Številka: 07100-6/2023/7
Datum: 13. 9. 2023
Informacijski pooblaščenec po nadzorni osebi (v nadaljevanju: IP; nadzorni organ), na podlagi 77. člena v zvezi s 15. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), na podlagi 34. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju: ZVOP-2) o pritožbi prijavitelja: … (v nadaljevanj: prijavitelj) z dne 10. 3. 2023 zoper odločbo upravljavca: … (v nadaljevanju: upravljavec) št. …, v zadevi dostopa do osebnih podatkov, izdaja naslednjo
O D L O Č B O:
1. Ugotovi se, da je upravljavec … kršil 15. člen Splošne uredbe, s tem, ko je zavrnil zahtevo prijavitelja z dne 30. 1. 2023 za dostop do informacij o obdelavi osebnih podatkov z odločbo št. …, ki ni bila obrazložena.
2. Upravljavcu se odredi, da o zahtevi prijavitelja z dne 30. 1. 2023 v roku 30 (tridesetih) dni ponovno odloči v skladu z 12. in 15. členom Splošne uredbe o varstvu podatkov, pri čemer mora najprej ugotoviti dejansko stanje in po tako izvedenem postopku v ponovnem odločanju upoštevati materialnopravne napotke IP v tej odločbi, ter v istem roku 30 (tridesetih) dni o tako sprejeti odločitvi obvestiti IP.
3. Prijavitelju se ne določijo omejitve glede pregledovanja spisa zadeve, ki se vodi pod št. 07100-6/2023.
4. Posebni stroški v tem postopku niso nastali. Prijavitelj in upravljavec sama nosita svoje stroške postopka.
O b r a z l o ž i t e v:
I. Relevantne navedbe
1. Prijavitelj je 30. 1. 2023 na podlagi Splošne uredbe in ZVOP zahteval od upravljavca, da mu posreduje informacijo, kdo je obdeloval njegove osebne podatke v naštetih dokumentih, in sicer v dokumentih št. …. Navedel je, da ima vsak »notranji obdelovalec« preko računalniške postaje nastavljen licenčni wordov dokument, ki pa avtomatično vodi vsa dejanja obdelave, datum in čas obdelave, identifikacijo osebe, ki je izvedla dejanje obdelave tako da je mogoče naknadno ugotoviti točno identiteto teh oseb obdelave. Prijavitelj je pojasnil, da so se obdelovali osebni iz kadrovskih evidenc in ker gre za »posebno občutljive osebne podatke« je sledljivost še toliko pomembnejša. Prijavitelj je dodal, da želi iz zavihka »zgodovina različica« revizijsko sled zgoraj navedenih dokumentov do izvorne različice posameznega dokumenta in naj bodo pri tem razvidni vsi avtorji ter časovne obdelave, ki jih zapis lastnosti omogoča. Prijavitelj je vztrajal, da tudi če so v sistemu SPIS 4 nekateri dokumenti samo v skenirani obliki, ima upravljavec na kakršnem koli svojem podatkovnem nosilcu (serverju, zunanjem podatkovnem nosilcu, mrežnih printerjih, podatkovnih nosilcih računalnikov) gotovo shranjen tudi wordov dokument, ki je zadnja različica skeniranega dokumenta. Na ta način bo upravljavec lahko preveril revizijske sledi obdelav posebno občutljivih osebnih podatkov. Obenem je prijavitelj zahteval tudi vsa podeljena pooblastila s strani predstojnika, da so osebe, ki so v navedene v lastnostih dokumenta v času obdelave imele veljavna pooblastila za obdelavo posebno občutljivih osebnih podatkov iz kadrovskega področja.
2. Upravljavec je izdal odločbo št. …, s katero je zavrnil zahtevo prijavitelja, ker posameznik želi informacije, ki niso zajete v eni od taksativno opredeljenih točk prvega odstavka 15. člena Splošne uredbe. Upravljavec je navedel, da Splošna uredba v točkah (a) do (h) prvega odstavka ter v drugem odstavku 15. člena taksativno našteva informacije, ki morajo biti posamezniku posredovane na njegovo zahtevo. Upravljavec je ugotavljal, da je posameznik v okviru svoje pravice do dostopa zahteval podatke o imenih konkretnih zaposlenih pri upravljavcu, do česar pa posameznik v okviru pravice do dostopa po presoji upravljavca ni upravičen, saj se v točki (c) prvega odstavka 15. člena Splošne uredbe opredeljene informacije nanašajo izključno na zunanje uporabnike. Upravljavec se je v podporo svoji odločitvi skliceval na mnenje Informacijskega pooblaščenca št. 0712-1/2019/861 z dne 16. 4. 2019.
