Preglednost obdelave osebnih podatkov

Datum

27.05.2025

Številka

07121-1/2025/656

Kategorije

Pravica do popravka

pri Informacijskem pooblaščencu (v nadaljevanju IP) smo dne 20. 5. 2025 prejeli vaše zaprosilo za mnenje glede preglednosti obdelave osebnih podatkov. Zanima vas, ali mora javna institucija, v primeru, da od vas zahteva vpogled v vaše podatke, v skladu z načelom preglednosti še vedno odgovoriti na vaša vprašanja o časovnem okvirju zadržanja podatkov, posredovanju podatkov itd., ali ji ni treba dati odgovora.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, v nadaljevanju ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju Splošna uredba) in/ali 5. točke prvega odstavka 76. člena Zakona o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (Uradni list RS, št. 177/20, v nadaljevanju ZVOPOKD), ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, v nadaljevanju ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

13. člen Splošne uredbe določa informacije, ki jih mora upravljavec posredovati posamezniku, če jih pridobi neposredno od njega. Med te informacije spada tudi informacija o obdobju hrambe osebnih podatkov (če to ni mogoče, pa merila, ki se uporabijo za določitev obdobja hrambe).

Upravljavcu teh informacij ni treba posredovati, če posameznik z njimi že razpolaga.

Obrazložitev:

IP uvodoma poudarja, da ni izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka ni pristojen za presojo zakonitosti konkretnih obdelav podatkov. Pri podaji neobvezujočega mnenja lahko zgolj opozori na ustrezno pravno podlago, pravice in obveznosti.

13. in 14. člen Splošne uredbe določata, katere informacije mora upravljavec zagotoviti posameznikom, odvisno od tega, ali so bili osebni podatki pridobljeni neposredno od posameznika ali pa iz drugih virov, npr. s strani drugih upravljavcev. Iz vašega dopisa izhaja, da jih je javna institucija pridobila neposredno od vas oziroma je neposredno od vas zahtevala vpogled vanje. Skladno s 13. členom Splošne uredbe mora upravljavec v primeru, da je podatke dobil neposredno od posameznika, posamezniku zagotoviti naslednje informacije:

informacije o upravljavcu (s kontaktnimi podatki upravljavca in njegovega predstavnika, če obstaja) ter kontakt pooblaščene osebe za varstvo podatkov (če je imenovana);

informacije o namenih, za katere se osebni podatki obdelujejo in pravno podlago za njihovo obdelavo. Kadar namerava upravljavec nadalje obdelovati osebne podatke za drug namen, mora posamezniku pred nadaljnjo obdelavo njegovih podatkov zagotoviti informacije o tem drugem namenu;

kadar poteka obdelava osebnih podatkov na podlagi zakonitih interesov (točka (f) člena 6(1) Splošna uredba), je treba navesti zakonite interese, za uveljavljanje katerih si prizadeva upravljavec ali tretja oseba;

kadar obdelava temelji na privolitvi, (točka (a) člena 6(1) ali točka (a) člena 9(2) Splošne uredbe), obstoj pravice, da se lahko privolitev kadar koli prekliče;

informacije o uporabnikih ali kategorijah uporabnikov osebnih podatkov (če obstajajo);

informacije o morebitnem prenosu osebnih podatkov v tretjo državo ali mednarodno organizacijo;

informacijo o obdobju hrambe osebnih podatkov (če to ni mogoče je treba navesti merila, ki se uporabijo za določitev obdobja hrambe);

informacije glede obstoja pravic posameznika skladno z Uredbo: pravica do dostopa, popravka, izbrisa, omejitve obdelave, ugovora obdelavi in do prenosljivosti podatkov;

informacijo glede pravice do vložitve pritožbe pri nadzornem organu (Informacijskemu pooblaščencu);

informacijo o tem, ali je zagotovitev osebnih podatkov zakonska ali pogodbena obveznost ali pa obveznost, ki je potrebna za sklenitev pogodbe ter ali mora posameznik zagotoviti osebne podatke ter kakšne so morebitne posledice, če tega ne stori in

informacije o obstoju avtomatiziranega sprejemanja odločitev, (vključno z oblikovanjem profilov) vsaj smiselne informacije o razlogih zanj, ter pomen in predvidene posledice take obdelave za posameznika.

Četrti odstavek 13. člena določa edino izjemo od te obveznosti, in sicer kadar posameznik z naštetimi informacijami že razpolaga, se omenjene določbe 13. člena ne uporabljajo. Poleg tega se z golj okoliščina, da je upravljavec javna institucija, ne šteje za izjemo in upravljavca torej ne odrešuje obveznosti obveščanja posameznika.

IP poudarja tudi, da je za zakonito obdelavo podatkov odgovoren upravljavec, pri čemer mora biti vedno sposoben izkazati razloge za opustitev obveščanja v konkretnem primeru. IP pa lahko le v konkretnem inšpekcijskem postopku presodi upravičenost razlogov, ki jih navede upravljavec.

Za več informacij vas napotujemo na spletno stran IP: Obveščanje posameznikov o obdelavi osebnih podatkov - IPRS.

V upanju, da smo odgovorili na vaša vprašanja, vas lepo pozdravljamo.

dr. Jelena Virant Burnik, informacijska pooblaščenka