INFORMACIJSKI POOBLAŠCENEC REPUBLIKE SLOVENIJE ’17 Letno porocilo Informacijskega pooblašcenca za leto 2017 Spoštovani, med kljucnimi temami, ki so zaznamovale delo Informacijskega pooblašcenca leta 2017, ni mogoce prezreti priprav na zacetek uporabe nove evropske Splošne uredbe o varstvu podatkov. Te so zaznamovale delo Informacijskega pooblašcenca s posamezniki, podjetji in drugimi organizacijami – Informacijski pooblašcenec je izdal številna mnenja ter izvedel številna srecanja in izobraževanja – prav pripravam pa je bilo najvec pozornosti namenjene tudi na mednarodnem podrocju v okviru delovne skupine evropskih nadzornih organov WP 29. Nova uredba je zaznamovala tudi velik del podajanja mnenj na predloge zakonov, med drugim na težko pricakovani predlog osnutka novega zakona o varstvu osebnih podatkov. Poleg tega je Informacijski pooblašcenec leta 2017 z željo po najvecjem možnem ucinku na pravice posameznikov svoje sile usmerjal v hitro reševanje pritožbenih zadev na podrocju dostopa do informacij javnega znacaja ter ucinkovito ukrepanje proti kršitvam na podrocju varstva osebnih podatkov, izvajal pa je tudi izobraževanja na obeh pravnih podrocjih. Na podrocju dostopa do informacij javnega znacaja bi želela poudariti razveseljivo zmanjšanje števila pritožb, vloženih zoper ravnanje obcin, kar po mojem mnenju izkazuje, da so obcine leta 2017 na tem podrocju poslovale bolje, še posebej glede na podatke iz preteklih let, ki so kazali na slabšo odzivnost obcin v postopkih po ZDIJZ. So pa prosilci vložili vec pritožb zoper državne organe, vnovic pa se je tudi povecalo število prošenj za pojasnila in mnenja s strani zavezancev. Vse navedeno kaže, da so bili zavezanci leta 2017 bolj aktivni in odzivni kot leto poprej, saj so se na Informacijskega pooblašcenca veckrat obrnili tudi izven pritožbenega postopka. Informacijski pooblašcenec je na podrocju dostopa do informacij javnega znacaja leta 2017 skupaj prejel 522 pritožb, kar je vec kot leto dni poprej, ko jih je prejel 514. Prizadevali smo si, da bi pritožbene zadeve reševali hitro in s kar najmanjšo zamudo za prosilce. Povprecen cas reševanja pritožbenih zadev zoper zavrnilne odlocbe, v katerih je bil potreben poseben ugotovitveni postopek, je znašal 37 dni; pritožbene zadeve so bile torej rešene precej hitreje kot v dvomesecnem roku, ki ga za reševanje tovrstnih zadev doloca Zakon o splošnem upravnem postopku. Za primerjavo: leta 2016 je povprecen cas reševanja pritožbenih zadev znašal 47 dni. Informacijski pooblašcenec je v pritožbenih postopkih obravnaval vec vsebinsko pomembnih zadev. Z vidika izjem, na katere so se sklicevali zavezanci v postopkih, je bilo zaznati povecanje števila zadev, ki so se nanašale na t. i. zlorabo pravice. Ob tem velja opozoriti, da je institut zlorabe pravice skrajno sredstvo, na katerega se lahko zavezanci sklicujejo le v izjemnih primerih. Pravico dostopa do informacij javnega znacaja kot temeljno clovekovo pravico je namrec mogoce omejiti le zaradi varstva legitimnih interesov in pravic tretjih ter v najmanjši možni meri, ki še zagotavlja varstvo teh interesov. Podatki kažejo, da se je leta 2017 delno spremenila struktura prosilcev, ki so se s pritožbo obrnili na Informacijskega pooblašcenca. Tudi v tem letu je bilo najvec pritožnikov fizicnih oseb, manj pritožb je Informacijski pooblašcenec prejel s strani pravnih oseb zasebnega prava, število pritožb, ki so jih vložili novinarji, je ostalo na primerljivi ravni. Zanimiva pa je ugotovitev, da se je povecalo število pritožbenih primerov, v katerih so kot prosilci za informacije nastopale pravne osebe javnega prava, kar kaže na to, da je pravica dostopa do informacij javnega znacaja institut, ki omogoca hitro in ucinkovito pridobivanje informacij razlicnim kategorijam uporabnikov. Ob tem je zaradi vsakoletnega narašcanja števila pritožb mogoce zakljuciti, da so prosilci s postopkom dostopa do informacij dobro seznanjeni ter da je pritožbeni postopek zanje hiter, ucinkovit in jim ne povzroca stroškov, kar pomeni, da zagotavlja ucinkovito pravno varstvo. Informacijski pooblašcenec je leta 2017 v okviru izvajanja inšpekcijskega nadzora na podrocju varstva osebnih podatkov obravnaval 655 inšpekcijskih zadev, od tega 226 na podrocju javnega in 429 na podrocju zasebnega sektorja ter 105 prekrškovnih zadev. Prejel je tudi 16 vlog za izdajo dovoljenja za povezovanje zbirk osebnih podatkov, štiri vloge za izdajo dovoljenja za izvajanje biometrijskih ukrepov, 29 vlog za izdajo dovoljenja za iznos osebnih podatkov ter 110 pritožb zaradi zavrnitve zahteve za seznanitev z lastnimi osebnimi podatki. Najvec prijav zaradi suma kršitev predpisov s podrocja varstva osebnih podatkov je bilo vloženih zaradi posredovanja osebnih podatkov nepooblašcenim uporabnikom, nezakonitega zbiranja oziroma posredovanja osebnih podatkov, uporabe osebnih podatkov za namene neposrednega trženja (zlasti zaradi suma nezakonitega pridobivanja osebnih podatkov za te namene ter neupoštevanja zahteve posameznika po prenehanju uporabe osebnih podatkov za te namene), izvajanja videonadzora in nezakonite uporabe posnetkov (zlasti v delovnih prostorih), neustreznega zavarovanja osebnih podatkov, uporabe osebnih podatkov v nasprotju z namenom njihovega zbiranja ter zaradi nezakonitega vpogleda v osebne podatke. V zvezi z obravnavo prejetih prijav velja opozoriti na povecanje števila prijav in ugotovljenih kršitev zaradi neustreznega zavarovanja osebnih podatkov, ki se zbirajo ali so dostopni prek spletnih omrežij. Vecje število bolnišnic in drugih zdravstvenih zavodov, ki omogoca elektronsko narocanje, namrec ni zagotavljalo varnih povezav v sistemih za elektronsko narocanje (npr. z uporabo protokola https oziroma ustreznega šifriranja), zaradi cesar je Informacijski pooblašcenec v okviru sistemskega nadzora vse zdravstvene zavode pozval k odpravi pomanjkljivosti. Informacijski pooblašcenec je v inšpekcijskih postopkih veckrat ugotovil, da tudi drugi zavezanci niso zagotovili zavarovanja osebnih podatkov na spletnih strežnikih, na katerih so bile shranjene zbirke (z omejitvijo dostopa s požarnim zidom, z uporabniškim imenom in geslom ali na drug podoben nacin). Opozoriti je treba tudi na povecanje števila prijav zaradi nezakonitega zbiranja oziroma posredovanja osebnih podatkov kot posledica pomanjkljivega oziroma neustreznega informiranja posameznika, od katerega se osebni podatki pridobivajo. Nova evropska Splošna uredba o varstvu podatkov, ki se bo zacela uporabljati 25. maja 2018, je glede zagotavljanja informacij, ki jih je treba zagotoviti posamezniku v primeru, ko se osebni podatki pridobivajo neposredno od njega, še zahtevnejša kot veljavni ZVOP-1, saj v drugem in tretjem odstavku 13. clena doloca še precej širši nabor informacij, ki jih je treba zagotoviti posamezniku. Informacijski pooblašcenec je poleg obravnave prejetih prijav tudi leta 2017 nadaljeval okrepljeno izvajanje t. i. planiranih ex offo inšpekcijskih nadzorov na podrocjih, na katerih glede na oceno tveganja obstaja vecja verjetnost kršitve predpisov s podrocja varstva osebnih podatkov. Planirani inšpekcijski nadzor nad spoštovanjem dolocb ZVOP-1 se je leta 2017 izvajal na ministrstvih, v upravnih enotah, zdravstvenih zavodih, pri vecjih pogodbenih obdelovalcih osebnih podatkov, turisticnih agencijah, sindikatih in njihovih zvezah ter društvih in njihovih zvezah. Poleg inšpekcijskih in prekrškovnih postopkov je Informacijski pooblašcenec leta 2017 s ciljem preventivnega delovanja posebno pozornost namenil nudenju podpore podjetjem; obravnaval je vec kot 1289 zaprosil za pisna mnenja in pojasnila s podrocja varstva osebnih podatkov ter se s pojasnili odzval na 1998 telefonskih klicev. Na Informacijskega pooblašcenca se je obrnilo tudi vec kot 115 upravljavcev in obdelovalcev iz javnega in zasebnega sektorja, ki so pripravljali zakonodajo, rešitve ali projekte ter so želeli pravocasno premisliti o tveganjih in se tako izogniti kršitvam zakonodaje. S ciljem pravocasnih priprav na novo uredbo ter v sklopu preventivnega delovanja je Informacijski pooblašcenec izvedel tudi 132 predavanj za razlicna podjetja in druge organizacije. Strokovnjaki Informacijskega pooblašcenca za dvig ozavešcenosti o pomenu zasebnosti in varstva osebnih podatkov so, kot vsako leto, nastopili na razlicnih konferencah, predavanjih, strokovnih dogodkih, posvetih ter okroglih mizah. Izkušnje iz leta 2017 kažejo, da so se vecji upravljavci že intenzivno zaceli pripravljati na uporabo Splošne uredbe o varstvu podatkov, predvsem pri manjših upravljavcih, ki so bili po ZVOP-1 deležni dolocenih izjem (npr. glede priprave katalogov in prijave zbirk osebnih podatkov v register Informacijskega pooblašcenca), pa se pokazalo, da nekateri zakonodaje o varstvu osebnih podatkov niso dobro poznali. Poseben izziv za dolocene upravljavce in obdelovalce osebnih podatkov predstavlja imenovanje pooblašcenih oseb za varstvo osebnih podatkov. Gre za institut, ki je bil v praksi doslej prisoten predvsem v bankah in zavarovalnicah, Splošna uredba pa doloca precej širok krog zavezancev, ki bodo morali imenovati tako osebo, in sicer kadar obdelavo opravlja javni organ ali telo, razen sodišc, kadar delujejo kot sodni organ; kadar temeljne dejavnosti upravljavca ali obdelovalca zajemajo dejanja obdelave, pri katerih je treba zaradi njihove narave, obsega in/ali namenov posameznike, na katere se osebni podatki nanašajo, redno in sistematicno obsežno spremljati; kadar temeljne dejavnosti upravljavca ali obdelovalca zajemajo obsežno obdelavo posebnih vrst podatkov v zvezi s kazenskimi obsodbami in prekrški. V okviru mednarodnega delovanja je Informacijski pooblašcenec maja 2017 na Bledu organiziral tudi prvo, ustanovno zasedanje pobude Initiative 20i7, v okviru katere je gostil predstojnike nadzornih organov za varstvo osebnih podatkov iz Hrvaške, Srbije, Bosne in Hercegovine, Crne gore, Kosova in Makedonije. Pobuda Informacijskega pooblašcenca sledi zgledu nordijskih držav, ki si delijo podobne zgodovinske in pravne okvire in katerih nadzorni organi za varstvo osebnih podatkov tesno sodelujejo ter si izmenjujejo izkušnje. Prav v luci reforme varstva osebnih podatkov na ravni EU se je pobuda izkazala kot izredno ucinkovit nacin izmenjave dobrih praks in izkušenj s pripravami na uporabo. V letu 2018 nas caka nemalo izzivov, ki bodo povezani predvsem z uporabo nove evropske Splošne uredbe o varstvu podatkov. Hkrati že opažamo, da pomeni nova evropska zakonodaja tudi nov veter v jadra varstva zasebnosti v Evropi in svetu. Zdi se, kot da se varstvo osebnih podatkov postavlja na novo. Informacijski pooblašcenec si bo na vseh podrocjih prizadeval, da bi ta novi veter cim bolje izkoristili tudi v Sloveniji. Kot clan novega evropskega organa, Evropskega odbora za varstvo podatkov, bo Informacijski pooblašcenec aktivno sodeloval pri pripravi evropskih smernic in drugih preventivnih mehanizmov, ki jih bo odbor pripravljal, kot nadzorni organ pa bo sodeloval tudi v nacionalnih in mednarodnih inšpekcijah pod okriljem odbora. Dejstvo, da do 25. 5. 2018 Slovenija ni sprejela novega zakona o varstvu osebnih podatkov, namrec izzive in naloge v celoti prelaga na pleca podjetij, drugih organizacij in Informacijskega pooblašcenca. Delo Informacijskega pooblašcenca bo zahtevno, odsotnost sistemskega zakona pa za pravno varnost ni dobra popotnica. Kljub temu sem prepricana, da bo Informacijski pooblašcenec tudi v prihodnje ucinkovito varoval obe ustavni pravici. Naša glavna skrb namrec ostajajo preventivno delovanje, ucinkovito reševanje pritožb ter odgovorna obravnava inšpekcij. Mojca Prelesnik, informacijska pooblašcenka 1. O INFORMACIJSKEM POOBLAŠCENCU 1.1. Nastanek Informacijskega pooblašcenca 9 1.2. Pristojnosti Informacijskega pooblašcenca 9 1.3. Organiziranost Informacijskega pooblašcenca 13 1.4. Financna sredstva Informacijskega pooblašcenca 15 2. DELO NA PODROCJU DOSTOPA DO INFORMACIJ JAVNEGA ZNACAJA 2.1. Pravna ureditev na podrocju dostopa do informacij 19 javnega znacaja v Republiki Sloveniji 2.2. Število vloženih pritožb in število rešenih zadev 21 2.3. Število vloženih tožb na Upravnem sodišcu, število sodb 22 Upravnega in Vrhovnega sodišca 2.4. Statistika po posameznih podrocjih ZDIJZ 22 2.5. Storjeni prekrški po ZDIJZ, ZInfP in ZMed 25 2.6. Predstavitev najodmevnejših in precedencnih primerov po podrocjih 25 2.6.1. Ali gre za delovno podrocje organa, poslovna skrivnost 26 2.6.2. Ali gre za zlorabo pravice? 26 2.6.3. Avtorsko delo 27 2.6.4. Dokument v izdelavi, tajni podatki, notranje delovanje 28 2.6.5. Javno narocilo, poslovna skrivnost 29 2.6.6. Osebni podatki, javni uslužbenci, funkcionarji 30 2.6.7. Varstvo kazenskega postopka, osebni podatki 30 2.6.8. Varstvo nadzornega postopka, notranje delovanje 31 2.6.9. Okoljski podatki, poslovna skrivnost 32 2.6.10. Stroški postopka 33 2.6.11. Tajni podatki, dokument v izdelavi 33 2.6.12. Ponovna uporaba 34 2.6.13. Tajnost vira 35 2.6.14 Varstvo upravnega postopka 36 2.7. Splošna ocena in priporocila na podrocju dostopa 36 do informacij javnega znacaja 3. DELO NA PODROCJU VARSTVA OSEBNIH PODATKOV 3.1. Koncept varstva osebnih podatkov v Republiki Sloveniji 40 3.2. Dejavnost državnih nadzornikov za varstvo osebnih podatkov 41 3.2.1. Pravice in dolžnosti državnega nadzornika 41 3.2.2. Inšpekcijski nadzor 41 3.2.2.1. Inšpekcijski nadzor v javnem sektorju 42 3.2.2.2. Inšpekcijski nadzor v zasebnem sektorju 43 3.2.3. Storjeni prekrški 44 3.3. Dajanje mnenj in pojasnil 45 3.4. Dopustnost izvajanja biometrijskih ukrepov 46 3.5. Ugotavljanje ustrezne ravni varstva osebnih podatkov 47 v tretjih državah 3.6. Izdajanje dovoljenj za povezovanje javnih evidenc 49 3.7. Pravica do seznanitve z lastnimi osebnimi podatki 51 3.8. Zahteve za oceno ustavnosti 57 3.8.1. Zahteva za oceno ustavnosti Zakona o Slovenski 52 obvešcevalno-varnostni agenciji 3.8.2. Zahteva za oceno ustavnosti Zakona o nalogah in pooblastilih 55 policije (ZNPPol-A) 3.9. Izbrani primeri kršitev varstva osebnih podatkov 56 3.9.1. Neustrezno zavarovanje dokumentacije, namenjene unicenju 56 3.9.2. Zbiranje osebnih podatkov placnikov 57 3.9.3. Nezakonito razkritje osebnih podatkov ucencev 58 3.9.4. Nezakonita obdelava osebnih podatkov v evidencah policije 59 3.9.5. Sporno posredovanje osebnih podatkov zaposlenega clanom zveze 59 3.9.6. Objava osebnih podatkov clanov na spletni strani 60 3.9.7. Objava dokumenta z osebnimi podatki pric v prekrškovnem postopku 61 na spletnih straneh 3.9.8. Neustrezno zavarovanje datotecne strukture v notarski pisarni 62 3.9.9. Zbiranje podatkov o vzrokih za bolniško odsotnost 63 3.9.10. Posredovanje videoposnetka tatvine in objava na Facebooku 64 3.11. Splošna ocena stanja varstva osebnih podatkov in priporocila 65 4. DRUGE DEJAVNOSTI INFORMACIJSKEGA POOBLAŠCENCA 4.1. Sodelovanje pri pripravi zakonov in drugih predpisov 71 4.2. Sodelovanje z javnostmi 73 4.3. Mednarodno sodelovanje 77 4.3.1. Sodelovanje v mednarodnih delovnih telesih 77 4.3.2. Ostale mednarodne dejavnosti 78 4.3.3. Sodelovanje na mednarodnih srecanjih 79 4.3.4. Projekti Informacijskega pooblašcenca 80 4.3.4.1. Projekt CRISP 80 1.1. Nastanek Informacijskega pooblašcenca Državni zbor Republike Slovenije je 30. 11. 2005 sprejel Zakon o Informacijskem pooblašcencu1ą Uradni list RS, št. 113/2005 in 51/2007 – ZUstS-A; v nadaljevanju ZInfP. , s katerim je bil 31. 12. 2005 ustanovljen nov samostojen in neodvisen državni organ. Omenjeni zakon je združil dva organa, in sicer Pooblašcenca za dostop do informacij javnega znacaja, ki je imel že prej status neodvisnega organa, in Inšpektorat za varstvo osebnih podatkov, ki je deloval kot organ v sestavi Ministrstva za pravosodje. Ob uveljavitvi ZInfP je Pooblašcenec za dostop do informacij javnega znacaja nadaljeval delo kot Informacijski pooblašcenec, ki je prevzel inšpektorje in druge uslužbence Inšpektorata za varstvo osebnih podatkov, pripadajoco opremo in sredstva. Hkrati je prevzel tudi vse nedokoncane zadeve, arhive in evidence, ki jih je vodil Inšpektorat za varstvo osebnih podatkov. S tem so se pristojnosti organa, ki je skrbel za nemoteno izvajanje dostopa do informacij javnega znacaja, mocno spremenile in se razširile še na pravno podrocje varstva osebnih podatkov. Informacijski pooblašcenec je tako postal tudi državni nadzorni organ za varstvo osebnih podatkov. Delo je zacel 1. 1. 2006. S takšno ureditvijo, ki je primerljiva z ureditvijo v razvitih evropskih državah, se je poenotila praksa dveh organov, še danes pa se povecuje zavedanje pravice do zasebnosti in pravice vedeti – ti sta zaradi te ureditve v še vecjem sožitju. Informacijski pooblašcenec je neodvisen državni organ. Njegova neodvisnost je zagotovljena na dva nacina. Prvi je postopek imenovanja pooblašcenca kot funkcionarja, ki ga na predlog predsednika Republike Slovenije imenuje Državni zbor. Drugi nacin, ki omogoca predvsem financno neodvisnost, pa je, da se sredstva za delo zagotovijo v proracunu Republike Slovenije tako, da o tem odloca Državni zbor na predlog Informacijskega pooblašcenca. Od 17. 7. 2014 Informacijskega pooblašcenca vodi Mojca Prelesnik. 1.2. Pristojnosti Informacijskega pooblašcenca Informacijski pooblašcenec svoje z zakonom dolocene naloge in pristojnosti opravlja na dveh podrocjih: • na podrocju dostopa do informacij javnega znacaja in • na podrocju varstva osebnih podatkov. Na podrocju dostopa do informacij javnega znacaja, ki je urejeno z Zakonom o dostopu do informacij javnega znacaja2˛ Uradni list RS, št. 51/2006 – uradno precišceno besedilo 2, s spremembami; v nadaljevanju ZDIJZ. , ima Informacijski pooblašcenec pristojnosti pritožbenega organa (pristojnost je dolocena v 2. clenu ZInfP). To pomeni, da odloca o pritožbi prosilca, ce je zavezanec za dostop do informacij javnega znacaja: 1. zahtevo za dostop do informacij javnega znacaja zavrnil ali zavrgel; 2. na zahtevo ni odgovoril v predpisanem roku (je v molku); 3. omogocil dostop v drugi obliki, kot jo je prosilec zahteval; 4. posredoval informacijo, ki je prosilec ni zahteval; 5. neupraviceno zaracunal stroške za posredovanje informacij ali pa je zaracunal previsoke stroške; 6. ni ugodil zahtevi za umik stopnje tajnosti s podatkov, ki so s stopnjo tajnosti oznaceni v nasprotju z zakonom, ki ureja tajne podatke; 7. zavrnil, zavrgel ali ni odgovoril na zahtevo za ponovno uporabo informacij javnega znacaja.   Informacijski pooblašcenec je pristojen tudi za vodenje evidence vseh podeljenih izkljucnih pravic na podrocju ponovne uporabe informacij (peti odstavek 36.a clena ZDIJZ). Na podrocju dostopa do informacij javnega znacaja Informacijskemu pooblašcencu pristojnosti podeljuje tudi Zakon o medijih3ł Uradni list RS, št. 110/2006 – uradno precišceno besedilo 1, s spremembami; v nadaljevanju ZMed. (45. clen). Po ZMed se zavrnilni odgovor zavezanca na vprašanje, ki ga zastavi predstavnik medija, šteje kot zavrnilna odlocba. Molk zavezanca ob takem vprašanju je razlog za pritožbo, o kateri odloca Informacijski pooblašcenec po dolocbah ZDIJZ. Informacijski pooblašcenec je v primeru kršitev dolocb ZDIJZ in ZMed tudi prekrškovni organ. Na podrocju varstva osebnih podatkov ima Informacijski pooblašcenec pristojnosti, ki mu jih dajeta Zakon o varstvu osebnih podatkov 44 Uradni list RS, št. 94/2007 – uradno precišceno besedilo 1; v nadaljevanju ZVOP-1. in 2. clen ZinfP, in sicer: 1. opravlja inšpekcijski nadzor nad izvajanjem dolocb ZVOP-1 in drugih predpisov, ki urejajo varstvo ali obdelavo osebnih podatkov, tj. obravnava prijave, pritožbe, sporocila in druge vloge, v katerih je izražen sum kršitve zakona, ter opravlja preventivni inšpekcijski nadzor pri upravljavcih osebnih podatkov s podrocja javnega in zasebnega sektorja (pristojnost je dolocena v 2. clenu ZInfP); 2. odloca o pritožbi posameznika, kadar upravljavec osebnih podatkov ne ugodi zahtevi posameznika glede njegove pravice do seznanitve z zahtevanimi podatki, do izpisov, seznamov, vpogledov, potrdil, informacij, pojasnil, prepisovanja ali kopiranja po dolocbah zakona, ki ureja varstvo osebnih podatkov (pristojnost je dolocena v 2. clenu ZInfP); 3. vodi postopke o prekrških s podrocja varstva osebnih podatkov (hitri postopek); 4. vodi in vzdržuje register zbirk osebnih podatkov in skrbi, da je register ažuren ter javno dostopen prek svetovnega spleta (28. clen ZVOP-1); 5. omogoca vpogled in prepis podatkov iz registra zbirk osebnih podatkov, praviloma isti dan, najpozneje pa v osmih dneh (29. clen ZVOP-1); 6. odloca o ugovoru posameznika glede obdelave osebnih podatkov na podlagi cetrtega odstavka 9. clena in tretjega odstavka 10. clena ZVOP-1 (32. clen ZVOP-1); 7. izdaja odlocbe o zagotavljanju ustrezne ravni varstva osebnih podatkov v tretjih državah (63. clen ZVOP-1); 8. vodi postopke ugotavljanja ustrezne ravni varstva osebnih podatkov v tretjih državah na podlagi ugotovitev inšpekcijskega nadzora in drugih informacij (64. clen ZVOP-1); 9. vodi seznam tretjih držav, za katere je ugotovil, da imajo v celoti ali delno zagotovljeno ustrezno raven varstva osebnih podatkov ali da te nimajo zagotovljene; ce je ugotovljeno, da tretja država le delno zagotavlja ustrezno raven varstva osebnih podatkov, je v seznamu navedeno tudi, v katerem delu je ustrezna raven zagotovljena (66. clen ZVOP-1); 10. vodi upravne postopke za izdajo dovoljenj o iznosu osebnih podatkov v tretjo državo (70. clen ZVOP-1); 11. vodi upravne postopke za izdajo dovoljenj za povezovanje javnih evidenc in javnih knjig, kadar katera od zbirk osebnih podatkov, ki naj bi se jih povezalo, vsebuje obcutljive osebne podatke ali pa je za izvedbo povezovanja potrebna uporaba istega povezovalnega znaka, npr. EMŠO ali davcne številke (84. clen ZVOP-1); 12. vodi upravne postopke za izdajo ugotovitvenih odlocb o tem, ali je nameravana uvedba biometrijskih ukrepov v zasebnem sektorju v skladu z dolocbami ZVOP-1 (80. clen ZVOP-1); 13. sodeluje z državnimi organi, pristojnimi organi EU za varstvo posameznikov pri obdelavi osebnih podatkov, mednarodnimi organizacijami, tujimi nadzornimi organi za varstvo osebnih podatkov, zavodi, združenji ter drugimi organi in organizacijami glede vseh vprašanj, ki so pomembna za varstvo osebnih podatkov; 14. daje in objavlja predhodna mnenja državnim organom ter nosilcem javnih pooblastil o usklajenosti dolocb predlogov predpisov z zakoni in drugimi predpisi, ki urejajo osebne podatke; 15. daje in objavlja neobvezna mnenja o skladnosti kodeksov poklicne etike, splošnih pogojih poslovanja oziroma njihovih predlogih s predpisi s podrocja varstva osebnih podatkov; 16. pripravlja, daje in objavlja neobvezna navodila in priporocila glede varstva osebnih podatkov na posameznem podrocju; 17. na spletni strani ali na drug primeren nacin objavlja predhodna mnenja o usklajenosti predlogov zakonov in drugih predpisov z zakonom in drugimi predpisi s podrocja varstva osebnih podatkov ter zahtev za oceno ustavnosti predpisov, objavlja odlocbe in sklepe sodišc, ki se nanašajo na varstvo osebnih podatkov, ter neobvezna mnenja, pojasnila, stališca in priporocila glede varstva osebnih podatkov na posameznih podrocjih (49. clen ZVOP-1); 18. daje izjave za javnost o opravljanih nadzorih in pripravlja letna porocila o svojem delu v preteklem letu; 19. sodeluje v delovnih skupinah za varstvo osebnih podatkov, oblikovanih znotraj EU, ki združujejo neodvisne institucije za varstvo osebnih podatkov držav clanic (v Delovni skupini po clenu 29 Direktive 95/46/EC in v nadzornih organih, ki se ukvarjajo z nadzorom obdelave osebnih podatkov v Schengenskem informacijskem sistemu, v informacijskem sistemu za carino, v okviru Europola ter v skupini za nadzor Eurodaca). Informacijski pooblašcenec lahko v skladu s 6. alinejo prvega odstavka 23.a clena Zakona o ustavnem sodišcu55 Uradni list RS, št. 64/2007 – uradno precišceno besedilo 1 in 109/2012. z zahtevo zacne postopek za oceno ustavnosti oziroma zakonitosti predpisa ali splošnega akta, izdanega za izvrševanje javnih pooblastil, ce nastane vprašanje ustavnosti ali zakonitosti v zvezi s postopkom, ki ga vodi. Informacijski pooblašcenec ima pristojnosti še po Zakonu o pacientovih pravicah66 Uradni list RS, št. 15/2008 in 55/2017; v nadaljevanju ZPacP. , Zakonu o potnih listinah77 Uradni list RS, št. 29/2011 – uradno precišceno besedilo 4; v nadaljevanju ZPLD-1. , Zakonu o osebni izkaznici88 Uradni list RS, št. 35/2011; v nadaljevanju ZOIzk-1. , Zakonu o elektronskih komunikacijah9. Uradni list RS, št. 109/2012, s spremembami; v nadaljevanju ZEKom-1. , Zakonu o centralnem kreditnem registru1010 Uradni list RS, št. 77/2016; v nadaljevanju ZCKR. , Zakonu o potrošniških kreditih1111 Uradni list RS, št. 77/2016; v nadaljevanju ZPotK-2. , Uredbi o sistemih brezpilotnih zrakoplovov1212 Uradni list RS, št. 52/2016 in 81/2016. in Uredbi o izvajanju Uredbe (EU) o državljanski pobudi1313 Uradni list RS, št. 42/2012 in 17/2014. . Na podlagi ZPacP Informacijski pooblašcenec deluje kot pritožbeni, inšpekcijski in prekrškovni organ. V okviru pritožbenih postopkov Informacijski pooblašcenec: • na podlagi desetega odstavka 41. clena ZPacP odloca o pritožbah pacientov in drugih upravicenih oseb ob kršitvi dolocbe, ki ureja nacin seznanitve z zdravstveno dokumentacijo; • na podlagi petega odstavka 42. clena ZPacP odloca o pritožbi v zakonu opredeljenih oseb zoper delno ali v celoti zavrnjeno zahtevo za seznanitev z zdravstveno dokumentacijo po pacientovi smrti; • na podlagi sedmega odstavka 45. clena ZPacP odloca o pritožbi upravicenih oseb zoper delno ali v celoti zavrnjeno zahtevo za seznanitev, ki se nanaša na dolžnost varovanja informacij o zdravstvenem stanju pacienta, vendar le, ce gre za informacije, ki izvirajo iz zdravstvene dokumentacije. V skladu s cetrtim odstavkom 85. clena ZPacP Informacijski pooblašcenec izvaja inšpekcijski nadzor in vodi prekrškovne postopke zaradi kršitev naslednjih dolocb ZPacP: • 44. clena, ki opredeljuje pravico pacienta do zaupnosti osebnih podatkov ter pogoje za uporabo in drugo obdelavo osebnih podatkov za potrebe zdravljenja ali izven postopkov zdravstvene obravnave, • 45. clena, ki doloca dolžnost varovanja poklicne skrivnosti oziroma varovanja informacij o zdravstvenem stanju pacienta, • 46. clena, ki izvajalcem zdravstvene dejavnosti nalaga izvedbo preiskave vsake zaznane nedovoljene obdelave osebnih podatkov o pacientu in obvešcanje Informacijskega pooblašcenca o ugotovitvah, • drugega odstavka 63. clena, ki doloca nacin in rok hrambe dokumentacije, nastale v postopku z zahtevo za obravnavo kršitve pacientovih pravic, • 68. clena, ki doloca pogoje dostopa do zdravstvene dokumentacije pacienta s strani Komisije RS za varstvo pacientovih pravic. Globe za kršitve 46., 63. in 68. clena so dolocene v 87. clenu ZPacP, za druge prekrške se upoštevajo prekrškovne dolocbe v ZVOP-1. Pristojnosti Informacijskega pooblašcenca po ZPLD-1 in ZOIzk-1 so omejene na dolocbe, ki urejajo, v kakšnih primerih in na kakšen nacin lahko upravljavci osebnih podatkov kopirajo potne listine oziroma osebne izkaznice ter nacin hrambe kopij (4. clen ZOIzk-1 in 4.a clen ZPLD-1). Informacijski pooblašcenec v zvezi z navedenimi dolocbami opravlja naloge inšpekcijskega in prekrškovnega organa, pri cemer o prekršku odloca v skladu s 27. clenom ZOIzk-1 in 34.b clenom ZPLD-1. ZEKom-1 doloca pristojnosti Informacijskega pooblašcenca v 161. clenu, in sicer: • izvaja inšpekcijski nadzor nad izvajanjem dolocb 149. clena ZEKom-1, ki ureja notranje postopke o odzivanju na zahteve pristojnih organov za dostop do osebnih podatkov uporabnikov na podlagi podrocnih zakonov; • najmanj enkrat na leto opravi inšpekcijski nadzor nad izvajanjem 153. in 153.a clena ZEKom-1, ki dolocata pogoje in postopke za posredovanje prometnih in lokacijskih podatkov v primerih varovanja življenja in telesa posameznika ter zavarovanje in hrambo teh podatkov in zagotovitev neizbrisne registracije; • izvaja inšpekcijski nadzor nad izvajanjem dolocb 155. clena ZEKom-1, ki ureja sledenje zlonamernih ali nadležnih klicev na pisno zahtevo posameznika, ki klice prejema, in postopke glede posredovanja podatkov, ki razkrijejo identiteto klicocega; • izvaja inšpekcijski nadzor nad izvajanjem dolocb 157. clena ZEKom-1, ki ureja shranjevanje podatkov ali pridobivanje dostopa do podatkov, shranjenih v terminalski opremi narocnika ali uporabnika s pomocjo piškotkov in podobnih tehnologij; • kot prekrškovni organ v skladu z zakonom, ki ureja prekrške, vodi postopke zaradi kršitev navedenih dolocb ZEKom-1; globe za kršitve so dolocene v 232. do 236. clenu ZEKom-1. ZCKR ureja vzpostavitev centralnega kreditnega registra kot osrednje nacionalne zbirke podatkov o zadolženosti fizicnih oseb in poslovnih subjektov. Del tega registra je tudi sistem izmenjave informacij o zadolženosti posameznih fizicnih oseb, poznan kot SISBON. Tako register kot sistem izmenjave informacij upravlja Banka Slovenije, ki je v skladu s 366. in 400. clenom Zakona o bancništvu1414 Uradni list RS, št. 25/2015, s spremembami; v nadaljevanju ZBan-2. vzpostavljeni sistem izmenjave informacij o boniteti strank prevzela s 1. 1. 2016. V skladu s 26. clenom ZCKR Banka Slovenije v zvezi z vzpostavitvijo in upravljanjem sistema izmenjave informacij doloci tehnicne pogoje, ki jih morajo izpolnjevati clani sistema in vkljuceni dajalci kreditov za clanstvo oziroma vkljucitev v sistem izmenjave informacij ter za zagotavljanje zaupnosti podatkov, ki se zbirajo v sistemu izmenjave informacij. Pred dolocitvijo teh aktov Banka Slovenije pridobi mnenje Informacijskega pooblašcenca, ki izvaja inšpekcijski nadzor v zvezi z zbiranjem in obdelavo osebnih podatkov v centralnem kreditnem registru in sistemu izmenjave informacij v skladu z ZVOP-11515 Pred uveljavitvijo ZCKR je Informacijski pooblašcenec izvajal inšpekcijski nadzor v zvezi z zbiranjem in obdelavo osebnih podatkov v sistemu SISBON in je bil prekrškovni organ za kršitve dolocenih clenov ZBan-2. . V skladu z 31. clenom ZCKR Informacijski pooblašcenec z namenom preprecevanja in odvracanja ravnanj, ki pomenijo nezakonito obdelavo osebnih podatkov, javno objavi informacije v zvezi z ukrepi nadzora in sankcijami zaradi prekrška, ki jih je izrekel. ZPotK-2 v 78. clenu ohranja leta 2013 dodeljeno pristojnost Informacijskega pooblašcenca v zvezi z izvajanjem nadzora nad dajalci kreditov in kreditnimi posredniki glede izvajanja 10. in 42. clena v delu, ki se nanaša na informiranje, zbiranje in obdelavo osebnih podatkov pri izvedbi ocene kreditne sposobnosti potrošnika, ki jo mora dajalec kredita opraviti pred sklenitvijo kreditne pogodbe in pred sklenitvijo kreditne pogodbe za nepremicnino, ter 11. in 44. clena ZPotK-2, ki dolocata dostop do osebnih podatkov iz sistema izmenjave informacij o boniteti oziroma zadolženosti fizicnih oseb in zavarovanje teh podatkov. Globe, ki jih lahko Informacijski pooblašcenec izrece za kršitve clenov, ki jih nadzira, so dolocene v 96. clenu ZPotK-2. Uredba o sistemih brezpilotnih zrakoplovov v drugem odstavku 21. clena doloca, da Informacijski pooblašcenec izvaja nadzor nad izvajanjem petega odstavka 19. clena, ki doloca, da mora operater pred izvajanjem letalskih dejavnosti izvesti oceno ucinkov v zvezi z varstvom osebnih podatkov na obrazcu iz Priloge 6, ki je sestavni del te uredbe, ter da mora Informacijskemu pooblašcencu posredovati izpolnjeni obrazec iz Priloge 6 in kopijo izpolnjenega obrazca iz Priloge 2 k tej uredbi (obrazec izjave za opravljanje letalskih dejavnosti s sistemi brezpilotnih zrakoplovov). V primeru ugotovljene kršitve lahko Informacijski pooblašcenec kršitelju izrece sankcijo po 29. clenu uredbe. Na podlagi 3. clena Uredbe o izvajanju Uredbe (EU) o državljanski pobudi je Informacijski pooblašcenec pristojen za prekrške v primeru kršitve Uredbe (EU) št. 211/2011/EU Evropskega parlamenta in Sveta z dne 16. 2. 20111616 Uradni list EU, št. 65/1. o državljanski pobudi s podrocja varstva osebnih podatkov. Z vstopom Republike Slovenije v schengensko obmocje je Informacijski pooblašcenec prevzel nadzor nad izvajanjem 128. clena Konvencije o izvajanju Schengenskega sporazuma1717 Uradni list Evropskih skupnosti, št. L239/19. . Na podlagi 114. clena te konvencije namrec vsaka pogodbenica imenuje nadzorni organ, ki je po nacionalni zakonodaji pristojen za izvajanje nadzora podatkovnih zbirk nacionalnega dela schengenskega informacijskega sistema (SIS) in za preverjanje, da obdelava in uporaba podatkov, vnesenih v SIS, ne pomeni kršenja pravic oseb, na katere se podatki nanašajo. Slika 1: Pristojnosti Informacijskega pooblašcenca. 1.3. Organiziranost Informacijskega pooblašcenca Notranjo organizacijo in sistemizacijo delovnih mest, potrebnih za izvajanje nalog pri Informacijskem pooblašcencu, dolocata Akt o notranji organizaciji in sistemizaciji delovnih mest pri Informacijskem pooblašcencu ter njegova priloga Sistemizacija delovnih mest pri Informacijskem pooblašcencu. Sistemizacija delovnih mest je prilagojena nalogam Informacijskega pooblašcenca in delovnim procesom, ki potekajo pri njem, ter je oblikovana tako, da zagotavlja cim ucinkovitejšo izrabo cloveških virov. Informacijski pooblašcenec opravlja svoje naloge v naslednjih notranjih organizacijskih enotah: • v Kabinetu pooblašcenca; • v Sektorju za informacije javnega znacaja; • v Sektorju za varstvo osebnih podatkov; • v Administrativno-tehnicni službi. Slika 2: Organigram Informacijskega pooblašcenca. Na dan 31. 12. 2017 je imel Informacijski pooblašcenec 34 zaposlenih, od tega 32 za nedolocen in dva za dolocen cas (nadomešcanje zaradi daljše odsotnosti in pripravnik). V primerjavi z letom 2016 se je število redno zaposlenih povecalo za eno osebo. Struktura zaposlenih je bila naslednja: • informacijska pooblašcenka, • namestnica za podrocje varstva osebnih podatkov, • namestnica za podrocje dostopa do informacij javnega znacaja, • namestnik za podrocje informacijskih tehnologij, • namestnik – vodja državnih nadzornikov za varstvo osebnih podatkov, • generalna sekretarka, • šest svetovalcev, • štirje asistenti svetovalca, • enajst državnih nadzornikov za varstvo osebnih podatkov, • državni nadzornik za varstvo osebnih podatkov – informatik, • dva raziskovalca, • informatik – pripravnik, • strokovna sodelavka za financne in kadrovske zadeve, • poslovna sekretarka, • dokumentalistka. Preglednica 1: Izobrazbena struktura zaposlenih pri Informacijskem pooblašcencu 31. 12. 2017. Višja strokovna šola Visoka strokovna šola, univerzitetni program Univerzitetna izobrazba Magisterij Doktorat Skupaj Pooblašcenka 1 1 Namestniki 3 1 4 Generalna sekretarka 1 1 Svetovalci 4 2 6 Asistenti svetovalca 4 4 Državni nadzorniki za varstvo osebnih podatkov 5 5 1 11 Državni nadzornik za varstvo osebnih podatkov -- informatik 1 1 Raziskovalca 2 2 Informatik – pripravnik 1 1 Strokovna sodelavka za financne in kadrovske zadeve 1 1 Poslovna sekretarka 1 1 Dokumentalistka 1 1 Skupaj 2 3 18 10 1 34 1.4. Financna sredstva Informacijskega pooblašcenca Financna sredstva za delo Informacijskega pooblašcenca se v skladu s 5. clenom ZInfP zagotavljajo iz državnega proracuna in jih doloci Državni zbor RS na predlog Informacijskega pooblašcenca. Na dan 31. 12. 2017 je bil veljavni proracun Informacijskega pooblašcenca na integralnih sredstvih 1.459.747,90 EUR (leta 2014 1.247.110,10 EUR, leta 2015 1.243.661,35 EUR, leta 2016 1.335.457,02 EUR), od tega na postavki place 1.306.000,00 EUR, na postavki materialni stroški 134.247,90 EUR in na postavki investicije 19.500,00 EUR. Evidentiranih odredb je bilo na dan 31. 12. 