TFL Vsebine / TFLGlasnik

1. UVOD

V skladu z evropsko in nacionalno ureditvijo varstva osebnih podatkov nadzor nad zakonodajo na tem področju izvaja neodvisen nadzorni organ, v Sloveniji Informacijski pooblaščenec (v nadaljevanju: IP).

Varstvo osebnih podatkov je temeljna človekova pravica. Njen ustavni okvir je določen v 38. členu Ustave Republike Slovenije. Splošno varstvo osebnih podatkov v EU-ju zagotavlja Splošna uredba o varstvu podatkov (2016; v nadaljevanju: GDPR).¹ Splošno varstvo osebnih podatkov v Sloveniji dopolnjuje Zakon o varstvu osebnih podatkov (2022, v nadaljevanju: ZVOP-2), v katerem so opredeljeni tudi postopki za uresničevanje pravic iz GDPR-ja. Oba pravna akta, GDPR in ZVOP-2, določata pristojnosti in pooblastila IP-ja, ki jih izvaja za zagotavljanje spoštovanja predpisov na področju varstva osebnih podatkov.

Pristojnosti in pooblastila IP izvaja v nadzornih, prekrškovnih in drugih upravnih postopkih. Nadzornih postopkov je lahko več vrst, vselej pa so namenjeni odpravi nepravilnosti in vzpostavitvi zakonitega stanja. Prekrškovni postopek je namenjen sankcioniranju kršitev (zadoščajo torej specialno in generalno preventivnemu cilju).

Nadzorni postopek se vodi kot upravni postopki in se lahko začne po uradni dolžnosti ali na zahtevo stranke. Po uradni dolžnosti IP vodi inšpekcijski postopek, ki ga izvaja v javnem interesu. Namenjen je obravnavanju sistemskih kršitev in zagotavljanju pravice do varstva osebnih podatkov, zlasti kadar je zaradi nezakonite obdelave osebnih podatkov prizadetih več posameznikov.

Nadzorni postopek zaradi kršitve GDPR-ja, ki se začne na zahtevo posameznika, na katerega se nanašajo osebni podatki, se z uveljavitvijo ZVOP-2 od leta 2023 izvaja v skladu z določbami, ki veljajo za prijavitelja s posebnim položajem in je novost. Postopek je namenjen zaščiti pravice posameznika, na katerega se osebni podatki nanašajo. V tem postopku IP ugotavlja obstoj kršitve, ki jo zatrjuje prijavitelj in je obstajala v trenutku vložitve prijave. Postopke, ki jih je IP vodil pred ZVOP-2 na zahtevo posameznika in s ciljem zaščite njegove pravice, so se nanašali izključno na uveljavljanje pravic v skladu s poglavjem III GDPR-ja (npr. pravica do seznanitve z lastnimi osebnimi podatki), potem ko je posameznik svoje pravice predhodno uveljavljal pri upravljavcu svojih osebnih podatkov.

Nadzorni postopki pred IP-jem so namenjeni odpravi aktualne (trajajoče) kršitve in vzpostavitvi zakonitega stanja. Zato IP v svoji odločbi ni pristojen za ugotavljanje preteklih kršitev (npr. nezakoniti vpogled). Pretekle kršitve lahko IP sankcionira v prekrškovnem postopku, posameznik, na katerega se nanašajo osebni podatki, pa ima možnost zahtevati ugotovitev pretekle kršitve s tožbo pred upravnim sodiščem (tretji odstavek 11. člena). To možnost bo prizadeti posameznik izkoristil zlasti, ko bo hkrati zahteval še odškodnino za povzročeno škodo.

Od postopka na zahtevo prijavitelja s posebnim položajem, ki ga IP vodi na zahtevo posameznika, da zaščiti njegove pravice, je treba ločevati poseben upravni postopek, ki ga IP začne na zahtevo upravljavca zoper zavrnitev za posredovanje osebnih podatkov iz uradnih evidenc od drugega upravljavca (od 39. do 41. člena ZVOP-2). Takih zadev IP ne obravnava po določbah, ki urejajo položaj prijavitelja s posebnim položajem, temveč v upravnem postopku na zahtevo upravljavca. V enakem postopku IP odloča tudi o pritožbi zoper zavrnitev zahteve za posredovanje podatkov iz uradnih evidenc za namen raziskovalne dejavnosti, ki je sicer urejena v 1. poglavju II. dela ZVOP-2 (od 68. do 72. člena).

