UVODNA BESEDA INFORMACIJSKE POOBLAŠCENKE
Spoštovani,
leta 2020 so delo Informacijskega pooblašcenca na obeh podrocjih zaznamovale posledice epidemije, ki je v Sloveniji in Evropski uniji mocno zarezala tudi v temeljne pravice posameznikov. Ukrepi, povezani z epidemijo covid-19, so na podrocju obeh pravic prinesli številne izzive, ki si jih pred tem nismo niti predstavljali. Tako v Sloveniji kot širše družbena dogajanja v letu 2020 kažejo, kako krhko je ravnovesje med razlicnimi temeljnimi pravicami in kako zlahka nekatere pravice zdrsnejo povsem v ozadje. V takih trenutkih je od ucinkovitosti varstva posameznih pravic odvisno, kam se družba obrne. Vsaka posamezna institucija mora dosledno uresnicevati Ustavo RS tudi v praksi.
Skrbi in izzivi, glede katerih so se posamezniki in organizacije obracali na Informacijskega pooblašcenca v letu 2020, so bili raznoliki, a vsi odraz razmer, v katerih živimo. Poleg neposredne pomoci zdravstvene stroke in ukrepov na podrocju zdravja so države kot eno temeljnih orodij za ucinkovito obvladovanje epidemije prepoznale razlicne oblike obdelave osebnih podatkov s pomocjo najrazlicnejših aplikacij in tehnologij. Neredko se je zdelo, da pri tem cilj opravicuje sredstva in da bi lahko varstvo podatkov doživelo dramaticen korak nazaj. Zato smo Svetovna skupšcina za zasebnost, Evropski odbor za varstvo podatkov ter državni nadzorni organi za varstvo podatkov opozarjali, da morajo biti aplikacije, ukrepi in drugi nacini obdelave osebnih podatkov za ucinkovito obvladovanje epidemije sorazmerni ter v skladu s temeljnimi naceli varstva zasebnosti.
V letu 2020 se je v praksi pokazalo, kako bistvena sta transparentna javna uprava in ucinkovit dostop do informacij javnega znacaja v casih, ko so temeljne pravice drasticno omejene. To potrjuje vnovicna rast števila pritožb v zvezi z zahtevami za dostop do informacij javnega znacaja, Informacijski pooblašcenec pa je prejel tudi bistveno vec zaprosil za mnenja oz. pojasnila s tega podrocja. Informacijski pooblašcenec je zaznal zlasti povecanje števila primerov, v katerih so prosilci zahtevali informacije, ki se nanašajo na podrocje javnega zdravja ter s tem povezano porabo javnega denarja.
Analiza dela Informacijskega pooblašcenca v letu 2020 kaže, da na podrocju dostopa do informacij javnega znacaja med izzivi zlasti izstopa trend rasti pritožb zoper državne organe (delež teh pritožb znaša kar 43 %). Podobno kot v letu 2019 je Informacijski pooblašcenec tudi v letu 2020 zaznal številne postopkovne kršitve, ki kažejo na to, da zavezanci pri obravnavi zahtev ne namenijo dovolj pozornosti postopkovnim vprašanjem, posledica pa je nepopolno oz. napacno ugotovljeno dejansko stanje. 
Na podrocju varstva osebnih podatkov in zasebnosti smo bili tudi v letu 2020 prica bistvenemu povecanju števila prijav in števila pritožb v zvezi z uveljavljanjem pravic posameznikov. Hkrati so tudi leto 2020 zaznamovali precejšnji izzivi, ker Slovenija kot edina država v Evropski uniji dve leti po zacetku uporabe Splošne uredbe še ni sprejela nacionalnih predpisov za njeno uporabo. Na to je v svoji resoluciji ob drugi obletnici zacetka uporabe Splošne uredbe opozoril tudi Evropski parlament, že vec kot tri leta pa na to opozarja tudi Informacijski pooblašcenec. Novembra 2020 je bil vendarle sprejet Zakon o varstvu osebnih podatkov na podrocju obravnavanja kaznivih dejanj za prenos Direktive za organe kazenskega pregona.
Na podrocju dostopa do informacij javnega znacaja je bilo sicer število pritožbenih zadev v letu 2020 za 4,6 % višje kot leta 2019 (leta 2020 je bilo vloženih 565 pritožbenih zadev). Med pritožbami zaradi molka organa znova izstopajo organi državne uprave (ministrstva in organi v sestavi), zoper katere je bilo vloženih najvec pritožb zaradi molka (39 %). Gre za zavezance, ki bi morali biti sposobni vse zahteve obravnavati pravocasno (v roku 20 delovnih dni). Zmanjšalo pa se je število pritožb zaradi molka obcinskih organov. Informacijski pooblašcenec je vodil 14 postopkov zoper poslovne subjekte pod prevladujocim vplivom, kar predstavlja le 2,6 % vseh pritožbenih zadev. 
Visok delež pritožb zaradi molka v skupnem deležu vseh pritožb (43 %), ki se z leti ne zmanjšuje, na kar Informacijski pooblašcenec opozarja že nekaj let, kaže, da bo v prihodnje treba vec napora vložiti v promocijo zakona in aktivnejše usposabljanje zavezancev za njegovo uporabo v praksi, kar je primarno naloga Ministrstva za javno upravo. Informacijski pooblašcenec kot pritožbeni organ lahko organom svetuje le neformalno, na podlagi primerov iz prakse. Leta 2020 je podal 413 pisnih odgovorov na zaprosila zavezancev, primere iz prakse pa je redno objavljal na svoji spletni strani.
Na podrocju varstva osebnih podatkov je Informacijski pooblašcenec leta 2020 obravnaval 1018 prijav oz. pobud za uvedbo inšpekcijskega postopka, kar je najvec doslej. Poleg tega je prejel 226 pritožb posameznikov v zvezi s kršitvami pravice do seznanitve z lastnimi osebnimi podatki, pravice do seznanitve z lastno zdravstveno dokumentacijo in pravice do seznanitve z zdravstveno dokumentacijo s strani drugih upravicenih oseb. Na mednarodni ravni je Informacijski pooblašcenec izvedel 200 postopkov cezmejnega sodelovanja po clenih 60 in 61 Splošne uredbe, v zvezi z upravljavci, ki izvajajo cezmejno obdelavo osebnih podatkov, pri cemer se je v 104 postopkih opredelil za zadevni nadzorni organ (po clenu 56 Splošne uredbe). 22 postopkov cezmejnega sodelovanja je Informacijski pooblašcenec sprožil na podlagi prejete prijave oz. pritožbe. Informacijski pooblašcenec je v letu 2020 prejel tudi pet obvestil o kršitvah podatkov o pacientih na podlagi 46. clena Zakona o pacientovih pravicah ter 120 uradnih obvestil o kršitvi varnosti osebnih podatkov na podlagi 33. clena Splošne uredbe. Prijave, ki jih je v obravnavanem obdobju prejel in obravnaval Informacijski pooblašcenec, so bile vložene iz podobnih razlogov kot v preteklih letih; med razlogi so bili posredovanje osebnih podatkov neupravicenim osebam, uporaba osebnih podatkov za namene neposrednega trženja, izvajanje videonadzora, nezakonito ali prekomerno zbiranje osebnih podatkov, uporaba osebnih podatkov za namene, ki so v nasprotju z namenom njihovega zbiranja, nezakoniti vpogledi v zbirke osebnih podatkov ter neustrezno zagotavljanje varnosti osebnih podatkov. Pri obravnavi prijav ter izvajanju preventivnih inšpekcijskih nadzorov Informacijski pooblašcenec ugotavlja, da so ugotovljene nepravilnosti ali pomanjkljivosti v veliki meri še vedno posledica nepoznavanja oz. nerazumevanja zakonodaje, kar pa gre pripisati tudi dejstvu, da nov Zakon o varstvu osebnih podatkov (ZVOP-2), ki bi jasneje dolocil posamezna pravila v zvezi z izvajanjem Splošne uredbe, še vedno ni sprejet.
Informacijski pooblašcenec v svojih postopkih vedno znova ugotavlja, da vecina zavezancev želi delovati skladno z zakoni, a zavezanci potrebujejo pomoc in jasna navodila. To se je v casu epidemije izkazalo zlasti na podrocju delovnih razmerij in izobraževanja. V casu epidemije je postalo jasno, kako bistveni so jasni predpisi in razumljiva opredelitev obveznosti zavezancev in posameznikov. Do hudih težav in stisk je prihajalo prav zaradi nejasnih navodil, zaradi cesar posameznih uradnih odlocitev ni bilo mogoce izvajati v praksi. Posebne okolišcine, ki so zaznamovale leto 2020, so vplivale tudi na podrocje skladnosti in preventive. Ne glede na to je Informacijski pooblašcenec tudi na tem podrocju varstva podatkov v letu 2020 nadaljeval okrepljeno delovanje: svetoval je 3.183 posameznikom in pravnim osebam, in sicer je izdal 1.331 pisnih mnenj ter odgovoril na 1.852 telefonskih klicev. Informacijski pooblašcenec uspešno kandidira na razpisih Evropske komisije za projekte iz programa REC (Rights, Equality and Citizenship Programme); cilj je prav dodatna krepitev vseh omenjenih aktivnosti. V letu 2020 je Informacijski pooblašcenec na svoji spletni strani zasnoval posebno podstran, na kateri je objavljal mnenja, stališca in priporocila, ki se nanašajo na varstvo osebnih podatkov v casu epidemije. 
Glede drugih mehanizmov Splošne uredbe velja poudariti, da je Slovenija druga država, ki je uspešno pripravila standardne pogodbene klavzule za ureditev pogodbene obdelave osebnih podatkov skladno s clenom 28 Splošne uredbe, ki jih je potrdil Evropski odbor za varstvo osebnih podatkov. Na voljo so na spletni strani Informacijskega pooblašcenca.
Številni nepricakovani izzivi in iz teh izhajajoce izkušnje v letu 2020 so tudi na ravni Evropske unije (EU) in pri sodelovanju v okviru Evropskega odbora za varstvo podatkov (EOVP) pokazali, kako pomembna sta sodelovanje nadzornih organov in hitro izvajanje cezmejnih postopkov, hkrati pa se je ob tem razkrilo veliko razlik v nacionalnih procesnih pravilih v državah clanicah EU. Tudi to je eden od razlogov za izzive na podrocju nadzora, na kar je v svoji resoluciji opozoril tudi Evropski parlament. Sodišce EU pa je s sodbo v primeru Schrems II, s katero je razveljavilo odlocitev Evropske komisije o ustreznosti varstva podatkov v okviru zasebnostnega šcita, ki je subjektom iz EU omogocal prenos podatkov iz EU v ZDA, jasno sporocilo, da visoki standardi varstva osebnih podatkov ostajajo v središcu pozornosti EU kot tudi v mednarodnih odnosih EU z drugimi državami.  
Svet se je v letu 2020 nepovratno spremenil in cakajo nas izjemni izzivi. Ti terjajo odlocno ukrepanje vseh pristojnih organov za ucinkovito zavarovanje vseh temeljnih pravic, ki so zapisane v naši Ustavi in že vec kot 70 let v Evropski konvenciji clovekovih pravic. Veliko je razlogov za skrbi, ni pa razloga za malodušje. Leto 2020 je pokazalo tudi to, da smo ljudje povezani in da znamo zahtevati svoje pravice.
Informacijski pooblašcenec si bo z dobro ekipo strokovnjakov, konstruktivnim sodelovanjem z vsemi deležniki in odprtostjo do posameznikov ter organizacij tudi v letu 2021 prizadeval zavarovati obe pravici, ki sta mu zaupani.
Mojca Prelesnik, informacijska pooblašcenka


STRNJEN PREGLED LETA 2020
DOSTOP DO INFORMACIJ JAVNEGA ZNACAJA
Informacijski pooblašcenec ugotavlja, da je na podrocju dostopa do informacij javnega znacaja skupno število pritožbenih zadev v letu 2020 naraslo na 565 pritožb (v letu 2019 je obravnaval 540 pritožb). To kaže, da so posamezniki aktivno uveljavljali svoje pravice kljub sprejetju interventnega Zakona o zacasnih ukrepih v zvezi s sodnimi, upravnimi in drugimi javnopravnimi zadevami za obvladovanje širjenja nalezljive bolezni SARS-CoV-2 (covid-19), s katerim so se spomladi za dva meseca prekinili vsi roki v nenujnih upravnih postopkih.
Informacijski pooblašcenec je v letu 2020 glede na epidemiološko situacijo zaznal povecanje števila primerov, ki se nanašajo na zahteve po informacijah s podrocja javnega zdravja in s tem povezano porabo javnega denarja. Gre za informacije, ki so pogosto v širšem javnem interesu, zato Informacijski pooblašcenec zavezance poziva, da pri odlocanju o teh zahtevah postopajo hitro in pri presoji upoštevajo drugi odstavek 
6. clena Zakona o dostopu do informacij javnega znacaja (ZDIJZ), ki ureja test javnega interesa.
Skupno število pritožb zaradi molka (231) je bilo v letu 2020 na primerljivi ravni kot v letu 2019 (235). Razveseljivo je, da se je po vec letih rasti zmanjšalo število pritožb zoper molk obcin (teh pritožb je bilo v letu 2020 56), skrb vzbujajoca pa je ugotovitev, da hkrati raste skupno število pritožb zoper državne organe (245 pritožb, od tega 91 pritožb zoper molk). Informacijski pooblašcenec je v letu 2020 zaznal tudi povecano število pritožb zoper pravosodne organe (sodišca in državna tožilstva), kar gre pripisati sodbi Vrhovnega sodišca RS, da se za dostop do informacij iz sodnih spisov uporabljajo (le) dolocbe procesnih zakonov. Zaznati je bilo razlicno prakso posameznih sodišc in tožilstev v zvezi s procesno obravnavo zahtev po ZDIJZ in ZMed, kar je vodilo v neenako obravnavo prosilcev. Omenjena problematika je bila delno urejena s sprejemom zadnje novele Zakona o kazenskem postopku.
Informacijski pooblašcenec je v letu 2020 prejel kar 30 % vec zaprosil za mnenja oz. pojasnila s podrocja dostopa do informacij javnega znacaja (413) v primerjavi v letom 2019. Informacijski pooblašcenec na podrocju dostopa do informacij javnega znacaja kot pritožbeni organ zavezancem in javnosti lahko svetuje le neformalno, na podlagi lastne prakse. Primere iz svoje prakse zato redno objavlja na svoji spletni strani. 
Informacijski pooblašcenec na podlagi analize konkretnih primerov ugotavlja, da so primeri, s katerimi se srecujejo zavezanci, vsebinsko in procesno vse bolj kompleksni ter terjajo poglobljeno poznavanje tako podrocja dela organa kot tudi dobro poznavanje pravil upravnega postopka. Hkrati pa Informacijski pooblašcenec opaža, da zavezanci premalo pozornosti posvecajo postopkovnim vprašanjem in ugotavljanju dejanskega stanja v zadevah. Skrb vzbujajoc je znova tudi visok delež pritožb zaradi molka v skupnem deležu vseh pritožb (43 %). 
Vse to kaže, da bo resorno Ministrstvo za javno upravo moralo aktivneje pristopiti k usposabljanju zavezancev za uporabo ZDIJZ, k cemur je ministrstvo pozval tudi Informacijski pooblašcenec. Prav tako bi moralo ministrstvo v prihodnje vec napora vložiti v promocijo zakona. Informacijski pooblašcenec zavezance v zvezi s tem poziva, da za izvajanje nalog, ki jih predvideva ZDIJZ, dolocijo uradno osebo z dobrim poznavanjem strokovnega podrocja dela organa in hkrati ustreznimi postopkovnimi znanji s podrocja dostopa do informacij javnega znacaja in upravnega postopka. Pri obravnavi zadev morajo zavezanci ustrezno prouciti vse procesne vidike zadeve, kar omogoca popolno in pravilno ugotovitev dejanskega stanja, pri cemer so zavrnitve zaradi zlorabe pravic s strani prosilca dopustne zgolj kot izjema in morajo biti te dolocbe ZDIJZ uporabljene vedno restriktivno, medtem ko je dokazno breme v celoti na zavezancu.
V letu 2020 je Informacijski pooblašcenec vodil 14 pritožbenih postopkov zoper poslovne subjekte pod prevladujocim vplivom, kar predstavlja le 2,6 % vseh pritožbenih zadev. Informacijski pooblašcenec ugotavlja, da število teh pritožb že vsa leta ostaja nizko. 
V letu 2020 Informacijski pooblašcenec zaradi kršitev ZDIJZ ni uvedel nobenega postopka s prekrški, je pa v zadevi pod opr. št. 090-112/2015 zoper Ekonomsko fakulteto v Ljubljani uvedel postopek izvršbe s prisilitvijo, ker zavezanec prosilki še vedno ni posredoval informacij javnega znacaja, kot mu je bilo naloženo.
VARSTVO OSEBNIH PODATKOV
Informacijski pooblašcenec se je v letu 2020 na podrocju varstva osebnih podatkov znova soocal s številnimi težavami in izzivi zaradi pravne neurejenosti podrocja v Republiki Sloveniji. Še vedno namrec ni bil sprejet nov Zakon o varstvu osebnih podatkov (ZVOP-2) za uporabo Splošne uredbe o varstvu podatkov, Zakon o varstvu osebnih podatkov na podrocju obravnavanja kaznivih dejanj (ZVOPOKD), s katerim se v slovenski pravni red prenaša Direktiva (EU) 2016/680 (t. i. Direktiva za organe kazenskega pregona), pa je bil sprejet šele konec leta 2020 in je zacel veljati z 31. 12. 2020. Vse to je povzrocilo precej odprtih vprašanj tako upravljavcev in obdelovalcev osebnih podatkov kot tudi Informacijskega pooblašcenca.
Nesprejetje novega ZVOP-2 je izrazito negativno vplivalo na vodenje prekrškovnih postopkov in izrekanje glob za ugotovljene kršitve. Informacijski pooblašcenec namrec zaradi odsotnosti ZVOP-2 v letu 2020 v primeru ugotovljenih kršitev dolocb Splošne uredbe zavezancem ni mogel izrekati sankcij za kršitve. Usklajenost nacionalnih dolocb in izrecenih sankcij s Splošno uredbo je še posebej pomembna z vidika usklajevanja praks v državah clanicah EU, v katerih se uporablja Splošna uredba, ter z vidika sodelovanja Informacijskega pooblašcenca v Evropskem odboru za varstvo osebnih podatkov. Izrecene globe glede podobnih prekrškov v podobnih okolišcinah v razlicnih državah ne bi smele odstopati, kar še zlasti velja v primerih cezmejnega sodelovanja pri inšpekcijskem nadzoru.
Trend povecanega števila prijav, kršitev varstva osebnih podatkov in pritožb v zvezi z uveljavljanjem pravic posameznikov se je nadaljeval tudi v letu 2020. Informacijski pooblašcenec je prejel 1018 prijav oz. pobud za uvedbo inšpekcijskega postopka, kar je najvec doslej. Poleg omenjenih prijav je Informacijski pooblašcenec v letu 2020 prejel še pet primerov prijav nedovoljenega sporocanja ali druge nedovoljene obdelave osebnih podatkov o pacientih na podlagi 46. clena Zakona o pacientovih pravicah (ZPacP), 12 pritožb zoper odlocitev upravljavca po 41. clenu ZPacP, sedem pritožb zoper odlocitev upravljavca po 42. clenu ZPacP,  36 pritožb zaradi kršitev upravljavca po 30. clenu ZVOP-1, 171 pritožb posameznikov zaradi kršitev pravice do vpogleda v lastne osebne podatke po clenu 15 Splošne uredbe in odlocitve upravljavca v zvezi s tem (od tega je bilo 82 pritožb vloženih zaradi molka upravljavca), pet pritožb zaradi kršitve pravice do popravka osebnih podatkov po clenu 16 Splošne uredbe, 11 pritožb zaradi kršitve pravice do izbrisa osebnih podatkov po clenu 17 Splošne uredbe ter eno pritožbo zaradi kršitve pravice do omejitve obdelave osebnih podatkov po clenu 18 Splošne uredbe. Vse to kaže, da se posamezniki vse bolj zavedajo svojih pravic.
Informacijski pooblašcenec je v letu 2020 prejel tudi 120 uradnih obvestil o kršitvi varnosti osebnih podatkov na podlagi clena 33 Splošne uredbe. Obvestila o kršitvi varnosti osebnih podatkov Informacijskemu pooblašcencu so se najpogosteje nanašala na posredovanje osebnih podatkov nepooblašcenim ali napacnim osebam, nepooblašceno dostopanje do osebnih podatkov zaradi programske napake ali zlorabe pooblastil s strani zaposlenih, napade na informacijski sistem z izsiljevalskim virusom in kriptiranjem podatkov, objave osebnih podatkov strank upravnega postopka ter izgube ali kraje nosilcev osebnih podatkov (npr. osebnih racunalnikov in USB-kljuckov). Obcutno se je povecalo število napadov na informacijski sistem z izsiljevalskim virusom in kriptiranjem podatkov, kar je upravljavcem osebnih podatkov, ki niso izvajali ustreznih tehnicnih in organizacijskih ukrepov za zagotavljanje varnosti obdelave osebnih podatkov, povzrocilo velike stroške in težave.
Prijave, ki jih je prejel in obravnaval Informacijski pooblašcenec, so bile vložene iz podobnih razlogov kot v preteklih letih, številnim prijavam pa so tudi v letu 2020 botrovale pomanjkljive informacije, posameznikom podane s strani upravljavcev, ki osebne podatke zbirajo. Ti namrec posamezniku pogosto še vedno ne zagotovijo preglednih, razumljivih in lahko dostopnih informacij o obdelavi, kot jim nalagata clena 12 in 13 Splošne uredbe.
Leto 2020 je zaznamovalo tudi vecje število prijav in zaprosil za mnenja, prejetih v zvezi z varstvom osebnih podatkov v casu epidemije (covid-19). Informacijski pooblašcenec je zato na svoji spletni strani pripravil posebno podstran na to temo. Informacijski pooblašcenec je v letu 2020 svetoval 3.183 posameznikom in pravnim osebam, ki so se nanj obrnili z vprašanji s podrocja varstva osebnih podatkov: izdal je
1.331 pisnih mnenj in napotitev na mnenja, državni nadzorniki pa so pri telefonskem svetovanju sprejeli 
1.852 klicev. Ne glede na posebne okolišcine je Informacijski pooblašcenec v letu 2020 izvedel 34 brezplacnih predavanj za zavezance, vecino z uporabo spletnih orodij. Uspešno je izvajal tudi projekt iDECIDE, ki ga financira Evropska unija, namenjen pa je ozavešcanju treh ciljnih populacij: mladoletnikov, starejše populacije in delovne populacije. Posebno pozornost je Informacijski pooblašcenec posvecal pooblašcenim osebam za varstvo osebnih podatkov, saj so prav ti multiplikatorji v skrbi za varstvo podatkov znotraj svojih organizacij. Pooblašceno osebo je že imenovalo vec kot 2300 zavezancev, nekaj sto pa jih po oceni Informacijskega pooblašcenca te obveznosti še ni izpolnilo. 
Zamujanje s sprejemom ZVOP-2 se kaže tudi na podrocju preventive in skladnosti, saj zavezanci posledicno – dokler ne bodo jasno opredeljeni pogoji v ZVOP-2 – ne morejo uporabiti certifikacije po Splošni uredbi. Med pomembnejšimi dosežki v letu 2020 na tem podrocju pa velja poudariti, da je Slovenija kot druga država uspešno pripravila standardne pogodbene klavzule za ureditev pogodbene obdelave osebnih podatkov skladno s clenom 28 Splošne uredbe. Gre za vzorcno pogodbo, ki jo lahko uporabijo upravljavci podatkov za najem storitev pogodbenih obdelovalcev in jo je potrdil Evropski odbor za varstvo podatkov.
Zavedanje pomena varstva osebnih podatkov in zasebnosti v družbi je po izkušnjah Informacijskega pooblašcenca kljub izzivom leta 2020 med splošnim prebivalstvom ostalo na visoki ravni, s precej vecjo zaskrbljenostjo pa Informacijski pooblašcenec spremlja upoštevanje teh temeljnih clovekovih pravic pri odlocevalcih. Leta 2020 je Informacijski pooblašcenec izdal 85 mnenj na predloge sprememb predpisov. Pri tem je opazil tudi skrb vzbujajoc trend nesistemskega urejanja nekaterih resnih posegov v zasebnost ter poskusov zniževanja že dosežene ravni varstva osebnih podatkov. To se je kazalo tudi v primeru nejasnih ali odsotnih navodil zavezancem za izvajanje ukrepov v zvezi z epidemijo. Zlasti izrazito se je to pokazalo na podrocju šolanja in izobraževanja ter v delovnih okoljih, kar je vodilo v pretirane posege in stiske tako pri posameznikih kot tudi v šolah, podjetjih in drugih organizacijah. V zvezi z uvajanjem mobilne aplikacije za sledenje stikom so bila opozorila Informacijskega pooblašcenca vecinoma preslišana in ocenjujemo, da je prav zaradi neustreznega komuniciranja, vztrajanja pri obvezni uporabi aplikacije in drugih nejasnostih prišlo do padca zaupanja v takšno rešitev. Na drugi strani se kažejo primeri dobrih praks, na primer uvajanje e-vinjet, pri katerem je predlagatelj pravocasno pridobil stališca Informacijskega pooblašcenca in jih vgradil v dolocbe zakonodaje.
Splošna uredba je prinesla pomembne novosti glede sodelovanja nadzornih organov za varstvo osebnih podatkov v državah clanicah EU in EGS (Islandija, Norveška in Lihtenštajn) pri cezmejnih primerih. Med drugim je omogocila in formalizirala postopek sodelovanja po nacelu »vse na enem mestu«, ki predvideva, da postopek nadzora v cezmejnem primeru obdelave osebnih podatkov vodi t. i. vodilni organ, ki pri tem sodeluje z drugimi organi za varstvo osebnih podatkov. Informacijski pooblašcenec je leta 2020 sodeloval v 123 postopkih medsebojne pomoci med nadzornimi organi po clenu 61 Splošne uredbe, na temelju postopkov dolocitve vodilnega in zadevnih nadzornih organov pa je Informacijski pooblašcenec v tem letu aktivno sodeloval v 77 postopkih cezmejnega sodelovanja pri inšpekcijskem nadzoru nad podjetji, ki poslujejo cezmejno. 22 postopkov cezmejnega sodelovanja je sprožil Informacijski pooblašcenec, in sicer na podlagi prejete prijave oz. pritožbe. Informacijski pooblašcenec je ob sodelovanju španskega nadzornega organa obravnaval tudi primer pilotnega projekta vkrcavanja potnikov z uporabo biometrije na ljubljanskem letališcu, ki ga je izvajala španska družba Amadeus; ugotovil je kršitve dolocb ZVOP-1 o biometriji.
Cezmejni primeri pa se niso nanašali le na storitve priljubljenih spletnih velikanov, ki so v veliki meri še v teku (vodilni organ je na Irskem), temvec tudi na neustrezna ravnanja z osebnimi podatki s strani raznolikih akterjev iz številnih držav clanic EU. Primeri spornih praks so vkljucevali pretirane zahteve po podatkih za identifikacijo strank, za namen izbrisa podatkov, neustrezno izvrševanje pravice do dostopa, posredovanje podatkov tretjim osebam. Pogosto so se primeri nanašali na kršitve varnosti osebnih podatkov; med prizadetimi so bili tudi uporabniki iz Slovenije. Informacijski pooblašcenec je kot zadevni nadzorni organ sodeloval v postopkih nadzora v zvezi s kršitvijo varstva osebnih podatkov pri podjetjih, kot so Nintendo, TicketMaster, Marriot Hotels, Twitter, National Australia Bank, British Airways itd., ki so bili zakljuceni v letu 2020.
Sodelovanje v cezmejnih primerih pomeni velik izziv v smislu dodatnih potrebnih resursov, tako financnih kot kadrovskih. Izkušnje v letu 2020 so pokazale tudi na druge izzive sodelovanja po poglavju 7 Splošne uredbe, in sicer so bila v ospredju predvsem vprašanja glede izvedbe postopkov po Splošni uredbi. Leto 2020 je zaznamovala tudi izvedba prvega odlocanja Evropskega odbora za varstvo podatkov v postopku spora po clenu 65, ki je zadevala primer družbe Twitter. Odlocitev odbora je za vodilni nadzorni organ zavezujoca in v zadevnem primeru je bilo vodilnemu organu naloženo, da mora v koncni odlocbi pri izreku sankcije upoštevati vsa merila iz clena 83 Splošne uredbe, da bo sankcija primerna in odvracalna. 
Evropski odbor za varstvo podatkov aktivno pristopa h grajenju enotnih rešitev izzivov, ki nastajajo zaradi razlik v nacionalnih procesnih pravilih v državah clanicah EU (npr. glede pravic strank v postopkih, glede rokov za posamezna dejanja v postopkih, glede obvešcanja prijaviteljev) ter pripravlja nadaljnje smernice glede postopkov po clenih 60 in 65 Splošne uredbe. Prav tako je odbor v letu 2020 aktivno prispeval k razlagam številnih dolocb Splošne uredbe s smernicami in priporocili, med drugim glede konceptov upravljavca in obdelovalca, glede ciljanja uporabnikov na družbenih omrežjih, glede omejitev po clenu 23 Splošne uredbe, glede glasovnih pomocnikov in povezanih avtomobilov, primerov kršitev varstva podatkov ter glede najbolj perecih vprašanj obdelav osebnih podatkov v zvezi z ukrepanjem glede obvladovanja epidemije covid-19. 
Leta 2020 je bila na ravni EU sprejeta pomembna sodba v primeru Schrems II, s katero je Sodišce EU razveljavilo odlocitev Evropske komisije o ustreznosti varstva podatkov v okviru zasebnostnega šcita, ki je subjektom iz EU omogocal prenose podatkov iz EU v ZDA.  Evropski odbor za varstvo podatkov je v odzivu na razveljavljeni zasebnostni šcit sprejel vec priporocil glede ustreznih dopolnilnih ukrepov za prenos podatkov v ZDA in kriterijev za ocenjevanje vpliva nacionalne zakonodaje v državi prejemnici na varstvo prenesenih podatkov.

KAZALO
1.1 NASTANEK IN OSEBNA IZKAZNICA INFORMACIJSKEGA POOBLAŠCENCA.......21.1.1 ORGANIZIRANOST....................................................................................................................5


1.2 KLJUCNA PODROCJA DELOVANJA IN PRISTOJNOSTI.........................................7
1.3 FINANCNO POSLOVANJE V LETU 2020.................................................................12
2.1 PRAVNA UREDITEV NA PODROCJU DOSTOPA DO INFORMACIJ JAVNEGA ZNACAJA..........................................................................................................................18
2.2 ŠTEVILO VLOŽENIH PRITOŽB IN REŠENIH ZADEV...............................................222.2.1 PRITOŽBE ZOPER ZAVRNILNE ODLOCBE IN IZDANE ODLOCBE....................................22
2.2.2 PRITOŽBE ZOPER MOLK.......................................................................................................24


2.3 ŠTEVILO VLOŽENIH TOŽB IN PREJETIH SODB.....................................................26
2.4 STORJENI PREKRŠKI PO ZDIJZ, ZInfP IN ZMed...................................................26
2.5 IZBRANI PRIMERI NA PODROCJU DOSTOPA DO INFORMACIJ JAVNEGA ZNACAJA..........................................................................................................................26
2.6 AKTIVNOSTI IZOBRAŽEVANJA IN OZAVEŠCANJA..............................................352.6.1 Dan pravice vedeti..................................................................................................................35
2.6.2 Mednarodno sodelovanje......................................................................................................35


2.7 SPLOŠNA OCENA IN PRIPOROCILA........................................................................36
3.1 KONCEPT VARSTVA OSEBNIH PODATKOV V REPUBLIKI SLOVENIJI.................40
3.2 INŠPEKCIJSKI NADZOR V LETU 2020.....................................................................423.2.1 INŠPEKCIJSKI NADZOR V JAVNEM SEKTORJU................................................................44
3.2.2 INŠPEKCIJSKI NADZOR V ZASEBNEM SEKTORJU............................................................44
3.2.3 PRIJAVA KRŠITEV VARNOSTI OSEBNIH PODATKOV.......................................................46
3.2.4 SODELOVANJE PRI CEZMEJNIH INŠPEKCIJSKIH NADZORIH........................................47
3.2.5 PREKRŠKOVNI POSTOPKI....................................................................................................51
3.2.6 IZBRANI PRIMERI OBDELAVE OSEBNIH PODATKOV.........................................................53


3.3 DRUGI UPRAVNI POSTOPKI.....................................................................................603.3.1 DOPUSTNOST IZVAJANJA BIOMETRIJSKIH UKREPOV...................................................60
3.3.2 POVEZOVANJE ZBIRK OSEBNIH PODATKOV.....................................................................60
3.3.3 PRENOS OSEBNIH PODATKOV V TRETJE DRŽAVE............................................................63
3.3.4 PRAVICE POSAMEZNIKOV...................................................................................................64


3.4 PRIPRAVA MNENJ IN POJASNIL.............................................................................663.4.1 SPLOŠNA POJASNILA..........................................................................................................66
3.4.2 MNENJA NA PREDPISE.........................................................................................................66


3.5 SKLADNOST IN PREVENTIVA..................................................................................683.5.1 OBVEZNOSTI UPRAVLJAVCEV.............................................................................................69
3.5.2 PREVENTIVNE AKTIVNOSTI V CASU IZREDNIH RAZMER................................................69
3.5.3 OCENE UCINKOV NA VARSTVO OSEBNIH PODATKOV....................................................70
3.5.4 POOBLAŠCENE OSEBE ZA VARSTVO PODATKOV............................................................71
3.5.5 AKTIVNOSTI IZOBRAŽEVANJA IN OZAVEŠCANJA..........................................................71
3.5.6 PREVENTIVNE AKTIVNOSTI ZA SKLADNOST...................................................................76


3.6 MEDNARODNO SODELOVANJE...............................................................................763.6.1 SODELOVANJE V EVROPSKEM ODBORU ZA VARSTVO PODATKOV..............................76
3.6.2 SODELOVANJE V DRUGIH NADZORNIH TELESIH EVROPSKE UNIJE............................78
3.6.3 SODELOVANJE V DRUGIH MEDNARODNIH TELESIH.......................................................79


3.7 SPLOŠNA OCENA STANJA VARSTVA OSEBNIH PODATKOV..............................81


SEZNAM UPORABLJENIH KRATIC IN OKRAJŠAV ZAKONOV
ZDIJZ — Zakon o dostopu do informacij javnega znacaja
Splošna uredba — Splošna uredba o varstvu podatkov
ZVOP-1 — Zakon o varstvu osebnih podatkov
ZVOP-2 — Predlog novega Zakona o varstvu osebnih podatkov
ZInfP — Zakon o Informacijskem pooblašcencu
ZVOPOKD — Zakon o varstvu osebnih podatkov na podrocju obravnavanja kaznivih dejanj 
ZUP — Zakon o splošnem upravnem postopku
ZMed — Zakon o medijih 
ZPacP — Zakon o pacientovih pravicah
ZPLD-1 — Zakon o potnih listinah 
ZOIzk-1 — Zakon o osebni izkaznici
ZEKom-1 — Zakon o elektronskih komunikacijah 
ZCKR — Zakon o centralnem kreditnem registru
ZPotK-2 — Zakon o potrošniških kreditih
ZBan-2 — Zakon o bancništvu
ZUstS — Zakon o Ustavnem sodišcu 
ZGD-1 — Zakon o gospodarskih družbah
ZJN-3 — Zakon o javnem narocanju
ZPosS — Zakon o poslovni skrivnosti
ZKP — Zakon o kazenskem postopku
ZIN — Zakon o inšpekcijskem nadzoru
ZP-1 — Zakon o prekrških
ZVDAGA — Zakon o varstvu dokumentarnega in arhivskega gradiva ter arhivih 


1.1 NASTANEK IN OSEBNA IZKAZNICA INFORMACIJSKEGA POOBLAŠCENCA
Informacijski pooblašcenec je samostojen in neodvisen državni organ s pristojnostmi na podrocju dveh z Ustavo Republike Slovenije zavarovanih temeljnih clovekovih pravic, pravice dostopa do informacij javnega znacaja in pravice do varstva osebnih podatkov.
Državni zbor Republike Slovenije je 30. 11. 2005 sprejel Zakon o Informacijskem pooblašcencu (ZInfP), s katerim je bil 31. 12. 2005 ustanovljen nov samostojen in neodvisen državni organ. Zakon je združil dva organa, in sicer Pooblašcenca za dostop do informacij javnega znacaja, ki je imel že prej status neodvisnega organa, in Inšpektorat za varstvo osebnih podatkov, ki je deloval kot organ v sestavi Ministrstva za pravosodje. Informacijski pooblašcenec je tako postal tudi državni nadzorni organ za varstvo osebnih podatkov. Delo je zacel 1. 1. 2006. 
ZInfP je v slovenski pravni red prinesel pomembne novosti. S tem zakonom je bil namrec ustanovljen nov državni organ, Informacijski pooblašcenec, ki ima številne pristojnosti tako na podrocju dostopa do informacij javnega znacaja kot tudi na podrocju varstva osebnih podatkov. Poleg dolocb, ki urejajo položaj in imenovanje Informacijskega pooblašcenca, ZInfP vsebuje tudi dolocbe o nadzornikih za varstvo osebnih podatkov, o nekaterih posebnostih postopka pred Informacijskim pooblašcencem ter nekatere prekrškovne dolocbe. Informacijski pooblašcenec je neodvisen državni organ. Njegova neodvisnost je zagotovljena na dva nacina. Prvi je postopek imenovanja pooblašcenca kot funkcionarja, ki ga na predlog predsednika Republike Slovenije imenuje Državni zbor. Drugi nacin, ki omogoca predvsem financno neodvisnost, pa je, da se sredstva za delo zagotovijo v proracunu Republike Slovenije tako, da o tem odloca Državni zbor na predlog Informacijskega pooblašcenca.
Neodvisnost Informacijskega pooblašcenca je tudi temeljna zahteva za nadzorne organe skladno z Uredbo (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov, Splošna uredba) ter Direktivo (EU) 2016/680 Evropskega parlamenta in Sveta z
dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprecevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, in o prostem pretoku takih podatkov ter o razveljavitvi Okvirnega sklepa Sveta 2008/977/PNZ (Direktiva (EU) 2016/680). Informacijski pooblašcenec tako kot nadzorni organ spremlja uporabo Splošne uredbe in Direktive (EU) 2016/680, da se zašcitijo temeljne pravice in svobošcine posameznikov v zvezi z obdelavo osebnih podatkov ter olajša prost pretok osebnih podatkov v Evropski uniji. Splošna uredba in Direktiva (EU) 2016/680 dolocata naloge, ki jih mora vsak nadzorni organ opraviti na svojem ozemlju, ter pri tem opredeljujeta pooblastila nadzornih organov. Okrepljeno je tudi sodelovanje med nadzornimi organi v Evropski uniji, še posebej z ustanovitvijo Evropskega odbora za varstvo podatkov (EOVP).
Od 17. 7. 2014 Informacijskega pooblašcenca vodi pooblašcenka Mojca Prelesnik.


1.1.1 ORGANIZIRANOST
Notranjo organizacijo in sistemizacijo delovnih mest, ki so potrebna za izvajanje nalog pri Informacijskem pooblašcencu, dolocata Akt o notranji organizaciji in sistemizaciji delovnih mest pri Informacijskem pooblašcencu ter njegova priloga Sistemizacija delovnih mest pri Informacijskem pooblašcencu. Sistemizacija delovnih mest je prilagojena nalogam Informacijskega pooblašcenca in delovnim procesom, ki potekajo pri njem, ter je oblikovana tako, da zagotavlja cim ucinkovitejšo izrabo cloveških virov. 
Informacijski pooblašcenec opravlja svoje naloge v naslednjih notranjih organizacijskih enotah:
•	kabinet Informacijskega pooblašcenca,
•	sektor za informacije javnega znacaja,
•	sektor za varstvo osebnih podatkov,
•	administrativno-tehnicna služba.
Organigram po delovnih podrocjih.


31. 12. 2020 so bili pri Informacijskem pooblašcencu zaposleni en funkcionar in 47 javnih uslužbencev, od tega 46 javnih uslužbencev za nedolocen cas ter eden za dolocen cas (poslovni sekretar). Izobrazbena struktura zaposlenih je razvidna iz preglednice.
Izobrazbena struktura zaposlenih pri Informacijskem pooblašcencu 31. 12. 2020.


1.2 KLJUCNA PODROCJA DELOVANJA IN PRISTOJNOSTI
Informacijski pooblašcenec svoje z zakonom dolocene naloge in pristojnosti opravlja na dveh podrocjih:
•	na podrocju dostopa do informacij javnega znacaja in
•	na podrocju varstva osebnih podatkov.
Na podrocju dostopa do informacij javnega znacaja, ki je urejeno z Zakonom o dostopu do informacij javnega znacaja (ZDIJZ), ima Informacijski pooblašcenec pristojnosti pritožbenega organa, kot jih doloca 2. clen ZInfP. To pomeni, da odloca o pritožbi prosilca, ce je zavezanec za dostop do informacij javnega znacaja:
1.	zahtevo za dostop do informacij javnega znacaja zavrnil ali zavrgel;
2.	na zahtevo ni odgovoril v predpisanem roku (je v molku); 
3.	omogocil dostop v drugi obliki, kot jo je prosilec zahteval;
4.	posredoval informacijo, ki je prosilec ni zahteval;
5.	neupraviceno zaracunal stroške za posredovanje informacij ali pa je zaracunal previsoke stroške;
6.	ni ugodil zahtevi za umik stopnje tajnosti s podatkov, ki so s stopnjo tajnosti oznaceni v nasprotju z zakonom, ki ureja tajne podatke;
7.	zavrnil, zavrgel ali ni odgovoril na zahtevo za ponovno uporabo informacij javnega znacaja.
 
