Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 06.09.2019
Naslov: Obdelava OP
Številka: 0712-1/2019/2029
Vsebina: Pravica do pozabe, Pravica do seznanitve z lastnimi osebnimi podatki
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede domnevno neupravičene obdelave vaših osebnih podatkov s strani posameznih zaposlenih v podjetju.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

IP uvodoma poudarja, da konkretnega in dokončnega odgovora o zakonitosti obdelave osebnih podatkov v okviru mnenja v nobenem primeru ne more podati, saj lahko posamezne primere obdelave podatkov konkretno presoja zgolj v okviru inšpekcijskega ali drugega upravnega postopka.

IP pojasnjuje, da Splošna uredba o varstvu podatkov v 15. členu ureja pravico do dostopa oziroma do seznanitve z lastnimi osebnimi podatki. Tako v prvem odstavku določa, da ima posameznik, na katerega se nanašajo osebni podatki, pravico od upravljavca dobiti potrditev, ali se v zvezi z njim obdelujejo osebni podatki, in kadar je temu tako, dostop do osebnih podatkov in naslednje informacije:

  1. namene obdelave;

  2. vrste zadevnih osebnih podatkov;

  3. uporabnike ali kategorije uporabnika, ki so jim bili ali jim bodo razkriti osebni podatki, zlasti uporabnike v tretjih državah ali mednarodnih organizacija;

  4. kadar je mogoče, predvideno obdobje hrambe osebnih podatkov ali, če to ni mogoče, merila, ki se uporabijo za določitev tega obdobja;

  5. obstoj pravice, da se od upravljavca zahteva popravek ali izbris osebnih podatkov ali omejitev obdelave osebnih podatkov v zvezi s posameznikom, na katerega se nanašajo osebni podatki, ali obstoj pravice do ugovora taki obdelavi;

  6. pravico do vložitve pritožbe pri nadzornem organu;

  7. kadar osebni podatki niso zbrani pri posamezniku, na katerega se ti nanašajo, vse razpoložljive informacije v zvezi z njihovim virom;

  8. obstoj avtomatiziranega sprejemanja odločitev, vključno z oblikovanjem profilov iz člena 22(1) in (4) Splošne uredbe (EU) o varstvu podatkov, ter vsaj v takih primerih smiselne informacije o razlogih zanj, kot tudi pomen in predvidene posledice take obdelave za posameznika, na katerega se nanašajo osebni podatki.

 

Zahteva se vloži pri upravljavcu, za katerega posameznik meni, da obdeluje njegove osebne podatke. Rok za odločitev upravljavca je en mesec od prejema zahteve. Zoper molk upravljavca ali zoper njegov zavrnilni odgovor je mogoča pritožba, za reševanje katere je pristojen IP. Pritožbo zaradi zavrnitve je treba vložiti v 15 dneh od prejema odgovora.

 

Pravico do izbrisa (»pravico do pozabe«) pa Splošna uredba o varstvu podatkov ureja v 17. členu, ki v prvem odstavku določa, da ima posameznik, na katerega se nanašajo osebni podatki, pravico doseči, da upravljavec brez nepotrebnega odlašanja izbriše osebne podatke v zvezi z njim, upravljavec pa ima obveznost osebne podatke brez nepotrebnega odlašanja izbrisati, kadar velja eden od naslednjih razlogov:

  1. osebni podatki niso več potrebni v namene, za katere so bili zbrani ali kako drugače obdelani;

  2. posameznik, na katerega se nanašajo osebni podatki, prekliče privolitev, na podlagi katere poteka obdelava in kadar za obdelavo ne obstaja nobena druga pravna podlaga;

  3. posameznik, na katerega se nanašajo osebni podatki, obdelavi ugovarja v skladu s členom 21(1) uredbe, za njihovo obdelavo pa ne obstajajo nobeni prevladujoči zakoniti razlogi, ali pa posameznik, na katerega se nanašajo osebni podatki, obdelavi ugovarja v skladu s členom 21(2) uredbe;

  4. osebni podatki so bili obdelani nezakonito;

  5. osebne podatke je treba izbrisati za izpolnitev pravne obveznosti v skladu s pravom EU ali pravom države članice, ki velja za upravljavca;

  6. osebni podatki so bili zbrani v zvezi s ponudbo storitev informacijske družbe iz člena 8(1) uredbe.