3. Prijavitelj je dne 10. 3. 2023 pri IP vložil pritožbo zoper navedeno odločbo upravljavca, in sicer zaradi domnevnih kršitev procesnega zakona (ZUP) in materialnih predpisov. Navedel je, da je upravljavec že v postopku dostopa do informacij javnega značaja zavestno kršil ZUP, ker je zavlačeval postopek, zlorabil položaj in z odločbo zatrdil, da dokumenti ne obstajajo, pri čemer se je v pritožbenem postopku po določbah Zakona o dostopu do informacij javnega značaja (ZDIJZ) ugotovilo, da obstajajo in je bil upravljavec kot organ po ZDIJZ dolžan posredovati podatke o lastnostih dokumenta. Ko je podatke o lastnostih wordovih dokumentov zahteval v smislu dostopa do osebnih podatkov (zavihek »zgodovina različice«), bi mu moral upravljavec posredovati podatke vodenja dnevnika obdelave iz 22. člena ZVOP-2. Prijavitelj je nadalje navedel razloge, zakaj potrebuje zahtevane informacije ter zatrjeval kršitve predpisov znotraj upravljavca. Prijavitelj je navedel, da želi dnevnik obdelave, ki bo izkazal vrsto dejanja obdelave, datum in čas obdelave (od izvorne različice naprej) ter identifikacijo notranjih obdelovalcev (uporabnikov) osebnih podatkov, da se ugotovi točna identiteta teh oseb. Prijavitelj je navajal, da so dokumente pripravile druge osebe, kot so jih potrdile in podpisale, kar predstavlja kršitev internih pravil upravljavca. Glede zahtevanih pooblastil je prijavitelj navedel, da kolikor mu je znano, bi morala biti izdana ustrezna pooblastila za obdelavo osebnih podatkov, dve imenovani osebi pa po navedbi prijavitelja nimata pooblastil za obdelavo posebno občutljivih osebnih podatkov iz kadrovskega področja. V pritožbi je prijavitelj poleg zahtevanih podatkov iz zahteve in dnevnikov obdelave zahteval še »celovite revizijske sledi«.
4. IP je upravljavca z dopisom št. 07100-6/2023/2 z dne 17. 3. 2023 pozval za vso potrebno dokumentacijo in pojasnila, potrebna za odločanje v tem nadzornem postopku.
5. Upravljavec je v odgovoru št. … navedel, da je glede na sestavo prijaviteljeve zahteve razbral, da želi pridobiti podatke le o notranjih obdelovalcih (o.p. tako izhaja tudi iz vseh njegovih prejšnjih zahtev) in je tako tudi odločil v odločbi. V kolikor bi IP ocenil, da v postopku potrebuje tudi »revizijske sledi« ali dnevnike obdelav za navedene dokumente oziroma prosilčeve osebne podatke je upravljavec pojasnil, da se zaradi varnostnih zahtev hranijo določeni podatki samo za dokumente, ki so v »oblaku«, za druge »lokalne« dokumente pa je možna le uporaba podatkov o informacijah za posamezen dokument, ki ga ima pripravljavec (Povezane osebe- avtor, zadnja sprememba, zgodovina različice).
6. IP je v tem postopku upravljavcu in prijavitelju poslal zapis bistvenih ugotovitev št. 07100-6/2023/6 z dne 11. 8. 2023 in ju pozval, naj se v roku sedmih dni do zapisa opredelita, sicer bo lahko IP odločbo izdal tudi brez takšne opredelitve. Zapis bistvenih ugotovitev je bil obema strankama uspešno vročen (upravljavcu dne 11. 8. 2023, prijavitelju pa s fikcijo vročitve dne 1. 9. 2023), vendar nanj do dne izdaje te odločbe nista odgovorili.
