Informacijski pooblaščenec Republika Slovenija
SLO | ENG

Odgovori na pogosta vprašanja s področja varstva osebnih podatkov

+ -
  1. Kakšne  so dolžnosti upravljavcev osebnih podatkov v zvezi s katalogi zbirk osebnih podatkov in registracijo zbirk osebnih podatkov?
  2. Kdo lahko izvaja videonadzor? Kako je z videonadzorom za domačo uporabo?
  3. Kaj so osebni podatki in kdaj se lahko obdelujejo?
  4. Ali lahko moj šef vpogleda v mojo elektronsko pošto?
  5. Ali lahko šef vpogleda v izpisek klicev s službenega telefona?
  6. Ali za posredovanje osebnih podatkov v državo članico EU veljajo določila o iznosu v tretje države?
  7. Ali lahko gospodarske družbe za običajne posle (npr. kupna in prodajna pogodba, kredit …) od mene zahtevajo EMŠO in davčno številko?
  8. Ali lahko izvajalci nagradnih iger od mene vnaprej zahtevajo davčno številko?
  9. Ali je dovoljeno videonadzor v večstanovanjski hiši napeljati tako, da bi lahko spremljali dogajanje ob vhodu kar na svojem TV sprejemniku, ki je priključen na kabelsko TV?
  10. Pod kakšnimi pogoji se osebni podatki lahko posredujejo pogodbenemu obdelovalcu osebnih podatkov?
  11. Pod kakšnimi pogoji se lahko osebni podatki obdelujejo za zgodovinske, statistične in znanstveno-raziskovalne namene?
  12. Kdaj se osebni podatki lahko posredujejo drugim pravnim ali fizičnim osebam?
  13. Na kakšen način je treba posameznika informirati o obdelavi njegovih osebnih podatkov?
  14. Kakšne so dolžnosti upravljavcev osebnih podatkov v zvezi z zavarovanjem osebnih podatkov?
  15. Kakšne so pravice posameznika glede njegovih osebnih podatkov?
  16. Kako lahko ukrepam, če so kršene moje pravice do varstva osebnih podatkov oziroma so bili moji osebni podatki obdelovani v nasprotju z zakonom?
  17. Kakšne so pristojnosti Informacijskega pooblaščenca glede nadzora nad zakonitostjo obdelave osebnih podatkov?
  18. Kdaj se osebni podatki lahko iznesejo iz države?
  19. Kdaj se osebni podatki lahko uporabljajo za namene ponujanja blaga, storitev ali zaposlitev?
  20. Kdo in pod kakšnimi pogoji lahko izvaja biometrijske ukrepe?
  21. V čem je sploh smisel registra? Ali ne gre zgolj za dodatno birokracijo?

1. Kakšne  so dolžnosti upravljavcev osebnih podatkov v zvezi s katalogi zbirk osebnih podatkov in registracijo zbirk osebnih podatkov?

Upravljavec osebnih podatkov mora za vsako zbirko osebnih podatkov, ki jo vodi in vzdržuje, zagotoviti katalog zbirke osebnih podatkov, ki vsebuje: 

  1. naziv zbirke osebnih podatkov,
  2. podatke o upravljavcu osebnih podatkov (za fizično osebo: osebno ime, naslov opravljanja dejavnosti ali naslov stalnega ali začasnega prebivališča, za samostojnega podjetnika posameznika pa še firmo, sedež in matično številko; za pravno osebo: naziv oziroma firmo in naslov oziroma sedež upravljavca osebnih podatkov in matično številko),
  3. pravno podlago za obdelavo osebnih podatkov,
  4. kategorije posameznikov, na katere se nanašajo osebni podatki,
  5. vrste osebnih podatkov v zbirki osebnih podatkov,
  6. namen obdelave,
  7. rok hrambe osebnih podatkov,
  8. omejitve pravic posameznikov glede osebnih podatkov v zbirki osebnih podatkov in pravno podlago omejitev,
  9. uporabnike ali kategorije uporabnikov osebnih podatkov, vsebovanih v zbirki osebnih podatkov,
  10. informacijo, ali se osebni podatki iznašajo v tretjo državo, kam, komu in pravno podlago iznosa;
  11. splošen opis zavarovanja osebnih podatkov,
  12. podatke o povezanih zbirkah osebnih podatkov iz uradnih evidenc ter javnih knjig,
  13. podatke o zastopniku iz tretjega odstavka 5. člena ZVOP-1 (za fizično osebo: osebno ime, naslov opravljanja dejavnosti ali naslov stalnega ali začasnega prebivališča, za samostojnega podjetnika posameznika pa še firmo, sedež in matično številko; za pravno osebo: naziv oziroma firmo in naslov oziroma sedež upravljavca osebnih podatkov in matično številko).

