Informacijski pooblaščenec Republika Slovenija
   
dekorativna slika

Seznanitev z lastnimi osebnimi podatki ali pravica do dostopa do osebnih podatkov

+ -

Pravica do seznanitve z lastnimi osebnimi podatki je zagotovljena vsakemu posamezniku v tretjem odstavku 38. člena Ustave Republike Slovenije. Splošna uredba o varstvu podatkov pravico do seznanitve z lastnimi osebnimi podatki podrobneje ureja v 15. členu, postopkovna pravila pa so urejena v 11. in 12. členu omenjene uredbe. Nekatere postopkovne določbe ima tudi Zakon o varstvu osebnih podatkov (ZVOP-2) v členih od 12 do 21. Pri uresničevanju pravice do seznanitve z lastnimi osebnimi podatki, ki jih obdelujejo policija, državna tožilstva, Uprava Republike Slovenije za probacijo, Uprava Republike Slovenije za izvrševanje kazenskih sankcij in drugi državni organi Republike Slovenije, ki so zakonsko določeni kot pristojni za področja preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, v zvezi z izvrševanjem teh pristojnosti, se pravila Splošne uredbe ne uporabljajo, temveč se uporabljajo določila Zakona o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (ZVOPOKD). ZVOPOKD pravico do seznanitve določa v 24. členu. Tudi Zakon o pacientovih pravicah (ZPacP) v 41. členu posebej ureja pravico do seznanitve z zdravstveno dokumentacijo, za uveljavljanje katere je značilen kratek rok za odločitev o zahtevi s strani izvajalca zdravstvenih storitev – najpozneje v roku pet delovnih dni.

Kakšne so moje pravice po Splošni uredbi?

Pravico dostopa do svojih osebnih podatkov posamezniki najpogosteje uveljavljajo na podlagi Splošne uredbe. Splošne uredba v 15. členu določa, da mora upravljavec posamezniku na njegovo zahtevo

  1. posredovati potrditev, ali se v zvezi z njim obdelujejo osebni podatki;

  2. omogočiti vpogled ali posredovati reprodukcijo teh osebnih podatkov, torej zagotoviti dostop do njihove vsebine, in

  3. če se osebni podatki posameznika pri upravljavcu res obdelujejo, tudi naslednje informacije:

(a)

namene obdelave;

(b)

vrste zadevnih osebnih podatkov;

(c)

uporabnike ali kategorije uporabnika, ki so jim bili ali jim bodo razkriti osebni podatki, zlasti uporabnike v tretjih državah ali mednarodnih organizacijah;

(d)

kadar je mogoče, predvideno obdobje hrambe osebnih podatkov ali, če to ni mogoče, merila, ki se uporabijo za določitev tega obdobja;

(e)

obstoj pravice, da se od upravljavca zahteva popravek ali izbris osebnih podatkov ali omejitev obdelave osebnih podatkov v zvezi s posameznikom, na katerega se nanašajo osebni podatki, ali obstoj pravice do ugovora taki obdelavi;

(f)

pravico do vložitve pritožbe pri nadzornem organu;

(g)

kadar osebni podatki niso zbrani pri posamezniku, na katerega se ti nanašajo, vse razpoložljive informacije v zvezi z njihovim virom;

(h)

obstoj avtomatiziranega sprejemanja odločitev, vključno z oblikovanjem profilov iz člena 22(1) in (4) Splošne uredbe (EU) o varstvu podatkov, ter vsaj v takih primerih smiselne informacije o razlogih zanj, kot tudi pomen in predvidene posledice take obdelave za posameznika, na katerega se nanašajo osebni podatki.

Zahtevo je po Splošni uredbi možno zavrniti, če niso izpolnjeni osnovni pogoji za seznanitev (npr. ker ne gre za osebne podatke ali ker zahtevanih podatkov sploh ni), če je zahteva očitno neutemeljena ali pretirana ali če so v ustavi, mednarodnih aktih ali področnih zakonih določene posebne izjeme.

Prav tako mora upravljavec osebnih podatkov v skladu s 16., 17., 18., 20., 21. in 22. členom Splošne uredbe na zahtevo posameznika, na katerega se nanašajo osebni podatki, pod določenimi pogoji:

  • popraviti osebne podatke,

  • izbrisati osebne podatke,

  • omejiti obdelavo osebnih podatkov,

  • zagotoviti prenosljivost podatkov in

  • upoštevati ugovor zoper avtomatizirano obdelavo, zoper neposredno trženje in zoper obdelavo, ki se izvaja le na podlagi zakonitih interesov upravljavca ali nujnosti za izvajanje nalog v javnem interesu.

V katerem roku bom prejel zahtevane informacije po Splošni uredbi?

Rok za odločitev upravljavca je en mesec od prejema zahteve. Rok se konča s pretekom tistega dneva v naslednjem mesecu glede na mesec vložitve popolne zahteve, ki se po svoji številki ujema z dnem, ko je bila vložena popolna zahteva. Če naslednji mesec nima ustreznega števila dni, se rok izteče zadnji dan v naslednjem mesecu.
 