2017 1.454.573,77 EUR, od tega na postavki place 1.303.250,66 EUR, na postavki materialni stroški 131.907,44 EUR in na postavki investicije 19.415,67 EUR. Informacijski pooblašcenec je v letu 2017 razpolagal z namenskimi sredstvi v znesku 7.317,92 EUR in z donacijami za sodelovanje v projektih, ki jih je financirala Evropska unija, v višini 13.444,13 EUR (oziroma 8.212,61 EUR, kar je razlika zaradi dovoljene dejanske porabe na projektu Crisp). Poraba za namenska sredstva in donacije je znašala 8.126,28 EUR. V proracun leta 2018 je Informacijski pooblašcenec prenesel skupno 7.321,05 EUR namenskih sredstev in sredstev donacij (7.317,92 EUR namenskih sredstev, 0,14 EUR donacije – mednarodna spletna stran in 2,99 EUR financnih sredstev projekta Taiex). Na postavko Tekoca proracunska rezerva pri Ministrstvu za finance je bilo prenesenih 35.399,47 EUR z integralnih postavk. Informacijski pooblašcenec je skrbno ter zelo restriktivno porabljal financna sredstva na postavkah materialni stroški, investicije, znižal je stroške izdaje publikacij, študentskega dela in drugih storitev. Preglednica 2: Proracun Informacijskega pooblašcenca 2017. Veljavni proracun Evidentirane odredbe Razpoložljiv proracun konec leta v EUR v EUR v EUR Informacijski pooblašcenec 1.480.509,95 1.462.700,05 17.809,90 Podprogrami OPRAVLJANJE DEJAVNOSTI 1.459.747,90 1.454.573,77 5.174,13 Materialni stroški 134.247,90 131.907,44 2.340,46 Investicije 19.500,00 19.415,67 84,33 Place 1.306.000,00 1.303.250,66 2.749,34 NAMENSKA SREDSTVA 7.317,92 0 7.317,92 Namenska sredstva – kupnine 7.317,92 0 7.317,92 DONACIJE 13.444,13 8.126,28 5.317,85 Mednarodna spletna stran 0,14 0 0,14 Projekt Taiex 2,99 0,00 2,99 Projekt Crisp 13.441,00 8.126,28 5.314,72 Za materialne stroške je bilo leta 2017 porabljenih 131.907,44 EUR. Ti stroški vkljucujejo pisarniški material, cišcenje poslovnih prostorov, spremljanje medijev in arhiviranje – kliping, zdravniške preglede zaposlenih, stroške za energijo, vodo, komunalne storitve, pošto in komunikacijo, prevozne stroške in vzdrževanje dveh službenih vozil, taksi storitve, izdatke za službena potovanja, stroške za tekoce vzdrževanje (namestitev zašcitne mreže proti golobom, manjša popravila v poslovnih prostorih, vzdrževalna dela in zavarovanje), odmero nadomestila za uporabo stavbnega zemljišca, narocnino za IUS-INFO in prekrškovni portal, placila sodb sodišc, kvote Javnemu jamstvenemu, preživninskemu in invalidskemu skladu. Na koncu leta je preostanek financnih sredstev znašal 2.340,46 EUR. S postavke materialni stroški je Informacijski pooblašcenec v letu 2017 prerazporedil 12.144,47 EUR prostih pravic porabe v splošno proracunsko rezervacijo pri Ministrstvu za finance. Za investicije je bilo do konca leta porabljenih 19.415,67 EUR. Sredstva so bila porabljena za nakup strojne racunalniške opreme (nadgradnja diskovnih pogonov, nakup racunalnikov, monitorjev in skenerja ter telekomunikacijske opreme) in nakup nematerialnega premoženja (licenca Amebis Besana ter nadgradnja sistema CMS). Konec leta 2017 je na postavki investicije ostalo 84,33 EUR neporabljenih financnih sredstev. Za place zaposlenih (place in dodatki, regres za letni dopust, povracila in nadomestila, sredstva za delovno uspešnost zaradi povecanega obsega dela, drugi izdatki zaposlenim, prispevki za pokojninsko in invalidsko zavarovanje, prispevki za zdravstveno zavarovanje, prispevki za zaposlovanje in starševsko varstvo, premije kolektivnega dodatnega pokojninskega zavarovanja na podlagi Zakona o dodatnem pokojninskem zavarovanju javnih uslužbencev) je bilo porabljenih 1.303.250,66 EUR. Na koncu leta je ostanek financnih sredstev znašal 2.749,34 EUR. S postavke place je Informacijski pooblašcenec v letu 2017 prerazporedil 23.255,00 EUR prostih pravic porabe v splošno proracunsko rezervacijo pri Ministrstvu za finance. Namenska sredstva kupnine – v leto 2017 je bilo prenesenih 7.317,92 EUR financnih sredstev kupnin. V letu 2017 na postavki ni bilo niti prilivov niti porabe. Sredstva v višini 7.317,92 EUR so bila prenesena v leto 2018. Mednarodna spletna stran info-commissioners.org – iz leta 2017 je bilo preneseno 0,14 EUR. Leta 2017 na tej postavki ni bilo porabe, sredstva višini 0,14 EUR so bila prenesena v leto 2018. Projekt Taiex – iz leta 2016 je bilo v leto 2017 na to postavko preneseno 2,99 EUR. Leta 2017 na projektu ni bilo niti prilivov niti porabe, sredstva v višini 2,99 EUR so bila prenesena v leto 2018. Projekt CRISP – Informacijski pooblašcenec je leta 2014 zacel sodelovati v projektu v okviru Sedmega okvirnega programa: THEME [SEC-2013.5.4-1] – »Evaluation and certification schemes for security products – Capability«, št. pogodbe: 607941. Projekt financira Evropska komisija, ki jo zastopa Izvajalska agencija za raziskave, in bo predvidoma trajal 36 mesecev. Osredotoca se na izboljšanje metodologije za certificiranje varnostnih izdelkov, med drugim upoštevajoc vidike varstva osebnih podatkov. Zaposleni pri Informacijskem pooblašcencu sodelujejo pri pripravi posameznih gradiv in analiz, izvajanju raziskav in drugih aktivnostih, napoteni so na sestanke, povezane s projektom, kjer izvajajo posamezne naloge s podrocja varstva osebnih podatkov, ki jih pokriva projekt, ter izvajajo predstavitve, seminarje in delavnice za ciljne skupine projekta. Za sodelovanje v projektu bo Informacijski pooblašcenec prejel namenska financna sredstva v višini 149.230,00 EUR. V okviru rednih aktivnosti za izvajanje projekta bo v 36 mesecih njegovega trajanja Informacijski pooblašcenec iz integralnih proracunskih sredstev zagotovil 24.890,00 EUR. Iz teh sredstev bodo pokriti stroški dela zaposlenih, stroški njihove napotitve na sestanke, sredstva bodo namenjena pokrivanju povecanega obsega dela zaposlenih, njihovih avtorskih honorarjev in drugih stroškov, povezanih s pripravo in izvedbo navedenih aktivnosti, ter pokrivanju materialnih stroškov, ki jih bo s tem imel Informacijski pooblašcenec. Dne 3. 6. 2014 je bilo s strani Evropske komisije na poseben racun, odprt pri Upravi za javna placila, nakazanih 82.076,50 EUR. S sklepom Vlade so bile povecane pravice porabe za leto 2014 v znesku 9.549,00 EUR, porabljenih je bilo 9.236,60 EUR. Leta 2015 so bile s sklepom Vlade povecane pravice porabe na projektu za 22.101,00 EUR, porabljenih je bilo 22.099,25 EUR. Leta 2016 je bilo dne 20. 5. 2016 s strani Evropske komisije na poseben racun, odprt pri Upravi za javna placila, nakazanih 20.802,98 EUR. S sklepom Vlade so bile povecane pravice porabe za leto 2016 v znesku 12.300,00 EUR, in sicer s 50.720 EUR na 63.020,00 EUR, porabljenih je bilo 62.850,63 EUR. Leta 2017 je veljavni proracun znašal 13.441,00 EUR, porabljenih je bilo 8.126,28 EUR (dovoljena je bila poraba samo 8.209,48 EUR, glede na prejeta sredstva v vseh letih). Sredstva so bila porabljena za pokrivanje stroškov zaposlenih ter za pokrivanje stroškov službene poti. Zakljucno financno porocilo je bilo oddano po koncu projekta, maja 2017, vendar je Evropska komisija od vseh sedmih partnerjev zahtevala dodatna pojasnila; Evropska komisija je financno porocilo sprejela šele decembra 2017. Informacijski pooblašcenec je zadnje nakazilo sredstev v višini 29.520,86 prejel v zacetku leta 2018. 2.1. Pravna ureditev na podrocju dostopa do informacij javnega znacaja Pravico dostopa do informacij javnega znacaja je zakonodajalec zagotovil že z Ustavo Republike Slovenije1818 Uradni list RS, št. 33/1991, s spremembami; v nadaljevanju Ustava RS. . Ta v drugem odstavku 39. clena doloca, da ima vsakdo pravico dobiti informacijo javnega znacaja, za katero ima v zakonu utemeljen pravni interes, razen v primerih, ki jih doloca zakon. Ceprav je pravica dostopa do informacij javnega znacaja ena od temeljnih clovekovih pravic in kot taka tudi zašcitena na ustavni ravni, se je zacela uveljavljati šele 11 let po sprejetju Ustave RS, in sicer s sprejetjem Zakona o dostopu do informacij javnega znacaja1919 Uradni list RS, št. 24/2003, s spremembami; v nadaljevanju ZDIJZ. . Dotlej so se posamezne dolocbe o javnosti informacij pojavljale le v nekaterih zakonih; celostno jih je uredil šele ZDIJZ. Tega je Državni zbor RS sprejel konec februarja 2003, veljati pa je zacel 22. 3. 2003. ZDIJZ sledi usmeritvam mednarodnih aktov in EU. Njegov namen je zagotoviti javnost in odprtost delovanja javne uprave ter vsakomur omogociti dostop do javnih informacij, torej tistih, ki so povezane z delovnimi podrocji organov javne uprave. Zakon je uredil postopek, ki vsakomur omogoca prost dostop in ponovno uporabo informacij javnega znacaja, s katerimi razpolagajo državni organi, organi lokalnih skupnosti, javne agencije, javni skladi in druge osebe javnega prava, nosilci javnih pooblastil in izvajalci javnih služb. S tem zakonom sta se v pravni red Republike Slovenije prenesli dve direktivi Evropske skupnosti: Direktiva 2003/4/ES Evropskega parlamenta in Sveta o javnem dostopu do okoljskih informacij in razveljavitvi Direktive 90/313/EGS, ki je zacela veljati 28. 1. 2003, ter Direktiva 2003/98/ES Evropskega parlamenta in Sveta o ponovni uporabi informacij javnega sektorja, ki je zacela veljati 17. 11. 2003. Leta 2005 je bil z novelo ZDIJZ (ZDIJZ-A) narejen še korak naprej. Novela je namrec zožila možnost neupravicenega zapiranja dostopa do informacij in uvedla številne novosti, kot so ponovna uporaba informacij javnega znacaja in pristojnosti upravne inšpekcije na podrocju izvajanja tega zakona. Najpomembnejša novost je bil zagotovo test javnega interesa. Z novelo je bila tudi poudarjena odprtost pri podatkih o porabi javnih sredstev in podatkih, povezanih z delovnim razmerjem ali opravljanjem javne funkcije. S tem se je Slovenija pridružila tistim demokraticnim državam, ki, kadar gre za javni interes, tudi izjeme obravnavajo s pridržkom. Leta 2014 sta bili sprejeti dve noveli ZDIJZ (ZDIJZ-C2020 Uradni list RS, št. 23/2014. in ZDIJZ-D2121 Uradni list RS, št. 50/2014 in 19/2015. ). Najpomembnejša sprememba, ki sta jo prinesli, je, da se je obveznost posredovanja informacij javnega znacaja z organov javnega sektorja razširila tudi na gospodarske družbe in druge pravne osebe pod prevladujocim vplivom (oziroma v vecinski lasti) države, obcin ali drugih oseb javnega prava ter da je AJPES v šestih mesecih po uveljavitvi ZDIJZ-C vzpostavil spletni Register zavezancev za informacije javnega znacaja, ki je javen, podatki v njem pa so dostopni brezplacno. Namen sprememb ZDIJZ je bil, da se poleg zagotavljanja javnosti in odprtosti delovanja javnega sektorja krepita tudi transparentnost in odgovorno ravnanje pri upravljanju s financnimi sredstvi poslovnih subjektov pod prevladujocim vplivom oseb javnega prava. Nadzor javnosti, omejen zgolj na državne organe, obcine in širši javni sektor, se je izkazal za nezadostnega. Financna in gospodarska kriza preteklih let sta namrec povecali obcutljivost javnosti za korupcijo, zlorabo oblasti in slabo upravljanje. K vecji transparentnosti je prispevala tudi proaktivna objava informacij javnega znacaja na spletnih straneh, ki jo zahteva novela ZDIJZ-C. Dne 8. 5. 2016 je v uporabo stopila novela ZDIJZ-E2222 Uradni list RS, št. 102/2015. , ki je bila sprejeta konec leta 2015. Novela je prinesla novosti na podrocju ponovne uporabe informacij javnega znacaja (npr. ponovna uporaba informacij muzejev in knjižnic, ponovna uporaba arhivskega gradiva, zagotavljanje odprtih podatkov za ponovno uporabo). Novela doloca, da organi na nacionalnem portalu odprtih podatkov javnega sektorja, ki ga vodi Ministrstvo za javno upravo, objavijo seznam vseh zbirk podatkov iz svoje pristojnosti z metapodatki ter zbirke odprtih podatkov ali povezave na spletne strani, kjer so zbirke odprtih podatkov objavljene. Podatke, objavljene na tem portalu, lahko kdor koli ponovno brezplacno uporablja v pridobitne ali druge namene, pod pogojem, da to poteka v skladu z ZVOP-1 in da se navede vir podatkov. Novela spreminja tudi podrocje zaracunavanja stroškov dostopa in ponovne uporabe informacij javnega znacaja. Za dostop do informacij javnega znacaja se lahko zaracunajo le materialni stroški, ne pa tudi urne postavke za stroške dela javnih uslužbencev, ki tovrstne zahteve obravnavajo. Na podlagi novele ZDIJZ-E je Vlada RS sprejela novo Uredbo o posredovanju in ponovni uporabi informacij javnega znacaja2323 Uradni list RS, št. 24/2016. , s katero je sprejela enotni stroškovnik za posredovanje informacij javnega znacaja in s tem odpravila posebne stroškovnike organov, na podlagi katerih so ti zaracunavali stroške dela, ter dolocila vrste informacij javnega znacaja, ki jih je treba posredovati na splet. ZDIJZ zagotavlja dostop do informacij, ki so že ustvarjene, in sicer v kakršni koli obliki. S tem zakon zagotavlja preglednost porabe javnega denarja in odlocitev javne uprave, saj ta dela v imenu ljudi in za ljudi. Zavezanci za posredovanje informacij javnega znacaja se delijo v dve skupini: • organi (državni organi, organi lokalnih skupnosti, javne agencije, javni skladi in druge osebe javnega prava, nosilci javnih pooblastil in izvajalci javnih služb) ter • poslovni subjekti pod prevladujocim vplivom oseb javnega prava. Zavezanci so informacije javnega znacaja dolžni zagotavljati na dva nacina: z objavo na spletu in z omogocanjem dostopa na podlagi individualnih zahtev. Za vsako od skupin zavezancev je pojem »informacija javnega znacaja« (torej informacija, ki jo morajo posredovati prosilcu) drugace definiran; pri zavezancih iz druge skupine je ožji. Medtem ko za organe na splošno lahko recemo, da so vsi dokumenti, zadeve, dosjeji, registri, evidence in dokumentarno gradivo, s katerim razpolagajo (ne glede na to, ali jih je organ izdelal sam, v sodelovanju z drugim organom ali jih je pridobil od drugih oseb), informacije javnega znacaja, razen izjem, za poslovne subjekte pod prevladujocim vplivom oseb javnega prava velja ravno obraten miselni proces – informacije javnega znacaja so le tisti dokumenti, zadeve, dosjeji, registri, evidence in dokumentarno gradivo, ki jih kot take doloca ZDIJZ (npr. informacije, povezane s sklenjenimi pravnimi posli, ter informacije o clanih poslovodnega organa, organa upravljanja in organa nadzora). Za te zavezance velja tudi casovna omejitev, saj se dolžnost posredovanja nanaša le na informacije, nastale v casu pod prevladujocim vplivom. Zavezanci, ki izpolnjujejo kriterije za umestitev v obe skupini (npr. gospodarske družbe v 100-odstotni lasti obcine, ki so hkrati tudi izvajalke javne službe), so zavezani posredovati obe vrsti informacij javnega znacaja. Tisti poslovni subjekti pod prevladujocim vplivom oseb javnega prava, ki hkrati ne sodijo med organe, lahko uporabijo t. i. poenostavljen postopek odlocanja o zahtevah (npr. ne izdajo zavrnilne odlocbe, ampak vlagatelja pisno obvestijo o razlogih, zaradi katerih informacije ne bodo posredovali). Ostali zavezanci (npr. nosilci javnih pooblastil, ki so hkrati pod prevladujocim vplivom pravnih oseb javnega prava) so dolžni voditi upravni postopek, kot je dolocen za organe. Informacije javnega znacaja so prosto dostopne vsem, zato pravnega interesa za njihovo pridobitev ni treba izkazovati, dovolj sta radovednost ter želja po znanju in obvešcenosti. Vsak prosilec ima na zahtevo pravico pridobiti informacijo javnega znacaja, in sicer tako, da jo dobi na vpogled ali da dobi njen prepis, fotokopijo ali elektronski zapis. Zavezanec mora o zahtevi odlociti v 20 delovnih dneh, organi lahko v izjemnih okolišcinah podaljšajo rok za najvec 30 delovnih dni. Vpogled v zahtevano informacijo je brezplacen. Za posredovanje prepisa, fotokopije ali elektronskega zapisa zahtevane informacije lahko zavezanec prosilcu zaracuna materialne stroške. Ce zavezanec prosilcu ne posreduje zahtevane informacije javnega znacaja, ima prosilec v 15 dneh pravico vložiti pritožbo zoper zavrnilno odlocbo ali obvestilo, s katerim je zavezanec zahtevo zavrnil. O pritožbi odloca Informacijski pooblašcenec. Prav tako ima prosilec pravico do pritožbe, ce mu zavezanec na zahtevo ni odgovoril (oziroma je v molku) ali ce informacije ni dobil v obliki, v kateri jo je zahteval. Zavezanec lahko prosilcu dostop do zahtevane informacije zavrne, ce se zahteva nanaša na eno izmed izjem, dolocenih v prvem odstavku 6. clena ZDIJZ in 5.a clenu ZDIJZ (tajni podatek, poslovna skrivnost, osebni podatek, davcna tajnost, sodni postopek, upravni postopek, statisticna zaupnost, dokument v izdelavi, notranje delovanje organa, varovanje naravne oziroma kulturne vrednote …). Kljub navedenim izjemam organ dostop do zahtevane informacije vedno dovoli, ce gre za podatke o porabi javnih sredstev ali za podatke, povezane z opravljanjem javne funkcije ali z delovnim razmerjem javnega uslužbenca. Zavezanec pod prevladujocim vplivom prosilcu praviloma ne sme zavrniti dostopa, ce gre za absolutno javne informacije (osnovni podatki o poslih, ki se nanašajo na izdatke); razkritju teh podatkov se lahko poslovni subjekt izogne le, ce izkaže, da bi to huje škodovalo njegovemu konkurencnemu položaju na trgu. Ce dokument, ki ga zahteva prosilec, delno vsebuje informacije iz 5.a ali 6. clena ZDIJZ, to ni razlog, da bi zavezanec zavrnil dostop do celotnega dokumenta. Ce je te informacije mogoce iz dokumenta izlociti, ne da bi to ogrozilo njihovo zaupnost, se jih prekrije, prosilcu pa se posreduje preostali del informacij javnega znacaja. Zavezanec mora namrec v skladu z 19. clenom Uredbe o posredovanju in ponovni uporabi informacij javnega znacaja2424 Uradni list RS, št. 24/2016. varovane podatke prekriti in prosilcu omogociti vpogled v preostanek dokumenta (ali fotokopije ali elektronskega zapisa). Ce poda zahtevo za posredovanje informacij medij na podlagi 45. clena ZMed, je postopek nekoliko drugacen, saj informacije po ZMed niso enake informacijam javnega znacaja po dolocbah ZDIJZ. Informacije za medije so širši pojem kot informacije javnega znacaja, saj med prve sodi tudi priprava odgovorov na vprašanja (pojasnila, razlage, analize, komentarji). Ce medij zahteva odgovor na vprašanje, se njegova vloga obravnava po dolocbah ZMed, ce pa zahteva dostop do dokumenta, se njegova vloga obravnava po ZDIJZ. Medij mora vprašanje vložiti pisno po navadni ali elektronski pošti (digitalno potrdilo ali elektronski podpis nista potrebna), zavezanec pa ga mora o zavrnitvi ali delni zavrnitvi pisno obvestiti do konca naslednjega delovnega dne. V nasprotnem primeru mora zavezanec odgovor na vprašanje poslati najpozneje v sedmih delovnih dneh od prejema vprašanja, pri cemer sme odgovor zavrniti le, ce so zahtevane informacije izvzete iz prostega dostopa po ZDIJZ. Medij lahko po prejemu odgovora zahteva dodatna pojasnila, ki mu jih mora zavezanec posredovati najpozneje v treh dneh. Ce zavezanec z informacijo, ki predstavlja odgovor na vprašanje, ne razpolaga v materializirani obliki, se medij ne more pritožiti zoper obvestilo o zavrnitvi ali delni zavrnitvi odgovora. Pritožba pa je dovoljena, kadar odgovor na vprašanje izhaja iz dokumenta. 2.2. Število vloženih pritožb in število rešenih zadev Leta 2017 je Informacijski pooblašcenec prejel 522 pritožb, od tega 314 zoper zavrnilne odlocbe, 201 zoper molk prvostopenjskih organov in sedem zoper poslovne subjekte pod prevladujocim vplivom oseb javnega prava. V okviru pritožbenih postopkov zoper odlocbe, s katerimi so zavezanci zavrnili zahteve po dostopu ali ponovni uporabi informacij javnega znacaja, je Informacijski pooblašcenec vodil sedem postopkov zoper poslovne subjekte pod prevladujocim vplivom države, obcin ali drugih oseb javnega prava. Izdal je 316 odlocb, v štirih primerih je pritožbo s sklepom zavrgel, dva prosilca pa sta svoji pritožbi umaknila. Pri reševanju pritožb je opravil 61 ogledov in camera, tj. ogledov brez prisotnosti stranke, ki zahteva dostop do informacije javnega znacaja, na katerih je ugotavljal dejansko stanje dokumentov pri organu. Informacijski pooblašcenec je v pritožbenih postopkih zaradi molka zavezance najprej pozval, naj o zahtevi prosilca cim prej odlocijo. V vecini primerov so zavezanci po pozivu Informacijskega pooblašcenca o zahtevi prosilca odlocili in prosilcem posredovali zahtevane informacije. Z odgovorom zavezanca je bil postopek zaradi molka zakljucen, prosilci, ki so prejeli zavrnilno odlocbo, pa so imeli možnost pritožbe Informacijskemu pooblašcencu. V 16 primerih je Informacijski pooblašcenec pritožbo s sklepom zavrgel, in sicer v 15 primerih zaradi preuranjenosti in v enem primeru zaradi pomanjkljive vloge. Osem posameznikov je pritožbe umaknilo, ker so zahtevano dokumentacijo prejeli, v dveh primerih je Informacijski pooblašcenec prosilcema pojasnil, da za reševanje njunih vlog ni pristojen, in jima svetoval, kako ravnati, v enem primeru je vlogo odstopil v reševanje pristojnemu organu, v enem primeru pa je podal tudi prijavo upravni inšpekciji zaradi kršitev dolocb ZDIJZ in ZUP. Leta 2017 je Informacijski pooblašcenec prejel 324 pisnih prošenj za pomoc in razlicnih vprašanj posameznikov glede dostopa do informacij javnega znacaja, v okviru dežurstev v casu uradnih ur pa je prejel 729 klicev, ki so se nanašali na podrocje dostopa do informacij javnega znacaja. Vsem je odgovoril v okviru svojih pristojnosti, najveckrat jih je napotil na pristojno institucijo. Informacijski pooblašcenec je namrec drugostopenjski organ, ki odloca o pritožbi, in ni pristojen, da v fazi, ko mora odlocati organ prve stopnje, odgovarja na konkretna vprašanja, ali je dolocen dokument informacija javnega znacaja ali ne. V skladu z 32. clenom ZDIJZ mnenja na podrocju dostopa do informacij javnega znacaja daje ministrstvo, pristojno za javno upravo. 2.3. Število vloženih tožb na Upravnem sodišcu, število sodb Upravnega in Vrhovnega sodišca Pritožba zoper odlocbo Informacijskega pooblašcenca ni dopustna, mogoce pa je sprožiti upravni spor. Leta 2017 je bilo zoper odlocbe Informacijskega pooblašcenca na Upravnem sodišcu vloženih 50 tožb, tj. zoper 15,8 % izdanih odlocb. Delež je relativno majhen, kar kaže na uveljavitev transparentnosti in odprtosti javnega sektorja, pa tudi na sprejemanje odlocb Informacijskega pooblašcenca s strani zavezancev in prosilcev. Upravno sodišce je leta 2017 odlocilo o 31 tožbah, ki so bile vložene zoper odlocbe Informacijskega pooblašcenca, in: • tožbo zavrnilo – 19, • tožbi ugodilo, izpodbijano odlocbo oziroma del odlocbe odpravilo in zadevo vrnilo Informacijskemu pooblašcencu v ponovno odlocanje – 10, • tožbo v enem delu zavrglo, v enem delu pa ji ugodilo, odlocbo Informacijskega pooblašcenca delno odpravilo in mu jo vrnilo v ponoven postopek – 1, • postopek s sklepom ustavilo – 1. Leta 2017 Informacijski pooblašcenec ni vložil nobene revizije zoper sodbo Upravnega sodišca, je pa revizijo vložil en zavezanec. Do konca leta 2017 je Informacijski pooblašcenec prejel pet odlocitev Vrhovnega sodišca v zvezi z revizijami zoper sodbe Upravnega sodišca. Vrhovno sodišce RS je: • revizijo zavrnilo – 2, • revizijo s sklepom zavrglo – 2, • revizijski postopek do odlocitve Sodišca Evropske unije o zastavljenem predhodnem vprašanju prekinilo –1. 2.4. Statistika po posameznih podrocjih ZDIJZ Število izdanih odlocb na podrocju dostopa do informacij javnega znacaja se je leta 2017 v primerjavi s preteklimi leti vnovic nekoliko povecalo: Informacijski pooblašcenec je izdal 316 odlocb (leta 2016 jih je izdal 312), kar je najvec doslej. Slika 3: Število izdanih odlocb na podrocju dostopa do informacij javnega znacaja med letoma 2006 in 2017. Informacijski pooblašcenec je v izdanih odlocbah: • pritožbo zavrnil – 144, • pritožbi delno ali v celoti ugodil oziroma rešil zadevo v korist prosilca – 123, • pritožbi ugodil in zadevo vrnil v ponovno odlocanje prvostopenjskemu organu – 44, • pritožbo zavrgel – 3, • odlocbo prvostopenjskega organa razglasil za nicno – 2. Slika 4: Odlocitve Informacijskega pooblašcenca glede prejetih pritožb. Informacijski pooblašcenec je v odlocbah vsebinsko odlocal oziroma presojal: • ali zavezanec ima dokument oziroma informacijo javnega znacaja, ki jo je zahteval prosi- lec – 87, • ali zahtevani dokumenti vsebujejo osebne podatke, katerih razkritje bi pomenilo kršitev varstva osebnih podatkov v skladu z ZVOP-1 – 83, • ali gre za kršitev pravil postopka – 62, • ali prosilci zahtevajo informacije oziroma podatke, ki so v skladu z zakonom, ki ureja gospodarske družbe, opredeljeni kot poslovna skrivnost – 50, • ali gre za zlorabo pravice po ZDIJZ – 29, • ali je interes javnosti glede razkritja mocnejši od javnega interesa ali interesa drugih oseb za omejitev dostopa do zahtevane informacije – 28, • ali so zahtevane informacije podatki iz dokumenta, ki je bil sestavljen v zvezi z notranjim delovanjem oziroma dejavnostjo organov, in bi njegovo razkritje povzrocilo motnje v delovanju oziroma dejavnosti organa – 19, • ali se zahtevane informacije nanašajo na delo in osebne podatke javnih uslužbencev in funkcionarjev – 19, • ali gre za delovno podrocje organa – 17, • ali so zahtevane informacije podatki, ki so na podlagi zakona, ki ureja tajne podatke, opredeljeni kot tajni – 15, • ali so zahtevane informacije podatki, katerih razkritje bi pomenilo kršitev zaupnosti davcnega postopka ali davcne tajnosti skladno z zakonom, ki ureja davcni postopek – 12, • odlocbe, izdane po sodbah Upravnega sodišca RS – 10, • ali so zahtevane informacije podatki, ki so bili pridobljeni ali sestavljeni zaradi kazenskega pregona ali v zvezi z njim ali zaradi postopka o prekršku, in bi njihovo razkritje škodovalo njegovi izvedbi – 9, • ali zahtevani dokument izpolnjuje pogoje za obstoj informacije javnega znacaja v skladu s prvim odstavkom 4. clena ZDIJZ – 9, • ali gre za podatek, glede katerega zakon doloca varovanje tajnosti vira – 9, • ali so zahtevane informacije podatki iz dokumentov, ki so v postopku izdelave in so še predmet posvetovanja v organu, njihovo razkritje pa bi povzrocilo napacno razumevanje vsebine dokumentov – 8, • ali je zahtevana informacija zavarovana skladno z zakonom, ki ureja avtorsko pravico – 7, • ali so zahtevani dokumenti iz postopkov javnega narocanja – 7, • ali je organ pravilno zaracunal stroške posredovanja informacij javnega znacaja – 6, • ali gre za kršitev materialnega prava – 5, • izdaja odlocbe v postopku, ko je prosilec zahteval dokument, povezan s pravom EU – 5, • ali so zahtevane informacije podatki, ki so bili pridobljeni ali sestavljeni zaradi pravdnega, nepravdnega ali drugega sodnega postopka, in bi njihovo razkritje škodovalo njegovi izved-bi – 3, • izdaja odlocbe v postopku, ko organ prosilcu ni izdal odlocbe v zvezi z zahtevanimi dokumenti, ampak mu je posredoval informacije javnega znacaja, ki jih prosilec sploh ni zahteval – 3, • ali gre za ponovno uporabo informacije javnega znacaja – 3, • ali so zahtevane informacije podatki, ki so bili pridobljeni ali sestavljeni zaradi nadzornega postopka, ki je v teku, ali zakljucenega nadzornega postopka, ce bi razkritje zahtevane informacije povzrocilo škodo drugi osebi ali ce bi to resno ogrozilo izvajanje drugih zakonskih nalog nadzorne institucije, ki je vodila postopek – 3, • ali gre za okoljske podatke – 2, • ali so zahtevane informacije podatki, ki so bili pridobljeni ali sestavljeni zaradi upravnega postopka, in bi njihovo razkritje škodovalo njegovi izvedbi – 2, • ali sploh gre za pravico po ZDIJZ ali za pravico na kakšni drugi pravni podlagi – 2, • ali gre za proaktivno objavo informacij – 1, • ali so zahtevane informacije podatki, za katere drug zakon samostojno doloca izjemo od prostega dostopa – 1, • ali so podatki oznaceni s stopnjo tajnosti v nasprotju za zakonom, ki ureja tajne podatke – 1. Slika 5: Odlocbe na podrocju ZDIJZ glede na razlicne izjeme. (Opomba: ena odlocba se lahko nanaša na vec izjem.) Pritožbe prosilcev zaradi zavrnitve dostopa do informacij javnega znacaja, o katerih je Informacijski pooblašcenec odlocil z odlocbo, so zadevale naslednje skupine zavezancev: • državni organi – 155, od tega ministrstva in organi v sestavi ter upravne enote 114, sodišca, vrhovno državno tožilstvo, državno pravobranilstvo pa 30, • javni skladi, zavodi, agencije, izvajalci javnih služb, nosilci javnih pooblastil in druge pravne osebe javnega prava – 113, • obcine – 41, • poslovni subjekti pod prevladujocim vplivom države, obcin ali drugih oseb javnega prava – 7. Slika 6: Pritožbe prosilcev glede na zavezanca. V 211 primerih so bili prosilci fizicne osebe, v 65 primerih so se pritožile pravne osebe zasebnega sektorja, novinarji so se pritožili 33-krat, pravne osebe javnega sektorja pa sedemkrat. Slika 7: Struktura prosilcev za dostop do informacij javnega znacaja. 2.5. Storjeni prekrški po ZDIJZ, ZInfP in ZMed Leta 2017 je Informacijski pooblašcenec zacel en postopek zaradi prekrška po drugem odstavku 39. clena ZDIJZ, ker je organ po prejemu zahteve za dostop do informacij javnega znacaja trajno izbrisal zahtevane dokumente z namenom, da informacija ne bi bila dostopna javnosti. Postopek še ni zakljucen. 2.6. Predstavitev najodmevnejših in precedencnih primerov po podrocjih V nadaljevanju je predstavljenih nekaj najzahtevnejših in najzanimivejših odlocb iz leta 2017. Razvršcene so po podrocjih. 2.6.1 Ali gre za delovno podrocje organa, poslovna skrivnost Z odlocbo št. 090-153/2017/10 z dne 7. 9. 2017 je Informacijski pooblašcenec Javnemu podjetju Vodovod - Kanalizacija, d. o. o., (organ) naložil, da prosilcu omogoci vpogled v dolocene dele pogodb o poslovnem sodelovanju (zahtevane pogodbe), ki jih je organ sklenil s konkretnimi upravniki vecstanovanjskih stavb (stranski udeleženci). Organ je v izpodbijani odlocbi zatrjeval, da predmetne pogodbe niso povezane z javnopravnim delovanjem in da so poslovna skrivnost. Informacijski pooblašcenec je v pritožbenem postopku ugotovil, da ima organ z etažnimi lastniki sklenjene dogovore o dobavi pitne vode, ki jo organ izvaja kot obvezno gospodarsko javno službo. Stranski udeleženci so, kot upravniki vecstanovanjskih stavb, z organom sklenili zahtevane pogodbe, s katerimi je bilo dogovorjeno, da bodo racune za izvajanje storitev te javne službe organu v celoti poravnali stranski udeleženci, ki to obveznost prevzemajo kot poroki in placniki. Z zahtevanimi pogodbami je bilo dogovorjeno tudi placilo, ki za prevzem pogodbeno dogovorjenih obveznosti in rizika neplacevanja s strani etažnih lastnikov oziroma neizterjanega dolga pripada stranskim udeležencem. V skladu z ustaljeno sodno prakso so informacije javnega znacaja vse informacije, ki so kakor koli povezane z izvajanem dejavnosti javne službe oziroma kažejo na dejstvo oziroma okolišcino, ki vpliva ali bi lahko vplivala na izvrševanje javnih nalog. Organ z zahtevanimi pogodbami izvajanja javne službe sicer ni prenesel na tretjo osebo, je pa s temi pogodbami dolocene naloge v zvezi s placilom za storitve javne službe prenesel na stranske udeležence, pri cemer je na podlagi z zahtevanimi pogodbami dogovorjenega nacina placila mogoce zakljuciti, da so financna sredstva, zaracunana koncnim uporabnikom iz naslova izvajanja javne službe, razporejena drugace, kot bi bila, ce zahtevane pogodbe ne bi bile sklenjene. Del sredstev namrec namesto na organ, tj. na dejanskega izvajalca javne službe, odpade na stranske udeležence v zameno za prevzem vseh pogodbeno dogovorjenih obveznosti. Zahtevane pogodbe imajo torej financne posledice tudi na podrocju izvajanja javne službe organa, zaradi cesar so povezane z izvajanjem javnopravnih nalog organa (tj. javne službe). Navedeno pomeni, da zahtevane pogodbe izvirajo iz delovnega podrocja organa in posledicno predstavljajo informacije javnega znacaja po prvem odstavku 4. clena ZDIJZ. Informacijski pooblašcenec je v nadaljevanju presojal, ali zahtevane pogodbe vsebujejo podatke, ki so poslovna skrivnost (2. tocka prvega odstavka 6. clena ZDIJZ). V zahtevanih pogodbah so bila kot placilo za prevzem obveznosti dogovorjena (tudi) sredstva, ki bi jih organ pridobil za izvajanje gospodarske javne službe, ta sredstva pa nedvomno predstavljajo javna sredstva, kot so opredeljena v Zakonu o racunskem sodišcu.2525 Uradni list RS, št. 11/2001, s spremembami in dopolnitvami; v nadaljevanju ZRacS-1. Pojem javnih sredstev namrec ne zajema zgolj proracunskih sredstev, temvec tudi sredstva, ki jih izvajalec javne službe za izvajanje le-te pridobi iz drugih virov (npr. od koncnih uporabnikov). Organ je torej v zvezi z izvajanjem obravnavane javne službe uporabnik javnih sredstev, posledicno pa podatki o porabi teh sredstev (npr. placilo stranskim udeležencem) predstavljajo podatke o porabi javnih sredstev. Ti podatki so javni na podlagi tretjega odstavka 6. clena ZDIJZ, ki javnosti omogoca seznanitev z nacinom razpolaganja z javnimi sredstvi. Zato je v konkretnem primeru treba razkriti dolocbe zahtevanih pogodb, ki opredeljujejo predmet pogodbe ter obracun in placilo storitev iz pogodbe, ter tudi podatke o pogodbenih strankah. Teh podatkov po naravi stvari ni mogoce dolociti za poslovno skrivnost, ker gre za podatke, ki so javni že na podlagi zakona (tretji odstavek 39. clena Zakona o gospodarskih družbah)2626 Uradni list RS, št. 65/2009 – uradno precišceno besedilo, s spremembami; v nadaljevanju ZGD-1. in jih je organ zato dolžan posredovati prosilcu. V preostalem delu zahtevane pogodbe ne vsebujejo podatkov o porabi javnih sredstev in so varovane kot poslovna skrivnost, zato se v tem delu pritožba prosilca zavrne. 2.6.2. Ali gre za zlorabo pravice? Informacijski pooblašcenec je z odlocbo 090-175/2017 z dne 8. 11. 2017 potrdil odlocbo, s katero je organ zavrnil zahtevo, ker so prosilci zlorabili pravico dostopa do informacij javnega znacaja. Prosilci so v elektronski obliki zahtevali dostop do tožb, odgovorov na tožbe, pripravljalnih vlog in ostalih vlog strank ter sklepov, sodb in ostalih odlocb enega izmed oddelkov organa v zadevah za doloceno preteklo obdobje in tudi v bodocih zadevah. Informacijski pooblašcenec je v pritožbenem postopku presojal, ali je organ ugotovil vsa dejstva, ki so potrebna pri presoji, ali bi bilo delo organa resno ohromljeno zaradi upravnega bremena, ki bi bilo posledica obravnave navedene zahteve. Organ je ugotovil, da se zahteva nanaša na 792 sodnih spisov, kar je pomenilo 10.407 strani. Nato je preucil, kakšno delo bi bilo dejansko potrebno za zagotovitev dostopa do teh dokumentov. V konkretnem primeru je namrec problematicna dolgotrajnost celotnega postopka identifikacije dokumentov, na katere se zahteva nanaša, in njihova obdelava v skladu z ZDIJZ (zlasti izvedba delnega dostopa, ker zahtevani dokumenti niso oblikovani kot tipski obrazci, na katerih bi bilo mogoce izvesti delni dostop po nekem kljucu; ker gre za kompleksna, vecinoma pravna, pisanja, katerih vsebina se razlikuje, zaradi cesar je treba presojati vsebino vsakega dokumenta posebej; ker zaradi nepravilno izvedenega delnega dostopa lahko pride do neupravicenega razkrivanja podatkov, ki niso javni, kar lahko pripelje do posega v pravice tretjih oseb in do odškodninske odgovornosti organa). Organ je v preizkus zajel razlicne vrste dokumentov, pri cemer je ugotovil, da je v povprecju potrebna 1 minuta efektivnega dela za 1 stran zahtevane dokumentacije. Temu je treba dodati še cas, ki je teže vnaprej dolocljiv in se nanaša na ostale potrebne dejavnosti, ki v preizkusu, ki ga je izvedel organ, niso bile upoštevane (cas, potreben za prevoz na sedež organa, za razdelitev spisov med sodno osebje, za identifikacijo vlog in pregled že objavljenih sodnih odlocb, ki niso predmet zahteve, za shranjevanje na CD, za vkljucitev stranskih udeležencev). Na podlagi pojasnil organa o tem, koliko oseb bi lahko sodelovalo pri pripravi zahtevane dokumentacije, je mogoce objektivno predvideti, da bi vsebinska obravnava zahteve prosilcev glede na naravo vsebovanih informacij, ki terja temeljitost, delo organa ovirala do te mere, da svojih nalog v sodnih postopkih ne bi mogel vec izvajati tako, da bi ustrezno zavaroval pravice strank v teh postopkih. Grožnja, da bo delo organa resno ohromljeno zaradi upravnega bremena, ki bi bilo posledica obravnave zahteve po ZDIJZ, je torej v konkretnem primeru resnicna. Posredovanje informacij javnega znacaja je ena izmed zakonsko dolocenih nalog organa, zato je organ dolžan zagotoviti ustrezna sredstva in kader, ki bo takšne zahteve reševal. Vendar pa ima tudi ta dolžnost meje. To izhaja iz dolocb Zakona o splošnem upravnem postopku2727 Uradni list RS, št. 24/2006 – uradno precišceno besedilo, s spremembami; v nadaljevanju ZUP. , iz katerih med drugim izhaja, da morajo stranke pošteno uporabljati svoje pravice. Glede na kolicino dela, ki so jo prosilci v konkretnem primeru naložili organu, je mogoce njihovo zahtevo opisati kot ravnanje, ki ne predstavlja poštene uporabe pravic. Iz ZUP in ZDIJZ izhaja dolžnost organa, da preden zahtevo zavrne zaradi zlorabe pravice, preuci tudi vse druge možnosti. V zvezi s tem je organ ugotovil, da teže upravnega bremena, ki jo prinaša obravnava zahteve v konkretnem primeru, ni mogoce zmanjšati niti s podaljšanjem roka za posredovanje zahtevane dokumentacije (24. clen ZDIJZ), niti z dodatnimi pojasnili prosilcem, niti z odlocanjem z delnimi odlocbami. Informacijski pooblašcenec je na koncu presojal, ali je odvzem pravice iz drugega odstavka 39. clena Ustave RS v skladu z nacelom sorazmernosti, in sicer na nacin, kot izhaja iz prakse Ustavnega sodišca RS. Zaradi uresnicevanja pravice iz drugega odstavka 39. clena Ustave RS bi v konkretnem primeru prišlo do posega v pravico do sodnega varstva iz 23. clena Ustave RS, na podlagi katerega je organ dolžan zagotavljati sojenje v razumnem roku. Informacijski pooblašcenec je ocenil, da je v konkretnem primeru zavrnitev zahteve prosilcev iz razloga, da gre za zlorabo pravice, nujen in primeren ukrep za dosego ustavno varovanih ciljev. Poleg tega koristi, ki jih prinaša nemoten potek sodnih postopkov, ki tecejo pri organu in s katerimi se zagotavlja varstvo pravic strank v teh postopkih, odtehta težo posega v pravico prosilcev do dostopa do informacij javnega znacaja. Odvzem pravice prosilcev v konkretnem primeru torej prestane vse tri vidike t. i. strogega testa sorazmernosti, kar pomeni, da je ustavno dopusten. Informacijski pooblašcenec je zakljucil, da so prosilci v konkretnem primeru prekoracili pravno mejo pravice dostopa do informacij javnega znacaja, s cimer so izvršili ravnanje, ki predstavlja zlorabo pravice, zato je odlocitev organa, da se zahteva zavrne na podlagi petega odstavka 5. clena ZDIJZ, pravilna. 