Katalog zbirke osebnih podatkov je dejansko opis posamezne zbirke osebnih podatkov, iz katerega je razvidno 13 zgoraj navedenih dejstev o posamezni zbirki in se pripravi v obliki zgoraj citiranih vprašanj in odgovorov nanje. Posameznik lahko v katalog zbirke osebnih podatkov vpogleda pri upravljavcu zbirke osebnih podatkov, ki mu je vpogled dolžan omogočiti. Upravljavec mora podatke iz 1., 2., 4., 5., 6., 9., 10., 11., 12. in 13. točke posredovati državnemu nadzornemu organu za varstvo osebnih podatkov - Informacijskemu pooblaščencu - najmanj 15 dni pred vzpostavitvijo zbirke osebnih podatkov ali pred vnosom nove vrste osebnih podatkov. Prav tako mu mora posredovati spremembe teh podatkov najkasneje v osmih dneh od dneva spremembe.

Podrobneje o vpisu v register zbirk osebnih podatkov lahko preberete tukaj.

2. Kdo lahko izvaja videonadzor? Kako je z videonadzorom za domačo uporabo?

Če izvajanje videonadzora ni urejeno v drugem zakonu, se opravlja pod pogoji in v s skladu z določbami Zakona o varstvu osebnih podatkov.

Kdor žel izvajati videonadzor, mora o tem objaviti vidno in razločno obvestilo. To mora vsebovati naslednje elemente:

  • da se izvaja videonadzor;
  • naziv osebe javnega ali zasebnega sektorja, ki ga izvaja;
  • telefonsko številko za pridobitev informacije, kje in koliko časa se shranjujejo posnetki.

Videonadzorni sistem mora biti zavarovan pred dostopom nepooblaščenih oseb. Po ZVOP-1 se videonadzor lahko izvaja v uradnih službenih oziroma poslovnih prostorih, v večstanovanjskih stavbah ter znotraj delovnih prostorov. V teh primerih pa je potrebno upoštevati tudi nekatere posebne pogoje, ki jih določa ZVOP-1.

Glede uporabe videonadzora za domače potrebe se uproablja 7. člen ZVOP-1, ki določa, da se ZVOP-1 ne uporablja za obdelavo osebnih podatkov (kar je tudi videonadzor), ki jo izvajajo posamezniki izključno za osebno uporabo, družinsko življenje ali za druge domače potrebe. Seveda pa je pri tem potrebno poudariti, da je takšen videonadzor možen zgolj na zasebnih parcelah posameznika, ki izvaja videonadzor, sicer tvega odškodninsko tožbo ali kazenski pregon zaradi neupravičenega slikovnega snemanja. 

3. Kaj so osebni podatki in kdaj se lahko obdelujejo?

Osebni podatek je katerikoli podatek, ki se nanaša na določeno ali določljivo fizično osebo, torej posameznika, na glede na obliko, v kateri je izražen. Določljiva fizična oseba pa je tista, ki se jo lahko neposredno ali posredno identificira s pomočjo njenih identifikacijskih številk (npr. EMŠO, davčna številka, številka zdravstvenega zavarovanja, telefonska številka, registrska številka vozila), ali s sklicevanjem na dejavnike, ki so značilni za njeno fizično, fiziološko, duševno, ekonomsko, kulturno ali družbeno identiteto (npr. zaposlitev, naslov, funkcijo, položaj ali status v določenem subjektu, ipd.).

