Zahteva za izbris pri upravljavcu iz tretje države

Datum

28.06.2023

Številka

07121-1/2023/875

Kategorije

Pravica do izbrisa - pozabe, Prenos osebnih podatkov v tretje države ali mednarodne organizacije, Svetovni splet

Informacijski pooblaščenec (v nadaljevanju IP) je po elektronski pošti prejel vaš dopis, v katerem vas zanima, kako lahko prijavite kršitev varstva osebnih podatkov ameriškega podjetja, ki ni izbrisalo vašega uporabniškega računa, kljub vaši zahtevi za izbris? Zanima vas, ali mora biti zahteva za izbris vložena formalno prek obrazca ali je zadosten že elektronski dopis, s katerim ste prosili za izbris vašega računa in osebnih podatkov. Zanima vas, ali preklic privolitve obenem predstavlja tudi zahtevo za izbris osebnih podatkov?

***

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše nezavezujoče mnenje v zvezi z vašim vprašanjem.

1.Zahteva za izbris osebnih podatkov se mora vložiti najprej neposredno pri upravljavcu, za katerega posameznik meni, da obdeluje njegove osebne podatke, četudi to pomeni, zgolj preko elektronskega sporočila. Splošna uredba ne opredeljuje konkretnega načina, obrazca ali forme, kako naj bo zahteva za izbris vložena. Pomembno je le, da se v njej posameznik ustrezno identificira ter da se z zahtevo upravljavec seznani, saj od trenutka seznanitve upravljavca z zahtevo teče enomesečni rok za njegovo odločitev.

2.Če upravljavec na zahtevo za izbris ne odgovori v enomesečnem roku oz. zahtevo zavrne, lahko zoper molk upravljavca ali zavrnitev pravice vložite pritožbo pri IP. Če bo za odločanje o pritožbi pristojen drug organ kot IP, bomo tako pritožbo ustrezno temu organu odstopili.

Obrazložitev

Uvodoma pojasnjujemo, da je IP na področju pravice do izbrisa osebnih podatkov pritožbeni organ. To pomeni, da skladno z načelom zakonitosti, IP ne more in ne sme v okviru nezavezujočega mnenja zavzemati stališč, ali bi vam v konkretnem primeru pripadala pravica do izbrisa ali ne, saj bi s tem lahko prejudiciral odločitev v morebitnem pritožbenem postopku. V nadaljevanju vam zato zgolj neformalno svetujemo, na podlagi naše dosedanje prakse na področju.

Pri pravici do izbrisa osebnih podatkov (17. člen Splošne uredbe) ima posameznik, na katerega se nanašajo osebni podatki, pravico doseči, da upravljavec brez nepotrebnega odlašanja izbriše osebne podatke v zvezi z njim, upravljavec pa ima obveznost osebne podatke brez nepotrebnega odlašanja (oz. najkasneje v roku enega meseca) izbrisati. Ta pravica je omejena na taksativno naštete primere, ki so določeni v prvem odstavku 17. člena Splošne uredbe. Več o pravici pa si lahko preberete tudi na naši spletni strani: https://tiodlocas.si/zelim-izbrisati-svoje-podatke/ oz. v naših mnenjih npr. št. 0712-1/2019/1011 z dne 3. 5. 2019.

V zvezi s tem, kot pravilno ugotavljate že sama, preklic privolitve obenem predstavlja tudi zahtevo za izbris osebnih podatkov (glej zlasti točko (b) prvega odstavka 17. člena), saj s preklicem privolitve k obdelavi inherentno preneha veljati tudi pravna podlaga za obdelavo teh podatkov, ki se morajo posledično (nemudoma) po tem tudi izbrisati. Izjema od izbrisa velja le v primerih, ko je obdelava teh podatkov potrebna pod pogoji iz tretjega odstavka 17. člena Splošne uredbe in sicer:

(a)za uresničevanje pravice do svobode izražanja in obveščanja;

(b)za izpolnjevanje pravne obveznosti obdelave na podlagi prava Unije ali prava države članice, ki velja za upravljavca, ali za izvajanje naloge v javnem interesu ali pri izvajanju javne oblasti, ki je bila dodeljena upravljavcu;

(c)iz razlogov javnega interesa na področju javnega zdravja;

(d)za namene arhiviranja v javnem interesu, za znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene, kolikor bi pravica lahko onemogočila ali resno ovirala uresničevanje namenov te obdelave, ali

(e)za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov.