2.6.3. Avtorsko delo Z odlocbo št. 090-131/2017 z dne 26. 7. 2017 je Informacijski pooblašcenec Slovenskemu inštitutu za standardizacijo (organ) naložil, da prosilcu v elektronski obliki posreduje angleški original in slovenski prevod standarda ISO 22716:2007 (zahtevana standarda). Organ je v izpodbijani odlocbi navedel, da zahtevana standarda ne sodita v delovno podrocje, kot je opredeljeno v 4. clenu ZDIJZ. Informacijski pooblašcenec je v pritožbenem postopku pojasnil, da se delovno podrocje organa po ZDIJZ razteza na vsak podatek, ki je nastal v zvezi z izvajanjem javnopravnih nalog oziroma v zvezi z dejavnostjo organa. Organ je slovenski nacionalni organ za standarde, ustanovljen za doseganje ciljev iz 3. clena Zakona o standardizaciji.2828 Uradni list RS, št. 59/1999; v nadaljevanju ZSta-1. Naloge za dosego teh ciljev (med katere spada tudi izdajanje standardov) lahko opravlja izkljucno organ, pri cemer ima pravico v pecatu, štampiljki ali na dokumentih uporabljati grb Republike Slovenije, njihovo izvajanje pa se financira iz državnega proracuna. Zahtevana standarda je organ prejel oziroma pripravil v okviru opravljanja svojih zakonsko dolocenih nalog po ZSta-1, zato sodita v delovno podrocja organa in sta posledicno informacija javnega znacaja. Organ je zatrjeval, da zahtevana standarda predstavljata avtorsko delo, zaradi cesar dostop ni mogoc. Informacijski pooblašcenec je poudaril, da se v primeru, ce zahtevana informacija predstavlja avtorsko delo, lahko zavrne le dolocen nacin seznanitve z njo (elektronska kopija, fotokopija), ne pa tudi sam dostop do informacije (npr. vpogled). Zahtevana standarda sta avtorsko delo, kot ga doloca Zakon o avtorski in sorodnih pravicah2929 Uradni list RS, št. 16/2007 – uradno precišceno besedilo, s spremembami; v nadaljevanju ZASP. , vendar predstavljata uradno besedilo, ki ne uživa avtorskopravnega varstva (9. clen ZASP). Za takšno opredelitev je bistveno, da se na zahtevana standarda sklicuje Uredba (ES) št. 1223/2009 o kozmeticnih izdelkih3030 Uredba (ES) št. 1223/2009 Evropskega parlamenta in Sveta z dne 30. november 2009 o kozmeticnih izdelkih, UL L 342/59, 22. 12. 2009, v nadaljevanju Uredba št. 1223/2009. , ki se neposredno uporablja v Republiki Sloveniji in ki od proizvajalcev kozmeticnih izdelkov, uvoznikov in distributerjev zahteva, da so vsi izdelki na trgu EU izdelani po nacelu dobre proizvodne prakse. Neizvajanje teh obveznosti predstavlja prekršek po Uredbi o izvajanju Uredbe (ES) o kozmeticnih izdelkih3131 Uradni list RS, št. 61/2013. . Proizvodnja je skladna z dobro proizvodno prakso, kadar je skladna z ustreznimi usklajenimi standardi, katerih sklicevanja so objavljena v Uradnem listu Evropske unije. V Uradnem listu Evropske unije je bilo objavljeno Sporocilo Komisije v okviru izvajanja Uredbe št. 1223/20093232 Sporocilo Komisije v okviru izvajanja Uredbe (ES) št. 1223/2009 Evropskega parlamenta in Sveta o kozmeticnih izd- elkih (Objava naslovov in sklicev harmoniziranih standardov), 2011/C 123/04, 21. 4. 2011. , v katerem sta bila navedena tudi naslov in sklic na angleški original standarda, ki ga zahteva prosilec. Iz ZASP izhaja, da se za uradno besedilo šteje le dokument, ki predstavlja zavezujoc predpis v smislu, da je njegova raba obvezna. Zadošca, da se organ z oblastvenimi upravicenji nanj sklicuje kot na merodajnega in tako vpliva na pravni položaj posameznika. V trenutku, ko dokument v veljavno zakonodajo vkljuci organ z oblastvenimi upravicenji, postane ta dokument uradno besedilo in njegovo reproduciranje ne sme biti omejeno. Bistvo takšne ureditve je cim vecje razširjanje in objavljanje uradnih besedil, ki uravnavajo družbo, zaradi javnega interesa po seznanjenosti z njimi. V takem primeru se mora avtorjev interes umakniti javnemu, omejevanje uporabe predpisov z avtorskim pravom pa bi bilo v neposrednem nasprotju z njihovim poslanstvom in smislom. V konkretnem primeru je s prej navedenima uredbama dolocena obveznost skladnosti proizvodnje tudi z zahtevanima standardoma. Poznavanje teh standardov namrec vpliva na pravni položaj posameznika – proizvajalca, saj je proizvodnja izdelka, ki ni skladen z njima, nedopustna in pomeni prekršek. Na podlagi navedenega je Informacijski pooblašcenec zakljucil, da zahtevana standarda predstavljata uradno besedilo in zato ne uživata avtorskopravnega varstva, kar pomeni, da ju je organ na podlagi ZDIJZ dolžan posredovati prosilcu v obliki elektronske kopije oziroma fotokopije. 2.6.4. Dokument v izdelavi, tajni podatki, notranje delovanje Informacijski pooblašcenec je z odlocbo št. 090-258/2017 z dne 13. 12. 2017 Kabinetu predsednika vlade RS (organ) naložil, da umakne stopnjo tajnosti z osnutka Zakona o spremembah in dopolnitvah Zakona o Slovenski obvešcevalno-varnostni agenciji (zahtevani osnutek) in ta dokument v elektronski obliki posreduje prosilcu. Organ se je v izpodbijani odlocbi skliceval na izjeme iz 1. (tajni podatki), 9. (dokument v izdelavi) in 11. (notranje delovanje organa) tocke prvega odstavka 6. clena ZDIJZ. Informacijski pooblašcenec je v pritožbenem postopku ugotovil, da zahtevani osnutek izpolnjuje formalni kriterij po Zakonu o tajnih podatkih3333 Uradni list RS, št. 50/2006 – uradno precišceno besedilo, s spremembami; v nadaljevanju ZTP. , ne pa tudi materialnega. Za opredelitev materialnega kriterija je kljucna vsebina dokumenta. Zahtevani osnutek predstavlja pripravo besedila zakona in se zato ne nanaša na interesna podrocja države, ki jih je ZTP v 5. clenu opredelil kot posebej obcutljiva oziroma takega pomena, da jih je ob izpolnjevanju nadaljnjih pogojev mogoce varovati s stopnjo tajnosti. Tudi originator tega osnutka v oceni škodljivih posledic ni jasno navedel, katerim konkretnim interesom države Republike Slovenije bi škodovalo razkritje informacij iz zahtevanega osnutka. V oceni škodljivih posledic se je zgolj na splošno skliceval na zakonsko dolocbo, konkretno pa se ni opredelil niti do nastanka škode, ki naj bi z razkritjem nastala varnosti in interesom RS. Tako splošna in široka opredelitev dokumenta za tajnega po ZTP ne izpolnjuje pogojev, ki jih zahteva materialni kriterij tajnega podatka po ZTP. Ker morata biti za opredelitev tajnega podatka hkrati izpolnjena oba kriterija, je Informacijski pooblašcenec zakljucil, da v konkretnem primeru ni podana izjema tajnih podatkov, in originatorju naložil, da z zahtevanega osnutka umakne stopnjo tajnosti »interno«.   Za obstoj izjeme notranjega delovanja organa morata biti kumulativno izpolnjena dva pogoja: podatek mora izhajati iz dokumenta, ki je bil sestavljen v zvezi z notranjim delovanjem oziroma dejavnostjo organa, razkritje takšnega podatka pa bi povzrocilo motnje pri delovanju oziroma dejavnosti organa. Informacijski pooblašcenec je ugotovil, da gre v obravnavanem primeru za pripravo predpisa, ki vselej vpliva na življenje, pravice in obveznosti vseh državljanov. Priprava zakonskega besedila že po vsebini in namenu pomeni urejanje delovanja navzven in ne navznoter. Priprava predpisov predstavlja proces pravnega urejanja družbeno najpomembnejših vprašanj s strani organov javnih oblasti, zato je preglednost postopka in možnost sodelovanja stroke in civilne družbe demokraticni standard, ki je v sodobnih demokraticnih državah nujen. Upoštevaje navedeno pri pripravi predpisa, ki nedvomno ucinkuje navzven, ni mogoce govoriti, da gre za dokument v zvezi z notranjim delovanjem organa. Že prvi pogoj za obstoj izjeme notranjega delovanja organa torej ni izpolnjen, zaradi cesar ta izjema ni podana.   Informacijski pooblašcenec je nadalje ugotavljal, ali gre za izjemo dokumenta v izdelavi, za opredelitev katere morajo biti kumulativno izpolnjeni trije pogoji: dokument mora biti še v postopku izdelave in predmet posvetovanja, razkritje dokumenta pa bi povzrocilo napacno razumevanje njegove vsebine. Skladno z Uredbo se šteje, da je dokument v postopku izdelave, ce ga še ni podpisala in odposlala ali kako drugace zakljucila uradna oseba organa, ki je z veljavnimi predpisi pooblašcena za odlocanje. Zahtevani osnutek je nastal v postopku sprejemanja novele zakona, in sicer v zacetni fazi postopka sprejemanja predloga zakona, saj gre za osnutek delovnega gradiva zakona. Med zakonodajnimi postopki že zaradi narave teh postopkov nastajajo dokumenti, ki sami po sebi ne predstavljajo koncnega izdelka dolocene faze postopka (bodisi predpisa bodisi predloga predpisa), temvec zgolj verzije (razlicice) le-tega. Vendar pa to ne pomeni, da je konkretni dokument (tudi dolocena verzija delovnega gradiva zakona) še vedno v postopku izdelave. Informacijski pooblašcenec je ugotovil, da je zahtevani osnutek zakljucen, saj ga je podpisala odgovorna oseba organa, obenem pa je bil dokument tudi posredovan izven organa na Ministrstvo za pravosodje. V konkretnem primeru tako nista izpolnjena ne prvi ne drugi pogoj za obstoj predmetne izjeme. Zahtevani osnutek pa ne bi prestal niti škodnega testa (tretjega pogoja), saj razkritje takšnega dokumenta ne more povzrociti napacnega razumevanja njegove vsebine. Povsem jasno je namrec, da gre za osnutek delovnega gradiva, ki ni pravno zavezujoc dokument. Nestrinjanja javnosti s predlagano rešitvijo ne moremo enaciti z napacnim razumevanjem same vsebine osnutka delovnega gradiva. Smisel transparentnosti postopka sprejemanja zakonov je namrec prav v tem, da se širša strokovna in nestrokovna javnost, torej vse zainteresirane skupine, vkljuci v postopek sprejemanja zakona ter izrazi svoje mnenje in stališce o predlaganem predpisu. Informacijski pooblašcenec je zakljucil, da v konkretnem primeru ni podana izjema dokumenta v izdelavi, ker ni izpolnjen nobeden izmed treh predpisanih pogojev. 2.6.5. Javna narocila, poslovna skrivnost Ministrstvo za notranje zadeve (organ) je prosilcu v celoti odobrilo dostop do ponudbenih predracunov, predloženih na povabilo k oddaji ponudbe glede dobave sanitarno-potrošnega materiala za potrebe organa (zahtevani predracuni). Informacijski pooblašcenec je na podlagi pritožbe stranskega udeleženca z odlocbo št. 090-255/2017 z dne 21. 12. 2017 delno odpravil izpodbijano odlocbo in organu naložil, da prosilcu v celoti posreduje ponudbeni predracun, ki je sestavni del pogodbe o dobavi blaga, pri pogodbenem predracunu, ki ni bil sestavni del pogodbe, pa je organ dolžan prekriti podatke o proizvajalcih. Sporno vprašanje v pritožbenem postopku je bilo, ali podatki o proizvajalcu artiklov v zahtevanih predracunih predstavljajo poslovno skrivnost stranskega udeleženca (2. tocka prvega odstavka 6. clena ZDIJZ). Informacijski pooblašcenec je ugotovil, da ti podatki izpolnjujejo pogoje za opredelitev poslovne skrivnosti po subjektivnem kriteriju. Organ je javnost teh podatkov utemeljeval z dolocbami Zakona o javnem narocanju3434 Uradni list RS, št. 91/2015; v nadaljevanju ZJN-3. , vendar te v konkretnem primeru ne predstavljajo ustrezne pravne podlage. Zahtevana predracuna sta bila namrec pridobljena v postopku narocila male vrednosti, t. i. evidencnega narocila, za katero se uporabljajo zgolj dolocene dolocbe ZJN-3, med katerimi ni clena, ki ureja javnost podatkov. Je pa v konkretnem primeru treba upoštevati, da sta bila zahtevana predracuna pridobljena z namenom sukcesivne dobave sanitarno-potrošnega materiala za potrebe organa, kar pomeni porabo javnih sredstev. Informacijski pooblašcenec je ugotovil, da je bila na podlagi enega izmed zahtevanih predracunov sklenjena pogodba, po kateri se izvaja dobava blaga s strani stranskega udeleženca in se torej porabljajo javna sredstva, pri cemer je predracun sestavni del te pogodbe. To pomeni, da navedeni ponudbeni predracun skupaj z drugimi podatki (kolicina, naziv artikla …) izkazuje informacije o predmetu narocila, kar pomeni, da gre za podatke o porabi javnih sredstev. Gre za podatke, ki so bistveni za ugotavljanje ustreznosti oziroma kakovosti kupljenega izdelka. Šele s podatkom o »proizvajalcu« kupljenega blaga lahko javnost dejansko dobi informacijo o tem, kakšno blago in za kakšno ceno je organ kupil z javnimi sredstvi. Le ce se javnost seznani s to informacijo, lahko preverja, ali je organ javna sredstva porabil smotrno. Na ta nacin pride do izraza nadzorna funkcija pravice dostopa do informacij javnega znacaja, ki preprecuje slabo upravljanje z javnimi sredstvi. Navedenega se mora zavedati tudi stranski udeleženec. Ob vstopu v poslovno razmerje s proracunskim uporabnikom je njegova svoboda pri dolocitvi podatkov za poslovno skrivnost omejena prav zaradi zahteve po transparentnem delovanju, zlasti pri porabi javnih sredstev, ko se troši denar davkoplacevalcev (1. alineja tretjega odstavka 6. clena ZDIJZ). To pomeni, da podatki o proizvajalcih na tem predracunu predstavljajo prosto dostopno informacijo javnega znacaja, zaradi cesar izjema poslovne skrivnosti ni podana, organ pa jih je dolžan posredovati prosilcu. Glede podatkov o proizvajalcih blaga v drugem ponudbenem predracunu, ki ni bil sestavni del nobene pogodbe, izjema poslovne skrivnosti ni presežena, zato se prosilcu v tem delu dostop zavrne. 2.6.6. Osebni podatki, javni uslužbenci, funkcionarji Z odlocbo št. 090-117/2017 z dne 27. 6. 2017 je Informacijski pooblašcenec Ministrstvu za zunanje zadeve (organ) naložil, da prosilki posreduje skupne utemeljitve ocen, ki jih vsebujejo ocenjevalni listi za konkretne javne uslužbence (zahtevane skupne utemeljitve ocen). Organ je v izpodbijani odlocbi zatrjeval, da gre za izjemo po 3. tocki prvega odstavka 6. clena ZDIJZ (varovani osebni podatki). Informacijski pooblašcenec je ob vpogledu v zahtevane skupne utemeljitve ocen sicer ugotovil, da vsebujejo osebne podatke, in sicer le na kratko povzete in zelo splošne podatke o opisu delovnih nalog javnih uslužbencev, ki so v vecini primerov skoraj identicne in ne vsebujejo podatkov, ki bi razkrivali kakršne koli osebne lastnosti katerega izmed navedenih javnih uslužbencev. V skladu s tretjim odstavkom 6. clena ZDIJZ pa je te podatke dopustno razkriti, saj gre za podatke, povezane z delom javnih uslužbencev. V predmetni zadevi dejansko stanje ni podobno ali enako dejanskemu stanju v primerih, ko so v preteklosti prosilci zahtevali dostop do ocen npr. dela sodniške službe. Utemeljitev ocene sodnikovega dela obsega vec strani dolgo zelo konkretno in podrobno obrazložitev v skladu z zakonsko dolocenimi kriteriji, ki so v obrazložitvi vsebinsko izpolnjeni na nacin, ki nujno kaže tudi na osebne lastnosti, sposobnosti in znacilnosti posameznega sodnika ter jih v skladu z nacelom sorazmernosti ni mogoce šteti kot podatke, povezane z opravljanjem javne funkcije ali delovnega razmerja javnega uslužbenca. V predmetni zadevi pa temu ni tako, saj vsaka izmed presojanih utemeljitev ocene vsebuje od tri- do petvrsticen splošen opis delovnih nalog javnega uslužbenca, iz cesar ni mogoce razbrati osebnih lastnosti posameznega javnega uslužbenca. Informacijski pooblašcenec je zato zakljucil, da zatrjevana izjema ni podana.   2.6.7. Varstvo kazenskega postopka, osebni podatki Informacijski pooblašcenec je v odlocbi št. 090-236/2017 z dne 16. 11. 2017 potrdil odlocitev Vrhovnega državnega tožilstva RS (organ) glede zavrnitve dostopa do kazenske ovadbe, pritožbi pa je ugodil v delu, ki se nanaša na prekrite opravilne številke zahtevanih dokumentov. Prosilec je zahteval dostop do kazenske ovadbe v konkretni zadevi in dostop do z njo povezanih dokumentov. Organ je zahtevo za dostop do kazenske ovadbe zavrnil zaradi varstva kazenskega postopka (6. tocka prvega odstavka 6. clena ZDIJZ). Za obstoj navedene izjeme morata biti kumulativno izpolnjena dva pogoja: postopek je še v teku in razkritje informacije bi škodovalo izvedbi postopka. Informacijski pooblašcenec je ugotovil, da je organ pravilno utemeljil obstoj obeh pogojev, in poudaril, da iz Uredbe o posredovanju in ponovni uporabi informacij javnega znacaja3535 Uradni list RS, št. 24/2016; v nadaljevanju Uredba. izhaja, da je obvezna osnova za izvajanje škodnega testa mnenje organa, ki obravnava zadevo v fazi predkazenskega ali kazenskega postopka. Škodljiv ucinek razkritja informacij na izvedbo (pred)kazenskega postopka lahko v prvi vrsti verodostojno oceni organ, ki ta postopek vodi. Kadar ta organ oceni, da bi razkritje podatkov škodovalo izvedbi postopka, imata tako prvostopenjski kot drugostopenjski organ, ki odlocata o zahtevi za dostop do informacij javnega znacaja, malo manevrskega prostora za drugacno odlocitev.   V zvezi z ostalimi zahtevanimi dokumenti se je prosilec pritožil, da je organ na njih neupraviceno prekril opravilne številke, in sicer sklicujoc se na varstvo osebnih podatkov (3. tocka prvega odstavka 6. clena ZDIJZ). Informacijski pooblašcenec je ocenil, da zatrjevana izjema ni podana, ker je sistem vodenja evidenc v zadevah iz pristojnosti organa zaprt, zato ni mogoce, da bi posamezniki opravilno številko dokumenta enostavno, brez velikih stroškov in velikega napora, povezali s konkretnim posameznikom. Poleg tega je na podlagi Zakona o sodišcih3636 Uradni list RS, št. 94/2007 – uradno precišceno besedilo, s spremembami; v nadaljnjem besedilu ZS. podatek, ki ga zahteva prosilec, lahko javno objavljen s pritrditvijo na oglasno desko sodišca, zato ne gre za varovan osebni podatek skladno z ZVOP-1. Upoštevaje navedeno je organ prosilcu dolžan posredovati dokumente na nacin, da bo iz njih razvidna tudi opravilna številka. Organ je po mnenju prosilca neupraviceno prekril podatke, ki so kljucni za razumevanje same vsebine izlocitve oziroma predodelitve zadeve. Informacijski pooblašcenec je ugotovil, da gre za podatke o imenih in priimkih, nazivih in sorodstvenih in drugih razmerjih navedenih oseb z državno tožilko ter za podatke o nazivu obdolženca, ocitanih kaznivih dejanjih in medijski naziv kazenske zadeve. Vsi ti podatki se nanašajo na posameznika ter že sami po sebi ali v kombinacijah omogocajo popolno dolocljivost posameznikov (obdolženca, oškodovancev ipd). V tem delu je podana izjema varstva osebnih podatkov, zato je pritožba v tem delu neutemeljena.   2.6.8. Varstvo nadzornega postopka, notranje delovanje organa Z odlocbo št. 090-5/2017 z dne 2. 3. 2017 je Informacijski pooblašcenec družbi DARS, d. d., (organ) naložil, da prosilcu posreduje dokumente, iz katerih izhaja postopek nakupa konkretne nepremicnine, mnenje nadzornega sveta organa glede tega odkupa in splošen opis postopka odkupov (zahtevani dokumenti). Pritožbo pa je zavrnil v delu, ki se nanaša na podatke o povprecnih cenah, uporabljenih za izracun višine pravicne odškodnine na konkretnem obmocju. Organ je zavrnil zahtevo, sklicujoc se na drugi odstavek 5.a clena ZDIJZ (varstvo nadzornega postopka), po katerem lahko organ dostop zavrne, ce gre za dokumente v zvezi z nadzornim postopkom, ki je v teku, ali ko je postopek nadzora koncan, ce bi razkritje zahtevane informacije povzrocilo škodo drugi osebi ali ce bi to resno ogrozilo izvajanje drugih zakonskih nalog nadzorne institucije. Informacijski pooblašcenec je ugotovil, da iz pojasnila Racunskega sodišca izhaja, da postopek nadzora, na katerega se je skliceval organ, ni v teku in da razkritje zahtevanih dokumentov tudi ne more vplivati na (morebitne) bodoce postopke. To pomeni, da v konkretnem primeru niso izpolnjeni pogoji za zavrnitev dostopa po drugem odstavku 5. a clena ZDIJZ.   Organ se je v izpodbijani odlocbi skliceval tudi na izjemo po 2. tocki prvega odstavka 6. clena ZDIJZ (poslovna skrivnost). Informacijski pooblašcenec je ugotovil, da gre v konkretnem primeru za podatke, ki so javni po zakonu in jih zato ni mogoce dolociti kot poslovno skrivnost (tretji odstavek 39. clena ZGD-1). Zahtevani dokumenti namrec vsebujejo podatke v zvezi s porabo javnih sredstev in podatke v zvezi z opravljanjem javne funkcije, ti pa so javni na podlagi 1. alineje tretjega odstavka 6. clena ZDIJZ. Pojem javne funkcije je v skladu s sodno prakso treba tolmaciti široko in ne na nacin, da je vezan zgolj na funkcionarje v državnih organih in organih lokalnih skupnosti, temvec tudi na izvajanje javnopravnih nalog. Cetudi prihaja pri izvajanju teh nalog do civilno pravnih poslov (npr. sklepanje kupoprodajnih in menjalnih pogodb itd.), že sam okvir izvajanja javnih nalog daje tem dejanjem javnopravno naravo, ki ne sovpada z namenom varstva (zasebnih) interesov, cemur je prvenstveno namenjen institut poslovne skrivnosti. Z drugimi besedami, institut poslovne skrivnosti prvenstveno šciti interese poslovnih subjektov, ki delujejo na trgu in ki stremijo zlasti k maksimizaciji dobicka. Pri izvajanju javnopravnih nalog pa organi ne sledijo takšnemu poslovnemu interesu, zato se tudi ne morejo sklicevati na institut poslovne skrivnosti. Informacijski pooblašcenec je na podlagi predpisov, ki urejajo naloge organa, ugotovil, da organ odkupe nepremicnin izvaja v okviru svojih temeljnih javnopravnih nalog, zato informacij v zvezi z izvajanjem odkupov ne more varovati kot poslovno skrivnost.  Informacijski pooblašcenec je ugotovil, da podatki o povprecnih cenah, uporabljenih za izracun višine pravicne odškodnine na konkretnem obmocju, predstavljajo izjemo po 11. tocki prvega odstavka 6. clena ZDIJZ (notranje delovanje organa), za obstoj katere morata biti kumulativno izpolnjena dva pogoja: podatek mora izhajati iz dokumenta, ki je bil sestavljen v zvezi z notranjim delovanjem oziroma dejavnostjo organa, razkritje takšnega podatka pa bi povzrocilo motnje pri delovanju oziroma dejavnosti organa. V konkretnem primeru je prvi pogoj izpolnjen, ker gre za »razmišljanje« organa glede poteka konkretnega odkupa in prakse organa v zvezi z odkupovanjem zemljišc za izgradnjo avtocest. V zvezi z drugim pogojem obravnavane izjeme je organ uspel prepricljivo obrazložiti, da bi prišlo do motenj v njegovem delovanju, ce bi se javnost seznanila s podatki o splošnih povprecnih cenah, ki se v dokumentih ne omenjajo v zvezi z individualno dolocenimi odkupi. Odkupovanje zemljišc za gradnjo avtoceste je namrec obcutljiv proces, pri cemer je za njegovo uspešno izvedbo bistvena ravno pravocasnost izvedenih odkupov, kar pa je pretežno odvisno od sodelovanja lastnikov. Razkritje povprecnih cen (ki so bile uporabljene za izracun višine pravicne odškodnine na dolocenem obmocju) bi lastnike zemljišc (že izvedenih in bodocih projektov) zagotovo spodbudilo k temu, da se med seboj primerjajo in zahtevajo zase ugodnejše ponudbe, kar bi nedvomno podaljšalo cas izvedbe odkupov. Posledicno splošne (povprecne) cene, ki izhajajo iz zahtevanih dokumentov, predstavljajo informacije v zvezi z notranjim delovanjem organa, katerih razkritje bi povzrocilo motnje v delovanju po 11. tocki prvega odstavka 6. clena ZDIJZ. Povprecne cene so fiktivne in ne predstavljajo porabe javnih sredstev. Predmet presoje pa so tudi cene, ki so bile dejansko uporabljene v konkretnem primeru odkupa/menjave. Te cene so podatki o porabi javnih sredstev in v skladu s tretjim odstavkom 6. clena ZDIJZ predstavljajo absolutno javne informacije. V zvezi s preostalimi informacijami iz zahtevanih dokumentov pa ni izpolnjen drugi pogoj izjeme notranjega delovanja. Gre za informacije o poteku konkretnega odkupa/menjave in splošen opis postopka odkupov ter dolocanja cen, kar izhaja iz podrocne zakonodaje in strokovnih usmeritev. Navedbam organa, da bi razkritje teh informacij lahko ogrozilo ali motilo izvajanje postopkov bodocih odkupov, zato ni mogoce slediti. Tudi Racunsko sodišce z vidika svojih nadzornih postopkov ni prepoznalo ovire za to, da se zahtevani dokumenti posredujejo javnosti.   2.6.9. Okoljski podatki, poslovna skrivnost Z odlocbo št. 090-210/2017 z dne 14. 11. 2017 je Informacijski pooblašcenec Agenciji RS za okolje (organ) naložil, da prosilcu posreduje stroške zbiranja in stroške obdelave odpadne elektricne in elektronske opreme (OEEO) po posameznih zbirno-predelovalnih skupinah ter stroške izvedenih aktivnosti – obvešcanja javnosti iz revidiranih financnih porocil dolocenih gospodarskih družb za 2016. V pritožbenem postopku se je Informacijski pooblašcenec sicer strinjal z organom in stranskim udeležencem, da revidirana financna porocila nosilcev skupnega nacrta ravnanja z OEEO predstavljajo poslovno skrivnost po subjektivnem kriteriju (izjema po 2. tocki prvega odstavka 6. clena ZDIJZ), vendar pa ti dokumenti vsebujejo tudi dolocene podatke, ki se jih ne more opredeliti kot poslovno skrivnost, ker so javni po zakonu (tretji odstavek 39. clena ZGD-1), in sicer so to podatki o stroških, povezanih z zbiranjem in obdelavo OEEO. To so informacije, nastale zaradi obveznosti, ki jih nalaga Uredba o odpadni elektricni in elektronski opremi3737 Uradni list RS, št. 55/2015 in 47/2016; v nadaljevanju Uredba OEEO. , torej ne gre za informacije, ki bi nastale zaradi ozkih poslovnih interesov stranskih udeležencev. Ti podatki sodijo med okoljske podatke, ki so vselej javni (13. clen Zakona o varstvu okolja3838 Uradni list RS, št. 39/2006 – uradno precišceno besedilo, s spremembami; v nadaljevanju ZVO-1. ). Absolutno javnost okoljskih podatkov doloca tudi druga alineja 3. odstavka 6. clena ZDIJZ. Iz opredelitev okoljskih podatkov v Aarhuški konvenciji in ZVO-1 izhaja, da med okoljske podatke sodijo vse informacije, ki kakor koli posegajo v okolje. V ZVO-1 so med okoljskimi podatki izrecno navedeni »odpadki«. Uredba OEEO izrecno ureja ravnanje z OEEO, kar pomeni, da tudi višina stroškov izvajanja skupnega nacrta ravnanja z OEEO, ki se neposredno tice odpadkov, brez dvoma sodi med okoljske podatke. Aarhuška konvencija je v svoj okvir izrecno zajela informacije »o analizah stroškov in koristi ter druge ekonomske analize in predpostavke, ki se uporabljajo pri okoljskem odlocanju«, kar je predmet presoje v obravnavanem primeru. Slednje izhaja iz dejstva, da kolicina oziroma vrednost financnih sredstev oziroma stroškov vselej sovpliva na okoljske odlocitve, saj se pri subjektih, ki delujejo na trgu, vselej zastavlja vprašanje, ali ni zaradi želje po cim manjših stroških zanemarjen tisti del ravnanja z odpadki, ki mora ustrezati okoljevarstvenim zahtevam.   Iz navedenega izhaja, da revidiranih financnih porocil v delu, v katerem so zajeti stroški zbiranja in obdelave OEEO ter stroški obvešcanja, ni mogoce obravnavati kot poslovno skrivnost, saj gre za okoljske podatke, ki so javni po zakonu. Pri ravnanju z odpadki OEEO torej ni relevantna samo njihova kolicina, temvec tudi stroški, ki ob tem nastanejo in za katere bi lahko rekli, da so kazalnik resnosti in odgovornosti države do varstva okolja. Šele vsi ti podatki skupaj izkazujejo, kako, na kakšen nacin in s kakšnimi stroški se država prek nosilcev skupnega nacrta loteva problematike varstva okolja pred škodljivimi vplivi OEEO, kar je izrednega pomena ne samo za ljudi, ki v doloceni državi živijo, temvec globalno, za cel svet. Preostali podatki v revidiranih financnih porocilih stranskih udeležencev, ki izkazujejo poslovanje družb in nimajo neposredne zveze s podatki o odpadkih, po oceni Informacijskega pooblašcenca niso javni po zakonu, zato jih je organ dolžan varovati kot poslovno skrivnost. 2.6.10. Stroški postopka Informacijski pooblašcenec je z odlocbo št. 090-268/2017 z dne 21. 11. 2017 odpravil sklep o stroških, ki ga je izdala Obcina Podvelka (organ). Presoja pritožbe zoper odlocitev o stroških v postopku po ZDIJZ je dvostopenjska. Primarno je treba ugotoviti, ali je organ zadostil zahtevam glede objave stroškovnika ter ali je organ prosilca opozoril na placilo stroškov. Šele ob navedenih predpostavkah, ki morajo biti izpolnjene kumulativno, se presoja utemeljenost višine stroškov.  Dolocba ZDIJZ, ki organu nalaga dolžnost, da prosilca opozori na placilo stroškov, je bistvenega pomena za to, da si prosilec, še preden mu organ posreduje zahtevane informacije, lahko premisli, ko izve, da mu organ za posredovanje namerava zaracunati stroške. Prosilec ima tudi pravico zahtevati, da mu organ vnaprej sporoci višino stroškov, ki mu jih bo za posredovanje informacij zaracunal. Ce prosilec ne ve, da mu organ namerava zaracunati stroške, niti nima razloga za to, da bi preveril, za kakšne stroške gre. Obveznost organa, da mora prosilca o tem, da bo zaracunal stroške, obvestiti vnaprej, posredno izhaja tudi iz Uredbe o posredovanju in ponovni uporabi informacij javnega znacaja3939 Uradni list RS, št. 24/2016; v nadaljevanju Uredba. , na podlagi katere organ za placilo stroškov posredovanja izda prosilcu sklep ob posredovanju zahtevanih informacij. Organ mora torej ob posredovanju informacij prosilcu že posredovati sklep o zaracunanih stroških, ne pa ga šele obvestiti o tem, da namerava stroške zaracunati.  V konkretnem primeru organ pred izdajo izpodbijanega sklepa prosilca ni opozoril na placilo stroškov. Prosilec tako ni imel možnosti, da bi se še pred izdajo izpodbijane odlocbe odlocil, da bo informacije zahteval v manjšem obsegu, v drugi obliki (npr. vpogled) ali da jih sploh ne bo zahteval. Prav tako ni imel možnosti še pred prejemom izpodbijane odlocbe pri organu poizvedeti o višini stroškov, ki jih namerava zaracunati organ. Informacijski pooblašcenec je zato ugotovil, da organ ni upravicen zaracunati stroškov posredovanja informacij javnega znacaja na podlagi izpodbijanega sklepa, ker jih je prosilcu zaracunal v nasprotju z veljavnimi predpisi. 2.6.11. Tajni podatki, dokument v izdelavi Na podlagi odlocbe Informacijskega pooblašcenca št. 090-194/2017 z dne 1. 12. 2017 je moralo Ministrstvo za zunanje zadeve (organ) umakniti stopnjo tajnosti »interno« z dolocenih delov porocila o izrednem delnem nadzoru v konkretnem veleposlaništvu (zahtevano porocilo) in fotokopije teh delov posredovati prosilki. Informacijski pooblašcenec pa je potrdil odlocitev organa o zavrnitvi dostopa do osnutka tega porocila in konkretne depeše. Dostop do osnutka zahtevanega porocila je organ zavrnil zaradi izjeme po 9. tocki prvega odstavka 6. clena ZDIJZ (dokument v izdelavi), ki ima tri pogoje, ki morajo biti izpolnjeni kumulativno: dokument mora biti še v postopku izdelave in predmet posvetovanja v organu, razkritje dokumenta pa bi povzrocilo napacno razumevanje njegove vsebine. Skladno z Uredbo se šteje, da je dokument v postopku izdelave, ce ga še ni podpisala in odposlala ali kako drugace zakljucila uradna oseba organa, ki je z veljavnimi predpisi pooblašcena za odlocanje. Informacijski pooblašcenec je ugotovil, da je postopek izdelave porocila zakljucen, ko ga podpišeta glavni diplomatski nadzornik in minister. Ker navedeni uradni osebi organa osnutka zahtevanega porocila nista podpisali niti ta osnutek ni bil poslan izven organa, temvec zgolj notranjim organizacijskim enotam organa, gre za dokument, ki je pri organu v postopku izdelave. Podatki, ki so bili v osnutku zahtevanega porocila, so bili še predmet posvetovanja v organu oziroma vsebinsko še niso bili zakljuceni, saj je bil osnutek posredovan veleposlaništvu oziroma relevantnim diplomatom oziroma osebju, da bi lahko nanj dali pripombe. Informacijski pooblašcenec se je strinjal z ugotovitvijo organa, da bi z razkritjem osnutka zahtevanega porocila lahko prišlo do napacnega razumevanja vsebine koncnega porocila, predvsem obremenilnih ugotovitev nadzora glede javne uslužbenke, ki jih je bilo v osnutku v primerjavi s koncno in podpisano verzijo porocila vec. Podatki v osnutku so torej nepopolni oziroma neusklajeni z osebami, na katere se nanašajo, zato so (lahko) tudi napacni. Napacni podatki, ki se jih v javnosti predstavlja kot podatke iz uradnega dokumenta, ki ga je izdelal organ, pa brez dvoma lahko povzrocijo napacno razumevanje, ce se javnost nanje zanese. Zato je glede osnutka zahtevanega porocila obstoj zatrjevane izjeme utemeljen.   Dostop do dolocenih delov zahtevanega porocila je organ zavrnil s sklicevanjem na izjemo po 1. tocki prvega odstavka 6. clena ZDIJZ (tajni podatki). Informacijski pooblašcenec je ugotovil, da je v konkretnem primeru izpolnjen formalni kriterij, kot ga opredeljuje Zakon o tajnih podatkih4040 Uradni list RS, št. 50/2006 – uradno precišceno besedilo, s spremembami; v nadaljevanju ZTP. . Pri ugotavljanju obstoja materialnega kriterija pa je ugotovil, da se doloceni deli zahtevanega porocila nanašajo na sisteme, naprave, projekte in nacrte, pomembne za zunanje zadeve (5. tocka 5. clena ZTP). Navedene informacije razkrivajo kronologijo ravnanja s konkretnim osnutkom in koncnim porocilom o rednem nadzoru na veleposlaništvu, ki vsebujeta tajne podatke, ugotovitve nadzora v zvezi s tem ravnanjem, protokol ob prejemu pošte in ugotovitve nadzora glede vodenja predpisanih evidenc za tajne podatke. Gre za informacije, katerih razkritje bi pomenilo varnostno tveganje za organ in bi povzrocilo nastanek možnosti, da bi kdo ogrozil varnost pri organu do mere, ko bi bil organ (natancneje veleposlaništvo) v svojem delovanju ohromljen. Razkritje teh informacij bi lahko ogrozilo zagotovitev varnosti osebja, opreme in dokumentov, ki se nanašajo na zunanje zadeve, kar posledicno pomeni oteženo, ovirano ali celo onemogoceno izvajanje nalog organa, poleg tega pa bi razkritje teh podatkov lahko povzrocilo škodljive posledice za varnost države ali ogrozilo njene politicne ali gospodarske koristi. V zvezi s temi informacijami sta kumulativno izpolnjena oba kriterija, ki ju za obstoj izjeme tajnih podatkov doloca ZTP, kar pomeni, da je v tem delu podana izjema tajnih podatkov. To pa ne velja za druge obravnavane dele zahtevanega porocila, ki se nanašajo na splošno navedbo vsebine prejete pošiljke in na zaposlovanje lokalnega osebja. Ugotovitev glede poslovanja in delovanja veleposlaništva le zaradi dejstva, da gre za »enoto« v tujini, in zato, ker spada pod organ, ki izvaja pristojnosti na podrocju zunanjih zadev, namrec ni mogoce kar avtomaticno oziroma pavšalno uvrstiti v katero izmed podrocij iz 5. clena ZTP. Glede teh podatkov materialni kriterij za dolocitev tajnega podatka ni podan, zato ni zakonskega razloga, da bi ti deli zahtevanega porocila nosili stopnjo tajnosti. Informacijski pooblašcenec je organu naložil, da s teh delov umakne stopnjo tajnosti in jih posreduje prosilki.    Po vpogledu v zahtevano depešo je Informacijski pooblašcenec ugotovil, da ta vsebuje veliko koncentracijo podatkov, ki jih je treba opredeliti kot varovane osebne podatke (3. tocka prvega odstavka 6. clena ZDIJZ). Zahtevana depeša vsebuje izrazito osebne izpovedi avtorice, ki vsebujejo njena osebna mnenja oziroma stališca glede ugotovitev nadzora, še zlasti v delu, ki se nanaša nanjo. Pri tem avtorica navaja predvsem vrednostne sodbe oziroma svoje osebno videnje dolocene problematike v zvezi z dogajanjem, ki je bilo predmet nadzora, in v zvezi z delovanjem organa. Vse navedeno izhaja izkljucno iz mnenja avtorice oziroma dogodkov, ki jih je avtorica doživela v zvezi z obravnavano problematiko. Za razkritje takšnih osebnih podatkov po ZDIJZ ne obstaja zakonska podlaga, zato predstavljajo varovane osebne podatke. Ker so v zahtevani depeši izražena predvsem osebna stališca avtorice, te vsebine ni mogoce subsumirati pod dolocilo tretjega odstavka 6. clena ZDIJZ, saj takšnih podatkov ni mogoce objektivno in neposredno povezati s podatki iz delovnega razmerja javnih uslužbencev ali s podatki v zvezi z opravljanjem javne funkcije.   2.6.12. Ponovna uporaba Informacijski pooblašcenec je z odlocbo št. 090-288/2016 z dne 21. 2. 2017 Agenciji RS za javnopravne evidence in storitve (organ) naložil, da mora prosilcu omogociti ponovno uporabo podatkov o naslovih prebivališca fizicnih oseb – družbenikov, zastopnikov in clanov organa nadzora (zahtevani podatki) –, prosilcu pa je postavil pogoje za ponovno uporabo, kot jih dolocata Zakon o Poslovnem registru Slovenije4141 Uradni list RS, št. 49/2006, s spremembami; v nadaljevanju ZPRS-1. in Zakon o sodnem registru4242 Uradni list RS, št. 54/2007 – uradno precišceno besedilo, s spremembami; v nadaljevanju ZSReg. .   