PROJEKT ENVIRONMENTAL APPLICABLE LAW ONLINE PLATFORM
Pritožba evropskemu nadzorniku za varstvo podatkov
Institucije in organi EU pri svojem delu obdelujejo tudi osebne podatke državljanov EU. Osnovni regulacijski temelji, ki urejajo varstvo osebnih podatkov, so zapisani v Listini EU o temeljnih pravicah (1. odst. 8. člena) in Pogodbi o delovanju EU (1. odst. 16. člena), glavna predpisa, ki urejata to področje pa sta:
Osebni podatek je katerakoli informacija, vezana na določenega ali določljivega posameznika. Določljiv posameznik je posameznik, ki ga je mogoče posredno ali neposredno določiti na podlagi identifikatorja (ime, lokacija, fizična, fiziološka, genetska, duševna, gospodarska, kulturna ali družbena identiteta, itd.) (1. odst. 3. člena Uredbe 2018/1725).
Obdelava osebnih podatkov, ki mora biti zakonita (5. člen Uredbe 2018/1725), praviča in pregledna, zajema avtomatizirano ali neavtomatizirano elektronsko, pisno ali vizualno zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje in spreminjanje, priklic, vpogled, uporaba, razkrivanje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje in kombiniranje, omejevanje, izbris in uničenje (3. odst. 3. člena Uredbe 2018/1725).
Uredba 2018/1725 loči med:
- obdelovalcem
- upravljavcem
- skupnimi upravljavci
- uporabnikom osebnih podatkov
Uredba 2018/1725 prepoveduje obdelavo t. i. posebnih vrst osebnih podatkov, torej podatkov, ki razkrivajo:
razen, če:
Posameznik, na katerega se nanašajo osebni podatki, ima pravico zahtevati od upravljavca potrditev ali se v zvezi z njim obdelujejo osebni podatki. Pravica posameznika se nanaša na pridobitev informacij o:
V primeru, ko pride do kršitve, vezane na varstvo osebnih podatkov pri obdelavi in njihovem posredovanju, lahko prizadeta oseba najprej:
1. opozori osebje, pristojno za obdelavo podatkov v instituciji oziroma organu EU, kjer je prišlo do kršitve. V primeru neustreznega ali nezadovoljivega odgovora s strani kršitelja, lahko nadalje
2. stopi v stik z uradno osebo za varstvo podatkov v zadevni instituciji ali organu EU. V primeru nezadovoljstva ali neuspeha, lahko
3. vloži pritožbo evropskemu nadzorniku za varstvo podatkov preko spletnega obrazca, dostopnega na uradnem spletišču.
Kdo se lahko pritoži pri Evropskemu nadzorniku za varstvo podatkov in kako?
Pogoji za vložitev pritožbe evropskemu nadzorniku za varstvo podatkov (ang. Complaint to European Data Protection Supervisor):
Osebni podatek je katerakoli informacija, vezana na določenega ali določljivega posameznika. Določljiv posameznik je posameznik, ki ga je mogoče posredno ali neposredno določiti na podlagi identifikatorja (ime, lokacija, fizična, fiziološka, genetska, duševna, gospodarska, kulturna ali družbena identiteta, itd.) (1. odst. 3. člena Uredbe 2018/1725).
Obdelava osebnih podatkov, ki mora biti zakonita (5. člen Uredbe 2018/1725), praviča in pregledna, zajema avtomatizirano ali neavtomatizirano elektronsko, pisno ali vizualno zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje in spreminjanje, priklic, vpogled, uporaba, razkrivanje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje in kombiniranje, omejevanje, izbris in uničenje (3. odst. 3. člena Uredbe 2018/1725).
Uredba 2018/1725 loči med:
- obdelovalcem
(navadno je to nekdo tretji, nekdo izven organizacije, ki obdeluje osebne podatke za upravljavca; 12. odst. 3. člena, 29. člen),
- upravljavcem
(tisti, ki določi namene obdelovanja osebnih podatkov – zakaj in sredstva za njihovo obdelavo – kako; 8. odst. 3. člena),
- skupnimi upravljavci
(tisti, ki na podlagi dogovora, skupaj odločajo o namenu in sredstvih obdelave podatkov; 28. člen),
- uporabnikom osebnih podatkov
(tisti, ki so mu bili osebni podatki razkriti; 13. odst. 3. člena).
Uredba 2018/1725 prepoveduje obdelavo t. i. posebnih vrst osebnih podatkov, torej podatkov, ki razkrivajo:
- rasno ali etnično poreklo,
- politično mnenje,
- versko ali filozofsko prepričanje
- članstvo v sindikatu,
- članstvo v sindikatu,
- in obdelavo genetskih podatkov, biometričnih podatkov za namene edinstvene identifikacije posameznika,
- podatkov v zvezi z zdravjem,
- podatkov v zvezi s posameznikovim spolnim življenjem ali spolno usmerjenostjo,
razen, če:
- je posameznik dal izrecno privolitev za obdelavo posebnih vrst osebnih podatkov za določen(e) namen(e),
- gre za izpolnjevanje obveznosti in izvajanje pravic na področju delovnega prava, prava socialne varnosti in socialnega varstva,
- gre za zaščito življenjskih interesov,
- jih posameznik sam objavi (vendar se jih lahko obdeluje po pravilih uredbe GDPR),
- gre za potrebe pri pravnih zahtevkih oziroma izvajanje sodne pristojnosti sodišč,
- gre za javni interes, na podlagi načela sorazmernosti,
- gre za medicinske namene (ob upoštevanju poklicne molčečnosti),
- gre za razlog javnega interesa na področju javnega zdravja,
- gre za druge namene, določene v 10. členu Uredbe 2018/1725.