IP v zvezi s postopkom uveljavljanja pravice do izbrisa pojasnjuje, da se mora zahteva za izbris osebnih podatkov vložiti najprej neposredno pri upravljavcu, za katerega posameznik meni, da obdeluje njegove osebne podatke. Upravljavec se mora na podano zahtevo odzvati brez nepotrebnega odlašanja, informacije oziroma zavrnilni odgovor pa mora posredovati najkasneje v enem mesecu po prejemu zahteve.

Če upravljavec na zahtevo za izbris ne odgovori v enomesečnem roku oz. zahtevo zavrne, lahko zoper molk upravljavca ali zavrnitev pravice vložite pritožbo.

Če gre za primer ameriškega podjetja, ki v EU nima registriranega sedeža ali samostojne ustanovitve ter zanj veljajo pogoji drugega odstavka 3. člena Splošne uredbe oz. drugega odstavka 4. člena ZVOP-2, torej, da:

(a)nudi blago ali storitve posameznikom v Republiki Sloveniji, ne glede na to, ali je zanje potrebno plačilo in/ali

(b)so dejavnosti tega podjetja, povezane s spremljanjem delovanja ali vedenja posameznikov, kolikor to poteka v Republiki Sloveniji,

potem posameznik svojo pritožbo oz. prijavo vloži neposredno pri Informacijskem pooblaščencu RS kot pristojnem organu za vodenje pritožbenega oz. inšpekcijskega postopka.

Če pa to ameriško podjetje ima v EU svoj sedež oz. samostojno ustanovitev, pa je za vodenje pritožbenega oz. inšpekcijskega postopka pristojen tisti nadzorni organ, kjer ima to podjetje registrirano svojo ustanovitev oz. sedež. Če niste prepričani, kateri nadzorni organ je za to konkretno podjetje pristojen, lahko pritožbo zoper takega upravljavca vseeno vložite pri nas, mi pa bomo vašo pritožbo odstopili ustreznemu nadzornemu organu, ki je pristojen za odločanje o vaši pritožbi.

V zvezi s tem pa vas moramo opozoriti, da IP po analizi obstoječe zakonodaje ugotavlja, da področja upravnega prava, inšpekcijskega nadzora ter prekrškovnega prava ne predvidevajo (zadostnih) procesnih in materialnih pristojnosti IP v situacijah izvajanja postopkov s čezmejnim elementom, kot npr. vročanje pisanj, preiskovalna dejanja oziroma pravna pomoč pri opravljanju preiskovalnih dejanj, izvršitev odločb in drugo. Zaradi navedene problematike se je IP že obrnil na pristojna ministrstva s prošnjo po naboru predpisov, še posebej mednarodnopravnih instrumentov za praktično eksteritorialno uveljavljanje določb Splošne uredbe ter za sklenitev mednarodnih in bilateralnih sporazumov, ki bi učinkovito izvrševanje in uveljavljanje pravic Splošne uredbe omogočali.

Upoštevaje navedeno opozarjamo zlasti na to, da ima IP proti upravljavcem, ustanovljenim izven EU, žal zelo omejene možnosti ukrepanja, zaradi česar bi vam tudi težko praktično pomagal pri uveljavljanju vaših pravic, na primer pravice do izbrisa osebnih podatkov, vsekakor pa poudarjamo, da problematiki izvrševanja pravil Splošne uredbe in pri tem zagotavljanju uveljavljanja pravic posameznikov zoper upravljavce tretjih držav, pozorno sledimo ter pri tem sodelujemo z vsemi relevantnimi organi v Evropskem odboru za varstvo podatkov kot tudi širše.

V upanju, da ste dobili odgovor na svoje vprašanje, vas lepo pozdravljamo.

Pripravil

Grega Rudolf, asistent svetovalca pri IP

Mojca Prelesnik, univ.dipl.prav., informacijska pooblaščenka