Obdelava osebnih podatkov pomeni kakršnokoli delovanje ali niz delovanj, ki se izvaja v zvezi z osebnimi podatki, ki so avtomatizirano obdelani ali ki so pri ročni obdelavi del zbirke osebnih podatkov ali so namenjeni vključitvi v zbirko osebnih podatkov, zlasti zbiranje, pridobivanje, vpis, urejanje, shranjevanje, prilagajanje ali spreminjanje, priklicanje, vpogled, uporaba, razkritje s prenosom, sporočanje, širjenje ali drugo dajanje na razpolago, razvrstitev ali povezovanje, blokiranje, anonimiziranje, izbris ali uničenje; obdelava je lahko ročna ali avtomatizirana.

ZVOP-1 torej za obdelavo osebnih podatkov določa zelo širok krog ravnanja oz. delovanj upravljavcev osebnh podatkov, zato Informacijski pooblaščenec opozarja, da je potrebno biti pri ravnanju z osebnimi podatki zelo previden.

Osebni podatki se lahko obdelujejo le, če tako določa zakon, ali če je podana osebna privolitev posameznika, čigar podatek se obdeluje. Tudi namen obdelave mora biti določen v zakonu, v primeru obdelave na podlagi osebne privolitve posameznika pa mora t biti predhodno seznanjen z njenim namenom.

4. Ali lahko moj šef vpogleda v mojo elektronsko pošto?

Ne. Sama vsebina je varovana neposredno na podlagi 37. člena Ustave RS (varstvo tajnosti pisem in drugih občil), vendar za ta del elektronske pošte Informacijski pooblaščenec ni pristojen (možnost vložitve odškodninske tožbe ali uvedba kazenskega postopka). Teorija je iz nekaterih primerov Evropskega sodišča za človekove pravice (npr. Halford v. Velika Britanija) izvedla tudi predpostavko, da so varovani tudi prometni podatki, torej komu ste poslali elektronsko pošto in kdo jo je poslal vam. To pa je tudi zbirka osebnih podatkov in za morebiten vpogled delodajalca v te podatke mora pridobiti vašo privolitev.

5. Ali lahko šef vpogleda v izpisek klicev s službenega telefona?

Dejstvo je, da je delodajalec v večini primerov edini, ki takšen izpisek od družbe, ki ponuja telekomunikacijske storitve, sploh zahteva. To tudi še ne pomeni kršitve Zakona o varstvu osebnih podatkov, saj pridobitev izpiska klicev izhaja iz njegove lastninske pravice. V trenutku, ko bi delodajalec začel ugotavljati, komu klicane številke pripadajo, pa to že pomeni obdelavo osebnih podatkov. To je torej tudi meja, do katere lahko delodajalec obdeluje izpisek klicev. Pogosto prekoračitev zneska, do katerega lahko posameznik uporablja službeni telefon, je torej potrebno ugotavljati na podlagi drugih podatkov, ki osebnih podatkov ne razkrivajo, predvsem pa je za delodajalce zelo priporočljivo, da pravila telefoniranja določijo vnaprej in na podlagi pisne privolitve posameznika. S tem se že vnaprej rešijo večine težav.

6. Ali za posredovanje osebnih podatkov v državo članico EU veljajo določila o iznosu v tretje države? 

Ne. Za države članice EU se uporabljajo ista pravila kot v Republiki Sloveniji.

7. Ali lahko gospodarske družbe za običajne posle (npr. kupna in prodajna pogodba, kredit …) od mene zahtevajo EMŠO in davčno številko? 

Ne. Oba podatka sta t. i. enolična identifikatorja, torej posameznika, na katerega se nanašata, nedvoumno določita. Da je zbiranje obeh podatkov skupaj pretirano, je v eni od svojih odločb zapisalo tudi Ustavno sodišče RS. Načelo sorazmernosti iz 3. člena ZVOP-1 pa napotuje na to, da se za posamezne primere raje uporabi davčna številka, saj razkrije manj osebnih podatkov kot EMŠO (ta razkrije rojstni datum, starost, spol).

8. Ali lahko izvajalci nagradnih iger od mene vnaprej zahtevajo davčno številko?

Ne. Davčna številka se uporablja samo za davčne namene. Dokler nagrajenec ni znan, »davčno« razmerje ne nastane, zato izvajalec tudi ne sme zbirati davčne številke »na zalogo«. To pa lahko zahteva od posameznika v trenutku, ko je znan nagrajenec, saj v trenutku prejema nagrade nastane davčna zaveza za posameznika.

