Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Mnenja - VOP

+ -
Datum: 24.09.2014
Naslov: Posredovanje osebnih podatkov tretjim osebam
Številka: 0712-1/2014/3051
Vsebina: Inšpekcijski postopki
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju Pooblaščenec) je 23.9.2014 prejel vaše elektronsko sporočilo, v katerem navajate, da ste na podlagi izraženega suma nepooblaščene obdelave osebnih podatkov po osebnem računu komitenta izvedli pregled revizijske sledi. Pri tem ste ugotovili, da za nekaj obdelav ne morete dokazati upravičenost, saj bančni delavec, ki je osebne podatke obdeloval, ni več zaposlen pri vas. Nadalje navajate, da ste komitenta pisno seznanili z ugotovitvami notranje preiskave, vendar mu pri tem niste posredovali imena delavca. Komitent pa vztraja, da mu posredujete ime in priimek predmetnega bančnega delavca. Zanima vas, ali komitentu/pritožniku lahko razkrijete priimek in ime bančnega delavca, ki pa sploh ni več zaposlen pri NLB d.d. ter nasploh ali lahko pritožniku razkrijete identiteto bančnega delavca v primerih, ko je ugotovljena neupravičena obdelava?  


Avtentično razlago posameznih določb zakona daje le Državni zbor, neobvezno pa predlagatelj zakona, zato vam na podlagi informacij, ki ste nam jih posredovali, v nadaljevanju na podlagi 7. tč. 1. odst. 49. čl. Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. čl. Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, v nadaljevanju ZInfP), posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem:

 

 

Pooblaščenec pojasnjuje, da po določbah ZVOP-1 kot upravljavec osebnih podatkov nimate pravne podlage oziroma niste dolžni posamezniku posredovati seznama oseb, ki imajo zaradi narave njihovega dela dostop do njegovih osebnih podatkov in so domnevno zlorabile svoja pooblastila tako, da so z vpogledom v zbirko osebnih podatkov neupravičeno prišle do osebnih podatkov posameznika.

 

Posamezniku lahko svetujete podajo prijave pri Pooblaščencu. Če bi se tudi v inšpekcijskem postopku izkazalo, da je bila obdelava osebnih podatkov prizadetega nezakonita, bi lahko tak posameznik (ki bi v vlogi verjetno izkazati svojo pravno korist), na podlagi 82. člena Zakona o splošnem upravnem postopku v zvezi s 36. členom Zakona o inšpekcijskem nadzoru, od Pooblaščenca zahteval, da mu Pooblaščenec posreduje osebna imena in naslove oseb, ki so nezakonito posegle v varstvo njegovih osebnih podatkov.

 

O b r a z l o ž i t e v:

 

Pooblaščenec uvodoma pojasnjuje, da je pravica posameznika do seznanitve z lastnimi osebnimi podatki, ki izhaja iz tretjega odstavka 38. člena Ustave Republike Slovenije (Uradni list RS, št. 33/91, 42/97, 66/00, 24/03, 69/04 in 68/06), konkretizirana v 30. členu ZVOP-1, ki v prvem odstavku določa, da je upravljavec osebnih podatkov dolžan posamezniku na njegovo zahtevo:

-       omogočiti vpogled v katalog zbirke osebnih podatkov;

-       potrditi, ali se podatki v zvezi z njim obdelujejo ali ne, in mu omogočiti vpogled v osebne podatke, ki so vsebovani v zbirki osebnih podatkov in se nanašajo nanj, ter njihovo prepisovanje ali kopiranje;

-       posredovati izpis osebnih podatkov, ki so vsebovani v zbirki osebnih podatkov in se nanašajo nanj;

-       posredovati seznam uporabnikov, katerim so bili posredovani osebni podatki, kdaj, na kakšni podlagi in za kakšen namen;

-       dati informacijo o virih, na katerih temeljijo zapisi, ki jih o posamezniku vsebuje zbirka osebnih podatkov, in o metodi obdelave;

-       dati informacije o namenu obdelave in vrsti osebnih podatkov, ki se obdelujejo, ter vsa potrebna pojasnila v zvezi s tem;

-       pojasniti tehnične oziroma logično-tehnične postopke odločanja, če izvaja avtomatizirano odločanje z

-       obdelavo osebnih podatkov posameznika.

