Številka: 07101-4/2023/11
Datum: 20. 11. 2023
Informacijski pooblaščenec po nadzorni osebi (v nadaljevanju IP), na podlagi 77. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (v nadaljevanju Splošna uredba o varstvu podatkov) in 30. do 34. člena ter 2. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju ZVOP-2), ter 27. člena Zakona o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (Uradni list RS, št. 177/20; v nadaljevanju ZVOPOKD), o prijavi prijaviteljice: ……., z dne 24. 2. 2023 zoper odločbo upravljavca: MNZ, Policija, Štefanova ul. 2, 1501 Ljubljana št. ……., z dne 20. 2. 2023, v zadevi seznanitve z lastnimi osebnimi podatki izdaja naslednjo
ODLOČBO:
1. Ugotovi se, da je upravljavec MNZ, Policija, Štefanova ul. 2, 1501 Ljubljana glede zahteve, z dne 17. 1. 2023 prijaviteljice ……., kršil prvi odstavek 15. člena Splošne uredbe in drugi odstavek 24. člena ZVOPOKD, in sicer glede seznanitve z informacijami o namenih in časih (datum in ura) obdelav iz dnevnika obdelav (za čas od 1. 1. 2021 do 20. 2. 2023), o katerih je upravljavec odločil v 7. točki odločbe št. ……, z dne 20. 2. 2023.
2. Upravljavcu se naloži, da najkasneje v 20 dneh ponovno odloči o zahtevi prijaviteljice v skladu z 18. do 25. členom ZVOPOKD, 12. ter 15. členom Splošne uredbe ter 14. ter 15. členom ZVOP-2 tako:
- da v zvezi z dnevnikom obdelav za čas od 1. 1. 2021 do 20. 2. 2023 popolnoma ugotovi dejansko stanje, kar pomeni, da predhodno ugotovi konkretne namene obdelav osebnih podatkov, in da presodi, ali so za posamezne obdelave (vrstice) in podatke ter informacije o namenih podani razlogi za omejitev pravice do seznanitve po ZVOPOKD, ZNPPol in drugih zakonih, in
- da glede na ugotovitve iz prejšnje alineje prijaviteljici posreduje izpis dnevnika obdelav za čas od 1. 1. 2021 do 20. 2. 2023 s podatki o datumih obdelav (prvi stolpec), časih obdelav (drugi stolpec), podatkih (zadnji stolpec) in dodatno informacije o konkretnih namenih posameznih obdelav, in sicer za vseh 23 vrstic, razen če so podani razlogi za omejitev pravice do seznanitve po ZVOPOKD, ZNPPol in drugih zakonih.
3. Ugotovi se, da glede preostalega dela zahteve in prijave prijaviteljice, vključno glede podatkov o identiteti notranjih uporabnikov, upravljavec ni kršil 15. člena Splošne uredbe in drugega odstavka 24. člena ZVOPOKD.
4. Prijaviteljici se vnaprej odobri pregledovanje upravne zadeve št. 07101-4/2023 pri IP, in sicer v vse dokumente, razen dnevnika obdelav. Po pravnomočni odločitvi upravljavca v ponovljenem postopku pa je obseg dovoljenega pregledovanja upravne zadeve odvisen od vsebine odločitve upravljavca.
5. Posebni stroški IP niso nastali. Prijaviteljica in upravljavec nosita svoje stroške postopka.
Obrazložitev:
1. Postopek in dejansko stanje
Prijaviteljica je dne 17. 1. 2023, s sklicevanjem na Splošno uredbo, pri upravljavcu vložila zahtevo za seznanitev z lastnimi osebnimi podatki, in sicer je zahtevala kopijo osebnih podatkov ter informacije o obdelavi osebnih podatkov od (a) do (d) točke ter (g) in (h) točke prvega odstavka 15. člena Splošne uredbe. Pri tem je pojasnila, da želi izpis vseh osebnih podatkov, ki se zbirajo o njej od leta 2015 dalje; prav tako želi izpis vpogledov v njene osebne podatke, namen vpogledov, datume vpogledov ter identifikacijo oseb, ki so izvajale vpoglede.
