Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 30.09.2020
Naslov: Posredovanje OP
Številka: 07121-1/2020/1737
Vsebina: Posredovanje OP med upravljavci, Pravica do pozabe, Pravica do seznanitve z lastnimi osebnimi podatki
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede obdelave vaših osebnih podatkov s strani posameznega podjetja.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

IP uvodoma poudarja, da konkretnega in dokončnega odgovora o zakonitosti obdelave osebnih podatkov v okviru mnenja v nobenem primeru ne more podati, saj lahko posamezne primere obdelave podatkov konkretno presoja zgolj v okviru inšpekcijskega ali drugega upravnega postopka.

IP pojasnjuje, da Splošna uredba o varstvu podatkov v 15. členu ureja pravico do dostopa oziroma do seznanitve z lastnimi osebnimi podatki. Tako v prvem odstavku določa, da ima posameznik, na katerega se nanašajo osebni podatki, pravico od upravljavca dobiti potrditev, ali se v zvezi z njim obdelujejo osebni podatki, in kadar je temu tako, dostop do osebnih podatkov in naslednje informacije:

a)    namene obdelave;
b)    vrste zadevnih osebnih podatkov;
c)    uporabnike ali kategorije uporabnika, ki so jim bili ali jim bodo razkriti osebni podatki, zlasti uporabnike v tretjih državah ali mednarodnih organizacija;
d)    kadar je mogoče, predvideno obdobje hrambe osebnih podatkov ali, če to ni mogoče, merila, ki se uporabijo za določitev tega obdobja;
e)    obstoj pravice, da se od upravljavca zahteva popravek ali izbris osebnih podatkov ali omejitev obdelave osebnih podatkov v zvezi s posameznikom, na katerega se nanašajo osebni podatki, ali obstoj pravice do ugovora taki obdelavi;
f)    pravico do vložitve pritožbe pri nadzornem organu;
g)    kadar osebni podatki niso zbrani pri posamezniku, na katerega se ti nanašajo, vse razpoložljive informacije v zvezi z njihovim virom;
h)    obstoj avtomatiziranega sprejemanja odločitev, vključno z oblikovanjem profilov iz člena 22(1) in (4) Splošne uredbe (EU) o varstvu podatkov, ter vsaj v takih primerih smiselne informacije o razlogih zanj, kot tudi pomen in predvidene posledice take obdelave za posameznika, na katerega se nanašajo osebni podatki.

 

Zahteva se vloži pri upravljavcu, za katerega posameznik meni, da obdeluje njegove osebne podatke. Rok za odločitev upravljavca je en mesec od prejema zahteve. Zoper molk upravljavca ali zoper njegov zavrnilni odgovor je mogoča pritožba, za reševanje katere je pristojen IP. Pritožbo zaradi zavrnitve je treba vložiti v 15 dneh od prejema odgovora.

Splošna uredba o varstvu podatkov ureja tudi pravico do izbrisa (»pravico do pozabe«), in sicer v 17. členu. Ta v prvem odstavku določa, da ima posameznik, na katerega se nanašajo osebni podatki, pravico doseči, da upravljavec brez nepotrebnega odlašanja izbriše osebne podatke v zvezi z njim, upravljavec pa ima obveznost osebne podatke brez nepotrebnega odlašanja izbrisati, kadar velja eden od naslednjih razlogov:

i)    osebni podatki niso več potrebni v namene, za katere so bili zbrani ali kako drugače obdelani;
j)    posameznik, na katerega se nanašajo osebni podatki, prekliče privolitev, na podlagi katere poteka obdelava in kadar za obdelavo ne obstaja nobena druga pravna podlaga;
k)    posameznik, na katerega se nanašajo osebni podatki, obdelavi ugovarja v skladu s členom 21(1) uredbe, za njihovo obdelavo pa ne obstajajo nobeni prevladujoči zakoniti razlogi, ali pa posameznik, na katerega se nanašajo osebni podatki, obdelavi ugovarja v skladu s členom 21(2) uredbe;
l)    osebni podatki so bili obdelani nezakonito;
m)    osebne podatke je treba izbrisati za izpolnitev pravne obveznosti v skladu s pravom EU ali pravom države članice, ki velja za upravljavca;
n)    osebni podatki so bili zbrani v zvezi s ponudbo storitev informacijske družbe iz člena 8(1) uredbe.

