Skoči do osrednje vsebine
Prijava v aplikacijo

Ste pozabili geslo?

Registracija

Predlagam vladi
Predlog z odzivom pristojne institucije

Vpogled v osebne podatke različnih upravljalcev baz podatkov

786 OGLEDOV 11 KOMENTARJEV

Spoštovani!

Praktičen primer: Državljan v določenem trenutku ugotovi (sumi) da je prišlo do zlorabe podatkov pred npr. 3 leti. Državljan sumi, da se je to zgodilo v okviru UKC Ljubljana.

 

Kakšno možnost ima danes? Lahko zaprosi za izpis, kdo je vpogledoval v njegove podatke. Tu pa nastopi problem. Državljan namreč prejme zelo pavšalen izpis. In sicer:

- datum in čas dostopa

- pravna podlaga: ZMat

- člen: 30 ali pa 55 itd

- namen: Zbiranje in obdelava oseb. podatkov za ugotavljanje, urejanje in uveljavljanje pravic in obveznosti državljanov RS in tujcev, odločanje o njihovih pravicah in obveznostih ter za druge zakonite namene

- institucija: UE Ljubljana

 

Državljan bi moral prejeti:

- datum in uro dostopa (KAR PREJME ŽE SEDAJ)

- številka računalnika ali IP naslova dostopa (KAR NE PREJME)

- številka šifre osebe, ki je dostopala do podatkov (KAR NE PREJME)

- številka odgovorne osebe oddelka-od osebe, ki je vpogledovala (KAR NE PREJME)

- oseba ki je vpogledovala: Katja K. ali Matej O. ... (KAR SEDAJ NE PREJME)

- tudi šifre osebe, ki je vpogledovala, ni (to sicer državljanu ne bi koristilo pri preverjanju, ali je ta oseba zares imela uradno dolžnost za vpogled)

- namen za vpogled: zakonska podlaga (PREJME ŽE SEDAJ)

- dodatna opomba: npr. v zvezi z izdajo odločbe št. 546-5457 ki je bila izdana 28.06.2021 državljanu (KAR SEDAJ NE PREJME)

- organ: npr. Ministrstvo za finance, FURS ali Mestna občina LJ (TO SEDAJ PREJME)

- zveza: oddelek izterjave na FURS ali oddelek kabinet župana (KAR SEDAJ NE PREJME)

 

Skratka:

- v sedanjem izpisu državljan ne prejme dovolj informacij pri izpisu vpogledov v njegove osebne podatke KER so preprosto premalo določni, preveč pavšalni (PREDVSEM KDO TOČNO JE DOSTOPAL DO NJIH), kajti čez eno leto ali dve ali 5 let državljan ne more več vedeti, kdo je takrat imel ozko pravico do vpogledov v njegove osebne podatke.

 

Pri osebnih podatkih vemo da gre za to, da se državljanu šele kasneje izkaže potreba po tem, da mora vedeti, kdo je dostopal do teh podatkov (bodisi zato, ker je odkril sum zlorabe ali bodisi zato, ker je zloraba osebnih podatkov že dejstvo).

 

Pri tem pa nastopi problem: ker se interes državljana za pridobitev vpogledov v njegove podatke izkaže kasneje, se državljan seveda ne more več spomniti, ali je ta urad imel takrat pravico dostopati do osebnih podatkov oz. ne ve več kdaj točno in kdo je smel takrat dostopati do podatkov.

(AMPAK SO PREVEČ PAVŠALNI - nadrejeni, torej direktor enote ali direktor zavoda, agencije .... pa seveda ne bo potunkal svojega podrejenega, povedano drugače: uspeh pridobiti krivca za vpoglede v osebne podatke je odveisen od tega nadrejenega)

 

Skratka: pri izpisu vpogledov bi državljan moral imeti ime in priimek osebe, ki je do njegovih podatkov dostopala.

(če lahko delavec zve vse o državljanu, potem ima tudi državljan pravico do tega, kdo točno in kdaj - datum in ura ter zakaj je dostopal do podatkov - pravno vzajemno)

33 glasov

0 glasov

Če bo predlog prejel vsaj 25 glasov za in več glasov za kot proti, ga bomo poslali v obravnavo pristojnemu ministrstvu.

AVTOR D drzavljanZ 7 predlogov
STATUS PREDLOGA
  • PREDLOG POSLAN
  • KONEC OBRAVNAVE
  • ODGOVOR

Odgovor


20. 4. 2021

Odziv Ministrstva za pravosodje

Predlog se nanaša na varstvo osebnih podatkov, ki ga urejata Splošna uredba o varstvu podatkov (v nadaljevanju Splošna uredba), Zakon o varstvu podatkov na področju obravnavanja kaznivih dejanj (ZVOPOKD), v manjšem delu pa tudi veljavni Zakon o varstvu osebnih podatkov (ZVOP-1) iz leta 2004, s spremembami do leta 2007.

Pobudnik ugotavlja, da v praksi od upravljavcev lahko pridobi nekatere podatke o vpogledih v njegove osebne podatke, ki jih obdelujejo upravljavci, ne more pa pridobiti podatkov, ki bi mu omogočili identifikacijo konkretnih oseb, ki so podatke obdelovale. Predlagatelj meni, da bi državljan moral imeti pravico do tega, da izve kdo točno in kdaj ter zakaj je dostopal do podatkov.