Informacijski pooblašcenec je pristojen tudi za vodenje evidence vseh podeljenih izkljucnih pravic na podrocju ponovne uporabe informacij (peti odstavek 36.a clena ZDIJZ).
Na podrocju dostopa do informacij javnega znacaja Informacijskemu pooblašcencu pristojnosti podeljuje tudi Zakon o medijih (ZMed) (45. clen). Po ZMed se zavrnilni odgovor zavezanca na vprašanje, ki ga zastavi predstavnik medija, šteje kot zavrnilna odlocba. Molk zavezanca ob takem vprašanju je razlog za pritožbo, o kateri odloca Informacijski pooblašcenec po dolocbah ZDIJZ. 
Informacijski pooblašcenec je v primeru kršitev dolocb ZDIJZ in ZMed tudi prekrškovni organ. 
Kljucen predpis s podrocja varstva osebnih podatkov v EU je Splošna uredba o varstvu podatkov (Splošna uredba), ki se uporablja neposredno v vseh državah EU od 25. 5. 2018. Zacetek uporabe Splošne uredbe terja sprejetje novega Zakona o varstvu osebnih podatkov (ZVOP-2), s katerim bi se v Republiki Sloveniji zagotovilo izvajanje Splošne uredbe, vendar pa ta zakon do konca leta 2020 ni bil sprejet. 
Splošna uredba doloca naloge Informacijskega pooblašcenca kot nadzornega organa v clenu 57:
(a)	spremlja in zagotavlja uporabo te uredbe;
(b)	spodbuja ozavešcenost in razumevanje javnosti o tveganjih, pravilih, zašcitnih ukrepih in pravicah v zvezi z obdelavo osebnih podatkov; posebna pozornost se posveti dejavnostim, ki so namenjene izrecno otrokom;
(c)	v skladu s pravom države clanice svetuje nacionalnemu parlamentu, vladi ter drugim institucijam in organom o zakonodajnih in upravnih ukrepih v zvezi z varstvom pravic in svobošcin posameznikov pri obdelavi osebnih podatkov;
(d)	spodbuja ozavešcenost upravljavcev in obdelovalcev glede njihovih obveznosti na podlagi te uredbe;
(e)	vsakemu posamezniku, na katerega se nanašajo osebni podatki, na zahtevo zagotovi informacije o uresnicevanju njegovih pravic na podlagi te uredbe in v ta namen, ce je ustrezno, sodeluje z nadzornimi organi v drugih državah clanicah;
(f)	obravnava pritožbe, ki jih vloži posameznik, na katerega se nanašajo osebni podatki, oz. v skladu s clenom 80 telo, organizacija ali združenje, v ustreznem obsegu preuci vsebino pritožbe in v razumnem roku obvesti pritožnika o poteku in rezultatu preiskave, zlasti ce je potrebna nadaljnja preiskava ali usklajevanje z drugim nadzornim organom;
(g)	sodeluje z drugimi nadzornimi organi, med drugim z izmenjavo informacij, in jim zagotavlja medsebojno pomoc, da se zagotovi doslednost pri uporabi in izvajanju te uredbe;
(h)	izvaja preiskave o uporabi te uredbe, tudi na podlagi informacij, ki jih prejme od drugega nadzornega organa ali drugega javnega organa;
(i)	spremlja razvoj na zadevnem podrocju, kolikor vpliva na varstvo osebnih podatkov, predvsem razvoj informacijskih in komunikacijskih tehnologij ter trgovinskih praks;
(j)	sprejema standardna pogodbena dolocila iz clena 28(8) in tocke (d) clena 46(2);
(k)	vzpostavi in vzdržuje seznam v zvezi z zahtevo po oceni ucinka v zvezi z varstvom osebnih podatkov v skladu s clenom 35(4);
(l)	svetuje glede dejanj obdelave iz clena 36(2);
(m)	spodbuja pripravo kodeksov ravnanja v skladu s clenom 40(1) ter poda mnenje in v skladu s
clenom 40(5) odobri take kodekse ravnanja, ki zagotavljajo zadostne zašcitne ukrepe;
(n)	spodbuja vzpostavitev mehanizmov potrjevanja za varstvo podatkov ter pecatov in oznacb za varstvo podatkov v skladu s clenom 42(1) in odobri merila potrjevanja v skladu s clenom 42(5);
(o)	kadar je ustrezno, izvaja redne preglede potrdil, izdanih v skladu s clenom 42(7);
(p)	oblikuje in objavi merila za pooblastitev telesa za spremljanje kodeksov ravnanja v skladu s 
clenom 41 in organa za potrjevanje v skladu s clenom 43;
(q)	opravi pooblastitev telesa za spremljanje kodeksov ravnanja v skladu s clenom 41 in organa za potrjevanje v skladu s clenom 43;
(r)	odobri pogodbena dolocila in dolocbe iz clena 46(3);
(s)	odobri zavezujoca poslovna pravila v skladu s clenom 47;
(t)	prispeva k dejavnostim odbora;
(u)	hrani notranjo evidenco kršitev te uredbe in sprejetih ukrepov v skladu s clenom 58(2) ter
(v)	opravlja vse druge naloge, povezane z varstvom osebnih podatkov.
Skladno s clenom 55(3) Splošne uredbe Informacijski pooblašcenec ni pristojen za nadzor dejanj obdelave sodišc, kadar delujejo kot sodni organ. Splošna uredba doloca tudi pooblastila nadzornih organov, ki jih lahko uporabijo pri izvajanju svojih pristojnosti (preiskovalna pooblastila, popravljalna pooblastila ter pooblastila v zvezi z dovoljenji in svetovalnimi pristojnostmi). 
Glede na to, da novi Zakon o varstvu osebnih podatkov (ZVOP-2) še ni bil sprejet, se poleg dolocb Splošne uredbe še vedno uporablja tudi Zakon o varstvu osebnih podatkov (ZVOP-1), in sicer tiste dolocbe, ki jih uredba ne ureja in ki z njo niso v nasprotju, ter relevantne dolocbe 2. clena ZInfP, npr.:
1.	opravljanje inšpekcijskega nadzora nad izvajanjem dolocb ZVOP-1 in drugih predpisov, ki urejajo varstvo ali obdelavo osebnih podatkov, tj. obravnavanje prijav, pritožb, sporocil in drugih vlog, v katerih je izražen sum kršitve zakona, ter opravljanje preventivnega inšpekcijskega nadzora pri upravljavcih osebnih podatkov s podrocja javnega in zasebnega sektorja (pristojnost je dolocena v 2. clenu ZInfP);
2.	odlocanje o pritožbi posameznika, kadar upravljavec osebnih podatkov ne ugodi zahtevi posameznika glede njegove pravice do seznanitve z zahtevanimi podatki, do izpisov, seznamov, vpogledov, potrdil, informacij, pojasnil, prepisovanja ali kopiranja po dolocbah zakona, ki ureja varstvo osebnih podatkov (pristojnost je dolocena v 2. clenu ZInfP); 
3.	vodenje postopkov o prekrških s podrocja varstva osebnih podatkov (hitri postopek);
4.	vodenje upravnih postopkov za izdajo dovoljenj za povezovanje javnih evidenc in javnih knjig, kadar katera od zbirk osebnih podatkov, ki naj bi se jih povezalo, vsebuje obcutljive osebne podatke ali pa je za izvedbo povezovanja potrebna uporaba istega povezovalnega znaka, npr. EMŠO ali davcne številke (84. clen ZVOP-1); 
5.	vodenje upravnih postopkov za izdajo ugotovitvenih odlocb o tem, ali je nameravana uvedba biometrijskih ukrepov v zasebnem sektorju v skladu z dolocbami ZVOP-1 (80. clen ZVOP-1); 
6.	dajanje predhodnih mnenj ministrstvom, državnemu zboru, organom samoupravnih lokalnih skupnosti, drugim državnim organom ter nosilcem javnih pooblastil o usklajenosti dolocb predlogov zakonov ter ostalih predpisov z zakoni in drugimi predpisi, ki urejajo osebne podatke (48. clen ZVOP-1);
7.	sodelovanje z državnimi organi, pristojnimi organi Evropske unije za varstvo posameznikov pri obdelavi osebnih podatkov, mednarodnimi organizacijami, tujimi nadzornimi organi za varstvo osebnih podatkov, zavodi, združenji, nevladnimi organizacijami s podrocja varstva osebnih podatkov ali zasebnosti ter drugimi organizacijami in organi glede vseh vprašanj, ki so pomembna za varstvo osebnih podatkov 
(47. clen ZVOP-1).
Republika Slovenija je zamujala tudi z implementacijo Direktive (EU) 2016/680 in Direktive (EU) 2016/681 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o uporabi podatkov iz evidence podatkov o potnikih (PNR) za preprecevanje, odkrivanje, preiskovanje in pregon teroristicnih in hudih kaznivih dejanj v delu, ki se nanaša na položaj in naloge pooblašcenih oseb za varstvo osebnih podatkov. Omenjeni direktivi sta bili v pravni red Republike Slovenije preneseni z Zakonom o varstvu osebnih podatkov na podrocju obravnavanja kaznivih dejanj (ZVOPOKD), ki je pricel veljati z 31. 12. 2020. Skladno z ZVOPOKD pa Informacijski pooblašcenec deluje kot pritožbeni, inšpekcijski in prekrškovni organ, in sicer skrbi za enotno uresnicevanje ukrepov na podrocju varstva osebnih podatkov po dolocbah ZVOPOKD, tako da se zašcitijo clovekove pravice in temeljne svobošcine posameznikov v zvezi z obdelavo osebnih podatkov ter se omogoci prost pretok osebnih podatkov med državami clanicami Evropske unije v skladu z dolocbami ZVOPOKD. Pristojnosti Informacijskega pooblašcenca so dolocene v prvem odstavku 76. clena ZVOPOKD, skladno s prvim odstavkom 77. clena ZVOPOKD pa Informacijski pooblašcenec ni pristojen za izvajanje nadzora in za prekrškovni nadzor glede obdelav osebnih podatkov, ki se obdelujejo v kazenskih zadevah sodišca, izvedenih v okviru neodvisnega sodniškega odlocanja ali odlocanja strokovnih sodelavcev ali sodniških pomocnikov po odredbi sodnika, kot to opredeljuje zakon, ki ureja sodišca, ali po dolocbah drugih zakonov, ki dolocajo njihovo samostojno delovanje. V letu 2020 so se za posameznike in upravljavce po Direktivi (EU) 2016/680 Evropskega parlamenta in Sveta do vkljucno 30. 12. 2020 še uporabljale relevantne dolocbe ZVOP-1.
Informacijski pooblašcenec ima pristojnosti še po Zakonu o pacientovih pravicah (ZPacP), Zakonu o potnih listinah (ZPLD-1), Zakonu o osebni izkaznici (ZOIzk-1), Zakonu o elektronskih komunikacijah (ZEKom-1), Zakonu o centralnem kreditnem registru (ZCKR), Zakonu o potrošniških kreditih (ZPotK-2) in Uredbi o izvajanju Uredbe (EU) o državljanski pobudi.
Na podlagi ZPacP Informacijski pooblašcenec deluje kot pritožbeni, inšpekcijski in prekrškovni organ. 
V okviru pritožbenih postopkov Informacijski pooblašcenec:
-	na podlagi desetega odstavka 41. clena ZPacP odloca o pritožbah pacientov in drugih upravicenih oseb ob kršitvi dolocbe, ki ureja nacin seznanitve z zdravstveno dokumentacijo; 
-	na podlagi petega odstavka 42. clena ZPacP odloca o pritožbi v zakonu opredeljenih oseb zoper delno ali v celoti zavrnjeno zahtevo za seznanitev z zdravstveno dokumentacijo po pacientovi smrti; 
-	na podlagi sedmega odstavka 45. clena ZPacP odloca o pritožbi upravicenih oseb zoper delno ali v celoti zavrnjeno zahtevo za seznanitev, ki se nanaša na dolžnost varovanja informacij o zdravstvenem stanju pacienta, vendar le, ce gre za informacije, ki izvirajo iz zdravstvene dokumentacije.
V skladu s cetrtim odstavkom 85. clena ZPacP Informacijski pooblašcenec izvaja inšpekcijski nadzor in vodi prekrškovne postopke zaradi kršitev naslednjih dolocb ZPacP:
-	44. clena, ki opredeljuje pravico pacienta do zaupnosti osebnih podatkov ter pogoje za uporabo in drugo obdelavo osebnih podatkov za potrebe zdravljenja ali izven postopkov zdravstvene obravnave, 
-	45. clena, ki doloca dolžnost varovanja poklicne skrivnosti oz. varovanja informacij o zdravstvenem stanju pacienta, 
-	46. clena, ki izvajalcem zdravstvene dejavnosti nalaga izvedbo preiskave vsake zaznane nedovoljene obdelave osebnih podatkov o pacientu in obvešcanje Informacijskega pooblašcenca o ugotovitvah,
-	drugega odstavka 63. clena, ki doloca nacin in rok hrambe dokumentacije, nastale v postopku z zahtevo za obravnavo kršitve pacientovih pravic, 
-	68. clena, ki doloca pogoje dostopa do zdravstvene dokumentacije pacienta s strani Komisije RS za varstvo pacientovih pravic.
Globe za kršitve 46., 63. in 68. clena so dolocene v 87. clenu ZPacP, za druge prekrške se upoštevajo prekrškovne dolocbe ZVOP-1. 
Pristojnosti Informacijskega pooblašcenca po ZPLD-1 in ZOIzk-1 so omejene na dolocbe, ki dolocajo, v kakšnih primerih in na kakšen nacin lahko upravljavci osebnih podatkov kopirajo potne listine oz. osebne izkaznice ter nacin hrambe kopij (4. clen ZOIzk-1 in 4.a clen ZPLD-1). Informacijski pooblašcenec v zvezi z navedenimi dolocbami opravlja naloge inšpekcijskega in prekrškovnega organa, pri cemer o prekršku odloca v skladu s 27. clenom ZOIzk-1 in 34.b clenom ZPLD-1.
ZEKom-1 doloca pristojnosti Informacijskega pooblašcenca v 161. clenu, in sicer Informacijski pooblašcenec:
-	izvaja inšpekcijski nadzor nad izvajanjem dolocb 149. clena ZEKom-1, ki ureja notranje postopke o odzivanju na zahteve pristojnih organov za dostop do osebnih podatkov uporabnikov na podlagi podrocnih zakonov;
-	najmanj enkrat na leto opravi inšpekcijski nadzor nad izvajanjem 153. in 153.a clena ZEKom-1, ki dolocata pogoje in postopke za posredovanje prometnih in lokacijskih podatkov v primerih varovanja življenja in telesa posameznika ter zavarovanje in hrambo teh podatkov in zagotovitev neizbrisne registracije; 
-	izvaja inšpekcijski nadzor nad izvajanjem dolocb 155. clena ZEKom-1, ki ureja sledenje zlonamernih ali nadležnih klicev na pisno zahtevo posameznika, ki klice prejema, in postopke glede posredovanja podatkov, ki razkrijejo identiteto klicocega;
-	izvaja inšpekcijski nadzor nad izvajanjem dolocb 157. clena ZEKom-1, ki ureja shranjevanje podatkov ali pridobivanje dostopa do podatkov, shranjenih v terminalski opremi narocnika ali uporabnika s pomocjo piškotkov in podobnih tehnologij;
-	kot prekrškovni organ v skladu z zakonom, ki ureja prekrške, vodi postopke zaradi kršitev navedenih dolocb ZEKom-1; globe za kršitve so dolocene v 232. do 236. clenu ZEKom-1.
ZCKR ureja vzpostavitev centralnega kreditnega registra kot osrednje nacionalne zbirke podatkov o zadolženosti fizicnih oseb in poslovnih subjektov. Del tega registra je tudi sistem izmenjave informacij o zadolženosti posameznih fizicnih oseb, poznan kot SISBON. Tako register kot sistem izmenjave informacij upravlja Banka Slovenije, ki je v skladu s 366. in 400. clenom Zakona o bancništvu (ZBan-2) vzpostavljeni sistem izmenjave informacij o boniteti strank prevzela s 1. 1. 2016. V skladu s 26. clenom ZCKR Banka Slovenije v zvezi z vzpostavitvijo in upravljanjem sistema izmenjave informacij doloci tehnicne pogoje, ki jih morajo izpolnjevati clani sistema in vkljuceni dajalci kreditov za clanstvo oz. vkljucitev v sistem izmenjave informacij ter za zagotavljanje zaupnosti podatkov, ki se zbirajo v sistemu izmenjave informacij. Pred dolocitvijo teh aktov Banka Slovenije pridobi mnenje Informacijskega pooblašcenca, ki izvaja inšpekcijski nadzor v zvezi z zbiranjem in obdelavo osebnih podatkov v centralnem kreditnem registru in sistemu izmenjave informacij v skladu z ZVOP-1. V skladu z 31. clenom ZCKR Informacijski pooblašcenec z namenom preprecevanja in odvracanja ravnanj, ki pomenijo nezakonito obdelavo osebnih podatkov, javno objavi informacije v zvezi z ukrepi nadzora in sankcijami zaradi prekrška, ki jih je izrekel. 
ZPotK-2 v 78. clenu ohranja leta 2013 dodeljeno pristojnost Informacijskega pooblašcenca v zvezi z izvajanjem nadzora nad dajalci kreditov in kreditnimi posredniki glede izvajanja 10. in 42. clena v delu, ki se nanaša na informiranje, zbiranje in obdelavo osebnih podatkov pri izvedbi ocene kreditne sposobnosti potrošnika, ki jo mora dajalec kredita opraviti pred sklenitvijo kreditne pogodbe in pred sklenitvijo kreditne pogodbe za nepremicnino, ter 11. in 44. clena ZPotK-2, ki dolocata dostop do osebnih podatkov iz sistema izmenjave informacij o boniteti oz. zadolženosti fizicnih oseb in zavarovanje teh podatkov. Globe, ki jih lahko Informacijski pooblašcenec izrece za kršitve clenov, ki jih nadzira, so dolocene v 96. clenu ZPotK-2. 
Na podlagi 3. clena Uredbe o izvajanju Uredbe (EU) o državljanski pobudi je Informacijski pooblašcenec pristojen za prekrške v primeru kršitve Uredbe (EU) št. 211/2011/EU Evropskega parlamenta in Sveta z dne 16. 2. 2011 o državljanski pobudi s podrocja varstva osebnih podatkov.
Informacijski pooblašcenec lahko v skladu s 6. alinejo prvega odstavka 23.a clena Zakona o ustavnem sodišcu (ZUstS) z zahtevo zacne postopek za oceno ustavnosti oz. zakonitosti predpisa ali splošnega akta, izdanega za izvrševanje javnih pooblastil, ce nastane vprašanje ustavnosti ali zakonitosti v zvezi s postopkom, ki ga vodi. 
Pristojnosti Informacijskega pooblašcenca opredeljujejo tudi pravila Schengenskega informacijskega sistema (in druga generacija sistema, t. i. SIS II), ki nacionalnim organom kazenskega pregona ter pravosodnim in upravnim organom omogocajo izmenjavo in dostop do podatkov o prestopu zunanjih meja in vizumski politiki, v sistem pa so poleg tega vkljuceni tudi podatki o evropskem zapornem nalogu, izrocitvi, biometricni podatki in podatki o iskanju zaradi teroristicnih aktivnosti. Pravni okvir SIS II vkljucuje: Uredbo (ES) št. 1987/2006 Evropskega parlamenta in Sveta z dne 20. decembra 2006 o vzpostavitvi, delovanju in uporabi druge generacije schengenskega informacijskega sistema (SIS II); Sklep Sveta 2007/533/PNZ z dne 12. junija 2007 o vzpostavitvi, delovanju in uporabi druge generacije schengenskega informacijskega sistema (SIS II) in Uredbo (ES) št. 1986/2006 Evropskega parlamenta in Sveta z dne 20. decembra 2006 o dostopu služb držav clanic, pristojnih za izdajo potrdil o registraciji vozil, do druge generacije schengenskega informacijskega sistema (SIS II). Informacijski pooblašcenec na podlagi 60. clena Sklepa Sveta 2007/533/PNZ ter 44. clena Uredbe (ES) št. 1987/2006 nadzira zakonitost obdelave osebnih podatkov v SIS II na svojem ozemlju in pri prenosu s svojega ozemlja, vkljucno z izmenjavo in nadaljnjo obdelavo dopolnilnih podatkov.

Pristojnosti Informacijskega pooblašcenca.


1.3 FINANCNO POSLOVANJE V LETU 2020
Financna sredstva za delo Informacijskega pooblašcenca se v skladu s 5. clenom ZInfP zagotavljajo iz državnega proracuna in jih doloci Državni zbor RS na predlog Informacijskega pooblašcenca.
Za izvajanje svojih nalog je imel Informacijski pooblašcenec za leto 2020 veljavni proracun na integralnih postavkah 2.321.085,00 EUR, od tega na postavki place 1.948.180,00 EUR, na postavki materialni stroški 311.005,00 EUR in na postavki investicije 61.900,00 EUR. Evidentiranih odredb na integralnih postavkah je bilo na dan 31. 12. 2020 2.303.264,28 EUR, od tega na postavki place 1.930.874,18 EUR, na postavki materialni stroški 310.955,29 EUR in na postavki investicije 61.434,81 EUR. 
Proracun Informacijskega pooblašcenca 2015—2020.
Informacijski pooblašcenec je v letu 2020 razpolagal z namenskimi sredstvi v znesku 7.317,92 EUR. Porabe namenskih sredstev v letu 2020 ni bilo. 
V proracun leta 2021 bo Informacijski pooblašcenec prenesel skupaj 7.321,05 EUR namenskih sredstev in sredstev donacij, ki so bile financirane s strani Evropske unije (7.317,92 EUR namenskih sredstev, 0,14 EUR donacije – mednarodna spletna stran in 2,99 EUR financnih sredstev projekta Taiex).
Zaradi izredne situacije – razglasitve epidemije – in mocnega poslabšanja kazalnikov gospodarskih gibanj je Vlada RS na podlagi zakonodaje, ki ureja izvrševanje proracuna, zadržala izvrševanje proracuna za leto 2020 ter izvedla ukrep proporcionalnega zmanjšanja pravic porabe v višini 30 % sprejetega proracuna. Na osnovi Sklepa Vlade RS št. 41003-2/2020/1 z dne 13. 3. 2020 je bilo na postavko Tekoca proracunska rezerva pri Ministrstvu za finance z integralne postavke prenesenih 114.300,00 EUR.
Podrobnejši pregled prejetih, porabljenih in neporabljenih financnih sredstev po posameznih postavkah je razviden iz spodnje tabele.
Proracun Informacijskega pooblašcenca 2020.



Za materialne stroške je bilo leta 2020 porabljenih 310.955,29 EUR, in sicer za pisarniški in splošni material in storitve 64.498,03 EUR (pisarniški material, cišcenje poslovnih prostorov, storitve varovanja zgradb in prostorov, spremljanje medijev in arhiviranje, stroški prevajalskih storitev, reprezentanca ter drugi splošni material in storitve), za posebni material in storitve 3.923,80 EUR (nakup drobnega inventarja, zdravniški pregledi zaposlenih), za energijo, vodo, komunalne storitve, pošto in komunikacijo 38.635,01 EUR (elektricna energija, ogrevanje, voda in komunalne storitve, odvoz smeti, stroški telefonov ter poštne storitve), za prevozne stroške in storitve 4.929,36 EUR (vzdrževanje, popravila, zavarovanje in registracija dveh službenih vozil, gorivo za službeni vozili, najem vozil oz. taksi storitve ter drugi prevozni in transportni stroški), za izdatke za službena potovanja 5.737,95 EUR (stroški, povezani s službenimi potovanji zaposlenih, dnevnice, nocnine, letalske karte, hotelske storitve in stroški prevozov), za tekoce vzdrževanje 6.548,80 EUR (najem poslovnih prostorov, zavarovalne premije, vzdrževanje druge opreme ter druge nelicencne programske opreme – vzdrževanje spletnega mesta ter evidence prisotnosti, tekoce vzdrževanje operativnega informacijskega okolja ter izdatki za tekoce vzdrževanje in zavarovanje), za poslovne najemnine in zakupnine 
160.214,12 EUR (najemnina in zakupnine za poslovne objekte in parkirne prostore, najem programske racunalniške opreme – IUS-INFO in prekrškovni portal), za druge operativne odhodke pa je bilo porabljenih 26.468,22 EUR (stroški konferenc, seminarjev in simpozijev doma in v tujini, placila avtorskih honorarjev, izdatki za strokovno izobraževanje zaposlenih, sodni stroški, prispevki za spodbujanje zaposlovanja invalidov – kvote Javnemu jamstvenemu, preživninskemu in invalidskemu skladu). Informacijski pooblašcenec je z naslova refundacij potnih stroškov (letalske karte) od Evropske komisije na postavko prejel 
1.427,33 EUR. Informacijski pooblašcenec konec leta 2020 s postavke materialni stroški ni prerazporedil prostih pravic porabe v Tekoco proracunsko rezervo pri  Ministrstvu za finance, ker ni bilo prostih sredstev.
Za investicije je bilo do konca leta 2020 porabljenih 61.434,81 EUR. Sredstva so bila porabljena za nakup pisarniškega pohištva in pisarniške opreme v znesku 2.769,80 EUR  (trije pisarniški stoli in sedem predalnikov), strojne racunalniške opreme v znesku 8.350,85 EUR (dvanajst monitorjev, trije tiskalniki in osem racunalnikov), strežnikov in diskovnih sistemov v znesku 35.872,31 EUR (vzpostavitev redundancnega strežniškega sistema IPRS), opreme za hlajenje in ogrevanje v znesku 227,81 EUR, telekomunikacijske opreme v znesku 419,60 EUR, druge opreme in napeljave v znesku 5.740,10 EUR (nadgradnja sistema za evidenco in kontrolo prisotnosti), nematerialnega premoženja v znesku 7.886,81 EUR (licence za sistem za evidenco in kontrolo prisotnosti, vzpostavitev klasifikacijskega nacrta, licenca Amebis Besana in licenca EvenTrack), za nakup druge nelicencne programske opreme pa je bilo porabljenih 167,53 EUR. Konec leta 2020 je bilo stanje razpoložljivega proracuna na postavki investicije 0,85 EUR.
S postavke investicije Informacijski pooblašcenec v letu 2020 prostih pravic porabe ni prerazporedil v Tekoco proracunsko rezervo pri Ministrstvu za finance, ker ni bilo prostih sredstev.
Za place zaposlenih je bilo porabljenih 1.930.874,18 EUR oz. 99,11 % glede na veljavni proracun za leto 2020. Glede na predhodna leta se je poraba sredstev povecala zaradi sprostitve napredovanj, realizacije dogovora o placah in drugih stroškov dela v javnem sektorju ter aneksov h kolektivnim pogodbam dejavnosti in poklicev, višjega regresa za letni dopust ter dodatnih zaposlitev v skladu s kadrovskim nacrtom in novimi pristojnostmi Informacijskega pooblašcenca na podrocju uveljavitev Splošne uredbe ter nove 
Direktive (EU) 2016/680 Evropskega parlamenta in Sveta o varstvu posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprecevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij. Uveljavitev uredbe v Republiki Sloveniji je za Informacijskega pooblašcenca pomenila prevzem številnih novih nalog in zadolžitev, ki zahtevajo dodatne zaposlitve. Porabljena sredstva v višini 1.930.874,18 EUR so bila namenjena za osnovne place in dodatke v znesku 1.540.392,17 EUR, za regres za letni dopust je bilo namenjenih 45.218,06 EUR, za povracila in nadomestila 58.322,57 EUR, sredstva za delovno uspešnost z naslova povecanega obsega dela zaradi povecanega pripada zadev so znašala 17.768,45 EUR, za druge izdatke zaposlenim je bilo porabljenih 1.876,91 EUR, za prispevke delodajalcev za pokojninsko in invalidsko zavarovanje 136.916,63 EUR, za prispevke za zdravstveno zavarovanje 110.567,59 EUR, za prispevke za zaposlovanje 857,09 EUR, za prispevek za starševsko varstvo 1.559,59 EUR, premije kolektivnega dodatnega pokojninskega zavarovanja na podlagi Zakona o dodatnem pokojninskem zavarovanju javnih uslužbencev pa so znašale 17.395,12 EUR. Informacijski pooblašcenec je leta 2020 od Zavoda za zdravstveno zavarovanje Slovenije z naslova refundacij boleznin in invalidnin prejel sredstva na postavko za place v višini 30.277,72 EUR. S postavke place je Informacijski pooblašcenec v letu 2020 na podlagi Sklepa Vlade št. 41012-110/2020/2 prerazporedil 3.000,00 EUR na postavko materialni stroški zaradi placila racuna Zavarovalnice Triglav, d. d., za najem poslovnega prostora za december 2020.
Namenska sredstva kupnine – v leto 2020 je bilo prenesenih 7.317,92 EUR financnih sredstev kupnin. Leta 2020 na postavki ni bilo niti prilivov niti odlivov. Preostanek financnih sredstev v višini 7.317,92 EUR se prenese v leto 2021.
Mednarodna spletna stran info-commissioners.org – iz leta 2019 je bilo prenesenih 0,14 EUR financnih sredstev. Leta 2020 na tej postavki ni bilo porabe. Projekt se leta 2021 konca, preostanek sredstev bo nakazan na podracun izvrševanja proracuna.
Projekt Taiex – iz leta 2019 je bilo v leto 2020 prenesenih 2,99 EUR. Za projekt Taiex leta 2020 ni bilo niti prilivov niti odlivov. Projekt se leta 2021 zakljuci, preostanek sredstev bo nakazan na podracun izvrševanja proracuna.
Projekt RAPiD.Si – Informacijski pooblašcenec je v letih 2019, 2020 in 2021 kot vodilni in edini partner izvajal projekt RAPiD.Si – REC-AG-2017/REC-RDAT-TRAI-AG-2017 – »Raising Awareness on Data Protection and the GDPR in Slovenia — RAPiD.Si«, št. pogodbe 814738. Projekt financira Evropska komisija v okviru Programa za pravice, enakost in državljanstvo 2014–2020. Projekt je trajal 36 mesecev, osredotocal se je na aktivnosti izobraževanja in ozavešcanja predvsem malih in srednje velikih slovenskih podjetij ter na dejavnosti ozavešcanja splošne slovenske javnosti o novih pravilih Evropske unije glede varstva osebnih podatkov, ki jih prinaša uveljavitev Splošne uredbe in novega ZVOP-2. Za sodelovanje v projektu je Informacijski pooblašcenec prejel evropska namenska sredstva v nacrtovani višini 84.539,00 EUR, sam pa je v okviru svojih aktivnosti za izvajanje projekta z integralnih proracunskih sredstev zagotovil 
21.130,00 EUR. Sredstva so bila porabljena za pokrivanje stroškov, povezanih z delom zaposlenih, za pokrivanje povecanega obsega dela zaposlenih, za stroške izvedbe seminarjev, poti do krajev izvedbe predavanj, za zakup spletne domene in zakup spletnega gostovanja, za telefonske linije 080, za storitve Zveze potrošnikov Slovenije kot podizvajalca v projektu ter za druge stroške v zvezi s pripravo in izvedbo navedenih aktivnosti ter materialnih stroškov, ki jih je s tem imel Informacijski pooblašcenec. 
Dne 29. 9. 2018 je bilo s strani Evropske komisije nakazanih 67.631,20 EUR. Znesek je bil nakazan na poseben racun, odprt pri Upravi za javna placila. Z rebalansom proracuna za leto 2019 je bil v proracun uvršcen nov projekt NRP 1215-19-0001, s katerim so bile povecane pravice porabe za leto 2019, in sicer za 60.500,00 EUR. Za izvajanje projekta je bilo leta 2019 porabljenih 60.328,34 EUR. Poraba leta 2019 za potrebe projekta je na postavkah integralna sredstva, materialni stroški in place znašala 17.314,66 EUR.
Poraba leta 2020 za potrebe projekta je bila na evropski postavki PP 190100 7.105,58 EUR, na postavki integralna sredstva PP1271 pa 408,00 EUR. Projekt se je koncal v letu 2020, in sicer je bilo oktobra oddano porocilo. Dne 18. 12. 2020 je bil Informacijskemu pooblašcencu nakazan koncni priliv v znesku 16.907,80 EUR. Sredstva bodo porabljena v letu 2021.
Projekt iDecide – posamezniki odlocajo — Informacijski pooblašcenec je v letu 2020 kot vodilni in edini partner zacel izvajati dvoletni projekt iDecide – REC-AG-2019/REC-RDAT-TRAI-AG-2019 – »Individuals decide – Raising awareness about data protection rights (iDecide)«, št. pogodbe: 874507. Projekt financira Evropska komisija, in sicer v okviru Programa za pravice, enakost in državljanstvo 2020–2023.
Projekt bo trajal 48 mesecev, osredotocal pa se bo na izobraževanje treh ciljnih skupin (starejših mladoletnikov (15–18 let), starejših (nad 65 let) in delovne populacije o reformi zakonodajnega okvira s podrocja varstva osebnih podatkov in o temeljnih pravicah, ki jih zagotavlja zakonodaja s podrocja varstva osebnih podatkov. Cilj projekta iDecide je povecanje zavedanja o reformi okvira za varstvo osebnih podatkov v splošni javnosti v Republiki Sloveniji, še posebej glede pravic posameznikov. Za sodelovanje v projektu bo Informacijski pooblašcenec prejel evropska sredstva v nacrtovani višini 194.346,24 EUR, sam pa bo v okviru svojih aktivnosti za izvajanje projekta v 48 mesecih trajanja projekta iz integralnih proracunskih sredstev zagotovil 48.586,56 EUR, skupno torej 242.932,80 EUR. Sredstva bodo porabljena za pokrivanje stroškov v zvezi z delom zaposlenih, za pokrivanje povecanega obsega dela zaposlenih, za stroške poti do krajev izvedbe predavanj, za tisk izobraževalnih materialov in organizacijo seminarjev ter za druge stroške v zvezi s pripravo in izvedbo navedenih aktivnosti ter materialnih stroškov, ki jih bo s tem imel Informacijski pooblašcenec. 
Projekt se je v letu 2020 izvajal po predvidenem nacrtu; zasnovano in oblikovano je bilo izobraževalno gradivo za vse tri starostne skupine. Zaposleni so nudili strokovno pomoc javnosti prek telefonske linije za svetovanje, prek e-pošte in spletnih strani, kot predavatelji pa so sodelovali na razlicnih izobraževalnih dogodkih. Zaradi epidemioloških razmer je bila izvedba seminarjev prestavljena v leto 2021. Vecji del porabljenih sredstev je bil namenjen za pokrivanje stroškov dela zaposlenih, del pa tudi za tisk brošur. Za projekt je bilo leta 2020 na 
PP 200001 porabljenih 79.697,05 EUR, na postavki integralna sredstva PP 1271 materialni stroški pa 
91,50 EUR.


2.1 PRAVNA UREDITEV NA PODROCJU DOSTOPA DO INFORMACIJ JAVNEGA ZNACAJA
Pravica dostopa do informacij javnega znacaja je zagotovljena že z Ustavo Republike Slovenije. Ta v drugem odstavku 39. clena doloca, da ima vsakdo pravico dobiti informacijo javnega znacaja, za katero ima v zakonu utemeljen pravni interes, razen v primerih, ki jih doloca zakon. Ceprav je pravica dostopa do informacij javnega znacaja ena od temeljnih clovekovih pravic in kot taka tudi zašcitena na ustavni ravni, se je zacela uveljavljati šele 11 let po sprejetju Ustave RS, in sicer s sprejetjem Zakona o dostopu do informacij javnega znacaja. Dotlej so se posamezne dolocbe o javnosti informacij pojavljale le v nekaterih zakonih; celostno jih je uredil šele ZDIJZ, ki je zacel veljati leta 2003. 
ZDIJZ sledi usmeritvam mednarodnih aktov in EU. Njegov namen je zagotoviti javnost in odprtost delovanja javne uprave ter vsakomur omogociti dostop do javnih informacij, torej tistih, ki so povezane z delovnimi podrocji organov javne uprave. Zakon je uredil postopek, ki vsakomur omogoca prost dostop in ponovno uporabo informacij javnega znacaja, s katerimi razpolagajo državni organi, organi lokalnih skupnosti, javne agencije, javni skladi in druge osebe javnega prava, nosilci javnih pooblastil in izvajalci javnih služb. S tem zakonom sta se v pravni red Republike Slovenije prenesli dve direktivi Evropske skupnosti: 
Direktiva 2003/4/ES Evropskega parlamenta in Sveta o javnem dostopu do okoljskih informacij in razveljavitvi Direktive 90/313/EGS, ki je zacela veljati 28. 1. 2003, ter Direktiva 2003/98/ES Evropskega parlamenta in Sveta o ponovni uporabi informacij javnega sektorja, ki je zacela veljati 17. 11. 2003, spremenjena z Direktivo 2013/37/EU Evropskega parlamenta in Sveta z dne 26. junija 2013 o spremembi Direktive 2003/98/ES o ponovni uporabi informacij javnega sektorja (UL L št. 175 z dne 27. 6. 2013, str. 1).
Leta 2005 je bil z novelo ZDIJZ-A narejen še korak naprej. Novela je namrec zožila možnost neupravicenega zapiranja dostopa do informacij in uvedla številne novosti, kot so ponovna uporaba informacij javnega znacaja in pristojnosti upravne inšpekcije na podrocju izvajanja tega zakona. Najpomembnejša novost je bil zagotovo test javnega interesa. Z novelo je bila tudi poudarjena odprtost pri podatkih o porabi javnih sredstev in podatkih, povezanih z delovnim razmerjem ali opravljanjem javne funkcije. S tem se je Slovenija pridružila tistim demokraticnim državam, ki, kadar gre za javni interes, tudi izjeme obravnavajo s pridržkom. 
Leta 2014 sta bili sprejeti noveli ZDIJZ-C in ZDIJZ-D. Najpomembnejša sprememba, ki sta jo prinesli, je, da se je obveznost posredovanja informacij javnega znacaja z organov javnega sektorja razširila tudi na gospodarske družbe in druge pravne osebe pod prevladujocim vplivom (oz. v vecinski lasti) države, obcin ali drugih oseb javnega prava ter da je AJPES v šestih mesecih po uveljavitvi ZDIJZ-C vzpostavil spletni Register zavezancev za informacije javnega znacaja, ki je javen, podatki v njem pa so dostopni brezplacno. Namen sprememb ZDIJZ je bil, da se poleg zagotavljanja javnosti in odprtosti delovanja javnega sektorja krepita tudi transparentnost in odgovorno ravnanje pri upravljanju financnih sredstev poslovnih subjektov pod prevladujocim vplivom oseb javnega prava. Nadzor javnosti, omejen zgolj na državne organe, obcine in širši javni sektor, se je izkazal za nezadostnega. Financna in gospodarska kriza preteklih let je namrec povecala obcutljivost javnosti za korupcijo, zlorabo oblasti in slabo upravljanje. K vecji transparentnosti je prispevala tudi proaktivna objava informacij javnega znacaja na spletnih straneh, ki jo zahteva novela ZDIJZ-C.
Dne 8. 5. 2016 je v uporabo stopila novela ZDIJZ-E, ki je bila sprejeta konec leta 2015. Novela je prinesla novosti na podrocju ponovne uporabe informacij javnega znacaja (npr. ponovna uporaba informacij muzejev in knjižnic, ponovna uporaba arhivskega gradiva, zagotavljanje odprtih podatkov za ponovno uporabo). Novela doloca, da organi na nacionalnem portalu odprtih podatkov javnega sektorja, ki ga vodi Ministrstvo za javno upravo, objavijo seznam vseh zbirk podatkov iz svoje pristojnosti z metapodatki ter zbirke odprtih podatkov ali povezave na spletne strani, kjer so objavljene zbirke odprtih podatkov. Podatke, objavljene na tem portalu, lahko kdor koli ponovno brezplacno uporablja v pridobitne ali druge namene, pod pogojem, da to poteka v skladu z ZVOP-1 in da se navede vir podatkov. Novela je spremenila tudi podrocje zaracunavanja stroškov dostopa in ponovne uporabe informacij javnega znacaja. Za dostop do informacij javnega znacaja se lahko zaracunajo le materialni stroški, ne pa tudi urne postavke za stroške dela javnih uslužbencev, ki tovrstne zahteve obravnavajo. Na podlagi novele ZDIJZ-E je Vlada RS sprejela novo Uredbo o posredovanju in ponovni uporabi informacij javnega znacaja, s katero je sprejela enotni stroškovnik za posredovanje informacij javnega znacaja. S tem je odpravila posebne stroškovnike organov, na podlagi katerih so ti zaracunavali stroške dela, ter dolocila vrste informacij javnega znacaja, ki jih je treba posredovati na splet. 
Leta 2018 je stopila v veljavo novela ZDIJZ-F, ki v clenu a26.a doloca, da je stranka v postopku z zahtevo za dostop do informacij javnega znacaja ali ponovne uporabe samo prosilec, ce je predmet odlocanja dostop do podatkov, za katere je z zakonom doloceno, da so javni. S tem je uredila institut stranske udeležbe posebej glede na splošno ureditev v zakonodaji, ki ureja upravni postopek. 
Casovnica razvoja Zakona o dostopu do informacij javnega znacaja.


ZDIJZ zagotavlja dostop do informacij, ki so že ustvarjene, in sicer v kakršni koli obliki. S tem zakon zagotavlja preglednost porabe javnega denarja in odlocitev javne uprave, saj ta dela v imenu ljudi in za ljudi.
Kdo so zavezanci za posredovanje informacij javnega znacaja?
Zavezanci za posredovanje informacij javnega znacaja se delijo v dve skupini:
•	organi (državni organi, organi lokalnih skupnosti, javne agencije, javni skladi in druge osebe javnega prava, nosilci javnih pooblastil in izvajalci javnih služb) ter
•	poslovni subjekti pod prevladujocim vplivom oseb javnega prava.
Zavezanci so informacije javnega znacaja dolžni zagotavljati na dva nacina: z objavo na spletu in z omogocanjem dostopa na podlagi individualnih zahtev. Za vsako od skupin zavezancev je pojem »informacija javnega znacaja« (torej informacija, ki jo morajo posredovati prosilcu) definiran drugace; pri zavezancih iz druge skupine je ožji. Medtem ko za organe na splošno velja, da so vsi dokumenti, zadeve, dosjeji, registri, evidence in dokumentarno gradivo, s katerim razpolagajo (ne glede na to, ali jih je organ izdelal sam, v sodelovanju z drugim organom ali jih je pridobil od drugih oseb), informacije javnega znacaja, razen izjem, za poslovne subjekte pod prevladujocim vplivom oseb javnega prava pa velja ravno obraten miselni proces: informacije javnega znacaja so le tisti dokumenti, zadeve, dosjeji, registri, evidence in dokumentarno gradivo, ki jih kot take doloca ZDIJZ (npr. informacije, povezane s sklenjenimi pravnimi posli, ter informacije o clanih poslovodnega organa, organa upravljanja in organa nadzora). Za te zavezance velja tudi casovna omejitev, saj se dolžnost posredovanja nanaša le na informacije, nastale v casu pod prevladujocim vplivom. Zavezanci, ki izpolnjujejo kriterije za umestitev v obe skupini (npr. gospodarske družbe v 100-odstotni lasti obcine, ki so hkrati tudi izvajalke javne službe), so zavezani posredovati obe vrsti informacij javnega znacaja. Tisti poslovni subjekti pod prevladujocim vplivom oseb javnega prava, ki hkrati ne sodijo med organe, lahko uporabijo t. i. poenostavljeni postopek odlocanja o zahtevah (npr. ne izdajo zavrnilne odlocbe, ampak vlagatelja pisno obvestijo o razlogih, zaradi katerih informacije ne bodo posredovali). Ostali zavezanci (npr. nosilci javnih pooblastil, ki so hkrati pod prevladujocim vplivom pravnih oseb javnega prava) so dolžni voditi upravni postopek, kot je dolocen za organe.
Kako do informacije javnega znacaja?
Informacije javnega znacaja so prosto dostopne vsem, zato pravnega interesa za njihovo pridobitev ni treba izkazovati, dovolj sta radovednost ter želja po znanju in obvešcenosti. Vsak prosilec ima na zahtevo pravico pridobiti informacijo javnega znacaja, in sicer tako, da jo dobi na vpogled ali da dobi njen prepis, fotokopijo ali elektronski zapis. Zavezanec mora o zahtevi odlociti v 20 delovnih dneh, organi lahko v izjemnih okolišcinah podaljšajo rok za najvec 30 delovnih dni. Vpogled v zahtevano informacijo je brezplacen, kadar ne terja izvedbe delnega dostopa. Za posredovanje prepisa, fotokopije ali elektronskega zapisa zahtevane informacije lahko zavezanec prosilcu zaracuna materialne stroške. Ce zavezanec prosilcu zahtevane informacije javnega znacaja ne posreduje, ima prosilec v 15 dneh pravico vložiti pritožbo zoper zavrnilno odlocbo ali obvestilo, s katerim je zavezanec zahtevo zavrnil. O pritožbi odloca Informacijski pooblašcenec. Prav tako ima prosilec pravico do pritožbe, ce mu zavezanec na zahtevo v zakonskem roku ni odgovoril (oz. je v molku) ali ce informacije ni dobil v obliki, v kateri jo je zahteval. 
Kje so izjeme?
Zavezanec lahko prosilcu dostop do zahtevane informacije zavrne, ce se zahteva nanaša na eno izmed izjem, dolocenih v prvem odstavku 6. clena ZDIJZ in 5.a clenu ZDIJZ (tajni podatek, poslovna skrivnost, osebni podatek, davcna tajnost, sodni postopek, upravni postopek, statisticna zaupnost, dokument v izdelavi, notranje delovanje organa, varovanje naravne oz. kulturne vrednote …). Kljub navedenim izjemam organ dostop do zahtevane informacije vedno dovoli, ce gre za podatke o porabi javnih sredstev ali za podatke, povezane z opravljanjem javne funkcije ali z delovnim razmerjem javnega uslužbenca. Zavezanec pod prevladujocim vplivom prosilcu praviloma ne sme zavrniti dostopa, ce gre za absolutno javne informacije (osnovni podatki o poslih, ki se nanašajo na izdatke); razkritju teh podatkov se lahko poslovni subjekt izogne le, ce izkaže, da bi to huje škodovalo njegovemu konkurencnemu položaju na trgu. 
Ce dokument, ki ga zahteva prosilec, delno vsebuje informacije iz 5.a ali 6. clena ZDIJZ, to ni razlog, da bi zavezanec zavrnil dostop do celotnega dokumenta. Ce je te informacije mogoce iz dokumenta izlociti, ne da bi to ogrozilo njihovo zaupnost, se jih prekrije, prosilcu pa se posreduje preostali del informacij javnega znacaja. Zavezanec mora namrec v skladu z 19. clenom Uredbe o posredovanju in ponovni uporabi informacij javnega znacaja varovane podatke prekriti in prosilcu omogociti vpogled v preostanek dokumenta (ali fotokopije ali elektronskega zapisa). 
Kaj pa zahteva na podlagi Zakona o medijih?
Ce poda zahtevo za posredovanje informacij medij na podlagi 45. clena ZMed, je postopek nekoliko drugacen, saj informacije po ZMed niso enake informacijam javnega znacaja po dolocbah ZDIJZ. Informacije za medije so širši pojem kot informacije javnega znacaja, saj med prve sodi tudi priprava odgovorov na vprašanja (pojasnila, razlage, analize, komentarji). Ce medij zahteva odgovor na vprašanje, se njegova vloga obravnava po dolocbah ZMed, ce pa zahteva dostop do dokumenta, se njegova vloga obravnava po ZDIJZ. Medij mora vprašanje vložiti pisno po navadni ali elektronski pošti (digitalno potrdilo ali elektronski podpis nista potrebna), zavezanec pa ga mora o zavrnitvi ali delni zavrnitvi pisno obvestiti do konca naslednjega delovnega dne. V nasprotnem primeru mora zavezanec odgovor na vprašanje poslati najpozneje v sedmih delovnih dneh od prejema vprašanja, pri cemer sme odgovor zavrniti le, ce so zahtevane informacije izvzete iz prostega dostopa po ZDIJZ. Medij lahko po prejemu odgovora zahteva dodatna pojasnila, ki mu jih mora zavezanec posredovati najpozneje v treh dneh. Ce zavezanec z informacijo, ki predstavlja odgovor na vprašanje, ne razpolaga v materializirani obliki, se medij ne more pritožiti zoper obvestilo o zavrnitvi ali delni zavrnitvi odgovora. Pritožba pa je dovoljena, kadar odgovor na vprašanje izhaja iz dokumenta. 