 

Izjemo predstavlja tretji odstavek 17. člena, ki določa, da se prvi odstavek ne uporablja, če je obdelava potrebna:

a)    za uresničevanje pravice do svobode izražanja in obveščanja;
b)    za izpolnjevanje pravne obveznosti obdelave na podlagi prava Unije ali prava države članice, ki velja za upravljavca, ali za izvajanje naloge v javnem interesu ali pri izvajanju javne oblasti, ki je bila dodeljena upravljavcu;
c)    iz razlogov javnega interesa na področju javnega zdravja v skladu s točkama (h) in (i) člena 9(2) ter členom 9(3);
d)    za namene arhiviranja v javnem interesu, za znanstveno- ali zgodovinsko raziskovalne namene ali statistične namene v skladu s členom 89(1), kolikor bi pravica iz odstavka 1 lahko onemogočila ali resno ovirala uresničevanje namenov te obdelave, ali
e)    za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov.

 

Splošna uredba o varstvu podatkov torej posameznikom omogoča uveljavljanje pravice do izbrisa, vendar ta ni absolutna, ampak njeno uresničevanje poteka v skladu z zgoraj navedenimi pogoji. Ob prejemu vsake zahteve za izbris osebnih podatkov mora upravljavec najprej temeljito preveriti, ali mora dejansko ugoditi zahtevi posameznika ali pa obstajajo drugi razlogi za nadaljnjo hrambo osebnih podatkov, na podlagi katerih se zahtevi za izbris ne more ugoditi. 

V primeru, da je zahteva utemeljena in ni več podlage za hrambo podatkov, se vsebine podatkov ne sme več hraniti. Lahko se hrani zgolj dokaz o izbrisu brez vsebine podatkov.

IP vam svetuje, da pri podjetjih, ki ju navajate v vašem zaprosilu, podate zahtevo za seznanitev z lastnimi osebnimi podatki in počakate na njihov odgovor oziroma na potek roka za odgovor. IP svetuje tudi, da v zahtevi čim bolj natančno opredelite, kaj v zvezi z vašimi osebnimi podatki vas posebej zanima (kot ste to opredelili v zaprosilu, ki ste nam ga poslali). Za podrobnejše informacije v zvezi z navedeno pravico in kako jo uveljavljati, vas napotujemo na našo spletno stran, kjer lahko najdete tudi (neobvezujoč) obrazec zahteve:

https://tiodlocas.si/zelim-vedeti-kaj-pocnejo-z-mojimi-podatki/.

Iz informacij upravljavca, ki jih boste pridobili na podlagi 15. člena Splošne uredbe o varstvu podatkov, naj bi bilo razvidno, ali podjetje osebne podatke obdeluje na zakoniti pravni podlagi. Pravne podlage za obdelavo osebnih podatkov so določene v prvem odstavku v 6. člena Splošne uredbe o varstvu podatkov, kjer je določeno, da je obdelava zakonita le in kolikor je izpolnjen vsaj eden od šestih navedenih pogojev.

Od podjetja lahko zahtevate tudi izbris vaših osebnih podatkov, če menite, da ne obstajajo razlogi za njihovo nadaljnjo obdelavo. O tej zahtevi mora upravljavec (podjetje) odločiti ob upoštevanju določil 17. člena Splošne uredbe o varstvu podatkov.

V kolikor boste na podlagi prejetih informacij presodili, da posamezno podjetje nezakonito obdeluje vaše osebne podatke, lahko pri IP vložite prijavo kršitve varstva osebnih podatkov. To lahko storite po elektronski pošti na naslov gp.ip@ip-rs.si, oz. po navadni pošti na naslov: Informacijski pooblaščenec, Dunajska cesta 22, 1000 Ljubljana.

Priporočamo, da prijavo pošljete na ustreznem obrazcu.

 

 

S spoštovanjem.

 

 

Pripravil:

Matej Sironič,                                                  

Svetovalec pooblaščenca

za varstvo osebnih podatkov

 

Mojca Prelesnik, univ. dipl. prav.,

Informacijska pooblaščenka