Pravice posameznikov pri upravljanju osebnih podatkov

V občini Škofja Loka, se zavedamo odgovornosti ravnanja z osebnimi podatki, zato vse zbirke osebnih podatkov vodimo, vzdržujemo, hranimo in nadzorujemo v skladu z Zakonom o varstvu osebnih podatkov (ZVOP-2) in Splošno uredbo o varstvu osebnih podatkov ter posamezniku, katerega osebne podatke obdelujemo, zagotavljamo naslednje pravice:
  • potrditev, ali se v zvezi z njim obdelujejo osebni podatki, in kadar je temu tako, dostop do osebnih podatkov in naslednje informacije:
    • namene obdelave;
    • vrste zadevnih osebnih podatkov;
    • uporabnike ali kategorije uporabnikov, ki so jim bili ali jim bodo razkriti osebni podatki, zlasti uporabnike v tretjih državah ali mednarodnih organizacijah;
    • rok hrambe osebnih podatkov ali, če to ni mogoče, merila, ki se uporabijo za določitev tega obdobja;
    • obstoj avtomatiziranega sprejemanja odločitev, vključno z oblikovanjem profilov;
  • razloge za obdelavo kot tudi pomen in predvidene posledice take obdelave za posameznika;
  • eno kopijo osebnih podatkov v elektronski obliki (brezplačno);
  • v primeru, da posameznik zahteva dodatne kopije, lahko upravljalec zaračuna razumno pristojbino ob upoštevanju stroškov;
  • omejitev obdelave, kadar:
    • posameznik, na katerega se nanašajo osebni podatki, oporeka točnosti podatkov, in sicer za obdobje, ki upravljalcu omogoča preveriti točnost osebnih podatkov;
    • je obdelava nezakonita in posameznik, na katerega se nanašajo osebni podatki, nasprotuje izbrisu osebnih podatkov ter namesto tega zahteva omejitev njihove uporabe;
    • upravljalec osebnih podatkov ne potrebuje več za namene obdelave, temveč jih posameznik, na katerega se nanašajo osebni podatki, potrebuje za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov;
  • popravek netočnih oziroma nepravilnih osebnih podatkov;
  • izbris vseh osebnih podatkov na podlagi izpolnjenih pogojev 17. člena splošne uredbe še bolj natančno, če posameznik, na katerega se nanašajo osebni podatki, prekliče privolitev, na podlagi katere poteka obdelava osebnih podatkov;
  • posameznik, na katerega se nanašajo osebni podatki, ima pravico, da prejme osebne podatke v zvezi z njim, ki jih je posedoval upravljalcu, v strukturirani, splošno uporabljani in strojno berljivi obliki, in pravico, da te podatke posreduje drugemu upravljalcu, ne da bi ga upravljalec, ki so mu bili osebni podatki zagotovljeni, pri tem oviral;
  • preklic uporabe osebnih podatkov za namene neposrednega trženja, vključno z oblikovanjem profilov;
  • posameznik, na katerega se nanašajo osebni podatki, ima pravico, da zanj ne velja odločitev, ki temelji zgolj na avtomatizirani obdelavi, vključno z oblikovanjem profilov, ki ima pravne učinke v zvezi z njim ali na podoben način nanj znatno vpliva skladno z 22. členom Splošne uredbe o varstvu osebnih podatkov.
Posameznik ima pravico, da zoper upravljalca vloži pritožbo pri Informacijskem pooblaščencu (naslov: Dunajska 22, 1000 Ljubljana, e-naslov: gp.ip@ip-rs.si telefon: 012309730, spletna stran: www.ip-rs.si), če meni, da obdelava osebnih podatkov krši Splošno uredbo o varstvu osebnih podatkov.

Postopek uveljavljanja pravic:
Posameznik je seznanjen, da lahko vse zgoraj navedene zahteve, ki se tičejo uveljavljanja pravic v zvezi z osebnimi podatki, naslovi v pisni obliki na upravljalca, in sicer preko e-pošte: obcina@skofjaloka.si oziroma osebno na lokaciji upravljalca.

Posameznik je seznanjen, da lahko upravljalec za potrebe zanesljive identifikacije v primeru uveljavljanja pravic v zvezi z osebnimi podatki od njega zahteva dodatne podatke, izvedbeni postopek uveljavljanja pravic pa lahko zavrne le v primeru, da dokaže, da posameznika ne more zanesljivo identificirati.

Posameznik je seznanjen, da mora upravljalec na zahtevo posameznika, s katero uveljavlja pravice v zvezi z zgoraj navedenimi osebnimi podatki, odgovoriti brez nepotrebnega odlašanja in najpozneje v enem mesecu od prejema zahteve.