2.2 ŠTEVILO VLOŽENIH PRITOŽB IN REŠENIH ZADEV
Leta 2020 je Informacijski pooblašcenec vodil 565 pritožbenih postopkov, od tega 331 postopkov zaradi zavrnitve dostopa do zahtevane informacije (med njimi je bilo 11 pritožbenih postopkov zoper poslovne subjekte pod prevladujocim vplivom oseb javnega prava) in 234 postopkov zaradi t. i. molka organa oz. neodzivnosti (med njimi so bili trije pritožbeni postopki zoper poslovne subjekte pod prevladujocim vplivom oseb javnega prava). 
Leta 2020 je Informacijski pooblašcenec odgovoril na 411 pisnih prošenj za neformalno pomoc ali mnenje, ki jih je prejel od zavezancev prve stopnje in prosilcev, odgovoril pa je tudi na 632 zaprosil v okviru telefonskega dežurstva. Vsem je odgovoril v okviru svojih pristojnosti, najveckrat jih je napotil na pristojno institucijo. Informacijski pooblašcenec je namrec drugostopenjski organ, ki odloca o pritožbi in ni pristojen, da v fazi, ko mora odlocati organ prve stopnje, odgovarja na konkretna vprašanja, ali je dolocen dokument informacija javnega znacaja ali ne. V skladu z 32. clenom ZDIJZ mnenja na podrocju dostopa do informacij javnega znacaja daje ministrstvo, pristojno za javno upravo. 
2.2.1 PRITOŽBE ZOPER ZAVRNILNE ODLOCBE IN IZDANE ODLOCBE
V okviru pritožbenih postopkov zoper odlocbe, s katerimi so zavezanci zavrnili zahteve po dostopu do informacij javnega znacaja ali zahteve po njihovi ponovni uporabi, je Informacijski pooblašcenec v letu 2020 izdal 328 odlocb, pet pritožb prosilcev je s sklepom zavrgel (pritožbe so bile nedovoljene), v dveh primerih pa je zaradi umika pritožbe prosilca izdal sklep o ustavitvi postopka. Informacijski pooblašcenec je tako izdal 281 odlocb, ki so se nanašale na pritožbene postopke, zacete v letu 2020, in 47 odlocb, ki so se nanašale na postopke, zacete pred letom 2020. Med reševanjem pritožb je na terenu opravil 34 ogledov in camera (tj. ogledov brez prisotnosti stranke, ki zahteva dostop do informacije javnega znacaja), na katerih je ugotavljal dejansko stanje pri organu. 
Informacijski pooblašcenec je v izdanih odlocbah (328): 
•	pritožbo zavrnil – 139,
•	pritožbi delno ali v celoti ugodil oz. rešil zadevo v korist prosilca – 109,
•	pritožbi ugodil in zadevo vrnil v ponovno odlocanje prvostopenjskemu organu – 69,
•	pritožbo zavrgel – 8,
•	odlocbo prvostopenjskega organa razglasil za nicno – 3. 
Število izdanih odlocb na podrocju dostopa do informacij javnega znacaja med letoma 2006 in 2020.


Pritožbe prosilcev zaradi zavrnitve dostopa do informacij javnega znacaja, o katerih je Informacijski pooblašcenec odlocil z odlocbo, so zadevale naslednje skupine zavezancev:
•	državni organi – 146, od tega ministrstva in organi v sestavi ter upravne enote 104, sodišca, vrhovno državno tožilstvo in državno odvetništvo pa 42,
•	javni skladi, zavodi, agencije, izvajalci javnih služb, nosilci javnih pooblastil in druge pravne osebe javnega prava – 111, 
•	obcine – 56,
•	poslovni subjekti pod prevladujocim vplivom države, obcin ali drugih oseb javnega prava – 15.
Zoper katere zavezance so bile vložene pritožbe?
V 295 primerih so bili prosilci fizicne osebe, v 10 primerih so se pritožile pravne osebe zasebnega sektorja, v 20 primerih novinarji in medijske hiše, trikrat pa so se pritožile pravne osebe javnega sektorja.
Pritožbe zoper zavrnitve dostopa do informacij.



2.2.2 PRITOŽBE ZOPER MOLK
Informacijski pooblašcenec je v letu 2020 prejel 231 pritožb zaradi molka organa in tri pritožbe zaradi neodziva poslovnih subjektov pod prevladujocim vplivom. Po podatkih je bilo najvec molka med organi državne uprave (ministrstva, organi v sestavi itd.), in sicer 66, 56 med obcinami ter 51 med javnimi zavodi. Informacijski pooblašcenec je zaznal tudi povecanje števila pritožb zoper sodišca (14).
Zoper katere zavezance so bile vložene pritožbe?
Po preizkusu formalnih predpostavk Informacijski pooblašcenec v 87 primerih postopka zaradi molka ni uvedel, in sicer je v 22 primerih pritožbo s sklepom zavrgel: v 17 primerih zaradi preuranjenosti, v enem primeru zaradi pomanjkljive vloge, ki je prosilec kljub pozivu k dopolnitvi ni dopolnil, v enem primeru zato, ker je vlogo vložila neupravicena oseba, in v treh primerih zato, ker pritožba ni bila dovoljena. V osmih primerih je prosilec tekom postopka pritožbo umaknil, saj je od zavezanca prejel zahtevano informacijo. Informacijski pooblašcenec v nobenem primeru ni prevzel pritožbe v odlocanje in sam ni meritorno odlocil. V eni zadevi je izdal sklep o ustavitvi, štiri zadeve pa ima Informacijski pooblašcenec še odprte in v postopku.
V 52 primerih je Informacijski pooblašcenec postopek z molkom zakljucil tako, da je prosilcem pojasnil:
•	da za reševanje njihove vloge ni pristojen, in jim svetoval, kako ravnati v zvezi z njihovo zahtevo, 
•	da vloga, ki so jo vložili pri zavezancu, ni formalno popolna, 
•	da zavezanci utemeljeno niso obravnavali njihove vloge po ZDIJZ, temvec na drugi pravni podlagi,
•	da zaradi prekinitve teka rokov zaradi epidemije covid-19 roki po ZDIJZ ne tecejo.
V pritožbenih postopkih zaradi molka je Informacijski pooblašcenec v 144 primerih zavezance pozval, naj o zahtevi prosilca cim prej odlocijo. Po pozivu Informacijskega pooblašcenca so v 62 primerih zavezanci prosilcu informacijo posredovali, v 44 primerih so prosilcu dostop zavrnili ter mu izdali zavrnilno odlocbo, v 34 primerih pa so prosilcu le delno omogocili dostop (dolocene podatke so zakrili oz. omogocili dostop le do dolocenih informacij, dostop do preostalih pa so z odlocbo zavrnili). V enem primeru so zavezanci zahtevo prosilca s sklepom zavrgli. V treh primerih so organi vlogo prosilca za dostop do dokumentov odstopili v reševanje drugemu organu. 


Kako so ravnali zavezanci po pozivu Informacijskega pooblašcenca zaradi molka?


2.3 ŠTEVILO VLOŽENIH TOŽB IN PREJETIH SODB
Pritožba zoper odlocbo Informacijskega pooblašcenca ni dopustna, mogoce pa je sprožiti upravni spor. Leta 2020 je bilo na Upravnem sodišcu RS vloženih 36 tožb zoper odlocbe Informacijskega pooblašcenca (zoper 10,97 % izdanih odlocb). Delež je relativno majhen, kar kaže na uveljavitev transparentnosti in odprtosti javnega sektorja, pa tudi na sprejemanje odlocb Informacijskega pooblašcenca s strani zavezancev in prosilcev.
Upravno sodišce je leta 2020 odlocilo o 17 tožbah, ki so bile vložene zoper odlocbe Informacijskega pooblašcenca, in:
•	tožbo zavrnilo – 11,
•	tožbi ugodilo, izpodbijano odlocbo oz. del odlocbe odpravilo in zadevo vrnilo Informacijskemu pooblašcencu v ponovno odlocanje – 3,
•	tožbi ugodilo, izpodbijano odlocbo odpravilo in zadevo vrnilo okrajnemu sodišcu v ponovno 
odlocanje – 1,
•	tožbi delno ugodilo tako, da je v enem delu spremenilo izrek izpodbijane odlocbe, v preostalem delu pa je tožbo zavrnilo – 1,
•	tožbi v celoti ugodilo tako, da je v celoti spremenilo izrek izpodbijane odlocbe – 1.
	
Leta 2020 je en zavezanec na Vrhovno sodišce RS vložil revizijo zoper sodbo Upravnega sodišca. 
2.4 STORJENI PREKRŠKI PO ZDIJZ, ZInfP IN ZMed
Leta 2020 Informacijski pooblašcenec ni izdal nobene odlocbe o prekršku zaradi kršitev dolocb ZDIJZ, ZInfP ali Zmed, je pa v zadevi pod opr. št. 090-112/2015 zoper Ekonomsko fakulteto v Ljubljani uvedel postopek izvršbe s prisilitvijo, ker zavezanec, kljub temu da je odlocba Informacijskega pooblašcenca postala pravnomocna in izvršljiva že v letu 2016, prosilki še vedno ne želi posredovati informacij javnega znacaja, kot mu je bilo naloženo.
2.5 IZBRANI PRIMERI NA PODROCJU DOSTOPA DO INFORMACIJ JAVNEGA ZNACAJA
Zaposleni v javnih podjetjih niso javni uslužbenci, zato so njihovi osebni podatki varovani
Novinarka je od Javnega podjetja Marjetica Koper, d. o. o., želela prejeti odgovor na vprašanje, od kdaj je dolocen posameznik zaposlen pri organu in na katerem delovnem mestu je zaposlen. Organ ji na zastavljeno vprašanje ni želel odgovoriti zaradi varstva osebnih podatkov. Temu je prosilka v pritožbi nasprotovala in navedla, da gre za osebne podatke javnega uslužbenca, ki niso varovani, za razkritje teh podatkov naj bi bil podan tudi javni interes. V pritožbenem postopku je Informacijski pooblašcenec ugotovil, da je razkritje osebnih podatkov v postopku dostopa do informacij javnega znacaja dopustno le, kadar gre za osebne podatke, ki hkrati pomenijo, npr. podatke, povezane z opravljanjem javne funkcije ali delovnega razmerja javnega uslužbenca (1. alineja tretjega odstavka 6. clena ZDIJZ). Po preucitvi zadeve je Informacijski pooblašcenec zakljucil, da tovrstna pravna podlaga v obravnavanem primeru ne obstaja. Iz 1. clena Zakona o javnih uslužbencih namrec izhaja, da so javni uslužbenci posamezniki, ki so sklenili delovno razmerje v javnem sektorju, pri cemer javna podjetja in gospodarske družbe, v katerih ima vecinski delež oz. prevladujoci vpliv država ali lokalna skupnost, niso del javnega sektorja po tem zakonu. To pomeni, da zaposleni v javnih podjetjih niso javni uslužbenci in posledicno uporaba tretjega odstavka 6. clena ZDIJZ kot pravna podlaga za posredovanje njihovih osebnih podatkov javnosti ne pride v poštev. Po oceni Informacijskega pooblašcenca za razkritje varovanih osebnih podatkov tudi prevladujoc javni interes ni bil podan. Posameznik, na katerega se je nanašala zahteva, namrec ni bil niti absolutno javna oseba niti vodilni predstavnik javnega podjetja (npr. direktor). Prav tako prosilka ni izkazala, da bi bili zahtevani podatki povezani z delom javnega podjetja ali pomembni za širši krog uporabnikov javnih storitev, ki jih podjetje izvaja. Informacijski pooblašcenec je zato pritožbo zavrnil kot neutemeljeno.
 
KLJUCNE BESEDE: mediji, osebni podatek, test interesa javnosti, številka odlocbe 090-277/2019
Prosilec ne more vec kot enkrat zahtevati istih informacij javnega znacaja, ce so mu bile zahtevane informacije že posredovane
Novinarka je na Ministrstvo za kmetijstvo, gozdarstvo in prehrano naslovila vprašanje, ali je ministrica v povezavi z afero mleto meso že odredila napovedani notranji nadzor, kdo ga bo izvajal, kakšen je njegov namen in kdaj bodo znane ugotovitve. Organ je dostop do sklepa o imenovanju komisije za notranji nadzor nad delom Uprave RS za varno hrano, veterinarstvo in varstvo rastlin zavrnil s sklicevanjem na izjemi varstva tajnih podatkov (1. tocka prvega odstavka 6. clena ZDIJZ) in notranje delovanje organa (11. tocka prvega odstavka 6. clena ZDIJZ). Organ je navedel, da zahtevani sklep nosi oznako tajnosti INTERNO, poleg tega dokument vsebuje podatke o usmeritvi in nalogah imenovane komisije, ki še ni koncala svojega dela, zato bi predcasno razkritje povzrocilo motnje pri delovanju komisije in škodovalo izvedbi nadzora. Prosilka je v pritožbi oporekala oznaki tajnosti, saj zahtevani podatki niso s tocno opredeljenih podrocij po Zakonu o tajnih podatkih. Oporekala je tudi prekrivanju podatkov o clanih komisije za notranji nadzor, saj so to javni uslužbenci in mora biti delo take komisije transparentno, v prehranski aferi pa je izpolnjen tudi javni interes. V pritožbenem postopku je Informacijski pooblašcenec pri organu opravil ogled in camera ter ugotovil, da ima zahtevani dokument vidno oznako stopnje tajnosti INTERNO, ki jo je dolocila ministrica. Tekom pritožbenega postopka je Informacijski pooblašcenec ugotovil, da je organ spremenil svojo odlocitev iz izpodbijane odlocbe in prosilki zahtevano informacijo javnega znacaja posredoval, ker so razlogi, zaradi katerih je dostop do zahtevane informacije z izpodbijano odlocbo zavrnil, prenehali. Da je zahtevani sklep prejela, je potrdila tudi prosilka. Posledicno prosilka v obravnavani zadevi ni imela vec pravovarstvenega interesa, ker je organ njeni zahtevi za dostop do informacije javnega znacaja že ugodil. Ker so bile zahtevane informacije prosilki posredovane in v pritožbenem postopku svojega pravnega položaja ni mogla vec izboljšati, je Informacijski pooblašcenec njeno pritožbo zavrgel. Takšno stališce je zavzelo tudi sodišce v svojih odlocitvah 
št. I U 1590/2010 in št. I U 1245/2010.
KLJUCNE BESEDE: mediji, kršitev postopka, številka odlocbe 090-265/2019
Podatki o obmocju izkorišcanja cementnega laporja in apnenca so okoljski podatki, ki so absolutno javni
Prosilec je od Ministrstva za infrastrukturo zahteval dokument, ki prikazuje meje povecanega pridobivalnega prostora »Deskle-Lastivnica-Perunk«: situacijski nacrt – mapna kopija z vrisanim kamnolomom in pridobivalnim prostorom. Organ je zahtevo zavrnil s sklicevanjem na poslovno skrivnost (2. tocka prvega odstavka 6. clena ZDIJZ) in Zakon o rudarstvu, po katerem je zavezan s temi podatki ravnati kot s poslovno skrivnostjo. Prosilec se z zavrnitvijo dostopa ni strinjal, ker zahtevani dokument kot priloga k odlocbi, ki jo je kot informacijo javnega znacaja že prejel, predstavlja le dodatno pojasnilo, na katerem je v graficni obliki prikazano obmocje pridobivanja, ki je doloceno v odlocbi. Posredovanju zahtevanega dokumenta je nasprotovala tudi stranska udeleženka. Zatrjevala je, da podatek o obmocju kamnoloma ni okoljski podatek, ki bi ga kot javnega dolocal Zakon o varstvu okolja (ZVO-1). V pritožbenem postopku je Informacijski pooblašcenec ugotovil, da pri zahtevanih informacijah ne gre za podatke, ki bi bili poslovna skrivnost že po samem zakonu. Ker je stranska udeleženka sklep o poslovni skrivnosti sprejela po vložitvi zahteve za dostop do informacij javnega znacaja, je Informacijski pooblašcenec zakljucil, da ni izpolnjen subjektivni kriterij poslovne skrivnosti kot tudi ne pogoj obcutne škode, ki ga zahteva objektivni kriterij poslovne skrivnosti. Poslovna skrivnost po ZDIJZ ni zavarovana absolutno, zato je Informacijski pooblašcenec v obravnavani zadevi presojal, ali je zahtevani dokument tudi okoljski podatek, ki je absolutno javen na podlagi 2. alineje tretjega odstavka 6. clena ZDIJZ. Zahtevani dokument predstavlja graficni prikaz mej povecanega pridobivalnega prostora »Deskle-Lastivnica-Perunk«, kjer se stranski udeleženki kot nosilki rudarske pravice dovoljuje izkorišcanje cementnega laporja in apnenca, ter se nanaša na obmocje izkorišcanja kamenin. Kamenine in mineralne snovi pa predstavljajo del okolja, kot ga definira 1.3. tocka 3. clena ZVO-1. Glede na to, da zahtevani dokument vsebuje podatke o obmocju pridobivalnega prostora, na katerem je stranski udeleženki dovoljeno izkorišcanje teh kamenin, nedvomno vsebuje okoljske informacije. Informacijski pooblašcenec je zakljucil, da so zahtevani podatki okoljski podatki in kot taki absolutno javni. Odlocitev Informacijskega pooblašcenca je potrdilo tudi Upravno sodišce.
KLJUCNE BESEDE: okoljski podatki, poslovna skrivnost, številka odlocbe 090-230/2019 
Ce obravnavani dokument ne ustreza vsebini zahtevanega dokumenta, ga ni moc šteti za predmet zahteve
Prosilec je od Komisije za preprecevanje korupcije želel prejeti zbirko podatkov, in sicer evidenco zadev s podrocja nesorazmerno povecanega premoženja iz 45. clena Zakona o integriteti in preprecevanju korupcije (ZIntPK). Organ je dostop do zahtevane evidence zavrnil, ker z njo ne razpolaga. ZlntPK sicer zahteva, da organ vodi evidenco zadev s podrocja nesorazmerno povecanega premoženja iz 45. clena ZlntPK, ki obsega: osebno ime, funkcijo oz. položaj zavezancev iz prvega odstavka 41. clena tega zakona, seznam obvestil po drugem odstavku 45. clena tega zakona, seznam obvestil iz cetrtega odstavka 45. clena tega zakona, seznam sprejetih odlocitev po petem odstavku 45. clena tega zakona in seznam ukrepov po šestem odstavku 45. clena tega zakona, vendar evidence s tovrstnimi podatki organ nima. Organ je podrobno pojasnil vse zakonske prepreke, ki onemogocajo vzpostavitev take evidence. Prosilec se z odlocitvijo organa ni strinjal in je v pritožbi navedel, da Excelova tabela, ki jo je vzpostavila uslužbenka, ki ni vec zaposlena pri organu, kljub morebitnim manjkajocim podatkom vsebinsko ustreza zahtevanemu dokumentu. V pritožbenem postopku je Informacijski pooblašcenec v celoti sledil argumentom organa, zato je pritožbo zavrnil kot neutemeljeno. Kljucno je bilo dejstvo, da je v Excel tabelo organ vpisoval druge vrste podatkov, kot jih predvideva zakon, ostalih delov Excel tabele pa organ niti ni izpolnjeval. Prosilec je izrecno zahteval »Evidenco zadev s podrocja nesorazmerno povecanega premoženja iz 45. clena ZIntPK«, za katero je zakon dolocil vsebino oz. nabor podatkov, ki jih mora zajemati (enajsta alineja drugega odstavka 76. clena ZlntPK), zato je samo ta dokument, z zakonsko opredeljeno vsebino, predmet zahteve, na katero sta bila organ in Informacijski pooblašcenec tudi vezana. V Excel tabeli, s katero organ razpolaga, so bili vsebovani drugi podatki oz. podatki, ki jih enajsta alineja drugega odstavka 76. clena ZlntPK ne doloca, zato je ni bilo mogoce obravnavati kot predmet zahteve niti z vidika »osnutka, delnega izdelka«. Pri Excel tabeli ni bilo ugotovljeno zgolj, da gre za »manjkajoce podatke«, temvec je bilo ugotovljeno, da vsebuje povsem druge podatke, kot jih predvideva zakon. Ce organ, kot je pojasnil na ogledu in camera, ne izvaja postopkov po drugem, cetrtem, petem in šestem odstavku 45. clena ZlntPK, je logicno, da takšne evidence, kot jo predvideva zakon, ne more voditi. Informacijski pooblašcenec zato ni videl razloga, da ne bi sledil ugotovitvi organa, da z dokumentom ne razpolaga. Pritožbo je zavrnil kot neutemeljeno.
KLJUCNE BESEDE: ali dokument obstaja?, številka odlocbe 090-23/2020
Transparentnost postopkov javnega narocanja se nadaljuje tudi po podpisu pogodbe z izbranim izvajalcem
Prosilec je od Družbe za avtoceste v Republiki Sloveniji, d. d., zahteval dokumente v zvezi z javnim narocilom elektronskega cestninskega sistema. Organ je zahtevo delno zavrnil s sklicevanjem na poslovno skrivnost (2. tocka prvega odstavka 6. clena ZDIJZ) in izjemo varstva osebnih podatkov (3. tocka prvega odstavka 
6. clena ZDIJZ). Organ se je opredelil do vsakega posameznega zahtevanega dokumenta tako z vidika obstoja izjeme poslovne skrivnosti kot varstva osebnih podatkov. Prosilka je v pritožbi zatrjevala, da bi moral organ izjemo poslovne skrivnosti presojati po Zakonu o poslovni skrivnosti (ZPosS) in ne po materialnem pravu, veljavnem v casu, ko je zahtevani dokument nastal. Prav tako se ni strinjala s prekritjem dolocenih osebnih podatkov. Informacijski pooblašcenec je v pritožbenem postopku ugotovil, da je organ glede dolocenih dokumentov dostop neutemeljeno zavrnil, saj izjema poslovne skrivnosti ni bila izkazana ali pa je šlo za podatke, ki so izkazovali porabo javnih sredstev oz. izpolnjevanje pogojev v postopku javnega narocanja. Ker je Informacijski pooblašcenec še posebej poudaril, da se s podpisom pogodbe z izbranim izvajalcem v postopku javnega narocanja transparentnost postopka ne konca, temvec bi lahko rekli, da se glavni nadzor z izborom šele zacenja, ima javnost pravico pridobiti tudi podatke o tem, ali izbrani izvajalec dejansko izpolnjuje pogodbene obveznosti, za katere se porabljajo javna sredstva, v nasprotnem primeru mu namrec javna sredstva ne pripadajo oz. nastopijo okolišcine v skladu s pogodbo (npr. pogodbene kazni, škoda ipd.). Tako je npr. odobril dostop do dokumentov, ki so v neposredni zvezi z izvrševanjem sklenjene pogodbe (npr. aneks k pogodbi, cenik rezervnih delov), dostop do dokumentov, ki so vselej javni po 
ZJN-2 in tudi po ZJN-3 (npr. specifikacija storitev in blaga), dostop do dokumentov, ki poleg meril razpisne dokumentacije vsebujejo tudi pogoje (npr. ponudbe za aneks, obrazložitev in opis sprememb, ki jih je na podlagi zahtev narocnika pripravil ponudnik in se nanašajo na opise sprememb pogodbenih del), dostop do dokumentov, ki poleg skupne vrednosti investicijskih in operativnih stroškov vsebujejo tudi podatke o locenih stroških, dostop do dokumentov, ki izkazujejo izpolnjevanje pogodbenih obveznosti (npr. podatki o testiranju in funkcionalnem preizkusu delovanja sistema), dostop do dokumentov, ki jih je organ ustvaril na podlagi 95. clena ZJN-3 in se nanašajo na izvajanje pogodbe, sklenjene v okviru javnega narocila 
(npr. zapisnik o izvedenih pogajanjih), dostop do dokumentov, ki izkazujejo ugotovitve organa kot narocnika, ali je izvajalec opravil in uspešno izpolnil svoje pogodbene obveznosti za vzpostavitev sistema (npr. potrdilo o uspešno izvedenih testiranjih). Informacijski pooblašcenec je pritrdil odlocitvi organa v tistih delih zahtevane dokumentacije, kjer je narocnik predvidel »prosti tekst« in podatki niso izkazovali izpolnjevanja pogojev razpisa. Tako je za varovane osebne podatke npr. štel življenjepise kljucnega osebja, ki bo izvajalo pogodbena dela, ker niso bili zahtevani posebni pogoji (npr. izkušnje, reference, izobrazba ipd.). Za varovane osebne podatke je štel tudi osebna imena predstavnikov narocnika in izvajalca ter osebe, ki je pisala zapisnik, osebna imena posameznikov, ki so zaposleni pri organu ali izvajalcu oz. pogodbenih partnerjih. Za poslovno skrivnost je štel vse tiste dokumente, ki niso predstavljali izpolnjevanja razpisnih pogojev ali meril. Informacijski pooblašcenec je pri tem poudaril, da izjeme poslovne skrivnosti, ce je ta izkazana, ni mogoce v celoti spregledati, še posebej v delu, kadar je javno narocilo, tako kot v obravnavanem primeru, »usmerjeno« na »prosti tekst« s ciljem, da ponudnik izkaže inovativnost pri predlaganju dolocenih rešitev, tehnicno, organizacijsko in razvojno znanje. Kjer je šlo za podatke, ki so bili rezultat vseh prednosti, izkušenj, opreme, kadrovske usposobljenosti ter organizacije pri izvajalcu, je Informacijski pooblašcenec menil, da je poleg subjektivnega kriterija izkazan tudi objektivni kriterij poslovne skrivnosti. Enako je odlocil za dokumente, ki vsebujejo podrobne tehnicne informacije in rešitve, ki so plod tehnicnega znanja v zvezi z relevantno tehnologijo. V obravnavani zadevi je Informacijski pooblašcenec tako pritožbi delno ugodil.
KLJUCNE BESEDE: javna narocila, poslovna skrivnost, številka odlocbe 090-11/2020
Letne ocene javnih uslužbencev so prosto dostopne informacije javnega znacaja
Prosilec je od Urada Vlade RS za oskrbo in integracijo migrantov zahteval posredovanje informacije o letnih ocenah javnih uslužbencev znotraj organa za leti 2017 in 2018 (samo ime in ocena, brez obrazložitve). Organ je zahtevo zavrnil z argumentom, da z dokumentom »Informacija o letnih ocenah javnih uslužbencev organa za leti 2017 in 2018«, iz katere bi izhajali zaprošeni podatki (ime javnega uslužbenca in njegova ocena), ne razpolaga. Prosilec je v pritožbi poudaril, da je bila z zahtevo organu prepušcena izbira vira in nacina podajanja zahtevane informacije, zato je bila zavrnitev neutemeljena. Pristop organa je bil po mnenju prosilca v nasprotju z naceli dostopnosti informacij javnega znacaja, saj je organ v izpodbijani odlocbi ugotovil, da so dokumenti, iz katerih je bilo te informacije mogoce razbrati, pri organu obstajali. V pritožbenem postopku je Informacijski pooblašcenec organ pozval, da mu dostavi zahtevane dokumente. Organ je posredoval seznam vseh zaposlenih in njihove ocene. Informacijski pooblašcenec je ugotovil, da je organ razpolagal s 27 letnimi ocenami javnih uslužbencev za leto 2017 in s 27 letnimi ocenami javnih uslužbencev za leto 2018. Organ se v konkretnem primeru pri tolmacenju zahteve ne bi smel omejiti le na dokument, poimenovan kot »Informacija o letnih ocenah javnih uslužbencev organa za leto 2017 in 2018«, ampak bi moral zahtevo prosilca tolmaciti širše. Širše razumevanje zahteve prosilca je Informacijskega pooblašcenca privedlo do ugotovitve drugacnega dejanskega stanja, kot je izhajalo iz izpodbijane odlocbe. Z dokumenti o zahtevanih informacijah je organ razpolagal, pri cemer informacije niso sodile med varovane osebne podatke. ZDIJZ dostop do osebnih podatkov dovoli, ce gre za podatke o porabi javnih sredstev ali za podatke, povezane z opravljanjem javne funkcije ali delovnega razmerja javnega uslužbenca (1. alineja tretjega odstavka 6. clena ZDIJZ). V kontekstu te dolocbe se podatki o imenih, priimkih in ocenah javnih uslužbencev ne štejejo med varovane osebne podatke, saj gre za podatke, ki so v neposredni povezavi z opravljanjem delovnega razmerja javnega uslužbenca. Prav tako imajo za posledico potencialno porabo javnih sredstev, saj se o pravici javnega uslužbenca do napredovanja odloca prav na podlagi treh letnih ocen. Informacijski pooblašcenec je tako pritožbi prosilca ugodil in odlocil, da mu mora organ posredovati elektronske kopije letnih ocen javnih uslužbencev organa za leto 2017 (27 ocen) in 2018 (27 ocen) na nacin, da bodo iz njih razvidni ime, priimek in skupna letna ocena posameznega javnega uslužbenca.
KLJUCNE BESEDE: javni uslužbenci, osebni podatki, številka odlocbe 090-55/2020
Oskrba zapušcenih živali sodi v okvir izvajanja javne službe, zato so ti podatki informacije javnega znacaja
Prosilka je od Zavetišca Zonzani, d. o. o., zahtevala podatke o psu po evidencni številki, in sicer status psa (oddan ali evtanaziran), kopijo kartoteke (brez cipa in potnega lista) in racun, ki je bil izstavljen. Organ je prosilki posredoval anonimizirano odlocbo Uprave RS za varno hrano, veterinarstvo in varstvo rastlin, dostop do preostalih podatkov pa zavrnil, ker ne gre za informacije javnega znacaja, ki bi jih bil dolžan posredovati kot subjekt pod prevladujocim vplivom oseb javnega prava (4.a clen ZDIJZ). Prosilka je vložila pritožbo in navedla, da ni zahtevala nobenih osebnih podatkov ali podatkov, ki bi bremenili kakšno osebo, zato je pricakovala, da bo njeni pritožbi ugodeno. Informacijski pooblašcenec je štel obvestilo organa kot zavrnilno odlocbo. V obravnavanem primeru je bilo sporno, ali je zahtevane informacije mogoce šteti v delovno podrocje organa v okviru njegove zavezanosti po ZDIJZ. Informacijski pooblašcenec je ugotovil, da organ kot izvajalec javne službe zagotavljanja zavetišca za zapušcene živali sodi med organe, ki so zavezanci po prvem odstavku
1. clena ZDIJZ in ne 1.a clena, kot je zatrjeval organ. Zakon o zašciti živali (ZZZiv) doloca, da je zagotovitev zavetišca lokalna zadeva javnega pomena, ki se izvršuje kot javna služba. Tako ni bilo dvoma, da zavetišce, na katerega obcina s pogodbo prenese izvajanje dolocenega dela ali vseh nalog javne službe zagotavljanja zavetišca za zapušcene živali, postane izvajalec javne službe, torej izvajalec javnopravnih nalog. V obravnavanem primeru nedvomno ni šlo za subjekt pod prevladujocim vplivom oseb javnega prava, ki po definiciji predstavlja tisto gospodarsko družbo in druge pravne osebe zasebnega prava, ki so pod neposrednim ali posrednim prevladujocim vplivom, posamicno ali skupaj, Republike Slovenije, samoupravnih lokalnih skupnosti in drugih oseb javnega prava. Pri konkretnem zavetišcu gre za povsem zasebno družbo. Tudi iz Registra zavezancev za informacije javnega znacaja je bilo razvidno, da je bil organ vanj vpisan kot izvajalec javne službe na podlagi pogodbe o izvajanju dejavnosti oskrbe in namestitve zapušcenih živali. Ker je v obravnavanem primeru prosilka zahtevala informacije (brez osebnih podatkov), ki so nastale v okviru izvajanja javne službe organa, je Informacijski pooblašcenec odlocil, da gre za prosto dostopne informacije javnega znacaja. Pritožbi prosilke je tako ugodil in organu odredil, da ji posreduje zahtevane dokumente na nacin, da prekrije podatke, ki jih ni zahtevala.
KLJUCNE BESEDE: ali spada v delovno podrocje?, ali je organ zavezanec?, številka odlocbe 090-70/2020
Ravnanje policije v primeru migrantske politike je v javnem interesu
Prosilec je od Ministrstva za notranje zadeve zahteval dostop do vseh porocil o nadzoru nad policijo, ki jih je organ izdal v letu 2019. Organ je kot predmet zahteve prepoznal dve porocili, in sicer (1) Redni nadzor nad spoštovanjem clovekovih pravic v postopkih z ilegalnimi migranti in (2) Redni nadzor nad izvajanjem policijskih pooblastil pri varovanju državne meje. Organ je dostop do zahtevanih dokumentov zavrnil s sklicevanjem na izjemo varstva tajnih podatkov (1. tocka prvega odstavka 6. clena ZDIJZ), saj sta bili obe porocili oznaceni s stopnjo tajnosti INTERNO. Prosilec je vložil pritožbo in zahteval, da Informacijski pooblašcenec presodi, ali je oznacba stopnje tajnosti na dokumentih ustrezna. Informacijski pooblašcenec je zaprosil tudi za izvedbo testa javnega interesa. V pritožbenem postopku je Informacijski pooblašcenec ugotovil, da so bili glede zahtevanih porocil izpolnjeni tako materialni kot formalni pogoji za tajne podatke in je bila posledicno tudi podana izjema varstva tajnih podatkov. Ob izvedbi testa prevladujocega interesa javnosti je Informacijski pooblašcenec ugotovil, da je njegovo izvajanje v konkretnem primeru dovoljeno, saj sta bila dokumenta oznacena z najnižjo stopnjo tajnosti (INTERNO). V obravnavanem primeru so razlogi za varovanje zahtevanih podatkov izhajali iz ocene možnih škodljivih posledic, vendar je pri tehtanju, ali javni interes za njihovo razkritje prevlada, Informacijski pooblašcenec upošteval vsebino obeh porocil (tj. nadzor nad delom policije in ugotovljene pomanjkljivosti v zvezi z izvajanjem policijskih pooblastil pri nadzoru državne meje in v postopkih z ilegalnimi migranti). Javnost ima pravico, da se seznani z informacijami o tem, ali policija izvaja naloge zakonito, enotno, predvidljivo, in ce jih ne, kje so bile ugotovljene pomanjkljivosti ter kakšni so predlagani ukrepi. Informacije, iz katerih izhaja, kako policija izvaja policijska pooblastila in kakšne pomanjkljivosti so bile v zvezi s tem ugotovljene, so torej v javnem interesu. Ustrezna javna razprava o tem vprašanju je mogoca le ob dostopnosti vseh relevantnih informacij, zato je pomembno, da se javnost z njimi seznani. Informacijski pooblašcenec je opravil presojo sorazmernosti in omogocil dostop le do tistih delov obeh porocil, ki navajajo zakonske in podzakonske podlage za delovanje policije in kažejo na skupne ugotovitve in predlagane ukrepe v zvezi z ugotovljenimi pomanjkljivostmi, pri cemer z razkritjem teh delov zahtevanih porocil ne more priti do razkritja posebnih metod in tehnik dela policije. Tako je Informacijski pooblašcenec pritožbi prosilca delno ugodil in organu naložil, da iz zahtevanih porocil delno umakne stopnjo tajnosti INTERNO ter ju v tem delu posreduje prosilcu. 
KLJUCNE BESEDE: tajni podatki, test interesa javnosti, številka odlocbe 090-38/2020
Prosilci so upraviceni do dokumentov in ne zgolj do izpisov podatkov
Prosilec je od Elektra Maribor Energija plus, d. o. o., zahteval pogodbo o sodelovanju med zavezancem ter subjektom, ki se ukvarja z izterjavo, anekse k pogodbi ter informacijo o skupnem znesku, ki je bil izplacan subjektu. Ker je zavezanec poslovni subjekt pod prevladujocim vplivom oseb javnega prava, je prosilcu posredoval višino izplacil družbi Izterjava, d. o. o., in pogodbo o upravljanju terjatev v tistih delih, za katere je menil, da so absolutno javni podatki. Glede ostalih delov pogodbe je dostop zavrnil s sklicevanjem na poslovno skrivnost (2. tocka prvega odstavka 6. clena ZDIJZ). Prosilec je v pritožbi oporekal temu, da prekriti deli predstavljajo poslovno skrivnost; s predmetno pogodbo se je želel seznaniti v celoti. Informacijski pooblašcenec je v pritožbenem postopku ugotovil, da je vsebina zahtevane pogodbe s pogodbenim dolocilom in internim aktom zavezanca dolocena kot poslovna skrivnost po subjektivnem kriteriju (prvi odstavek 39. clena ZGD-1). Glede na to, da je bila zahtevana pogodba podpisana avgusta 2018, torej pred uveljavitvijo Zakona o poslovni skrivnosti, ki je stopil v veljavo aprila 2019, je Informacijski pooblašcenec pri presoji poslovne skrivnosti upošteval dolocbi 39. in 40. clena ZGD-1, ki sta veljali v casu nastanka zahtevanih podatkov. Kot veleva ZDIJZ, so pri subjektu pod prevladujocim vplivom absolutno javni podatki o vrsti posla,  pogodbenem partnerju, pogodbeni vrednosti in višini posameznih izplacil, datumu in trajanju posla ter enaki podatki iz morebitnega aneksa k pogodbi. Informacijski pooblašcenec je ugotovil, da je zavezanec prosilcu posredoval dele zahtevane pogodbe, ki izkazujejo podatke o vrsti posla, pogodbenem partnerju ter datumu in trajanju posla, ni pa mu posredoval podatka o pogodbeni vrednosti in višini posameznih izplacil. Glede na to, da je bila vsebina zahtevane pogodbe tudi dolocilo glede pogodbene vrednosti (podatkov o višini posameznih izplacil pogodba ni vsebovala), je Informacijski pooblašcenec zavezancu odredil, da prosilcu posreduje tudi ta podatek. Pri tem je Informacijski pooblašcenec vztrajal pri ustaljeni praksi, da je prosilec upravicen do dokumenta samega (in ne zgolj do izpisa podatkov, ki jih na podlagi zahtevanega dokumenta pripravijo zavezanci).
KLJUCNE BESEDE: poslovni subjekt pod prevladujocim vplivom, poslovna skrivnost, številka odlocbe 09021-2/2020
Mnenje eticne komisije bolnišnice je bilo delno razkrito zaradi pomembnosti tematike, ki je tudi v javnem interesu
Prosilec je od Splošne bolnišnice dr. Franca Derganca Nova Gorica želel prejeti mnenje eticne komisije glede vnaprejšnjega ocenjevanja oz. »triažiranja« vseh prebivalcev v domovih za starejše. Organ je zahtevo zavrnil s sklicevanjem na izjemo varstva osebnih podatkov (3. tocka prvega odstavka 6. clena ZDIJZ) in izjemo notranjega delovanja organa (11. tocka prvega odstavka 6. clena ZDIJZ). Pojasnil je, da zaprošeni dokument vsebuje podrobne vsebinske razprave, iz katerih izhajajo osebna mnenja, pogledi in stališca ter odnos posameznih clanov bolnišnicne eticne komisije do obravnavane teme, kar predstavlja varovane osebne podatke. Iz zahtevanega dokumenta je tako razvidno, kakšno je bilo mnenje posameznega clana, kdo od clanov je kaj povedal in kakšna so bila individualna stališca do obravnavane teme. Prosilec se je zoper odlocitev pritožil in navedel, da so informacije o aktivnosti triaže, ki so efektivno pomenile vnaprejšnjo klasifikacijo stanovalcev na tiste, ki naj bi v primeru obolelosti dobili »pravico« do zdravljenja v bolnišnici, ter tiste, ki je ne bi, v javnem interesu. Prosilec se ni strinjal, da iz zahtevanega dokumenta ni možno izlociti varovanih podatkov in da delni dostop ni mogoc. Informacijski pooblašcenec je v pritožbenem postopku ugotovil, da so osebni podatki clanov eticne komisije v zahtevanem dokumentu navedeni v zvezi z opravljanjem njihove javne funkcije, zato niso varovani (1. alineja tretjega odstavka 6. clena ZDIJZ). Eticna komisija je tematiko v zahtevanem dokumentu obravnavala v okviru izvajanja nalog, ki jih dolocata sklep o imenovanju in poslovnik eticne komisije, zato se ti podatki v zahtevanem dokumentu pojavljajo v zvezi z izvajanjem teh (javnopravnih) nalog in ne v zasebnem svojstvu tam navedenih posameznikov. Prav tako zahtevani dokument ni vseboval nobenih osebnostnih znacilnosti posameznikov – clanov eticne komisije niti njihovega vedenja, custev in odnosa do dolocene tematike. Ker je zahtevani dokument vseboval stališca posameznih clanov eticne komisije, ki so o zadevni temi razpravljali na za javnost zaprti seji, je Informacijski pooblašcenec ugotovil, da so izpolnjeni pogoji za obstoj izjeme notranjega delovanja organa. Vendar ob tem ni bilo mogoce slediti stališcu organa, da je treba iz tega razloga dostop v celoti zavrniti in da delni dostop (7. clen ZDIJZ) do zahtevanega dokumenta ni mogoc. Kot relevantno okolišcino za razkritje je Informacijski pooblašcenec upošteval pomembnost tematike, ki je bila obravnavana, in sicer z vidika posledic, ki jih ima za uporabnike zdravstvenih storitev in za javnost na splošno. Informacijski pooblašcenec je ocenil, da se s prekritjem podatkov o identiteti razpravljavcev lahko zavarujejo podatki, ki predstavljajo notranje delovanje (podatki o tem, kdo je izrazil doloceno mnenje), medtem ko odlocitev komisije in vsebina razmišljanja nista varovana (ker iz tega izhajajo vsebinski razlogi za sprejete sklepe). Test prevladujocega interesa javnosti je Informacijski pooblašcenec tako izvedel v okviru presoje izjeme notranjega delovanja in instituta delnega dostopa. Pritožbi prosilca je delno ugodil.
KLJUCNE BESEDE: osebni podatek, javni uslužbenci, test interesa javnosti, številka odlocbe 090-140/2020
Mnenje eticne komisije bolnišnice sodi v sfero, povezano z delovnim razmerjem javnega uslužbenca, zato je prosto dostopno
Prosilka je od Splošne bolnišnice Slovenj Gradec želela prejeti mnenje eticne komisije o izjavah njenega direktorja na družbenem omrežju Twitter. Organ je zahtevo zavrnil s sklicevanjem na varstvo osebnih podatkov. Navedel je, da zahtevani dokument kot celota predstavlja eticno presojo izjav direktorja na družbenem omrežju, sama vsebina pa so varovani osebni podatki, ker je šlo za izrazito osebne izpovedi clanov eticne komisije, za njihova osebna mnenja oz. stališca glede izjav direktorja, ki se kot takšna nanašajo na tocno doloceno osebo. Prosilka se je na odlocitev pritožila, ker so bile predmet presoje eticne komisije izjave direktorja bolnišnice, ki so vodile do njegovega odstopa s funkcije, podatki pa so bili v zvezi z delovnim razmerjem oz. z opravljanjem javne funkcije in zato niso bili varovani. Informacijski pooblašcenec je v pritožbenem postopku ugotovil, da iz zahtevanega mnenja eticne komisije niso bili razvidni osebni podatki clanov eticne komisije niti njihova osebna stališca in odnos do obravnavane tematike. Zahtevano mnenje je vsebovalo le osebne podatke o javnem uslužbencu, na katerega se je mnenje nanašalo, ter osebni imeni predsednika eticne komisije in strokovne direktorice, ki ji je bilo mnenje posredovano. Informacijski pooblašcenec tako ni sledil stališcu organa, da bi z javnim razkritjem zahtevanega mnenja posegli v integriteto clanov komisije in v integriteto bolnišnice, ker je šlo za izrazito osebne izpovedi clanov eticne komisije, za njihova osebna mnenja oz. stališca glede izjav direktorja na družbenem omrežju. Ker iz zahtevanega mnenja sama razprava, osebni pogledi ali izjave prisotnih niso bili razvidni, pri tem pa je koncno stališce eticne komisije glede opisanega ravnanja predstavljalo podatek, ki je spadal v sfero, povezano z delovnim razmerjem javnega uslužbenca, je Informacijski pooblašcenec zakljucil, da je zahtevano mnenje prosto dostopno.
KLJUCNE BESEDE: osebni podatek, javni uslužbenci, številka odlocbe 090-143/2020
Odpravnina, ki pripada direktorju javnega podjetja, je absolutno javen podatek
Novinar je na podlagi Zakona o medijih na javno podjetje Mariborski vodovod, d. d., naslovil vprašanje, kolikšna odpravnina pripada direktorju po sporazumu o prekinitvi pogodbe in kolikšna po pogodbi o poslovodenju. Organ je prosilca glede podatkov o pogodbeni vrednosti odpravnine napotil na svojo spletno stran. Dostop do podatkov o višini odpravnine po sporazumu je zavrnil s sklicevanjem na izjemo poslovne skrivnosti
(2. tocka prvega odstavka 6. clena ZDIJZ). Prosilec se je na odgovor organa pritožil, saj pogodba o zaposlitvi oz. poslovodenju in podatek o višini odpravnine direktorju javnega podjetja v 100-odstotni obcinski lasti ne moreta nositi oznake zaupno. V pritožbenem postopku je Informacijski pooblašcenec ugotovil, da je bila pritožba zoper zavrnilni odgovor dovoljena, saj je zavrnilni oz. delno zavrnilni odgovor na vprašanje izhajal iz dokumenta, zadeve, dosjeja, registra, evidence ali drugega dokumentarnega gradiva. Glede obstoja poslovne skrivnosti je Informacijski pooblašcenec ugotovil, da je zahtevani podatek oznacen kot poslovna skrivnost, vendar organ ni izkazal, da ima ta podatek zanj tržno vrednost oz. da gre za informacijo, ki ni splošno znana ali lahko dosegljiva osebam v krogih, ki se obicajno ukvarjajo s to vrsto informacij. Po prvem odstavku 
2. clena Zakona o poslovni skrivnosti (ZPosS) pojem poslovne skrivnosti namrec zajema nerazkrito strokovno znanje, izkušnje in poslovne informacije, ki izpolnjujejo naslednje zahteve: (a) je skrivnost, ki ni splošno znana ali lahko dosegljiva osebam v krogih, ki se obicajno ukvarjajo s to vrsto informacij, (b) ima tržno vrednost, (c) imetnik poslovne skrivnosti je v danih okolišcinah razumno ukrepal, da jo ohrani kot skrivnost. Tako v konkretnih okolišcinah niso bili izpolnjeni pogoji za poslovno skrivnost. Ne glede na to pa se po ZPosS za poslovno skrivnost ne morejo dolociti informacije, ki so po zakonu javne, ali informacije o kršitvi zakona ali dobrih poslovnih obicajev. Tako je Informacijski pooblašcenec ocenil, da je podatek o bruto višini odpravnine podatek o porabi javnih sredstev in kot tak absolutno javen po 1. alineji tretjega odstavka 6. clena ZDIJZ.
KLJUCNE BESEDE: poslovna skrivnost, številka odlocbe 090-187/2020
Seznanitev javnosti z oceno možnih škodljivih posledic, s katero je dolocena tajnost odredb o spremljanju mednarodnih sistemov zvez, ne more povzrociti motenj pri delovanju organa
Prosilec je od Slovenske obvešcevalno-varnostne agencije želel pridobiti ocene možnih škodljivih posledic, s katerimi je dolocena tajnost odredb o spremljanju mednarodnih sistemov zvez med letoma 2012 in 2020. Organ je zahtevo zavrnil s sklicevanjem na varstvo notranjega delovanja oz. dejavnosti organa (11. tocka prvega odstavka 6. clena ZDIJZ). Navedel je, da ocena možnih škodljivih posledic ni oznacena s stopnjo tajnosti. Vendar kot obvezna priloga dokumentarnemu gradivu organa, ki je oznaceno z ustrezno stopnjo tajnosti, predstavlja sestavni del dokumentacije, ki je oznacena s stopnjo tajnosti in je bila sestavljena v zvezi z notranjim delovanjem oz. dejavnostjo organa, njeno razkritje pa bi povzrocilo motnje pri delovanju oz. dejavnosti organa. Da lahko organ izvaja svoje pristojnosti oz. naloge, ima v skladu z Zakonom o Slovenski obvešcevalno-varnostni agenciji (ZSOVA) urejena dolocena podrocja delovanja, med katera sodijo tudi posebne oblike pridobivanja podatkov in konkretno spremljanje mednarodnih sistemov zvez. Dokumenti organa, v katerih so neposredno ali posredno navedene kakršne koli informacije o izvajanju nalog organa, bi nepoklicanim osebam, med katerimi so lahko tudi pripadniki tujih obvešcevalnih služb, razkrili podatke, iz katerih izhaja postopek oz. nacin dela organa na podrocju spremljanja mednarodnih sistemov zvez. Ocena je obvezna priloga dokumentom, ki vsebujejo tajne podatke, in je tako nelocljivo povezana z dokumenti, katerih tajnost se z njo doloca in varuje. V konkretnem primeru zahteve sploh ni mogoce obravnavati v skladu z ZDIJZ, saj je ZDIJZ v tem segmentu v koliziji z 19. clenom Zakona o tajnih podatkih (ZTP), pri cemer je treba upoštevati 19. clen kot specialno dolocbo, ki ureja specificno podrocje. Prosilec se je zoper odlocitev organa pritožil, saj zaprošene ocene možnih škodljivih posledic po dosedanji praksi uporabe ZTP ne morejo oz. ne smejo vsebovati tajnih podatkov, kot jih opredeljuje ZTP. Zato tudi dejstvo, da so pisne ocene osnova za dolocitev tajnih podatkov oz. priloga dokumenta, ki vsebuje tajni podatek, v povezavi z 19. clenom ZTP ni in ne more biti pravno pomembno. Kljucen pomen in namen pisne ocene možnih škodljivih posledic
(t. i. škodnega testa) je torej možnost nadzora, da tajnost ni uporabljena zato, da bi se skrivalo in prikrivalo nezakonita ravnanja, zlorabo oblasti oz. bi se onemogocalo pridobivanje informacij javnega znacaja ter ucinkovit nadzor tudi javnosti nad zakonitostjo in ustavno skladnostjo delovanja oblastnih organov ter nosilcev javnih funkcij in upravljavcev javnih zadev. Informacijski pooblašcenec je pri organu opravil ogled in camera. V pritožbenem postopku je ugotovil, da obstaja ena takšna ocena možnih škodljivih posledic, ki pa ni oznacena z nobeno stopnjo tajnosti, kar pomeni, da sama ocena možnih škodljivih posledic ni tajni podatek. Ker predmet zahteve za dostop do informacij javnega znacaja ni tajni podatek, tudi 19. clena ZTP v obravnavani zadevi ni bilo mogoce upoštevati kot posebno ureditev. Ta dolocba je namrec relevantna samo v primeru tajnih podatkov. Informacijski pooblašcenec se ni strinjal z organom, da zahtevani dokument izpolnjuje pogoje za obstoj izjeme notranjega delovanja organa. Pisna ocena možnih škodljivih posledic praviloma ni dokument, ki bi bil sestavljen samo v zvezi z notranjim delovanjem oz. dejavnostjo organa, saj ni namenjen izkljucno uslužbencem organa (ne gre za dokument, ki bi bil izdelan le zaradi nekih notranjih potreb organa oz. zaradi oblikovanja stališc v zvezi z delom organa), temvec je namenjen tudi zunanjemu krogu oseb, in sicer za izvajanje nadzora bodisi s strani pristojnih organov bodisi s strani javnosti na podlagi pravice dostopa do informacij javnega znacaja. Poleg tega je Informacijski pooblašcenec ugotovil, da zahtevani dokument vsebuje le splošne podatke o nalogah organa in postopkih oz. nacinu njegovega dela na podrocju spremljanja mednarodnih sistemov zvez, in sicer v obsegu, ki izhaja iz ZSOVA. Informacijski pooblašcenec je zakljucil, da v obravnavanem primeru izjema notranjega delovanja organa ni bila podana. Pritožbi prosilca je ugodil in organu naložil, da mu posreduje zahtevani dokument.
KLJUCNE BESEDE: notranje delovanje, tajni podatki, številka odlocbe 090-169/2020
Nadzorni odbor obcine sodi med druge nadzorne organe, pristojne za financni nadzor, ki jih zajema dolocba drugega odstavka 5.a clena ZDIJZ
Prosilec je Obcino Lendava zaprosil za posredovanje osnutka porocila nadzornega odbora obcine in odzivno porocilo na osnutek porocila o opravljenem nadzoru pri izvedbi nakupa poslovnega objekta Krona. Organ je zahtevo prosilca zavrnil s sklicevanjem na izjemo varstva nadzornega postopka (drugi odstavek 5.a clena ZDIJZ). Pri tem je zatrdil, da ima Nadzorni odbor Obcine Lendava status nadzornega organa, organ pa se zavezuje, da bo sledil ugotovitvam in predlogom nadzornega odbora in bo ravnal skladno z zakljucki iz koncnega porocila, ki predlaga, da se zadeva preda v reševanje pristojnim organom za ugotavljanje suma oškodovanja obcinskega premoženja. Dodal je še, da poslovnik Nadzornega odbora Obcine Lendava doloca, da osnutek porocila o nadzoru ni informacija javnega znacaja. Prosilec je ugovarjal odlocitvi organa, da je nadzorni odbor obcine nadzorni organ, ki ga doloca drugi odstavek 5.a clena ZDIJZ. Navedel je, da je bila dolocba dodana v zakon z namenom varstva nadzornih postopkov, ki jih vodijo slovenski regulatorji s financnega podrocja, kar pa nadzorni organ obcine ni. Opozoril je še, da ne drži navedba organa, da je nadzorni postopek še v teku. Za uporabo navedene izjeme morajo biti izpolnjeni trije kumulativni pogoji, in sicer, 1. podatek mora biti pridobljen ali sestavljen zaradi nadzornega postopka, 2. nadzorni postopek mora izvajati Banka Slovenije, organ, pristojen za nadzor trga vrednostnih papirjev ali zavarovalniški nadzor, ali drug nadzorni organ, specializiran za financni nadzor, ter 3. nadzorni postopek mora biti v teku oz. ce je že koncan, mora veljati, da bi razkritje informacij povzrocilo škodo drugi osebi. V pritožbenem postopku je Informacijski pooblašcenec ugotovil, da nadzorni organ obcine glede na opredelitev njegovega statusa v Zakonu o lokalni samoupravi sodi med druge nadzorne organe, pristojne za financni nadzor, ki jih omenja ZDIJZ v drugem odstavku 5.a clena. Prav tako ni bilo dvoma, da sta bila zahtevana dokumenta sestavljena zaradi nadzornega postopka, ki ga je nadzorni odbor obcine uvedel s sklepom. V obravnavani zadevi je bilo evidentno, da je nadzorni postopek že zakljucen, organ pa ni uspel izkazati škode, ki bi z razkritjem zahtevanih informacij nastala drugi osebi. Pavšalne navedbe o negativnem vplivu razkritja zahtevanih informacij na poslovanje in dobro ime prodajalca, tj. pravne osebe, ki je z organom (tj. v obravnavani zadevi z obcino) sklenila pravni posel, po mnenju Informacijskega pooblašcenca niso zadostile dokaznim standardom o nastanku škode. Poleg tega je organ porabnik javnih sredstev, zato na trgu ne nastopa brez omejitev, cesar se morajo zavedati tudi poslovni subjekti, ki vstopajo v takšna obligacijska razmerja. Informacijski pooblašcenec je tako ugotovil, da v obravnavani zadevi pogoji za sklicevanje na izjemo po drugem odstavku 5.a clena ZDIJZ niso bili izpolnjeni, zato je pritožbi ugodil. Na drugacno odlocitev ni moglo vplivati niti dolocilo v poslovniku nadzornega odbora obcine, da osnutek porocila ni informacija javnega znacaja, saj je dostop do informacij javnega znacaja ustavna pravica, ki jo je dovoljeno omejiti samo z zakonom, poslovnik pa to ni.
KLJUCNE BESEDE: varstvo nadzornega postopka, številka odlocbe 090-284/2020
Kadar se prosilec v zahtevi sklicuje na prevladujoc javni interes za razkritje, mora o tem odlociti Vlada RS, ce je zavezan organ državne uprave
Organ je od Inšpektorata za javni sektor zahteval kopijo porocila Slovenske obvešcevalno-varnostne agencije o izvedenih ukrepih, ki jih je odredila upravna inšpekcija. Zaprosil je, da se dostop do podatkov dovoli, ce je javni interes glede razkritja mocnejši od javnega interesa drugih oseb za omejitev dostopa. Organ je zahtevo zavrnil s sklicevanjem na izjemo tajnih podatkov (1. tocka prvega odstavka 6. clena ZDIJZ), saj je bil zahtevani dokument oznacen s stopnjo tajnosti ZAUPNO. Prosilec se je pritožil, ker iz izpodbijane odlocbe ni bilo razvidno, da je organ ugotavljal, ali so izpolnjeni vsi formalni in materialni pogoji za dolocitev tajnega podatka. Izpostavil je tudi dolocbo drugega odstavka 6. clena ZDIJZ, ki opredeljuje absolutne in relativne izjeme dostopa do informacij javnega znacaja, v povezavi z drugim odstavkom 21. clena ZDIJZ, iz katerih izhajata pravica in dolžnost predstojnika, da tudi brez (izrecne) zahteve prosilca (samoiniciativno) oceni, ali je morda javni interes glede razkritja mocnejši od javnega interesa ali interesa drugih oseb za omejitev dostopa do zahtevane informacije. Informacijski pooblašcenec je pri organu opravil ogled in camera, se seznanil z zahtevanim dokumentom in pridobil oceno možnih škodljivih posledic za zapisnik organa, ki mu je sledilo predmetno porocilo SOVE. Informacijski pooblašcenec je v pritožbenem postopku ugotovil, da se je prosilec v zahtevi skliceval na javni interes, zato bi o dostopu do zahtevanega dokumenta morala odlociti vlada. Tako doloca drugi odstavek 21. clena ZDIJZ. Ker se je torej prosilec v zahtevi skliceval na javni interes, bi moral organ zahtevo, skupaj s predlogom odlocitve, poslati v odlocitev vladi. Ker organ tega ni storil, je Informacijski pooblašcenec štel, da je v postopku na prvi stopnji prišlo do bistvenih kršitev pravil upravnega postopka, saj je odlocbo izdal stvarno nepristojen organ. Informacijski pooblašcenec je izpodbijano odlocbo odpravil in zadevo vrnil prvostopenjskemu organu v ponovni postopek. 
KLJUCNE BESEDE: kršitev pravil postopka, številka odlocbe 090-297/2020