9. Ali je dovoljeno videonadzor v večstanovanjski hiši napeljati tako, da bi lahko spremljali dogajanje ob vhodu kar na svojem TV sprejemniku, ki je priključen na kabelsko TV?

Ne. Zakon izrecno prepoveduje združevanje sistema videonadzora z drugimi sistemi, ki omogočajo prenašanje takšnih posnetkov.

10. Pod kakšnimi pogoji se osebni podatki lahko posredujejo pogodbenemu obdelovalcu osebnih podatkov? 

Zakon o varstvu osebnih podatkov upravljavcu omogoča, da posamezna opravila v zvezi z obdelavo osebnih podatkov s pogodbo poveri drugi pravni ali fizični osebi -pogodbenemu obdelovalcu, ki podatke obdeluje v imenu in na račun upravljavca osebnih podatkov. Pri tem pa morata biti izpolnjena dva pogoja:

  1. pogodbeni obdelovalec mora biti registriran za opravljanje takšne dejavnosti;
  2. medsebojne pravice in obveznosti morajo biti urejene v pogodbi; Ta mora obvezno vsebovati tudi dogovor o postopkih in ukrepih za zavarovanje osebnih podatkov, upravljavec pa mora izvajanje dogovorjenih postopkov in ukrepov tudi nadzorovati.

11. Pod kakšnimi pogoji se lahko osebni podatki obdelujejo za zgodovinske, statistične in znanstveno-raziskovalne namene?

Osebni podatki se v omenjene namene lahko obdelujejo ne glede na prvotni namen zbiranja. Tako zbrani podatki se objavijo ali posredujejo uporabniku v anonimni obliki. V neanonimni pa le, če drug zakon določa drugače, če je posameznik, na katerega se podatki nanašajo, objavo dovolil s pisno privolitvijo, ali če je za takšno objavo podano pisno soglasje dedičev umrle osebe iz prvega in drugega dednega razreda.

12. Kdaj se osebni podatki lahko posredujejo drugim pravnim ali fizičnim osebam?

Osebne podatke se lahko posredujejo drugim osebam le v primeru: 

  • če obstaja za to izrecna podlaga v katerem od zakonov,
  • če je posameznik privolil v posredovanje osebnih podatkov,
  • če je posredovanje osebnih podatkov potrebno zaradi izpolnjevanja pogodbe ali uveljavljanje pravic iz pogodbenega razmerja,
  • izjemoma tudi v primeru, če je posredovanje osebnih podatkov nujno zaradi izvrševanja zakonitih pristojnosti, nalog ali obveznosti javnega sektorja in se s tem ne poseže v opravičen interes posameznika,
  • če je posredovanje osebnih podatkov nujno zaradi uresničevanja zakonitih interesov zasebnega sektorja in ti interesi očitno prevladujejo nad interesi posameznika, na katerega se osebni podatki nanašajo.

Upravljavec centralnega registra prebivalstva ali evidenc stalno in začasno prijavljenih prebivalcev mora na način, ki je določen za izdajo potrdila, upravičencu, ki izkaže pravni interes za uveljavljanje pravic pred osebami javnega sektorja, posredovati osebno ime in naslov stalnega ali začasnega prebivališča posameznika, zoper katerega uveljavlja svoje pravice. Ob tem mora upravičenec jasno izkazati svoj pravni interes, za uveljavljanje katerih pravic rabi zahtevane podatke ter pred katerimi osebami javnega sektorja bo te svoje pravice uveljavljal. Upravljavec osebnih podatkov mora pri posredovanju zagotoviti, da je mogoče pozneje ugotoviti, kateri osebni podatki so bili posredovani komu, kdaj in na kakšni podlagi, in sicer za obdobje, ko je možno zakonsko varstvo pravice posameznika pred nedopustnim posredovanjem osebnih podatkov. Upravljavec zbirke osebnih podatkov je po ZVOP-1 dolžan v 30-tih dneh posamezniku posredovati seznam uporabnikov, ki so jim njegovi osebni podatki bili posredovani in mu sporočiti kdaj, na kakšni podlagi in za kakšen namen so bili posredovani.

