- Napreden AI iskalnik za hitro iskanje primerov
- Dostop do celotne evropske in slovenske sodne prakse
- Samodejno označevanje ključnih relevantnih odstavkov
Podobni dokumenti
Ogledaj podobne dokumente za vaš primer.Prijavi se in poglej več podobnih dokumentov
Zbiranje osebnih podatkov in njihova varnost pri upravljavcu
Z nami najdeš vse. Preizkusi zdaj!
Samo zamislim si kaj bi rada da piše v sodbi, to vpišem v iskalnik, in dobim kar sem iskala. Hvala!
Tara K., odvetnica
Zbiranje osebnih podatkov in njihova varnost pri upravljavcu
Datum
29.08.2024
Številka
07121-1/2024/992
Kategorije
Informiranje posameznika, Pravica do izbrisa - pozabe, Pravica do seznanitve z lastnimi osebnimi podatki, Pravne podlage, Varnost osebnih podatkov
Informacijski pooblaščenec (v nadaljevanju: IP) je po e-pošti prejel vaše zaprosilo za mnenje. Opisujete, da so na kreditnem oddelku podjetja preko e-pošte od vas zahtevali določene podatke, ki ste jih posredovali. Napravili ste napako in ste namesto potrdila o davčni številki poslali izpisek iz matične knjige rojstva. Upravljavca ste obvestili, naj dokumente izbrišejo. Sprašujete se, zakaj potrebujejo te dokumente v elektronski obliki, če jih morate prinesti osebno na sestanek. Prosite za naš komentar, saj se bojite zlorabe podatkov.
* * *
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.
Poudarjamo, da je odgovornost za zakonito obdelavo osebnih podatkov na upravljavcu. Upravljavec mora posamezniku, preden prejme njegove osebne podatke, podati nekatere informacije o obdelavi osebnih podatkov, npr. glede namena in pravne podlage za obdelavo.
Informacijo o namenu obdelave lahko posameznik prejme tudi naknadno, če uveljavlja pravico dostopa oz. do seznanitve, v okviru katere lahko prejme tudi kopijo svojih osebnih podatkov, ki jih upravljavec obdeluje. Pri upravljavcu lahko pod določenimi pogoji zahtevate tudi izbris svojih podatkov. Pravico dostopa ali izbrisa lahko pri upravljavcu uveljavlja posameznik sam, medtem ko IP v primeru kršitve deluje kot pritožbeni organ.
Upravljavec mora skladno s Splošno uredbo med drugim poskrbeti tudi za ustrezno varnost osebnih podatkov, npr. poskrbeti, da se z vašimi podatki ne seznanijo neupravičene osebe.
Obrazložitev
Uvodoma poudarjamo, da IP izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka konkretnih obdelav osebnih podatkov ne more presojati.
Poudarjamo, da je odgovornost za zakonito obdelavo osebnih podatkov na upravljavcu, ki mora npr. pretehtati, ali ima pravno podlago za obdelavo osebnih podatkov, kakšen je (nujen) obseg osebnih podatkov, ki jih bo obdeloval, na kakšen način jih bo obdeloval in kako bo poskrbel za njihovo varnost.
Za vsako obdelavo osebnih podatkov mora biti podana ustrezna pravna podlaga skladno s prvim odstavkom 6. člena Splošne uredbe, npr. obdelava je zakonita, če je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe (npr. kreditne pogodbe), pri čemer opozarjamo, da se lahko zaradi sklenitve pogodbe obdelujejo zgolj tisti osebni podatki, ki so za izvajanje te pogodbe nujno potrebni. Upravljavec mora namreč spoštovati tudi t.i. načelo najmanjšega obsega podatkov, skladno s katerim morajo biti osebni podatki ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo.
