
UVODNA BESEDA INFORMACIJSKE POOBLAŠCENKE
Spoštovani,
tudi leto 2022 so zaznamovale pomembne odlocitve in dokumenti na obeh delovnih podrocjih Informacijskega pooblašcenca. Na podrocju varstva osebnih podatkov je posebej odmevala odlocitev Ustavnega sodišca, v kateri je to ugotovilo neustavnost odlokov Vlade o nacinu ugotavljanja izpolnjevanja pogoja PCT, konec leta pa sprejem dolgo pricakovanega novega Zakona o varstvu osebnih podatkov (ZVOP-2). Na podrocju dostopa do informacij javnega znacaja je velik premik pomenil zacetek zakonodajnega postopka za ratifikacijo Konvencije Sveta Evrope o dostopu do uradnih dokumentov (Tromsř konvencija). Slovenija je kot zadnja država clanica Evropske unije (EU) sprejela predpis za celovito izvajanje Splošne uredbe in kot 14. država pristopila k pomembni evropski konvenciji za podrocje transparentnosti javnega sektorja. Gre za pomembno sporocilo zavezancem o pomenu transparentnosti, saj Informacijski pooblašcenec že vec let beleži izreden porast števila pritožb na tem podrocju.
Podatki o delu Informacijskega pooblašcenca v preteklem letu na obeh podrocjih kažejo, da posamezniki, novinarji in podjetja nadzorne organe, tudi Informacijskega pooblašcenca, sprejemajo kot pomembne sogovornike in partnerje pri uveljavljanju pravic. To potrjuje tako vnovicna rast skupnega števila pritožb v zvezi z zahtevami za dostop do informacij javnega znacaja kot tudi veliko število prijav in pobud za uvedbo inšpekcijskega nadzora, cezmejnih primerov ter pritožb glede uveljavljanja pravic posameznikov, Informacijski pooblašcenec pa je na obeh podrocjih prejel tudi veliko zaprosil za mnenja oz. pojasnila. 
ZVOP-2 je podrocje varstva podatkov spet postavil v ospredje in Informacijskemu pooblašcencu v celoti omogocil polno izvrševanje pristojnosti nadzora in izrekanja sankcij po Splošni uredbi. Ustavno sodišce je v zvezi s tem v zgoraj omenjeni odlocitvi potrdilo, da je vsako poseganje v pravico do varstva osebnih podatkov dopustno le kot rezultat demokraticnega procesa odlocanja, ki se lahko zagotovi le v Državnem zboru, ne more pa tega samovoljno delati Vlada.
Na podrocju transparentnosti delovanja države in ucinkovitosti dostopa do informacij javnega znacaja analiza podatkov, ki se nanaša na delovanje državnih institucij, kaže, da je še vedno veliko možnosti za izboljšave, zlasti se je v letu 2022 povecalo število pritožb zoper zavrnilne odlocbe, medtem ko je bila raven števila pritožb zoper molk organov primerljiva z letom 2021. Tudi v letu 2022 je Informacijski pooblašcenec najvec pritožb prejel zoper državne organe, spodbuden pa je podatek, da se je skupno število teh pritožb (tako zoper zavrnilne odlocitve kot zaradi molka organa) v primerjavi z letom 2021 zmanjšalo za 16 %. V letu 2022 se je nekoliko povecalo število pritožb zoper obcine, kar lahko pripišemo casu lokalnih volitev, ko je bilo na obcine zaradi povecanega interesa prosilcev vloženih vec zahtev. Iz statisticnih podatkov namrec izhaja, da je število pritožb zaradi molka obcin rahlo upadlo, kar kaže na to, da se odzivnost obcin ni zmanjšala, temvec se je že tretje leto zapored nekoliko izboljšala, kar je pozitiven kazalnik. Zmanjšalo se je tudi število pritožb zoper poslovne subjekte pod prevladujocim vplivom oseb javnega prava. Glede na še vedno zelo visoko skupno število pritožb pa ugotavljamo, da se je precej povecalo število pritožb zoper druge kategorije zavezancev, zlasti zoper javne zavode in druge osebe javnega prava. Ta skupina zavezancev se z zahtevami za dostop do informacij javnega znacaja ne srecuje zelo pogosto, zato ima omejeno poznavanje tega podrocja. Informacijski pooblašcenec pristojno Ministrstvo za javno upravo zato poziva, da tem zavezancem nameni vec pozornosti. Informacijski pooblašcenec je leta 2022 podal 275 pisnih odgovorov na zaprosila zavezancev, odgovoril pa je tudi na 838 zaprosil v okviru telefonskega dežurstva. Primere iz prakse redno objavlja na svoji spletni strani.
Na podrocju varstva osebnih podatkov je Informacijski pooblašcenec tudi v letu 2022 prejel veliko število prijav kršitev (skupaj 1030) in pritožb v zvezi z uveljavljanjem pravic posameznikov (skupaj 160). Žal pri obravnavi pritožb v zvezi z uveljavljanjem pravic posameznikov znova ugotavljamo, da je odzivnost upravljavcev pogosto neustrezna in da se marsikateri upravljavec ne zaveda svojih obveznosti, ki izhajajo iz ustavne pravice do seznanitve z lastnimi osebnimi podatki, v nekaterih primerih pa je pomanjkljiva tudi zakonska ureditev glede dopustnosti omejitev pravic posameznikov. Zato je med drugim tudi v tem delu Informacijski pooblašcenec v letu 2022 vložil zahtevo za presojo ustavnosti Zakona o preprecevanju pranja denarja in financiranja terorizma. 
Na podrocju inšpekcijskega nadzora se je znova pokazalo, kako nujno je transparentno obvešcanje o obdelavah. Najbolj množicne prijave so bile namrec povezane z vprašanji neustrezne seznanjenosti posameznikov s pravno podlago za obdelavo. Informacijski pooblašcenec je v letu 2022 prejel tudi 12 obvestil o kršitvah podatkov o pacientih na podlagi 46. clena Zakona o pacientovih pravicah ter 86 uradnih obvestil o kršitvi varnosti osebnih podatkov na podlagi 33. clena Splošne uredbe.
Informacijski pooblašcenec se zlasti v okviru clanstva v Evropskem odboru za varstvo podatkov (EOVP) odziva na številne in vse bolj kompleksne izzive varstva osebnih podatkov na ravni EU, ki potrjujejo, da si slednjega brez cezmejnega sodelovanja dejansko ni vec mogoce predstavljati. Tudi številne evropske zakonodajne pobude, na katere podaja mnenje tudi EOVP, so povezane z ucinkovitejšo izmenjavo osebnih podatkov med državami clanicami. Ena takih je npr. pobuda za zakonsko ureditev evropskega zdravstvenega podatkovnega prostora. Med odmevnimi primeri cezmejnega nadzora so bili v letu 2022 poleg že stalnih postopkov proti spletnim velikanom tudi postopki proti ponudnikom bancnih storitev ter proti spletnim ponudnikom razlicnih drugih storitev, kot so pretocne storitve in povezana vozila iz številnih držav clanic EU.
Pomemben delež aktivnosti Informacijskega pooblašcenca, ki je vsako leto vecji, je bil zato v letu 2022 posvecen cezmejnemu nadzornemu sodelovanju in aktivnostim v okviru EOVP v zvezi z upravljavci, ki izvajajo cezmejno obdelavo osebnih podatkov. Informacijski pooblašcenec je sodeloval v 368 postopkih cezmejnega sodelovanja po 60. in 61. clenu Splošne uredbe, kar pomeni 70-odstotno povecanje glede na leto 2021, pri cemer je v 182 na novo zacetih postopkih sodeloval kot zadevni nadzorni organ, v osmih primerih pa je bil vodilni nadzorni organ. 11 postopkov cezmejnega sodelovanja pa je sprožil Informacijski pooblašcenec, in sicer na podlagi prejete prijave oz. pritožbe. 
Informacijski pooblašcenec v svojih postopkih vsako leto znova ugotavlja, da vecina zavezancev želi delovati skladno z zakoni, a potrebujejo jasne predpise, pomoc in navodila. Sprejem ZVOP-2 je zato izredno pomemben in težko pricakovan korak v smeri zagotavljanja pravne varnosti in predvidljivosti zakonskih obveznosti. Praksa bo pokazala, ali je zakonodajalec z ZVOP-2 na jasen, predvidljiv ter s Splošno uredbo in Ustavo skladen nacin zadostil vsem tem zahtevam in nenazadnje tudi potrebam posameznikov in zavezancev. 
Informacijski pooblašcenec je zelo aktivno deloval tudi pri širjenju znanja: svetoval je 2.341 posameznikom in pravnim osebam, in sicer je izdal 876 pisnih mnenj ter prek telefona svetoval 1.465 zavezancem in posameznikom. Izvedel je tudi 53 pro bono predavanj. Od sprejema ZVOP-2 decembra 2022 se je Informacijski pooblašcenec posvetil prenovi vsebin na spletni strani ter pripravi smernic za zavezance in posameznike. Posebno pozornost je s preventivnimi aktivnostmi namenil izvajanju obveznosti zavezancev glede imenovanja pooblašcenih oseb za varstvo osebnih podatkov, z aktivnostmi za skladnost pri zastopnikih pacientovih pravic pa pravicam pacientov. V okviru skupne akcije nadzora v sodelovanju z drugimi nadzornimi organi je v okviru EOVP naslovil tudi temo uporabe storitev racunalništva v oblaku v javnem sektorju. Informacijski pooblašcenec je sodeloval tudi pri pripravi smernic in priporocil EOVP, med drugim glede pravice dostopa do lastnih podatkov, glede zavajajocih (temnih) vzorcev na družbenih omrežjih, glede uporabe prepoznave obraza s strani organov pregona ter glede sodelovanja nadzornih organov po 60. clenu Splošne uredbe.
Informacijski pooblašcenec bo tudi v letu 2023 aktivno pripravljal smernice in druga orodja, ki bodo tako zavezancem kot posameznikom pomagali k boljšemu poznavanju in uveljavljanju ZVOP-2 in vseh vidikov varstva podatkov v praksi. Zakonodajalca in predlagatelje predpisov bo z mnenji še naprej opozarjal na potrebo po jasnem, sorazmernem in predvidljivem zakonskem urejanju tega podrocja ter na pomembnost pravocasne izvedbe zakonodajnih ocen ucinkov, katerih namen je kakovostna in ustavno skladna priprava predpisov.
Predvsem pa si bo Informacijski pooblašcenec z ucinkovitim vodenjem pritožbenih in nadzornih postopkov, z aktivnim sodelovanjem z vsemi deležniki in z odprtostjo do posameznikov, podjetij ter vseh drugih organizacij tudi v letu 2023 na obeh podrocjih svojega delovanja prizadeval ucinkovito zavarovati obe pravici z odlicno ekipo strokovnjakov, ki je ob vseh izzivih v letu 2022 pokazala, kako predana je svojemu poslanstvu.



Mojca Prelesnik,
Informacijska pooblašcenka

STRNJEN PREGLED LETA 2022
DOSTOP DO INFORMACIJ JAVNEGA ZNACAJA
Na podrocju dostopa do informacij javnega znacaja je skupno število pritožbenih zadev v letu 2022 naraslo na 696 (v letu 2021 je Informacijski pooblašcenec obravnaval 639 pritožb).
Skupno število pritožb zaradi molka je bilo v letu 2022 nekoliko manjše (241) kot v letu 2021 (244). Razveseljivo je zlasti, da se je znova nekoliko zmanjšalo število pritožb zoper molk obcin (teh pritožb je bilo v letu 2022 45, v letu 2021 pa 46). Ob tem je spodbudna ugotovitev, da je upadlo skupno število pritožb zoper državne organe (skupaj 283 pritožb v letu 2022, leta 2021 jih je bilo 338), kljub temu pa so ti ostali skupina zavezancev, zoper katero je Informacijski pooblašcenec prejel najvec pritožb. Ugotavljamo, da se je v letu 2022 najbolj povecalo število pritožb zoper druge kategorije zavezancev, zlasti zoper javne zavode in druge osebe javnega prava. Ta skupina zavezancev se z zahtevami ne srecuje pogosto in ima omejeno poznavanje postopkovnih pravil, kar je pomembna ovira za ucinkovito posredovanje informacij javnega znacaja v praksi. Informacijski pooblašcenec je zato Ministrstvo za javno upravo pozval, naj tej skupini posveti vec pozornosti v obliki usposabljanj ter priprave ustreznih orodij (mnenj in smernic), ki bi jim olajšala obravnavo zahtev. V letu 2022 je Informacijski pooblašcenec vodil šest pritožbenih postopkov zoper poslovne subjekte pod prevladujocim vplivom, kar predstavlja manj kot 1 % vseh pritožbenih zadev. Informacijski pooblašcenec ugotavlja, da je število teh pritožb že vec let zelo majhno.
Na podrocju dostopa do informacij javnega znacaja je Informacijski pooblašcenec v letu 2022 prejel 275 pisnih zaprosil za mnenja ter 838 zaprosil za pojasnila v casu telefonskega dežurstva. Informacijski pooblašcenec je na tem podrocju pritožbeni organ, zato lahko zavezancem in javnosti svetuje le neformalno, na podlagi lastne prakse. Primere svoje prakse v ta namen redno objavlja na svoji spletni strani.
Informacijski pooblašcenec je vse od leta 2009 opozarjal na nujnost ratifikacije Konvencije Sveta Evrope o dostopu do uradnih dokumentov, saj je bila Slovenija v skupini prvih držav, ki so konvencijo podpisale na srecanju pravosodnih ministrov v Tromsu na Norveškem. Ratifikacija te konvencije v letu 2022 je zato dober znak za prihodnost glede pomena, ki ga država pripisuje vprašanjem transparentnosti. 
Informacijski pooblašcenec je na podlagi analize konkretnih primerov v letu 2022 vnovic zaznal povecanje pritožb, v katerih so se zavezanci pri zavrnitvi dostopa, pogosto neutemeljeno ali premalo argumentirano, sklicevali na zlorabo pravice. Zavezance zato opozarja, da mora zavrnitev zaradi obstoja zlorabe pravice vselej ostati skrajno sredstvo, ki ga je treba ustrezno argumentirati in konkretizirati ter pri tem upoštevati kriterije, ki jih je oblikovala sodna praksa. Informacijski pooblašcenec s ciljem kakovostnejše in ucinkovitejše obravnave zahtev na podlagi analize primerov iz leta 2022 tudi predlaga, da zavezanci kot uradne osebe za dostop do informacij javnega znacaja dolocijo le osebe, ki dobro poznajo podrocje dela zavezanca, upravni postopek in Zakon o dostopu do informacij javnega znacaja (ZDIJZ), ce je potrebno, pa naj tem osebam omogocijo dodatna izobraževanja.
VARSTVO OSEBNIH PODATKOV
Na podrocju varstva osebnih podatkov so se pri delu Informacijskega pooblašcenca tudi v letu 2022 pojavljale številne težave in izzivi zaradi pravne neurejenosti podrocja v Republiki Sloveniji. Zato je bistvenega pomena, da je bil decembra 2022 sprejet nov Zakon o varstvu osebnih podatkov (ZVOP-2), ki skupaj s Splošno uredbo o varstvu podatkov in Zakonom o varstvu osebnih podatkov na podrocju obravnavanja kaznivih dejanj (ZVOPOKD) predstavlja sklop sistemskih predpisov za podrocje varstva osebnih podatkov v Sloveniji. 
ZVOP-2 je zacel veljati 26. 1. 2023, zato Informacijski pooblašcenec tudi v letu 2022 zavezancem ni mogel izrekati sankcij za kršitve Splošne uredbe. Praksa bo pokazala, ali je pristop, ki ga je zakonodajalec z ZVOP-2 izbral za umestitev upravnih glob iz Splošne uredbe v slovenski pravni red, zakonsko vzdržen. Te sankcije se namrec do morebitne drugacne ureditve izrekajo kot globe za prekrške, in sicer v višini in razponih, kot jih doloca Splošna uredba. Usklajenost nacionalnih dolocb in izrecenih sankcij s Splošno uredbo pa je še posebej pomembna v okviru cezmejnih postopkov nadzora nad izvajanjem Splošne uredbe ter pri sodelovanju Informacijskega pooblašcenca v Evropskem odboru za varstvo osebnih podatkov (EOVP).
Informacijski pooblašcenec je v letu 2022 prejel 1030 prijav oz. pobud za uvedbo inšpekcijskega postopka in 160 pritožb zaradi kršitev pravic posameznikov. Poleg tega je prejel tudi 12 primerov nedovoljenega sporocanja ali druge nedovoljene obdelave osebnih podatkov o pacientih na podlagi 46. clena Zakona o pacientovih pravicah (ZPacP). V okviru pritožbenih postopkov zaradi kršitev pravic posameznikov je Informacijski pooblašcenec v letu 2022 obravnaval 81 pritožb posameznikov zaradi kršitev pravice do vpogleda v lastne osebne podatke po 15. clenu Splošne uredbe in odlocitve upravljavca v zvezi s tem, eno pritožbo zaradi kršitve pravice do popravka osebnih podatkov po 16. clenu Splošne uredbe in 22 pritožb zaradi kršitve pravice do izbrisa osebnih podatkov po 17. clenu Splošne uredbe. Poleg tega je prejel še 21 pritožb zoper kršitve upravljavcev v zvezi z uveljavljanjem pravic po ZVOPOKD, 27 pritožb zaradi kršitev pri uveljavljanju pravic pacientov po 41. clenu ZPacP, pet pritožb po 42. clenu ZPacP ter tri pritožbe zaradi kršitev upravljavca po 30. clenu ZVOP-1. Vse to kaže, da se posamezniki vse bolj zavedajo svojih pravic, na strani upravljavcev pa Informacijski pooblašcenec še vedno opaža precejšnje težave pri njihovem uresnicevanju.
Številnim prijavam so tudi v letu 2022 botrovale pomanjkljive informacije, podane posameznikom s strani upravljavcev, ki osebne podatke zbirajo. Upravljavci namrec posamezniku pogosto ne zagotovijo preglednih, razumljivih in lahko dostopnih informacij o obdelavi, kot jim to nalagata 12. in 13. clen Splošne uredbe. Prijave pa posamezniki (tudi zaradi nerazumevanja dolocb Splošne uredbe) vložijo zaradi nepoznavanja vseh razlogov za obdelavo, kar velja zlasti v primeru domnevne obdelave osebnih podatkov na podlagi privolitve posameznika, na katerega se osebni podatki nanašajo. Posamezniki (neredko pa tudi upravljavci) namrec ne vedo, da privolitev ni edina pravna podlaga za obdelavo osebnih podatkov. Prav tako številni upravljavci nimajo urejenih postopkov za obravnavo zahtevkov posameznika za uveljavljaje pravic ali pa takšne zahtevke preprosto ignorirajo in nanje ne odgovarjajo.
Podobno kot v preteklih obdobjih so bile tudi v letu 2022 ugotovljene kršitve pogosto posledica malomarnega ali neustreznega zagotavljanja varnosti podatkov ter namerne nezakonite obdelave s strani vodstva ali zaposlenih pri upravljavcih. Zlasti gre pri tem za nezakonite vpoglede v zbirke osebnih podatkov, nezakonito uporabo podatkov za namene neposrednega trženja ter neupraviceno izvajanje videonadzora v delovnih prostorih z namenom nadzora nad zaposlenimi. Pri obravnavi prijav v zvezi z izvajanjem videonadzora pa Informacijski pooblašcenec opaža zlasti problematiko izvajanja videonadzora znotraj delovnih prostorov ter videonadzora, ki ga posamezniki izvajajo iz svoje nepremicnine, npr. stanovanjske hiše.
Informacijski pooblašcenec je v letu 2022 prejel tudi 86 uradnih obvestil o kršitvi varnosti osebnih podatkov na podlagi 33. clena Splošne uredbe. Obvestila o kršitvi varnosti osebnih podatkov Informacijskemu pooblašcencu so se tudi v letu 2022 podobno kot v preteklih letih najpogosteje nanašala na nezakonito razkritje ali posredovanje osebnih podatkov nepooblašcenim ali napacnim osebam, nepooblašceno dostopanje do osebnih podatkov zaradi zlorabe pooblastil s strani zaposlenih ter na napade na informacijski sistem z izsiljevalskim virusom.
Informacijski pooblašcenec je v letu 2022 skupno svetoval 2341 posameznikom in pravnim osebam. Izdal je 876 pisnih mnenj, državni nadzorniki pa so svetovali tudi po telefonu: odgovorili so na 1465 klicev, povezanih z varstvom osebnih podatkov in pravicami posameznikov. Informacijski pooblašcenec je v letu 2022 izvedel tudi 53 brezplacnih predavanj za zavezance. Ob zamujanju s sprejemom ZVOP-2 je Informacijski pooblašcenec vec pozornosti namenil preventivnim aktivnostim za skladnost (t. i. privacy sweep), prenova in posodobitev smernic z razlicnih podrocij varstva osebnih podatkov pa bo, glede na sprejem ZVOP-2, brez dvoma glavna naloga v letu 2023. Posebno pozornost smo pri tem v letu 2022 posvecali pooblašcenim osebam za varstvo osebnih podatkov, saj smo ugotovili, da pomemben del zavezancev iz javnega sektorja še ni imenoval pooblašcene osebe. Informacijski pooblašcenec je zato izvedel preventivno aktivnost za skladnost, s katero je ugotovil, da je takšnih zavezancev 539. Te zavezance je pozval k imenovanju pooblašcene osebe in do konca leta 2022 je pooblašceno osebo imenovalo že vec kot 2951 zavezancev. Poleg tega je Informacijski pooblašcenec v aktivnostih za skladnost naslovil zastopnike pacientovih pravic, ki so bili pozvani k posredovanju informacij o upoštevanju dolžnosti glede zavarovanja posebnih vrst osebnih podatkov pri posredovanju po elektronski pošti, k porocanju o nedovoljenih obdelavah osebnih podatkov (46. clen ZPacP) in o uveljavljanju pravic pacientov, zlasti pravice do seznanitve z zdravstveno dokumentacijo. V sodelovanju z drugimi nadzornimi organi v okviru EOVP je bila izvedena tudi usklajena skupna akcija nadzora (ang. Coordinated enforcement action) na temo uporabe storitev racunalništva v oblaku v javnem sektorju, katere rezultat je bilo skupno porocilo na evropski ravni.
Na podrocju preventivnega delovanja je spodbuden podatek o povecanem številu zaprosil za mnenja na izdelane ocene ucinka po 36. clenu Splošne uredbe – število se je s šest v letu 2021 povecalo na 14 v letu 2022. Ocene ucinka so namrec izjemno pomembno in koristno orodje, s katerim se pravocasno naslovi in lahko tudi odpravi tveganja, ki bi jih po zacetku obdelave osebnih podatkov obvladovali z vecjimi stroški, angažmajem in potencialno tudi po že ugotovljenih kršitvah zakonodaje.
V tem kontekstu je v letu 2023 pricakovati pomemben napredek tudi pri dvigu kakovosti priprave predpisov in posledicno njihove skladnosti z Ustavo, in sicer v delu, v katerem urejajo kompleksne in obsežne obdelave osebnih podatkov. ZVOP-2 namrec v 24. clenu zahteva izdelavo take ocene ucinkov tudi za zakonodajne predloge, s katerimi se urejajo obdelave, za katere Splošna uredba zahteva izvedbo predhodne ocene ucinkov. Informacijski pooblašcenec nacrtuje pripravo ustreznih smernic, posledicno pa je pricakovati vec tovrstnih mnenj Informacijskega pooblašcenca. Informacijski pooblašcenec je sicer v letu 2022 podal 60 pisnih mnenj na pripombe predpisov, pri cemer vecina zakonodajnih predlogov ni vsebovala priloženih ocen ucinkov. Poleg tega je Informacijski pooblašcenec v letu 2022 vložil zahtevo za oceno ustavnosti Zakona o preprecevanju pranja denarja in financiranja terorizma. Ustavno sodišce pa je v letu 2022 odlocilo o zahtevi za oceno ustavnosti odlokov Vlade v zvezi z nacinom ugotavljanja izpolnjevanja pogojev PCT, ki jo je Informacijski pooblašcenec vložil leta 2021. Ustavno sodišce je sledilo Informacijskemu pooblašcencu in odlocilo, da je Vlada z Odlokom o nacinu ugotavljanja izpolnjevanja pogojev prebolevnosti, cepljenosti in testiranja v zvezi z nalezljivo boleznijo COVID-19 ter z Odlokom o zacasnih ukrepih za preprecevanje in obvladovanje okužb z nalezljivo boleznijo COVID-19 dolocila obdelavo osebnih podatkov, ne da bi bilo v zakonu doloceno, kateri podatki se smejo obdelovati ter za kakšen namen, kar pomeni, da sta odloka v neskladju z drugim odstavkom 38. clena Ustave RS. 
 
V okviru cezmejnega sodelovanja nadzornih organov za varstvo osebnih podatkov v državah clanicah EU in EGS (Islandija, Norveška in Lihtenštajn) po nacelu »vse na enem mestu«, ki ga predvideva Splošna uredba, je Informacijski pooblašcenec leta 2022 sodeloval v 368 postopkih sodelovanja po 60. clenu (postopek sodelovanja) in po 61. clenu Splošne uredbe (postopek medsebojne pomoci med nadzornimi organi). Na temelju postopkov dolocitve vodilnega in zadevnih nadzornih organov – postopek nadzora v cezmejnem primeru obdelave osebnih podatkov vodi t. i. vodilni organ, ki pri tem sodeluje z drugimi organi za varstvo osebnih podatkov – pa je Informacijski pooblašcenec leta 2022 aktivno sodeloval v 190 novo zacetih postopkih cezmejnega sodelovanja pri inšpekcijskem nadzoru nad podjetji, ki poslujejo cezmejno. Od tega je 11 postopkov cezmejnega sodelovanja sprožil Informacijski pooblašcenec na podlagi prejete prijave oz. pritožbe. 
V letu 2022 je bilo sprejetih tudi pet koncnih odlocitev EOVP, katerega clan je tudi Informacijski pooblašcenec, v postopkih spora. V primeru hotelirske družbe Accor z glavno ustanovitvijo v Franciji je EOVP v zavezujoci odlocitvi odlocil, da mora vodilni, Francoski nadzorni organ, pri izracunu globe upoštevati letni promet družbe za leto 2021 in da mora biti globa glede na resnost kršitev odvracalna. Vodilni nadzorni organ je posledicno zavezancu izrekel globo v višini 600.000 EUR. V primeru družbenega omrežja Instagram z glavno ustanovitvijo na Irskem se je postopek spora med drugim nanašal na pravne podlage, po katerih sme Instagram obdelovati podatke otrok, ter višino predlagane globe. Irski nadzorni organ je v svoji koncni odlocitvi po 60. clenu Splošne uredbe omrežju Instagram izrekel globo 405 milijonov EUR. Konec leta 2022 je odbor sprejel tudi tri zavezujoce odlocitve glede platform znotraj Meta Platforms Ireland Limited, in sicer zoper Facebook, Instagram in WhatsApp, ki so se nanašale predvsem na vprašanja zakonitosti uporabe podatkov uporabnikov platform za namen vedenjskega oglaševanja. Cezmejni primeri pa niso zadevali le omenjenih storitev spletnih velikanov, pac pa tudi neustrezna ravnanja z osebnimi podatki s strani raznolikih akterjev iz številnih držav clanic EU. 
V letu 2022 je pomembno sodbo v zvezi s cezmejnim sodelovanjem po Splošni uredbi sprejelo tudi Sodišce EU, ki je v zvezi z zahtevo za razveljavitev zavezujoce odlocitve EOVP odlocilo, da taka zahteva ni dopustna, saj ima vlagatelj, WhatsApp Ireland, pravne možnosti zoper koncno odlocitev pred irskimi sodišci, ta pa lahko relevantna vprašanja posredujejo v predhodno odlocanje Sodišcu EU. 
Sodelovanje v cezmejnih primerih zaradi kompleksnosti obravnavanih tem ter velikega števila primerov predstavlja vse vecji izziv, potrebni so dodatni resursi, tako financni kot kadrovski. Srecanja in s tem sodelovanje vseh nadzornih organov v okviru EOVP pa so bistveni za zagotavljanje doslednega izvajanja Splošne uredbe po vsej EU in za ucinkovit nadzor na podrocju varstva podatkov. 
Evropski odbor za varstvo podatkov in Evropski nadzornik za varstvo podatkov sta v letu 2022 sprejela tudi štiri skupna mnenja glede zakonskih predlogov na ravni EU, med drugim o predlogu Uredbe o evropskem zdravstvenem podatkovnem prostoru, v katerem sta oba krovna evropska nadzorna organa za podrocje varstva podatkov opozorila na številne pomanjkljivosti obstojecega predloga uredbe, s katero se skuša olajšati oblikovanje evropske zdravstvene unije in EU omogociti, da izkoristi možnosti izmenjave, uporabe in ponovne uporabe zdravstvenih podatkov. Nadzorni organi v zvezi s tem zlasti opozarjamo na nujnost usklajenosti predloga s Splošno uredbo ter na nevarnosti neustrezne ureditve tako primarne kot tudi sekundarne uporabe zdravstvenih podatkov s strani zunanjih uporabnikov za pravice posameznikov. Prav tako izpostavljamo, da s predlogom Evropski komisiji ne bi smeli prepustiti v odlocanje vsebin, ki imajo posledice za pravice posameznikov in so zakonska materija.
EOVP ves cas aktivno pristopa h grajenju enotnih rešitev izzivov, ki nastajajo zaradi razlik v nacionalnih procesnih pravilih v državah clanicah EU, in v letu 2022 je v ta namen pripravil smernice glede vodenja postopkov po 60. clenu. Prav tako je odbor v letu 2022 s smernicami in priporocili aktivno prispeval k razlagam številnih drugih dolocb Splošne uredbe, med drugim je pripravil smernice o pravici posameznika do seznanitve z lastnimi osebnimi podatki, smernice glede zavajajocih (temnih) vzorcev na družbenih omrežjih ter smernice glede uporabe prepoznave obraza s strani organov pregona.

Kazalo
1 O INFORMACIJSKEM POOBLAŠCENCU – POD SVOJO STREHO ZDRUŽUJE DOSTOP DO INFORMACIJ JAVNEGA ZNACAJA IN VARSTVO OSEBNIH PODATKOV.............................................................................................................11.1 NASTANEK IN OSEBNA IZKAZNICA INFORMACIJSKEGA POOBLAŠCENCA................................................................................................11.1.1 ORGANIZIRANOST................................................................................................5


1.2 KLJUCNA PODROCJA DELOVANJA IN PRISTOJNOSTI.............................7
1.3 FINANCNO POSLOVANJE V LETU 2022....................................................13


2 DOSTOP DO INFORMACIJ JAVNEGA ZNACAJA – V IMENU LJUDI IN ZA LJUDI.....................................................................................................................172.1 PRAVNA UREDITEV NA PODROCJU DOSTOPA DO INFORMACIJ JAVNEGA ZNACAJA..........................................................................................17
2.2 ŠTEVILO VLOŽENIH PRITOŽB IN REŠENIH ZADEV.................................212.2.1 PRITOŽBE ZOPER ZAVRNILNE ODLOCBE IN IZDANE ODLOCBE..............21
2.2.2 PRITOŽBE ZOPER MOLK...................................................................................23


2.3 ŠTEVILO VLOŽENIH TOŽB IN PREJETIH SODB.......................................25
2.4 STORJENI PREKRŠKI PO ZDIJZ, ZInfP IN ZMed.......................................25
2.5 IZBRANI PRIMERI NA PODROCJU DOSTOPA DO INFORMACIJ JAVNEGA ZNACAJA............................................................................................................25
2.6 AKTIVNOSTI IZOBRAŽEVANJA IN OZAVEŠCANJA...................................342.6.1 DAN PRAVICE VEDETI........................................................................................34
2.6.2 MEDNARODNO SODELOVANJE.......................................................................35


2.7 SPLOŠNA OCENA IN PRIPOROCILA.........................................................35


3 VARSTVO OSEBNIH PODATKOV – VARSTVO TEMELJNE CLOVEKOVE PRAVICE DO ZASEBNOSTI.................................................................................373.1 KONCEPT VARSTVA OSEBNIH PODATKOV V REPUBLIKI SLOVENIJI...37
3.2 NADZOR V LETU 2022................................................................................403.2.1 INŠPEKCIJSKI NADZOR.....................................................................................40
3.2.2 INŠPEKCIJSKI NADZOR V JAVNEM SEKTORJU............................................41
3.2.3 INŠPEKCIJSKI NADZOR V ZASEBNEM SEKTORJU......................................42
3.2.4 PRIJAVA KRŠITEV VARNOSTI OSEBNIH PODATKOV...................................43
3.2.5 PRAVICE POSAMEZNIKOV................................................................................44
3.2.6 SODELOVANJE PRI CEZMEJNIH INŠPEKCIJSKIH NADZORIH...................46
3.2.7 PREKRŠKOVNI POSTOPKI................................................................................50
3.2.8 IZBRANI PRIMERI OBDELAVE OSEBNIH PODATKOV...................................52


3.3 DRUGI UPRAVNI POSTOPKI......................................................................643.3.1 DOPUSTNOST IZVAJANJA BIOMETRIJSKIH UKREPOV...............................64
3.3.2 POVEZOVANJE ZBIRK OSEBNIH PODATKOV................................................64
3.3.3 PRENOS OSEBNIH PODATKOV V TRETJE DRŽAVE.....................................67
3.3.4 ZAHTEVA ZA OCENO USTAVNOSTI IN ZAKONITOSTI..................................68


3.4 PRIPRAVA MNENJ IN POJASNIL................................................................713.4.1 SPLOŠNA POJASNILA........................................................................................71
3.4.2 MNENJA NA PREDPISE......................................................................................71


3.5 SKLADNOST IN PREVENTIVA....................................................................733.5.1 OBVEZNOSTI UPRAVLJAVCEV.........................................................................74
3.5.2 PREVENTIVNE AKTIVNOSTI.............................................................................74
3.5.3 OCENE UCINKOV NA VARSTVO OSEBNIH PODATKOV...............................74
3.5.4 POOBLAŠCENE OSEBE ZA VARSTVO PODATKOV.......................................76
3.5.5 AKTIVNOSTI IZOBRAŽEVANJA IN OZAVEŠCANJA........................................77
3.5.6 PREVENTIVNE AKTIVNOSTI ZA SKLADNOST................................................79


3.6 MEDNARODNO SODELOVANJE................................................................803.6.1 SODELOVANJE V EVROPSKEM ODBORU ZA VARSTVO PODATKOV........80
3.6.2 SODELOVANJE V DRUGIH NADZORNIH TELESIH EVROPSKE UNIJE......85


3.7 SPLOŠNA OCENA STANJA VARSTVA OSEBNIH PODATKOV..................87




KLJUCNE BESEDE
ZDIJZ – Zakon o dostopu do informacij javnega znacaja
Splošna uredba – Splošna uredba o varstvu podatkov
ZVOP-1 – Zakon o varstvu osebnih podatkov
ZVOP-2 – Zakon o varstvu osebnih podatkov (veljavnost od 26. 1. 2023)
ZInfP – Zakon o Informacijskem pooblašcencu
ZVOPOKD – Zakon o varstvu osebnih podatkov na podrocju obravnavanja kaznivih dejanj 
ZUP – Zakon o splošnem upravnem postopku
ZMed – Zakon o medijih 
ZPacP – Zakon o pacientovih pravicah
ZPLD-1 – Zakon o potnih listinah 
ZOIzk-1 – Zakon o osebni izkaznici
ZEKom-2 – Zakon o elektronskih komunikacijah 
ZCKR – Zakon o centralnem kreditnem registru
ZPotK-2 – Zakon o potrošniških kreditih
ZBan-3 – Zakon o bancništvu
ZUstS – Zakon o Ustavnem sodišcu 
ZJN-3 – Zakon o javnem narocanju
ZIN – Zakon o inšpekcijskem nadzoru
ZP-1 – Zakon o prekrških
ZTP – Zakon o tajnih podatkih
ZNPPol – Zakon o nalogah in pooblastilih policije
ZNDM-2 – Zakon o nadzoru državne meje 
ZODPol – Zakon o organiziranosti in delu v policiji
ZSPJS – Zakon o sistemu plac v javnem sektorju
ZZPPZ – Zakon o zbirkah podatkov s podrocja zdravstvenega varstva 
ZRTVS-1 – Zakon o Radioteleviziji Slovenija
ZDUOP – Zakon o dodatnih ukrepih za omilitev posledic COVID-19
ZDavP-2 – Zakon o davcnem postopku
ZZ – Zakon o zavodih
ZUPJS – Zakon o uveljavljanju pravic iz javnih sredstev
ZDU-1 – Zakon o državni upravi
ZKP – Zakon o kazenskem postopku
ZPPDFT-2 – Zakon o preprecevanju pranja denarja in financiranja terorizma


1.1 NASTANEK IN OSEBNA IZKAZNICA INFORMACIJSKEGA POOBLAŠCENCA
Informacijski pooblašcenec je samostojen in neodvisen državni organ s pristojnostmi na podrocju dveh z Ustavo Republike Slovenije zavarovanih temeljnih clovekovih pravic, pravice dostopa do informacij javnega znacaja in pravice do varstva osebnih podatkov.
Državni zbor Republike Slovenije je 30. 11. 2005 sprejel Zakon o Informacijskem pooblašcencu (ZInfP), s katerim je bil 31. 12. 2005 ustanovljen nov samostojen in neodvisen državni organ. Zakon je združil dva organa, in sicer Pooblašcenca za dostop do informacij javnega znacaja, ki je imel že prej status neodvisnega organa, in Inšpektorat za varstvo osebnih podatkov, ki je deloval kot organ v sestavi Ministrstva za pravosodje. Informacijski pooblašcenec je tako postal državni nadzorni organ za varstvo osebnih podatkov. Delo je zacel 1. 1. 2006. 
ZInfP je v slovenski pravni red prinesel pomembne novosti. S tem zakonom je bil namrec ustanovljen nov državni organ, Informacijski pooblašcenec, ki ima številne pristojnosti tako na podrocju dostopa do informacij javnega znacaja kot tudi na podrocju varstva osebnih podatkov. Poleg dolocb, ki urejajo položaj in imenovanje Informacijskega pooblašcenca, ZInfP vsebuje tudi dolocbe o nadzornikih za varstvo osebnih podatkov, o nekaterih posebnostih postopka pred Informacijskim pooblašcencem ter nekatere prekrškovne dolocbe. Informacijski pooblašcenec je neodvisen in samostojen državni organ. Njegova neodvisnost je zagotovljena na dva nacina. Prvi je postopek imenovanja pooblašcenca kot funkcionarja, ki ga na predlog predsednika Republike Slovenije imenuje Državni zbor. Drugi nacin, ki omogoca predvsem financno neodvisnost, pa je, da se sredstva za delo zagotovijo v proracunu Republike Slovenije tako, da o tem odloca Državni zbor na predlog Informacijskega pooblašcenca.
V okviru reforme varstva osebnih podatkov v Evropski uniji (EU) ostaja neodvisnost Informacijskega pooblašcenca tudi temeljna zahteva za nadzorne organe skladno z Uredbo (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov, Splošna uredba) ter Direktivo (EU) 2016/680 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprecevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, in o prostem pretoku takih podatkov ter o razveljavitvi Okvirnega sklepa Sveta 2008/977/PNZ (Direktiva (EU) 2016/680). Direktiva (EU) 2016/680 je bila v slovenski pravni red prenesena z Zakonom o varstvu osebnih podatkov na podrocju obravnavanja kaznivih dejanj (ZVOPOKD), ki se je zacel uporabljati 31. 12. 2020. Splošna uredba pa je terjala sprejem novega Zakona o varstvu osebnih podatkov, s katerim bi se v Republiki Sloveniji zagotovilo celovito izvajanje navedene uredbe, vkljucno s sankcioniranjem kršitev. Novi Zakon o varstvu osebnih podatkov (ZVOP-2) je bil sprejet 15. 12. 2022 in se je zacel uporabljati 26. 1. 2023. 
Informacijski pooblašcenec tako kot nadzorni organ spremlja uporabo Splošne uredbe, ZVOP-2 in ZVOPOKD, da se zašcitijo temeljne pravice in svobošcine posameznikov v zvezi z obdelavo osebnih podatkov ter se olajša prost pretok osebnih podatkov v EU. Splošna uredba, ZVOP-2 in ZVOPOKD dolocajo naloge Informacijskega pooblašcenca kot nadzornega organa ter pri tem opredeljujejo njegova pooblastila. Z navedenimi predpisi je okrepljeno tudi sodelovanje med nadzornimi organi v EU, še posebej s sodelovanjem Informacijskega pooblašcenca v okviru Evropskega odbora za varstvo podatkov (EOVP).
Od 17. 7. 2014 Informacijskega pooblašcenca vodi pooblašcenka Mojca Prelesnik.

1 O INFORMACIJSKEM POOBLAŠCENCU – POD SVOJO STREHO ZDRUŽUJE DOSTOP DO INFORMACIJ JAVNEGA ZNACAJA IN VARSTVO OSEBNIH PODATKOV


1.1.1 ORGANIZIRANOST
Notranjo organizacijo in sistemizacijo delovnih mest, ki so potrebna za izvajanje nalog pri Informacijskem pooblašcencu, dolocata Akt o notranji organizaciji in sistemizaciji delovnih mest pri Informacijskem pooblašcencu ter njegova priloga Sistemizacija delovnih mest pri Informacijskem pooblašcencu. Sistemizacija delovnih mest je prilagojena nalogam Informacijskega pooblašcenca in delovnim procesom, ki potekajo pri njem, ter je oblikovana tako, da zagotavlja cim ucinkovitejšo izrabo cloveških virov. 
Informacijski pooblašcenec opravlja svoje naloge v naslednjih notranjih organizacijskih enotah:
•	kabinet Informacijskega pooblašcenca,
•	sektor za informacije javnega znacaja,
•	sektor za varstvo osebnih podatkov,
•	administrativno-tehnicna služba.
Organigram po delovnih podrocjih.
31. 12. 2022 je bil pri Informacijskem pooblašcencu zaposlen 1 funkcionar in 48 javnih uslužbencev. Izobrazbena struktura zaposlenih je razvidna iz preglednice.
Preglednica 1: Izobrazbena struktura zaposlenih pri Informacijskem pooblašcencu 31. 12. 2022.



1.2 KLJUCNA PODROCJA DELOVANJA IN PRISTOJNOSTI
Informacijski pooblašcenec svoje z zakonom dolocene naloge in pristojnosti opravlja na dveh podrocjih:
•	
na podrocju dostopa do informacij javnega znacaja in

•	
na podrocju varstva osebnih podatkov.


Na podrocju dostopa do informacij javnega znacaja, ki je urejeno z Zakonom o dostopu do informacij javnega znacaja (ZDIJZ), ima Informacijski pooblašcenec pristojnosti pritožbenega organa, kot jih doloca 2. clen ZInfP. To pomeni, da odloca o pritožbi prosilca, ce je zavezanec za dostop do informacij javnega znacaja:
1.	
zahtevo za dostop do informacij javnega znacaja zavrnil ali zavrgel;

2.	
na zahtevo ni odgovoril v predpisanem roku (je v molku); 

3.	
omogocil dostop v drugi obliki, kot jo je prosilec zahteval;

4.	
posredoval informacijo, ki je prosilec ni zahteval;

5.	
neupraviceno zaracunal stroške za posredovanje informacij ali pa je zaracunal previsoke stroške;

6.	
ni ugodil zahtevi za umik stopnje tajnosti s podatkov, ki so s stopnjo tajnosti oznaceni v nasprotju z zakonom, ki ureja tajne podatke;

7.	
zavrnil, zavrgel ali ni odgovoril na zahtevo za ponovno uporabo informacij javnega znacaja.


Informacijski pooblašcenec je pristojen tudi za vodenje evidence vseh podeljenih izkljucnih pravic na podrocju ponovne uporabe informacij javnega znacaja (peti odstavek 36.a clena ZDIJZ).

