Pravice posameznikov pri upravljanju osebnih podatkov
-
potrditev, ali se v zvezi z njim obdelujejo osebni podatki, in kadar je temu tako, dostop do osebnih podatkov in naslednje informacije:
- namene obdelave;
- vrste zadevnih osebnih podatkov;
- uporabnike ali kategorije uporabnikov, ki so jim bili ali jim bodo razkriti osebni podatki, zlasti uporabnike v tretjih državah ali mednarodnih organizacijah;
- rok hrambe osebnih podatkov ali, če to ni mogoče, merila, ki se uporabijo za določitev tega obdobja;
- obstoj avtomatiziranega sprejemanja odločitev, vključno z oblikovanjem profilov;
- razloge za obdelavo kot tudi pomen in predvidene posledice take obdelave za posameznika;
- eno kopijo osebnih podatkov v elektronski obliki (brezplačno);
- v primeru, da posameznik zahteva dodatne kopije, lahko upravljalec zaračuna razumno pristojbino ob upoštevanju stroškov;
-
omejitev obdelave, kadar:
- posameznik, na katerega se nanašajo osebni podatki, oporeka točnosti podatkov, in sicer za obdobje, ki upravljalcu omogoča preveriti točnost osebnih podatkov;
- je obdelava nezakonita in posameznik, na katerega se nanašajo osebni podatki, nasprotuje izbrisu osebnih podatkov ter namesto tega zahteva omejitev njihove uporabe;
- upravljalec osebnih podatkov ne potrebuje več za namene obdelave, temveč jih posameznik, na katerega se nanašajo osebni podatki, potrebuje za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov;
- popravek netočnih oziroma nepravilnih osebnih podatkov;
- izbris vseh osebnih podatkov na podlagi izpolnjenih pogojev 17. člena splošne uredbe še bolj natančno, če posameznik, na katerega se nanašajo osebni podatki, prekliče privolitev, na podlagi katere poteka obdelava osebnih podatkov;
- posameznik, na katerega se nanašajo osebni podatki, ima pravico, da prejme osebne podatke v zvezi z njim, ki jih je posedoval upravljalcu, v strukturirani, splošno uporabljani in strojno berljivi obliki, in pravico, da te podatke posreduje drugemu upravljalcu, ne da bi ga upravljalec, ki so mu bili osebni podatki zagotovljeni, pri tem oviral;
- preklic uporabe osebnih podatkov za namene neposrednega trženja, vključno z oblikovanjem profilov;
- posameznik, na katerega se nanašajo osebni podatki, ima pravico, da zanj ne velja odločitev, ki temelji zgolj na avtomatizirani obdelavi, vključno z oblikovanjem profilov, ki ima pravne učinke v zvezi z njim ali na podoben način nanj znatno vpliva skladno z 22. členom Splošne uredbe o varstvu osebnih podatkov.
Postopek uveljavljanja pravic:
Posameznik je seznanjen, da lahko vse zgoraj navedene zahteve, ki se tičejo uveljavljanja pravic v zvezi z osebnimi podatki, naslovi v pisni obliki na upravljalca, in sicer preko e-pošte: info@zrece.eu oziroma osebno na lokaciji upravljalca.
Posameznik je seznanjen, da lahko upravljalec za potrebe zanesljive identifikacije v primeru uveljavljanja pravic v zvezi z osebnimi podatki od njega zahteva dodatne podatke, izvedbeni postopek uveljavljanja pravic pa lahko zavrne le v primeru, da dokaže, da posameznika ne more zanesljivo identificirati.
Posameznik je seznanjen, da mora upravljalec na zahtevo posameznika, s katero uveljavlja pravice v zvezi z zgoraj navedenimi osebnimi podatki, odgovoriti brez nepotrebnega odlašanja in najpozneje v enem mesecu od prejema zahteve.
Kontakti pooblaščene osebe za varstvo osebnih podatkov:
V skladu z določilom 37. člena Uredbe EU 2016/679 Evropskega parlamenta in sveta z dne 27. aprila 2016 smo za pooblaščeno osebo za varstvo podatkov imenovali družbo:
DATAINFO.SI, d.o.o.