Organ je zavrnil zahtevo prosilca, ker naj bi bile glede zahtevanih podatkov podane izjeme od ponovne uporabe v skladu s šestim odstavkom 6. clena ZDIJZ. V skladu z dolocbo 1. tocke šestega odstavka 6. clena ZDIJZ organ zavrne zahtevo za ponovno uporabo informacije javnega znacaja, ce se podatek nanaša na podatek iz prvega odstavka 6. clena ZDIJZ. Ker je prosilec zahteval ponovno uporabo osebnih podatkov – naslovov fizicnih oseb (zastopnikov, clanov organa nadzora ter družbenikov) –, je Informacijski pooblašcenec ugotavljal, ali gre za varovane osebne podatke (3. tocka prvega odstavka 6. clena ZDIJZ). Glede na veljavne dolocbe ZSReg in ZPRS-1 so podatki, ki jih zahteva prosilec, javno objavljeni v Poslovnem registru Slovenije in do njih lahko prosto dostopa vsakdo, bodisi posredno preko iskanja po poslovnih subjektih bodisi neposredno z iskanjem po fizicnih osebah, kadar razpolaga z doloceno kombinacijo podatkov. Zakonodajalec je torej ocenil, da je takšno iskanje po fizicnih osebah v javnem interesu oziroma javni interes takšnega iskanja prevlada nad interesom teh fizicnih oseb po varstvu zasebnosti.   Prosilec je v zahtevi za ponovno uporabo navedel, da podatke potrebuje za dopolnitev že obstojecega registra poslovnih subjektov, in sicer kot dodatni kvalifikator postopka iskanja po osebah, saj želi slediti nacinu iskanja in dobre prakse, kot je omogocen pri organu. Informacijski pooblašcenec je ugotovil, da je namen ponovne uporabe zahtevanih podatkov v konkretnem primeru v skladu z namenom omogocanja iskanja po fizicnih osebah, kot izhaja iz ZSReg in ZPRS-1. Ugoditev zahtevi prosilca tako ne bi bila v nasprotju z dolocbo 16. clena ZVOP-1, po kateri se osebni podatki lahko zbirajo le za dolocene in zakonite namene ter se ne smejo nadalje obdelovati tako, da bi bila njihova obdelava v neskladju s temi nameni, ce zakon ne doloca drugace.   Informacijski pooblašcenec je ugotovil, da ZPRS-1 in ZSReg ne vsebujeta dolocb v zvezi z omejitvami za vpogled v podatke oziroma posredovanje podatkov za namene ponovne uporabe. Omejitve, na katere se sklicuje organ v izpodbijani odlocbi, veljajo le glede iskanja po Poslovnem registru Slovenije. Dejansko lahko kombinacijo podatkov o osebnem imenu in naslovu prebivališca fizicne osebe pridobi kdor koli z vpogledom v podatke o doloceni pravni osebi. Po oceni Informacijskega pooblašcenca zato dolocb ZPRS-1 in ZSReg ni mogoce razumeti na nacin, da osebe, ki razpolagajo s kombinacijo relevantnih podatkov, predstavljajo izkljucne upravicence za dostop do podatkov o fizicnih osebah, kot si to napacno razlaga organ. Takšna razlaga je nedvomno v nasprotju z namenom ZPRS-1 in ZSReg, ki dolocata, da se vsakomur omogoci brezplacen vpogled v objavljene podatke, tudi podatke o naslovih prebivališc v obeh zakonih opredeljenih fizicnih oseb. O izkljucnih upravicencih bi lahko govorili takrat, ko podatki, do katerih bi bili slednji upraviceni, ne bi bili prosto javno dostopni vsem, v danem primeru pa je takšna razlaga nelogicna in v nasprotju z namenom zakona. Posledicno tudi niso izpolnjeni pogoji iz 4. alineje šestega odstavka 6. clena ZDIJZ, ki je omejen na podatke, ki so dostopni samo upravicenim osebam, medtem ko v danem primeru govorimo o podatkih, ki morajo biti in tudi so na podlagi zakona dostopni vsem.   2.6.13. Tajnost vira Z odlocbo št. 090-190/2017 z dne 25. 9. 2017 je Informacijski pooblašcenec zavrnil pritožbo prosilke zoper odlocbo, s katero je Ministrstvo za okolje in prostor (organ) zavrnilo njeno zahtevo za dostop do prijav, ki jih je vložila sama. Organ je zavrnil zahtevo prosilke na podlagi tretjega odstavka 5.a clena ZDIJZ (varovanje tajnosti vira), na podlagi katerega organ prosilcu zavrne dostop do zahtevane informacije, ce se zahteva nanaša na podatek, glede katerega zakon doloca varovanje tajnosti vira. V konkretnem primeru so bile predmet presoje prijave v inšpekcijskem postopku, kjer varstvo vira prijave doloca Zakon o inšpekcijskem nadzoru4343 Uradni list RS, št. 43/2007 – uradno precišceno besedilo in 40/14; v nadaljevanju ZIN. ; skladno s slednjim je inšpektor dolžan varovati tajnost vira prijave in vira drugih informacij, na podlagi katerih opravlja inšpekcijski nadzor. Informacijski pooblašcenec je ugotovil, da je prosilka v konkretnem primeru zahtevala prijave, ki jih je sama vložila pri organu. Ker ZIN ne doloca, da lahko prijavitelj z izjavo odveže inšpekcijski organ obveznosti varstva vira prijave, dolžnost varstva vira prijave skladno z ZIN obstaja ne glede na izjavo prosilke, da inšpekcijski organ odvezuje varovanja njenih prijav. Informacijski pooblašcenec je poudaril, da je zaradi narave postopka po ZDIJZ, kjer se ugotavlja prost dostop do dokumenta glede na fikcijo abstraktnega prosilca, treba ne glede na pravni interes oziroma status prosilca (nacelo prostega dostopa po 5. clenu ZDIJZ) o vsaki zahtevi odlociti enako, torej ne glede na to, kdo je zahtevo vložil. Ne glede na to, da je prosilka zahtevala prijave, ki jih je podala sama, je organ upraviceno v celoti zavrnil dostop na podlagi tretjega odstavka 5. a clena ZDIJZ, saj tudi delni dostop v konkretnem primeru ne bi bil mogoc brez razkritja varovanih informacij.   2.6.14. Varstvo upravnega postopka Z odlocbo št. 090-76/2017 z dne 11. 4. 2017 je Informacijski pooblašcenec zavrnil pritožbo prosilke zoper odlocbo, s katero je Inšpektorat RS za okolje in prostor (organ) zavrnil zahtevo za dostop do konkretnega dokumenta iz zadeve, ki jo vodi organ. Organ se je v izpodbijani odlocbi skliceval na izjemo po 7. tocki prvega odstavka 6. clena ZDIJZ (varstvo upravnega postopka), za obstoj katere morata biti kumulativno izpolnjena dva pogoja: zahtevana informacija predstavlja podatek, ki je bil pridobljen ali sestavljen zaradi konkretnega upravnega postopka, razkritje zahtevanega podatka pa bi škodovalo izvedbi konkretnega postopka.   Informacijski pooblašcenec je ugotovil, da je dokument, ki je predmet zahteve prosilke, nastal v inšpekcijskem upravnem postopku. Izkazana je bila tudi škoda, ki bi nastala pri izvedbi tega postopka, ce bi bil zahtevani dokument posredovan javnosti, še preden bi bil koncan. Organ je namrec povsem utemeljeno navedel, da bi lahko prezgodnje razkritje dotlej pridobljenih podatkov ogrozilo izvedbo inšpekcijskega postopka, saj dejansko stanje še ni dokoncno ugotovljeno in bi posredovani podatki lahko bili pomanjkljivi ali napacni. Da je pridobivanje dokazov in ugotavljanje dejanskega stanja še v teku, izhaja tudi iz popisa zadeve, saj v konkretni zadevi odlocba še ni bila izdana. Razkritje dotlej zbranih dokumentov, v fazi, ko ugotovitveni postopek še poteka, bi lahko tudi po mnenju Informacijskega pooblašcenca ogrozilo nadaljnje zbiranje, izvedbo in obstoj dokazov. Zavezanci ali druge osebe, ki bi v teh postopkih lahko nudili koristne informacije, bi lahko prikrili ali unicili dolocene dokumente, pomembne za odlocanje v predmetnih inšpekcijskih postopkih. Seznanjanje javnosti z informacijami iz posamezne faze inšpekcijskega postopka, dokler ta še tece, bi nedvomno negativno vplivalo na potek samega postopka (z informacijami bi se lahko seznanile price, ki še niso bile zaslišane, ogrožena bi lahko bila izvedba posameznih procesnih dejanj ipd.), posledicno pa bi to vplivalo na ugotovitev dejanskega stanja in na odlocitev inšpektorja. Informacijski pooblašcenec se strinja z oceno organa, da gre za zahteven upravni postopek, v katerem mora inšpektor še ugotoviti resnicno dejansko stanje ter presoditi o morebitnih nepravilnosti in upravnih ukrepih, zato bi lahko razkritje zahtevanih podatkov v tej fazi resno ogrozilo nadaljnje zbiranje, izvedbo ali celo obstoj dokazov, kar bi posledicno lahko vplivalo na zakonitost in pravilnost inšpekcijske odlocbe, ki (še) ni bila izdana. Na dan izdaje izpodbijane odlocbe je torej zahtevani dokument izpolnjeval oba pogoja za obstoj zatrjevane izjeme. 2.7. Splošna ocena in priporocila na podrocju dostopa do informacij javnega znacaja Informacijski pooblašcenec je na podrocju dostopa do informacij javnega znacaja leta 2017 skupaj prejel 522 pritožb, kar je vec kot leto prej, ko jih je prejel 514. Od tega je leta 2017 prejel 314 pritožb zoper zavrnilne odlocbe (leto prej 316), 201 pritožbo zoper molk organa (leto prej 198) in sedem pritožb zoper poslovne subjekte pod prevladujocim vplivom oseb javnega prava. Prosilci in zavezanci so se na Informacijskega pooblašcenca v 324 primerih obrnili s pisno prošnjo za mnenje oziroma pojasnilo (leto prej je bilo takih prošenj 308). Skupaj je bilo tako na podrocju dostopa do informacij javnega znacaja obravnavanih 853 zadev (leto prej 822 zadev). V pritožbenih postopkih zoper zavrnilne odlocbe je Informacijski pooblašcenec izdal 316 odlocb, kar je vec kot leto prej, ko jih je izdal 312. Tudi leta 2017 si je Informacijski pooblašcenec prizadeval, da bi pritožbene zadeve reševal hitro in s kar najmanjšo zamudo za prosilce. Povprecen cas reševanja pritožbenih zadev zoper zavrnilne odlocbe, v katerih je bil potreben poseben ugotovitveni postopek, je znašal 37 dni – zadeve so bile torej rešene prej kot v dvomesecnem roku, ki ga za reševanje tovrstnih zadev doloca Zakon o splošnem upravnem postopku. Leta 2016 je povprecen cas reševanja pritožbenih zadev znašal 47 dni, kar pomeni, da se je cas reševanja pritožb skrajšal za 22 %. Informacijski pooblašcenec ugotavlja, da je bilo leta 2017 število pritožb zaradi t. i. molka organa primerljivo številu teh pritožb leta 2016, rahlo pa je naraslo število pritožb zoper zavrnilne odlocbe. Glede na strukturo zavezancev, zoper odlocitve katerih so prosilci vložili pritožbo, je leta 2017 bistveno naraslo število pritožb, vloženih zoper državne organe (leta 2016 je bilo teh pritožb 128, leta 2017 pa 156), zmanjšalo pa se je število pritožb, vloženih zoper ravnanje obcin. Leta 2017 je namrec Informacijski pooblašcenec zoper obcine prejel 41 pritožb, kar je 13 % manj kot leto prej. Po mnenju Informacijskega pooblašcenca slednje izkazuje, da so obcine leta 2017 na podrocju dostopa do informacij javnega znacaja poslovale bolje, še posebej glede na podatke iz preteklih let, ki so kazali na slabšo odzivnost obcin v postopkih po ZDIJZ. Znova pa se je povecalo število prošenj za pojasnila in mnenja, ki jih je Informacijski pooblašcenec prejel s strani zavezancev, kar kaže na to, da so bili zavezanci leta 2017 bolj aktivni in odzivni kot leto prej in da so se z vprašanji veckrat obrnili na Informacijskega pooblašcenca tudi izven pritožbenega postopka. Leta 2017 je Informacijski pooblašcenec zoper odlocitve poslovnih subjektov pod prevladujocim vplivom obravnaval sedem pritožb, precej manj kot leto dni prej, ko je bilo takih pritožb 22. Gre za izjemno nizek odstotek vseh pritožbenih zadev (1,3 %), na podlagi cesar je mogoce zakljuciti, da se je stanje po uveljavitvi novele ZDIJZ-C v praksi glede novih zavezancev »stabiliziralo« in da iz podatkov o pritožbenih zadevah zoper poslovne subjekte pod prevladujocim vplivom ne izhaja, da bi bili ti z izvajanjem tega zakona prekomerno obremenjeni. Podobno stanje je Informacijski pooblašcenec sicer ugotovil tudi leta 2016. Leta 2017 je Informacijski pooblašcenec v pritožbenih postopkih obravnaval vec vsebinsko pomembnih zadev. Z vidika izjem, na katere so se sklicevali zavezanci v postopkih, velja opozoriti na povecanje števila zadev, ki so se nanašale na t. i. zlorabo pravice. Ce je Informacijski pooblašcenec leta 2016 obravnaval 13 tovrstnih zadev, je bilo teh zadev leta 2017 kar 29. Le v enem od primerov je Informacijski pooblašcenec organu pritrdil in ugotovil, da gre za zlorabo, v vseh ostalih zadevah pa je ugotovil, da so se zavezanci na zlorabo pravice sklicevali neupraviceno. Ob tem Informacijski pooblašcenec opozarja, da je institut zlorabe pravice skrajno sredstvo, na katerega se lahko zavezanci sklicujejo le v izjemnih primerih. Pravico odstopa do informacij javnega znacaja kot temeljno clovekovo pravico je namrec mogoce omejiti le zaradi varstva legitimnih interesov in pravic tretjih oseb ter v najmanjši možni meri, ki še zagotavlja varstvo teh interesov. Organ mora ob tem v postopku konkretno izkazati, da je prosilec z eno ali vec funkcionalno povezanimi zahtevami ocitno zlorabil pravico dostopa do informacij javnega znacaja oz. je ocitno, da so zahteva ali zahteve šikanoznega znacaja. Za zlorabo pravice (šikanozno zahtevo) gre le v primerih, ko prosilec prestopi meje pravno zavarovanega upravicenja tako, da s tem ogroža oz. posega v pravico drugega. Podatki kažejo, da se je leta 2017 delno spremenila struktura prosilcev, ki so se s pritožbo obrnili na Informacijskega pooblašcenca. Tudi to leto je najvec pritožnikov imelo status fizicne osebe (211), kar je vec kot leto prej (172). Manj pritožb je Informacijski pooblašcenec prejel s strani pravnih oseb zasebnega prava (65), število pritožb, ki so jih vložili novinarji (33) pa je ostalo na primerljivi ravni. Zanimiva pa je ugotovitev, da se je povecalo število pritožbenih primerov, v katerih so kot prosilci za informacije nastopale pravne osebe javnega prava (7), kar kaže na to, da je pravica dostopa do informacij javnega znacaja institut, ki omogoca hitro in ucinkovito pridobivanje informacij razlicnim kategorijam uporabnikov. Ob tem Informacijski pooblašcenec ugotavlja, da so prosilci s postopkom dostopa do informacij dobro seznanjeni, pritožbeni postopek pa je zanje hiter, ucinkovit in jim ne povzroca stroškov. V zvezi s ponovno uporabo je Informacijski pooblašcenec leta 2017 vodil tri pritožbene postopke, kar je primerljivo z letom 2016. Po oceni Informacijskega pooblašcenca so prosilci – potencialni ponovni uporabniki – sicer dobro seznanjeni s pravnimi možnostmi, ki jih imajo v primeru, ko jim zavezanci vlogo za ponovno uporabo zavrnejo, vendar pritožb ne vlagajo pogosto. Na podrocju ponovne uporabe od uveljavitve novele ZDIJZ-E namrec primarno velja nacelo t. i. proaktivnega zagotavljanja podatkov, ki se v praksi uresnicuje prek zagotavljanja podatkov z objavo na portalu odprtih podatkov Ministrstva za javno upravo. Na ta nacin potencialni ponovni uporabniki odprte podatke, pri katerih ni nobene ovire za prosto ponovno uporabo, pridobijo hitro in brez posebnih postopkovnih zahtev, na katere je sicer vezan pritožbeni postopek po ZDIJZ in ZUP pred Informacijskim pooblašcencem. 3.1. Koncept varstva osebnih podatkov v Republiki Sloveniji Koncept varstva osebnih podatkov v Republiki Sloveniji temelji na dolocbi 38. clena Ustave RS, po kateri je varstvo osebnih podatkov ena izmed zagotovljenih clovekovih pravic in temeljnih svobošcin v državi. Omenjena dolocba zagotavlja varstvo osebnih podatkov, pre­poveduje uporabo osebnih podatkov v nasprotju z namenom njihovega zbiranja, vsakomur zagotavlja pravico do seznanitve z zbranimi osebnimi podatki, ki se nanašajo nanj, ter pravico do sodnega varstva ob njihovi zlorabi. Za normativno urejanje varstva osebnih podatkov je pomemben predvsem drugi odstavek 38. clena Ustave RS, ki doloca, da zbiranje, obdelovanje, namen uporabe, nadzor in varstvo tajnosti osebnih podatkov doloca zakon (splošen, sistemski zakon in podrocni zakoni). Gre za t. i. obdelovalni model z dolocenimi pravili za urejanje dopustne obdelave osebnih podatkov na zakonski ravni. Po tem modelu je na podrocju obdelave osebnih podatkov prepovedano vse, razen tistega, kar je z zakonom (na podrocju zasebnega sektorja tudi z osebno privolitvijo posameznika) izrecno dovoljeno. Vsaka obdelava osebnih podatkov namrec pomeni poseg v z ustavo varovano clovekovo pravico. Zato je tak poseg dopusten, ce je v zakonu dolocno opredeljeno, katere osebni podatki se smejo obdelovati, namen njihove obdelave, zagotovljeno pa mora biti tudi ustrezno varstvo in zavarovanje osebnih podatkov. Namen obdelave osebnih podatkov mora biti ustavno dopusten, obdelovati pa se smejo le tisti osebni podatki, ki so primerni in za uresnicitev namena nujno potrebni. Ureditev varstva osebnih podatkov v sistemskem zakonu je potrebna zaradi enotne dolocitve nacel, pravil in obveznosti ter zaradi zapolnitve pravnih praznin, ki bi lahko nastale v podrocnih zakonih. Poleg tega ni treba, da bi se npr. definicije, obveznosti v zvezi z zavarovanjem osebnih podatkov, katalogi zbirk osebnih podatkov in registracija zbirk osebnih podatkov, pravice posameznika do seznanitve s podatki, ki se nanašajo nanj, ter vprašanja glede nadzora in pristojnosti nadzornega or­gana vedno predpisovali tudi v podrocnih zakonih. Namen sistemskega zakona torej ni podrobnejše predpisovanje nacinov obdelave osebnih podatkov po posameznih podrocjih, temvec predvsem to, da se v njem enotno dolocijo splošne pravice, obveznosti, nacela in ukrepi, s katerimi se preprecujejo neustavni, nezakoniti in neupraviceni posegi v zasebnost in dostojanstvo posameznika pri obdelavi osebnih podatkov. Podrocni zakoni morajo zato jasno dolocati, katere zbirke osebnih podatkov se bodo vzpostavile in vodile na posameznem podrocju, vrste osebnih podatkov, ki jih bodo posamezne zbirke vsebovale, nacin zbiranja osebnih po­datkov, morebitne omejitve pravic posameznika, zlasti pa namen obdelave zbranih osebnih podatkov. Z vidika varstva posameznika je zelo priporocljivo, da se v podrocnem zakonu doloci tudi rok hrambe osebnih podatkov. Zakon o varstvu osebnih podatkov4444 Uradni list RS, št. 86/2004; v nadaljevanju ZVOP-1. , ki ga je Državni zbor RS sprejel 15. 7. 2004, velja od 1. 1. 2005. Zakon je bilo treba sprejeti predvsem zaradi vstopa Republike Slovenije v Evropsko unijo in zaradi s tem povezane dolžnosti uskladitve varstva osebnih podatkov z dolocbami Direktive 95/46/ES Evropskega parlamenta in Sveta o zašciti posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov4545 Uradni list Evropskih skupnosti, št. L 281, 23. 11. 1995. . Julija 2007 je bil sprejet Zakon o spremembah in dopolnitvah zakona o varstvu osebnih podatkov4646 Uradni list RS, št. 67/2007. , ki je uvedel dve pomembni novosti: poleg nekaterih olajšav z vidika oblik dostopa posameznikov do njihovih osebnih podatkov je novela bistveno zožila krog zavezancev za vpis zbirk osebnih podatkov v register, kar je predstavljalo administrativno in s tem tudi financno razbremenitev upravljavcev osebnih podatkov. Uradno precišceno besedilo zakona je bilo izdano septembra 2007 v Uradnem listu RS, št. 94/2007. ZVOP-1 ni le sistemski zakon, ampak je v svojem VI. delu tudi t. i. podrocni zakon, ki s precej natancno dolocitvijo pravic, obveznosti, nacel in ukrepov upravljavcem osebnih podatkov daje neposredno zakonsko podlago za obdelavo osebnih podatkov na podrocju neposrednega trženja, videonadzora, biometrije, evidentiranja vstopov v prostore in izstopov iz njih, iznosa osebnih podatkov v tretje države ter strokovnega nadzora. 3.2. Dejavnost državnih nadzornikov za varstvo osebnih podatkov 3.2.1. Pravice in dolžnosti državnega nadzornika Državni nadzornik za varstvo osebnih podatkov opravlja inšpekcijski nadzor nad izvajanjem dolocb ZVOP-1 in je pri opravljanju svojih nalog v skladu s svojimi pooblastili samostojen. Naloge opravlja v okviru in na podlagi Ustave RS in zakonov. Splošna nacela inšpekcijskega nadzora, pravice, dolžnosti in pooblastila državnih nadzornikov, postopek inšpekcijskega nadzora, inšpekcijski ukrepi in druga vprašanja, povezana z inšpekcijskim nadzorom, so doloceni v Zakonu o inšpekcijskem nadzoru,4747 Uradni list RS, št. 43/2007 – uradno precišceno besedilo 1 in 40/2014; v nadaljevanju ZIN. specificne pristojnosti državnega nadzornika pa so opredeljene v 53. clenu ZVOP-1. 3.2.2. Inšpekcijski nadzor Neposredni inšpekcijski nadzor nad izvajanjem predpisov s podrocja varstva osebnih podatkov obsega: • nadzor zakonitosti obdelave osebnih podatkov; • nadzor ustreznosti in izvajanja postopkov in ukrepov za zavarovanje osebnih podatkov; • nadzor nad izvajanjem dolocb zakona, ki urejajo katalog zbirk osebnih podatkov, register zbirk osebnih podatkov in evidentiranje posredovanja osebnih podatk­ov posameznim uporabnikom osebnih podatkov; • nadzor nad izvajanjem dolocb zakona v zvezi z iznosom osebnih podatkov v tretje države in njihovim posredovanjem tujim uporabnikom. Informacijski pooblašcenec je leta 2017 zaradi suma kršitev dolocb ZVOP-1 vodil 655 inšpekcijskih zadev, od tega 226 v javnem in 429 v zasebnem sektorju. Zoper pravne osebe javnega sektorja je na podlagi prijav uvedel 189 inšpekcijskih zadev, 37 postopkov pa je uvedel po uradni dolžnosti, v okviru nacrtovanih ogledov ali npr. ce je na podlagi objav v medijih zaznal sum kršitve varstva osebnih podatkov. Zoper zavezance v zasebnem sektorju je na podlagi prijav odprl 370 inšpekcijskih zadev, 59 postopkov je zacel po uradni dolžnosti. Slika 8: Število inšpekcijskih zadev med letoma 2006 in 2017. Informacijski pooblašcenec je vodil zadeve v zvezi z naslednjimi sumi kršitev dolocb ZVOP-1: • nezakonito razkrivanje osebnih podatkov: posredovanje osebnih podatkov nepooblašcenim uporabnikom in nezakonita objava osebnih podatkov – 174, • nezakonito zbiranje oziroma zahtevanje osebnih podatkov – 98, • nezakonita obdelava osebnih podatkov pri izvajanju neposrednega trženja – 75, • nezakonito izvajanje videonadzora – 67, • neustrezno zavarovanje osebnih podatkov – 59, • obdelava osebnih podatkov v nasprotju z namenom zbiranja – 36, • nezakonit vpogled v osebne podatke – 34, • piškotki – 3, • razno: npr. obdelava osebnih podatkov po preteku roka hrambe, zavrnitev posredovanja osebnih podatkov, zavrnitev izbrisa osebnih podatkov, iznos osebnih podatkov v tretje države, uporaba netocnih podatkov, neustrezna pogodbena obdelava osebnih podatkov, kršitev pravice do seznanitve z lastnimi osebnimi podatki, sumi kršitev, ki ne sodijo v pristojnost Informacijskega pooblašcenca (npr. kršitev pravil v postopkih pri drugih organih, kazniva dejanja zoper cast in dobro ime) – 49. Poleg zgoraj navedenih postopkov je Informacijski pooblašcenec uvedel 60 inšpekcijskih postopkov po uradni dolžnosti, v okviru katerih je preverjal izvajanje dolocb ZVOP-1 v celoti. Slika 9: Sumi nezakonite obdelave osebnih podatkov leta 2017. 3.2.2.1. Inšpekcijski nadzor v javnem sektorju Informacijski pooblašcenec je zaradi suma kršitev dolocb ZVOP-1 zoper pravne osebe javnega sektorja na podlagi prijav odprl 189 inšpekcijskih zadev, 37 jih je odprl po uradni dolžnosti, skupaj 226. V 72 primerih so državni nadzorniki prijaviteljem pisno pojasnili, zakaj uvedba postopka inšpekcijskega nad­zora ne bi bila smiselna oziroma zakaj v prijavi opisano dejanje ne pomeni kršitve dolocb ZVOP-1. V šestih primerih Informacijski pooblašcenec ni uvedel postopka, ker prijavitelji niso posredovali svojih podatkov, zaradi cesar jih ni mogel pozvati k posredovanju dodatnih podatkov, potrebnih za uvedbo inšpekcijskega postopka. Na podlagi petih prijav je Informacijski pooblašcenec takoj izrekel ukrep v skladu z zakonom, ki ureja prekrške, ker je po preucitvi prijav zakljucil, da uvedba inšpekcijskih postopkov ne bi bila smiselna, saj je šlo za enkratna dejanja v preteklosti, ki jih z inšpekcijskimi ukrepi za nazaj ni vec možno prepreciti ali odpraviti, in ker je bilo prijavi priloženih dovolj dokazov o storitvi prekrška, pet prijav je Informacijski pooblašcenec odstopil v reševanje pristojnim organom, od tega je v dveh primerih naznanil sum storitve kaznivega dejanja. Tri prijavitelje je Informacijski pooblašcenec napotil na pravico do seznanitve z lastnimi osebnimi podatki oziroma jim je svetoval, kako naj ravnajo. Po preucitvi 189 prejetih prijav je bilo zaradi utemeljenega suma kršitev dolocb ZVOP-1 zacetih 98 inšpekcijskih postopkov, 37 jih je bilo zacetih po uradni dolžnosti, skupaj torej 135. V okviru inšpekcijskih postopkov je bilo opravljenih 28 inšpekcijskih pregledov v prostorih zavezancev in šest pregledov spletnih strani. Za odpravo ugotovljenih nepravilnosti je Informacijski pooblašcenec 50 zavezancem izrekel ukrepe v obliki ureditvene odlocbe (3), opozorila na zapisnik (12), predodlocbe (13)4848 Informacijski pooblašcenec mora v primeru, ko ugotovi nezakonito obdelavo osebnih podatkov, pred izdajo odlocbe, s katero odredi prenehanje takšne obdelave, zavezanca skladno z nacelom zaslišanja stranke (9. clen ZUP) predhodno seznaniti s tem, zakaj po njegovem mnenju za predmetno obdelavo osebnih podatkov nima pravne podlage, ter ga seznaniti z argumenti, ki njegovo mnenje potrjujejo. Zavezancu je namrec glede na sodno prakso treba pred izdajo ureditvene odlocbe dati možnost, da se izjavi do stališca Informacijskega pooblašcenca (nacelo kontradiktornosti strank). To v praksi pomeni, da zavezanci po seznanitvi z argumenti Informacijskega pooblašcenca v vecini primerov sami nehajo nezakonito obdelovati osebne podatke, zato izdaja ureditvene odlocbe ni vec potrebna. ali ustnega poziva (22). Vsi zavezanci, razen enega, ki je zoper odlocbo vložil tožbo na Upravno sodišce RS, so naložene jim ukrepe takoj izvršili. Leta 2017 je bilo zakljucenih 140 inšpekcijskih postopkov. Informacijski pooblašcenec v 54 inšpekcijskih postopkih ni zaznal kršitev dolocb ZVOP-1, 58 postopkov je ustavil, ker so zavezanci ugotovljene nepravilnosti odpravili, 28 postopkov pa je ustavil zato, ker je šlo za kršitve dolocb ZVOP-1, ki so predstavljale enkratna dejanja v preteklosti, ki jih z inšpekcijskimi ukrepi za nazaj ni bilo vec mogoce odpraviti. Informacijski pooblašcenec je prejel dve tožbi; ena je bila vložena zoper sklep o ustavitvi postopka, ena pa zoper odlocbo, s katero je zavezancu odredil odpravo ugotovljenih nepravilnosti. Upravno sodišce RS je leta 2017 izdalo sodbo v zvezi s tožbo, vloženo leta 2016 zoper odlocbo Informacijskega pooblašcenca, in sicer je tožbo zavrnilo. Zavezanec je zoper sodbo vložil revizijo na Vrhovno sodišce RS. 3.2.2.1. Inšpekcijski nadzor v zasebnem sektorju Informacijski pooblašcenec je zoper zavezance v zasebnem sektorju na podlagi prijav odprl 370 zadev. V 149 primerih so bili prijavitelji obvešceni, da Informacijski pooblašcenec postopka inšpekcijskega nadzora ne bo uvedel, ker iz njihove prijave ne izhaja sum kršitev dolocb ZVOP-1 ali ker jih je napotil na pravico do vpogleda v lastne osebne podatke, pravico do popravka ali izbrisa osebnih podatkov ter pravico zahtevati prenehanje uporabe osebnih podatkov za namen neposrednega trženja. Slednjim (teh je bilo 15) je pojasnil, da mu v primeru zavrnitve zahteve lahko podajo pritožbo ali prijavo. 16 prijav je Informacijski pooblašcenec posredoval v reševanje pristojnim institucijam in o tem obvestil prijavitelje. Na podlagi sedmih prijav je Informacijski pooblašcenec takoj uvedel postopek o prekršku, ker je po preucitvi prijav zakljucil, da uvedba inšpekcijskega postopka ne bi bila smiselna, saj je šlo za enkratna dejanja v preteklosti, ki jih z inšpekcijskimi ukrepi za nazaj ni vec mogoce prepreciti ali odpraviti, in ker je bilo prijavam priloženih dovolj dokazov o storitvi prekrškov. V dveh primerih Informacijski pooblašcenec postopka inšpekcijskega nadzora ni mogel uvesti zaradi pomanjkanja podatkov. Informacijski pooblašcenec je po preucitvi prejetih prijav zacel 196 postopkov inšpekcijskega nadzora, 59 pa jih je uvedel po uradni dolžnosti, skupaj torej 255. Državni nadzorniki za varstvo osebnih podatkov so opravili 76 inšpekcijskih ogledov na terenu in 30 ogledov spletnih strani. Za odpravo ugotovljenih nepravilnosti so 91 zavezancem izrekli ukrepe v obliki opozorila na zapisnik (42), predodlocbe (34), ustnega poziva (9) in ureditvene odlocbe (6). En zavezanec je zoper odlocbo Informacijskega pooblašcenca vložil tožbo, preostali so naložene jim ukrepe v postavljenem roku izvršili. Leta 2017 je Informacijski pooblašcenec ustavil 197 postopkov; 79 postopkov je ustavil, ker ni ugotovil kršitev dolocb ZVOP-1, 74 postopkov je ustavil po tem, ko so zavezanci odpravili ugotovljene nepravilnosti, 44 postopkov pa je zakljucil, ker v zvezi z ugotovljenimi prekrški ni bilo mogoce izreci inšpekcijskih ukrepov, saj je šlo za enkratna dejanja v preteklosti. Zoper en sklep o ustavitvi postopka je posameznik, ki bi lahko imel status stranskega udeleženca, vložil tožbo na Upravno sodišce RS. Informacijski pooblašcenec je leta 2017 prejel štiri sodbe Upravnega sodišca. V dveh primerih je sodišce tožbo zavezanca zoper odlocbo Informacijskega pooblašcenca zavrnilo, v dveh primerih pa je tožbi ugodilo, sklepa Informacijskega pooblašcenca odpravilo (tožbi sta bili vloženi zoper sklep o zavrnitvi stranske udeležbe in zoper sklep o zavrženju pritožbe zoper obvestilo prijavitelju o neuvedbi postopka) in zadevo vrnilo v ponoven postopek. 3.2.3. Storjeni prekrški Zaradi kršitev dolocb ZVOP-1 je bilo leta 2017 uvedenih 105 postop­kov o prekršku, od tega 44 zoper pravne osebe zasebnega sektorja in njihove odgovorne osebe, 27 zoper pravne osebe javnega sektorja in njihove odgovorne osebe, 34 pa jih je bilo uvedenih zoper posameznike (v to število so vkljuceni tudi postopki zoper odgovorne osebe državnih organov in samoupravnih lokalnih skupnosti, saj v skladu z Zakonom o prekrških4949 Uradni list RS, št. 29/2011 – uradno precišceno besedilo 8 s spremembami; v nadaljevanju ZP-1. Republika Slovenija in samoupravne lokalne skupnosti za prekrške ne odgovarjajo, odgovarjajo le njihove odgovorne osebe – teh je bilo 28). Za ugotovljeni prekršek lahko prekrškovni organ v skladu s 53. clenom izrece opozorilo, ce je storjeni prekršek neznaten in ce pooblašcena uradna oseba oceni, da je glede na pomen dejanja opozorilo zadosten ukrep. Ce je storjen hujši prekršek, prekrškovni organ izda odlocbo o prekršku, s katero kršitelju izrece sankcijo. V skladu s 4. clenom ZP-1 sta sankciji za prekršek globa in opomin, glede na 57. clen ZP-1 pa se lahko globa izrece tudi v obliki placilnega naloga. Slika 10: Število uvedenih postopkov o prekršku med letoma 2006 in 2017. V prekrškovnih postopkih, vkljucno z odprtimi postopki iz preteklih let, je Informacijski pooblašcenec leta 2017 izdal: • 10 opozoril ter • 93 odlocb o prekršku (49 glob in 44 opominov). Poleg opozoril, ki so bila izrecena v prekrškovnih postopkih, je Informacijski pooblašcenec v skladu z nacelom ekonomicnosti izrekel tudi 70 opozoril po 53. clenu ZP-1 v okviru postopkov inšpekcijskega nadzora, in sicer 23 v javnem in 47 v zasebnem sektorju. Kršitelji so zoper izdane odlocbe o prekršku vložili deset zahtev za sodno varstvo (zoper 10,7 % odlocb). Vse zahteve za sodno varstvo so bile vložene zoper odlocbe, s katerimi je Informacijski pooblašcenec kršiteljem izrekel globe. Relativno majhen delež vloženih zahtev za sodno varstvo kaže na to, da storilci storjene prekrške priznavajo in se zavedajo svoje odgovornosti. Kršitve (v okviru enega postopka je lahko vec kršitev) so zadevale: • neustrezno zavarovanje osebnih podatkov (24. in 25. clen ZVOP-1) – 58, • nezakonito obdelavo osebnih podatkov (8. clen ZVOP-1) – 38, • nezakonit namen zbiranja in nadaljnje obdelave osebnih podatkov (16. clen ZVOP-1) – 25, • posredovanje neustrezno anonimiziranih podatkov za znanstveno-raziskovalne namene (17. clen ZVOP-1) – 19, • kršitve dolocb v zvezi z izvajanjem videonadzora (74., 75., 76. in 77. clen ZVOP-1) – 17, • kršitve dolocb o neposrednem trženju (72. in 73. clen ZVOP-1) – 13, • nepravilnosti v zvezi z vzpostavitvijo katalogov zbirk osebnih podatkov in posredovanjem podatkov v register zbirk osebnih podatkov (26. in 27. clen ZVOP-1) – 12, • neustrezno urejeno pogodbeno obdelavo osebnih podatkov (11. clen ZVOP-1) – 6, • nezakonito obdelavo obcutljivih osebnih podatkov (13. clen ZVOP-1) – 4, • neizpolnjevanje ukrepov, izrecenih v postopkih inšpekcijskega nadzora, kršitve dolocb ZIN – 4, • nezakonito kopiranje osebnih dokumentov (4.a clen ZPLD in 4. clen ZOIzk) – 3, • neustrezno sledljivost posredovanja osebnih podatkov (tretji odstavek 22. clena ZVOP-1) – 2, • neustrezen rok hrambe osebnih podatkov (21. clen ZVOP-1) – 2, • neustrezno zavarovanje obcutljivih osebnih podatkov (14. clen ZVOP-1) – 2, • neustrezno ravnanje v primeru prejema zahteve za seznanitev z lastnimi osebnimi podatki (31. clen ZVOP-1) – 1, • nezakonito izvajanje biometrijskih ukrepov (80. clen ZVOP-1) – 1. Slika 11: Najpogostejše kršitve dolocb ZVOP-1 leta 2017. Leta 2017 je Informacijski pooblašcenec prejel 11 sodb, s katerimi so okrajna sodišca odlocila o zahtevah za sodno varstvo, ki so jih storilci vložili zoper odlocbe o prekrških v letih 2016 in 2017: • zahteva za sodno varstvo je bila zavrnjena kot neutemeljena, odlocba Informacijskega pooblašcenca pa potrjena – 7, • zahtevi za sodno varstvo je bilo ugodeno v delu, ki se nanaša na izreceno sankcijo, tako da se je storilcem za prekršek spremenila sankcija ali višina globe, sicer je bila zahteva za sodno varstvo zavrnjena kot neutemeljena – 3, • odlocba Informacijskega pooblašcenca je bila spremenjena tako, da sta se dva prekrška združila v enega, sankcija (globa) pa je ostala ista – 1. 3.3. Dajanje mnenj in pojasnil Neposredna pravna podlaga za dajanje neobveznih mnenj, pojasnil, stališc, navodil in priporocil s podrocja varstva osebnih podatkov so dolocbe 49. clena ZVOP-1. Informacijski pooblašcenec je leta 2017 izdal 1.289 pisnih mnenj in napotitev na mnenja. Ce je posameznik zastavil vprašanje, na katerega je Informacijski pooblašcenec v preteklosti že odgovoril, ga je Informacijski pooblašcenec namrec le napotil na mnenje, objavljeno na spletni strani. Na spletni strani Informacijskega pooblašcenca je objavljenih okoli 2.500 mnenj in posamezniki lahko tam najdejo odgovore na številna vprašanja. Informacijski pooblašcenec izdana mnenja razvršca na 48 podrocij (npr. bancništvo, biometrija, davcni postopki, delovna razmerja, društva, elektronska pošta, enotna maticna številka obcana in davcna številka, iznos osebnih podatkov v tretje države, knjižnicarstvo, mediji, moderne tehnologije, neposredno trženje in nagradne igre, obcine, pogodbena obdelava, policijski postopki, postopki na centrih za socialno delo, register zbirk osebnih podatkov, sindikati, sodni postopki, stanovanjsko in nepremicninsko pravo, statistika in raziskovanje, svetovni splet, šolstvo, telekomunikacije in pošta, trgovinska dejavnost, upravljanje gospodarskih družb, upravni postopki, verske skupnosti, video- in avdionadzor, vpogled v lastne osebne podatke, vrtci, zavarovalništvo, zavarovanje osebnih podatkov, zdravstveni osebni podatki). Mnenja so objavljena na spletni strani https://www.ip-rs.si/varstvo-osebnih-podatkov/iskalnik-po-odlocbah-in-mnenjih/odlocbe-in-mnenja-varstvo-osebnih-podatkov/. Informacijski pooblašcenec spodbuja svetovanje oziroma posredovanje ustnih odgovorov na vprašanja, zato je v uradu vsak dan na voljo dežurni državni nadzornik, ki na vprašanja odgovarja po telefonu. Leta 2017 so državni nadzorniki sprejeli 1.998 klicev; Informacijski pooblašcenec je skupno svetoval skoraj 3.300 posameznikom. Slika 12: Mnenja Informacijskega pooblašcenca leta 2017. 3.4. Dopustnost izvajanja biometrijskih ukrepov Informacijski pooblašcenec je po dolocbi 80. clena ZVOP-1 pristojen za vodenje upravnih postopkov za izdajo odlocb o tem, ali je nameravano izvajanje biometrijskih ukrepov v skladu z dolocbami ZVOP-1 ali ne. Biometrijski ukrepi so kot posebna oblika obdelave osebnih podatkov opredeljeni v tretjem poglavju VI. dela ZVOP-1, v 78.