Katere pravice imajo posamezniki v skladu s Splošno uredbo o varstvu podatkov?
Splošna uredba o varstvu podatkov posameznikom, na katere se nanašajo osebni podatki, tj. posameznikom, katerih podatki se obdelujejo, zagotavlja naslednje pravice:
- Pravico do obveščenosti
- Pravico do dostopa
- Pravico do popravka
- Pravico do izbrisa (pravico do pozabe)
- Pravico do omejitve obdelave
- Pravico do prenosljivosti podatkov
- Pravico do ugovora
- Pravico, da za posameznika ne velja odločitev, ki temelji zgolj na avtomatizirani obdelavi, vključno z oblikovanjem profilov.
Upoštevajte, da nekatere od teh pravic ne veljajo v vseh primerih, za več informacij pa si lahko ogledate zavihek pravice posameznika glede na pravne podlage.
Upravljavec mora odgovoriti na zahteve posameznikov, ki uveljavljajo svoje pravice in mora olajšati uveljavljanje teh pravic. Obdelovalec mora pri tej nalogi upravljavcu pomagati.
Kontrolni seznam o tem, kaj storiti v zvezi s pravicami posameznikov, na katere se nanašajo osebni podatki:
- Bodite pripravljeni: Razvijte sisteme in postopke za odzivanje na zahteve posameznikov, na katere se nanašajo osebni podatki, ter usposobite svoje osebje za vključitev zahtevkov za pravice posameznikov v vaše notranje delovne postopke.
- Olajšajte uveljavljanje pravic: Posameznikom, na katere se nanašajo osebni podatki, pojasnite, katere so njihove pravice in kako stopiti v stik z vami za njihovo uveljavljanje.
- Seznanite se s pretokom podatkov: Redno posodabljajte svoj register, da hitro prepoznate podatke, ki jih obdelujete, ter učinkovito poiščete in pridobite informacije.
- Bodite transparentni: Posameznike, na katere se nanašajo osebni podatki, vedno jasno in razumljivo obveščajte o osebnih podatkih, ki jih obdelujete, in sicer pred obdelavo (na primer v vaši politiki zasebnosti) in med obdelavo (na primer pri izpolnjevanju zahteve za dostop posameznika).
- Odgovor podajte v roku enega meseca: Vedno odgovorite na zahtevo posameznika, na katerega se nanašajo osebni podatki, v enem mesecu. Če potrebujete dodaten čas za odgovor ali če ne morete izpolniti zahteve: posameznika o tem obvestite v roku enega meseca.
- Posredujte jo: Ko prejmete zahtevo v zvezi z osebnimi podatki, ki ste jih posredovali drugim uporabnikom, ne pozabite po potrebi uporabnikov obvestiti o rezultatu zahteve.
- Dokument: Spremljajte zahteve posameznikov, na katere se nanašajo osebni podatki in zabeležite svoje odgovore ter svoje razloge, kadar ne odgovorite na zahtevo.
Kako ravnati z zahtevo v zvezi z uveljavljanjem pravice posameznika
Preglednost je ključnega pomena pri varstvu podatkov na splošno in seveda v okviru pravic posameznika, na katerega se nanašajo osebni podatki.
Upravljavec mora:
- komunicirati s posamezniki, na katere se nanašajo osebni podatki, v jasnem in razumljivem jeziku (to je zlasti pomembno v primerih, ko organizacija naslavlja otroke) in
- olajšati uveljavljanje teh pravic, zlasti z uporabo elektronskih sredstev. Na svoji spletni strani lahko na primer objavite spletni obrazec, ki ga lahko posamezniki, na katere se nanašajo osebni podatki, uporabijo za enostavno uveljavljanje svojih pravic do varstva podatkov.