2.6 AKTIVNOSTI IZOBRAŽEVANJA IN OZAVEŠCANJA
Nacelo transparentnosti je eden temeljnih postulatov vsake demokraticne družbe, zato mora (p)ostati eno vodilnih nacel delovanja organov javnega sektorja. Odprtost in preglednost delovanja javnih organov je bistvenega pomena za njihovo boljše delovanje, kar hkrati prinaša koristi vsem clanom družbe. Zato Informacijski pooblašcenec pozornost namenja tudi aktivnostim ozavešcanja strokovne in splošne javnosti, s katerimi spodbuja dobro prakso na podrocju dostopa do informacij javnega znacaja.
2.6.1 Dan pravice vedeti
Leta 2002 je bil 28. september izbran za svetovni dan pravice vedeti, ko so se razlicne organizacije civilne družbe iz številnih držav povezale v organizacijo Freedom of Information Advocates Network (FOIAnet). Dogodek obeležujemo tudi v Sloveniji.
V okviru dogodkov ob svetovnem dnevu pravice vedeti je Informacijski pooblašcenec skupaj z Ministrstvom za javno upravo, Tehnološkim parkom Ljubljana in Gospodarsko zbornico Slovenije organiziral virtualni dogodek z naslovom Etika pri ponovni uporabi podatkov v digitalni družbi, na katerem je beseda tekla o etiki pri urejanju razmerij na podrocju odprtih podatkov, namen dogodka pa je bil sprožiti procese, ki bodo odlocevalcem dali odziv skupnosti glede prehoda v digitalno družbo. 
V okviru dogodka, ki je potekal prek on-line video povezave, je pozdravni nagovor podala tudi informacijska pooblašcenka Mojca Prelesnik, ki je poudarila, da je etika pri urejanju razmerij na podrocju odprtih podatkov vedno bolj pomembna, pri cemer je enoznacno definicijo etike sicer težko podati, a je pomembno, da družba na tem podrocju doloci vsaj minimalna pravila skupnega ravnanja. Tudi na podrocju etike pri ponovni uporabi podatkov išcemo ravnovesje med dvema clovekovima pravicama: pravico do svobode izražanja in s tem povezano pravico do pridobivanja in uporabe podatkov ter pravico do varstva zasebnosti in s tem povezanega varstva osebnih podatkov. Poudarila je, da lahko samo s povezovanjem razlicnih mnenj in pristopov dobimo celovite rešitve, te pa vodijo v boljšo, bolj odprto družbo in v vecjo družbeno blaginjo.
2.6.2 Mednarodno sodelovanje
Na pobudo Informacijskega pooblašcenca Republike Slovenije je 20. oktobra 2020 potekala ustanovna konferenca združenja Iniciative 2020, v katero smo se povezali pritožbeni organi s podrocja dostopa do informacij javnega znacaja iz Slovenije, Hrvaške, Bosne in Hercegovine, Crne gore, Srbije, Kosova in Severne Makedonije. Namen združenja je krepitev sodelovanja in izmenjava dobrih praks pri promociji in varstvu pravice dostopa do informacij javnega znacaja. 
 
V okviru srecanja, ki je zaradi epidemioloških razmer potekalo prek videokonference, so udeleženci predstavili organizacijo, pravno ureditev in nacin delovanja posameznih pritožbenih organov s podrocja dostopa do informacij javnega znacaja. Izpostavljeni so bili težave in izzivi, s katerimi se srecujemo v praksi (npr. molk organa, uporaba testa interesa javnosti, tehtanje med pravico dostopa do informacij javnega znacaja in varstvom osebnih podatkov, izjeme od prosto dostopnih informacij) ter možne rešitve.
 
Pritožbene organe druži podoben zgodovinski in pravni okvir, v praksi se srecujemo s podobnimi izzivi. Za dobro medsebojno sodelovanje in izmenjavo izkušenj med organi v prihodnje je bila sprejeta skupna deklaracija o sodelovanju. Pritožbeni organi so z deklaracijo potrdili namero, da letno sodelujejo na konferencah, katerih namen je strokovno sodelovanje na podrocju dostopa do informacij javnega znacaja, obravnava aktualnih vprašanj na podrocju dostopa do informacij javnega znacaja ter izmenjava dobrih praks in izkušenj.  

2.7 SPLOŠNA OCENA IN PRIPOROCILA
Tudi na podrocju dostopa do informacij javnega znacaja so leto 2020 zaznamovale izredne razmere, povezane z epidemijo covid-19. Po sprejetju interventnega Zakona o zacasnih ukrepih v zvezi s sodnimi, upravnimi in drugimi javnopravnimi zadevami za obvladovanje širjenja nalezljive bolezni SARS-CoV-2 (covid-19) so se prekinili vsi roki v nenujnih upravnih postopkih, tudi v postopkih odlocanja o zahtevah za dostop do informacij po ZDIJZ in ZMed. Posledicno v casu od 29. 3. 2020 do 1. 6. 2020 roki za odlocanje niso tekli in so zaceli teci šele s 1. 6. 2020, iztekli pa so se 20. delovni dan od tega dneva, torej 29. 6. 2020. 
Ker roki za odlocanje v postopkih po ZDIJZ in ZMed niso tekli, je Informacijski pooblašcenec v prvi polovici leta 2020 zaznal upad prejetih pritožb, že v poletnih mesecih pa se je število pritožb precej povecalo. Skupno število pritožbenih zadev na podrocju dostopa do informacij javnega znacaja je v letu 2020 tako naraslo (v letu 2020 je Informacijski pooblašcenec obravnaval 565 pritožb, kar je vec kot v letu 2019, ko je obravnaval 540 pritožb). Skupno število pritožb zaradi molka je bilo v letu 2020 (231) na primerljivi ravni kot v letu 2019 (235), pri cemer je razveseljivo dejstvo, da se je po vec letih rasti zmanjšalo število pritožb zoper molk obcin. V letu 2020 je bilo teh pritožb 56, kar je opazno manj kot v letu 2019, ko jih je bilo 67.
Ce trend števila pritožb zoper obcine pada, pa je skrb vzbujajoca ugotovitev, da raste število pritožb zoper državne organe. V letu 2020 se je zoper to skupino zavezancev povecalo tako skupno število pritožb (245, v letu 2019 jih je bilo 222) kot število pritožb zaradi molka (v letu 2020 je bilo takih pritožb 91, leto pred tem pa 77). 
Ob tem je Informacijski pooblašcenec v letu 2020 zaznal tudi povecano število pritožb zoper pravosodne organe (sodišca in državna tožilstva), ki je bilo posledica sodbe Vrhovnega sodišca RS št. X lPS 4/2020
z dne 27. 5. 2020, s katero je to zavzelo stališce, da se za dostop do informacij iz sodnih spisov uporabljajo (le) dolocbe procesnih zakonov, po ZDIJZ pa prosilci (novinarji in splošna javnost) do teh informacij niso vec upraviceni. Posledicno je Informacijski pooblašcenec kot drugostopenjski organ od junija 2020 naprej prejel vec pritožb prosilcev, ki predstavljajo splošno javnost, medije ipd., da dolocena sodišca in tožilstva o njihovih zahtevah za dostop do informacij javnega znacaja, ki se nanašajo na informacije iz sodnih in kazenskih spisov, procesno ne odlocajo po ZDIJZ in ZMed, kljub jasni navedbi prosilcev, da uveljavljajo pravico na navedeni pravni podlagi. Zaznati je bilo razlicno prakso posameznih sodišc in tožilstev v zvezi s procesno obravnavo zahtev po ZDIJZ in ZMed, kar je vodilo v neenako obravnavo prosilcev v smislu izvrševanja njihove pravice dostopa do informacij javnega znacaja na eni strani in pravice dostopa do dokumentov iz sodnih (in tožilskih) spisov v kontekstu procesne zakonodaje. Omenjena problematika je bila delno urejena s sprejemom zadnje novele Zakona o kazenskem postopku (ZKP-O), s katero je bilo v 128. clenu doloceno, da lahko v skladu z zakonom, ki ureja dostop do informacij javnega znacaja, vsakdo zahteva od organa, da mu omogoci dostop do informacij javnega znacaja v posameznih kazenskih zadevah. To seveda ne pomeni, da so prosilcem zdaj prosto dostopne vse informacije iz kazenskih zadev, ampak le, da lahko te informacije zahtevajo, organi pa morajo njihove zahteve procesno obravnavati in odlociti po ZDIJZ (pri cemer zahtevo zavrnejo, ce gre npr. za varovane osebne podatke ali ce bi razkritje lahko škodljivo vplivalo na izvedbo (pred) - kazenskega postopka).
Informacijski pooblašcenec je v letu 2020 prejel tudi bistveno vec zaprosil za mnenja oz. pojasnila s podrocja dostopa do informacij javnega znacaja. Ce je bilo teh zaprosil v letu 2019 300, je število v letu 2020 naraslo na 411, kar je skoraj 30-odstotno povecanje. Ker je Informacijski pooblašcenec na podrocju dostopa do informacij javnega znacaja pritožbeni organ, lahko zavezancem in javnosti svetuje le neformalno, v okviru dosedanje prakse. Primere svoje prakse Informacijski pooblašcenec redno objavlja na svoji spletni strani, pri cemer se trudi, da je ta ažurna in da so objave pregledno dostopne, vse z namenom olajšati delo zavezancem in seznanjati javnost s pomenom te temeljne clovekove pravice. 
Številna vprašanja glede uporabe ZDIJZ, ki jih zavezanci naslavljajo na Informacijskega pooblašcenca, kažejo, da imajo zavezanci pri izvajanju tega zakona v praksi še vedno težave. Na podlagi analize konkretnih primerov iz prakse Informacijski pooblašcenec ugotavlja, da so primeri, s katerimi se zavezanci srecujejo, vsebinsko in procesno vedno bolj kompleksni ter terjajo poglobljeno poznavanje podrocja dela organa in dobro poznavanje pravil upravnega postopka. Ker je na podlagi 32. clena ZDIJZ resorno ministrstvo, zadolženo za usposabljanje zavezancev za uporabo zakona v praksi, Ministrstvo za javno upravo, ga Informacijski pooblašcenec poziva, naj bolj aktivno pristopi k tej nalogi in temu podrocju nameni vec pozornosti. Delež pritožb zaradi molka v skupnem deležu vseh pritožb (43 %) je namrec visok in se ne zmanjšuje, na kar Informacijski pooblašcenec opozarja že nekaj let. Zato bo v prihodnje treba vec napora vložiti v promocijo zakona in aktivnejše usposabljanje zavezancev za uporabo le-tega v praksi, to pa je primarno naloga Ministrstva za javno upravo.
V letu 2020 je Informacijski pooblašcenec vodil 14 pritožbenih postopkov zoper poslovne subjekte pod prevladujocim vplivom, kar predstavlja le 2,6 % vseh pritožbenih zadev. Informacijski pooblašcenec ugotavlja, da število teh pritožb že vsa leta ostaja majhno. 
V letu 2020 Informacijski pooblašcenec zaradi kršitev ZDIJZ ni uvedel nobenega postopka s prekrški, je pa v zadevi pod opr. št. 090-112/2015 zoper Ekonomsko fakulteto v Ljubljani uvedel postopek izvršbe s prisilitvijo, ker zavezanec, kljub temu da je odlocba Informacijskega pooblašcenca postala pravnomocna in izvršljiva že v letu 2016, prosilki še vedno ne želi posredovati informacij javnega znacaja, kot mu je bilo naloženo.
Na podlagi konkretnih pritožbenih primerov Informacijski pooblašcenec podaja naslednje ugotovitve in priporocila za delo zavezancev v prihodnje:
-	Glede na posebne epidemiološke razmere v zvezi s preprecevanjem širjenja bolezni SARS-CoV-2 (covid-19) je Informacijski pooblašcenec v letu 2020 zaznal povecanje števila primerov, v katerih so prosilci zahtevali informacije, ki se nanašajo na podrocje javnega zdravja in s tem povezano porabo javnega denarja (npr. razlicne statistike o obolelosti in smrtnosti, nabavo zašcitne opreme, cepljenje …). Ker gre za informacije, ki so pogosto v širšem javnem interesu, Informacijski pooblašcenec zavezance poziva, da pri odlocanju o teh zahtevah postopajo hitro in pri presoji upoštevajo drugi odstavek 6. clena ZDIJZ, ki doloca, da se ne glede na morebitne izjeme dostop do zahtevane informacije dovoli, ce je javni interes glede razkritja mocnejši od javnega interesa ali interesa drugih oseb za omejitev dostopa do zahtevane informacije. 
-	Kot že navedeno, je Informacijski pooblašcenec na podlagi analize konkretnih primerov ugotovil, da so primeri, s katerimi se srecujejo zavezanci, vsebinsko in procesno vedno bolj kompleksni ter terjajo poglobljeno poznavanje podrocja dela organa in dobro poznavanje pravil upravnega postopka. V zvezi s tem Informacijski pooblašcenec zavezance poziva, da za izvajanje nalog, ki jih predvideva ZDIJZ, dolocijo uradno osebo, ki dobro pozna strokovno podrocje dela organa, obenem pa ima tudi ustrezno znanje s podrocja dostopa do informacij javnega znacaja in upravnega postopka za izdajo upravne odlocbe.
-	Informacijski pooblašcenec je, podobno kot v letu 2019, tudi v letu 2020 zaznal številne postopkovne kršitve, ki kažejo na to, da zavezanci pri obravnavi zahtev ne namenijo dovolj pozornosti postopkovnim vprašanjem, posledica pa je nepopolno oz. napacno ugotovljeno dejansko stanje, zaradi cesar se izpodbijane odlocbe ne da preizkusiti. Ker se število tovrstnih primerov glede na skupno število pritožbenih postopkov povecuje (v letu 2019 je znašalo 17 %, v letu 2020 pa že 24 %), Informacijski pooblašcenec zavezancem predlaga, da pri obravnavi zahtev posebej natancno preucijo procesne vidike (vkljucitev stranskih udeležencev, dolocno oblikovanje izreka odlocbe, natancna obrazložitev, oprta na ugotovljeno dejansko stanje) in da uradne osebe, ce je to potrebno, napotijo na dodatno izobraževanje s podrocja upravnega postopka.
-	Ker je Informacijski pooblašcenec v letu 2020 zaznal povecanje števila primerov, v katerih so se zavezanci sklicevali, da gre za zlorabo pravice s strani prosilca, velja opozoriti, da mora uporaba dolocbe petega odstavka 5. clena ZDIJZ v praksi ostati restriktivna, dokazno breme, da gre za zlorabo, pa je na strani zavezanca. Tudi sodna praksa je zavzela stališce, da lahko organ zaradi zlorabe pravice zahtevo prosilca zavrne le v izjemnih primerih. Za zavrnitev zahteve s sklicevanjem na zlorabo tako ne zadošca zgolj pavšalno sklicevanje na predmetno zakonsko dolocbo, ampak mora organ z dejstvi to konkretno izkazati in v zavrnilni odlocbi ustrezno obrazložiti.


3.1 KONCEPT VARSTVA OSEBNIH PODATKOV V REPUBLIKI SLOVENIJI
Koncept varstva osebnih podatkov v Republiki Sloveniji temelji na dolocbi 38. clena Ustave RS, po kateri je varstvo osebnih podatkov ena izmed zagotovljenih clovekovih pravic in temeljnih svobošcin. Omenjena dolocba zagotavlja varstvo osebnih podatkov, prepoveduje uporabo osebnih podatkov v nasprotju z namenom njihovega zbiranja, vsakomur zagotavlja pravico do seznanitve z zbranimi osebnimi podatki, ki se nanašajo nanj, ter pravico do sodnega varstva ob njihovi zlorabi. 
Za normativno urejanje varstva osebnih podatkov je pomemben predvsem drugi odstavek 38. clena Ustave RS, ki doloca, da zbiranje, obdelovanje, namen uporabe, nadzor in varstvo tajnosti osebnih podatkov doloca zakon (splošen, sistemski zakon in podrocni zakoni). Gre za t. i. obdelovalni model z dolocenimi pravili za urejanje dopustne obdelave osebnih podatkov na zakonski ravni. Po tem modelu je na podrocju obdelave osebnih podatkov prepovedano vse, razen tistega, kar je z zakonom izrecno dovoljeno. Vsaka obdelava osebnih podatkov namrec pomeni poseg v z ustavo varovano clovekovo pravico. Zato je tak poseg dopusten, ce je v zakonu dolocno opredeljeno, kateri osebni podatki se smejo obdelovati, namen njihove obdelave, zagotovljeno pa mora biti tudi ustrezno varstvo in zavarovanje osebnih podatkov. Namen obdelave osebnih podatkov mora biti ustavno dopusten, obdelovati pa se smejo le tisti osebni podatki, ki so primerni in za uresnicitev namena nujno potrebni. 
Ureditev varstva osebnih podatkov v sistemskem zakonu je potrebna zaradi enotne dolocitve nacel, pravil in obveznosti ter zaradi zapolnitve pravnih praznin, ki bi lahko nastale v podrocnih zakonih. Kljucni sistemski zakon glede varstva osebnih podatkov je bil do 25. 5. 2018 Zakon o varstvu osebnih podatkov.
V okviru reforme varstva osebnih podatkov na ravni EU pa sta bila 4. 5. 2016 v Uradnem listu EU objavljena kljucna gradnika novega zakonodajnega svežnja EU o varstvu osebnih podatkov, in sicer:
•	Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. 4. 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) in
•	Direktiva (EU) 2016/680 Evropskega parlamenta in Sveta z dne 27. 4. 2016 o varstvu posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprecevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, in o prostem pretoku takih podatkov ter o razveljavitvi Okvirnega sklepa Sveta 2008/977/PNZ (Direktiva 2016/680).
                                                                    
Splošna uredba o varstvu podatkov (Splošna uredba; angl. General Data Protection Regulation (GDPR)) je zacela veljati 25. 5. 2016, uporablja pa se neposredno od 25. 5. 2018. Direktiva (EU) 2016/680 je bila v nacionalno zakonodajo prenesena z Zakonom o varstvu osebnih podatkov na podrocju obravnavanja kaznivih dejanj (ZVOPOKD), ki je zacel veljati 31. 12. 2020. 
S Splošno uredbo so se okrepile pravice posameznika, poleg obstojece pravice do dostopa do osebnih podatkov ter pravice do popravka še pravica do pozabe, izbrisa, omejitve obdelave, ugovora in prenosljivosti podatkov. Precej vecji poudarek je zdaj na transparentnosti obdelave, tj. glede zagotavljanja preglednih in lahko dostopnih informacij posameznikom o obdelavi njihovih podatkov. Splošna uredba doloca tudi nove obveznosti upravljavcev in obdelovalcev podatkov, kot so obveznost izvajanja ustreznih varnostnih ukrepov in obveznost uradnega obvešcanja o kršitvah varstva osebnih podatkov, imenovanje pooblašcenih oseb za varstvo podatkov, izvajanje ocen ucinka. Upravljavci niso vec dolžni prijavljati zbirk osebnih podatkov v register zbirk osebnih podatkov, ostajajo pa dolžnosti sprejema popisa zbirk (t. i. evidence dejavnosti obdelave); te dolžnosti se krepijo in uvajajo tudi za (pogodbene) obdelovalce. Splošna uredba bistveno bolj poudarja nacelo odgovornosti in preventivne ukrepe, poleg omenjenih mehanizmov zagotavljanja skladnosti uvaja tudi možnost potrjevanja sektorskih kodeksov ravnanja in certifikacije. 
V Splošni uredbi je potrjena obstojeca obveznost držav clanic glede ustanovitve neodvisnega nadzornega organa na nacionalni ravni. Njen cilj je tudi vzpostavitev mehanizmov, s katerimi bi zagotovili doslednost pri izvajanju zakonodaje o varstvu podatkov v vsej EU. Bistveno je, da bo v primeru, ko bo obdelava osebnih podatkov potekala v vec kot eni državi clanici, za nadzor nad temi dejavnostmi po nacelu sodelovanja »vse na enem mestu« odgovoren vodilni nadzorni organ, tj. organ tiste države clanice, v kateri je glavni ali edini sedež upravljavca ali obdelovalca. Ostali nadzorni organi bodo v postopkih nadzora sodelovali kot zadevni organi.
Splošna uredba zajema tudi ustanovitev Evropskega odbora za varstvo podatkov (EOVP, angl. European Data Protection Board (EDPB)). V odboru sodelujejo predstavniki vseh 28 neodvisnih nadzornih organov EU in EGS (Islandija, Norveška in Lihtenštajn), Evropske komisije in Evropskega nadzornika za varstvo podatkov; odbor nadomešca Delovno skupino za varstvo podatkov iz clena 29 (Article 29 Working Party). 
Casovni razvoj Zakona o varstvu osebnih podatkov.


3.2 INŠPEKCIJSKI NADZOR V LETU 2020
Postopek inšpekcijskega nadzora, ki ga izvaja Informacijski pooblašcenec oz. državni nadzorniki za varstvo osebnih podatkov, poleg ZVOP-1, Zakona o Informacijskem pooblašcencu (ZInfP), Splošne uredbe in Zakona o varstvu osebnih podatkov na podrocju obravnavanja kaznivih dejanj (ZVOPOKD) urejata še Zakon o inšpekcijskem nadzoru (ZIN) in Zakon o splošnem upravnem postopku (ZUP). Informacijski pooblašcenec v inšpekcijskih postopkih nadzira izvajanje dolocb Splošne uredbe, ZVOP-1 in vseh tistih predpisov, ki urejajo podrocje varstva osebnih podatkov.
V okviru inšpekcijskega nadzora Informacijski pooblašcenec nadzira zlasti:
•	zakonitost in preglednost obdelave osebnih podatkov;
•	ustreznost ukrepov varnosti osebnih podatkov ter izvajanje postopkov in ukrepov za zagotovitev varnosti osebnih podatkov;
•	izvajanje dolocb Splošne uredbe, ki urejajo posebne izraze nacela odgovornosti (uradno obvešcanje nadzornih organov in posameznikov o kršitvi varnosti, ocene ucinka, pooblašcene osebe za varstvo osebnih podatkov, evidence dejavnosti obdelav);
•	izvajanje dolocb Splošne uredbe glede prenosa osebnih podatkov v tretje države ali mednarodne organizacije in glede njihovega posredovanja tujim uporabnikom osebnih podatkov;
•	izvajanje dolocb Splošne uredbe glede obdelave na podlagi pogodbe o obdelavi osebnih podatkov.
Splošna uredba daje Informacijskemu pooblašcencu v clenu 58 naslednja inšpekcijska pooblastila:
1. Preiskovalna pooblastila:
•	da upravljavcu in obdelovalcu ter, ce je ustrezno, predstavniku upravljavca ali obdelovalca odredi, naj zagotovi vse informacije, ki jih potrebuje za opravljanje svojih nalog;
•	da izvaja preiskave v obliki pregledov na podrocju varstva podatkov;
•	da izvaja preglede potrdil skladnosti obdelav (certifikatov);
•	da upravljavca ali obdelovalca uradno obvesti o domnevni kršitvi Splošne uredbe;
•	da od upravljavca ali obdelovalca pridobi dostop do vseh osebnih podatkov in informacij, ki jih potrebuje za opravljanje svojih nalog;
•	da pridobi dostop do vseh prostorov upravljavca ali obdelovalca, vkljucno z vso opremo in sredstvi za obdelavo podatkov, v skladu s pravom EU ali postopkovnim pravom države clanice.
2. Popravljalna pooblastila:
•	da izda upravljavcu ali obdelovalcu opozorilo, da bi predvidena dejanja obdelave verjetno kršila dolocbe Splošne uredbe;
•	da upravljavcu ali obdelovalcu izrece opomin, kadar so bile z dejanji obdelave kršene dolocbe Splošne uredbe;
•	da upravljavcu ali obdelovalcu odredi, naj ugodi zahtevam posameznika, na katerega se nanašajo osebni podatki, glede uresnicevanja njegovih pravic na podlagi Splošne uredbe;
•	da upravljavcu ali obdelovalcu odredi, naj dejanja obdelave, ce je to ustrezno, na dolocen nacin in v dolocenem roku uskladi z dolocbami Splošne uredbe;
•	da upravljavcu odredi, naj posameznika, na katerega se nanašajo osebni podatki, obvesti o kršitvi varstva osebnih podatkov;
•	da uvede zacasno ali dokoncno omejitev obdelave, vkljucno s prepovedjo obdelave;
•	da v zvezi s pravico posameznika odredi popravek ali izbris osebnih podatkov oz. omejitev obdelave in o takšnih ukrepih uradno obvesti uporabnike, katerih osebni podatki so bili razkriti;
•	da preklice potrdilo ali organu za potrjevanje odredi preklic potrdila, izdanega v skladu s clenoma 42 in 43, ali da organu za potrjevanje odredi, naj ne izda potrdila, kadar zahteve v zvezi s potrdilom niso ali niso vec izpolnjene;
•	da glede na okolišcine posameznega primera poleg ali namesto ukrepov iz tega odstavka naloži upravno globo v skladu s clenom 83;
•	da odredi prekinitev prenosov podatkov uporabniku v tretji državi ali mednarodni organizaciji.
Informacijski pooblašcenec je leta 2020 zaradi suma kršitev dolocb Splošne uredbe in/ali ZVOP-1 vodil 1.208 inšpekcijskih zadev, od tega 405 v javnem in 803 v zasebnem sektorju, kar pomeni, da se število inšpekcijskih zadev še vedno povecuje. V primerjavi z letom 2019, ko se je število inšpekcijskih zadev povecalo za 15 % glede na leto 2018, se je povecanje števila inšpekcijskih zadev v letu 2020 nekoliko ustalila – v primerjavi z letom 2019 je število naraslo za 2 %. 
Število inšpekcijskih zadev med letoma 2006 in 2020.
Prijave, ki jih je prejel Informacijski pooblašcenec, so se nanašale na naslednje sume kršitev dolocb Splošne uredbe in ZVOP-1:



3.2.1 INŠPEKCIJSKI NADZOR V JAVNEM SEKTORJU
Zaradi suma kršitev dolocb Splošne uredbe in/ali ZVOP-1 je Informacijski pooblašcenec zoper zavezance v javnem sektorju v letu 2020 vodil 405 zadev, 326 jih je zacel na podlagi prejetih prijav, 79 pa po uradni dolžnosti.
Informacijski pooblašcenec je 69 prijaviteljem pisno pojasnil, zakaj v prijavi opisano ravnanje ne pomeni kršitve zakonodaje s podrocja varstva osebnih podatkov, v 22 primerih pa je po preucitvi prijav zakljucil, da uvedba inšpekcijskih postopkov ne bi bila smiselna, ker je šlo za enkratna dejanja oz. kršitve varstva osebnih podatkov v preteklosti, ki jih z inšpekcijskimi ukrepi za nazaj ni vec mogoce prepreciti ali odpraviti. V teh primerih je zoper 13 kršiteljev uvedel postopke o prekršku oz. jim je izrekel ukrepe v skladu z Zakonom o prekrških (ZP-1), v šestih primerih je ocenil, da uvedba postopka o prekršku ne bi bila smotrna, ker v prijavi opisano ravnanje predstavlja prekršek neznatnega pomena, v dveh primerih postopka ni uvedel zaradi zastaranja pregona, v enem primeru pa prekrškovnega postopka ni zacel zaradi vložene kazenske ovadbe. V 13 zadevah Informacijski pooblašcenec ni uvedel postopka, saj so bile zatrjevane nepravilnosti že odpravljene. Osem prijaviteljev je Informacijski pooblašcenec napotil na pravico do seznanitve z lastnimi osebnimi podatki, v petih primerih pa ni uvedel postopka, ker iz prijave ni bilo razvidno, za kakšno kršitev naj bi šlo, prijavitelj pa po pozivu prijave ni dopolnil oz. v prijavi ni posredoval svojih podatkov, zaradi cesar ga niti ni mogel pozvati k posredovanju dodatnih podatkov, ki bi bili potrebni za uvedbo inšpekcijskega postopka. V štirih zadevah prijavitelji pri utemeljevanju kršitve niso navedli ustreznih dokazov, v 18 zadevah pa je Informacijski pooblašcenec ugotovil, da za zatrjevane kršitve ni pristojen.
Informacijski pooblašcenec je v letu 2020 zavezancem v javnem sektorju izdal 32 tako imenovanih predodlocb  ter sedem ureditvenih odlocb, vse ostale kršitve so zavezanci sami prostovoljno odpravili takoj po pozivu državnega nadzornika za varstvo osebnih podatkov.  
Leta 2020 je bilo v javnem sektorju 195 inšpekcijskih postopkov zakljucenih z izdajo sklepa o ustavitvi postopka. Informacijski pooblašcenec je 57 postopkov ustavil, ker so zavezanci ugotovljene nepravilnosti odpravili, v 91 postopkih ni zaznal kršitev dolocb Splošne uredbe ali ZVOP-1, 47 postopkov pa je ustavil zato, ker je šlo za kršitve, ki so predstavljale enkratna dejanja v preteklosti, ki jih z inšpekcijskimi ukrepi za nazaj ni bilo vec mogoce odpraviti. 
3.2.2 INŠPEKCIJSKI NADZOR V ZASEBNEM SEKTORJU
Informacijski pooblašcenec je zoper zavezance v zasebnem sektorju vodil 803 zadeve, od tega jih je 658 vodil na podlagi prejetih prijav, 72 postopkov je uvedel po uradni dolžnosti, preostali (73) pa so bili uvedeni po iniciativi drugih nadzornih organov v EU v okviru cezmejnega sodelovanja;  Pri slednjih je Informacijski pooblašcenec sodeloval kot zadevni organ (vec v poglavju 3.2.4.). 
Po preucitvi prijav je Informacijski pooblašcenec 176 prijaviteljev obvestil, da postopka inšpekcijskega nadzora ne bo uvedel, ker iz njihove prijave ne izhaja sum kršitev dolocb Splošne uredbe in ZVOP-1, 44 prijaviteljev pa je napotil na pravice, ki jih morajo pri upravljavcih osebnih podatkov uveljavljati sami, najveckrat na pravico do seznanitve z lastnimi osebnimi podatki in pravico do ugovora. Informacijski pooblašcenec je tri prijave odstopil v reševanje pristojnim organom, na podlagi 14 prijav inšpekcijskega postopka ni uvedel, ker je šlo za enkratna dejanja oz. kršitve varstva osebnih podatkov v preteklosti, ki jih z inšpekcijskimi ukrepi za nazaj ni bilo vec možno prepreciti ali odpraviti. Ugotovljene kršitve je obravnaval v okviru pristojnosti, ki jih ima kot prekrškovni organ, in sicer je trem kršiteljem izrekel ukrepe po ZP-1, v osmih primerih je ocenil, da ukrepa po ZP-1 ne bo izrekel, ker gre za prekršek neznatnega pomena, v enem primeru uvedba prekrškovnega postopka ni bila dopustna zaradi zastaranja pregona, v dveh primerih pa prekrškovnega postopka ni zacel zaradi vložene kazenske ovadbe. V 51 primerih Informacijski pooblašcenec ni uvedel postopka, ker niso bili predloženi ustrezni dokazi, ki bi utemeljevali zatrjevano kršitev, v 77 primerih pa za ukrepanje ni bil pristojen. Deset prijav je vsebovalo premalo podatkov za uvedbo inšpekcijskega postopka, poleg tega so bile anonimne in Informacijski pooblašcenec prijaviteljev ni mogel pozvati k dopolnitvi. V treh primerih inšpekcijski postopek ni bil uveden, ker je kršitelj nepravilnosti že odpravil.
Informacijski pooblašcenec je v letu 2020 zavezancem v zasebnem sektorju izdal 91 tako imenovanih predodlocb ter 9 ureditvenih odlocb, vse ostale kršitve so zavezanci sami prostovoljno odpravili takoj po pozivu državnega nadzornika za varstvo osebnih podatkov.
Leta 2020 je Informacijski pooblašcenec pri zavezancih v zasebnem sektorju s sklepom ustavil 347 postopkov: 161 postopkov je ustavil, ker ni bilo kršitev dolocb ZVOP-1, 133 postopkov je ustavil po tem, ko so zavezanci odpravili ugotovljene nepravilnosti, 53 postopkov pa je zakljucil, ker v zvezi z ugotovljenimi prekrški ni bilo mogoce izreci inšpekcijskih ukrepov, saj je šlo za enkratna dejanja v preteklosti. Zoper en sklep o ustavitvi postopka je zavezanec vložil tožbo na Upravno sodišce RS.
Informacijski pooblašcenec je prejel eno sodbo Upravnega sodišca RS v zvezi s tožbo, vloženo leta 2017 zoper ureditveno odlocbo. Sodišce je tožbo zavrnilo in potrdilo pravilnost odlocitve Informacijskega pooblašcenca. 
Pregled inšpekcijskih zadev v javnem in zasebnem sektorju leta 2020.