Tržaška cesta 85, SI-2000 Maribor
www.datainfo.si
e-pošta: dpo@datainfo.si
telefon: +386 (0) 2 620 4 300
1 Uvod
Ta postopek se uporablja, ko posameznik, na katerega se nanašajo osebni podatki, uveljavlja eno ali več pravic, ki jih ima na podlagi Splošne uredbe Evropske unije o varstvu podatkov (GDPR) in vsakokratne nacionalne zakonodaje (ZVOP-2).
Vsaka od zadevnih pravic ima svoje značilnosti, ki jih mora občina spoštovati, in to v predpisanih rokih. Postopek je podrobneje določen v Pravilniku o varstvu osebnih podatkov. V tem dokumentu je naveden povzetek, ki je namenjen seznanitvi strank o vrstah in načinu uveljavljanja pravic.
Občina zagotavlja informacije o pravicah posameznika preko spletne strani in osebno na sedežu občine v Politiki varstva osebnih podatkov.
Vlogo za uveljavljanje pravic je zaradi identifikacije vlagatelja možno oddati z e-vlogo (z varnim elektronskim podpisom s kvalificiranim potrdilom) ali osebno na sedežu občine.
Občina v roku 5 dni zahteva morebitno dopolnitev (če zahtevek ni jasen) in v najkrajšem možnem času ter najkasneje v 30 dneh posreduje odgovor. Če posameznik z odgovorom oziroma odločitvijo občine ni zadovoljen, se lahko pritoži na naslov nadzornega organa (Informacijski pooblaščenec).
Postopek uveljavljanja pravic
Vlogo za uveljavljanje pravic je zaradi identifikacije vlagatelja možno oddati z e-vlogo (z varnim elektronskim podpisom s kvalificiranim potrdilom) ali osebno na sedežu občine. V primeru oddaje zahteve na sedežu občine mora vlagatelj predložiti identifikacijski dokument, iz katerega je razvidno, da je dejansko oseba, ki ima pravico zahtevati seznanitev z osebnimi podatki. V kolikor vlagatelj vloži zahtevo za seznanitev z osebnimi podatki druge osebe, mora poleg lastnega identifikacijskega dokumenta predložiti še pooblastilo druge osebe za takšno dejanje.
Zahteva mora biti razumljiva in mora obsegati osebno ime posameznika ter druge podatke, ki so potrebni za določitev osebnih podatkov, na katere se zahteva nanaša oziroma za rešitev zahteve, morebitne podatke o pooblaščencu ali zastopniku posameznika, opredelitev oblike v kateri želi posameznik prejeti odgovor ter opredelitev zahteve.
Občina je vlogo posameznika dolžna rešiti najkasneje v roku 30 dni. Ta rok se lahko po potrebi podaljša za največ dva dodatna meseca ob upoštevanju zapletenosti in števila zahtev. O tem je občina dolžna pravočasno obvestiti posameznika, najkasneje pa v roku enega meseca po prejemu zahteve, skupaj z razlogi za zamudo in informacijo o možnosti pritožbe.
Občina lahko zaradi potrditve identitete posameznika zahteva dodatne potrebne informacije.
1.1 Pravica biti obveščen
Kadar se osebni podatki pridobijo od posameznika, na katerega se nanašajo osebni podatki, ali kadar se osebni podatki pridobijo iz drugega vira, je dolžna občina obvestiti posameznika (splet ali osebno), na katerega se nanašajo osebni podatki, da se v občini obdelujejo osebni podatki v zvezi z njim in njegove pravice v zvezi s tem. Spoštovanje te pravice je urejeno v internih akti občine in dosegljivo na oglasni deski ter spletni strani občine v dokumentu – Politika varstva osebnih podatkov, kateri je priložena Evidenca dejavnosti obdelav osebnih podatkov.