Odgovorite v pisni obliki
Splošno pravilo je, da bi morala organizacija na posameznikovo zahtevo za dostop odgovoriti na enak način kot je bila zahteva podana ali na način, na katerega je posameznik, na katerega se nanašajo osebni podatki, izrecno zahteval odgovor. Najbolje je, da odgovorite v pisni obliki, po potrebi tudi z elektronskimi sredstvi. Posamezniku lahko odgovorite ustno, vendar to ni priporočljivo, saj morate dokazati, da ste na zahtevo odgovorili.
Odgovorite v enem mesecu
Splošna uredba o varstvu podatkov določa, v kolikšnem času mora upravljavec odgovoriti na zahtevo in v katerih primerih lahko zaračuna pristojbino.
Kadar posamezniki, na katere se nanašajo osebni podatki, uveljavljajo eno od svojih pravic, se mora upravljavec odzvati v enem mesecu. Če je zahteva preveč zapletena in je potrebno več časa za odgovor, lahko vaša organizacija rok podaljša za dodatna dva meseca, pod pogojem, da je posameznik obveščen v enem mesecu po prejemu zahteve. Če lahko vaša organizacija dokaže, da je zahteva očitno neutemeljena ali pretirana, zlasti zaradi njene ponavljajoče se narave, lahko zaračunate razumno pristojbino ali zavrnete zahtevek.
Če vaša organizacija upravičeno dvomi o identiteti osebe, ki je vložila zahtevo (na primer, zahteva je vložena z uporabo drugega e-poštnega naslova, kot ga običajno uporablja vaša stranka, ali pa je podana zunaj avtenticiranega računa stranke), lahko pred odgovorom zahtevate dodatne informacije za potrditev identitete posameznika, na katerega se nanašajo osebni podatki.
Če ne nameravate izpolniti posebne zahteve posameznika, ga morate v enem mesecu po prejemu zahtevka obvestiti o razlogih, zakaj ne boste ugodili zahtevi (npr. zakaj ne izbrišete zahtevanih podatkov). Poleg tega morate posameznike obvestiti o možnosti vložitve pritožbe pri nacionalnem organu za varstvo podatkov in uveljavljanje pravnih sredstev.
Ne zaračunavajte pristojbine
Vaša organizacija ne sme zahtevati plačila od posameznika, na katerega se nanašajo osebni podatki, ki zahteva uveljavljanje ene od svojih pravic. Vendar pa lahko zaračunate pristojbino, če je zahteva posameznika očitno neutemeljena ali pretirana, zlasti zaradi njegove ponavljajoče se narave. Pri izračunu pristojbine je treba upoštevati upravne stroške odgovora na zahtevek za vašo organizacijo. Kot je pojasnjeno zgoraj, je mogoče tudi zavrniti ukrepanje na zahtevo, ki je očitno neutemeljena ali pretirana. V takem primeru morate biti to sposobni dokazati.
V praksi
- Posameznik, na katerega se nanašajo osebni podatki, vsake dva meseca vloži zahtevo za dostop pri mizarju, ki mu je izdelal mizo. Mizar je v celoti odgovoril na prvo zahtevo. Ker mizar ne obdeluje osebnih podatkov v okviru svoje temeljne dejavnosti in posamezniku ni zagotovil več kot ene storitve, ni verjetno, da bi prišlo do sprememb v naboru podatkov v zvezi s posameznikom. Posameznik je pojasnil, da se nova zahteva nanaša na iste informacije kot prejšnja. Zato se lahko šteje, da je ta zahteva pretirana zaradi njene ponavljajoče se narave.
- Če se mizar odloči, da bo osebne podatke posredoval posamezniku, na katerega se nanašajo osebni podatki, vendar proti plačilu, je priporočljivo, da ga o tem vnaprej obvesti in mu tako omogoči, da umakne zahtevo, da se izogne plačilu. Druga možnost je, da mizar posameznika obvesti o razlogih, zakaj ne bo odgovoril na to zahtevo, ter o možnosti vložitve pritožbe pri organu za varstvo podatkov in uveljavljanju pravnih sredstev.
