Skip to content 
Pravice posameznikov po GDPR in ZVOP-2
Pravice posameznikov v postopkih varstva osebnih podatkov so ključnega pomena za uresničevanje in varovanje ustavno zagotovljene pravice do varstva osebnih podatkov. Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov – GDPR), pravice posameznikov ureja v poglavju III.
Slovenija je varstvo osebnih podatkov uredila že v Ustavi Republike Slovenije in s tem varstvo osebnih podatkov priznala kot ustavno varovano pravico.
Ustava RS v 38. členu določa, da je zagotovljeno varstvo osebnih podatkov in da je prepovedana uporaba osebnih podatkov v nasprotju z namenom njihovega zbiranja. Zbiranje, obdelovanje, namen uporabe, nadzor, in varstvo tajnosti osebnih podatkov določa zakon. Vsakdo ima pravico seznaniti se z zbranimi osebnimi podatki, ki se nanašajo nanj, in pravico do sodnega varstva ob njihovi zlorabi.
Zakon o varstvu osebnih podatkov (v nadaljevanju ZVOP-2) ureja postopek pred upravljavcem in obdelovalcem v povezavi z izvrševanjem pravic posameznikov in določbe o splošnem sodnem varstvu pravic posameznikov, samih pravic, pa ne ureja drugače, kot to ureja GDPR.
Na portalu vam nudimo pregled skladnosti poslovanja z GDPR in VZOP-2, za vas pripravimo vse potrebne dokumente in vam nudimo svetovanje s področja varstva osebnih podatkov
Katere pravice imajo posamezniki pri varstvu osebnih podatkov?
GDPR je že v uvodni določbi številka 10 pravice posameznikov določil kot ključni pogoj za učinkovito varstvo osebnih podatkov. Zaradi same narave GDPR je zakonodajalec pravice posameznikov uredil enotno v GDPR, določil pa je tudi obveznosti tistih obdelovalcev in upravljavcev v zvezi z uveljavljanjem pravic posameznikov. GDPR je določil tudi enakovredna pooblastila za spremljanje in zagotavljanje skladnosti s pravili varstva osebnih podatkov ter enakovredne sankcije za kršitve v državah članicah.
GDPR pravice posameznikov ureja v III poglavju. GDPR posameznikom zagotavlja naslednje pravice v povezavi z varstvom osebnih podatkov:
- pravica do obveščenosti,
- pravico do dostopa,
- pravico do popravka,
- pravico do izbrisa »pravico do pozabe«,
- pravico do omejitve obdelave,
- pravica do prenosljivosti,
- pravico do ugovora in
- pravico do pritožbe nadzornemu organu.
ZVOP-2 pa v 11. členu ureja tudi pravico do sodnega varstva. ZVOP-2 določa, da lahko posameznik, ki meni, da upravljavec ali obdelovalec iz javnega ali zasebnega sektorja krši njegove pravice, določene z GDPR ali z zakoni, ki urejajo obdelavo ali varstvo osebnih podatkov, zahteva sodno varstvo svojih pravic ves čas trajanja kršitve, brez predhodnega uveljavljanja pravic po drugih določbah tega zakona ali uporabe drugih pravnih sredstev.
Pravica do obveščenosti
GDPR upravljavcu osebnih podatkov nalaga, da mora posamezniku, ko od njega prejme osebne podatke, v preprostem in njem razumnemu jeziku, zagotovi vse naslednje informacije:
- identiteto in kontaktne podatke upravljavca in njegovega predstavnika;
- kontaktne podatke pooblaščene osebe za varstvo podatkov;
- namene, za katere se osebni podatki obdelujejo, kakor tudi pravno podlago za njihovo obdelavo;
- kadar se osebni podatki obdelujejo zaradi zakonitih interesov, zakonite interese, za uveljavljanje katerih si prizadeva upravljavec ali tretja oseba;
- uporabnike ali kategorije uporabnikov osebnih podatkov;
- kadar je ustrezno, dejstvo, da upravljavec namerava prenesti osebne podatke v tretjo državo ali mednarodno organizacijo,
- obdobje hrambe osebnih podatkov ali, kadar to ni mogoče, merila, ki se uporabijo za določitev tega obdobja;
- obstoj pravice, da se od upravljavca zahtevajo dostop do osebnih podatkov in popravek ali izbris osebnih podatkov ali omejitev obdelave v zvezi s posameznikom, na katerega se nanašajo osebni podatki, ali obstoj pravice do ugovora obdelavi in pravice do prenosljivosti podatkov;
- kadar obdelava temelji na privolitvi posameznika, obstoj pravice, da se lahko privolitev, kadar koli prekliče, ne da bi to vplivalo na zakonitost obdelave podatkov, ki se je na podlagi privolitve izvajala do njenega preklica;
- pravico do vložitve pritožbe pri nadzornem organu;
- ali je zagotovitev osebnih podatkov statutarna ali pogodbena obveznost ali pa obveznost, ki je potrebna za sklenitev pogodbe, ter ali mora posameznik, na katerega se nanašajo osebni podatki, zagotoviti osebne podatke ter kakšne so morebitne posledice, če se taki podatki ne zagotovijo, in
- obstoj avtomatiziranega sprejemanja odločitev, vključno z oblikovanjem profilov.