Upravljavec je na podlagi zahteve prijaviteljice dne 20. 2. 2023 izdal odločbo št. …., s katero je na podlagi Splošne uredbe in ZVOPOKD, prijaviteljici posredoval vse zahtevane informacije (1. do 6. točka in 8. točka izreka), v obliki izpisa pa ji je posredoval izpis podatkov v evidenci kaznivih dejanj, evidenci prekrškov, evidenci fotografiranih oseb, evidenci daktiloskopiranih oseb in evidenci preiskav DNK. Le v 7. točki izreka odločbe je zavrnil zahtevo prijaviteljice za dostop do podatkov o notranji obdelavi osebnih podatkov (podatki o notranji sledljivosti ali podatki iz dnevnika obdelav). Glede zavrnitve je upravljavec pojasnil, da se zahtevani podatki vodijo za izkazovanje zakonitosti obdelav in za izvajanje notranjega nadzora, izvajanje nadzorov s strani IP in drugih organov, za zagotavljanje celovitosti in varnosti osebnih podatkov, za odpravljanje napak v delovanju informacijskega sistema in za potrebe predkazenskih in kazenskih postopkov (tretji odstavek 22. lena ZVOP-2 in 47. člen ZVOPOKD). Pojasnil je, da posameznik do teh podatkov ni upravičen, kar na primer izhaja iz mnenj IP št. 0712-1/2014/2773, št. 0712-1/2014/3051 in št. 0710-92/2018/4; če posameznik sumi na nezakonito obdelavo osebnih podatkov, lahko sporoči sum kršitve pri IP ali v notranje varnostnem postopku.
Dne 24. 2. 2023 je prijaviteljica pri IP vložila prijavo zoper zavrnilni del odločbe. V prijavi je prijaviteljica navedla, da vztraja pri pridobitvi informacij o namenih in časih obdelav v dnevniku obdelave ter pri identiteti notranjih uporabnikov. Prijavo je IP posredoval upravljavcu, da se do nje opredeli ter ga zaprosil za pojasnilo glede vodenja dnevnika obdelav.
IP je dne 26. 5. 2023 prejel odgovor upravljavca s podrobnimi pojasnili glede vodenja dnevnika obdelave. Na dodatno zaprosilo je IP, dne 8. 6. 2023, prejel še izpis dnevnika sledljivosti za zbirke iz 1. točke izreka izpodbijane odločbe.
Prijaviteljica je dne 15. 9. 2023 sporočila, da kljub pozivom IP, od upravljavca ni prejela informacij oziroma odgovora.
IP je, skladno z drugim odstavkom 32. člena ZVOP-2, dne 24. 10. 2023 prijaviteljici in upravljavcu posredoval zapis ugotovitev ter ju pozval, da se do predhodnih ugotovitev opredelita. Prijaviteljica in upravljavec se v roku 8 dni (vročitev je bila opravljena 27. 10. 2023 in 10. 11. 2023) nista odzvala na prejeti zapis ugotovitev.
2. Pristojnost IP ter predmet in meje nadzornega postopka
Prvi odstavek 30. člena ZVOP-2 določa, da lahko posameznik, ki meni, da obdelava njegovih osebnih podatkov s strani upravljavca krši določbe Splošne uredbe, ZVOP-2 ali drugih zakonov, ki urejajo varstvo osebnih podatkov (prijavitelj s posebnim položajem), pri nadzornem organu vloži zahtevo, s katero zahteva nadzor zakonitosti obdelave svojih osebnih podatkov (prijava), lahko pa v njej predlaga tudi potrebno ukrepanje v primeru ugotovljenih kršitev, tako da se doseže vzpostavitev zakonitega stanja. Možna kršitev Splošne uredbe je tudi kršitev pravice do dostopa do lastnih osebnih podatkov kot jo opredeljuje prvi odstavek 15. člena Splošne uredbe. IP kot nadzorni organ po izvedenem postopku nadzora skladno s prvim odstavkom 34. člena ZVOP-2 izda odločbo.