13. Na kakšen način je treba posameznika informirati o obdelavi njegovih osebnih podatkov?

Kadar se osebni podatki zbirajo neposredno od posameznika, mu mora upravljavec osebnih podatkov ali njegov zastopnik sporočiti svoje podatke (osebno ime, naziv oziroma firma in naslov oziroma sedež) ter namen obdelave osebnih podatkov. V posebnih okoliščinah navede tudi: 

  • uporabnika ali vrste uporabnikov njegovih osebnih podatkov,
  • ali je zbiranje osebnih podatkov obvezno oziroma prostovoljno, ter možne posledice, če podatkov ne bo podal prostovoljno,
  • informacijo o pravici do vpogleda, prepisa, kopiranja, dopolnitve, popravka, blokiranja in izbrisa osebnih podatkov, ki se nanašajo nanj.

Posebne okoliščine

ZVOP-1 ne opredeljuje, katere so posebne okoliščine zbiranja osebnih podatkov. Ker pa je temeljito informiranje predpogoj za pošteno in zakonito obdelavo osebnih podatkov vsakega  posameznika, mu je potrebno vedno dati vse potrebne informacije, ki jih zahteva. Še zlasti je to potrebno, če se osebni podatki obdelujejo na podlagi osebne privolitve posameznika ali na podlagi pogodbenega razmerja in bodo ti podatki posredovani tudi drugim uporabnikom. Prav tako je potrebno dosledno informiranje, ko posameznik ne želi prostovoljno posredovati določenih osebnih podatkov in zaradi tega lahko trpi tudi posledice.  Informacije morajo biti jasne in razumljive, saj se posameznik lahko le na podlagi teh odloči, ali bo za obdelavo svojih osebnih podatkov podal osebno privolitev oziroma, ali bo svoje osebne podatke upravljavcu sploh posredoval.

Zbiranje podatkov od drugih oseb ali iz drugih zbirk osebnih podatkov

Če osebni podatki niso bili zbrani neposredno od posameznika, mu mora upravljavec osebnih podatkov ali njegov zastopnik najpozneje ob vpisu ali posredovanju njegovih podatkov uporabniku osebnih podatkov sporočiti podatke o upravljavcu osebnih podatkov in njegovem morebitnem zastopniku (osebno ime, naziv oziroma firma in naslov oziroma sedež) in namen njihove obdelave. V posebnih okoliščinah pa dodatno še:

  • informacijo o vrsti zbranih osebnih podatkov;
  • navedbo uporabnika ali vrste uporabnikov njegovih osebnih podatkov;
  • informacijo o pravici do vpogleda, prepisa, kopiranja, dopolnitve, popravka, blokiranja in izbrisa osebnih podatkov, ki se nanašajo nanj.

14. Kakšne so dolžnosti upravljavcev osebnih podatkov v zvezi z zavarovanjem osebnih podatkov?

Organizacijski, tehnični in logično-tehnični postopki in ukrepi za zavarovanje osebnih podatkov morajo biti opredeljeni v notranjih aktih organizacij in morajo v prvi vrsti preprečiti nepooblaščeno obdelavo in slučajno ali namerno nepooblaščeno uničevanje in izgubo podatkov ali njihovo spreminjanje. Zato je v notranjih aktih potrebno predpisati, kako se varujejo prostori, oprema  in sistemska programska oprema, kako se varuje aplikativna programska oprema, s katero se obdelujejo, kako se preprečuje nepooblaščen dostop do osebnih podatkov pri njihovem prenosu, kako se zagotavlja učinkovit način blokiranja, uničenja, izbrisa ali anonimiziranja osebnih podatkov ter kako se omogoča poznejše ugotavljanje, kdaj so bili posamezni podatki vneseni, uporabljeni ali obdelani, kdo je to izvajal in kdaj. Seveda se morajo predpisani postopki in ukrepi tudi dejansko izvajati, zato je treba s temi akti seznaniti vse zaposlene in določiti odgovorne osebe za posamezne zbirke osebnih podatkov in osebe, ki zaradi narave njihovega dela lahko obdelujejo določene osebne podatke.