Na portalu vam nudimo pregled skladnosti poslovanja z GDPR in VZOP-2, za vas pripravimo vse potrebne dokumente in vam nudimo svetovanje s področja varstva osebnih podatkov
Kadar osebni podatki niso pridobljeni od posameznika, na katerega se nanašajo, je upravljavec posameznika dolžan seznaniti z naslednjimi informacijami:
- identiteto in kontaktne podatke upravljavca in njegovega predstavnika;
- kontaktne podatke pooblaščene osebe za varstvo podatkov;
- namene, za katere se osebni podatki obdelujejo, kakor tudi pravno podlago za njihovo obdelavo;
- vrste osebnih podatkov;
- uporabnike ali kategorije uporabnikov osebnih podatkov;
- kadar je ustrezno, dejstvo, da upravljavec namerava prenesti osebne podatke v tretjo državo ali mednarodno organizacijo,
- obdobje hrambe osebnih podatkov ali, kadar to ni mogoče, merila, ki se uporabijo za določitev tega obdobja;
- kadar se osebni podatki obdelujejo zaradi zakonitih interesov, zakonite interese, za uveljavljanje katerih si prizadeva upravljavec ali tretja oseba;
- obstoj pravice, da se od upravljavca zahtevajo dostop do osebnih podatkov in popravek ali izbris osebnih podatkov ali omejitev obdelave v zvezi s posameznikom, na katerega se nanašajo osebni podatki, ali obstoj pravice do ugovora obdelavi in pravice do prenosljivosti podatkov;
- kadar obdelava temelji na privolitvi posameznika, obstoj pravice, da se lahko privolitev, kadar koli prekliče, ne da bi to vplivalo na zakonitost obdelave podatkov, ki se je na podlagi privolitve izvajala do njenega preklica;
- pravico do vložitve pritožbe pri nadzornem organu;
- od kod izvirajo osebni podatki in informacija ali izvirajo iz javno dostopnih virov;
- obstoj avtomatiziranega sprejemanja odločitev, vključno z oblikovanjem profilov.
Na portalu ponujamo tudi storitev pooblaščene osebe za varstvo osebnih podatkov – DPO za upravljavce in obdelovalce osebnih podatkov v javnem in zasebnem sektorju
Pravno svetovanje
ZVOP-2 določa dodatne zahteve za obveščanje posameznikov v povezavi z obvestilom pri obdelavi osebnih podatkov pri videonadzoru. Več glede obveščanja posameznikov v povezavi z videonadzorom si lahko preberete v našem prispevku z naslovom »Videonadzor na delovnem mestu«.
Pravica do obveščenosti je namenjena temu, da se posameznik pred začetkom obdelave osebnih podatkov ali ob tem oziroma v najkrajšem možnem času po začetku obdelave osebnih podatkov seznani o njegovih pravicah in o tem, da bo upravljavec obdeloval njegove osebne podatke, predvsem pa za to, da se lahko posameznik sam odloči, ali privoli v obdelavo osebnih podatkov ali se izogne obdelavi osebnih podatkov (ne sklene pogodbe, ne uporablja določenih aplikacij, se izogne območju, ki je pod videonadzorom …)
Upravljavec mora skladno z GDPR posamezniku zagotoviti brez nepotrebnega odlašanja in v vsakem primeru v enem mesecu po prejemu zahteve, uveljavljanje svojih pravic.
Pravica do dostopa
Posameznik, na katerega se nanašajo osebni podatki, ima pravico od upravljavca dobiti potrditev, ali se v zvezi z njim obdelujejo osebni podatki, in kadar je tako, dostop do osebnih podatkov in naslednje informacije:
- namene obdelave;
- vrste zadevnih osebnih podatkov;
- uporabnike ali kategorije uporabnika, ki so, jim bili ali jim bodo razkriti osebni podatki;
- kadar je mogoče, predvideno obdobje hrambe osebnih podatkov ali, če to ni mogoče, merila, ki se uporabijo za določitev tega obdobja;
- obstoj pravice, da se od upravljavca zahteva popravek ali izbris osebnih podatkov ali omejitev obdelave osebnih podatkov v zvezi s posameznikom, na katerega se nanašajo osebni podatki, ali obstoj pravice do ugovora taki obdelavi;
- pravico do vložitve pritožbe pri nadzornem organu;
- kadar osebni podatki niso zbrani pri posamezniku, na katerega se ti nanašajo, vse razpoložljive informacije v zvezi z njihovim virom;
- obstoj avtomatiziranega sprejemanja odločitev, vključno z oblikovanjem profilov;
- kadar se osebni podatki prenesejo v tretjo državo ali mednarodno organizacijo, ima posameznik, na katerega se nanašajo osebni podatki, pravico biti obveščen o ustreznih zaščitnih ukrepih v zvezi s prenosom.