Če pri svojem delu ali na podlagi ustreznega predloga IP prepozna, da je šlo za kršitev varstva osebnih podatkov, ki jo je treba kaznovati, takšno kršitev ustrezno obravnava v prekrškovnem postopku.

Informacijski pooblaščenec deluje kot nadzorni in/ali prekrškovni organ tudi po specialnih predpisih, ki urejajo varstvo osebnih podatkov na posebnih področjih po Zakonu o pacientovih pravicah (2008 s sprem., v nadaljevanju: ZPacP), Zakonu o potnih listinah (2011, v nadaljevanju: ZPLD-1), Zakonu o osebni izkaznici (2011 s sprem., ZOIzk-1), Zakonu o elektronskih komunikacijah (2022 s sprem., ZEKom-2), Zakonu o centralnem kreditnem registru (2016 s sprem., ZCKR), Zakonu o potrošniških kreditih (2016 s sprem., ZPotK-2) ter Zakonu o kupcih in serviserjih nedonosnih kreditov bank (2024, ZKSNKB). Postopkovna pravila, ki se uporabljajo v posamezni zadevi, so odvisna od morebitne specialne ureditve. Kadar posebna postopkovna pravila niso določena v specialni zakonodaji, se uporablja splošna ureditev nadzornih postopkov po ZVOP-2 ter Zakonu o inšpekcijskem nadzoru (2007 s sprem., v nadaljevanju: ZIN) in Zakonu o splošnem upravnem postopku (2006 s sprem., v nadaljevanju: ZUP).

ZVOP-2 je z vpeljavo postopka na zahtevo prijavitelja s posebnim položajem uvedel drugačen pristop, zlasti glede na pretekle pritožbene postopke, ko je IP deloval kot drugostopenjski organ po ZUP-u. V nekaterih zadevah IP obravnava zahteve posameznikov za zaščito njihove pravice do varstva osebnih podatkov še vedno kot pritožbeni organ po ZUP-u kljub drugačnemu pristopu po ZVOP-2 (npr. pritožba po ZPacP glede dostopa do lastne zdravstvene dokumentacije), ker tako izrecno izhaja iz specialne zakonodaje. Za boljše razumevanje dveh osnovnih principov nadzorstvenega delovanja za zaščito pravice posameznika se v nadaljevanju osredotočam na opis inšpekcijskega postopka in postopka na zahtevo prijavitelja s posebnim položajem.

2. INŠPEKCIJSKI POSTOPEK

IP vodi inšpekcijski postopek po uradni dolžnosti, ko zazna sistemske kršitve in oceni, da je utemeljeno, da v javnem interesu obravnava kršitev s ciljem odprave nepravilnosti in vzpostavitve zakonitega stanja.

Inšpekcijski postopek IP vodi v skladu z ZIN-om in ob upoštevanju posebnosti, urejenih v ZVOP-2 in GDPR-ju. Posebnosti tega postopka so zlasti izvajanje postopkovnih dejanj brez prisotnosti posameznika, na katerega se nanašajo osebni podatki (26. člen ZVOP-2), izključitev stranske udeležbe (27. člen ZVOP-2) in nadzorna pooblastila ter ukrepi (28. in 29. člen ZVOP-2). V inšpekcijskem postopku lahko IP uporabi tudi pooblastila in ukrepe, določene v GDPR-ju (člen 58) in ZIN-u. Upravljavec ali obdelovalec, ki je v inšpekcijskem postopku subjekta nadzora, se imenuje zavezanec.

Inšpekcijski postopek IP običajno začne na podlagi prijave, pri čemer državni nadzornik, ki prejme zadevo v reševanje, glede na predložene dokaze in navedbe odloči o uvedbi inšpekcijskega postopka. V nadaljevanju nadzornik pridobi dodatne dokaze o kršitvi, na primer s pregledom spletne strani zavezanca ali s pozivom za posredovanje dokumentacije, pojasnil in izjave. Po potrebi nadzornik v zadevi izvede tudi inšpekcijski ogled na kraju samem, kjer opravi razgovor z odgovornimi osebami in pregleda sredstva, s katerimi se obdelujejo osebni podatki. O ogledu nadzornik pripravi zapisnik.