II. Splošno o pravici posameznika do dostopa do lastnih osebnih podatkov
7. Pravica posameznika do seznanitve z lastnimi osebnimi podatki je temeljna človekova pravica, določena v tretjem odstavku 38. člena Ustave Republike Slovenije (Uradni list RS, št. 33/91-I, s spremembami in dopolnitvami), ki predpisuje, da se ima vsakdo pravico seznaniti z zbranimi osebnimi podatki, ki se nanašajo nanj.
8. Ta pravica posameznika je konkretizirana v prvem odstavku 15. člena Splošne uredbe, ki določa, da ima posameznik, na katerega se nanašajo osebni podatki, pravico od upravljavca dobiti potrditev, ali se v zvezi z njim obdelujejo osebni podatki, in kadar je temu tako, dostop do osebnih podatkov ter določene konkretne informacije v zvezi z obdelavo osebnih podatkov, med drugim: namen obdelave; vrste zadevnih osebnih podatkov; uporabnike ali kategorije uporabnika, ki so jim bili ali jim bodo razkriti osebni podatki, predvideno obdobje hrambe osebnih podatkov; obstoj pravic posameznika; kadar osebni podatki niso zbrani pri posamezniku, na katerega se ti nanašajo, vse razpoložljive informacije v zvezi z njihovim virom idr. (točke (a) do (h) prvega odstavka 15. člena Splošne uredbe).
III. Postopek odločanja v nadzornem postopku
i. O postopku
9. IP je v predmetnem nadzornem postopku postopal po določbah 30. do 35. člena ZVOP-2 (postopek na podlagi vloge prijavitelja s posebnim položajem).
10. IP kot nadzorni organ po izvedenem postopku nadzora skladno s prvim odstavkom 34. člena ZVOP-2 izda odločbo, ki poleg sestavin, ki jih določa zakon, ki ureja splošni upravni postopek, vsebuje:
1. ugotovitev o obstoju ali neobstoju zatrjevane kršitve obdelave osebnih podatkov prijavitelja s posebnim položajem v trenutku vložitve prijave;
2. ukrepe, odrejene upravljavcu ali obdelovalcu glede obdelave osebnih podatkov, ki se nanašajo na prijavitelja s posebnim položajem, in rok za njihovo izvedbo;
3. dovoljen obseg pregleda spisa zadeve za prijavitelja s posebnim položajem.
ii. Obseg nadzora IP
11. IP v tem nadzornem postopku ugotavlja, ali je upravljavec s svojo odločbo št. … kršil materialno-procesne pravice posameznika, kot jih določa Splošna uredba ter ZVOP-2, oziroma ali je te pravice kršil z morebitno kršitvijo ZUP. Upravljavec je v odločbi vezan na zahtevo prosilca in je pravilno odločal le o zahtevi prosilca, kot je bila podana z vlogo z dne 30. 1. 2023. Zato predmet tega nadzornega postopka ne more biti presoja neposredovanja podatkov iz dnevnika obdelav iz 22. člena ZVOP-2, ki se nanaša na vrsto dejanja obdelave ter »celovite revizijske sledi«. Tega namreč prijavitelj ni zahteval v svoji zahtevi z dne 30. 1. 2023.
12. V tem nadzornem postopku se IP torej osredotoča na zavrnitev posredovanja:
a. informacije o identiteti notranjih uporabnikov oziroma »notranjih obdelovalcev«, kot jih imenuje prijavitelj, torej zaposlenih pri upravljavcu, ki so obdelovali njegove osebne podatke;
b. informacije o času obdelave prijaviteljevih osebnih podatkov;
c. vseh podeljenih pooblastil s strani predstojnika, da so osebe, ki so navedene v lastnostih dokumenta, v času obdelave imele veljavna pooblastila za obdelavo posebno občutljivih osebnih podatkov iz kadrovskega področja.
13. V zvezi s pritožbeno omembo »celovitih revizijskih sledi« IP ugotavlja, da je prijavitelj v zahtevi sicer omenil »revizijske sledi«, vendar je njihovo vsebino eksplicitno vezal na podatek avtorjih dokumentov (torej na identiteto obdelovalcev) ter na časovno komponento obdelave (zahteva, naj bodo vidne »časovne obdelave, ki jih zapis lastnosti omogoča«). Celovitih revizijskih sledi, v kolikor bi te zajemale še kakšne druge informacije o obdelavi razen identiteto in čas obdelave, prijavitelj ni zahteval v svoji vlogi z dne 30. 1. 2023.