Kontakti pooblaščene osebe za varstvo osebnih podatkov:

Ime in priimek: doc. dr. Miha Dvojmoč, mag. javn. upr., dipl. var.

Naslov: Tbilijska 96, 1000 Ljubljana

Elektronski naslov: miha.dvojmoc@infocenter.si

Telefonska številka: 00 386 31 692 524

Postopek v zvezi z zahtevami posameznika, na katerega se nanašajo osebni podatki (V2 04062018)

Vsebina

1 Uvod
1.1 Pravica biti obveščen
1.2 Pravica dostopa do podatkov
1.3 Pravica do popravka
1.4 Pravica do izbrisa
1.5 Pravica do omejitve obdelave
1.6 Pravica do preklica privolitve
1.7 Pravica do prenosljivosti podatkov
1.8 Pravica do ugovora
1.9 Pravice v zvezi z avtomatiziranim sprejemanjem odločitev in oblikovanjem profilov  


1       Uvod

Ta postopek se uporablja, ko posameznik, na katerega se nanašajo osebni podatki, uveljavlja eno ali več pravic, ki jih ima na podlagi Splošne uredbe Evropske unije o varstvu podatkov (GDPR) in vsakokratne nacionalne zakonodaje (ZVOP-1/ZVOP-2).

Vsaka od zadevnih pravic ima svoje značilnosti, ki jih mora občina spoštovati, in to v predpisanih rokih. Postopek je podrobneje določen v Pravilniku o varstvu osebnih podatkov.  V tem dokumentu je naveden povzetek, ki je namenjen seznanitvi strank o vrstah in načinu uveljavljanja pravic.

Občina zagotavlja informacije o pravicah posameznika preko spletne strani in osebno na sedežu občine v Politiki varstva osebnih podatkov.

Vlogo za uveljavljanje pravic je možno vložiti elektronsko (Zahteva za seznanitev z osebnimi podatki in Zahtevek za popravek, izbris, prenos ali omejitev obdelovanja osebnih podatkov), po pošti ali osebno na sedežu občine. Občina v roku 5 dni zahteva morebitno dopolnitev (če zahtevek ni jasen) in v najkrajšem možnem času ter najkasneje v 30 dneh posreduje odgovor. Če posameznik z odgovorom oziroma odločitvijo občine ni zadovoljen, se lahko pritoži na naslov nadzornega organa (Informacijski pooblaščenec).

Vlogo obravnava pooblaščena oseba za varstvo osebnih podatkov Občine Škofja. Pooblaščena oseba za varstvo osebnih podatkov je dosegljiva tudi za svetovanje s področja varstva osebnih podatkov.

Postopek uveljavljanja pravic

Zahtevo za uveljavljanje pravic posameznik vloži pisno (vključno e-vloga) ali ustno na zapisnik. Zahteva mora biti razumljiva in mora obsegati osebno ime posameznika ter druge podatke, ki so potrebni za določitev osebnih podatkov, na katere se zahteva nanaša oziroma za rešitev zahteve, morebitne podatke o pooblaščencu ali zastopniku posameznika, opredelitev oblike v kateri želi posameznik prejeti odgovor ter opredelitev zahteve.

Če je zahteva nepopolna ali nerazumljiva, mora občina v roku 5 delovnih dni zahevati, da se pomanjkljivosti odpravijo in določiti vložniku rok, v katerem jo mora odpraviti. Zahtevo za odpravo pomanjkljivosti s v obliki pisnega sporočila pošlje posamezniku na naslov, ki ga je navedel v zahtevi oziroma s katerega je poslal zahtevo, ali se mu jo izroči, če je podal zahtevo neposredno na občini. Če posameznik pomanjkljivosti v roku ne odpravi, občina s pisnim sporočilom zavrže njegovo zahtevo. 

Občina je vlogo posameznika dolžna rešiti najkasneje v roku 30 dni. Ta rok se lahko po potrebi podaljša za največ dva dodatna meseca ob upoštevanju zapletenosti in števila zahtev. O tem je občina dolžna pravočasno obvestiti posameznika, najkasneje pa v roku enega meseca po prejemu zahteve, skupaj z razlogi za zamudo in informacijo o možnosti pritožbe. 

Občina lahko zaradi potrditve identitete posameznika zahteva dodatne potrebne informacije. Ugotavljanje identitete posameznika pri zahtevah, vloženih po elektronski pošti se lahko izvaja tudi z varnim elektronskim podpisom s kvalificiranim potrdilom, s potditvijo vloge v papirni obliki ali osebno ali na način osebne vročitve odločitve občine o zahtevi na uradni naslov posameznika ali na naslov s katerim občina razpolaga.