Pravica do obveščenosti
Pravica do obveščenosti omogoča ljudem, da razumejo, kaj se bo zgodilo z njihovimi podatki, ter posledično sprejmejo informirane odločitve in imajo večji nadzor nad svojimi osebnimi podatki. Vsi posamezniki, na katere se nanašajo osebni podatki, imajo pravico do prejema informacij med obdelavo svojih podatkov.
Kot organizacija, ki deluje kot upravljavec, imate obveznost obveščanja posameznikov.
Katere informacije?
Informacije, ki jih je treba posredovati, se razlikujejo glede na to, ali ste osebne podatke zbrali neposredno od posameznika (neposredno zbiranje, skladno s 13. členom Splošne uredbe o varstvu podatkov), ali ste jih pridobili z drugega vira (posredno zbiranje, skladno s 14. členom Splošne uredbe o varstvu podatkov). V spodnjih tabelah je pregled informacij, ki jih morate predložiti posamezniku, na katerega se nanašajo osebni podatki:
Poleg tega Splošna uredba o varstvu podatkov zahteva, da vaša organizacija zagotovi naslednje informacije za zagotovitev poštene in pregledne obdelave:
Vaša organizacija mora v primeru nadaljnje obdelave za nov združljiv namen, ki se razlikuje od prvotnega namena, ponovno navesti podatke v tej drugi tabeli. Te informacije je treba zagotoviti pred to nadaljnjo obdelavo. V tem primeru morate posamezniku, na katerega se nanašajo osebni podatki, predložiti tudi pojasnilo, kako so novi in prejšnji nameni združljivi med seboj.
Kdaj je treba zagotoviti informacije?
Če vaša organizacija zbira osebne podatke neposredno od posameznika, na katerega se nanašajo osebni podatki, mora zagotoviti potrebne informacije v času zbiranja.
V primeru posrednega zbiranja osebnih podatkov mora vaša organizacija zagotoviti informacije najpozneje v enem mesecu po tem, ko so bili osebni podatki prvotno pridobljeni. To najdaljše obdobje enega meseca se skrajša:
- če se osebni podatki uporabljajo za namene komunikacije s posameznikom, na katerega se nanašajo osebni podatki. V tem primeru morate posameznika obvestiti najpozneje ob prvem komuniciranju s posameznikom;
- če se podatki posredujejo drugemu prejemniku, organizacija o tem obvesti posameznike, na katere se nanašajo osebni podatki, najpozneje ob prenosu osebnih podatkov.
Najdaljše obdobje enega meseca se v nobenem primeru ne sme podaljšati. V primeru kakršnih koli naknadnih sprememb obdelave (npr. novi prejemniki, združljiv namen, prenos zunaj EGP itd.) mora vaša organizacija posameznika, na katerega se nanašajo osebni podatki, v vsakem primeru že vnaprej obvestiti, preden sprememba začne veljati. Večja kot je sprememba, prej bi morala vaša organizacija obvestiti posameznika, da ima ta na voljo razumen čas, da oceni učinek tega in uveljavlja svoje pravice.
Kdaj vaša organizacija ni dolžna sporočati informacij?
Vaši organizaciji ni treba obvestiti posameznika, na katerega se nanašajo osebni podatki, če je ta oseba že prejela potrebne informacije.
V primeru posrednega zbiranja osebnih podatkov veljajo dodatne izjeme. V tem primeru posredovanje informacij ni potrebno, če:
- zagotavljanje takih informacij se izkaže za nemogoče ali bi zahtevalo nesorazmeren napor. Vendar je meja za to izjemo postavljena zelo visoko, kar pomeni, da se lahko upravljavec na to merilo sklicuje le izjemoma;
- pridobitev ali razkritje podatkov je izrecno določeno z zakonom;
- osebni podatki morajo ostati zaupni na podlagi pravne obveznosti varovanja poslovne skrivnosti.