14. IP nadalje ugotavlja, da je prosilec zahteval informacije o obdelavi iz t.i. lastnosti wordovih dokumentov, vendar je treba pri tem ugotoviti, da po Splošni uredbi ne obstaja konkretna pravica ali možnost usmerjanja, od kod naj upravljavci črpajo informacije o obdelavi osebnih podatkov posameznikov (iz poštne knjige, dnevnika obdelav, revizijskih sledi, dokumentacijskega sistema, politike zasebnosti oziroma informacij o obdelavi po 13. in 14. členu). Konkretno torej prosilec nima pravice zahtevati informacij iz lastnosti wordovih dokumentov, zahteva lahko samo določene, s Splošno uredbo opredeljene informacije o obdelavi njegovih osebnih podatkov, upravljavec pa mora informacije zagotoviti v jedrnati, pregledni, razumljivi in lahko dostopni obliki ter jasnem in preprostem jeziku. Noben »vir« informacij ni vnaprej izključen iz obsega pravice do informacij, prav tako pa ni mogoče izbirati »vira« informacij.
15. Posameznik nima varovane pravice do informacij iz lastnosti wordovih dokumentov med drugim tudi zato, ker ni izkazano, da bi šlo pri tem za relevantne informacije, ki bi jih upravljavec sploh zbiral ali bil dolžan zbirati, ampak gre za nabor arbitrarnih in nezanesljivih informacij, ki se lahko ob vsakem posredovanju wordovega dokumenta enostavno spremenijo ali pobrišejo. Upravljavec lahko v svoji praksi denimo uporablja t.i. vzorčne dokumente, ko je avtor vzorca dokumenta eden od zaposlenih (ali celo bivših zaposlenih), dokument pa je nato kot vzorec prevzel in začel uporabljati pri svojem delu drugi zaposleni, čigar ime se morda sploh ne zapiše med lastnosti dokumenta. Skratka, podatki iz lastnosti wordovih dokumentov že na prvi pogled niso verodostojne informacije o obdelavi osebnih podatkov, katerih posredovanje predvideva Splošna uredba.
16. Ker pa mora upravljavec v skladu z drugim odstavkom 12. člena Splošne uredbe olajšati uresničevanje pravic posameznika iz členov 15 do 22, ne bi bilo pravilno zavrniti posredovanja informacij osebnih podatkov zgolj zato, ker je posameznik presegel svoja upravičenja s tem, da je navedel vir, iz katerega naj upravljavec črpa informacije o obdelavi osebnih podatkov. Takšna zavrnitev zahteve prijavitelja ne bi bila korektna tudi zato, ker prijavitelj na enem mestu omenja lastnosti wordovih dokumentov, na drugem mestu pa se sklicuje na dnevnik obdelave, omenja tudi revizijske sledi itd. Torej ni nujno, da prosilec dejansko opredeljuje vir informacij kot obvezen del svoje zahteve, ampak kaže na to, da želi pridi do informacij samih.
17. IP zato meni, da bi bilo treba informacije o notranjih uporabnikih osebnih podatkov ter času obdelave gledati širše, ne zgolj skozi prizmo lastnosti wordovih dokumentov, temveč glede na vse informacije o obdelavi osebnih podatkov, od koder koli bi jih upravljavec lahko črpal.
18. IP na tem mestu zgolj navaja (kar sicer ni relevantno za samo vsebinsko presojo v konkretnem primeru), da podatkov iz kadrovskih evidenc večinoma ne opredeljujemo kot posebno občutljive podatke v smislu Splošne uredbe, razen kadar bi vsebovale zdravstvene in podobne podatke posameznika.
IV. Vprašanje kršitve varstva osebnih podatkov
19. IP ugotavlja, da upravljavec ni v zadostni meri obrazložil in konkretiziral zavrnitve pravice do informacij o obdelavi osebnih podatkov, s čimer je kršil četrti odstavek 12. člena Splošne uredbe ter pravico posameznika do učinkovitega pravnega sredstva.
