Informacijski pooblaščenec Republika Slovenija
   
dekorativna slika

Nadzorni postopki

+ -

Splošna uredba o varstvu podatkov (Uredba EU 679/2016; Splošna uredba) je temeljni predpis, ki zagotavlja pravico do varstva osebnih podatkov v evropskem prostoru. Za zagotavljanje pravice do varstva osebnih podatkov v Republiki Sloveniji v skladu s Splošno uredbo je bil sprejet Zakon o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju ZVOP-2). Informacijski pooblaščenec deluje kot nadzorni organ za varstvo osebnih podatkov. Svoja pooblastila izvršuje v okviru dveh nadzornih postopkov:

1.       Postopek, ki se vodi na zahtevo prijavitelja s posebnim položajem - pritožba (30. člen ZVOP-2), s čimer se zagotavlja tudi pravica do pritožbe po členu 77 Splošne uredbe (pritožba zaradi kršitve varstva osebnih podatkov) in

2.       Inšpekcijski postopek - prijava; glede varstva osebnih podatkov.

·         Obrazec: VLOGA ZARADI KRŠITVE VARSTVA OSEBNIH PODATKOV

Postopek s pritožbo

Postopek s pritožbo zaradi kršitve varstva osebnih podatkov se vodi na zahtevo posameznika, na katerega se nanašajo osebni podatki. Postopek se vodi kot splošni upravni postopek, pri katerem lahko nadzorni organ (IP) uporabi tudi vsa nadzorna pooblastila in izreka vse nadzorne ukrepe, ki mu jih dajejo predpisi (ZVOP-2, Splošna uredba, ZUP, ZP-1 in področni zakoni). V tem postopku vsaka stranka krije svoje stroške postopka.

Posameznik, na katerega se nanašajo osebni podatki lahko v postopku s pritožbo zahteva:

1.       ugotovitev, ali se njegovi osebni podatki obdelujejo nezakonito oz. v nasprotju s Splošno uredbo in ZVOP-2 (in predlaga ukrep za odpravo nepravilnosti) ali

2.       informacije, dostop, izbris, popravek, ipd. v okviru pravic, ki jih ima posameznik po Splošni uredbi (členi 15 -22) – pravica do seznanitve z lastnimi osebnimi podatki, pravica do izbrisa oz. pozabe, pravica do omejitve obdelave, pravica do popravka, pravica do ugovora itd; v tem primeru mora posameznik pravice predhodno uveljavljati pri upravljavcu njegovih osebnih podatkov, preden vloži pritožbo pri IP. Upravljavec je dolžan odgovoriti v enem mesecu od prejema zahteve. Če upravljavec v predpisanem roku ne odgovori ali če zahtevo posameznika zavrne, lahko posameznik vloži pritožbo pri IP. Rok za vložitev pritožbe je 15 dni od prejema zavrnilnega odgovora.

·         Obrazec: VLOGA ZARADI KRŠITVE VARSTVA OSEBNIH PODATKOV

Inšpekcijski postopek

Inšpekcijski postopek IP vodi po uradni dolžnosti. Oseba na katero se nanašajo osebni podatki nima možnosti sodelovanja v postopku, lahko pa poda prijavo in naznani kršitev. V tem primeru prijavitelj ni stranka inšpekcijskega postopka in je treba zagotoviti njegovo anonimnost. Če to po naravi stvari ni mogoče, mora posameznik začeti postopek s pritožbo.  Postopek se vodi kot inšpekcijski postopek v skladu z Zakonom o inšpekcijskem nadzoru. Namenjen je odpravi sistemskih kršitev varstva osebnih podatkov, ko je za porabo javnih sredstev za izvedbo tega postopka podan tudi javni interes. Pri tem lahko nadzorni organ uporabi vsa nadzorna pooblastila in izreka vse nadzorne ukrepe, ki mu jih dajejo predpisi.

·         Obrazec: VLOGA ZARADI KRŠITVE VARSTVA OSEBNIH PODATKOV

Obseg nadzora

V okviru nadzornih postopkov državni nadzorni organ preverja skladnostno ravnanje zavezancev za varstvo osebnih podatkov, pri čemer nadzira zlasti:

-        zakonitost in preglednost obdelav osebnih podatkov;

-        ustreznost ukrepov varnosti osebnih podatkov ter izvajanje postopkov in ukrepov za zagotovitev varnosti osebnih podatkov po členu 32 Splošne uredbe;

-        izvajanje določb Splošne uredbe, ki urejajo posebne izraze načela odgovornosti (uradno obveščanje nadzornih organov in posameznikov o kršitvi varnosti, ocene učinka, pooblaščene osebe za varstvo osebnih podatkov, evidence dejavnosti obdelav);

-        izvajanje določb uredbe glede prenosa osebnih podatkov v tretje države ali mednarodne organizacije in o njihovem posredovanju tujim uporabnikom osebnih podatkov;

-        izvajanje določb glede obdelave na podlagi pogodbe o obdelavi osebnih podatkov in glede skupnih upravljavcev;

-        izvajanje nadzora nad drugimi določbami Splošne uredbe in zakonov, ki urejajo področje varstva osebnih podatkov.