Uvodoma pojasnjujemo, da je dostop do lastnih osebnih podatkov urejen v Splošni uredbi o varstvu podatkov (znana pod kratico: GDPR) in sicer v 15. členu, ki ureja pravico dostopa posameznika, na katerega se nanašajo osebni podatki. Navedena določba določa, da morajo upravljavci osebnih podatkov posamezniku, na katerega se nanašajo podatki zagotoviti naslednje podatke:

  1. namene obdelave;
  2. vrste zadevnih osebnih podatkov;
  3. uporabnike ali kategorije uporabnika, ki so jim bili ali jim bodo razkriti osebni podatki, zlasti uporabnike v tretjih državah ali mednarodnih organizacijah;
  4. kadar je mogoče, predvideno obdobje hrambe osebnih podatkov ali, če to ni mogoče, merila, ki se uporabijo za določitev tega obdobja;
  5. obstoj pravice, da se od upravljavca zahteva popravek ali izbris osebnih podatkov ali omejitev obdelave osebnih podatkov v zvezi s posameznikom, na katerega se nanašajo osebni podatki, ali obstoj pravice do ugovora taki obdelavi;
  6. pravico do vložitve pritožbe pri nadzornem organu;
  7. kadar osebni podatki niso zbrani pri posamezniku, na katerega se ti nanašajo, vse razpoložljive informacije v zvezi z njihovim virom;
  8. obstoj avtomatiziranega sprejemanja odločitev, vključno z oblikovanjem profilov iz člena 22(1) in (4) Splošne uredbe, ter vsaj v takih primerih smiselne informacije o razlogih zanj, kot tudi pomen in predvidene posledice take obdelave za posameznika, na katerega se nanašajo osebni podatki.

Dodatno k navedenim informacijam se posamezniku zagotovi tudi kopijo osebnih podatkov, ki se obdelujejo, pri tem pa pravica do pridobitve kopije ne vpliva negativno na človekove pravice in temeljne svoboščine drugih oseb (npr. razmerje starš : nekdanja vzdrževana oseba).

Trenutno je v pripravi nov Zakon o varstvu osebnih podatkov (ZVOP-2), ki bo uredil pristojnost Informacijskega pooblaščenca tudi za izrekanje glob po Splošni uredbi in uredil izvajanje pritožbenih in nadzornih postopkov, določenih z uredbo.

Namen pravice do seznanitve z osebnimi podatki je v možnosti, da posameznik, na katerega se nanašajo osebni podatki - podatke, ki jih upravljavec obdeluje, pregleda in na njihovi podlagi uresničuje druge pravice, ki jih daje Splošna uredba (zlasti pravica do popravka, pravica do izbrisa, pravica do omejitve obdelave, pravica do prenosljivosti in pravica do ugovora). Pravica do vpogleda sama po sebi ni namenjena ugotavljanju kršitev, lahko pa iz pridobljenih podatkov izhaja sum o kršitvah Splošne uredbe (napake, namenske kršitve) ali drugih predpisov ali celo sum storitve kaznivega dejanja. V primeru kršitev Splošna uredba predvideva podajo prijave nadzornemu organu (v Sloveniji je to Informacijski pooblaščenec), v primeru suma storitve kaznivega dejanja pa se v skladu z Zakonom o kazenskem postopku lahko vloži kazenska ovadba pristojnemu državnemu tožilstvu.

V primeru kršitev zakonodaje s področja varstva osebnih podatkov, tudi glede podatkov s področja zdravstva, ki so omenjeni v pobudi, lahko Informacijski pooblaščenec izvede inšpekcijski nadzor, odredi ukrepe za odpravo kršitev in prekrškovno kaznuje kršitelje. Inšpekcijska pooblastila Informacijskemu pooblaščencu in njegovim nadzornikom za varstvo osebnih podatkov omogočajo vpogled v vse zbirke, pregled opreme, zaslišanje uslužbencev in druge ukrepe, s katerimi lahko ugotovi dejansko stanje. Pri tem je treba opozoriti na dejstvo, da prekrški zastarajo po dveh letih od storitve.

V primeru suma kaznivega dejanja zlorabe osebnih podatkov iz 143. člena Kazenskega zakonika, imata državno tožilstvo in policija preiskovalna pooblastila, s katerimi lahko podobno kot Informacijski pooblaščenec in njegovi nadzorniki, preiščejo sum in odkrijejo domnevnega storilca.

Iz predloga izhaja želja predlagatelja, da bi imel možnost pridobiti podatek o tem, kdo točno je v določenem trenutku v preteklosti obdeloval (vpogledoval) njegove osebne podatke. Takšne pravice za posameznika ni mogoče določiti, ker ne obstaja splošna obveznost hrambe takšnih podatkov. Obveznost obstaja v ZVOPOKD, ki ureja obdelave osebnih podatkov na področju obravnave kaznivih dejanj (47. člen – vodenje dnevnikov) in posameznih drugih področnih zakonih, med tem ko Splošna uredba takšne obveznosti za večino pravnih področij v Sloveniji ne predvideva.

Tudi ob morebitni določitvi splošne obveznosti hrambe dnevnikov o obdelavah osebnih podatkov (dostop, vpisovanje, brisanje itd.)  bi bil dopusten le dostop do teh podatkov omejen na nadzorni organ za namen preiskovanja kršitev (načelo namenskosti in načelo sorazmernosti bi to zahtevala).

Predlog glede na navedeno ni primeren za nadaljnjo obravnavo. Cilj, ki ga zasleduje predlog - je nadzor nad zakonitostjo obdelave osebnih podatkov, ki pa je v pristojnosti Informacijskega pooblaščenca, oziroma v pristojnosti državnega tožilstva in policije, kadar gre za sum storitve kaznivega dejanja. Kadar se posameznik sreča s sumom kršitve, ne bi bilo primerno, da tak sum sam preiskuje, pač pa da se s prijavo obrne na pristojne organe, saj posameznik po pravni ureditvi Republike Slovenije ni nadzorni organ.

Komentarji