20. Glede zahteve po informaciji o identiteti zaposlenih, ki so obdelovali osebne podatke prijavitelja, se je upravljavec sicer skliceval na interpretacijo iz objavljenega mnenja IP št. 0712-1/2019/861 ter okoliščino, da ne gre za pravico po prvem odstavku 15. člena Splošne uredbe. Vendar je treba pri tem upoštevati, da je Sodišče EU v nedavni sodbi št. C‑579/21 z dne 22. 6. 2023 (podrobneje analizirana kasneje v tej odločbi) začrtalo nekaj smernic v zvezi s pravico do informacij o uporabnikih osebnih podatkov, ki dopolnjujejo in krepijo dosedanjo ustaljeno prakso IP. Iz omenjene sodbe Sodišča EU namreč izhaja, da posameznik načeloma res ni upravičen do informacij o notranjih uporabnikih, če so ti izvedli dejanja obdelave pod vodstvom upravljavca in v skladu z njegovimi navodili, torej v imenu in za račun upravljavca. Kot izhaja tudi iz sklepnih predlogov Generalnega pravobranilca z dne 15. 12. 2022 v tej zadevi je pri tem bistveno vprašanje, ali so zaposleni obdelovali osebne podatke v imenu in za račun upravljavca (in so bili torej zares "notranji" uporabniki), ali pa so morebiti kršili postopke, ki jih je določil upravljavec, in na lastno pobudo nezakonito dostopali do osebnih podatkov posameznika (in so bili morebiti "zunanji" uporabniki). Prosilec v konkretnem primeru podaja navedbe v smeri izpodbijanja zakonitosti obdelave osebnih podatkov in preseganja pooblastil delodajalca za obdelavo osebnih podatkov, zato je vprašanje razmejitve med notranjimi in zunanjimi uporabniki (torej delovanje po navodilih ali s prekoračitvijo navodil delodajalca), v konkretnem primeru še posebej relevantno. IP ugotavlja, da odločba upravljavca v tem delu ni dovolj obrazložena, saj se upravljavec ni opredelil do tega, ali gre dejansko za t.i. "notranje" uporabnike (niti iz izpodbijane odločbe ne izhaja, da bi takšno dejansko stanje tudi preverjal), ki so delovali v imenu in za račun upravljavca in torej niso presegli navodil svojega delodajalca glede obdelave osebnih podatkov. Kategorična in pavšalna zavrnitev pravice do informacije o uporabnikih osebnih podatkov torej ne zadosti standardu obrazloženosti. To velja kljub temu, da zakonodaja načeloma res ne dovoljuje dostopa do informacij o "notranjih" uporabnikih, saj je treba ugotoviti in obrazložiti, da gre pri zahtevanih informacijah res za notranje uporabnike.
21. Glede zahteve po informaciji o času obdelave osebnih podatkov IP ugotavlja, da upravljavec v obrazložitvi izpodbijane odločbe sploh ni navedel nobenih razlogov za zavrnitev tega dela zahteve. Na določenih mestih upravljavec omenja, da prijavitelj ni zahteval informacij, ki bi bile zajete v eni izmed taksativno opredeljenih točk prvega odstavka 15. člena Splošne uredbe, vendar besedna analiza upravljavčeve obrazložitve pokaže, da se pri tem vsakič naslanja na informacijo o identiteti uporabnika oz. obdelovalca osebnih podatkov in ne na informacijo o času obdelave.
22. Glede zahteve po posredovanju vseh podeljenih pooblastil IP ugotavlja, da je upravljavec ta del zahteve v izreku odločbe zavrnil, vendar obrazložitev na nobenem mestu ne sledi tej odločitvi in jo utemelji. Upravljavec se tako do zavrnitve v tem delu sploh ni opredelil, zato IP ugotavlja, da izpodbijana odločba v tem delu ostaja popolnoma neobrazložena. Prijavitelju tako ne morejo biti znani razlogi za zavrnitev, saj so ti neobstoječi. Navedbe upravljavca o tem, da posameznik ni zahteval taksativno opredeljenih pravic iz 15. člena Splošne uredbe, se v nobenem smislu ne nanašajo na posredovanje vseh podeljenih pooblastil. Upravljavec se tako ni opredelil ne do vprašanja obsega pravice posameznika v zvezi s posredovanjem podeljenih pooblastil ne do morebitnih razlogov za zavrnitev posredovanja (če bi do te faze sploh prišlo).