V praksi
- V nekaterih državah EU lahko nacionalna zakonodaja od davčnih organov zahteva, da od delodajalcev zahtevajo nekatere informacije o delavcih. Davčnemu organu v takem primeru ni treba obvestiti zaposlenega. Vendar bo delodajalec v okviru svoje dolžnosti obveščanja delavca obvestil, da je davčni organ eden od prejemnikov osebnih podatkov.
Kako bi bilo treba informacije zagotoviti posamezniku, na katerega se nanašajo osebni podatki?
Dober način za zagotavljanje informacij je podaja informacij v več ravneh. S tem se prepreči, da bi se hkrati zagotovilo preveliko število informacij, kar bi lahko škodilo preglednosti in preplavilo posameznika z informacijami. Uporaba večplastnega pristopa sledi zahtevi po jedrnatosti in zahtevi po zagotavljanju vseh potrebnih informacij. To ne le poenostavlja naloge upravljavca, temveč omogoča tudi, da posameznik hitro in učinkovito dojame bistvene informacije. Informacije bi lahko bile predstavljene na naslednji način:
- Prva raven osnovnih informacij
- KAJ? Organizacija zagotovi povzetek osnovnih informacij, ki jih posameznik, na katerega se nanašajo osebni podatki, potrebuje za oceno učinka in obsega obdelave (tj. identiteta upravljavca, nameni obdelave, kategorije prejemnikov, vir podatkov, pravice posameznikov,...).
- KAKO? Na primer v obliki tabele, na jasno vidnem mestu z naslovom „Osnovne informacije o varstvu podatkov“ ali prek pojavnih okenc, ki zagotavljajo pojasnila pri zbiranju osebnih podatkov. Če obdelava temelji na privolitvi, je bolje, da se te informacije navedejo na kraju, kjer mora posameznik, na katerega se nanašajo osebni podatki, dati privolitev (blizu gumba „privolitev“).
- KAJ? Organizacija zagotovi povzetek osnovnih informacij, ki jih posameznik, na katerega se nanašajo osebni podatki, potrebuje za oceno učinka in obsega obdelave (tj. identiteta upravljavca, nameni obdelave, kategorije prejemnikov, vir podatkov, pravice posameznikov,...).
- Druga raven dodatnih in podrobnejših informacij
- KAJ? V tem delu so na razumljiv in celovit način predstavljene preostale informacije, ki jih mora organizacija zagotoviti v skladu s 13. in 14. členom Splošne uredbe o varstvu podatkov.
- KAKO? Dodatne informacije se lahko zagotovijo na več načinov, na primer s hiperpovezavami, vključenimi v osnovne informacije, ali s prenosom dokumenta. Zagotavljanje teh dodatnih informacij bi moralo zagotoviti ravnovesje med jedrnatostjo na eni strani ter popolnostjo in točnostjo na drugi strani. Informacije morajo biti strukturirane tako, da so zlahka berljive. Ne pozabite prilagoditi informacij ciljni skupini (na primer: če je vaša storitev namenjena otrokom, napišite informacije na način, ki ga lahko razumejo).
- KAJ? V tem delu so na razumljiv in celovit način predstavljene preostale informacije, ki jih mora organizacija zagotoviti v skladu s 13. in 14. členom Splošne uredbe o varstvu podatkov.
Preberite več
Delovna skupina iz člena 29: Smernice o preglednosti v skladu z Uredbo 2016/679
Tiskovni center Evropske komisije
Pravica do dostopa
Posamezniki, na katere se nanašajo osebni podatki, lahko z uveljavljanjem svoje pravice do dostopa preverijo zakonitost vsake dejavnosti obdelave, ki jih zadeva.
