Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 06.09.2019
Naslov: Pravica do izbrisa
Številka: 0712-1/2019/2028
Vsebina: Pravica do pozabe, Rok hrambe OP
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je prejel vaše zaprosilo za mnenje. Navajate, da ste pri zavezancu zahtevali izbris vašega računa in tudi vseh vaših osebnih podatkov, odgovorili pa so vam, da morajo skladno z Zakonom o preprečevanju pranja denarja vaše osebne podatke hraniti še deset let po prenehanju poslovnega razmerja. Zanima vas, ali je takšna obrazložitev skladna s Splošno uredbo o varstvu podatkov (ang. GDPR).

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov, v nadaljevanju Splošna uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

V zvezi z zahtevo po izbrisu IP že uvodoma opozarja, da je ta utemeljena le, če za obdelavo osebnih podatkov ni pravne podlage. Če se namreč podatke obdeluje zakonito oziroma obstaja zakonska podlaga za obdelavo, potem izbrisa teh podatkov načeloma ni mogoče upravičeno zahtevati.

 

Pravica do izbrisa oziroma pravica do pozabe je urejena v členu 17 Splošne uredbe. Posameznik, na katerega se nanašajo osebni podatki, ima na tej podlagi pravico doseči, da upravljavec brez nepotrebnega odlašanja izbriše osebne podatke v zvezi z njim, upravljavec pa ima obveznost osebne podatke brez nepotrebnega odlašanja izbrisati, kadar je podan eden od naslednjih razlogov:

a) osebni podatki niso več potrebni v namene, za katere so bili zbrani ali kako drugače obdelani;

b) posameznik, na katerega se nanašajo osebni podatki, prekliče privolitev, na podlagi katere poteka obdelava v skladu s točko (a) člena 6(1) ali točko (a) člena 9(2), in kadar za obdelavo ne obstaja nobena druga pravna podlaga;

c) posameznik, na katerega se nanašajo osebni podatki, obdelavi ugovarja v skladu s členom 21(1), za njihovo obdelavo pa ne obstajajo nobeni prevladujoči zakoniti razlogi, ali pa posameznik, na katerega se nanašajo osebni podatki, obdelavi ugovarja v skladu s členom 21(2);

d) osebni podatki so bili obdelani nezakonito;

e) osebne podatke je treba izbrisati za izpolnitev pravne obveznosti v skladu s pravom Unije ali pravom države članice, ki velja za upravljavca;

f) osebni podatki so bili zbrani v zvezi s ponudbo storitev informacijske družbe iz člena 8(1).

 

Ob tem je potrebno izpostaviti, da pravica do izbrisa ni neomejena. Splošna uredba v členu 17(3) določa, da se posameznik, na katerega se nanašajo osebni podatki, ne more sklicevati na pravico do izbrisa, če je obdelava potrebna:

a) za uresničevanje pravice do svobode izražanja in obveščanja;

b) za izpolnjevanje pravne obveznosti obdelave na podlagi prava Unije ali prava države članice, ki velja za upravljavca, ali za izvajanje naloge v javnem interesu ali pri izvajanju javne oblasti, ki je bila dodeljena upravljavcu;

c) iz razlogov javnega interesa na področju javnega zdravja v skladu s točkama (h) in (i) člena 9(2) ter členom 9(3);

d) za namene arhiviranja v javnem interesu, za znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene v skladu s členom 9(1), kolikor bi pravica iz odstavka 1 lahko onemogočila ali resno ovirala uresničevanje namenov te obdelave, ali

e) za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov.

 

V zvezi z vašim vprašanjem IP izpostavlja določbo točke (a) člena 17(3) Splošne uredbe, iz katere izhaja, da zahteva za izbris ni utemeljena, če je obdelava potrebna za izpolnjevanje pravne obveznosti obdelave na podlagi prava Unije ali prava države članice, ki velja za upravljavca, ali za izvajanje naloge v javnem interesu ali pri izvajanju javne oblasti, ki je bila dodeljena upravljavcu. V takšnem primeru se osebnih podatkov ne sme brisati, četudi bi posameznik tako zahteval, temveč je treba upoštevati pogoje in roke hrambe, ki jih določa zakonodaja.

 

Določba 129. člena Zakona o preprečevanju pranja denarja in financiranja terorizma (Uradni list RS, št. 68/16) določa, da zavezanci hranijo podatke, ki so jih pridobili na podlagi 16., 17., 18., 22., 23., 24., 25., 26., 27., 28., 29., 30., 31., 43., 48., 49., 50., 54., 58., 59., 60., 61., 62., 63., 68., 69., 96., 97. in 98. člena tega zakona, in pripadajočo dokumentacijo, ki se nanaša na pregled stranke in posamezne transakcije, deset let po prenehanju poslovnega razmerja, opravljeni transakciji, vstopu stranke v igralnico oziroma igralni salon ali pristopu k sefu, razen če drug zakon ne predvideva daljšega roka hrambe.

 

Iz navedenega izhaja, da je obrazložitev, ki ste jo prejeli, povsem skladna s Splošno uredbo in Zakonom o preprečevanju pranja denarja in financiranja terorizma.

 

Več informacij v zvezi s pravico do izbrisa je dostopnih na spletni strani, ki jo je IP pripravil v okviru projekta, s katerim želimo dvigniti raven zavedanja o pravicah s področja varstva osebnih podatkov: www.tiodlocas.si; povezava do rubrike glede pravice do izbrisa: https://tiodlocas.si/zelim-izbrisati-svoje-podatke/.

 

 

Lep pozdrav,

 

 

Mojca Prelesnik, univ. dipl. prav.,

informacijska pooblaščenka

 

 

Pripravila:

Tina Ivanc, univ. dipl. prav.,
svetovalka IP za varstvo osebnih podatkov