3.2.3 PRIJAVA KRŠITEV VARNOSTI OSEBNIH PODATKOV
Skladno s clenom 33 Splošne uredbe so zavezanci dolžni obvestiti nadzorni organ (Informacijskega pooblašcenca) o zaznanih kršitvah varnosti osebnih podatkov, ce je verjetno, da bi bile s kršitvijo ogrožene pravice in svobošcine posameznikov. Obvestilo je treba podati takoj po zaznani kršitvi, najpozneje pa v 72 urah. Kadar je verjetno, da bo kršitev varnosti osebnih podatkov povzrocila veliko tveganje za pravice in svobošcine posameznikov, mora upravljavec o kršitvi obvestiti tudi posamezniku na katerega se osebni podatki nanašajo. V primeru hudih kršitev lahko Informacijski pooblašcenec zavezancu naloži, da mora o kršitvi obvestiti tudi prizadete posameznike. 
Informacijski pooblašcenec je leta 2020 prejel 120 uradnih obvestil o kršitvi varnosti osebnih podatkov,
t. i. samoprijav, ki so jih poslali zavezanci. 57 obvestil so poslali zavezanci iz zasebnega sektorja (npr. banke, telekomunikacijski operaterji, zavarovalnice), 63 pa zavezanci iz javnega sektorja (predvsem zdravstvene in izobraževalne ustanove).
Kršitve varnosti osebnih podatkov so se nanašale na:
•	posredovanje dokumentov z osebnimi podatki (npr. zdravniških izvidov, racunov, dokumentov v upravnih postopkih, debetne kartice) napacnim osebam kot posledica nenamerne cloveške napake ali netocnih podatkov v zbirkah osebnih podatkov (npr. e-naslovov strank) – 22,
•	nezakonito razkritje osebnih podatkov nepooblašcenim osebam – 21,
•	hekerski vdor – 17,
•	nepooblašcen dostop do osebnih podatkov s strani zaposlenih – 15,
•	nezakonito objavo osebnih podatkov na spletu – 11,
•	izgubo dostopa do osebnih podatkov (onemogocanje dostopa do podatkov zaradi kriptiranja z zlonamerno programsko kodo, t. i. izsiljevalski virus, izguba ali kraja uporabniškega imena in gesla) – 8,
•	neustrezno zagotavljanje varnosti osebnih podatkov na spletni strani – 7,
•	izgubo ali krajo prenosnega racunalnika ali drugih nosilcev osebnih podatkov (USB-kljucek, zdravstveni karton, zvezek z osebnimi podatki strank) – 6, 
•	nezakonito razkritje osebnih podatkov (e-naslovov) pri pošiljanju e-sporocila vec prejemnikom hkrati – 4,
•	razkritje osebnih podatkov zaradi napake v aplikaciji oz. tehnicne napake – 3,
•	pošiljanje zlonamerne e-pošte in objava lažne spletne strani (ang. phishing) – 3,
•	nezakonit izvoz osebnih podatkov pri pogodbeni obdelavi podatkov – 3.  
Informacijski pooblašcenec je v pomoc upravljavcem na svoji spletni strani pojasnil, katere kršitve pomenijo kršitve varnosti v smislu Splošne uredbe ter o katerih kršitvah in v kolikšnem casu so ga dolžni obvestiti. Za obvešcanje je odprl namenski e-poštni predal (prijava-krsitev@ip-rs.si), na spletni strani je dostopen tudi obrazec »Uradno obvestilo o kršitvi varnosti osebnih podatkov«, ki ga lahko upravljavci uporabijo za obvešcanje, objavljene pa so tudi smernice Evropskega odbora za varstvo podatkov v zvezi z uradnim obvestilom o kršitvi varstva osebnih podatkov in infografika Prijava kršitev varnosti (Data Breach Notification). 
Poleg prijav kršitev varnosti osebnih podatkov, ki jih je Informacijski pooblašcenec prejel s strani družb, ki imajo sedež samo v Republiki Sloveniji in obdelujejo osebne podatke posameznikov iz Slovenije, je sodeloval tudi v številnih cezmejnih postopkih nadzora, tj. v postopkih nadzora nad družbami, ki poslujejo cezmejno, in sicer preko mehanizma »vse na enem mestu« (angl. one stop shop), v katerih postopek nadzora vodi t. i. vodilni nadzorni organ, pri tem pa sodeluje z drugimi organi za varstvo osebnih podatkov, kot je doloceno v clenu 60 Splošne uredbe. Kot zadevni nadzorni organ je Informacijski pooblašcenec sodeloval v postopkih nadzora v zvezi s kršitvijo varnosti osebnih podatkov pri podjetjih, kot so Nintendo, TicketMaster, Marriot Hotels, Twitter, National Australia Bank, British Airways itd.; ti postopki so bili zakljuceni leta 2020. 
V omenjenih primerih je sodelovanje najpogosteje zadevalo kršitev varnosti osebnih podatkov zaradi vdora v informacijske sisteme in zaradi pomanjkljivega zavarovanja osebnih podatkov. Informacijski pooblašcenec je bil prek mehanizma cezmejnega sodelovanja obvešcen o kršitvah, s katerimi so bili prizadeti tudi slovenski uporabniki storitev upravljavca (najpogosteje je šlo za spletne in IT-storitve).
V enem izmed zgoraj omenjenih primerov je junija 2018 neidentificirani napadalec prek orodja, ki uporabnikom omogoca oddaljen dostop do omrežja, pridobil dostop do informacijskega sistema, vdor pa je upravljavcu ostal neopažen vse do septembra 2018. Potem ko je napadalcu uspelo dostopiti do samega sistema, se je po njem širil; informacijski sistem mu je uspelo spremeniti do te mere, da je bilo omogoceno odtekanje podatkov o imetnikih kartic s spletnega mesta upravljavca na zunanjo domeno tretje osebe, ki jo je nadziral napadalec.
Upravljavec je ocenil, da je bilo prizadetih 429.612 oseb, na katere so se nanašali osebni podatki, kot so uporabniško ime in gesla pogodbenih izvajalcev, zaposlenih in clanov izvršnega kluba, imena in naslovi strank, nešifrirani podatki o placilnih karticah, vkljucno s številkami kartic in številkami CVV ter datumi veljavnosti placilne kartice.
Upravljavec je takoj izvedel ukrepe za ublažitev in zmanjšanje škode, ki bi jo lahko utrpeli prizadeti posamezniki, na katere so se nanašali osebni podatki, in sicer z izvajanjem popravljalnih ukrepov, vkljucno z obvešcanjem bank in placilnih shem, posameznikov, na katere so se nanašali osebni podatki, in drugih regulatorjev oz. nadzornih organov, ki se ukvarjajo z zašcito podatkov; sodeloval je z drugimi regulativnimi in vladnimi organi ter ponudil povracilo stroškov posameznikom (strankam), ki so utrpeli financno izgubo zaradi kraje njihovih podatkov o placilnih karticah. Upravljavec je izvedel tudi številne tehnicne ukrepe za zmanjšanje tveganja podobnega napada v prihodnosti.
Nadzorni organ, ki je vodil postopek, je ugotovil, da upravljavec osebnih podatkov svojih strank ni obdeloval na nacin, ki bi zagotavljal ustrezno varnost, vkljucno z zašcito pred nedovoljeno ali nezakonito obdelavo ter pred nenamerno izgubo, unicenjem ali poškodbami z uporabo ustreznih tehnicnih in organizacijskih ukrepov, kot to od upravljavca zahtevata clena 5 (1) (f) in 32 Splošne uredbe. Nadzorni organ je zakljucil, da obstaja vec ustreznih ukrepov, ki bi jih upravljavec lahko upošteval, da bi zmanjšal tveganje, da bi napadalec dostopal do njegovega omrežja. Upravljavec bi lahko obravnaval vsak korak napada ter preprecil ali zmanjšal njegov vpliv, ce bi izvedel enega ali vec primernih ukrepov, ki so mu bili na voljo. Nadzorni organ je bil tudi mnenja, da bi, ce bi upravljavec izvedel strožje preizkuse ali teste notranjega nadzora, odkril in ustrezno odpravil številne ugotovljene nepravilnosti v zvezi z varnostjo podatkov.
Nadzorni organ je zakljucil, da ugotovljene kršitve pomenijo resno neskladnost z obveznostmi iz Splošne uredbe in upravljavcu naložil globo v višini 20 milijonov funtov, potem ko je upošteval vrsto olajševalnih dejavnikov in tudi vpliv pandemije covid-19.
3.2.4 SODELOVANJE PRI CEZMEJNIH INŠPEKCIJSKIH NADZORIH
Splošna uredba v poglavju 7 zapoveduje tesno sodelovanje med nadzornimi organi za varstvo osebnih podatkov v državah clanicah EU in EGS (Islandija, Norveška in Lihtenštajn) pri cezmejnih primerih, in sicer prek naslednjih mehanizmov:
•	po nacelu »vse na enem mestu« (angl. one stop shop), ki predvideva, da postopek nadzora v cezmejnem primeru obdelave osebnih podatkov vodi t. i. vodilni organ in pri tem sodeluje z drugimi organi za varstvo osebnih podatkov (clen 60 Splošne uredbe);
•	vzajemna pomoc med organi za varstvo osebnih podatkov v državah clanicah EU (clen 61 Splošne uredbe);
•	skupno ukrepanje organov za varstvo osebnih podatkov v državah clanicah EU (clen 62 Splošne uredbe).
Sodelovanje po nacelu »vse na enem mestu« se lahko zacne, ko je ugotovljeno, kateri nadzorni organ bo v postopku prevzel vlogo vodilnega in kateri organ(i) bodo v postopku sodeloval(i) kot zadevni organ(i). Vodilni organ prihaja iz tiste države clanice EGS, kjer ima upravljavec osebnih podatkov, ki posluje cezmejno, glavno ustanovitev – sedež, ki prevzema odgovornost za obdelavo osebnih podatkov. Nadzorni organi iz drugih držav clanic EGS se postopku nadzora pridružijo kot zadevni organi, kadar ima upravljavec na njihovem ozemlju npr. podružnice ali poslovne enote oz. kadar obdelava osebnih podatkov pomembno vpliva na posameznike v njihovih državah. Glavni organ v postopku inšpekcijskega nadzora vodi sodelovanje z drugimi organi ter pripravi osnutek odlocbe, zadevni organi pa lahko izrazijo zadržke. V primeru nestrinjanja med vodilnim in zadevnimi organi o sporu odloci Evropski odbor za varstvo osebnih podatkov.
Sodelovanje v okviru vseh treh mehanizmov poteka prek informacijskega sistema za notranji trg (Internal Market Information System (IMI)) Evropske komisije; ta zagotavlja varno in zaupno komunikacijo med nadzornimi organi ter omogoca izvajanje posameznih faz in postopkov cezmejnega sodelovanja v za to dolocenih rokih.
V letu 2020 je Informacijski pooblašcenec izvedel 200 postopkov sodelovanja po clenih 60 in 61 Splošne uredbe v zvezi z upravljavci, ki izvajajo cezmejno obdelavo osebnih podatkov. Ob tem se je v 104 postopkih opredelil za zadevni nadzorni organ (po clenu 56 Splošne uredbe) ter bil trikrat pozvan, da se opredeli za vodilni nadzorni organ. V nadaljevanju so podrobneje predstavljeni razlicni postopki sodelovanja.
Sodelovanje Informacijskega pooblašcenca v cezmejnih postopkih nadzora v letu 2020.
Opredelitve vodilnega in zadevnih nadzornih organov po clenu 56 Splošne uredbe
Temelj za izvedbo cezmejnega sodelovanja po clenu 60 Splošne uredbe je opredelitev vodilnega in zadevnih nadzornih organov po clenu 56 Splošne uredbe. V 104 tovrstnih postopkih v letu 2020 se je Informacijski pooblašcenec opredelil za zadevni organ. Tri postopke ugotavljanja je zacel Informacijski pooblašcenec, in sicer na podlagi prijave domnevne kršitve varstva osebnih podatkov v cezmejnem primeru. V 101 primeru je bil postopek ugotavljanja zacet na iniciativo drugih organov v EU, Informacijski pooblašcenec pa se je opredelil za zadevni nadzorni organ, in sicer zato, ker: 
•	je imel upravljavec osebnih podatkov, zoper katerega je tekel postopek v drugi državi clanici, v Sloveniji poslovno enoto ali je bil tu ustanovljen,
•	so storitve upravljavca, zoper katerega je tekel postopek v drugi državi clanici, uporabljali tudi posamezniki v Sloveniji in jih vprašanje domnevne kršitve varstva osebnih podatkov pomembno zadeva. To velja tudi v primerih priljubljenih ponudnikov komunikacijskih spletnih storitev, kot so Facebook, Google, Amazon, Apple, PayPal, WhatsApp, Twitter, Instagram, Microsoft itd. 
Trikrat je bil Informacijski pooblašcenec pozvan, da se opredeli kot vodilni nadzorni organ, in sicer v zvezi s prijavami zoper zavezance v Sloveniji, ki naj bi izvajali cezmejno obdelavo osebnih podatkov.
Postopki sodelovanja po clenu 60 Splošne uredbe (»vse na enem mestu«)
Na temelju postopkov dolocitve vodilnega in zadevnih nadzornih organov je Informacijski pooblašcenec v letu 2020 obravnaval 77 zadev cezmejnega sodelovanja pri inšpekcijskem nadzoru nad podjetji, ki poslujejo cezmejno. V teh postopkih je pricakovan sprejem odlocitve nadzornih organov po clenu 60 Splošne uredbe, po t. i. nacelu »vse na enem mestu«. Vodilni nadzorni organ je v letu 2020 v najveckrat predstavljal irski nadzorni organ, pogosto so v tej vlogi nastopali tudi nadzorni organi Luksemburga, Francije, Nizozemske, Nemcije, Francije in Avstrije.
22 postopkov cezmejnega sodelovanja je sprožil Informacijski pooblašcenec, in sicer na podlagi prejete prijave oz. pritožbe zoper ravnanje zavezanca, ki je ustanovljen v drugi clanici EU ali pa ima ustanovitve v razlicnih clanicah v EU, oz. so dejanja obdelave osebnih podatkov zadevala posameznike iz razlicnih držav clanic EU. Med drugim so ti postopki zadevali pritožbe o spornih praksah spletnih družbenih omrežij, ki podatke svojih uporabnikov delijo z nepreglednim številom oglaševalskih partnerjev, in to ob nezadostnem obvešcanju in ukrepih za zavarovanje podatkov. Informacijski pooblašcenec je ob sodelovanju španskega nadzornega organa obravnaval tudi primer pilotnega projekta vkrcavanja potnikov z uporabo biometrije na ljubljanskem letališcu, ki ga je izvajala španska družba Amadeus, pri cemer je ugotovil kršitve dolocb ZVOP-1 o biometriji.
55 tovrstnih postopkov je bilo zacetih s strani drugih organov v EU in Informacijski pooblašcenec je v teh postopkih sodeloval kot zadevni organ. Primeri niso zadevali le storitev priljubljenih spletnih velikanov, ki so v veliki meri še v teku (vodilni organ je na Irskem), pac pa tudi neustrezna ravnanja z osebnimi podatki s strani razlicnih akterjev (letalskih družb, ponudnikov bancnih storitev, spletnih ponudnikov razlicnih storitev itd.) iz številnih držav clanic EU. Primeri spornih praks so vkljucevali pretirane zahteve po podatkih za identifikacijo strank, za namen izbrisa podatkov, neustrezno izvrševanje pravice do dostopa, posredovanje podatkov tretjim osebam (npr. v oglaševalski sistem omrežja Facebook brez privolitve posameznika). Pogosto so se primeri nanašali na kršitve varnosti osebnih podatkov, med prizadetimi pa so bili tudi uporabniki iz Slovenije. V tem okviru je Informacijski pooblašcenec kot zadevni nadzorni organ sodeloval v postopkih nadzora v zvezi s kršitvijo varstva osebnih podatkov pri podjetjih, kot so Nintendo, TicketMaster, Marriot Hotels, Twitter, National Australia Bank, British Airways itd.; ti postopki so bili zakljuceni v letu 2020.
Postopki cezmejnega sodelovanja po clenu 60 so v letu 2020 zadevali tako primere, ki jih Informacijski pooblašcenec obravnava v okviru inšpekcijskega nadzora (73 primerov), kot tudi postopke glede vpogleda v lastne osebne podatke s cezmejnim znacajem (4 primeri), pri katerih je prosilec Informacijskemu pooblašcencu podal prijavo zoper upravljavca iz druge države clanice EU.
V letu 2020 je bilo v postopkih sodelovanja »vse na enem mestu« izdanih 38 osnutkov odlocb po clenu 60. 29 postopkov se je koncalo s koncno odlocbo po clenu 60. V okviru spletne strani Evropskega odbora za varstvo podatkov je nastal tudi javni register koncnih odlocb v postopkih cezmejnega sodelovanja po clenu 60; dostopne so na spletni strani https://edpb.europa.eu/our-work-tools/consistency-findings/register-for-article-60-final-decisions_en. 
Primeri cezmejnega sodelovanja se ne koncajo nujno z izdajo koncne odlocbe, saj zakonodaja nekaterih držav clanic EU v primerih, ko zavezanci prostovoljno izpolnijo zahteve prijaviteljev, pozna tudi prijateljske poravnave. V teku ostaja še vecina postopkov zoper velika multinacionalna podjetja, v vecini teh primerov kot vodilni nastopa Irski nadzorni organ. 
Postopki »vse na enem mestu« v letu 2020.
Postopki zagotavljanja medsebojne pomoci med nadzornimi organi po clenu 61 Splošne uredbe
Informacijski pooblašcenec je v letu 2020 sodeloval tudi v 123 postopkih zagotavljanja medsebojne pomoci med nadzornimi organi po clenu 61 Splošne uredbe. Prejel je 96 zahtev drugih organov in se nanje, kadar je bilo potrebno, odzval, 27 zahtev za sodelovanje pa je  poslal drugim organom v EU. Postopki po clenu 61 se razlikujejo glede na njihovo prostovoljno naravo v smislu formalno dolocenih rokov. Podrobnejši prikaz postopkov je razviden iz naslednje grafike.





Postopki zagotavljanja medsebojne pomoci.
Postopki prostovoljne pomoci obicajno zadevajo zahteve nadzornih organov v EU za podajo pojasnil glede konkretnih cezmejnih primerov, ki jih obravnavajo, ali glede usmeritev pri obravnavi dolocene tematike ter posredovanje prijav, kadar je za nadzor nad obdelavo podatkov dolocenega zavezanca krajevno pristojen nadzorni organ v drugi državi clanici. Postopki medsebojne pomoci pa obicajno pomenijo zahtevo za izvedbo ukrepov zoper zavezance, ki izvajajo cezmejno obdelavo osebnih podatkov.
Postopek spora po clenu 65 Splošne uredbe
Evropski odbor je v letu 2020 sprejel svojo prvo zavezujoco odlocitev po clenu 65 Splošne uredbe. Šlo je za primer družbe Twitter, ki je utrpela varnostni incident in s tem kršitev varstva osebnih podatkov, vendar tega ni pravocasno naznanila nadzornemu organu. 
Kršitev varstva osebnih podatkov je pomenila napako (t. i. hrošca) v delovanju sistema Twitter. Uporabniki omrežja sami odlocajo, ali bodo njihove objave (»civki«) vidni javno ali želijo njihovo vidnost omejiti na zasebno in bodo lahko objavo videli le tisti sledilci, ki jih izberejo oni sami. Zaradi napake v sistemu so objave dolocenih uporabnikov postale javno vidne brez njihove vednosti in kljub temu, da so jih oznacili kot zasebne. Napaka je zadevala uporabnike androidnih naprav, ki so v svojem Twitter racunu spremenili e-naslov, in sicer je to veljalo za  njihove objave med 5. 9. 2017 in 11. 1. 2019. Prizadetih naj bi bilo vec kot 80.000 uporabnikov iz Evrope. Twitter je o kršitvi varstva osebnih podatkov sicer obvestil Irski nadzorni organ, vendar ne v roku 72 ur po incidentu, kot to predpisuje clen 33 Splošne uredbe.
Irski vodilni nadzorni organ je osnutek odlocitve predložil zadevnim organom iz vseh clanic EU, tudi slovenskemu. Na osnutek odlocitve je prejel vec ugovorov, ki pa jih je zavrnil in zato zadevo predal v postopek odlocanja po clenu 65. Odlocitev Evropskega odbora za varstvo podatkov po clenu 65 je za vodilni nadzorni organ zavezujoca in jo mora upoštevati pri oblikovanju koncne odlocbe po clenu 60. V zadevnem primeru je bilo vodilnemu organu naloženo, da mora v koncni odlocbi pri izreku sankcije upoštevati vsa merila iz
clena 83 Splošne uredbe, da bo sankcija primerna in odvracalna. Vodilni nadzorni organ je v koncni odlocbi po clenu 60 zavezancu Twitter zaradi kršitve clena 33 Splošne uredbe naložil globo v znesku 450.000 EUR.


3.2.5 PREKRŠKOVNI POSTOPKI
Informacijski pooblašcenec je zaradi suma kršitev dolocb ZVOP-1 v letu 2020 uvedel 96 postopkov o prekršku, od tega je 17 postopkov uvedel zoper pravne osebe javnega sektorja in njihove odgovorne osebe, 53 zoper pravne osebe zasebnega sektorja in njihove odgovorne osebe, 26 pa zoper posameznike (v to število so vkljuceni tudi postopki zoper odgovorne osebe državnih organov in samoupravnih lokalnih skupnosti, saj v skladu z ZP-1 Republika Slovenija in samoupravne lokalne skupnosti za prekrške ne odgovarjajo, odgovarjajo le njihove odgovorne osebe – teh je bilo 7).
Število uvedenih postopkov o prekršku med letoma 2006 in 2020.
Za ugotovljeni prekršek lahko prekrškovni organ v skladu s 53. clenom izrece opozorilo, ce je storjeni prekršek neznaten in ce pooblašcena uradna oseba oceni, da je glede na pomen dejanja opozorilo zadosten ukrep. Ce je storjen hujši prekršek, prekrškovni organ izda odlocbo o prekršku, s katero kršitelju izrece sankcijo. V skladu s 4. clenom ZP-1 sta sankciji za prekršek globa in opomin, glede na 57. clen ZP-1 pa se lahko globa izrece tudi v obliki placilnega naloga.
Informacijski pooblašcenec je enega predlagatelja obvestil, da na podlagi njegovega predloga ne bo uvedel postopka o prekršku, ker je pregon že zastaral, 14 postopkov o prekršku pa je ustavil. 
Informacijski pooblašcenec je v prekrškovnih postopkih v letu 2020 izdal:
•	89 odlocb o prekršku (58 glob in 31 opominov),
•	15 opozoril.
Poleg opozoril, ki so bila izrecena v prekrškovnih postopkih, je Informacijski pooblašcenec v skladu z nacelom ekonomicnosti izrekel tudi 81 opozoril po 53. clenu ZP-1 v okviru postopkov inšpekcijskega nadzora. 
Poleg 89 odlocb, ki so po ZP-1 najprej izdane brez obrazložitve, je bilo na podlagi napovedi zahtev za sodno varstvo izdanih 10 odlocb z obrazložitvijo, pri cemer štirje kršitelji po prejemu odlocbe z obrazložitvijo zahteve za sodno varstvo niso vložili. Kršitelji so zoper izdane odlocbe o prekršku vložili šest zahtev za sodno varstvo (zoper 6,7 % odlocb). Vse zahteve za sodno varstvo so bile vložene zoper odlocbe, s katerimi je Informacijski pooblašcenec kršiteljem izrekel globe. Relativno majhen delež vloženih zahtev za sodno varstvo kaže na to, da storilci storjene prekrške priznavajo in se zavedajo svoje odgovornosti. 


Kršitve varstva osebnih podatkov v letu 2020.
Informacijski pooblašcenec poudarja, da je na vodenje prekrškovnih postopkov in izrekanje sankcij za ugotovljene kršitve zelo vplivalo dejstvo, da v Sloveniji še vedno ni sprejet sistemski predpis za uporabo Splošne uredbe (t. i. ZVOP-2), ZVOPOKD, ki je v slovenski pravni red prenesel Direktivo (EU) 2016/680, pa je zacel veljati šele z 31. 12. 2020. Informacijski pooblašcenec tako ni mogel uvesti postopka za prekrške in izreci sankcije za kršitve dolocb Splošne uredbe; to je lahko storil le za kršitve tistih clenov ZVOP-1, ki še veljajo oz. za zavezance, za katere velja ZVOP-1 v celoti.
V letu 2020 je Informacijski pooblašcenec prejel sedem sodb, s katerimi so okrajna sodišca odlocila o zahtevah za sodno varstvo, ki so jih storilci vložili zoper odlocbe o prekrških, izdane v letih 2017, 2018, 2019 in 2020:
•	zahteva za sodno varstvo je bila zavrnjena kot neutemeljena, odlocba Informacijskega pooblašcenca pa potrjena – 2,
•	zahtevi za sodno varstvo je bilo delno ugodeno tako, da je bila odlocba o prekršku Informacijskega pooblašcenca spremenjena glede odlocitve o sankciji in je bil storilcem namesto globe izrecen opomin, sicer pa je bila zahteva za sodno varstvo zavrnjena kot neutemeljena – 2,
•	zahteva za sodno varstvo je bila zavrnjena, sodišce pa je odlocbo Informacijskega pooblašcenca po uradni dolžnosti spremenilo tako, da je dolocilo milejšo sankcijo – 1,
•	zahtevi za sodno varstvo je bilo delno ugodeno tako, da se je odlocba Informacijskega pooblašcenca spremenila in se je ustavil postopek zoper odgovorno osebo in pravno osebo – 1,
•	sodišce je odlocbo o prekršku po uradni dolžnosti spremenilo tako, da je postopek zoper storilca in odgovorno osebo ustavilo – 1.
Informacijski pooblašcenec je prejel tudi eno sodbo, s katero je višje sodišce zavrnilo pritožbo Informacijskega pooblašcenca zoper sodbo okrajnega sodišca, ki je predhodno zahtevi za sodno varstvo ugodilo in postopek o prekršku zoper odgovorno osebo pravne osebe in pravno osebo ustavilo.


3.2.6 IZBRANI PRIMERI OBDELAVE OSEBNIH PODATKOV
V nadaljevanju so predstavljeni nekateri primeri, v zvezi s katerimi je Informacijski pooblašcenec prejel vecje število prijav, uradnih obvestil in vprašanj. Predstavljene so tudi pomembnejše zadeve, ki jih je Informacijski pooblašcenec obravnaval v inšpekcijskih postopkih v letu 2020 v povezavi z epidemijo covid-19.
Vnašanje osebnih podatkov preko spletne strani https://covid-19-stats.si/
Informacijski pooblašcenec je kot nujno zadevo obravnaval prijavo suma kršitve varstva osebnih podatkov v zvezi z zbiranjem podatkov o pocutju, ki so jih posamezniki lahko vnašali preko spletne strani https://covid-19-stats.si/ (t. i. COVID-19 SAMOPOROCANJE). Zbiranje podatkov prek te spletne strani je bilo namenjeno predstavitvi osveženih in podrobnih statistik o zdravih, okuženih, samoizoliranih in ozdravljenih prebivalcih na nivoju Slovenije, regije in posamezne obcine, in sicer na nacin, da je posameznik na spletni strani oznacil, ali kaže katerega od simptomov obolelosti s covid-19, nato pa, glede na prisotnost ali odsotnost simptomov, oznacil zahtevane podatke (število družinskih clanov gospodinjstva, simptome in datum zaznave prvih simptomov okužbe) ter vnesel svojo številko EMŠO ter regijo in obcino bivališca. Opisano zbiranje in obdelavo osebnih podatkov je Informacijski pooblašcenec prepoznal kot sum nezakonite obdelave osebnih podatkov, tj. obdelave v nasprotju s clenom 6 in 9 Splošne uredbe ter 8. in 13. clenom ZVOP-1. Informacijski pooblašcenec je v postopku ugotovil, da je bilo na omenjeni spletni strani navedeno, da se osebni podatki ne zbirajo in ne obdelujejo, saj se vpisana številka EMŠO ne pošlje prek spleta na strežnik zavezanca in se posledicno tudi ne shranjuje, saj se pred pošiljanjem številke EMŠO na napravi uporabnika le-ta anonimizira, s cimer naj bi bilo doseženo, da do na tak nacin šifriranih številk EMŠO, ki jih zavezanec hrani, ni mogoce vec priti oz. dostopati. Zavezanec je na podlagi navedenega menil, da mu ni treba zagotavljati obveznosti iz Splošne uredbe in ZVOP-1.
Informacijski pooblašcenec je ugotovil, da na opisani nacin vrednosti številk EMŠO niso anonimizirane, temvec zgolj psevdonimizirane, kar pomeni, da imajo psevdonimizirane vrednosti še vedno naravo osebnega podatka, upravljavci takšnih podatkov pa morajo zagotavljati obveznosti iz Splošne uredbe in ZVOP-1. Zaradi navedenega je Informacijski pooblašcenec zavezanca pozval, naj izbriše vse podatke (surove in agregatne), ki jih je zbiral prek te spletne strani, kar je zavezanec tudi nemudoma storil. 
Merjenje temperature zaposlenih in obiskovalcev
Upravljavci so kot priporocen ukrep s strani Vlade RS pogosto izvajali merjenje telesne temperature zaposlenim in obiskovalcem. Informacijski pooblašcenec je poudaril, da glede na veljavne predpise merjenje temperature ni nujen in smiseln ukrep v vseh okolišcinah, saj lahko ob neustreznem izvajanju vodi v množicno in nezakonito zbiranje osebnih podatkov. Vsakršna obdelava osebnih podatkov, tudi npr. s termokamero, mora imeti ustrezno pravno podlago po clenu 9 Splošne uredbe. Delodajalci in ostale organizacije, ki niso izvajalci zdravstvene dejavnosti (npr. vzgojno-izobraževalne ustanove), glede na dolocbe veljavne delovno-pravne in druge zakonodaje v obicajnih razmerah niso upraviceni do obdelave zdravstvenih podatkov posameznikov, med katere sodi tudi podatek o telesni temperaturi. Dodatno je treba opozoriti, da nekatere tehnologije poleg merjenja telesne temperature omogocajo tudi izvajanje biometrijskih ukrepov (npr. prepoznavo obraza). Kot je Informacijski pooblašcenec veckrat poudaril, mora o potrebnosti in sorazmernosti tega ukrepa vedno presojati medicinska stroka (mnenje lahko poda npr. izbrani izvajalec medicine dela), ki mora pri presoji upoštevati veljavne predpise in zasledovati nacelo sorazmernosti. Ukrepa obveznega merjenja telesne temperature tako ne bi smeli odrejati, ce je mogoce primerljiv ucinek doseci z milejšimi, manj invazivnimi ukrepi. Upravljavec naj skrbno presodi, katere osebne podatke je treba obdelovati v zvezi s takim ukrepom ter ali je nujno in primerno te podatke hraniti. Pri tem mora ustanova oz. podjetje upoštevati tudi vse relevantne dolocbe Splošne uredbe, npr. nacela varstva osebnih podatkov, predhodno obvešcanje posameznikov o ukrepu skladno s clenom 13 Splošne uredbe, zagotovitev varnosti osebnih podatkov, dolocitev primernih rokov hrambe in zagotovitev tocnosti in ažurnosti osebnih podatkov. V inšpekcijskih postopkih se je vecinoma izkazalo, da so upravljavci uporabljali naprave za merjenje telesne temperature, ki so bile namenjene prostovoljni uporabi zaposlenih in obiskovalcev. Tako naprava pri enem izmed upravljavcev ni beležila podatkov o izmerjeni temperaturi, temvec se je rezultat zgolj prikazal posamezniku, ko je ta stal ob napravi, nato se je nemudoma izbrisal. Zaradi postavitve ekrana je bil vpogled mimoidocim onemogocen, naprava tudi ni oddajala nobenih zvokov ob morebitni zaznani povišani telesni temperaturi, z rezultatom se je torej lahko seznanila zgolj oseba, ki je napravo uporabila. Pri upravljavcu tako ni šlo za kršitve varstva osebnih podatkov, saj naprava ni omogocala shranjevanja podatkov, zajemanja in obdelave slik oz. videoprenosa ter ni vsebovala programske opreme, ki bi omogocila izvajanje biometricne obdelave. Vsi zaposleni so bili predhodno obvešceni o namestitvi naprav za merjenje telesne temperature in o njihovem namenu.
Obdelava osebnih podatkov ucencev pri izvajanju pouka na daljavo
Zaradi izrednih razmer so šole v letu 2020 izvajale pouk na daljavo in pri tem uporabljale orodja informacijske tehnologije. V enem od obravnavanih primerov v inšpekcijskem postopku naj bi ucitelj športne vzgoje podal navodilo, da morajo ucenci na svoje pametne telefone namestiti aplikacijo, ki beleži športne rezultate o vadbi ucenca. Ucencem je bilo tudi naroceno, naj posnetke športne vadbe posredujejo prek aplikacije, ki jo sicer uporabljajo pri pouku na daljavo. Aplikacije za spremljanje telesne aktivnosti oz. druge pametne naprave za spremljanje vadbe z namenom pošiljanja podatkov o opravljeni vadbi ucitelju po mnenju Informacijskega pooblašcenca pretirano posegajo v pravico do varstva osebnih podatkov in zasebnost ucencev, saj aplikacije obdelujejo vrsto zelo obcutljivih osebnih podatkov. Pravna podlaga je v tem primeru sicer privolitev, ki pa pri izobraževanju na daljavo kot javnopravni nalogi skladno s Splošno uredbo ni ustrezna pravna podlaga. Pravna podlaga za obdelavo osebnih podatkov otrok v okviru izobraževanja na daljavo z uporabo orodij za izvajanje pouka prek spleta (kot je npr. Zoom) je bila po mnenju Informacijskega pooblašcenca tocka (c) prvega odstavka clena 6 Splošne uredbe (obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca) v zvezi s predpisi, ki opredeljujejo osnovnošolsko in srednješolsko izobraževanje, kot so Zakon o osnovni šoli, Zakon o gimnazijah ter Zakon o poklicnem in strokovnem izobraževanju. Navedeni predpisi dolocajo obveznost šol, da zagotavljajo predvidene oblike izobraževanja, ter dolžnost ucencev in dijakov, da izpolnjujejo svoje šolske obveznosti. Pri tem je Informacijski pooblašcenec veckrat poudaril, da bi morale biti šole oz. ucitelji opozorjeni na nacelo najmanjšega obsega podatkov, po katerem se ne sme obdelovati vec osebnih podatkov, kot je nujno potrebno za izvedbo izobraževalnega procesa (nacelo minimizacije osebnih podatkov). Šole kot upravljavci osebnih podatkov pa so bile dolžne zagotoviti ustrezno zavarovanje osebnih podatkov v vseh fazah izvajanja ucnega procesa na daljavo. Informacijski pooblašcenec je pozval Ministrstvo za izobraževanje, znanost in šport, da pravno podlago ustrezno konkretizirata z enotnimi navodili šolam. Tako bi bilo treba natancno opredeliti, v katerih primerih je npr. dovoljeno snemanje ucnega procesa.
Aplikacija za sledenje stikom #Ostanizdrav in vabljenje posameznikov k namestitvi aplikacije s strani operaterjev
Informacijski pooblašcenec je v procesu sprejemanja Zakona o interventnih ukrepih za pripravo na drugi val covid-19, ki je uzakonil delovanje mobilne aplikacije, veckrat javno poudaril, da aplikacije za sledenje stikov nedvomno pomenijo obdelavo osebnih podatkov državljanov. Podatki o stikih posameznika ne predstavljajo anonimnih podatkov, temvec gre za obdelavo osebnih podatkov, pogosto tudi obcutljivih osebnih podatkov, ki so varovani s Splošno uredbo, ZVOP-1 in Ustavo RS. Opozarjal je tudi na prostovoljno namestitev aplikacije. Namrec, pravne podlage za obvezno rabo aplikacije bi morale spoštovati temeljne standarde varstva pravic posameznikov: morale bi biti zakonite in ustavne, casovno omejene ter nujne in sorazmerne glede na zasledovani cilj (omejevanje epidemije covid-19). Ravno nujnost in sorazmernost pa je v primeru obvezne aplikacije zelo težko zagotoviti, saj si veliko število okuženih posameznikov ne more zagotoviti novejšega tipa pametnega telefona, ki omogoca zanesljivo delovanje aplikacije. 
V inšpekcijskih postopkih je Informacijski pooblašcenec obravnaval veliko število prijav posameznikov, ki so bili prek prejetih SMS-sporocil povabljeni k namestitvi aplikacije #OstaniZdrav. V inšpekcijskem postopku je Informacijski pooblašcenec ugotovil, da je Nacionalni inštitut za javno zdravje skupaj z Uradom vlade za komuniciranje sooblikoval pobudo za operaterje in jih pozval, da pošljejo kratko sporocilo svojim narocnikom, v kolikor za to obstaja primerna pravna podlaga. Nacionalni inštitut za javno zdravje tako ni nastopal ne kot upravljavec ne kot obdelovalec osebnih podatkov. Zakonitost pošiljanja SMS-sporocil z namenom promocije aplikacije je urejeno z Zakonom o elektronskih komunikacijah (ZEKom-1), ki operaterjem elektronskih komunikacij postavlja omejitve glede dopustne obdelave osebnih podatkov pri zagotavljanju storitev (npr. za katere namene se lahko obdelujejo osebni podatki). Nadzor nad ZEKom-1 izvaja Agencija za komunikacijska omrežja in storitve Republike Slovenije, zato o tej zadevi Informacijski pooblašcenec ni bil pristojen dokoncno odlocati. 
Zavarovanje osebnih podatkov
Nezakonito razkritje osebnih podatkov je ena pogostih kršitev, o katerih zavezanci sporocajo v okviru uradnih obvestil o kršitvi varnosti osebnih podatkov. Upravljavci morajo osebne podatke zavarovati tako, da izvajajo primerne tehnicne in organizacijske ukrepe, ki zagotovijo njihovo varnost glede na konkretna opredeljena tveganja. Splošna uredba v clenu 32 primeroma doloca ukrepe, kot so: psevdonimizacija in šifriranje osebnih podatkov; zmožnost zagotoviti stalno zaupnost, celovitost, dostopnost in odpornost sistemov in storitev za obdelavo; zmožnost pravocasno povrniti razpoložljivost in dostop do osebnih podatkov v primeru fizicnega ali tehnicnega incidenta ter postopek rednega testiranja, ocenjevanja in vrednotenja ucinkovitosti tehnicnih in organizacijskih ukrepov za zagotavljanje varnosti obdelave. Ob tem mora upravljavec upoštevati tudi še veljavno dolocbo 24. clena ZVOP-1, ki doloca, da zavarovanje osebnih podatkov obsega organizacijske, tehnicne in logicno-tehnicne postopke in ukrepe, s katerimi se varujejo osebni podatki, preprecuje slucajno ali namerno nepooblašceno unicevanje podatkov, njihova sprememba ali izguba ter nepooblašcena obdelava teh podatkov, med drugim tako, da se preprecuje nepooblašcen dostop do osebnih podatkov pri njihovem prenosu, vkljucno s prenosom po telekomunikacijskih sredstvih in omrežjih ter zagotavlja ucinkovit nacin blokiranja, unicenja, izbrisa ali anonimiziranja osebnih podatkov.
Skladno s 25. clenom ZVOP-1 pa morajo upravljavci v svojih aktih predpisati postopke in ukrepe za zavarovanje osebnih podatkov ter dolociti osebe, ki so odgovorne za dolocene zbirke osebnih podatkov, in osebe, ki lahko zaradi narave njihovega dela obdelujejo dolocene osebne podatke.
Upravljavci morajo zagotoviti varnost podatkov tudi v primeru pošiljanja le-teh posameznikom po pošti. Na primer, Informacijski pooblašcenec je v inšpekcijskem nadzoru ugotovil, da izpis identifikacijske številke in crtne kode na ovojnici skupaj z imenom, priimkom, ulico, pošto, štirimestno oznako številke na ovojnici, v kateri je bila poslana personalna kartica, ter navedba teh podatkov na ovojnici, v kateri je bilo loceno poslano geslo, skupaj s pripisom, da pošiljka vsebuje geslo za personalno kartico, ni v skladu z dolocbami Splošne uredbe in ZVOP-1 glede zavarovanja osebnih podatkov. Namrec, identifikacijska številka naslovnika personalne kartice predstavlja posameznikov osebni podatek, za katerega zavezanec v konkretnem primeru ni izkazal, da bi bil nujen za samo pošiljanje kartice in gesla. Crtna koda, natisnjena na ovojnici, predstavlja psevdonimiziran osebni podatek, ki ga sicer na prvi pogled ni mogoce povezati s posameznikom, vendar ima še vedno naravo osebnega podatka in je dostopen vsakomur, ki ima ustrezen citalec crtnih kod. Upravljavec tako z razkritjem identifikacijske številke naslovnika in vsebino pošiljke ni zagotovil varstva osebnih podatkov, saj ni zagotovil, da se z osebnimi podatki, ki niso nujni za samo pošiljanje, ne bi seznanile nepooblašcene osebe. 
Posredovanje posnetkov videonadzornega sistema
Pravila o zavarovanju osebnih podatkov, ki jih dolocata Splošna uredba in ZVOP-1 je treba upoštevati tudi, kadar upravljavec sicer na zakoniti pravni podlagi posreduje posnetke videonadzornega sistema tretji osebi. Upravljavec je na podlagi 10. clena Zakona o odvetništvu odvetniški družbi posredoval videoposnetke nadzornih kamer v skupnem trajanju 24 ur, pri cemer ni zagotovil zakritja osebnih podatkov oseb, ki so na posnetkih. Prav tako v notranjih aktih upravljavca ni bilo navedeno, kateri so kriteriji za presojo upravicenosti za posredovanje podatkov, vkljucno s presojo sorazmernosti same zahteve. Upravljavec je sicer v svojem Pravilniku o izvajanju videonadzora predvidel posredovanje videoposnetkov drugim uporabnikom oz. tretjim osebam, v kolikor so ti ustrezno obdelani na nacin, ki onemogoca posredno oziroma neposredno identifikacijo posameznika, vendar ni dolocil postopka oz. nacina obdelave posnetkov, s katerim se lahko onemogoci (posredna oz. neposredna) identifikacija posameznikov. Upravljavci morajo vzpostaviti ustrezna pravila in postopke posredovanja videoposnetkov nadzornih kamer, vkljucno z navodili zaposlenim, ki posredovanje videoposnetkov izvajajo. Iz navodil mora biti nedvoumno in jasno razvidno, v katerih primerih je posredovanje posnetkov zakonito in sorazmerno, kakšni ukrepi so potrebni pred posredovanjem posnetkov ter nacin izvedbe teh ukrepov, da se zagotovi zavarovanje osebnih podatkov.
Izbris osebnih podatkov, ki se hranijo za namene arhiviranja v javnem interesu
Med pravice posameznika po Splošni uredbi uvršcamo tudi pravico do izbrisa oz. do pozabe, ki je dolocena v clenu 17 Splošne uredbe. Skladno s clenom 17(1) Splošne uredbe ima posameznik, na katerega se nanašajo osebni podatki, pravico doseci, da upravljavec brez nepotrebnega odlašanja izbriše osebne podatke v zvezi z njim, upravljavec pa ima obveznost osebne podatke brez nepotrebnega odlašanja izbrisati, kadar: osebni podatki niso vec potrebni za namene, za katere so bili zbrani ali kako drugace obdelani; posameznik, na katerega se nanašajo osebni podatki, preklice privolitev, na podlagi katere poteka obdelava in kadar za obdelavo ne obstaja nobena druga pravna podlaga; posameznik, na katerega se nanašajo osebni podatki, ugovarja obdelavi skladno s clenom 21 (obdelavi, ki poteka zaradi opravljanja nalog v javnem interesu oz. na podlagi zakonitih interesov upravljavca), pa za njihovo obdelavo ne obstajajo nobeni prevladujoci zakoniti razlogi, ali pa posameznik, na katerega se nanašajo osebni podatki, obdelavi ugovarja v primeru neposrednega trženja; osebni podatki so bili obdelani nezakonito; osebne podatke je treba izbrisati za izpolnitev pravne obveznosti v skladu s pravom Unije ali pravom države clanice, ki velja za upravljavca; osebni podatki so bili zbrani v zvezi s ponudbo storitev informacijske družbe od mladoletne osebe.
Pravica do izbrisa pa ni neomejena, saj Splošna uredba doloca, da izbrisa osebnih podatkov ni mogoce uveljavljati, ce je obdelava potrebna npr. za uresnicevanje pravice do svobode izražanja in obvešcanja; za namene arhiviranja v javnem interesu, za znanstveno- ali zgodovinskoraziskovalne namene ali statisticne namene ali npr. za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov.
V eni izmed obravnavanih inšpekcijskih zadev je posameznik pri svoji župniji vložil zahtevo za izbris svojih osebnih podatkov iz krstne maticne knjige. Zatrjeval je, da že vrsto let ni vec clan Katoliške cerkve in posledicno ne izpolnjuje cerkvene zakonodaje, zato podatki niso vec potrebni za namene, za katere so bili zbrani in nadalje obdelani. Poudaril je tudi, da bi naj bila obdelava njegovih obcutljivih osebnih podatkov nezakonita, saj naj bi Cerkev nikoli ne pridobila njegove svobodne privolitve za izvedbo krsta in obdelavo njegovih osebnih podatkov. Menil je, da javni in zakoniti interes, namen arhiviranja in statisticni nameni niso izkazani oz. da nad njimi prevlada interes in temeljne pravice in svobošcine posameznika. 
Opozorimo naj, da je skladno s svojimi pristojnostmi Informacijski pooblašcenec presojal zgolj posameznikovo zahtevo za izbris podatkov glede krsta ter se v postopku ni opredeljeval do morebitnega clanstva posameznika v skupnosti upravljavca oziroma drugih vprašanjih, za katere Informacijski pooblašcenec ni pristojen. Informacijski pooblašcenec je v tej zadevi presojal dolocbo clena 17(3) Splošne uredbe, skladno s katero posameznik ne more zahtevati izbrisa podatkov v primeru, da je obdelava potrebna za namene arhiviranja v javnem interesu za znanstveno- ali zgodovinskoraziskovalne namene ali za statisticne namene. Ugotovljeno je bilo, da upravljavec osebnih podatkov v t. i. krstni knjigi obdeluje osebne podatke posameznika, in sicer njegovo ime, priimek, datum rojstva, datum krsta, podatke o njegovih starših in botrih ter naslov stalnega prebivališca ob krstu. Upravljavec osebnih podatkov ni pridobil na podlagi privolitve posameznika, temvec so privolitev podali njegovi starši kot zakoniti zastopniki. Navedene osebne podatke upravljavec obdeluje, saj že sama hramba teh podatkov predstavlja obdelavo osebnih podatkov. Pri presoji, ali gre v danem primeru za namene arhiviranja v javnem interesu oz. za znanstveno- ali zgodovinskoraziskovalne namene, je Informacijski pooblašcenec upošteval vrsto in naravo zbirke oz. gradiva in ugotovil, da je gre pri tem za posebne maticne, krstne knjige, ki jih upravljavec vodi dolgo casovno obdobje in katerih pomen in vrednost bi za navedene namene težko zavrnili, na kar kaže tudi dolocba 
52. clena Zakona o varstvu dokumentarnega in arhivskega gradiva ter arhivih (ZVDAGA). ZVDAGA v 52. clenu doloca, da se arhivsko gradivo Rimskokatoliške cerkve odbere iz cerkvenega dokumentarnega gradiva v skladu z njenimi predpisi in ima lastnosti arhivskega gradiva po tem zakonu. Ministrstvo, pristojno za arhive, v dogovoru s Slovensko škofovsko konferenco doloci posamezne pogoje za opravljanje arhivske dejavnosti in dogovorjena sredstva za opravljanje arhivske dejavnosti Rimskokatoliške cerkve.
Brisanje podatkov iz krstne knjige bi tako vsaj resno oviralo uresnicevanje teh namenov, pri tem pa že sam ZVDAGA kakor tudi Splošna uredba dolocata obveznost sprejetja zašcitnih ukrepov za zavarovanje osebnih podatkov. Tako Informacijski pooblašcenec pritožbi posameznika glede izbrisa osebnih podatkov iz maticne knjige ni ugodil. Posameznik se z odlocitvijo Informacijskega pooblašcenca ni strinjal in je zoper odlocitev vložil tožbo, tako da bo moralo o zadevi dokoncno odlociti Upravno sodišce Republike Slovenije. 
Zahteva za omejitev obdelave objavljenega prispevka
Med pravice posameznika po Splošni uredbi spada tudi pravica do omejitve obdelave (clen 18 Splošne uredbe). Posameznik, na katerega se nanašajo osebni podatki, ima pravico doseci, da upravljavec omeji obdelavo, kadar velja en od naslednjih primerov: posameznik, na katerega se nanašajo osebni podatki, oporeka tocnosti podatkov, in sicer za obdobje, ki upravljavcu omogoca preveriti tocnost osebnih podatkov; obdelava je nezakonita in posameznik, na katerega se nanašajo osebni podatki, nasprotuje izbrisu osebnih podatkov ter namesto tega zahteva omejitev njihove uporabe; upravljavec osebnih podatkov ne potrebuje vec za namene obdelave, temvec jih posameznik, na katerega se nanašajo osebni podatki, potrebuje za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov; posameznik, na katerega se nanašajo osebni podatki, je vložil ugovor v zvezi z obdelavo v skladu s clenom 21(1), dokler se ne preveri, ali zakoniti razlogi upravljavca prevladajo nad razlogi posameznika, na katerega se nanašajo osebni podatki.
Kadar je bila obdelava osebnih podatkov omejena, se taki osebni podatki z izjemo njihovega shranjevanja obdelujejo le s privolitvijo posameznika, na katerega se nanašajo, ali za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov ali zaradi varstva pravic druge fizicne ali pravne osebe ali zaradi pomembnega javnega interesa EU ali države clanice.
Ustava RS v 38. clenu zagotavlja varstvo osebnih podatkov, vendar sama objava posameznikovih osebnih podatkov v medijih še ne pomeni nujno kršitve predpisov s podrocja varstva osebnih podatkov. V primeru objave osebnih podatkov gre namrec lahko tudi za poseg v širšo pravico do zasebnosti iz 35. clena Ustave RS in sodi v pristojnost sodišc. Ugoditev zahtevi posameznika za omejitev obdelave bi po drugi strani pomenila omejitev upravljavceve pravice do svobode izražanja v korist pravici do varstva osebnih podatkov. Kot je poudarilo Ustavno sodišce v svoji odlocbi, svoboda izražanja ni le neposreden izraz posameznikove osebnosti v družbi, temvec tudi konstitutivni element svobodne demokraticne družbe. Prvi odstavek
39. clena Ustave RS zato kot poseben vidik varuje svobodo novinarskega izražanja, ki ne zagotavlja le posameznikove (novinarjeve) pravice, temvec se s tiskom in drugimi javnimi mediji uresnicuje tudi demokraticna pravica javnosti do obvešcenosti o zadevah javnega pomena.  Skladno s tretjim odstavkom 15. clena Ustave RS so clovekove pravice in temeljne svobošcine omejene samo s pravicami drugih ljudi oz. v primerih, ki jih doloca ustava. Pravica do informacijske zasebnosti kakor tudi pravica do svobode izražanja nista neomejeni, zato je treba v primeru kolizije dveh pravic v konkretnem primeru odlociti, kateri je treba dati prednost in katera se mora zaradi aktiviranja nujne, ustavno varovane vsebine druge pravice tej umakniti oziroma se mora umakniti del upravicenj, ki sestavljajo to pravico. Tako je Informacijski pooblašcenec presojal kolizijo teh dveh pravic v primeru, ko je posameznik želel uveljaviti pravico do omejitve obdelave clanka, ki je bil objavljen na spletu. V postopku je bilo ugotovljeno, da je clanek temeljil na podatkih, katerih vir je bilo predhodno porocanje drugih medijev in pripoved znanca posameznika, podatki pa niso bili pridobljeni iz zbirke podatkov. Upravljavec je na spletni strani tudi posamezniku omogocil prikaz nasprotnih dejstev. Glede na okolišcine kolizije obeh pravic je Informacijski pooblašcenec odlocil, da bi ugoditev posameznikovi zahtevi za omejitev obdelave clanka pomenila prekomeren poseg v pravico do svobode izražanja, zato posameznikovi zahtevi za omejitev obdelave osebnih podatkov ni ugodil. Posameznik se tudi v tem primeru z odlocitvijo Informacijskega pooblašcenca ni strinjal in je zoper odlocitev vložil tožbo, tako da bo moralo o zadevi dokoncno odlociti Upravno sodišce Republike Slovenije.
Pravica do popravka osebnih podatkov v sistemu SISBON
Posameznik, na katerega se nanašajo osebni podatki, ima pravico doseci, da upravljavec brez nepotrebnega odlašanja popravi netocne osebne podatke, ki se nanj nanašajo. Posameznik, na katerega se nanašajo osebni podatki, ima ob upoštevanju namenov obdelave pravico do dopolnitve nepopolnih osebnih podatkov, vkljucno s predložitvijo dopolnilne izjave. 
Informacijski pooblašcenec je odlocal o pravici do popravka v zbirki osebnih podatkov centralnega kreditnega registra SISBON, ki ga upravlja Banka Slovenije. Porocanje v SISBON poteka skladno s prirocnikom Banke Slovenije za porocanje poslovnih dogodkov. Podatki in informacije, ki se obdelujejo v sistemu SISBON, so namenjeni upravicencem (npr. bankam, kreditodajalcem, ponudnikom placilnih storitev itd.) pri ocenjevanju kreditne sposobnosti kreditojemalcev in kreditnega tveganja, ki bi s sklenitvijo posameznega kreditnega posla nastalo za dolocenega upravicenca ali je nastalo v zvezi z izvajanjem kreditnega posla. Upravljavec (banka) je v obravnavani inšpekcijski zadevi prodal terjatev posameznika podjetju in v SISBON sporocil stanje dogodka »Zakljucek posla, kjer dolg ni bil poravnan«. V trenutku vpisa je bilo navedeno stanje dogodka vpisano skladno z veljavnimi pravili porocanja v SISBON. Od uveljavitve Zakona o centralnem kreditnem registru (ZCKR), od decembra 2016 dalje, pa se prodaja terjatev posameznikov v sistemu SISBON oznacuje z dogodkom »Zakljucek posla zaradi odprodaje dolga«.
 