Pritožbeni postopek je v ZVOPOKD predviden za osebne podatke, ki spadajo pod prvi odstavek 1. člena ZVOPOKD. Ta določa, da ZVOPOKD »ureja varstvo pri obdelavi osebnih podatkov, ki jih policija, državna tožilstva, Uprava Republike Slovenije za probacijo, Uprava Republike Slovenije za izvrševanje kazenskih sankcij in drugi državni organi Republike Slovenije, ki so zakonsko določeni kot pristojni za področja preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, obdelujejo za namene izvrševanja teh pristojnosti«. V prvem odstavku 27. člena ZVOPOKD je določeno, da o pritožbi posameznika, na katerega se nanašajo osebni podatki, zoper odločitev pristojnega organa odloča nadzorni organ kot organ druge stopnje.
IP v tem nadzornem postopku ugotavljal, ali so za seznanitev z izpisom dnevnika obdelav oziroma sledljivosti, ki ga je upravljavec predložil dne 8. 6. 2023, izpolnjeni pogoji za seznanitev in v kakšnem obsegu, torej glede katerih posameznih zapisov. V preostalem delu zahteve upravljavec namreč ni kršil pravice do seznanitve z lastnimi osebnimi podatki, saj je prijaviteljici posredoval vse zahtevane informacije o obdelavi prijaviteljevih osebnih podatkov. Poleg tega se prijava ne nanaša na preostali del zahteve oziroma se ne nanaša na točke 1 do 6 ter 8 izreka odločbe upravljavca. IP je v okviru obravnave prijave zoper 7. točko izreka odločbe presojal tudi vprašanje upravičenosti do osebnih imen in EMŠO notranjih uporabnikov, ker prijaviteljica tekom nadzornega postopka ni zožila zahtevka.
Upravljavec se v odločbi sklicuje na Splošno uredbo in ZVOPOKD kot materialnopravni podlagi za odločitev. Izpis dnevnika sledljivosti naj bi se nanašal na zbirke podatkov s področja kaznivih dejanj, prekrškov, fotografiranih oseb, daktiloskopiranih oseb ter preiskav DNK, pri čemer upravljavec pojasnjuje, da se izpis ne nanaša le na obdelave v zvezi s kaznivimi dejanji temveč tudi na obdelave, ki ne zapadejo pod ZVOPOKD. Zato je tudi IP o prijavi prijaviteljice odločil na obeh pravnih podlagah ter v enotnem »nadzornem postopku na podlagi prijave prijavitelja s posebnim položajem« po 30. do 34. členu ZVOP-2. Ta nadzorni postopek konzumira oziroma vključuje tudi pritožbeni postopek po 27. členu ZVOPOKD: - ker nadzorni postopek udeležencem postopka daje še več procesnih pravic, - ker se v tem nadzornem postopku prav tako uporabljajo določbe ZUP, - ker je enotna obravnava v skladu z načelom ekonomičnosti in načelom varstva pravic strank, pri čemer ne pride do okrnitve pravice do pritožbe, - ker nenazadnje tudi ZVOPOKD v 33. členu pozna nadzorni postopek na podlagi prijave prijavitelja s posebnim položajem.
Obravnavani izpis iz dnevnika obdelav za čas od 1. 1. 2021 do 20. 2. 2023 ima 23 vrstic z naslednjimi rubrikami: datum in čas, adresa terminala/ip, aplikacija/vozlišče, skupina, EMŠO uporabnika, priimek uporabnika, ime uporabnika, 1 funkcija, 1 področje, 1 st. zadeve/dokum., 2 funkcija, 2 področje, 2 st. zadeve/dokum., cr osebe, priimek osebe, ime osebe, parametri uporabnika, podatki.
