Informacijski pooblaščenec Republika Slovenija
| sl | Iskalnik po spletni strani   Priredbe v znakovni jezik  
dekorativna slika

Seznanitev z vpogledi v TRR

+ -
Datum: 22.04.2025
Številka: 07121-1/2025/457
Kategorije: Pravica do seznanitve z lastnimi osebnimi podatki

Pri Informacijskem pooblaščencu (IP) smo 28. 3. 2025 prejeli vaše zaprosilo za mnenje glede zahteve za revizijsko sled (vpogledi v vaš TRR), ki ste jo podali na banko. Zanima vas, kakšni so roki za tovrstne postopke. 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Posameznik, na katerega se nanašajo osebni podatki, ima pravico od upravljavca dobiti potrditev, ali se v zvezi z njim obdelujejo osebni podatki, in kadar je temu tako, dostop do osebnih podatkov in nekatere določene informacije.

Ob tem opozarjamo, da pravica do seznanitve ne omogoča pridobitve podatka o identiteti konkretnih zaposlenih, ki so vpogledovali ali drugače obdelovali osebne podatke posameznika, saj se zaposleni pri upravljavcu ne štejejo med uporabnike, s katerimi bi se lahko posameznik seznanil. Zaposleni se kot uporabniki štejejo le v izjemnih primerih (npr. če bi zaposleni deloval izven okvira vodstva in navodil delodajalca).

Upravljavec se mora na podano zahtevo odzvati brez nepotrebnega odlašanja in v vsakem primeru posredovati informacije oziroma zavrnilni odgovor v enem mesecu od prejema zahteve. V primeru neodziva ali zavrnitve s strani upravljavca se lahko ponovno obrnete na IP in podate prijavo zoper molk oziroma odločitev upravljavca.

O b r a z l o ž i t e v:

Uvodoma pojasnjujemo, da je pravica posameznika do seznanitve z lastnimi osebnimi podatki temeljna človekova pravica, določena v tretjem odstavku 38. člena Ustave Republike Slovenije (Uradni list RS, št. 33/91-I, s sprem. in dop.; v nadaljevanju: Ustava RS), ki predpisuje, da se ima vsakdo pravico seznaniti z zbranimi osebnimi podatki, ki se nanašajo nanj. Ustavno določbo nadalje konkretizira 15. člen Splošne uredbe, ki določa, da ima posameznik, na katerega se nanašajo osebni podatki, pravico od upravljavca dobiti (1) potrditev, ali se v zvezi z njim obdelujejo osebni podatki, in kadar je temu tako, (2) dostop do osebnih podatkov in (3) naslednje informacije:

a)    namene obdelave;

b)    vrste zadevnih osebnih podatkov;

c)     uporabnike ali kategorije uporabnika, ki so jim bili ali jim bodo razkriti osebni podatki, zlasti uporabnike v tretjih državah ali mednarodnih organizacijah;

d)    kadar je mogoče, predvideno obdobje hrambe osebnih podatkov ali, če to ni mogoče, merila, ki se uporabijo za določitev tega obdobja;

e)    obstoj pravice, da se od upravljavca zahteva popravek ali izbris osebnih podatkov ali omejitev obdelave osebnih podatkov v zvezi s posameznikom, na katerega se nanašajo osebni podatki, ali obstoj pravice do ugovora taki obdelavi;

f)      pravico do vložitve pritožbe pri nadzornem organu;

g)    kadar osebni podatki niso zbrani pri posamezniku, na katerega se ti nanašajo, vse razpoložljive informacije v zvezi z njihovim virom;

h)    obstoj avtomatiziranega sprejemanja odločitev, vključno z oblikovanjem profilov iz člena 22(1) in (4), ter vsaj v takih primerih smiselne informacije o razlogih zanj, kot tudi pomen in predvidene posledice take obdelave za posameznika, na katerega se nanašajo osebni podatki.

Ob tem pa opozarjamo, da pravica ne omogoča tudi pridobitve podatka o konkretnih zaposlenih, ki so vpogledovali ali drugače obdelovali osebne podatke posameznika, saj se zaposleni pri upravljavcu ne štejejo med uporabnike, glede katerih lahko posameznik prejme informacije o obdelavi podatkov. Zaposleni namreč niso zunanje osebe, ki bi jim bili podatki razkriti, temveč so del upravljavca in so pooblaščeni za obdelavo osebnih podatkov, ki jo izvajajo pod neposrednim vodstvom upravljavca ali obdelovalca. Izjemoma bi se lahko posameznik seznanil z identiteto zaposlenih, če bi v konkretnem primeru zaposleni deloval izven okvira vodstva in navodil delodajalca (če bi torej prekoračil njegova navodila in s tem dejansko postal zunanji uporabnik) oziroma če bi bile informacije o identiteti zaposlenih nujne za učinkovito uveljavljanje pravic posameznika (zlasti za preverjanje zakonitosti) in hkrati podaja teh informacij ne bi negativno vplivala na pravice in svoboščine zaposlenih. Navedeno mora upravljavec (v vašem primeru torej banka) ugotavljati v konkretni situaciji glede na vse okoliščine.

Glede rokov pojasnjujemo, da se mora upravljavec po tretjem odstavku 12. člena Splošne uredbe na podano zahtevo odzvati brez nepotrebnega odlašanja in v vsakem primeru posredovati informacije oziroma zavrnilni odgovor v enem mesecu od prejema zahteve. Ta rok se lahko po potrebi podaljša za največ dva dodatna meseca ob upoštevanju kompleksnosti in števila zahtev. V primeru neodziva ali zavrnitve s strani upravljavca se lahko ponovno obrnete na IP in podate prijavo zoper molk oziroma odločitev upravljavca.

Lepo vas pozdravljamo.

 

dr. Jelena Virant Burnik,

informacijska pooblaščenka