–81. clenu. Po dolocbi tretjega odstavka 80. clena ZVOP-1 mora Informacijski pooblašcenec pri odlocanju o tem, ali je nameravana uvedba biometrijskih ukrepov v zasebnem sektorju v skladu z dolocbami ZVOP-1, ugotoviti predvsem, ali je izvajanje biometrijskih ukrepov nujno za opravljanje dejavnosti, za varnost ljudi ali premoženja ali za varovanje tajnih podatkov ali poslovne skrivnosti. Z dolocitvijo teh pogojev je zakonodajalec sledil nacelu sorazmernosti (3. clen ZVOP-1) ter s tem omejil možnosti prekomernih in neupravicenih posegov v zasebnost in dostojanstvo posameznika. Pri presoji, ali so biometrijski ukrepi nujno potrebni za dosego namena, Informacijski pooblašcenec ugotavlja, ali bi namen, ki ga zasleduje vlagatelj, ta lahko dosegel s postopki in ukrepi, ki manj posegajo v zasebnost zaposlenih oziroma ne vkljucujejo biometrijskih ukrepov. Slednji namrec predstavljajo velik poseg v informacijsko zasebnost posameznika, saj gre za obdelavo tistih znacilnosti, ki so za vsakogar edinstvene in stalne in zloraba katerih bi za posameznika lahko imela hude, daljnosežne in nepopravljive posledice. Informacijski pooblašcenec presoja tudi tehnicni vidik biometrijskih ukrepov (ali se bodo ti ukrepi uporabljali za preverjanje identitete oziroma avtentikacijo ali za ugotavljanje identitete oziroma identifikacijo). Slika 13: Število vlog za izdajo odlocbe o dopustnosti izvajanja biometrijskih ukrepov med letoma 2007 in 2017. Informacijski pooblašcenec je leta 2017 prejel štiri vloge za izdajo dovoljenja za uvedbo biometrijskih ukrepov, izdal je eno odlocbo. Informacijski pooblašcenec je zahtevi vlagatelja delno ugodil in mu za namen varovanja ljudi dovolil izvajanje biometrijskih ukrepov z uporabo citalnika prstnih odtisov, in sicer nad zaposlenimi, ki imajo pooblastilo za vstop v prostore radiografskega laboratorija. Po preucitvi vlagateljevih navedb je Informacijski pooblašcenec zakljucil, da je varnost ljudi tako pomembna, da odtehta poseg v informacijsko zasebnost zaposlenih, ki ga predstavlja izvajanje biometrijskih ukrepov. Pri tem je upošteval predvsem obseg morebitnih negativnih posledic nepooblašcenega vstopa v laboratorij, saj bi iznos radioaktivnih snovi lahko imel zelo resne posledice tudi za širše okolje oziroma življenje in zdravje širšega kroga posameznikov. Radiografski laboratorij zato predstavlja posebno varovano obmocje, za varnost katerega je vlagatelj upravicen in dolžan sprejeti in izvajati ukrepe, s katerimi bo to obmocje kar najucinkoviteje zavaroval. Takšno varovanje nalagata tudi Zakon o varstvu pred ionizirajocimi sevanji in jedrski varnosti5050 Uradni list RS, št. 60/2011. ter Pravilnik o fizicnem varovanju jedrskih objektov, jedrskih in radioaktivnih snovi ter prevozov jedrskih snovi, ki vlagatelju sicer ne dajeta neposredne pravne podlage za izvajanje biometrijskih ukrepov, a ju je po mnenju Informacijskega pooblašcenca vsekakor treba upoštevati pri oceni obcutljivosti obmocja radiografskega laboratorija in pri presoji ukrepov, potrebnih za njegovo zavarovaje. Med ukrepe, s katerimi se lahko v veliki meri poveca ucinkovitost varstva takega posebej pomembnega in varnostno obcutljivega obmocja, spadajo tudi biometrijski ukrepi. Vlagatelj bo poleg nadzora dostopa do radiografskega laboratorija z biometrijskimi ukrepi zbiral tudi podatke o tem, koliko casa se je kateri od zaposlenih, ki so pooblašceni za vstop v laboratorij, nahajal v njem. Zaposleni so v laboratoriju izpostavljeni doloceni stopnji radioaktivnega sevanja, zato je nujno zagotoviti, da se v teh prostorih nahajajo samo omejen cas, saj bi v nasprotnem primeru sevanje lahko škodljivo vplivalo na njihovo zdravje. Informacijski pooblašcenec je vlagatelja opozoril, da lahko v podatke o casu vstopa v laboratorij in izstopa iz njega vpogleduje ali jih drugace nadalje obdeluje zgolj za namen, za katerega je bilo izvajanje biometrijskih ukrepov dovoljeno, tj. ce je to potrebno za zagotavljanje varnosti konkretnega zaposlenega, ne pa za druge namene (npr. za nadzor nad delovnim casom posameznega zaposlenega, saj ne gre za evidentiranje prisotnosti zaposlenih na delovnem mestu v smislu registracije njihovega delovnega casa). Informacijski pooblašcenec je ocenil, da je nameravano izvajanje biometrijskih ukrepov v skladu z nacelom sorazmernosti, saj se bodo ti ukrepi izvajali le nad ožjim krogom zaposlenih pri vlagatelju, ki so v okviru opravljanja svojih del in nalog pri vlagatelju izrecno pooblašceni za dostopanje do varovanega radiografskega laboratorija. Vlagateljeva zahteva je bila zavrnjena v delu, ki se je nanašal na nameravano izvajanje biometrijskih ukrepov nad posamezniki, nad katerimi teh ukrepov že po samem zakonu ni dovoljeno izvajati, tj. posamezniki, ki niso zaposleni pri vlagatelju. Prvi odstavek 80. clena ZVOP-1 namrec izrecno doloca, da je izvajanje teh ukrepov mogoce dopustiti zgolj nad zaposlenimi pri subjektu, ki bi te ukrepe želel izvajati, ne pa tudi nad drugimi posamezniki, ki s takim subjektom niso v delovnem razmerju. Taki posamezniki bodo zato v prostore vlagatelja lahko vstopali samo v spremstvu zaposlenih, ki so pooblašceni za dostop do teh prostorov. 3.5. Ugotavljanje ustrezne ravni varstva osebnih podatkov v tretjih državah Skladno z dolocbami ZVOP-1 je Informacijski pooblašcenec na podrocju iznosa osebnih podatkov v tretje države pristojen za: • izdajo odlocb o zagotavljanju ustrezne ravni varstva osebnih podatkov v tretjih državah (63. clen); • vodenje postopkov ugotavljanja ustrezne ravni varstva osebnih podatkov v tretjih državah na podlagi ugotovitev inšpekcijskega nadzora in drugih informacij (64. clen); • vodenje seznama tretjih držav, za katere je ugotovil, da imajo v celoti ali delno zagotovljeno ustrezno raven varstva osebnih podatkov ali da te nimajo zagotovljene; ce je ugotovljeno, da tretja država ustrezno raven varstva osebnih podatkov zagotavlja le delno, je v seznamu navedeno tudi, v katerem delu je ustrezna raven zagotovljena (66. clen); • vodenje upravnih postopkov za izdajo posebnih dovoljenj za iznos osebnih podatkov v tretjo državo (70. clen). Informacijski pooblašcenec mora kot pristojni nadzorni organ za varstvo osebnih podatkov glede na dolocbe 7. tocke prvega odstavka 70. clena ZVOP-1 v postopku odlocanja o izdaji posebnega dovoljenja za iznos osebnih podatkov v tretjo državo preveriti, ali upravljavec osebnih podatkov (izvoznik podatkov) zagotavlja ustrezne postopke in ukrepe zavarovanja osebnih podatkov ter ali je v dolocbah pogodb ali v splošnih pogojih poslovanja navedel ustrezne možnosti njihovega uresnicevanja in varstva. Poleg tega mora Informacijski pooblašcenec pri odlocanju o izdaji posebnega dovoljenja (odlocbe) glede iznosa osebnih podatkov v tretje države opraviti tudi vsebinski preizkus, ali za posredovanje oziroma za razkrivanje, širjenje in dajanje dolocenih osebnih podatkov na razpolago drugi pravni osebi obstaja ustrezna pravna podlaga. Informacijski pooblašcenec je leta 2017 prejel 29 vlog za iznos osebnih podatkov. En vlagatelj je vlogo umaknil, zato je Informacijski pooblašcenec postopek s sklepom ustavil, vsem ostalim je iznos osebnih podatkov dovolil. Izdal je 34 odlocb, šest za vloge, vložene leta 2016: • 25 družbam je dovolil, da osebne podatke iznašajo in posredujejo svojim pogodbenim obdelovalcem v tretjih državah, in sicer v ZDA, kamor bo osebne podatke iznašala vecina družb, Indijo, Avstralijo, Srbijo, Združene arabske emirate, Turcijo, Maroko in na Filipine. Podatki, ki jih bodo iznašali, se nanašajo na zaposlene in njihove sorodnike, kandidate za zaposlitev, goste, kupce, dobavitelje, paciente in zdravstvene delavce, ki sodelujejo v klinicnih in drugih medicinskih raziskavah, uporabnike farmacevtskih proizvodov, ki porocajo o neželenih ucinkih, in uporabnike kartic, ki opravljajo storitve na bankomatih. Nameni iznosa osebnih podatkov, ki so jih navedle družbe, so npr. uporaba storitev v oblaku, izvajanje klinicnih raziskav, spremljanje farmakovigilance, korišcenje platforme za merjenje izkušenj in zadovoljstva strank, gostovanje sistema in hramba podatkov, zagotavljanje pomoci uporabnikom, uporaba orodja za zagotavljanje stroškovne ucinkovitosti, upravljanje in gostovanje aplikacij za razvoj cloveških virov, IT-sistemov in spletnih strani, centralizirano izvajanje nadzora nad bankomati, analiza dostopov v razlicne IT-sisteme zaradi preprecevanja zunanjih napadov. • Osmim družbam je dovolil, da drugim upravljavcem osebnih podatkov v ZDA posredujejo osebne podatke zaposlenih (sedanjih in nekdanjih) in kandidatov za zaposlitev, poslovnih partnerjev (zastopnikov, posrednikov, prodajalcev, dobaviteljev), kupcev, zdravnikov, farmacevtov in drugih zdravstvenih delavcev ter pacientov, ki sodelujejo v klinicnih raziskavah, za namene upravljanja s cloveškimi viri oziroma kadri, priprave statisticnih in drugih podatkov, upravljanja odnosov s strankami in izvajanja centralne poslovne in informacijsko-tehnicne politike zaradi povecanja ucinkovitosti in izboljšanja storitev. • Eni družbi je dovolil, da po prejemu odlocbe povezanim družbam znotraj mednarodne skupine družb, katere clanica je, iznaša in posreduje osebne podatke subjektov klinicnih in drugih znanstvenih raziskav, pacientov, na katere se nanašajo porocila o neželenih ucinkih, in posameznikov, ki porocajo o neželenih ucinkih, osebne podatke raziskovalcev ter drugih znanstvenikov in osebja, zdravstvenih delavcev, strokovnjakov s podrocja industrije, bodocih, sedanjih in bivših zaposlenih in njihovih vzdrževanih clanov, delavcev, ki delo opravljajo na podlagi podjemnih, avtorskih in drugih pogodb, ponudnikov storitev in poslovnih partnerjev, vlagateljev in delnicarjev, dobaviteljev in prodajalcev, in sicer z namenom izvajanja raziskav in drugih proizvodnih namenov, zagotavljanja zdravstvenih storitev in rešitev, iz komercialnih namenov ter z namenom korporativne podpore. Informacijski pooblašcenec pojasnjuje, da je tudi leta 2017 veliko število vlog (leta 2016 jih je bilo 53) za pridobitev dovoljenja za iznos osebnih podatkov posledica odlocitve Sodišca EU oktobra 2015 v zadevi Schrems ter posledicne razveljavitve t. i. dogovora o Varnem pristanu, na podlagi katerega so upravljavci iznašali osebne podatke iz EU v ZDA. Ker je Informacijski pooblašcenec pri odlocanju o ustrezni ravni varstva osebnih podatkov v skladu s 67. clenom ZVOP-1 vezan na odlocitve pristojnega organa EU, je odpravil odlocbo, s katero je leta 2010 ugotovil, da ZDA zagotavljajo ustrezno raven varstva osebnih podatkov v delu, ko gre za iznos osebnih podatkov organizacijam, ki delujejo po nacelih Varnega pristana. Upravljavci so morali zato za iznos osebnih podatkov v ZDA vložiti nove vloge. Marca 2017 je Informacijski pooblašcenec izdal odlocbo, s katero je ZDA uvrstil na listo tretjih držav, za katere se šteje, da v delu, ko gre za iznos osebnih podatkov v okviru Šcita zasebnosti EU–ZDA, zagotavljajo ustrezno raven varstva osebnih podatkov. Tako upravljavci osebnih podatkov v Sloveniji, ki za obdelavo osebnih podatkov uporabljajo storitve pogodbenih partnerjev iz ZDA, za iznos osebnih podatkov ne potrebujejo vec posebnega dovoljenja Informacijskega pooblašcenca, ce je njihov pogodbeni partner ustrezno samocertificiran v okviru Šcita zasebnosti (Privacy Shield), kar lahko preverijo na seznamu, objavljenem na https://www.privacyshield.gov/article?id=How-to-Verify-an-Organization-s-Privacy-Shield-Commitments. Informacijski pooblašcenec je pri svoji odlocitvi upošteval Izvedbeni sklep Evropske Komisije (EU) št. 2016/1250 na podlagi Direktive Evropskega parlamenta in Sveta 95/46/ES o ustreznosti varstva, ki ga zagotavlja zasebnostni šcit EU–ZDA (notificirano pod dokumentarno številko C(2016) 4176) z dne 12. 7. 2016, po katerem se šteje, da ZDA zagotavljajo ustrezno raven varstva osebnih podatkov v delu, ko gre za iznos osebnih podatkov, ki se v okviru zasebnostnega šcita EU–ZDA prenašajo iz EU samocertificiranim organizacijam v ZDA. Slika 14: Število vlog za izdajo odlocbe glede iznosa osebnih podatkov med letoma 2007 in 2017. 3.6. Izdajanje dovoljenj za povezovanje javnih evidenc Povezovanje zbirk osebnih podatkov urejajo 84., 85. in 86. clen ZVOP-1. 84. clen ZVOP-1 doloca, da ce najmanj ena izmed zbirk osebnih podatkov, ki naj bi se jih povezovalo, vsebuje obcutljive osebne podatke ali ce bi bila posledica povezovanja razkritje obcutljivih podatkov ali je za povezovanje potrebna uporaba istega povezovalnega znaka, povezovanje brez predhodnega dovoljenja Informacijskega pooblašcenca ni dovoljeno. Ta povezavo dovoli na podlagi pisne vloge upravljavca osebnih podatkov, ce ugotovi, da ta zagotavlja ustrezno zavarovanje osebnih podatkov. Postopki in ukrepi za zavarovanje morajo biti ustrezni glede na tveganje, ki ga predstavljata obdelava in narava osebnih podatkov, ki se obdelujejo. Poleg ugotavljanja ustreznosti zavarovanja osebnih podatkov mora Informacijski pooblašcenec pri odlocanju o izdaji dovoljenja za povezovanje zbirk osebnih podatkov opraviti tudi vsebinski preizkus, ali za povezovanje zbirk osebnih podatkov obstaja ustrezna zakonska podlaga. V okviru povezave zbirk osebnih podatkov se lahko posredujejo oziroma obdelujejo le tiste vrste osebnih podatkov, ki jih doloca veljavna zakonodaja. Povezovanje zbirk predstavlja avtomatsko in elektronsko povezovanje zbirk osebnih podatkov, ki jih vodijo upravljavci za razlicne namene, in sicer tako, da se doloceni podatki samodejno ali na zahtevo prenesejo ali vkljucijo v drugo povezano zbirko ali v vec povezanih zbirk. Zbirki osebnih podatkov sta povezani, ce se doloceni podatki iz ene zbirke neposredno vkljucijo v drugo zbirko, s cimer se druga zbirka spremeni (poveca, ažurira ipd.); pri tem gre lahko zgolj za enosmeren tok prenosa podatkov. Informacijski pooblašcenec je leta 2017 prejel 16 vlog za pridobitev dovoljenja za povezovanje zbirk osebnih podatkov. Izdal je 12 odlocb, s katerimi je upravljavcem dovolil povezovanje zbirk osebnih podatkov, en postopek pa je s sklepom ustavil, ker je vlagatelj vlogo umaknil. Informacijski pooblašcenec je dovolil povezovanje naslednjih zbirk osebnih podatkov: 1. Ministrstvu za notranje zadeve je dovolil, da Evidenco imetnikov službene izkaznice nadzornika smucišca poveže s Centralnim registrom prebivalstva. Povezava med zbirkama se lahko izvede tako, da se kot povezovalni znak uporabita EMŠO in osebno ime. 2. Ministrstvu za finance, Uradu RS za preprecevanje pranja denarja, je dovolil, da Evidenco podatkov o osebah in transakcijah, Evidenco o prejetih pobudah, Evidenco obvestil in informacij ter Evidenco mednarodnih zaprosil, ki jih vodi na podlagi Zakona o preprecevanju pranja denarja in financiranja terorizma, neposredno racunalniško poveže: • s Centralnim registrom prebivalstva, katerega upravljavec je Ministrstvo za notranje zadeve, • z Registrom nepremicnin, Zemljiškim katastrom in Katastrom stavb, katerih upravljavec je Geodetska uprava RS. Kot povezovalni znak se uporabi EMŠO ali davcna številka. 3. Ministrstvu za notranje zadeve je dovolil, da Evidenco nadomestil in služnosti v javno korist poveže s Centralnim registrom prebivalstva. Povezava med zbirkama se izvede na podlagi EMŠO. 4. Ministrstvu za infrastrukturo je dovolil, da: a) Evidenco o vozniških dovoljenih poveže z Evidenco potnih listin, Evidenco osebnih izkaznic in Centralnim registrom prebivalstva, katerih upravljavec je Ministrstvo za notranje zadeve; b) Evidenco registriranih vozil poveže s Centralnim registrom prebivalstva, katerega upravljavec je Ministrstvo za notranje zadeve. Neposredna racunalniška povezava med zbirkami se vzpostavi tako, da se kot povezovalni znak uporabi EMŠO. 5. Ministrstvu za infrastrukturo, Upravi RS za pomorstvo, je dovolil, da zbirki osebnih podatkov Evidenca o listinah o usposobljenosti za upravljanje s colni ter Evidenca pooblastil, ki se ne izdajajo v skladu z mednarodnimi konvencijami, neposredno racunalniško poveže • s Centralnim registrom prebivalstva, katerega upravljavec je Ministrstvo za notranje zadeve, ter • z Evidenco vozniških dovoljenj, katere upravljavec je Ministrstvo za infrastrukturo. Povezava med zbirkami se izvede na podlagi EMŠO. 6. Vrhovnemu sodišcu RS je dovolil, da Informacijski sistem PUND neposredno racunalniško poveže • s Centralnim registrom prebivalstva, katerega upravljavec je Ministrstvo za notranje zadeve, in • z Davcnim registrom, katerega upravljavec je Financna uprava RS. Kot povezovalni znak se uporabi EMŠO ali davcna številka. 7. Ministrstvu za okolje in prostor je dovolil, da Evidenco izvajanja dimnikarskih storitev neposredno racunalniško poveže s Centralnim registrom prebivalstva, katerega upravljavec je Ministrstvo za notranje zadeve. Neposredna racunalniška povezava med zbirkama se vzpostavi tako, da se kot povezovalni znak uporabi EMŠO. 8. Ministrstvu za delo, družino, socialne zadeve in enake možnosti je dovolil, da Evidenco izdanih invalidskih kartic ugodnosti, Evidenco sofinanciranja tehnicnih pripomockov, Evidenco prilagoditve vozila in Evidenco pridobitve psa pomocnika neposredno racunalniško poveže s Centralnim registrom prebivalstva, katerega upravljavec je Ministrstvo za notranje zadeve. Neposredna racunalniška povezava med zbirkami se izvede na podlagi EMŠO. 9. Kapitalski družbi pokojninskega in invalidskega zavarovanja je dovolil, da zbirko osebnih podatkov Evidenca zavarovancev – clanov neposredno racunalniško poveže s Centralnim registrom prebivalstva, katerega upravljavec je Ministrstvo za notranje zadeve. Kot povezovalni znak se uporabi EMŠO. 10. Ministrstvu za infrastrukturo je dovolil, da Evidenco subvencij prevoza neposredno racunalniško poveže s: • Centralnim registrom prebivalstva, katerega upravljavec je Ministrstvo za notranje zadeve, • Centralno evidenco udeležencev vzgoje in izobraževanja (CEUVIZ), katere upravljavec je Ministrstvo za izobraževanje, znanost in šport, in • Evidencnim in analitskim informacijskim sistemom visokega šolstva v Republiki Sloveniji (eVŠ), katerega upravljavec je Ministrstvo za izobraževanje, znanost in šport. Neposredna racunalniška povezava med zbirkami se vzpostavi na podlagi EMŠO. 11. Ministrstvu za izobraževanje, znanost in šport je dovolil, da zbirki osebnih podatkov Evidencni in analitski sistem visokega šolstva Republike Slovenije – Evidenca študentov in diplomantov (eVŠ-EŠD) ter Centralna evidenca udeležencev vzgoje in izobraževanja (CEUVIZ) neposredno racunalniško poveže • s »Clani_ms«, katere upravljavec je Mladinski servis, pomurski študentski servis, d. o. o., in • z Zbirko podatkov o študentih in dijakih, katere upravljavec je ŠS, d. o. o. Kot povezovalni znak se uporabi EMŠO. 12. Agenciji RS za javnopravne evidence in storitve je dovolil, da Register dejanskih lastnikov neposredno racunalniško poveže • s Centralnim registrom prebivalstva, katerega upravljavec je Ministrstvo za notranje zadeve, in • z Davcnim registrom, katerega upravljavec je Financna uprava RS. Povezava med zbirkami se vzpostavi na podlagi EMŠO. Slika 15: Število vlog za izdajo odlocbe glede povezljivosti zbirk osebnih podatkov med letoma 2006 in 2017. 3.7. Pravica do seznanitve z lastnimi osebnimi podatki Pravica posameznika do seznanitve z lastnimi osebnimi podatki je ustavna pravica, dolocena v 38. clenu Ustave RS in konkretizirana v 30. (vsebina pravice) in 31. clenu (postopek seznanitve) ZVOP-1. V skladu s prvim odstavkom 30. clena ZVOP-1 mora vsak upravljavec osebnih podatkov posamezniku na njegovo zahtevo npr. potrditi, ali se podatki v zvezi z njim obdelujejo ali ne, mu omogociti vpogled v osebne podatke, ki so vsebovani v zbirki osebnih podatkov in se nanašajo nanj, ter mu omogociti njihovo prepisovanje ali kopiranje; posredovati izpis osebnih podatkov, ki so vsebovani v zbirki osebnih podatkov in se nanašajo nanj; posredovati seznam uporabnikov, katerim so bili osebni podatki posredovani, kdaj, na kakšni podlagi in za kakšen namen; dati informacijo o virih, na katerih temeljijo zapisi, ki jih o posamezniku vsebuje zbirka osebnih podatkov; dati informacije o namenu obdelave in vrsti osebnih podatkov, ki se obdelujejo. Glede na dolocbe 31. clena ZVOP-1 mora upravljavec osebnih podatkov posamezniku omogociti seznanitev v 15 ali 30 dneh od prejema zahteve (odvisno od vsebine zahteve) ali pa ga v istem roku pisno obvestiti o razlogih, zaradi katerih mu seznanitve z lastnimi osebnimi podatki ne bo omogocil. Upravljavec osebnih podatkov mora posamezniku praviloma posredovati vse podatke, ki jih vodi v svojih zbirkah, saj je pravico posameznika do seznanitve z lastnimi osebnimi podatki, skladno s 36. clenom ZVOP-1, mogoce izjemoma omejiti le z zakonom. Ce upravljavec posamezniku ne odgovori ali njegovo zahtevo zavrne, lahko posameznik vloži pritožbo pri Informacijskem pooblašcencu. Informacijski pooblašcenec je leta 2017 prejel 110 pritožb v zvezi s pravico do seznanitve z lastnimi osebnimi podatki. V okviru teh pritožbenih postopkov je reševal tudi pritožbe posameznikov zaradi kršitve Zakona o pacientovih pravicah5151 Uradni list RS, št. 15/2008, s spremembami; v nadaljevanju ZPacP. , in sicer pritožbe pacientov in drugih upravicenih oseb v zvezi s seznanitvijo z lastno zdravstveno dokumentacijo (41. clen ZPacP) ter pritožbe uporabnikov v zvezi s seznanitvijo z zdravstveno dokumentacijo po pacientovi smrti (42. clen ZPacP). Vložene pritožbe so v 40 primerih zadevale državne organe (ministrstva in organe v njihovi sestavi, sodišca), v 21 primerih zdravstvene ustanove, v 11 primerih vzgojno-izobraževalne ustanove, v desetih primerih centre za socialno delo, preostale pritožbe pa so se nanašale na razlicne upravljavce osebnih podatkov, predvsem iz zasebnega sektorja. Slika 16: Število pritožb v zvezi s pravico do seznanitve z lastnimi osebnimi podatki med letoma 2006 in 2017. Informacijski pooblašcenec je poleg vec zadev iz leta 2016 rešil 78 zadev, prejetih v letu 2017. Pri tem je izdal 11 odlocb, pri cemer je v dveh pritožbam posameznikov v celoti ugodil, v petih pa delno. Vsi upravljavci so odlocbe izvršili in posameznikom posredovali zahtevane dokumente oziroma podatke. S štirimi odlocbami je pritožbe posameznikov zoper obvestila, ki so jim jih posredovali upravljavci osebnih podatkov, kot neutemeljene zavrnil, zoper eno zavrnilno odlocbo je posameznik vložil tožbo na Upravno sodišce RS. Ostale pritožbe so bile vecinoma rešene na nacin izdaje nezavezujocih predlogov za ravnanje, pojasnil (predhodnih mnenj, obvestil) in zavezujocih pozivov ter zakljucene z uradnimi zaznamki. Tri pritožbe je Informacijski pooblašcenec zavrgel s sklepom (zaradi postopkovnih pomanjkljivosti), pet pa jih je odstopil v reševanje pristojnim organom. 3.8. Zahteve za oceno ustavnosti Informacijski pooblašcenec lahko z zahtevo zacne postopek za oceno ustavnosti oziroma zakonitosti predpisov na podlagi 23.a clena Zakona o Ustavnem sodišcu5252 Uradni list RS, št. 64/2007 – uradno precišceno besedilo 1, s spremembami; v nadaljevanju ZUstS. , ce se pojavi vprašanje ustavnosti ali zakonitosti v zvezi s postopkom, ki ga vodi. Pri vlaganju zahtev po presoji ustavnosti je torej omejen, saj ne gre za splošno pooblastilo za vlaganje zahtev na Ustavno sodišce RS, ampak se mora zahteva nanašati na konkreten postopek. 3.8.1. Zahteva za oceno ustavnosti Zakona o Slovenski obvešcevalno-varnostni agenciji 5353 Uradni list RS, št. 81/2006 – uradno precišceno besedilo 2; v nadaljevanju ZSOVA. Informacijski pooblašcenec je vložil zahtevo za oceno ustavnosti prvega in tretjega odstavka 21. clena ZSOVA zaradi neskladja z 2., 15., 37. in 38. clenom Ustave RS. Prvi odstavek doloca, da spremljanje mednarodnih sistemov zvez ter tajni nakup dokumentov in predmetov dovoljuje direktor agencije s pisno odredbo, tretji odstavek pa doloca, da se spremljanje mednarodnih sistemov zvez ne sme nanašati na dolocljiv prikljucek telekomunikacijskega sredstva ali na dolocenega uporabnika tega prikljucka na obmocju Republike Slovenije. Informacijski pooblašcenec je zoper Slovensko obvešcevalno-varnostno agencijo (SOVA) v letu 2013 po uradni dolžnosti uvedel postopek inšpekcijskega nadzora z namenom preveriti, ali obdelava osebnih podatkov pri spremljanju sistemov mednarodnih zvez, ki jo urejajo dolocbe 21. clena ZSOVA, poteka skladno z dolocbami ZVOP-1. Informacijski pooblašcenec je v okviru inšpekcijskega nadzora ugotovil, da zaradi domnevne neustavnosti dela ZSOVA do njegove ustrezne spremembe inšpekcijskega postopka ne more ucinkovito zakljuciti. Podrobnosti postopka zaradi tajnosti obravnavanih podatkov ne more razkriti. Problematika nadzora oziroma spremljanja komunikacij v mednarodnem elektronskem komunikacijskem omrežju je aktualna že vrsto let. Kljub veckratnim pozivom Informacijskega pooblašcenca do sprememb ZSOVA še ni prišlo. Obenem pa tudi iz neuradno javno objavljenega osnutka sprememb zakona ni razbrati, da bodo (po mnenju Informacijskega pooblašcenca neustavni vidiki pooblastil SOVA glede zbiranja in obdelave osebnih podatkov) v bližnji prihodnosti zakonsko ustrezno urejeni. Zato je Informacijski pooblašcenec Ustavnemu sodišcu, upoštevajoc zahteve 8. clena Evropske konvencije o clovekovih pravicah (EKCP), znova predlagal, da razveljavi prvi in tretji odstavek 21. clena ZSOVA. Dolocba prvega odstavka 21. clena ZSOVA je po oceni Informacijskega pooblašcenca v neskladju z drugim odstavkom 37. clena Ustave RS, ker: 1. za poseg v pravico do informacijske in komunikacijske zasebnosti (dolocljivih in nedolocljivih posameznikov – državljanov RS ali tujcev, ce se oseba nahaja izven obmocja Republike Slovenije oziroma tam uporablja prikljucek) s strani državnega organa z ukrepom spremljanja mednarodnih sistemov zvez ni zahtevana predhodna sodna odlocba, pac pa zadostuje že pisna odredba direktorja SOVA; 2. ni navedenih razlogov, ki bi sploh omogocali nujen preizkus, ali je bil poseg dopusten, ker naj bi bil nujen, potreben in primeren za varnost države.   Dolocba tretjega odstavka 21. clena ZSOVA pa je po oceni Informacijskega pooblašcenca v neskladju z 2., 15., 37. in 38. clenom Ustave, ker: 1. poseg v pravico do informacijske in komunikacijske zasebnosti z ukrepom spremljanja mednarodnih sistemov zvez v zakonu ni dolocen tako, da bi omogocal jasne in preverljive pogoje, okolišcine in razloge, pod katerimi je ta poseg (in s tem tudi obdelava osebnih podatkov) dopusten in zakonit; 2. ni nedvoumno in jasno doloceno, v kakšnih razmerah in na kakšen nacin se ta poseg lahko opravi; 3. ni dolocenih casovnih omejitev posega, ki bi se lahko razlikoval glede na razlicnost okolišcin; 4. ni dolocena omejitev roka hrambe tako pridobljenih prometnih podatkov in zapisov komunikacij.   Po ustaljeni ustavnosodni presoji pomeni vsako zbiranje in obdelovanje osebnih podatkov poseg v pravico do varstva zasebnosti oziroma v pravico posameznika, da obdrži informacije o sebi, ker noce, da bi bili z njimi seznanjeni drugi. Temeljna vrednostna podstat te pravice je spoznanje, da ima posameznik pravico zadržati informacije o sebi zase in da je v izhodišcu on tisti, ki odloca, koliko informacij o sebi bo razkril in komu. Vendar pravica do informacijske zasebnosti ni neomejena, ni absolutna. Zato mora posameznik sprejeti omejitve informacijske zasebnosti oziroma dopustiti posege vanjo v prevladujocem splošnem interesu in ob izpolnjevanju ustavno dolocenih pogojev. Poseg je dopusten pod pogoji iz tretjega odstavka 15. clena in 2. clena Ustave. Ustava zakonodajalcu izrecno nalaga, da mora vsako materijo posega v zasebnost ne le zakonsko urediti, ampak da mora to urediti dolocno in nedvoumno, izkljucena mora biti vsaka možnost arbitrarnega odlocanja državnega organa. Po mnenju Informacijskega pooblašcenca ZSOVA v delu, ki doloca zakonsko pooblastilo SOVA za spremljanje mednarodnih sistemov zvez, tem nacelom ne zadosti. Pojem »spremljanje mednarodnih sistemov zvez« je namrec nedefiniran in ne doloca, kje se nadzor izvaja oziroma kje je mesto telekomunikacijskega prikljucka in mesto priklopa. Prav tako ne pojasni, ali je zakonsko dopustno nadzorovati vse mednarodne zveze, do katerih ima lahko dostop SOVA, ali je npr. zakonsko dopustno prestrezati vse komunikacije na komunikacijskih vodih, ki potekajo cez Slovenijo, dokler gre za komunikacije tujih državljanov. Posledicno je stopnja spoštovanja ene od temeljnih pravic odvisna zgolj od proste presoje SOVA in njene izvedbe predpisa, kar z vidika predvidljivosti posegov v ustavno varovane pravice in 2. clena Ustave RS ni sprejemljivo. Varstvo t. i. prometnih podatkov o komunikaciji (npr. podatkov o osebnem imenu, telefonski številki in casu komunikacije) in vsebine zapisa pogovora je dejansko dvojno. Dvojno varstvo v tem primeru pomeni, da so na ta nacin zbrani podatki varovani ne le na podlagi 38. clena Ustave RS, temvec tudi na podlagi 37. clena Ustave RS. Do zbiranja osebnih podatkov namrec v tem primeru dejansko ne more priti brez posega v komunikacijsko zasebnost. Ce naj se torej zagotovi zakonito zbiranje osebnih podatkov, mora biti zakonit in ustavno skladen najprej poseg v komunikacijo zasebnost, ki je omogocil samo zbiranje osebnih podatkov. To pa pomeni, da mora biti v skladu s pogoji iz drugega odstavka 37. clena Ustave RS, ki doloca, da lahko samo zakon predpiše, da se na podlagi odlocbe sodišca za dolocen cas ne upošteva varstvo tajnosti pisem in drugih obcil ter nedotakljivost clovekove zasebnosti, ce je to nujno za uvedbo ali potek kazenskega postopka ali za varnost države, pri cemer morajo biti izpolnjeni navedeni štirje osnovni pogoji za omejitev te pravice. Namen tega varstva je prepreciti, da bi se kdor koli seznanil z vsebino posredovanega porocila. Prav tako pa ta pravica zagotavlja svobodo komuniciranja, ki se izraža kot svobodna odlocitev posameznika o tem, komu in kako bo doloceno sporocilo posredovano, iz cesar izhajajo prepovedi nesorazmernih poseganj v posameznikovo odlocitev, kako, kdaj in s kom bo komuniciral. Evropsko sodišce za clovekove pravice (ESCP) je v sodbi Zakharov proti Rusiji z dne 4. 12. 2015 glede varstva pri posegih v informacijsko in komunikacijsko zasebnost s strani države odlocilo, da že sam obstoj zakonodaje, ki omogoca poseg v zasebnost s prikritim prestrezanjem komunikacij, a ne omogoca ucinkovitega pravnega sredstva osebi, ki sumi, da se poseg zoper njo izvaja, predstavlja poseg v pravico do zasebnosti po 8. clenu EKCP. ESCP se je pri oceni, ali postopki dopušcanja tajnega nadzora niso odrejeni samovoljno, nezakonito ali brez ustrezne in primerne obravnave, osredotocilo predvsem na vprašanja, kateri organ je pristojen za odreditev nadzora, kakšen je obseg nadzora teh postopkov in vsebine pooblastil za prestrezanje komunikacij. Vse to pa je relevantno tudi v primeru pooblastil za spremljanje mednarodnih sistemov zvez na podlagi 21. clena ZSOVA. Pri tem je ESCP postavilo rigorozne standarde za dopustnost množicnega nadzora telekomunikacij za obvešcevalske namene. Zahteve ESCP bi lahko strnili v naslednje tocke: • Zakonodaja države mora zamejiti prisluškovalne aktivnosti tako, da ne bo mogoc »strateški nadzor« komunikacij (vseh relevantnih telefonskih številk oziroma prikljuckov v neki zadevi), ampak da se bo ciljalo na individualizirane osebe oziroma telefonske prikljucke. • Prisluškovanje se lahko zacne šele po zunanji odobritvi, ki mora biti vsebinska in ne zgolj formalna, in mora temeljiti vsaj na navedbi razlogov, zakaj je prisluškovanje doloceni osebi oziroma številki v posamicni zadevi pomembno in primerno. »Interne« odobritve s strani direktorja varnostno-obvešcevalne agencije, pravosodnega ministra, notranjega ministra idr. ne zadostujejo, ker so vse del izvršne veje oblasti in s tem nezdružljivo povezane z obvešcevalnimi agencijami. • Neposredni nadzor telekomunikacijskih vodov s strani obvešcevalcev mora zagotavljati ustrezne in ucinkovite varovalke zoper zlorabe. • Zakonodaja mora jasno in predvidljivo dolocati pogoje, kdaj je tajni nadzor s strani države dopusten. Na ustavno sporno zakonsko ureditev v ZSOVA sta z vloženima zahtevama za presojo ustavnosti v preteklosti že opozorila tako Informacijski pooblašcenec kot tudi predsednik Vrhovnega sodišca RS, a žal ni prišlo do vsebinske odlocitve, saj je Ustavno sodišce obe zahtevi zavrglo. Na to, da mora redno ocenjevanje delovanja in legitimnosti okvirov, s katerimi se ureja dejavnost obvešcevalnih služb, postati sestavni del sistema nadzora, pa v svojem porocilu o analizi »Nadzora, ki ga izvajajo obvešcevalne službe: zašcitni ukrepi in pravna sredstva v zvezi s temeljnimi pravicami v Evropski uniji« opozarja tudi Agencija Evropske unije za temeljne pravice. 3.8.2. Zahteva za oceno ustavnosti Zakona o nalogah in pooblastilih policije (ZNPPol-A) Informacijski pooblašcenec je ugotovil, da novela Zakona o nalogah in pooblastilih policije (ZNPPol-A), kot jo je Državni zbor RS sprejel dne 17. 2. 2017, kljub mnogim opozorilom v številnih vidikih ni usklajena z Ustavo RS in ZVOP-1, na kar je poleg Informacijskega pooblašcenca opozarjal tudi Varuh clovekovih pravic (Varuh). Kljucne vsebine, ki so po mnenju Informacijskega pooblašcenca z vidika 35. in 38. clena Ustave RS sporne predvsem zato, ker predstavljajo uzakonitev nesorazmernega poseganja v zasebnost vseh posameznikov s strani organov pregona, so: • splošna dopustnost zbiranja biometrijskih podatkov – 39. clen ZNPPol-A (dopolnitev 112. clena ZNPPol), • zbiranje podatkov o vseh letalskih potnikih – 40. clen ZNPPol-A (nov 112.a clen ZNPPol), • opticna prepoznava registrskih tablic – 41., 46. in 49. clen ZNPPol-A (dopolnitve 113., 125. in 128. clena ZNPPol), • uporaba brezpilotnih letalnikov – 42. clen ZNPPol-A (nov 114.a clen ZNPPol). Informacijski pooblašcenec je še zlasti zaskrbljen, ker: • se nova pooblastila policije uvajajo brez ucinkovitih zakonskih varovalk za njihovo uporabo; • navedena nova pooblastila nediskriminatorno nesorazmerno posegajo v ustavne pravice vseh posameznikov; • nobena demokraticna družba ne bi smela uzakoniti uporabe policijskih pooblastil, ki omogocajo množicni nadzor, na nacin, da je njihova sorazmerna in zakonita uporaba prepušcena prosti presoji posameznega policista; vedno je treba z zakonom dolociti jasne pogoje, ki ne omogocajo širokih interpretacij dopustnosti uporabe takšnih pooblastil; • posegi v zasebnost, ki jih izpostavljena pooblastila omogocajo, zahtevajo ustrezne ucinkovite zakonske varovalke za preprecevanje morebitnih zlorab, saj za to zgolj splošen nadzor policije ne zadošca. Ker Informacijski pooblašcenec ni izpolnil pogojev za podajo zahteve za zacetek postopka za oceno ustavnosti po 23.a clenu ZUstS (vprašanje ustavnosti ali zakonitosti se ni pojavilo v zvezi s postopkom, ki ga vodi) in ker lahko Varuh v skladu z istim clenom poda zahtevo v trenutku, ko meni, da predpis ali splošni akt, izdan za izvrševanje javnih pooblastil, nedopustno posega v clovekove pravice ali temeljne svobošcine, je Informacijski pooblašcenec Varuhu predlagal, naj vloži zahtevo za oceno ustavnosti ZNPPol-A. S takojšnjo zahtevo za oceno ustavnosti in predlogom za zacasno zadržanje izvrševanja ZNPPol-A s strani Varuha bi namrec lahko hitreje in predvsem takoj preprecili morebitne težko popravljive škodljive posledice za posameznike. Varuh je vložil zahtevo za oceno ustavnosti ZNPPoI-A, pri cemer je podrobno preucil ureditev, ki se je uveljavila z navedenim zakonom, in pri tem predvsem upošteval stališca Evropskega sodišca za clovekove pravice, da je povecana pozornost pri varovanju zasebnega življenja nujna pri spoprijemanju z novimi komunikacijskimi tehnologijami, ki omogocajo hranjenje in reproduciranje osebnih podatkov, ter da mora razvoj metod nadzora z najnovejšimi tehnologijami spremljati simultan razvoj pravnih varovalk. Varuha je pri pripravi zahteve za oceno ustavnosti vodila tudi dosedanja praksa Ustavnega sodišca RS, v kateri izpostavlja, da mora zakonodajalec, ko gre za obdelavo osebnih podatkov za namene policijskega dela, še posebej skrbno pretehtati težo ukrepa, s katerim brez privolitve posameznika posega v obcutljivo obmocje njegove zasebnosti. Med bistvenimi spornimi dopolnitvami, ki jih v svoji zahtevi izpodbija Varuh, in na katere je ves cas opozarjal tudi Informacijski pooblašcenec, je uzakonitev pooblastila, ki policiji dopušca avtomaticno preverjanje registrskih tablic s sistemom opticne prepoznave. To pomeni, da lahko policija na ta nacin ne glede na kakršen koli sum nepravilnosti preverja vse, ki se na dolocen dan peljejo po doloceni cesti mimo na policijskem vozilu namešcenih kamer. Gre za povsem drugacen ukrep, kot je rutinska kontrola dolocenega manjšega vzorca voznikov (brez suma), saj bo tako ob zadostnem številu kamer brez kakršnega koli razloga dejansko preverjeno izredno veliko število vozil. Enako velja za prekomerno preverjanje podatkov vseh prihajajocih letalskih potnikov, ki z letalom prihajajo v Slovenijo (PNR), skrb vzbujajoca pa je tudi uzakonitev široke uporabe brezpilotnih letalnikov brez ustrezne ocene ucinkov na varstvo osebnih podatkov. Informacijski pooblašcenec je v svojih opozorilih izpostavil še sporno znižanje pogojev za razpis ukrepa prikrite in namenske kontrole za posameznika v Schengenskem informacijskem sistemu, kar bi lahko povzrocilo, da bodo na seznam vpisane tudi nedolžne osebe. Te bodo posledicno ob vsakem potovanju znotraj EU deležne poostrenega policijskega nadzora brez kakršnega koli pojasnila, zakaj je to potrebno. Prav tako ni sprejemljiva ureditev, ki daje splošno podlago za zbiranje biometrijskih podatkov (fotografiranje, odvzem prstnih odtisov, brisov idr.) vsakogar.   