23. Iz pravice do pravnega sredstva po 25. členu Ustave Republike Slovenije (Uradni list RS, št. 33/91-I, s spremembami in dopolnitvami) izhaja, da lahko stranka pravico do pritožbe učinkovito uresniči le v primeru, če ji je omogočeno, da ugotovi razloge, na katerih temelji prvostopenjska odločitev. Standard ustrezne obrazloženosti predstavlja tisto stopnjo podrobnosti, s katero mora biti obrazložena odločba v konkretnem primeru, da omogoča učinkovito pravno sredstvo. Tudi po ustaljeni praksi Ustavnega sodišča je pravica do učinkovitega pravnega sredstva zagotovljena le, če je pravni akt, ki se izpodbija, obrazložen tako, da lahko pritožnik izpodbija vsebinske razloge odločitve. Iz ZUP nadalje izhaja, da mora biti odločba obrazložena, v nasprotnem primeru se odločbe ne da preizkusiti, kar predstavlja bistveno kršitev pravil postopka (7. točka drugega odstavka 237. člena ZUP v zvezi s prvim odstavkom 214. člena ZUP).
24. Iz četrtega odstavka 12. člena Splošne uredbe v povezavi s prvim odstavkom 15. člena Splošne uredbe izhaja, da mora upravljavec v primeru zavrnitve posredovanja osebnih podatkov ali informacij o obdelavi posameznika obvestiti o »razlogih za neukrepanje«. Učinkovita pravica do pritožbe pri nadzornem organu in možnosti uveljavljanja pravnih sredstev (kot so opredeljene v členih od 77. do 79. člena Splošne uredbe) je torej kršena, če posameznik ni ustrezno podučen o razlogih za neukrepanje, konkretno razlogih za zavrnitev.
25. Kot povzetek IP torej ugotavlja, da je upravljavec kršil 15. člen Splošne uredbe, saj prijavitelja ni ustrezno seznanil z razlogi za odločitev glede nobenega dela njegove zahteve. Zaradi neobrazložitve odločbe je bila namreč kršena prijaviteljeva pravica do učinkovitega pravnega sredstva, posledično pa tudi do varstva osebnih podatkov.
V. Ukrepi, ki se odredijo upravljavcu
i. Ukrep glede obdelave osebnih podatkov
26. IP je torej ugotovil, da upravljavec ni ustrezno obrazložil svoje odločbe, zato je IP s to odločbo (2. točka izreka) odredil, da upravljavec ponovi svoj postopek na prvi stopnji in odpravi navedeno kršitev (neobrazloženost odločbe) v roku 30 (tridesetih) dni od vročitve te odločbe, ter o svoji novi odločitvi obvesti IP v istem roku. IP v nadaljevanju te odločbe podaja določene materialnopravne usmeritve za upravljavca, ki jih bo moral pri tem upoštevati.
ii. Materialnopravne usmeritve
27. V nadaljevanju IP navaja nekatere materialnopravne usmeritve za odločanje, ki naj jih upravljavec upošteva v postopku ponovnega odločanja o prijaviteljevi zahtevi.
a) Informacija o tem, kdo znotraj upravljavca je obdeloval osebne podatke
28. Informacijski pooblaščenec potrjuje presojo upravljavca, ki izhaja iz prakse IP in je zapisana tudi v javno dostopnih mnenjih IP, namreč da posameznik načeloma ni upravičen do podatka o osebah, zaposlenih pri upravljavcu, ki so obdelovale njegove osebne podatke (gl. mnenje št. 0712-724/2008/2, 0712-1/2014/2773, 0712-1/2014/3051, tudi citirano mnenje s strani upravljavca št. 0712-1/2019/861).
29. Pravica iz točke (c) prvega odstavka 15. člena torej zajema informacijo o uporabnikih ali kategorijah uporabnikov, ki so jim bili ali jim bodo razkriti osebni podatki, kar pa po praksi in interpretaciji te pravice zajema t.i. zunanje uporabnike, ki so ločene entitete od upravljavca, in ne notranjih uporabnikov, ki delujejo v imenu in za račun uporabnika.