Na podrocju dostopa do informacij javnega znacaja Informacijskemu pooblašcencu pristojnosti podeljuje tudi Zakon o medijih (ZMed) (45. clen). Po ZMed se zavrnilni odgovor zavezanca na vprašanje, ki ga zastavi predstavnik medija, šteje kot zavrnilna odlocba. Molk zavezanca ob takem vprašanju je razlog za pritožbo, o kateri odloca Informacijski pooblašcenec po dolocbah ZDIJZ. 
Informacijski pooblašcenec je v primeru kršitev dolocb ZDIJZ in ZMed tudi prekrškovni organ. 
Kljucen predpis s podrocja varstva osebnih podatkov v EU je Splošna uredba o varstvu podatkov (Splošna uredba), ki se uporablja neposredno v vseh državah EU od 25. 5. 2018. Zacetek uporabe Splošne uredbe je terjal sprejetje novega Zakona o varstvu osebnih podatkov (ZVOP-2), da bi se zagotovilo izvajanje Splošne uredbe. ZVOP-2 je bil sprejet 15. 12. 2022 in se je zacel uporabljati 26. 1. 2023.
Splošna uredba doloca naloge Informacijskega pooblašcenca kot nadzornega organa v 57. clenu. Informacijski pooblašcenec:
a.	
spremlja in zagotavlja uporabo te uredbe;

b.	
spodbuja ozavešcenost in razumevanje javnosti o tveganjih, pravilih, zašcitnih ukrepih in pravicah v zvezi z obdelavo osebnih podatkov; posebna pozornost se posveti dejavnostim, ki so namenjene izrecno otrokom;

c.	
v skladu s pravom države clanice svetuje nacionalnemu parlamentu, vladi ter drugim institucijam in organom o zakonodajnih in upravnih ukrepih v zvezi z varstvom pravic in svobošcin posameznikov pri obdelavi osebnih podatkov;

d.	
spodbuja ozavešcenost upravljavcev in obdelovalcev glede njihovih obveznosti na podlagi te uredbe;

e.	
vsakemu posamezniku, na katerega se nanašajo osebni podatki, na zahtevo zagotovi informacije o uresnicevanju njegovih pravic na podlagi te uredbe in v ta namen, ce je ustrezno, sodeluje z nadzornimi organi v drugih državah clanicah;

f.	
obravnava pritožbe, ki jih vloži posameznik, na katerega se nanašajo osebni podatki, oz. v skladu z 80. clenom telo, organizacija ali združenje, v ustreznem obsegu preuci vsebino pritožbe in v razumnem roku obvesti pritožnika o poteku in rezultatu preiskave, zlasti ce je potrebna nadaljnja preiskava ali usklajevanje z drugim nadzornim organom;

g.	
sodeluje z drugimi nadzornimi organi, med drugim z izmenjavo informacij, in jim zagotavlja medsebojno pomoc, da se zagotovi doslednost pri uporabi in izvajanju te uredbe;

h.	
izvaja preiskave o uporabi te uredbe, tudi na podlagi informacij, ki jih prejme od drugega nadzornega organa ali drugega javnega organa;

i.	
spremlja razvoj na zadevnem podrocju, kolikor vpliva na varstvo osebnih podatkov, predvsem razvoj informacijskih in komunikacijskih tehnologij ter trgovinskih praks;

j.	
sprejema standardna pogodbena dolocila iz osmega odstavka 28. clena in tocke (d) drugega odstavka 46. clena;

k.	
vzpostavi in vzdržuje seznam v zvezi z zahtevo po oceni ucinka v zvezi z varstvom osebnih podatkov v skladu s cetrtim odstavkom 35. clena;

l.	
svetuje glede dejanj obdelave iz drugega odstavka 36. clena;

m.	
spodbuja pripravo kodeksov ravnanja v skladu s prvim odstavkom 40. clena ter poda mnenje in v skladu s petim odstavkom 40. clena odobri take kodekse ravnanja, ki zagotavljajo zadostne zašcitne ukrepe;

n.	
spodbuja vzpostavitev mehanizmov potrjevanja za varstvo podatkov ter pecatov in oznacb za varstvo podatkov v skladu s prvim odstavkom 42. clena in odobri merila potrjevanja v skladu s petim odstavkom 42. clena;

o.	
kadar je ustrezno, izvaja redne preglede potrdil, izdanih v skladu s sedmim odstavkom 42. clena;

p.	
oblikuje in objavi merila za pooblastitev telesa za spremljanje kodeksov ravnanja v skladu z 41. clenom in organa za potrjevanje v skladu s 43. clenom;

q.	
opravi pooblastitev telesa za spremljanje kodeksov ravnanja v skladu z 41. clenom in organa za potrjevanje v skladu s 43. clenom;

r.	
odobri pogodbena dolocila in dolocbe iz tretjega odstavka 46. clena;

s.	
odobri zavezujoca poslovna pravila v skladu s 47. clenom;

t.	
prispeva k dejavnostim Evropskega odbora za varstvo podatkov;

u.	
hrani notranjo evidenco kršitev te uredbe in sprejetih ukrepov v skladu z drugim odstavkom 58. clena ter

v.	
opravlja vse druge naloge, povezane z varstvom osebnih podatkov.


Skladno s tretjim odstavkom 55. clena Splošne uredbe Informacijski pooblašcenec ni pristojen za nadzor dejanj obdelave sodišc, kadar delujejo kot sodni organ. Splošna uredba doloca tudi pooblastila nadzornih organov, ki jih lahko uporabijo pri izvajanju svojih pristojnosti (preiskovalna pooblastila, popravljalna pooblastila ter pooblastila v zvezi z dovoljenji in svetovalnimi pristojnostmi). 
Glede na to, da se je novi Zakon o varstvu osebnih podatkov (ZVOP-2) pricel uporabljati šele 26. 1. 2023, se je poleg dolocb Splošne uredbe leta 2022 še vedno uporabljal Zakon o varstvu osebnih podatkov (ZVOP-1), in sicer tiste njegove dolocbe, ki jih uredba ne ureja in ki z njo niso v nasprotju, ter relevantne dolocbe 2. clena ZInfP, npr.:
1.	
opravljanje inšpekcijskega nadzora nad izvajanjem dolocb ZVOP-1 in drugih predpisov, ki urejajo varstvo ali obdelavo osebnih podatkov, tj. obravnavanje prijav, pritožb, sporocil in drugih vlog, v katerih je izražen sum kršitve zakona, ter opravljanje preventivnega inšpekcijskega nadzora pri upravljavcih osebnih podatkov s podrocja javnega in zasebnega sektorja (pristojnost je dolocena v 2. clenu ZInfP);

2.	
odlocanje o pritožbi posameznika, kadar upravljavec osebnih podatkov ne ugodi zahtevi posameznika glede njegove pravice do seznanitve z zahtevanimi podatki, do izpisov, seznamov, vpogledov, potrdil, informacij, pojasnil, prepisovanja ali kopiranja po dolocbah zakona, ki ureja varstvo osebnih podatkov (pristojnost je dolocena v 2. clenu ZInfP); 

3.	
vodenje postopkov o prekrških s podrocja varstva osebnih podatkov (hitri postopek);

4.	
vodenje upravnih postopkov za izdajo dovoljenj za povezovanje javnih evidenc in javnih knjig, kadar katera od zbirk osebnih podatkov, ki naj bi se jih povezalo, vsebuje obcutljive osebne podatke ali pa je za izvedbo povezovanja potrebna uporaba istega povezovalnega znaka, npr. EMŠO ali davcne številke (84. clen ZVOP-1); 

5.	
vodenje upravnih postopkov za izdajo ugotovitvenih odlocb o tem, ali je nameravana uvedba biometrijskih ukrepov v zasebnem sektorju v skladu z dolocbami ZVOP-1 (80. clen ZVOP-1); 

6.	
dajanje predhodnih mnenj ministrstvom, državnemu zboru, organom samoupravnih lokalnih skupnosti, drugim državnim organom ter nosilcem javnih pooblastil o usklajenosti dolocb predlogov zakonov ter ostalih predpisov z zakoni in drugimi predpisi, ki urejajo osebne podatke (48. clen ZVOP-1);

7.	
sodelovanje z državnimi organi, pristojnimi organi EU za varstvo posameznikov pri obdelavi osebnih podatkov, mednarodnimi organizacijami, tujimi nadzornimi organi za varstvo osebnih podatkov, zavodi, združenji, nevladnimi organizacijami s podrocja varstva osebnih podatkov ali zasebnosti ter drugimi organizacijami in organi glede vseh vprašanj, ki so pomembna za varstvo osebnih podatkov (47. clen ZVOP-1).


Cilj novega ZVOP-2 je bil med drugim zagotoviti ucinkovit nadzor glede varstva osebnih podatkov ter zagotoviti ucinkovito prekrškovno kaznovanje kršitev varstva osebnih podatkov. Informacijski pooblašcenec ostaja po ZVOP-2 nadzorni organ za varstvo osebnih podatkov, in sicer je pristojen za nadzor varstva osebnih podatkov za vse obdelave osebnih podatkov v Republiki Sloveniji, razen npr. kadar gre za nadzor in izrekanje sankcij glede obdelav osebnih podatkov, izvršenih pri izvajanju sodne oblasti sodišc in Ustavnega sodišca Republike Slovenije. Informacijski pooblašcenec prav tako ni pristojen za obdelave osebnih podatkov s strani stecajnih upraviteljev, izvršiteljev, sodnih tolmacev, sodnih izvedencev in sodnih cenilcev v zadevah, pri katerih delujejo po postopkih v okviru izvajanja zadeve sodišca. Dolocene pa so tudi nekatere omejitve pri izvajanju nadzorov, npr. na podrocju obvešcevalno-varnostne dejavnosti in pri izvajanju nadzora pri Varuhu clovekovih pravic.
S sprejemom ZVOP-2 je Informacijskemu pooblašcencu omogoceno tudi izrekanje glob za kršitve Splošne uredbe. 95. clen ZVOP-2 doloca, da se sankcije za kršitve, ki jih predpisuje Splošna uredba, izrekajo pravnim osebam, samostojnim podjetnikom posameznikom in posameznikom, ki samostojno opravljajo dejavnost, kot globe za prekrške v višini in razponih, ki jih doloca Splošna uredba. Dodatno ZVOP-2 opredeljuje tudi globe za odgovorne osebe in posameznike.
Informacijski pooblašcenec izvaja tudi pristojnosti skladno z Zakonom o varstvu osebnih podatkov na podrocju obravnavanja kaznivih dejanj (ZVOPOKD), ki je v slovenski pravni red prenesel Direktivo (EU) 2016/680 in Direktivo (EU) 2016/681 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o uporabi podatkov iz evidence podatkov o potnikih (PNR) za preprecevanje, odkrivanje, preiskovanje in pregon teroristicnih in hudih kaznivih dejanj v delu, ki se nanaša na položaj in naloge pooblašcenih oseb za varstvo osebnih podatkov. Skladno z ZVOPOKD Informacijski pooblašcenec deluje kot pritožbeni, inšpekcijski in prekrškovni organ, in sicer skrbi za enotno uresnicevanje ukrepov na podrocju varstva osebnih podatkov po dolocbah ZVOPOKD, tako da se zašcitijo clovekove pravice in temeljne svobošcine posameznikov v zvezi z obdelavo osebnih podatkov ter se omogoci prost pretok osebnih podatkov med državami clanicami Evropske unije v skladu z dolocbami ZVOPOKD. Pristojnosti Informacijskega pooblašcenca so skladno s 76. clenom ZVOPOKD naslednje:
1.	
izvajanje inšpekcijskega nadzora nad izvajanjem dolocb ZVOPOKD in drugih zakonov, podzakonskih predpisov ali drugih splošnih aktov za izvrševanje javnih pooblastil glede obdelav osebnih podatkov s podrocij preprecevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij;

2.	
odlocanje v pritožbenem postopku ter v postopkih prijav prijaviteljev s posebnim položajem in izvajanje inšpekcijskega nadzora;

3.	
dajanje predhodnih mnenj ministrstvom, državnemu zboru, organom samoupravnih lokalnih skupnosti, drugim državnim organom in nosilcem javnih pooblastil o usklajenosti dolocb predlogov zakonov ter ostalih predpisov z zakoni in drugimi predpisi, ki urejajo osebne podatke s podrocij preprecevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij;

4.	
izvajanje predhodnega posvetovanja;

5.	
dajanje neobveznih mnenj, pojasnil in stališc pristojnim organom in posameznikom o vprašanjih glede varstva osebnih podatkov v zvezi z zakoni in z njimi povezanimi predpisi na podrocjih obravnavanja kaznivih dejanj;

6.	
spodbujanje ozavešcenosti in razumevanja javnosti o tveganjih, pravilih, zašcitnih ukrepih in pravicah v zvezi z obdelavo;

7.	
spodbujanje ozavešcenosti pristojnih organov, drugih upravljavcev in obdelovalcev o njihovih obveznostih na podlagi tega zakona;

8.	
sodelovanje z nadzornimi organi drugih držav ali mednarodnih organizacij;

9.	
sodelovanje pri delovanju Evropskega odbora za varstvo osebnih podatkov;

10.	
priprava letnega porocila o izvajanju zakona v skladu z dolocbami zakonov, ki urejata Informacijskega pooblašcenca in varstvo osebnih podatkov;

11.	
obvešcanje pristojnega sodišca o kršitvah zakona oz. posredovanje mnenja sodišcu o ugotovljenih kršitvah;

12.	
sodelovanje s pristojnimi organi, drugimi upravljavci in obdelovalci pri izvajanju nadzorov v skladu z dolocbami ZVOPOKD;

13.	
priprava obrazcev, ki olajšajo postopek vložitve prijav, pritožb, sporocil, pobud in drugih vlog v postopku inšpekcijskega nadzora glede varstva osebnih podatkov iz 27., 33. in 40. clena tega zakona;

14.	
izvajanje drugih nalog, dolocenih s tem zakonom.


Skladno s prvim odstavkom 77. clena ZVOPOKD pa Informacijski pooblašcenec ni pristojen za izvajanje nadzora in za prekrškovni nadzor glede obdelav osebnih podatkov, ki se obdelujejo v kazenskih zadevah sodišca, izvedenih v okviru neodvisnega sodniškega odlocanja ali odlocanja strokovnih sodelavcev ali sodniških pomocnikov po odredbi sodnika, kot to opredeljuje zakon, ki ureja sodišca, ali po dolocbah drugih zakonov, ki dolocajo njihovo samostojno delovanje. 
Informacijski pooblašcenec ima pristojnosti še po Zakonu o pacientovih pravicah (ZPacP), Zakonu o potnih listinah (ZPLD-1), Zakonu o osebni izkaznici (ZOIzk-1), Zakonu o elektronskih komunikacijah (ZEKom-2), Zakonu o centralnem kreditnem registru (ZCKR) in Zakonu o potrošniških kreditih (ZPotK-2).
Na podlagi ZPacP Informacijski pooblašcenec deluje kot pritožbeni, inšpekcijski in prekrškovni organ. 
V okviru pritožbenih postopkov Informacijski pooblašcenec:
-	
na podlagi desetega odstavka 41. clena ZPacP odloca o pritožbah pacientov in drugih upravicenih oseb ob kršitvi dolocbe, ki ureja nacin seznanitve z zdravstveno dokumentacijo; 

-	
na podlagi petega odstavka 42. clena ZPacP odloca o pritožbi v zakonu opredeljenih oseb zoper delno ali v celoti zavrnjeno zahtevo za seznanitev z zdravstveno dokumentacijo po pacientovi smrti; 

-	
na podlagi sedmega odstavka 45. clena ZPacP odloca o pritožbi upravicenih oseb zoper delno ali v celoti zavrnjeno zahtevo za seznanitev, ki se nanaša na dolžnost varovanja informacij o zdravstvenem stanju pacienta, vendar le, ce gre za informacije, ki izvirajo iz zdravstvene dokumentacije.


V skladu s cetrtim odstavkom 85. clena ZPacP Informacijski pooblašcenec izvaja inšpekcijski nadzor in vodi prekrškovne postopke zaradi kršitev naslednjih dolocb ZPacP:
-	
44. clena, ki opredeljuje pravico pacienta do zaupnosti osebnih podatkov ter pogoje za uporabo in drugo obdelavo osebnih podatkov za potrebe zdravljenja ali izven postopkov zdravstvene obravnave; 

-	
45. clena, ki doloca dolžnost varovanja poklicne skrivnosti oz. varovanja informacij o zdravstvenem stanju pacienta; 

-	
46. clena, ki izvajalcem zdravstvene dejavnosti nalaga izvedbo preiskave vsake zaznane nedovoljene obdelave osebnih podatkov o pacientu in obvešcanje Informacijskega pooblašcenca o ugotovitvah;

-	
drugega odstavka 63. clena, ki doloca nacin in rok hrambe dokumentacije, nastale v postopku z zahtevo za obravnavo kršitve pacientovih pravic;

-	
68. clena, ki doloca pogoje dostopa do zdravstvene dokumentacije pacienta s strani Komisije RS za varstvo pacientovih pravic.


Globe za kršitve 46., 63. in 68. clena so dolocene v 87. clenu ZPacP, za druge prekrške se upoštevajo prekrškovne dolocbe ZVOP-1 oz. ZVOP-2. 
Pristojnosti Informacijskega pooblašcenca po ZPLD-1 in ZOIzk-1 so omejene na dolocbe, ki dolocajo, v kakšnih primerih in na kakšen nacin lahko upravljavci osebnih podatkov kopirajo potne listine oz. osebne izkaznice ter nacin hrambe kopij (4. clen ZOIzk-1 in 4.a clen ZPLD-1). Informacijski pooblašcenec v zvezi z navedenimi dolocbami opravlja naloge inšpekcijskega in prekrškovnega organa, pri cemer o prekršku odloca v skladu s 27. clenom ZOIzk-1 in 34.b clenom ZPLD-1.
ZEKom-2 doloca pristojnosti Informacijskega pooblašcenca v 229. clenu, in sicer Informacijski pooblašcenec:
-	
izvaja inšpekcijski nadzor nad izvajanjem dolocb 216. clena ZEKom-2, ki ureja notranje postopke o odzivanju na zahteve pristojnih organov za dostop do osebnih podatkov uporabnikov na podlagi podrocnih zakonov;

-	
najmanj enkrat letno opravlja inšpekcijski nadzor nad obdelavo podatkov iz 220. clena ZEKom-2, ki doloca pogoje in postopke za posredovanje prometnih in lokacijskih podatkov v primerih varovanja življenja in telesa posameznika;

-	
izvaja inšpekcijski nadzor nad izvajanjem dolocb 223. clena ZEKom-2, ki ureja sledenje zlonamernih ali nadležnih klicev na pisno zahtevo posameznika, ki klice prejema, in postopke glede posredovanja podatkov, ki razkrijejo identiteto klicocega;

-	
izvaja inšpekcijski nadzor nad izvajanjem dolocb 225. clena ZEKom-2, ki ureja shranjevanje podatkov ali pridobivanje dostopa do podatkov, shranjenih v terminalski opremi narocnika ali uporabnika s pomocjo piškotkov in podobnih tehnologij.


Na podrocju, ki ga nadzoruje, Informacijski pooblašcenec odloca o prekrških za kršitve ZEKom-2 in na njegovi podlagi izdanih predpisov, in sicer kot prekrškovni organ v skladu z zakonom, ki ureja prekrške (298. do 303. clen ZEKom-2).
ZCKR ureja vzpostavitev centralnega kreditnega registra kot osrednje nacionalne zbirke podatkov o zadolženosti fizicnih oseb in poslovnih subjektov. Del tega registra je tudi sistem izmenjave informacij o zadolženosti posameznih fizicnih oseb, poznan kot SISBON. Tako register kot sistem izmenjave informacij upravlja Banka Slovenije (drugi odstavek 3. clena ZCKR). V skladu s 26. clenom ZCKR Banka Slovenije v zvezi z vzpostavitvijo in upravljanjem sistema izmenjave informacij doloci tehnicne pogoje, ki jih morajo izpolnjevati clani sistema in vkljuceni dajalci kreditov za clanstvo oz. vkljucitev v sistem izmenjave informacij ter za zagotavljanje zaupnosti podatkov, ki se zbirajo v sistemu izmenjave informacij. Pred dolocitvijo teh aktov Banka Slovenije pridobi mnenje Informacijskega pooblašcenca, ki izvaja inšpekcijski nadzor v zvezi z zbiranjem in obdelavo osebnih podatkov v centralnem kreditnem registru in sistemu izmenjave informacij v skladu z ZVOP-2. V skladu z 31. clenom ZCKR Informacijski pooblašcenec z namenom preprecevanja in odvracanja ravnanj, ki pomenijo nezakonito obdelavo osebnih podatkov, javno objavi informacije v zvezi z ukrepi nadzora in sankcijami zaradi prekrška, ki jih je izrekel. 
ZPotK-2 v 78. clenu ohranja leta 2013 dodeljeno pristojnost Informacijskega pooblašcenca v zvezi z izvajanjem nadzora nad dajalci kreditov in kreditnimi posredniki glede izvajanja 10. in 42. clena v delu, ki se nanaša na informiranje, zbiranje in obdelavo osebnih podatkov pri izvedbi ocene kreditne sposobnosti potrošnika, ki jo mora dajalec kredita opraviti pred sklenitvijo kreditne pogodbe in pred sklenitvijo kreditne pogodbe za nepremicnino, ter 11. in 44. clena ZPotK-2, ki dolocata dostop do osebnih podatkov iz sistema izmenjave informacij o boniteti oz. zadolženosti fizicnih oseb in zavarovanje teh podatkov. Globe, ki jih lahko Informacijski pooblašcenec izrece za kršitve clenov, ki jih nadzira, so dolocene v 96. clenu ZPotK-2. 
Informacijski pooblašcenec lahko v skladu s 6. alinejo prvega odstavka 23.a clena Zakona o ustavnem sodišcu (ZUstS) z zahtevo zacne postopek za oceno ustavnosti oz. zakonitosti predpisa ali splošnega akta, izdanega za izvrševanje javnih pooblastil, ce se pojavi vprašanje ustavnosti ali zakonitosti v zvezi s postopkom, ki ga vodi. 
Pristojnosti Informacijskega pooblašcenca opredeljujejo tudi pravila Schengenskega informacijskega sistema (in druga generacija sistema, t. i. SIS II), ki nacionalnim organom kazenskega pregona ter pravosodnim in upravnim organom omogocajo izmenjavo in dostop do podatkov o prestopu zunanjih meja in vizumski politiki, v sistem pa so poleg tega vkljuceni tudi podatki o evropskem zapornem nalogu, izrocitvi, biometrijski podatki in podatki o iskanju zaradi teroristicnih aktivnosti. Pravni okvir SIS II vkljucuje: Uredbo (ES) št. 1987/2006 Evropskega parlamenta in Sveta z dne 20. decembra 2006 o vzpostavitvi, delovanju in uporabi druge generacije schengenskega informacijskega sistema (SIS II); Sklep Sveta 2007/533/PNZ z dne 12. junija 2007 o vzpostavitvi, delovanju in uporabi druge generacije schengenskega informacijskega sistema (SIS II) in Uredbo (ES) št. 1986/2006 Evropskega parlamenta in Sveta z dne 20. decembra 2006 o dostopu služb držav clanic, pristojnih za izdajo potrdil o registraciji vozil, do druge generacije schengenskega informacijskega sistema (SIS II). Informacijski pooblašcenec na podlagi 60. clena Sklepa Sveta 2007/533/PNZ ter 44. clena Uredbe (ES) št. 1987/2006 nadzira zakonitost obdelave osebnih podatkov v SIS II na svojem ozemlju in pri prenosu s svojega ozemlja, vkljucno z izmenjavo in nadaljnjo obdelavo dopolnilnih podatkov.
Pristojnosti Informacijskega pooblašcenca.


1.3 FINANCNO POSLOVANJE V LETU 2022
Financna sredstva za delo Informacijskega pooblašcenca se v skladu s 5. clenom ZInfP zagotavljajo iz državnega proracuna in jih doloci Državni zbor RS na predlog Informacijskega pooblašcenca.
Za izvajanje svojih nalog je imel Informacijski pooblašcenec za leto 2022 veljavni proracun na integralnih postavkah 2.501.202,00 EUR, od tega na postavki place 2.087.131,00 EUR, na postavki materialni stroški 382.071,00 EUR in na postavki investicije 32.000,00 EUR. Evidentiranih odredb na integralnih postavkah je bilo na dan 31. 12. 2022 2.441.371,64 EUR, od tega na postavki place 2.068.245,67 EUR, na postavki materialni stroški 341.985,14 EUR in na postavki investicije 31.140,83 EUR.
Proracun Informacijskega pooblašcenca 2018–2022.
Informacijski pooblašcenec je v letu 2022 razpolagal z namenskimi sredstvi v višini 7.317,92 EUR. Porabe namenskih sredstev v letu 2022 ni bilo. 
V proracun leta 2023 je Informacijski pooblašcenec prenesel skupaj 7.321,05 EUR namenskih sredstev in sredstev donacij, ki so bile financirane s strani Evropske unije (7.317,92 EUR namenskih sredstev, 0,14 EUR donacije – mednarodna spletna stran in 2,99 EUR financnih sredstev projekta Taiex).
Na proracunsko postavko 7640 – Rezerva Republike Slovenije v letu 2022 ni bilo prenesenih sredstev z integralnih proracunskih postavk zaradi namena zagotavljanja pravic porabe za oblikovanje in uporabo sredstev proracunske rezerve. 
Podrobnejši pregled prejetih, porabljenih in neporabljenih financnih sredstev po posameznih postavkah je razviden iz spodnje tabele.
Proracun Informacijskega pooblašcenca 2022.
Za materialne stroške je bilo leta 2022 porabljenih 341.985,14 EUR, in sicer za pisarniški in splošni material in storitve 52.338,59 EUR (pisarniški material, cišcenje poslovnih prostorov, storitve varovanja zgradb in prostorov, spremljanje medijev in arhiviranje, stroški prevajalskih storitev in lektoriranja, reprezentanca, revizija, tekoci obratovalni stroški ter drugi splošni material in storitve), za posebni material in storitve 2.499,22 EUR (nakup drobnega inventarja, zdravniški pregledi zaposlenih, strokovne naloge s podrocja varstva pri delu, testi in maske za COVID-19, paketno zavarovanje odgovornosti ter drugi posebni material in storitve), za energijo, vodo, komunalne storitve, pošto in komunikacijo 52.027,06 EUR (elektricna energija, ogrevanje, voda in komunalne storitve, odvoz smeti, stroški telefonov ter poštne storitve), za prevozne stroške in storitve 6.656,03 EUR (vzdrževanje, popravila, zavarovanje in registracija dveh službenih vozil, gorivo za službeni vozili, taksi storitve ter drugi prevozni in transportni stroški), za izdatke za službena potovanja 17.443,22 EUR (stroški, povezani s službenimi potovanji zaposlenih, dnevnice, nocnine, letalske karte, hotelske storitve in drugi stroški prevozov), za tekoce vzdrževanje 7.474,77 EUR (tekoce vzdrževanje, povezano z najemom poslovnih prostorov, zavarovalne premije, vzdrževanje druge nelicencne programske opreme – evidence prisotnosti, tekoce vzdrževanje operativnega informacijskega okolja – vzdrževanje spletnega mesta), za poslovne najemnine in zakupnine 155.609,51 EUR (najemnina in zakupnine za poslovne objekte in parkirne prostore, najem programske racunalniške opreme – IUS-INFO in prekrškovni portal ter druge najemnine, zakupnine in licencnine – najem dveh fotokopirnih strojev in licenc), za druge operativne odhodke pa je bilo porabljenih 47.936,74 EUR (stroški konferenc in seminarjev, placilo dela študentov, izdatki za strokovno izobraževanje zaposlenih, sodni stroški, letne clanarine, prispevki za spodbujanje zaposlovanja invalidov – kvote Javnemu jamstvenemu, preživninskemu in invalidskemu skladu). Informacijski pooblašcenec je prejel z naslova refundacij potnih stroškov (letalske karte in stroški prevozov) od Evropske komisije 3.929,44 EUR, dobropis Generali zavarovalnice v znesku 108,15 EUR in vracilo prevec izplacane dnevnice v znesku 418,28 EUR.
Prerazporeditev iz proracunske postavke 1271 – materialni stroški na proracunske postavke 1273 – investicije, 7640 – Rezerva Republike Slovenije ter druge postavke v letu 2022 ni bilo.
Za investicije je bilo do konca leta 2022 porabljenih 31.140,83 EUR. Sredstva so bila porabljena za nakup prevoznih sredstev v znesku 266,00 EUR (mestno kolo), strojne racunalniške opreme v znesku 19.796,57 EUR (pet monitorjev, šestnajst prenosnih in stacionarnih racunalnikov in projektor), strežnikov in diskovnih sistemov v znesku 714,76 EUR, telekomunikacijske opreme v znesku 2.990,00 EUR, druge opreme v znesku 353,80 EUR (kamera HIK in novoletna jelka) in nematerialnega premoženja v znesku 7.019,70 EUR (licenca za avtomatsko lektorico Amebis Besana za pet uporabnikov, licenca HCL za 50 uporabnikov – nadgradnja poštnega domino strežnika in Microsoft programska oprema za deset uporabnikov). Konec leta 2022 je bilo stanje razpoložljivega proracuna na postavki investicije 859,17 EUR.
V letu 2022 ni bilo prerazporeditev s proracunske postavke investicije na druge postavke.
Za place zaposlenih je bilo porabljenih 2.068.245,67 EUR oz. 99,09 % sredstev glede na veljavni proracun za leto 2022. Glede na predhodna leta se je poraba sredstev povecala zaradi napredovanj, realizacije dogovora o ukrepih na podrocju plac in drugih stroškov dela v javnem sektorju za leti 2022 in 2023 ter aneksov h kolektivnim pogodbam dejavnosti in poklicev, uskladitve vrednosti placnih razredov placne lestvice, višjega regresa za letni dopust in višjega regresa za prehrano, izplacila redne delovne uspešnosti v skladu z dolocbami Zakona o sistemu plac v javnem sektorju (ZSPJS) in dolocbami Kolektivne pogodbe za javni sektor ter zaposlitev v skladu s kadrovskim nacrtom in novimi pristojnostmi Informacijskega pooblašcenca na podrocju uveljavitev Splošne uredbe ter ZVOPOKD. Uveljavitev Splošne uredbe v Republiki Sloveniji je za Informacijskega pooblašcenca pomenila prevzem številnih novih nalog in zadolžitev, ki so zahtevale dodatne zaposlitve. Porabljena sredstva v višini 2.068.245,67 EUR so bila namenjena za osnovne place in dodatke v znesku 1.607.046,77 EUR, za regres za letni dopust je bilo namenjenih 58.050,06 EUR, za povracila in nadomestila 79.267,05 EUR, sredstva za delovno uspešnost z naslova povecanega obsega dela zaradi povecanega pripada zadev in redne delovne uspešnosti so znašala 33.768,08 EUR, za druge izdatke zaposlenim je bilo porabljenih 5.749,70 EUR, za prispevke delodajalcev za pokojninsko in invalidsko zavarovanje 144.586,25 EUR, za prispevke za zdravstveno zavarovanje 116.823,81 EUR, za prispevke za zaposlovanje 1.061,88 EUR, za prispevek za starševsko varstvo 1.647,53 EUR, premije kolektivnega dodatnega pokojninskega zavarovanja na podlagi Zakona o kolektivnem dodatnem pokojninskem zavarovanju za javne uslužbence pa so znašale 20.244,54 EUR. Informacijski pooblašcenec je leta 2022 od Zavoda za zdravstveno zavarovanje Slovenije z naslova refundacij boleznin in invalidnin prejel sredstva na postavko za place v višini 43.680,61 EUR. 
S postavke place Informacijski pooblašcenec konec leta 2022 ni prerazporedil prostih pravic porabe na proracunsko postavko 7640 – Rezerva Republike Slovenije.
Namenska sredstva kupnine – v leto 2022 je bilo prenesenih 7.317,92 EUR financnih sredstev kupnin. Leta 2022 na postavki ni bilo niti prilivov niti odlivov. Financna sredstva v višini 7.317,92 EUR se prenese v leto 2023.
Stvarno premoženje (sredstva odškodnine) – v letu 2022 je bila opravljena evidencna vknjižba v višini 1.851,42 EUR, ki se je nanašala na odškodnino z naslova zavarovanja (odbitna franšiza), ki ga je Zavarovalnica Sava direktno nakazala Avtotehni Vis, d.o.o.
Mednarodna spletna stran info-commissioners.org – iz leta 2021 je bilo prenesenih 0,14 EUR financnih sredstev. Leta 2022 na tej postavki ni bilo porabe. Projekt se leta 2023 konca, preostanek sredstev (0,14 EUR) bo nakazan na podracun izvrševanja proracuna.
Projekt Taiex – iz leta 2021 je bilo v leto 2022 prenesenih 2,99 EUR. Za projekt Taiex leta 2022 ni bilo niti prilivov niti odlivov. Projekt še vedno deluje v okviru EU. Preostanek financnih sredstev (2,99 EUR) se prenese v leto 2023. 
Projekt iDecide – posamezniki odlocajo
Informacijski pooblašcenec je leta 2020 kot vodilni in edini partner zacel izvajati dvoletni projekt iDecide – REC-AG-2019/REC-RDAT-TRAI-AG-2019 – »Individuals decide – Raising Awareness About Data Protection Rights (iDecide)«, št. pogodbe: 874507. Projekt financira Evropska komisija, in sicer v okviru Programa za pravice, enakost in državljanstvo 2020–2024.
Projekt je trajal 24 mesecev, osredotocal pa se je na izobraževanje treh ciljnih skupin (starejših mladoletnikov (15–18 let), starejših (nad 65 let) in delovne populacije o reformi zakonodajnega okvira s podrocja varstva osebnih podatkov in o temeljnih pravicah, ki jih zagotavlja zakonodaja s podrocja varstva osebnih podatkov. Cilj projekta iDecide je bil dvigovanje zavedanja o reformi zakonodajnega okvira s podrocja varstva osebnih podatkov v splošni javnosti v Republiki Sloveniji, še posebej glede pravic posameznikov. Za sodelovanje v projektu je Informacijski pooblašcenec prejel evropska sredstva v nacrtovani višini 194.079,94 EUR. Sredstva so bila porabljena za pokrivanje stroškov v zvezi z delom zaposlenih, za pokrivanje povecanega obsega dela zaposlenih, za stroške poti do krajev izvedbe predavanj, za tisk izobraževalnih materialov in organizacijo seminarjev ter za druge stroške, povezane s pripravo in izvedbo aktivnosti, ter za materialne stroške, ki jih je s tem imel Informacijski pooblašcenec.
Vecji del porabljenih sredstev v letu 2020 je bil namenjen za pokrivanje stroškov dela zaposlenih, del pa tudi za tisk brošur. Poraba leta 2020 za potrebe projekta je na proracunski postavki PP 200001 znašala 79.697,05 EUR, na postavki integralna sredstva PP 1271 materialni stroški pa 91,50 EUR. 
Veljavni proracun je ob koncu leta 2021 znašal 75.777,00 EUR. Poraba sredstev je bila v letu 2021 realizirana v višini 75.770,55 EUR, preostanek sredstev je znašal 6,45 EUR. Vecji del prevzetih obveznosti je bil namenjen za pokrivanje stroškov dela zaposlenih, snemanju in montaži spletnih seminarjev in tisku nalepk. Poraba leta 2021 za potrebe projekta je na postavki integralna sredstva PP 1271 materialni stroški znašala 7.339,82 EUR (potni stroški zaposlenih, najem razstavnega prostora, priprava in montaža videoposnetkov in stroški dela zaposlenih).
Projekt se je v letu 2021 izvajal po predvidenem nacrtu. Izvedenih je bilo pet izobraževalnih seminarjev za ciljne skupine, deloma prek spletnih platform zaradi omejevalnih ukrepov v zvezi s pandemijo koronavirusa in deloma v živo (sodelovanje na Festivalu za tretje življenjsko obdobje in na Mreži znanja 2022). Strokovnjaki iz projektne skupine so nudili strokovno pomoc javnosti prek razlicnih kanalov: prek vzpostavljene telefonske linije za svetovanje splošni javnosti, prek e-pošte, v okviru projekta so bile prek spletne strani www.ip-rs.si posredovane informacije kljucnim javnostim ter izvedena izobraževalna predavanja na zunanjih dogodkih. Strokovnjaki iz projektne skupine so pripravili 16 clankov za razlicne revije in publikacije, s katerimi so širši javnosti predstavili teme iz prirocnikov, ki so bili pripravljeni v okviru projekta (npr. Dnevnik, revija Cool, Vzajemnost).
19. 5. 2022 je bilo izvedeno koncno nakazilo sredstev s strani EU v višini 38.602,95 EUR.
Veljavni proracun je ob koncu leta 2022 znašal 38.870 EUR. Poraba sredstev je bila v letu 2022 realizirana v višini 36.414,74 EUR, preostanek sredstev je znašal 3.465,26 EUR. Poraba sredstev je bila namenjena pokrivanju stroškov dela zaposlenih in placila poštnine za pošiljanje 6720 kosov prirocnika »Vodic po varstvu osebnih podatkov«, izdelanega v okviru projekta, kot priloge revije Vzajemnost. Porabe v letu 2022 za potrebe projekta na postavki integralna sredstva PP 1271 materialni stroški ni bilo.
Projekt se je v letu 2022 zakljucil z oddajo koncnega porocila, skladno s pogodbo o financiranju s strani EU. Preostanek sredstev bo v letu 2023 prenesen iz podracuna v proracun RS.




2.1 PRAVNA UREDITEV NA PODROCJU DOSTOPA DO INFORMACIJ JAVNEGA ZNACAJA
Pravica dostopa do informacij javnega znacaja je zagotovljena že z Ustavo Republike Slovenije. Ta v drugem odstavku 39. clena doloca, da ima vsakdo pravico dobiti informacijo javnega znacaja, za katero ima v zakonu utemeljen pravni interes, razen v primerih, ki jih doloca zakon. Ceprav je pravica dostopa do informacij javnega znacaja ena od temeljnih clovekovih pravic in kot taka tudi zašcitena na ustavni ravni, se je zacela uveljavljati šele 11 let po sprejetju Ustave RS, in sicer s sprejetjem Zakona o dostopu do informacij javnega znacaja. Dotlej so se posamezne dolocbe o javnosti informacij pojavljale le v nekaterih zakonih; celostno jih je uredil šele ZDIJZ, ki je zacel veljati leta 2003. 
ZDIJZ sledi usmeritvam mednarodnih aktov in EU. Njegov namen je zagotoviti javnost in odprtost delovanja javne uprave ter vsakomur omogociti dostop do javnih informacij, torej tistih, ki so povezane z delovnimi podrocji organov javne uprave. Zakon je uredil postopek, ki vsakomur omogoca prost dostop in ponovno uporabo informacij javnega znacaja, s katerimi razpolagajo državni organi, organi lokalnih skupnosti, javne agencije, javni skladi in druge osebe javnega prava, nosilci javnih pooblastil in izvajalci javnih služb. S tem zakonom sta se v pravni red Republike Slovenije prenesli dve direktivi Evropske skupnosti: Direktiva 2003/4/ES Evropskega parlamenta in Sveta o javnem dostopu do okoljskih informacij in razveljavitvi Direktive 90/313/EGS, ki je zacela veljati 28. 1. 2003, ter Direktiva (EU) 2019/1024 z dne 20. junija 2019 o odprtih podatkih in ponovni uporabi informacij javnega sektorja, ki je zacela veljati 16. 7. 2019 in je bila implementirana v zakon z novelo ZDIJZ-G. 
Leta 2005 je bil z novelo ZDIJZ-A narejen še korak naprej. Novela je namrec zožila možnost neupravicenega zapiranja dostopa do informacij in uvedla številne novosti, kot so ponovna uporaba informacij javnega znacaja in pristojnosti upravne inšpekcije na podrocju izvajanja tega zakona. Najpomembnejša novost je bil zagotovo test javnega interesa. Z novelo je bila tudi poudarjena odprtost pri podatkih o porabi javnih sredstev in podatkih, povezanih z delovnim razmerjem ali opravljanjem javne funkcije. S tem se je Slovenija pridružila tistim demokraticnim državam, ki, kadar gre za javni interes, tudi izjeme obravnavajo s pridržkom. 
Leta 2014 sta bili sprejeti noveli ZDIJZ-C in ZDIJZ-D. Najpomembnejša sprememba, ki sta jo prinesli, je, da se je obveznost posredovanja informacij javnega znacaja z organov javnega sektorja razširila tudi na gospodarske družbe in druge pravne osebe pod prevladujocim vplivom (oz. v vecinski lasti) države, obcin ali drugih oseb javnega prava ter da je AJPES v šestih mesecih po uveljavitvi ZDIJZ-C vzpostavil spletni Register zavezancev za informacije javnega znacaja, ki je javen, podatki v njem pa so dostopni brezplacno. Namen sprememb ZDIJZ je bil, da se poleg zagotavljanja javnosti in odprtosti delovanja javnega sektorja krepita transparentnost in odgovorno ravnanje pri upravljanju financnih sredstev poslovnih subjektov pod prevladujocim vplivom oseb javnega prava. Nadzor javnosti, omejen zgolj na državne organe, obcine in širši javni sektor, se je izkazal za nezadostnega. Financna in gospodarska kriza preteklih let je namrec povecala obcutljivost javnosti za korupcijo, zlorabo oblasti in slabo upravljanje. K vecji transparentnosti je prispevala tudi proaktivna objava informacij javnega znacaja na spletnih straneh, ki jo zahteva novela ZDIJZ-C.
Dne 8. 5. 2016 je v uporabo stopila novela ZDIJZ-E, ki je bila sprejeta konec leta 2015. Novela je prinesla novosti na podrocju ponovne uporabe informacij javnega znacaja (npr. ponovna uporaba informacij muzejev in knjižnic, ponovna uporaba arhivskega gradiva, zagotavljanje odprtih podatkov za ponovno uporabo). Novela doloca, da organi na nacionalnem portalu odprtih podatkov javnega sektorja, ki ga vodi Ministrstvo za javno upravo, objavijo seznam vseh zbirk podatkov iz svoje pristojnosti z metapodatki ter zbirke odprtih podatkov ali povezave na spletne strani, kjer so objavljene zbirke odprtih podatkov. Podatke, objavljene na tem portalu, lahko kdor koli ponovno brezplacno uporablja v pridobitne ali druge namene pod pogojem, da to poteka v skladu z ZVOP-1 in da navede vir podatkov. Novela je spremenila tudi podrocje zaracunavanja stroškov dostopa in ponovne uporabe informacij javnega znacaja. Za dostop do informacij javnega znacaja se lahko zaracunajo le materialni stroški, ne pa tudi urne postavke za stroške dela javnih uslužbencev, ki tovrstne zahteve obravnavajo. Na podlagi novele ZDIJZ-E je Vlada RS sprejela novo Uredbo o posredovanju in ponovni uporabi informacij javnega znacaja, s katero je sprejela enotni stroškovnik za posredovanje informacij javnega znacaja. S tem je odpravila posebne stroškovnike organov, na podlagi katerih so ti zaracunavali stroške dela, ter dolocila vrste informacij javnega znacaja, ki jih je treba posredovati na splet. 
Leta 2018 je stopila v veljavo novela ZDIJZ-F, ki v clenu a26.a doloca, da je stranka v postopku z zahtevo za dostop do informacije javnega znacaja ali ponovne uporabe samo prosilec, ce je predmet odlocanja dostop do podatkov, za katere je z zakonom doloceno, da so javni. S tem je uredila institut stranske udeležbe posebej glede na splošno ureditev v zakonodaji, ki ureja upravni postopek. 
Leta 2022 je bila sprejeta novela ZDIJZ-G, ki je v slovenski pravni red z zamudo prenesla Direktivo (EU) 2019/1024. Novela doloca, da morajo organi v cim vecji meri omogociti ponovno uporabo raziskovalnih podatkov iz javno financiranih raziskav, omogociti ponovno uporabo nabora podatkov velike vrednosti (npr. podatki o okolju, prometu, satelitski podatki, meteorološki podatki), dinamicne podatke (podatki, ki se velikokrat posodabljajo) pa dati na voljo takoj, ko jih zberejo. Dostop do podatkov velike vrednosti in dinamicnih podatkov morajo organi zagotoviti z porabo t. i. API vmesnikov. Podatki za ponovno uporabo morajo biti na voljo brez zaracunavanja stroškov (oz. se lahko zaracunava povracilo mejnih stroškov, npr. zaradi reprodukcije, zagotavljanja in razširjanja dokumentov).

2 DOSTOP DO INFORMACIJ JAVNEGA ZNACAJA – V IMENU LJUDI IN ZA LJUDI

Casovnica razvoja Zakona o dostopu do informacij javnega znacaja.


ZDIJZ zagotavlja dostop do informacij, ki so že ustvarjene, in sicer v kakršni koli obliki. S tem zakon zagotavlja preglednost porabe javnega denarja in odlocitev javne uprave, saj ta dela v imenu ljudi in za ljudi. 
Kdo so zavezanci za posredovanje informacij javnega znacaja?
Zavezanci za posredovanje informacij javnega znacaja se delijo v dve skupini:
•	
organi (državni organi, organi lokalnih skupnosti, javne agencije, javni skladi in druge osebe javnega prava, nosilci javnih pooblastil in izvajalci javnih služb) ter

•	
poslovni subjekti pod prevladujocim vplivom oseb javnega prava.