Informacijski pooblašcenec upa, da bo Ustavno sodišce pri obravnavi zahteve Varuha sledilo v Evropi in Sloveniji uveljavljenim visokim standardom glede zahtevanih varovalk ustavno varovane pravice do zasebnosti, ko gre za poseganje države in posebej organov pregona v to pravico. 3.9. Izbrani primeri kršitev varstva osebnih podatkov V nadaljevanju je predstavljenih 10 odlocitev Informacijskega pooblašcenca v postopkih, ki jih je vodil leta 2017. 3.9.1. Neustrezno zavarovanje dokumentacije, namenjene unicenju Informacijski pooblašcenec je na podlagi obvestila, da je bilo v okolici dolocenega skladišca najdenih vec zdravniških receptov, zaradi suma neustreznega zavarovanja osebnih podatkov uvedel postopek inšpekcijskega nadzora zoper lastnika skladišca (zavezanec). V skladu s 24. clenom ZVOP-1 zavarovanje osebnih podatkov namrec obsega organizacijske, tehnicne in logicno-tehnicne postopke in ukrepe, s katerimi se varujejo osebni podatki, preprecuje nakljucno ali namerno nepooblašceno unicevanje podatkov, njihova sprememba ali izguba ter nepooblašcena obdelava teh podatkov tako, da se med drugim zagotavlja tudi ucinkovit nacin njihovega unicenja. Državni nadzornik za varstvo osebnih podatkov je opravil ogled zavezancevih prostorov ter se seznanil s postopkom prevzema in unicenja odpadnega papirja, v dokazne namene pa je zasegel vec najdenih receptov. Zavezanec je pojasnil, da postopek unicenja zaupne dokumentacije predvideva takojšnje baliranje v skladišcu, kjer je stiskalnica, alternativno pa hrambo v skladišcu v zaprtem kontejnerju s kljucavnico in pod videonadzorom do odvoza na unicenje v mlin. Bale stisnjenega papirja so povezane z žico, kar avtomatsko naredi stroj, do prevoza na unicenje v Ljubljano, obicajno še isti dan, pa so shranjene na dolocenem mestu v skladišcu. Unicenje dokumentacije je bilo v konkretnem primeru sicer izvedeno skladno z zavezancevimi pravili, vendar je zaradi tehnicne napake (pocena žica na bali) veter raznesel nekaj dokumentacije po javni cesti ob skladišcu in po dvorišcu skladišca. V izogib morebitnim podobnim težavam je zavezanec takoj spremenil postopek unicenja zaupne dokumentacije tako, da je opustil stiskanje in baliranje; v dokaz je predložil spremenjen »Protokol za prevzem odpadnega papirja in zaupne papirne dokumentacije«, s katerim je seznanil vse zaposlene v skladišcu, ki so bili seznanjeni tudi z internim aktom o zavarovanju osebnih podatkov. Ker je bil zavezanec pogodbeni obdelovalec osebnih podatkov, je Informacijski pooblašcenec uvedel postopek inšpekcijskega nadzora tudi zoper lekarno kot upravljavca osebnih podatkov, ki so bili predani v unicenje. V skladu s 7. tocko 6. clena ZVOP-1 je pogodbeni obdelovalec fizicna ali pravna oseba, ki obdeluje osebne podatke v imenu in na racun upravljavca osebnih podatkov. Pogodbeno obdelavo osebnih podatkov ureja 11. clen ZVOP-1, ki med drugim doloca, da lahko upravljavec osebnih podatkov posamezna opravila v zvezi z obdelavo osebnih podatkov (v skladu s 3. tocko 19. clena ZVOP-1 tudi unicenje osebnih podatkov pomeni njihovo obdelavo) s pogodbo zaupa pogodbenemu obdelovalcu, ki je registriran za opravljanje takšne dejavnosti ter zagotavlja ustrezne postopke in ukrepe iz 24. clena tega zakona, tj. postopke in ukrepe za zavarovanje osebnih podatkov. Medsebojne pravice in obveznosti se uredijo s pogodbo, ki mora biti sklenjena v pisni obliki in mora vsebovati tudi dogovor o postopkih in ukrepih iz 24. clena ZVOP-1, katerih izvajanje mora upravljavec osebnih podatkov nadzorovati. Ugotovljeno je bilo, da je lekarna zunanjemu izvajalcu pisno odredila, da na podlagi izdane narocilnice zavezancu odda v unicenje recepte in drugo dokumentacijo iz arhiva, ki ji je pretekel rok hrambe, pri cemer pa z zavezancem kot pogodbenim obdelovalcem ni sklenila pisne pogodbe v skladu z 11. clenom ZVOP-1. Pogodba, ki jo je lekarna sklenila z zunanjim izvajalcem za izvedbo storitev vzdrževanja arhiva receptov ter oddaje in prevzema materiala, ni vsebovala dolocb oziroma dogovora o postopkih in ukrepih iz 24. clena ZVOP-1, kot je predpisano v drugem odstavku 11. clena ZVOP-1, je pa zunanji izvajalec podpisal posebno izjavo o varovanju osebnih podatkov. Zunanji izvajalec je dokumentacijo v skladišce odpeljal v zapakiranih kartonskih škatlah, ki jih je pripravila lekarna, postopek oddaje in baliranja papirja pa je ves cas spremljal. Informacijski pooblašcenec zaradi ugotovljenih nepravilnosti oziroma kršitev ZVOP-1 ni odredil inšpekcijskih ukrepov (npr. sklenitev ustreznih pogodb o obdelavi osebnih podatkov), ker je zavezanec samoiniciativno zagotovil ustrezne postopke in ukrepe za zavarovanje osebnih podatkov pri unicevanju zaupne dokumentacije in ker je lekarna zaradi obravnavanega primera prekinila nadaljnje poslovno sodelovanje z njim, prenehalo pa je tudi pogodbeno razmerje z zunanjim izvajalcem, ker je zaradi upokojitve zaprl firmo. Zaradi ugotovljenih kršitev ZVOP-1 je Informacijski pooblašcenec zoper zavezanca in lekarno uvedel postopka o prekrških, v katerih je zavezancu in njegovi odgovorni osebi izrekel globo za prekršek po prvem in drugem odstavku 93. clena ZVOP-1 (ker pri predaji in prevzemu receptov v unicenje ni zagotovil ustreznega zavarovanja osebnih podatkov, zaradi cesar so se z njimi lahko seznanile nepooblašcene osebe), lekarni in njeni odgovorni osebi pa opomin za prekršek po 2. tocki prvega odstavka in po drugem odstavku 91. clena ZVOP-1 (ker s pogodbenim obdelovalcem za unicenje dokumentacije z osebnimi podatki ni sklenila pogodbe, ki bi vsebovala tudi dogovor o postopkih in ukrepih za zavarovanje osebnih podatkov). 3.9.2. Zbiranje osebnih podatkov placnikov Informacijski pooblašcenec je prejel vec obvestil in prijav o tem, da Pošta Slovenije, d. o. o., (zavezanec) pri storitvi placila položnice in dostavi paketov s placilom po povzetju z zneskom pod 1.000 EUR brez pravne podlage zbira osebne podatke placnikov položnic oziroma prejemnikov paketov. V postopku inšpekcijskega nadzora je bilo ugotovljeno, da se je dne 26. 6. 2017 v Republiki Sloveniji zacela uporabljati Uredba (EU) št. 2015/847 Evropskega parlamenta in Sveta o informacijah, ki spremljajo prenose sredstev, in razveljavitvi Uredbe (ES) št. 1781/2006. Uredba št. 2015/847 doloca pravila o informacijah o placnikih in prejemnikih placil (razen v primerih dopustnih odstopanj), ki jih morajo ponudniki placilnih storitev ne glede na valuto priložiti k informacijam o prenosu sredstev za namen preprecevanja, odkrivanja in preiskovanja pranja denarja in financiranja terorizma, kadar ima vsaj eden od ponudnikov placilnih storitev, udeležen v prenosu sredstev, sedež v Evropski uniji. Zavezanec se po dolocilih Uredbe 2015/847 ne šteje med ponudnike placilnih storitev, ampak se mednje šteje Nova KBM, d. d., kot pravna naslednica Poštne banke Slovenije, d. d. Zavezanec je pogodbeni izvajalec placilnih storitev prek svojih poštnih okenc, in sicer po navodilih Nove KBM, d. d., v njenem imenu in za njen racun, kar pomeni, da je njen pogodbeni obdelovalec osebnih podatkov. Nova KBM, d. d., in zavezanec sta sklenila pogodbo v skladu z 11. clenom ZVOP-1, ki ureja pogodbeno obdelavo osebnih podatkov. V zvezi z zbiranjem osebnih podatkov je bilo ugotovljeno, da identifikacija placnika oziroma zbiranje osebnih podatkov ni potrebno, kadar se placilo izvede z univerzalnim placilnim nalogom, ki ima QR-kodo z vsemi podatki ali OCR-vrstico in znesek do vkljucno 1.000 EUR, ne glede na to, ali je placnik za placilo predložil gotovino ali drug placilni instrument. Za obe navedeni vrsti placilnega naloga do vkljucno 1.000 EUR velja izjema po Uredbi 2015/847, saj lahko ponudnik placilnih storitev z enolicno identifikacijsko oznako transakcije (OCR- ali QR-koda) izsledi prenos sredstev oziroma placnika. Ustreznost OCR- ali QR-kode (ki bo v prihodnje nadomestila OCR-kodo) preveri zaposleni pri zavezancu, ko placilni nalog (položnico) spusti skozi citalec, racunalniški program pa odcita podatke na placilnem nalogu. Ce je OCR- ali QR-koda pravilna, racunalniški program ne zahteva dodatnih osebnih podatkov in placniku ni treba predložiti osebnega dokumenta. V primerih placilnih nalogov brez ene ali druge omenjene kode oziroma v primerih, kadar koda ni pravilna, pa racunalniški program nepravilnost zazna in »odpre« novo okno, v katero mora zaposleni vnesti dolocene osebne podatke, da lahko opravi placilno transakcijo: ime in priimek ter naslov placnika (ce je drugacen od zapisanega na placilnem nalogu), državo, vrsto in številko osebnega dokumenta ter kraj in datum rojstva. Za takšno obdelavo osebnih podatkov placnikov ima zavezanec ustrezno pravno podlago v prvem odstavku 4. clena Uredbe 2015/847, ki doloca, da ponudnik placilnih storitev zagotovi, da prenose sredstev spremljajo naslednje informacije o placniku: ime placnika, številka placilnega racuna placnika, naslov placnika, številka uradnega osebnega dokumenta, identifikacijska številka stranke ali datum in kraj rojstva. V primeru dostave paketa in placila po povzetju poštar na terenu ne more preveriti ustreznosti placilnega naloga oziroma OCR- ali QR-kode, zato od placnika zbere naslednje osebne podatke, ki jih zapiše na hrbtno stran placilnega naloga, v poslovalnici pa jih ob knjiženju vplacil vnesejo v racunalnik: 1. ce sta placnik in prejemnik ista oseba: vrsto in številko osebnega dokumenta, datum in kraj rojstva placnika; 2. ce sta placnik in prejemnik razlicni osebi: ime in priimek, naslov, vrsto in številko osebnega dokumenta, datum in kraj rojstva prejemnika. Poštar zbira osebne podatke na podlagi osebne privolitve posameznika, torej placnika oziroma prejemnika, kar je v zasebnem sektorju, kamor spada zavezanec oziroma Nova KBM, d. d., dopustno na podlagi prvega odstavka 10. clena ZVOP-1, ki doloca, da se osebni podatki v zasebnem sektorju lahko obdelujejo, ce obdelavo osebnih podatkov in osebne podatke, ki se obdelujejo, doloca zakon ali ce je za obdelavo dolocenih osebnih podatkov podana osebna privolitev posameznika. Placnik oziroma prejemnik ima možnost placilo odkloniti in paket prevzeti na poštnem okencu, kjer ima zaposleni možnost preveriti OCR- ali QR-kodo na placilnem nalogu za odkupnino za dostavljeni paket. Na to možnost mora poštar na terenu placnika oziroma prejemnika posebej opozoriti. Zavezanec identifikacije placnikov ne izvaja tudi v primeru placil na racune proracunskih uporabnikov, ki imajo v registru oznako P (namen placila je poravnava davkov, kazni ali drugih dajatev javnim organom), do vkljucno 1.000 EUR, ter pri pologu gotovine za pravne osebe v dnevno-nocni trezor. Informacijski pooblašcenec je zakljucil, da zavezanec v obravnavanem primeru zbiranja osebnih podatkov ni kršil dolocb ZVOP-1, zato je postopek inšpekcijskega nadzora ustavil. 3.9.3. Nezakonito razkrivanje osebnih podatkov ucencev Informacijski pooblašcenec je zoper osnovno šolo (zavezanec) po uradni dolžnosti uvedel postopek inšpekcijskega nadzora nad izvajanjem in spoštovanjem dolocb ZVOP-1 ter drugih predpisov, ki urejajo varstvo osebnih podatkov, po prejeti prijavi, da so bili staršem ucencev s posredovanjem seznama ucencev dolocenega razreda, ki ga je vodila uciteljica zaradi placila likovnega materiala, nezakonito razkriti osebni podatki. Na spornem seznamu so bili v tabeli navedeni naslednji osebni podatki ucencev: ime in priimek, datum rojstva, državljanstvo, kraj rojstva, EMŠO, naslov prebivališca, številka maticnega lista ter navedba o placilu. Zavezanec je kot razlog vodenja seznama ucencev navedel pobiranje sredstev za nakup materiala za likovni pouk. Uciteljica je seznam prejela od šolske svetovalne delavke, ki na podlagi Zakona o osnovni šoli5454 Uradni list RS, št. 81/2006 – uradno precišceno besedilo 3, s spremembami; v nadaljevanju ZOsn. hrani podatke v uradni Zbirki osebnih podatkov o ucencih, vpisanih v osnovno šolo, in njihovih starših za namene obveznega izobraževanja in za izvajanje z zakonom dolocenih nalog, uporabniki te zbirke pa so pooblašceni delavci šole. Uciteljica je seznam po elektronski pošti poslala ravnatelju, ker jo je prosil za pojasnilo o poteku pobiranja sredstev, saj so to želeli starši ucencev oziroma je to od njega zahtevala predstavnica v Svetu staršev, ki je nacin zbiranja sredstev tudi potrdil. Ravnatelj je slednji po elektronski pošti posredoval prejeto sporocilo uciteljice, skupaj s pripetim seznamom v obliki dokumenta v Wordu, predstavnica staršev pa ga je še istega dne posredovala vsem staršem ucencev dolocenega razreda. Informacijski pooblašcenec je zavezanca pozval k unicenju oziroma izbrisu spornega seznama, ker je vseboval prekomeren nabor osebnih podatkov in je bil sestavljen z nezakonito uporabo osebnih podatkov ucencev iz uradne evidence, poleg tega je bil namen sicer zakonite uporabe potrebnih osebnih podatkov ucencev (ime in priimek) za evidentiranje placil že dosežen. Ravnatelj in uciteljica sta sporni seznam unicila oziroma izbrisala, poleg tega je ravnatelj v skladu s pozivom Informacijskega pooblašcenca po elektronski pošti starše osebno pozval, da izbrišejo prejeto e-pošto s spornim seznamom. Informacijski pooblašcenec je zakljucil, da je zavezanec z opisanim ravnanjem osebne podatke ucencev iz uradne zbirke, ki jo je dolžan voditi v skladu s predpisi s podrocja osnovnošolskega izobraževanja, uporabil v nasprotju z zakonitimi nameni ter jih brez podlage v zakonu ali osebni privolitvi posameznikov (staršev ali skrbnikov ucencev, ker je šlo za mladoletne osebe) razkril nepooblašcenim osebam, s cimer je kršil dolocbe 8. clena ZVOP-1. Zato je zoper odgovorne osebe uvedel prekrškovne postopke ter jim za storjene prekrške izrekel ustrezne sankcije po drugem odstavku 91. clena ZVOP-1 v povezavi s 1. tocko prvega odstavka 91. clena ZVOP-1: ravnatelju globo, ker je seznam ucencev po elektronski pošti poslal predstavnici staršev, uciteljici likovne umetnosti opomin, ker je osebne podatke ucencev iz uradne zbirke uporabila na nacin, da je iz njih sestavila seznam, ki ga je uporabljala za vodenje evidence placil za nakup likovnega materiala tako, da ga je dala v podpis ucencem, ki so že prispevali denar za nakup likovnega materiala, s cimer jim je nezakonito razkrila osebne podatke na seznamu, ter šolski svetovalni delavki prav tako opomin, ker je vsem uciteljem na šoli poslala elektronsko sporocilo s priloženo datoteko, ki je vsebovala osebne podatke vseh ucencev šole (priimke in imena, datume, države in kraje rojstva, EMŠO, naslove prebivališc in številke maticnih listov). 3.9.4. Nezakonita obdelava osebnih podatkov v evidencah Policije Informacijski pooblašcenec je s strani Policije prejel vec predlogov za uvedbo postopka o prekršku, ker je v postopku internega nadzora ugotovila, da so doloceni zaposleni, ki imajo dostop do zbirk osebnih podatkov zaradi opravljanja del in nalog, osebne podatke obdelovali v nasprotju z nameni, za katere so bili zbrani. Policija je predložila tudi ustrezne dokaze, tj. izpise vpogledov v evidence in izjave zaposlenih glede namena obdelave osebnih podatkov. Informacijski pooblašcenec je vsem kršiteljem izrekel globe za prekrške po tretjem odstavku 91. clena ZVOP-1 v povezavi s 5. tocko prvega odstavka 91. clena ZVOP-1, ker so s svojim ravnanjem kršili 16. clen ZVOP-1, ki doloca, da se osebni podatki lahko zbirajo le za dolocene in zakonite namene ter se ne smejo nadalje obdelovati tako, da bi bila njihova obdelava v neskladju s temi nameni, ce zakon ne doloca drugace. Kršitelji so prekrške storili na nacin, da so z uporabo osebnih gesel v glavnem racunalniku Policije vpogledali v porocilo o opravljenem delu dolocene policijske postaje in v tem dokumentu v konkreten dogodek, ki je vseboval osebne podatke, pri cemer pa za takšen vpogled v osebne podatke niso imeli podlage v zakonu, saj so osebne podatke, ki so bili zakonito zbrani za namene izvajanja nalog Policije in drugih zakonsko dolocenih nalog, nadalje obdelovali za osebne namene. Kršitelji posameznikov, v katerih osebne podatke so vpogledali, namrec niso obravnavali v nobenem uradnem postopku, ki bi ga v okviru opravljanja oziroma izvajanja svojih del in nalog vodili ali v njem kakor koli sodelovali. Informacijski pooblašcenec poudarja, da za prekrške, kakršni so opisani zgoraj, kršiteljem vedno izrece globo, saj gre za zlorabo osebnih podatkov iz uradnih evidenc za zasebne namene (najveckrat gre za radovednost) in za uporabo podatkov, do katerih so kršitelji pridobili dostop izkljucno zaradi opravljanja svojega dela. Posamezniki, ki imajo dostop do zbirk osebnih podatkov, se namrec morajo zavedati, da lahko te podatke uporabljajo izkljucno za opravljanje svojega dela (kar morajo tudi izkazati) in da so v skladu s cetrtim odstavkom 24. clena ZVOP-1 dolžni varovati tajnost osebnih podatkov, s katerimi se seznanijo pri opravljanju svojih del in nalog. Dolžnost varovanja tajnosti osebnih podatkov jih obvezuje tudi po prenehanju funkcije ali zaposlitve. 3.9.5. Sporno posredovanje osebnih podatkov zaposlenega clanom zveze Informacijski pooblašcenec je prejel prijavo, v kateri je bilo navedeno, da je moral dolocen zaposleni po navodilu predsednika zveze po elektronski pošti vsem clanom zveze (društvom), clanom izvršnega odbora in nadzornega odbora zveze poslati dopis z vec prilogami (nepodpisani potni nalogi, nalogi za izplacilo, nepodpisana odlocba za letni dopust in placilna lista), ki vsebujejo osebne podatke zaposlenih pri zvezi. Ker je iz prijave izhajal sum nezakonitega razkrivanja osebnih podatkov, je Informacijski pooblašcenec uvedel postopek inšpekcijskega nadzora zoper zvezo (zavezanec). Na podlagi preucitve navedb v prijavi, navedb zavezanca in priložene dokumentacije je Informacijski pooblašcenec ugotovil, da je dolocen zaposleni po narocilu predsednika zavezanca po elektronski pošti na 154 naslovov poslal obvestilo o nepravilnostih pri delu zaposlene, kateremu je priložil kopije potnih nalogov, kopijo odlocbe o letnem dopustu in kopijo placilne liste zaposlene z naslednjimi osebnimi podatki: ime in priimek, naslov, davcna številka, podatek o delovni dobi in številka transakcijskega racuna. Zavezanec je pojasnil, da je bila placilna lista v priponki poslana pomotoma in da je bilo sporocilo poslano nadzornim organom in clanom, ki s prispevki v obliki clanarin prispevajo k njegovemu delovanju, torej tudi za place zaposlenih, zato so bili upraviceni do seznanitve z nepravilnostmi pri delovanju zveze, pri cemer je naslov zaposlene tisti podatek, ki kaže na hujše kršitve delovnih obveznosti in domnevno goljufijo zaposlene, ki naj bi z neupraviceno obracunanimi potnimi stroški in stroški prevoza na delo in z dela oškodovala zavezanca. Informacijski pooblašcenec je zakljucil, da je imel zavezanec pravno podlago za posredovanje nepodpisanih potnih nalogov in placilnega naloga s ponarejenim podpisom, na katerem je naveden naslov zaposlene, v 48. clenu Zakona o delovnih razmerjih5555 Uradni list RS, št. 21/2013, s spremembami; v nadaljevanju ZDR-1. (na podlagi katerega se osebni podatki delavcev lahko zbirajo, obdelujejo, uporabljajo in posredujejo tretjim osebam samo, ce je to doloceno s tem ali drugim zakonom ali ce je to potrebno zaradi uresnicevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem) v povezavi z dolocbami statuta zavezanca (na podlagi katerega imajo clani pravico, da so obvešceni o delu organov zavezanca, in na podlagi katerega je ena izmed pristojnosti izvršnega odbora nadzor dela strokovne službe, naloga nadzornega odbora pa porocanje Skupšcini o izvrševanju sklepov izvršilnega odbora in o financnem poslovanju zavezanca). Za posredovanje placilne liste pa ni imel nobene od pravnih podlag iz 10. clena ZVOP-1, ki doloca pravne podlage za obdelavo osebnih podatkov v zasebnem sektorju, kamor se šteje zavezanec (zakon, osebna privolitev posameznika, sklenitev in izpolnjevanje pogodbe, uresnicevanje zakonitih interesov zasebnega sektorja). Ker je šlo pri ugotovljeni nepravilnosti oziroma kršitvi za enkratno dejanje v preteklosti (nezakonito posredovanje placilne liste in razkrivanje osebnih podatkov, ki jih vsebuje), ki ga s postopki in ukrepi, ki jih ima Informacijski pooblašcenec na voljo v postopku inšpekcijskega nadzora, ni vec mogoce odpraviti, je bilo treba inšpekcijski postopek zoper zavezanca ustaviti. Informacijski pooblašcenec je zoper zavezanca in njegovo odgovorno osebo zaradi kršitve prvega odstavka 8. clena ZVOP-1 (obdelava osebnih podatkov brez podlage v zakonu ali osebni privolitvi posameznika) uvedel postopek o prekršku in kršitelju izrekel globo. 3.9.6. Objava osebnih podatkov clanov na spletni strani Informacijski pooblašcenec je prejel prijavo, v kateri je bilo navedeno, da zveza društev (zavezanec) ni ustrezno zavarovala osebnih in obcutljivih osebnih podatkov na svoji spletni strani, saj naj bi zgolj vnos dolocenih URL-povezav v spletni brskalnik omogocil nezavarovan oziroma prost dostop do vecjega števila osebnih podatkov posameznikov. V postopku inšpekcijskega nadzora je bil opravljen ogled zavezanceve spletne strani, pri cemer je bilo ugotovljeno, da vnos v prijavi navedenih URL-povezav v spletni brskalnik res omogoca nezavarovan dostop do vecjega števila osebnih podatkov clanov društev, ki so vclanjena v zvezo. Tabele z objavljenimi podatki so med drugim vsebovale imena in priimke clanov društva, njihove elektronske naslove in naslove prebivališca, datume rojstva, GSM-številke in telefonske številke ter številke izkaznic društva. Zaradi cim hitrejše odprave kršitve 24. clena ZVOP-1, tj. nezavarovanega dostopa do osebnih podatkov prek spletne strani zavezanca, je državni nadzornik po telefonu poklical zavezanca in ga pozval, naj nemudoma umakne prosto dostopne osebne podatke s spletne strani oziroma zavaruje dostop do teh podatkov, kar je zavezanec tudi storil. Zavezanec je posredoval porocilo o razlogih, zaradi katerih je prišlo do incidenta, ter o ukrepih, ki jih je izvedel, da je odpravil varnostno luknjo. Pojasnil je, da je bil dostop do spletnega naslova nekaj casa nezavarovan zaradi obsežnega testiranja prenosa podatkov o clanarinah iz enega informacijskega sistema v drugega in da je sedaj dostop do spletne strani zavaroval s SSL-protokolom, kar pomeni, da je povezava med spletnim strežnikom in odjemalcem šifrirana, obenem pa je do osebnih podatkov mogoce dostopati le z vnosom ustreznega gesla. Ker je zavezanec ugotovljeno nepravilnost odpravil, je Informacijski pooblašcenec postopek inšpekcijskega nadzora ustavil, ugotovljeno kršitev v zvezi z neustreznim zavarovanjem osebnih podatkov pa je obravnaval v okviru postopka za prekrške, ki ga je uvedel zoper zavezanca in zunanjega izvajalca oziroma pogodbenega obdelovalca osebnih podatkov. Prvi odstavek 25. clena ZVOP-1 namrec doloca, da so tako upravljavci osebnih podatkov kot tudi pogodbeni obdelovalci dolžni zagotoviti zavarovanje osebnih podatkov na nacin iz 24. clena ZVOP-1, tj. sprejeti organizacijske, tehnicne in logicno-tehnicne postopke in ukrepe, s katerimi se varujejo osebni podatki, preprecuje slucajno ali namerno nepooblašceno unicevanje podatkov, njihova sprememba ali izguba ter nepooblašcena obdelava. Informacijski pooblašcenec je zaradi kršitve prvega in drugega odstavka 24. ter prvega odstavka 25. clena ZVOP-1 zavezancu in njegovi odgovorni osebi izrekel opomin, zunanjemu izvajalcu pa globo, ker ni zagotovil ukrepov za zavarovanje osebnih podatkov na zavezancevem spletnem strežniku, na katerem so bile shranjene tabele z osebnimi podatki vecjega števila posameznikov (okrog 500), na nacin, da bi dostop do osebnih podatkov omejil s požarnim zidom, z uporabniškim imenom in geslom ali na drug podoben nacin ter tako preprecil nepooblašceno obdelavo osebnih podatkov, ki so bili prosto dostopni vsem uporabnikom svetovnega spletna z vnosom dolocenih URL-povezav v spletni brskalnik. 3.9.7. Objava dokumentov z osebnimi podatki pric v prekrškovnem postopku na spletnih straneh Na podlagi prejete prijave, v kateri je bilo navedeno, da so v clanku, objavljenem na doloceni spletni strani, fotografije originalnih dokumentov z osebnimi podatki pric v konkretnem prekrškovnem postopku, je Informacijski pooblašcenec uvedel postopek inšpekcijskega nadzora zoper upravljavca spletne strani (zavezanec). V postopku inšpekcijskega nadzora je bil opravljen ogled zavezancevih spletnih strani, pri cemer je bilo ugotovljeno, da se na dolocenem spletnem naslovu kot del clanka v obliki fotografij uradnih dokumentov (obdolžilni predlog, vabilo obdolžencu) nahajajo naslednji nezavarovani osebni podatki: • osebni podatki posameznika, zoper katerega je bil podan predmetni obdolžilni predlog, in sicer ime in priimek, EMŠO, spol, kraj rojstva, državljanstvo, stalno prebivališce, upravna enota, država, zacasno prebivališce, država, podatki o prekršku; • osebni podatki šestih posameznikov, ki so bili v postopku zaslišani kot price: imena, priimki in naslovi prebivališc ter podatki o tem, kaj so price izpovedale. Navedeni podatki so del zbirke osebnih podatkov, vsi podatki pa tudi uživajo varstvo po ZVOP-1, saj nihce od posameznikov ni (ne relativno ne absolutno) javna oseba, zato bi zavezanec za objavo osebnih podatkov moral imeti ustrezno pravno podlago. Splošne pravne podlage za obdelavo osebnih podatkov doloca 8. clen ZVOP-1, pravne podlage za obdelavo osebnih podatkov v zasebnem sektorju, kamor se šteje zavezanec, pa 10. clen ZVOP-1. Prva odstavka obeh clenov dolocata, da se lahko osebni podatki obdelujejo, ce obdelavo osebnih podatkov in osebne podatke, ki se obdelujejo, doloca zakon ali ce je za obdelavo dolocenih osebnih podatkov podana osebna privolitev posameznika. V postopku inšpekcijskega nadzora je bilo ugotovljeno, da je zavezanec razpolagal zgolj z osebno privolitvijo enega posameznika, in sicer s pisno privolitvijo posameznika, zoper katerega je bil vložen obdolžilni predlog in ki je zavezancu objavljene dokumente tudi posredoval. Zavezanec je pojasnil, da je bil namen objave informirati javnost o prekrškovnem postopku ter da je pri objavi osebnih podatkov pric šlo za napako in ne za namerno kršenje predpisov, saj pred objavo dokumenta ni bilo dovolj temeljito preverjeno, ali so v dokumentu poleg podatkov posameznika, ki je posredoval dokumente, še osebni podatki drugih oseb. Zavezanec je te osebne podatke takoj po seznanitvi z ugotovljenimi nepravilnostmi oziroma spoznanju storjene napake umaknil s spleta. Informacijski pooblašcenec je zakljucil, da bi moral zavezanec glede na odsotnost pravne podlage za obdelavo osebnih podatkov in glede na dolžnost zavarovanja osebnih podatkov iz 24. in 25. clena ZVOP-1 osebne podatke pric pred slikovnim zajemom dokumenta in njegovo javno objavo na spletu ustrezno zavarovati z organizacijskimi, tehnicnimi in logicno-tehnicnimi postopki in ukrepi, s katerimi bi zagotovil ucinkovit nacin blokiranja, unicenja, izbrisa ali anonimiziranja osebnih podatkov vseh šestih pric na nacin, da bi podatke izbrisal oziroma prekril. Objava osebnih podatkov na svetovnem spletu pomeni po mnenju Informacijskega pooblašcenca eno najhujših oblik kršitve pravice do varstva osebnih podatkov in s tem povezanega posega v zasebnost posameznika, saj se dostop do osebnih podatkov omogoci najširšemu krogu uporabnikov, tj. vsem uporabnikom svetovnega spleta, ki lahko pridobljene podatke nekontrolirano uporabljajo za najrazlicnejše namene. Zato je zoper zavezanca in njegovo odgovorno osebo zacel postopek o prekršku in jima zaradi neustreznega zavarovanja osebnih podatkov (kršitev 4. tocke prvega odstavka 24. clena ZVOP-1 in prvega odstavka 25. clena ZVOP-1), katerega posledica je bila nezakonita objava osebnih podatkov, izrekel globo. Postopek o prekršku še ni zakljucen, ker sta kršitelja zoper odlocbo o prekršku vložila zahtevo za sodno varstvo, ki jo je Informacijski pooblašcenec posredoval pristojnemu okrajnemu sodišcu. 3.9.8. Neustrezno zavarovanje datotecne strukture notarske pisarne Informacijski pooblašcenec je na podlagi prejete prijave kršitve varstva osebnih podatkov uvedel postopek inšpekcijskega nadzora zoper notarsko pisarno (zavezanec), v katerem je preverjal, ali ima zavezanec ustrezno zavarovan dostop do osebnih podatkov, ki so se nahajali v elektronskih dokumentih, shranjenih na datotecnem strežniku. Do dokumentov naj bi bilo možno priti zgolj z vnosom dolocenega URL-naslova v vnosno vrstico brskalnika, brez kakršne koli avtentikacije ali zahteve po vnosu uporabniškega naslova ali gesla. V postopku inšpekcijskega nadzora je Informacijski pooblašcenec najprej izvedel ogled dostopa do osebnih podatkov v dokumentih zavezanca na dolocenem spletnem mestu in pri tem ugotovil, da je do osebnih podatkov res možno dostopati na nacin, naveden v prijavi. Na spletnem mestu se je prosto dostopno nahajala celotna datotecna struktura zavezanca, v kateri so bile mape s shranjenimi dokumenti, ki prav tako niso bili posebej zašciteni, zaradi cesar je bilo možno obdelovati vse osebne podatke, ki so se v njih nahajali: imena, priimke, datume rojstva, naslove prebivališc, EMŠO, podatke iz osebnih dokumentov, številke bancnih racunov, podatke o lastništvu in vrednosti nepremicnin, sorodstvene vezi in druge okolišcine iz družinskega življenja posameznikov. Informacijski pooblašcenec je sestavil zapisnik o ogledu spletne strani v pisarni in shranil pridobljene dokaze. Z namenom cim hitrejše vzpostavitve ustreznega zavarovanja osebnih podatkov je Informacijski pooblašcenec zavezanca takoj telefonsko pozval, da v najkrajšem možnem casu odpravi ugotovljene nepravilnosti. Zavezanec je še isti dan poskrbel za zavarovanje dostopa do datotecnega strežnika in s tem do osebnih podatkov. Zavezanec je pojasnil, da informacijsko infrastrukturo redno vzdržuje zunanji izvajalec ter v dokaz predložil pogodbo. Ker je iz pogodbe o vzdrževanju opreme in informacijskega sistema izhajalo, da je bil za ustrezno zašcito podatkov in protivirusno zašcito zadolžen zunanji izvajalec oziroma zavezancev pogodbeni obdelovalec osebnih podatkov, je Informacijski pooblašcenec uvedel inšpekcijski postopek tudi zoper njega. Pogodbeni obdelovalec je pojasnil, da je bila zaradi povišanja nivoja varnosti informacijskega sistema vgrajena nova arhivska enota, stara arhivska enota pa je ostala priklopljena izkljucno z namenom preverjanja uspešnosti kopiranja podatkov na novo napravo. Dostop do stare arhivske enote je bil zašciten z domenskim uporabniškim imenom in geslom, znanim zgolj zavezancu in pogodbenemu obdelovalcu, ter tako omogocen izkljucno v interni mreži kot mapa v skupni rabi. Po navedbah pogodbenega obdelovalca je bila odprtost stare arhivske enote navzven, za javni dostop prek spleta, posledica vdora v sistem s strani profesionalnega »hekerja«, ki je na modemu in stari arhivski enoti omogocil UPnP-protokol. Glede na to, da vgrajena strojna oprema ni omogocala natancne diagnostike, ISP pa ni omogocal beleženja sledljivosti zunanjih dostopov, ker podatki niso bili namenjeni dostopanju z interneta, pogodbeni obdelovalec zatrjevanega ni mogel izkazati. Pogodbeni obdelovalec je navedel še, da je takoj po telefonskem klicu Informacijskega pooblašcenca dostop do stare arhivske enote onemogocil tako, da jo je fizicno odklopil iz sistema, naštel pa je tudi druge ukrepe, ki jih je izvedel po incidentu, da bi preprecil nadaljnje nepooblašcene dostope. Ob upoštevanju vseh pridobljenih dokazov in pojasnil v postopku inšpekcijskega nadzora je Informacijski pooblašcenec zakljucil, da pogodbeni obdelovalec v okviru pooblastil, ki jih je zavezanec nanj prenesel s pogodbo, ni zagotovil ucinkovitih organizacijskih, tehnicnih in logicno-tehnicnih ukrepov za zavarovanje dostopa do mrežnega vmesnika in stare arhivske enote (npr. s požarno pregrado ali z uporabniškim imenom in geslom), ki je vsebovala celotno datotecno strukturo zavezanca, na kateri so bili shranjeni dokumenti z osebnimi podatki vecjega števila posameznikov. Zaradi tega je lahko kateri koli uporabnik svetovnega spleta zgolj z vnosom dolocene URL-vrstice v spletni brskalnik prosto dostopal do vseh osebnih podatkov v shranjenih dokumentih, ker pa pogodbeni obdelovalec tudi ni zagotavljal sledljivosti obdelave osebnih podatkov, ni bilo možno ugotoviti niti tega, kdo je dostopal do podatkov. Navedeno kršitev dolocb 24. in 25. clena ZVOP-1 je Informacijski pooblašcenec obravnaval v okviru pooblastil, ki jih ima kot prekrškovni organ, in pogodbenemu obdelovalcu izrekel globo. 