Pri uveljavljanju pravice do dostopa bi morali posamezniki od upravljavca prejeti potrditev, ali se njihovi osebni podatki obdelujejo ali ne. Če se njihovi osebni podatki obdelujejo, imajo posamezniki, na katere se nanašajo osebni podatki, dostop do svojih osebnih podatkov in naslednjih informacij:
- nameni obdelave;
- vrste zadevnih osebnih podatkov;
- uporabniki (ali kategorije prejemnikov) osebnih podatkov;
- obdobje hrambe osebnih podatkov ali merila, ki se uporabljajo za določitev tega obdobja;
- obstoj pravice, da se od upravljavca podatkov zahteva popravek ali izbris osebnih podatkov ali omejitev obdelave osebnih podatkov v zvezi s posameznikom, na katerega se nanašajo osebni podatki, ali da nasprotuje taki obdelavi;
- obstoj pravice do vložitve pritožbe pri organu za varstvo podatkov;
- vir podatkov (kadar osebni podatki niso zbrani neposredno od posameznika, na katerega se nanašajo osebni podatki);
- obstoj avtomatiziranega sprejemanja odločitev, vključno z oblikovanjem profilov, smiselnimi informacijami o razlogih zanj ter pomenu in predvidenih posledicah take obdelave za posameznika, na katerega se nanašajo osebni podatki;
- pri prenosu osebnih podatkov iz Evropske unije o vzpostavljenih ustreznih zaščitnih ukrepih (v skladu s 46. členom Splošne uredbe o varstvu podatkov v zvezi s prenosom podatkov).
Poleg tega ima oseba pravico (brezplačno) prejeti kopijo svojih osebnih podatkov, ki jih obdeluje vaša organizacija. Če oseba zahteva dodatne kopije, se lahko vaša organizacija odloči, da zaračuna razumno pristojbino, ki se izračuna na podlagi upravnih stroškov izdelave kopij. Upoštevajte, da v večini primerov od posameznikov ni mogoče zahtevati plačila pristojbine za dostop do svojih osebnih podatkov.
Če je zahteva vložena v elektronski obliki, mora vaša organizacija zagotoviti zahtevane informacije v splošno uporabljani elektronski obliki, razen če posameznik ne zahteva drugače.
Pomembno je upoštevati
Preden posredujete kopijo osebnih podatkov, morate preveriti, da to ne bo vplivalo na pravice in svoboščine drugih (npr. če se v isti datoteki obdelujejo informacije, ki se nanašajo na več kot eno osebo, ali informacije v zvezi s poslovnimi skrivnostmi in intelektualno lastnino).
Pravica do popravka
Posameznik, na katerega se nanašajo osebni podatki, ima pravico od upravljavca zahtevati popravek netočnih podatkov in dopolnitev nepopolnih podatkov. Če je vaša organizacija osebne podatke posredovala tretjim osebam, jih morate o popravku obvestiti, razen če se to izkaže za nemogoče ali zahteva nesorazmeren napor.
V praksi
- Stranka obvesti vašo organizacijo, da se je preselila v drugo mesto. Spremeniti morate njen naslov v zbirki podatkov strank.
Pravica do izbrisa (pravica do pozabe)
Posameznik, na katerega se nanašajo osebni podatki, lahko zahteva, da organizacija izbriše osebne podatke v zvezi z njim v naslednjih primerih:
- osebni podatki niso več potrebni za namen, za katerega so bili zbrani,
- organizacija obdeluje osebne podatke nezakonito,
- organizacija mora osebne podatke izbrisati zaradi zakonske obveznosti,
- posameznik, na katerega se nanašajo osebni podatki, prekliče privolitev in obdelava nima druge pravne podlage,
- posameznik, na katerega se nanašajo osebni podatki, je uspešno uveljavil pravico do ugovora,
- mladoletniki, ki so privolili v uporabo spletne storitve, lahko vedno zahtevajo izbris takih osebnih podatkov (ne glede na njihovo trenutno starost).
Če so bili osebni podatki, ki jih je treba izbrisati, predhodno preneseni drugim organizacijam, morate te uporabnike obvestiti, da je posameznik, na katerega se nanašajo osebni podatki, zahteval izbris, razen če se to izkaže za nemogoče ali bi zahtevalo nesorazmeren napor.