Zavezanci so informacije javnega znacaja dolžni zagotavljati na dva nacina: z objavo na spletu in z omogocanjem dostopa na podlagi individualnih zahtev. Za vsako od skupin zavezancev je pojem »informacija javnega znacaja« (torej informacija, ki jo morajo posredovati prosilcu) definiran drugace; pri zavezancih iz druge skupine je ožji. Medtem ko za organe na splošno velja, da so vsi dokumenti, zadeve, dosjeji, registri, evidence in dokumentarno gradivo, s katerim razpolagajo (ne glede na to, ali jih je organ izdelal sam, v sodelovanju z drugim organom ali jih je pridobil od drugih oseb), informacije javnega znacaja, razen izjem, za poslovne subjekte pod prevladujocim vplivom oseb javnega prava pa velja ravno obraten miselni proces: informacije javnega znacaja so le tisti dokumenti, zadeve, dosjeji, registri, evidence in dokumentarno gradivo, ki jih kot take doloca ZDIJZ (npr. informacije, povezane s sklenjenimi pravnimi posli, ter informacije o clanih poslovodnega organa, organa upravljanja in organa nadzora). Za te zavezance velja tudi casovna omejitev, saj se dolžnost posredovanja nanaša le na informacije, nastale v casu pod prevladujocim vplivom. Zavezanci, ki izpolnjujejo kriterije za umestitev v obe skupini (npr. gospodarske družbe v 100-odstotni lasti obcine, ki so hkrati tudi izvajalke javne službe), so zavezani posredovati obe vrsti informacij javnega znacaja. Tisti poslovni subjekti pod prevladujocim vplivom oseb javnega prava, ki hkrati ne sodijo med organe, lahko uporabijo t. i. poenostavljeni postopek odlocanja o zahtevah (npr. ne izdajo zavrnilne odlocbe, ampak vlagatelja pisno obvestijo o razlogih, zaradi katerih informacije ne bodo posredovali). Drugi zavezanci (npr. nosilci javnih pooblastil, ki so hkrati pod prevladujocim vplivom pravnih oseb javnega prava) so dolžni voditi upravni postopek, kot je dolocen za organe.
Kako do informacije javnega znacaja?
Informacije javnega znacaja so prosto dostopne vsem, zato pravnega interesa za njihovo pridobitev ni treba izkazovati, dovolj sta radovednost ter želja po znanju in obvešcenosti. Vsak prosilec ima pravico na zahtevo pridobiti informacijo javnega znacaja, in sicer tako, da jo dobi na vpogled ali da dobi njen prepis, fotokopijo ali elektronski zapis. Zavezanec mora o zahtevi odlociti v 20 delovnih dneh, organi lahko v izjemnih okolišcinah podaljšajo rok za najvec 30 delovnih dni. Vpogled v zahtevano informacijo je brezplacen, kadar ne terja izvedbe delnega dostopa. Za posredovanje prepisa, fotokopije ali elektronskega zapisa zahtevane informacije lahko zavezanec prosilcu zaracuna materialne stroške. Ce zavezanec prosilcu zahtevane informacije javnega znacaja ne posreduje, ima prosilec v 15 dneh pravico vložiti pritožbo zoper zavrnilno odlocbo ali obvestilo, s katerim je zavezanec zahtevo zavrnil. O pritožbi odloca Informacijski pooblašcenec. Prav tako ima prosilec pravico do pritožbe, ce mu zavezanec na zahtevo v zakonskem roku ni odgovoril (oz. je v molku) ali ce informacije ni dobil v obliki, v kateri jo je zahteval. 
Kaj so izjeme?
Zavezanec lahko prosilcu dostop do zahtevane informacije zavrne, ce se zahteva nanaša na eno izmed izjem, dolocenih v prvem odstavku 6. clena ZDIJZ in 5.a clenu ZDIJZ (tajni podatek, poslovna skrivnost, osebni podatek, davcna tajnost, sodni postopek, upravni postopek, statisticna zaupnost, dokument v izdelavi, notranje delovanje organa, varovanje naravne oz. kulturne vrednote …). Kljub navedenim izjemam organ dostop do zahtevane informacije vedno dovoli, ce gre za podatke o porabi javnih sredstev ali za podatke, povezane z opravljanjem javne funkcije ali z delovnim razmerjem javnega uslužbenca. Zavezanec pod prevladujocim vplivom prosilcu praviloma ne sme zavrniti dostopa, ce gre za absolutno javne informacije (osnovni podatki o poslih, ki se nanašajo na izdatke); razkritju teh podatkov se lahko poslovni subjekt izogne le, ce izkaže, da bi to huje škodovalo njegovemu konkurencnemu položaju na trgu. 
Ce dokument, ki ga zahteva prosilec, delno vsebuje informacije iz 5.a ali 6. clena ZDIJZ, to ni razlog, da bi zavezanec zavrnil dostop do celotnega dokumenta. Ce je te informacije mogoce iz dokumenta izlociti, ne da bi to ogrozilo njihovo zaupnost, se jih prekrije, prosilcu pa se posreduje preostali del informacij javnega znacaja. Zavezanec mora namrec v skladu z 19. clenom Uredbe o posredovanju in ponovni uporabi informacij javnega znacaja varovane podatke prekriti in prosilcu omogociti vpogled v preostanek dokumenta (ali fotokopije ali elektronskega zapisa). 
Kaj pa zahteva na podlagi Zakona o medijih?
Ce poda zahtevo za posredovanje informacij medij na podlagi 45. clena ZMed, je postopek nekoliko drugacen, saj informacije po ZMed niso enake informacijam javnega znacaja po dolocbah ZDIJZ. Informacije za medije so širši pojem kot informacije javnega znacaja, saj med prve sodi tudi priprava odgovorov na vprašanja (torej pojasnila, razlage, analize, komentarji). Ce medij zahteva odgovor na vprašanje, se njegova vloga obravnava po dolocbah ZMed, ce pa zahteva dostop do dokumenta, se njegova vloga obravnava po ZDIJZ. Medij mora vprašanje vložiti pisno po navadni ali elektronski pošti (digitalno potrdilo ali elektronski podpis nista potrebna), zavezanec pa ga mora o zavrnitvi ali delni zavrnitvi pisno obvestiti do konca naslednjega delovnega dne. V nasprotnem primeru mora zavezanec odgovor na vprašanje poslati najpozneje v sedmih delovnih dneh od prejema vprašanja, pri cemer sme odgovor zavrniti le, ce so zahtevane informacije izvzete iz prostega dostopa po ZDIJZ. Medij lahko po prejemu odgovora zahteva dodatna pojasnila, ki mu jih mora zavezanec posredovati najpozneje v treh dneh. Ce zavezanec z informacijo, ki predstavlja odgovor na vprašanje, ne razpolaga v materializirani obliki, se medij ne more pritožiti zoper obvestilo o zavrnitvi ali delni zavrnitvi odgovora. Pritožba pa je dovoljena, kadar odgovor na vprašanje izhaja iz dokumenta. 
2.2 ŠTEVILO VLOŽENIH PRITOŽB IN REŠENIH ZADEV
Leta 2022 je Informacijski pooblašcenec vodil 696 pritožbenih postopkov, od tega 449 postopkov zoper zavrnilne odlocbe organov in 241 postopkov zaradi t. i. molka organa oz. neodzivnosti. Zoper poslovne subjekte pod prevladujocim vplivom je Informacijski pooblašcenec vodil šest pritožbenih postopkov, in sicer zaradi molka.
Leta 2022 je Informacijski pooblašcenec odgovoril na 275 pisnih prošenj za neformalno pomoc ali mnenje, ki jih je prejel od zavezancev prve stopnje in prosilcev, odgovoril pa je tudi na 838 zaprosil v okviru telefonskega dežurstva. Vsem je odgovoril v okviru svojih pristojnosti, najveckrat jih je napotil na pristojno institucijo. Informacijski pooblašcenec je namrec drugostopenjski organ, ki odloca o pritožbi, in ni pristojen, da v fazi, ko mora odlocati organ prve stopnje, odgovarja na konkretna vprašanja, ali je dolocen dokument informacija javnega znacaja ali ne. V skladu z 32. clenom ZDIJZ mnenja na podrocju dostopa do informacij javnega znacaja daje ministrstvo, pristojno za javno upravo.
2.2.1 PRITOŽBE ZOPER ZAVRNILNE ODLOCBE IN IZDANE ODLOCBE
V okviru pritožbenih postopkov zoper odlocbe, s katerimi so zavezanci zavrnili zahteve po dostopu do informacij javnega znacaja, je Informacijski pooblašcenec v letu 2022 vsebinsko obravnaval 413 pritožb. V 36 zadevah so bili postopki združeni in je bila na podlagi sklepa o združitvi izdana skupna odlocba. Informacijski pooblašcenec je tako izdal 368 odlocb, pet pritožb prosilcev je s sklepom zavrgel (pritožbe so bile nedovoljene oz. nepopolne), v štirih primerih pa je zaradi umika pritožbe prosilca izdal sklep o ustavitvi postopka. Informacijski pooblašcenec je izdal 325 odlocb, ki so se nanašale na pritožbene postopke, zacete v letu 2022, in 43 odlocb, ki so se nanašale na postopke, zacete pred letom 2022. Med reševanjem pritožb je na terenu opravil 37 ogledov in camera (tj. ogledov brez prisotnosti stranke, ki zahteva dostop do informacije javnega znacaja), na katerih je ugotavljal dejansko stanje pri organu. 
Informacijski pooblašcenec je v izdanih odlocbah (368): 
•	
pritožbo zavrnil – 189,

•	
pritožbi delno ali v celoti ugodil oz. rešil zadevo v korist prosilca – 122,

•	
pritožbi ugodil in zadevo vrnil prvostopenjskemu organu v ponovno odlocanje – 51,

•	
pritožbo zavrgel – 1,

•	
odlocbo prvostopenjskega organa razglasil za nicno – 5.


Pritožbe prosilcev zaradi zavrnitve dostopa do informacij javnega znacaja, o katerih je Informacijski pooblašcenec odlocil z odlocbo, so zadevale naslednje skupine zavezancev:
•	
državni organi – 194, od tega ministrstva in organi v sestavi ter upravne enote 163, sodišca, vrhovno državno tožilstvo in državno odvetništvo pa 31,

•	
javni skladi, zavodi, agencije, izvajalci javnih služb, nosilci javnih pooblastil in druge pravne osebe javnega prava – 101, 

•	
obcine – 65,

•	
poslovni subjekti pod prevladujocim vplivom države, obcin ali drugih oseb javnega prava – 8.


Zoper katere zavezance so bile vložene pritožbe?
V 263 primerih so bili prosilci fizicne osebe, v 65 primerih so se pritožile pravne osebe zasebnega sektorja, v 35 primerih novinarji in medijske hiše, petkrat pa so se pritožile pravne osebe javnega sektorja.
Pritožbe zoper zavrnitve dostopa do informacij.



2.2.2 PRITOŽBE ZOPER MOLK
Informacijski pooblašcenec je v letu 2022 prejel 241 pritožb zaradi molka organa in šest pritožb zaradi neodziva poslovnih subjektov pod prevladujocim vplivom. Po podatkih je bilo najvec primerov molka zaznati med organi državne uprave (ministrstva, organi v sestavi itd.), in sicer 89 (število se je v primerjavi z letom 2021, ko je bilo zabeleženih 105 primerov molka organov državne uprave, zmanjšalo), sledili so javni zavodi (51 primerov) ter obcine (45 primerov).
Zoper katere zavezance so bile vložene pritožbe?
Najvec pritožb zoper molk organa je bilo vloženih s strani fizicnih oseb, in sicer kar 68,9 % (166). V 10 % primerov (24) so pritožbo zaradi molka organa vložili novinarji oz. mediji. V 20,7 % primerov (50) je bila pritožba vložena s strani pravnih oseb zasebnega prava in v 0,4 % primerov (1) s strani pravnih oseb javnega prava.
Po preizkusu formalnih predpostavk Informacijski pooblašcenec v 56 primerih postopka zaradi molka ni uvedel, in sicer je v 35 primerih pritožbo s sklepom zavrgel, od tega v 28 primerih zaradi preuranjenosti, v enem primeru je bila pritožba pomanjkljiva in je prosilec ni dopolnil, v šestih primerih pa pritožba ni bila dovoljena. V sedmih primerih je prosilec tekom postopka pritožbo umaknil, saj je od zavezanca že prejel zahtevano informacijo. Informacijski pooblašcenec v nobenem primeru ni prevzel pritožbe v odlocanje in sam meritorno odlocil. V nobeni zadevi vloge tudi ni odstopil na Upravno inšpekcijo.
V 14 primerih je Informacijski pooblašcenec postopek z molkom zakljucil tako, da je prosilcu pojasnil: 
•	
da za reševanje njegove vloge ni pristojen, in mu svetoval, kako ravnati v zvezi z njegovo zahtevo, 

•	
da vloga, ki jo je prosilec vložil pri zavezancu, formalno ni popolna, 

•	
da zavezanec utemeljeno ni obravnaval njegove vloge po ZDIJZ, temvec na drugi pravni podlagi, 

•	
da je bilo o njegovi vlogi že odloceno.


V pritožbenih postopkih je Informacijski pooblašcenec zaradi molka v 179 primerih zavezance pozval, naj o zahtevi prosilca cim prej odlocijo. Po pozivu Informacijskega pooblašcenca so zavezanci prosilcu v 77 primerih informacijo posredovali, v 70 primerih so prosilcu dostop zavrnili ter izdali zavrnilno odlocbo, v 25 primerih pa so prosilcu dostop delno omogocili (dolocene podatke so zakrili oz. so omogocili dostop le do dolocenih informacij, dostop do preostalih pa z odlocbo zavrnili). V enem primeru je zavezanec s sklepom zahtevo prosilca zavrgel, v šestih primerih pa so organi vlogo prosilca za dostop do dokumentov odstopili v reševanje drugemu organu. 
Šest zadev ima Informacijski pooblašcenec trenutno še odprtih in v reševanju.
V okviru zahteve za dostop do informacij javnega znacaja pri poslovnih subjektih pod prevladujocim vplivom je Informacijski pooblašcenec vodil šest pritožbenih postopkov zaradi molka zavezancev, in sicer je po pozivu Informacijskega pooblašcenca zavezanec v dveh primerih prosilcu omogocil dostop, v dveh primerih je zahtevo prosilca zavrnil, v enem primeru je prosilcevo zahtevo zavrgel s sklepom, saj je bila pritožba preuranjena, v enem primeru pa je prosilcu pojasnil, da njegove zahteve niso obravnavali po ZDIJZ in so mu poslali pojasnilo. Izmed 247 primerov molka je bilo 20 primerov povezanih z Zakonom o medijih, najveckrat (v 8 primerih) je šlo za organe državne uprave.
Kako je zavezanec ravnal po pozivu Informacijskega pooblašcenca zaradi molka?



2.3 ŠTEVILO VLOŽENIH TOŽB IN PREJETIH SODB
Pritožba zoper odlocbo Informacijskega pooblašcenca ni dopustna, mogoce pa je sprožiti upravni spor. Leta 2022 je bilo na Upravnem sodišcu RS vloženih 35 tožb zoper odlocbe Informacijskega pooblašcenca (zoper 9,51 % izdanih odlocb). Delež je relativno majhen, kar kaže na uveljavitev transparentnosti in odprtosti javnega sektorja, pa tudi na to, da zavezanci in prosilci sprejemajo odlocbe Informacijskega pooblašcenca.
Upravno sodišce je leta 2022 odlocilo o 34 tožbah, ki so bile vložene zoper odlocbe Informacijskega pooblašcenca, in:
•	
tožbo zavrnilo – 20,

•	
tožbi ugodilo, izpodbijano odlocbo oz. del odlocbe odpravilo in zadevo vrnilo Informacijskemu pooblašcencu v ponovno odlocanje – 8,

•	
tožbi ugodilo, izpodbijano odlocbo oz. del odlocbe odpravilo in zadevo vrnilo zavezancu v ponovno odlocanje – 2, 

•	
tožbi delno ugodilo, izpodbijano odlocbo oz. del odlocbe odpravilo in v preostalem delu tožbo zavrnilo – 1,

•	
tožbi delno ugodilo tako, da je odlocbo Informacijskega pooblašcenca delno spremenilo in pritožbo prosilca delno zavrnilo – 1,

•	
tožbi delno ugodilo tako, da je odlocbo zavezanca delno odpravilo in pritožbo prosilca zoper odlocbo Informacijskega pooblašcenca zavrnilo – 1,

•	
tožbi dveh tožecih strank zoper dve odlocbi ni ugodilo, in sicer je tožbi zoper dve odlocbi zavrnilo in zoper dve odlocbi zavrglo – 1. 


Leta 2022 je bila na Vrhovno sodišce RS vložena ena revizija zoper sodbo Upravnega sodišca.
2.4 STORJENI PREKRŠKI PO ZDIJZ, ZInfP IN ZMed
Leta 2022 je Informacijski pooblašcenec izdal eno odlocbo o prekršku, in sicer pravni osebi in odgovorni osebi pravne osebe; z odlocbo o prekršku je bila izrecena globa.
2.5 IZBRANI PRIMERI NA PODROCJU DOSTOPA DO INFORMACIJ JAVNEGA ZNACAJA
Cetudi organ v pogodbi opredeli svojo storitev kot tržno, s tem ne doloci njene narave, saj konstitutiven element storitve, ki se izvaja kot javna služba, ni v poimenovanju, temvec v nacinu izvajanja oz. v dejstvu, da gre za storitev, ki se mora izvajati v javnem interesu
Prosilec je od RTV Slovenija želel prejeti pogodbo, ki jo je organ sklenil z UKOM glede storitev, vezanih na predsedovanje Slovenije Svetu Evrope. Organ je zahtevo zavrnil z utemeljitvijo, da zahtevana pogodba sodi v tržno dejavnost organa in ne izhaja iz izvajanja javne službe, kar pomeni, da ni informacija javnega znacaja po dolocbi prvega odstavka 4. clena ZDIJZ. V pritožbenem postopku je Informacijski pooblašcenec poudaril, da je o tržni dejavnosti organa mogoce govoriti zgolj v primeru, kadar gre za storitev, ki jo je mogoce aplicirati na eno izmed taksativno naštetih dejavnosti v 15. clenu Zakona o Radioteleviziji Slovenija (ZRTVS-1). Morebitna prosta presoja (izven zakonskih okvirjev), da gre za tržno dejavnost, bi lahko v konkretnem primeru posegla v izvrševanje javne službe na podrocju radijske in televizijske dejavnosti, ki je osnovna naloga organa. Kljucno je, da je zahtevana pogodba sklenjena med dvema javnima subjektoma ter da gre za porabo sredstev in kadrov javnega zavoda. Glede na to, da je izvajalec storitve javni zavod, katerega ustanovitelj je Republika Slovenija, narocnik storitve pa je vladna služba Republike Slovenije, ni dvoma, da z vidika medijske pokritosti predsedovanja obstaja en sam javni interes Republike Slovenije, da se zagotovi celovito seznanjenje domace in tuje javnosti z dogodki med predsedovanjem, zato sta tudi storitvi pokrivanje dogodkov in zagotavljanje tehnicne podpore s strani organa nelocljivo povezani z izvajanjem javne službe v smislu 4. clena ZRTVS-1. Informacijski pooblašcenec je še poudaril, da je narocnik storitve Republika Slovenija, ki razpolaga z javnimi (proracunskimi) sredstvi, kar izhaja tudi iz predmetne pogodbe, ki doloca, da se bodo za placilo storitev bremenila proracunska sredstva, slednja pa že po naravi stvari ne morejo predstavljati tržnih prihodkov, ker niso pridobljena na »trgu«. Cetudi je organ »proracunska sredstva« v svojih knjigovodskih listinah zavedel pod »tržno dejavnost«, s tem ta sredstva niso izgubila svoje javne narave. Informacijski pooblašcenec je zakljucil, da ne glede na to, kako je organ v pogodbi opredelil svojo storitev, s tem ni spremenil njene narave, saj konstitutiven element storitve, ki se izvaja kot javna služba, ni v samem poimenovanju, temvec v nacinu izvajanja (torej obveznost izvajanja javne službe) oz. v dejstvu, da gre za storitev, ki se mora izvajati v javnem interesu. Obravnavana pogodba je torej povezana z izvajanjem javne službe, zato sodi v delovno podrocje organa, ki jo je dolžan posredovati prosilcu tako, da v njej prekrije varovane osebne podatke (3. tocka prvega odstavka 6. clena ZDIJZ). 
KLJUCNE BESEDE: ali gre za delovno podrocje organa, osebni podatek, številka odlocbe 090-375/2021
Kadar iz nacina vlaganja zahtev izhaja, da je namen prosilca prekomerno zasipati organ z delom in ga s tem ovirati pri opravljanju nalog, torej šikanirati, gre za zlorabo pravice
Prosilec je v obdobju dveh mesecev vložil 19 zahtev za dostop do informacij javnega znacaja, ki jih je Tržni inšpektorat RS zavrnil, ker je ugotovil, da je prosilec s svojim ravnanjem ocitno prestopil meje pravice dostopa do informacij javnega znacaja, s cimer je podana zloraba pravice (peti odstavek 5. clena ZDIJZ). Informacijski pooblašcenec je v pritožbenem postopku sledil odlocitvi organa, pri cemer se ugotovitve obeh nanašajo na celoten sklop zahtev, saj je le tako mogoce presoditi nacin izvrševanja pravice dostopa v obravnavanem primeru. Upoštevaje okolišcine konkretnega primera in kriterije za opredelitev zlorabe pravice iz ZDIJZ ter iz pravne teorije in prakse je Informacijski pooblašcenec ugotovil, da iz nacina vlaganja predmetnih zahtev prosilca izhaja njegov namen prekomerno zasipati organ z delom in ga s tem ovirati pri opravljanju nalog; prosilec organu namerno povzroca neprijetnosti oz. nevšecnosti. Na to kažeta pogostost in nacin vlaganja zahtev. Vloge prosilca so obsežne, s priloženimi analizami, v njih se prepletajo zahtevki na razlicnih pravnih podlagah, ki so naslovljeni na vec razlicnih naslovov, poleg novega besedila in novih dejstev vsebujejo vloge še stara sporocila, zato so obsežne in nepregledne, posledicno pa ima organ ogromno dela že s samim razporejanjem in knjiženjem takšnih vlog. Vloge prosilca se morajo knjižiti v razlicne zadeve, vsak zaposleni pa obravnava svoj del sporocila, kar pomeni, da se delo pri organu podvaja, zadeve se knjižijo tako na obmocnih enotah kot na sedežu, eno sporocilo pa mora vsebinsko obravnavati vec pri organu zaposlenih javnih uslužbencev. Ker je prosilec v obravnavanem primeru že z nacinom vlaganja vlog prekomerno zasipal organ z delom, to posledicno predstavlja oviro za ucinkovito delo organa, in to ne samo na podrocju dostopa do informacij javnega znacaja, temvec na vseh njegovih delovnih podrocjih. Razumsko namrec ni mogoce pricakovati, da bo organ v zakonskem roku uspel odlociti o tolikšnem številu zahtev z razlicno vsebino. Takšnih pricakovanj zato tudi prosilec ni mogel imeti in jih po presoji Informacijskega pooblašcenca tudi ni imel. Nobenega dvoma ni, da takšen nacin vlaganja zahtev s strani prosilca organu otežuje in tudi onemogoca ravnanje v skladu z nacelom ekonomicnosti postopka. To pa ni le obveznost organa, temvec tudi ustavna pravica strank. Upoštevaje vse navedeno zato javni interes dobrega upravljanja v obravnavanem primeru pretehta nad interesom dostopa prosilca do dokumentov. Prosilec s svojimi vlogami ni zasledoval namena ZDIJZ, temvec je želel otežiti delo organa, zoper katerega ocitno ne skriva antipatij. Prosilec je želel s svojimi vlogami dokazati nesposobnost oz. nestrokovnost organa, zato je Informacijski pooblašcenec poudaril, da je organ pred izpodbijano odlocbo o mnogih zahtevah prosilca odlocil vsebinsko, kar nedvomno kaže na pripravljenost organa, da deluje transparentno, zlorabo pravice pa je organ zatrjeval šele, ko je bilo razumsko nemogoce, da bi o zahtevah prosilca odlocil drugace. Nesporno dejstvo je tudi, da prosilec z obravnavanimi zahtevami izvršuje svojo pravico dostopa do informacij javnega znacaja na nacin, s katerim posega v dostojanstvo organa, saj s svojimi izjavami in pripombami neprestano izkazuje dvom o strokovnosti in nacinu dela organa kot celote, torej vodstva in tudi zaposlenih inšpektorjev. Opisano ravnanje prosilca v razmerju do organa je šikanozno. Informacijski pooblašcenec je zato sledil ugotovitvam organa v izpodbijani odlocbi, da je prosilec s svojim ravnanjem ocitno prestopil meje pravice dostopa do informacije javnega znacaja, s cimer je podana zloraba pravice.
KLJUCNE BESEDE: ali gre za zlorabo pravice, številka odlocbe 090-336/2021
Imena in priimki javnih uslužbencev, ki so najemniki službenih stanovanj in so navedeni skupaj s tocnim naslovom bivanja, so varovani osebni podatki
Ministrstvo za notranje zadeve je novinarju zavrnilo dostop do podatkov o imenih in priimkih uslužbencev Policije, ki so najemniki službenih stanovanj organa na konkretnem naslovu, in sicer zaradi varstva osebnih podatkov (3. tocka prvega odstavka 6. clena ZDIJZ). Informacijski pooblašcenec je v pritožbenem postopku ugotovil, da je prosilec zahteval podatke o najemnikih službenih stanovanj za tocno doloceno lokacijo, kar pomeni, da bi z razkritjem imen in priimkov teh javnih uslužbencev javnosti postali dostopni tudi podatki o tocnem naslovu bivališca teh posameznikov in njihovih družinskih clanov, ki lahko bivajo z njimi. Podatek o naslovu (zacasnega ali stalnega) bivališca pa ni podatek, ki bi bil v zvezi z delovnim razmerjem v javnem sektorju. Dostop do zahtevanih podatkov bi v obravnavanem primeru pomenil prekomeren poseg v zasebnost teh oseb, kar bi bilo tudi v nasprotju z nacelom sorazmernosti obdelave osebnih podatkov. Informacijski pooblašcenec je zato potrdil odlocitev organa, iz katere izhaja, da dolocbe 1. alineje tretjega odstavka 6. clena ZDIJZ v obravnavanem primeru ni mogoce tolmaciti na nacin, da je mogoce šteti kot absolutno javne podatke o naslovu prebivališca uslužbencev Policije, ne glede na to, da ti prebivajo v službenih stanovanjih organa. Informacijski pooblašcenec je opravil še test interesa javnosti, pri cemer je ugotovil, da zahtevani podatki po vsebini niso takšne narave, da bi se splošna javnost z njihovo pomocjo lahko seznanila s pomembno družbeno temo ali da bi njihovo razkritje lahko pripomoglo k javni razpravi o pomembni temi, ki je relevantna za širši krog ljudi. V obravnavanem primeru tudi ni zaznati nobenih okolišcin, ki bi kazale na to, da je bilo v postopku dodeljevanja konkretnih službenih stanovanj organa kar koli spornega in da bi bilo zaradi tega razkritje zahtevanih podatkov v posebnem javnem interesu. Ob tehtanju vseh argumentov je Informacijski pooblašcenec ugotovil, da javni interes za razkritje zahtevanih podatkov ne prevlada nad interesom javnosti, da ti podatki ostanejo varovani kot osebni podatki, zato je pritožbo prosilca zavrnil.
KLJUCNE BESEDE: javni uslužbenci in funkcionarji, osebni podatek, test interesa javnosti, številka odlocbe 090-23/2022
Seznam prejemnikov subvencije minimalne place ni davcna tajnost, ker ne gre za davcno obveznost, temvec za povracilo dela minimalne place, ki predstavlja »izplacilo« organa in s tem porabo javnih sredstev
Prosilec je zahteval dostop do seznama vseh delodajalcev, ki so prejeli subvencijo minimalne place na podlagi 29. clena Zakona o dodatnih ukrepih za omilitev posledic COVID-19 (ZDUOP), ter zneske prejetih subvencij. Financna uprava RS je zahtevo zavrnila zaradi izjeme davcne tajnosti (5. tocka prvega odstavka 6. clena ZDIJZ). V pritožbenem postopku je Informacijski pooblašcenec ugotovil, da je organ pri odlocitvi zmotno opustil kljucno dejstvo, da je bila njegova naloga po ZDUOP vezana na izplacilo subvencije in da je zgolj ta informacija predmet zahteve. Podatki, ki jih delodajalci v tem primeru posredujejo organu, namrec nimajo ne posredne ne neposredne zveze s pobiranjem davkov, temvec izkljucno s pravico do izplacila subvencije. Posledicno tudi organ svoje naloge po ZDUOP, da izplaca subvencije, ni izvedel v okviru funkcije pobiranja davkov, zato se dolocbe Zakona o davcnem postopku (ZDavP-2) v tem delu ne uporabljajo, zaradi cesar tudi ni mogoce govoriti o davcni tajnosti. Navedeno dokazuje šesti odstavek 29. clena ZDUOP, ki izrecno doloca, da se »za postopek nadzora smiselno uporablja zakon, ki ureja davcni postopek«, kar pomeni, da se ZDavP-2 uporablja šele v postopku nadzora, ne pa v postopku samega izplacila, in še to le smiselno, kar nedvomno pritrjuje stališcu, da seznam izplacil subvencije, ki je predmet zahteve, ne izpolnjuje pogojev davcne tajnosti. Zahtevane informacije tudi z vidika same definicije davcne tajnosti (15. clen ZDavP-2) ne izpolnjujejo zakonskih pogojev, ki morajo biti podani kumulativno, saj samo izplacilo subvencije, ki je predmet zahteve, nima nobene zveze z davcno obveznostjo, temvec zgolj in izkljucno s povracilom dela minimalne place v obliki mesecne subvencije, ki predstavlja »izplacilo« organa in s tem porabo javnih sredstev. Poleg tega so podatki za vsakega prejemnika subvencije prosto dostopni v spletni aplikaciji Erar. Informacijski pooblašcenec je zato odlocil, da zatrjevana izjema ni podana, zato je organ prosilcu dolžan posredovati zahtevani seznam.
 
KLJUCNE BESEDE: davcna tajnost, številka odlocbe 090-27/2022
Zaradi širše javne razprave in narave zahtevanih informacij javni interes za razkritje podatkov o kolicini zašcitne opreme in medicinskih pripomockov v skladišcih organa prevlada nad interesi za varstvo tajnih podatkov
Zavod RS za blagovne rezerve je, sklicujoc se na izjemo tajnih podatkov (1. tocka prvega odstavka 6. clena ZDIJZ), novinarju zavrnil dostop do podatkov o kolicini zašcitne opreme in medicinskih pripomockov v skladišcih organa ter do podatkov o dobaviteljih le-te. Informacijski pooblašcenec je v pritožbenem postopku najprej ugotovil, da so bili podatki, kdo so dobavitelji, posredovani prosilcu že v odgovoru na drugo vprašanje, organ pa je predložil tudi povezavo do izrecno navedenih dobaviteljev na spletnih straneh Portala javnih narocil. Ti podatki zato niso tajni. So pa kumulativno izpolnjeni vsi elementi za klasifikacijo podatkov o kolicini zašcitne opreme in medicinskih pripomockov za tajne podatke po Zakonu o tajnih podatkih (ZTP) s stopnjo tajnosti INTERNO. V zvezi s temi podatki je Informacijski pooblašcenec opravil še test interesa javnosti in ugotovil, da se nanašajo na družbeno pomembni temi (javno zdravje in poraba javnih sredstev), da je o nabavi zašcitne in medicinske opreme tekla oz. tece široka družbena ter parlamentarna razprava in da so nadzor v zvezi s tem vršili oz. vršijo tudi posamezni državni organi. Poudaril je, da je za pravilno in celovito seznanitev javnosti s podatki o porabi javnih sredstev v zvezi z nabavo zašcitne in medicinske opreme v javnem interesu, da se zahtevani podatki razkrijejo. V interesu javnosti je, da v demokraticni družbi razpolaga z nepristranskimi, objektivnimi informacijami, na podlagi katerih se lahko informirano odloca v/o javnopravnih zadevah in tudi vrši nadzor nad porabo javnih sredstev, kar je v skladu s 3. in 39. clenom Ustave RS. Še posebej to velja glede na dejstvo, da se v javnosti ves cas pojavljajo ocitki o netransparentnem in negospodarnem ravnanju v zvezi z zašcitno in medicinsko opremo. Odlocilnega pomena je tudi dejstvo, da je šlo za artikle, ki so bili za slovensko družbo relevantni v epidemioloških razmerah, s katerimi se je spopadala. Ti artikli so se torej uporabljali v casu, ko sta bili njihova ustrezna dobava in zaloga najpomembnejši, saj sta služili dejanski uporabi ljudi. Vsi ti argumenti so pripeljali do zakljucka, da je interes javnosti za razkritje zahtevanih informacij mocnejši od interesa, da se podatki o kolicini zašcitne opreme in medicinskih pripomockov v skladišcih organa zavarujejo zaradi varovanja tajnosti podatkov. Informacijski pooblašcenec je organu naložil, da z zahtevanih podatkov umakne stopnjo tajnosti in jih posreduje prosilcu.
 