To običajno naredi naknadno (najpozneje v treh dneh od dneva opravljenega nadzora) in ga vroči zavezancu z možnostjo podaje pripomb v določenem roku. Ko nadzornik ugotovi dejansko stanje, s formalnim dopisom seznani zavezanca z bistvenimi ugotovitvami (t. i. predodločba) in mu predlaga ukrepe za odpravo zaznanih nepravilnosti. Če zavezanec nepravilnosti odpravi, izdaja inšpekcijske odločbe ni potrebna in nadzornik ustavi postopek s sklepom. Če zavezanec ne vzpostavi zakonitega stanja do roka v predodločbi, nadzornik izda odločbo, v kateri naloži ukrepe za odpravo nepravilnosti. Zoper odločbo ali sklep, s katerim se postopek konča, je mogoče uveljavljati sodno varstvo pred upravnim sodiščem.

Stroški, ki nastanejo stranki in organu v zvezi s postopkom inšpekcijskega nadzora (vključno s stroški odvetniškega zastopanja in izvedencev), bremenijo organ, če ta pri nadzoru ni odkril nepravilnosti in je zato postopek ustavil s sklepom po 28. členu ZIN-a. Če pa so bile nepravilnosti odkrite (tudi če jih je zavezanec med postopkom odpravil), potem stroški postopka bremenijo zavezanca. Ko torej IP s sklepom ustavi postopek po odpravi nepravilnosti, morebitne stroške v zvezi z ugotavljanjem dejanskega stanja, ki so bili nujni za dokazovanje nepravilnosti, nosi zavezanec.

V inšpekcijskem postopku ima položaj stranke le zavezanec. Stranska udeležba je izključena. Posameznik, na katerega se nanašajo osebni podatki (ki je pogosto tudi prijavitelj), nima možnosti sodelovanja v inšpekcijskem postopku, čeprav odločitev v postopku lahko vpliva na njegovo pravico do varstva osebnih podatkov. Razlogov za takšno ureditev je več. Po eni strani je razlog učinkovitost izvedbe inšpekcijskih postopkov – ob odsotnosti takšne določbe bi moral nadzornik v postopek povabiti vse posameznike, na katere se nanašajo osebni podatki, pri čemer je pogosto predmet nadzora baza podatkov, ki vsebuje podatke več tisoč posameznikov. Po drugi strani pa ima vsak posameznik, ki ga kršitev zadeva in želi, da IP odloči o njegovi pravici, možnost vložiti zahtevo kot prijavitelj s posebnim položajem. Ob tem velja poudariti, da prijavitelj s posebnim položajem nima posebnega položaja v inšpekcijskem postopku, temveč se na njegovo zahtevo lahko začne drug nadzorni postopek s specifičnim ciljem ugotoviti kršitev njegove pravice varstva osebnih podatkov.

Značilnost inšpekcijskega postopka je tudi dolžnost varovanja vira prijave (16. člen ZIN-a). Prijavitelj v inšpekcijskem postopku ne sme biti razkrit zavezancu. Če prijavo vloži posameznik, na katerega se nanašajo osebni podatki, je takšno zagotavljanje varstva vira prijave oteženo, pogosto pa sploh ni mogoče. Tudi zato je posamezniku za zaščito njegovih pravic na voljo postopek na zahtevo prijavitelja s posebnim položajem, stranska udeležba v inšpekcijskem postopku pa je izključena.

Ko IP prejme zunanjo prijavo na podlagi Zakona o zaščiti prijaviteljev (2023, v nadaljevanju: ZZPri), IP prijavo obravnava v inšpekcijskem postopku ali, če je ustrezno, kot prijavo prijavitelja s posebnim položajem. V postopku na podlagi zunanje prijave IP varuje identiteto prijavitelja, razen če zaradi narave obdelave ali postopka to ni mogoče in z razkritjem svoje identitete prijavitelj izrecno soglaša.

Celoten članek je dostopen za naročnike!