Informacijski pooblaščenec Republika Slovenija
   
dekorativna slika

Obveščanje posameznikov o obdelavi osebnih podatkov

+ -

Na kratko

Pregledna obdelava osebnih podatkov

Katere informacije mora prejeti posameznik v zvezi z obdelavo osebnih podatkov?

Kdaj mora posameznik prejeti informacije?

Kdaj upravljavcu informacij ni treba zagotoviti?

Na kakšen način mora posameznik prejeti informacije?

Koristni nasveti

Na kratko

Posameznik mora biti natančno obveščen o tem, v kakšnem obsegu poteka obdelava osebnih podatkov pri upravljavcu in kakšne so posledice te obdelave. Splošna uredba o varstvu podatkov v 13. in 14. členu tako določa, katere so informacije, ki jih mora upravljavec zagotoviti posameznikom, odvisno od tega, ali so bili osebni podatki pridobljeni s strani posameznika ali iz drugega vira.

Pregledna obdelava osebnih podatkov

Osebni podatki posameznika morajo biti obdelani zakonito, pošteno in na pregleden način (t.i. načelo zakonitosti, poštenosti in preglednosti). Upravljavec mora zato posameznikom zagotoviti pregledne informacije glede načina in obsega obdelave osebnih podatkov, kakor tudi glede možnih tveganj in zaščitnih ukrepov, ki jih je sprejel. Načelo preglednosti zahteva, da morajo biti vse informacije in sporočila, ki se nanašajo na obdelavo osebnih podatkov lahko dostopni in razumljivi ter izraženi v jasnem in preprostem jeziku.

Uredba tako upravljavcem nalaga, da ob pridobitvi osebnih podatkov posameznikom zagotovijo nekatere informacije, kot so npr. kdo obdeluje osebne podatke, zakaj jih obdeluje, komu osebne podatke posreduje, koliko časa se bodo osebni podatki hranili, katere pravice imajo posamezniki skladno z Uredbo, informacije glede profiliranja oziroma avtomatiziranega odločanja in informacijo o tem, ali obdelujejo osebne podatke za druge namene.

Katere informacije mora prejeti posameznik v zvezi z obdelavo osebnih podatkov?

Uredba v 13. in 14. členu določa, katere informacije mora upravljavec zagotoviti posameznikom, odvisno od tega, ali so bili osebni podatki pridobljeni neposredno od posameznika ali pa iz drugih virov, npr. s strani drugih upravljavcev, javni dostopnih virov, itd.

V kolikor upravljavec pridobi informacije neposredno od posameznika, mu mora podati naslednje informacije:

  1. informacije o upravljavcu (s kontaktnimi podatki upravljavca in njegovega predstavnika, če obstaja) ter kontakt pooblaščene osebe za varstvo podatkov (če je imenovana);
  2. informacije o namenih, za katere se osebni podatki obdelujejo in pravno podlago za njihovo obdelavo. Kadar namerava upravljavec nadalje obdelovati osebne podatke za drug namen, mora posamezniku pred nadaljnjo obdelavo njegovih podatkov zagotoviti informacije o tem drugem namenu;
  3. kadar poteka obdelava osebnih podatkov na podlagi zakonitih interesov (točka (f) člena 6(1) Uredbe), je treba navesti zakonite interese, za uveljavljanje katerih si prizadeva upravljavec ali tretja oseba;
  4. kadar obdelava temelji na privolitvi, (točka (a) člena 6(1) ali točka (a) člena 9(2) Uredbe), obstoj pravice, da se lahko privolitev kadar koli prekliče;
  5. informacije o uporabnikih ali kategorijah uporabnikov osebnih podatkov (če obstajajo);
  6. informacije o morebitnem prenosu osebnih podatkov v tretjo državo ali mednarodno organizacijo;
  7. informacijo o obdobju hrambe osebnih podatkov (če to ni mogoče je treba navesti merila, ki se uporabijo za določitev obdobja hrambe);
  8. informacije glede obstoja pravic posameznika skladno z Uredbo: pravica do dostopa, popravka, izbrisa, omejitve obdelave, ugovora obdelavi in do prenosljivosti podatkov;
  9. informacijo glede pravice do vložitve pritožbe pri nadzornem organu (Informacijskemu pooblaščencu);
  10. informacijo o tem, ali je zagotovitev osebnih podatkov zakonska ali pogodbena obveznost ali pa obveznost, ki je potrebna za sklenitev pogodbe ter ali mora posameznik zagotoviti osebne podatke ter kakšne so morebitne posledice, če tega ne stori in
  11. informacije o obstoju avtomatiziranega sprejemanja odločitev, (vključno z oblikovanjem profilov) vsaj smiselne informacije o razlogih zanj, ter pomen in predvidene posledice take obdelave za posameznika.

Kadar osebni podatki niso pridobljeni od posameznika, na katerega se nanašajo, mora upravljavec posamezniku zagotoviti tudi podatek o vrstah zadevnih osebnih podatkov, ki se obdelujejo ter od kje izvirajo osebni podatki in po potrebi, ali izvirajo iz javno dostopnih virov.