Kadar mora vaša organizacija izbrisati osebne podatke, ki jih je objavila, mora sprejeti vse razumne ukrepe, da druge upravljavce, ki obdelujejo te podatke, obvesti, da je posameznik, na katerega se nanašajo osebni podatki, zahteval izbris kakršnih koli povezav do teh osebnih podatkov ali njihovo kopiranje ali replikacijo.
Vaša organizacija lahko zavrne izbris osebnih podatkov le v omejenem številu primerov, kot so:
- uresničevanje pravice do svobode izražanja in obveščanja;
- uveljavljanje, izvajanje ali obramba pravnih zahtevkov;
- izpolnjevanje pravne obveznosti, ki velja za upravljavca, ali izvajanje naloge v javnem interesu, ali pri izvajanju javne oblasti, zaupane upravljavcu;
- razlogi javnega interesa na področju javnega zdravja;
- namene arhiviranja v javnem interesu, znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene (pod posebnimi pogoji).
V praksi
- Zaposleni iz vaše organizacije je bil odpuščen. Zaposleni zahteva, da se njegovi osebni podatki izbrišejo iz njegove kadrovske dokumentacije. Vendar pa delovnopravna zakonodaja zahteva, da za določeno obdobje hranite več kadrovskih dokumentov (register zaposlenih, kopije plačilnih listov itd.). Za te dokumente morate zavrniti zahtevo za izbris podatkov.
- Nekdanja stranka ne želi več prejemati marketinških e-poštnih sporočil od vaše organizacije in zahteva, da izbrišete njihove kontaktne podatke. Ker ni utemeljenih razlogov, da bi še naprej obdelovali kontaktne podatke, jih morate izbrisati.
Pravica do omejitve obdelave
V nekaterih okoliščinah lahko posamezniki, na katere se nanašajo osebni podatki, zahtevajo omejitev obdelave svojih podatkov. Posledično lahko vaša organizacija še vedno hrani osebne podatke, vendar mora prenehati z vsemi drugimi dejavnostmi obdelave.
Posameznik, na katerega se nanašajo osebni podatki, ima pravico doseči omejitev obdelave podatkov, kadar:
- izpodbija točnost osebnih podatkov;
- obdelava je nezakonita: namesto izbrisa podatkov lahko posameznik zahteva omejitev uporabe osebnih podatkov;
- organizacija ne potrebuje več osebnih podatkov, vendar so podatki še vedno potrebni, da lahko posameznik uveljavlja pravni zahtevek;
- posameznik je uveljavil pravico do ugovora. Omejitev velja toliko časa, kolikor je potrebno, da se preveri, ali zakoniti razlogi, na katere se sklicuje organizacija, prevladajo nad razlogi posameznika, na katerega se nanašajo osebni podatki.
Če posameznik, na katerega se nanašajo osebni podatki, uspešno uveljavlja svojo pravico do omejitve obdelave, lahko vaša organizacija podatke uporabi le v določenih posebnih okoliščinah, na primer s privolitvijo posameznika, na katerega se nanašajo osebni podatki, ali za obrambo pravnih zahtevkov. Ali ste že prej posredovali „omejene“ podatke drugim prejemnikom? Te uporabnike morate nato obvestiti o omejitvi obdelave, razen če se to izkaže za nemogoče ali zahteva nesorazmeren napor.
Preden odpravite omejitev, o tem obvestite posameznika, na katerega se nanašajo osebni podatki.
