Dostop do lastnih osebnih podatkov – obveznost podjetij do strank kot tudi v delovnih razmerjih

Eden ključnih elementov zagotavljanja zakonite obdelave osebnih podatkov je tudi učinkovito izvajanje pravice vsakogar, da se seznani z obdelavo lastnih osebnih podatkov in dostopa do teh podatkov (to določa 15. člen Splošne uredbe o varstvu podatkov). To pomeni, da lahko od podjetja vsakdo bodisi kot stranka, kupec, naročnik ali zaposleni, kadarkoli zahteva pojasnila o tem, katere njegove osebne podatke obdelujejo, za kakšen namen in na kakšni podlagi, kdo so uporabniki ter informacije o roku hrambe. V primeru, ko podjetje izvaja profiliranje posameznika, je npr. ta upravičen tudi do informacije o njegovem profilu, na primer o tem, v katere »segmente« ali »kategorije« je uvrščen. Prav tako lahko posameznik zase zahteva pridobitev kopije osebnih podatkov, ki se obdelujejo. Podjetje pa mora na vsako takšno zahtevo odgovoriti v roku enega meseca.

Če podjetje izvaja profiliranje, že Splošna uredba predvideva nekaj zaščite glede razkrivanja poslovnih skrivnosti ali intelektualne lastnine, ki je pri tem lahko zlasti pomembna. Vendar pa zaščita poslovnih skrivnosti ne sme biti izgovor za vsako zavrnitev dostopa ali posredovanja informacij posamezniku. Kadar je mogoče, pa je zaželeno, da bi podjetje imelo tudi možnost zagotoviti dostop na daljavo do varnega sistema, ki bi posamezniku, na katerega se nanašajo osebni podatki, omogočil neposreden dostop do njegovih osebnih podatkov. 

Podjetje mora podatke zagotoviti brezplačno. Izjemoma lahko podjetje zaračuna razumno pristojbino, (pri čemer upošteva administrativne stroške posredovanja):

– če dokaže, da je zahteva očitno neutemeljene ali pretirana (zlasti ker se zahteve ponavljajo),

– če posameznik zahteva dodatno kopijo osebnih podatkov.

Poleg tega ima posameznik tudi pravico, da zahteva, da se njegove osebne podatke izbriše, če za obdelavo ni več dopustnega razloga, pravico do popravka netočnih podatkov, v nekaterih primerih pa tudi pravico do ugovora obdelavi ali omejitve obdelave.

Podjetja z izvajanjem teh pravic ne bodo imela težav, če imajo dobro pripravljeno evidenco dejavnosti obdelave in pregled nad tem, katere osebne podatke obdelujejo.

Podjetje lahko zahtevo glede uveljavljanja pravic načeloma zavrne le, če gre za podatke, ki se ne nanašajo na posameznika, ali če obstaja v zakonu določena omejitev glede posredovanja (npr. za banke velja takšna omejitev za določene podatke, ki jih morajo banke zbirati v zvezi s preprečevanjem pranja denarja in financiranja terorizma).

Pravice posameznika torej niso absolutne, ampak jih lahko zgolj zakon sorazmerno. Obseg obveznosti upravljavcev in pravic posameznikov se lahko z zakonom omeji zgolj, kadar je to potrebno za zagotavljanje:

  • državne varnosti, obrambe ter javne varnosti (npr. omejitve glede dostopa do tajnih podatkov),
  • preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij (npr. omejitve glede dostopa do podatkov iz policijskih postopkov),
  • drugih pomembnih ciljev v splošnem javnem interesu EU ali  države (vključno z denarnimi, proračunskimi in davčnimi zadevami, javnim zdravjem in socialno varnostjo),
  • varstva neodvisnosti sodstva in sodnega postopka,
  • preprečevanja, preiskovanja, odkrivanja in pregona kršitev etike v zakonsko urejenih poklicih;
  • spremljanja, pregledovanja ali urejanja, povezanega z izvajanjem javne oblasti,
  • varstva posameznika, na katerega se nanašajo osebni podatki, ali pravic in svoboščin drugih in uveljavljanja civilnopravnih zahtevkov (npr. v določenih primerih pravice intelektualne lastnine, pravice otrok, primeri, ko določen podatek hkrati predstavlja podatek druge osebe).