 

Po določbi 3. točke prvega odstavka 30. člena ZVOP-1 ste kot upravljavec osebnih podatkov dolžni posamezniku posredovati seznam vseh tistih fizičnih, pravnih ali drugih oseb javnega ali zasebnega sektorja,  katerim so bili posredovani njegovi osebni podatki, kdaj, na kakšni podlagi in za kakšen namen. Pri tem Pooblaščenec opozarja, da gre zgolj za podatke katerim zunanjim uporabnikom so bili posredovani osebni podatki posameznika (t.i. zunanja sledljivost).


Ker pa gre v konkretnem primeru za drugačno situacijo Pooblaščenec nadalje pojasnjuje, da ste kot upravljavec osebnih podatkov po določbah 5. točke prvega odstavka 24. člena ZVOP-1 dolžni omogočiti poznejše ugotavljanje, kdaj so bili posamezni osebni podatki vneseni v zbirko osebnih podatkov, uporabljeni ali drugače obdelani in kdo je to storil, in sicer za obdobje, ko je mogoče zakonsko varstvo pravice posameznika zaradi nedopustnega posredovanja ali obdelave osebnih podatkov (t.i. notranja sledljivost). V tem primeru gre za enega od ukrepov za zavarovanje osebnih podatkov, s katerim upravljavec preprečuje nepooblaščeno obdelavo osebnih podatkov.

 

Izvajanje te določbe in s tem povezano ustreznost zavarovanja in zakonitost obdelave osebnih podatkov pa nadzira Pooblaščenec v okviru rednih preventivnih inšpekcijskih pregledov ali v primeru prijave, iz katere izhaja utemeljen sum nezakonite obdelave osebnih podatkov posameznika.

 

Pooblaščenec vam tako pojasnjuje, da po določbah ZVOP-1 kot upravljavec osebnih podatkov nimate podlage oziroma niste dolžni posamezniku posredovati seznama oseb, ki imajo zaradi narave njihovega dela dostop do njegovih osebnih podatkov in so domnevno zlorabile svoja pooblastila tako, da so z vpogledom v zbirko osebnih podatkov neupravičeno prišle do osebnih podatkov posameznika.

 

Pooblaščenec vam zato v konkretnem primeru svetuje, da posameznika, ki utemeljeno domneva, da so osebe, ki imajo v okviru osebnih podatkov dostop do njegovih osebnih podatkov, z zlorabo svojih pooblastil nepooblaščeno vpogledovale ali kako drugače obdelovale njegove osebne podatke, napotite da lahko poda prijavo pri Pooblaščencu.

 

Pooblaščenec bo po prejetju takšne prijave v okviru inšpekcijskega postopka ugotovil, ali so osebe, ki imajo dostop do osebnih podatkov posameznika, dejansko nepooblaščeno vpogledovale ali kako drugače obdelovale osebne podatke posameznika ter bo posameznika po zaključku postopka pisno obvestil o vseh pomembnejših ugotovitvah in dejanjih v postopku inšpekcijskega nadzora. Poleg tega bo Pooblaščenec v primeru, ko bo ugotovil, da so določeni osebe dejansko nepooblaščeno vpogledovale ali kako drugače obdelovale osebne podatke posameznika, zoper te osebe uvedel postopek o prekršku ali podal kazensko ovadbo.

 

Naj še dodamo, da v primeru, da bo Pooblaščenec ugotovil, da so določene osebe dejansko nepooblaščeno vpogledovale ali kako drugače obdelovale osebne podatke posameznika, bo lahko posameznik, na podlagi 82. člena Zakona o splošnem upravnem postopku (Ur. l. RS, št. 24/2006, s spremembami in dopolnitvami) v zvezi s 36. členom Zakona o inšpekcijskem nadzoru (Ur. l. RS, št. 43/07, s spremembami in dopolnitvami), od Pooblaščenca zahteval, da mu posreduje osebna imena in naslove teh oseb, pri čemer pa bo moral posameznik v takšni vlogi verjetno izkazati svojo pravno korist.

 

Prijazen pozdrav,

 

Informacijski pooblaščenec:

Mojca Prelesnik, univ.dipl.prav.,

pooblaščenka