Zahteva za kopijo osebne izkaznice pri zahtevi za dostop do osebnih podatkov

Datum

19.07.2024

Številka

07121-1/2024/830

Kategorije

Pravica do seznanitve z lastnimi osebnimi podatki

Pri Informacijskem pooblaščencu (IP) smo prejeli vaše zaprosilo za mnenje. Navajate, da ste pri delodajalcu vložili zahtevo za seznanitev z lastnimi osebnimi podatki, pooblaščenec delodajalca pa od vas zahteva kopijo osebne izkaznice. Zanima vas, ali je taka praksa dovoljena. Prav tako vas zanima, ali začne 30-dnevni rok za posredovanje podatkov teči znova od dopolnitve.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A; v nadaljevanju ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Če ima upravljavec utemeljene razloge za dvom o identiteti vlagatelja zahteve za dostop do osebnih podatkov, lahko od njega zahteva dodatne informacije za potrditev identitete. Metoda, ki se uporablja za avtentikacijo, pa mora biti ustrezna, primerna, sorazmerna in v skladu z načelom najmanjšega obsega podatkov. Zahteva za predložitev kopije osebne izkaznice je v številnih primerih pretiran ukrep za avtentikacijo posameznika.

Če upravljavec od posameznika zahteva predložitev kopije osebne izkaznice zaradi preverjanja njegove identitete, rok za odgovor praviloma začasno preneha teči, dokler posameznik ne dopolni svoje zahteve za dostop. To pa seveda velja le, če je upravljavčeva zahteva za dopolnitev upravičena.

Obrazložitev

Za zagotovitev varnosti obdelave in zmanjšanje tveganja nepooblaščenega razkritja osebnih podatkov mora biti upravljavec zmožen ugotoviti, kateri podatki se nanašajo na posameznika (identifikacija), in potrditi njegovo identiteto (avtentikacija). Če ima upravljavec utemeljene razloge za dvom o identiteti vlagatelja zahteve za dostop do osebnih podatkov, lahko od njega zahteva dodatne informacije za potrditev identitete, vendar mora hkrati zagotoviti, da ne zbere več osebnih podatkov, kot je potrebno za avtentikacijo. Zato mora izvesti oceno sorazmernosti, pri kateri je treba upoštevati vrsto osebnih podatkov, ki se obdelujejo, naravo zahteve, okoliščine, v katerih je zahteva predložena, in škodo, ki bi lahko nastala zaradi nepooblaščenega razkritja. Metoda, ki se uporablja za avtentikacijo, mora biti ustrezna, primerna, sorazmerna in v skladu z načelom najmanjšega obsega podatkov (točka c prvega odstavka 5. člena Splošne uredbe). Če upravljavec za avtentikacijo zahteva dodatne ukrepe, mora to ustrezno utemeljiti in zagotoviti skladnost z vsemi temeljnimi načeli varstva osebnih podatkov ter z obveznostjo olajšanja uresničevanja pravic posameznikov (drugi odstavek 12. člena Splošne uredbe).

Če je upravljavec posameznika, ki je vložil zahtevo, že avtenticiral, je zahteva za predložitev kopije osebnega dokumenta nesorazmerna. To namreč povzroči še dodatno tveganje za varnost osebnih podatkov in lahko privede do nepooblaščene ali nezakonite obdelave. Avtentikacija na podlagi osebnega dokumenta je v določenih okoliščinah sicer lahko povsem upravičen in sorazmeren ukrep, vendar pa mora biti res nujno potrebna in ustrezna, kar mora skladno z načelom odgovornosti izkazati upravljavec. V praksi pa je zahteva za kopijo osebne izkaznice v številnih primerih pretirana, saj za preverjanje identitete posameznika pogosto obstajajo blažji ukrepi. Namesto tega lahko upravljavec na primer zgolj vpogleda v osebno izkaznico ter si to zabeleži. IP v mnenju sicer ne sme presojati ustreznosti načina preverjana vaše identitete s strani upravljavca v konkretni situaciji, saj v primeru uveljavljanja kršitve pravice do dostopa nastopa kot nadzorni organ, vendar pa glede na to, da ste z upravljavcem v delovnem razmerju, močno dvomi v potrebnost predložitve kopije osebne izkaznice njegovemu pooblaščencu.

Če upravljavec od posameznika zahteva predložitev kopije osebne izkaznice zaradi preverjanja njegove identitete, rok za odgovor praviloma začasno preneha teči, dokler posameznik ne dopolni svoje zahteve za dostop. To pa seveda velja le, če je upravljavčeva zahteva za dopolnitev upravičena.

Zoper molk upravljavca (tj. če posamezniku ne odgovori v enomesečnem ali v izjemoma podaljšanem roku) ali zoper zavrnilni odgovor upravljavca je mogoča pritožba oziroma prijava, za reševanje katere je pristojen IP. Ta se rešuje v »postopku na podlagi prijave prijavitelja s posebnim položajem« in poteka po pravilih ZVOP-2 (30. do 34. člen) in Zakona o splošnem upravnem postopku ter v skladu s preiskovalnimi pooblastili IP iz Splošne uredbe.

Osnovne informacije o pravici do seznanitve z lastnimi osebnimi podatki oziroma pravici do dostopa po 15. členu Splošne uredbe so na voljo tudi na spletnih straneh IP:

•https://www.ip-rs.si/varstvo-osebnih-podatkov/pravice-posameznika/seznanitev-z-lastnimi-osebnimi-podatki in

•https://upravljavec.si/pogosta-vprasanja/dostop-do-lastnih-osebnih-podatkov-obveznost-podjetij-do-strank-kot-tudi-v-delovnih-razmerjih/.

Veliko uporabnih informacij glede uresničevanja pravice do dostopa pa je na voljo tudi v smernicah Evropskega odbora za varstvo podatkov št. 01/2022, ki so dostopne na: https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-012022-data-subject-rights-right-access_sl.

Lepo vas pozdravljamo,

Pripravila

Tina Ivanc, univ. dipl. prav., svetovalka IP za varstvo osebnih podatkov

dr. Jelena Virant Burnik, informacijska pooblaščenka