Posameznik zahtevek za uveljavljanje določene pravice (tudi pravice do dostopa do lastnih podatkov), uveljavlja neposredno pri podjetju ali drugi organizaciji, ki podatke zbira oziroma obdeluje. Za otroke pravico uveljavljajo starši ali drugi zakoniti zastopniki.

Pri Informacijskem pooblaščencu zadnje čase opažamo primere, ko podjetja ne odgovarjajo na  zahteve za dostop do lastnih podatkov, celo na zahteve nekdanjih zaposlenih, ali jih celo povsem neupravičeno zavrnejo. Takšno ravnanje ni dopustno. Če gre za zahtevo zaposlenega za posredovanje plačilnih list, pa lahko predstavlja tudi kršitev delovnopravne zakonodaje.

Vsako podjetje mora na zahtevo posameznika glede uveljavljanja pravic po Splošni uredbi odgovoriti najkasneje v enem mesecu od prejema zahteve in prosilca tudi informirati o izvedenih ukrepih. Ta rok se lahko pri kompleksnejših zahtevah ali velikem številu zahtev podaljša za največ dva meseca.

Zakon o delovnih razmerjih (ZDR-1) namreč v zvezi z izplačilom plače še posebej določa: da je delodajalec dolžan delavcu do konca plačilnega dne izdati pisni obračun, iz katerega so razvidni podatki o plači, nadomestilu plače, povračila stroškov v zvezi z delom in drugi prejemki, do katerih je delavec upravičen, obračun in plačilo davkov in prispevkov ter plačilni dan. Iz pisnega obračuna morajo biti razvidni tudi podatki o delavcu in delodajalcu. Prav tako mora delodajalec najkasneje do 31. januarja delavcu izdati pisni obračun plač in nadomestil plač za preteklo koledarsko leto, iz katerega sta razvidna tudi obračun in plačilo davkov in prispevkov. Nadzor te pravice delavca izvaja inšpektorat za delo.

Dokumenti s podatki o delavcu, za katerega se preneha voditi evidenca o izrabi delovnega časa ter dokumenti s podatki o delavcu, za katerega se preneha voditi evidenca o stroških dela se hranijo kot listina trajne vrednosti. To pomeni, da lahko delavec tudi kadarkoli po prenehanju zaposlitve zase zahteva posredovanje teh podatkov, saj gre za podatke, ki se nanašajo nanj.

Podjetje mora posameznika v vsakem primeru obvestiti, tudi če zahteve ne bo izpolnilo ter svojo odločitev utemeljiti in hkrati prosilca tudi obvestiti, da lahko v 15 dneh po prejemu odgovora vloži pritožbo pri IP in ima možnost uveljavljanja pravnih sredstev.

Posameznik ne more pridobiti podatkov, ki se ne nanašajo nanj:

– osebnih podatkov drugih oseb, če ni njihov zakoniti zastopnik,

– podatkov o tem, kateri posamezniki znotraj organizacije uporabljajo njegove osebne podatke ali

– v določenih primerih, če je to potrebno za varstvo pravic drugih, podatkov, ki sodijo v poslovno skrivnost ali intelektualno lastnino podjetji (npr. vnaprej natisnjenih in strokovno potrjenih psihodiagnostičnih testov, poslovne logike in algoritmov za izračun npr. ugotavljanja goljufij).

V primeru, da se podjetje na zahtevo za uveljavljanje pravic po Splošni uredbi ne odzove se lahko posameznik obrne na Informacijskega pooblaščenca. Več o nasvetih podjetjem na spletni strani: www.upravljavec.si o pravicah posameznika pa na spletni strani: www.tiodlocas.si.