Posameznik, na katerega se nanašajo osebni podatki, ima pravico doseči, da upravljavec omeji obdelavo, kadar velja en od naslednjih primerov:
- posameznik, na katerega se nanašajo osebni podatki, oporeka točnosti podatkov, in sicer za obdobje, ki upravljavcu omogoča preveriti točnost osebnih podatkov;
- je obdelava nezakonita in posameznik, na katerega se nanašajo osebni podatki, nasprotuje izbrisu osebnih podatkov ter namesto tega zahteva omejitev njihove uporabe;
- upravljavec osebnih podatkov ne potrebuje več za namene obdelave, temveč jih posameznik, na katerega se nanašajo osebni podatki, potrebuje za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov;
- je posameznik, na katerega se nanašajo osebni podatki, vložil ugovor v zvezi z obdelavo, dokler se ne preveri, ali zakoniti interesi upravljavca prevladajo nad razlogi posameznika, na katerega se nanašajo osebni podatki.
»Omejitev« pomeni, da se vaši osebni podatki, z izjemo shranjevanja, lahko obdelujejo samo z vašo privolitvijo za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov za zaščito pravic druge fizične ali pravne osebe ali iz razlogov pomembnega javnega interesa EU ali države EU.
V primeru preklica omejitve morate biti o njem vnaprej obveščeni.
V Evropski uniji je ta pravica urejena s Splošno uredbo o varstvu podatkov (»GDPR«). V Sloveniji se GDPR uporablja neposredno, vendar pa je varstvo osebnih podatkov dodatno urejeno tudi z Zakonom o varstvu osebnih podatkov (»ZVOP-2«).
Najprej si poglejmo opredelitve nekaj osnovnih izrazov na področju GDPR in varstva osebnih podatkov.
Osebni podatki so vsi podatki, ki pomenijo katero koli informacijo v zvezi z določenim ali določljivim posameznikom (na primer: ime, identifikacijska številka, podatki o lokaciji, spletni identifikator in podobno).
Obdelava pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov, z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, shranjevanje, vpogled, posredovanje, omejevanje, izbris, uničenje in podobno.
Upravljavec pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave.
Obdelovalec pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca.
Pravica do izbrisa je urejena v 18. členu GDPR.
Omejitve obdelave ni možno zahtevati, če obstaja pravna podlaga za obdelavo v zakonu ali privolitvi.
Primera:
- če ste za obdelavo podali privolitev in svoje privolitve niste umaknili. V tem primeru upravljavec še vedno zakonito obdeluje vaše podatke in zato ne morete zahtevati omejitve obdelave.
- če država obdeluje podatke o vaših dohodkih in premoženju za namen izračuna davčne obveznosti, ne morete zahtevati omejitve obdelave, saj obdelava poteka na podlagi zakona.
Postopek uveljavljanja pravice do omejitve obdelave:
Pravico do omejitve obdelave lahko posameznik uveljavlja pri upravljavcu, kateremu pošlje zahtevo za omejitev obdelave osebnih podatkov. To pravico lahko posameznik uveljavlja kadarkoli. To lahko stori sam ali preko pooblaščenca.
Zahteva se vloži v pisni obliki. Informacijski pooblaščenec priporoča, da se zahteva pošlje priporočeno ali s povratnico, lahko pa tudi prek elektronske pošte. Ta mora vsebovati čim bolj podroben opis osebnih podatkov oziroma dokumentov, za katere želite omejiti obdelavo.
Upravljavec mora na zahtevo odgovoriti brez nepotrebnega odlašanja in v vsakem primeru v enem mesecu po prejemu zahteve. Ta rok se lahko podaljša za dva meseca, če je to potrebno glede na kompleksnost in število zahtev. O tem, da se bo rok podaljšal, mora upravljavec obvestiti posameznika v roku enega meseca po prejemu zahteve.
Če upravljavec ne odgovori v določenem roku, nastopi molk.
Upravljavec o zahtevi odloči s pisnim obvestilom. V primeru, da upravljavec ugodi zahtevi ne izda odločbe, temveč naredi uradni zaznamek in posameznika seznani z odločitvijo. V primeru, da upravljavec molči ali če poda zavrnilni odgovor, je zoper njega možna pritožba pri Informacijskem pooblaščencu. Pritožbeni postopek poteka po pravilih Zakona o splošnem upravnem postopku (»ZUP«).
Pritožbo zaradi zavrnitve zahteve je treba vložiti v 15 dneh od prejema pisnega odgovora upravljavca. Pritožba se vloži pri:
- pri upravljavcu, če je ta državni organ, lokalna skupnost ali nosilec javnih pooblastil (ta jo je po tem dolžan odstopiti Informacijskemu pooblaščencu);
- pri Informacijskem pooblaščencu, če upravljavec ni državni organ, lokalna skupnost ali nosilec javnih pooblastil.
Pritožba na podlagi molka upravljavca se lahko vloži kadarkoli po preteku roka za odgovor upravljavca. Pritožba se vloži pri Informacijskem pooblaščencu.