Ali se lahko posameznik v sklopu pravice do seznanitve z lastnimi osebnimi podatki seznani z zaposlenimi znotraj upravljavca, ki so jim bili ali jim bodo razkriti osebni podatki?
Po mnenju Informacijskega pooblaščenca pravica do seznanitve z lastnimi osebnimi podatki iz člena 15 Splošne uredbe posamezniku le izjemoma omogoča pravico do pridobitve seznama zaposlenih oseb pri upravljavcu, ki so vpogledovale ali drugače obdelovale osebne podatke posameznika.
Posamezniku je v skladu s tretjim odstavkom 38. člena Ustave Republike Slovenije zagotovljena pravica do seznanitve z zbranimi osebnimi podatki, ki se nanašajo nanj (lastni osebni podatki). Ustavna pravica posameznika do seznanitve z lastnimi osebnimi podatki je zagotovljena vsakemu posamezniku v členu 15 Splošne uredbe. Postopkovna pravila so urejena v členu 11 in 12 omenjene uredbe. Več o seznanitvi z lastnimi podatki si lahko preberete na https://tiodlocas.si/zelim-vedeti-kaj-pocnejo-z-mojimi-podatki/.
Skladno s členom 15 Splošne uredbe ima posameznik, na katerega se nanašajo osebni podatki, pravico od upravljavca dobiti informacije o uporabniku ali kategorijah uporabnikov, ki so jim bili ali jim bodo razkriti osebni podatki, zlasti uporabnike v tretjih državah ali mednarodnih organizacijah (c točka). Splošna uredba v 9. točki člena 4 omenjene uredbe »uporabnika« definira kot fizično ali pravna osebo, javni organ, agencijo ali drugo telo, ki so mu bili osebni podatki razkriti, ne glede na to, ali je tretja oseba ali ne. Skladno z 10. točko člena 4 uredbe pa tretja oseba pomeni fizično ali pravno osebo, javni organ, agencijo ali telo, ki ni posameznik, na katerega se nanašajo osebni podatki, upravljavec, obdelovalec in osebe, ki so pooblaščene za obdelavo osebnih podatkov pod neposrednim vodstvom upravljavca ali obdelovalca. Vendar pa se javni organi, ki lahko prejmejo osebne podatke v okviru posamezne poizvedbe v skladu s pravom Unije ali pravom države članice, ne štejejo za uporabnike; obdelava teh podatkov s strani teh javnih organov poteka v skladu z veljavnimi pravili o varstvu podatkov glede na namene obdelave.
Zaposleni pri upravljavcu načeloma ne štejejo med uporabnike, glede katerih lahko posameznik prejme informacije o obdelavi podatkov. Kot je izpostavilo Sodišče EU v zadevi št. C-579/21 z dne 22. junija 2023 (Pankki S), bi se lahko posameznik izjemoma seznanil z identiteto zaposlenih, če bi v konkretnem primeru zaposleni deloval izven okvira vodstva in navodil delodajalca (če bi torej zaposleni dejansko prekoračil navodila delodajalca in s tem postal zunanji uporabnik), oz. če bi bile informacije o identiteti zaposlenih nujne za učinkovito uveljavljanje pravic posameznika (zlasti za preverjanje, ali je obdelava osebnih podatkov zakonita) in hkrati podaja teh informacij ne bi negativno vplivala na pravice in svoboščine zaposlenih. Navedene pogoje mora upravljavec ugotavljati v konkretni situaciji glede na vse okoliščine.