3.9.9. Zbiranje podatkov o vzrokih za bolniško odsotnost Informacijski pooblašcenec je na podlagi informacij, da je dolocen delodajalec (zavezanec) sprejel Pravilnik o zmanjševanju bolniške odsotnosti (Pravilnik), ki predvideva zbiranje osebnih podatkov o zdravstvenem stanju delavcev, uvedel postopek inšpekcijskega nadzora, katerega predmet je bilo preverjanje zakonitosti zbiranja osebnih podatkov na obrazcih, ki so priloga navedenega Pravilnika. Splošna pravna podlaga za obdelavo osebnih podatkov je urejena v 8. clenu ZVOP-1, ki doloca, da se osebni podatki lahko obdelujejo le, ce obdelavo osebnih podatkov in osebne podatke, ki se obdelujejo, doloca zakon ali ce je za obdelavo dolocenih osebnih podatkov podana osebna privolitev posameznika. Podrocna zakona v smislu 8. clena ZVOP-1 v konkretnem primeru predstavljata Zakon o evidencah na podrocju dela in socialne varnosti5656 Uradni list RS, št. 40/2006, v nadaljevanju ZEPDSV, in Zakon o delovnih razmerjih5757 Uradni list RS, št. 21/2013 s spremembami, nadaljevanju ZDR-1, . ZEPDSV doloca vrste evidenc, ki jih morajo voditi delodajalci, in njihovo vsebino, 48. clen ZDR-1 pa doloca, da se osebni podatki delavcev lahko zbirajo, obdelujejo, uporabljajo in dostavljajo tretjim osebam samo, ce je to doloceno s tem ali drugim zakonom ali ce je to potrebno zaradi uresnicevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Iz navedene dolocbe ZDR-1 tako izhaja, da delodajalec lahko zbira le tiste podatke zaposlenih, ki so doloceni s tem ali drugim zakonom ali ce je to potrebno zaradi uresnicevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Pri tem so mišljene pravice in obveznosti obeh, torej delavca in delodajalca. Po preucitvi obrazcev je Informacijski pooblašcenec ugotovil, da so obrazci predvidevali tudi zbiranje obcutljivih osebnih podatkov delavcev oziroma podatkov o njihovem zdravstvenem stanju (vrsta bolezni ali poškodbe ter diagnoza) ter podatkov o zasebnih življenjskih navadah delavca in vzrokih za pogost bolniški stalež, kar je poleg nezakonitega zbiranja osebnih podatkov predstavljajo tudi prekomeren poseg v zasebnost delavcev. Zavezanec za zbiranje navedenih podatkov (namen je bil izboljšanje zdravja in pocutja zaposlenih ter posledicno zmanjšanje bolniških odsotnosti) ni imel podlage v zakonu (ZDR-1, ZEPDSV, Zakona o varnosti in zdravju pri delu5858 Uradni list RS, št. 43/2011, v nadaljevanju ZVZD-1. ), osebna privolitev delavcev (na katero se je skliceval zavezanec) pa je naceloma v delovnih razmerjih zaradi podrejenega položaja delavca oziroma izrazite neenakosti moci strank izkljucena. Delavec je namrec pri izražanju svoje volje v odnosu do delodajalca šibkejša stranka in bistveno manj svoboden, kot to velja v drugih razmerjih, kjer sta pogodbeni stranki v prirejenem položaju. O privolitvi kot podlagi za zbiranje osebnih podatkov v delovnih razmerjih je mogoce govoriti le v redkih situacijah, ko gre za obdelave osebnih podatkov za namene izvajanja povsem neobveznih, dodatnih dejavnosti oziroma procesov, ki jih lahko delavec odkloni brez bojazni, da bo to kakor koli vplivalo na njegovo delovno razmerje – kadar torej ne gre za obdelavo osebnih podatkov delavcev, povezano z izpolnjevanjem pravic in obveznosti iz delovnega razmerja. V konkretnem primeru je Informacijski pooblašcenec ugotovil, da ni šlo za enega izmed povsem prostovoljnih procesov, ki z izvrševanjem pravic in obveznosti iz delovnega razmerja ne bi bil nikakor povezan, saj je bil vsak delavec po prihodu iz bolniške dolžan izpolniti obrazce, ki so bili priloga Pravilnika, na obrazcih pa pri spornih kategorijah osebnih podatkov tudi ni bilo izrecno oznaceno, da je posredovanje le-teh neobvezno. Navedeno vodi do zakljucka, da ureditev, kakršna je veljala pri zavezancu, delavcu ni jasno sporocala, ali je podatke dolžan posredovati, ter mu ni omogocala svobodne presoje, katere osebne podatke bo posredoval. S tem pa v konkretnem primeru tudi ni mogoce govoriti o privolitvi kot podlagi za zbiranje ter hrambo osebnih podatkov delavcev, ki jih je zavezanec zbiral skladno s Pravilnikom. Zavezanec je po seznanitvi z ugotovljenimi nepravilnostmi in pozivu Informacijskega pooblašcenca k njihovi odpravi obrazce, ki so priloga Pravilnika, ustrezno prilagodil, vse izpolnjene obrazce pa je unicil. Delodajalec lahko v zvezi z bolniškimi odsotnostmi zbira podatke o režimu gibanja delavca (navodila zdravnika o pocitku ali dopustnem gibanju) in o predvidenem casu odsotnosti, ker brez njih ne more ukrepati ob sumu zlorabe bolniškega staleža in organizirati dela oziroma zagotoviti nadomešcanja odsotnega delavca. Podatke lahko pridobi od zaposlenega ali od njegovega osebnega zdravnika, ki pa podatkov ni dolžan posredovati. Delodajalec ima pravno podlago tudi za pridobitev podatka o razlogu zacasne zadržanosti od dela, ker ga potrebuje za obracun nadomestila place med zacasno zadržanostjo, nima pa pravne podlage za pridobitev diagnoze bolezni oziroma poškodbe. Podatek o razlogu pri bolniški odsotnosti do 30 dni je razviden iz bolniškega lista (npr. bolezen, poškodba izven dela, poklicna bolezen, poškodba pri delu, nega), ki ga prinese delavec, pri odsotnosti nad 30 dni pa iz odlocbe ZZZS, ki jo prejme tudi delodajalec. V zvezi z dolžnostjo delodajalca po 6. clenu ZVZD-1 (priprava ter izvajanje nacrta za promocijo zdravja na delovnem mestu) pa Informacijski pooblašcenec pojasnjuje, da ukrepi za promocijo zdravja niso namenjeni posameznim delavcem, ampak gre za sistematicne ciljane aktivnosti in ukrepe, ki so namenjeni vsem delavcem in se izvajajo za vse delavce pod enakimi pogoji, z namenom ohranjanja in krepitve telesnega in duševnega zdravja zaposlenih. Gre za kombinacijo sprememb fizicnega in socialnega okolja ter z zdravjem povezanega življenjskega sloga5959 Smernice za promocijo zdravja na delovnem mestu, http://www.mz.gov.si/fileadmin/mz.gov.si/pageuploads/javno_zdravje_2015/ zdr_na_del_mestu/Smernice_promocija_zdravja_na_delovnem_mestu-januar_2017.pdf. . Zato lahko delodajalec zbira informacije o življenjskem slogu ter življenjskih navadah delavcev, tudi z uporabo vprašalnikov, vendar po oceni Informacijskega pooblašcenca za pripravo nacrta ne potrebuje osebnih podatkov, pac pa lahko predmetni nacrt ter ukrepe, usmerjene v promocijo zdravja na delovnem mestu, doloci ter izvaja na podlagi informacij, ki jih dobi od delavcev z izpolnitvijo anonimnega vprašalnika. Informacijski pooblašcenec dodaja, da prakse delodajalca, da skupaj z delavcem prouci možnosti za zmanjšanje bolniške odsotnosti, ne ocenjuje kot sporne. Kljub temu pa mora delodajalec pri tem upoštevati pravico delavca do zasebnosti ter se, razen v primerih, ko bi bil pri delavcu zaznan razlog za pogoste bolniške odsotnosti na strani delodajalca oziroma v povezavi z delovnim procesom, vzdržati pridobivanja informacij o podrobnejših razlogih za bolniško odsotnost ter presoje, ali ima delavec možnost število svojih odsotnosti glede na okolišcine iz zasebnega življenja zmanjšati. To pomeni, da je z vidika preprecevanja pogostih bolniških odsotnosti konkretnega delavca dopustno izkljucno pridobivanje informacij, ki se nanašajo na delavcevo pocutje v službi, njegovo sposobnost za delo in obcutek (pre)obremenjenosti zaradi dolocenega dela. 3.9.10. Posredovanje videoposnetka tatvine in njegova objava na Facebooku Informacijski pooblašcenec je bil obvešcen, da je na Facebooku objavljen videoposnetek tatvine iz avtomobila, ki je bil parkiran na javni površini. Ker je iz prejetega obvestila izhajal sum nezakonitega snemanja javnih površin in nezakonite obdelave (posredovanja in objave) osebnih podatkov, je Informacijski pooblašcenec uvedel postopek inšpekcijskega nadzora zoper izvajalca videonadzora (zavezanec). V postopku je bilo ugotovljeno, da je posameznik na Facebooku objavil videoposnetek, ki prikazuje tatvino. Namen objave videoposnetka je bil cim hitrejša prepoznava tatu, ceprav je posameznik, ki je videoposnetek objavil, kaznivo dejanje kot oškodovanec že naznanil policiji, ki je videoposnetek dogodka pri zavezancu tudi zasegla. Posameznik je videoposnetek nezakonito pridobil pri zavezancu, ki izvaja videonadzor nad vhodom na svojo parcelo, pri cemer pa zajame tudi cesto, kjer je bilo parkirano vozilo, iz katerega so bile odtujene posameznikove stvari. Informacijski pooblašcenec je posameznika pozval, da sporni videoposnetek odstrani s svojega Facebook profila, kar je tudi storil. Informacijski pooblašcenec je ugotovil, da zavezanec ni imel pravne podlage za posredovanje videoposnetka posamezniku, ceprav je šlo za odtujitev njegovih stvari. Glede na to, da se zavezanec šteje med upravljavce osebnih podatkov v zasebnem sektorju, bi lahko osebne podatke (videoposnetek) posredoval na podlagi zakona ali osebnih privolitev posameznikov na posnetku, kot to dolocata prvi odstavek 8. in 10. clena ZVOP-1. Ker so videoposnetki so osebni podatki, bi lahko posameznik na podlagi 30. in 31. clena ZVOP-1, ki dolocata vsebino pravice do seznanitve z lastnimi osebnimi podatki in postopek seznanitve, pridobil videoposnetek, na katerem se nahaja, vendar pa bi moral zavezanec kot upravljavec osebnih podatkov (zbirke videoposnetkov) pred posredovanjem videoposnetka podobe drugih posameznikov na posnetku prekriti (tudi podobo tatu), cesar pa ni storil. Celoten posnetek tatvine lahko pridobi policija kot organ pregona na podlagi Zakona o nalogah in pooblastilih policije in Zakona o kazenskem postopku, kar je policija v konkretnem primeru tudi storila, posameznik pa bi lahko kot oškodovanec videoposnetek pridobil od policije, vendar ga ne bi smel objaviti na Facebooku. Posamezniki, ki imajo status stranke v dolocenem postopku, lahko praviloma na podlagi procesnih zakonov pridobijo podatke iz spisov (npr. upravnih ali sodnih), vendar teh podatkov ne smejo posredovati nepooblašcenim osebam, uporabljajo jih lahko le za zakonite namene, npr. za varovanje pravic pred pristojnimi organi. V zvezi s snemanjem ceste, ki ni v zavezancevi lasti, Informacijski pooblašcenec pojasnjuje, da lahko izvajalec videonadzora s kamerami, s katerimi snema vhode v svoje poslovne prostore oziroma vhode na varovano obmocje, ki se nahajajo ob javni cesti, zajame tudi del te ceste, katerega nadzor je po naravi stvari nujen, da se zagotovi uresnicitev namenov, zaradi katerih se videonadzor izvaja (npr. varovanje premoženja, nadzor nad vstopi in izstopi). Ker pri tem posname tudi mimoidoce, s cimer posega v njihovo zasebnost, Informacijski pooblašcenec dodaja, da lahko videoposnetke pregleduje le v skladu z nameni, ki jih za uvedbo videonadzora doloca ZVOP-1. To pomeni, da lahko v primeru incidenta (npr. poškodovanja ali odtujitve premoženja) vpogleda v arhiv videoposnetkov, kar mora ustrezno evidentirati, ni pa dopustno stalno spremljanje žive slike. 3.10. Splošna ocena stanja varstva osebnih podatkov in priporocila Informacijski pooblašcenec je leta 2017 v okviru izvajanja inšpekcijskega nadzora na podrocju varstva osebnih podatkov obravnaval: • 655 inšpekcijskih zadev, od tega 226 na podrocju javnega in 429 na podrocju zasebnega sektorja, in • 105 prekrškovnih zadev. Poleg inšpekcijskih in prekrškovnih postopkov je Informacijski pooblašcenec leta 2017 prejel in obravnaval še: • 1.289 zaprosil za pisna mnenja in pojasnila s podrocja varstva osebnih podatkov, • 16 vlog za izdajo dovoljenja za povezovanje zbirk osebnih podatkov, • štiri vloge za izdajo dovoljenja za izvajanje biometrijskih ukrepov, • 29 vlog za izdajo dovoljenja za iznos osebnih podatkov, • 110 pritožb zaradi zavrnitve zahteve za seznanitev z lastnimi osebnimi podatki. Od skupaj 655 inšpekcijskih zadev je bilo 559 zadev obravnavnih zaradi prejetih prijav, 96 pa jih je bilo obravnavanih na lastno pobudo. Na podrocju javnega sektorja je bilo vloženih 189 prijav in pritožb, na podrocju zasebnega sektorja pa 370. Število prijav zaradi suma kršitev predpisov s podrocja varstva osebnih podatkov je bilo podobno kot v preteklih letih. Najvec prijav je bilo vloženih zaradi posredovanja osebnih podatkov nepooblašcenim uporabnikom, zaradi nezakonitega zbiranja oziroma zahtevanja osebnih podatkov, zaradi uporabe osebnih podatkov za namene neposrednega trženja (zlasti zaradi suma nezakonitega pridobivanja osebnih podatkov za te namene ter zaradi neupoštevanja zahteve posameznika po prenehanju uporabe osebnih podatkov za te namene), zaradi izvajanja videonadzora in nezakonite uporabe posnetkov (zlasti v delovnih prostorih), zaradi neustreznega zavarovanja osebnih podatkov, zaradi uporabe osebnih podatkov v nasprotju z namenom njihovega zbiranja ter zaradi nezakonitega vpogledovanja v osebne podatke. Podobno kot v preteklih letih je Informacijski pooblašcenec pri obravnavi prejetih prijav od skupaj 559 obravnavanih prijav v 221 primerih (39 % prejetih prijav) že na podlagi preucitve navedb v sami prijavi in priložene dokumentacije presodil, da opisana ravnanja ne pomenijo kršitve predpisov s podrocja varstva osebnih podatkov. Najpogostejši razlog za tako veliko število neutemeljenih prijav je še vedno ta, da prijavitelji pogosto premalo poznajo predpise s podrocja varstva osebnih podatkov in pristojnosti Informacijskega pooblašcenca, Informacijski pooblašcenec pa poleg takšnih prijav, ki so vložene z namenom vzpostavitve zakonitega stanja in iz upravicenih razlogov, še vedno dobiva tudi prijave, katerih namen ni varstvo javnega interesa ali vzpostavitev zakonitega stanja na podrocju varstva osebnih podatkov, temvec predvsem »nagajanje«, želja po mašcevanju ter poskus reševanja medsebojnih sporov in uveljavljanja takšnih zasebnih interesov, ki jih v postopku inšpekcijskega nadzora Informacijskega pooblašcenca sploh ni mogoce uveljavljati. Veliko število neupraviceno vloženih prijav ter nujnost njihove obravnave ovirata opravljanje t. i. preventivnega inšpekcijskega nadzora na podrocjih, kjer bi se ta moral intenzivneje izvajati. Državni nadzornik, ki zadevo obravnava, vsem takšnim prijaviteljem pošlje pisno obvestilo, v katerem obrazloži razloge, zaradi katerih opisano ravnaje ne pomeni kršitve zakona oziroma zaradi katerih Informacijski pooblašcenec kot inšpekcijski oziroma prekrškovni organ ni pristojen ukrepati, pri cemer pa se prijavitelji na takšno obvestilo pogosto pritožijo in poskušajo izsiliti ukrepanje oziroma kaznovanje zavezanca. Velik problem pri obravnavi prejetih prijav ter izvajanju inšpekcijskega nadzora nasploh predstavljajo tudi zavezanci, ki nimajo poslovnih prostorov, ampak le poštni nabiralnik, ter zavezanci, ki imajo v Poslovni register kot pooblašcene osebe za zastopanje vpisane tuje državljane. V vecini primerov gre za zavezance, ki se ukvarjajo s spletno prodajo ter osebne podatke zbirajo in uporabljajo za vsiljivo neposredno trženje. Opozoriti je treba tudi na povecanje števila prijav zaradi nezakonitega zbiranja oziroma zahtevanja osebnih podatkov, ki je bilo v veliki meri posledica pomanjkljivega oziroma neustreznega informiranja posameznika, od katerega se osebni podatki pridobivajo. V postopku inšpekcijskega nadzora se je namrec izkazalo, da je imel upravljavec osebnih podatkov za zbiranje zahtevanih osebnih podatkov sicer ustrezno zakonsko podlago, vendar pa posamezniku, od katerega je podatke pridobival, ni podal ustreznih informacij o namenu zbiranja le-teh, zaradi cesar je posameznik upraviceno posumil, da za zbiranje osebnih podatkov nima ustrezne pravne podlage, in je podal prijavo Informacijskemu pooblašcencu. Upravljavec osebnih podatkov mora namrec v primeru pridobivanja osebnih podatkov posamezniku ob pridobivanju osebnih podatkov skladno z dolocbami 19. clena ZVOP-1 zagotoviti naslednje informacije: o upravljavcu osebnih podatkov in njegovem sedežu, o namenu obdelave osebnih podatkov ter druge informacije, ce je to potrebno, da se zagotovi zakonita in poštena obdelava (informacije o uporabnikih osebnih podatkov, informacije o tem, ali je zbiranje osebnih podatkov obvezno ali prostovoljno ter o možnih posledicah, ce posameznik ne bo prostovoljno podal podatkov, ter informacije o pravici do vpogleda, prepisa, kopiranja, dopolnitve, popravka, blokiranja in izbrisa osebnih podatkov). Nova evropska Splošna uredba o varstvu podatkov, ki se bo zacela uporabljati 25. maja 2018, je glede zagotavljanja informacij, ki jih je treba zagotoviti posamezniku v primeru, ko se osebni podatki pridobivajo neposredno od njega, še zahtevnejša kot veljavni ZVOP-1, saj v drugem in tretjem odstavku clena 13 doloca še precej širši nabor informacij, ki jih je treba zagotoviti posamezniku. Poleg obravnave prejetih prijav je Informacijski pooblašcenec tudi leta 2017 okrepljeno izvajal t. i. nacrtovan ex offo inšpekcijski nadzor na podrocjih, na katerih glede na oceno tveganja obstaja bodisi vecja verjetnost kršitve predpisov s podrocja varstva osebnih podatkov ali pa zaradi obcutljivosti obdelave osebnih podatkov v primeru morebitnih kršitev obstaja nevarnost vecjih škodljivih posledic za posameznike, na katere se osebni podatki nanašajo. Pri opravljanju teh obsežnejših oziroma temeljitejših inšpekcijskih nadzorov je Informacijski pooblašcenec posebno pozornost namenil preverjanju in zagotavljanju informacijske varnosti, katere namen je preprecevanje nepooblašcene obdelave osebnih podatkov ter nakljucnega ali nepooblašcenega unicevanja ali izgube le-teh, ki se vsako leto izvajajo skladno z letnim nacrtom. Nacrtovani inšpekcijski nadzor nad spoštovanjem dolocb ZVOP-1 se je leta 2017 izvajal na ministrstvih, v upravnih enotah, zdravstvenih zavodih, pri vecjih pogodbenih obdelovalcih osebnih podatkov, v turisticnih agencijah, pri sindikatih in njihovih zvezah ter pri društvih in njihovih zvezah. Informacijski pooblašcenec podobno kot v preteklih porocilih ugotavlja, da se je ozavešcenost tako splošne kot strokovne javnosti glede zasebnosti in varstva osebnih podatkov precej izboljšala in se še vedno izboljšuje. Osnovne težave glede poznavanja zakonodaje so bile presežene, pri cemer pa Informacijski pooblašcenec pri upravljavcih osebnih podatkov in njihovih pogodbenih obdelovalcih na razlicnih podrocjih pri opravljanju inšpekcijskega nadzora še vedno ugotavlja precej nepravilnosti in pomanjkljivosti. Med najpogosteje ugotovljene nepravilnosti in pomanjkljivosti sodijo zlasti nedefinirani ali pomanjkljivo definirani organizacijski, tehnicni in logicno-tehnicni postopki in ukrepi za zavarovanje osebnih podatkov v notranjih aktih upravljavcev, pomanjkljivo ali neustrezno zagotavljanje notranje in zunanje sledljivosti obdelave osebnih podatkov, neizdelani seznami oseb, ki so odgovorne za posamezne zbirke osebnih podatkov, in oseb, ki lahko zaradi narave svojega dela obdelujejo dolocene osebne podatke, sporocanje neustreznih ali pomanjkljivih informacij posameznikom ob zbiranju njihovih osebnih podatkov, prekomerno in nesorazmerno izvajanje videonadzora v delovnih prostorih ter uporaba posnetkov za nadzor nad zaposlenimi, neupoštevanje zahtev posameznikov po prenehanju uporabe osebnih podatkov za neposredno trženje, pomanjkljive pogodbe s pogodbenimi obdelovalci ter preusmeritve in nepooblašceno prebiranje službene elektronske pošte nekdanjih zaposlenih. Zelo pogoste so tudi nepravilnosti in pomanjkljivosti v zvezi z vodenjem ažurnih katalogov zbirk osebnih podatkov ter s tem povezanim posredovanjem podatkov v register zbirk osebnih podatkov, pri cemer je treba opozoriti, da se bo z uveljavitvijo Splošne uredbe o varstvu podatkov register zbirk osebnih podatkov nehal voditi, dozdajšnje kataloge zbirk osebnih podatkov pa bodo upravljavci (razen nekaterih izjem) morali nadomestiti z vodenjem evidenc obdelave osebnih podatkov, kot to doloca clen 30 Splošne uredbe o varstvu podatkov. Slednji k vodenju evidenc dejavnosti obdelave zavezuje tudi pogodbene obdelovalce osebnih podatkov, ki to dejavnost izvajajo v imenu upravljavcev; po ZVOP-1 pogodbenih obdelovalci takšnih evidenc niso bili dolžni voditi. Zavezanci opisane nepravilnosti in pomanjkljivosti praviloma prostovoljno odpravijo že na podlagi opozorila, ki jim ga v postopku izrece državni nadzornik za varstvo osebnih podatkov, zaradi cesar izdaja inšpekcijske (ureditvene) odlocbe praviloma ni potrebna, opozoriti pa je treba, da prostovoljna odprava ugotovljenih nepravilnosti zavezanca ne odvezuje prekrškovne, kazenske in odškodninske odgovornosti. Varstvo osebnih podatkov v evropskem prostoru so leta 2017 v veliki meri zaznamovale priprave na Splošno uredbo (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. 4. 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov, angl. General Data Protection Regulation – GDPR). Splošna uredba o varstvu podatkov je zacela veljati 25. 5. 2016, njene dolocbe pa bodo vse države clanice zacele uporabljati v dveh letih. Na uporabo Splošne uredbe o varstvu podatkov so se vecji upravljavci že zaceli pripravljati, pri manjših upravljavcih, ki so bili po ZVOP-1 deležni dolocenih izjem (npr. glede priprave katalogov in prijave zbirk osebnih podatkov v register Informacijskega pooblašcenca), pa se je izkazalo, da nekateri zakonodaje o varstvu osebnih podatkov niso dobro poznali. To se je izkazalo na predstavitvah Splošne uredbe na konferencah, okroglih mizah, posvetih in ob dnevu varstva osebnih podatkov, ko so se pojavljala številna vprašanja, ki se niso nanašala na bodoco ureditev po Splošni uredbi, temvec na obstojeca pravila po ZVOP-1 in podrocnih zakonih, ki urejajo ravnanje z osebnimi podatki (npr. na delovno-pravnem podrocju). Podobno situacijo so zaznali tudi državni nadzorni organi drugih držav clanic Evropske unije, vnovic pa se je tudi izkazalo, kako nevarne so delne izjeme, saj nekateri zavezanci delne izjeme razumejo kot popolne izjeme od dolžnosti upoštevanja pravil o varstvu osebnih podatkov. Leta 2017 se je zacela tudi priprava novega ZVOP-2, katerega nosilec je Ministrstvo za pravosodje. ZVOP-2 naj bi implementiral uredbo v naš pravni red in uredil podrocja, kjer lahko države clanice ohranijo vec manevrskega prostora (npr. pravila glede zdravstvenih, biometrijskih in genetskih podatkov), razmerje do drugih podrocij (npr. informacije javnega znacaja, pravica do svobode izražanja, arhivarska, statisticna in znanstveno-raziskovalna dejavnost) ter dolocene postopkovne vidike (npr. glede uveljavljanja pravic posameznika, prekrškovnih in upravnih postopkov glede varstva osebnih podatkov). Informacijski pooblašcenec je na osnutke ZVOP-2 za javno razpravo podal obširna mnenja. Poseben izziv za dolocene upravljavce in obdelovalce osebnih podatkov predstavlja imenovanje pooblašcenih oseb za varstvo osebnih podatkov. Gre za institut, ki je v praksi prisoten kvecjemu v velikih bankah in zavarovalnicah, Splošna uredba pa doloca precej širok krog zavezancev, ki bodo morali imenovati tovrstno osebo, in sicer ko: • obdelavo opravlja javni organ ali telo, razen sodišc, kadar delujejo kot sodni organ; • temeljne dejavnosti upravljavca ali obdelovalca zajemajo dejanja obdelave, pri katerih je treba zaradi njihove narave, obsega in/ali namenov posameznike, na katere se osebni podatki nanašajo, redno in sistematicno obsežno spremljati, ali • temeljne dejavnosti upravljavca ali obdelovalca zajemajo obsežno obdelavo posebnih vrst podatkov v zvezi s kazenskimi obsodbami in prekrški. Zelo pomembno bo, da bodo pooblašcene osebe imele izkušnje na podrocju prakse in zakonodaje o varstvu osebnih podatkov, predvsem pa bo pomembna podpora vodstva, ki bo moralo v njih prepoznati notranji nadzorni organ, ki zastopa interese organizacije v smislu zmanjševanja tveganj, da pride do kršitev zakonodaje. Naloge pooblašcenih oseb so namrec nadzorne, svetovalne in obvešcevalne, za skladnost z zakonodajo pa je odgovorno vodstvo. Preventivno delovanje Tudi leta 2017 je Informacijski pooblašcenec posebno pozornost posvetil preventivnim vidikom svojega delovanja. S ciljem izobraževanja upravljavcev in drugih zavezancev je izvedel vec kot 100 brezplacnih predavanj domacim slušateljem. V stalnem stiku je z upravljavci, obdelovalci in predlagatelji predpisov z namenom pravocasnega naslavljanja razlicnih dilem glede novih nacinov zbiranja in obdelave osebnih podatkov ter iskanja zasebnosti prijaznih zakonskih rešitev ob uvajanju novih tehnologij ter povecevanju ucinkovitosti. Podal je tudi vec kot 100 mnenj na predloge zakonov in drugih predpisov, ki se nanašajo na razlicne vidike urejanja, zbiranja in obdelave osebnih podatkov. Maja 2017 je na Bledu potekalo prvo zasedanje pobude »Initiative 20i7«, v okviru katere je Informacijski pooblašcenec gostil predstojnike nadzornih organov za varstvo osebnih podatkov iz Hrvaške, Srbije, Bosne in Hercegovine, Crne gore, Kosova in Makedonije. Namen pobude »Initiative 20i7« je združiti moci nadzornih organov za varstvo osebnih podatkov z obmocja nekdanje skupne države, saj se soocamo s podobnimi strokovnimi vprašanji in izzivi. Tudi številna podjetja in organizacije javnega sektorja v regiji cezmejno zbirajo in izmenjujejo osebne podatke, zato je zagotavljanje ustrezne in cim bolj enotne ravni varstva osebnih podatkov pomembno z gospodarskega vidika. Med kljucnimi podrocji, o katerih je tekla razprava, so bili ucinkovita implementacija novih evropskih standardov varstva osebnih podatkov, varstvo osebnih podatkov v telekomunikacijskem sektorju in ucinkovit nadzor varstva osebnih podatkov v sektorju organov pregona. Udeleženci so se strinjali, da bo lahko ena od oblik sodelovanja v prihodnje izvedba regionalnih preventivnih preiskav na podrocju varstva osebnih podatkov s ciljem prepoznave dobrih praks in uvedbe visokih standardov varstva osebnih podatkov v izbranih sektorjih v vseh državah v regiji.    Predstojniki nadzornih organov so v okviru razprav soglašali, da danes ucinkovitega varstva osebnih podatkov ne more biti brez dobrega mednarodnega sodelovanja med razlicnimi nadzornimi organi. To lahko glede na skupne gospodarske in zgodovinske okvire pomembno obogati kakovost dela vsakega od nadzornih organov na tem obmocju. Predstojniki so ob tej priložnosti zato podpisali deklaracijo o medsebojnem sodelovanju, s katero so se dogovorili za redna letna srecanja, katerih cilj bo izmenjava strokovnih stališc, izkušenj in dobrih praks pri reševanju izzivov nadzora nad varstvom osebnih podatkov.   Informacijski pooblašcenec uživa visok ugled pri kolegih iz držav nekdanje skupne države, kjer so že do zdaj pogosto prevzeli zakonodajne in prakticne rešitve iz Slovenije, zato je prevzel vodilno vlogo pri združevanju in izmenjavi dobrih praks na podrocju varstva osebnih podatkov v regiji. Želi si tudi, da bi pobuda na podrocju varstva clovekovih pravic dodatno prispevala h krepitvi dobrih odnosov med državami. Kot enega temeljnih preventivnih orodij za pravocasni pristop k varstvu osebnih podatkov Informacijski pooblašcenec omogoca neformalno izvedbo ocen ucinkov na varstvo osebnih podatkov. Leta 2017 se je tako na Informacijskega pooblašcenca obrnilo vec kot 100 upravljavcev in obdelovalcev iz javnega in zasebnega sektorja, ki so pripravljali zakonodajo, rešitve ali projekte in se želeli o tveganjih pravocasno premisliti ter se tako izogniti kršitvam zakonodaje. Izdali je tudi nove smernice ter napotke za upravljavce osebnih podatkov. Smernice za centre za socialno delo podajajo odgovore na najpogosteje zastavljena vprašanja glede varstva osebnih podatkov, s katerimi se srecujejo delavci na centrih za socialno delo, pa tudi stranke v postopkih, uporabniki storitev in upravljavci, ki posredujejo oziroma pridobivajo osebne podatke od centrov za socialno delo. Leta 2017 je Informacijski pooblašcenec pripravil prve smernice po Splošni uredbi o varstvu podatkov, in sicer Smernice o ocenah ucinkov na varstvo osebnih podatkov. Ocena ucinka je orodje za identifikacijo, analizo in zmanjševanje tveganj glede nezakonitih ravnanj z osebnimi podatki, do katerih lahko pride pri dolocenem projektu, sistemu ali uporabi tehnologije. Ocene ucinkov predstavljajo enega temeljnih preventivnih mehanizmov Splošne uredbe o varstvu osebnih podatkov in upravljavci, ki stremijo k odgovornemu ravnanju z osebnimi podatki posameznikov, bi morali prepoznati ocene ucinka kot orodje, ki je primarno v njihovem interesu. Namenjeno je namrec pravocasni identifikaciji tveganj in sprejemu ustreznih ukrepov za obvladovanje tveganj, s cimer lahko upravljavci in obdelovalci preprecijo, da bi prišlo do kršitve zakonodaje. Kršitve namrec prinašajo možnost visokih kazni, obveznost porocanja o zaznanih kršitvah (v dolocenih primerih tudi obvešcanje vseh prizadetih posameznikov), kar lahko vodi v zahtevne popravljalne ukrepe, sankcije, negativno publiciteto in izgubo zaupanja. Zaupanje v odgovorno ravnanje s podatki posameznikov bi moralo biti v informacijski družbi, kjer so osebni podatki najpomembnejša valuta, kljucno. Podjetja in institucije, ki bodo prepoznale pomen svobodne izbire posameznika in zaupanja v odgovorno ravnanje s podatki, bodo uspešnejša od tistih, ki ne bodo izvajala ukrepov za ohranitev in dvig zaupanja. Veliko pozornosti je Informacijski pooblašcenec namenil ozavešcanju o Splošni uredbi o varstvu podatkov. V ta namen je pripravil posebno podstran6060 https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/ , na kateri objavlja razlicna gradiva, med drugim je tam že objavljeno naslednje gradivo: • Splošna uredba o varstvu osebnih podatkov – pogosta vprašanja in odgovori, • informativni letak – 10 korakov za pripravo na GDPR, • informativni letak – Kaj prinaša nova Splošna uredba (EU) o varstvu podatkov? • informativni letak Evropske komisije za mala in srednja podjetja, • povzetki posvetovanja z zainteresiranimi deležniki – Fablab (Bruselj, 5.– 6. april 2017). Upravljavcem in obdelovalcem lahko zelo pomagajo mnenja in smernice na evropski ravni, ki jih Informacijski pooblašcenec pripravlja v sodelovanju z informacijskimi pooblašcenci iz drugih držav v okviru Delovne skupine iz clena 29. Leta 2017 so bila objavljena naslednja mnenja in smernice: • Mnenje o kljucnih vprašanjih Direktive o varstvu podatkov pri preprecevanju, odkrivanju in preiskovanju kaznivih dejanj (EU št. 2016/680) (WP 258, 29. 11. 2017), • po javni razpravi revidirane Smernice o prenosljivosti podatkov (WP 242, 5. 4. 2017), • po javni razpravi revidirane Smernice o pooblašcenih osebah za varstvo podatkov (WP 243, 5. 4. 2017), • po javni razpravi revidirane Smernice za dolocitev vodilnega nadzornega organa za upravljavce ali obdelovalce (WP 244, 5. 4. 2017), • po javni razpravi revidirane Smernice o oceni ucinka na varstvo podatkov (WP 248 rev. 1, 4. 10. 2017), • Smernice o privolitvi po Uredbi 2016/679 (WP 259, 28. 11. 2017). Zlasti smernice o privolitvi bodo lahko v precejšnjo pomoc upravljavcem, saj bodo nekateri od njih morali privolitve posameznikov vnovic pridobiti, zelo koristne pa so tudi smernice o pooblašcenih osebah, saj natancno pojasnjujejo, kdo mora pooblašceno osebo za varstvo osebnih podatkov imenovati, kakšne so naloge te osebe in njen položaj. Preventivno delovanje Informacijskega pooblašcenca se kaže tudi ob strokovnem sodelovanju v medresorskih delovnih skupinah. Poleg udeležbe v Inšpekcijskem svetu velja izpostaviti sodelovanje v Medresorski delovni skupini za uredbo eIDAS o elektronski identifikaciji, sodelovanje pri pripravi predpisov, sodelovanje z Ministrstvom za javno upravo pri razlicnih projektih e-Uprave in digitalizacije ter sodelovanje v Svetu za razvoj informatike. Strokovnjaki Informacijskega pooblašcenca za dvig ozavešcenosti o pomenu zasebnosti in varstva osebnih podatkov nastopajo na razlicnih konferencah, strokovnih dogodkih, posvetih ter okroglih mizah. Leta 2017 so na primer nastopili na Workshop of National Data Protection Authorities Experts On Civil Drones Applications (Bruselj), Datacenter conference, na XVI. dnevih delovnega prava in socialne varnosti, konferenci Informatika v javni upravi 2017, konferenci Mreža znanja – Arnes, 8. mednarodni konferenci Dnevi korporativne varnosti, sodelovali so pri Pripravi gospodarstva na uveljavitev GDPR (GZS) na sejmu Feel the Future, na strokovnem srecanju zdravstvene informatike (SDMI), na konferenci GDPR/ZVOP-2, strokovnem posvetu IT-revizorjev (ISACA), strokovnem posvetu Združenja bank Slovenije, Dnevih korporativne varnosti in številnih drugih. Konec leta je Informacijski pooblašcenec v sodelovanju z zvezo potrošnikov Slovenije pripravil prijavo na EU razpis Rights, Equality and Citizenship Programme, Call: REC-AG-2017 (Call for proposals for action grants under 2017 Rights, Equality and Citizenship Work Programme), Topic: REC-RDAT-TRAI-AG-2017. Razpis je primarno namenjen nadzornim organom za varstvo osebnih podatkov, podpira pa ozavešcevalne aktivnosti o varstvu osebnih podatkov, ki imajo dve kljucni ciljni skupini javnosti: mala in srednje velika podjetja ter splošno javnost. V okviru dvoletnega projekta Raising Awareness on Data Protection and the GDPR in Slovenia – RAPID.SI bo vzpostavljena posebna telefonska linija, na kateri bodo predstavniki podjetij lahko dobili nasvete, pripravljana bodo ozavešcevalna gradiva, vzpostavljeni bosta dve spletni mesti, organizirana pa bodo tudi predavanja. Projekt se bo predvidoma zacel izvajati julija 2018. 4.1. Sodelovanje pri pripravi zakonov in drugih predpisov Informacijski pooblašcenec skladno z dolocbo 48. clena ZVOP-1 daje predhodna mnenja ministrstvom, državnemu zboru, organom samoupravnih lokalnih skupnosti, drugim državnim organom ter nosilcem javnih pooblastil o usklajenosti dolocb predlogov zakonov ter ostalih predpisov z zakoni in drugimi predpisi, ki urejajo obdelavo osebnih podatkov. Leta 2017 je Informacijski pooblašcenec izdal vec kot 100 mnenj na predloge sprememb zakonov ter na predloge novih zakonov in drugih predpisov. Pri tem je zaznal skrb vzbujajoc trend, da se število predpisov, ki prinašajo posege v zasebnost posameznikov z vidika obdelave osebnih podatkov, že vec let ne zmanjšuje, sprejemajo pa se po hitrem postopku, brez ustreznih analiz in ocen njihovih posledic za zagotavljanje ustavno zagotovljenega varstva zasebnosti in osebnih podatkov posameznikov. Informacijski pooblašcenec je leta 2017 podal mnenje, pripombe oziroma je sodeloval pri pripravi naslednjih predpisov (v zvezi z nekaterimi je podal vec mnenj): • Osnutek Zakona o dostopnosti spletišc in mobilnih aplikacij, • Predlog Zakona o trgu financnih instrumentov, • Predlog novele Zakona o javnem interesu v mladinskem sektorju, • Predlog Zakona o notariatu, • Predlog Zakona o konzularni zašciti, • Predlog novele Zakona o rejniški dejavnosti, • Predlog Zakona o spremembah in dopolnitvah Zakona o javnih uslužbencih (tri mnenja), • Predlog Zakona o spremembah in dopolnitvah Zakona o zbirkah podatkov s podrocja zdravstvenega varstva, • Predlog Slovenskega zavarovalnega združenja za spremembe in dopolnitve Zakona o zavarovalništvu (dve mnenji), • Predlog Zakona o spremembah in dopolnitvah Zakona o kmetijstvu (tri mnenja), • Predlog Uredbe o izvajanju uredbe (EU) o skupni ribiški politiki, • Predlog Zakona o spremembah in dopolnitvah Zakona o divjadi in lovstvu (dve mnenji), • Predlog Uredbe o vodenju in vzdrževanju Poslovnega registra Slovenije, • Predlog Uredbe o spremembah in dopolnitvah Uredbe o sodnem registru, • Predlog Pravilnika o evidenci prekrškovnih organov, evidenci pravnomocnih sodb oziroma sklepov o prekrških, skupni evidenci kazenskih tock v cestnem prometu ter skupni informacijski infrastrukturi (dve mnenji), • Predlog Pravilnika o priznavanju organizacij proizvajalcev in združenj organizacij proizvajalcev v sektorjih sadje in zelenjava, oljcno olje in namizne oljke ter hmelj, • Predlog Zakona o sodnih izvedencih, cenilcih in tolmacih, • Predlog Pravilnika o priznanju skupine proizvajalcev za skupno trženje, • Predlog Pravilnika o narocanju in upravljanju cakalnih seznamov ter najdaljših dopustnih cakalnih dobah, • Predlog Pravilnika o poslovanju državnega odvetništva (VI., X. in XII. poglavje – tri mnenja), • Predlog Pravilnika o usposabljanju za varno delo s traktorjem in traktorskimi prikljucki (štiri mnenja), • Osnutek Zakona o nepremicninskem posredovanju, • Sporazum o zaposlovanju državljanov Republike Srbije v Republiki Sloveniji, • Predlog Zakona o dolgotrajni oskrbi in obveznem zavarovanju za dolgotrajno oskrbo, • Spremembe 19. in 21. clena Zakona o centralnem kreditnem registru (dve mnenji), • Predlog Zakona o spremembah in dopolnitvah Zakona o varstvu okolja, • Osnutek Odredbe o dolocitvi programa strokovnega usposabljanja za varnostnika cuvaja, • Predlog direktive o interoperabilnosti elektronskih cestninskih sistemov ter lažji cezmejni izmenjavi informacij o neplacilih cestninah v Uniji, • Predlog Zakona o informacijski varnosti (dve mnenji), • Predlog Uredbe o spremembah in dopolnitvah Uredbe o izvajanju ukrepa Sheme kakovosti za kmetijske proizvode in živila iz Programa razvoja podeželja Republike Slovenije za obdobje 2014–2020, • Predlog Zakona o evidentiranju dejanske rabe zemljišc javne cestne in javne železniške infrastrukture (dve mnenji), • Uredba o nacinu in obveznostih izvajanja javne službe kmetijskega svetovanja, • Pravilnik o tehnicnih pogojih, ki jih morajo izpolnjevati video elektronska identifikacijska sredstva, • Uredba o javni službi nalog rastlinske genske banke, • Uredba o javnih službah strokovnih nalog v proizvodnji kmetijskih rastlin, • Predlog Pravilnika o evidenci posebnih kultur, • Predlog Zakona o izobraževanju odraslih (dve mnenji), • Predlog Srednjerocnega programa statisticnih raziskovanj 2018–2022, • Predlog Pravilnika o vzpostavitvi, vzdrževanju in upravljanju Registra dejanskih lastnikov (dve mnenji), • Predlog osnutka besedila Izvedbenega sporazuma med Republiko Albanijo, Republiko Avstrijo, Bosno in Hercegovino, Republiko Bolgarijo, Madžarsko, Republiko Makedonijo, Republiko Moldavijo, Crno goro, Romunijo, Republiko Srbijo in Republiko Slovenijo o varstvu podatkov, • Predlog Zakona o spremembah in dopolnitvah Zakona o izvrševanju kazenskih sankcij (dve mnenji), • Spremembe Poslovnika obcinskega sveta Obcine Prevalje, • Predlog Pravilnika o obrazcu vloge za izdajo potrdila A1 (dve mnenji), • Osnutek Pravilnika o izvajanju notranje kontrole, pooblašcencu, hrambi in varstvu podatkov, strokovnem usposabljanju ter upravljanju evidenc pri zavezancih, • Osnutek Pravilnika o reševanju na smucišcih, • Pravilnik o dolocitvi pogojev za ugotavljanje in preverjanje istovetnosti stranke z uporabo sredstev elektronske identifikacije, • Osnutek nove Odredbe o dolocitvi programa strokovnega usposabljanja za varnostnika, • Osnutek Predloga Pravilnika o spremembah in dopolnitvah Pravilnika o policijskih pooblastilih, • Osnutek Predloga Uredbe o izvajanju Uredbe (EU) št. 2015/847 Evropskega parlamenta in sveta z dne 20. maja 2015 o informacijah, ki spremljajo prenose sredstev, in razveljavitvi Uredbe, • Predlog Sporazuma o avtomatizirani izmenjavi podatkov o DNA, daktiloskopskih podatkov in podatkov iz registrov vozil, • Novela Zakona o pacientovih pravicah, • Predlog dopolnjene nove Uredbe o upravnem poslovanju, • Predlog Zakona o spremembah in dopolnitvah Zakona o izvršbi in zavarovanju (dve mnenji), • Dopolnjen predlog sprememb Zakona o motornih vozilih (dve mnenji), • Predlog Uredbe o izvajanju podukrepa pomoc za zagon dejavnosti, namenjene razvoju majhnih kmetij iz Programa razvoja podeželja Republike Slovenije za obdobje 2014–2020, • Osnutek Pravilnika o izvajanju Zakona o varnosti na smucišcih, • Predlog Uredbe o izvajanju Uredbe (EU) o preglednosti poslov financiranja z vrednostnimi papirji in ponovne uporabe, • Predlog sprememb Zakona o lokalni samoupravi, • Osnutek predloga Zakona o spremembah in dopolnitvah Zakona o pravnem varstvu v postopkih javnega narocanja, • Predlog Zakona o spremembah in dopolnitvah Zakona o cestah (dve mnenji), • Osnutek predloga Zakona o placilnih storitvah, storitvah izdajanja elektronskega denarja in placilnih sistemih, • Predlog Zakona o spremembah in dopolnitvah Zakona o varuhu clovekovih pravic, • Predlog Pravilnika o kazenski evidenci in evidenci vzgojnih ukrepov, • Predlog Pravilnika o spremembah in dopolnitvah Pravilnika o obliki in vsebini vpisnikov in pomožnih knjig pri prekrškovnih organih, • Predlog Zakona o spremembah in dopolnitvah Zakona o integriteti in preprecevanju korupcije, • Predlog Zakona o spremembah in dopolnitvah Zakona o cestninjenju (dve mnenji), • Predlog Direktive Evropskega parlamenta in Sveta o nekaterih vidikih pogodb o dobavi digitalnih vsebin, COM (2015) 634 final, • Osnutek Zakona o državni meteorološki, hidrološki, oceanografski in seizmološki službi (dve mnenji), • Mnenje EDPS na Predlog uredbe Evropskega parlamenta in Sveta o vzpostavitvi evropskega sistema za potovalne informacije in odobritve (ETIAS) ter spremembe uredb (EU) št. 515/2014, (EU) št. 2016/399, (EU) št. 2016/794 in (EU ) št. 2016/1624, • Predlog Zakona o izvrševanju Uredbe Evropske unije o preglednosti poslov financiranja z vrednostnimi papirji in ponovne uporabe, • Predlog Zakona o spremembah in dopolnitvah Zakona o organizaciji in financiranju vzgoje in izobraževanja, • Predlog Zakona o spremembah in dopolnitvah Zakona o strokovnih in znanstvenih naslovih, • Predlog nove Uredbe o varstvu posameznikov pri obdelavi osebnih podatkov s strani institucij, organov, uradov in agencij Unije in o prostem pretoku takih podatkov, • Predlog Zakona o varstvu pred ionizirajocimi sevanji in jedrski varnosti, • Predlog Zakona o spremembah in dopolnitvah Zakona o kazenskem postopku, • Predlog Zakona o spremembah in dopolnitvah Energetskega zakona, • Predlog Zakona o spremembah in dopolnitvah Zakona o izdelkih iz plemenitih kovin, • Predlog Zakona o probaciji (dve mnenji), • Dolocbi 7. in 17. clena Sodnega reda (tri mnenja), • Predlog nacina vzpostavitve Evidence o preizkusih znanja v zvezi s 101.a clenom Zakona o mednarodni zašciti, • Predlog Zakona o spremembah in dopolnitvah Zakona o poslovnem registru, • Predlog Pravilnika o skupnih oznakah ob hkratnem izvajanju nalog nadzornika in reševalca na smucišcu, • Predlog Zakona o službi v Slovenski vojski, • Predlog Zakona o obrambi, • Predlog Zakona o spremembah in dopolnitvah Zakona o skupnosti študentov, • Predlog Uredbe o izvajanju ukrepov iz Operativnega programa za izvajanje Evropskega sklada za pomorstvo in ribištvo v Republiki Sloveniji za obdobje 2014–2020, ki se izvajajo v skladu z javnimi razpisi, • Zakon o dajatvah za motorna vozila, • Osnutek predloga Pravilnika o spremembah in dopolnitvah Pravilnika o vsebinah vlog za izdajo dovoljenj dimnikarskim družbam in licenc dimnikarjem (dve mnenji), • Osnutek predloga Pravilnika o dopolnilnem usposabljanju in dimnikarski izkaznici (dve mnenji), • Osnutek predloga Sporazuma o cezmejni izmenjavi podatkov o elektronskem receptu in povzetku podatkov o pacientih, • Predlog sprememb Zakona o izenacevanju možnosti invalidov, • Predlog Uredbe o izvedbi ukrepov kmetijske politike za leto 2017, • Predlog uredbe Evropskega parlamenta in Sveta o sodelovanju med nacionalnimi organi, odgovornimi za izvrševanje zakonodaje o varstvu potrošnikov, • Predlog Zakona o osebni asistenci, • Predlogi novih uredb o uporabi SIS, • Predlog Gradbenega zakona, • Predlog Zakona o spremembah in dopolnitvah Zakona o zdravstveni dejavnosti, • Predlog Zakona o pooblašcenih arhitektih in inženirjih, • Predlog Zakona o kakovosti in varnosti, • Predlog Zakona o urejanju prostora. 