Posameznik, na katerega se nanašajo osebni podatki, ima pravico zahtevati od upravljavca potrditev ali se v zvezi z njim obdelujejo osebni podatki. Pravica posameznika se nanaša na pridobitev informacij o:
- namenu obdelave njegovih osebnih podatkov,
- vrsti zadevnih osebnih podatkov,
- uporabniku, ki mu bodo ali so mu že bili razkriti osebni podatki,
- predvidenem obdobju hrambe njegovih osebnih podatkov
- in drugih informacijah, ki jih določa 15. člen Uredbe 2018/1725.
V primeru, ko pride do kršitve, vezane na varstvo osebnih podatkov pri obdelavi in njihovem posredovanju, lahko prizadeta oseba najprej:
1. opozori osebje, pristojno za obdelavo podatkov v instituciji oziroma organu EU, kjer je prišlo do kršitve. V primeru neustreznega ali nezadovoljivega odgovora s strani kršitelja, lahko nadalje
2. stopi v stik z uradno osebo za varstvo podatkov v zadevni instituciji ali organu EU. V primeru nezadovoljstva ali neuspeha, lahko
3. vloži pritožbo evropskemu nadzorniku za varstvo podatkov preko spletnega obrazca, dostopnega na uradnem spletišču.
Kdo se lahko pritoži pri Evropskemu nadzorniku za varstvo podatkov in kako?
I. skladno z 63. členom Uredbe 2018/1725, vsak posameznik, na katerega se nanašajo osebni podatki, ki se obdelujejo pri EU instituciji, organu ali agenciji, če meni, da je obdelava neskladna z Uredbo, in sicer preko spletnega obrazca,
II. skladno z 68. členom Uredbe 2018/1725, vsak uslužbenec oziroma osebje EU institucije, organa ali agencije, četudi ne gre za kršitve, vezane za osebne podatke uslužbenca in neposredno prizadetost uslužbenca, ampak gre za zaznane kršitve pravil Uredbe pri obdelavi osebnih podatkov v EU instituciji, organu ali agenciji, in sicer preko spletnega obrazca.
Pogoji za vložitev pritožbe evropskemu nadzorniku za varstvo podatkov (ang. Complaint to European Data Protection Supervisor):
- gre za kršitev Uredbe 2018/1725 izključno s strani EU institucij, organov in agencij, torej:
* Evropski parlament,
* Evropska komisija,
* Svet Evropske unije,
* Evropska centralna banka,
* Agencije EU,
* Nadzorni organ EFTA, itd.
* Evropski parlament,
* Evropska komisija,
* Svet Evropske unije,
* Evropska centralna banka,
* Agencije EU,
* Nadzorni organ EFTA, itd.
- gre za dejansko in ne zgolj hipotetično kršitev pravil pri obdelovanju osebnih podatkov,
- ni preteklo več kot dve leti, odkar je prizadeta oseba (pritožnik) izvedela za dejstva,
- neanonimnost vloge in neanonimnost osebe, ki so ji bile kršene pravice pri obdelavi osebnih podatkov,
- pooblastilo za zastopanje pritožnika (če pritožnik ima zastopnika),
- ne gre za zadeve, ki so v reševanju pri Evropskem varuhu človekovih pravic,
- ne gre za zadeve, o katerih je Evropski varuh človekovih pravic že poizvedel, razen, če gre za nova dejstva in nove dokaze,
- ne gre za zadeve, ki so v postopku pred sodiščem,
- ne gre za zadeve, o katerih je sodišče že odločilo,
- ne gre za nacionalni javni organ (policija, javna šola, sodišče in podobno),
- ne gre za organizacijo zasebnega prava, torej ne gre za podjetje, nevladno organizacijo, cerkev, sindikat in podobno,
- ne gre za mednarodno organizacijo.
Evropski nadzornik za varstvo podatkov lahko:
- poda odredbo upravljavcu ali obdelovalcu, da se vaša zahteva, vezana na uveljavljanje pravic pri obdelavi in posredovanju osebnih podatkih, upošteva, v kolikor ni bila ustrezno obravnavana,
- upravljavca in obdelovalca obvesti in opozori o kršitvi Uredbe 2018/1725,
- upravljavcem odredi, da obvestijo posameznike, na katere se nanaša obdelovanje in kršitve osebnih podatkov,
- uvede začasno omejitev ali dokončno prepoved določene operacije pri obdelavi podatkov,
- poda odredbo upravljavcem in obdelovalcem, da uskladijo postopke obdelave osebnih podatkov z veljavnimi predpisi, sicer lahko naloži globo,
- predloži primer Sodišču EU,
- in opravi še druge naloge za katere je pooblaščen, skladno z 58. členom Uredbe 2018/1725.