15. Kakšne so pravice posameznika glede njegovih osebnih podatkov?

Upravljavec osebnih podatkov mora na zahtevo posameznika: 

  • omogočiti vpogled v katalog zbirke osebnih podatkov;
  • potrditi, ali se podatki v zvezi z njim obdelujejo ali ne, in mu omogočiti vpogled, prepis ali kopiranje njegovih podatkov, ki so vsebovani v zbirki osebnih podatkov;
  • posredovati izpis teh osebnih podatkov,
  • posredovati seznam uporabnikov, katerim so bili ti osebni podatki posredovani, kdaj, na kakšni podlagi in za kakšen namen;
  • dati informacijo o virih, na katerih temeljijo zapisi, ki jih o posamezniku vsebuje zbirka osebnih podatkov, in o metodi obdelave;
  • dati informacije o namenu obdelave in vrsti osebnih podatkov, ki se obdelujejo, ter vsa potrebna pojasnila v zvezi s tem;
  • pojasniti tehnične oziroma logično-tehnične postopke obdelave osebnih podatkov posameznika.

Stroške v zvezi z zahtevo in vpogledom krije upravljavec zbirke osebnih podatkov.

Na zahtevo posameznika mora upravljavec njegove osebne podatke tudi dopolniti, popraviti, blokirati ali izbrisati, če posameznik dokaže, da so nepopolni, netočni ali neažurni ali pa so bili zbrani oziroma obdelani v nasprotju z zakonom. To mora upravljavec opraviti v 15 dneh od dneva prejema zahteve. O tem mora obvestiti vlagatelja zahteve ali ga obvestiti o razlogih, zaradi katerih tega ne bo storil. V istem roku mora odločiti o ugovoru. Upravljavec mora na zahtevo posameznika o spremembah in dopolnitvah osebnih podatkov posameznika obvestiti vse druge uporabnike osebnih podatkov in pogodbene obdelovalce, ki jim je posredoval te podatke, razen, če bi to povzročilo velike stroške, nesorazmerno velik napor ali zahtevalo veliko časa. Posameznik ima kadarkoli pravico, da z ugovorom zahteva prenehanje obdelave njegovih osebnih podatkov. Ugovoru se ugodi, če posameznik dokaže, da niso izpolnjeni pogoji za obdelavo.

Posameznik, ki ugotovi, da so kršene njegove pravice iz ZVOP-1, lahko zahteva tudi sodno varstvo. Sodno varstvo lahko zahteva ves čas, dokler kršitev traja, če je kršitev že prenehala, pa lahko v primeru, da mu v zvezi s kršitvijo ni zagotovljeno drugo sodno varstvo, vloži tožbo za ugotovitev, da je kršitev obstajala.

16. Kako lahko ukrepam, če so kršene moje pravice do varstva osebnih podatkov oziroma so bili moji osebni podatki obdelovani v nasprotju z zakonom? 

Posameznik, ki meni, da so kršene njegove pravice do varstva osebnih podatkov ali da so bili njegovi osebni podatki obdelovani v nasprotju z določbami zakona lahko pri upravljavcu osebnih podatkov na podlagi 30. člena ZVOP-1: 

  1. uveljavlja pravico do vpogleda, prepisa, izpisa ali kopiranja osebnih podatkov, ki se nanašajo nanj,
  2. zahteva seznam uporabnikov, katerim so bili posredovani njegovi osebni podatki ter pojasnilo o tem, kdaj, na kakšni podlagi in za kakšen namen so bili njegovi  osebni podatki posredovani posameznemu uporabniku,
  3. zahteva informacije o virih, na katerih temeljijo zapisi, ki jih o njem vsebuje zbirka osebnih podatkov in o metodi obdelave,
  4. zahteva informacije o namenu obdelave in o vrsti osebnih podatkov, ki se obdelujejo, ter vsa potrebna obvestila v zvezi s tem,
  5. zahteva pojasnitev tehničnih oziroma logično-tehničnih postopkov odločanja, če se izvaja avtomatizirano odločanje z obdelavo njegovih osebnih podatkov.  