Nadzorna pooblastila:

V nadzornih postopkih lahko IP zlasti:

-        pregleda dokumentacijo, ki se nanaša na obdelavo osebnih podatkov (pogodbe, poslovne knjige, druge listine);

-        vstopi in pregleda prostore (zemljišča, poslovne prostore) in opremo (elektronske naprave, ipd.) – pregled poslovne korespondence, opreme ali elektronske naprave, ki bi posegel v upravičeno pričakovano zasebnost posameznika, lahko nadzorna oseba izvede le s soglasjem posameznika ali na podlagi predhodne pisne odredbe sodišča, pri takšnem pregledu ima nadzorovana oseba pravico biti navzoča;

-        zaradi zavarovanja dokazov lahko zahteva tudi brezplačno kopijo listin, odredi začasno zapečatenje prostorov (do 5 dni) in odvzame opremo (do 10 dni) s katero se obdelujejo osebni podatki;

-        pridobi vse informacije potrebne za izvedbo nalog, vključno z osebnimi podatki;

-        izvaja druga pooblastila, ki mu jih v konkretnem postopku zagotavljajo predpisi (Splošna uredba, ZVOP-2, ZIN, ZUP).

Pri izvajanju nadzornih postopkov lahko nadzorna oseba odredi različne nadzorne ukrepe, zlasti:

-        naloži odpravo nepravilnosti (npr. objava ustrezne politike zasebnosti),

-        odredi brisanje, uničenje, blokado, anonimiziranje, arhiviranje osebnih podatkov, prepove prenašanje osebnih podatkov v tretje države in mednarodne organizacije, uvede začasno ali dokončno omejitev obdelave, vključno s prepovedjo obdelave ipd.

-        odredi, da upravljavec ali obdelovalec ugodi zahtevam posameznika glede uresničevanja njegovih pravic na podlagi Splošne uredbe (npr. posreduje zahtevane informacije, izbriše podatke na zahtevo, omeji obdelavo, popravi podatke, omogoči prenosljivost osebnih podatkov),

-        izvaja preventivne ukrepe in izreka opozorila,

-        izreka prekrške in poda kazensko ovadbo, kadar zazna sum storitve kaznivega dejanja.

-        izreka druge ukrepe, ki mu jih v konkretnem postopku zagotavljajo predpisi (Splošna uredba, ZVOP-2, ZIN, ZUP, ZP-1).

Varnost osebnih podatkov (informacijska varnost)

Upravljavci zbirk osebnih podatkov in njihovi pogodbeni obdelovalci so dolžni ustrezno varovati osebne podatke, ki jih obdelujejo, kot to zlasti določa člen 32 Splošne uredbe.

Namen inšpekcijskega nadzora je predvsem v odpravi nepravilnosti, zato je preventivno ukrepanje pomembno tudi z vidika nadzora. Skladno s tem objavljamo vprašalnik o informacijski varnosti, ki je lahko v pomoč pri oblikovanju ustreznih postopkov in ukrepov za zavarovanje podatkov. Vprašalnik se uporablja v inšpekcijskih nadzorih po uradni dolžnosti (ex offo), predvsem pri večjih upravljavcih in večjih pogodbenih obdelovalcih osebnih podatkov ter pri tistih subjektih, kjer gre za večja tveganja zaradi narave podatkov, kot so npr. občutljivi osebni podatki. Upravljavci zbirk osebnih podatkov in njihovi pogodbeni obdelovalci lahko s pomočjo vprašalnika preverijo, ali so obravnavali vsa pomembna področja zavarovanja osebnih podatkov (informacijske varnosti) in se tako ustrezno pripravijo na morebitni inšpekcijski nadzor.

Področje obravnavanja kaznivih dejanj

Področje obdelave osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij posebej ureja Direktiva (EU) 2016/680, ki je v Slovenski pravni red prenesena z Zakon o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (Uradni list RS, št. 177/20; ZVOPOKD). Ta zakon nadzorne postopke ureja podobno, kot predstavljeno zgoraj za izvajanje Splošne uredbe in ZVOP-2.