Posameznik je terjatve družbi poravnal konec marca 2017, vendar mu je navedeni vpis povzrocal težave pri sklepanju kreditnih in drugih poslov z bankami. Banka je namrec posamezniku dvakrat zavrnila prošnjo za limit izkljucno zaradi vpisa, zabeleženega v SISBON. Posameznik je želel doseci, da bi se prodana terjatev v sistemu SISBON beležila kot »Zakljucek posla zaradi odprodaje dolga«. Posameznik je na podlagi dolocb ZCKR od banke, ki je njegovo terjatev odprodala, zahteval popravo napacnih podatkov tako, da jih dopolni, izbriše ali spremeni ter zagotovi vpis pravilnega podatka. Banka je njegovo zahtevo zavrnila in pojasnila, da terjatve niso poplacane, da jih je upravljavec odstopil družbi, ki pa ni zavezana porocanju v SISBON, in da so terjatve zapisane skladno s pravili porocanja v SISBON. V SISBON prostega besedila ni bilo mogoce vpisovati in tudi popravki na posameznem dogodku oz. poslu niso mogoci in se spremenijo zgolj, ce pride do spremembe porocanja vrste posla oz. dogodka. Vsak upravljavec lahko poroca v SISBON zgolj o svojih poslih, in ce je terjatev clana prodana subjektu, ki ni clan sistema SISBON, se s tem zakljuci porocanje v SISBON in tega zapisa ne more popraviti niti noben clan sistema niti sam upravljavec sistema. Podatki o posameznem kreditnem poslu se hranijo v SISBON za obdobje štirih let po prenehanju obveznosti, ki izhaja iz kreditnega posla. V trenutku predmetne zadeve pa status »Zakljucek posla zaradi odprodaje dolga« še ni obstajal in sistem popravo tega podatka za nazaj ni dovoljeval. 
Informacijski pooblašcenec je ugotovil, da upravljavec posamezniku z zavrnitvijo popravka oz. dopolnitvijo vpisa v SISBON ni omogocil uresnicevanja pravice do popravka netocnih podatkov, poleg tega je kršil nacelo tocnosti podatkov iz Splošne uredbe. Dejstvo, da banka, ki je terjatev prodala, ni vec v vlogi upnika, banke ne obvezuje odgovornosti za tocnost in ažurnost podatkov, ki jih je v preteklosti vpisala v SISBON. Veljavna pravila vpisovanja dogodkov v SISBON posameznikom niso omogocala pravice do popravka netocnih podatkov, kar je imelo za posameznike resne posledice, saj so dajalci kreditov podatkom v SISBON ocitno pripisovali odlocilen pomen, podatki v SISBON pa glede na ugotovljeno niso mogli biti v vsakem trenutku in v vsakem primeru tocni in ažurni.
Izvajanje biometricnega preverjanja potnikov na letališcu
Informacijski pooblašcenec je v okviru cezmejnih inšpekcijskih postopkov vodil tudi postopek inšpekcijskega nadzora zoper špansko podjetje, ki deluje na podrocju sistema rezervacij letalskih kart, sedež ima v Madridu. Zaradi strožjega varstva osebnih podatkov na podrocju biometrije po ZVOP-1 v primerjavi s Splošno uredbo je Informacijski pooblašcenec postopek, ki sicer izpolnjuje vse pogoje cezmejne obdelave osebnih podatkov in ki bi ga moral, glede na sedež podjetja, voditi španski nadzorni organ, vodil kot »lokalni primer«. Takšno možnost predvideva Splošna uredba v postopkih cezmejnega sodelovanja: nadzornim organom, ki bi sicer v postopkih sodelovali zgolj kot zadevni nadzorni organi, omogoca, da imajo dejansko enake pristojnosti kot vodilni nadzorni organ. Informacijski pooblašcenec je v postopku preverjal zakonitost obdelave biometricnih osebnih podatkov v okviru pilotnega projekta vkrcavanja potnikov z uporabo biometrije na Letališcu Jožeta Pucnika, ki ga je v celoti izvajalo špansko podjetje. Španskemu nadzornemu organu je glede na strožje dolocbe ZVOP-1 glede biometrijskih ukrepov predlagal, da vodi postopek na lokalni ravni, s cimer se je španski nadzorni organ strinjal. Splošna uredba tudi za takšne primere vodenja inšpekcijskih postopkov nadzornim organom omogoca uporabo mehanizma medsebojne pomoci (clen 61 Splošne uredbe), s pomocjo katerega je celotna komunikacija s podjetjem potekala prek španskega nadzornega organa.
Informacijski pooblašcenec je v postopku ugotovil, da je špansko podjetje z izvajanjem biometrijskih ukrepov v okviru pilotnega projekta vkrcavanja potnikov na Letališcu Jožeta Pucnika kršilo dolocbe ZVOP-1, saj za takšno obdelavo osebnih podatkov Informacijskemu pooblašcencu ni posredovalo opisa nameravanih ukrepov in razlogov za njihovo uvedbo, da bi ta lahko odlocil in zavezanca obvestil, da nameravana uvedba biometrijskih ukrepov ni v skladu z ZVOP-1. Poleg tega je podjetje biometrijske ukrepe izvajalo z namenom hitrejšega in ucinkovitejšega prehoda potnikov prek letališkega sistema, nad potniki, ki niso bili njegovi zaposleni, in ne da bi za to prejel odlocbo nadzornega organa, s katero bi bilo izvajanje biometrijskih ukrepov dovoljeno.
Vdor v informacijski sistem hotelske verige in kršitev varstva osebnih podatkov
Upravljavec – hotelska veriga – je pripojil družbo, v katere informacijski sistem je že pred pripojitvijo vdrl neznani napadalec. Upravljavec za vdor ni vedel ne v postopku pripojitve ne pozneje. Z vdorom je bil seznanjen šele, ko je napadalec sprožil varnostni alarm, med drugim v povezavi s tabelami, ki so vsebovale podatke o imetnikih kartic. Napadalec naj bi pridobil osebne podatke tako v šifrirani kot v nešifrirani obliki. Nešifrirani osebni podatki so vsebovali podatke iz profilov strank, vkljucno s podatki o rezervacijah. Šifrirani podatki pa so vsebovali 18,5 milijona številk potnih listin in 9,1 milijona številk placilnih kartic. Upravljavec je o zaznanem vdoru obvestil posameznike in sprejel ukrepe za zmanjšanje posledic vdora. O vdoru oziroma kršitvi varnosti osebnih podatkov je obvestil vodilni nadzorni organ iz Združenega Kraljestva. V postopku smo kot zadevni organi sodelovali vsi organi iz držav clanic EU. Prizadeti so bili tudi posamezniki iz Slovenije, kjer se prav tako nahaja hotel iz verige upravljavca. 
Vodilni nadzorni organ je ugotovil, da upravljavec ni zagotovil ustreznih tehnicnih in organizacijskih ukrepov za zagotovitev ustrezne ravni varnosti osebnih podatkov, kot je to doloceno v clenih 5(1)(f) in 32 Splošne uredbe. Vodilni nadzorni organ je med drugim ugotovil, da upravljavec ni dovolj ucinkovito nadzoroval privilegiranih racunov in zbirk ter da ni zagotovil, da bi bile aktivnosti v sistemu ustrezno nadzorovane. Ugotovljeno je bilo tudi, da upravljavec v nekaterih primerih ni zagotovil šifriranja vseh številk potnih listin ter drugih kategorij osebnih podatkov. Ob upoštevanju dolocenih olajševalnih okolišcin je vodilni nadzorni organ upravljavcu naložil globo v višini 18,4 milijona GBP.
Mobilna aplikacija za izvajanje potegavšcin in snemanje brez vednosti osebe
Informacijski pooblašcenec je prejel prijavo posameznika iz RS zoper upravljavca iz Španije. Po postopku sodelovanja iz poglavja VII Splošne uredbe je španski nadzorni organ kot vodilni nadzorni organ na podlagi posredovane prijave uvedel in vodil postopek, v katerem je preverjal skladnost obdelav, ki jih izvaja upravljavec, z dolocbami Splošne uredbe. Upravljavec je razvil mobilno aplikacijo, katere namen je omogociti posameznikom izvajanje telefonskih potegavšcin, in sicer tako, da posameznik izbere osebo, ki jo bo upravljavec poklical in izvedel potegavšcino, pri tem pa aplikacija pogovor tudi posname. Oseba, ki prejme klic s potegavšcino, nima informacij o obdelavi osebnih podatkov in od upravljavca ne more zahtevati izbrisa posnetka. Španski nadzorni organ je v postopku predvsem preverjal skladnost obdelave osebnih podatkov tako posameznikov, ki želijo prek aplikacije izvesti potegavšcino, kot tretjih oseb, ki prejmejo klic, in sicer je preverjal ustreznost pravnih podlag iz clena 6 ter informiranost glede obdelave osebnih podatkov iz clenov 12, 13 in 14 Splošne uredbe. Vodilni nadzorni organ je med drugim ugotovil, da v obravnavanem primeru ne gre za zasebno rabo v smislu clena 2(2)(c) Splošne uredbe ter da je upravljavec odgovoren za obdelavo osebnih podatkov posameznikov, saj brez njegove aktivne vloge do obdelave sploh ne bi prišlo, poleg tega pa je prav navedena obdelava glavna dejavnost (in vir prihodkov) upravljavca. Upravljavec ni izkazal pravne podlage za obdelavo, saj privolitev od tretjih oseb ne pridobiva oziroma prelaga pridobitev privolitve na posameznika, ki želi izvesti potegavšcino, zakoniti interes pa ne prevlada nad interesi in pravicami tretjih oseb, saj z njimi sploh niso seznanjene in mu zato ne morejo ucinkovito ugovarjati. Upravljavec tudi ne zagotavlja ustreznega informiranja oseb, katerih osebne podatke obdeluje. Na podlagi ugotovljenega je španski nadzorni organ upravljavcu odredil, da v roku treh mesecev uskladi obdelavo osebnih podatkov z dolocbami Splošne uredbe, predvsem vzpostavi postopek, da se lahko poda ustrezna privolitev ter da zagotovi informacije o obdelavi osebnih podatkov. Navedeno mora upravljavec zagotoviti v vseh državah Evropskega gospodarskega prostora (EEA), v katerih je aplikacija dostopna. Ob upoštevanju nekaterih oteževalnih okolišcin je vodilni nadzorni organ upravljavcu naložil globo v višini 40.000 EUR (po 20.000 EUR za vsako od ugotovljenih kršitev).

3.3 DRUGI UPRAVNI POSTOPKI
3.3.1 DOPUSTNOST IZVAJANJA BIOMETRIJSKIH UKREPOV
Informacijski pooblašcenec je po dolocbi 80. clena ZVOP-1 pristojen za vodenje upravnih postopkov za izdajo odlocb o tem, ali je nameravano izvajanje biometrijskih ukrepov v skladu z dolocbami ZVOP-1 ali ne. Biometrijski ukrepi so kot posebna oblika obdelave osebnih podatkov opredeljeni v 78. do 81. clenu ZVOP-1. Informacijski pooblašcenec mora v skladu s tretjim odstavkom 80. clena ZVOP-1 pri odlocanju o tem, ali je nameravana uvedba biometrijskih ukrepov v zasebnem sektorju v skladu z dolocbami ZVOP-1, ugotoviti predvsem, ali je izvajanje biometrijskih ukrepov nujno za opravljanje dejavnosti, za varnost ljudi ali premoženja ali za varovanje tajnih podatkov ali poslovne skrivnosti. Pri presoji, ali so biometrijski ukrepi nujno potrebni za dosego namena, Informacijski pooblašcenec ugotavlja, ali bi namen, ki ga zasleduje vlagatelj, ta lahko dosegel s postopki in ukrepi, ki manj posegajo v zasebnost zaposlenih oz. ne vkljucujejo biometrijskih ukrepov. Slednji namrec predstavljajo velik poseg v informacijsko zasebnost posameznika, saj gre za obdelavo tistih znacilnosti, ki so za vsakogar edinstvene in stalne in zloraba katerih bi za posameznika lahko imela hude, daljnosežne in nepopravljive posledice. Informacijski pooblašcenec presoja tudi tehnicni vidik biometrijskih ukrepov (ali se bodo ti ukrepi uporabljali za preverjanje identitete oz. avtentikacijo ali za ugotavljanje identitete oz. identifikacijo). 
Informacijski pooblašcenec je leta 2020 prejel pet vlog za izdajo dovoljenja za uvedbo biometrijskih ukrepov in tudi izdal pet odlocb:
• Enemu vlagatelju je za namen opravljanja dejavnosti, varovanja poslovnih skrivnosti in zagotavljanja varnosti njegovega premoženja ter premoženja tretjih oseb dovolil izvajanje biometrijskih ukrepov za vstopanje v laboratorij znotraj poslovnih prostorov vlagatelja na njegovem sedežu, in sicer z uporabo enega citalca prstnih odtisov ob vhodu v laboratorij, v katerem se odvijajo najbolj obcutljivi procesi s podrocja vlagateljeve dejavnosti (izvajanje akreditiranih meritev sistemov). 
• Tri vloge za izvajanje biometrijskih ukrepov je zavrnil, ker je vlagatelj želel biometrijske ukrepe z uporabo naprave za prepoznavo prstnega odtisa uvesti zaradi poenostavitve postopka registracije delovnega casa zaposlenih. Biometrijskih ukrepov, ki se uvajajo le zato, ker so bolj prirocni ali bolj ekonomicni od drugih sistemov registracije delovnega casa, ki temeljijo na npr. brezkontaktnih karticah, namrec ni mogoce opredeliti kot nujno potrebne za dosego namenov, opredeljenih v prvem odstavku 80. clena ZVOP-1. 
• Eno vlogo za izvajanje biometrijskih ukrepov za vstopanje v poslovne prostore vlagatelja je zavrnil zato, ker vlagatelj ni izkazal nujnosti uvedbe biometrijskih ukrepov za namen zagotavljanja varnosti njegovega premoženja. Vlagatelj namrec ni konkretiziral, kdo in na kakšen nacin ogroža njegovo premoženje, kakšna je njegova približna vrednost ter kakšne ukrepe za preprecevanje njegovega ogrožanja je že sprejel.
3.3.2 POVEZOVANJE ZBIRK OSEBNIH PODATKOV
Povezovanje zbirk osebnih podatkov urejajo 84., 85. in 86. clen ZVOP-1. 84. clen ZVOP-1 doloca, da ce najmanj ena izmed zbirk osebnih podatkov, ki naj bi se jih povezovalo, vsebuje obcutljive osebne podatke ali ce bi bila posledica povezovanja razkritje obcutljivih podatkov ali je za povezovanje potrebna uporaba istega povezovalnega znaka, povezovanje brez predhodnega dovoljenja Informacijskega pooblašcenca ni dovoljeno. Ta povezavo dovoli na podlagi pisne vloge upravljavca osebnih podatkov, ce ugotovi, da ta zagotavlja ustrezno zavarovanje osebnih podatkov. Postopki in ukrepi za zavarovanje morajo biti ustrezni glede na tveganje, ki ga predstavljata obdelava in narava osebnih podatkov, ki se obdelujejo. Poleg ugotavljanja ustreznosti zavarovanja osebnih podatkov mora Informacijski pooblašcenec pri odlocanju o izdaji dovoljenja za povezovanje zbirk osebnih podatkov opraviti tudi vsebinski preizkus, ali za povezovanje zbirk osebnih podatkov obstaja ustrezna zakonska podlaga. V okviru povezave zbirk osebnih podatkov se lahko posredujejo oz. obdelujejo le tisti osebni podatki, ki jih doloca veljavna zakonodaja. Povezovanje zbirk predstavlja avtomatsko in elektronsko povezovanje zbirk osebnih podatkov, ki jih vodijo upravljavci za razlicne namene, in sicer tako, da se doloceni podatki samodejno ali na zahtevo prenesejo ali vkljucijo v drugo povezano zbirko ali v vec povezanih zbirk. Zbirki osebnih podatkov sta povezani, ce se doloceni podatki iz ene zbirke neposredno vkljucijo v drugo zbirko, s cimer se druga zbirka spremeni (poveca, ažurira ipd.); pri tem gre lahko zgolj za enosmeren tok prenosa podatkov. 
Informacijski pooblašcenec je leta 2020 prejel 17 vlog za pridobitev dovoljenja za povezovanje zbirk osebnih podatkov. Izdal je 15 odlocb, in sicer 13 odlocb, s katerimi je upravljavcem povezovanje zbirk osebnih podatkov dovolil, ter dve odlocbi, s katerima povezovanja zbirk osebnih podatkov ni dovolil. Dva vlagatelja sta vlogo umaknila, zato je Informacijski pooblašcenec postopka ustavil.
Izdane odlocbe glede povezovanja javnih evidenc.


Število vlog za izdajo odlocbe glede povezljivosti zbirk osebnih podatkov med letoma 2006 in 2020.
3.3.3 PRENOS OSEBNIH PODATKOV V TRETJE DRŽAVE
Splošna uredba ureja prenos podatkov v tretje države in mednarodne organizacije v V. poglavju. Prenos je dovoljen, ce obstaja ena izmed naslednjih pravnih podlag:
1.	Evropska komisija izda odlocbo, da država, ozemlje, dolocen sektor v državi ali mednarodna organizacija, v katero se osebni podatki prenašajo, zagotavlja ustrezno raven njihovega varstva (clen 45). V veljavi ostajajo tudi odlocbe o zagotavljanju ustrezne ravni varstva osebnih podatkov v tretjih državah, ki jih je na podlagi 63. clena ZVOP-1 sprejel Informacijski pooblašcenec;
2.	izvoznik podatkov zagotovi ustrezne zašcitne ukrepe na podlagi clenov 46 in 47;
3.	gre za posebne primere, ki so doloceni v clenu 49, v katerih so mogoca odstopanja.
Po Splošni uredbi dovoljenje Informacijskega pooblašcenca za prenos podatkov v tretje države ali mednarodne organizacije v vecini primerov ni vec potrebno.
Pridobitev dovoljenja oz. odlocbe nadzornega organa glede ustreznosti zašcitnih ukrepov iz clena 46, ki predstavljajo podlago za prenos podatkov, je potrebna le še takrat: 
•	ko gre za prenos podatkov v tretjo državo na podlagi pogodbenih dolocil, ki jih kot ustrezne zašcitne ukrepe sama dolocita izvoznik in uvoznik podatkov (tocka (a) clena 46(3)); 
•	ko gre za prenos podatkov med javnimi organi na podlagi dolocb, ki se vstavijo v upravne dogovore (tocka (b) clena 46(3));
•	ce se podatki prenašajo na podlagi zavezujocih poslovnih pravil, mora le-te predhodno odobriti pristojni nadzorni organ (clen 47(1)).
Ob tem je treba opozoriti, da je Sodišce Evropske unije (SEU) v zadevi C-311/18, Schrems II (DPC Ireland proti Facebook Ireland Limited, Maximillian Schrems) odlocbo Evropske komisije 2016/1250 o ustreznosti varstva osebnih podatkov, ki ga zagotavlja zasebnostni šcit EU-ZDA, razglasilo za neveljavno. Sodišce je hkrati potrdilo veljavnost standardnih pogodbenih klavzul, ki se še vedno lahko uporabljajo za prenose podatkov v tretje države, ki ne zagotavljajo ustreznega varstva osebnih podatkov. Vec o tem v poglavju 3.6. 
Informacijski pooblašcenec v letu 2020 ni prejel nobene vloge v zvezi s prenosom podatkov v tretje države. 
Informacijski pooblašcenec ima na svoji spletni strani objavljene smernice, v katerih je podrobno predstavljena ureditev prenosov osebnih podatkov v tretje države in mednarodne organizacije po Splošni uredbi. Smernice so dostopne na tej povezavi.  