30. K tej interpretaciji moramo dodati še odločitev Sodišča EU v nedavni zadevi št. C-579/21, v kateri je zapisalo, da pravica po prvem odstavku 15. člena Splošne uredbe ne zajema pravice v zvezi z informacijami o identiteti zaposlenih navedenega upravljavca, ki so izvedli ta dejanja pod njegovim vodstvom in v skladu z njegovimi navodili, razen če so te informacije nujne za to, da se posamezniku, na katerega se nanašajo osebni podatki, omogoči učinkovito uveljavljanje pravic, ki so mu podeljene s to uredbo, in se upoštevajo pravice in svoboščine teh zaposlenih.
31. Generalni pravobranilec Sodišča EU je v svojih sklepnih predlogih z dne 15. 12. 2022 v zadevi C-579/21 tudi poudaril, da je situacija lahko drugačna, kadar "zaposleni ne upošteva postopkov, ki jih je določil upravljavec, in na lastno pobudo nezakonito dostopa do podatkov strank ali drugih zaposlenih. V takem primeru nelojalni zaposleni ne bi deloval za račun in v imenu upravljavca" in bi se sam lahko štel za upravljavca oziroma v tem smislu uporabnika, katerega identiteto bi bilo posledično mogoče / treba razkriti.
32. Če bi torej upravljavec zaznal, po ustrezno ugotovljenem dejanskem stanju, da zaposleni niso delovali za račun in v imenu upravljavca, bi takšni zaposleni pridobili »status« zunanjega in ne več notranjega uporabnika.
33. Upravljavec bo moral v ponovnem odločanju torej ugotoviti (kljub temu, da takšen postopek ugotavljanja dejanskega stanja morda ne bo ne kompleksen ne dolg) in se do tega opredeliti, ali so zaposleni, ki so obdelovali osebne podatke, dejansko "notranji" uporabniki ali pa niso morda osebnih podatkov obdelovali izven navodil upravljavca in potencialno postali "zunanji" uporabniki. Če bo upravljavec zavrnil zahtevek, bo moral upravljavec navedeno ustrezno obrazložiti, da odločba ne bo ostala neobrazložena in se bo prijavitelj seznanil z razlogi za (morebitno) zavrnitev njegove pravice.
b) Informacija o tem, kdaj je upravljavec obdeloval osebne podatke
34. Pravica do informacij o obdelavi osebnih podatkov ne zajema informacije o času obdelave, saj ni eksplicitno navedena med informacijami, ki jih mora upravljavec po taksativnem seznamu informacij zagotoviti posamezniku v skladu s prvim odstavkom 15. člena Splošne uredbe.
35. Informacijo o obdobju obdelave običajno sicer štejemo kot bistveni element informacij o obdelavi osebnih podatkov, kadar je potrebna za razumevanje same obdelave osebnih podatkov oziroma drugih informacij, ki jih omogoča prvi odstavek 15. člena Splošne uredbe, posebej namena obdelave osebnih podatkov. Pri tem je treba izhajati še iz naslednjega stavka uvodne določbe 63 Splošne uredbe, in sicer, da bi moral »vsak posameznik, na katerega se nanašajo osebni podatki, imeti pravico do seznanitve s sporočilom in njegove pridobitve, zlasti o namenih obdelave osebnih podatkov, po možnosti o obdobju, za katerega so osebni podatki obdelani (…)«. Opredelitev (specifikacija) obdelave osebnih podatkov po datumu obdelave je neločljivo povezana s podajanjem ostalih informacij o obdelavi osebnih podatkov, do katerih bi bil posameznik v konkretnem primeru upravičen. Takšno stališče je potrdilo tudi Sodišče EU v sodbi št. C-579/21, v kateri je odločilo, da je treba glede vpogledov v osebne podatke posameznika šteti, da sodijo datumi in nameni vpogledov v osebne podatke med informacije, ki jih ima posameznik pravico prejeti od upravljavca (citirana sodba SEU, odst. 83).