Ta rok se lahko po potrebi podaljša za največ dva dodatna meseca ob upoštevanju kompleksnosti in števila zahtev. Upravljavec obvesti posameznika, na katerega se nanašajo osebni podatki, o vsakem takem podaljšanju v enem mesecu po prejemu zahteve skupaj z razlogi za zamudo.

Kakšne so moje pravice po ZVOPOKD?

Po 24. členu ZVOPOKD ima posameznik pravico seznaniti se s svojimi osebnimi podatki, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij. Posameznik, na katerega se nanašajo osebni podatki, lahko od pristojnega organa (to so lahko policija, državna tožilstva, Uprava Republike Slovenije za probacijo, Uprava Republike Slovenije za izvrševanje kazenskih sankcij in drugi pristojni državni organi) zahteva:

  1. podatek o tem, ali se obdelujejo njegovi osebni podatki,

  2. kopijo ali izpis teh podatkov ter

  3. če se osebni podatki res obdelujejo, ima posameznik pravico pridobiti konkretne informacije o:

  4. namenih obdelave in njihovi pravni podlagi;

  5. vrstah osebnih podatkov, ki se obdelujejo;

  6. uporabnikih ali kategorijah uporabnikov, ki so jim bili podatki razkriti, zlasti če gre za uporabnike v tretjih državah ali mednarodnih organizacijah, v primerih omejitev iz prvega odstavka 25. člena tega zakona pa se lahko navede le okvirni opis uporabnikov;

  7. roku hrambe ali roku za redni pregled potrebe po hrambi;

  8. obstoju pravice zahtevati popravek ali izbris podatkov ali omejitev obdelave in pravici do vložitve pritožbe pri nadzornem organu;

  9. obstoju pravice do vložitve prijave pri nadzornem organu in njegovih kontaktnih podatkih;

  10. vseh razpoložljivih informacijah o viru osebnih podatkov, razen če je identiteta vira varovana kot tajna ali zaupna po določbah zakona.

Zahtevo po ZVOPOKD lahko pristojni organ zavrne, če niso izpolnjeni osnovni pogoji za seznanitev (npr. ker ne gre za osebne podatke), če je zahteva očitno neutemeljena ali pretirana ali če so v ustavi, mednarodnih aktih ali področnih zakonih določene posebne izjeme. Poleg tega pa pristojni organ ne zagotovi konkretnih informacij (iz 3. točke zgoraj), kadar bi se s tem razkrila identiteta oseb, zoper katere se izvajajo prikriti preiskovalni ukrepi po zakonu, ki ureja kazenski postopek, ali zoper katere so razpisani ukrepi prikritega evidentiranja in namenske kontrole po zakonu, ki ureja naloge in pooblastila policije.

Več informacij glede pravice do dostopa do osebnih podatkov po ZVOPOKD je dostopnih tukaj.

ZVOPOKD pa pristojnemu organu poleg zagotavljanja pravice do dostopa do osebnih podatkov nalaga, da na zahtevo posameznika, na katerega se nanašajo podatki, in pod pogoji iz 26. člena:

  • popravi ali dopolni netočne oz. nepopolne osebne podatke,

  • izbriše osebne podatke in

  • omeji obdelavo podatkov.

V katerem roku bom prejel zahtevane informacije po ZVOPOKD?

Pristojni organ o zahtevi odloči brez nepotrebnega odlašanja, najpozneje pa v enem mesecu po prejemu zahteve. V primeru zavrnitve ali omejitve dostopa in razlogih za to (v skladu s prvim odstavkom 25. člena) mora prisojni organ odločiti brez nepotrebnega odlašanja oz. najkasneje v 15 dneh od prejema zahteve. Ta rok lahko organ po potrebi s sklepom podaljša za največ 15 dni ob upoštevanju zapletenosti zahteve oz. števila zahtev. Odločba organa mora vsebovati tudi pouk o pravici do pritožbe pri nadzornem organu (IP).

Kakšne so moje pravice po Zakonu o pacientovih pravicah?

Seznanitev z zdravstveno dokumentacijo ureja poseben zakon – Zakon o pacientovih pravicah (ZPacP) v 41. členu.

Pacient ima ob prisotnosti zdravnika ali drugega zdravstvenega delavca oz. zdravstvenega sodelavca pravico do neoviranega vpogleda in prepisa zdravstvene dokumentacije, ki se nanaša nanj. Fotokopiranje ali drugo reprodukcijo zdravstvene dokumentacije mora zagotoviti izvajalec zdravstvene dejavnosti. Verodostojno reprodukcijo slikovne dokumentacije, ki se ne hrani v elektronski obliki, je izvajalec zdravstvene dejavnosti dolžan zagotoviti, če razpolaga s tehničnimi sredstvi, ki to omogočajo.

Pacient in druge upravičene osebe imajo ob kršitvi določbe 41. člena ZPacP pravico vložiti pritožbo pri IP.

Ker na tem področju veljajo posebna pravila, predlagamo, da se z njimi seznanite na naši spletni strani

V katerem roku bom prejel zahtevane informacije po ZPacP?

