- Napreden AI iskalnik za hitro iskanje primerov
- Dostop do celotne evropske in slovenske sodne prakse
- Samodejno označevanje ključnih relevantnih odstavkov
Podobni dokumenti
Ogledaj podobne dokumente za vaš primer.Prijavi se in poglej več podobnih dokumentov
Dopolnitev zahteve za seznanitev za seznanitev z lastnimi osebnimi podatki z navedbo EMŠO ali datuma rojstva
Z nami najdeš vse. Preizkusi zdaj!
Samo zamislim si kaj bi rada da piše v sodbi, to vpišem v iskalnik, in dobim kar sem iskala. Hvala!
Tara K., odvetnica
Dopolnitev zahteve za seznanitev za seznanitev z lastnimi osebnimi podatki z navedbo EMŠO ali datuma rojstva
Datum
13.05.2024
Številka
07121-1/2024/565
Kategorije
Pravica do seznanitve z lastnimi osebnimi podatki, Moderne tehnologije
Pri Informacijskem pooblaščencu (IP) smo dne 9. 5. 2024 prejeli vaše vprašanje, ali je upravičeno, da upravljavec (državni organ) od posameznika – ki je vložil zahtevo za seznanitev z lastnimi osebnimi podatki z digitalnim certifikatom v sistemu e-uprave – zahteva še navedbo EMŠO ali datuma rojstva. Predlagate, da naj upravljavec to zahtevo napiše že na obrazec same zahteve.
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena ZVOP-2, 58. členom Splošne uredbe o varstvu podatkov, 76. člena Zakona o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (ZVOPOKD) ter 2. členom Zakona o informacijskem pooblaščencu (ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem. Pojasnjujemo še, da se lahko dokončno opredeljujemo do konkretnih zahtev za seznanitev z lastnimi osebnimi podatki le v nadzornih postopkih in ob upoštevanju vseh okoliščin konkretnega primera.
Upravljavec lahko od posameznika, ki je vložil zahtevo za seznanitev z lastnimi osebnimi podatki in se je pri tem uspešno avtenticiral, zahteva tudi dodatne identifikacijski podatke, na podlagi katerih lahko posameznika zanesljivo loči od drugih posameznikov ali na podlagi katerih lahko najde posameznikove osebne podatke ali informacije o obdelavi v zbirkah podatkov, če to narekujejo okoliščine konkretnega primera.
Obrazložitev
Če se je posameznik ustrezno avtenticiral – torej uspešno dokazal, da je res oseba, za katero trdi, da je npr. z varnim elektronskim podpisom – to še ne pomeni nujno, da lahko upravljavec zahtevane osebne podatke ali informacije o obdelavi najde v svojih zbirkah osebnih podatkov ali da posameznika loči od ostalih. Na primer možno je, da ima upravljavec osebne podatke več oseb z istim osebnim imenom ali da zbirk podatkov ne vodi po osebnih imenih. Ker iz varnega elektronskega podpisa nista razvidna EMŠO ali datum rojstva, je v takem primeru upravičeno, da mora posameznik navesti tudi dodatni enolični identifikacijski znak ali drug identifikacijski osebni podatek, na podlagi katere bo upravljavec posameznikove osebne podatke lahko našel. Torej zahteva po dodatnih identifikacijskih podatkih s strani upravljavca je lahko upravičena, če to narekujejo okoliščine konkretnega primera, ne pa avtomatično v vseh primerih.
Tudi na splošno velja, da za popolno ugotovitev identitete praviloma ni dovolj le osebno ime (in na primer naslov), pač pa je treba osebno ime pogosto kombinirati z več identifikatorji, po možnosti z enoličnimi identifikacijskimi številkami kot so EMŠO in DŠ. Tako stališče lahko najdete na primer v mnenju IP na naslednji povezavi: https://www.ip-rs.si/mnenja-gdpr/6048a4879b18d.
Drugi odstavek 12. člena Splošne uredbe določa, da v primerih iz člena 11(2) upravljavec ne zavrne ukrepanja na zahtevo posameznika, na katerega se nanašajo osebni podatki, za uresničevanje njegovih pravic iz členov 15 do 22, razen če upravljavec dokaže, da ne more identificirati posameznika, na katerega se nanašajo osebni podatki. Če pravilo obrnemo in povežemo z drugim odstavkom 11. člena Splošne uredbe, velja, da lahko upravljavec od posameznika zahteva dodatne podatke za popolno identifikacijo.
Identifikacija je dejanje zatrjevanja ali ugotavljanja, kdo je določena oseba oziroma, da ima določeno identiteto. Verifikacija identitete je postopek potrjevanja, da je predstavljena identiteta prava. Avtentikacija je postopek potrjevanja, da je oseba res tista, za katero trdi, da je. Uporaba varnega elektronskega podpisa (digitalnega certifikata) je primarno sredstvo za avtentikacijo, ne pa nujno v vseh primerih tudi sredstvo za popolno identifikacijo, če upravljavec za iskanje (izločanje, filtriranje, uparjanje) potrebuje več podatkov, ker to narekuje način vodenja podatkov, vrsta podatkov o osebah, ki so na razpolago, število oseb, katerih podatki se obdelujejo itd.
Primeroma navajamo obrazec zahteve za seznanitev, ki je dostopen na spletni strani IP. Iz tega izhaja, da je po potrebi treba navesti dodatne podatke z navedbo v rubriki »rojstni datum ali drugi identifikacijski podatki, na podlagi katerih lahko upravljavec v svojih zbirkah najde vaše osebne podatke, ki jih zahtevate«.
Tudi v Zakonu o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (ZVOPOKD) je v 15. členu določeno, da »če pristojni organ, drug upravljavec, obdelovalec ali nadzorni organ upravičeno dvomi o identiteti posameznika, ki je vložil zahtevo iz drugega odstavka 18. člena tega zakona, pritožbo iz 27. člena tega zakona ali prijavo iz 33. člena tega zakona, lahko od njega zahteva dodatne informacije, potrebne za potrditev njegove identitete, ali pa zahteva vpogled v njegov uradni identifikacijski dokument iz 60. člena tega zakona, postopek identifikacije pa lahko opravi tudi z uporabo sredstev elektronske identifikacije ali z uporabo drugih sredstev informacijske tehnologije«. To bi veljalo na primer, če bi podatke zahtevali od policije in bi se ti podatki nanašali na vsebinsko področje iz ZVOPOKD.
Prijazen pozdrav.
Pripravil
dr. Urban Brulc, univ. dipl. prav., samostojni svetovalec IP
Mojca Prelesnik, univ. dipl. prav., informacijska pooblaščenka