Pravica do seznanitve: kdo so uporabniki, s katerimi se lahko seznanim? - TiOdlocas.si

Ali se lahko posameznik v sklopu pravice do seznanitve z lastnimi osebnimi podatki seznani z zaposlenimi znotraj upravljavca, ki so jim bili ali jim bodo razkriti osebni podatki?

Po mnenju Informacijskega pooblaščenca pravica do seznanitve z lastnimi osebnimi podatki iz člena 15 Splošne uredbe posamezniku ne omogoča pravice do pridobitve seznama zaposlenih oseb pri upravljavcu, ki so vpogledovale ali drugače obdelovale osebne podatke posameznika.

Posamezniku je v skladu s tretjim odstavkom 38. člena Ustave Republike Slovenije zagotovljena pravica do seznanitve z zbranimi osebnimi podatki, ki se nanašajo nanj (lastni osebni podatki). Ustavna pravica posameznika do seznanitve z lastnimi osebnimi podatki je zagotovljena vsakemu posamezniku v členu 15 Splošne uredbe. Postopkovna pravila so urejena v členu 11 in 12 omenjene uredbe. Več o seznanitvi z lastnimi podatki si lahko preberete na https://tiodlocas.si/zelim-vedeti-kaj-pocnejo-z-mojimi-podatki/.

Skladno s členom 15 Splošne uredbe ima posameznik, na katerega se nanašajo osebni podatki, pravico od upravljavca dobiti informacije o uporabniku ali kategorijah uporabnikov, ki so jim bili ali jim bodo razkriti osebni podatki, zlasti uporabnike v tretjih državah ali mednarodnih organizacijah (c točka). Splošna uredba v 9. točki člena 4 omenjene uredbe »uporabnika« definira kot fizično ali pravna osebo, javni organ, agencijo ali drugo telo, ki so mu bili osebni podatki razkriti, ne glede na to, ali je tretja oseba ali ne. Skladno z 10. točko člena 4 uredbe pa tretja oseba pomeni fizično ali pravno osebo, javni organ, agencijo ali telo, ki ni posameznik, na katerega se nanašajo osebni podatki, upravljavec, obdelovalec in osebe, ki so pooblaščene za obdelavo osebnih podatkov pod neposrednim vodstvom upravljavca ali obdelovalca. Vendar pa se javni organi, ki lahko prejmejo osebne podatke v okviru posamezne poizvedbe v skladu s pravom Unije ali pravom države članice, ne štejejo za uporabnike; obdelava teh podatkov s strani teh javnih organov poteka v skladu z veljavnimi pravili o varstvu podatkov glede na namene obdelave. Tudi ZVOP-1 v delu, ki se nanaša na vsebino pravice do seznanitve z lastnimi osebnimi podatki in definicijo pojma uporabnik, ni zajemal zaposlenih znotraj upravljavca. ZVOP-1 je implementiral takrat veljavno Direktivo, ki je pojem uporabnika določala skoraj enako kot sedaj veljavna Splošna uredba, zato je mnenje tudi skladno z vso dosedanjo pritožbeno prakso, ki se je navezovala na 30. člen ZVOP-1. 

Razlogi, da po mnenju Informacijskega pooblaščenca zaposleni ne sodijo med uporabnike tudi v smislu Splošne uredbe so:

  • vrsta obdelave, ki je vezana na definicijo uporabnika je »razkritje«. Razkritje pomeni ravnanje upravljavca (ali obdelovalca), s katerim se osebni podatki razkrijejo, posredujejo ali dajo na voljo navzven – izven prostorov, sredstev in oblasti upravljavca, torej se dajo drugemu. Zaposleni so intergralni del upravljavca, torej njegov nujni sestavni del (poenostavljeno »upravljavec = zaposleni + sredstva«) in ne druge osebe izven upravljavčeve oblasti. Zaposleni zato osebne podatke obdelujejo le znotraj upravljavca, uporabniki pa so v razmerju do upravljavca zunanje osebe. Le v zvezi z zunanjimi subjekti je moč govoriti o razkritju osebnih podatkov, ker se ta pojem navezuje zgolj na razmerja z zunanjimi subjekti;
  • v nasprotnem primeru bi morali tudi samega upravljavca šteti za uporabnika, ki so mu »razkriti« osebni podatki, ki jih ima v obdelavi, kar pa bilo samo s seboj v nasprotju in ni v skladu z zgoraj navedenimi določbami uredbe;
  • bistvo pojma uporabnik ni v tem, da je to le tisti, ki uporablja osebne podatke, temveč v tem, da je »prejemnik« osebnih podatkov. To še toliko bolj očitno izhaja iz angleške različice besedila uredbe, ki uporabnike v dobesednem prevodu imenuje »prejemnike«. Prejemnik je lahko le od upravljavca – z vidika obdelave osebnih podatkov – pravno ločena oziroma v razmerju do njega samostojna oseba;
  • tudi Splošna uredba o varstvu podatkov izrecno ne določa, da se zaposleni pri upravljavcu štejejo za uporabnike;
  • v primeru, da posameznik sumi na nezakonito notranjo obdelavo osebnih podatkov, zaradi obravnavane omejitve ni prikrajšan za pravno varstvo, saj lahko pri IP vloži prijavo zaradi domnevne kršitve varstva osebnih podatkov, pri čemer IP (le) v inšpekcijskem postopku ugotavlja, ali in kdo je znotraj upravljavca nezakonito obdeloval osebne podatke. Posameznik pa lahko pod določenimi pogoji od IP posredno pridobi tudi podatke o konkretnih kršiteljih, če je to pomembno za varstvo posameznikovih pravic.