4.2. Sodelovanje z javnostmi Informacijski pooblašcenec je leta 2017 skrbel za javnost svojega dela ter za osvešcanje pravnih in fizicnih oseb z rednimi in doslednimi odnosi z mediji (sporocila za javnost, izjave, komentarji, intervjuji pooblašcenke, novinarske konference) ter prek svoje spletne strani. Spletna stran Informacijskega pooblašcenca www.ip-rs.si, ki je bila prenovljena leta 2016, vsebuje: • predstavitev zgodovine Informacijskega pooblašcenca in zaposlenih; • predstavitev obeh podrocij delovanja, to je varstva osebnih podatkov (npr. pravice posameznika, inšpekcijski nadzor, obveznosti upravljavcev, informacijske tehnologije in osebni podatki) in dostopa do informacij javnega znacaja (npr. informacije javnega znacaja pri organih in pri subjektih pod prevladujocim vplivom, dostop do informacij za medije, ponovna uporaba informacij javnega znacaja) ter pristojnosti na obeh podrocjih; • predstavitev domace in tuje zakonodaje za obe podrocji; • odgovore na najpogosteje zastavljena vprašanja z obeh podrocij; • mnenja s podrocja varstva osebnih podatkov; • vse odlocbe, s katerimi je Informacijski pooblašcenec odlocil o pritožbah v zvezi z informacijami javnega znacaja; • zahteve za oceno ustavnosti, ki jih je vložil na Ustavno sodišce RS; • sodbe Upravnega sodišca RS in Vrhovnega sodišca RS v zadevah, ki jih je vodil Informacijski pooblašcenec; • pripombe na predloge predpisov; • predstavitev mednarodnega delovanja Informacijskega pooblašcenca; • predstavitev projektov, pri katerih sodeluje Informacijski pooblašcenec; • uporabne povezave (npr. na spletne strani sorodnih organov v EU in drugod po svetu); • izdane publikacije (prirocniki in smernice, letna porocila); • domace in tuje clanke z obeh podrocij; • vzorce oziroma obrazce, namenjene fizicnim osebam za uveljavljanje njihovih pravic (npr. zahteva za dostop do informacij javnega znacaja, zahteva za ponovno uporabo informacij javnega znacaja, pritožba zoper molk zavezanca po ZDIJZ, pritožba zoper zavrnilno odlocbo ali obvestilo zavezanca po ZDIJZ, prijava zlorabe osebnih podatkov, zahteva za seznanitev z lastnimi osebnimi podatki, pritožba zaradi kršitve pravice do seznanitve z lastnimi osebnimi podatki, zahteva za prenehanje uporabe osebnih podatkov za namen neposrednega trženja, zahteva za seznanitev z osebnimi podatki v Schengenskem informacijskem sistemu v Sloveniji, pritožba v zadevi seznanitve z lastno zdravstveno dokumentacijo ali z zdravstveno dokumentacijo umrlega pacienta) in upravljavcem zbirk osebnih podatkov za lažje delo pri vlaganju razlicnih zahtev in zagotovitvi ustreznega varovanja osebnih podatkov (npr. vloga za povezovanje zbirk osebnih podatkov, obvestilo o povezovanju zbirk osebnih podatkov, obvestilo o prenehanju vodenja zbirke osebnih podatkov, prijava biometrijskih ukrepov, vloga za iznos osebnih podatkov v tretje države, vzorec kataloga zbirk osebnih podatkov, vzorec pravilnika o zavarovanju osebnih podatkov in vzorec pogodbe za potrebe pogodbene obdelave osebnih podatkov po 11. clenu ZVOP-1, vzorec evidence uporabe videonadzornega sistema); • register zbirk osebnih podatkov in katalog informacij javnega znacaja Informacijskega pooblašcenca; • e-novice, na katere se lahko prijavijo posamezniki, ki želijo biti seznanjeni z dogajanjem na obeh podrocjih v Sloveniji in tujini. Informacijski pooblašcenec je bil leta 2017 prisoten tudi na spletnem družabnem omrežju Facebook, kjer prek svojega profila skrbi za dvig ozavešcenosti glede pomena varstva osebnih podatkov. V okviru preventivnega dela je Informacijski pooblašcenec veliko pozornosti namenil nadaljnji širitvi orodij in pripomockov za dvig ozavešcenosti, in sicer s pripravo razlicnih publikacij. Leta 2017 je izdal smernice za centre za socialno delo in smernice Ocene ucinkov na varstvo podatkov po Splošni uredbi o varstvu podatkov. S pomocjo smernic naj bi upravljavci dobili priporocila, kako naj v praksi zadostijo zahtevam ZVOP-1. Namen smernic je namrec podati skupne prakticne napotke za upravljavce zbirk osebnih podatkov na jasen, razumljiv in uporaben nacin ter s tem odgovoriti na najpogosteje zastavljena vprašanja s podrocja varstva osebnih podatkov, s katerimi se srecujejo posamezni upravljavci. Pravno podlago za izdajo smernic Informacijskemu pooblašcencu daje 49. clen ZVOP-1, ki med drugim doloca, da Informacijski pooblašcenec daje neobvezna mnenja, pojasnila in stališca o vprašanjih s podrocja varstva osebnih podatkov in jih objavlja na spletni strani ali na drug primeren nacin ter pripravlja in daje neobvezna navodila in priporocila glede varstva osebnih podatkov na posameznem podrocju. Informacijski pooblašcenec publikacij že dalj casa ne tiska, ampak jih objavi zgolj v elektronski obliki. Vse publikacije so dostopne na spletni strani https://www.ip-rs.si/publikacije/prirocniki-in-smernice/. Informacijski pooblašcenec je skrbel za stalno izobraževanje zavezancev. S tem namenom je sodeloval na razlicnih izobraževalnih konferencah, delavnicah in okroglih mizah. Leta 2017 so zaposleni pri Informacijskem pooblašcencu izvedli kar 132 brezplacnih predavanj za razlicne strokovne javnosti in zavezance na obeh podrocjih delovanja, tj. za upravljavce osebnih podatkov (100 predavanj) in zavezance za posredovanje informacij javnega znacaja (32 predavanj). Informacijski pooblašcenec aktivno sodeluje v Svetu projekta SAFE-SI in Spletno oko, ki delujeta na podrocju varne rabe interneta. V okviru te dejavnosti je izvedel vec predavanj o varstvu osebnih podatkov na internetu za šolarje, ucitelje in starše. Informacijski pooblašcenec je 28. januarja ob dnevu varstva osebnih podatkov, ki se obeležuje po celi Evropi, organiziral posvet z naslovom Pravice posameznikov in dolžnosti upravljavcev osebnih podatkov po novi evropski Splošni uredbi o varstvu podatkov v dvorani Zdravniške zbornice Slovenije. Dogodek je bil namenjen iskanju odgovorov na vprašanja, katere novosti in izboljšave ter tudi izzive prinaša evropska reforma varstva osebnih podatkov za posameznike in njihove pravice ter seveda za upravljavce. Evropa je s sprejemom nove evropske Splošne uredbe o varstvu podatkov naredila pomemben korak za zagotavljanje ucinkovitejšega varstva osebnih podatkov. Pomen tega podrocja in dejstvo, da so osebni podatki valuta sodobnega sveta, najbolj nazorno ponazarja sam postopek sprejemanja uredbe: Evropska reforma varstva osebnih podatkov je rezultat vecletnih razprav – od prvega predloga uredbe do njenega sprejetja so minila štiri leta, v tem casu pa so odlocevalci na osnovni predlog od razlicnih interesnih skupin dobili kar 4000 amandmajev.   Informacijska pooblašcenka Mojca Prelesnik je poudarila, da zaradi hitrega razvoja sodobnih tehnologij Direktiva o varstvu podatkov iz leta 1995 ni vec sledila zahtevam sodobne e-družbe in novim nacinom obdelav osebnih podatkov, zato je EU sprejela Splošno uredbo o varstvu podatkov, ki se bo zacela uporabljati 25. maja 2018. Do takrat bodo potrebne prilagoditve, saj ureja številna podrocja podrobneje ali drugace kot trenutno še veljavni ZVOP-1. Tako se na primer posameznikovo soglasje k obdelavi njegovih osebnih podatkov nikoli ne predvideva, ampak mora posameznik s tem jasno in aktivno soglašati. Upravljavci bodo o kršitvah varstva osebnih podatkov obvezani obvešcati, nova pravila za obravnave kršitev bodo presegala meje ene same države clanice EU. Globe za kršitelje bodo bistveno višje, javni sektor, pri bolj tveganih obdelavah in podatkih pa tudi podjetja, bodo morali imenovati posebno odgovorno osebo za varstvo podatkov. Nova je tudi ureditev obdelav osebnih podatkov v vec kot eni državi clanici – nacelo »vse na enem mestu« prinaša pristojnost organa ene države clanice, cetudi bodo v dolocenem postopku obdelovani podatki državljanov razlicnih držav EU. Predstavniki upravljavcev, resornega ministrstva in razlicnih strokovnjakov za varstvo osebnih podatkov so predstavili svoj pogled na pomen varstva osebnih podatkov in odprli razpravo o nalogah pri pripravah na izvajanje uredbe v letu 2017: dr. Andrej Možina, predsednik Zdravniške zbornice Slovenije, je predstavil pomen varstva obcutljivih osebnih podatkov v zdravstvu; Boris Koprivnikar, minister za javno upravo, je predstavil prispevek z naslovom Kaj država ve o tebi?; Peter Pavlin z Ministrstva za pravosodje se je osredotocil na implementacijo Splošne uredbe o varstvu podatkov in vprašanje zagotovitve pravne varnosti ter velike pomembnosti clovekove pravice do varstva osebnih podatkov; namestnik informacijske pooblašcenke mag. Andrej Tomšic je predstavil nove pravice, ki jih prinaša uredba; novinar Domen Savic je prikazal možnost seznanitve z lastnimi osebnimi podatki v praksi; svetovalec pri Informacijskem pooblašcencu mag. Urban Brulc je predstavil pravico do seznanitve z lastnimi osebnimi podatki in lastno zdravstveno dokumentacijo po uveljavitvi uredbe; pravico do varstva zasebnosti in varstva osebnih podatkov z vidika pacienta je predstavila varuhinja pacientovih pravic Duša Hlade Zore. Že tradicionalno je Informacijski pooblašcenec podelil priznanja za dobro prakso na podrocju varstva osebnih podatkov: • Priznanje ambasador zasebnosti je prejelo podjetje TIBOPO, d. o. o., za pristop k razvoju sistema mDrive, ki želi izboljšati prometno varnost (gre za sistem za nadzor dvorocnega upravljanja z vozili, ki na podlagi analize slike iz kamere detektira položaj rok na volanu in s tem pomaga reševati motnje pozornosti oziroma distrakcije, kot je npr. telefoniranje, pisanje SMS-sporocil ali prehranjevanje med vožnjo), saj so se že ob snovanju sistema zavedali pomena zasebnosti in so pripravili predhodno oceno ucinka na varstvo osebnih podatkov. S tem so pravocasno zmanjšali možne negativne vplive na varstvo osebnih podatkov in v sam sistem vgradili primerne varovalke. • Priznanje za dobro prakso na podrocju varovanja osebnih podatkov v javnem sektorju je prejela Podružnicna šola Podkum, Osnovna šola Ivana Skvarce Zagorje ob Savi. Šola je zmagala na natecaju za najboljšo ucno uro na temo zasebnosti in varstva osebnih podatkov, ki ga je Informacijski pooblašcenec pripravil v evropskem projektu ARCADES. Uvajanje poucevanja varstva osebnih podatkov in zasebnosti na spletu že pri mlajših otrocih je primer odlicne prakse in zato zgled vsem šolam. • Priznanje za dobro prakso na podrocju varovanja osebnih podatkov v zasebnem sektorju je prejelo podjetje Elektro Ljubljana, d.d., in sicer zaradi zavedanja pomena varstva osebnih podatkov, ki je pri tej družbi vpeljano v sam sistem dela. Odraža se v zavesti zaposlenih in v tehnicnih rešitvah za preprecevanje zlorab. Proaktivnost za dvig ravni varstva osebnih podatkov je razvidna iz celovitega pristopa k organizacijskim in tehnicnim procesom. • Posebna priznanja družbam, ki so leta 2016 pridobile certifikat po standardu za varovanje informacij ISO/IEC 27001 in s tem izkazale visoko raven varovanja osebnih podatkov: Doctrina, d. o. o., Imagine, d. o. o., ISKRAEMECO, d. d., ISKRATEL, d. o. o., PRO Servis, d. o. o., in VIBOR, d. o. o. Svetovni dan pravice vedeti zaznamujemo vsako leto 28. septembra, vse odkar so se leta 2002 razlicne organizacije civilne družbe iz številnih držav povezale v organizacijo Freedom of Information Advocates Network (FOIAnet). Dogodki, ki na ta dan potekajo po vsem svetu, opozarjajo na pravico dostopa do informacij javnega znacaja kot temeljno clovekovo pravico, ki prispeva k bolj odprti in demokraticni družbi ter posameznikom in civilni družbi omogoca aktivno udeležbo v pomembnih javnopravnih zadevah. Leta 2017 je Informacijski pooblašcenec ta dan posvetil transparentnosti porabe javnega denarja; dogodek je nosil naslov Nadzor nad porabo javnega denarja – imam pravico vedeti. Pomembna funkcija pravice vedeti, ki je pomembno orodje za dosego odprtega, preglednega in odgovornega delovanja javne uprave, je namrec tudi nadzorna funkcija, v okviru katere se imajo državljani pravico seznaniti z informacijami o tem, kako in za kakšne namene organi javnega sektorja porabljajo javni denar. Boljši dostop do informacij o porabi javnega denarja povecuje kakovost odlocanja in prispeva k racionalnejši porabi javnih sredstev ter zmanjšuje korupcijska tveganja. Udeležence posveta sta nagovorila informacijska pooblašcenka Mojca Prelesnik in Mitja Bervar, predsednik Državnega sveta, v prostorih katerega je potekal posvet. Informacijska pooblašcenka je poudarila, da lahko le transparentna družba zagotavlja in podpira clovekove pravice. V casu, ko se zaradi številnih družbenih in politicnih razlogov, pa tudi zaradi hitrega tehnološkega razvoja krepi potreba po nadzoru, na dolgi rok le odprtost in transparentnost krepita zaupanje državljanov v javno oblast. Svoj nagovor je koncala z mislijo, da transparentnost podatkov o porabi javnih sredstev ne sme biti sama sebi namen, ampak je predvsem vzvod, s katerim se zmanjšujejo korupcijska tveganja in s katerim se aktivira druge družbene vzvode. Na tem podrocju mora tudi javnost prevzeti odgovorno vlogo, in to tako, da informacije postavi v pravilen kontekst in prek njih opozori na vprašanja, ki pomembno vplivajo na življenja ljudi. Transparentnost je orodje za dosego cilja, to pa sta predvsem povecanje zaupanja državljanov v javni sektor in možnost sodelovanja v družbeno pomembnih odlocitvah. Ker je transparentnost na podrocju porabe javnega denarja pomembna tema, je Informacijski pooblašcenec k sodelovanju povabil tako predstavnike državnih institucij kot predstavnike civilne družbe, ki so problematiko predstavili iz razlicnih zornih kotov. Predsednik Racunskega sodišca Tomaž Vesel je predstavil pogled Racunskega sodišca na nacelo transparentnosti pri nadzoru nad porabo javnega denarja; Urška Ban, poslanka Državnega zbora RS in predsednica Odbora za finance in monetarno politiko ter clanica Komisije za nadzor javnih financ, se je osredotocila na fiskalno transparentnost kot nacelo dobrega upravljanja z javnim denarjem, in sicer v luci pristojnosti in odgovornosti Državnega zbora; Borut Smrdel, predsednik Državne revizijske komisije, ki bdi nad pravilnostjo postopkov javnega narocanja, je predstavil nacelo transparentnosti, ki je pomemben vzvod za zagotavljanje pravilnosti in gospodarnosti v postopkih javnega narocanja; mag. Mateja Prešeren, vodja Službe za transparentnost, integriteto in politicni sistem na Ministrstvu za javno upravo, je vprašanje nadzora nad porabo javnega denarja predstavila z vidika vse pomembnejše proaktivne objave informacij; Jure Brankovic, novinar oddaje Tarca na RTV Slovenija, ki je odprl številne odmevne medijske zgodbe o (ne)transparentni porabi javnega denarja, je svoj novinarsko-kriticni pogled predstavil v prispevku Kako ustaviti javnost?, Sebastijan Peterka, vodja projektov, katerih namen je krepitev preglednosti in transparentnosti delovanja javnega sektorja ter nadzor nad porabo javnega denarja, in raziskovalec pri Transparency International Slovenija, pa je na primeru Zavoda RS za blagovne rezerve opozoril, da je zapoznelost informacij enaka zavrnitvi. Informacijski pooblašcenec je podelil tudi priznanje ambasador transparentnosti za dobro prakso na podrocju dostopa do informacij javnega znacaja. Prejela ga je Uprava RS za varno hrano, veterinarstvo in varstvo rastlin, ki med drugimi opravlja naloge na podrocjih varstva potrošnikov, varne hrane, varovanja zdravja in dobrobiti živali ter varstva rastlin. Ker gre za podrocja, ki so za zdravje ljudi še posebej pomembna, sta dobra obvešcenost javnosti in hiter dostop do informacij bistvena. Uprava je v zadnjih letih dokazala, da je pri svojem delu zavezana transparentnosti, tudi proaktivni. S široko objavo informacij in ugotovitev iz postopkov inšpekcijskih nadzorov (npr. iz nadzorov nad pekarnami, gostinskimi obrati in cebelarji) je lahko za zgled ostalim inšpekcijskim organom. Dokazala je, da je nacelo varstva podatkov iz inšpekcijskih postopkov v praksi mogoce uspešno uravnotežiti z nacelom javnosti delovanja. Tako je javnosti zagotovila boljši dostop do informacij in omogocila javno razpravo o skupnih zadevah v javnem interesu. Informacijski pooblašcenec je 15. 5. 2017 na Bledu gostil ustanovno zasedanje pobude Initiative 20i7, na katerem so sodelovali predstojniki nadzornih organov za varstvo osebnih podatkov iz Hrvaške, Srbije, Bosne in Hercegovine, Crne gore, Kosova in Makedonije. Pobuda Informacijskega pooblašcenca za Initiative 20i7 sledi zgledu nordijskih držav, ki si delijo podobne zgodovinske, kulturne in pravne okvire in katerih nadzorni organi za varstvo osebnih podatkov tesno sodelujejo ter si izmenjujejo izkušnje. Namen pobude Initiative 20i7 je združiti moci nadzornih organov za varstvo osebnih podatkov z obmocja nekdanje skupne države, saj se soocajo s podobnimi strokovnimi vprašanji in izzivi. Tudi številna podjetja in organizacije javnega sektorja v regiji cezmejno zbirajo in izmenjujejo osebne podatke, zato je zagotavljanje ustrezne in cim bolj enotne ravni varstva osebnih podatkov pomembno z gospodarskega vidika. Med kljucnimi podrocji, o katerih je tekla razprava, so bili ucinkovita implementacija novih evropskih standardov varstva osebnih podatkov, varstvo osebnih podatkov v telekomunikacijskem sektorju in ucinkovit nadzor varstva osebnih podatkov v sektorju organov pregona. Udeleženci so se strinjali, da bo lahko ena od oblik sodelovanja v prihodnje izvedba regionalnih preventivnih preiskav na podrocju varstva osebnih podatkov s ciljem prepoznave dobrih praks in uvedbe visokih standardov varstva osebnih podatkov v izbranih sektorjih v vseh državah v regiji.    Predstojniki nadzornih organov so v okviru razprav soglašali, da ucinkovitega varstva osebnih podatkov ne more biti brez dobrega mednarodnega sodelovanja med razlicnimi nadzornimi organi. To lahko glede na skupne gospodarske in zgodovinske okvire pomembno obogati kakovost dela vsakega od nadzornih organov na tem obmocju. Predstojniki so podpisali deklaracijo o medsebojnem sodelovanju, s katero so se dogovorili za redna letna srecanja, katerih cilj bo izmenjava strokovnih stališc, izkušenj in dobrih praks pri soocanju z izzivi, ki jih predstavlja nadzor nad varstvom osebnih podatkov. 4.3. Mednarodno sodelovanje 4.3.1. Sodelovanje v mednarodnih delovnih telesih Informacijski pooblašcenec kot nacionalni nadzorni organ za varstvo osebnih podatkov sodeluje s pristojnimi organi za varstvo osebnih podatkov EU in Sveta Evrope. Sodelovanje na mednarodni ravni in sodelovanje pri zakonodajnih postopkih EU mu narekuje tudi Direktiva 95/46/ES. Informacijski pooblašcenec je leta 2017 na ravni EU aktivno sodeloval na plenarnih sestankih ter pri delu štirih izmed številnih podskupin Delovne skupine za varstvo podatkov iz 29. clena Direktive 95/46/ES (Article 29 Data Protection Working Party – WP29), poleg tega pa je sodeloval še v šestih delovnih telesih EU, ki se ukvarjajo z nadzorom nad izvajanjem varstva osebnih podatkov v okviru velikih informacijskih sistemov EU, in sicer: • v WP29 ter štirih njenih podskupinah (v podskupini Cooperation, Technology, E-government ter Future of Privacy), • v Skupnem nadzornem organu za Europol, ki se je z uveljavitvijo Uredbe o Europolu maja 2017 preoblikoval v Europolov Odbor za sodelovanje (za nadzor nad obdelavo osebnih podatkov v okviru Europola je po Uredbi o Europolu primarno pristojen Evropski nadzornik za varstvo osebnih podatkov (EDPS), ki pa je pri tem dolžan tesno sodelovati z nacionalnimi organi za varstvo osebnih podatkov), • v Skupnem nadzornem organu za carino, • na koordinacijskih sestankih EDPS in nacionalnih organov za varstvo osebnih podatkov za nadzor nad SIS II, • na koordinacijskih sestankih EDPS in nacionalnih organov za varstvo osebnih podatkov za nadzor nad CIS, • na koordinacijskih sestankih EDPS in nacionalnih organov za varstvo osebnih podatkov za nadzor nad VIS, • na koordinacijskih sestankih EDPS in nacionalnih organov za varstvo osebnih podatkov za nadzor nad Eurodac. WP29, ki Evropski komisiji daje strokovna mnenja s podrocja varstva osebnih podatkov, je bila leta 2017 osredotocena predvsem na priprave na uporabo Splošne uredbe o varstvu podatkov. Skupina je sodelovala tudi pri prvem pregledu delovanja t. i. Šcita zasebnosti EU–ZDA, ki skladno z dogovorom med Evropsko komisijo in ameriško vlado iz leta 2016 omogoca enostaven prenos osebnih podatkov iz EU certificiranim organizacijam v ZDA. WP29 je leta 2017 sprejela naslednje pomembne smernice in mnenja: • Smernice o pravici do prenosljivosti podatkov (WP 242), • Smernice o pooblašcenih osebah za varstvo osebnih podatkov (»DPO«) (WP 243), • Smernice o vodilnem nadzornem organu (WP 244), • Mnenje št. 01/2017 o predlogu Uredbe o zasebnosti in elektronskih komunikacijah (2002/58/ES) (WP 247), • Smernice o oceni ucinka na varstvo podatkov (DPIA) (WP 248), • Mnenje 2/2017 o obdelavi podatkov pri delu (WP 249), • Smernice o uradnem obvestilu nadzornemu organu o kršitvi varstva osebnih podatkov po Uredbi 2016/679 (WP 250), • Smernice o avtomatiziranem posameznem sprejemanju odlocitev in oblikovanju profilov za namene Uredbe 2016/679 (WP 251), • Mnenje št. 03/2017 o obdelavi osebnih podatkov v okviru sodelovalnih inteligentnih prometnih sistemov (C-ITS) (WP 252), • Smernice o uporabi in dolocanju upravnih glob za namene Uredbe 2016/679 (WP 253), • Delovni dokument o kriteriju skladnosti (WP 254), • Delovni dokument o zavezujocih poslovnih pravilih za obdelovalce osebnih podatkov (WP 256), • Delovni dokument o zavezujocih poslovnih pravilih za upravljavce osebnih podatkov (WP 257), • Mnenje o nekaterih kljucnih vprašanjih t. i. Direktive o kazenskem pregonu 2016/680 (WP 258), • Smernice o privolitvi po Uredbi 2016/679 (WP 259), • Smernice o transparentnosti v skladu z Uredbo 2016/679 (WP 260). V okviru WP29 je Informacijski pooblašcenec aktivno sodeloval predvsem v štirih njenih podskupinah, in sicer v podskupinah Cooperation, Technology, E-government ter Future of Privacy, delo v okviru ostalih podskupin WP29 pa je zaradi pomanjkanja resursov le spremljal. Informacijski pooblašcenec je tudi leta 2017 aktivno deloval v Mednarodni delovni skupini za varstvo osebnih podatkov v telekomunikacijah (IWGDPT – International Working Group on Data Protection in Telecommunications), v okviru katere se srecujejo predstavniki informacijskih pooblašcencev in organov za varstvo osebnih podatkov in zasebnosti s celega sveta. Delovna skupina je na zasedanjih v Washingtonu in Parizu sprejela štiri nove delovne dokumente, ki so pomemben znak konsenza glede dolocenih vprašanj varstva osebnih podatkov na mednarodni ravni, predvsem glede izzivov, ki jih prinašajo nove tehnologije. Delovni dokument o vprašanjih zasebnosti in varnosti pri delovanju platform za e-ucenje (https://www.datenschutz-berlin.de/pdf/publikationen/working-paper/2017/25042017_en_2.pdf) naslavlja izzive, ki jih prinaša IT-podprto ucenje. Obseg zbranih podatkov o ucecih je lahko neprimerno vecji, o njih je možno zbirati tudi zdravstvene podatke (npr. nagnjenost k disleksiji, napovedovanje ucnih težav ipd.), zato delovni dokument obravnava tovrstna tveganja ter podaja priporocila za šole, ponudnike platform, zakonodajalce in nadzorne organe za varstvo osebnih podatkov. Drugi delovni dokument pa predstavlja poziv k upoštevanju temeljnih demokraticnih nacel ter poziv k vpeljavi strožjih mehanizmov nadzora nad delovanjem obvešcevalnih služb. Delovni dokumenti IWGDPT pogosto predstavljajo pomemben prispevek k mednarodnim resolucijam o varstvu osebnih podatkov, kar velja tudi za ta delovni dokument. Na srecanju v Parizu sta bila sprejeta delovna dokumenta o nadgradnji strojne programske opreme (angl. firmware) ter o varovanju osebnih podatkov registrantov spletnih domen v t. i. whois direktoriju, ki ga vodi ICANN (International Corporation for Assigned Names and Numbers). Dokumenta bosta po pregledu javno objavljena na spletni strani delovne skupine (https://www.datenschutz-berlin.de/working-paper.html). V okviru Sveta Evrope je predstavnik Informacijskega pooblašcenca tudi leta 2017 sodeloval v Posvetovalnem odboru (T-PD) po Konvenciji Sveta Evrope o varstvu posameznikov glede na avtomatsko obdelavo osebnih podatkov (Konvencija št. 108). Odbor T-PD je junija in novembra na plenarnih zasedanjih obravnaval vprašanja procesa dokoncanja in sprejema posodobljene Konvencije št. 108, ki poteka od zacetka leta 2011, ter stanje pridruževanja držav h Konvenciji 108 in k dodatnemu protokolu. Kot vsako leto je Odbor obravnaval porocila o mednarodnem in globalnem sodelovanju Sveta Evrope v zvezi z varstvom osebnih podatkov in porocila nadzornih organov za varstvo osebnih podatkov iz držav clanic Sveta Evrope o novostih in dosežkih na tem podrocju ter še posebej informacije o obeležitvi dneva varstva osebnih podatkov. Odbor je leta 2017 aktivno pripravljal Priporocilo glede zašcite zdravstvenih podatkov in Vodic glede uporabe osebnih podatkov v policijskem sektorju ter sodeloval z drugimi odbori pri pripravi Smernic glede varovanja zasebnosti v medijih. Pripravljati je zacel novo porocilo o umetni inteligenci. 4.3.2. Ostale mednarodne dejavnosti Leta 2017 je Informacijski pooblašcenec dal pobudo za Initiative 20i7 z namenom združiti moci nadzornih organov za varstvo osebnih podatkov z obmocja nekdanje Jugoslavije, saj se ti soocajo s podobnimi strokovnimi vprašanji in izzivi. Tudi številna podjetja in organizacije javnega sektorja v regiji cezmejno zbirajo in izmenjujejo osebne podatke, zato je zagotavljanje ustrezne in cim bolj enotne ravni varstva osebnih podatkov pomembno z gospodarskega vidika. Cilj Iniciative 20i7 je tesno sodelovanje in izmenjava dobrih praks na podrocju varstva osebnih podatkov v regiji, ki lahko kot pobuda na podrocju varstva clovekovih pravic dodatno prispeva h krepitvi dobrih odnosov med državami. Na prvem srecanju Iniciative 20i7, ki je maja potekalo na Bledu, so predstojniki nadzornih organov za varstvo osebnih podatkov iz Hrvaške, Srbije, Bosne in Hercegovine, Crne gore, Kosova, Makedonije in Slovenije razpravljali o implementaciji novih evropskih standardov varstva osebnih podatkov, varstvu osebnih podatkov v telekomunikacijskem sektorju in ucinkovitem nadzoru varstva osebnih podatkov v sektorju organov pregona. Udeleženci so se strinjali, da bo lahko ena od oblik sodelovanja izvedba regionalnih preventivnih preiskav na podrocju varstva osebnih podatkov s ciljem prepoznave dobrih praks in uvedbe visokih standardov varstva osebnih podatkov v izbranih sektorjih v vseh državah v regiji. Predstojniki so podpisali deklaracijo o medsebojnem sodelovanju, s katero so se dogovorili za redna letna srecanja, katerih cilj bo izmenjava strokovnih stališc, izkušenj in dobrih praks pri soocanju z izzivi ob nadzoru nad varstvom osebnih podatkov. Informacijski pooblašcenec je leta 2017 gostil predstavnike sorodnih institucij iz Turcije in Makedonije ter jim predstavil svoje delovanje in dobre prakse s podrocij, za katera je pristojen. Informacijski pooblašcenec je leta 2017 pripravil odgovore na 98 vprašanj in vprašalnikov tujih organov za varstvo osebnih podatkov, mednarodnih organizacij, akademskih in raziskovalnih inštitucij ter tujih nevladnih organizacij. Na podlagi 60. clena Sklepa Sveta 2007/533/PNZ o vzpostavitvi, delovanju in uporabi druge generacije schengenskega informacijskega sistema ter 44. clena Uredbe (ES) št. 1987/2006 Evropskega parlamenta in Sveta o vzpostavitvi, delovanju in uporabi druge generacije schengenskega informacijskega sistema (SIS II) je Informacijski pooblašcenec pristojen za neodvisni nadzor nad zakonitostjo obdelave osebnih podatkov v SIS II na svojem ozemlju in pri prenosu s svojega ozemlja. Leta 2017 Informacijski pooblašcenec ni prejel nobene pritožbe zaradi nezakonite obdelave osebnih podatkov iz SIS II kot tudi ne zaradi neizvajanja oziroma neustreznega izvajanja pravice do seznanitve z lastnimi osebnimi podatki iz SIS II. Predstavnica Informacijskega pooblašcenca je kot državna strokovnjakinja sodelovala pri izvedbi Schengenske evalvacije Švedske na podrocju varstva podatkov. 4.3.3. Sodelovanje na mednarodnih srecanjih Leta 2017 so se zaposleni pri Informacijskem pooblašcencu poleg sestankov v okviru mednarodnih dejavnosti (delovne skupine EU, projekti) udeležili tudi naslednjih mednarodnih konferenc: • 22.–24. februar, Berlin, Nemcija: European Information Commissioners and Ombudsmen meeting, • 23. marec, Bruselj, Belgija: CPC/Data Protection Workshop, • 23.–26. marec, Strasbourg, Francija: Konferenca »Promoting dialogue between the European Court of Human Rights and the media freedom community«, • 4.–6. april, Bruselj, Belgija: FabLab, • 19.–21. junij, Manchester, Velika Britanija: 29th European Case Handling Workshop, • 6.–8. september, Tartu, Estonija: Konferenca »E-Volution of Data Protection«, • 10.–15. september, Trier, Nemcija: European Data Protection Law: ERA Summer Course, • 19.–21. september, Manchester, Velika Britanija: ICIC Manchester 2017, • 23. september–1. oktober, Hongkong: 39th International Conference of Data Protection and Privacy Commissioners (the 39th ICDPPC), • 23. oktober, Bruselj, Belgija: Stakeholder workshop on GDPR implementation and health data, • 6.–8. december, Podgorica, Crna gora: Konferenca »Anti coruption week – Free Access to Information«, • 11. december, Bruselj, Belgija: Meeting Taskforce 11/12. 4.3.4. Projekti Informacijskega pooblašcenca 4.3.4.1. Projekt CRISP Informacijski pooblašcenec je med letoma 2014 in 2017 sodeloval v konzorciju EU FP7 projekta CRISP (https://cordis.europa.eu/project/rcn/185503_en.html), katerega namen je bil postaviti temelje za razvoj sheme za evalvacijo in certificiranje varnostnih sistemov, kot so (pametni) videonadzorni sistemi, varnostne informacijske rešitve, biometrijske rešitve, telesni skenerji itd. V okviru projekta je bila razvita inovativna metodologija za evalvacijo varnostnih sistemov: poleg varnosti sistema sta s pomocjo te metodologije ocenjeni tudi dimenziji zaupanja in ucinkovitosti, pa tudi vpliv sistema na morebitne kršitve clovekovih pravic s posebnim poudarkom na varstvu osebnih podatkov in to, kako sistem prispeva k skladnosti z novo Splošno uredbo o varstvu podatkov (t. i. STEFi dimenzije). Slika 17: Shematski prikaz dimenzij STEFi za evalvacijo varnostnih sistemov Projekt se je uspešno zakljucil aprila 2017. V zadnjem letu projekta je Informacijski pooblašcenec vodil delo celotnega konzorcija kot vodja Delovnega paketa 7. Pri tem so bile opravljene naslednje aktivnosti: • Izvajale so se aktivnosti za dvigovanje zaupanja v predlagano rešitev za evalvacijo, in sicer s pripravo informacijskega gradiva, organizacijo dogodkov, sestankov in predstavitev projekta za razlicne deležnike (proizvajalce in uporabnike varnostnih sistemov, potrošniške organizacije, regulatorje na ravni držav clanic EU in na EU-ravni ter nadzorne organe za varstvo osebnih podatkov). • Pred evropskim standardizacijskim telesom CEN je bil izveden postopek standardizacije pristopa evalvacije na podlagi STEFi dimenzij v obliki dokumenta CEN Workshop Agreement (CWA); to je dokument dobre prakse, ki ga potrdijo organizacije, ki se formalno registrirajo v postopek sprejema, in velja tri leta z možnostjo podaljšanja. Dokument CRISP CWA »Guidelines for the evaluation of installed security systems, based on STEFi criteria« opredeljuje metodologijo za evalvacijo in navaja primere meril, ki temeljijo na posamezni dimenziji STEFi, med drugim tudi merila, ki zagotavljajo skladnost z dolocbami nove Splošne uredbe o varstvu podatkov. CRISP CWA predstavlja najpomembnejši prispevek projekta CRISP; marca 2017 ga je potrdilo evropsko standardizacijsko telo CEN in takrat je bil tudi objavljen na ftp://ftp.cencenelec.eu/EN/ResearchInnovation/CWA/CWA1714700.pdf. • Informacijski pooblašcenec je vse dejavnosti, izvedene v okviru Delovnega paketa 7, predstavil v podrobnem porocilu za Evropsko komisijo, ki je dostopno na povezavi http://crispproject.eu/wp-content/uploads/2017/05/CRISP_D7.1_Consolidated-WP7-report.pdf. V konzorciju projekta CRISP so sodelovali: koordinator Netherlands Standardization Institute (Nizozemska), Trilateral Research & Consulting (Velika Britanija), Technische Universität Berlin (Nemcija), Vienna Centre for Societal Security (Avstrija), Vrije Universiteit Brussel (Belgija), University Jaume I of Castellón (Španija) in Informacijski pooblašcenec. Projekt je bil sofinanciran s strani Sedmega okvirnega programa Evropske skupnosti za raziskave, tehnološki razvoj in predstavitvene dejavnosti (številka dogovora 607941). UVOD VIR: Jože Suhadolnik - Delo, d.d. KAZALO KAZALO LETO 2017 V ŠTEVILKAH 1.459.747 EUR PRORACUN 32 ZAPOSLENIH ZA NEDOLOCEN CAS INFORMACIJE JAVNEGA ZNACAJA VARSTVO OSEBNIH PODATKOV 522 VLOŽENIH PRITOŽB 655 INŠPEKCIJSKIH POSTOPKOV 316 IZDANIH ODLOCB 105 PREKRŠKOVNIH POSTOPKOV 201 POZIV ZARADI MOLKA 1289 PISNIH MNENJ 61 IN CAMERA OGLEDOV 324 PISNIH PROŠENJ ZA POJASNILA 1998 USTNIH MNENJ OSTALO 2 SMERNIC 100+ BREZPLACNIH PREDAVANJ ZAVEZANCEM SODELOVANJE PRI PRIPRAVI 100+ PREDPISOV O INFORMACIJSKEM POOBLAŠCENCU 1 DELO NA PODROCJU DOSTOPA DO INFORMACIJ JAVNEGA ZNACAJA 3 2 3 DELO NA PODROCJU VARSTVA OSEBNIH PODATKOV 4 DRUGE DEJAVNOSTI INFORMACIJSKEGA POOBLAŠCENCA Odgovorna urednica: Mojca Prelesnik, informacijska pooblašcenka Avtorji besedil: dr. Monika Benkovic Krašovec, državna nadzornica za varstvo osebnih podatkov Jože Bogataj, namestnik informacijske pooblašcenke, vodja državnih nadzornikov za varstvo osebnih podatkov Jasna Duralija, svetovalka Alenka Jerše, namestnica informacijske pooblašcenke mag. Eva Kalan Logar, državna nadzornica za varstvo osebnih podatkov mag. Kristina Kotnik Šumah, namestnica informacijske pooblašcenke mag. Andrej Tomšic, namestnik informacijske pooblašcenke Oblikovanje: Anže Novak in Bons, d. o. o. Lektorirala: Katja Klopcic Lavrencic Informacijski pooblašcenec Republike Slovenije Zaloška cesta 59 1000 Ljubljana www.ip-rs.si gp.ip@ip-rs.si Ljubljana, maj 2018