3. Ugotovitve v nadzornem postopku
1. V skladu z (a) točko prvega odstavka 15. člena Splošne uredbe je upravljavec posamezniku dolžan zagotoviti informacije o namenih obdelave njegovih osebnih podatkov. To ne pomeni le generalizirane informacije o splošnem namenu obdelave vseh osebnih podatkov ali posameznih skupin podatkov oziroma zbirk podatkov, temveč pomeni tudi konkretne informacije po posameznih obdelavah za posamezne podatke (zgolj informativno na primer »za reševanje zadeve št. (…)«, »za posredovanje podatkov uporabniku (…)«, »popravek podatka zaradi ugotovljene napake«, »za uporabo v internem pritožbenem postopku«, »za izvedbo internih kontrol«, »za preverjanje zatrjevanih dejstev/izpolnjevanja pogojev«). Pri tem ni važno, kje in koliko mestih ter v kakšni obliki se te informacije pri upravljavcu nahajajo, in tudi ni važno, ali se je treba do njih dokopati na podlagi notranje »analize« in »sinteze« obstoječih podatkov torej nekega širšega poizvedovanja (npr. kombiniranje več (delnih) zapisov, pridobivanje izjav zaposlenih, preverjanje vsebine obdelav glede na vrsto zadeve ali naloge, preverjanje rezultatov obdelav ipd.). Splošna uredba od upravljavca zahteva zagotovitev informacij o namenih, ne ukvarja pa se s tem, kako naj jih upravljavec zagotovi in koliko truda mora pri tem vložiti. Če želi upravljavec izkazati zakonitost obdelave osebnih podatkov, mora sam pri sebi vedeti, za katere namene je obdeloval posamezne podatke pri točno določenih posameznih obdelavah, ter te informacije zagotoviti tudi posamezniku. To pomeni, da mora te informacije pri sebi najti ali jih z objektivno izvedljivim poizvedovanjem ustvariti na podlagi razpoložljivih virov informacij, če je dnevnik obdelave tak, da sam ne razkriva konkretnih namenov.
IP ugotavlja, da predmetni izpis dnevnika obdelav ne vsebuje konkretnih namenov obdelave osebnih podatkov, pač pa je na namene obdelave možno delno in posredno sklepati zlasti na podlagi rubrik »podatki«, »zadeva/dokument« in »področje«, vendar ne brez ustrezne interpretacije s strani upravljavca. Informacije bi bilo treba o konkretnih namenih pridobiti s pomočjo dodatnih informacij izven dnevnika obdelav ali/in ustno od zaposlenih na podlagi izbranih obdelav. To pomeni, da zahtevane informacije o konkretnih namenih še ne obstajajo v dokumentirani obliki oziroma, da še ni izpolnjen pogoj materializirane oblike. Vendar to ne pomeni, da nameni niso znani, da jih ni ali da jih ni možno pridobiti; le v tem primeru bi namreč lahko upravljavec zavrnil seznanitev z informacijo o konkretnih namenih. Upravljavec je za namen ugoditve zahtevi posameznika dolžan z notranjim poizvedovanjem ustvariti informacije o konkretnih namenih obdelave, saj ni nujno, da so ti določeni prav v dnevniku obdelave. Konkretne namene je namreč možno ugotoviti, ker so lahko izhajajo iz drugih dokumentov ali drugih virov.
2. Iz 114. točke Smernic Evropskega odbora za varstvo podatkov (2023) izhaja, da morajo biti informacije o namenih specifične. Ni dovolj našteti splošne namene brez jasnih pojasnil, kateri nameni so relevantni v konkretnem primeru. Če se obdelava izvaja za več namenov, mora upravljavec jasno pojasniti, kateri podatki se obdelujejo za kateri namen.
3. Iz 83. točke Sodbe Sodišča EU v zadevi št. C‑579/21 (2023) izhaja, da informacije v zvezi z dejanji vpogleda v osebne podatke posameznika, ki se nanašajo na datume in namene teh dejanj, pomenijo informacije, ki jih ima ta posameznik pravico dobiti od upravljavca na podlagi prvega odstavka 15. člena Splošne uredbe. Sodišče EU je v omenjeni sodbi navedlo tudi, da se v zvezi z dnevniškimi datotekami upravljavca lahko posredovanje kopije informacij iz teh datotek izkaže za nujno, da bi bila izpolnjena obveznost, da se posamezniku, na katerega se nanašajo osebni podatki, zagotovi dostop do vseh informacij iz 15. člena Splošne uredbe, in da se zagotovi poštena in pregledna obdelava, ki tako temu posamezniku omogoča, da v celoti uveljavlja pravice, ki jih ima na podlagi te uredbe. Sodišče je navedlo tudi, da dnevniki obdelav razkrivajo obstoj obdelave podatkov, kar je informacija, do katere mora imeti posameznik, na katerega se nanašajo osebni podatki, dostop na podlagi člena 15. člena Splošne uredbe; poleg tega je iz njih razvidna pogostost in intenzivnost dejanj vpogleda, ki tako posamezniku, na katerega se nanašajo osebni podatki, omogočajo, da se prepriča, ali je izvedena obdelava dejansko utemeljena z nameni, ki jih je navedel upravljavec.