Na portalu vam nudimo pregled skladnosti poslovanja z GDPR in VZOP-2, za vas pripravimo vse potrebne dokumente in vam nudimo svetovanje s področja varstva osebnih podatkov
Vsakdo ima pravico od upravljavca zahtevati informacijo ali obdeluje njegove osebne podatke in dostop do svojih osebnih podatkov ter pridobiti kopijo svojih osebnih podatkov. Upravljavec je dolžan posamezniku na njegovo zahtevo priskrbeti eno kopijo osebnih podatkov, ki jih obdeluje, brezplačno, za dodatne kopije, lahko upravljavec posamezniku zaračuna stroške kopije. Če je zahteva dana v elektronski obliki in ni posameznik ni posebej zahteval fizične kopije, se mu osebni podatki pošljejo elektronsko.
Pravica do popravka
GDPR pravico do popravka ureja v 16. členu, ki določa, da ima posameznik, na katerega se nanašajo osebni podatki, pravico doseči, da upravljavec brez nepotrebnega odlašanja popravi netočne osebne podatke v zvezi z njim. Posameznik, na katerega se nanašajo osebni podatki, ima ob upoštevanju namenov obdelave, pravico do dopolnitve nepopolnih osebnih podatkov, vključno s predložitvijo dopolnilne izjave.
Posamezniku je dana pravica zahtevati od upravljavca popravek napačnih ali dopolnitev nepopolnih osebnih podatkov, ki jih obdeluje.
Pravica do izbrisa oziroma pravica do pozabe
GDPR v 17. členu določa, da ima posameznik, na katerega se nanašajo osebni podatki, pravico doseči, da upravljavec brez nepotrebnega odlašanja izbriše njegove osebne podatke, kadar velja eden od naslednjih razlogov:
- osebni podatki niso več potrebni v namene, za katere so bili zbrani;
- posameznik, na katerega se nanašajo osebni podatki, prekliče privolitev, na podlagi katere poteka obdelava;
- posameznik, na katerega se nanašajo osebni podatki, obdelavi ugovarja v skladu z 21. členom GDPR (več o tem bom govorili v nadaljevanju tega prispevka);
- osebni podatki so bili obdelani nezakonito;
- osebne podatke je treba izbrisati za izpolnitev pravne obveznosti;
- osebni podatki so bili zbrani v zvezi s ponudbo storitev informacijske družbe.
Posameznik ne more zahtevati izbrisa svojih osebnih podatkov od upravljavca, če:
- je upravljavec dolžan njegove osebne podatke obdelovati na podlagi zakona ali uredbe EU,
- obstaja zakoniti interes upravljavca za obdela osebnih podatkov tudi po zahtevi za izbris (inšpekcijski nadzor, možnost vložitve tožbe do konca zastaralnega roka …).
Pravica do omejitve obdelave
Posameznik, na katerega se nanašajo osebni podatki, ima pravico doseči, da upravljavec omeji obdelavo, kadar velja eden od naslednjih primerov:
- posameznik, na katerega se nanašajo osebni podatki, oporeka točnosti podatkov, in sicer za obdobje, ki upravljavcu omogoča preveriti točnost osebnih podatkov;
- je obdelava nezakonita in posameznik, na katerega se nanašajo osebni podatki, nasprotuje izbrisu osebnih podatkov ter namesto tega zahteva omejitev njihove uporabe;
- upravljavec osebnih podatkov ne potrebuje več za namene obdelave, temveč jih posameznik, na katerega se nanašajo osebni podatki, potrebuje za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov;
- je posameznik, na katerega se nanašajo osebni podatki, vložil ugovor v zvezi z obdelavo v skladu z prvim odstavkom 21. člena GDPR, dokler se ne preveri, ali zakoniti razlogi upravljavca prevladajo nad razlogi posameznika, na katerega se nanašajo osebni podatki.
Kadar je bila obdelava osebnih podatkov omejena v skladu s prvim odstavkom 18. člena GDPR, se taki osebni podatki z izjemo njihovega shranjevanja obdelujejo le:
- s privolitvijo posameznika, na katerega se ti nanašajo;
- za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov;
- zaradi varstva pravic druge fizične ali pravne osebe in
- zaradi pomembnega javnega interesa Unije ali države članice.