1.1      Pravica biti obveščen

Kadar se osebni podatki pridobijo od posameznika, na katerega se nanašajo osebni podatki, ali kadar se osebni podatki pridobijo iz drugega vira, je dolžna občina obvestiti posameznika (splet ali osebno), na katerega se nanašajo osebni podatki, da se v občini obdelujejo osebni podatki v zvezi z njim in njegove pravice v zvezi s tem. Spoštovanje te pravice je urejeno v internih aktih občine in dosegljivo na oglasni deski ter spletni strani občine v dokumentu – Politika varstva osebnih podatkov, kateri je priložena Evidenca o dejavnostih obdelave osebnih podatkov.

1.2      Pravica dostopa do podatkov

Posameznik, na katerega se nanašajo osebni podatki, ima pravico, da Občino Škofja Loka vpraša, ali obdeluje osebne podatke v zvezi z njim, in da ima dostop do teh podatkov in še do informacij o:

  • namenih obdelave,
  • kategorijah zadevnih osebnih podatkov,
  • uporabnikih ali kategorijah uporabnikov podatkov, če obstajajo, zlasti vseh tretjih državah ali mednarodnih organizacijah,
  • obdobju hrambe osebnih podatkov (ali merilih, ki se uporabijo za določitev tega obdobja),
  • pravicah posameznika, na katerega se nanašajo osebni podatki, do popravka ali izbrisa njegovih osebnih podatkov in do omejitve obdelave ali ugovora obdelavi,
  • pravici posameznika, na katerega se nanašajo osebni podatki, da vloži pritožbo pri nadzornem organu,
  • viru osebnih podatkov, če niso pridobljeni neposredno od posameznika, na katerega se nanašajo osebni podatki,
  • tem, ali bodo osebni podatki obdelani avtomatizirano, vključno z oblikovanjem profilov, in če bodo, informacije o razlogih za tako obdelavo in morebitne posledice in
  • če se podatki prenašajo v tretjo državo ali mednarodno organizacijo, informacije o zaščitnih ukrepih, ki veljajo.

1.3      Pravica do popravkaČe osebni podatki niso točni, ima posameznik, na katerega se nanašajo osebni podatki, pravico, da zahteva, da se podatki popravijo, in da se nepopolni osebni podatki dopolnijo, v skladu z informacijami, ki jih lahko zagotovi. 

Če bo potrebno, bo Občina Škofja Loka tudi preverila informacije, ki ji jih je posredoval posameznik, na katerega se nanašajo osebni podatki, da bi pred spremembo osebnih podatkov zagotovila, da so te informacije točne.

1.4      Pravica do izbrisa 

Pravica do izbrisa, imenovana tudi „pravica do pozabe“, pomeni, da ima posameznik, na katerega se nanašajo osebni podatki, pravico, da od Občine Škofja Loka zahteva, da brez nepotrebnega odlašanja izbriše osebne podatke v zvezi z njim, kadar velja eno od naslednjega:

  • osebni podatki niso več potrebni za namene, za katere so bili zbrani,
  • posameznik, na katerega se nanašajo osebni podatki, prekliče privolitev in za obdelavo ne obstaja nobena druga pravna podlaga,
  • posameznik, na katerega se nanašajo osebni podatki, ugovarja obdelavi osebnih podatkov,
  • osebni podatki so bili obdelani nezakonito,
  • iz razlogov spoštovanja zakonodaje, to je za izpolnitev pravnih obveznosti občine ali
  • če so se osebni podatki nanašali na posameznika, na katerega se nanašajo osebni podatki, kot otroka.

Če so bili osebni podatki objavljeni, je treba storiti vse kar je mogoče, da se zagotovi izbris.

Občina Škofja Loka bo morala v vsakem posameznem primeru take zahteve sprejeti odločitev o vprašanju, ali je zahtevo mogoče ali treba zavrniti iz enega od naslednjih razlogov:

  • pravice do svobode izražanja in obveščanja,
  • izpolnjevanja pravne obveznosti,
  • javnega interesa na področju javnega zdravja,
  • varstva namenov arhiviranja v javnem interesu,
  • ker so osebni podatki pomembni za pravni zahtevek.

V te odločitve bo verjetno morala biti vključena pooblaščena oseba za varstvo podatkov Občine Škofja Loka in v nekaterih primerih višje vodstvo.

1.5      Pravica do omejitve obdelave 

Posameznik, na katerega se nanašajo osebni podatki, lahko uveljavi pravico do omejitve obdelave njegovih osebnih podatkov, če je podana ena od naslednjih okoliščin:

  • če posameznik, na katerega se nanašajo osebni podatki, oporeka točnosti podatkov, dokler se ne preveri točnosti osebnih podatkov,
  • kot alternativa izbrisu podatkov v primerih, ko je obdelava nezakonita,
  • če posameznik, na katerega se nanašajo osebni podatki, te potrebuje za pravne zahtevke, občina jih pa ne potrebuje več ali
  • dokler ni sprejeta odločitev v zvezi z ugovorom obdelavi.