3.3.4 PRAVICE POSAMEZNIKOV
Pravica do seznanitve z lastnimi osebnimi podatki je zagotovljena vsakemu posamezniku v tretjem odstavku 38. clena Ustave RS in v clenu 15 Splošne uredbe. Postopkovna pravila so urejena v clenu 11 in 12 Splošne uredbe. Po clenu 15 Splošne uredbe je posameznik upravicen, da mu upravljavec na njegovo zahtevo: (1) potrdi, ali se v zvezi z njim obdelujejo osebni podatki; (2) omogoci vpogled ali posreduje reprodukcijo teh osebnih podatkov, torej zagotovi dostop do njihove vsebine; (3) ce se osebni podatki posameznika pri upravljavcu res obdelujejo, je posameznik upravicen do naslednjih dodatnih informacij: 
•	namen obdelave podatkov, 
•	vrste podatkov, 
•	uporabniki podatkov, 
•	obdobje hrambe podatkov, 
•	obstoj pravic posameznika v zvezi z njegovimi podatki, 
•	vir podatkov in 
•	obstoj avtomatiziranega sprejemanja odlocitev, vkljucno z oblikovanjem profilov, ter informacije o razlogih zanj, pa tudi pomen in predvidene posledice take obdelave za posameznika, na katerega se osebni podatki nanašajo.
Splošna uredba ureja še nekatere druge pravice posameznikov, ki se uveljavljajo na zahtevo:
1.	Pravica do prenosljivosti osebnih podatkov, ki pomeni možnost, da posameznik doseže prenos osebnih podatkov, ki se obdelujejo v avtomatizirani obliki, drugemu upravljavcu na nacin, da se ti podatki lahko v enaki obliki vkljucijo oz. uporabljajo pri drugem upravljavcu. Lahko pa te podatke na enak nacin pridobi tudi sam.
2.	Pravica do ugovora, ki pomeni, da lahko posameznik pod dolocenimi pogoji (npr. ce se podatki obdelujejo za neposredno trženje) doseže, da upravljavec dolocene obdelave ne sme vec izvajati.
3.	Pravica do ugovora zoper upravljavcevo odlocitev o posamezniku (npr. o njegovih pravicah in dolžnostih), ce je bila odlocitev sprejeta izkljucno z avtomatizirano obdelavo osebnih podatkov.
4.	Pravica do popravka, ki pomeni možnost, da posameznik doseže, da upravljavec izvede popravek ali dopolnitev netocnih ali nepopolnih podatkov, ki se vodijo pri njem.
5.	Pravica do izbrisa, ki pomeni, da mora upravljavec pod dolocenimi pogoji izbrisati osebne podatke – tipicni so neobstoj pravne podlage za obdelavo podatkov, neobstoj zakonitega namena za obdelavo podatkov in zahteva podrocnega predpisa, da se podatki izbrišejo.
6.	Pravica do omejitve obdelave, ki omogoca popolno ali delno ter dolgorocno ali zacasno blokado dolocene obdelave osebnih podatkov pod dolocenimi pogoji. 
Za zahteve posameznikov, ki se nanašajo na podrocje preprecevanja, odkrivanja, preiskovanja in pregona kaznivih dejanj ter izvrševanja kazenskih sankcij, ter za tovrstne zahteve zavezancem, ki niso zavezanci po Splošni uredbi, sta se tudi po 25. 5. 2018 še vedno uporabljala 30. in 31. clen ZVOP-1. ZVOPOKD, ki velja za obdelave osebnih podatkov, ki jih policija, državna tožilstva, Uprava Republike Slovenije za probacijo, Uprava Republike Slovenije za izvrševanje kazenskih sankcij in drugi državni organi Republike Slovenije, ki so zakonsko doloceni kot pristojni za podrocja preprecevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, obdelujejo za namene izvrševanja teh pristojnosti, je namrec zacel veljati šele z 31. 12. 2020. Bistvene razlike ureditve zgoraj navedenih pravic po ZVOP-1 so v ureditvi pritožbenega postopka, saj je Informacijski pooblašcenec v skladu s Splošno uredbo in ZVOPOKD pritožbeni organ za uveljavljanje vseh pravic, ne le pravice do seznanitve. 
Glede na dolocbe clena 12 Splošne uredbe mora upravljavec osebnih podatkov o posameznikovi zahtevi odlociti v enem mesecu. Posredovanje osebnih podatkov in dodatnih informacij posamezniku je praviloma brezplacno. Ce upravljavec posamezniku ne odgovori v predpisanem roku ali ce njegovo zahtevo zavrne, lahko posameznik vloži pritožbo pri Informacijskem pooblašcencu. 
Informacijski pooblašcenec na pritožbeni stopnji odloca tudi o posebnih pravicah glede seznanitve z zdravstveno dokumentacijo po ZPacP, in sicer o:
1.	pravici pacienta do seznanitve z lastno zdravstveno dokumentacijo, ki vkljucuje tudi pravico do pridobitve pojasnil o vsebini dokumentacije in pravico dajanja pripomb na vsebino zdravstvene dokumentacije;
2.	pravici svojcev in drugih upravicenih oseb do seznanitve z zdravstveno dokumentacijo umrlega pacienta;
3.	pravici dolocenih drugih oseb do seznanitve z zdravstveno dokumentacijo pacienta.
Informacijski pooblašcenec je v letu 2020 prejel 226 pritožb posameznikov v zvezi s kršitvami pravice do seznanitve z lastnimi osebnimi podatki, pravice do seznanitve z lastno zdravstveno dokumentacijo in pravice do seznanitve z zdravstveno dokumentacijo s strani drugih upravicenih oseb. V primerjavi z letom 2019 je prejel 45 pritožb vec (tj. 25 % vec pritožb), na podlagi cesar je mogoce zakljuciti, da številni upravljavci osebnih podatkov ne izpolnjujejo svojih obveznosti in posameznikom ne omogocajo izvrševanja pravic, ki jim jih zagotavljajo razlicni predpisi. Informacijski pooblašcenec je zaznal skrb vzbujajoc trend neupravicenih primerov neodzivnosti ter zavrnitev pravice do seznanitve s strani delodajalcev, ko se želijo zaposleni seznaniti z razlicnimi lastnimi osebnimi podatki v zvezi z delovnim razmerjem. 
Število pritožb v zvezi s pravico do seznanitve z lastnimi osebnimi podatki med letoma 2006 in 2020.
Vložene pritožbe so v 77 primerih zadevale upravljavce iz javnega sektorja (zlasti ministrstva in organe v njihovi sestavi, šole, javne zdravstvene zavode in centre za socialno delo), 149 pritožb pa se je nanašalo na upravljavce iz zasebnega sektorja (npr. banke, operaterje elektronskih komunikacij, gospodarske družbe, odvetnike in zasebne izvajalce zdravstvene dejavnosti). Le 19 pritožb se je nanašalo na pravico do seznanitve z zdravstveno dokumentacijo po ZPacP, vse preostale so se nanašale na pravico do seznanitve z lastnimi osebnimi podatki po Splošni uredbi oz. ZVOP-1. V 82 primerih (torej v 36 %) so se posamezniki pritožili, ker jim upravljavci na njihove zahteve sploh niso odgovorili oz. so bili v molku, drugi pa so se pritožili zato, ker so upravljavci njihove vloge zavrnili ali ker jim niso posredovali vseh zahtevanih podatkov. Razlog za molk je bil (glede na odziv po prejemu poziva Informacijskega pooblašcenca) pri vecini upravljavcev nepoznavanje pravice posameznikov do seznanitve z lastnimi osebnimi podatki in dolžnosti upravljavcev v zvezi z njenim izvrševanjem. 
V 100 primerih, ki so se vodili zaradi molka upravljavca (vkljucno s postopki, ki so se zaceli v letih 2018 in 2019), so upravljavci po prejemu poziva Informacijskega pooblašcenca o zahtevah posameznikov odlocili na nacin, da so jim posredovali zahtevane podatke in dokumente ali zahteve obrazloženo zavrnili s formalnim obvestilom (zoper katerega je možna vsebinska pritožba), zaradi cesar je Informacijski pooblašcenec postopke ustavil. 11 posameznikov je Informacijskega pooblašcenca po vložitvi pritožbe obvestilo, da umikajo pritožbe, ker so s strani upravljavca prejeli ustrezna pojasnila in podatke, Informacijski pooblašcenec pa je nato postopke s sklepom ustavil. 
Leta 2020 je Informacijski pooblašcenec, vkljucno s postopki, zacetimi v letih 2018 in 2019, izdal 64 upravnih odlocb, kar je 68 % vec kot leta 2019. V 30 odlocbah je pritožbam posameznikov v celoti ugodil in upravljavcem naložil posredovanje dolocenih osebnih podatkov, v šestih primerih je pritožbam ugodil delno, z 28 odlocbami pa je pritožbe posameznikov kot neutemeljene zavrnil. Trije posamezniki so zoper odlocitve Informacijskega pooblašcenca sprožili upravni spor pred Upravnim sodišcem RS, dva zoper zavrnilno odlocbo, izdano v letu 2020, eden pa zoper sklep o zavrženju vloge zaradi nepristojnosti, izdan v letu 2019. 
Informacijski pooblašcenec je s sklepom zavrgel 16 pritožb, in sicer 15 pritožb zaradi postopkovnih pomanjkljivosti (nepopolna, prepozna ali preuranjena vloga, vloga se ni nanašala na pravico do seznanitve z lastnimi osebnimi podatki oz. Informacijski pooblašcenec za obravnavo ni bil pristojen) in eno pritožbo zato, ker je v postopku ugotovil, da je upravljavec zahtevi prosilca že v celoti ugodil, zaradi cesar prosilec ni imel (vec) pravnega interesa. Šestim posameznikom je Informacijski pooblašcenec posredoval predlog za ravnanje, štiri pritožbe pa je odstopil v reševanje pristojnim organom.
V letu 2020 je Informacijski pooblašcenec obravnaval tudi 5 pritožb zaradi kršitve pravice do popravka po clenu 16 Splošne uredbe, 11 pritožb zaradi kršitve pravice do izbrisa po clenu 17 Splošne uredbe in eno pritožbo zaradi kršitve pravice do omejitve po clenu 18 Splošne uredbe. V dveh zadevah je bila pritožba zavržena (ker je bila nedovoljena oziroma prepozna), v dveh zavrnjena, v eni zadevi pa je bila pritožba odstopljena v reševanje pristojnemu organu. Posameznik je zoper zavrnilno odlocbo Informacijskega pooblašcenca v zvezi s pravico posameznika do omejitve obdelave vložil tožbo pred Upravnim sodišcem RS. V eni zadevi se je pritožbeni postopek zaradi molka zakljucil, ker je upravljavec v celoti odgovoril na zahtevo prosilca za izbris. 
3.4 PRIPRAVA MNENJ IN POJASNIL
3.4.1 SPLOŠNA POJASNILA
Na podlagi clena 57 Splošne uredbe in 49. clena ZVOP-1 Informacijski pooblašcenec izdaja neobvezna mnenja, pojasnila in stališca o vprašanjih s podrocja varstva osebnih podatkov, s katerimi prispeva k ozavešcenosti upravljavcev in obdelovalcev ter širše javnosti. 
Leta 2020 je Informacijski pooblašcenec svetoval 3.183 posameznikom in pravnim osebam, ki so se nanj obrnili z vprašanji s podrocja varstva osebnih podatkov. 
Informacijski pooblašcenec je izdal 1.331 pisnih mnenj in napotitev na mnenja. Ce je posameznik zastavil vprašanje, na katerega je Informacijski pooblašcenec v preteklosti podobno že odgovoril, je prejel le napotitev na mnenje, objavljeno na spletni strani. Na spletni strani https://www.ip-rs.si/vop/ je objavljenih vec kot 6.000 mnenj, ki so razvršcena v 65 vsebinskih podrocij. Uporabniki lahko brskajo po mnenjih, ki so bila izdana, preden je v veljavo stopila Splošna uredba, z locenim iskalnikom pa lahko dostopajo do mnenj, ki so bila izdana po 25. maju 2018. 
Informacijski pooblašcenec spodbuja svetovanje oz. posredovanje ustnih odgovorov na vprašanja, zato je v uradu vsak dan na voljo dežurni državni nadzornik za varstvo osebnih podatkov, ki na vprašanja odgovarja po telefonu. Leta 2020 so državni nadzorniki sprejeli 1.852 klicev.
3.4.2 MNENJA NA PREDPISE
Informacijski pooblašcenec podaja mnenja na predpise skladno s tocko (c) clena 57 Splošne uredbe, ki doloca, da vsak nadzorni organ na svojem ozemlju v skladu s pravom clanice svetuje nacionalnemu parlamentu, vladi ter drugim institucijam in organom o zakonodajnih in upravnih ukrepih v zvezi z varstvom pravic in svobošcin posameznikov pri obdelavi osebnih podatkov, in skladno z 48. clenom ZVOP-1, ki doloca, da državni nadzorni organ daje predhodna mnenja ministrstvom, državnemu zboru, organom samoupravnih lokalnih skupnosti, drugim državnim organom ter nosilcem javnih pooblastil o usklajenosti dolocb predlogov zakonov ter ostalih predpisov z zakoni in drugimi predpisi, ki urejajo osebne podatke. 
Leta 2020 je Informacijski pooblašcenec izdal 85 mnenj na predloge sprememb zakonov ter na predloge novih zakonov in drugih predpisov, kar je nekoliko vec kot leta 2019, ko jih je izdal 73. V preteklem letu je Informacijski pooblašcenec na podrocju priprave predpisov za obdelavo osebnih podatkov opažal skrb vzbujajoc trend nesistemskega urejanja nekaterih resnih posegov v zasebnost ter poskusov zniževanja že dosežene ravni varstva osebnih podatkov. Informacijski pooblašcenec poudarja, da pri predlagateljih predpisov, s katerimi se uvajajo nove kompleksne oblike obdelav osebnih podatkov ali obsežne obdelave osebnih podatkov z uporabo modernih tehnologij, pogreša zavedanje o nujnosti temeljite predhodne analize in naslovitve tveganj, ki jih takšne obdelave prinašajo. Priporoca, da v teh primerih predlagatelji vedno predhodno pripravijo oceno ucinkov v zvezi z varstvom podatkov, s katero lahko pravocasno prepoznajo in naslovijo morebitna tveganja ter se tako izognejo nepotrebnim napakam in težavam ob pripravi predpisa ter poskrbijo, da bo zakon dejansko skladen z nacelom sorazmernosti z vidika posegov v zasebnost. Upoštevajoc visoke stroške uvajanja novih tehnologij pri obdelavi osebnih podatkov pa nikakor ni zanemarljivo, da se le tako lahko pravocasno in realno oceni financne posledice uvedbe nove oblike obdelave ter se prepreci morebitne dodatne stroške ob njenem izvajanju.
Informacijski pooblašcenec je v letu 2020 podal mnenje, pripombe oz. je sodeloval pri pripravi naslednjih predpisov (v zvezi z nekaterimi je podal vec mnenj): 
•	Mnenje glede uporabe zašcitnih ukrepov pri prenosu osebnih podatkov v tretje države in mednarodne organizacije s strani javnih organov,
•	Predlog Zakona o spremembah in dopolnitvah Zakona o preprecevanju pranja denarja in financiranja terorizma,
•	Predlog Zakona o spodbujanju rabe obnovljivih virov energije,
•	Predlog Uredbe o uvedbi preverjanja državljanov tretjih držav na zunanjih mejah,
•	Predlog Uredbe o izvajanju izvedbene uredbe Komisije (EU) o pravilih in postopkih za upravljanje brezpilotnih zrakoplovov,
•	Predlog Zakona o interventnih ukrepih za omilitev posledic drugega vala epidemije COVID-19 (ZIUOPDVE; PKP6) iz pristojnosti Ministrstva za zdravje,
•	Predlog Uredbe o e-zasebnosti DE PRED,
•	Predlog ureditve aplikacije za sledenje stikom (PKP6),
•	Predlog Letnega programa statisticnih raziskovanj za leto 2021,
•	Predlog Zakona o spremembah in dopolnitvah Zakona o bancništvu (ZBan-2B),
•	Predlog Zakona o varstvu osebnih podatkov na podrocju obravnavanja kaznivih dejanj (ZVOPOKD),
•	Predlog Sprememb in dopolnitev Letnega programa statisticnih raziskovanj za 2020,
•	Predlog Zakona o elektronskih komunikacijah,
•	Predlog Zakona o spremembah in dopolnitvah Zakona o reševanju in prisilnem prenehanju bank (ZRPPB-B),
•	Predlog Zakona o spremembah in dopolnitvah Zakona o lokalnih volitvah (ZLV-K),
•	Zaprosilo za mnenje glede zakonodajnega predloga spremembe ZZdr,
•	Predlog Protokola priporocenega ravnanja v primeru izvršitve odlocb o odvzemu otroka z neposredno izvršitvijo,
•	Predlog Zakona o spremembah in dopolnitvah Pomorskega zakonika,
•	Predlog Zakona o zacasnih ukrepih za omilitev in odpravo posledic COVID-19,
•	Mnenje glede dveh clenov Zakona o interventnih ukrepih za omilitev in odpravo posledic COVID-19 na podrocju zdravstva in dela (ZPZD),
•	Predlog Uredbe o spremembah in dopolnitvah Uredbe o izvajanju ukrepa Sheme kakovosti za kmetijske proizvode in živila iz Programa razvoja podeželja Republike Slovenije za obdobje 2014–2020,
•	Predlog Pravilnika o objavah prodaj v spletnem iskalniku in spletnih javnih dražbah v izvršilnih postopkih,
•	Predlog o Zakona spremembah in dopolnitvah Zakona o državnem tožilstvu,
•	Predlog Zakona o elektronski identifikaciji in storitvah zaupanja,
•	Mnenje glede prenosa Direktive (EU) 2019/1151 Evropskega parlamenta in Sveta z dne 20. junija 2019 o spremembi Direktive (EU) 2017/1132 glede uporabe digitalnih orodij in postopkov na podrocju prava družb,
•	Predlog Zakona o znanstvenoraziskovalni in inovacijski dejavnosti,
•	Predlog Zakona o nagradi zlata cebela,
•	Predlog Zakona o spremembah in dopolnitvah Zakona o kmetijstvu,
•	Predlog Zakona o spremembah in dopolnitvah Zakona o sodnih taksah,
•	Predlog Zakona o zašciti otrok v kazenskem postopku in njihovi celostni obravnavi v hiši za otroke,
•	Predlog Zakona o katastru nepremicnin,
•	Predlog Pravilnika o spremembah in dopolnitvah Pravilnika o strokovnem usposabljanju, obdobnem izpopolnjevanju ter preizkusu znanja obcinskih redarjev,
•	Predlog Zakona o spremembah in dopolnitvah Zakona o cestninjenju,
•	Predlog Zakona o spremembah in dopolnitvah Zakona o izvršbi in zavarovanju – delovno gradivo,
•	Predlog Zakona o spremembah in dopolnitvah Zakona o mednarodni zašciti,
•	Predlog Pravilnika o registraciji motornih in priklopnih vozil,
•	Predlog sprememb Zakona o osebni izkaznici,
•	Predlog Zakona o interventnih ukrepih za pripravo na drugi val COVID-19,
•	Predlog Zakona o spremembah in dopolnitvah Zakona o kazenskem postopku,
•	Predlog Zakona o spremembah in dopolnitvah Zakona o tujcih,
•	Predlog Uredbe o registru neposestnih zastavnih pravic in zarubljenih premicnin,
•	Predlog Zakona o spremembah in dopolnitvah zakona o zavarovalništvu,
•	Mnenje glede besedila 37. clena Predloga Zakona o interventnih ukrepih za omilitev posledic epidemije nalezljive bolezni SARS-CoV-2 (COVID-19) za državljane in gospodarstvo, sprejeto na 45. dopisni seji Vlade RS 20. 5. 2020,
•	Predlog Uredbe o zasebnosti in elektronskih komunikacijah,
•	Predlog Zakona o spremembah in dopolnitvah Zakona o referendumu in ljudski iniciativi,
•	Predlog Zakona o interventnih ukrepih za zajezitev epidemije COVID-19 in omilitev njenih posledic za državljane in gospodarstvo,
•	Predlog Zakona o spremembah in dopolnitvah Zakona o varstvu okolja,
•	Predlog Zakona o spremembah in dopolnitvah Zakona o vrtcih,
•	Mnenje glede pravne podlage za pridobivanje osebnih podatkov iz sistema e-sociala oz. ISCSD2 – priprava novega stanovanjskega zakona,
•	Predlog Zakona o mladoletnih storilcih kaznivih dejanj,
•	Predlog Zakona o interventnih dodatnih ukrepih zaradi afriške prašicje kuge pri divjih prašicih,
•	Predlog Zakona o nadzoru vesoljskih dejavnosti,
•	Predlog Pravilnika o elektronskem poslovanju v civilnih sodnih postopkih in v kazenskem postopku,
•	Predlog novega Zakona o varstvu osebnih podatkov (ZVOP-2),
•	Predlog Pravilnika o diplomatski, konzularni in službeni izkaznici.
3.5 SKLADNOST IN PREVENTIVA
Splošna uredba daje veliko težo novemu nacelu odgovornosti (angl. accountability) in predvideva nabor ukrepov in mehanizmov, ki jih morajo izvajati upravljavci in obdelovalci s ciljem zagotavljanja skladnosti. Nadzorni organi za varstvo osebnih podatkov zato vedno vec resursov namenjajo preventivnemu delovanju, katerega cilj je zavezancem, ki želijo spoštovati zakonodajo, dati na razpolago ustrezne informacije, orodja in mehanizme, s pomocjo katerih lahko bolje razumejo in upoštevajo zahteve zakonodaje. Izmenjava informacij z zavezanci, preventivne aktivnosti za skladnost ter vzorcni dokumenti lahko zagotovo preprecijo marsikatero kršitev varstva osebnih podatkov in zmanjšajo potrebo po izvajanju inšpekcijskega nadzora. 
Informacijski pooblašcenec je skozi cas razvil širok nabor orodij, s katerimi želi relativno kompleksno zakonodajo o varstvu osebnih podatkov približati zavezancem in splošnih javnosti. Med tovrstna orodja vsekakor sodijo smernice, mnenja, infografike, predavanja, srecanja s pooblašcenimi osebami za varstvo osebnih podatkov in komunikacija z relevantnimi združenji zavezancev, kot so razlicne zbornice, prisotnost v medijih ter preventivne akcije za skladnost (angl. privacy sweep). Informacijski pooblašcenec redno posodablja svojo spletno stran, na kateri je objavljen bogat nabor uporabnih gradiv, koristna gradiva pa objavlja tudi na spletni strani upravljavec.si, ki je namenjana malim in srednje velikim podjetjem, ter tiodlocas.si, ki je namenjena posameznikom. Informacijski pooblašcenec nadaljuje tudi s širjenjem informacij, stališc in mnenj prek družbenih omrežij Facebook in LinkedIn, kjer predvsem objavlja povezave na pomembne novosti na podrocju varovanja zasebnosti. 
Skladno z dolžnostmi, ki jih upravljavcem spletišc nalaga Zakon o dostopnosti spletišc in mobilnih aplikacij, je Informacijski pooblašcenec v letu 2020 po celovitem pregledu svojo spletno stran dopolnil z ustreznimi izjavami glede dostopnosti ter jo opremil z osnovnimi pojasnili v znakovnem jeziku. 
Sektor za skladnost in preventivo podaja mnenja na prejete ocene ucinkov glede varstva osebnih podatkov, pokriva podrocji kodeksov ravnanja in certifikacije ter, kjer to omogoca Splošna uredba, pripravlja vzrocne dokumente za zavezance. Poudariti velja, da so bile v letu 2020 pripravljene standardne pogodbene klavzule, ki predstavljajo vzorcno pogodbo za ureditev pogodbene obdelave osebnih podatkov. Standardne pogodbene klavzule je potrdil Evropski odbor za varstvo osebnih podatkov.
Sektor za skladnost in preventivo nudi podporne dejavnosti ostalim sektorjem, tako glede informacijske tehnologije kot pomoci sektorju za inšpekcijski nadzor, med drugim je tako pripravil pregled zakonodaje o interventnih ukrepih (pregled novih in razširjenih zbirk osebnih podatkov), razvil nekatere interne aplikacije ter pripravil kontrolni seznam glede dolžnosti informiranja posameznikov po clenih 13 in 14 Splošne uredbe v bancnem sektorju, ki sta se izkazala kot ucinkoviti orodji za izvajanje inšpekcijskega nadzora na tem podrocju. Sektor izvaja tudi interna izobraževanja in predstavitve novih mnenj Evropskega odbora za varstvo osebnih podatkov (npr. o pregledu ocen ucinka, pametnih vozilih, kodeksih ravnanja).
Informacijski pooblašcenec je v letu 2020 nadaljeval z aktivnostmi projekta ozavešcanja RAPiD.Si, za katerega je pridobil evropska sredstva, zacel pa je tudi izvajati nov projekt iDecide, ki je namenjen ozavešcanju treh ciljnih skupin, in sicer starejših od 65 let, delovne populacije ter starejših mladoletnikov. 
3.5.1 OBVEZNOSTI UPRAVLJAVCEV
V sklop mehanizmov za skladnost in upoštevanje nacela odgovornosti sodijo naslednji mehanizmi, ki jih doloca Splošna uredba:
•	upoštevanje nacela vgrajenega in privzetega varstva podatkov,
•	ustreznost ureditve v primerih skupnega upravljanja,
•	ustrezna ureditev pogodbenih razmerij  s (pogodbenimi) obdelovalci,
•	evidentiranje dejavnosti obdelave,
•	zagotavljanje organizacijskih in tehnicnih postopkov in ukrepov za varnost,
•	obveznost porocanja o kršitvah varnosti podatkov,
•	izvajanje ocen ucinka glede varstva osebnih podatkov,
•	imenovanje pooblašcenih oseb za varstvo osebnih podatkov,
•	kodeksi ravnanja in
•	certifikacija.
Z namenom ustreznega informiranja zavezancev in ucinkovitega izvajanja teh obveznosti Informacijski pooblašcenec vzpostavlja številne postopke ter pripravlja gradiva, kot je predstavljeno v nadaljevanju.
3.5.2 PREVENTIVNE AKTIVNOSTI V CASU IZREDNIH RAZMER
Širjenje novega koronavirusa, sprejemanje številnih ukrepov in novih obdelav osebnih podatkov ter soocanje zavezancev z novimi razmerami na podrocju dela na daljavo ter šolanja na daljavo so sprožili vrsto novih vprašanj in izzivov, s katerimi smo se soocili vsi.
Informacijski pooblašcenec je prejel veliko število zaprosil za stališca, prevladujoce teme pa so bile:
•	interventni zakoni in zbirke osebnih podatkov,
•	posredovanje osebnih podatkov med Nacionalnim inštitutom za javno zdravje, policijo ter ministrstvom za zdravje,  
•	sledenje okuženim ter stikom z mobilnimi aplikacijami, 
•	obdelava osebnih podatkov pri šolanju na daljavo (videokonferencni sistemi, dokazovanje opravljenih nalog, izpiti na daljavo ipd.), 
•	delodajalcevo spremljanje dela na domu z IT-programi, 
•	merjenje temperature ob vstopu v prostor (zaposlenim, strankam),  
•	javna dostopnost seznama upravicencev pomoci za samozaposlene, 
•	dopustnost namešcanja aplikacij na delavcev telefon ter programov za nadzor dela na daljavo, 
•	socialni inženiring, ribarjenja osebnih podatkov (angl. phishing), razlicne prevare,
•	uporaba inteligentne videoanalitike,
•	upravicenost delodajalcevega zbiranja izjav o nezmožnosti za delo zaradi pripadanja rizicni skupini delavcev, okuženosti zaposlenih in družinskih clanov itd. 
Odgovore splošni in strokovni javnosti smo podajali z izjavami in sporocili za javnost ter na podstrani, oblikovani posebej za teme, povezane z varstvom osebnih podatkov v epidemiji (https://www.ip-rs.si/varstvo-osebnih-podatkov/varstvo-osebnih-podatkov-v-%C4%8Dasu-epidemije-koronavirusa-covid-19). Veliko angažmaja je terjala mobilna aplikacija za sledenje stikom #OstaniZdrav, v zvezi s katero smo podajali mnenja na ocene ucinkov ter na predlagano zakonodajno ureditev, prav tako pa smo opozarjali na ustrezno ureditev spletnih strani za samoporocanje o okužbah,  sistemov za merjenje telesne temperature, posredovanja podatkov o zdravju po elektronskih poteh in varnih kanalov za komunikacijo z bolniki, obvešcanja javnosti prek SMS-sporocil ter opozarjali na številne druge teme.


3.5.3 OCENE UCINKOV NA VARSTVO OSEBNIH PODATKOV
Ocene ucinkov na varstvo osebnih podatkov predstavljajo eno kljucnih orodij nacela odgovornosti; njihov namen je pravocasna identifikacija in obvladovanje tveganj v povezavi z varstvom osebnih podatkov, še zlasti pa so pomembne, kadar gre za nove projekte obdelave osebnih podatkov, ki predvidevajo množicno obdelavo osebnih podatkov, še posebej v primeru, ko gre za uporabo modernih tehnologij, ranljive skupine posameznikov in za obdelavo posebnih vrst osebnih podatkov. 
V letu 2020 je glede na epidemiološke razmere v prejetih ocenah ucinka prevladovala tematika ukrepov v povezavi z obvladovanjem širjenja epidemije in sicer z uporabo sodobnih tehnoloških rešitev, kot so mobilne aplikacije za sledenje stikom, izvajanje videoidentifikacije na daljavo ter sistemov za merjenje telesne temperature.
V letu 2020 je Informacijski pooblašcenec v postopku predhodnega posvetovanja izdal mnenja o naslednjih ocenah ucinkov:
•	Mnenje glede ocene ucinkov v zvezi z varstvom osebnih podatkov pri delovanju aplikacije COVID;
•	Mnenje glede ocene ucinkov v zvezi z varstvom osebnih podatkov sistema za avtomatsko merjenje telesne temperature z namenom odkrivanja oseb, potencialno okuženih z virusom SARS-CoV-2 in podobnimi nalezljivimi boleznimi;
•	Mnenje glede ocene ucinka na varstvo podatkov v zvezi predlogom Zakona o katastru nepremicnin;
•	Mnenje glede ocene ucinkov v zvezi z varstvom osebnih podatkov sistema ProbIS;
•	Mnenje glede ocene ucinkov v zvezi z Zakonom o spremembah in dopolnitvah Zakona o osebni izkaznici;
•	Mnenje glede ocene ucinka na varstvo podatkov v zvezi s projektom Videocheck.
Poleg naštetih ocen ucinka je Informacijski pooblašcenec prejel tudi oceni ucinka v okviru zakonodajnih predlogov, in sicer glede Zakona o elektronski identifikaciji in storitvah zaupanja ter glede Zakona o cestninjenju; mnenje Informacijskega pooblašcenca je bilo podano v sklopu mnenja na predloge zakonov, v obeh primerih pa je šlo po oceni Informacijskega pooblašcenca za kakovostni in celovito izdelani oceni ucinka.
Ugotavljamo, da se znanje o izdelavi ocen ucinkov pocasi izboljšuje, s tem pa tudi kakovost izdelanih ocen, še vedno pa se premalo pozornosti posveca tveganjem, ki so povezana z uveljavljanjem pravic posameznika. Opozarjamo tudi na pravilno razumevanje vloge in pomena ocen ucinka v zvezi z varstvom osebnih podatkov. Ocene ucinka so namenjene pravocasni identifikaciji in obvladovanju tveganj glede varstva osebnih podatkov ter jih ni razumeti kot gradivo, ki popravlja predpise, utemeljuje potrebnost ali prednosti dolocenega projekta oziroma obdelave osebnih podatkov. Po naravi stvari se tako ocene ucinkov osredotocajo na tveganja, na »negativne« vidike obdelav osebnih podatkov, ki jih želimo zmanjšati oziroma obvladovati. Ocene ucinkov so predvsem v interesu upravljavcev, ki želijo pravocasno nasloviti tveganja, ne smemo pa jih enaciti s potrditvijo nadzornih organov, da je za varstvo osebnih podatkov ustrezno poskrbljeno.
Informacijski pooblašcenec ocenjuje, da bo treba v prihodnje preveriti, v kolikšni meri zavezanci izpolnjujejo dolžnosti glede izvedbe ocen ucinka – tudi ce ocene ucinka ne pošljejo v predhodno mnenje Informacijskemu pooblašcencu, so jih glede na kriterije po Splošni uredbi in smernicah nadzornih organov dolžni izvesti, prav gotovo pa glede na epidemiološke razmere poteka veliko število projektov, ki vkljucujejo množicno obdelavo posebnih vrst osebnih podatkov ter zato terjajo predhodne ocene ucinka.

3.5.4 POOBLAŠCENE OSEBE ZA VARSTVO PODATKOV
Dolocitev pooblašcenih oseb za varstvo osebnih podatkov (angl. Data Protection Officer; DPO) je po oceni Informacijskega pooblašcenca eden najpomembnejših in hkrati najucinkovitejših mehanizmov za zagotavljanje skladnosti. Pooblašcena oseba naj bi izvajala svetovalne in nadzorne naloge na podrocju varstva osebnih podatkov in naj bi delovala kot notranji revizor za varstvo osebnih podatkov, ki poleg nadzora tudi svetuje upravljavcem in obdelovalcem o njihovih obveznostih, izobražuje in ozavešca zaposlene. Ocenjujemo, da se delovanje pooblašcenih oseb izrazito izboljšuje, saj se s casom povecujejo tako izkušnje kot praksa glede njihovega delovanja. 
Do konca leta 2020 je pooblašceno osebo prijavilo 23.200 zavezancev. Pooblašcena oseba Informacijskega pooblašcenca je dostopna prek namenskega elektronskega predala dpo@ip-rs.si. 
Informacijski pooblašcenec ocenjuje, da je pooblašceno osebo prijavil pretežni del zavezancev, glede na informacije zunanjih izvajalcev storitev pooblašcenih oseb pa ugotavlja, da nekaj sto zavezancev (predvsem s podrocja zdravstva) še ni sporocilo podatkov svojih pooblašcenih oseb, zato bo to naslovljeno v eni od prihodnjih preventivnih aktivnosti za skladnost.
Pooblašcene osebe na neki nacin predstavljajo podaljšano roko Informacijskega pooblašcenca, zato smo jim v letu 2020 namenili vec pozornosti, predvsem v smislu njihovega medsebojnega povezovanja, izmenjave izkušenj in prakse z upoštevanjem sektorske specifike. Maja 2020 je bilo nacrtovano srecanje v živo s pooblašcenimi osebami za varstvo podatkov v šolstvu, a je bilo zaradi epidemioloških razmer odpovedano. Srecanja je Informacijski pooblašcenec preselil na splet in uspešno izvedel srecanje s pooblašcenimi osebami v bancnem in zavarovalniškem sektorju; ob sodelovanju Združenja bank Slovenije in Slovenskega zavarovalniškega združenja so bili izvedeni spletni posveti, na katerih so bile izmenjane izkušnje in predstavljeni primeri dobre prakse, pooblašcene osebe iz omenjenih združenj so predstavile statisticne podatke glede reševanja zahtev posameznikov za uveljavljanje svojih pravic, opozorile pa so tudi na izzive, s katerimi se soocajo pri svojem delu. Tovrstna srecanja Informacijski pooblašcenec ocenjuje kot zelo koristna za obe strani, zato bo to prakso nadaljeval tudi v prihodnje.
Redno se Informacijski pooblašcenec srecuje s predstavniki zunanjih izvajalcev, ki nudijo zavezancem storitve pooblašcenih oseb za varstvo osebnih podatkov, saj na ta nacin pridobi koristne informacije iz prakse, hkrati pa nudi pojasnila glede dolocenih vprašanj o obveznostih po Splošni uredbi.
3.5.5 AKTIVNOSTI IZOBRAŽEVANJA IN OZAVEŠCANJA
Informacijski pooblašcenec je v letu 2020 nadaljeval aktivnosti na podrocju izobraževanja in ozavešcanja, ki vkljucujejo spletno mesto Informacijskega pooblašcenca (www.ip-rs.si), pripravo razlicnih gradiv, organizacijo in izvedbo dogodkov ter brezplacnih predavanj, sodelovanje z drugimi organizacijami in pri razlicnih projektih in prisotnost na družbenih omrežjih. Kljub številnim omejitvam, ki jih je prinesla epidemija, je Informacijski pooblašcenec uspešno izvajal razlicne aktivnosti izobraževanja in ozavešcanja.
Pooblašcenec je v letu 2020 izdal vec gradiv. Poleg velikega števila mnenj med najpomembnejše sodijo smernice; izdane so bile naslednje:  
•	Smernice o varstvu osebnih podatkov v društvih, 
•	Smernice za delovno populacijo,
•	Smernice za starejšo populacijo,
•	Smernice za starejše mladoletnike. 
Del smernic za starejše mladoletnike je tudi t. i. plonkceglc – povzetek kljucnih informacij o varstvu osebnih podatkov za starejše mladoletnike, oblikovan kot plakat. 
Pripravljeni so bili tudi novi obrazci v pomoc zavezancem, in sicer je Informacijski pooblašcenec pripravil vlogo za prenos osebnih podatkov v tretje države ali mednarodne organizacije, glede katerih je skladno z dolocbami Splošne uredbe o varstvu podatkov pred prenosom treba pridobiti dovoljenje nadzornega organa, v Sloveniji torej Informacijskega pooblašcenca. Obrazec je dostopen na spletni strani Informacijskega pooblašcenca.
Med najpomembnejša orodja v pomoc zavezancem pa prav gotovo sodi vzorcna pogodba za ureditev pogodbene obdelave osebnih podatkov (najemanje zunanjih izvajalcev storitev obdelave osebnih podatkov) oz. t. i. standardna pogodbena dolocila, ki jih lahko zavezanci z ustreznimi dopolnitvami uporabijo za ustrezno ureditev medsebojnega razmerja skladno z dolocbami clena 28 Splošne uredbe. Ta doloca obsežen nabor zahtev tako za upravljavca kot za obdelovalce, zato je bila priprava primerne pogodbe zlasti za manjše zavezance velik izziv – vzorcna pogodba jim olajša delo in prinaša vecjo gotovost. Poudariti velja, da je bil Informacijski pooblašcenec šele drugi nadzorni organ v Evropski uniji (za Dansko), ki je pripravil takšne standardne pogodbene klavzule – potrditi jih mora namrec Evropski odbor za varstvo osebnih podatkov. 
Informacijski pooblašcenec je tudi v letu 2020 nadaljeval s pripravo infografik, ki so se izkazale za ucinkovit in razumljiv nacin za izvajanje izobraževalnih aktivnosti in splošno razumevanje kljucnih elementov zakonodaje o varstvu podatkov. 
Infografika GDPR na kratko pojasnjuje glavne elemente Splošne uredbe, kot so temeljna nacela varstva osebnih podatkov, pravne podlage, obveznosti zavezancev in pravice posameznikov. Infografika je lahko uporaben pripomocek za vse, ki izvajajo izobraževanja na podrocju varstva osebnih podatkov, saj kompleksno materijo uredbe predstavijo na graficen in slušateljem bolj razumljiv nacin, predvsem pa je ta infografika lahko uporabno orodje za pooblašcene osebe za varstvo osebnih podatkov, ki izvajajo interna izobraževanja za zaposlene v svojih organizacijah. 
Infografika o skupnih upravljavcih pojasnjuje dolocbe Splošne uredbe o skupnem upravljanju ter navaja primere za lažje razumevanje.
Splošna uredba uvaja dolžnost obvešcanja nadzornega organa (Informacijskega pooblašcenca) o zaznanih kršitvah varnosti osebnih podatkov (npr. izguba USB-kljucka z osebnimi podatki, vdor v informacijski sistem z bazami osebnih podatkov ipd.), ce je verjetno, da bi bile s kršitvijo ogrožene pravice in svobošcine posameznikov. Obvestilo je treba podati takoj po zaznani kršitvi, najkasneje pa v 72 urah. Ce bi s kršitvijo varnosti nastala resna tveganja za posameznike, morajo zavezanci obvestiti tudi njih. Zavezanci morajo beležiti in hraniti vse zaznane kršitve varstva osebnih podatkov, ne glede na potrebo po uradnem obvešcanju. V pomoc zavezancem pri razumevanju dolžnosti glede kršitev varnosti je Informacijski pooblašcenec objavil infografiko, ki na pregleden nacin predstavlja kljucne dolžnosti v primeru kršitev varnosti. Graficno so predstavljeni tudi nekateri primeri iz statisticnih podatkov o prejetih obvestilih o kršitvah varnosti osebnih podatkov v letu 2020 (glej poglavje 3.2.3).
Podajanje informacij z infografikami je posebej pohvalila Mreža pooblašcenih oseb za varstvo osebnih podatkov pri Evropskem odboru za varstvo podatkov (EDPB DPO Network).
Evropski dan varstva osebnih podatkov je Informacijski pooblašcenec v letu 2020 posvetil izzivom, s katerimi so se tik pred drugo obletnico zacetka uporabe Splošne uredbe o varstvu podatkov srecevale pooblašcene osebe za varstvo podatkov v javnem sektorju. Organiziral je okroglo mizo, na kateri  so sodelovale pooblašcene osebe nekaterih najvecjih upravljavcev osebnih podatkov v javnem sektorju, kot so RTV Slovenija, Univerzitetni klinicni center Ljubljana, Ministrstvo za pravosodje, Ministrstvo za javno upravo in Policija, ter predstavnik zunanjih ponudnikov storitev pooblašcenih oseb za varstvo podatkov.
Dogodek ob evropskem dnevu varstva osebnih podatkov.


Po mnenju udeležencev okrogle mize se v nekaterih primerih pooblašcene osebe za varstvo podatkov dojema kot edino odgovorno osebo za varstvo podatkov v organizaciji, kar ni namen ureditve v Splošni uredbi niti to v praksi ne zagotavlja ucinkovitega varstva. Poudarjeno je bilo, da mora biti zacetek vsakega dela temeljit pregled vseh procesov obdelave in popis zbirk ter ureditev razmerij z zunanjimi izvajalci, ki nastopajo kot pogodbenimi obdelovalci, za uspešnost pooblašcenih oseb pa je v praksi kljucno vztrajno iskanje rešitev konkretnih problemov ter ustrezna struktura odlocanja v organizaciji za uvajanje konkretnih ukrepov. Pooblašcene osebe za varstvo podatkov so v okviru ankete med kljucne dejavnike uspešnosti izvajanja svojih nalog opredelile neposreden dostop do vodstva, zaupanje in podporo vodstva, seznanjenost zaposlenih z obstojem in nalogami pooblašcene osebe ter neodvisnost. Posebno predavanje je imela Vodja urada za varstvo podatkov pri EUROJUST, Diana Alonso Blas, ki je poudarila, da je za pooblašcene osebe nujno dobro poznavanje predpisov kot tudi seznanjenost z delovanjem informacijskih sistemov in same organizacije, uspešna pooblašcena oseba pa mora imeti tudi dobre pogajalske in komunikacijske sposobnosti, predvsem pa mora biti pragmaticna ter ves cas spremljati podrocje.
V sklopu priprav na okroglo mizo smo konec leta 2019 med pooblašcenimi osebami za varstvo osebnih podatkov v javnem sektorju izvedli anketo, rezultate pa smo predstavili ob dnevu varstva podatkov, 28. 1. 2020. K izpolnjevanju ankete smo povabili 500 zavezancev v javnem sektorju. Odziv je bil visok, odzvalo se je 20 odstotkov povabljenih, zato smo pridobili koristne podatke o tem, kako delujejo pooblašcene osebe in katere dejavnike ocenjujejo kot najpomembnejše za svoj uspeh.
Izsek iz rezultatov ankete med pooblašcenimi osebami v javnem sektorju.
Že tradicionalno je Informacijski pooblašcenec ob tej priložnosti podelil priznanje ambasador zasebnosti. Za leto 2019 je priznanje prejel nacionalni center za odzivanje na omrežne incidente SI-CERT, ki s svojimi aktivnostmi ozavešcanja že vrsto let opozarja na varno rabo interneta in elektronskih omrežij ter pomaga organizacijam, ki so se znašle v težavah zaradi okužbe z virusi in ali zaradi drugih racunalniških zagat. Z odmevnimi akcijami, med katerimi je na primer Varni na internetu, pomagajo tako posameznikom kot organizacijam k varni uporabi sodobnih tehnologij, s tem pa dvigujejo tudi ozavešcenost o varstvu osebnih podatkov in zasebnosti. SI-CERT kot dolgoletni partner Informacijskega pooblašcenca pomembno pripomore k temu, da so naši podatki bolj varni.
Informacijski pooblašcenec je, prav tako tradicionalno, podelil tudi priznanja prejemnikom mednarodnega certifikata za informacijsko varnost po standardu ISO/EIC 27001:2013, in sicer 17 organizacijam. Na ta nacin je poskrbel tudi za dodatno promocijo najbolj uveljavljenega mednarodnega standarda na podrocju informacijske varnosti. 
Informacijski pooblašcenec je v letu 2020 kljub številnim omejitvam glede izvedb dogodkov (vecinoma so ti potekali prek spleta) na podrocju varstva osebnih podatkov izvedel 34 brezplacnih predavanj za razlicne zbornice, združenja in druge javnosti po razlicnih dejavnostih v javnem in zasebnem sektorju.
Splošno in strokovno javnost je Informacijski pooblašcenec nagovarjal in obvešcal tudi prek objav na družbenih omrežjih, in sicer je v letu 2020:
-	objavil 79 sporocil na omrežju LinkedIn,
-	delil 82 objav na omrežju Facebook ter 
-	poslal 12 novicnikov. 
Informacijski pooblašcenec je v letu 2020 nadaljeval izvajanje projektov, sofinanciranih s strani EU:  
RAPiD.Si in iDecide.
Projekt RAPiD.Si
Informacijski pooblašcenec je leta 2020 uspešno koncal dvoletni evropski projekt RAPiD.Si, ki je bil namenjen ozavešcanju in opolnomocenju posameznikov ter malih in srednje velikih podjetij o pomenu varstva osebnih podatkov. Projekt se je koncal septembra 2020, do takrat so bile izvedene še zadnje projektne aktivnosti. V okviru aktivnosti, namenjenih malim in srednje velikim podjetjem, so clani projektne skupine nadaljevali pripravo in objavo vsebin in animacij za v okviru projekta vzpostavljeno spletno stran za mala in srednje velika podjetja www.upravljavec.si, nadaljevalo se je s pošiljanjem mesecnega novicnika, po vec slovenskih mestih so bili izvedeni še preostali predvideni strokovni seminarji. V okviru aktivnosti, namenjenih posameznikom, pa so clani projektne skupine nadaljevali pripravo in objavo vsebin in animacij za v okviru projekta vzpostavljeno spletno stran za posameznike www.tiodlocas.si, na tedenski ravni so si sledile posebej tej ciljni skupini namenjene objave in zanimive vsebine na Facebook profilu Informacijskega pooblašcenca.
Primer objave na Facebook profilu Informacijskega pooblašcenca.
Zakljucno projektno porocilo je bilo oddano v roku, in sicer 31. 10. 2020. Evropska komisija je v odzivu na zakljucno porocilo pohvalila organizacijo projekta ter kot dobro prakso izpostavila organizacijo in izvedbo seminarjev po regijah širom Slovenije.



Projekt iDecide – posamezniki odlocajo
Informacijski pooblašcenec je v letu 2020 zacel izvajati projekt iDecide, »Individuals Decide – Raising Awareness About Data Protection Rights (iDecide)«, ki je financiran s strani Evropske komisije, in sicer v okviru Programa za pravice, enakost in državljanstvo 2020–2023.
Projekt bo predvidoma trajal 48 mesecev, osredotocal pa se bo na izobraževanje treh ciljnih skupin, starejših mladoletnikov (15–18 let), starejših (nad 65 let) in delovne populacije, in sicer o reformi zakonodajnega okvira na podrocju varstva osebnih podatkov in o temeljnih pravicah, ki jih zagotavlja zakonodaja s podrocja varstva osebnih podatkov. Cilj projekta iDecide je dvigovanje zavedanja o reformi okvira za varstvo osebnih podatkov v splošni javnosti v Sloveniji, še posebej glede pravic posameznikov. 
V prvem letu izvajanja je Informacijski pooblašcenec pripravil tri prirocnike, ki so namenjeni posameznikom razlicnih starostnih skupin: za starejše mladoletnike (Moji podatki, moja stvar), za delovno aktivne (Kako so moji podatki varovani v delovnem razmerju) in za starejše od 65 let (Vi odlocate o svojih podatkih). Prirocniki so dostopni na spletni strani, ker pa so bili natisnjeni v nakladi 8500 izvodov, bodo tudi distribuirani do kljucnih ciljnih skupin. Prirocniki obravnavajo tudi vprašanja, povezana z epidemijo covid-19, npr. v zvezi z obdelavo zdravstvenih osebnih podatkov in varno uporabo tehnologij pri ucenju in delu od doma. V okviru projekta je bilo za namene strokovnega svetovanja vzpostavljeno dežurstvo po telefonu in elektronski pošti. Razlicne uporabne materiale in prakticne napotke za splošno javnost, ki so bili razviti v okviru projekta, je Informacijski pooblašcenec objavil na svojih spletnih straneh, in sicer na www.ip-rs.si,  www.tiodlocas.si in www.upravljavec.si.
Prirocnik za varstvo osebnih podatkov za mlade: Moji podatki, moja stvar.
Med številnimi aktivnostmi v sklopu ozavešcanja v povezavi z epidemijo covid-19 je Informacijski pooblašcenec pripravil posebno covid-19 podstran, na kateri so za lažjo dostopnost zbrana aktualna mnenja in stališca glede dela na daljavo, šolanja na daljavo, sprejetih ukrepov za omejevanje širjenja koronavirusa in glede tehnicnih rešitev. Opozarjali smo tudi na ustrezne ukrepe za zagotovitev varnosti osebnih podatkov, na primer s podajanjem priporocil, kot npr. Kako zašciti osebne podatke pri delu od doma?.