Kdaj mora posameznik prejeti informacije?

Posameznik mora prejeti navedene informacije, ko upravljavec pridobi njegove osebne podatke. V kolikor podatki niso bili pridobljeni neposredno od posameznika, jih mora upravljavec zagotoviti:

  • v razumnem roku po prejemu osebnih podatkov, vendar ob upoštevanju posebnih okoliščin, v katerih se osebni podatki obdelujejo, najpozneje v enem mesecu,
  • če se bodo osebni podatki uporabili za komuniciranje s posameznikom, na katerega se nanašajo osebni podatki, je treba informacije zagotoviti najpozneje ob prvem komuniciranju s tem posameznikom,
  • če je predvideno razkritje drugemu uporabniku, se morajo informacije zagotoviti najpozneje ob prvem razkritju osebnih podatkov.

Kdaj upravljavcu informacij ni treba zagotoviti?

Kadar upravljavec osebnih podatkov ne pridobi neposredno od posameznika, temveč iz drugih virov, mu informacij posameznikom ni treba zagotoviti v naslednjih primerih:

  • posameznik že ima informacije;
  • izkaže se, da je zagotavljanje takih informacij nemogoče oz. bi vključevalo nesorazmeren napor ali če bi zagotovitev informacij onemogočila ali resno ovirala uresničevanje namenov te obdelave. V takih primerih mora upravljavec sprejeti ustrezne ukrepe za zaščito pravic (npr. tako, da informacije objavi);
  • pridobitev ali razkritje je izrecno določeno s pravom Unije ali pravom države članice, ki velja za upravljavca in s katerim so tudi določeni ustrezni ukrepi za zaščito zakonitih interesov posameznika;
  • osebni podatki morajo ostati zaupni ob upoštevanju obveznosti varovanja poklicne skrivnosti v skladu s pravom Unije ali pravom države članice, vključno s predpisanimi obveznostmi varovanja skrivnosti.

Na kakšen način mora posameznik prejeti informacije?

Upravljavec mora posamezniku podati informacije v jedrnati, pregledni, razumljivi in lahko dostopni obliki ter jasnem in preprostem jeziku. Še posebej je pomembno, da so vse informacije, namenjene posebej otroku, podane na primeren način, z uporabo jasnega in preprostega jezika. Kadar določene storitve uporabljajo tudi ranljive skupine, mora upravljavec informacije podati tako, da so jim lahko razumljive.

Informacije se posamezniku zagotovijo v pisni obliki ali z drugimi sredstvi, npr. z elektronskimi sredstvi. Če posameznik tako zahteva, se lahko informacije predložijo ustno, pod pogojem, da se njegova identiteta dokaže z drugimi sredstvi.

Informacije morajo biti posameznikom omogočene brezplačno.

Upoštevajoč konkretne okoliščine v zvezi z zbiranjem in nadaljnjo obdelavo osebnih podatkov, upravljavec pretehta, kakšen je primeren način podaje informacij. Posamezniku naj bodo informacije zagotovljene v zaključeni celoti oziroma v enem dokumentu, lahko pa se upravljavec zaradi zagotovitve boljše preglednosti odloči za kombinacijo različnih metod, npr. informacije se dodatno prikažejo na infografiki. Dodatno se lahko informacije zagotovijo ustno, npr. v obliki posnetih sporočil (npr. za uporabo slabovidnim osebam).

Koristni nasveti

Koristno je, če upravljavec še pred objavo informacij opravi testiranje, kako posamezniki razumejo informacije o obdelavi njihovih osebnih podatkov in preveri, kako so informacije ciljni skupini posameznikov dostopne in razumljive.

Upravljavec naj informacije za posameznike redno preverja in posodablja, še posebej tedaj, ko namerava osebne podatke uporabiti za nove namene, ko se zamenja upravljavec osebnih podatkov ali se npr. spremeni način, kako lahko posamezniki uveljavljajo svoje pravice.

V praksi upravljavci uporabljajo različne metode za podajo informacij, npr.:

  • plakat z informacijami na prodajnem mestu,
  • informacije so del pogodbe (ali splošnih pogojev, ki so sestavni del pogodbe),
  • na oglasni deski ali intranetu (kadar gre npr. za obdelavo osebnih podatkov  v delovnih razmerjih).

Na spletni strani so informacije lahko podane na različne načine, npr.:

  • z objavo obvestil, ki so sestavljena iz večih ravni (s klikom se razprejo podrobnejše informacije, ki omogočajo uporabniku, da zlahka najde informacije, ki se nanašajo na obdelavo osebnih podatkov),
  • z uporabo ikon oz. obvestil, ki uporabnika pravočasno opozorijo na obdelavo osebnih podatkov,
  • s pomočjo nadzornih plošč, kjer lahko uporabnik določi želene nastavitve zasebnosti,
  • z uporabo funkcionalnosti na mobilnih telefonih in drugih pametnih napravah (npr. pojavna okna).

Priporočljivo je, da se informacije zagotovijo na enak način, kot poteka samo zbiranje osebnih podatkov.