 

Izjemo predstavlja tretji odstavek 17. člena, ki določa, da se prvi odstavek ne uporablja, če je obdelava potrebna:

  1. za uresničevanje pravice do svobode izražanja in obveščanja;

  2. za izpolnjevanje pravne obveznosti obdelave na podlagi prava Unije ali prava države članice, ki velja za upravljavca, ali za izvajanje naloge v javnem interesu ali pri izvajanju javne oblasti, ki je bila dodeljena upravljavcu;

  3. iz razlogov javnega interesa na področju javnega zdravja v skladu s točkama (h) in (i) člena 9(2) ter členom 9(3);

  4. za namene arhiviranja v javnem interesu, za znanstveno- ali zgodovinsko raziskovalne namene ali statistične namene v skladu s členom 89(1), kolikor bi pravica iz odstavka 1 lahko onemogočila ali resno ovirala uresničevanje namenov te obdelave, ali

  5. za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov.

 

Splošna uredba o varstvu podatkov torej posameznikom omogoča uveljavljanje pravice do izbrisa, vendar ta ni absolutna, ampak njeno uresničevanje poteka v skladu z zgoraj navedenimi pogoji. Ob prejemu vsake zahteve za izbris osebnih podatkov mora upravljavec najprej temeljito preveriti, ali mora dejansko ugoditi zahtevi posameznika ali pa obstajajo drugi razlogi za nadaljnjo hrambo osebnih podatkov, na podlagi katerih se zahtevi za izbris ne more ugoditi. 

V primeru, da je zahteva utemeljena in ni več podlage za hrambo podatkov, se vsebine podatkov ne sme več hraniti. Lahko se hrani zgolj dokaz o izbrisu brez vsebine podatkov.

IP vam svetuje, da pri podjetju, ki ga navajate v vašem zaprosilu, podate zahtevo za seznanitev z osebnimi podatki in počakate na njihov odgovor oziroma na potek roka za odgovor. IP svetuje tudi, da v zahtevi čim bolj natančno opredelite, kaj v zvezi z vašimi osebnimi podatki vas posebej zanima (kot ste to opredelili v zaprosilu, ki ste nam ga poslali). Za podrobnejše informacije v zvezi z navedeno pravico in kako jo uveljavljati, vas napotujemo na našo spletno stran, kjer lahko najdete tudi (neobvezujoč) obrazec zahteve:

https://tiodlocas.si/zelim-vedeti-kaj-pocnejo-z-mojimi-podatki/.

Od podjetja lahko zahtevate tudi izbris vaših osebnih podatkov, če menite, da ne obstajajo razlogi za njihovo nadaljnjo obdelavo. O tej zahtevi mora upravljavec (podjetje) odločiti ob upoštevanju določil 17. člena Splošne uredbe o varstvu podatkov.

V kolikor odgovora ne bo ali bo vaša zahteva po vašem mnenju neupravičeno zavrnjena, vam IP svetuje, da vložite pritožbo. Splošna uredba o varstvu podatkov v 77. členu določa, da ima brez poseganja v katero koli drugo upravno ali pravno sredstvo vsak posameznik, na katerega se nanašajo osebni podatki, pravico, da vloži pritožbo pri nadzornem organu, zlasti v državi članici, v kateri ima običajno prebivališče, v kateri je njegov kraj dela ali v kateri je domnevno prišlo do kršitve, če meni, da obdelava osebnih podatkov v zvezi z njim krši to uredbo. Nadzorni organ v RS je Informacijski pooblaščenec, ki je v skladu z 2. členom ZInfP samostojen in neodvisen državni organ, pristojen za inšpekcijski nadzor nad izvajanjem zakona in drugih predpisov, ki urejajo varstvo ali obdelavo osebnih podatkov oziroma iznos osebnih podatkov iz Republike Slovenije, ter opravljanje drugih nalog, ki jih določajo ti predpisi.

Iz informacij upravljavca, ki jih boste pridobili na podlagi 15. člena Splošne uredbe o varstvu podatkov, naj bi bilo razvidno, ali podjetje osebne podatke obdeluje na zakoniti pravni podlagi. Pravne podlage za obdelavo osebnih podatkov so določene v prvem odstavku v 6. člena Splošne uredbe o varstvu podatkov, kjer je določeno, da je obdelava zakonita le in kolikor je izpolnjen vsaj eden od šestih navedenih pogojev.

V kolikor boste na podlagi prejetih informacij presodili, da podjetje nezakonito obdeluje vaše osebne podatke, lahko pri IP vložite prijavo kršitve varstva osebnih podatkov. To lahko storite po elektronski pošti na naslov gp.ip@ip-rs.si, oz. po navadni pošti na naslov: Informacijski pooblaščenec, Dunajska cesta 22, 1000 Ljubljana.

Priporočamo, da prijavo pošljete na ustreznem obrazcu.

 

 

S spoštovanjem.

 

 

Pripravil:

Matej Sironič,

Svetovalec pooblaščenca

za varstvo osebnih podatkov

 

 

Mojca Prelesnik, univ. dipl. prav.,

Informacijska pooblaščenka