KLJUCNE BESEDE: tajni podatki, test interesa javnosti, številka odlocbe 090-11/2022
Imena in priimki prejemnikov delovne uspešnosti, zaposlenih v javnem zavodu, morajo biti dostopni javnosti
Medicinska fakulteta Univerze v Ljubljani je zavrnila zahtevo novinarja za dostop do podatkov o imenih in priimkih 15 prejemnikov najvišjih izplacil za delovno uspešnost za leto 2021. Organ je zatrjeval, da zahtevane informacije niso z delovnega podrocja organa, saj so bila predmetna izplacila krita iz prihodkov z naslova blaga in storitev na trgu, zato ne gre za informacije javnega znacaja po prvem odstavku 4. clena ZDIJZ. Informacijski pooblašcenec je v pritožbenem postopku ugotovil nasprotno, kar je utemeljil z dejstvom, da je organ javni zavod, ustanovljen za namene opravljanja javne službe v visokem šolstvu, zato zanj primarno v celoti velja nacelo transparentnega delovanja, dolocene informacije pa je iz tega režima mogoce izvzeti le, ce so izkljucno zasebnopravne narave. Skladno z Zakonom o zavodih (ZZ) se javni zavod namrec lahko ustanovi za opravljanje javne službe in za opravljanje dejavnosti, ki niso opredeljene kot javna služba, ce se opravljanje dejavnosti zagotavlja na nacin in pod pogoji, ki veljajo za javno službo. V sodbi št. I Up 122/2006 z dne 25. 4. 2007 in v sklepu št. X Ips 96/2011 z dne 4. 7. 2012 je Vrhovno sodišce RS zavzelo stališce, da je mogoce govoriti o delovnem podrocju organov v smislu ZDIJZ tedaj, kadar je izvajanje dolocenih nalog ali dejavnosti urejeno s predpisi javnega prava, ki dolocajo obveznosti organov glede izvajanja teh nalog v okviru upravne ali druge javnopravne funkcije ter morebitne pravice, obveznosti ali pravne koristi posameznikov, ki iz tega posebnega javnopravnega režima izhajajo. Informacijski pooblašcenec je poudaril, da je izplacilo delovne uspešnosti javnim uslužbencem urejeno z javnopravnimi predpisi, in sicer z Zakonom o sistemu plac v javnem sektorju (ZSPJS) in z Uredbo o delovni uspešnosti iz naslova blaga in storitev na trgu. Poleg tega je razpolaganje organa s prihodki od prodaje blaga in storitev na trgu podvrženo nadzoru Racunskega sodišca, ki je najvišji organ kontrole državnih racunov, državnega proracuna in celotne javne porabe v Republiki Sloveniji. Kot del porabe javnih sredstev pa je razpolaganje organa s prihodki od prodaje blaga in storitev na trgu podvrženo tudi nadzoru javnosti. Iz vsega navedenega izhaja, da zahtevani podatki sodijo v delovno podrocje organa v smislu 4. clena ZDIJZ. Informacijski pooblašcenec je nadalje ugotovil, da so ti podatki povezani tako z opravljanjem delovnega razmerja javnega uslužbenca kot s porabo javnih sredstev, zato skladno s tretjim odstavkom 6. clena ZDIJZ ne sodijo med varovane osebne podatke, poleg tega pa je za njihovo posredovanje javnosti podana tudi neposredna zakonska podlaga v 38. clenu ZSPJS. Informacijski pooblašcenec je v zvezi s tem citiral tudi obširno prakso Upravnega sodišca RS in posebej izpostavil sodbo št. I U 1003/2010 z dne 30. 3. 2011. Upoštevaje vse navedeno je informacijski pooblašcenec pritožbi prosilca ugodil in organu naložil, da prosilcu posreduje zahtevane podatke.
KLJUCNE BESEDE: javni uslužbenci in funkcionarji, osebni podatek, številka odlocbe 090-68/2022
Zapisnik je pred potrditvijo na naslednji seji mogoce opredeliti kot dokument v postopku nastajanja
Obcina Piran je zavrnila zahtevo prosilca za dostop do programa dela nadzornega odbora obcine za leto 2022 in pobude, poslane Racunskemu sodišcu, ker z njima ne razpolaga, dostop do zapisnika 18. redne seje nadzornega odbora pa, ker ta še ni bil potrjen. Informacijski pooblašcenec je ugotovil, da je organ zadostno utemeljil razloge, zakaj z dvema izmed zahtevanih dokumentov ne razpolaga v materializirani obliki, poleg tega pa ni bilo nobenega razloga za dvom o navedbah organa, zato je v tem delu pritožbo zavrnil. Pritožbeni postopek namrec ne more biti namenjen prisili ustvarjanja ali pridobivanja informacij ali ugotovitvi, da bi dolocene informacije pri organu morale obstajati. Informacijski pooblašcenec je nadalje ugotovil, da je pri zahtevanem zapisniku seje nadzornega odbora podana izjema iz 9. tocke prvega odstavka 6. clena ZDIJZ, ker so kumulativno izpolnjeni vsi trije kriteriji, ki izhajajo iz navedene dolocbe in jih podrobneje doloca prvi odstavek 4. clena Uredbe o posredovanju in ponovni uporabi informacij javnega znacaja. Zahtevani zapisnik je še v postopku izdelave (prvi kriterij), saj je lahko še predmet posvetovanja (drugi kriterij) na naslednji seji nadzornega odbora. Zapisniki nadzornega odbora se namrec vsebinsko zakljucijo z njihovo potrditvijo na naslednji seji nadzornega odbora, kar je razvidno iz preteklih zapisnikov in poslovnika nadzornega odbora. Zahtevani zapisnik je torej pred potrditvijo (ki se izvede na naslednji seji) mogoce opredeliti kot dokument v postopku nastajanja, ki je še predmet posvetovanja in vsebinsko še ni zakljucen. Izpolnjen je tudi tretji kriterij (razkritje dokumenta bi povzrocilo napacno razumevanje njegove vsebine) za obstoj obravnavane izjeme, saj osnutek zapisnika povzema izjave posameznih clanov in njihova mnenja v zvezi z na seji obravnavano tematiko, pri cemer ta vsebina ni nujno zakljucena in se bo lahko še spreminjala. Pri zapisu vsebine zapisnika, npr. izjav posameznih clanov, lahko pride tudi do napacnih oz. pomanjkljivih zapisov (ker se izjave prisotnih ne beležijo dobesedno, ampak v obliki povzemanja) in clani imajo pred potrditvijo zapisnika pravico, da se glede tega izjasnijo in s tem vplivajo na dokoncno vsebino. Ker se v obravnavanem primeru clani nadzornega odbora še niso imeli možnosti seznaniti s predlogom zapisnika in ker zapisnik še ni potrjen v smislu, da je njegova vsebina zakljucena, bi z njegovim javnim razkritjem v tej fazi nedvomno lahko prišlo do napacnega razumevanja njegove vsebine. Javnost bi iz vsebine nezakljucenega zapisnika namrec lahko sklepala na dolocena dejstva, npr. na vsebino izjav clanov, ki pa še ni dokoncna). Do potrditve so seveda mogoci tudi popravki drugih delov predmetnega zapisnika (glasovanja …). Ker so izpolnjeni vsi trije kriteriji za obstoj obravnavane izjeme, je Informacijski pooblašcenec potrdil odlocitev organa, da se prosilcu dostop do zahtevanega zapisnika zavrne.
KLJUCNE BESEDE: dokument obstaja, dokument v izdelavi, številka odlocbe 090-60/2022
Podatki o vplacanih turisticnih taksah v obcini so podatki o porabi javnih sredstev, zato niso poslovna skrivnost poslovnih subjektov, ki jih pobirajo
Prosilec je od Obcine Jezersko zahteval dostop do podatkov o vplacanih turisticnih taksah v obcini Jezersko za doloceno obdobje, po mesecih in po nastanitvah. Organ je zahtevo zavrnil zaradi varstva poslovne skrivnosti (2. tocka prvega odstavka 6. clena ZDIJZ). Informacijski pooblašcenec je v pritožbenem postopku ugotovil, da zahtevani podatki ne predstavljajo poslovne skrivnosti, ker v zvezi s temi podatki niso kumulativno izpolnjene vse tri zahteve, ki jih doloca 2. clen Zakona o poslovni skrivnosti (ZPosS). V zvezi s tem je poudaril, da poslovna skrivnost pomeni strokovno znanje in izkušnje ter dragocene poslovne informacije, ki imetnikom omogocajo vecjo konkurencnost in uspešnost na trgu ter s tem povecujejo donosnost, zaradi cesar je v interesu imetnikov poslovnih skrivnosti, da te ostanejo nerazkrite oz. zaupne. Predmet zahteve pa niso tovrstne informacije, temvec podatki o zneskih, dolocenih z javnopravnimi predpisi, ki jih poslovni subjekti pobirajo v imenu in za racun organa javnega sektorja in ne v svojem imenu in za svoj racun. Poslovni subjekti, ki sprejemajo turiste na prenocevanje, hkrati s placilom storitev za prenocevanje ali najpozneje zadnji dan prenocevanja v imenu in za racun obcine oz. pristojne agencije pobirajo turisticno in promocijsko takso, pri cemer slednjo pobirajo in odvajajo tudi v primeru, da ne zaracunavajo placila storitev za prenocevanje (19. clen Zakona o spodbujanju razvoja turizma). Gre torej za podatke, ki se nanašajo na obvezno dajatev, doloceno z javnopravnimi predpisi. Poleg tega gre, z vidika 1. alineje tretjega odstavka 6. clena ZDIJZ, za podatke o porabi javnih sredstev, ki bi bili javno dostopni tudi, ce bi bili v obravnavanem primeru podani pogoji za poslovno skrivnost. Pojem porabe javnih sredstev je namrec treba razlagati širše (tako sodba Upravnega sodišca I U 764/2015-27 z dne 24. 8. 2016), kar pomeni, da je to vsako odplacno ali neodplacno razpolaganje s premoženjem, tudi sprememba ali pretvorba premoženja iz ene oblike v drugo, in tako poraba javnih sredstev niso le odlivi z racuna neke javne inštitucije, ampak tudi vse druge odplacne ali neodplacne oblike razpolaganja z javnimi sredstvi. Poraba javnih sredstev ni zgolj »trošenje«, pac pa so to vse oblike razpolaganja z javnimi sredstvi in v obravnavanem primeru gre za podatke, ki predstavljajo sredstva organa, torej javna sredstva. Informacijski pooblašcenec je s sklicevanjem na prakso Ustavnega sodišca RS (odlocbi št. U I 298/04 z dne 27. 10. 2005 in št. U I 84/03-15 z dne 17. 2. 2005) in dolocbe Zakona o Poslovnem registru pojasnil še, da podatkov fizicnih oseb kot nosilcev dejavnosti ne gre šteti kot osebne podatke v smislu definicije osebnega podatka, ker opravljajo pridobitno dejavnost na trgu (zato tudi ni podana izjema po 3. tocki prvega odstavka 6. clena ZDIJZ), in zakljucil, da je pritožbi prosilca treba ugoditi v celoti.
KLJUCNE BESEDE: poslovna skrivnost, številka odlocbe 090-144/2022
Zaradi izjeme varovanja tajnosti vira prijave je treba onemogociti tudi dostop do podatkov, ki zgolj posredno nakazujejo na identiteto prijavitelja, opravilnih številk pa iz tega razloga ni dopustno prekriti
Predmet zahteve so bili dokumenti iz treh zadev, v katerih je Inšpektorat za javni sektor presojal domnevne nepravilnosti v inšpekcijskih postopkih pri Inšpektoratu RS za šolstvo in šport (IRSŠŠ). Organ se je pri delni omejitvi dostopa skliceval na tretji odstavek 5.a clena ZDIJZ, ki doloca, da organ prosilcu zavrne dostop do zahtevane informacije ali njeno ponovno uporabo, ce se zahteva nanaša na podatek, glede katerega zakon doloca varovanje tajnosti vira. V skladu z drugim odstavkom 16. clena Zakona o inšpekcijskem nadzoru (ZIN) je inšpektor dolžan varovati tajnost vira prijave in vira drugih informacij, na podlagi katerih opravlja inšpekcijski nadzor. Navedena dolocba se nanaša izkljucno na vir prijave oz. drugih informacij, medtem ko vsebina prijave oz. informacij s to dolocbo ni zajeta. Zakonodajalec je na ta nacin, z varovanjem prijavitelja, vzpostavil širši, lahko bi rekli javen nadzor nad spoštovanjem in izvajanjem zakonov in organu omogocil še bolj ucinkovito delovanje. Prijavitelji bi se namrec zaradi morebitnih pritiskov kršiteljev bali o tem obvešcati pristojne organe, ki že po naravi stvari ne morejo imeti takšnega nadzora, kot ga imajo lahko skupaj s širšo javnostjo. Posledicno bi bilo vec nezakonitih stanj, kršitev, kar je zagotovo v nasprotju z interesom družbe – javnim interesom. Navedena dolocba je dejansko usmerjena v varovanje prijavitelja in kot taka iz prostega dostopa ne izkljucuje prijave na splošno. Prijava izpolnjuje vse pogoje informacije javnega znacaja po prvem odstavku 4. clena ZDIJZ, vendar pa je treba pri tem ugotoviti, ali je mogoce izvesti delni dostop v skladu s 7. clenom ZDIJZ na nacin, da se prosilcu ne razkrije vira prijave oz. prijavitelja. Za zagotovitev ustreznega ravnotežja med pravico dostopa do informacij javnega znacaja in varstvom identitete prijavitelja je treba onemogociti dostop tudi do tistih podatkov, ki zgolj posredno nakazujejo na identiteto prijavitelja (tako tudi Upravno sodišce RS v sodbi št. II U 456/2016-13 z dne 23. 8. 2017). Informacijski pooblašcenec je ugotovil, da so obravnavane prijave in njihove priloge (v katerih so pobude organu za uvedbo inšpekcijskega nadzora) napisane na nacin, da se zgolj s prekritjem vira prijave in vira drugih informacij, na podlagi katerih se je opravil inšpekcijski nadzor, tajnost prijavitelja ne bi mogla varovati, kar pomeni, da instituta delnega dostopa ni mogoce uporabiti, kot je to pravilno ugotovil že organ, zato je bilo treba v tem delu pritožbo zavrniti. Med zahtevanimi dokumenti pa so se nahajali tudi druge vrste dokumenti, v katerih je organ poleg osebnih podatkov o prijavitelju prekril tudi opravilne številke zadev pri IRSŠŠ, na katere so se pobude nanašale. V primeru, kot je obravnavani, ko je omejen dostop do pobude in prilog k pobudi, opravilna številka zadeve pri IRSŠŠ ne daje informacij o prijavitelju. Informacija o opravilni številki podaja povezavo med pobudo pri organu in zadevo pri IRSŠŠ, ne razkriva pa podatkov o prijavitelju. Bojazen in skrb glede varovanja vira prijave bi bila utemeljena, ce bi bil prijavitelj pri organu lahko le stranka ali prijavitelj pri IRSŠŠ, vendar je glede na naravo transparentnega delovanja IRSŠŠ, ki proaktivno objavlja anonimizirano dokumentacijo iz svojih zadev, krog oseb, ki so z zadevo seznanjene, nedolocljiv. Tudi ce se pobuda poveže z zadevo pri IRSŠŠ, torej to še ne omogoca razkritja podatka o viru prijave in prijavitelju v postopku pri organu. Informacijski pooblašcenec je zato pritožbi prosilca v tem delu ugodil, ker je ugotovil, da je organ nepravilno uporabil izjemo iz tretjega odstavka 5. a clena ZDIJZ in neutemeljeno zavrnil dostop do opravilnih številk.
KLJUCNE BESEDE: tajnost vira, številka odlocbe 090-147/2022
Podatki izbranega kandidata o izpolnjevanju pogojev za zasedbo vodilnega delovnega mesta v državni družbi so javni
Družba Pošta Slovenije, d. o. o., je, s sklicevanjem na varstvo osebnih podatkov (3. tocka prvega odstavka 6. clena ZDIJZ), v celoti zavrnila zahtevo prosilca za dostop do dokumentacije, ki se nanaša na kandidaturo aktualnega generalnega direktorja, in dostop do zapisnika seje nadzornega sveta, na kateri je bil ta imenovan za generalnega direktorja. Informacijski pooblašcenec je v pritožbenem postopku ugotovil, da del zahtevane  dokumentacije predstavlja informacijo javnega znacaja, kot jo opredeljuje 4.a clen ZDIJZ, in sicer gre za informacijo v zvezi z zaposlitvijo ali imenovanjem clana poslovodstva organa, iz katere je razvidno izpolnjevanje pogojev in meril za zaposlitev ali imenovanje. Navedeno dolocbo je treba razlagati po jezikovni razlagi in ne širiti pomena besed. »Informacija v zvezi z zaposlitvijo ali imenovanjem, iz katere je razvidno izpolnjevanje pogojev in meril za zaposlitev ali imenovanje« pomeni le dokumente, iz katerih neposredno izhaja izpolnjevanje pogojev in meril, ne zavzema pa dokumentov, ki se posredno nanašajo na izpolnjevanje pogojev in meril (npr. navajanje teh podatkov v razpravi v zvezi z izpolnjevanjem pogojev in meril). Zahtevani zapisnik se le posredno nanaša na informacije v zvezi z zaposlitvijo oz. imenovanjem generalnega direktorja, iz katerih je razvidno izpolnjevanje pogojev in meril za zaposlitev ali imenovanje, zato ne izpolnjuje pogojev za opredelitev informacije javnega znacaja po 4.a clenu ZDIJZ. Obravnavani zapisnik namrec ne vsebuje dokumentov, iz katerih je razvidno izpolnjevanje pogojev in meril za zaposlitev ali imenovanje, temvec vsebuje porocilo o delu kadrovske komisije organa, razpravo, ki je potekala v zvezi s tem porocilom, in postopek sprejemanja sklepov, vezanih na imenovanje generalnega direktorja. V tem delu je Informacijski pooblašcenec pritožbo zavrnil. V preostalem delu pa je Informacijski pooblašcenec pritožbi delno ugodil. Najprej je ugotovil, da je preostala zahtevana dokumentacija (porocila zaposlitvene agencije, diploma, program dela, potrdila o delovnih izkušnjah, potrdilo o nekaznovanosti, potrdila o izobraževanju, certifikat, življenjepis) informacija javnega znacaja po 4.a clenu ZDIJZ, ker gre za dokumente, iz katerih je neposredno razvidno izpolnjevanje predpisanih pogojev in meril za zaposlitev ali imenovanje generalnega direktorja. V konkretnem primeru je možna izvedba delnega dostopa s prekritjem varovanih osebnih podatkov, ki jih vsebuje obravnavana dokumentacija, razen pri psihološkem porocilu, ker se v njem prepletajo podatki, iz katerih je razvidno izpolnjevanje pogojev in meril za zaposlitev ali imenovanje generalnega direktorja, pa tudi mnogi drugi podatki, ki so pretežno iz zasebne sfere izbranega kandidata. Ob upoštevanju nacela sorazmernosti je Informacijski pooblašcenec zakljucil, da psihološko porocilo vsebuje mnogo vec informacij o posamezniku, kot pa zgolj pogoje v smislu strokovnih, organizacijskih in drugih sposobnosti za opravljanje najodgovornejših nalog, vse te informacije pa se v besedilu nelocljivo prepletajo, kar ob upoštevanju dejstva, da je javno znano, kdo je bil v konkretnem postopku izbrani kandidat, pomeni, da delni dostop ni mogoc. Ce pa bi pri izvedbi delnega dostopa prekrili vse osebne podatke na nacin, da bi preprecili ogrozitev zaupnosti varovanih informacij, bi psihološko porocilo ob uporabi instituta delnega dostopa popolnoma izgubilo svojo vrednost, zato dostop za prosilca ne bi bil vec smiseln. Izvedba delnega dostopa v primeru psihološkega porocila zato ni možna oz. smiselna, iz cesar izhaja, da je bila odlocitev organa v tem delu pravilna. Do vsebinsko enake presoje pripelje tudi izvedba testa interesa javnosti. Javnost ima namrec upravicen interes izvedeti, na kakšen nacin država izvaja politiko na podrocju kadrovanja v družbah v 100 % lasti države in katere kvalitete, znanja in izkušnje država, prek nadzornega sveta družbe, šteje kot odlocilne pri izbiri kandidatov za zasedbo najbolj odgovornih delovnih mest. Glede na objave v medijih pred imenovanjem in ob imenovanju aktualnega generalnega direktorja v javnosti ocitno prevladuje mnenje, da je za zasedbo tega delovnega mesta pomembna politicna pripadnost, ne pa sama strokovnost. Šele konkretne informacije pripomorejo k temu, da lahko državljani razumejo posledice sprejetih odlocitev oz. izrazijo morebitne (relevantne) pomisleke glede takih odlocitev. Glede na to, da bodo odlocitve generalnega direktorja vplivale na delovanje organa, na njegovo uspešnost in ucinkovitost, posledice pa bodo obcutili vsi državljani, generalni direktor nedvomno sodi med relativne javne osebnosti, kar pomeni, da lahko utemeljeno pricakuje, da je njegova zasebnost zmanjšana v delu, ki je povezan z zasedbo obravnavanega delovnega mesta v državni družbi. Javni interes za razkritje dokumentov iz postopka izbire kandidata za delovno mesto generalnega direktorja organa, iz katerih izhaja izpolnjevanje pogojev, na podlagi katerih je bil posledicno imenovan izbrani kandidat, zato nedvomno pretehta nad interesom konkretnih posameznikov za omejitev dostopa do zahtevanih dokumentov.
KLJUCNE BESEDE: ali gre za informacijo javnega znacaja, osebni podatek, poslovni subjekt pod prevladujocim vplivom, številka odlocbe 090-170/2022
Informacija javnega znacaja je le informacija o višini dogovorjenega ali izplacanega prejemka, ne pa tudi informacija o nacinu izracuna tega prejemka
Prosilec je od družbe Telekom Slovenije, d. d., zahteval izracun spremenljivega prejemka za leto 2020 in pojasnila k izracunu, predvsem za kvalitetne kazalnike izracuna ter zvocni posnetek sej kadrovske komisije in nadzornega sveta v delu, v katerem se je obravnaval zahtevani spremenljivi prejemek. Informacijski pooblašcenec je v pritožbenem postopku sledil odlocitvi zavezanca v izpodbijanem odgovoru, da zahtevane informacije ne spadajo med informacije javnega znacaja iz 4.a clena ZDIJZ, zato je pritožbo prosilca zavrnil. Skladno z navedeno dolocbo je informacija javnega znacaja le informacija o višini dogovorjenega ali izplacanega prejemka ali bonitete, ne pa tudi informacija o nacinu izracuna ter pojasnila, ki se nanašajo na izracun, in zvocni posnetek seje, na kateri je bil obravnavan ta prejemek. Predmetno dolocbo je treba razlagati po njeni jezikovni razlagi in ne širiti pomena besed. Beseda »višina« pomeni zapis vrednosti prejemka, ne vkljucuje pa nacina izracuna ter prepisa zvocnega zapisa seje, na kateri je bila ta višina obravnava oz. dolocena. Ce bi zakonodajalec imel namen, da so poslovni subjekti pod prevladujocim vplivom zavezani na celotnem podrocju svojega delovanja, zanje ne bi uzakonil drugacne ureditve oz. bi jih uvrstil med zavezance po 1. clenu ZDIJZ. Definicija informacije javnega znacaja je pri poslovnih subjektih pod prevladujocim vplivom torej definirana znatno ožje kot pri organih, ki so zavezani po 1. clenu ZDIJZ. Da zakonodajalec pod »informacijo o višini prejemka« ni štel tudi nacina izracuna prejemka s pojasnili k izracunu, predvsem pa ne tudi zvocnega posnetka seje, na kateri se je tovrstni prejemek obravnaval, izhaja tudi iz dvanajstega odstavka 10.a clena ZDIJZ, ki doloca, da so poslovni subjekti pod prevladujocim vplivom dolžni informacije iz 2. alineje prvega odstavka 4. a clena ZDIJZ proaktivno objaviti na svojih spletnih straneh, pri cemer jasno specificira, za katere informacije gre, in sicer: osebno ime, dogovorjena višina mesecnih prejemkov, dogovorjena višina odpravnine ter skupna višina neto izplacanih prejemkov v preteklem letu. Poleg tega v obravnavani zadevi niso izpolnjeni pogoji iz drugega odstavka 4.a clena ZDIJZ, po katerem so pri poslovnih subjektih pod prevladujocim vplivom oseb javnega prava informacije javnega znacaja tudi informacije, ki so nastale na podlagi pravnih poslov iz 1. alineje prvega odstavka tega clena oz. so z njimi neposredno povezane, ce je, ne glede na dolocbe prvega odstavka 6. clena tega zakona, za njihovo razkritje podan prevladujoc javni interes iz drugega odstavka 6. clena tega zakona.
KLJUCNE BESEDE: ali gre za informacijo javnega znacaja, osebni podatek, poslovni subjekt pod prevladujocim vplivom, številka odlocbe 09021-5/2022
Absolutno javni so podatki, ki so bili glede na javno narocilo relevantni za odlocitev organa o izbiri ponudbe in jih je moral ponudnik predložiti v okviru dokazovanja izpolnjevanja razpisnih pogojev
Prosilci so pri Ministrstvu za javno upravo zahtevali dostop do celotne ponudbene dokumentacije, ki jo je na javnem narocilu oddal izbrani ponudnik, ter celotno komunikacijo med narocnikom in izbranim ponudnikom v fazi pregleda in oddaje ponudb. Organ je zahtevo delno zavrnil zaradi varstva poslovne skrivnosti (2. tocka prvega odstavka 6. clena ZDIJZ). Informacijski pooblašcenec je v pritožbenem postopku ugotovil, da med narocnikom in izbranim ponudnikom v fazi pregleda in oddaje ponudb ni bilo medsebojne korespondence, zato je pritožbo v tem delu zavrnil. V preostalem delu je pritožbi prosilca ugodil. Ugotovil je namrec, da je izbrani ponudnik poslovno skrivnost sicer izkazoval s sprejetim sklepom o dolocitvi poslovne skrivnosti, vendar pa Zakon o poslovni skrivnosti (ZPosS) v tretjem odstavku 2. clena doloca, da se za poslovno skrivnost ne morejo dolociti informacije, ki so po zakonu javne. Gre za t. i. absolutno javne podatke, tj. podatke, na razkritje katerih volja »prizadetega« poslovnega subjekta nima vpliva. Zahtevana dokumentacija je bila oddana v postopku javnega narocila, zato je treba upoštevati drugi odstavek 35. clena ZJN-3, na podlagi katerega so vselej javni: specifikacija ponujenega blaga, storitve ali gradnje in kolicina iz te specifikacije, cena na enoto, vrednost posamezne postavke in skupna vrednost iz ponudbe ter vsi tisti podatki, ki so vplivali na razvrstitev ponudbe v okviru drugih meril. Poleg tega so predmet pritožbe podatki izbranega ponudnika, zato je treba upoštevati tudi dolocbo 1. alineje tretjega odstavka 6. clena ZDIJZ, po kateri se ne glede na izjeme iz prvega odstavka 6. clena ZDIJZ dostop do zahtevane informacije dovoli, ce gre za podatke o porabi javnih sredstev. Za poslovno skrivnost v postopkih javnega narocanja namrec ni mogoce dolociti tistih podatkov iz predložene ponudbe, ki odražajo izpolnjevanje pogojev, saj je na podlagi ocene organa, da je ponudnik izpolnjeval vse pogoje, prišlo do porabe javnih sredstev (tako tudi Upravno sodišce v sodbi št. I U 1647/2017-29 z dne 6. 3. 2019). Ker je Informacijski pooblašcenec ugotovil, da so prosilci zahtevali podatke, ki so bili glede na predmetno javno narocilo relevantni pri presoji organa, ko je odlocal o izbiri ponudbe, hkrati pa so tudi izrecno navedeni kot dokumenti, ki jih je moral stranski udeleženec kot ponudnik predložiti v okviru dokazovanja izpolnjevanja razpisnih pogojev, je kot prosto dostopne dolocil: predložene ESPD obrazce, licence, pooblastilo za izvajanje požarnega varovanja, certifikate, potrdila o prijavi podatkov o pokojninskem in invalidskem ter zdravstvenem zavarovanju, zavarovanju za starševsko varstvo in zavarovanju za primer brezposelnosti, razlicna pooblastila za preverjanje podatkov, podatke o placilni sposobnosti, pogodbo s podizvajalcem, BON AJPES, predložene reference in zavarovalne police. Organ je navedene dokumente dolžan posredovati prosilcem, pri cemer mora prekriti varovane osebne podatke (3. tocka prvega odstavka 6. clena ZDIJZ).
 
KLJUCNE BESEDE: javna narocila, poslovna skrivnost, številka odlocbe 090-24/2022
Analiza stanja obremenitve zdravnikov ni izjema notranjega delovanja organa, njeno razkritje je celo v javnem interesu
Univerzitetni klinicni center je zavrnil dostop do »Posnetka stanja obremenitev zdravnikov specialistov za leto 2019 in obdobje januar–avgust 2021 na Ortopedski kliniki«, zaradi izjeme notranjega delovanja organa (11. tocka prvega odstavka 6. clena ZDIJZ). Glede navedene izjeme morata biti kumulativno izpolnjena naslednja kriterija: (1) podatek mora izhajati iz dokumenta, ki je bil sestavljen v zvezi z notranjim delovanjem oz. dejavnostjo organa, in (2) razkritje takšnega podatka bi povzrocilo motnje pri delovanju oz. dejavnosti organa. Informacijski pooblašcenec je v pritožbenem postopku ugotovil, da je podan prvi pogoj zatrjevane izjeme, kar izhaja iz vsebine in oblike dokumenta, ki nakazuje, da je bil dejansko namenjen za obravnavo na seji sveta organa, zato se utemeljeno razume kot »notranji dokument«. Pri preizkusu obstoja drugega kriterija je Informacijski pooblašcenec ugotovil, da organ v izpodbijani odlocbi ni navedel, kakšna škoda oz. motnja bi z razkritjem zahtevanega dokumenta nastala, saj je zgolj na splošno navedel, da bi razkritje »ogrozilo razvoj klinike«. Kljucno za odlocitev v zadevi je, da zahtevani dokument izkazuje delo zdravnikov v javnem zavodu, ki so javni uslužbenci in so kot taki podvrženi transparentnosti tudi na podlagi 1. alineje tretjega odstavka 6. clena ZDIJZ, ki izrecno doloca, da se dostop do informacij dovoli, ce gre za podatke, povezane z opravljanjem delovnega razmerja javnega uslužbenca. Poleg tega se s prostim dostopom do zahtevanega dokumenta ne bi v nicemer poseglo v možnost kriticnega in inovativnega razmišljanja o nacrtovanju in ucinkoviti organizaciji dela zdravnikov oz. v izboljšavo dela Ortopedske klinike, kar je bil sicer namen tega dokumenta, kot je navedel organ. Iz vsega navedenega izhaja, da ne obstaja resna in konkretna nevarnost povzrocitve motenj v delovanju organa zaradi seznanitve prosilca z zahtevanim dokumentom, kar pomeni, da zatrjevana izjema ni podana. Poleg tega je za razkritje izkazan interes javnosti, saj lahko prosilec kot medij z dostopom do vsebine zahtevane »analize oz. posnetka stanja obremenitve« kot informacije javnega znacaja pomembno prispeva h kakovostni javni razpravi o vprašanju dolgih cakalnih vrst v zdravstvu na splošno kakor tudi konkretno na Ortopedski kliniki, kar je v Sloveniji že vrsto let družbeno pereca tema. Treba je upoštevati tudi, da je zahtevana analiza povezana s porabo javnih sredstev in z izvajanjem javne službe, torej z zagotavljanjem zdravstvene dejavnosti Ortopedske klinike, ki se vselej izvaja v javnem interesu. Tudi iz sodne prakse izhaja, da je interes javnosti za razkritje mocan takrat, ko so ogrožene vrednote, kot so življenje, zdravje ali varnost ljudi, in v tem primeru gre za vprašanje zdravja. Zato ni samo prav, temvec je nujno in legitimno, da ima prosilec in posledicno tudi javnost dostop do zahtevanega dokumenta. Informacijski pooblašcenec je zato pritožbi prosilca ugodil v celoti.
KLJUCNE BESEDE: notranje delovanje organa, številka odlocbe 090-309/2022

2.6 AKTIVNOSTI IZOBRAŽEVANJA IN OZAVEŠCANJA
Nacelo transparentnosti je eden temeljnih postulatov vsake demokraticne družbe, zato mora (p)ostati eno vodilnih nacel delovanja organov javnega sektorja. Odprtost in preglednost delovanja javnih organov sta bistvenega pomena za njihovo boljše delovanje, kar hkrati prinaša koristi vsem clanom družbe. Zato Informacijski pooblašcenec pozornost namenja tudi ozavešcanju strokovne in splošne javnosti, s cimer spodbuja dobro prakso na podrocju dostopa do informacij javnega znacaja.
2.6.1 DAN PRAVICE VEDETI
V zadnjem tednu septembra po vsem svetu potekajo aktivnosti, ki zaznamujejo svetovni dan pravice vedeti (28. september). Ta dan so leta 2002 razglasile nevladne organizacije, povezane v mrežo Freedom of Information Advokates Network (FOIAnet), leta 2015 ga je za svetovni dan dostopa do informacij izglasovala Generalna konferenca UNESCA, na 74. Generalni skupšcini Združenih narodov leta 2019 pa je bil ta dan razglašen za mednarodni dan univerzalne pravice dostopa do informacij.
V okviru dogodkov ob svetovnem dnevu pravice vedeti je Informacijski pooblašcenec 28. 9. 2022 v Hiši Evropske unije organiziral dogodek z naslovom Hitro in ucinkovito do informacij javnega znacaja.
Dogodek je odprla informacijska pooblašcenka Mojca Prelesnik, ki je predstavila ugotovitve o stanju na podrocju dostopa do informacij javnega znacaja v Sloveniji. Poudarila je, da število pritožb že nekaj let narašca, zlasti ostaja visoko število pritožb zaradi molka, ki je v letu 2021 predstavljajo kar 38 % vseh pritožb. Skrb vzbujajoca je tudi ugotovitev, da raste število pritožb zoper ravnanja državnih organov, zlasti zoper ministrstva in upravne enote, ter število pritožb, ki jih vlagajo mediji.
V nadaljevanju dogodka so strokovne sodelavke Informacijskega pooblašcenca predstavile rešitve na konkretnih podrocjih, ki bodo zavezancem omogocile lažje delo v praksi. Ceprav je od uveljavitve ZDIJZ leta 2022 minilo že 19 let, Informacijski pooblašcenec opaža, da imajo zavezanci v praksi še vedno težave pri njegovem izvajanju. To je povezano z organizacijskimi spremembami državne uprave, spremembami zakonodaje na drugih podrocjih in hitrim razvojem prakse. Na drugi strani pa so prosilci z ZDIJZ dobro seznanjeni in pogosteje uveljavijo pravna sredstva, zato se povecuje število pritožb in tudi upravnih sporov, kjer so tožniki prosilci.
Dogodek ob dnevu pravice vedeti, Ljubljana, 28. 9. 2022.
Da bi do informacij javnega znacaja lahko dostopali hitreje in bolj ucinkovito, Informacijski pooblašcenec svetuje, da zavezanci informacije v cim vecji meri objavljajo proaktivno, v primeru zahteve za dostop pa jih prosilcem posredujejo v predpisanih rokih. Prosilci naj zahteve za dostop do informacij javnega znacaja vlagajo premišljeno, to je na nacin, ki zavezancev ne obremenjuje prekomerno, a javnosti vseeno omogoca nadzor nad delom javnega sektorja in sodelovanje pri družbeno pomembnih odlocitvah. 
Transparentnost prispeva k odprti in demokraticni družbi, zmanjšuje korupcijo in vpliva na boljše delovanje javne uprave. Hiter in ucinkovit dostop do informacij javnega znacaja tako ni le v interesu posameznih prosilcev, ampak v interesu celotne družbe.
2.6.2 MEDNARODNO SODELOVANJE
6. in 7. oktobra 2022 je v Severni Makedoniji, v Strugi, potekalo 3. srecanje Iniciative 2020, združenja, ustanovljenega oktobra 2020, ki je nastalo na pobudo slovenskega Informacijskega pooblašcenca in v katerega so se povezali pritožbeni organi s podrocja dostopa do informacij javnega znacaja iz Slovenije, Hrvaške, Bosne in Hercegovine, Crne gore, Srbije, Kosova in Severne Makedonije. Namen združenja je krepitev sodelovanja in izmenjava dobrih praks pri promociji in varstvu pravice dostopa do informacij javnega znacaja. 
Udeleženci so sprejeli skupno stališce, da je v prihodnje treba bolj poudarjati vlogo proaktivne transparentnosti (npr. proaktivna javna objava informacij in posodabljanje že objavljenih informacij) na podrocju dostopa do informacij javnega znacaja kot orodja za doseganje vecje transparentnosti, odgovornosti in odprtosti organov. Udeleženci so se strinjali, da Konvencija Sveta Evrope o dostopu do uradnih dokumentov daje vladam pomembno pravno podlago za spodbujanje demokraticnega upravljanja in odprtosti ter tudi za krepitev participativne demokracije pri uresnicevanju drugih clovekovih pravic in temeljnih svobošcin. Udeleženci srecanja so bili enotni, da morajo biti navedena nacela, evropski standardi in Konvencija Sveta Evrope o dostopu do uradnih dokumentov temelj za izvrševanje nacionalnih zakonov o dostopu do informacij javnega znacaja in pomemben steber za zašcito ustavno zagotovljene clovekove pravice, pravice vedeti.
2.7 SPLOŠNA OCENA IN PRIPOROCILA
Splošna ocena in priporocila na podrocju dostopa do informacij javnega znacaja
V letu 2022 je Informacijski pooblašcenec na tem podrocju obravnaval 971 zadev, od tega 696 pritožb ter 275 zaprosil za neformalna mnenja. Zoper zavrnilne odlocbe organov je Informacijski pooblašcenec vsebinsko obravnaval 413 zadev in izdal 368 odlocb ter 9 sklepov o zakljucku postopka. Povprecen cas reševanja pritožbene zadeve je bil 30 dni.
Tudi v letu 2022 je število pritožbenih zadev ostalo visoko in se je vnovic povecalo glede na leto pred tem (696 v letu 2022, 639 v letu 2021 in 565 v letu 2020), pri cemer se je povecalo število pritožb zoper zavrnilne odlocbe, število pritožb zoper molk pa je ostalo na primerljivi ravni kot leto pred tem. Še vedno je bilo najvec pritožb vloženih zoper državne organe, spodbudno pa je, da je skupno število pritožb zoper to skupino zavezancev v letu 2022 upadlo (283 v letu 2022 v primerjavi z letom 2021, ko je bilo takih pritožb 338). Znova se je nekoliko povecalo skupno število pritožb zoper obcine (122 v letu 2022 v primerjavi s 107 v letu 2021), kar lahko pripišemo casu lokalnih volitev, v katerem je bilo na obcine zaradi povecanega interesa prosilcev vloženih vec zahtev. Iz statisticnih podatkov namrec izhaja, da je število pritožb zaradi molka obcin nekoliko upadlo (45 v letu 2022 v primerjavi s 46 v letu 2021), kar kaže na to, da se odzivnost obcin ni zmanjšala, temvec se je že tretje leto nekoliko izboljšala. Že drugo leto zapored je upadlo tudi število pritožb zoper poslovne subjekte pod prevladujocim vplivom, ki pa že vsa leta ostaja nizko (6).
Glede na to, da se je, ob zmanjšanju števila pritožb zoper državne organe in obcine, skupno število pritožbenih zadev povecalo, gre ugotoviti, da se je povecalo število pritožb zoper druge kategorije zavezancev, predvsem zoper javne zavode in druge osebe javnega prava. Gre za skupino zavezancev, ki spada v širši javni sektor in se z zahtevami za dostop do informacij javnega znacaja ne srecuje vsakodnevno, zato ima omejeno poznavanje tega podrocja. Vprašanja, s katerimi se pri teh zavezancih srecuje Informacijski pooblašcenec, kažejo, da ima ta skupina tudi omejeno poznavanje postopkovnih pravil, to je Zakona o splošnem upravnem postopku, kar še poslabša hitro in ucinkovito posredovanje informacij javnega znacaja v praksi. Ker gre za vecjo specificno skupino zavezancev, Informacijski pooblašcenec poziva Ministrstvo za javno upravo, naj ji nameni vec pozornosti, npr. v obliki dodatnega usposabljanja, izdaje mnenj in smernic … Ker je Informacijski pooblašcenec na podrocju dostopa do informacij javnega znacaja pritožbeni organ, lahko namrec sam zavezancem in javnosti svetuje le neformalno, v okviru dosedanje prakse. Primere svoje prakse Informacijski pooblašcenec redno objavlja na svoji spletni strani, pri cemer se trudi, da je ta ažurna in da so objave pregledno dostopne, vse z namenom olajšati delo zavezancev in seznanjati javnost s pomenom te temeljne clovekove pravice. V letu 2022 je Informacijski pooblašcenec prejel 275 pisnih prošenj za neformalno pomoc ali mnenje, odgovoril pa je tudi na 838 zaprosil v okviru telefonskega dežurstva.
Informacijski pooblašcenec pozdravlja aktivno vlogo Ministrstva za javno upravo pri ratifikaciji Konvencije Sveta Evrope o dostopu do uradnih dokumentov (Tromsř konvencija). Gre za prvi zavezujoci mednarodni instrument, ki vsakomur priznava pravico dostopa do uradnih dokumentov, ki jih hranijo javni organi. Konvencija temelji na ugotovitvah, da uresnicevanje pravice dostopa do uradnih dokumentov zagotavlja javnosti vir informacij, ji pomaga, da si ustvari mnenje o stanju družbe in javnih organih, krepi integriteto, ucinkovitost, uspešnost in odgovornost javnih organov ter s tem pomaga utrjevati njihovo legitimnost. Upošteva tudi, da so vsi uradni dokumenti naceloma javni in da se od tega lahko odstopi samo zaradi varovanja drugih pravic in legitimnih interesov. Na nujnost ratifikacije te konvencije je Informacijski pooblašcenec opozarjal že vse od leta 2009, ko je bila Slovenija v skupini prvih držav, ki so konvencijo podpisale na srecanju pravosodnih ministrov v Tromsu na Norveškem. Po vecletni stagnaciji je Slovenija 14. država, ki je to konvencijo ratificirala, kar je vsekakor dobra zaveza k še boljšemu delu v praksi.
Na podlagi konkretnih pritožbenih primerov Informacijski pooblašcenec podaja naslednje ugotovitve in priporocila za delo v prihodnje:
-	
Informacijski pooblašcenec je v letu 2022 znova zaznal povecanje števila primerov, v katerih so se zavezanci pri zavrnitvi dostopa sklicevali na zlorabo pravice. Ob tem je ugotovil, da se zavezanci na ta institut pogosto sklicujejo neutemeljeno, svoje odlocitve pa ne konkretizirajo in ne argumentirajo v zadostni meri. Kriterije, ki opredeljujejo zlorabo pravice, je v praksi namrec treba razlagati ozko in v vsakem primeru posebej. Utemeljitev obstoja zlorabe pravice mora torej vselej ostati skrajno sredstvo in se sme uporabiti le v primeru, ce od organa objektivno ni mogoce pricakovati, da bi zahteve prosilca obravnaval v skladu z dolocbami ZDIJZ. Ob tem je treba upoštevati, da so se za opredelitev zlorabe pravice v praksi Informacijskega pooblašcenca in sodni praksi že razvili kriteriji, ki naj jim zavezanci, v izogib stroškom in zavlacevanju postopkov, v cim vecji meri sledijo. 

-	
Tudi v letu 2022 je Informacijski pooblašcenec ugotovil, da zavezanci pri obravnavi zahtev ne namenijo dovolj pozornosti sestavi ustrezne zavrnilne odlocbe. Delno k temu prispeva nezadostno poznavanje postopkovnih pravil (ZUP), delno pa pomanjkljiv ugotovitveni postopek (npr. dostop se zavrne zaradi izjeme, ne da bi organ predhodno preveril, ali z zahtevanimi dokumenti sploh razpolaga). Ker so primeri, s katerimi se zavezanci srecujejo v praksi, vsebinsko in procesno vedno bolj kompleksni ter terjajo poglobljeno poznavanje podrocja dela organa in dobro poznavanje pravil upravnega postopka, Informacijski pooblašcenec zavezancem predlaga, da kot uradne osebe za dostop do informacij javnega znacaja dolocijo osebe, ki s tovrstnimi znanji razpolagajo, ce je potrebno, pa jih napotijo na dodatno izobraževanje.

-	
Informacijski pooblašcenec je v letu 2022 v praksi zaznal vecje število pritožb prosilcev, ki od zavezancev ne zahtevajo dokumentov, ampak pojasnila, razlage, stališca, ukrepanje … V zvezi s tem velja opozoriti, da iz definicije informacije javnega znacaja, kot jo doloca 4. clen ZDIJZ, izhaja, da zavezanci za potrebe prosilca zahtevane informacije niso dolžni ustvariti oz. jo pridobiti, ce v casu odlocanja o zahtevi z njo ne razpolagajo. ZDIJZ ne predstavlja instrumenta za zagotavljanje informiranosti prosilcev izven dometa samega zakona, ki konkretizira pravico pridobivanja že ustvarjenih dokumentov, s katerimi zavezanci dejansko razpolagajo. Informacijski pooblašcenec zavezancem svetuje, da v tovrstnih primerih zahtev prosilcev ne obravnavajo kot zahteve za dostop do informacij javnega znacaja, ampak jim odgovorijo (npr. podajo pojasnijo, razloge za neuvedbo inšpekcijskega postopka ...) na podlagi podrocnih predpisov oz. Uredbe o upravnem poslovanju.





3.1 KONCEPT VARSTVA OSEBNIH PODATKOV V REPUBLIKI SLOVENIJI
Koncept varstva osebnih podatkov v Republiki Sloveniji temelji na dolocbi 38. clena Ustave RS, po kateri je varstvo osebnih podatkov ena izmed zagotovljenih clovekovih pravic in temeljnih svobošcin. Omenjena dolocba zagotavlja varstvo osebnih podatkov, prepoveduje uporabo osebnih podatkov v nasprotju z namenom njihovega zbiranja, vsakomur zagotavlja pravico do seznanitve z zbranimi osebnimi podatki, ki se nanašajo nanj, ter pravico do sodnega varstva ob njihovi zlorabi. 
Za normativno urejanje varstva osebnih podatkov je pomemben predvsem drugi odstavek 38. clena Ustave RS, ki doloca, da zbiranje, obdelovanje, namen uporabe, nadzor in varstvo tajnosti osebnih podatkov doloca zakon (splošen, sistemski zakon in podrocni zakoni). Gre za t. i. obdelovalni model z dolocenimi pravili za urejanje dopustne obdelave osebnih podatkov na zakonski ravni. Po tem modelu je na podrocju obdelave osebnih podatkov prepovedano vse, razen tistega, kar je z zakonom izrecno dovoljeno. Vsaka obdelava osebnih podatkov namrec pomeni poseg v z ustavo varovano clovekovo pravico. Zato je tak poseg dopusten, ce je v zakonu dolocno opredeljeno, kateri osebni podatki se smejo obdelovati, namen njihove obdelave, zagotovljeno pa mora biti tudi ustrezno varstvo in njihovo zavarovanje. Namen obdelave osebnih podatkov mora biti ustavno dopusten, obdelovati pa se smejo le tisti osebni podatki, ki so primerni in za uresnicitev namena nujno potrebni. 
Ureditev varstva osebnih podatkov v sistemskem zakonu je potrebna zaradi enotne dolocitve nacel, pravil in obveznosti ter zaradi zapolnitve pravnih praznin, ki bi lahko nastale v podrocnih zakonih. Kljucni sistemski zakon glede varstva osebnih podatkov je bil do 25. 5. 2018 Zakon o varstvu osebnih podatkov.
V okviru reforme varstva osebnih podatkov na ravni EU pa sta bila 4. 5. 2016 v Uradnem listu EU objavljena kljucna gradnika novega zakonodajnega svežnja EU o varstvu osebnih podatkov, in sicer:
•	
Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. 4. 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) in

•	
Direktiva (EU) 2016/680 Evropskega parlamenta in Sveta z dne 27. 4. 2016 o varstvu posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprecevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, in o prostem pretoku takih podatkov ter o razveljavitvi Okvirnega sklepa Sveta 2008/977/PNZ (Direktiva 2016/680).


                                                                    
Splošna uredba o varstvu podatkov (Splošna uredba; ang. General Data Protection Regulation (GDPR)) je zacela veljati 25. 5. 2016, uporablja pa se neposredno od 25. 5. 2018. Direktiva (EU) 2016/680 je bila v nacionalno zakonodajo prenesena z Zakonom o varstvu osebnih podatkov na podrocju obravnavanja kaznivih dejanj (ZVOPOKD), ki je zacel veljati 31. 12. 2020. 
S Splošno uredbo so se okrepile pravice posameznika, poleg obstojece pravice dostopa do osebnih podatkov ter pravice do popravka še pravica do pozabe, izbrisa, omejitve obdelave, ugovora in prenosljivosti podatkov. Precej vecji poudarek je zdaj na transparentnosti obdelave, tj. glede zagotavljanja preglednih in lahko dostopnih informacij posameznikom o obdelavi njihovih podatkov. Splošna uredba doloca tudi nove obveznosti upravljavcev in obdelovalcev podatkov, kot so obveznost izvajanja ustreznih varnostnih ukrepov in obveznost uradnega obvešcanja o kršitvah varstva osebnih podatkov, imenovanje pooblašcenih oseb za varstvo podatkov, izvajanje ocen ucinka. Upravljavci niso vec dolžni prijavljati zbirk osebnih podatkov v register zbirk osebnih podatkov, ostajajo pa dolžnosti sprejema popisa zbirk (t. i. evidence dejavnosti obdelave); te dolžnosti se krepijo in uvajajo tudi za (pogodbene) obdelovalce. Splošna uredba bistveno bolj poudarja nacelo odgovornosti in preventivne ukrepe, poleg omenjenih mehanizmov zagotavljanja skladnosti uvaja tudi možnost potrjevanja sektorskih kodeksov ravnanja in certifikacije. 
V Splošni uredbi je potrjena obstojeca obveznost držav clanic glede ustanovitve neodvisnega nadzornega organa na nacionalni ravni. Njen cilj je tudi vzpostavitev mehanizmov, s katerimi bi zagotovili doslednost pri izvajanju zakonodaje o varstvu podatkov v vsej EU. Bistveno je, da bo v primerih, ko bo obdelava osebnih podatkov potekala v vec kot eni državi clanici, za nadzor nad temi dejavnostmi po nacelu »vse na enem mestu« odgovoren vodilni nadzorni organ, tj. organ tiste države clanice, v kateri je glavni ali edini sedež upravljavca ali obdelovalca. Ostali nadzorni organi bodo v postopkih nadzora sodelovali kot zadevni organi.
Splošna uredba zajema tudi ustanovitev Evropskega odbora za varstvo podatkov (EOVP, ang. European Data Protection Board (EDPB)). V odboru sodelujejo predstavniki vseh 27 neodvisnih nadzornih organov EU in EGS (Islandija, Norveška in Lihtenštajn), Evropske komisije in Evropskega nadzornika za varstvo podatkov; odbor nadomešca Delovno skupino za varstvo podatkov iz clena 29 (Article 29 Working Party). 
Splošna uredba je terjala sprejem novega Zakona o varstvu osebnih podatkov (ZVOP-2), s katerim bi se v Republiki Sloveniji zagotovilo izvajanje navedene uredbe. Novi Zakon o varstvu osebnih podatkov (ZVOP-2) je bil sprejet šele 15. 12. 2022 in se je zacel uporabljati 26. 1. 2023.
Casovni razvoj Zakona o varstvu osebnih podatkov.
3.2 NADZOR V LETU 2022
3.2.1 INŠPEKCIJSKI NADZOR
Postopek inšpekcijskega nadzora, ki ga izvaja Informacijski pooblašcenec oz. državni nadzorniki za varstvo osebnih podatkov, poleg Zakona o varstvu osebnih podatkov (ZVOP-1), Zakona o Informacijskem pooblašcencu (ZInfP), Splošne uredbe in Zakona o varstvu osebnih podatkov na podrocju obravnavanja kaznivih dejanj (ZVOPOKD) urejata še Zakon o inšpekcijskem nadzoru (ZIN) in Zakon o splošnem upravnem postopku (ZUP). Informacijski pooblašcenec v inšpekcijskih postopkih nadzira izvajanje dolocb Splošne uredbe, ZVOP-1 in vseh tistih predpisov, ki urejajo podrocje varstva osebnih podatkov.
V okviru inšpekcijskega nadzora Informacijski pooblašcenec nadzira zlasti:
•	
zakonitost in preglednost obdelave osebnih podatkov;

•	
ustreznost ukrepov varnosti osebnih podatkov ter izvajanje postopkov in ukrepov za zagotovitev varnosti osebnih podatkov;

•	
izvajanje dolocb Splošne uredbe, ki urejajo posebne izraze nacela odgovornosti (uradno obvešcanje nadzornih organov in posameznikov o kršitvi varnosti, ocene ucinka, pooblašcene osebe za varstvo osebnih podatkov, evidence dejavnosti obdelav);

•	
izvajanje dolocb Splošne uredbe glede prenosa osebnih podatkov v tretje države ali mednarodne organizacije in glede njihovega posredovanja tujim uporabnikom osebnih podatkov;

•	
izvajanje dolocb Splošne uredbe glede obdelave na podlagi pogodbe o obdelavi osebnih podatkov.


Splošna uredba daje Informacijskemu pooblašcencu v 58. clenu naslednja inšpekcijska pooblastila:
1. Preiskovalna pooblastila:
•	
da upravljavcu in obdelovalcu ter, ce je ustrezno, predstavniku upravljavca ali obdelovalca odredi, naj zagotovi vse informacije, ki jih potrebuje za opravljanje svojih nalog;

•	
da izvaja preiskave v obliki pregledov na podrocju varstva podatkov;

•	
da izvaja preglede potrdil skladnosti obdelav (certifikatov);

•	
da upravljavca ali obdelovalca uradno obvesti o domnevni kršitvi Splošne uredbe;

•	
da od upravljavca ali obdelovalca pridobi dostop do vseh osebnih podatkov in informacij, ki jih potrebuje za opravljanje svojih nalog;

•	
da pridobi dostop do vseh prostorov upravljavca ali obdelovalca, vkljucno z vso opremo in sredstvi za obdelavo podatkov, v skladu s pravom EU ali postopkovnim pravom države clanice.


2. Popravljalna pooblastila:
•	
da upravljavcu ali obdelovalcu izda opozorilo, da bi predvidena dejanja obdelave verjetno kršila dolocbe Splošne uredbe;

•	
da upravljavcu ali obdelovalcu izrece opomin, kadar so bile z dejanji obdelave kršene dolocbe Splošne uredbe;

•	
da upravljavcu ali obdelovalcu odredi, naj ugodi zahtevam posameznika, na katerega se nanašajo osebni podatki, glede uresnicevanja njegovih pravic na podlagi Splošne uredbe;

•	
da upravljavcu ali obdelovalcu odredi, naj dejanja obdelave, ce je to ustrezno, na dolocen nacin in v dolocenem roku uskladi z dolocbami Splošne uredbe;

•	
da upravljavcu odredi, naj posameznika, na katerega se nanašajo osebni podatki, obvesti o kršitvi varstva osebnih podatkov;

•	
da uvede zacasno ali dokoncno omejitev obdelave, vkljucno s prepovedjo obdelave;

•	
da v zvezi s pravico posameznika odredi popravek ali izbris osebnih podatkov oz. omejitev obdelave ter o takšnih ukrepih uradno obvesti uporabnike, katerih osebni podatki so bili razkriti;

•	
da preklice potrdilo ali organu za potrjevanje odredi preklic potrdila, izdanega v skladu z 42. in 43. clenom, ali da organu za potrjevanje odredi, naj ne izda potrdila, kadar zahteve v zvezi s potrdilom niso ali niso vec izpolnjene;

•	
da glede na okolišcine posameznega primera poleg ali namesto ukrepov iz tega odstavka naloži upravno globo v skladu s 83. clenom;

•	
da odredi prekinitev prenosov podatkov uporabniku v tretji državi ali mednarodni organizaciji.