Posameznik se lahko v primeru suma kršitev njegovih pravic oziroma v primeru suma kršitve določb zakona vedno obrne tudi na Informacijskega pooblaščenca, ki mu bo v zvezi s tem dal vsa potrebna pojasnila. Če meni, da so kršene njegove pravice iz Zakona o varstvu osebnih podatkov, lahko s tožbo pri Upravnem sodišču Republike Slovenije zahteva sodno varstvo, pri čemer pa je pomembno, da svoje pravice uveljavlja najprej neposredno pri upravljavcu osebnih podatkov. Če je bila posamezniku z nezakonito obdelavo osebnih podatkov povzročena škoda, lahko od povzročitelja po določbah zakona, ki ureja obligacijska razmerja, zahteva tudi odškodnino.

17. Kakšne so pristojnosti Informacijskega pooblaščenca glede nadzora nad zakonitostjo obdelave osebnih podatkov? 

Informacijski pooblaščenec opravlja inšpekcijski nadzor nad izvajanjem določb Zakona o varstvu osebnih podatkov in opravlja druge naloge po tem zakonu ter s tem zagotavlja enotno uresničevanje ukrepov na področju varstva osebnih podatkov. V okviru inšpekcijskega nadzora Informacijski pooblaščenec: 

  1. nadzoruje zakonitost obdelave osebnih podatkov;
  2. nadzoruje ustreznost ukrepov za zavarovanje osebnih podatkov ter izvajanja postopkov in ukrepov za zavarovanje osebnih podatkov;
  3. nadzoruje izvajanje določb zakona, ki urejajo katalog zbirke osebnih podatkov, register zbirk osebnih podatkov in evidentiranje posredovanja osebnih podatkov posameznim uporabnikom osebnih podatkov;
  4. nadzoruje izvajanje določb zakona glede iznosa osebnih podatkov v tretjo državo in o njihovem posredovanju tujim uporabnikom osebnih podatkov.

Informacijski pooblaščenec obravnava tudi prijave in pritožbe posameznikov, ki se nanašajo na sum nezakonite obdelave osebnih podatkov ter odloča o pritožbi posameznika, kadar upravljavec osebnih podatkov ne ugodi zahtevi posameznika glede pravice posameznika do seznanitve z zahtevanimi podatki, do izpisov, seznamov, vpogledov, potrdil, informacij, pojasnil, prepisovanja ali kopiranja. Informacijski pooblaščenec lahko na Ustavno sodišče Republike Slovenije vloži zahtevo za oceno ustavnosti zakonov, ostalih predpisov ter splošnih aktov, izdanih za izvrševanje javnih pooblastil, če nastane vprašanje ustavnosti in zakonitosti v zvezi s postopkom, ki ga vodi.

18. Kdaj se osebni podatki lahko iznesejo iz države?

Za obdelovalca ali uporabnika osebnih podatkov, s sedežem ali je registracijo v državi članici EU ali EGS veljajo enaki pogoji posredovanja osebnih podatkov kot za subjekte, ki so ustanovljeni in imajo sedež v Sloveniji.

Če pa je upravljavec osebnih podatkov iz tretje, osebne podatke lahko poseduje, če Informacijski pooblaščenec izda odločbo, da država, v katero se osebni podatki iznašajo, zagotavlja ustrezno raven njihovega varstva. Informacijski pooblaščenec vodi seznam tretjih držav, ki imajo v celoti ali delno zagotovljeno ustrezno raven varstva osebnih podatkov, ali pa da varstva nimajo zagotovljenega. Brez predhodne odločitve Informacijskega pooblaščenca pa se osebni podatki lahko iznesejo in posredujejo v tretjo državo, če: 

  1. tako določa drug zakon ali obvezujoča mednarodna pogodba,
  2. je posameznik, čigar osebni podatki se iznašajo, v to privolil,
  3. je iznos potreben za izpolnitev pogodbe med posameznikom, na katerega se nanašajo osebni podatki, in upravljavcem osebnih podatkov, ali za izvršitev predpogodbenih ukrepov na zahtevo posameznika, na katerega se nanašajo osebni podatki;
  4. je iznos potreben za sklenitev ali izvršitev pogodbe, ki je v korist posameznika, na katerega se nanašajo osebni podatki, sklenjeno med upravljavcem osebnih podatkov in tretjo stranko;
  5. je iznos potreben zato, da se zavaruje življenje ali zdravje posameznika, na katerega se nanašajo osebni podatki, pred hujšim ogrožanjem;
  6. se iznos opravi iz registrov, javnih knjig ali uradnih evidenc, ki so že po zakonu namenjene zagotavljanju informacij,
  7. upravljavec osebnih podatkov zagotovi ustrezne ukrepe zavarovanja osebnih podatkov ter temeljnih pravic in svoboščin posameznikov in navede možnosti njihovega uresničevanja ali varstva, predvsem v določbah pogodb ali v splošnih pogojih poslovanja. 

