Posameznik, na katerega se nanašajo osebni podatki, ima pravico, da svojo privolitev kadar koli prekliče. Preklic privolitve ne vpliva na zakonitost obdelave na podlagi privolitve pred njenim preklicem. O tem se pred privolitvijo obvesti posameznik, na katerega se nanašajo osebni podatki. Privolitev mora biti enako enostavno preklicati, kot jo je podati.
Upravljavec mora biti zmožen dokazati, da je posameznik, na katerega se nanašajo osebni podatki, privolil v obdelavo svojih osebnih podatkov.
Privolitev za obdelavo osebnih podatkov je veljavna, kadar je:
- prostovoljna – kadar je svobodno dana,
- specifična – ko je podana za konkretno opredeljen namen,
- informirana – ko posameznik razume vsebino privolitve in
- nedvoumna – ko posameznik izrazi soglasje z jasnim pritrdilnim ravnanjem, ki mora vedno biti dano z izjavo ali z izkazano aktivnostjo.
Privolitev mora biti pridobljena pred pričetkom vsake obdelave. Če se spremeni namen obdelave ali se uvede nova obdelava, je potrebna nova privolitev.
Upravljavec lahko osebne podatke pridobljene preko privolitve obdeluje samo za namene, za katere je bila privolitev dana.
V Evropski uniji je ta pravica urejena s Splošno uredbo o varstvu podatkov (»GDPR«). V Sloveniji se GDPR uporablja neposredno, vendar pa je varstvo osebnih podatkov dodatno urejeno tudi z Zakonom o varstvu osebnih podatkov (»ZVOP-2«).
Splošna uredba določa, da ima posameznik pravico, da svojo privolitev kadarkoli prekliče.
- Upravljavec mora zagotoviti, da je umik privolitve enako enostaven kot dajanje privolitve in ga je možno kadarkoli izvesti;
- umik privolitve se mora izvesti na isti način, na kateri je ta bila dana;
- umik privolitve ne sme povzročiti škodnih posledic za posameznika, mora biti brezplačen ali brez zniževanja nivoja storitve;
- posameznik mora biti o pravici do preklica in tudi o načinu, kako lahko privolitev prekliče, obveščen še pred dajanjem privolitve.
Najprej si poglejmo opredelitve nekaj osnovnih izrazov na področju GDPR in varstva osebnih podatkov.
»Osebni podatki« so vsi podatki, ki pomenijo katero koli informacijo v zvezi z določenim ali določljivim posameznikom (na primer: ime, identifikacijska številka, podatki o lokaciji, spletni identifikator in podobno).
»Obdelava« pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov, z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, shranjevanje, vpogled, posredovanje, omejevanje, izbris, uničenje in podobno.
»Upravljavec« pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave.
»Obdelovalec« pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca.
Postopek privolitve in njenega preklica mora biti enostaven. Če se privolitev prekliče, obdelovalec podatkov ne sme več obdelovati. Po preklicu privolitve mora zagotoviti izbris podatkov, razen če obstaja druga pravna podlaga za njihovo obdelavo.
Če so se podatki obdelovali za več namenov, obdelovalec ne sme uporabljati osebnih podatkov za tisti del obdelave, za katerega je bila privolitev preklicana, ali za katere koli druge namene, odvisno od obstoja alternativne pravne podlage.
Postopek uveljavljanja pravice preklica privolitve:
Pravico do preklica privolitve lahko posameznik uveljavlja pri upravljavcu, pri katerem želi doseči, da ta ne obdeluje več njegovih osebnih podatkov in te tudi izbriše. To pravico lahko posameznik uveljavlja kadarkoli. To lahko stori sam ali preko pooblaščenca.
Zahteva se vloži v pisni obliki. Informacijski pooblaščenec priporoča, da se zahteva pošlje priporočeno ali s povratnico, lahko pa tudi po elektronski pošti.
Upravljavec mora na zahtevo odgovoriti brez nepotrebnega odlašanja in v vsakem primeru v enem mesecu po prejemu zahteve. Ta rok se lahko podaljša za dva meseca, če je to potrebno glede na kompleksnost in število zahtev. O tem, da se bo rok podaljšal, mora upravljavec obvestiti posameznika v roku enega meseca po prejemu zahteve.
Če upravljavec ne odgovori v določenem roku, nastopi molk.
Upravljavec o zahtevi odloči s pisnim obvestilom. V primeru, da upravljavec ugodi zahtevi ne izda odločbe, temveč naredi uradni zaznamek in posameznika seznani z odločitvijo. V primeru, da upravljavec molči ali če poda zavrnilni odgovor, je zoper njega možna pritožba pri Informacijskem pooblaščencu. Pritožbeni postopek poteka po pravilih Zakona o splošnem upravnem postopku (»ZUP«).
Pritožbo zaradi zavrnitve zahteve je treba vložiti v 15 dneh od prejema pisnega odgovora upravljavca. Pritožba se vloži pri:
- pri upravljavcu, če je ta državni organ, lokalna skupnost ali nosilec javnih pooblastil (ta jo je po tem dolžan odstopiti Informacijskemu pooblaščencu);
- pri Informacijskem pooblaščencu, če upravljavec ni državni organ, lokalna skupnost ali nosilec javnih pooblastil.
Pritožba na podlagi molka upravljavca se lahko vloži kadarkoli po preteku roka za odgovor upravljavca. Pritožba se vloži pri Informacijskem pooblaščencu.