Občina Škofja Loka bo morala v vsakem posameznem primeru take zahteve sprejeti odločitev o vprašanju, ali je zahteva dopustna. V te odločitve bo verjetno morala biti vključena pooblaščena oseba za varstvo podatkov občine in v nekaterih primerih višje vodstvo.

Če velja omejitev obdelave, se osebni podatki lahko shranijo, vendar se ne smejo obdelovati brez privolitve posameznika, na katerega se osebni podatki nanašajo, razen če obstojijo zakoniti razlogi (in v tem primeru je treba posameznika, na katerega se nanašajo osebni podatki, o tem obvestiti). Druge organizacije, ki lahko obdelujejo osebne podatke v imenu občine, je treba prav tako obvestiti o omejitvi.

1.6      Pravica do preklica privolitve 

Posameznik, na katerega se nanašajo osebni podatki, ima pravico, da svojo privolitev prekliče, kadar je privolitev podlaga za obdelavo njegovih osebnih podatkov (to pomeni, da obdelava ne temelji na drugi podlagi, ki jo dopušča Uredba EU 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (GDPR), kot sta pogodbena ali zakonska obveznost).

Preden se osebni podatki posameznika, na katerega se nanašajo osebni podatki, izvzamejo iz obdelave, je treba potrditi, da je privolitev zares podlaga za obdelavo. Če ni, se zahteva lahko zavrne iz razloga, da privolitev posameznika, na katerega se nanašajo osebni podatki, za obdelavo ni potrebna. Sicer je treba zahtevi ugoditi. 

V mnogih primerih bo dajanje in preklic privolitve na voljo v elektronski obliki, in sicer na spletu, in ta postopek ne bo potreben.

Če je v privolitev vključen otrok (ki je v GDPR opredeljen kot mlajši od 16 let, razen če države članice z zakonom spremenijo to mejo), mora privolitev ali njen preklic odobriti nosilec starševske odgovornosti za otroka.

1.7      Pravica do prenosljivosti podatkov 

Posameznik, na katerega se nanašajo osebni podatki, ima pravico zahtevati, da se mu njegovi osebni podatki zagotovijo v „strukturirani, splošno uporabljani in strojno berljivi obliki“ (člen 20 GDPR) in pravico do prenosa teh podatkov tretjemu, na primer ponudniku storitev. To velja za osebne podatke, katerih obdelava temelji na privolitvi posameznika, na katerega se nanašajo osebni podatki, in se obdelava izvaja z avtomatiziranimi sredstvi.

Če je možno, lahko posameznik, na katerega se nanašajo osebni podatki, zahteva tudi, da se osebni podatki posredujejo iz sistemov občine neposredno v sisteme drugega ponudnika storitev.

V zvezi s storitvami, ki spadajo v to skupino, se v vsakem posameznem primeru sprejme le malo odločitev in je zelo zaželeno, da se ta proces izvaja avtomatizirano.

1.8      Pravica do ugovora

Posameznik, na katerega se nanašajo osebni podatki, ima pravico, da ugovarja obdelavi osebnih podatkov, ki je pravno utemeljena na naslednjem:

  • gre za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu (t.i. zakoniti interes občine).

Ko je ugovor vložen, mora občina utemeljiti podlage za obdelavo in do takrat prenehati z obdelavo.

1.9      Pravice v zvezi z avtomatiziranim sprejemanjem odločitev in oblikovanjem profilov

Posameznik, na katerega se nanašajo osebni podatki, ima pravico, da zanj ne velja odločitev, ki je bila sprejeta avtomatizirano, če odločitev nanj znatno vpliva, in lahko zahteva osebno posredovanje, če je to primerno. Prav tako ima pravico, da izrazi lastno stališče in izpodbija odločitve. 

Določene so izjeme od te pravice, in sicer če je odločitev:

  • nujna za pogodbo,
  • dovoljena v pravu, ali če
  • temelji na izrecni privolitvi posameznika, na katerega se nanašajo osebni podatki.

Pri presoji teh vrst zahtev, je treba presoditi vprašanje, ali zgoraj navedene izjeme veljajo v posameznem primeru, ki se obravnava. 

Obrazci
Klikni tukaj za prikaz prilog
Priloga
Obrazec O-6.04 Zahvteva posameznika za seznanitev docx
Velikost datoteke: 31 KB
Priloga
Obrazec O-6.05. Zahteva posameznika za popravek, izbris.
Velikost datoteke: 30 KB