Pravica do prenosljivosti podatkov
Posameznik, na katerega se nanašajo osebni podatki, ima pravico, da prejme osebne podatke v zvezi z njim, ki jih je posedoval upravljavcu, v strukturirani, splošno uporabljani in strojno berljivi obliki, in pravico, da te podatke posreduje drugemu upravljavcu, ne da bi ga upravljavec, ki so mu bili osebni podatki zagotovljeni, pri tem oviral. Prenos je mogoč, ko:
- obdelava temelji na privolitvi posameznika;
- se obdelava izvaja z avtomatiziranimi sredstvi.
Posameznik, ko je to mogoče, lahko zahteva samodejni prenos svojih osebnih podatkov od starega do novega upravljavca osebnih podatkov. Takšen primer prenosa osebnih podatkov se je v Slovenji predvsem začel izvajati pri menjavi telekomunikacijskega ponudnika.
Na portalu vam nudimo pregled skladnosti poslovanja z GDPR in VZOP-2, za vas pripravimo vse potrebne dokumente in vam nudimo svetovanje s področja varstva osebnih podatkov
Pravica do ugovora
Pravica do ugovora je urejena v 21. členu GDPR. Pravica ugovora daje posamezniku možnost ugovora obdelave njegovih osebnih podatkov, ko upravljavec osebne podatke posameznika:
- obdeluje za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;
- obdeluje zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba ali
- obdeluje za namene neposrednega trženja.
V primeru ugovora po prvi in drugi alineji upravljavec preneha obdelovati osebne podatke, razen če dokaže nujne legitimne razloge za obdelavo, ki prevladajo nad interesi, pravicami in svoboščinami posameznika, na katerega se nanašajo osebni podatki, ali za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov.
Kadar posameznik, na katerega se nanašajo osebni podatki, ugovarja obdelavi za namene neposrednega trženja, se osebni podatki ne obdelujejo več v te namene.
Posameznik ima pravico ugovarjati obdelavo v vseh zgoraj naštetih primerih, vključno z oblikovanjem profilov.
Pravica do pritožbe nadzornemu organu
Pravica do pritožbe pri nadzornem organu je urejena v 77. členu GDPR. Pravica do pritožbe pri nadzorstvenem organu, v Republiki Sloveniji je nadzorstveni organ Informacijski pooblaščenec, daje posamezniku pravico, da vloži pritožbo pri nadzornem organu, zlasti v državi članici, v kateri ima običajno prebivališče, v kateri je njegov kraj dela ali v kateri je domnevno prišlo do kršitve, če meni, da obdelava osebnih podatkov v zvezi z njim krši GDPR.
Pravica do sodnega varstva
GDPR v 79. členu na splošno ureja pravico do sodnega varstva, ki določa, da ima vsak posameznik, brez poseganja v katero koli razpoložljivo upravno ali izvensodno sredstvo, vključno s pravico do vložitve pritožbe pri nadzornem organu, pravico do učinkovitega pravnega sredstva, kadar meni, da so bile njegove pravice iz GDPR kršene zaradi obdelave njegovih osebnih podatkov, ki ni bila v skladu GDPR.
ZVOP-2 pravico do sodnega varstva natančneje ureja v 11. členu. ZVOP-2 določa, da lahko posameznik, ki meni, da upravljavec ali obdelovalec iz javnega ali zasebnega sektorja krši njegove pravice, določene z GDPR ali z zakoni, ki urejajo obdelavo ali varstvo osebnih podatkov, zahteva sodno varstvo svojih pravic ves čas trajanja kršitve, brez predhodnega uveljavljanja pravic po drugih določbah tega zakona ali uporabe drugih pravnih sredstev.
ZVOP-2 nadalje določa, da o predmetnih sodnih sporih odloča upravno sodišče po postopku, ki ga zakon, ki ureja upravni spor, določa za tožbo zaradi kršitve človekovih pravic in temeljnih svoboščin in da je v teh postopkih javnih, zaradi varstva osebnih podatkov, izključena.
Posameznik lahko pred upravnim sodiščem zahteva:
- prenehanje kršitev varstva osebnih podatkov,
- vzpostavitev zakonitega stanja,
- povračilo škode,
- ugotovitev, da je kršitev obstajala (v primerih, ko je kršitev že prenehala) in
- odškodnino.
ZVOP-2 daje posamezniku možnost, da vloži tožbo na upravno sodišče brez predhodnega postopka pri upravljavcu ali obdelovalcu in brez predhodne prijave Informacijskemu pooblaščencu. Glede na to, da je ZVPO-2 začel pred kratkim veljati, še ni znano, kako bodo upravna sodišča odločala v takšnih zadevah.