Pravica do dostopa do osebnih podatkov je ena temeljnih pravic, ki jih posameznikom zagotavlja zakonodaja na področju varstva osebnih podatkov. V Evropski uniji je ta pravica urejena s Splošno uredbo o varstvu podatkov (GDPR). V Sloveniji pa se GDPR uporablja neposredno, vendar pa je dodatno urejena tudi z Zakonom o varstvu osebnih podatkov (ZVOP-2).
Osebni podatki so vsi podatki, ki pomenijo katero koli informacijo v zvezi z določenim ali določljivim posameznikom (na primer ime, identifikacijska številka, podatki o lokaciji, spletni identifikator in podobno).
Obdelava pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, shranjevanje, vpogled, posredovanje, omejevanje, izbris, uničenje in podobno.
Upravljavec pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave.
Obdelovalec pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca.
Najpogosteje uveljavljana pravica je pravica dostopa do osebnih podatkov (15. člen GDPR)
Pravica do dostopa in izpisa osebnih podatkov zagotavlja posamezniku, na katerega se nanašajo osebni podatki pravico, da od upravljavca dobi potrditev, ali se v zvezi z njim obdelujejo osebni podatki, in kadar je temu tako, dobi dostop do teh osebnih podatkov in naslednje informacije:
- namene obdelave;
- vrste zadevnih osebnih podatkov;
- uporabnike ali kategorije uporabnika, ki so jim bili ali jim bodo razkriti osebni podatki;
- obdobje hrambe osebnih podatkov;
- obstoj pravice, da se od upravljavca zahteva popravek ali izbris osebnih podatkov ali omejitev obdelave osebnih podatkov v zvezi s posameznikom, na katerega se nanašajo osebni podatki, ali obstoj pravice do ugovora taki obdelavi;
- pravico do vložitve pritožbe pri nadzornem organu;
- vse razpoložljive informacije v zvezi z virom, preko katerega so bili podatki zbrani;
- obstoj avtomatiziranega sprejemanja odločitev, vključno z oblikovanjem profilov.
Namen pravice do dostopa je, da se posameznik:
- seznani z obdelavo;
- razume, kako se osebni podatki obdelujejo in kakšne so posledice takšne obdelave;
- preveri zakonitost, točnost, in podobno;
- uveljavlja druge pravice (pravica do popravka, izbrisa in druge).
Posamezniku razloga za zahtevo za dostop ni potrebno navesti.
Ta pravica se izvršuje v 3 korakih:
- Potrditev obdelave: ali v zvezi z mano obdelujete moje osebne podatke?
- Dostop do podatkov: popolna kopija podatkov, pravica do vpogleda ali reprodukcije.
- Informacije o obdelavi osebnih podatkov: namen obdelave, vrste osebni podatkov, uporabniki osebnih podatkov, obdobje hrambe osebnih podatkov, obstoj pravic, pravica do pritožbe pri Informacijskem pooblaščencu, viri podatkov ter avtomatizirano sprejemanje odločitev.
Postopek uveljavljanja pravice do dostopa:
Pravico do dostopa lahko posameznik uveljavlja pri upravljavcu, kateremu pošlje zahtevo za dostop do osebnih podatkov. To pravico lahko posameznik uveljavlja kadarkoli in to lahko stori sam ali pa preko pooblaščenca.
Zahteva se vloži v pisni obliki. Informacijski pooblaščenec priporoča, da se zahteva pošlje priporočeno ali s povratnico, lahko pa tudi s pomočjo elektronske pošte. Ta mora vsebovati čim bolj podroben opis osebnih podatkov oziroma dokumentov, ki jih želite prejeti.
Upravljavec mora na zahtevo odgovoriti brez nepotrebnega odlašanja in v vsakem primeru v enem mesecu po prejemu zahteve. Ta rok se lahko podaljša za dva meseca, če je to potrebno glede na kompleksnost in število zahtev. O tem, da se bo rok podaljšal, mora upravljavec obvestiti posameznika v roku enega meseca po prejemu zahteve.
Če upravljavec ne odgovori v določenem roku, se šteje, da molči.
Upravljavec o zahtevi odloči s pisnim obvestilom. V primeru, da upravljavec molči ali če poda zavrnilni odgovor, je zoper to odločitev možna pritožba pri Informacijskem pooblaščencu. Pritožbeni postopek poteka po pravilih Zakona o splošnem upravnem postopku.
Pritožbo zaradi zavrnitve zahteve je treba vložiti v 15 dneh od prejema pisnega odgovora upravljavca. Pritožba se vloži pri:
- upravljavcu, če je ta državni organ, lokalna skupnost ali nosilec javnih pooblastil (ta jo je dolžan odstopiti Informacijskemu pooblaščencu);
- Informacijskem pooblaščencu, če upravljavec ni državni organ, lokalna skupnost ali nosilec javnih pooblastil.
Pritožba zoper molčečega upravljavca se vloži pri Informacijskem pooblaščencu. Rok za vložitev ni omejen.
Stroški
Pridobitev osebnih podatkov je načeloma brezplačna. Vendar pa lahko upravljavec zaračuna razumne administrativne stroške, če so zahteve posameznika očitno neutemeljene ali pretirane, zlasti zaradi njihove ponavljajoče se narave.