1.2 Pravica dostopa do podatkov
Posameznik, na katerega se nanašajo osebni podatki, ima pravico, da občino vpraša, ali obdeluje osebne podatke v zvezi z njim, in da ima dostop do teh podatkov in še do informacij o:
- namenih obdelave,
- kategorijah zadevnih osebnih podatkov,
- uporabnikih ali kategorijah uporabnikov podatkov, če obstajajo, zlasti v vseh tretjih državah ali mednarodnih organizacijah,
- obdobju hrambe osebnih podatkov (ali merilih, ki se uporabijo za določitev tega obdobja),
- pravicah posameznika, na katerega se nanašajo osebni podatki, do popravka ali izbrisa njegovih osebnih podatkov in do omejitve obdelave ali ugovora obdelave,
- pravici posameznika, na katerega se nanašajo osebni podatki, da vloži pritožbo pri nadzornem organu,
- viru osebnih podatkov, če niso pridobljeni neposredno od posameznika, na katerega se nanašajo osebni podatki,
- tem, ali bodo osebni podatki obdelani avtomatizirano, vključno z oblikovanjem profilov, in če bodo, informacije o razlogih za tako obdelavo in morebitne posledice in
- če se podatki prenašajo v tretjo državo ali mednarodno organizacijo, informacije o zaščitnih ukrepih, ki veljajo.
1.3 Pravica do popravka
Če osebni podatki niso točni, ima posameznik, na katerega se nanašajo osebni podatki, pravico, da zahteva, da se podatki popravijo, in da se nepopolni osebni podatki dopolnijo, v skladu z informacijami, ki jih lahko zagotovi.
Če bo potrebno, bo Občina Zreče tudi preverila informacije, ki ji jih je posredoval posameznik, na katerega se nanašajo osebni podatki, da bi pred spremembo osebnih podatkov zagotovila, da so te informacije točne.
1.4 Pravica do izbrisa
Imenovana tudi „pravica do pozabe“; posameznik, na katerega se nanašajo osebni podatki, ima pravico, da od Občine Zreče zahteva, da brez nepotrebnega odlašanja izbriše osebne podatke v zvezi z njim, kadar velja eno od naslednjega:
- osebni podatki niso več potrebni v namene, za katere so bili zbrani,
- posameznik, na katerega se nanašajo osebni podatki, prekliče privolitev in za obdelavo ne obstaja nobena druga pravna podlaga,
- posameznik, na katerega se nanašajo osebni podatki, ugovarja obdelavi osebnih podatkov,
- osebni podatki so bili obdelani nezakonito,
- iz razlogov spoštovanja zakonodaje, to je za izpolnitev pravnih obveznosti občine ali
- če so se osebni podatki nanašali na posameznika, na katerega se nanašajo osebni podatki, kot otroka.
Če so bili osebni podatki objavljeni, je treba storiti vse, kar je mogoče, da se zagotovi izbris, če je to mogoče. Izbris ni možen, če obdelavo osebnih podatkov zahteva druga zakonodaja (npr. arhivsko gradivo).
Občina Zreče bo morala v vsakem posameznem primeru take zahteve sprejeti odločitev o vprašanju, ali je zahtevo mogoče ali treba zavrniti iz enega od naslednjih razlogov:
- pravice do svobode izražanja in obveščanja,
- izpolnjevanja pravne obveznosti,
- javnega interesa na področju javnega zdravja,
- varstva namenov arhiviranja v javnem interesu,
- ker so osebni podatki pomembni za pravni zahtevek.
V te odločitve bo verjetno morala biti vključena pooblaščena oseba za varstvo podatkov Občine Zreče in v nekaterih primerih višje vodstvo.
1.5 Pravica do omejitve obdelave
Posameznik, na katerega se nanašajo osebni podatki, lahko uveljavi pravico do omejitve obdelave njegovih osebnih podatkov, če je podana ena od naslednjih okoliščin:
- če posameznik, na katerega se nanašajo osebni podatki, oporeka točnosti podatkov, dokler se ne preveri točnosti osebnih podatkov,
- kot alternativa izbrisu podatkov v primerih, ko je obdelava nezakonita,
- če posameznik, na katerega se nanašajo osebni podatki, te potrebuje za pravne zahtevke, občina jih pa ne potrebuje več ali
- dokler ni sprejeta odločitev v zvezi z ugovorom obdelavi.