Pravica do prenosljivosti podatkov
Pravica do prenosljivosti podatkov omogoča posameznikom, na katere se nanašajo osebni podatki, da pridobijo svoje osebne podatke v strukturirani, splošno uporabljani in strojno berljivi obliki. Na ta način lahko preprosto ponovno uporabijo podatke in če to želijo, svoje podatke posredujejo drugemu upravljavcu podatkov. Pravica do prenosljivosti podatkov se lahko uveljavlja le, če so hkrati izpolnjeni ti trije pogoji:
- obdelava temelji na privolitvi ali pogodbi;
- obdelava je avtomatizirana (tj. ni papirnih dokumentov);
- in posamezniki, na katere se nanašajo osebni podatki, so podatke posredovali sami. To vključuje tudi vse podatke, ki jih je vaša organizacija opazila na podlagi vedenja posameznika, na katerega se nanašajo osebni podatki (npr. s povezanimi dodatki).
Zato se ta pravica ne nanaša na podatke, ki jih organizacija sama ustvari na podlagi zgoraj navedenih podatkov.
Natančneje, posamezniki, na katere se nanašajo osebni podatki, imajo pravico:
- Pridobiti svoje osebne podatke v strukturirani, splošno uporabljani in strojno berljivi obliki. Oblika mora posamezniku, na katerega se nanašajo osebni podatki, omogočiti ponovno uporabo osebnih podatkov za drugo storitev.
Primer: XML, JSON in CSV so običajne oblike, ki izpolnjujejo to merilo. Zagotoviti je treba tudi metapodatke, da se lahko podatki uporabijo na drugi platformi. Format PDF ni dovolj. - Da se njihovi osebni podatki prenesejo neposredno drugemu upravljavcu podatkov. Vaša organizacija naj to stori le, če je tak neposreden prenos tehnično izvedljiv.
V praksi
- Vaša organizacija ponuja spletne storitve pretakanja glasbe. Vaše stranke lahko zahtevajo prenos svojih seznamov pesmi na drugo storitev pretakanja glasbe.
- Ste MSP, ki ponuja storitev spletne pošte. Če vaša stranka, ki ima e-poštni račun za izključno osebne ali domače potrebe, to zahteva, morate prenesti njegov seznam naslovov in e-poštna sporočila na drugo spletno pošto, če je to tehnično izvedljivo. Če to ni mogoče, morate stranki predložiti seznam naslovov in e-poštna sporočila v digitalni obliki, ki jo je mogoče ponovno uporabiti.
Pravica do ugovora
Posamezniki, na katere se nanašajo osebni podatki, lahko ugovarjajo obdelavi osebnih podatkov v zvezi z njimi „iz razlogov, povezanih z njihovim posebnim položajem“. Pravica do ugovora se lahko uveljavlja le, če obdelava temelji na eni od naslednjih pravnih podlag:
- zakoniti interes organizacije ali tretje osebe; ali
- opravljanje naloge, ki se opravlja v javnem interesu ali pri izvajanju javne oblasti.
V drugih primerih posameznik, na katerega se nanašajo osebni podatki, ne more uporabiti pravice do ugovora, ker za druge pravne podlage obstajajo alternative za doseganje istega namena: v primeru privolitve lahko posameznik, na katerega se nanašajo osebni podatki, privolitev preprosto prekliče. Posameznik, na katerega se nanašajo osebni podatki, ne more ugovarjati obdelavi, ki jo določa zakon.
Ko posamezniki, na katere se nanašajo osebni podatki, uveljavljajo svojo pravico do ugovora, mora vaša organizacija uravnotežiti interese obeh strani. Preneha se vsa obdelava teh osebnih podatkov, razen če dokaže nujne legitimne razloge, ki prevladajo nad pravicami in svoboščinami posameznika, na katerega se nanašajo osebni podatki (npr. izvaja se pravni postopek). Vaša organizacija mora te razloge dokumentirati in razloge sporočiti posamezniku.
Pomembno je omeniti
Kadar se podatki obdelujejo za namene trženja, ima posameznik, na katerega se nanašajo osebni podatki, pravico ugovarjati tej obdelavi brez navedbe razlogov. V tem primeru razlogi, zakaj vaša organizacija obdeluje te podatke, niso pomembni, namesto tega mora ugovor privesti do takojšnjega konca obdelave v ta namen.