Informacijski pooblašcenec je leta 2022 zaradi suma kršitev dolocb Splošne uredbe in/ali ZVOP-1 vodil 1.030 inšpekcijskih zadev, od tega 282 v javnem in 748 v zasebnem sektorju. Na podlagi prijav je Informacijski pooblašcenec uvedel skupno 999 inšpekcijskih postopkov. V javnem sektorju je 262 inšpekcijskih postopkov pricel na podlagi prejetih prijav, 20 pa na lastno pobudo, v zasebnem pa je vodil 737 postopkov na podlagi prejetih prijav, 11 postopkov pa je uvedel na lastno pobudo.
Prijave, ki jih je prejel Informacijski pooblašcenec, so se nanašale na naslednje sume kršitev dolocb Splošne uredbe in ZVOP-1:
3.2.2 INŠPEKCIJSKI NADZOR V JAVNEM SEKTORJU
Zaradi suma kršitev dolocb Splošne uredbe in/ali ZVOP-1 je Informacijski pooblašcenec zoper zavezance v javnem sektorju leta 2022 vodil 282 zadev, 262 jih je zacel na podlagi prejetih prijav, 20 pa na lastno pobudo.
Informacijski pooblašcenec je 61 prijaviteljem pisno pojasnil, zakaj v prijavi opisano ravnanje ne pomeni kršitve zakonodaje s podrocja varstva osebnih podatkov, v 27 primerih pa je po proucitvi prijav zakljucil, da uvedba inšpekcijskega postopka ne bi bila smiselna, ker je šlo za enkratna dejanja oz. kršitve varstva osebnih podatkov v preteklosti, ki jih z inšpekcijskimi ukrepi za nazaj ni vec mogoce prepreciti ali odpraviti. V teh primerih je zoper 11 kršiteljev uvedel postopke o prekršku oz. jim je izrekel ukrepe v skladu z Zakonom o prekrških (ZP-1), v 15 primerih je ocenil, da uvedba postopka o prekršku ne bi bila smotrna, ker je v prijavi opisano ravnanje predstavljalo prekršek neznatnega pomena, v enem primeru pa postopka ni uvedel zaradi zastaranja pregona. V 29 zadevah Informacijski pooblašcenec postopka ni uvedel, saj so bile zatrjevane nepravilnosti že odpravljene. 26 prijaviteljev je Informacijski pooblašcenec napotil na pravice posameznika po Splošni uredbi (predvsem na pravice do seznanitve z lastnimi osebnimi podatki), v štirih primerih pa postopka ni uvedel, ker iz prijave ni bilo razvidno, za kakšno kršitev naj bi šlo, prijavitelj pa po pozivu prijave ni dopolnil oz. v prijavi ni posredoval svojih podatkov, zaradi cesar ga Informacijski pooblašcenec niti ni mogel pozvati k posredovanju dodatnih podatkov, ki bi bili potrebni za uvedbo inšpekcijskega postopka. V 23 zadevah prijavitelji pri utemeljevanju kršitve niso navedli ustreznih dokazov, v 33 zadevah pa je Informacijski pooblašcenec ugotovil, da za zatrjevane kršitve ni pristojen. V štirih zadevah je Informacijski pooblašcenec vlogo odstopil pristojnemu organu.
Informacijski pooblašcenec je leta 2022 zavezancem v javnem sektorju izdal 17 t. i. predodlocb1ąInformacijski pooblašcenec mora v primeru, ko ugotovi nezakonito obdelavo osebnih podatkov, pred izdajo odlocbe, s katero odredi prenehanje takšne obdelave, zavezanca skladno z nacelom zaslišanja stranke (9. clen ZUP) predhodno seznaniti s tem, zakaj po njegovem mnenju za pred­metno obdelavo osebnih podatkov nima pravne podlage, ter ga seznaniti z argumenti, ki njegovo mnenje potrjujejo. Zavezancu je namrec glede na sodno prakso treba pred izdajo ureditvene odlocbe dati možnost, da se izjavi do stališca Informacijskega pooblašcenca (nacelo kontradiktor­nosti strank). To v praksi pomeni, da zavezanci po seznanitvi z argumenti Informacijskega pooblašcenca v vecini primerov sami nehajo nezakoni­to obdelovati osebne podatke, zato izdaja ureditvene odlocbe ni vec potrebna.
 ter pet ureditvenih odlocb, vse ostale kršitve so zavezanci sami prostovoljno odpravili takoj po pozivu državnega nadzornika za varstvo osebnih podatkov.  
Leta 2022 je bilo v javnem sektorju 156 inšpekcijskih postopkov zakljucenih z izdajo sklepa o ustavitvi postopka. Informacijski pooblašcenec je 47 postopkov ustavil, ker so zavezanci ugotovljene nepravilnosti odpravili, v 61 postopkih ni zaznal kršitev dolocb Splošne uredbe ali ZVOP-1, v 13 primerih ni bilo predloženih dovolj dokazov za nadaljevanje postopka, 35 postopkov pa je ustavil zato, ker je šlo za kršitve, ki so predstavljale enkratna dejanja v preteklosti, ki jih z inšpekcijskimi ukrepi za nazaj ni bilo vec mogoce odpraviti.
3.2.3 INŠPEKCIJSKI NADZOR V ZASEBNEM SEKTORJU
Informacijski pooblašcenec je zoper zavezance v zasebnem sektorju vodil 748 zadev, od tega jih je 737 vodil na podlagi prejetih prijav, 11 postopkov pa je uvedel na lastno pobudo. 156 postopkov je bilo uvedenih po iniciativi drugih nadzornih organov v EU v okviru cezmejnega sodelovanja; v slednjih je Informacijski pooblašcenec sodeloval kot zadevni organ (vec v poglavju 3.2.6.). 
Po proucitvi prijav je Informacijski pooblašcenec 99 prijaviteljev obvestil, da postopka inšpekcijskega nadzora ne bo uvedel, ker iz prijave ne izhaja sum kršitev dolocb Splošne uredbe in ZVOP-1, 59 prijaviteljev pa je napotil na pravice, ki jih morajo pri upravljavcih osebnih podatkov uveljavljati sami, najveckrat na pravico do seznanitve z lastnimi osebnimi podatki in na pravico do ugovora. V 18 primerih Informacijski pooblašcenec inšpekcijskega postopka ni uvedel, ker je šlo za enkratna dejanja oz. kršitve varstva osebnih podatkov v preteklosti in teh kršitev z inšpekcijskimi ukrepi za nazaj ni bilo vec možno prepreciti ali odpraviti. Ugotovljene kršitve je obravnaval v okviru pristojnosti, ki jih ima kot prekrškovni organ, in sicer je 11 kršiteljem izrekel ukrep po ZP-1, v sedmih primerih je ocenil, da ukrepa po ZP-1 ne bo izrekel, ker gre za prekršek neznatnega pomena. V 87 primerih Informacijski pooblašcenec ni uvedel postopka, ker niso bili predloženi ustrezni dokazi, ki bi zatrjevano kršitev utemeljevali, v 74 primerih pa za ukrepanje ni bil pristojen. V 30 primerih inšpekcijski postopek ni bil uveden, ker je kršitelj nepravilnosti že odpravil. V 29 zadevah je Informacijski pooblašcenec vlogo odstopil pristojnemu organu.
Informacijski pooblašcenec je leta 2022 zavezancem v zasebnem sektorju izdal 67 t. i. predodlocb ter 10 ureditvenih odlocb, preostale kršitve so zavezanci sami prostovoljno odpravili takoj po pozivu državnega nadzornika za varstvo osebnih podatkov.
Leta 2022 je Informacijski pooblašcenec pri zavezancih v zasebnem sektorju s sklepom ustavil 212 postopkov: 63 postopkov je ustavil, ker ni zaznal kršitev dolocb ZVOP-1, 99 postopkov je ustavil po tem, ko so zavezanci odpravili ugotovljene nepravilnosti, 22 postopkov je zakljucil, ker v zvezi z ugotovljenimi prekrški ni bilo mogoce izreci inšpekcijskih ukrepov, saj je šlo za enkratna dejanja v preteklosti, v 22 primerih ni bilo predloženih dovolj dokazov za nadaljevanje postopka, pet postopkov je ustavil zaradi prenehanja zavezanca (pravne osebe), en postopek pa je ustavil zaradi nepristojnosti. 
Informacijski pooblašcenec je prejel eno sodbo Upravnega sodišca RS v zvezi s tožbo, vloženo leta 2017 zoper izdano opozorilo, glede katerega je Upravno sodišce v letu 2019 že izdalo sodbo, s katero je tožbenemu zahtevku ugodilo in izpodbijani akt odpravilo, vendar ni odlocilo o zahtevku tožece stranke glede izbrisa opozorila iz arhiva Informacijskega pooblašcenca. Sodišce je izdalo dopolnilno sodbo in tožbeni zahtevek zavrnilo.
Pregled inšpekcijskih zadev v javnem in zasebnem sektorju leta 2022.
3.2.4 PRIJAVA KRŠITEV VARNOSTI OSEBNIH PODATKOV
Skladno s 33. clenom Splošne uredbe so zavezanci nadzorni organ (Informacijskega pooblašcenca) dolžni obvestiti o zaznanih kršitvah varnosti osebnih podatkov, ce je verjetno, da bi bile s kršitvijo ogrožene pravice in svobošcine posameznikov. Obvestilo je treba podati takoj po zaznani kršitvi, najpozneje pa v 72 urah. Kadar je verjetno, da bo kršitev varnosti osebnih podatkov povzrocila veliko tveganje za pravice in svobošcine posameznikov, mora upravljavec o kršitvi obvestiti tudi posameznika, na katerega se osebni podatki nanašajo. V primeru hudih kršitev lahko Informacijski pooblašcenec zavezancu naloži, da mora o kršitvi obvestiti tudi prizadete posameznike. 
Informacijski pooblašcenec je leta 2022 prejel 86 uradnih obvestil o kršitvi varnosti osebnih podatkov, t. i. samoprijav, ki so jih poslali zavezanci. 45 obvestil so poslali zavezanci iz zasebnega sektorja (npr. banke, trgovska podjetja, zavarovalnice), 41 pa zavezanci iz javnega sektorja (predvsem zdravstvene in izobraževalne ustanove).
Kršitve varnosti osebnih podatkov (86) so se nanašale na:
•	
posredovanje dokumentov z osebnimi podatki (npr. zdravniških izvidov, racunov, dokumentov v upravnih postopkih, debetne kartice) napacnim osebam kot posledica nenamerne cloveške napake ali netocnih podatkov v zbirkah osebnih podatkov (npr. e-naslovov strank) – 24,

•	
hekerski vdor – 13,

•	
nepooblašcen dostop do osebnih podatkov oz. njihova obdelava s strani zaposlenih – 13,

•	
nezakonito razkritje osebnih podatkov nepooblašcenim osebam – 11,

•	
izgubo ali krajo prenosnega racunalnika ali drugih nosilcev osebnih podatkov (USB-kljucek, zdravstveni karton, zvezek z osebnimi podatki strank) – 7,  

•	
nezakonita uporaba osebnih podatkov za druge namene – 5, 

•	
neustrezno zagotavljanje varnosti osebnih podatkov – 4,

•	
izgubo dostopa do osebnih podatkov (onemogocanje dostopa do podatkov zaradi kriptiranja z zlonamerno programsko kodo, t. i. izsiljevalski virus, izguba ali kraja uporabniškega imena in gesla) – 4,

•	
nezakonito objavo osebnih podatkov 4 (od tega na spletu 3), 

•	
razkritje osebnih podatkov zaradi napake v aplikaciji oz. tehnicne napake – 1.


Informacijski pooblašcenec je v pomoc upravljavcem na svoji spletni strani pojasnil, katere kršitve pomenijo kršitve varnosti v smislu Splošne uredbe ter o katerih kršitvah in v kolikšnem casu so ga dolžni obvestiti. Za obvešcanje je odprl namenski e-poštni predal (prijava-krsitev@ip-rs.si), na spletni strani je dostopen tudi obrazec »Uradno obvestilo o kršitvi varnosti osebnih podatkov«, ki ga lahko upravljavci uporabijo za obvešcanje, objavljene pa so tudi smernice Evropskega odbora za varstvo podatkov v zvezi z uradnim obvestilom o kršitvi varstva osebnih podatkov in infografika Prijava kršitev varnosti (Data Breach Notification).
3.2.5 PRAVICE POSAMEZNIKOV
Pravica do seznanitve z lastnimi osebnimi podatki je zagotovljena vsakemu posamezniku v tretjem odstavku 38. clena Ustave RS in v 15. clenu Splošne uredbe. Postopkovna pravila so urejena v 11. in 12. clenu Splošne uredbe. Po 15. clenu Splošne uredbe je posameznik upravicen, da mu upravljavec na njegovo zahtevo: (1) potrdi, ali se v zvezi z njim obdelujejo osebni podatki; (2) omogoci vpogled ali posreduje reprodukcijo teh osebnih podatkov, torej zagotovi dostop do njihove vsebine; (3) ce se osebni podatki posameznika pri upravljavcu res obdelujejo, je posameznik upravicen do naslednjih dodatnih informacij: 
•	
namen obdelave podatkov, 

•	
vrste podatkov, 

•	
uporabniki podatkov, 

•	
obdobje hrambe podatkov, 

•	
obstoj pravic posameznika v zvezi z njegovimi podatki, 

•	
vir podatkov in 

•	
obstoj avtomatiziranega sprejemanja odlocitev, vkljucno z oblikovanjem profilov, ter informacije o razlogih zanj, pa tudi pomen in predvidene posledice take obdelave za posameznika, na katerega se osebni podatki nanašajo.


     kklkllklk

Splošna uredba ureja še nekatere druge pravice posameznikov, ki se uveljavljajo na zahtevo:
1.	
Pravica do prenosljivosti osebnih podatkov, ki pomeni možnost, da posameznik doseže prenos osebnih podatkov, ki se obdelujejo v avtomatizirani obliki, drugemu upravljavcu na nacin, da se lahko ti podatki v enaki obliki vkljucijo oz. uporabljajo pri drugem upravljavcu. Lahko pa te podatke posameznik na enak nacin pridobi tudi sam.

2.	
Pravica do ugovora, ki pomeni, da lahko posameznik pod dolocenimi pogoji (npr. ce se podatki obdelujejo za neposredno trženje) doseže, da upravljavec dolocene obdelave ne sme vec izvajati.

3.	
Pravica do ugovora zoper upravljavcevo odlocitev o posamezniku (npr. o njegovih pravicah in dolžnostih), ce je bila odlocitev sprejeta izkljucno z avtomatizirano obdelavo osebnih podatkov.

4.	
Pravica do popravka, ki pomeni možnost, da posameznik doseže, da upravljavec izvede popravek ali dopolnitev netocnih ali nepopolnih podatkov, ki se vodijo pri njem.

5.	
Pravica do izbrisa, ki pomeni, da mora upravljavec pod dolocenimi pogoji izbrisati osebne podatke – tipicni so neobstoj pravne podlage za obdelavo podatkov, neobstoj zakonitega namena za obdelavo podatkov in zahteva podrocnega predpisa, da se podatki izbrišejo.

6.	
Pravica do omejitve obdelave, ki omogoca popolno ali delno ter dolgorocno ali zacasno blokado dolocene obdelave osebnih podatkov pod dolocenimi pogoji.




Glede na dolocbe 12. clena Splošne uredbe mora upravljavec osebnih podatkov o posameznikovi zahtevi odlociti v enem mesecu. Posredovanje osebnih podatkov in dodatnih informacij posamezniku je praviloma brezplacno. Ce upravljavec posamezniku ne odgovori v predpisanem roku ali ce njegovo zahtevo zavrne, lahko posameznik vloži pritožbo pri Informacijskem pooblašcencu. 
Za zahteve posameznikov, ki se nanašajo na podrocje preprecevanja, odkrivanja, preiskovanja in pregona kaznivih dejanj ter izvrševanja kazenskih sankcij, se uporablja ZVOPOKD. ZVOPOKD velja za obdelave osebnih podatkov, ki jih policija, državna tožilstva, Uprava Republike Slovenije za probacijo, Uprava Republike Slovenije za izvrševanje kazenskih sankcij in drugi državni organi Republike Slovenije, ki so zakonsko doloceni kot pristojni za podrocja preprecevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, obdelujejo za namene izvrševanja navedenih pristojnosti. Skladno s Splošno uredbo in ZVOPOKD je Informacijski pooblašcenec pritožbeni organ za uveljavljanje vseh pravic, ne le pravice do seznanitve, kot je veljalo po ZVOP-1 (ki se je v letu 2022 še uporabljal za zahteve posameznikov, ki so se nanašale na podrocje preprecevanja, odkrivanja, preiskovanja in pregona kaznivih dejanj ter izvrševanja kazenskih sankcij, in sicer v zvezi z zahtevami, podanimi pred uveljavitvijo ZVOPOKD, ter za zahteve upravljavcem, ki niso zavezanci niti po Splošni uredbi niti po ZVOPOKD).
Informacijski pooblašcenec na pritožbeni stopnji odloca tudi o posebnih pravicah glede seznanitve z zdravstveno dokumentacijo po ZPacP, in sicer o:
1.	
pravici pacienta do seznanitve z lastno zdravstveno dokumentacijo, ki vkljucuje tudi pravico do pridobitve pojasnil o vsebini dokumentacije in pravico dajanja pripomb na vsebino zdravstvene dokumentacije;

2.	
pravici svojcev in drugih upravicenih oseb do seznanitve z zdravstveno dokumentacijo umrlega pacienta;

3.	
pravici dolocenih drugih oseb do seznanitve z zdravstveno dokumentacijo pacienta.


Informacijski pooblašcenec je v letu 2022 prejel 137 pritožb posameznikov v zvezi s kršitvami pravice do seznanitve z lastnimi osebnimi podatki, pravice do seznanitve z lastno zdravstveno dokumentacijo in pravice do seznanitve z zdravstveno dokumentacijo s strani drugih upravicenih oseb. Posamezniki se vedno bolj zavedajo ustavne pravice do seznanitve z lastnimi osebnimi podatki, številni upravljavci pa še vedno ne izpolnjujejo svojih obveznosti in posameznikom ne omogocajo izvrševanja pravic, ki jim jih zagotavljajo razlicni predpisi. 
Od 137 prejetih pritožb posameznikov se je 81 pritožb nanašalo na pravico do seznanitve z lastnimi osebnimi podatki po Splošni uredbi, 32 pritožb se je nanašalo na pravico do seznanitve z zdravstveno dokumentacijo po ZPacP (od tega 27 na pravico do seznanitve z lastno zdravstveno dokumentacijo in pet na pravico do seznanitve z zdravstveno dokumentacijo po pacientovi smrti), 21 pritožb se je nanašalo na pravico do seznanitve z lastnimi osebnimi podatki po ZVOPOKD ter tri pritožbe na pravico do seznanitve z lastnimi osebnimi podatki po ZVOP-1. 
Vložene pritožbe so v 98 primerih zadevale upravljavce iz javnega sektorja (zlasti ministrstva in organe v njihovi sestavi, šole, javne zdravstvene zavode in centre za socialno delo), 39 pritožb pa se je nanašalo na upravljavce iz zasebnega sektorja (npr. banke, zavarovalnice, operaterje elektronskih komunikacij, trgovska podjetja in druge gospodarske družbe). 
V 44 primerih (torej v 32,12 %) so se posamezniki pritožili, ker jim upravljavci na njihove zahteve sploh niso odgovorili oz. so bili v molku, drugi pa so se pritožili zato, ker so upravljavci njihove vloge zavrnili ali ker jim niso posredovali vseh zahtevanih podatkov. Razlog za molk je bil (glede na odziv po prejemu poziva Informacijskega pooblašcenca) pri vecini upravljavcev nepoznavanje pravice posameznikov do seznanitve z lastnimi osebnimi podatki in dolžnosti upravljavcev v zvezi z njenim izvrševanjem. 
V 47 primerih, ki so se vodili zaradi molka upravljavca (vkljucno s postopki, ki so se zaceli pred letom 2022), so upravljavci po prejemu poziva Informacijskega pooblašcenca o zahtevah posameznikov odlocili na nacin, da so jim posredovali zahtevane podatke in dokumente ali pa so zahteve obrazloženo zavrnili s formalnim obvestilom (zoper katerega je možna vsebinska pritožba), zaradi cesar je Informacijski pooblašcenec postopke ustavil. Trije posamezniki so Informacijskega pooblašcenca po vložitvi pritožbe obvestili, da pritožbe umikajo, ker so s strani upravljavca prejeli ustrezna pojasnila in podatke, Informacijski pooblašcenec pa je nato postopke s sklepom ustavil. 
Leta 2022 je Informacijski pooblašcenec, vkljucno s postopkom, zacetim v letu 2018, izdal 53 upravnih odlocb v zvezi s seznanitvijo z lastnimi osebnimi podatki. V 15 odlocbah je pritožbam posameznikov v celoti ugodil in upravljavcem naložil posredovanje dolocenih osebnih podatkov, v 10 primerih je pritožbam ugodil delno, z 28 odlocbami pa je pritožbe posameznikov kot neutemeljene zavrnil. Upravljavec je zoper odlocitvi Informacijskega pooblašcenca sprožil upravni spor pred Upravnim sodišcem RS, in sicer zoper ugodilni odlocbi, izdani v letu 2022 (obe sta se nanašali na istega upravljavca). Informacijski pooblašcenec je s sklepom zavrgel 18 pritožb, in sicer zaradi postopkovnih pomanjkljivosti (nepopolna, prepozna ali preuranjena vloga, vloga se ni nanašala na pravico do seznanitve z lastnimi osebnimi podatki oz. Informacijski pooblašcenec za obravnavo ni bil pristojen). 13 posameznikom je Informacijski pooblašcenec posredoval predlog za ravnanje, eno pritožbo pa je odstopil v reševanje pristojnemu organu.
V zvezi s pritožbami po ZVOPOKD je Informacijski pooblašcenec izdal devet odlocb, in sicer je v šestih odlocbah pritožbam posameznikov v celoti ugodil, v enem primeru je pritožbi ugodil delno, z dvema odlocbama pa je pritožbi posameznikov kot neutemeljeni zavrnil. V eni zadevi je pritožbo posameznika zavrgel (iz postopkovnih oz. formalnih razlogov), v eni zadevi pa je postopek ustavil (zaradi umika pritožbe). Zoper eno zavrnilno odlocbo, izdano v letu 2022, je posameznik vložil tožbo pred Upravnim sodišcem RS.
Leta 2022 je Informacijski pooblašcenec obravnaval tudi eno pritožbo zaradi kršitve pravice do popravka po 16. clenu Splošne uredbe in 22 pritožb zaradi kršitve pravice do izbrisa po 17. clenu Splošne uredbe. Vkljucno s postopki, zacetimi v preteklih letih, je Informacijski pooblašcenec zaradi kršitve pravice do izbrisa in ugovora izdal pet odlocb, in sicer je v treh zadevah pritožbe zavrnil, eni je delno, eni pa v celoti ugodil. Zoper eno zavrnilno in eno ugodilno odlocbo sta upravljavec oz. posameznik vložila tožbo pred Upravnim sodišcem RS. V sedmih zadevah je bila nadalje pritožba zavržena (ker je bila nedovoljena, prepozna, ni bila dopolnjena oz. posameznik ni uveljavljal kakšne svoje pravice oz. pravne koristi), v eni je bil postopek ustavljen (zaradi umika pritožbe), v dveh zadevah pa je Informacijski pooblašcenec posamezniku podal predlog za ravnanje.
3.2.6 SODELOVANJE PRI CEZMEJNIH INŠPEKCIJSKIH NADZORIH
Splošna uredba v 7. poglavju zapoveduje tesno sodelovanje med nadzornimi organi za varstvo osebnih podatkov v državah clanicah EU in EGS (Islandija, Norveška in Lihtenštajn) pri cezmejnih primerih, in sicer prek naslednjih mehanizmov:
•	
po nacelu »vse na enem mestu« (ang. one stop shop), ki predvideva, da postopek nadzora v cezmejnem primeru obdelave osebnih podatkov vodi t. i. vodilni organ in pri tem sodeluje z drugimi organi za varstvo osebnih podatkov (60. clen Splošne uredbe);

•	
vzajemna pomoc med organi za varstvo osebnih podatkov v državah clanicah EU (61. clen Splošne uredbe);

•	
skupno ukrepanje organov za varstvo osebnih podatkov v državah clanicah EU (62. clen Splošne uredbe).


Sodelovanje po nacelu »vse na enem mestu« se lahko pricne, ko je ugotovljeno, kateri nadzorni organ bo v postopku prevzel vlogo vodilnega in kateri organ(i) bodo sodelovali kot zadevni organi. Vodilni organ prihaja iz tiste države clanice EGS, kjer ima upravljavec osebnih podatkov, ki posluje cezmejno, glavno ustanovitev – sedež, ki prevzema odgovornost za obdelavo osebnih podatkov. Nadzorni organi iz drugih držav clanic EGS pa se postopku nadzora prikljucijo kot zadevni organi, kadar ima upravljavec na njihovem ozemlju npr. podružnice ali poslovne enote oz. kadar obdelava osebnih podatkov pomembno vpliva na posameznike v teh državah clanicah. Glavni organ v postopku inšpekcijskega nadzora vodi sodelovanje z drugimi organi ter pripravi osnutek odlocbe, zadevni organi pa lahko izrazijo svoje zadržke. V primeru nestrinjanja med vodilnim in zadevnimi organi o sporu odloci Evropski odbor za varstvo osebnih podatkov (EOVP).
Sodelovanje v okviru vseh treh mehanizmov poteka prek informacijskega sistema za notranji trg (Internal Market Information System, sistem IMI) Evropske komisije; ta zagotavlja varno in zaupno komunikacijo med nadzornimi organi ter omogoca izvajanje posameznih faz in postopkov cezmejnega sodelovanja v za to dolocenih rokih.
V letu 2022 je bil Informacijski pooblašcenec udeležen v skupno 368 postopkih sodelovanja po 60. in 61. clenu Splošne uredbe v zvezi z upravljavci, ki izvajajo cezmejno obdelavo osebnih podatkov. V 182 novo pricetih postopkih sodelovanja pri cezmejnem nadzoru po 60. clenu Splošne uredbe je Informacijski pooblašcenec nastopal kot zadevni organ (po 56. clenu Splošne uredbe), v osmih primerih pa je bil v vlogi vodilnega organa.
Sodelovanje Informacijskega pooblašcenca v cezmejnih postopkih nadzora po 60. in 61. clenu.
Temelj za izvedbo cezmejnega sodelovanja po 60. clenu Splošne uredbe je opredelitev vodilnega in zadevnih nadzornih organov po 56. clenu Splošne uredbe. Informacijski pooblašcenec se opredeli za zadevni nadzorni organ predvsem: 
•	
ker ima upravljavec osebnih podatkov, zoper katerega tece postopek v drugi državi clanici, v Sloveniji poslovno enoto ali je bil tu ustanovljen,

•	
	ker storitve upravljavca, zoper katerega tece postopek v drugi državi clanici, uporabljajo posamezniki v Sloveniji in jih vprašanje domnevne kršitve varstva osebnih podatkov pomembno zadeva. Tudi v primerih priljubljenih ponudnikov komunikacijskih spletnih storitev, kot so Facebook, Google, Amazon, Apple, PayPal, WhatsApp, Twitter, Instagram, Microsoft itd.


Postopki sodelovanja po 60. clenu Splošne uredbe (»vse na enem mestu«)
Na temelju postopkov dolocitve vodilnega in zadevnih nadzornih organov je Informacijski pooblašcenec v letu 2022 obravnaval 190 novih zadev cezmejnega sodelovanja pri nadzoru nad podjetji, ki poslujejo cezmejno, poleg postopkov, zacetih pred letom 2022, ki so še v teku. V teh postopkih je pricakovan sprejem odlocitve nadzornih organov po 60. clenu Splošne uredbe, po nacelu »vse na enem mestu«. Vodilni nadzorni organ v najvecjem številu primerov predstavlja irski nadzorni organ, pogosto v tej vlogi nastopajo tudi nadzorni organi Luksemburga, Francije, Nizozemske, Nemcije, Francije in Avstrije. V osmih cezmejnih primerih po 60. clenu Splošne uredbe je šlo za upravljavca s sedežem iz Slovenije, kjer je vlogo vodilnega organa prevzel Informacijski pooblašcenec.
11 postopkov cezmejnega sodelovanja je sprožil Informacijski pooblašcenec, in sicer na podlagi prejete prijave oz. pritožbe zoper ravnanje zavezanca, ki je ustanovljen v drugi clanici EU ali pa ima ustanovitve v razlicnih clanicah v EU oz. so dejanja obdelave osebnih podatkov zadevala posameznike iz razlicnih držav clanic EU. Med drugim so ti postopki zadevali prijave kršitev varstva osebnih podatkov ter pomanjkljivo zavarovanje osebnih podatkov, nesorazmerne zahteve po posredovanju osebnih podatkov in neustrezno obvešcanje o obdelavi osebnih podatkov.
182 tovrstnih postopkov je bilo pricetih s strani drugih organov v EU in Informacijski pooblašcenec v teh postopkih sodeluje kot zadevni organ. Primeri niso zadevali le storitev priljubljenih spletnih velikanov (Facebook, Google, Amazon itd.), temvec tudi neustrezna ravnanja z osebnimi podatki s strani raznolikih akterjev, ponudnikov bancnih storitev, spletnih ponudnikov razlicnih storitev, ponudnikov pretocnih storitev, povezanih vozil  itd., iz številnih držav clanic EU. Primeri spornih praks so vkljucevali kršitve glede ustreznega zavarovanja podatkov, med prizadetimi pa so bili tudi uporabniki iz Slovenije, kršitve glede izvajanja pravic posameznikov do dostopa do podatkov in izbrisa podatkov, pretirane zahteve po podatkih za identifikacijo strank, posredovanje podatkov tretjim osebam, obdelavo osebnih podatkov brez ustrezne pravne podlage, neustrezno informiranje o obdelavi osebnih podatkov itd.
Primeri, v katerih je bil Informacijski pooblašcenec vodilni nadzorni organ, so zajemali zahtevo za izbris podatkov od ponudnika spletnih storitev in pomanjkljivo zavarovanje podatkov, vecina pa je bila povezana z domnevnimi nezakonitostmi glede uporabe piškotkov na spletnih straneh, katerih upravljavci so zavezanci iz Slovenije, in sicer glede uporabe mehanizmov za sporocanje preferenc glede spletnih piškotkov, t. i. cookie banners, ki naj uporabnikom ne bi omogocale izbire glede piškotkov in naj ne bi bile skladne s Splošno uredbo. Informacijski pooblašcenec je prejel šest tovrstnih pritožb, pri cemer v enem primeru ni sprejel vloge vodilnega organa, saj je bil upravljavec spletne strani ustanovljen v drugi državi clanici EU. Tovrstne pritožbe so prejeli tudi drugi nazorni organi za varstvo osebnih podatkov iz EU, zato je bila na ravni EDPB ustanovljena posebna delovna skupina za piškotke, ki se je v letu 2022 osredotocala na analizo številnih pravnih vprašanj in morebitnih kršitev, povezanih z implementacijo piškotkov na spletnih straneh. Delovna skupina je oblikovala skupno porocilo za podporo nacionalnim dejavnostim pri izvajanju nadzorov na tem podrocju in njihovo usklajenost. Porocilo je bilo izdano v zacetku leta 2023.2˛ https://edpb.europa.eu/our-work-tools/our-documents/other/report-work-undertaken-cookie-banner-taskforce_en

V letu 2022 je bil v cezmejnih postopkih, v katerih je sodeloval Informacijski pooblašcenec, izdan 201 osnutek odlocb po 60. clenu Splošne uredbe, en osnutek odlocbe je izdal Informacijski pooblašcenec kot vodilni nadzorni organ. 180 postopkov je bilo koncanih s koncno odlocbo po 60. clenu Splošne uredbe. Na spletni strani Evropskega odbora za varstvo podatkov je dostopen javni register koncnih odlocb v postopkih cezmejnega sodelovanja po 60. clenu: https://edpb.europa.eu/our-work-tools/consistency-findings/register-for-article-60-final-decisions_en. 
Primeri cezmejnega sodelovanja se ne zakljucijo nujno z izdajo koncne odlocbe, saj zakonodaja nekaterih drugih držav clanic EU pozna prijateljske poravnave v primerih, ko zavezanci prostovoljno izpolnijo zahteve prijaviteljev. V teku ostajajo številni postopki zoper velika multinacionalna podjetja, v vecini teh primerov kot vodilni nastopa Irski nadzorni organ.
Postopki »vse na enem mestu« v letu 2022.
Postopki zagotavljanja medsebojne pomoci med nadzornimi organi po 61. clenu Splošne uredbe
Informacijski pooblašcenec je leta 2022 sodeloval tudi v 196 postopkih zagotavljanja medsebojne pomoci med nadzornimi organi po 61. clenu Splošne uredbe. Prejel je 175 zahtev drugih organov, v 55 primerih je podal zahtevano mnenje glede izvajanja dolocb Splošne uredbe. 17 zahtev za sodelovanje je Informacijski pooblašcenec poslal drugim organom v EU. Postopki po 61. clenu se razlikujejo glede na njihovo prostovoljno naravo v smislu formalno dolocenih rokov. Podrobnejši prikaz postopkov sledi v spodnji tabeli.
Postopki zagotavljanja medsebojne pomoci
Postopki prostovoljne pomoci obicajno zadevajo zahteve nadzornih organov v EU za podajo pojasnil glede konkretnih cezmejnih primerov, ki jih obravnavajo, ali glede usmeritev pri obravnavi dolocene tematike ter posredovanje prijav, kadar je za nadzor nad obdelavo podatkov dolocenega zavezanca krajevno pristojen nadzorni organ v drugi državi clanici. Postopki medsebojne pomoci pa obicajno pomenijo zahtevo za izvedbo ukrepov zoper zavezance, ki izvajajo cezmejno obdelavo osebnih podatkov.
Postopki spora po 65. clenu
V letu 2022 je bilo sprejetih pet koncnih odlocitev v postopku spora po 65. clenu.
-	
Družba Accor, hotelirska dejavnost


Postopek spora v primeru hotelirske družbe Accor z glavno ustanovitvijo v Franciji je zadeval predvsem vprašanje globe, ki jo je vodilni organ iz Francije predlagal zaradi neupoštevanja pravice do ugovora pri marketinških aktivnostih in zaradi pomanjkljivosti pri izvajanju pravice dostopa do podatkov. EDPB je v zavezujoci odlocitvi odlocil, da mora francoski organ pri izracunu globe upoštevati letni promet družbe za leto 2021, poleg tega pa, da globa glede na resnost kršitev ni odvracalna v skladu s prvim odstavkom 83. clena Splošne uredbe. Glede na zavezujoco odlocitev EOVP je vodilni organ iz Francije postopek zoper Accor zakljucil s koncno odlocitvijo po 60. clenu Splošne uredbe in zavezancu izrekel globo v višini 600.000 EUR.3ł https://edpb.europa.eu/system/files/2022-08/cnil_final_decision_redacted_20220819_en.pdf 

-	
Instagram, družbeno omrežje


Postopek spora v primeru družbenega omrežja Instagram z glavno ustanovitvijo na Irskem je zadeval kršitve omenjenega omrežja glede obdelave osebnih podatkov otrok, in sicer so bili javno razkriti naslovi e-pošte in telefonske številke otrok, ki so uporabljali možnost poslovnega racuna, poleg tega pa so bile nastavitve racunov privzeto javne, tudi v primeru otrok. Postopek pred EOVP je zadeval pravne podlage, na katerih sme Instagram obdelovati podatke otrok, ter višino predlagane globe. V zvezi s pravnimi podlagami je EOVP v zavezujoci odlocitvi pojasnil, kdaj se upravljavec lahko zanaša na pravno podlago pogodbe in kdaj na podlago zakonitega interesa za obdelavo osebnih podatkov. Iz odlocitve izhaja, da Instagram javne objave podatkov otrok ne more utemeljiti na teh dveh pravnih podlagah. EOVP je vodilnemu organu dodatno naložil, da prilagodi predlagano globo tako, da bo ucinkovita, sorazmerna in odvracalna glede na naravo in resnost kršitev ter glede na število prizadetih posameznikov. Irski nadzorni organ je v svoji koncni odlocitvi po 60. clenu omrežju Instagram izrekel globo 405 milijonov EUR.44 https://edpb.europa.eu/system/files/2022-09/in-20-7-4_final_decision_-_redacted.pdf

-	
Meta platforme (Facebook, Instagram in WhatsApp)


Konec leta 2022 je EOVP sprejel tudi tri zavezujoce odlocitve glede platform znotraj Meta Platforms Ireland Limited, in sicer zoper Facebook, Instagram in WhatsApp. Postopki nadzora zoper omenjene platforme, ki jih je vodil vodilni organ iz Irske, so zadevali predvsem zakonitost uporabe podatkov uporabnikov platform za namen vedenjskega oglaševanja, v primeru WhatsApp pa tudi glede zakonitosti uporabe podatkov za namen izboljšanja storitev. V procesu spora je EOVP odlocal glede uporabe pravnih podlag za tako obdelavo osebnih podatkov ter glede višine globe za kršitve. Koncne odlocbe po 60. clenu je irski nadzorni organ izdal v zacetku leta 2023.55 https://edpb.europa.eu/news/news/2023/facebook-and-instagram-decisions-important-impact-use-personal-data-behavioural_en, https://edpb.europa.eu/news/news/2022/edpb-adopts-art-65-dispute-resolution-binding-decisions-regarding-facebook-instagram_en 

Kljucne sodbe Sodišca EU
V letu 2022 je pomembno sodbo v zvezi s cezmejnim sodelovanjem po Splošni uredbi sprejelo tudi Sodišce EU, ki je proucevalo zahtevo za razveljavitev zavezujoce odlocitve EDPB št. 01/2021, ki jo je vložila družba WhatsApp Ireland Ltd iz Irske in na podlagi katere je irski nadzorni organ sprejel svojo koncno odlocitev po 60. clenu Splošne uredbe ter družbi WhatsApp Ireland Ltd naložil odpravo nepravilnosti zaradi kršitev dolocb glede obvešcanja posameznikov in globo v višini 225 milijonov EUR. Sodišce EU je odlocilo, da taka zahteva ni dopustna, saj ima družba WhatsApp IE pravne možnosti zoper koncno odlocitev pred irskimi sodišci, ki pa lahko posredujejo relevantna vprašanja v predhodno odlocanje Sodišcu EU.
Iz odlocitve sodišca izhaja, da zavezujoca odlocitev EOVP ni neposredno zadevala WhatsApp IE, saj je naslovljena na vodilni nadzorni organ, ki na tej podlagi sprejme koncno odlocitev zoper zavezanca. Po presoji sodišca odlocitev EOVP predstavlja pripravljalni oz. vmesni akt pri sprejemu odlocitve nadzornega organa Irske. Dodatno kljub svoji zavezujoci naravi nadzornemu organu pušca diskrecijo glede vsebine koncne odlocitve.
3.2.7 PREKRŠKOVNI POSTOPKI
Informacijski pooblašcenec je zaradi suma kršitev dolocb ZVOP-1 v letu 2022 uvedel 119 postopkov o prekršku, od tega 39 zoper pravne osebe javnega sektorja in njihove odgovorne osebe, 48 zoper pravne osebe zasebnega sektorja in njihove odgovorne osebe, 32 pa zoper posameznike. V zadnjo število so vkljuceni tudi postopki zoper odgovorne osebe državnih organov in samoupravnih lokalnih skupnosti, saj v skladu z ZP-1 Republika Slovenija in samoupravne lokalne skupnosti za prekrške ne odgovarjajo, odgovarjajo le njihove odgovorne osebe.
Število uvedenih postopkov o prekršku med letoma 2006 in 2022.
Za ugotovljeni prekršek lahko prekrškovni organ v skladu s 53. clenom izrece opozorilo, ce je storjeni prekršek neznaten in ce pooblašcena uradna oseba oceni, da je glede na pomen dejanja opozorilo zadosten ukrep. V primeru hujšega prekrška prekrškovni organ izda odlocbo o prekršku, s katero kršitelju izrece sankcijo. V skladu s 4. clenom ZP-1 sta sankciji za prekršek globa in opomin, glede na 57. clen ZP-1 pa se lahko globa izrece tudi v obliki placilnega naloga.
Informacijski pooblašcenec v eni zadevi postopka o prekršku ni uvedel, ker je pregon že zastaral, 54 postopkov o prekršku pa je ustavil.
Informacijski pooblašcenec je v prekrškovnih postopkih v letu 2022 izdal:
•	
116 odlocb o prekršku (75 glob in 41 opominov),

•	
82 opozoril.


Poleg opozoril, ki so bila izrecena v prekrškovnih postopkih, je Informacijski pooblašcenec v skladu z nacelom ekonomicnosti izrekel tudi 53 opozoril po 53. clenu ZP-1 v okviru postopkov inšpekcijskega nadzora. 
V zvezi s 116 odlocbami, ki so po ZP-1 najprej izdane brez obrazložitve, je bilo na podlagi napovedi zahtev za sodno varstvo izdanih 11 odlocb z obrazložitvijo, pri cemer je devet kršiteljev po prejemu odlocbe z obrazložitvijo vložili zahtevo za sodno varstvo. Kršitelji so torej zoper izdane odlocbe o prekršku vložili devet zahtev za sodno varstvo (zoper 7,76 % odlocb). Osem zahtev za sodno varstvo je bilo vloženih zoper odlocbe, s katerimi je Informacijski pooblašcenec kršiteljem izrekel globe, ena zahteva pa za sodno varstvo zoper odlocbo, s katero je bil izrecen opomin. Relativno majhen delež vloženih zahtev za sodno varstvo kaže na to, da storilci storjene prekrške priznavajo in se zavedajo svoje odgovornosti. 
Naslednja preglednica prikazuje, na katere kršitve so se nanašali uvedeni prekrškovni postopki v letu 2022.
Kršitve varstva osebnih podatkov v letu 2022.
Informacijski pooblašcenec poudarja, da je na vodenje prekrškovnih postopkov in izrekanje sankcij za ugotovljene kršitve zelo vplivala zamuda pri sprejetju ZVOP-2. Informacijski pooblašcenec tako ni mogel uvesti postopka za prekrške in izreci sankcije za kršitve dolocb Splošne uredbe; to je lahko storil le za kršitve tistih clenov ZVOP-1, ki so še veljali, oz. za zavezance, za katere je ZVOP-1 veljal v celoti. 
Zaradi zamude pri sprejetju ZVOP-2 je lahko Informacijski pooblašcenec v primeru ugotovljenih kršitev dolocb Splošne uredbe o varstvu podatkov ali dolocb ZVOP-1 zavezancu v postopku inšpekcijskega nadzora odredil odpravo vseh ugotovljenih nepravilnosti ter prepovedal nezakonito obdelavo osebnih podatkov ali njihovo blokiranje, postopek za prekrške pa je lahko uvedel le v primeru, ko je šlo za kršitev tistih clenov ZVOP-1, ki so še veljali. Informacijski pooblašcenec torej do zacetka uporabe novega ZVOP-2 ni mogel izrekati glob za kršitve, ki so bile dolocene zgolj v 83. clenu Splošne uredbe o varstvu podatkov, lahko pa je v okviru prekrškovnih postopkov sankcioniral kršitev tistih dolocb ZVOP-1, ki niso bile v nasprotju z dolocbami Splošne uredbe o varstvu podatkov. Postopkov o prekršku in izrecenih sankcij je bilo zato manj, kot bi jih bilo v primeru, ce bi Informacijski pooblašcenec lahko izrekal tudi sankcije za ugotovljene kršitve dolocb Splošne uredbe o varstvu podatkov.
Leta 2022 je Informacijski pooblašcenec prejel enajst sodb, s katerimi so okrajna sodišca odlocila o zahtevah za sodno varstvo, ki so jih storilci vložili zoper odlocbe o prekrških, izdane v letih 2017, 2019, 2020 in 2021:
•	
zahtevi za sodno varstvo je bilo v celoti ugodeno tako, da se odlocba v celoti spremeni tako, da se postopek ustavi – 5,

•	
zahtevi za sodno varstvo je bilo delno ugodeno tako, da se storilcu namesto globe izrece opomin – 3,

•	
zahtevi za sodno varstvo je bilo delno ugodeno tako, da se odlocba Informacijskega pooblašcenca spremeni in se postopek zoper odgovorne osebe ustavi – 1,

•	
zahteva za sodno varstvo je bila zavrnjena kot neutemeljena, odlocba Informacijskega pooblašcenca pa potrjena – 2.