Stališče IP je, da je datum in točen čas obdelave nujen za razumevanje informacij o namenu obdelave in za doseganje namenov pravice do seznanitve. Pravica do informacij o obdelavi osebnih podatkov ne vključuje izrecno informacije o času obdelave, vendar jo je treba šteti kot bistveni element informacij o obdelavi osebnih podatkov, odvisno od okoliščin posameznega primera in če prosilec to informacijo zahteva. IP ugotavlja, da je opredelitev (specifikacija) obdelave osebnih podatkov po času obdelave neločljivo povezana s podajanjem ostalih informacij o obdelavi osebnih podatkov, do katerih bi bil posameznik v konkretnem primeru upravičen. Iz uvodne določbe št. 63 Splošne uredbe izhaja, da če posameznik ne bi mogel pridobiti informacije o datumu obdelave, ne bi mogel izvrševati svoje pravice do informacij o obdelavi z namenom seznanitve z obdelavo in preverjanjem njene zakonitosti; vsak posameznik bi moral imeti pravico do seznanitve z nameni obdelave osebnih podatkov, po možnosti o obdobju, za katerega so osebni podatki obdelani.
4. Ostale rubrike konkretnega dnevnika obdelav ne zapadejo pod nobeno od informacij iz (a) do (h) točke prvega odstavka 15. člena Splošne uredbe ali drugega odstavka 24. člena ZVOPOKD in tudi niso osebni podatki prijaviteljice. Gre za podatke o podatkih (podatke, ki se nanašajo na siceršnje osebne podatke prijaviteljice) in ne za podatke, ki bi se neposredno nanašali na prijaviteljico kot osebo. Zato prijaviteljica do teh delov dnevnika obdelav ni upravičena, upravljavec pa glede teh ni bil v kršitvi. Izjema so lahko rubrike (na primer »zadeva/dokument« in »področje«), ki zaradi vsebine morebiti dopolnjujejo informacije o namenih obdelav, vendar bo te rubrike oziroma informacije moral upravljavec sam identificirati kot morebiten del informacij o namenih in jih posledično tudi razkriti prijaviteljici.
5. IP se strinja s stališčem upravljavca, da posameznik praviloma ni upravičen do celotnega dnevnika obdelav (odvisno od njegove konkretne vsebine, saj je glede tega med upravljavci precejšnja razlika) in da je namen vodenja dnevnika obdelav zlasti možnost interne in zunanje kontrole zakonitosti obdelav ter odpravljanje napak v informacijskem sistemu, ter da posameznik ne more izvajati tovrstne kontrole nad zakonitostjo obdelave osebnih podatkov. To stališče je res skladno z mnenji IP, ki jih primeroma našteva upravljavec (št. 0712-1/2014/2773, 0712-1/2014/3051 in 0710-92/2018/4), toda v teh mnenjih ni izrecno določeno, da posameznik ni upravičen do informacije o namenih ter datumih oziroma časih obdelav, ki se lahko nahajajo v dnevniku obdelav, pač pa se nanašajo na dnevnik obdelav generalno ter so osredotočena na nerazkritje identitete zaposlenih. Poleg tega je treba v konkretnem primeru upoštevati novejšo prakso, zlasti na temelju zgoraj omenjene sodbe Sodišča EU.