36. Vendar pa je treba pri tem upoštevati, da pravica do informacije o času obdelave ni "samostojna pravica" v okviru prvega odstavka 15. člena Splošne uredbe, temveč je pridružena pravica, ki služi razumevanju drugih informacij o obdelavi osebnih podatkov, posebej informaciji o namenu obdelave. V vsakem posameznem primeru je torej treba ugotoviti, ali posameznik zahteva informacijo o času obdelave kot samostojno pravico (do česar ni upravičen) ali kot pridruženo informacijo, bistveno za razumevanje nekaterih drugih informacij, ki jih omogoča prvi odstavek 15. člena Splošne uredbe.
37. V postopku ponovnega odločanja se bo moral upravljavec do zgoraj navedenih materialnopravnih premislekov ustrezno opredeliti, saj izpodbijana odločba ne vsebuje nikakršnih razlogov za zavrnitev zahteve prosilca v delu, ki se nanaša na čas obdelave.
c) Pooblastila za obdelavo osebnih podatkov
38. Glede na to, da prijavitelj glede zahtevanih pooblastil že na prvi pogled ne zahteva nobene izmed informacij iz prvega odstavka 15. člena Splošne uredbe, niti ne za njihovo razumevanje nujno potrebnih in neločljivo povezanih informacij, IP na tem mestu zgolj navaja, da prijavitelj do pooblastil v okviru pravice do dostopa do lastnih osebnih podatkov in informacij o obdelavi osebnih podatkov materialnopravno ne bo upravičen.
39. V vsakem primeru pa bo moral upravljavec (morebitno) zavrnitev zahteve prosilca v tem delu ustrezno in konkretno obrazložiti, kot je IP že navedel in podrobno utemeljil zgoraj. Upravljavca nič ne zadržuje, da ne bi s prijaviteljem razčistil, ali omenjena pooblastila zahteva na kakšni drugi pravni podlagi in ga po potrebi ustrezno pozval na dopolnitev njegove vloge (na primer če prijavitelj uveljavlja svoj pravni interes po procesni zakonodaji itd.).
VI. Odločitev IP o pritožbi in stroški postopka
40. IP je glede na vse navedeno odločil, kot sledi iz izreka te odločbe, in sicer je:
- v 1. točki izreka v skladu s 1. točko prvega odstavka 34. člena ZVOP-2 ugotovil kršitev obdelave osebnih podatkov prijavitelja, saj je upravljavec z odločbo … zavrnil zahtevo za dostop do informacij o obdelavi osebnih podatkov z neobrazloženo odločitvijo;
- v 2. točki izreka v skladu z 2. točko prvega odstavka 34. člena ZVOP-2 odredil predviden ukrep za odpravo kršitve, pri čemer bo moral upravljavec najprej ugotoviti dejansko stanje in po tako izvedenem postopku ob upoštevanju materialnopravnih napotkov IP v tej odločbi v roku enega meseca ponovno odločiti o zahtevi prosilca in o tem v istem roku obvestiti IP;
- v 3. točki izreka v skladu z 3. točko prvega odstavka 34. člena ZVOP-2 odločil o dovoljenem obsegu pregleda spisa zadeve, in sicer prijavitelju ni določil omejitev glede pregledovanja spisa zadeve, ki se vodi pod št. 07100-6/2023.
41. Posebni stroški v tem nadzornem postopku niso nastali (4. točka izreka odločbe). Prijavitelj in upravljavec nosita svoje stroške, ki so jima morebiti nastali zaradi postopka (drugi odstavek 30. člena ZVOP-2).
Ta odločba je v skladu z določbami Zakona o upravnih taksah (ZUT) oproščena plačila upravne takse.
Pouk o pravnem sredstvu:
Zoper to odločbo ni dovoljena pritožba, pač pa je dopustna tožba, ki se vloži v 30 dneh po prejemu te odločbe na Upravno sodišče v Ljubljani, Fajfarjeva 33, Ljubljana, pisno neposredno pri navedenem sodišču ali priporočeno po pošti ali ustno na zapisnik. Če je tožba poslana priporočeno po pošti, se šteje, da je prispela pravočasno, če je bila oddana na pošto zadnji dan roka za vložitev tožbe. Tožba z morebitnimi prilogami se vloži najmanj v treh izvodih. Tožbi je treba priložiti tudi to odločbo v izvirniku ali prepisu ter plačati sodno takso.
…
državna nadzornica za varstvo osebnih podatkov
Vročiti:
- … (osebno po ZUP);
- … (osebno po ZUP).
