudi (neobvezujoč) obrazec zahteve:
Iz informacij upravljavca, ki jih boste pridobili na podlagi 15. člena Splošne uredbe, naj bi bilo razvidno, ali se vaše osebne podatke obdeluje na zakoniti pravni podlagi ali ne.
IP povzema, da je za vsako obdelavo osebnih podatkov treba torej najprej zagotoviti ustrezno pravno podlago. Izbor ustrezne pravne podlage za posamezno obdelavo je stvar ocene konkretnih okoliščin, odgovornost za izbiro pa nosi upravljavec. Prav tako mora upravljavec poskrbeti za ustrezno zavarovanje osebnih podatkov v skladu s 24. in 32. členom Splošne uredbe in jih obdelovati v skladu s temeljnimi načeli varstva osebnih podatkov.
Lepo vas pozdravljamo.
Pripravil:
Matej Sironič,
Svetovalec pooblaščenca
za varstvo osebnih podatkov
Mojca Prelesnik, univ. dipl. prav.,
Informacijska pooblaščenka