Oglejte si tudi seznam držav, ki zagotavljajo ustrezno raven varstva osebnih podatkov.

19. Kdaj se osebni podatki lahko uporabljajo za namene ponujanja blaga, storitev ali zaposlitev?

Upravljavec lahko v te namene uporablja le tiste osebne podatke, ki jih je zbral iz javno dostopnih virov ali v okviru zakonitega opravljanja dejavnosti. Za neposredno trženje lahko uporablja le osebno ime, naslov stalnega ali začasnega prebivališča, telefonsko ter telefaks številko in elektronski naslov, druge osebne podatke pa le na podlagi izrecne pisne privolitve posameznika. Upravljavec mora posameznika vedno opozoriti, da lahko kadarkoli zahteva, da upravljavec preneha uporabljati njegove osebne podatke za neposredno trženje. Če posameznik to zahteva, je upravljavec dolžan v 15 dneh preprečiti uporabo osebnih podatkov za trženje ter o tem v petih dneh na dogovorjen način obvestiti posameznika, ki je to zahteval.

20. Kdo in pod kakšnimi pogoji lahko izvaja biometrijske ukrepe?

V javnem sektorju lahko takšne ukrepe določi le zakon, če je to nujno za varovanje ljudi, premoženja, tajnih podatkov in poslovnih skrivnosti, in se tega ne da doseči z milejšimi sredstvi. Zasebni sektor lahko izvaja biometrijske ukrepe iz enakih razlogov le nad svojimi zaposlenimi, če so bili predhodno o tem pisno obveščeni. Če izvajanje teh ukrepov v zasebnem sektorju ni urejeno z zakonom, mora upravljavec osebnih podatkov pred uvedbo ukrepov Informacijskemu pooblaščencu posredovati opis ukrepov in razloge za njihovo uvedbo, pooblaščenec pa bo najkasneje v dveh mesecih odločili, ali so načrtovani ukrepi v skladu z ZVOP-1. Rok se izjemoma lahko podaljša za največ en mesec, če bi uvajanje teh biometrijskih ukrepov prizadelo več kot 20 zaposlenih v osebi zasebnega sektorja, ali če reprezentativni sindikat pri delodajalcu zahteva sodelovanje v upravnem postopku. Zoper odločbo Informacijskega pooblaščenca ni pritožbe, dovoljen pa je upravni spor. V primeru, da izvajanje biometrijskih ukrepov v javnem sektorju ni določeno z zakonom, se takšni ukrepi lahko uvedejo v zvezi z vstopom v stavbo ali dele stavbe in evidentiranje prisotnosti zaposlenih na delu, pri čemer pa se v tem primeru smiselno uporabijo določbe drugega, tretjega in četrtega odstavka 80. člena ZVOP-1. To pomeni, da mora oseba javnega sektorja, ki namerava za prej navedene namene izvajati biometrijske ukrepe, predhodno pridobiti pozitivno odločbo Informacijskega pooblaščenca.

21. V čem je sploh smisel registra? Ali ne gre zgolj za dodatno birokracijo?

Register zbirk osebnih podatkov ima velik pomen predvsem za posameznika, na katerega se nanašajo osebni podatki, ki jih upravljavec osebnih podatkov obdeluje. Register posameznikom omogoča, da se na enem mestu seznanijo z vrstami osebnih podatkov, ki jih upravljavci vodijo in pomeni tudi podlago za vpogled v lastne osebne podatke. 

Register zbirk osebnih podatkov torej pomeni preglednost pri obdelavi osebnih podatkov in je ena od varovalk za posameznika, na katerega se osebni podatki nanašajo.