top of page
  • rosana547

So podatki o delavcih pri upravljavcu, ki so obdelovali moje podatke, moji ali njihovi?!


Področje varstva osebnih podatkov je neizčrpen vir izzivov, tudi takšnih, ki bi jim brez vljudne zadržanosti neposredno rekli problemi.

Z enim takih se je ravnokar spopadlo Sodišče Evropske Unije (SEU) v zadevi C‑579/21.


Po predlogu za sprejetje predhodne odločbe je odločalo o vprašanju, ali so podatki zaposlenih, ki so pri opravljanju delovnih nalog dostopali do podatkov posameznika v zbirkah upravljavca/delodajalca, osebni podatki posameznika in je ta do njih upravičen v okviru pravice do dostopa do podatkov (15. člen Splošne uredbe o varstvu podatkov) ali gre za osebne podatke zaposlenih in jih pravica dostopa do podatkov ne obsega.


Primer je SEU posredovalo finsko upravno sodišče, s prošnjo naj odgovori na več vprašanj, sama izpostavljam po moji oceni dve ključni vprašanji:


1. Ali je treba pravico dostopa, ki jo ima po 15. členu Splošne uredbe o varstvu podatkov posameznik, na katerega se nanašajo osebni podatki, v povezavi s pojmom ‚osebni podatki‘ razlagati tako, da informacije, ki jih zbere upravljavec, iz katerih izhaja, kdo, kdaj in za kateri namen je obdelal osebne podatke posameznika, na katerega se nanašajo osebni podatki, niso informacije, do katerih ima posameznik, na katerega se nanašajo osebni podatki, pravico dostopa, zlasti ker gre za podatke, ki se nanašajo na zaposlene upravljavca?

2. Če je odgovor na prvo vprašanje pritrdilen in posameznik, na katerega se nanašajo osebni podatki, na podlagi člena 15. člena Splošne uredbe o varstvu podatkov nima pravice dostopa do informacij o tem, kdo od zaposlenih pri upravljavcu je dostopal do njegovih osebnih podatkov, ker te informacije niso njegovi 'osebni podatki‘, je treba odgovoriti še na vprašanje, do katerih informacije v povezavi z dostopom do njegovih osebnih podatkov v zvezi z izvajanjem delovnih nalog pri upravljavcu, pa je posameznik upravičen.




SEU je menilo, da je treba iskati en odgovor na zgornji vprašanji.


Iz jezikovne analize 15. člena Splošne uredbe o varstvu podatkov in pojmov, ki jih vsebuje, izhaja, da je za pravico dostopa, ki je s to določbo priznana posamezniku, značilen širok obseg informacij, ki jih mora upravljavec podatkov zagotoviti temu posamezniku. Vselej pa je treba pri iskanju končnega odgovora upoštevati tudi kontekst obdelave osebnih podatkov. Pri tem se je SEU sklicevalo na 60. in 63. uvodno določbo Splošne uredbe o varstvu podatkov, po katerih načeli poštene in pregledne obdelave zahtevata, da je treba posameznika, na katerega se nanašajo osebni podatki, obvestiti o obstoju dejanja obdelave in namenih te obdelave, upravljavec pa bi moral zagotoviti tudi vse dodatne informacije, potrebne za zagotavljanje poštene in pregledne obdelave ob upoštevanju specifičnih okoliščin.


Kontekstualna analize tako pokaže, da je 15. člen Splošne uredbe o varstvu podatkov ena od določb, katerih namen je zagotoviti preglednost načinov obdelave osebnih podatkov v razmerju do posameznika, na katerega se nanašajo osebni podatki.


V skladu s 4. členom Splošne uredbe o varstvu podatkov pravica do varstva osebnih podatkov ni absolutna pravica, saj jo je treba obravnavati glede na vlogo, ki jo ima v družbi, in jo uravnotežiti z drugimi temeljnimi pravicami. Če pride do navzkrižja med, na eni strani, uveljavljanjem pravice dostopa, in, na drugi strani, pravicami ali svoboščinami drugih, je treba zadevne pravice in svoboščine uravnotežiti. Kolikor je mogoče, je treba najti rešitev, ki ne vpliva negativno na pravice ali svoboščine drugih, pri čemer je treba upoštevati, da to hkrati ne sme „povzročiti, da se posamezniku, na katerega se nanašajo osebni podatki, zavrne dostop do vseh informacij.


SEU je tako sklenil, da je treba 15. člen Splošne uredbe o varstvu podatkov razlagati na način, da informacije v zvezi z dejanji vpogleda v osebne podatke posameznika, ki se nanašajo na datume in namene teh dejanj, pomenijo informacije, ki jih ima ta posameznik pravico dobiti od upravljavca na podlagi pravice dostopa do podatkov. V okviru te pravice pa posameznik ni upravičen do informacij o identiteti zaposlenih pri upravljavcu, ki so izvedli ta dejanja pod njegovim vodstvom in v skladu z njegovimi navodili, razen če so te informacije nujne za to, da se posamezniku, na katerega se nanašajo osebni podatki, omogoči učinkovito uveljavljanje pravic, ki so mu podeljene s to uredbo, in se upoštevajo pravice in svoboščine teh zaposlenih.


Praviloma (točka 82 sodbe) pa lahko posameznik, ki meni da je prišlo pri dostopu do njegovih osebnih podatkov pri upravljavcu do nepravilnosti (nepooblaščeni dostopi ipd) zahteva reakcijo nadzornega organa.




Odvetnica mag. Rosana Lemut Strle




Comments


bottom of page