Nadalje pojasnjujemo, da morajo biti posamezniki, preden upravljavcu posredujejo svoje osebne podatke, podrobno informirani o obdelavi osebnih podatkov, kot to določa 13. člen Splošne uredbe. Tako morajo npr. prejeti informacije o namenih ter pravni podlagi za obdelavo osebnih podatkov; uporabnikih osebnih podatkov; obdobju hrambe osebnih podatkov; pravicah posameznika, itd. Predlagamo vam, da vedno zahtevate navedene informacije od upravljavca, preden mu posredujete svoje osebne podatke in preverite, v katere namene jih želi prejeti oz. nadalje obdelovati. Več informacij glede obveščanja posameznikov je dostopnih na: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/ključna-področja-uredbe/obveščanje-posameznikov-o-obdelavi-osebnih-podatkov.
Če ste osebne podatke že posredovali, lahko skladno s Splošno uredbo uveljavljate tudi pravico dostopa skladno s 15. členom Splošne uredbe. Posameznik ima namreč od upravljavca pravico pridobiti potrditev, ali se v zvezi z njim obdelujejo osebni podatki, in v teh primerih tudi dostop do osebnih podatkov ter nekatere informacije, kot so npr. nameni obdelave.[1] Skladno s tretjim odstavkom 15. člena Splošne uredbe mora upravljavec posamezniku, na katerega se nanašajo osebni podatki, zagotoviti tudi kopijo osebnih podatkov, ki jih obdeluje.
V konkretnem primeru izpostavljamo tudi pravico do izbrisa. Če želi posameznik doseči izbris svojih osebnih podatkov iz baze pri upravljavcu - ker meni, da so podani razlogi iz prvega odstavka 17. člena Splošne uredbe (npr. podatki niso več potrebni za namen za katerega so bili zbrani; podatki se obdelujejo na podlagi privolitve, posameznik pa svojo privolitev prekliče; podatki se obdelujejo nezakonito itd.) – lahko pri upravljavcu vloži tudi zahtevo za izbris osebnih podatkov.[2]
V kolikor je zahteva posameznika glede dostopa oz. izbrisa zavrnjena ali upravljavec nanjo ne odgovori v enomesečnem roku, lahko posameznik pri IP poda pritožbo. Pravico dostopa pri upravljavcu lahko torej uveljavlja posameznik sam, medtem ko IP v primeru kršitve deluje kot pritožbeni organ.
Upravljavec mora upoštevati tudi druge določbe Splošne uredbe, npr. med drugim mora zagotoviti ustrezne ukrepe za zavarovanje osebnih podatkov (npr. poskrbeti, da se z vašimi podatki ne seznanijo neupravičene osebe, za varen način posredovanja osebnih podatkov, itd.). Konkretne prakse upravljavca, ki jo opisujete, IP ne more komentirati v okviru nezavezujočega mnenja, saj bi se lahko do nje opredelil zgolj v konkretnem inšpekcijskem postopku. Več nasvetov o obdelavi osebnih podatkov lahko preberete v Vodniku po varstvu osebnih podatkov za posameznike, ki je dostopen na: https://www.ip-rs.si/publikacije/priročniki-in-smernice/smernice-po-splošni-uredbi-o-varstvu-podatkov-gdpr/vodnik-po-varstvu-osebnih-podatkov-za-posameznike.
V kolikor na podlagi pojasnjenega menite, da upravljavec nezakonito obdeluje osebne podatke, lahko pri IP podate prijavo. Pri tem si lahko pomagate tudi z obrazcem »Enotna vloga zaradi kršitve varstva osebnih podatkov (Obrazec VOP prijava)«, ki je objavljen na povezavi: https://www.ip-rs.si/obrazci/varstvo-osebnih-podatkov/.
V upanju, da vam bodo naša napotila v pomoč, vas lepo pozdravljamo.
dr. Jelena Virant Burnik, informacijska pooblaščenka
Pripravila
Barbara Žurej, univ. dipl. prav., svetovalka pooblaščenca za preventivo
---
[1]Več o tem lahko preberete na https://tiodlocas.si/zelim-vedeti-kaj-pocnejo-z-mojimi-podatki/.
[2]Več informacij o zahtevi za izbris je dostopnih na: https://tiodlocas.si/zelim-izbrisati-svoje-podatke/.