Zgornje stališče ne pomeni, da bodo posamezniku v vsakem primeru in vedno na voljo vsi podatki iz dnevnikov obdelav in tudi ne informacije, ki so v njih vsebovane. Pomeni le, da se podatki in informacije iz dnevnikov obdelav ne izključijo avtomatično iz dometa 15. člena Splošne uredbe, vseeno pa so podvržene presoji izjem in izključitev na podlagi utemeljenih razlogov (med drugim razlogov na strani preprečevanja in preiskovanja kaznivih dejanj in vseh drugih zakonsko utemeljenih razlogov).
6. Smiselno enako kot je navedeno v prejšnjih točkah ob naslonitvi na 15. člen Splošne uredbe, velja za informacije o času obdelave in namenih obdelave po 24. členu ZVOPOKD, saj je materialnopravna ureditev te pravice enaka kot po Splošni uredbi. Po drugem odstavku 24. člena ZVOPOKD ima posameznik, poleg pravice do kopije samih podatkov (njihove vsebine), pravico pridobiti konkretne informacije o namenih obdelave in njihovi pravni podlagi.
7. IP za odločitev o prijavi ni nujno potreboval konkretnih informacij o namenih posameznih obdelav iz predmetnega dnevnika obdelav:
- ker jih IP sploh ne more namesto upravljavca konkretno formulirati v končni odločbi; to lahko stori le upravljavec sam, saj konkretno besedilo namenov ni natančno določeno v Splošni uredbi ali v ZVOPOKD (oba predpisa govorita le o »namenih«); gre namreč za »prosto« ali »odprto« kategorijo informacij;
- ker jih IP, zaradi možnosti uveljavljanja pravnega varstva upravljavca, tudi ne sme navesti v končni odločbi;
- ker v konkretni zadevi ni sporno, ali so že sporočeni nameni resnični, ali obstajajo ter ali so ustrezni po vsebini, pač pa je sporno pravno vprašanje, ali je prijaviteljica do njih upravičena;
- ker se mora upravljavec v vsakem primeru dokopati do konkretnih namenov posameznih obdelav, razen če ugotovi, da jih nima (tudi v tem primeru mora prijaviteljici sporočiti informacijo o tem, da nima informacij o namenih oziroma, da so mu neznani).
Zato IP upravljavca ni pozival, da mu sporoči konkretne namene obdelav, pač pa bo IP s končno odločbo upravljavcu verjetno naložil njihovo iskanje, ugotavljanje in oblikovanje (formulacija ali ubeseditev) ter posredovanje teh informacij prijaviteljici. Zoper to upravljavčevo odločitev bo prijaviteljica imela možnost ločene prijave.
8. Ker prijaviteljica ni skrčila njene zahteve, se ta še vedno nanaša tudi na identiteto oseb, ki so znotraj upravljavca obdelovale njene osebne podatke po posameznih vrsticah dnevnika sledljivosti. V dnevniku sledljivosti so resda navedena osebna imena in EMŠO uslužbencev – notranjih uporabnikov, toda do teh prijaviteljica ni upravičena. Posameznik s sklicevanjem na 15. člena Splošne uredbe in na 24. člen ZVOPOKD praviloma ni upravičen do seznanitve z identiteto notranjih uporabnikov. Tako izhaja na primer iz mnenj IP št. 0712-1/2019/1828, št. 07121-1/2020/491 in št. 07121-1/2022/943 ter dosedanje pritožbene prakse. Uporabniki v smislu Splošne uredbe in ZVOPOKD so namreč le zunanji uporabniki ali »prejemniki« podatkov, torej fizične ali pravne osebe izven upravljavca (tj. od upravljavca statusno ločene osebe, ki ne spadajo v njegovo organizacijsko strukturo in oblast), ki so jim posredovani osebni podatki za neko drugotno uporabo podatkov. Osebnih podatkov se notranjim uporabnikom ne posreduje, temveč se jih le da na voljo za obdelavo v imenu upravljavca.