Občina Zreče bo morala v vsakem posameznem primeru take zahteve sprejeti odločitev o vprašanju, ali je zahteva dopustna. V te odločitve bo verjetno morala biti vključena pooblaščena oseba za varstvo podatkov občine in v nekaterih primerih višje vodstvo.
Če velja omejitev obdelave, se osebni podatki lahko shranijo, vendar se ne smejo obdelovati brez privolitve posameznika, na katerega se osebni podatki nanašajo, razen če obstojijo zakoniti razlogi (in v tem primeru je treba posameznika, na katerega se nanašajo osebni podatki, o tem obvestiti). Druge organizacije, ki lahko obdelujejo osebne podatke v imenu občine, je treba prav tako obvestiti o omejitvi.
1.6 Pravica do preklica privolitve
Posameznik, na katerega se nanašajo osebni podatki, ima pravico, da svojo privolitev prekliče, kadar je privolitev podlaga za obdelavo njegovih osebnih podatkov (to pomeni, da obdelava ne temelji na drugi podlagi, ki jo dopušča GDPR, kot sta pogodbena ali zakonska obveznost).
Preden se osebni podatki posameznika, na katerega se nanašajo osebni podatki, izvzamejo iz obdelave, je treba potrditi, da je privolitev zares podlaga za obdelavo. Če ni, se zahteva lahko zavrne iz razloga, da privolitev posameznika, na katerega se nanašajo osebni podatki, za obdelavo ni potrebna. Sicer je treba zahtevi ugoditi.
V mnogih primerih bo dajanje in preklic privolitve na voljo v elektronski obliki, in sicer na spletu, in ta postopek ne bo potreben.
Če je v privolitev vključen otrok (ki je v GDPR opredeljen kot mlajši od 16 let, razen če države članice z zakonom spremenijo to mejo), mora privolitev ali njen preklic odobriti nosilec starševske odgovornosti za otroka.
1.7 Pravica do prenosljivosti podatkov
Posameznik, na katerega se nanašajo osebni podatki, ima pravico zahtevati, da se mu njegovi osebni podatki zagotovijo v „strukturirani, splošno uporabljani in strojno berljivi obliki“ (člen 20 GDPR) in pravico do prenosa teh podatkov tretjemu, na primer ponudniku storitev. To velja za osebne podatke, katerih obdelava temelji na privolitvi posameznika, na katerega se nanašajo osebni podatki, in se obdelava izvaja z avtomatiziranimi sredstvi.
Če je možno, lahko posameznik, na katerega se nanašajo osebni podatki, zahteva tudi, da se osebni podatki posredujejo iz sistemov občine neposredno v sisteme drugega ponudnika storitev.
V zvezi s storitvami, ki spadajo v to skupino, se v vsakem posameznem primeru sprejme le malo odločitev in je zelo zaželeno, da se ta proces izvaja avtomatizirano.
1.8 Pravica do ugovora
Posameznik, na katerega se nanašajo osebni podatki, ima pravico, da ugovarja obdelavi osebnih podatkov, ki je pravno utemeljena na naslednjem:
- gre za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu (t.i. zakoniti interes občine).
Ko je ugovor vložen, mora občina utemeljiti podlage za obdelavo in do takrat prenehati z obdelavo.
1.9 Pravice v zvezi z avtomatiziranim sprejemanjem odločitev in oblikovanjem profilov
Posameznik, na katerega se nanašajo osebni podatki, ima pravico, da zanj ne velja odločitev, ki je bila sprejeta avtomatizirano, če odločitev nanj znatno vpliva, in lahko zahteva osebno posredovanje, če je to primerno. Prav tako ima pravico, da izrazi lastno stališče in izpodbija odločitve.
Določene so izjeme od te pravice, in sicer če je odločitev:
- nujna za pogodbo,
- dovoljena v pravu ali
- če temelji na izrecni privolitvi posameznika, na katerega se nanašajo osebni podatki.
Pri presoji teh vrst zahtev, je treba presoditi vprašanje, ali zgoraj navedene izjeme veljajo v posameznem primeru, ki se obravnava.