Dostop do informacij o morebitni kršitvi osebnih podatkov

Datum

12.11.2025

Številka

07121-1/2025/1329

Kategorije

Pravica do seznanitve z lastnimi osebnimi podatki, Obveščanje o kršitvah varnosti

pri Informacijskem pooblaščencu (IP) smo 11. 11. 2025 prejeli vaše vprašanje, kako lahko izveste, ali so bili vaši osebni podatki kompromitirani v nedavnem varnostnem incidentu na Upravi za varno hrano, veterinarstvo in varstvo rastlin. 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22 in 40/25 – ZInfV-1), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Svetujemo, da se obrnete neposredno na Upravo za varno hrano, veterinarstvo in varstvo rastlin ter na podlagi 15. člena Splošne uredbe podate zahtevo za seznanitev z lastnimi osebnimi podatki. Če se upravljavec (UVHVVR) ne odzove ali zavrne vašo zahtevo, lahko pri IP podate prijavo zoper molk oziroma odločitev upravljavca.

Kadar pride do kršitve varnosti osebnih podatkov in je verjetno, da bo ta kršitev povzročila veliko tveganje za pravice in svoboščine posameznikov, mora upravljavec kršitev sporočiti tudi posamezniku, na katerega se nanašajo osebni podatki. Stopnjo tveganja je treba ocenjevati v vsakem primeru posebej, upoštevaje verjetnost nastanka posledic in resnost teh posledic.

Več informacij o tem, kaj pomeni razkritje osebnih podatkov in kako v tovrstnih primerih ravnati, si lahko preberete tukaj:

Kaj pomeni razkritje naših osebnih podatkov in kako ravnati?

Obrazložitev:

Seznanitev z lastnimi osebnimi podatki (15. člen Splošne uredbe)

Glede vaše prošnje po informacijah o vam svetujemo, da se obrnete neposredno na Upravo za varno hrano, veterinarstvo in varstvo rastlin (UVHVVR) ter podate zahtevo za seznanitev z lastnimi osebnimi podatki. Na podlagi 15. člena Splošne uredbe o varstvu podatkov ima namreč vsak posameznik, na katerega se nanašajo osebni podatki, pravico od upravljavca (v tem konkretnem primeru je upravljavec UVHVVR) dobiti potrditev, ali se v zvezi z njim obdelujejo osebni podatki, in kadar je temu tako, dostop do teh osebnih podatkov ter naslednje informacije:

a)namene obdelave;

b)vrste zadevnih osebnih podatkov;

c)uporabnike ali kategorije uporabnika, ki so jim bili ali jim bodo razkriti osebni podatki, zlasti uporabnike v tretjih državah ali mednarodnih organizacijah;

d)kadar je mogoče, predvideno obdobje hrambe osebnih podatkov ali, če to ni mogoče, merila, ki se uporabijo za določitev tega obdobja;

e)obstoj pravice, da se od upravljavca zahteva popravek ali izbris osebnih podatkov ali omejitev obdelave osebnih podatkov v zvezi s posameznikom, na katerega se nanašajo osebni podatki, ali obstoj pravice do ugovora taki obdelavi;

f)pravico do vložitve pritožbe pri nadzornem organu;

g)kadar osebni podatki niso zbrani pri posamezniku, na katerega se ti nanašajo, vse razpoložljive informacije v zvezi z njihovim virom;

h)obstoj avtomatiziranega sprejemanja odločitev, vključno z oblikovanjem profilov iz člena 22(1) in (4), ter vsaj v takih primerih smiselne informacije o razlogih zanj, kot tudi pomen in predvidene posledice take obdelave za posameznika, na katerega se nanašajo osebni podatki.

Uporabite lahko sledeč (neobvezen) obrazec, ki je IP pripravil za lažje podajanje zahteve: Obrazec – seznanitev z lastnimi osebnimi podatki.

Upravljavec se mora na podano zahtevo odzvati brez nepotrebnega odlašanja in v vsakem primeru posredovati informacije oziroma zavrnilni odgovor v enem mesecu od prejema zahteve (rok se lahko po potrebi podaljša za največ dva dodatna meseca ob upoštevanju kompleksnosti in števila zahtev). Če se upravljavec ne odzove ali zavrne vašo zahtevo, lahko pri IP podate prijavo zoper molk oziroma odločitev upravljavca, čemur pa morate priložiti svojo prvotno zahtevo.

Sporočilo posamezniku o kršitvi varstva njegovih osebnih podatkov (34. člen Splošne uredbe)

Kadar pride do kršitve varnosti osebnih podatkov (tj. kršitev, ki vodi do nezakonitega uničenja, izgube, spremembe, nepooblaščenega razkritja oziroma dostopa do osebnih podatkov) in je verjetno, da bo ta kršitev povzročila veliko tveganje za pravice in svoboščine posameznikov, mora upravljavec kršitev sporočiti tudi posamezniku, na katerega se nanašajo osebni podatki.

Za obveščanje posameznikov Splošna uredba postavlja standard 'veliko tveganje', ki je višja stopnja ogroženosti pravic in svoboščin posameznikov, kot npr. velja za uradno obvestilo nadzornemu organu. Stopnjo tveganja je treba ocenjevati v vsakem primeru posebej, upoštevaje verjetnost nastanka posledic in resnost teh posledic. Treba je zlasti upoštevati, da je potreba po obveščanju večja, če obstaja velika verjetnost neugodnih posledic, pri tem pa lahko ukrep obveščanja zmanjša tveganje za nastanek teh posledic. 

Dodatne informacije

Več informacij o tem, kaj pomeni razkritje osebnih podatkov in kako v tovrstnih primerih ravnati, si lahko preberete tukaj:

Kaj pomeni razkritje naših osebnih podatkov in kako ravnati?

V konkretnem primeru Informacijski pooblaščenec vodi inšpkecijski postopek zaradi suma neustreznega zagotavljanja varnosti podatkov. Več o tem si lahko preberete v sledečem obvestilu:

https://www.ip-rs.si/novice/informacijski-poobla%C5%A1%C4%8Denec-preiskuje-kr%C5%A1itev-varnosti-podatkov-pri-uvhvvr-1762432397.

Lepo vas pozdravljamo.

dr. Jelena Virant Burnik, informacijska pooblaščenka