Informacijski pooblašcenec je prejel tudi eno sodbo, s katero je višje sodišce pritožbi zoper sodbo okrajnega sodišca ugodilo in sodbo sodišca prve stopnje v zvezi z odlocitvijo Informacijskega pooblašcenca spremenilo tako, da se postopek zoper pravno osebo in odgovorno osebo pravne osebe ustavi zaradi zastaranja pregona.
3.2.8 IZBRANI PRIMERI OBDELAVE OSEBNIH PODATKOV
V nadaljevanju so predstavljeni nekateri primeri, v zvezi s katerimi je Informacijski pooblašcenec prejel vecje število prijav, pritožb, uradnih obvestil in vprašanj. 
Upravljavec mora pri odlocanju o uvedbi videonadzora upoštevati nacelo najmanjšega obsega podatkov
Informacijski pooblašcenec je zoper Policijo vodil inšpekcijski postopek v zvezi z videonadzorom, ki je bil namešcen na stolpu gasilskega doma v Zavrcu in na sredini športnega parka Zavrc. Policija kot upravljavec je namrec na stolp gasilskega doma ob mejnem prehodu namestila videokamero, ki naj bi izvajala 360-stopinjski videonadzor naselja, kar bi naj po navedbah prijavitelja mocno posegalo v zasebnost prebivalcev, saj bi naj bilo mogoce s kamero skozi okna posneti tudi notranjost stanovanjskih objektov. Prebivalci naj ne bi bili obvešceni o postavitvi kamer, prav tako naj ne bi bilo oznaceno, da je obmocje pod videonadzorom. Tudi za kamero na sredini športnega parka Zavrc ni bilo jasno, kaj snema in s kakšnim namenom je bila namešcena. 
Upravljavec je pojasnil, da namešcene videonadzorne kamere uporablja za namene nadzora državne meje in preprecevanje nedovoljenega prehajanja meje. Na obmocju naj bi bilo namrec vec prehodnih mest, namenjenih osebam, ki jim je prehajanje dovoljeno z obmejno prepustnico, ta prehodna mesta pa bi naj uporabljale tudi osebe, ki do tega niso upravicene, s cimer naj bi se izogibale mejni kontroli ter nezakonito preckale državno mejo. Odlocitev o videonadzoru bi naj bila sprejeta zaradi dogodkov v preteklosti, ko je skupina tujcev nedovoljeno preckala prehod in povzrocila tudi vecjo materialno škodo. Videonadzorni sistem naj bi bil namenjen odkrivanju, preprecevanju in dokazovanju kaznivih dejanj in prekrškov, povezanih z nedovoljenimi migracijami. Pravno podlago bi naj predstavljal 113. clen Zakona o nalogah in pooblastilih policije, ki zavezancu dovoljuje uporabo tehnicnih sredstev za fotografiranje ter video in avdio snemanje, ce je to potrebno zaradi zbiranja osebnih in drugih podatkov, namenjenih dokazovanju prekrškov in kaznivih dejanj. Prav tako lahko skladno z Zakonom o nadzoru državne meje upravljavec namesti fotografske in snemalne naprave na obmocju mejnih prehodov in drugih obmocjih ob državni meji zaradi omogocanja opravljanja nadzora državne meje. Upravljavec je trdil, da namešcene kamere omogocajo prekrivanje t. i. »zasebnih con«, s cimer se onemogoci pogled in snemanje prednastavljenih obmocij. 
Informacijski pooblašcenec je ugotovil, da je upravljavec izvajal videonadzor znotraj naselja Zavrc s kamero, ki jo je namestil na stopu gasilskega doma Zavrc, ter s kamero, ki jo je namestil v športnem parku Zavrc. Živa slika trinajstih videokamer se je prenašala na monitorje na policijski postaji. Kamera na stolpu gasilskega doma Zavrc je omogocala rotacijo v razlicne smeri in omogocala zajem vec stanovanjskih hiš, ki se nahajajo v neposredni okolici lokacije kamere. Kamera je omogocala tudi zumiranje zajete slike tako, da so bili posamezniki in vozila dolocljivi. Zlasti ta kamera je glede na svoje lastnosti in funkcionalnosti omogocala poseganje v informacijsko zasebnost posameznikov, ki so se znašli v nadzorovanem obmocju, kar še posebej velja za posameznike, ki živijo v nepremicninah v bližini kamere. Omogocala je snemanje znotraj zasebnih stanovanjskih hiš in drugih objektov, ki se nahajajo v strnjenem naselju, kakor tudi dogajanje v bližini teh objektov in na javnih obmocjih naselja. Podobno je veljalo tudi za kamero v športnem parku, ki je prav tako pokrivala in snemala sicer nekoliko manjši delež stanovanjskih hiš in vecji delež javnih površin. 
Informacijski pooblašcenec je poudaril, da videonadzora velikega dela snemanih obmocij ni mogoce šteti niti za primernega niti za potrebnega za doseganje zakonitega namena, na katerega se sklicuje upravljavec (nadzora državne meje in nezakonitega prehajanja državne meje). Upravljavec ni izkazal, da spoštuje nacelo najmanjšega obsega podatkov, saj snemanje za dosego zakonitega namena ni primerno niti potrebno in predstavlja intenziven in invaziven poseg v informacijsko zasebnost prebivalcev naselja, ki se nahajajo na obmocju zajema videokamer, saj je z njimi mogoce spremljati in snemati tudi notranjost takih objektov. Stanovalci stanovanjskih objektov in njihovi obiskovalci, ki jih zajamejo kamere zavezanca, ne spadajo v kategorijo posameznikov, katerih obdelava osebnih podatkov bi bila za namene državne meje potrebna in primerna, pa vendar videonadzor upravljavcu omogoca, da te posameznike ves cas spremlja in snema v njihovih zasebnih stanovanjskih prostorih, kjer pricakujejo najvišjo stopnjo zasebnosti. Posamezniki se videonadzoru ne morejo izogniti in jim pri tem ni dana nobena možnost izbire. 
Za opravljanje nadzora državne meje in preprecevanje nedovoljenega prehajanja državne meje lahko upravljavec (policija) namesti in uporablja tehnicna sredstva za avdio in video nadzor, saj ZNDM-2 tak nadzor dopušca, vendar bi pri namestitvi in uporabi teh sredstev upravljavec moral spoštovati nacelo sorazmernosti oz. najmanjšega obsega podatkov. Pri odlocanju o izbiri sredstev bi moral ob upoštevanju ucinkovitega doseganja cilja upravljavec upoštevati tudi ustavne pravice posameznikov in zagotoviti, da se cilj doseže tako, da bo v cim manjši meri posegal v pravice posameznikov. 
Na podlagi poziva Informacijskega pooblašcenca je upravljavec izvedel ukrep prekrivanja oz. t. i. »nastavitev zasebnih con«, s cimer bi naj bil dosežen minimalen obseg obdelave osebnih podatkov, ki še zagotavlja funkcionalnost sistema in izvajanja nalog nadzora državne meje ter je hkrati skladen z nacelom najmanjšega obsega podatkov. Informacijski pooblašcenec je ugotovil, da je kljub temu upravljavec tak ukrep izvedel v zelo majhnem delu obmocja, upoštevati pa je treba tudi dejstvo, da lahko upravljavec prekrivanje kadar koli odstrani, in to navzven povsem neopazno. Ukrep prekrivanja obmocij je po mnenju Informacijskega pooblašcenca za obmocja, ki predstavljajo stanovanjske objekte, njihovo notranjost in okolico, neustrezen. 
Informacijski pooblašcenec je z odlocbo odredil odstranitev videokamere, ki se je nahajala na stolpu gasilskega doma Zavrc, ter njeno premestitev na mesto, kjer z njo tehnicno ne bo mogoce spremljati oz. snemati notranjosti stanovanjskih objektov in zasebnih obmocij teh objektov. V zvezi s kamero, ki je bila namešcena v športnem parku Zavrc, je bilo ugotovljeno, da je mogoce nepravilnosti odpraviti s premestitvijo na drugo lokacijo ali pa z doslednim prekrivanjem obmocij, na katerih videonadzora ni mogoce opraviciti na podlagi relevantnih dolocb ZNDM-2.
Staršem mora biti dana možnost podaje locenih privolitev za razlicne namene
Privolitev je ena od zakonitih pravnih podlag za obdelavo osebnih podatkov skladno s prvim odstavkom 6. clena Splošne uredbe. Na podlagi privolitve lahko šole zbirajo osebne podatke otrok skladno z dolocili Pravilnika o zbiranju in varstvu osebnih podatkov na podrocju osnovnošolskega izobraževanja. Ta med drugim doloca, da šola lahko pridobi soglasje staršev za obdelavo osebnih podatkov otroka, ki niso vsebovani v Zakonu o osnovni šoli, so pa potrebni za uveljavljanje oz. priznavanje posameznih pravic ucencu (pravica do subvencionirane šolske prehrane, pravica do brezplacnih ucbenikov, pravica do subvencioniranja šole v naravi, pridobitev razlicnih statusov v skladu z drugimi predpisi itd.), ter za osebne podatke, za katere se starši ucencev s pisno privolitvijo strinjajo, da so javno dostopni, ker po naravi, vsebini ali namenu ne posegajo v zasebnost ucencev (npr. razstave izdelkov ucencev, skupinski posnetki ucencev na fotografijah, videoposnetki, zvocni ali filmski posnetki javnih nastopov ucencev na prireditvah ipd.). Šola pridobi pisno soglasje staršev za celo šolsko leto. Iz soglasja mora biti razvidno, za kakšne fotografije, snemanja in intervjuje gre, na kakšen nacin oz. za katere namene se bodo ti uporabljali in koliko casa se bodo shranjevali.
Privolitev mora biti skladno s Splošno uredbo vedno dokazljiva (upravljavec mora biti sposoben dokazati, da je bila podana), prostovoljna (posameznik mora dejansko imeti izbiro, da privolitev poda oz. je ne poda), specificna (vsaka privolitev mora biti podana za konkretno opredeljen namen), informirana (posameznik mora prejeti informacije o obdelavi njegovih osebnih podatkov) ter nedvoumna (podana mora biti s konkretnim aktivnim dejanjem posameznika, in se ne domneva). Privolitev mora biti zapisana v jasnem in preprostem jeziku, omogociti pa je tudi treba, da je privolitev mogoce umakniti kadar koli in tako enostavno, kot je bila podana. V obrazcu s privolitvijo mora biti zato natancno opredeljen namen podane privolitve, na kakšen nacin bodo prejeti podatki obdelani oz. kje bodo objavljeni. Zelo pomembno je tudi, da je iz privolitve nedvoumno razviden vsak konkretno opredeljen namen za vsako posamezno obdelavo, za katero se podaja privolitev. Za vsak namen posebej mora biti podana locena privolitev (npr. uporaba fotografij otrok za razlicne namene, kot so predstavitev šole, kronika šole, priprava porocila šole, izvajanje vzgojno-izobraževalnega dela, objava fotografij na družbenih medijih itd.). Posameznih namenov, s katerimi so starši soglašali, ni dopustno širiti na druge namene, za nov namen je treba pridobiti novo privolitev starša. Staršem je ob izpolnjevanju obrazca treba zagotoviti tudi informacije o obdelavi osebnih podatkov skladno s 13. clenom Splošne uredbe, npr. kdo obdeluje osebne podatke, zakaj jih obdeluje, komu jih posreduje, koliko casa se bodo hranili, obstoj pravic po Splošni uredbi itd. 
Informacijski pooblašcenec je vodil inšpekcijski postopek zoper eno od slovenskih šol, ki v izjavi o privolitvi staršev oz. skrbnikov za obdelavo osebnih podatkov ni natancno opredelila posamezne namene in s tem pridobila locene privolitve. Iz izjave je tako izhajalo, da starši podajajo eno privolitev za vec namenov skupaj. Prav tako je imel upravljavec na spletni strani objavljeni dve politiki zasebnosti, v okviru informacij, ki bi jih upravljavec moral zagotoviti po 13. clenu, pa ni bila podana informacija o obstoju pravice, da se lahko od upravljavca zahteva dostop do osebnih podatkov ter popravek ali izbris osebnih podatkov ali omejitev obdelave v zvezi s posameznikom, na katerega se nanašajo osebni podatki, ali pravica do ugovora o obdelavi in do prenosljivosti podatkov. Glede na to, da je upravljavec po pozivu Informacijskega pooblašcenca obrazec dopolnil tako, da je posamezne namene za obdelavo osebnih podatkov natancno opredelil, na spletni strani objavil aktualno politiko zasebnosti ter obrazec s privolitvijo dopolnil z naborom informacij o uveljavljanju pravic posameznika, s cimer je vse ocitane nepravilnosti odpravil, je Informacijski pooblašcenec postopek ustavil.
Posameznik od NIJZ ne more zahtevati izbrisa podatkov o cepljenju in testiranju, saj se podatki vodijo na podlagi zakona zaradi izvrševanja naloge v javnem interesu
Posameznik je od upravljavca, Nacionalnega inštituta za javno zdravje (NIJZ), zahteval, da izbriše vse njegove osebne podatke iz podatkovnih baz v zvezi s COVID-19 (zlasti podatke glede testiranja in prebolelosti). Upravljavec je zahtevo zavrnil s pojasnilom, da je skladno z Zakonom o zbirkah podatkov s podrocja zdravstvenega varstva (ZZPPZ) upravljavec zbirk eZdravje in drugih zbirk osebnih podatkov. Enotni sistem za zbiranje in izmenjavo zdravstvenih podatkov o pacientih je Centralni register podatkov o pacientu (CRPP), ki vsebuje povzetek podatkov o pacientu in zdravstveno dokumentacijo. Skladno s Pravilnikom o pooblastilih za obdelavo podatkov v Centralnem registru podatkov o pacientih ima pacient možnost prepovedati vpogled v povzetek podatkov o pacientu, ne pa tudi prepreciti oz. omejiti izmenjavo njegove zdravstvene dokumentacije med izvajalci zdravstvene dejavnosti. Posredovanje rezultatov hitrih testov v CRPP je obvezno za vse izvajalce zdravstvene dejavnosti, ki za testiranje prejemajo javne vire financiranja oz. ne glede na vir financiranja, ce je test pozitiven. Te podatke se sporoci NIJZ v Evidenco nalezljivih bolezni. Podatke o cepljenju pa upravljavec vodi v Elektronskem registru cepljenih oseb (eRCO). Za to evidenco prepovedi ni mogoce podati, ker bi bilo to v nasprotju z namenom zbirke. 
Posameznik je odlocitvi upravljavca nasprotoval, ker meni, da je vodenje zbirk podatkov glede COVID-19 pri upravljavcu neustavno in nezakonito, na kar naj bi kazalo tudi to, da so bili nekateri vladni odloki razglašeni za neustavne. 
Pravica do izbrisa oz. do pozabe je dolocena v 17. clenu Splošne uredbe. Skladno s prvim odstavkom 17. clena Splošne uredbe ima posameznik, na katerega se osebni podatki nanašajo, pravico doseci, da upravljavec brez nepotrebnega odlašanja izbriše osebne podatke v zvezi z njim, upravljavec pa ima obveznost osebne podatke brez nepotrebnega odlašanja izbrisati, npr. v primeru, ce so bili osebni podatki obdelani nezakonito. Pravica do izbrisa pa ni neomejena, saj Splošna uredba doloca, da izbrisa osebnih podatkov ni mogoce uveljavljati, ce je obdelava potrebna za uresnicevanje pravice do svobode izražanja in obvešcanja; za izpolnjevanje pravne obveznosti obdelave na podlagi prava Unije ali prava države clanice, ki velja za upravljavca, ali za izvajanje naloge v javnem interesu ali pri izvajanju javne oblasti, ki je bila dodeljena upravljavcu; iz razlogov javnega interesa na podrocju javnega zdravja v skladu s tockama (h) in (i) drugega odstavka 9. clena ter tretjim odstavkom 9. clena; za namene arhiviranja v javnem interesu, za znanstveno- ali zgodovinskoraziskovalne namene ali statisticne namene v skladu s prvim odstavkom 89. clena, ce bi pravica do izbrisa lahko onemogocila ali resno ovirala uresnicevanje namenov te obdelave, ali za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov.
Iz navedb upravljavca torej izhaja, da so podatki, ki so bili predmet zahteve za izbris, potrebni za izpolnjevanje pravne obveznosti obdelave na podlagi prava države clanice, ki velja za upravljavca, ali za izvajanje naloge v javnem interesu ali pri izvajanju javne oblasti, ki je bila dodeljena upravljavcu. Posameznik je zahteval izbris svojih osebnih podatkov iz zbirk pri NIJZ, in sicer se pozitiven rezultat testa pošlje v Evidenco nalezljivih bolezni, podatki o cepljenju pa se vodijo v Elektronskem registru cepljenih oseb. 
Drugi odstavek 14.b clena ZZPPZ doloca, da CRPP vsebuje naslednje podatke o pacientih: povzetek podatkov o pacientu in pacientovo zdravstveno dokumentacijo iz prvega odstavka 1.a clena tega zakona. Povzetek podatkov o pacientu skladno s cetrtim odstavkom 14.b clena ZZPPZ vsebuje identifikacijske podatke (npr. ime, priimek, državljanstvo, EMŠO, ZZZS številka, kontaktni podatki itd.), med pacientove zdravstvene podatke brez casovne omejitve se uvršca tudi npr. podatek o cepljenjih in med pacientove zdravstvene podatke s casovno omejitvijo podatki o zdravstvenih stanjih in medicinskih posegih za zadnjih šest mesecev. Podatki o testiranju, morebitni prebolevnosti, cepljenju in zdravstveni obravnavi pacienta, ki so vkljuceni v zdravstveno dokumentacijo pacienta, se na podlagi zakona hranijo do njegove smrti. Podobno velja za podatke o povzetku pacientov razen glede podatkov s casovno omejitvijo, ki se po poteku slednje blokirajo tako, da se prepreci njihova nadaljnja obdelava v CRPP. 
Glede pravic posameznika glede podatkov iz CRPP je Informacijski pooblašcenec poudaril, da je skladno z 14.c clenom ZZPPZ obdelava podatkov iz CRPP pri izvajalcih v RS dopustna brez soglasja pacienta, v tujini pa na podlagi soglasja pacienta. Pacient lahko dolocenemu izvajalcu zdravstvene dejavnosti s pisno izjavo omeji vpogled v podatke iz povzetka. Prepoved lahko pacient poda za izvajalca ali za državo izvajalca. Pacient lahko s pisno izjavo omeji tudi uporabo svojih kontaktnih podatkov, za nekatere podatke pa prepovedi ni mogoce podati (npr. osebno ime, EMŠO, ZZZS številka, podatek o pisnih izjavah volje pacienta, podatek o smrti itd.). Informacijski pooblašcenec je v tej zadevi odlocil, da lahko posameznik dolocenemu izvajalcu zdravstvene dejavnosti prepreci vpogled v povzetek, vendar ta pravica ne zagotavlja možnosti doseci izbris podatkov, ki izvirajo iz njegove zdravstvene dokumentacije. Podatki iz evidence nalezljivih bolezni in Registra obveznikov za cepljenja in izvajanje cepljenja ter Register stranskih pojavov po cepljenju, ki se vodijo v zvezi s testiranjem in cepljenjem, se po zakonu vodijo trajno. 
NIJZ kot upravljavec zbirk zdravstvenih osebnih podatkov posameznika vodi podatke na podlagi zakona in jih hrani v skladu z zakonsko dolocenimi roki zaradi izvrševanja svoje naloge v javnem interesu (praviloma trajno). Hkrati gre za obdelavo osebnih podatkov, ki je potrebna iz razloga javnega interesa na podrocju javnega zdravja skladno z dolocbo 9. clena Splošne uredbe. Skladno s tocko (h) drugega odstavka 9. clena je obdelava posebnih vrst osebnih podatkov dopustna, ce je potrebna za namene preventivne medicine ali medicine dela, oceno delovne sposobnosti zaposlenega, zdravstveno diagnozo, zagotovitev zdravstvene ali socialne oskrbe ali zdravljenja ali upravljanje sistemov in storitev zdravstvenega ali socialnega varstva na podlagi prava Unije ali prava države clanice ali v skladu s pogodbo z zdravstvenim delavcem ter zanjo veljajo pogoji in zašcitni ukrepi iz tretjega odstavka 9. clena Splošne uredbe. Skladno s tocko (i) drugega odstavka 9. clena Splošne uredbe pa je obdelava dopustna, ce je potrebna iz razlogov javnega interesa na podrocju javnega zdravja, kot je zašcita pred resnimi cezmejnimi tveganji za zdravje ali zagotovitev visokih standardov kakovosti in varnosti zdravstvenega varstva ter zdravil ali medicinskih pripomockov, na podlagi prava Unije ali prava države clanice, ki zagotavlja ustrezne in posebne ukrepe za zašcito pravic in svobošcin posameznika, na katerega se nanašajo osebni podatki, zlasti varovanje poklicne skrivnosti.
Glede na to, da upravljavec z vodenjem navedenih evidenc izpolnjuje pravne obveznosti obdelave na podlagi prava države clanice (dolocb ZZPPZ), posameznik z izbrisom svojih osebnih podatkov ni uspel. V zvezi z navedbami posameznika o neustavnosti odlokov je Informacijski pooblašcenec poudaril, da ZZPPZ, na podlagi katerega se obdelujejo podatki o testiranju in prebolevnosti, ni bil razglašen za neustavnega, pa tudi postopek za presojo njegove ustavnosti ni bil sprožen.  
Posameznik ne more zahtevati omejitve obdelave v zvezi z osebnimi podatki, ki jih organ uporablja v postopku vodenja in odlocanja v upravnem postopku
Posameznik je na upravljavca naslovil zahtevo za posredovanje informacij na podlagi ZVOP-1 in Splošne uredbe. Upravljavec je zahtevo zavrnil, v pritožbenem postopku pa je Informacijski pooblašcenec posameznikovo pritožbo z odlocbo zavrnil. Odlocbo je nato posredoval skupnosti etažnih lastnikov, upravljavec pa je bil dolocen za skupnega pooblašcenca. Po mnenju pritožnika so bili njegovi osebni podatki razkriti množici neupravicenih uporabnikov, ki v upravni postopek ne bi smeli biti vkljuceni. Posameznik je tako od Informacijskega pooblašcenca kot od upravljavca zahteval, da blokira posameznikove osebne podatke, pridobljene v postopku tako, da jih nepooblašcenim osebam znotraj skupnosti etažnih lastnikov ne razkriva, pred izvedbo dejanj obvesti upravljavca in ga obvesti o izpolnitvi njegove zahteve.
Skladno s prvim odstavkom 18. clena Splošne uredbe ima posameznik, na katerega se nanašajo osebni podatki, pravico doseci, da upravljavec omeji obdelavo v enem od naslednjih primerov:
(a) posameznik, na katerega se nanašajo osebni podatki, oporeka tocnosti podatkov, in sicer za obdobje, ki upravljavcu omogoca preveriti tocnost osebnih podatkov;
(b) je obdelava nezakonita in posameznik, na katerega se nanašajo osebni podatki, nasprotuje izbrisu osebnih podatkov ter namesto tega zahteva omejitev njihove uporabe;
(c) upravljavec osebnih podatkov ne potrebuje vec za namene obdelave, temvec jih posameznik, na katerega se nanašajo osebni podatki, potrebuje za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov;
(d) je posameznik, na katerega se nanašajo osebni podatki, vložil ugovor v zvezi z obdelavo v skladu s prvim odstavkom 21. clena, dokler se ne preveri, ali zakoniti razlogi upravljavca prevladajo nad razlogi posameznika, na katerega se nanašajo osebni podatki.
Zahteva posameznika se nanaša na obdelavo, ki jo Informacijski pooblašcenec vrši kot pritožbeni organ za potrebe vodenja upravnega pritožbenega postopka. Informacijski pooblašcenec je obdelavo v konkretnem primeru izvajal kot nadzorni pritožbeni organ za potrebe vodenja in odlocanja v upravnem pritožbenem postopku. Pravno podlago v tem primeru predstavlja tocka (e) prvega odstavka 6. clena Splošne uredbe, in sicer je obdelava potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu. Pogoj iz tocke (b) prvega odstavka 18. clena Splošne uredbe (obdelava je nezakonita) tako ni izpolnjen, saj gre za zakonito obdelavo osebnih podatkov po Splošni uredbi, zato posameznik v konkretni zadevi ni mogel doseci izbrisa podatkov. Osebni podatki posameznika so namrec del upravnega spisa in se kot taki lahko uporabljajo za opravljanje procesnih dejanj skladno s Splošno uredbo in Zakonom o splošnem upravnem postopku (ZUP). Ce bi posameznik menil, da je v postopku prišlo do kršitve ZUP, bi moral odlocitev Informacijskega pooblašcenca izpodbijati s pravnimi sredstvi zoper odlocbo, izdano v okviru upravnega pritožbenega postopka. Morebitne kršitve ZUP pa na presojo pravice do omejitve obdelave ne vplivajo.
Delodajalec mora ukrep GPS sledenja izvajati tako, da je za varstvo zasledovanega interesa primeren in potreben ukrep
Informacijski pooblašcenec je v letu 2022 vodil vec postopkov v zvezi z nezakonitim pridobivanjem in shranjevanjem lokacijskih osebnih podatkov zaposlenih.
V enem od obravnavanih primerov je upravljavec izvajal sledenje svojih službenih vozil s pomocjo opreme, ki jo je najemal pri zunanjem ponudniku opreme. Zatrjeval je, da se je za izvedbo GPS sledenja odlocil zato, ker je želel zavarovati vozila, drago opremo in dokumente, ki se nahajajo v vozilih, zaradi preprecevanja kraje vozil, opreme in dokumentov, ki se nahajajo v vozilih, in zaradi izsleditve vozil v primeru kraje. Zaposleni so bili o GPS sledenju obvešceni, na namešceno opremo so opozarjale tudi namešcene nalepke. 
V postopku je Informacijski pooblašcenec ugotovil, da upravljavec izvaja GPS sledenje osmih službenih vozil, ki jih predvsem delavci proizvodnje, ki odhajajo na teren, in projektanti uporabljajo za opravljanje službenih del in nalog, pri cemer gre za dostavna vozila (kombije) in dostavna osebna vozila. Upravljavec je sledenje izvajal s pomocjo posebnega oddajnika v vozilu in posebne aplikacije, v kateri je sistem kontinuirano beležil opravljeno pot vozila in te podatke tudi shranjeval. Pri tem je sodeloval z zunanjim izvajalcem, na katerega je prenesel dolocena opravila v zvezi z izvajanjem sledenja (podatki o GPS sledenju so se namrec hranili na strežniku družbe). Informacijski pooblašcenec je ugotovil, da gre nedvomno za obdelavo osebnih podatkov, saj je posameznik, ki je v dolocenem trenutku upravljal z vozilom, na podlagi podatkov, s katerimi upravljavec razpolaga, vedno dolocen ali vsaj dolocljiv. Z izvajanjem GPS sledenja nastaja posebna zbirka osebnih podatkov, ki vsebuje veliko kolicino lokacijskih podatkov zaposlenih posameznikov, o lokaciji, kjer se posameznik nahaja, in o tem, koliko casa se tam zadržuje. Upravljavec je sledenje zaposlenih izvajal na nacin, da je podatke o njihovih lokacijah beležil in zbiral kontinuirano, sistematicno in avtomatizirano, tako da je v katerem koli trenutku za vsakega od njih lahko preveril, kjer se z vozilom nahaja, lahko pa je to ugotavljal tudi za nazaj. 
Upravljavec je kot pravno podlago za izvajanje GPS sledenja navajal zakonite interese po tocki (f) prvega odstavka 6. clena Splošne uredbe, po kateri je obdelava zakonita, ce je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svobošcine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov.
Kot zakoniti interes je upravljavec najprej navedel varstvo svojega premoženja, pri cemer naj bi varoval opremo in dokumentacijo, ki se v vozilih nahajata. Informacijski pooblašcenec je sicer pritrdil, da varstvo premoženja vsekakor predstavlja zakonit interes, ki ga je mogoce zasledovati z GPS sledenjem, vendar upravljavec ni izkazal, da je izvajanje GPS sledenja na nacin, kot ga je izvajal, za varstvo tega interesa primeren in potreben ukrep. Informacijski pooblašcenec je glede na okolišcine poudaril, da bi bil primeren ukrep, s katerim bi se ucinkovito dosegal zasledovani namen, izvajanje GPS sledenja na nacin, da bi ga voznik vklopil, ko bi vozilo parkiral (na lokaciji, kjer bi bilo to vozilo lahko ogroženo) ter ga ob vrnitvi v vozilo spet izklopil. To bi služilo namenu izsleditve vozila v primeru odtujitve, tudi takšen nacin izvajanja GPS sledenja pa upravljavcu ne bi prav nic koristil, ce bi storilec vlomil v vozilo in iz njega odtujil opremo in dokumentacijo. Ob tem je Informacijski pooblašcenec opozoril tudi, da vsakokratno vklapljanje GPS oddajnika s strani zaposlenega ne bi bil primeren ukrep, ampak mora za zbiranje lokacijskih podatkov in poseg v informacijsko zasebnost zaposlenih obstajati takšna stopnja nevarnosti ogrožanja premoženja, da odtehta poseg v ustavno pravico zaposlenih. 
Kot zakonit interes je upravljavec navajal tudi varnost delavcev, saj naj bi se v primeru prometne nesrece, ce bi bilo to potrebno, ugotovila lokacija vozila. Informacijski pooblašcenec je ugotovil, da je stalno in sistematicno spremljanje vozila z namenom, da bi se ob izjemnem oz. malo verjetnem dogodku lahko ugotovilo, kje je vozilo, ocitno nesorazmerno, saj relativno intenzivnega posega v posameznikove pravice zaposlenih ne more odtehtati malo verjetna potrebnost enega lokacijskega podatka v primeru malo verjetnega dogodka v nedoloceni prihodnosti. Kraj nesrece je obicajno znan in ga ni treba ugotavljati s pomocjo GPS lociranja. Prav tako bi lahko voznik lokacijo javil s pomocjo mobilnega telefona ali pa bi se zagotovila možnost vklopa GPS naprave ob nesreci. 
Ugotovljeno je bilo, da upravljavec GPS sledenje izvaja v neskladju z nacelom najmanjšega obsega podatkov, saj je zbiral veliko vecji obseg podatkov, kot bi bilo potrebno za doseganje namenov, ki jih je zasledoval. 
Glede zakonitega interesa uveljavljanja in obrambe morebitnih pravnih zahtevkov upravljavec tega interesa v nicemer ni konkretiziral oz. ni pojasnil, na kakšen nacin bi lahko z GPS sledenjem namen zasledoval.
Upravljavec je kršil tudi nacelo omejitve shranjevanja osebnih podatkov, saj je lokacijske podatke službenih vozil hranil še eno leto po tem, ko so bili zbrani. Informacijski pooblašcenec je z odlocbo upravljavcu sicer na ugotovljen nacin prepovedal izvajanje GPS sledenja službenih vozil, v kolikor pa bo izvajal GPS sledenje zaradi namena varovanja parkiranega vozila oz. lociranja vozila v primeru prometne nesrece, je treba podatke izbrisati takoj, ko za dosego cilja niso vec potrebni (npr. ce ni prišlo do odtujitve vozila, podatki niso vec potrebni v trenutku, ko se zaposleni vrne v vozilo, ce pa bi bilo vozilo odtujeno, je treba podatke izbrisati takoj, ko niso vec potrebni za uveljavljanje pravnih zahtevkov v uradnih postopkih). 
Kadar upravljavci zasledujejo medsebojno povezana oz. dopolnjujoca se namena in skupno dolocajo sredstva obdelave, nastopajo kot skupni upravljavci
Informacijski pooblašcenec je zoper Ministrstvo za javno upravo vodil inšpekcijski postopek, s katerim je preverjal obdelavo osebnih podatkov v okviru t. i. »skupnega aplikacijskega gradnika Pladenj – sistema za standardizirano izvajanje elektronskih podatkovnih poizvedb« (v nadaljevanju: Pladenj). 
Splošna uredba posameznikom zagotavlja varstvo pravic posameznikov v zvezi z osebnimi podatki in v doseganju tega cilja temelji na t. i. nacelu odgovornosti, ki je doloceno v drugem odstavku 5. clena Splošne uredbe, in sicer je upravljavec odgovoren za skladnost obdelave s Splošno uredbo in je to zmožen tudi dokazati. Ucinkovito varstvo pravic je torej prek nacela odgovornosti primarno podeljeno upravljavcu, ki ima s tem, ko doloca namene in sredstva obdelave osebnih podatkov, nadzor in moc odlocanja nad obdelavo osebnih podatkov. 
Upravljavec je v Splošni uredbi opredeljen kot fizicna ali pravna oseba, javni organ, agencija ali drugo telo, ki samo ali skupaj z drugimi doloca namene in sredstva obdelave. Obdelava lahko v dolocenih primerih torej poteka tako, da je udeleženih vec upravljavcev, ki skupaj dolocijo namen in nacin obdelave osebnih podatkov. Tako 26. clen Splošne uredbe doloca, da sta dva ali vec upravljavcev, ki skupaj dolocijo namene in nacine obdelave, skupni upravljavci. Delitev odgovornosti morajo skupni upravljavci dolociti z dogovorom, ki mora jasno opredeljevati vloge in odgovornosti vsakega od upravljavcev, še posebej glede vprašanja izvrševanja pravic posameznikov in obvešcanja posameznikov o obdelavi osebnih podatkov.
V inšpekcijskem postopku je bilo ugotovljeno, da je Pladenj informacijski sistem, vgrajen v Državni racunalniški oblak (DRO), in da služi kot centralna tocka za izvajanje elektronskih poizvedb na podatkovne vire. Nastopa v vlogi tehnicnega posrednika med odjemalcem na eni strani (npr. Ministrstvom za delo, družino in socialne zadeve – MDDSZ) in podatkovnim virom na drugi strani (npr. Geodetsko upravo RS – GURS). Komunikacija pladnja s podatkovnimi viri se izvaja na podlagi poizvedb (protokol klicanja podatkov), ki jih proži poizvedovalni sistem za povezovanje na podatkovne vire in pridobivanje podatkov (protokol pridobivanja podatkov). Za presojo, kdo v konkretnem primeru predstavlja upravljavca, je kljucna obdelava, ki se v okviru gradnika Pladenj izvaja z dejanjem poizvedovanja odjemalca po podatkih in z dejanjem posredovanja teh podatkov s strani vira podatkov. Kot primer presoje ustreznosti dogovora med MJU in uporabnikom podatkov je Informacijski pooblašcenec presojal dogovor med MDDSZ kot uporabnikom storitev, GURS kot posredovalcem podatkov in MJU kot upravljavcem gradnika Pladenj. Pri tem je GURS upravljavec s podrocja evidentiranja nepremicnin in vodi geodetske podatke v lastnem informacijskem sistemu za namen evidentiranja nepremicnin, MDDSZ pa je upravljavec na podlagi Zakona o uveljavljanju pravic iz javnih sredstev (ZUPJS). Oba sta tako upravljavca osebnih podatkov, ki jih obdelujeta za namen, dolocen v materialnem predpisu. ZUPJS doloca, da MDDSZ za potrebe postopka odlocanja in vodenja zbirk podatkov po tem zakonu kot upravljavec teh podatkov pridobiva tocno dolocene podatke iz obstojecih zbirk podatkov drugih upravljavcev (npr. GURS), pri cemer zakon ne doloca nacina pridobivanja teh podatkov. Upravljavcem je prepušcena odlocitev glede izbire informacijske rešitve, s pomocjo katere bodo podatki posredovani. Upravljavci imajo možnost razvoja lastne informacijske rešitve ali pa uporabljajo že pripravljene informacijske rešitve, ki jih je razvil MJU (Pladenj). 
74.a clen Zakona o državni upravi doloca, da je ministrstvo, pristojno za upravljanje informacijsko-komunikacijskih sistemov, v državni upravi pristojno za upravljanje informacijsko-komunikacijske infrastrukture, razvoj skupnih informacijskih rešitev ter njihovo tehnološko, procesno in organizacijsko skladnost s centralnim informacijsko-komunikacijskim sistemom ter za nacrtovanje in upravljanje vseh proracunskih virov na teh podrocjih. Dolocene so nekatere izjeme, npr. informacijsko-komunikacijski sistemi, namenjeni podrocju obrambe, policije itd. Nadalje je doloceno, da vlada doloci podatkovne in tehnološke standarde, smernice za skupne informacijske rešitve in skupno varnostno politiko. Ministrstvo, pristojno za upravljanje informacijsko-komunikacijskih sistemov, zagotavlja storitve centralnega informacijsko-komunikacijskega sistema, elektronsko podporo upravnim ter drugim postopkom in razvoj skupnih informacijskih rešitev za elektronsko poslovanje državnih organov, javnih agencij, organov lokalnih skupnosti in nosilcev javnih pooblastil. 
Na podlagi navedene dolocbe je MJU torej organ, ki je v državni upravi pristojen za upravljanje informacijsko-komunikacijske infrastrukture in razvoj skupnih informacijskih rešitev (npr. Pladenj). ZDU mu nalaga, da presodi, katere informacijske rešitve v državni upravi je treba vzpostaviti (sredstva) za namen doseganja višjega nivoja storitev državne uprave z vidika kakovosti, racionalizacijo poslovanja državne uprave in ucinkovitejšo rabo sredstev (namen). Te presoje MJU ne opravi povsem samostojno, temvec na podlagi usmeritev Sveta za razvoj informatike. Informacijski pooblašcenec je ugotovil, da je zakonodajalec MJU podelil pristojnost odlocanja o tem, s katerimi informacijskimi sredstvi bo zagotavljal cilj, ki mu ga je podelil ZDU – ucinkovitost in racionalizacijo poslovanja organov državne uprave. Ugotovljeno je bilo tudi, da imajo upravljavci osebnih podatkov kot uporabniki storitev informacijsko-komunikacijske infrastrukture in skupnih informacijskih rešitev (DRO, Pladenj) zelo omejeno oz. nicelno možnost vplivanja na tehnicne specifikacije informacijskih rešitev ter na postopke in ukrepe zavarovanja podatkov, ki se obdelujejo s pomocjo teh tehnicnih rešitev. Prav tako nimajo možnosti odlocanja o tem, katere obdelovalce bo zavezanec angažiral za vzdrževanje in razvoj takšnih informacijskih rešitev. Upravljavci so z materialno zakonodajo zavezani glede vrst osebnih podatkov, ki jih lahko posredujejo z zakonom dolocenim uporabnikom in so v tem delu vezani na tocnost podatkov, ki jih posredujejo za namen, dolocen s predpisom. 74.a clen ZDU upravljavcev ne zavezuje, da posredovanje podatkov izvedejo s pomocjo gradnika Pladenj, to odlocitev sprejmejo samostojno, priporocljivo pa je, da storitve koristijo v cim vecjem številu in s tem sodelujejo pri doseganju cilja zagotavljanja visokega nivoja storitev in racionalizacije poslovanja.
Prav tako je bilo na podlagi izvedenega vprašalnika ugotovljeno, da MJU vpliva na obdelavo podatkov, uporabniki storitev pa nimajo nikakršnega vpliva na obdelavo podatkov, ki poteka v Pladnju, na kar kažejo naslednje okolišcine: namen in sredstva obdelave so implicitno doloceni v citiranem 74. a clenu ZDU, MJU osebnih podatkov ne obdeluje na podlagi dokumentiranih navodil uporabnika, uporabniki nimajo možnosti izvrševanja nadzora nad izvajanjem navodil ali ukrepov zavarovanja in MJU sam doloci cas hrambe v sistemu Pladenj. 
Na podlagi navedenega je Informacijski pooblašcenec zakljucil, da zavezanci in uporabniki storitve Pladenj, ki omogoca obdelavo osebnih podatkov na nacin proženja poizvedb in posredovanja podatkov na podlagi le-teh, v okviru te konkretne obdelave nastopajo kot skupni upravljavci, saj vsak od sodelujocih doloca namen in sredstva obdelave, s tem pa vpliva na obdelavo osebnih podatkov. Skupno dolocanje namenov temelji na t. i. sovpadajoci odlocitvi (ang. converging decision), saj zavezanec in uporabniki storitve zasledujejo medsebojno povezana oz. dopolnjujoca se namena – hitro in ucinkovito izvajanje poizvedb s strani odjemalcev in posredovanje podatkov s strani virov podatkov, ne da bi bili ti obremenjeni s tehnicnimi specifikami posameznih podatkovnih virov ter vzpostavljanjem in zagotavljanjem takšnih gradnikov informacijskega sistema državne uprave, ki bodo institucijam (odjemalcem, virom podatkov) omogocali ucinkovito izvajanje njihovih nalog. 
Skupno dolocanje sredstev temelji na ugotovitvi, da uporabniki storitev Pladnja sprejmejo odlocitev, da bodo podatke, za katere je tako doloceno v materialnem predpisu, posredovali prek tehnicnega posrednika (gradnik Pladenj), ki omogoca razbremenitev odjemalcev in virov podatkov tehnicnih specificnosti razlicnih informacijskih sistemov, s tem pa vplivajo oz. omogocajo obdelavo podatkov na nacin, ki ga je dolocil MJU.
Informacijski pooblašcenec ni sledil stališcu MJU, ki je zatrjeval, da nastopa v vlogi obdelovalca. Kot obdelovalec bi namrec smel osebne podatke obdelovati le v imenu upravljavca in z obdelavo le implementirati njegova navodila. Glede na ugotovljeno ima MJU bistveno vecjo moc vplivanja na obdelavo osebnih podatkov v okviru gradnika Pladenj, kot bi mu pripadla v obliki obdelovalca. V delu, v katerem zavezanec vpliva na obdelavo osebnih podatkov, per se onemogoca vpliv uporabnikov (upravljavcev) in jim v tem delu onemogoca izvrševanje nacela odgovornosti. Ce bi Informacijski pooblašcenec sledil stališcu zavezanca, da nastopa zgolj v vlogi obdelovalca, bi to pomenilo odmik od namena, ki ga zasleduje Splošna uredba – ucinkovito in popolno varstvo pravic posameznikov.
Posameznik se v okviru pravice do dostopa ni upravicen seznaniti z izpitnimi vprašanji, na katera je pravilno odgovoril
Posameznik je pri upravljavcu vložil zahtevo za vpogled v upravni spis po Zakonu o splošnem upravnem postopku (ZUP) in v lastne osebne podatke skladno s 15. clenom Splošne uredbe. Na podlagi 15. clena Splošne uredbe je posameznik pri Javni agenciji za civilno letalstvo RS želel vpogledati v celotni pisni test (izpitno polo) za opravljanje teoreticnega znanja za enega od strokovnih izpitov iz pristojnosti agencije. Skladno s prvim odstavkom 15. clena Splošne uredbe ima posameznik namrec pravico od upravljavca dobiti potrditev, ali se v zvezi z njim obdelujejo osebni podatki, kadar je temu tako, dostop do osebnih podatkov.
Upravljavec je zahtevo posameznika delno zavrnil in mu dovolil vpogled le v tista vprašanja in odgovore izpitne pole, na katere je posameznik odgovoril napacno. Svojo odlocitev je utemeljil tako, da je za strokovni izpit predpisan ugovorni postopek, ki zagotavlja poštenost preverjanja znanja, in da lahko kandidat vpogleda le v nepravilno odgovorjena vprašanja. Po pojasnilih upravljavca tudi drugi pristojni organi držav clanic na tem podrocju podobno urejajo vpogled v izpit, saj je treba zagotoviti zaupnost evropske centralne banke vprašanj (ki je intelektualna lastnina Agencije EU za letalsko varnost). Pristojni organi držav clanic niso upravljavci, ampak zgolj uporabniki baze vprašanj in morajo zagotoviti njeno integriteto. Ce bi vprašanja postala javna, bi se izgubil namen teoreticnega usposabljanja.
Informacijski pooblašcenec je pritožbo v delu, ki jo je posameznik podal na podlagi ZUP, zavrgel, saj za odlocanje na drugi stopnji ni pristojen organ, temvec stvarno pristojno ministrstvo. V preostalem delu pa je obravnaval naslednja vprašanja: ali vsi podatki na testu predstavljajo osebne podatke, ali se vsi osebni podatki na testu nanašajo na posameznika ter ali zakonodaja doloca omejitev pravice do seznanitve s predmetnim testom in v kakšnem obsegu.
Informacijski pooblašcenec je ugotovil, da noben pravni akt ne doloca omejitev, kot jih je razlagal upravljavec. Presodil je, da so vsi posameznikovi odgovori osebni podatki, ki se objektivno in neposredno nanašajo na posameznika, saj vsebujejo informacije o njegovem ravnanju (konkretni odlocitvi glede odgovora), njegovih lastnostih in stanju (npr. znanju, pravilnosti odlocitve, zbranosti) ter razmerju (da je nastopal kot kandidat na placljivem uradnem preverjanju). To stališce potrjuje odlocitev Sodišca EU v sorodni zadevi Nowak (C-434/16) iz katere izhaja, da so pisni odgovori, ki jih je na poklicnem izpitu podal kandidat, ter morebitni komentarji popravljavca glede teh odgovorov, osebni podatki kandidata. Nadalje je Informacijski pooblašcenec ugotovil, da je posameznik upravicen do konkretnih odgovorov, ki jih je podal (ne pa do vseh možnih odgovorov). Posameznik pa ni upravicen do seznanitve z vprašanji, na katera je odgovoril pravilno, ker se ne nanašajo neposredno nanj, temvec so z njim le v posredni zvezi. Posameznik ni sodeloval pri njihovi sestavi, izbrana so bila nakljucno in tudi niso bila namenjena njemu osebno, temvec kandidatom, ki so prisostvovali izpitu, ter ne vsebujejo informacij, ki bi se specificno povezovale s posameznikom. Tudi Sodišce EU je v citirani zadevi Nowak pritrdilo, da pravici do dostopa in popravka ne zajemata izpitnih vprašanj.
Ne glede na obstoj osebnih podatkov pa v tem primeru glede vprašanj avtorskopravno varstvo izpitnega gradiva prevlada nad pravico do seznanitve z lastnimi osebnimi podatki. Eno temeljnih ustavnopravnih nacel iz tretjega odstavka 15. clena Ustave RS doloca, da so clovekove pravice in svobošcine omejene samo s pravicami drugih in v primerih, ki jih doloca ustava. Dolocba dopušca, da upravni organ tehta med dvema ustavno varovanima kategorijama – pravico avtorjev in pravico do seznanitve z osebnimi podatki posameznika. Varstvo avtorske pravice bi lahko v konkretnem primeru prevladalo zaradi izpitne tajnosti, saj vprašanja in vsi vnaprej doloceni odgovori že po logiki stvari ne smejo biti dostopni javnosti. To bi namrec kandidatom omogocilo usmerjeno pripravljanje na izpite, kar bi vplivalo na pomanjkljivo usvojitev znanja in posledicno na varnost izvajanja konkretne storitve, za katero se usposabljajo. Informacijski pooblašcenec pri odlocanju ni posegel v odlocitev upravljavca, ki je posamezniku omogocil seznanitev z izpitnimi vprašanji, ki se nanašajo na napacne odgovore, saj lahko upravljavec omogoci posamezniku širši dostop do podatkov, in ce ne poseže v pravice drugih oseb oz. predpisane omejitve, to ne pomeni nezakonitega razkritja osebnih podatkov.
Posredovanje kopij iz zdravstvene dokumentacije mora biti praviloma zagotovljeno brezplacno
Posameznica je pri zdravstvenem domu vložila zahtevo za prejem skeniranih kopij vpisov v njeno kartoteko v zvezi z doloceno poškodbo. Upravljavec je posameznici odgovoril, da je priprava dokumentacije administrativna storitev, ki je zdravstveno zavarovanje ne krije, in predlagal placilo stroškov v višini 25 EUR po ceniku, ki je bil za to storitev objavljen na njegovi spletni strani. Posameznica je upravljavcu pojasnila, da želi skenirano kopijo in ne (navadne) kopije. Ker zahtevane dokumentacije ni prejela, je na Informacijskega pooblašcenca naslovila pritožbo.
 