V praksi
- Ste majhno podjetje za trženje dogodkov. Ko oseba kupi vstopnico za koncert skupine na spletu, prejme oglase za druge podobne koncerte. Če želi oseba prenehati prejemati te oglase, mora organizacija ustaviti neposredno trženje.
- Ste MSP, ki deluje na področju zavarovalništva. V tej panogi so osebni podatki v nekaterih primerih potrebni za boj proti praksam pranja denarja. Kot zavarovalni posrednik lahko zavrnete nadaljnje ukrepanje na podlagi pravice do ugovora, ker vas nacionalni zakoni o preprečevanju pranja denarja zavezujejo k obdelavi podatkov.
Preberite več
Pravica, da za posameznika ne velja odločitev, ki temelji zgolj na avtomatizirani obdelavi
Oseba ima pravico, da zanj ne velja popolnoma samodejna odločitev (tj. brez kakršnega koli človeškega poseganja v postopek odločanja), ki ima pravne učinke ali znatno vpliva na zadevno osebo.
Avtomatizirano odločanje je pogosto povezano s profiliranjem, ki je v Splošni uredbi o varstvu podatkov opredeljeno kot „vsaka oblika avtomatizirane obdelave osebnih podatkov, ki vključuje uporabo osebnih podatkov za ocenjevanje nekaterih osebnih vidikov v zvezi s posameznikom, zlasti za analizo ali predvidevanje uspešnosti pri delu, ekonomskega položaja, zdravja, osebnega okusa, interesov, zanesljivosti, vedenja, lokacije ali gibanja“ (četrti odstavek 4. člena Splošne uredbe o varstvu podatkov).
Za uveljavljanje te pravice mora avtomatizirana obdelava vključevati:
- odločitev, ki temelji izključno na avtomatizirani obdelavi brez človeškega posredovanja. To pomeni, da nobena fizična oseba nima pomembnega nadzora nad odločitvijo in na primer ne more spremeniti ali razveljaviti odločitve;
- odločitev, ki ima pravne učinke za posameznike, na katere se nanašajo osebni podatki, ali ki nanje znatno vpliva.
V praksi
- Primer pravnih učinkov bi lahko bila samodejna prekinitev telefonske pogodbe, ker stranka ni plačala mesečnega računa.
- Odločitev, ki znatno vpliva na osebo, je mogoče najti v naslednjih primerih (vendar je treba pri ocenjevanju, ali je vpliv na posameznika, na katerega se nanašajo osebni podatki, vedno upoštevati okoliščine):
- odločitve, ki vplivajo na finančne razmere ljudi, kot je njihova upravičenost do črpanja kredita;
- samodejna zavrnitev prosilcev, ki se prijavijo prek spletne platforme;
- diferenciacijo cen na podlagi zgodovine brskanja in nakupnih navad potrošnika;
- odločitve, ki vplivajo na dostop posameznika do izobraževanja, na primer sprejem na univerzo.
- odločitve, ki vplivajo na finančne razmere ljudi, kot je njihova upravičenost do črpanja kredita;
Obstajajo tri situacije, v katerih je še vedno mogoče sprejeti avtomatizirano individualno odločitev:
- če to dovoljuje zakon (npr. preprečevanje goljufij ali davčnih utaj);
- če odločitev temelji na izrecni privolitvi posameznika, na katerega se nanašajo osebni podatki; ali
- če je to potrebno za sklenitev ali izvedbo pogodbe. Vendar se zavedajte, da je v zadnjem primeru vedno odvisno od presoje vsakega primera posebej. Takoj ko za sklenitev ali izvršitev pogodbe obstajajo manj invazivne metode za zasebnost, se avtomatizirana odločitev ne šteje več za „potrebno“.
Če gre za občutljive podatke, je avtomatizirano odločanje mogoče le na podlagi izrecne privolitve ali bistvenega javnega interesa v skladu s pravom Unije ali nacionalnim pravom.