Informacijski pooblaščenec Republika Slovenija
SLO | ENG

Inšpekcijski nadzor

+ -

Splošna uredba o varstvu podatkov (EU) načelno določa, da uredba varuje temeljne pravice in svoboščine posameznikov ter zlasti njihovo pravico do varstva osebnih podatkov. Pri tem Splošna uredba poudarja pomen posameznika. V uvodni določbi 4 je zapisano, da bi morala biti obdelava osebnih podatkov oblikovana tako, da služi ljudem. Namen varstva osebnih podatkov namreč ni varovanje osebnih podatkov kot takih, temveč varovanje pravic posameznika, na katerega se podatki nanašajo. 

Temeljni principi varstva osebnih podatkov so njegova načela, ki v prvi vrsti zahtevajo, da se podatki obdelujejo pošteno, pregledno in na zakoniti pravni podlagi. Dalje, da se podatke obdeluje le za določene, izrecne in zakonite namene in da se prepreči njihova nadaljnja obdelava, ki ni skladna z nameni zbiranja. Da se zbira le tiste podatke, ki so ustrezni, relevantni in omejeni na namena zbiranja, s čimer se prepreči zbiranje osebnih podatkov »na zalogo«. Da so zbrani podatki točni in ažurni in da niso hranjeni dalj, kot je potrebno za izpolnitev namena zbiranja. Zahteva se skrb za celovitost in dostopnost osebnih podatkov, ki sta stebra varnosti osebnih podatkov. Ključna novost, ki jo prinaša Splošna uredba je načelo odgovornosti (ang. accountability principle), ki nalaga dolžnost zavezancem, da so v vsakem trenutku sposobni izkazati, da osebne podatke obdelujejo skladno in izpolnjujejo vse zahteve, ki jih nalaga Splošna uredba ter nacionalni predpisi varstva osebnih podatkov.

Inšpekcijski nadzor IP izvaja po relevantnih določbah Zakona o varstvu osebnih podatkov, Splošne uredbe o varstvu podatkov in subisidarno na podlagi določb Zakona o inšpekcijskem nadzoru ter Zakona o splošnem upravnem postopku.

Obseg inšpekcijskega nadzora

V okviru inšpekcijskega nadzora državni nadzorni organ preverja skladnostno ravnanje zavezancev za varstvo osebnih podatkov, pri čemer nadzira zlasti:

  • zakonitost in preglednost obdelav osebnih podatkov;
  • ustreznost ukrepov varnosti osebnih podatkov ter izvajanje postopkov in ukrepov za zagotovitev varnosti osebnih podatkov po členu 32 Splošne uredbe;
  • izvajanje določb Splošne uredbe, ki urejajo posebne izraze načela odgovornosti (uradno obveščanje nadzornih organov in posameznikov o kršitvi varnosti, ocene učinka, pooblaščene osebe za varstvo osebnih podatkov, evidence dejavnosti obdelav);
  • izvajanje določb uredbe glede prenosa osebnih podatkov v tretje države ali mednarodne organizacije in o njihovem posredovanju tujim uporabnikom osebnih podatkov;
  • izvajanje določb glede obdelave na podlagi pogodbe o obdelavi osebnih podatkov;
  • izvajanje nadzora nad drugimi določbami Splošne uredbe in Zakona o varstvu osebnih podatkov.

Splošna uredba daje nadzornemu organu naslednja inšpekcijska pooblastila:

1. Preiskovalna pooblastila:

  • da upravljavcu in obdelovalcu ter, če je ustrezno, predstavniku upravljavca ali obdelovalca odredi, naj zagotovi vse informacije, ki jih potrebuje za opravljanje svojih nalog;
  • da izvaja preiskave v obliki pregledov na področju varstva podatkov;
  • da izvaja preglede potrdil skladnosti obdelav (certifikatov);
  • da upravljavca ali obdelovalca uradno obvesti o domnevni kršitvi te uredbe;
  • da od upravljavca ali obdelovalca pridobi dostop do vseh osebnih podatkov in informacij, ki jih potrebuje za opravljanje svojih nalog;
  • da pridobi dostop do vseh prostorov upravljavca ali obdelovalca, vključno z vso opremo in sredstvi za obdelavo podatkov, v skladu s pravom Unije ali postopkovnim pravom države članice.

Popravljalna pooblastila:

  • da izda upravljavcu ali obdelovalcu opozorilo, da bi predvidena dejanja obdelave verjetno kršila določbe te uredbe;
  • da upravljavcu ali obdelovalcu izreče opomin, kadar so bile z dejanji obdelave kršene določbe te uredbe;
  • da upravljavcu ali obdelovalcu odredi, naj ugodi zahtevam posameznika, na katerega se nanašajo osebni podatki, glede uresničevanja njegovih pravic na podlagi te uredbe;
  • da upravljavcu ali obdelovalcu odredi, naj dejanja obdelave, če je to ustrezno, na določen način in v določenem roku uskladi z določbami te uredbe;
  • da upravljavcu odredi, naj posameznika, na katerega se nanašajo osebni podatki, obvesti o kršitvi varstva osebnih podatkov;
  • da uvede začasno ali dokončno omejitev obdelave, vključno s prepovedjo obdelave;
  • da v zvezi s pravico posameznika odredi popravek ali izbris osebnih podatkov oziroma omejitev obdelave in o takšnih ukrepih uradno obvesti uporabnike, ki so jim bili osebni podatki razkriti;
  • da prekliče potrdilo ali organu za potrjevanje odredi preklic potrdila, izdanega v skladu s členoma 42 in 43, ali da organu za potrjevanje odredi, naj ne izda potrdila, kadar zahteve v zvezi s potrdilom niso ali niso več izpolnjene;
  • da glede na okoliščine posameznega primera poleg ali namesto ukrepov iz tega odstavka naloži upravno globo v skladu s členom 83;
  • da odredi prekinitev prenosov podatkov uporabniku v tretji državi ali mednarodni organizaciji.

Splošna uredba izrecno izvzema sodišča, pri izvajanju sodne oblasti iz pristojnosti Splošne uredbe. Sodišča lahko IP le opozarja na nepravilnosti, ki jih zazna oziroma sproži ustrezne sodne postopke za zagotovitev spoštovanja Splošne uredbe.

Varnost osebnih podatkov (informacijska varnost)

Upravljavci zbirk osebnih podatkov in njihovi pogodbeni obdelovalci so dolžni ustrezno varovati osebne podatke, ki jih obdelujejo, kot to zlasti določa člen 32 Splošne uredbe.

Namen inšpekcijskega nadzora je predvsem v odpravi nepravilnosti, zato je preventivno ukrepanje pomembno tudi z vidika nadzora. Skladno s tem objavljamo vprašalnik o informacijski varnosti, ki je lahko v pomoč pri oblikovanju ustreznih postopkov in ukrepov za zavarovanje podatkov. Vprašalnik se uporablja v inšpekcijskih nadzorih po uradni dolžnosti (ex offo), predvsem pri večjih upravljavcih in večjih pogodbenih obdelovalcih osebnih podatkov ter pri tistih subjektih, kjer gre za večja tveganja zaradi narave podatkov, kot so npr. občutljivi osebni podatki. Upravljavci zbirk osebnih podatkov in njihovi pogodbeni obdelovalci lahko s pomočjo vprašalnika preverijo, ali so obravnavali vsa pomembna področja zavarovanja osebnih podatkov (informacijske varnosti) in se tako ustrezno pripravijo na morebitni inšpekcijski nadzor.