Morebitna zloraba podatkov po telefonu

Datum

28.06.2024

Številka

07121-1/2024/744

Kategorije

Pravica do seznanitve z lastnimi osebnimi podatki

Informacijski pooblaščenec (v nadaljevanju: IP) je po e-pošti prejel vaše dodatno vprašanje. Navajate, da ste s strani zavarovalnice skušali pridobiti informacijo, komu so bili vaši podatki posredovani. Odgovorila vam je, da vaši podatki niso bili nikomur posredovani. V stik z upravljalcem ne morete stopiti, saj je telefonska številka nedosegljiva. Sklepate, da je nekdo od zaposlenih posredoval vaše podatke ali pa klical iz zasebnih telefonov, ki niso del zavarovalnice. Sprašujete, ali lahko kljub temu podate prijavo zaradi kršitve varstva osebnih podatkov?

* * *

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Če menite, da je prišlo do nezakonitega vpogleda oz. posredovanja vaših osebnih podatkov, lahko pri zavarovalnici uveljavljate pravico dostopa in pridobite podatke o uporabnikih, ki so dostopali do vaših podatkov.

Pojasnjujemo, da zaposleni pri upravljavcu načeloma ne štejejo med uporabnike, glede katerih lahko posameznik prejme informacije o obdelavi podatkov po 15. členu Splošne uredbe, razen v izjemnih primerih, in sicer če je zaposleni deloval izven okvira vodstva in navodil delodajalca ali če so informacije o identiteti zaposlenega nujne za učinkovito uveljavljanje pravic posameznika.

Obrazložitev

Uvodoma poudarjamo, da IP izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka konkretnih obdelav osebnih podatkov ne more presojati.

IP vam je v že izdanem mnenju št. 07121-1/2024/413 z dne 9. 4. 2023 pojasnil, da področje neželene komunikacije specialno ureja Zakon o elektronskih komunikacijah (Uradni list RS, št. 130/22 in 18/23 – ZDU-1O, v nadaljevanju: ZEKom-2). Nadzor nad izvajanjem 226. člena ZEKom-2, ki ureja izvajanje neposrednega trženja je v pristojnosti Agencije za komunikacijska omrežja in storitve RS (v nadaljevanju: AKOS), zato IP v tem delu ni pristojen za ukrepanje.

Pojasnili smo tudi, da lahko nasproti upravljavcu, če vam bo njegova identiteta znana, uveljavljate pravice po Splošni uredbi, npr. pravico dostopa, do ugovora ali do izbrisa osebnih podatkov.

Pojasnjujete, da na podlagi odgovorov zavarovalnice sklepate, da so bili vaši osebni podatki nezakonito posredovani s strani zaposlenega. Predlagamo vam, da pri zavarovalnici uveljavljate pravico dostopa posameznika iz 15. člena Splošne uredbe (iz vašega dopisa namreč razumemo, da konkretno pravice dostopa še niste uveljavili). Glede pravice dostopa prvi odstavek 15. člena Splošne uredbe določa, da ima posameznik, na katerega se nanašajo osebni podatki, pravico od upravljavca dobiti potrditev, ali se v zvezi z njim obdelujejo osebni podatki, in kadar je temu tako, dostop do osebnih podatkov ter nekatere informacije o obdelavi osebnih podatkov, kot je npr. informacija o tem, kdo so uporabniki oz. kategorije uporabnikov, ki so jim bili ali jim bodo razkriti osebni podatki, zlasti uporabnike v tretjih državah ali mednarodnih organizacijah. Zaposleni pri upravljavcu načeloma ne štejejo med uporabnike, glede katerih lahko posameznik prejme informacije o obdelavi podatkov, razen v izjemnih primerih, in sicer če je zaposleni deloval izven okvira vodstva in navodil delodajalca ali če so informacije o identiteti zaposlenega nujne za učinkovito uveljavljanje pravic posameznika. Več o tem lahko preberete v mnenju IP št. 07121-1/2024/680 z dne 11. 6. 2024.

Skladno s Splošno uredbo posameznik svoje pravice pri upravljavcu njegovih osebnih podatkov uveljavlja sam, medtem ko je IP nadzorni organ, ki v primeru kršitve deluje kot pritožbeni organ. Predlagamo vam torej, da pri upravljavcu pridobite informacije o obdelavi vaših osebnih podatkov (npr. kot smo navedli zgoraj, podatek o notranjih uporabnikih, če menite, da so izpolnjeni zgoraj navedeni pogoji). Če bo iz prejetih informacij obstajal sum nezakonite obdelave vaših osebnih podatkov (npr. če boste na podlagi uveljavljanja pravice dostopa ugotovili, da je prišlo v vaši zadevi do nepooblaščenega dostopa do podatkov oz. njihovega nezakonitega posredovanja), lahko podate prijavo pri IP.

Več koristnih napotil v zvezi s pravico dostopa lahko preberete na spletni strani https://tiodlocas.si/zelim-vedeti-kaj-pocnejo-z-mojimi-podatki/.

V upanju, da vam bodo naša napotila v pomoč, vas lepo pozdravljamo.

Mojca Prelesnik, univ. dipl. prav., informacijska pooblaščenka

Pripravila

Barbara Žurej, univ. dipl. prav., svetovalka pooblaščenca za preventivo