Pravica do seznanitve z zdravstveno dokumentacijo je urejena v 41. clenu Zakona o pacientovih pravicah (ZPacP), ki v prvem odstavku doloca, da ima pacient ob prisotnosti zdravnika ali drugega zdravstvenega delavca pravico do neoviranega vpogleda in prepisa zdravstvene dokumentacije, ki se nanaša nanj. Fotokopiranje ali drugo reprodukcijo zdravstvene dokumentacije mora zagotoviti izvajalec zdravstvene dejavnosti. Verodostojno reprodukcijo slikovne dokumentacije, ki se ne hrani v elektronski obliki, je izvajalec zdravstvene dejavnosti dolžan zagotoviti, ce razpolaga s tehnicnimi sredstvi, ki to omogocajo. V konkretni zadevi je Informacijski pooblašcenec obravnaval vprašanje, ali je izvajalec zdravstvene dejavnosti posameznici upraviceno zaracunal 25 EUR stroškov oz. pogojeval posredovanje dokumentacije s placilom. 
Izvajalec zdravstvene dejavnosti sicer v skladu s cetrtim odstavkom 41. clena ZPacP lahko zaracuna materialne stroške preslikave oz. druge reprodukcije in posredovanja skladno s predpisi s podrocja varstva osebnih podatkov, med katere sta v casu vložitve zahteve posameznika spadala tudi Zakon o varstvu osebnih podatkov (ZVOP-1) in Splošna uredba. Vendar dolocba ZVOP-1 in Pravilnika o zaracunavanju stroškov pri izvrševanju pravice posameznika do seznanitve z lastnimi osebnimi podatki, ki sta zaracunavanje stroškov dopušcala, od zacetka uveljavitve Splošne uredbe (25. 5. 2018) ne veljata vec. 
Peti odstavek 12. clena Splošne uredbe med drugim doloca, da se vsa sporocila in ukrepi, sprejeti na podlagi 15. clena, zagotovijo brezplacno. Zgolj v primeru, kadar so zahteve posameznika, na katerega se nanašajo osebni podatki, ocitno neutemeljene ali pretirane, ker se npr. ponavljajo, lahko upravljavec zaracuna razumno pristojbino (pri tem upošteva administrativne stroške posredovanja informacij ali sporocila ali izvajanja zahtevanega ukrepa) ali pa ukrepanje v zvezi z zahtevo zavrne. Zaracunavanje materialnih stroškov za posredovanje kopij ali elektronskega zapisa zdravstvene dokumentacije praviloma torej ni vec dopustno, razen ce gre za dodatne kopije ali ocitno neutemeljeno oz. pretirano zahtevo, za kar pa v konkretnem primeru ni šlo. Tudi cenik izvajalca zato ne pride vec v poštev. Prav tako je po mnenju Informacijskega pooblašcenca s pogojevanjem placila upravljavec posameznico postavil v slabši položaj, kot ce bi ji storitev zaracunal po opravljeni storitvi, saj pogojevanje prakticno ucinkuje, kot bi bila zahteva zavrnjena.
Pogojevanje pravice do seznanitve z obiskom ambulante in fotokopiranjem na licu mesta ni ustrezno
Posameznica je pri upravljavcu (ambulanti splošne medicine) prek pooblašcenca vložila zahtevo za posredovanje vseh izvidov zdravljenja v dolocenem casovnem obdobju za umrlega moža ter vpogled v vso zdravstveno dokumentacijo za najmanj deset let pred moževo smrtjo. Upravljavec je zahtevo zavrnil z obrazložitvijo, da je posameznica v ambulanti zahtevano zdravstveno dokumentacijo že prejela (šlo je za odpustnico iz bolnišnice) in posredovanje pogojeval z obiskom ambulante v ordinacijskem casu.
Informacijski pooblašcenec je pojasnil, da dostopa do zdravstvene dokumentacijo pokojnika skladno z dolocbami ZPacP nima le sodišce, kot je navajal upravljavec, temvec med drugim tudi pacientov zakonec, in sicer brez izkazovanja posebnega pravnega interesa, ce je bil v casu nastanka dokumentacije pacient sposoben odlocanja o sebi. V zahtevi mora navesti, s katerimi podatki se želi seznaniti in zakaj, ter izkazati ustrezno razmerje s pokojnim pacientom. Posameznica je navedla, da potrebuje dokumentacijo kot žena umrlega pacienta za postopek urejanja razmerij po smrti zaradi ocene ustreznega zdravljenja in uveljavljanje morebitnih zahtevkov iz tega naslova.
Upravljavec odlocitve ni oprl na morebitno prepoved s strani pacienta, prav tako dejstvo, da upravicena oseba že razpolaga z dokumentacijo, ne pomeni utemeljenega razloga za zavrnitev. Upravljavec bi lahko, ce bi se zahteve pretirano ponavljale, zaracunal razumno pristojbino oz. bi zahtevo zavrnil. Informacijski pooblašcenec je pojasnil tudi, da ima posameznica pravico, da v zdravstveno dokumentacijo vpogleda, jo prepiše ali zahteva, da ji izvajalec zdravstvene dejavnosti zagotovi fotokopije. Pogojevanje pravice do seznanitve z obiskom ambulante in fotokopiranjem na licu mesta ni ustrezno.
Informacijski pooblašcenec je pritožbi ugodil in zadevo vrnil v ponovni postopek, v katerem mora upravljavec na podlagi dolocb 42. clena ZPacP presoditi, v kakšnem obsegu je zahteva posameznice utemeljena. Zakoncu umrlega pacienta se lahko namrec omogoci dostop le do tistih podatkov, ki so potrebni za dosego zakonitega namena seznanitve.
Pravica do seznanitve z lastnimi osebnimi podatki je lahko omejena s podrocnimi predpisi
Posameznik je pri upravljavcu, izvajalcu telekomunikacijskih storitev (operater), vložil zahtevo za izpis osebnih podatkov, ki se nanašajo nanj, informacije o viru osebnih podatkov in namenu njihove obdelave, seznam uporabnikov, katerim so bili posredovani njegovi podatki, kdaj, na kakšni podlagi in za kakšen namen so bili posredovani. Upravljavec je zahtevo zavrnil s sklicevanjem na cetrti odstavek 149.b clena takrat veljavnega Zakona o kazenskem postopku (ZKP), ki je dolocal, da operater svoji stranki ali tretji osebi ne sme razkriti, da je oz. da bo dolocene podatke posredoval pristojnemu organu – sodišcu, državnem tožilstvu ali policiji. 
Posameznik je zoper odlocitev upravljavca vložil pritožbo, ki pa jo je omejil na podatke o posredovanju njegovih prometnih podatkov (telefonska številka, datum komunikacije, cas komunikacije, trajanje klica, vrsta komunikacije, kolicina podatkov in kraj) upravicenim organom, ne glede na to, ali je nastopal kot osumljenec ali kot tretja, nakljucno udeležena oseba. 
Informacijski pooblašcenec je v postopku ugotavljal, ali je v podrocnih predpisih dolocena za ta primer relevantna omejitev pravice do seznanitve z lastnimi osebnimi podatki. Taka omejitev je izhajala iz cetrtega odstavka 149.b clena ZKP, vendar so po mnenju Informacijskega pooblašcenca obstajali resni in objektivni razlogi, da omenjena zakonska ureditev ni v skladu z Ustavo RS zaradi absolutne oz. trajne omejitve posameznikove pravice. Informacijski pooblašcenec je tako pri Ustavnem sodišcu RS vložil zahtevo za presojo ustavnosti navedene dolocbe in pritožbeni postopek prekinil do odlocitve o predhodnem vprašanju. Zakonodajalec je dolocbo pozneje po mnenju Informacijskega pooblašcenca ustrezno spremenil tako, da 149.b clen ZKP absolutne oz. trajne omejitve pravice do seznanitve z lastnimi osebnimi podatki ne doloca vec, zato je ustavno zahtevo umaknil. 
Kljub neustreznosti ureditve je Informacijski pooblašcenec v pritožbenem postopku moral upoštevati sporno zakonodajno ureditev in presojati dolocbe ZKP, kot so veljale na dan izdaje izpodbijanega obvestila.
Informacijski pooblašcenec je ugotovil, da je bila omejitev oz. izjema iz cetrtega odstavka 149.b clena ZKP relevantna v konkretnem primeru, zaradi cesar posameznik ni upravicen do seznanitve z lastnimi osebnimi podatki. Nevarnost razkritja prometnih podatkov osumljencu, udeležencu ali s kaznivim dejanjem kako drugace povezanim osebam je v tem, da lahko ogrozi uspešno in ucinkovito odkritje, preiskavo in pregon kaznivega dejanja. Razkritje pa je lahko škodljivo npr. tudi, ce gre le za informacijo o tem, da se doloceno kaznivo dejanje preiskuje ali ne, kakšen je krog preiskovanih oseb, da je predmet preiskave dolocen tip komunikacije ter za kakšno obdobje, kako in kdaj se to izvaja itd. Dolocba tako absolutno omejuje posameznike pri uveljavljanju pravice do seznanitve z lastnimi osebnimi podatki in velja npr. tudi v primeru, ce podatki niso vec potrebni za kazenski pregon oz. kazenski postopek ali ce je državni tožilec npr. izjavil, da pregona ne bo zacel.
Pravica do seznanitve z osebnimi podatki se lahko razteza na dnevniške zapise
Posameznik je pri upravljavcu (Policiji) vložil zahtevek za posredovanje podatkov iz evidenc Policije, in sicer kdo in kdaj je vpogledal v njegove osebne podatke, kaj je bil razlog za vpogled v evidence ter ali in komu so bili podatki nato posredovani. Prav tako je posebej želel prejeti podatke o vpogledih v evidence o lastništvu motornih vozil, ki jih poseduje. 
Upravljavec je zahtevo zavrnil, med drugim s pojasnilom, da se nekateri podatki vodijo v dnevniku obdelav skladno s tretjim odstavkom 47. clena ZVOPOKD zgolj za namene preverjanja zakonitosti obdelav s strani pristojnih organov, za strokovni ali notranji nadzor, zagotavljanje celovitosti in varnosti osebnih podatkov ter za potrebe predkazenskih in kazenskih postopkov. Navedeni podatki po mnenju upravljavca v celoti predstavljajo podatke o notranji sledljivosti in so namenjeni izkljucno posameznim organom za opravljanje njihovih nalog, zato posamezniku dostopa do teh podatkov ni omogocil. 
Informacijski pooblašcenec je o prvi pritožbi posameznika izdal odlocbo, s katero je odlocil, da se zadeve vrne upravljavcu v ponovno odlocanje v delu, ki se nanaša na zahtevane informacije o casu vpogleda, namenu obdelave ter o uporabnikih osebnih podatkov. V delu, ki se nanaša na informacijo o notranji sledljivosti, torej o tem, kdo je konkretno obdeloval podatke, je Informacijski pooblašcenec pritožbo posameznika, skladno s svojo prakso, zavrnil. 
Posameznik je tudi zoper novo izdano odlocbo vložil pritožbo. Informacijski pooblašcenec je ugotovil, da upravljavec sicer zatrjuje, da na podlagi ZNPPol podatkov posameznika ne obdeluje vec, vendar se je v konkretnem primeru izkazalo, da na podlagi 47. clena ZVOPOKD vodi t. i. dnevnik obdelav, ki vsebuje vse informacije o dejanjih vpogleda in razkritja osebnih podatkov. Informacijski pooblašcenec je v tej zadevi presojal, ali se na dnevnik obdelave razteza pravica dostopa do lastnih osebnih podatkov ter informacij o obdelavi. Dnevnik obdelave upravljavca vsebuje osebne podatke posameznika, ki se v celoti izvaja z avtomatiziranimi sredstvi. V podrocje Splošne uredbe, kakor tudi ZVOPOKD, spada tako obdelava osebnih podatkov, ki so del zbirke ali so namenjeni oblikovanju dela zbirke, kakor tudi obdelava osebnih podatkov, ki se celoti ali delno izvaja z avtomatiziranimi sredstvi, zato Informacijski pooblašcenec argumenta upravljavca, da konkretni dnevnik ni zbirka osebnih podatkov, ni štel za relevantnega v smislu izkljucitve pravice posameznika do dostopa osebnih podatkov. 
Nadalje je Informacijski pooblašcenec poudaril, da sodobni dnevniški zapisi oz. datoteke (t. i. log files) ne vsebujejo le golih informacij zalednega sistema o procesu obdelave, temvec postajajo vedno bolj izcrpni. Z razvojem tehnoloških rešitev je praksa pripeljala do širjenja nabora podatkov v revizijskih sledeh, ki se v dnevniških datotekah avtomatizirano zapisujejo. Upravljavec lahko tako v dnevniških datotekah poleg metapodatkov zbira tudi osebne podatke posameznikov. Zaradi navedenega pri dnevniških zapisih ne gre vedno zgolj za metapodatke o procesih obdelave, temvec ti zapisi pogosto vsebujejo tudi osebne podatke posameznika in temeljne informacije o obdelavi njegovih osebnih podatkov. V teh primerih se po mnenju Informacijskega pooblašcenca na take zapise lahko razteza tudi pravica dostopa.
V zvezi z vodenjem dnevnikov obdelav za dolocen namen je Informacijski pooblašcenec zagovarjal stališce, da dolocba 47. clena ZVOPOKD ne omejuje posameznika pri izvrševanju pravice do dostopa do osebnih podatkov, temvec le omejuje organe in druge uporabnike oz. upravljavce pri uporabi dnevnikov obdelav. Informacijski pooblašcenec je v konkretnem primeru odlocil, da mora upravljavec posamezniku posredovati podatek o datumu obdelave, saj sicer ne bi mogel izvrševati svoje pravic do informacij o obdelavi. Prav tako je odlocil, da se posredujejo podatki o namenu obdelave, za katere je ugotovil, da v zvezi z njimi posebni zadržki glede 25. clena ZVOPOKD ne obstajajo, pri tem pa je ugotovil, da zapisi vsebujejo imena in priimke oseb, ki niso posameznik in do katerih slednji ni upravicen,  upravicen pa bi bil do podatkov o morebitnih zunanjih uporabnikih.
Informacijski pooblašcenec je tako odlocil, da mora upravljavec posamezniku posredovati podatke o datumu in namenu obdelave, pri cemer mora prekriti imena in priimke tretjih oseb. 
Neskladnost mehanizma za upravljanje preferenc glede spletnega vedenjskega oglaševanja
Informacijski pooblašcenec prejel prijavo kršitve varstva osebnih podatkov zoper IAB Europe, in sicer na podlagi ugotovitev porocila dr. Ryana66 Porocilo Dr Ryan: https://brave.com/static-assets/files/Behavioural-advertising-and-personal-data.pdf. 
, da t. i. Transparency and Consent Framework (TCF), ki ga je razvil IAB Europe in je namenjen upravljanju uporabnikovih preferenc glede spletnega vedenjskega oglaševanja, ni skladen z dolocbami Splošne uredbe.
Skladno s 56. clenom Splošne uredbe je informacijski pooblašcenec prijavo posredoval Belgijskemu nadzornemu organu za varstvo osebnih podatkov kot pristojnemu, da deluje kot vodilni nadzorni organ, saj je glavna ustanovitev omenjene družbe v Belgiji. Informacijski pooblašcenec je v okviru postopka zoper zavezanca deloval kot zadevni nadzorni organ, skladno s 56. clenom, 60. in 61. clenom Splošne uredbe. Postopek zoper zavezanca IAB Europe je bil leta 2022 zakljucen s koncno odlocbo po 60. clenu Splošne uredbe, zavezanec pa je predložil nacrt za odpravo ugotovljenih nepravilnosti.
V koncni odlocitvi je Belgijski nadzorni organ za varstvo osebnih podatkov ugotovil, da IAB Europe deluje kot upravljavec osebnih podatkov v zvezi z beleženjem uporabnikove privolitve in preferenc v okviru mehanizma TCF. Ugotovljene kršitve zadevajo predvsem naslednje:
.	
IAB Europe ni izkazal, da ima ustrezno pravno podlago za obdelavo osebnih podatkov uporabnikov mehanizma TCF, prav tako ni ustrezne pravne podlage za nadaljnjo uporabo podatkov s strani oglaševalskih ponudnikov.

.	
Informacije, podane uporabniku, niso dovolj natancne in jasne, da bi uporabnik lahko razumel naravo in obseg obdelave svojih podatkov.

.	
Ugotovljene so bile pomanjkljivosti z vidika zavarovanja podatkov in spoštovanja nacela privzetega varstva podatkov.

.	
Ugotovljene so bile pomanjkljivosti z vidika zahtev glede vodenja evidenc obdelave podatkov, imenovanja uradne osebe za varstvo podatkov in glede izvajanja ocene vplivov na varstvo osebnih podatkov.


Belgijski nadzorni organ za varstvo osebnih podatkov je IAB Europe izrekel globo v višini 250.000 EUR ter zavezancu naložil, da izvede popravne ukrepe za odpravo ugotovljenih kršitev ter predloži akcijski nacrt v zvezi s tem.77 Koncna odlocitev je javno dostopna na https://www.autoriteprotectiondonnees.be/publications/decision-quant-au-fond-n-21-2022-english.pdf.
 Zavezanec je akcijski nacrt predložil, Belgijski nadzorni organ za varstvo osebnih podatkov pa ga je januarja 2023 potrdil.88 https://www.dataprotectionauthority.be/citizen/iab-europe-held-responsible-for-a-mechanism-that-infringes-the-gdpr.
 Zavezanec ima po koncanem postopku po 60. clenu Splošne uredbe možnost pritožbe zoper koncno odlocitev, v tem primeru se je zavezanec pritožil na pristojno belgijsko sodišce, ki pa je posredovalo vec predhodnih vprašanj Sodišcu EU.9. https://www.dataprotectionauthority.be/citizen/iab-europe-case-the-market-court-refers-preliminary-questions-to-the-court-of-justice-of-the-eu.

3.3 DRUGI UPRAVNI POSTOPKI
3.3.1 DOPUSTNOST IZVAJANJA BIOMETRIJSKIH UKREPOV
Informacijski pooblašcenec je po dolocbi 80. clena ZVOP-1 pristojen za vodenje upravnih postopkov za izdajo odlocb o tem, ali je nameravano izvajanje biometrijskih ukrepov v skladu z dolocbami ZVOP-1 ali ne. Biometrijski ukrepi so kot posebna oblika obdelave osebnih podatkov opredeljeni v 78. do 81. clenu ZVOP-1. Informacijski pooblašcenec mora v skladu s tretjim odstavkom 80. clena ZVOP-1 pri odlocanju o tem, ali je nameravana uvedba biometrijskih ukrepov v zasebnem sektorju v skladu z dolocbami ZVOP-1, ugotoviti predvsem, ali je izvajanje biometrijskih ukrepov nujno za opravljanje dejavnosti, za varnost ljudi ali premoženja ali za varovanje tajnih podatkov ali poslovne skrivnosti. Pri presoji, ali so biometrijski ukrepi za dosego namena nujno potrebni, Informacijski pooblašcenec ugotavlja, ali bi namen, ki ga zasleduje vlagatelj, ta lahko dosegel s postopki in ukrepi, ki manj posegajo v zasebnost zaposlenih oz. ne vkljucujejo biometrijskih ukrepov. Slednji namrec predstavljajo velik poseg v informacijsko zasebnost posameznika, saj gre za obdelavo tistih znacilnosti, ki so za vsakogar edinstvene in stalne in zloraba katerih bi za posameznika lahko imela hude, daljnosežne in nepopravljive posledice. Informacijski pooblašcenec presoja tudi tehnicni vidik biometrijskih ukrepov (ali se bodo ti ukrepi uporabljali za preverjanje identitete oz. avtentikacijo ali za ugotavljanje identitete oz. identifikacijo). 
Informacijski pooblašcenec leta 2022 ni prejel nobene vloge za izdajo dovoljenja za uvedbo biometrijskih ukrepov.
3.3.2 POVEZOVANJE ZBIRK OSEBNIH PODATKOV
Povezovanje zbirk osebnih podatkov urejajo 84., 85. in 86. clen ZVOP-1. 84. clen ZVOP-1 doloca, da ce najmanj ena izmed zbirk osebnih podatkov, ki naj bi se jih povezovalo, vsebuje obcutljive osebne podatke ali ce bi bila posledica povezovanja razkritje obcutljivih podatkov ali je za povezovanje potrebna uporaba istega povezovalnega znaka, povezovanje brez predhodnega dovoljenja Informacijskega pooblašcenca ni dovoljeno. Informacijski pooblašcenec povezavo dovoli na podlagi pisne vloge upravljavca osebnih podatkov, ce ugotovi, da ta zagotavlja ustrezno zavarovanje osebnih podatkov. Postopki in ukrepi za zavarovanje morajo biti ustrezni glede na tveganje, ki ga predstavljata obdelava in narava osebnih podatkov, ki se obdelujejo. Poleg ugotavljanja ustreznosti zavarovanja osebnih podatkov mora Informacijski pooblašcenec pri odlocanju o izdaji dovoljenja za povezovanje zbirk osebnih podatkov opraviti tudi vsebinski preizkus, ali za povezovanje zbirk osebnih podatkov obstaja ustrezna zakonska podlaga. V okviru povezave zbirk osebnih podatkov se lahko posredujejo oz. obdelujejo le tisti osebni podatki, ki jih doloca veljavna zakonodaja. Povezovanje zbirk predstavlja avtomatsko in elektronsko povezovanje zbirk osebnih podatkov, ki jih vodijo upravljavci za razlicne namene, in sicer tako, da se doloceni podatki samodejno ali na zahtevo prenesejo ali vkljucijo v drugo povezano zbirko ali v vec povezanih zbirk. Zbirki osebnih podatkov sta povezani, ce se doloceni podatki iz ene zbirke neposredno vkljucijo v drugo zbirko, s cimer se druga zbirka spremeni (poveca, ažurira ipd.); pri tem gre lahko zgolj za enosmeren tok prenosa podatkov. 
Informacijski pooblašcenec je leta 2022 prejel 21 vlog za pridobitev dovoljenja za povezovanje zbirk osebnih podatkov. Izdal je 16 odlocb, in sicer 15 odlocb, s katerimi je upravljavcem povezovanje zbirk osebnih podatkov dovolil, ter eno odlocbo, s katero je povezovanje sicer dovolil, vendar je vlogo delno zavrgel, saj vlagatelj v vlogi ni uveljavljal kakšne svoje pravice ali pravne koristi oz. ni mogel biti stranka v postopku. Tri vloge upravljavcev je zavrgel in prejeto vlogo štel kot predhodno obvestilo po drugem odstavku 84. clena ZVOP-1, v skladu s katerim so upravljavci ali upravljavec osebnih podatkov, ki povezuje dve ali vec zbirk osebnih podatkov, ki se vodijo za razlicne namene, dolžni o tem predhodno pisno obvestiti državni nadzorni organ. V treh zadevah je postopek zaradi umika vloge upravljavca ustavil.
S sprejemom ZVOP-2 konec leta 2002 in njegovo uveljavitvijo se s 26. 1. 2023 spreminja tudi ureditev povezovanja zbirk osebnih podatkov, in sicer Informacijski pooblašcenec z uveljavitvijo ZVOP-2 ne bo vec izdajal odlocb glede povezovanja zbirk, temvec mora pred povezovanjem zbirk upravljavec oz. obdelovalec izdelati oceno ucinka po 35. clenu Splošne uredbe in se posvetovati z Informacijskim pooblašcencem po 36. clenu Splošne uredbe (87. clen ZVOP-2).
Število vlog za izdajo odlocbe glede povezljivosti zbirk osebnih podatkov med letoma 2006 in 2022.


3.3.3 PRENOS OSEBNIH PODATKOV V TRETJE DRŽAVE
Splošna uredba ureja prenos podatkov v tretje države in mednarodne organizacije v V. poglavju. Prenos je dovoljen, ce obstaja ena izmed naslednjih pravnih podlag:
1.	
Evropska komisija izda odlocbo, da država, ozemlje, dolocen sektor v državi ali mednarodna organizacija, v katero se osebni podatki prenašajo, zagotavlja ustrezno raven njihovega varstva (45. clen). V veljavi ostajajo tudi odlocbe o zagotavljanju ustrezne ravni varstva osebnih podatkov v tretjih državah, ki jih je na podlagi 63. clena ZVOP-1 sprejel Informacijski pooblašcenec;

2.	
izvoznik podatkov zagotovi ustrezne zašcitne ukrepe na podlagi 46. in 47. clena;

3.	
gre za posebne primere, ki so doloceni v 49. clenu, v katerih so mogoca odstopanja.


Po Splošni uredbi dovoljenje Informacijskega pooblašcenca za prenos podatkov v tretje države ali mednarodne organizacije v vecini primerov ni vec potrebno.
Pridobitev dovoljenja oz. odlocbe nadzornega organa glede ustreznosti zašcitnih ukrepov iz 46. clena, ki predstavljajo podlago za prenos podatkov, je potrebna le še takrat: 
•	
ko gre za prenos podatkov v tretjo državo na podlagi pogodbenih dolocil, ki jih kot ustrezne zašcitne ukrepe sama dolocita izvoznik in uvoznik podatkov (tocka (a) tretjega odstavka 46. clena); 

•	
ko gre za prenos podatkov med javnimi organi na podlagi dolocb, ki se vstavijo v upravne dogovore (tocka (b) tretjega odstavka 46. clena);

•	
ce se podatki prenašajo na podlagi zavezujocih poslovnih pravil, mora le-te predhodno odobriti pristojni nadzorni organ (prvi odstavek 47. clena).


Informacijski pooblašcenec v letu 2022 ni prejel nobene vloge v zvezi s prenosom podatkov v tretje države. 
Informacijski pooblašcenec ima na svoji spletni strani objavljene smernice, v katerih je podrobno predstavljena ureditev prenosov osebnih podatkov v tretje države in mednarodne organizacije po Splošni uredbi. Smernice so dostopne na tej povezavi.
Na to temo je v letu 2022 Evropski odbor za varstvo podatkov (EOVP) sprejel Smernice št. 5/2021 o medsebojnem prepletanju clena 3 in dolocb o mednarodnih prenosih podatkov iz poglavja V Splošne uredbe, ki so bile v javni obravnavi do 31. 1. 2022. Namen smernic je pomoc upravljavcem in obdelovalcem pri ugotavljanju, ali dolocena obdelava podatkov predstavlja prenos v tretjo državo ali mednarodno organizacijo ali ne. Ce upravljavec ali obdelovalec podatke prenaša v tretjo državo ali mednarodno organizacijo, mora pri tem upoštevati tudi dolocbe V. poglavja Splošne uredbe o varstvu podatkov.
Evropska komisija je 13. 12. 2022 objavila Osnutek sklepa o ustreznosti, ki temelji na okviru izmenjave podatkov med EU in ZDA, ki naj bi nadomestil zasebnostni šcit, ki ga je Sodišce Evropske unije razveljavilo s sodbo Schrems II. EOVP je sprejel Mnenje št. 5/2023 o osnutku sklepa o ustreznosti v zvezi z okvirom za izmenjavo podatkov med EU in ZDA, v katerem je poudaril, da gre za znatno izboljšanje v primerjavi s prejšnjim okvirom, vendar je izpostavil nekatera odprta vprašanja, ki se nanašajo predvsem na: izjeme od pravice do dostopa, odsotnost kljucnih opredelitev, pomanjkanje jasnosti glede uporabe nacel okvira za obdelovalce, široko izjemo od pravice do dostopa do javno dostopnih informacij, pomanjkanje posebnih pravil glede avtomatiziranega sprejemanja odlocitev ter profiliranja in odsotnost zahteve po predhodni odobritvi neodvisnega organa za množicno zbiranje podatkov v skladu z izvršilno odredbo št. 12333. Kar zadeva ocitek Sodišca EU, ki ga je izpostavilo v sodbi Schrems II glede pomanjkanja ucinkovitega pravnega sredstva za posameznike, je z izvršilno odredbo št. 14086 uveden nov mehanizem pravnih sredstev za posameznike. Kljub temu pa še ostajajo nekateri pomisleki, npr. glede splošnega odgovora sodišca, ki ga prejme posameznik, ki je zgolj obvešcen, da ni bilo kršitev ali da so bili sprejeti ustrezni ukrepi, nima pa nobene možnosti pritožbe.
3.3.4 ZAHTEVA ZA OCENO USTAVNOSTI IN ZAKONITOSTI
Informacijski pooblašcenec lahko z zahtevo zacne postopek za oceno ustavnosti oz. zakonitosti predpisov na podlagi 23.a clena Zakona o Ustavnem sodišcu (ZUstS), ce se pojavi vprašanje ustavnosti ali zakonitosti v zvezi s postopkom, ki ga vodi. Informacijski pooblašcenec je v letu 2022 vodil postopek inšpekcijskega nadzora v zvezi s sumom nezakonitega oz. nepooblašcenega vpogleda v nekatere baze podatkov oz. evidence s strani uslužbencev Urada RS za preprecevanje pranja denarja (v nadaljevanju: urad). Prav tako je zoper urad vodil pritožbeni postopek posameznice, ki je pri uradu vložila zahtevo za seznanitev z lastnimi osebnimi podatki. Pri zavrnitvi pritožbe posameznice se je urad skliceval na vec dolocb Zakona o preprecevanju pranja denarja in financiranja terorizma (Uradni list RS, št. 48/22, ZPPDFT-2), ki doloca omejitev pravice do seznanitve.
Informacijski pooblašcenec je ugotovil, da obstajajo resni in objektivni razlogi, ki kažejo, da zakonska ureditev obdelav osebnih podatkov s strani urada ni v skladu z Ustavo RS. V zvezi z navedenima postopkoma je Informacijski pooblašcenec na Ustavno sodišce RS podal zahtevo za oceno ustavnosti dolocb ZPPDFT-2, in sicer je Ustavnemu sodišcu predlagal, da oceni ustavnost naslednjih dolocb: petega in osmega odstavka 51. clena ZPPDFT-2, cetrtega odstavka 94. clena ZPPDFT-2, devete tocke 97. clena ZPPDFT-2, 98. clena ZPPDFT-2, sedme tocke prvega in tretjega odstavka 126. clena ZPPDFT-2, prvega odstavka 132. clena ZPPDFT-2, drugega odstavka 134. clena ZPPDFT-2, 1. alineje petega odstavka 145. clena ZPPDFT-2 in petega do sedemnajstega odstavka 150. clena ZPPDFT-2, ugotovi njihovo neskladnost z Ustavo RS ter jih razveljavi.
Pooblastila urada za obdelavo osebnih podatkov in zakonitost obdelav
Drugi odstavek 38. clena Ustave doloca, da mora zbiranje, obdelovanje in namen uporabe osebnih podatkov dolocati zakon, kar ob upoštevanju definicije obdelave osebnih podatkov v 2. alineji 4. clena Splošne uredbe pomeni, da mora vsako obdelavo in namen take obdelave dolocati zakon. Po ustaljeni ustavnosodni presoji pomeni vsako obdelovanje osebnih podatkov poseg v ustavno pravico do varstva osebnih podatkov iz 38. clena Ustave in mora biti predmet zakonskega urejanja. V zakonu mora biti med drugim dolocno opredeljeno, kateri podatki se smejo zbirati in obdelovati. Dolocbe morajo biti skladno s prakso Evropskega sodišca za clovekove pravice (ESCP) dovolj natancne, jasne in dolocne, da lahko državljani vedo, pod katerimi pogoji in v kakšnih okolišcinah lahko državni organi izvršujejo dolocene ukrepe. Pri ukrepih, ki pomenijo poseg v pravico do varstva osebnih podatkov, je ESCP poudarilo, da mora njihova pravna ureditev med drugim dolocati jasna, natancna pravila o obsegu in uporabi ukrepa kot tudi minimalna jamstva glede trajanja, hrambe, uporabe, dostopa tretjih oseb, postopkov za zagotavljanje celovitosti in zaupnosti podatkov ter postopka unicenja podatkov. Prav s tem se zagotavljajo zadostna jamstva zoper nevarnost zlorabe in samovolje. Ta zahteva pa je tesno povezana tudi z vprašanjem sorazmernosti ukrepa oz. s presojo, ali je ukrep v demokraticni družbi nujen. 
Urad zaradi izpolnjevanja svojih obveznosti obdeluje osebne podatke velikega števila posameznikov, kar zahteva jasno dolocitev namenov obdelave osebnih podatkov in dolocitev osebnih podatkov, ki jih lahko obdeluje za posamezen namen oz. pooblastilo v zvezi s pridobivanjem, analiziranjem, posredovanjem in drugo obdelavo osebnih podatkov, saj lahko sicer pride do prekomerne obdelave osebnih podatkov in arbitrarnega poseganja v ustavno pravico posameznikov s strani države. Informacijski pooblašcenec meni, da nekatere dolocbe ZPPDFT-2 navedenih kriterijev ne izpolnjujejo, niso skladne z nacelom sorazmernosti in ne nudijo ustrezne pravne varnosti in predvidljivosti obdelave osebnih podatkov s strani urada. Informacijski pooblašcenec izpostavlja zlasti naslednje:
- Urad lahko za potrebe izvajanja nalog iz ZPPDFT-2 pridobi celotno zbirko podatkov iz registra dejanskih lastnikov (osmi odstavek 51. clena ZPPDFT-2). Po mnenju Informacijskega pooblašcenca namen dolocbe ni jasen, saj je uradu omogocen tudi brezplacen neposredni elektronski dostop do vseh podatkov o dejanskih lastnikih, ki so vpisani v register. Enak cilj je torej dosežen z blažjim ukrepom, s katerim se omogocijo posamicni dostopi do podatkov, ne pa pridobivanje oz. kopiranje celotne baze podatkov drugega upravljavca in njeno hrambo na zalogo. 
- ZPPDFT-2 urad na splošno pooblašca, da lahko za opravljanje svojih nalog dostopa do katerih koli podatkov, s katerimi razpolagajo zavezanci, državni organi in nosilci javnih pooblastil (cetrti odstavek 94. clena ZPPDFT-2). Dolocba ne vsebuje omejitev glede nalog urada, za katere bi lahko dostopal do podatkov, niti ne opredeljuje osebnih podatkov, do katerih lahko dostopa, ali zavezancev, državnih organov ali nosilcev javnih pooblastil, ki so lahko viri takih podatkov. Po mnenju Informacijskega pooblašcenca bi se dalo namen obdelave osebnih podatkov doseci z ukrepom, ki bi v manjši meri posegal v informacijsko zasebnost posameznikov, in sicer s posredovanjem osebnih podatkov na podlagi zahteve urada, saj bi imel pri tem upravljavec še dolocen vpliv na njihovo obdelavo.
- ZPPDFT-2 taksativno doloca vrste osebnih podatkov, za sprejemanje in analiziranje katerih je pristojen urad (97. clen ZPPDFT-2). Dodatno pa zakon doloca, da je urad pristojen tudi za sprejemanje in analiziranje podatkov in informacij, pridobljenih na drug nacin, za katere urad presodi, da vsebujejo razloge za sum pranja denarja ali financiranja terorizma. Pri tem lahko urad analizira katere koli podatke in informacije, pridobljene na drug nacin, s cimer se odpira možnost arbitrarnega ravnanja urada in prekomernega poseganja v informacijsko zasebnost posameznikov. Dolocba po mnenju Informacijskega pooblašcenca nesorazmerno in nedolocno razširja obseg osebnih podatkov, ki jih urad lahko analizira, saj podatkov ne omejuje ne po vrsti ne po viru. Dolocba je problematicna tudi z vidika izvajanja t. i. »operativnih analiz« (98. clen ZPPDFT-2), ki so osredotocene na analiziranje sporocil, obvestil, podatkov in informacij, ki jih urad opravlja z namenom, da presodi, ali so z neko transakcijo, osebo, premoženjem ali sredstvi podani razlogi za sum storitve kaznivega dejanja pranja denarja, predhodnih kaznivih dejanj ali kaznivega dejanja financiranja terorizma. Posamezniki tako zaradi širokega pooblastila urada, ki lahko pridobiva informacije na kateri koli nacin, ne morejo razbrati, kateri njihovi osebni podatki so podvrženi analizi urada in katera dejanja obdelave lahko urad pri tem izvaja. Materija mora biti zakonsko ne samo urejena, temvec tudi urejena dolocno in nedvoumno, da se izkljuci vsaka možnost arbitrarnega odlocanja državnega organa. 
- Za izvajanje strateških analiz, ki so opredeljene kot analize za ugotavljanje tipologij in trendov v zvezi s pranjem denarja in financiranjem terorizma, po mnenju Informacijskega pooblašcenca obdelava osebnih podatkov ni primerna ali vsaj ni potrebna. Kljub temu iz dolocb, ki urejajo evidence strateških analiz, izhaja, da se za namene strateških analiz obdelujejo osebni podatki. To po mnenju Informacijskega pooblašcenca ni v skladu z ustavnim nacelom sorazmernosti, saj dopušca posege v ustavno pravico posameznikov, ceprav bi se zasledovani namen lahko doseglo s precej manjšim posegom v to pravico – psevdonimizacijo ali anonimizacijo ali celo brez obdelave osebnih podatkov.
- V zvezi s predložitvijo podatkov uradu so v 126. clenu ZPPDFT-2 doloceni subjekti, od katerih lahko urad zahteva podatke, in podatki, ki jih lahko od njih zahteva. Kljub temu pa lahko urad od subjektov zahteva tudi druge razpoložljive podatke in dokumentacijo, ki jo vodijo na podlagi drugih predpisov, oziroma podatke, ki so jih pridobili na drug zakonit nacin in ki jih urad potrebuje za namene iz tega clena. Dolocba pooblastilo za pridobivanje podatkov neomejeno širi na zelo obsežen nabor osebnih podatkov, kar je zlasti sporno ob upoštevanju namenov obdelave. Urad tako npr. pridobiva podatke od subjektov na podlagi lastne zahteve, na vec mestih v zakonu, pri cemer se dolocbe v vecji meri vsebinsko prekrivajo tako, da urejajo pridobitev podatkov za enake namene in od istega kroga subjektov, prekrivajo pa se tudi vrste osebnih podatkov, ki jih urad lahko pridobiva. Taka zakonska ureditev ni v skladu z nacelom pravne države, saj razlicne zakonske dolocbe razlicno urejajo pogoje za pridobivanje podatkov na zahtevo urada. Takšna ureditev ne zagotavlja predvidljivosti ukrepov oz. situacij, v katerih lahko država izvede poseg.
- Državna tožilstva in drugi državni organi uradu sporocajo podatke o kaznivih dejanjih pranja denarja in financiranju terorizma, in sicer za namen centralizacije in analize vseh podatkov v zvezi s pranjem denarja in financiranjem terorizma (prvi odstavek 132. clena ZPPDFT-2). Pri uradu se torej centralno zbirajo podatki o vseh kaznivih dejanjih dolocene vrste (torej vecji obseg dokaj obcutljivih osebnih podatkov) za namene centralizacije in analize vseh podatkov. Koristi takega ukrepa po mnenju Informacijskega pooblašcenca nikakor ne odtehtajo posega v informacijsko zasebnost, ki ga ukrep predstavlja, zlasti ob upoštevanju dejstva, da lahko urad take osebne podatke od teh subjektov vedno pridobi na podlagi zahteve, ce jih za potrebe opravljanja svojih nalog potrebuje. 
- Sodišca in državna tožilstva na letni ravni uradu pošiljajo tudi podatke o prekrškovnih postopkih ter o prekrških in storilcih prekrškov, pri cemer je dopušcena obdelava podatkov o vseh prekrških in njihovih storilcih (tretji odstavek 132. clena ZPPDFT-2). Informacijski pooblašcenec ugotavlja, da je tak obseg obdelave osebnih podatkov preširok oz. nesorazmeren, saj predpisuje obdelavo ne samo podatkov o kaznivih dejanjih, ampak tudi obdelavo podatkov o prekrških, pri cemer pa namena obdelave slednjih sploh ne doloca. Prav tako ne doloca relevantnih prekrškov, kar pomeni, da podatki o vecini prekrškov, s katerimi razpolagajo sodišca in državno tožilstvo, niso v nicemer relevantni za opravljanje nalog in pristojnosti urada.
- Nesorazmernost se kaže tudi v dolocbah, kjer se obdelava osebnih podatkov dopušca v zvezi z nalogami, kot so npr. predlaganje sprememb in dopolnitev predpisov, pripravljanje smernic in priporocil, izobraževanje zavezancev itd. Za opravljanje navedenih nalog je jasno, da jih lahko urad opravlja brez obdelave osebnih podatkov in da slednji za doseganje teh namenov niso potrebni.
Omejitev pravice do seznanitve z lastnimi osebnimi podatki
Po mnenju Informacijskega pooblašcenca ni problematicen sam obstoj omejitve pravice do seznanitve, saj so omejitev pravice ter cilji oz. razlogi zanjo legitimni in skladni s Splošno uredbo. Prvi odstavek 23. clena Splošne uredbe doloca, da lahko pravo EU ali države clanice omejijo obseg obveznosti in pravic, tudi glede 15. clena, ce taka omejitev spoštuje bistvo temeljnih pravic in svobošcin ter je potreben in sorazmeren ukrep v demokraticni družbi, npr. za zagotavljanje preprecevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij. Informacijski pooblašcenec pa meni, da je omejitev pravice dostopa po drugem odstavku 134. clena in petem odstavku 145. clena ZPPDFT-2 nesorazmerna, ker brez ocitno utemeljenega razloga dolgorocno, v celoti in brezpogojno omejuje vse posameznike pri uveljavljanju pravice do seznanitve z lastnimi osebnimi podatki. Varstvo interesov preprecevanja, odkrivanja, preiskovanja in pregona pranja denarja ter financiranja terorizma kot razlog za omejitev pravice do varstva osebnih podatkov nikoli ne sme biti trajno in tudi ne sme trajati pretirano dolgo obdobje tako kot v konkretnem primeru - osem let. Tako dolgo obdobje popolne omejitve ene glavnih pravic na podrocju varstva osebnih podatkov ni utemeljeno. Dolocbe ZPPDFT-2 ne upoštevajo, da imajo razlicni osebni podatki razlicno potrebo po varstvu in da bi moralo biti obdobje varstva podatkov vezano na neki odlocilen dogodek, ko potreba po varstvu preneha, npr. »pravnomocna odlocitev o uvedbi kazenskega postopka ali postopka o prekršku«, »prenehanje operativne analize«, »vložitev prijave ali pobude pri pristojnem organu«, »odlocitev o zavrženju kazenske ovadbe« ipd. 
Dvojno omejitev pravice do seznanitve pa predstavlja tudi režim tajnih podatkov. Tudi po preteku roka hrambe zakon ne doloca prenehanja tajnosti, kar pomeni, da so lahko osebni podatki nedostopni tudi po preteku osemletnega roka. S tem je ZPPDFT-2 uvedel absolutno omejitev pravice do seznanitve, kar pomeni njeno nedopustno negacijo.
Varstvo interesov preprecevanja, odkrivanja, preiskovanja in pregona prepovedanih ravnanj po ZPPDFT-2 ne more trajati v nedogled. To pomeni, da bi morali biti tudi predmetni osebni podatki podvrženi sprostitvi v trenutku, ko varstvo interesov preprecevanja, odkrivanja, preiskovanja in pregona prepovedanih ravnanj ni vec nujno potrebno. 
Zahtevo za oceno ustavnosti je Informacijski pooblašcenec dne 30. 12. 2022 delno umaknil, saj so bile nepravilnosti s sprejemom 3. in 7. clena Zakona o spremembah in dopolnitvah Zakona o preprecevanju pranja denarja in financiranja terorizma (Uradni list RS, št. 145/2022; ZPPDFT-2A) deloma odpravljene, in sicer nepravilnosti v zvezi z osmim odstavkom 51. clena ZPPDFT (pridobitev celotne zbirke podatkov iz registra dejanskih lastnikov) in v zvezi s cetrtim odstavkom 94. clena ZPPDFT (dostopanje do katerih koli podatkov, s katerimi razpolagajo zavezanci, državni organi in nosilci javnih pooblastil). 
Celotna besedila podanih zahtev za oceno ustavnosti in zakonitosti so na voljo na spletni strani Informacijskega pooblašcenca: https://www.ip-rs.si/zakonodaja/zahteve-ip-za-presojo-ustavnosti-oz-zakonitosti-predpisov.  
3.4 PRIPRAVA MNENJ IN POJASNIL
3.4.1 SPLOŠNA POJASNILA
Na podlagi 57. clena Splošne uredbe, 76. clena ZVOPOKD in 49. clena ZVOP-1 Informacijski pooblašcenec izdaja neobvezna mnenja, pojasnila in stališca o vprašanjih s podrocja varstva osebnih podatkov, s katerimi prispeva k ozavešcenosti upravljavcev in obdelovalcev ter širše javnosti. 
Leta 2022 je Informacijski pooblašcenec svetoval 2.341 posameznikom in pravnim osebam, ki so se nanj obrnili z vprašanji s podrocja varstva osebnih podatkov. 
Informacijski pooblašcenec je izdal 876 pisnih mnenj in napotitev na mnenja. Ce je posameznik zastavil vprašanje, na katerega je Informacijski pooblašcenec v preteklosti že podobno odgovoril, je posameznika le napotil na mnenje, objavljeno na spletni strani. Na spletni strani https://www.ip-rs.si/vop/ je namrec objavljenih vec kot 7.000 mnenj. Uporabniki lahko brskajo po mnenjih, ki so bila izdana, preden je v veljavo stopila Splošna uredba, z locenima iskalnikoma pa lahko dostopajo do mnenj, ki so bila izdana po 25. maju 2018, in do mnenj, ki so bila izdana po zacetku uporabe ZVOP-2. Slednja so razvršcena v kar 68 vsebinskih podrocij.  
Informacijski pooblašcenec spodbuja svetovanje oz. posredovanje ustnih odgovorov na vprašanja, zato je bil v letu 2022 v uradu vsak dan na voljo dežurni državni nadzornik za varstvo osebnih podatkov, ki je na vprašanja odgovarjal po telefonu. Leta 2022 so državni nadzorniki opravili 1.465 klicev (sprejeli so 1394 klicev in opravili 71 telefonskih pogovorov na podlagi pisnih zaprosil za mnenje).
3.4.2 MNENJA NA PREDPISE
Informacijski pooblašcenec podaja mnenja na predpise skladno s tocko (c) prvega odstavka 57. clena Splošne uredbe, 48. clenom ZVOP-1 in 76. clenom ZVOPOKD, ki dolocajo, da nadzorni organ svetuje državnemu zboru, vladi oz. ministrstvom ter drugim institucijam in organom o zakonodajnih in upravnih ukrepih v zvezi z varstvom pravic in svobošcin posameznikov pri obdelavi osebnih podatkov oz. daje predhodna mnenja, pojasnila in stališca o usklajenosti dolocb predlogov zakonov ter ostalih predpisov z zakoni in drugimi predpisi, ki urejajo osebne podatke, ter vprašanjih glede varstva osebnih podatkov. 
Leta 2022 je Informacijski pooblašcenec izdal 60 mnenj na predloge sprememb zakonov ter na predloge novih zakonov in drugih predpisov. Informacijski pooblašcenec je pri predlagateljih predpisov, s katerimi se uvajajo nove kompleksne oblike obdelav osebnih podatkov ali obsežne obdelave osebnih podatkov z uporabo modernih tehnologij, še vedno pogrešal zavedanje o nujnosti temeljite predhodne analize in naslovitve tveganj, ki jih takšne obdelave prinašajo. Skladno z novimi dolocbami ZVOP-2 bodo upravljavci glede dolocenih obdelav osebnih podatkov morali pripraviti oceno ucinka po 35. clenu Splošne uredbe ali pa opraviti predhodno posvetovanje z Informacijskim pooblašcencem po 36. clenu Splošne uredbe (vec o tem v poglavju 3.5.3). 
Informacijski pooblašcenec je leta 2022 med drugim podal mnenje, pripombe oz. je sodeloval pri pripravi naslednjih predpisov (v zvezi z nekaterimi je podal vec mnenj):
•	
Predlog Zakona o spremembah in dopolnitvah Pomorskega zakonika,	 