Izvajalec zdravstvene dejavnosti mora pravico dostopa do zdravstvene dokumentacije pacientu omogočiti takoj ali najpozneje v petih delovnih dneh po prejemu zahteve. Pacient lahko pri istem izvajalcu zdravstvene dejavnosti vloži zahtevo največ dvakrat mesečno.

So z uresničevanjem mojih pravic po Splošni uredbi, ZVOPOKD ali ZPacP povezani kakšni stroški?

Upravna taksa, pristojbina ali drugi stroški se za zahtevo ali pritožbo ne plačujejo.

Posredovanje zahtevanih osebnih podatkov in informacij se po Splošni uredbi, ZVOPOKD in ZPacP zagotovi brezplačno.

V zvezi s tem sta v primeru zahteve po Splošni uredbi možni dve izjemi:

  1. Kadar so zahteve posameznika, na katerega se nanašajo osebni podatki, očitno neutemeljene ali pretirane zlasti ker se ponavljajo, lahko upravljavec:

(a)

zaračuna razumno pristojbino, pri čemer upošteva administrativne stroške posredovanja informacij ali sporočila ali izvajanja zahtevanega ukrepa, ali

(b)

zavrne ukrepanje v zvezi z zahtevo

  1. Za dodatne kopije, ki jih zahteva posameznik, na katerega se nanašajo osebni podatki, lahko upravljavec zaračuna razumno pristojbino ob upoštevanju administrativnih stroškov.

Kam in kako vložim zahtevo?

Zahteva se vloži pri upravljavcu (to je lahko tudi pristojni organ po ZVOPOKD ali izvajalec zdravstvenih storitev, če gre za zdravstveno dokumentacijo), za katerega posameznik meni, da obdeluje njegove osebne podatke.

Zahteva se vloži praviloma pisno. Lahko se vloži tudi po e-pošti ter na neobvezujočem obrazcu, ki je objavljen na naši spletni strani. Upravljavec ima pravico, da od posameznika zahteva dodatne informacije zato, da se odpravi dvom v identiteto posameznika, ki je podal zahtevo.

Priporočamo vam, da se zahteve pošiljajo priporočeno ali s povratnico.

Število zahtev ni omejeno, toda v primeru pretirano pogostih zahtev, se take zahteve lahko zavrne zgolj iz tega razloga ali pa se posamezniku v primeru zahteve po Splošni uredbi zaračuna razumno pristojbino.

Zahteva mora, poleg ostalih vsebin iz obrazca, vsebovati čim bolj podroben opis osebnih podatkov oz. dokumentov, ki jih želi posameznik prejeti (npr. kopija plačilne liste za mesec..., kopija personalne mape, izpis telefonskih klicev za obdobje..., pogodbo, ki sem jo sklenil …, izpis podatkov o opravljenih nakupih, podatki o ocenah v ... letniku, osebni podatki, ki ste jih dne ... prejeli od .... ipd.), ali zahtevanih informacij (npr. obdobje hrambe videoposnetkov nadzorne kamere, namen obdelave konkretnega elektronskega naslova). V nasprotnem primeru upravljavec ne more ugotoviti, kateri osebni podatki oz. dokumenti ali informacije v zvezi z obdelavo podatkov so predmet zahteve posameznika.

Od upravljavca zahtevajte le tiste podatke oz. informacije, ki jih res želite oz. potrebujete in ki upravljavca po nepotrebnem ne obremenjujejo. Če želite samo reprodukcijo (kopijo) vaših osebnih podatkov, potem označite samo to.

Kaj lahko storim, če zahtevanih podatkov ne prejmem?

Upravljavec, ki je državni organ ali lokalna skupnost o zahtevi odloči z odločbo, če je odločitev zavrnilna, sicer pa z uradnim zaznamkom. Drugi upravljavci o zahtevi odločijo s pisnim obvestilom, ne glede na vsebino odločitve.

Zoper molk upravljavca (tj. če posamezniku ne odgovori v enomesečnem ali v izjemoma podaljšanem roku oz. v petdnevnem roku v primeru uveljavljanja pravice po ZPacP) ali zoper zavrnilni odgovor upravljavca je mogoča pritožba oziroma prijava, za reševanje katere je pristojen IP. Ta se rešuje v »postopku na podlagi prijave prijavitelja s posebnim položajem« in poteka po pravilih ZVOP-2 (30. do 34. člen) in Zakona o splošnem upravnem postopku (ZUP) ter s preiskovalnimi pooblastili iz Splošne uredbe.

Pritožbo oziroma prijavo zaradi molka je treba po izteku predpisanega roka vložiti pri IP, pri čemer roka za vložitev pritožbe ni.

Pritožbo oziroma prijavo zaradi zavrnitve je treba vložiti pri IP v 15 dneh od prejema zavrnilnega odgovora.
Pritožbo oziroma prijavo lahko podate s pomočjo posebnega obrazca.

Pritožbi oziroma prijavi obvezno priložite kopijo zahteve, ki ste jo naslovili na upravljavca in po možnosti tudi potrdilo o oddaji poštne pošiljke ter kopijo odločitve upravljavca, zoper katero se pritožujete (dopis, odločba, sklep, obvestilo, račun, poziv in podobno), razen če vam upravljavec ni odgovoril.