V primeru kršitev pri obdelavi in posredovanju osebnih podatkov pri mednarodnih institucijah, se lahko prizadeta oseba obrne na pristojnega pri mednarodni organizaciji:
• Svet Evrope (Council of Europe): Data Protection Commissioner,
• Eurocontrol: EUROCONTROL Regulation on Personal Data Protection,
• Mednarodni komite Rdečega križa (International Committee of the Red Cross - ICRC): ICRC Data Protection Office,
• Mednarodna organizacija kriminalistične policije (International Criminal Police Organization – INTERPOL): Commission for the Control of INTERPOL's Files,
• Organizacija za gospodarsko sodelovanje in razvoj (Organization for Economic Co-operation and Development - OECD): Commission for Computerised Information and Privacy,
• Združeni narodi (United Nations): Special Rapporteur on the right to privacy,
• Urad Visokega komisariata Združenih narodov za begunce (UN High Commissioner for Refugees): Policy on the Protection of Personal Data of Persons of Concern to UNHCR,
• Svetovni program za hrano (World Food Programme): WFP Guide to Personal Data Protection and Privacy - Principles and operational standards for the protection of beneficiaries’ personal data in WFP’s programming,
• Mednarodna organizacija za migracije (International Organization for Migration - IOM),
• Evropska vesoljska agencija (European Space Agency - ESA),
• Organizacija Združenih narodov za prehrano in kmetijstvo (Food and Agriculture Organization of the United Nations - FAO)
• Svetovna poštna zveza (The Universal Postal Union - UPU),
• Evropska organizacija za jedrske raziskave (European Organization for Nuclear Research -CERN),
• Svetovna organizacija za intelektualno lastnino (World Intellectual Property Organization - WIPO),
• International Energy Charter: Manual on Data Protection (2018).
- ne gre za nacionalni javni organ (policija, javna šola, sodišče in podobno),
- ne gre za organizacijo zasebnega prava, torej ne gre za podjetje, nevladno organizacijo, cerkev, sindikat in podobno,
- ne gre za mednarodno organizacijo.
Evropski nadzornik za varstvo podatkov lahko:
- poda odredbo upravljavcu ali obdelovalcu, da se vaša zahteva, vezana na uveljavljanje pravic pri obdelavi in posredovanju osebnih podatkih, upošteva, v kolikor ni bila ustrezno obravnavana,
- upravljavca in obdelovalca obvesti in opozori o kršitvi Uredbe 2018/1725,
- upravljavcem odredi, da obvestijo posameznike, na katere se nanaša obdelovanje in kršitve osebnih podatkov,
- uvede začasno omejitev ali dokončno prepoved določene operacije pri obdelavi podatkov,
- poda odredbo upravljavcem in obdelovalcem, da uskladijo postopke obdelave osebnih podatkov z veljavnimi predpisi, sicer lahko naloži globo,
- predloži primer Sodišču EU,
- in opravi še druge naloge za katere je pooblaščen, skladno z 58. členom Uredbe 2018/1725.
V primeru kršitev pri obdelavi in posredovanju osebnih podatkov pri mednarodnih institucijah, se lahko prizadeta oseba obrne na pristojnega pri mednarodni organizaciji:
• Svet Evrope (Council of Europe): Data Protection Commissioner,
• Eurocontrol: EUROCONTROL Regulation on Personal Data Protection,
• Mednarodni komite Rdečega križa (International Committee of the Red Cross - ICRC): ICRC Data Protection Office,
• Mednarodna organizacija kriminalistične policije (International Criminal Police Organization – INTERPOL): Commission for the Control of INTERPOL's Files,
• Organizacija za gospodarsko sodelovanje in razvoj (Organization for Economic Co-operation and Development - OECD): Commission for Computerised Information and Privacy,
• Združeni narodi (United Nations): Special Rapporteur on the right to privacy,
• Urad Visokega komisariata Združenih narodov za begunce (UN High Commissioner for Refugees): Policy on the Protection of Personal Data of Persons of Concern to UNHCR,
• Svetovni program za hrano (World Food Programme): WFP Guide to Personal Data Protection and Privacy - Principles and operational standards for the protection of beneficiaries’ personal data in WFP’s programming,
• Mednarodna organizacija za migracije (International Organization for Migration - IOM),
• Evropska vesoljska agencija (European Space Agency - ESA),
• Organizacija Združenih narodov za prehrano in kmetijstvo (Food and Agriculture Organization of the United Nations - FAO)
• Svetovna poštna zveza (The Universal Postal Union - UPU),
• Evropska organizacija za jedrske raziskave (European Organization for Nuclear Research -CERN),
• Svetovna organizacija za intelektualno lastnino (World Intellectual Property Organization - WIPO),
• International Energy Charter: Manual on Data Protection (2018).