3.5.6 PREVENTIVNE AKTIVNOSTI ZA SKLADNOST
Informacijski pooblašcenec je v letu 2020 zaradi zaostrenih razmer ob izvajanju ukrepov za omejevanje širjenja koronavirusa odložil izvajanje preventivnih aktivnosti za skladnost (ang. privacy sweep), saj so se prakticno vsi zavezanci soocali s številnimi izzivi in so morali tako rekoc cez noc v pomembnem delu prilagoditi poslovanje, npr. zagotoviti ustrezno opremo za delo od doma, prilagoditi interne procese in pravilnike, prilagoditi varnostne postopke in ukrepe. Sprico novonastalih razmer, katerih posledica so bile izjemne obremenitve tako v javnem kot v zasebnem sektorju, izvajanje preventivnih aktivnosti za skladnost ni bilo sorazmerno, zato smo vecji del naših preventivnih aktivnosti preusmerili v aktivnosti izobraževanja in ozavešcanja, kot smo jih opisali v predhodnem poglavju, saj je bilo to v težavnem letu 2020 bolj potrebno. Izvajanje preventivnih aktivnosti za skladnost je preloženo na leto 2021, ko bo na voljo vec informacij, na katerih podrocjih lahko dosežemo, da zavezanci brez potrebe po uvajanju tako za zavezance kot za nadzorni organ stroškovno in casovno zahtevnih inšpekcijskih postopkov samostojno ocenijo lastno stanje na podrocju varstva osebnih podatkov ter zadostijo zahtevam zakonodaje, v pomoc pa so jim ustrezne informacije nadzornega organa. Med usmerjene aktivnosti bo prav gotovo sodilo podrocje varstva osebnih podatkov pri izvajanju dela na daljavo, vkljucno z uporabo zasebnih sredstev v službene namene, kar je posledica ukrepov za omejevanje epidemije, ter izpolnjevanje dolžnosti imenovanja pooblašcenih oseb za varstvo osebnih podatkov.
3.6 MEDNARODNO SODELOVANJE
3.6.1 SODELOVANJE V EVROPSKEM ODBORU ZA VARSTVO PODATKOV
Informacijski pooblašcenec je kot nacionalni nadzorni organ za varstvo osebnih podatkov aktivno deloval kot clan Evropskega odbora za varstvo podatkov (EOVP), ki je neodvisni evropski organ za zagotavljanje dosledne uporabe pravil o varstvu podatkov v EU in za spodbujanje sodelovanja med organi EU za varstvo podatkov; deluje od maja 2018. V odboru sodelujejo predstavniki vseh 28 neodvisnih nadzornih organov EU in EGS (Islandija, Norveška in Lihtenštajn), Evropske komisije in Evropskega nadzornika za varstvo podatkov. Odbor deluje v skladu s svojim pravilnikom in vodilnimi naceli.
Kljucne pristojnosti odbora v okviru postopkov sodelovanja nadzornih organov so: 
•	sprejemanje pravno zavezujocih odlocitev odbora v okviru mehanizma za skladnost v zvezi z nacionalnimi nadzornimi organi, da se zagotovi dosledno uporabo Splošne uredbe;
•	sprejemanje splošnih smernic za podrobnejšo opredelitev pogojev evropske zakonodaje o varstvu podatkov, s cimer svojim deležnikom zagotavlja dosledno razlago njihovih pravic in obveznosti;
•	svetovanje Evropski komisiji v zvezi z vprašanji varstva podatkov in pripravo evropskih predpisov s podrocja varstva podatkov;
•	promocija sodelovanja in izmenjave izkušenj med nacionalnimi nadzornimi organi za varstvo podatkov. Mehanizem za skladnost, kot je opredeljen v Splošni uredbi, poteka prek:
-	izdaje mnenj odbora za zagotavljanje dosledne uporabe evropske zakonodaje o varstvu podatkov (po clenu 64 Splošne uredbe), med drugim v dolocenih primerih glede sprejema seznama dejanj obdelave, za katere velja zahteva po oceni ucinka v zvezi z varstvom podatkov; v zvezi s kodeksom ravnanja s cezmejnim vplivom ter v dolocenih primerih glede odobritve meril za pooblastitev organa za spremljanje skladnosti s kodeksom ravnanja; v zvezi z dolocitvijo standardnih dolocil o varstvu podatkov v zvezi s prenosi podatkov v tretje države; v zvezi z odobritvijo pogodbenih dolocil ali zavezujocih poslovnih pravil;
-	reševanja sporov med nadzornimi organi (po clenu 65 Splošne uredbe), npr. glede nasprotujocih si stališc o vsebini odlocitve v cezmejnih primerih; o tem, kateri nadzorni organ je vodilni v dolocenem cezmejnem postopku; ter v primeru nespoštovanja mnenja odbora s strani posameznega nadzornega organa;
-	reševanja nujnih postopkov (po clenu 66 Splošne uredbe) s sprejemom zacasnih ukrepov v izjemnih primerih, ko je ukrepanje potrebno zaradi varstva pravic in svobošcin posameznikov.
Delo odbora, ki se vsak mesec (v casu pandemije koronavirusa pa tudi veckrat mesecno) sestaja na plenarni ravni, poteka tudi v 12 podskupinah strokovnjakov. V letu 2020 je dodatno delovalo 6 delovnih skupin in odborov, ki so se posvecali specificnim temam. Te obravnavajo razlicna podrocja dela odbora, v njih pa sodelujejo predstavniki vseh nadzornih organov. Zaradi epidemicnih razmer je delo odbora od marca 2020 potekalo v spletnem okolju, v okviru spletne videorešitve, ki jo omogoca Evropski parlament in zagotavlja varno komunikacijo. Odbor se je sestal na 27 plenarnih zasedanjih, strokovne in delovne skupine pa na 132 delovnih sestankih.
Predstavniki Informacijskega pooblašcenca tako aktivno sodelujejo v podskupinah za tehnološka vprašanja, prenose podatkov v tretje države, podrocje varstva podatkov v okviru dela organov pregona, družbene medije, financne zadeve, vprašanja usklajevanja sistema izrekanja upravnih glob, sodelovanje med nadzornimi organi in usklajevanje dela na podrocju nadzora. Posamezne podskupine glede na podrocje svojega dela pripravljajo smernice in mnenja odbora ter obravnavajo aktualne izzive, s katerimi se srecujejo posamezni nadzorni organi ter so pomembni v širšem evropskem prostoru, bodisi zaradi cezmejne obdelave podatkov bodisi zaradi pomembnih vprašanj enotnega tolmacenja evropskih predpisov. 
Evropski odbor je v letu 2020 sprejel 12 smernic in priporocil po clenu 70, 32 mnenj v okviru mehanizma skladnosti po clenu 64, od tega eno na pobudo Informacijskega pooblašcenca (glede standardnih klavzul za prenos podatkov k pogodbenemu obdelovalcu), 19 drugih dokumentov in izjav ter eno zavezujoco odlocitev po clenu 65 Splošne uredbe.
Leto 2020 je zaznamovala epidemija novega koronavirusa, ki je narekovala pripravo izjave glede perecih vprašanj uporabe aplikacije za sledenje stikov z okuženimi in glede uporabe podatkov, ki jih obdelujejo operaterji elektronskih komunikacij za namene spremljanja razvoja epidemije, lokacij posameznikov, nadzora nad ukrepi za zajezitev. Sprejeta je bila tudi izjava o uporabi podatkov za namen raziskav v kontekstu epidemije covid-19,  izjava glede obdelave osebnih podatkov v okviru ponovnega odpiranja meja po prvem valu epidemije  ter izjava glede interoperabilnosti aplikacij za sledenje stikov z okuženimi v državah clanicah EU. 
Drugo polovico leta 2020 je zaznamovala tudi prelomna sodba Evropskega sodišca v primeru Schrems II, s katero je Sodišce EU razveljavilo odlocitev Evropske komisije o ustreznosti varstva podatkov v okviru zasebnostnega šcita, ki je subjektom iz EU omogocal prenose podatkov iz EU v ZDA. Sodišce EU je svojo argumentacijo za razveljavitev zasebnostnega šcita utemeljilo na ugotovitvi, da varstvo osebnih podatkov, kot ga zagotavlja zakonodaja v ZDA, ni na primerljivi ravni z EU. Predvsem je opozorilo na premalo omejena pooblastila ameriških organov za dostope do prenesenih podatkov in na neucinkovito varstvo prek ombudsmana, ki naj bi v ZDA zagotavljal izvajanje pravic posameznikov. V tem kontekstu naj bi drugi mehanizmi za prenos podatkov, ki jih bodo morale uporabiti organizacije iz EU, npr. standardne pogodbene klavzule ali zavezujoca poslovna pravila, zagotavljali višjo raven varstva pravic posameznikov. Evropska podjetja, ki iznašajo osebne podatke, morajo glede na sodbo poskrbeti, da so pri vsakokratnem iznosu osebnih podatkov zajeta in spoštovana vsa nacela evropskega varstva osebnih podatkov. Evropski odbor za varstvo podatkov je v odzivu na razveljavljeni zasebnostni šcit prejel vec priporocil glede ustreznih dopolnilnih ukrepov za prenos podatkov v ZDA in kriterijev za ocenjevanje vpliva nacionalne zakonodaje v državi prejemnici na varstvo prenesenih podatkov. 
Evropski odbor za varstvo podatkov je v letu 2020 aktivno prispeval tudi k razlagam številnih dolocb Splošne uredbe s smernicami in priporocili glede:
-	konceptov upravljavca in obdelovalca, 
-	ciljanja uporabnikov na spletnih družbenih omrežjih, 
-	omejitev po clenu 23 Splošne uredbe, 
-	glasovnih pomocnikov, 
-	povezanih avtomobilov ter 
-	primerov kršitev varstva podatkov. 
Evropski odbor je pripravil številna pojasnila s podrocja prenosa podatkov v tretje države. S koncem leta 2020 se je koncal tudi izstop Združenega Kraljestva iz EU in EDPB je v zvezi s prenosi podatkov v zdaj tretjo državo pripravil vec dokumentov in pojasnil za izvoznike podatkov. 
Sprejeta mnenja v okviru mehanizma skladnosti po clenu 64 Splošne uredbe so predvsem zadevala certifikacijske in akreditacijske mehanizme v državah clanicah EU. Informacijski pooblašcenec je v postopek pridobitve mnenja predložil standardne klavzule za pogodbeno obdelavo, ki so zdaj na voljo zavezancem kot vzorec, ki ga lahko uporabijo pri sodelovanju s pogodbenimi obdelovalci podatkov.  
Evropski odbor je pojasnjeval procesna pravila cezmejnega sodelovanja, ki ga je vzpostavila Splošna uredba, in sicer so bila v ospredju vprašanja glede izvedbe sodelovanja »vse na enem mestu«, torej postopka po clenu 60 Splošne uredbe, kadar na osnutek odlocitve vodilnega nadzornega organa zadevni nadzorni organi podajo ustrezne in utemeljene razloge za ugovor taki odlocitvi. Sprejete so bile Smernice 20/2020 o ustreznem in utemeljenem ugovoru po Splošni uredbi,  ki vsebujejo pojasnila glede forme, vsebine in nacina podaje tovrstnih ugovorov. Evropski odbor za varstvo podatkov pripravlja nadaljnje smernice glede postopkov po clenih 60 in 65 Splošne uredbe.
V letu 2020 je bil prvic izveden postopek po clenu 65(1)(a) Splošne uredbe, torej odlocitev Evropskega odbora za varstvo podatkov v sporu med zadevnimi organi, ki so podali ustrezen in utemeljen ugovor osnutku odlocitve vodilnega organa, ta pa je ugovore zavrnil kot neustrezne ali neutemeljene. V cezmejnem postopku clen 60(3) Splošne uredbe vodilnemu organu nalaga, da drugim zadevnim nadzornim organom brez odlašanja predloži osnutek odlocitve, s cimer jih zaprosi za mnenje, ki ga ustrezno upošteva. Cetrti odstavek zadevnim organom daje možnost, da v obdobju štirih tednov po opravljenem posvetovanju (izdaji osnutka odlocbe) podajo ustrezne in utemeljene razloge za ugovor glede osnutka odlocitve. Vodilni nadzorni organ zadevo predloži mehanizmu za skladnost, ce se z ugovorom ne strinja ali meni, da ugovor ni ustrezen ali utemeljen. Clen 65 Splošne uredbe v tocki (a) prvega odstavka doloca, da odbor sprejme zavezujoco odlocitev, da se zagotovi pravilna in dosledna uporaba te uredbe, in sicer med drugim v primeru, kadar je, v primeru iz 
clena 60(4), zadevni nadzorni organ dal ustrezen in utemeljen ugovor osnutku odlocitve vodilnega organa ali ce je vodilni organ zavrnil tak ugovor kot neustrezen ali neutemeljen. Zavezujoca odlocitev velja za vse zadeve, na katere se nanaša ustrezen in utemeljen ugovor, zlasti kadar gre za kršitev te uredbe.
Odlocitev v sporu po clenu 65 Splošne uredbe je zadevala primer družbe Twitter, ki je utrpela varnostni incident in s tem kršitev varstva osebnih podatkov, ki pa je ni pravocasno naznanila nadzornemu organu. Vodilni nadzorni organ iz Irske je svoj osnutek odlocitve predložil zadevnim organom iz vseh clanic EU, tudi slovenskemu. Na osnutek odlocitve je prejel vec ugovorov, ki pa jih je zavrnil in zato zadevo predal v postopek odlocanja po clenu 65 Splošne uredbe. Odlocitev Evropskega odbora za varstvo podatkov po clenu 65 Splošne uredbe je za vodilni nadzorni organ zavezujoca in jo mora upoštevati pri oblikovanju koncne odlocbe po clenu 60. V zadevnem primeru je bilo vodilnemu organu naloženo,  da mora v koncni odlocbi pri izreku sankcije upoštevati vsa merila iz clena 83 Splošne uredbe, da bo sankcija primerna in odvracalna.  
3.6.2 SODELOVANJE V DRUGIH NADZORNIH TELESIH EVROPSKE UNIJE
Informacijski pooblašcenec je v letu 2020 na ravni EU aktivno sodeloval v šestih delovnih telesih, ki se ukvarjajo z nadzorom nad izvajanjem varstva osebnih podatkov v okviru velikih informacijskih sistemov EU, in sicer:
-	v Europolovem Odboru za sodelovanje (za nadzor nad obdelavo osebnih podatkov v okviru Europola je po Uredbi o Europolu primarno pristojen Evropski nadzornik za varstvo osebnih podatkov – EDPS, ki pa je dolžan tesno sodelovati z nacionalnimi organi za varstvo osebnih podatkov), 
-	na koordinacijskih sestankih EDPS in nacionalnih organov za varstvo osebnih podatkov za nadzor nad SIS II, 
-	na koordinacijskih sestankih EDPS in nacionalnih organov za varstvo osebnih podatkov za nadzor nad VIS, 
-	na koordinacijskih sestankih EDPS in nacionalnih organov za varstvo osebnih podatkov za nadzor nad CIS, 
-	v Skupnem nadzornem organu za carino, 
-	na koordinacijskih sestankih EDPS in nacionalnih organov za varstvo osebnih podatkov za nadzor nad Eurodac.
Med pomembnejšimi dokumenti, ki so bili v letu 2020 sprejeti v okviru zgoraj naštetih delovnih teles, je bil v okviru Europolovega odbora za sodelovanje sprejet vodic za izvrševanje pravic posameznikov, ki vsebuje opis vrst podatkov in obsega izmenjave med Europolom in državami clanicami, postopke za izvrševanje posameznih pravic ter pravna sredstva, ki jih ima posameznik na voljo pri njihovem izvrševanju. V okviru Europolovega odbora za sodelovanje je bil sprejet tudi vprašalnik o posredovanju osebnih podatkov Europolu, namenjen nacionalnim enotam Europola v posameznih državah clanicah. V okviru nadzora nad obdelavo osebnih podatkov v CIS je bila sprejeta nova verzija vodica za izvrševanje pravice posameznikov do dostopa do osebnih podatkov. V okviru nadzora nad obdelavo osebnih podatkov v SIS II je bilo pripravljeno pismo, s katerim je bil nadzorni organ države, iz katere je bil zaznano velikansko povecanje zahtev njenih državljanov za seznanitev z osebnimi podatki v SIS II, zaprošen za podajo pojasnil v zvezi s tem. 

3.6.3 SODELOVANJE V DRUGIH MEDNARODNIH TELESIH
POSVETOVALNI ODBOR T-PD
V okviru Sveta Evrope je predstavnik Informacijskega pooblašcenca tudi v letu 2020 sodeloval v Posvetovalnem odboru, ustanovljenem s Konvencijo Sveta Evrope o varstvu posameznikov glede na avtomatsko obdelavo osebnih podatkov (Konvencija št. 108), skrajšano Odbor T-PD. Namesto spomladanskega plenarnega zasedanja je bila organizirana tridnevna spletna konferenca z naslovom Data Protection Views from Strasbourg in Visio, ki je bila sestavljena iz šestih sklopov, namenjenih primarnim temam delovnega programa Odbora. Na plenarnem zasedanju novembra, ki je bil leta 2020 izjemoma organiziran le enkrat in je potekal na daljavo, je Odbor obravnaval vprašanja procesa dokoncanja in sprejema (posodobljene) Konvencije št. 108+, ki poteka od zacetka leta 2011, ter stanje pridruževanja držav h Konvenciji 108 in k dodatnemu protokolu. Kot vsako leto je Odbor obravnaval porocila o mednarodnem in globalnem sodelovanju Sveta Evrope v zvezi z varstvom osebnih podatkov, porocila nadzornih organov za varstvo osebnih podatkov iz držav clanic Sveta Evrope o novostih in dosežkih na tem podrocju ter še posebej informacije, podane s strani nadzornih organov ob dnevu varstva osebnih podatkov. Odbor je leta 2020 aktivno obravnaval aktualne teme, kot so varstvo osebnih podatkov v casu epidemije covid-19, prepoznava obrazov, profiliranje, digitalna identiteta in obdelava osebnih podatkov v okviru politicnih kampanj. Izdal je Smernice o varstvu osebnih podatkov otrok v izobraževalnih sistemih, Porocilo o razvoju po izdaji Priporocila o profiliranju, Porocilo o digitalnih rešitvah za boj proti covid-19, predsednica Odbora in pooblašcenec za varstvo podatkov Sveta Evrope pa sta podala vec skupnih izjav v zvezi z epidemijo in sodbo Schrems II. Odbor je podelil tudi nagrado Stefano Rodotŕ, in sicer za projekt, osredotocen na izzive, ki se pojavljajo ob uveljavljanju pravice do pridobivanja informacij o »logiki« pri izkljucno avtomatiziranih odlocitvah.
MEDNARODNA DELOVNA SKUPINA ZA VARSTVO OSEBNIH PODATKOV V TEHNOLOGIJI (IWGDPT)
Informacijski pooblašcenec je tudi v letu 2020 aktivno deloval v Mednarodni delovni skupini za varstvo osebnih podatkov v telekomunikacijah (International Working Group on Data Protection in Technology (IWGDPT)), ki združuje predstavnike informacijskih pooblašcencev in organov za varstvo osebnih podatkov in zasebnosti s celega sveta. Delo skupine prepoznava tudi mednarodna konferenca informacijskih pooblašcencev.
Zaradi epidemioloških razmer sta bili v letu 2020 odpovedani zasedanji v Tel Avivu in Londonu, skupina pa je z delom nadaljevala na korespondencni nacin. Sprejeta sta bila dokument o pravici do prenosljivosti osebnih podatkov ter dokument o tveganjih z naslova sledenja in ciljanega oglaševanja na spletu.
Dokument o prenosljivosti podatkov nakazuje, da pomen pravice do prenosljivosti osebnih podatkov prepoznavajo tudi v drugih delih sveta, kjer ta pravica še ni zakonodajno urejena, medtem ko je pravica do prenosljivosti že natancno opredeljena v EU v Splošni uredbi o varstvu podatkov. Pravica do prenosljivosti podatkov je ob široki digitalizaciji naših življenj cedalje bolj pomembna, saj posamezniku omogoca pridobitev lastnih podatkov v odprtih in strojno berljivih formatih; na ta nacin se omejuje vezanost posameznika na dolocene ponudnike informacijskih storitev, posamezniku pa ima vecjo moc odlocanja o lastnih podatkih (https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/publikationen/working-paper/2021/2021-IWGDPT-Working_Paper_Data_Portability.pdf).
IWGDPT v dokumentu o tveganjih z naslova sledenja in ciljanega oglaševanja na spletu opozarja na množicno profiliranje posameznikov, ki se pogosto sploh ne zavedajo, da so njihovi osebni podatki predmet dražb med ponudniki oglaševanja (t. i. real-time-bidding), pri cemer oglaševalec z najvišjo ponudbo dobi možnost, da posamezniku prikaže ciljani oglas glede na njegov profil. Vticniki družabnih omrežij in spletna analitika omogocajo zbiranje ogromnih kolicin podatkov o uporabnikih spleta, ki poteka vecinoma slabo transparentno, kar pod vprašaj postavlja veljavnost privolitev posameznikov in otežuje dostop do lastnih osebnih podatkov ter spoštovanje ostalih temeljnih nacel varstva osebnih podatkov. Pomemben del dokumenta predstavljajo priporocila zakonodajalcem glede ustreznih pristopov k regulaciji s tem povezanih tveganj za posameznike (https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/publikationen/working-paper/2021/2021-IWGDPT-Working_Paper_tracking_eco_system.pdf). 
SVETOVNA SKUPŠCINA ZA ZASEBNOST 
Svetovna skupšcina za zasebnost (ang. Global Privacy Assembly (GPA)), ki povezuje prizadevanja vec kot 130 nadzornih organov za varstvo zasebnosti in podatkov z vsega sveta, se je v preteklem letu posvecala zlasti izzivom za varovanje zasebnosti v povezavi z ukrepi za obvladovanje in zajezitev posledic svetovne zdravstvene epidemije. V ta namen je bila vzpostavljena posebna delovna skupina in organizirano posebno srecanje prek videopovezave ter videokonferenca v sodelovanju z Organizacijo za gospodarsko sodelovanje in razvoj, ki se je je udeležil tudi predstavnik Informacijskega pooblašcenca. V skladu s strateškimi usmeritvami, ki temeljijo na poudarjenih prizadevanjih za vzpostavitev mednarodnega okvira standardov varstva zasebnosti ter krepitev razlicnih oblik sodelovanja pri izvajanju nadzorov, je GPA spremljala zlasti dogajanje in izzive v zvezi s pandemijo v državah, iz katerih prihajajo clani GPA. V ta namen je bila razvita spletna platforma na spletni strani GPA, kjer se sproti objavljajo vse informacije o pristopih, izzivih in aktivnostih posameznih nadzornih organov za varovanje zasebnosti v casu pandemije. Delo konference vodi izvršni odbor, ki mu trenutno predseduje britanska pooblašcenka Elizabeth Denham. Med pomembnejšimi resolucijami, sprejetimi na zadnji konferenci leta 2020, ki je potekala prek videopovezave, so resolucija, posvecena izzivom, povezanim s pandemijo, resolucija o varstvu zasebnosti v povezavi s tehnologijami za prepoznavo obrazov, resolucija o zagotavljanju varovanja zasebnosti pri zagotavljanju razvojne in humanitarne pomoci ter kriznem upravljanju ter resolucija o izzivih ob zagotavljanju odgovornosti pri razvoju in uporabi umetne inteligence.

3.7 SPLOŠNA OCENA STANJA VARSTVA OSEBNIH PODATKOV
Informacijski pooblašcenec je na podrocju varstva osebnih podatkov opravljal naloge, ki mu jih nalaga Splošna uredba o varstvu podatkov, ki se je zacela uporabljati 25. 5. 2018 in katere dolocbe se morajo neposredno uporabljati v vseh državah clanicah EU. Splošna uredba terja sprejem novega Zakona o varstvu osebnih podatkov (ZVOP-2), s katerim bi se v Republiki Sloveniji zagotovilo izvajanje te uredbe, vendar Republika Slovenija v letu 2020 tega še vedno ni sprejela, kar povzroca precej odprtih vprašanj tako pri upravljavcih in obdelovalcih osebnih podatkov kot tudi pri Informacijskem pooblašcencu. 
To, da ZVOP-2 še ni bil sprejet, na samo izvajanje inšpekcijskega nadzora sicer ni bistveno vplivalo, je pa vplivalo na vodenje upravnih postopkov reševanja pritožb posameznikov v zvezi z uveljavljanjem njihovih pravic iz clenov 13 do 22 Splošne uredbe, pri cemer Informacijski pooblašcenec nastopa kot pritožbeni organ. Obseg pravic posameznika, na katerega se osebni podatki nanašajo, ter s tem povezane pristojnosti Informacijskega pooblašcenca kot pritožbenega organa so se glede na obstojeci ZVOP-1 obcutno povecali, zaradi cesar se je tudi v letu 2020 glede na pretekla obdobja obcutno povecalo število takih pritožb. Reševanje slednjih seveda terja dolocitev posebnih pravil, s katerimi bi se rešila posamezna vprašanja upravnega postopka oz. bi se dolocil postopek reševanja takšnih pritožb, in nesprejetje novega zakona o varstvu osebnih podatkov je pri vodenju takih pritožbenih postopkov povzrocilo precej dilem.
Nesprejetje novega ZVOP-2 je še posebej negativno vplivalo na vodenje prekrškovnih postopkov in izrekanje glob za ugotovljene kršitve. Informacijski pooblašcenec je zaradi odsotnosti ZVOP-2 v primeru ugotovljenih kršitev dolocb Splošne uredbe ali dolocb ZVOP-1 lahko zavezancem v postopku inšpekcijskega nadzora odredil le odpravo ugotovljenih nepravilnosti, vzpostavitev zakonitega stanja ter prepovedal nezakonito obdelavo osebnih podatkov, postopek za prekrške pa je uvedel le v primeru, ko je šlo za kršitev tistih clenov ZVOP-1, ki še veljajo. Informacijski pooblašcenec tako zaradi odsotnosti novega ZVOP-2 tudi v letu 2020 ni mogel izrekati sankcij za tiste kršitve, ki so dolocene v clenu 83 Splošne uredbe. Zaradi tega je Informacijski pooblašcenec pristojno ministrstvo tudi v letu 2020 veckrat opozoril na nujnost sprejetja novega zakona ter ureditve in uskladitve prekrškovnih dolocb v ZVOP-2 z dolocbami Splošne uredbe. Usklajenost nacionalnih dolocb s Splošno uredbo je še posebej pomembna z vidika usklajevanja praks v državah clanicah EU, v katerih se uporablja Splošna uredba. Evropski odbor za varstvo osebnih podatkov, katerega del je Informacijski pooblašcenec, namrec dela na oblikovanju mehanizma usklajevanja izrecenih glob, ki naj bi ga uporabljali vsi nadzorni organi in ki temelji na merilih za izrekanje glob na nacin in v višini, kot to doloca clen 83 Splošne uredbe. Namen mehanizma je usklajevanje: izrecene globe glede podobnih prekrškov v podobnih okolišcinah v razlicnih državah naj ne bi odstopale, kar še zlasti velja v primerih cezmejnega sodelovanja pri inšpekcijskem nadzoru.  
Republika Slovenija je zamujala tudi z implementacijo Direktive (EU) 2016/680 ter Direktive (EU) 2016/681 v delu, ki se nanaša na položaj in naloge pooblašcenih oseb za varstvo osebnih podatkov. Ti direktivi sta bili v pravni red Republike Slovenje preneseni z Zakonom o varstvu osebnih podatkov na podrocju obravnavanja kaznivih dejanj (ZVOPOKD), ki je zacel veljati 31. 12. 2020.
Trend povecevanja števila prijav kršitev varstva osebnih podatkov se je nadaljeval tudi v letu 2020. Število takih prijav se je v primerjavi s preteklimi obdobji še nekoliko povecalo: Informacijski pooblašcenec je prejel 1018 prijav oz. pobud za uvedbo inšpekcijskega postopka, kar je najvec doslej.
Poleg omenjenih prijav je Informacijski pooblašcenec v letu 2020 prejel in obravnaval še pet primerov nedovoljenega sporocanja ali druge nedovoljene obdelave osebnih podatkov o pacientih, ki so mu jih na podlagi 46. clena Zakona o pacientovih pravicah (ZPacP) poslali izvajalci zdravstvene dejavnosti, 12 pritožb zoper odlocitev upravljavca po 41. clenu ZPacP, sedem pritožb zoper odlocitev upravljavca po 42. clenu ZPacP, 36 pritožb zaradi kršitev upravljavca po 30. clenu ZVOP-1, 171 pritožb posameznikov zaradi kršitev pravice do vpogleda v lastne osebne podatke po clenu 15 Splošne uredbe in odlocitve upravljavca v zvezi s tem (od tega je bilo 82 pritožb vloženih zaradi molka upravljavca), pet pritožb zaradi kršitve pravice do popravka osebnih podatkov po clenu 16 Splošne uredbe, 11 pritožb zaradi kršitve pravice do izbrisa osebnih podatkov po 
clenu 17 Splošne uredbe ter eno pritožbo zaradi kršitve pravice do omejitve obdelave osebnih podatkov po clenu 18 Splošne uredbe. Število pritožb zaradi kršitev navedenih pravic, ki jih posameznikom zagotavlja Splošna uredba, se je v letu 2020 glede na pretekla obdobja precej povecalo, kar kaže na to, da se posamezniki svojih pravic vse bolj zavedejo. 
Informacijski pooblašcenec je v letu 2020 od upravljavcev in obdelovalcev osebnih podatkov prejel 120 uradnih obvestil o kršitvi varnosti osebnih podatkov. Kot kažejo dosedanje ugotovitve, se upravljavci in obdelovalci osebnih podatkov vse bolj zavedajo svoje dolžnosti prijavljanja varnostnih incidentov in Informacijskemu pooblašcencu vse bolj dosledno pošiljajo uradna obvestila o kršitvi varnosti osebnih podatkov, kot jim to nalaga clen 33 Splošne uredbe. Upravljavci in obdelovalci osebnih podatkov so uradna obvestila o kršitvi varnosti osebnih podatkov Informacijskemu pooblašcencu najpogosteje pošiljali zaradi posredovanja osebnih podatkov nepooblašcenim ali napacnim osebam, nepooblašcenega dostopanja do osebnih podatkov zaradi programske napake ali zlorabe pooblastil s strani zaposlenih, napada na informacijski sistem z izsiljevalskim virusom in kriptiranjem podatkov s CryptoLockerjem, objave osebnih podatkov strank upravnega postopka na oglasni deski portala e-Uprava ter izgube ali kraje nosilcev osebnih podatkov (npr. osebnih racunalnikov in USB-kljuckov).
Informacijski pooblašcenec je pri obravnavi uradnih obvestil o kršitvi varnosti osebnih podatkov ugotovil, da so se v letu 2020 obcutno povecali napadi na informacijski sistem z izsiljevalskim virusom in kriptiranjem podatkov s CryptoLockerjem, kar je upravljavcem osebnih podatkov, ki niso izvajali ustreznih tehnicnih in organizacijskih ukrepov za zagotavljaje varnosti obdelave osebnih podatkov, povzrocilo velike stroške ter težave pri zagotavljanju zmožnosti pravocasne povrnitve razpoložljivosti in dostopnosti osebnih podatkov.
Pri obravnavi prijav posameznikov Informacijski pooblašcenec ugotavlja, da so te v mnogih primerih še vedno vložene zaradi nerazumevanja dolocb Splošne uredbe, kar velja zlasti v primeru obdelave osebnih podatkov na podlagi privolitve posameznika, na katerega se osebni podatki nanašajo, ter v primerih, ko gre za obdelavo osebnih podatkov, ki jo fizicna oseba izvaja med potekom popolnoma osebne ali domace dejavnosti in za katero se Splošna uredba o varstvu podatkov ne uporablja. Prijavitelji pogosto še vedno ne razumejo, da je privolitev posameznika zgolj ena od šestih enakovrednih pravnih podlag, ki jih v zvezi z zakonitostjo obdelave osebnih podatkov doloca clen 6 Splošne uredbe, pri cemer pa so za vlaganje takšnih prijav pogosto krivi tudi upravljavci, ki osebne podatke zbirajo, posamezniku pa ne zagotovijo preglednih, razumljivih in lahko dostopnih informacij, kot jim to nalagata clena 12 in 13 Splošne uredbe.
Zagotavljanje jedrnatih, preglednih, razumljivih in lahko dostopnih informacij iz clena 13 in 14 Splošne uredbe je bila kljub ozavešcanju upravljavcev in kljub vzorcem takšnih obvestil, ki jih je Informacijski pooblašcenec pripravil in objavil na svojih spletnih straneh, tudi v letu 2020 še vedno ena od najpogosteje ugotovljenih kršitev. Vrste informacij, ki jih je treba zagotoviti posamezniku ob zbiranju njegovih osebnih podatkov, so dolocene v clenih 13 in 14 Splošne uredbe o varstvu podatkov, posameznik pa na podlagi takšnih informacij izve, kdo je upravljavec osebnih podatkov, za kakšne namene in na kakšni pravni podlagi se osebni podatki obdelujejo, kdo so uporabniki njegovih osebnih podatkov, koliko casa se podatki hranijo itd. 
Prijave, ki jih je v letu 2020 prejel in obravnaval Informacijski pooblašcenec, so bile vložene iz podobnih razlogov kot v preteklih letih. Najvec prijav je bilo vloženih zaradi posredovanja osebnih podatkov neupravicenim osebam, uporabe osebnih podatkov za namene neposrednega trženja, izvajanje videonadzora, nezakonitega ali prekomernega zbiranja osebnih podatkov, uporabe osebnih podatkov za namene, ki so v nasprotju z namenom njihovega zbiranja, nezakonitih vpogledov v zbirke osebnih podatkov ter neustreznega zagotavljanja varnosti osebnih podatkov.
Leto 2020 je zaznamovalo tudi vecje število prijav in zaprosil za mnenja v zvezi z varstvom osebnih podatkov v casu epidemije koronavirusa (covid-19). Informacijski pooblašcenec je zato na svoji spletni strani pripravil posebno podstran, na kateri je objavljal vsa mnenja, stališca in priporocila, ki se nanašajo na varstvo osebnih podatkov v casu epidemije.   
Posebne okolišcine, ki so zaznamovale leto 2020, so vplivale tudi na podrocje skladnosti in preventive. Na splošno se je bistveno zmanjšal obseg strokovnih posvetov, konferenc, izobraževanj in usposabljanj na vseh podrocjih, tudi na podrocju izobraževanja zaposlenih glede varstva osebnih podatkov. Ne glede na posebne okolišcine pa je Informacijski pooblašcenec v letu 2020 izvedel 34 brezplacnih predavanj za zavezance, vecinoma z uporabo spletnih orodij. Informacijski pooblašcenec je uspešno izvajal projekt iDECIDE, ki ga financira EU, namenjen pa je ozavešcanju treh ciljnih populacij: mladoletnikov, starejše populacije in delovne populacije. V okviru projekta iDECIDE smo za vsako od populacij izdali prilagojeno brošuro z informacijami o njihovih pravicah, izvajali svetovanje v obliki telefonskih in pisnih mnenj, nacrtovani seminarji pa so bili zaradi epidemije prestavljeni v leto 2021. 
Leto 2020 je tudi na tem podrocju terjalo nekatere prilagoditve – kot smo opisali v predhodnem porocilu predstavljajo pomemben institut pooblašcene osebe za varstvo osebnih podatkov, komunikacija Informacijskega pooblašcenca s temi osebami pa ima lahko pomembne multiplikativne ucinke. Zaradi omejitev glede srecevanja v živo je Informacijski pooblašcenec z nekaterimi združenji pooblašcenih oseb za varstvo osebnih podatkov, kot sta združenji na podrocju zavarovalništva in bancništva, izvedel posvet prek spleta; udeleženci posveta so izmenjali informacije in predstavili primere dobre prakse. Pooblašceno osebo je imenovalo že vec kot 2300 zavezancev, nekaj sto pa je po oceni Informacijskega pooblašcenca takih, ki te obveznosti še niso izpolnili, zato bo to predmet posebne preventivne aktivnosti za skladnosti.  
Zamujanje s sprejemom ZVOP-2 se kaže tudi na podrocju preventive in skladnosti, saj zavezanci – dokler ne bodo jasno opredeljeni pogoji v ZVOP-2 – ne morejo uporabiti certifikacije po Splošni uredbi, ki bi lahko v dolocenem segmentu ucinkovito delovala v smeri skladnosti.
Med pomembnejšimi dosežki v letu 2020 na podrocju skladnosti in preventive velja poudariti, da je Slovenija šele druga država, ki je uspešno pripravila standardne pogodbene klavzule za ureditev pogodbene obdelave osebnih podatkov skladno s clenom 28 Splošne uredbe. Glede na dolocbe Splošne uredbe mora namrec takšne standardne pogodbene klavzule – vzorcno pogodbo, ki jo lahko uporabijo upravljavci podatkov za najem storitev pogodbenih obdelovalcev – potrditi Evropski odbor za varstvo osebnih podatkov, šele potem so lahko dana na voljo zavezancem. Standardne pogodbene klavzule so na voljo na spletni strani Informacijskega pooblašcenca, zavezanci pa jih lahko z ustreznimi dopolnitvami uporabijo kot pogodbo za zunanjo obdelavo osebnih podatkov, kot so npr. obracun plac, izvajanje oglaševanja, uporaba storitev klicnih centrov, vzdrževanje podatkovnih baz ipd.
Informacijski pooblašcenec ugotavlja, da je zavedanje pomena varstva osebnih podatkov in zasebnosti v družbi kljub izzivom v letu 2020 med splošnim prebivalstvom ostalo na visoki ravni, s precej vecjo zaskrbljenostjo pa spremlja upoštevanje teh temeljnih clovekovih pravic pri odlocevalcih. Razumljivo je sicer, da je treba v casu epidemije dolocene ukrepe pogosto sprejeti zelo hitro, kar pa ne sme biti opravicilo za neupoštevanje mnenj, stališc in opozoril Informacijskega pooblašcenca. Zlasti v povezavi z uvajanjem mobilne aplikacije za sledenje stikom so bila ta vecinoma preslišana in ocenjujemo, da je prav zaradi neustreznega komuniciranja, vztrajanja pri obvezni uporabi aplikacije in drugih nejasnostih prišlo do padca zaupanja v takšno rešitev, kar pa je kljucno za njeno uporabo in s tem uspešnost. Na drugi strani lahko namrec Informacijski pooblašcenec navede primere dobrih praks, na primer uvajanje e-vinjete; predlagatelj je v tem primeru pravocasno pridobil stališca Informacijskega pooblašcenca, jih vgradil v dolocbe zakonodaje, sam sistem pa zato z vidika varstva osebnih podatkov ne v strokovni ne v splošni javnosti prakticno ni bil deležen niti pomislekov niti polemik. Opisana primera lepo izkazujeta, da je pravocasno upoštevanje nacel vgrajenega in privzetega varstva osebnih podatkov in upoštevanje pripomb Informacijskega pooblašcenca bistveno za zaupanje v nacrtovane projekte obdelav osebnih podatkov.
Opozoriti velja tudi na pomen koordiniranega pristopa k varstvu osebnih podatkov na dolocenih podrocjih, kar se še toliko bolj pokaže v kriznih casih. Omenjeno je bilo zlasti izrazito na podrocju šolanja in izobraževanja, kjer so posamezni zavodi, ob odsotnosti enotnih navodil, prakticno vsak zase sprejemali hitre odlocitve, katera orodja za izobraževanje na daljavo bodo uporabljali in kateri osebni podatki bodo pri tem obdelovani. Zaradi parcialnosti pristopov smo zasledili številne primere prekomernih obdelav osebnih podatkov, npr. za izkazovanje športnega udejstvovanja ucencev, opravljenih nalog in opravljanja izpitov na daljavo. Do podobnih situacij je prihajalo tudi v delovnih okoljih, kjer ni bilo dovolj jasnih usmeritev pristojnih organov, npr. glede (obveznega) merjenja telesne temperature, zbiranja in posredovanja podatkov o okužbah ter glede izvajanja dela na daljavo. Razumljivo, je, da smo bili mnogi prisiljeni sprejemati ukrepe v zelo kratkem casu, a predvsem na podrocju šolstva pomanjkanje enotnih usmeritev ni težava, ki bi se pojavila šele z epidemijo. 
O cezmejnih primerih
Splošna uredba je prinesla pomembne novosti glede sodelovanja nadzornih organov za varstvo osebnih podatkov v državah clanicah EU in EGS (Islandija, Norveška in Lihtenštajn) pri cezmejnih primerih. Omogocila in formalizirala je postopek sodelovanja po nacelu »vse na enem mestu«, ki predvideva, da postopek nadzora v cezmejnem primeru obdelave osebnih podatkov vodi t. i. vodilni organ in pri tem sodeluje z drugimi organi za varstvo osebnih podatkov, uvedla mehanizme vzajemne pomoci in skupnega ukrepanja organov za varstvo osebnih podatkov v državah clanicah EU. 
Informacijski pooblašcenec je v letu 2020 sodeloval v 123 postopkih medsebojne pomoci med nadzornimi organi po clenu 61 Splošne uredbe, pri cemer je prejel 96 zaprosil drugih organov in se nanje odzval, 27 zaprosil za sodelovanje pa je poslal drugim organom v EU. V 104 postopkih ugotavljanja vodilnega organa po clenu 56 Splošne uredbe se je Informacijski pooblašcenec opredelil za zadevni organ, ki sodeluje v postopku cezmejnega postopka nadzora pri zavezancu. 101 postopek ugotavljanja je bil zacet na iniciativo drugih organov v EU, tri je zacel Informacijski pooblašcenec. Na temelju postopkov dolocitve vodilnega in zadevnih nadzornih organov je Informacijski pooblašcenec v letu 2020 aktivno sodeloval v 77 postopkih cezmejnega sodelovanja pri inšpekcijskem nadzoru nad podjetji, ki poslujejo cezmejno. Štirje tovrstni primeri so zadevali pravico do vpogleda v lastne osebne podatke. V teh postopkih je pricakovan sprejem odlocitve nadzornih organov po clenu 60 Splošne uredbe, po t. i. mehanizmu »vse na enem mestu«. 55 tovrstnih postopkov so zaceli drugi organi v EU, Informacijski pooblašcenec v njih sodeluje kot zadevni organ. 
Primeri niso zadevali le storitev priljubljenih spletnih velikanov, ki so v veliki meri še v teku (vodilni organ je na Irskem), temvec tudi neustrezna ravnanja z osebnimi podatki s strani razlicnih akterjev, letalskih družb, ponudnikov bancnih storitev, spletnih ponudnikov razlicnih storitev itd. iz številnih držav clanic EU. Primeri spornih praks so vkljucevali pretirane zahteve po podatkih za identifikacijo strank, za namen izbrisa podatkov, neustrezno izvrševanje pravice do dostopa, posredovanje podatkov tretjim osebam (npr. v oglaševalski sitem omrežja Facebook brez privolitve posameznika). Pogosto so se primeri nanašali na kršitve varnosti osebnih podatkov, med prizadetimi pa so bili tudi uporabniki iz Slovenije. V tem okviru je Informacijski pooblašcenec kot zadevni nadzorni organ sodeloval v postopkih nadzora v zvezi s kršitvijo varstva osebnih podatkov pri podjetjih, kot so Nintendo, TicketMaster, Marriot Hotels, Twitter, National Australia Bank, British Airways itd., ki so bili zakljuceni v letu 2020.
22 postopkov cezmejnega sodelovanja je sprožil Informacijski pooblašcenec, in sicer na podlagi prejete prijave oz. pritožbe zoper ravnanje zavezanca, ki je ustanovljen v drugi clanici EU ali pa ima ustanovitve v razlicnih clanicah EU oz. so dejanja obdelave osebnih podatkov zadevala posameznike iz razlicnih držav clanic EU. Med drugim so ti postopki zadevali pritožbe o spornih praksah spletnih družbenih omrežij, ki podatke svojih uporabnikov delijo z nepreglednim številom oglaševalskih partnerjev, in to ob nezadostnem obvešcanju in ukrepih za zavarovanje podatkov. Informacijski pooblašcenec je ob sodelovanju španskega nadzornega organa obravnaval primer pilotnega projekta vkrcavanja potnikov z uporabo biometrije na ljubljanskem letališcu, ki ga je izvajala španska družba Amadeus; ugotovil je kršitve dolocb ZVOP-1 o biometriji.
V letu 2020 je bilo v postopkih sodelovanja »vse na enem mestu« izdanih 38 osnutkov odlocb po clenu 60 Splošne uredbe. 29 postopkov je bilo koncanih s koncno odlocbo po clenu 60 Splošne uredbe. V okviru spletne strani Evropskega odbora za varstvo podatkov je nastal tudi javni register koncnih odlocb v postopkih cezmejnega sodelovanja po clenu 60: https://edpb.europa.eu/our-work-tools/consistency-findings/register-for-article-60-final-decisions_en. 
Sodelovanje v cezmejnih primerih inšpekcijskega nadzora, kot ga je uvedla Splošna uredba, je nedvomno ena kljucnih novosti in okrepitev, predvsem v smislu enotnega delovanja nadzornih organov v razlicnih državah clanicah EU in EGS. Seveda pa tako sodelovanje za Informacijskega pooblašcenca, pa tudi za druge nadzorne organe, predstavlja velik izziv v smislu dodatnih potrebnih resursov, tako financnih kot kadrovskih. Kljucno je odlicno poznavanje angleškega jezika, saj je anglešcina v cezmejnih postopkih operativni jezik. Dodatne resurse zahteva že samo administriranje sodelovanja prek platforme IMI, ki jo je moral Informacijski pooblašcenec organizacijsko integrirati v svoje procese obravnave inšpekcijskih primerov in primerov odlocanja o pravici do seznanitve z osebnimi podatki. 
Izkušnje v letu 2020 so pokazale tudi na druge izzive sodelovanja po poglavju 7 Splošne uredbe, in sicer so bila v ospredju vprašanja glede izvedbe postopka po clenu 60 Splošne uredbe, kadar na osnutek odlocitve vodilnega nadzornega organa zadevni nadzorni organi podajo ustrezne in utemeljene razloge za ugovor taki odlocitvi. Razlicne interpretacije konceptov in norm sodelovanja, ki ga kot novost uvaja Splošna uredba, so Evropski odbor za varstvo podatkov spodbudile k sprejemu Smernic 20/2020 o ustreznem in utemeljenem ugovoru po Splošni uredbi,  ki vsebujejo pojasnila glede forme, vsebine in nacina podaje tovrstnih ugovorov. 
Nadaljnji izziv na podrocju cezmejnega sodelovanja je bila v letu 2020 izvedba prvega odlocanja Evropskega odbora za varstvo podatkov v postopku po clenu 65(1)(a) Splošne uredbe v sporu med zadevnimi organi, ki so podali ustrezen in utemeljen ugovor osnutku odlocitve vodilnega organa, ta pa je ugovore zavrnil kot neustrezne ali neutemeljene.  Odlocitev v sporu po clenu 65 Splošne uredbe je zadevala primer družbe Twitter, ki je utrpela varnostni incident in s tem kršitev varstva osebnih podatkov, vendar tega ni pravocasno naznanila nadzornemu organu. Odlocitev Evropskega odbora za varstvo podatkov po clenu 65 Splošne uredbe je za vodilni nadzorni organ zavezujoca in jo mora upoštevati pri oblikovanju koncne odlocbe po clenu 60 Splošne uredbe. V zadevnem primeru je bilo vodilnemu organu naloženo,  da mora v koncni odlocbi pri izreku sankcije upoštevati vsa merila iz clena 83 Splošne uredbe, da bo sankcija primerna in odvracalna. Vodilni nadzorni organ iz Irske je v koncni odlocbi po clenu 60 Splošne uredbe zavezancu Twitter naložil globo v znesku 450.000 EUR. Evropski odbor za varstvo podatkov aktivno pristopa h grajenju enotnih rešitev izzivov, ki nastajajo zaradi razlik v nacionalnih procesnih pravilih v državah clanicah EU (npr. glede pravic strank v postopkih, glede rokov za posamezna dejanja v postopkih, glede obvešcanja prijaviteljev) ter pripravlja nadaljnje smernice glede postopkov po clenih 60 in 65 Splošne uredbe.
Nekaj poudarkov o delu EDPB
Leta 2020 je bila sprejeta sodba v primeru Schrems II, s katero je Sodišce EU razveljavilo odlocitev Evropske komisije o ustreznosti varstva podatkov v okviru zasebnostnega šcita, ki je subjektom iz EU omogocal prenose podatkov iz EU v ZDA. Sodišce EU je argumentacijo za razveljavitev zasebnostnega šcita utemeljilo na ugotovitvi, da varstvo osebnih podatkov, kot ga zagotavlja zakonodaja  v ZDA, ni na primerljivi ravni z EU. Predvsem je opozorilo na premalo omejena pooblastila ameriških organov za dostope do prenesenih podatkov in na neucinkovito varstvo prek ombudsmana, ki naj bi v ZDA zagotavljal izvajanje pravic posameznikov. V tem kontekstu naj bi drugi mehanizmi za prenos podatkov, ki jih bodo morale uporabiti organizacije iz EU, npr. standardne pogodbene klavzule ali zavezujoca poslovna pravila, zagotavljali višjo raven varstva pravic posameznikov. Evropska podjetja, ki iznašajo osebne podatke, morajo glede na sodbo poskrbeti, da so pri vsakokratnem  iznosu osebnih podatkov zajeta in spoštovana vsa nacela evropskega varstva osebnih podatkov. Evropski odbor za varstvo podatkov je v odzivu na razveljavljeni zasebnostni šcit sprejel vec priporocil glede ustreznih dopolnilnih ukrepov za prenos podatkov v ZDA in kriterijev za ocenjevanje vpliva nacionalne zakonodaje v državi prejemnici na varstvo prenesenih podatkov.  
Evropski odbor za varstvo podatkov je v letu 2020 aktivno prispeval k razlagam številnih dolocb Splošne uredbe s smernicami in priporocili glede konceptov upravljavca in obdelovalca, glede ciljanja uporabnikov na spletnih družbenih omrežjih, glede omejitev po clenu 23 Splošne uredbe, glede glasovnih pomocnikov in povezanih avtomobilov ter primerov kršitev varstva podatkov. Ob zacetku epidemije covid-19 sta bili pripravljani izjavi glede takrat najbolj perecih vprašanj uporabe aplikacije za sledenje stikov z okuženimi in glede uporabe podatkov, ki jih obdelujejo operaterji elektronskih komunikacij za namene spremljanja razvoja epidemije, lokacij posameznikov, nadzora nad ukrepi za zajezitev. Sprejeta je bila tudi izjava o uporabi podatkov za namen raziskav v kontekstu epidemije covida-19. Smernice in priporocila Evropskega odbora so zadevali tudi podrocje prenosa podatkov v tretje države in procesnih pravil cezmejnega sodelovanja, ki ga je vzpostavila Splošna uredba. Sprejeta so bila številna mnenja v postopkih skladnosti glede certifikacijskih in akreditacijskih mehanizmov. Informacijski pooblašcenec je postopku pridobitve mnenja predložil standardne klavzule za pogodbeno obdelavo; standardne klavzule so zdaj na voljo zavezancem kot vzorec, ki ga lahko uporabijo pri sodelovanju s pogodbenimi obdelovalci podatkov. 

ODGOVORNA UREDNICA: 
Mojca Prelesnik, informacijska pooblašcenka
AVTORJI BESEDIL:
Jože Bogataj, namestnik informacijske pooblašcenke
dr. Jelena Burnik, vodja mednarodnega sodelovanja in razvoja
Tina Ivanc, svetovalka Pooblašcenca za varstvo osebnih podatkov
Alenka Jerše, namestnica informacijske pooblašcenke
mag. Eva Kalan Logar, vodja državnih nadzornikov
mag. Kristina Kotnik Šumah, namestnica Informacijske pooblašcenke
Karolina Kuševic, svetovalka Pooblašcenca II 
Barbara Pirš, svetovalka Pooblašcenca za preventivo
Grega Rudolf, študent
Matej Sironic, svetovalec Pooblašcenca za varstvo osebnih podatkov
Polonca Štrekelj, nadzornica pooblašcenca II
Mateja Telic, državna nadzornica
mag. Andrej Tomšic, namestnik informacijske pooblašcenke
OBLIKOVANJE:
Darko Mohar
Tomaž Brodgesell
LEKTORIRALA:
Katja Klopcic Lavrencic
Informacijski pooblašcenec Republike Slovenije
Dunajska cesta 22
1000 Ljubljana
www.ip-rs.si
gp.ip@ip-rs.si
ISSN 2670-5788
Ljubljana, maj 2021