Pod pogoji iz sodbe Sodišča EU št. C‑579/21 (leto 2023) je posameznik izjemoma lahko upravičen tudi do identitete notranjih uporabnikov, »če so te informacije nujne za to, da se posamezniku, na katerega se nanašajo osebni podatki, omogoči učinkovito uveljavljanje pravic, ki so mu podeljene s to uredbo, in se upoštevajo pravice in svoboščine teh zaposlenih«. V konkretnem primeru ni videti očitnih razlogov za razkritje identitete notranjih uporabnikov v smislu omenjenega stališča sodišča:
- ker ni očitnih znakov, da bi šlo za nezakonito notranjo uporabo osebnih podatkov,
- ker obdelava osebnih podatkov, kot izhaja iz dnevnika, najverjetneje nima zveze z očitkom, ki ga ima prijaviteljica zoper upravljavca (tj. o tem, da jo policija že dlje časa spremlja),
- ker bo seznanitev z odobrenimi deli dnevnika najverjetneje zadoščala za učinkovito uveljavitev pravice do seznanitve,
- ker prijaviteljica ni konkretno zatrjevala drugih konkretnih pravic, ki bi neizogibno terjale seznanitev z identiteto notranjih uporabnikov.
4. Sklepno
Glede na zgornje ugotovitve je IP odločil tako kot izhaja iz 1., 2. in 3. točke izreka te odločbe, in sicer:
- je IP, zaradi delne zavrnitve zahteve za seznanitev, ugotovil delno kršitev 15. člena Splošne uredbe in 24. člena ZVOPOKD ter v zvezi s to upravljavcu naložil, da prijaviteljici, po predhodnem ugotovitvenem postopku, posreduje informacije iz dnevnika obdelav, do katerih je upravičena,
- je IP ugotovil, da v preostalem delu zahteve oziroma prijave upravljavec ni kršil predpisov s področja varstva osebnih podatkov glede pravice do seznanitve z lastnimi osebnimi podatki, kar vključuje tudi zahtevo v delu, ki se nanaša na podatke o identiteti notranjih uporabnikov.
V 3. točki prvega odstavka 34. člena ZVOP-2 je določeno, da odločba v postopku nadzora po določbah tega oddelka poleg sestavin, ki jih določa zakon, ki ureja splošni upravni postopek, vsebuje tudi dovoljen obseg pregleda spisa zadeve za prijavitelja s posebnim položajem. O tem je treba odločiti ne glede na zahtevo posameznika in za primer, če bi posameznik od IP morebiti zahteval pregled nadzornega oz. upravnega spisa na podlagi 82. člena ZUP. IP je glede tega v 4. točki izreka te odločbe odločil, da se prijavitelju dovoli pregled spisa nadzorne zadeve, ki se vodi pod št. 07101-4/2023, saj za pregled ni posebnih ovir; izjema je predmetni dnevnik obdelav, ki bo prijaviteljici lahko dostopen glede na vsebino pravnomočne odločitve upravljavca.
Po prvem odstavku 118. člena ZUP organ v odločbi odloči o stroških postopka. Organu posebni stroški v tem nadzornem postopku niso nastali; prijaviteljica in upravljavec sama nosita svoje stroške (5. točka izreka te odločbe). Ta odločba je v skladu z določbami Zakona o upravnih taksah (ZUT) oproščena plačila upravne takse.
Pouk o pravnem sredstvu:
Zoper to odločbo ni dovoljena pritožba, pač pa je dopustno sprožiti upravni spor. Upravni spor se sproži z vložitvijo tožbe pri Upravnem sodišču, Fajfarjeva 33, 1000 Ljubljana. Tožbo je treba vložiti v tridesetih dneh od vročitve te odločbe, pisno neposredno pri navedenem sodišču ali priporočeno po pošti ali ustno na zapisnik. Če je tožba poslana priporočeno po pošti, se šteje, da je prispela pravočasno, če je bila oddana na pošto zadnji dan roka za vložitev tožbe. Tožbi je treba poleg izvirnika, prepisa ali kopije te odločbe priložiti tudi po en prepis ali kopijo tožbe in prilog za toženca, če je kdo prizadet z odločbo, pa tudi zanj. Za tožbo se plača sodna taksa.
dr. Urban Brulc, univ. dipl. prav.,
državni nadzornik za varstvo osebnih podatkov