•	
Predlog Zakona o spremembah in dopolnitvah Zakona o financnem poslovanju, postopkih zaradi insolventnosti in prisilnem prenehanju,	

•	
Predlog Pravilnika o diplomatski, konzularni in službeni izkaznici,

•	
Dopolnitev Zakona o spodbujanju razvoja turizma z dostopom STO do podatkov preko spletne aplikacije AJPES eTurizem iz knjige gostov,

•	
Predlog Zakona o spremembah in dopolnitvah Zakona o kmetijstvu,	

•	
Predlog Zakona o spremembah in dopolnitvah Zakona o nalogah in pooblastilih policije,	

•	
Predlog Zakona o spremembah Zakona o zavarovalništvu,	

•	
Predlog Zakona o spremembah in dopolnitvah Zakona o tujcih,

•	
Predlog Zakona o dolgotrajni oskrbi,

•	
Predlog sprememb 74.a clena Zakona o državni upravi,	

•	
Predlog Zakona o zacasni zašciti razseljenih oseb,

•	
Predlog Zakona o detektivski dejavnosti,

•	
Predlog Zakona o spremembah in dopolnitvah Zakona o sodnem registru,

•	
Predlog sprememb Sporazuma med Republiko Slovenijo in Republiko Srbijo o zaposlovanju državljanov Republike Srbije v Republiki Sloveniji,	

•	
Predlog sprememb Zakona o investicijskih skladih in družbah za upravljanje (glede dostopa do registrov osebnih izkaznic, potnih listin in davcnih zavezancev),	

•	
Predlog Zakona o spremembah in dopolnitvah Zakona o visokem šolstvu,	

•	
Predlog Zakona o spremembah in dopolnitvah Zakona o preprecevanju pranja denarja in financiranja terorizma,

•	
Predlog sprememb 8. clena Zakona o zbirkah podatkov s podrocja zdravstvenega varstva,

•	
Predlog Zakona o nujnih ukrepih za zajezitev širjenja in blaženja posledic nalezljive bolezni COVID-19 na podrocju zdravstva,

•	
Predlog Zakona o ohranjanju in razvoju rokodelstva,

•	
Predlog Zakona o spremembah in dopolnitvah Zakona o nadzoru državne meje,

•	
Predlog Zakona o spremembah in dopolnitvah Zakona o financni upravi,

•	
Predlog Zakona o varstvu osebnih podatkov (ZVOP-2),

•	
Predlog Zakona o spremembah in dopolnitvah Zakona o trošarinah,

•	
Predlog Zakona o spremembah in dopolnitvah Zakona o davcnem postopku,

•	
Predlog Zakona o zašciti prijaviteljev,

•	
Predlog Zakona o spremembah in dopolnitvah Zakona o gospodarskih družbah,

•	
Predlog Izvajanja projekta ePredpisov – Javna obravnava osnutka Metodologije za oceno ucinkov na razlicna družbena podrocja,

•	
Predlog Uredbe o izvajanju Uredbe (EU) o klinicnem preskušanju zdravil za uporabo v humani medicini,

•	
Predlog direktive Evropskega parlamenta in Sveta o spremembi Direktive 2011/83/EU glede pogodb o financnih storitvah, sklenjenih na daljavo, in razveljavitvi Direktive 2002/65/ES,

•	
Predlog Uredbe o izvajanju Uredbe (EU) 2019/2088 Evropskega Parlamenta in Sveta o razkritjih, povezanih s trajnostnostjo, v sektorju financnih storitev,

•	
Predlog Uredbe o dolocitvi vloge za priznanje statusa upravicenca do digitalnega bona '22 – šolajoci v tujini, sporocila izvajalca subvencioniranega izobraževalnega programa o udeležencih, izjave o združitvi digitalnih bonov '22 in izjave o unovcitvi digitalnega bona '22,

•	
Predlog Direktive Evropskega parlamenta in Sveta o spremembi direktiv 2005/29/ES in 2011/83/EU v zvezi s krepitvijo vloge potrošnikov za zeleni prehod,

•	
Predlog Uredbe o ekološki pridelavi in predelavi kmetijskih pridelkov oziroma živil,

•	
Predlog Pravilnika o ekološki pridelavi in predelavi pomorskih pridelkov oziroma živil,

•	
Predlog Zakona o izvajanju Uredbe (EU) o vseevropskem osebnem pokojninskem produktu,

•	
Predlog sprememb Splošnega akta o cestninjenju,

•	
Predlog Pravilnika o dopolnitvah Pravilnika o dokumentaciji v vrtcih,

•	
Predlog novega Zakona o preprecevanju pranja denarja in financiranja terorizma,

•	
Predlog uredbe o spremembi Schengenskega zakonika,

•	
Osnutek Pravilnika o pisnih izjavah volje pacienta,

•	
Predlog Direktive Evropskega parlamenta in Sveta o izboljšanju delovnih pogojev pri platformnem delu ter Usmeritev v zvezi s sporocilom Komisije Evropskemu parlamentu, Svetu, Evropskemu ekonomsko-socialnemu odboru in Odboru regij, Boljši delovni pogoji za mocnejšo socialno Evropo: izkorišcanje vseh prednosti digitalizacije za prihodnost dela,	

•	
Predlog Zakona o spremembah in dopolnitvah Zakona o izvrševanju kazenskih sankcij,

•	
Predlog Zakona o optimizaciji izdaje in uporabe identifikacijskih dokumentov – predlog za obravnavo,

•	
Predlog Odredbe o spremembi Odredbe o dolocitvi programa strokovnega usposabljanja in programa obdobnega strokovnega izpopolnjevanja za varnostnega menedžerja,

•	
Predlog Odredbe o dolocitvi programa obdobnega strokovnega izpopolnjevanja varnostnega osebja,

•	
Predlog Zakona o spremembah in dopolnitvah Zakona o notariatu in

•	
Predlog Zakona o spremembi Zakona o državni upravi.


3.5 SKLADNOST IN PREVENTIVA
Splošna uredba za razliko od prejšnjih pravnih aktov, ki so urejali varstvo osebnih podatkov, bistveno vec pozornosti namenja mehanizmom, ki jih lahko oz. jih morajo uporabiti zavezanci za zagotovitev skladnosti z zakonodajo. Gre za nacelo odgovornosti (ang. accountability) in v luci prikaza zmožnosti sodobnih tehnologij, ki vkljucuje tudi napredek na podrocju obdelave in varstva osebnih podatkov, zlasti izjemen napredek na podrocju umetne inteligence, ki smo mu prica, to precej precizno opiše klepetalnik ChatGPT z naslednjimi besedami1010 Opomba: besedilo v poševnem tisku je bilo izkljucno za namen prikaza zmožnosti umetne inteligence strojno generirano z uporabo spletnega klepetalnika ChatGPT in s strojnim prevodom v slovenski jezik z minimalnimi rocnimi popravki.
:
V kontekstu varstva osebnih podatkov odgovornost pomeni, da morajo organizacije vzpostaviti in vzdrževati ustrezne politike, postopke in zašcitne ukrepe za zagotovitev, da se osebni podatki zbirajo in obdelujejo zakonito, pošteno in pregledno ter da imajo posamezniki nadzor nad svojimi osebnimi podatki. podatke. To vkljucuje:
1.	
Izvajanje politik in postopkov za varstvo podatkov: Organizacije morajo vzpostaviti in izvajati politike in postopke za ravnanje z osebnimi podatki, ki so v skladu z veljavnimi zakoni in predpisi o varstvu podatkov.

2.	
Izvajanje ocen ucinkov na varstvo osebnih podatkov: DPIA so orodje, ki se uporablja za prepoznavanje in ublažitev tveganj za zasebnost, povezanih z obdelavo osebnih podatkov. Organizacije bi morale izvajati DPIA pri uvajanju novih sistemov, procesov ali tehnologij, ki vkljucujejo obdelavo osebnih podatkov.

3.	
Zagotavljanje tocnosti in kakovosti podatkov: Organizacije morajo zagotoviti, da so osebni podatki tocni, posodobljeni in ustrezni za namene, za katere se obdelujejo.

4.	
Zagotavljanje posameznikom dostopa in nadzora nad njihovimi osebnimi podatki: Organizacije morajo posameznikom zagotoviti dostop do njihovih osebnih podatkov in jim omogociti uveljavljanje njihovih pravic do nadzora nad njihovimi podatki, kot je pravica do popravka ali izbrisa svojih podatkov.

5.	
Izvajanje ustreznih varnostnih ukrepov: Organizacije morajo izvajati ustrezne tehnicne in organizacijske ukrepe za zagotovitev varnosti osebnih podatkov pred nepooblašcenim dostopom, razkritjem, unicenjem ali spreminjanjem.

6.	
Na splošno je odgovornost kljucna sestavina varstva osebnih podatkov in je bistvena za gradnjo in ohranjanje zaupanja s posamezniki, katerih osebni podatki se obdelujejo.


Navedeni primer zmogljivosti umetne inteligence je bil namenoma uporabljen kot zelo zgovoren prikaz zmožnosti sodobnih tehnologij, ki tudi na podrocju obdelav osebnih podatkov prinašajo naravnost neverjetne zmožnosti – umetna inteligenca, pametna mesta, senzorska omrežja in splošna digitalizacija so prav gotov trendi, ki se jim ne bo mogoce izogniti, hkrati pa so na podrocju varstva osebnih podatkov zaradi klasicnega zaostajanja zakonodaje in regulacije preventivne aktivnosti vedno bolj pomembne za upoštevanje temeljnih nacel tako pri samem razvoju kot pri dejanski rabi sodobnih tehnologij, pri cemer ne gre pozabiti, da so gonilo napredka in dodane vrednosti marsikdaj ravno – naši osebni podatki.
Preventivne aktivnosti Informacijskega pooblašcenca so primarno usmerjene v spoštovanje nacela odgovornosti. Med bistvene preventivne dejavnosti Informacijskega pooblašcenca sodi telefonsko in pisno svetovanje, primerne informacije na spletnih straneh, izmenjava informacij z zavezanci, preventivne aktivnosti za skladnost, smernice, infografike, izobraževanja in komunikacija z mediji ter vzorcni dokumenti (obrazci, vzorcne pogodbe ipd.), ki lahko preprecijo marsikatero kršitev varstva osebnih podatkov in zmanjšajo potrebo po izvajanju inšpekcijskega nadzora. 
Informacijski pooblašcenec redno posodablja svojo spletno stran, na kateri je objavljen bogat nabor uporabnih gradiv, koristna gradiva pa objavlja tudi na spletnih straneh upravljavec.si, ki je namenjana malim in srednje velikim podjetjem, ter tiodlocas.si, ki je namenjena posameznikom. Vecja prenova spletne strani je nacrtovana v zacetku leta 2023 s posodobitvijo velikega števila gradiva glede na sprejem ZVOP-2.1111 V casu oddaje letnega porocila Informacijskega pooblašcenca je vecina vsebin na spletni strani že posodobljena glede na dolocila ZVOP-2.

Informacije, stališca in mnenja Informacijski pooblašcenec deli tudi prek družbenih omrežij Facebook in LinkedIn, kjer predvsem opozarja na pomembne novosti na podrocju varovanja zasebnosti ter objavlja povezave do relevantnih objav, vsak mesec pa narocnikom ne e-novice pošlje novicnik s povezavami do aktualnih vsebin, mnenj in drugih objav s podrocja našega delovanja. Na omrežju LikedIn, ki je namenjeno strokovni javnosti, objavam Informacijskega pooblašcenca sledi 1627 sledilcev, na omrežju Facebook, ki je namenjeno predvsem splošni javnosti, pa 2100 sledilcev.
Informacijski pooblašcenec sodeluje tudi v pobudi Agencije RS za komunikacijska omrežja in storitve (AKOS), ki v okviru projekta Medijska in informacijska pismenost (MiPi) s spletnim portalom in rednim objavljanjem novicnika skrbi za ozavešcanje o pomenu kriticne in premišljene uporabe medijskih vsebin in informacijskih tehnologij, kar je tesno povezno tudi z varstvom osebnih podatkov pri uporabi sodobnih tehnologij.1212 https://www.mipi.si/

Sektor za skladnost in preventivo Informacijskega pooblašcenca nudi podporne dejavnosti drugim sektorjem, tako glede informacijske tehnologije kot glede pomoci sektorju za inšpekcijski nadzor; med drugim razvija dolocene interne aplikacije, vzdržuje in nadgrajuje intranet Informacijskega pooblašcenca ter izvaja številne druge preventivne dejavnosti, kot je opisano v nadaljevanju.
3.5.1 OBVEZNOSTI UPRAVLJAVCEV
Kot je že bilo omenjeno, nacelo odgovornosti od zavezancev terja doloceno odgovornost in proaktivnost, v sklop mehanizmov za skladnost in upoštevanje nacela odgovornosti pa sodijo razlicni mehanizmi, ki jih doloca Splošna uredba. Z namenom ustreznega informiranja zavezancev in ucinkovitega izvajanja teh obveznosti Informacijski pooblašcenec vzpostavlja številne postopke ter pripravlja gradiva, predstavljena v nadaljevanju.
3.5.2 PREVENTIVNE AKTIVNOSTI
Z izboljšanjem razmer, povezanih s širjenjem koronavirusa, so se tudi preventivne aktivnosti Informacijskega pooblašcenca od obseženega dela, povezanega z ukrepi za omejevanje epidemije (samo na temo preverjanj izpolnjevanja pogoja PCT smo npr. izdali vec kot 80 mnenj), vrnile na druga podrocja. Informacijski pooblašcenec se je tako znova posvetil izdelavi kljucnih gradiv in izvajanju aktivnosti za ozavešcanje, kot so:
•	
mnenja o vprašanjih zavezancev,

•	
mnenja o predlogih predpisov, 

•	
mnenja o ocenah ucinkov, 

•	
komunikacija s strokovno in splošno javnostjo,

•	
komunikacija s pooblašcenimi osebami za varstvo podatkov in vzdrževanje registra, 

•	
smernice,

•	
infografike, 

•	
vzdrževanje aktualnosti spletne strani, 

•	
objave vsebin na družabnih omrežjih,

•	
brezplacna predavanja za zavezance in cilje skupine.


3.5.3 OCENE UCINKOV NA VARSTVO OSEBNIH PODATKOV
Ocene ucinkov na varstvo osebnih podatkov so eno kljucnih orodij nacela odgovornosti, katerih namen je pravocasna identifikacija in obvladovanje tveganj, povezanih z varstvom osebnih podatkov. Zlasti so ocene ucinkov pomembne, kadar gre za nove projekte, ki predvidevajo množicno obdelavo osebnih podatkov, še posebej kadar gre za uporabo modernih tehnologij, ranljive skupine posameznikov in za obdelavo posebnih vrst osebnih podatkov. V postopku predhodnega posvetovanja, kot ga opredeljuje 36. clen Splošne uredbe, lahko zavezanci svoje ocene ucinka na varstvo osebnih podatkov pošljejo v predhodno mnenje Informacijskemu pooblašcencu in tako pridobijo stališca in priporocila glede izdelanih ocen ucinka. Slednje so namrec zlasti pri velikih projektih, ki vkljucujejo obsežne obdelave osebnih podatkov, eno kljucnih orodij, da se pravocasno in celovito naslovijo tveganja za morebitne kršitve varstva osebnih podatkov pri izvajanju projekta. Mnenje Informacijskega pooblašcenca lahko opozori na neidentificirana tveganja ter pomanjkljive ukrepe za njihovo obvladovanje, s pravocasnim obvladovanjem tveganja pa se lahko zavezanci izognejo obcutnim stroškom popravljalnih ukrepov, visokim sankcijam zaradi kršitev ter okrnitvi ali celo izgubi ugleda pri strankah in v javnosti. 
Spodbuden je podatek o povecanem številu zaprosil za mnenja na izdelane ocene ucinka, ki se Informacijskemu pooblašcencu pošljejo v predhodno posvetovanje po 36. clenu Splošne uredbe – v letu 2021 je bilo takih zaprosil šest, v letu 2022 pa 14. Po informacijah zavezancev ta sicer nizka številka ne pomeni, da se ocene ucinkov v praksi ne izdelujejo (predvsem na podrocju bancnega sektorja naj bi se redno izdelovale v vecjem številu), gre bolj za to, da jih ne posredujejo v mnenje Informacijskemu pooblašcencu, pri cemer velja pojasniti, da je slednje obvezno le, kadar zavezanec ne najde ustreznih ukrepov za obvladovanje tveganj. 
V letu 2022 je Informacijski pooblašcenec v postopku predhodnega posvetovanja izdal mnenja glede naslednjih tem:
•	
uvedba mobilne aplikacije Urbana,

•	
ugotavljanje potovalnih casov na posameznih odsekih cest s pomocjo Bluetooth sistema,

•	
uvajanje parkirnega sistema na osnovi prepoznave registrskih tablic,

•	
uvedbi evidentiranja delovnega casa z mobilno napravo ob vklopljeni geolokaciji,

•	
vzpostavitev informacijskega sistema za upravljanje in razvoj zaposlenih v državni upravi,

•	
avtomatizirani postopek odobritve potrošniškega posojila,

•	
sistem GPS sledenja službenim vozilom,

•	
uvedba elektronske prijave nezgod in poškodb pri delu,

•	
uvedba t. i. kirurške crne skrinjice, 

•	
videonadzor javnih tržnic,

•	
spremembe Zakona o Državni upravi,

•	
spremembe Zakona o digitalni vkljucenosti.


Smernice o ocenah ucinka se kažejo kot ucinkovito orodje za zavezance, v prihodnjem letu pa bo treba pripraviti posebne smernice za t. i. zakonodajne ocene ucinka, ki jih bodo morali nekateri predlagatelji predpisov pripravljati že ob predlaganih spremembah zakonodaje. Konec leta 2022 sprejeti ZVOP-2 namrec doloca, da mora predlagatelj, kadar se z zakonom doloca obdelava osebnih podatkov, za katero je treba izdelati oceno ucinka, predlogu zakona v skladu s 35. clenom Splošne uredbe priložiti oceno ucinka. Po proucitvi ocene ucinka nadzorni organ poda mnenje glede obdelave osebnih podatkov, glede katerega se mora predlagatelj zakona opredeliti. Kadar ocene ucinka ni treba izdelati, predlagatelj zakona opravi samo predhodno posvetovanje z nadzornim organom v skladu s 36. clenom Splošne uredbe. Ocenjujemo, da bo vkljucitev zahteve po zakonodajnih ocenah ucinka na varstvo osebnih podatkov v ZVOP-2 (24. clen) bistveno vplivala na višjo kakovost predpisov z vidika upoštevanja pravice do varstva osebnih podatkov. Posledicno je tudi v prihodnosti mogoce pricakovati povecanje števila prejetih ocen ucinka.
Informacijski pooblašcenec je v letu 2022 pripravil osnutek metodologije za pripravo zakonodajnih ocen ucinka v zvezi varstvom osebnih podatkov, ki smo jo posredovali Ministrstvu za javno upravo in ki bo predvidoma sprejeta v okviru Izvajanja projekta ePredpisov – Metodologije za oceno ucinkov na razlicna družbena podrocja v letu 2023. Glede na to, da mora obdelavo osebnih podatkov dolocati zakon (kakor tudi upravljavce, namene, roke hrambe, evidence, morebitno povezovanje zbirk ipd.), je bistveno, da se tveganja glede varstva osebnih podatkov analizira že v casu priprave predpisa, saj jih upravljavci kasneje, ko so bistveni elementi že doloceni v predpisu, ne morejo spremeniti in njihove ocene ucinka nimajo vec tolikšnega pomena. Kakovostno in celovito izdelana ocena ucinka na ravni predpisa lahko bistveno razbremeni upravljavce podatkov, ki bi nato morali izdelovati locene ocene ucinka.
Ocena ucinka v zvezi z varstvom osebnih podatkov lahko v fazi snovanja predpisa zagotovi upoštevanje temeljnih nacel varstva osebnih podatkov, tj. poštenosti, preglednosti in zakonitosti, minimizacije obdelave, namenskosti, ažurnosti, rokov hrambe ter dolocitev ustreznih zašcitnih ukrepov in varovalk – njen cilj je celovit premislek o tem, katere podatke se bo zbiralo in za katere namene, kakšne so možnosti minimizacije nabora in obsega obdelave, katere evidence bodo vsebovale katere podatke in kdo bo z njimi upravljal, ali gre pri tem morda za skupno upravljanje, ali je predvideno povezovanje evidenc, kakšne so relevantne pravice posameznika, kateri so najkrajši možni roki hrambe, komu se bodo doloceni podatki posredovali, ali prihaja do prenosa osebnih podatkov v tretje države ipd.
Izjemnega pomena so ocene ucinka zlasti pri uvajanju sistematicnih novih obsežnih nacionalnih zbirk osebnih podatkov, novih policijskih pooblastil in pristojnosti, na podrocju obdelave posebej obcutljivih podatkov (kot so npr. podatki o zdravstvenem stanju, podatki o kazenskih in prekrškovnih postopkih, genski, biometrijski podatki ipd.), pri opredeljevanju ukrepov, ki zadevajo široko populacijo ali specificne družbene segmente, saj z analizo tveganj in ucinkov na posameznika in družbo omogocajo javni diskurz o sprejemljivosti, primernosti, ucinkovitosti ter nujnosti dolocenih ukrepov v demokraticni družbi.
Znanje zavezancev o izdelavi ocen ucinkov se pocasi izboljšuje, s tem pa tudi kakovost izdelanih ocen, vendar pa Informacijski pooblašcenec še vedno pogosto opaža naslednje pomanjkljivosti:
•	
pomanjkljivo opredelitev metodologij ocene tveganja (zlasti nacin dolocanja skupne ravni tveganja),

•	
splošno prenizke ocene ravni tveganj ter 

•	
nekonsistentno upoštevanje priporocil in dobrih praks glede izdelave ocen ucinka, zlasti glede razdelitve tveganja po temeljnih nacelih varstva osebnih podatkov.


Informacijski pooblašcenec posebej opozarja na to, da je pravocasno in popolno naslavljanje tveganj glede pravnih podlag bistvenega pomena, še posebej ob številnih potekajocih procesih digitalizacije, tako npr. tveganje pridobivanja nepopolnih ali neveljavnih privolitev za obdelavo osebnih podatkov ne more biti ocenjeno nižje kot »visoko«, saj neveljavne privolitve pomenijo nezakonito obdelavo (vseh tako) pridobljenih osebnih podatkov. Pri vsaki digitalizaciji procesov je treba posebno pozornost nameniti podrobni analizi ustreznosti obstojecih pravnih podlag, toliko bolj, kadar gre za obdelave, ki jih izvajajo subjekti javnega sektorja. Prednosti digitalizacije obstojecih postopkov so v prejetih ocenah ucinka obicajno podrobno predstavljene, vendar pa digitalizacija, ce je izvedena pravilno, obicajno terja prilagoditev poslovnih procesov, kar pa ni nujno vedno zajeto v obstojece zakonske podlage, saj lahko pride do: 
•	
obdelave dodatnih osebnih podatkov, 

•	
širitve namenov obdelave, 

•	
vkljucitve dodatnih subjektov, 

•	
vzpostavitve skupnega upravljanja in/ali pogodbene obdelave in 

•	
povezovanja zbirk osebnih podatkov.


3.5.4 POOBLAŠCENE OSEBE ZA VARSTVO PODATKOV
Dolocitev pooblašcenih oseb za varstvo osebnih podatkov (ang. Data Protection Officer; DPO) predstavlja pomembno dolžnost zlasti vecjih upravljavcev in obdelovalcev osebnih podatkov. Pooblašcena oseba naj bi izvajala svetovalne in nadzorne naloge na podrocju varstva osebnih podatkov ter delovala kot notranji revizor za varstvo osebnih podatkov, ki poleg nadzora upravljavce in obdelovalce opozarja na njihove obveznosti ter izobražuje in ozavešca zaposlene. 
Do konca leta 2022 je pooblašceno osebo prijavilo 2951 zavezancev. Podatke o pooblašceni osebi za varstvo osebnih podatkov je možno enostavno sporociti in popraviti s pomocjo spletnega obrazca https://www.ip-rs.si/pooblascene-osebe. 
Med pooblašcenimi osebami so po oceni Informacijskega pooblašcenca precejšnje razlike: v nekaterih organizacijah gre za naloge, ki terjajo zaposlitev za polni delovni cas vec kot ene osebe (npr. v klinicnih centrih, v bancnem sektorju), medtem ko to pri manjših zavezancih predstavlja le nekaj odstotkov delovnega casa posamezne osebe. Pooblašcene osebe se na Informacijskega pooblašcenca pogosto obracajo s prošnjami za izdajo nezavezujocih mnenj, v pretežnem delu pa so vkljucene tudi v preglede ocen ucinka. 
Informacijski pooblašcenec je nadaljeval komunikacijo s predstavniki zunanjih izvajalcev, ki zavezancem nudijo storitve pooblašcenih oseb za varstvo osebnih podatkov, saj tako pridobi koristne povratne informacije iz prakse o težavah sistemske narave, ki jih lahko naslovi s svojimi preventivnimi aktivnostmi. Ugotavljamo, da so med ponudniki storitev precejšnje razlike – nekateri nudijo celovite, redne in poglobljene storitve ter pomoc zavezancem, medtem ko drugi, kot kaže, nudijo zgolj pripravo standardiziranih obrazcev v okviru pavšala in pomoc na zahtevo proti dodatnemu placilu. Skupna evropska akcija bo v letu 2023 posebej naslovila temo dejanskega položaja in opravljanja nalog pooblašcenih oseb. Ocenjujemo, da je register pooblašcenih oseb za varstvo osebnih podatkov med najbolj »popolnjenimi« med državami clanicami, zato bo v naslednjih fazah smiselno vec pozornosti nameniti njihovemu dejanskemu opravljanju nalog kakor tudi ustreznosti pogojev glede njihove položaja, resursov, znanja in odnosa do vodstva.
3.5.5 AKTIVNOSTI IZOBRAŽEVANJA IN OZAVEŠCANJA
Informacijski pooblašcenec je v letu 2022 s pripravo smernic, razumljivo, pocakal do sprejema ZVOP-2, ki je bil sprejet 15. 12. 2022. Na spletni strani Informacijskega pooblašcenca sta bili pripravljeni novi podstrani s kljucnimi podrocji varstva osebnih podatkov, in sicer na temo kodeksov ravnanja ter na temo skupnega upravljanja. Podstrani s kljucnimi podrocji1313  https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/klju%C4%8Dna-podro%C4%8Dja-uredbe/
 predstavljata enostaven in izcrpen pregled posameznega podrocja, ki obiskovalcem na enostavno dostopen nacin omogoci seznanitev z bistvenimi informacijami, odgovori na najpogostejša vprašanja, navedene so reference na tocno dolocene clene predpisov ter povezave do uporabnih gradiv, kot so evropske in nacionalne smernice, infografike in mnenja. Na ta nacin so obravnavane naslednje teme:
•	
pooblašcena oseba za varstvo podatkov po Splošni uredbi in ZVOP-2,

•	
ocena ucinka v zvezi z varstvom podatkov,

•	
privolitev,

•	
pogodbena obdelava,

•	
evidenca dejavnosti obdelave,

•	
prijava kršitev varnosti,

•	
obvešcanje posameznikov o obdelavi osebnih podatkov,

•	
kodeksi ravnanja in

•	
skupni upravljavci.


Podstran s kljucnimi podrocji.
Informacijski pooblašcenec je pripravil tudi tri nove infografike, in sicer:
•	
o definiciji osebnih podatkov1414 https://www.ip-rs.si/fileadmin/user_upload/Pdf/infografike/Infografika%20-%20osebni%20podatki.pdf
,

•	
o ustreznosti in priporocilih za izdelavo ocen ucinka1515 https://www.ip-rs.si/fileadmin/user_upload/Pdf/infografike/Infografika%20-%20Ustreznost%20DPIA%20in%20priporo%C4%8Dila.pdf
 ter 

•	
o Splošni uredbi (GDPR na kratko)1616 https://www.ip-rs.si/fileadmin/user_upload/Pdf/infografike/GDPR_na_kratko_IPRS.pdf
.


Infografika o definiciji osebnih podatkov je namenjena boljši ozavešcenosti o tem, kaj (vse) so osebni podatki – mednje uvršcamo tako identifikacijske, kontaktne kot statusne podatke o posameznikih, posebej pomembni, tako za javni kot za zasebni sektor, pa so podatki o naših transakcijah – kaj kupujemo, katere knjige beremo, katere spletne strani obiskujemo, kateri oglasi se nam prikazujejo in podobno. Lahko bi celo rekli, da velike tehnološke gigante v resnici niti ne zanima toliko, kdo smo (naša identiteta), kot to, kaj smo – kaj nas zanima in kaj pocnemo, saj je to povezano z uspešnostjo oglaševalskih in drugih ekonomskih interesov.
Informacijski pooblašcenec je takoj po sprejemu ZVOP-2 (15. 12. 2023) zacel intenzivno prenovo spletnih strani, da bi bile informacije, vkljucno z obrazci in vzorci, cim prej in v cim vecji meri posodobljene glede na dolocbe ZVOP-2. 
Evropski dan varstva osebnih podatkov, ki ga vsako leto obeležujemo 28. januarja, je Informacijski pooblašcenec leta 2022 obeležil z organizacijo dogodka, katerega rdeca nit je bila ustrezno informiranje posameznikov o obdelavi osebnih podatkov glede na dolocbe Splošne uredbe o varstvu osebnih podatkov. Informiranje posameznikov je bilo izbrano kot osrednja tema dogodka, saj je to ena od zahtev Splošne uredbe, ki je v praksi še vedno najslabše upoštevana – posamezniki bi morali biti ob zajemu njihovih podatkov podrobno obvešceni o tem, komu in zakaj dajejo svoje podatke, o pravnih podlagah, rokih hrambe podatkov ter njihovih pravicah, vendar je v praksi vse to zelo pomanjkljivo. Podrobne informacije o tem bistvenem delu varstva osebnih podatkov, vkljucno s smernicami in vzorci obrazcev za upravljavce in obdelovalce podatkov, so predstavljene na posebni podstrani Informacijskega pooblašcenca.1717  https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/klju%C4%8Dna-podro%C4%8Dja-uredbe/obve%C5%A1%C4%8Danje-posameznikov-o-obdelavi-osebnih-podatkov

V sklopu dogodka je bila izvedena tudi okrogla miza z naslovom »Informiranje posameznikov o obdelavi osebnih podatkov – med zahtevami in realnostjo?«, na kateri so sodelovale pooblašcene osebe za varstvo osebnih podatkov. Udeleženci so predstavili svoje poglede na izzive informiranja posameznikov v razlicnih okoljih, podali primere težav, s katerimi se soocajo, pa tudi primere dobrih praks, kako posamezniku podati celovite informacije na pregleden, razumljiv in jedrnat nacin.

Informacijski pooblašcenec je na dogodku že tradicionalno podelil priznanja prejemnikom mednarodnega certifikata za informacijsko varnost po standardu ISO/EIC 27001:2013, in sicer devetim organizacijam, ki so uspešno pridobile certifikat v sicer težavnih epidemioloških razmerah. Informacijski pooblašcenec s tem skrbi za dodatno promocijo najbolj uveljavljenega mednarodnega standarda na podrocju informacijske varnosti. 
Informacijski pooblašcenec je v letu 2022 kljub številnim omejitvam glede izvedb dogodkov, ki so pogosteje potekali v spletni izvedbi, na podrocju varstva osebnih podatkov izvedel 53 brezplacnih predavanj za razlicne zbornice, združenja in druge javnosti po razlicnih dejavnostih v javnem in zasebnem sektorju ter aktivno sodeloval na konferencah, seminarjih in drugih dogodkih.
Splošno in strokovno javnost je Informacijski pooblašcenec nagovarjal in obvešcal tudi prek objav na družbenih omrežjih, in sicer je v letu 2022:
-	
objavil 56 sporocil na omrežju LinkedIn,

-	
delil 45 objav na omrežju Facebook ter 

-	
poslal 12 novicnikov.


3.5.6 PREVENTIVNE AKTIVNOSTI ZA SKLADNOST
Informacijski pooblašcenec je po sprostitvi epidemioloških razmer v letu 2022 nadaljeval številne preventivne aktivnosti, katerih cilj je zagotavljanje skladnosti s predpisi brez potrebe po uvajanju inšpekcijskih postopkov. Ob zamujanju sprejema ZVOP-2 je bilo vec pozornosti namenjene preventivnim aktivnostim za skladnost (t. i. privacy sweep), medtem ko sta bili prenova in posodobitev smernic z razlicnih podrocij varstva osebnih podatkov prestavljeni na cas po sprejemu ZVOP-2.
Najobsežnejša preventivna aktivnost za skladnost je potekala na podrocju imenovanja pooblašcenih oseb za varstvo osebnih podatkov (DPO). Informacijski pooblašcenec je ob primerjanju podatkov iz javno dostopnega registra proracunskih uporabnikov in registra pooblašcenih oseb za varstvo osebnih podatkov ugotovil, da vsaj 539 zavezancev iz javnega sektorja, za katerega v pretežnem delu velja zahteva Splošne uredbe po imenovanju pooblašcenih oseb, te dolžnosti še ni izpolnilo. Med njimi je bilo vecje število šol, javnih zavodov, organov v sestavi, obcin ter drugih subjektov javnega sektorja, ki jih je Informacijski pooblašcenec nato pozval k cimprejšnji izpolnitvi obveznosti po 37. clenu Splošne uredbe. Poziv je bil uspešen, saj je Informacijski pooblašcenec prejel 361 novih imenovanj, preostale pa je pozval v drugem krogu. Po podatkih iz registra pooblašcenih oseb je bilo v njem konec leta 2022 2951 subjektov, zbiranje prijav pa se nadaljuje v letu 2023. Pri izpolnjevanju dolžnosti se je kot ucinkovito orodje izkazal spletni obrazec za sporocanje in popravljanje podatkov o pooblašcenih osebah, saj je bil ta uporabljen v vecini primerov. Ocenjujemo, da je register pooblašcenih oseb za varstvo podatkov že zelo dobro izpo(po)lnjen, kar je seveda prva faza pri izpolnjevanju poslanstva teh oseb, v nadaljevanju pa bo vec pozornosti treba nameniti predvsem vprašanjem, ali so te osebe ustrezno podprte in izobražene ter ali opravljajo predvidene naloge na podrocju nadzora, svetovanja in ozavešcanja. Po nekaterih informacijah so namrec nekateri zavezanci pooblašceno osebo zgolj imenovali zaradi zadostitve zahtevi Splošne uredbe, izvajanje dejanskih nalog le-te pa je v praksi pomanjkljivo.
Izvedena je bila tudi preventivna aktivnost za skladnost pri zastopnikih pacientovih pravic. Slednji so bili pozvani k posredovanju informacij o upoštevanju dolžnosti glede zavarovanja obcutljivih osebnih podatkov (posebnih vrst osebnih podatkov) pri posredovanju po elektronski pošti, k porocanju o nedovoljenih obdelavah osebnih podatkov (46. clen Zakona o pacientovih pravicah), o uveljavljanju pravice pacientov do seznanitve z zdravstveno dokumentacijo in z lastnimi osebnimi podatki ter o uveljavljanju pravice do popravka in izbrisa osebnih podatkov. Zastopniki pacientovih pravic so porocali o dobrem poznavanju pravil glede varnega posredovanja osebnih podatkov, v manjšem deležu o reševanju težav z izgubljeno zdravstveno dokumentacijo ter o tem, da se vecino pritožb pacientov uspešno razreši, ne da bi bilo za to potrebno posredovanje Informacijskega pooblašcenca. Povratne informacije bodo služile oblikovanju bodocih preventivnih in nadzornih aktivnosti na tem podrocju.
V sodelovanju z drugimi nadzornimi organi v okviru Evropskega odbora za varstvo podatkov pa je bila izvedena tudi koordinirana akcija na temo uporabe storitev racunalništva v oblaku v javnem sektorju; v akciji so sodelovali vsi nadzorni organi za varstvo podatkov v EU. Informacijski pooblašcenec se je odlocil za preverjanje stanja na podrocju visokega šolstva in raziskovanja ter k sodelovanju povabil Institut Jožef Stefan, Fakulteto za racunalništvo in informatiko Univerze v Ljubljani ter Fakulteto za elektrotehniko, racunalništvo in informatiko Univerze v Mariboru. Vprašalnik je zajemal šest poglavij: splošna vprašanja, vprašanja o pridobitvi ponudnika storitev v oblaku, vprašanja o pogodbi s ponudnikom storitev v oblaku, vprašanja o mednarodnih prenosih, vprašanja o diagnosticnih ter telemetrijskih podatkih in vprašanja o spremljanju. Rezultat skupne akcije sta bili dve porocili, nacionalno in skupno porocilo na evropski ravni, izpostaviti pa velja predvsem pomanjkanje transparentnosti glede odlocanja o uporabi storitev v oblaku ter mestoma nejasne pogoje ponudnikov storitev, s cimer je otežena analiza tveganj in posledicno njihovo obvladovanje predvsem glede prenosa osebnih podatkov v tretje države in glede varnosti podatkov.
3.6 MEDNARODNO SODELOVANJE
3.6.1 SODELOVANJE V EVROPSKEM ODBORU ZA VARSTVO PODATKOV
Evropski odbor za varstvo podatkov (EOVP) je neodvisen evropski organ, ustanovljen s Splošno uredbo o varstvu podatkov; njegov glavni cilj je zagotoviti dosledno, usklajeno in ucinkovito izvajanje pravil o varstvu osebnih podatkov po celotni Evropski uniji. EOVP sestavljajo predstavniki nacionalnih nadzornih organov iz vseh držav clanic EU, vkljucno s Slovenijo, ter Islandije, Lihtenštajna in Norveške, ki so del Evropskega gospodarskega prostora (EGP). Glavni namen EOVP je varovati temeljne pravice posameznikov skozi varstvo osebnih podatkov v digitalni dobi, omogociti prost pretok osebnih podatkov v EU in hkrati zagotoviti njihovo varstvo. Sodelovanje Slovenije v odboru predstavlja pomemben del njenih prizadevanj za spodbujanje mednarodnega sodelovanja na podrocju varstva osebnih podatkov.
Kljucne pristojnosti odbora v okviru postopkov sodelovanja nadzornih organov so: 
•	
sprejemanje pravno zavezujocih odlocitev odbora v okviru mehanizma za skladnost v zvezi z nacionalnimi nadzornimi organi, da se zagotovi dosledno uporabo Splošne uredbe;

•	
sprejemanje splošnih smernic za podrobnejšo opredelitev pogojev evropske zakonodaje o varstvu podatkov, s cimer svojim deležnikom zagotavlja dosledno razlago njihovih pravic in obveznosti;

•	
svetovanje Evropski komisiji v zvezi z vprašanji varstva podatkov in pripravo evropskih predpisov s podrocja varstva podatkov;

•	
promocija sodelovanja in izmenjave izkušenj med nacionalnimi nadzornimi organi za varstvo podatkov. Mehanizem za skladnost, kot je opredeljen v Splošni uredbi, poteka prek:
-	
izdaje mnenj EOVP za zagotavljanje dosledne uporabe evropske zakonodaje o varstvu podatkov (po 64. clenu Splošne uredbe), med drugim v dolocenih primerih glede sprejema seznama dejanj obdelave, za katere velja zahteva po oceni ucinka v zvezi z varstvom podatkov; v zvezi s kodeksom ravnanja s cezmejnim vplivom ter v dolocenih primerih glede odobritve meril za pooblastitev organa za spremljanje skladnosti s kodeksom ravnanja; v zvezi z dolocitvijo standardnih dolocil o varstvu podatkov v zvezi s prenosi podatkov v tretje države; v zvezi z odobritvijo pogodbenih dolocil ali zavezujocih poslovnih pravil;

-	
reševanja sporov med nadzornimi organi (po 65. clenu Splošne uredbe), npr. glede nasprotujocih si stališc o vsebini odlocitve v cezmejnih primerih; o tem, kateri nadzorni organ je vodilni v dolocenem cezmejnem postopku; ter v primeru nespoštovanja mnenja odbora s strani posameznega nadzornega organa;

-	
reševanja nujnih postopkov (po 66. clenu Splošne uredbe) s sprejemom zacasnih ukrepov v izjemnih primerih, ko je ukrepanje potrebno zaradi varstva pravic in svobošcin posameznikov.




EOVP je razdeljen na dva glavna dela, in sicer na plenarno zasedanje in ekspertne podskupine. Plenarno zasedanje je organ odlocanja EOVP, ki je odgovoren za sprejemanje smernic, priporocil in drugih dokumentov, povezanih z varstvom osebnih podatkov. Ekspertne podskupine pa so ustanovljene posebej za obravnavo pomembnih tem, povezanih z varstvom osebnih podatkov. Njihovi clani delujejo tudi v okviru razlicnih delovnih skupin, ustanovljenih glede na potrebe po usklajevanju glede specificnih tem. V letu 2022 so predstavniki Informacijskega pooblašcenca delovali v 11 rednih ekspertnih podskupinah ter v osmih delovnih skupinah oz. odborih glede specificnih tematik.  
Tako plenarno zasedanje kot ekspertne podskupine se sestajajo mesecno, da razpravljajo o aktualnih vprašanjih, povezanih z varstvom osebnih podatkov, ter glede na podrocje svojega dela pripravljajo smernice in mnenja odbora, poleg tega obravnavajo aktualne izzive, s katerimi se srecujejo posamezni nadzorni organi in so pomembni v širšem evropskem prostoru, bodisi zaradi cezmejne obdelave podatkov bodisi zaradi pomembnih vprašanj enotnega tolmacenja evropskih predpisov. Predstavniki vseh nadzornih organov, vkljucno s predstavniki Informacijskega pooblašcenca, se teh srecanj udeležujejo fizicno v Bruslju ali virtualno.
Srecanja in s tem sodelovanje vseh nadzornih organov v okviru EOVP so bistveni za zagotavljanje doslednega izvajanja Splošne uredbe po vsej EU in za usklajevanje prizadevanj nacionalnih organov za ucinkovito varstvo osebnih podatkov. S sodelovanjem na teh srecanjih Slovenija prispeva k oblikovanju pomembnih smernic in priporocil v zvezi z varstvom osebnih podatkov ter je na tekocem z najnovejšimi dognanji na tem hitro razvijajocem se podrocju. Predstavniki Informacijskega pooblašcenca so v letu 2022 aktivno sodelovali na 15 plenarnih zasedanjih, v okviru 19 strokovnih in delovnih skupin pa se so udeležili 163 sestankov. Podrocja delovanja oz. mandati delovnih skupin so orisani v nadaljevanju.1818 Letno porocilo EDPB: https://edpb.europa.eu/system/files/2022-05/edpb_annual_report_2021_en.pdf.

Ekspertna podskupina za meje, potovanja in kazenski pregon ima kljucno vlogo pri obravnavi zapletenih pravnih in tehnicnih vprašanj, povezanih s cezmejnim kazenskim pregonom in varnostnim sodelovanjem na podrocju varstva osebnih podatkov. Osredotoca se na zagotavljanje smernic o temah, kot so: direktiva o kazenskem pregonu (t. i. LED direktiva), cezmejne zahteve za e-dokaze, odlocitve na podlagi sklepov o ustreznosti glede prenosov osebnih podatkov v tretjo državo ali mednarodno organizacijo, dostop organov kazenskega pregona in nacionalnih obvešcevalnih organov v tretjih državah do podatkov, evidence podatkov o potnikih in mejne kontrole. Njeno delo je pomembno za zagotavljanje ucinkovitega cezmejnega sodelovanja organov kazenskega pregona in usklajevanje njihovih prizadevanj, hkrati pa varujejo temeljne pravice in svobošcine posameznikov. 
Ekspertna podskupina za skladnost, e-upravo in zdravje je odgovorna za pripravo smernic in priporocil v zvezi s kodeksi ravnanja, certificiranjem in akreditacijo. Poleg tega se podskupina osredotoca na zagotavljanje skladnosti z javnim pravom in politikami e-uprave ter obravnavanje pomislekov v zvezi z obdelavo osebnih podatkov za znanstvenoraziskovalne in zdravstvene namene. Podskupina tesno sodeluje z ekspertno podskupino za tehnologijo in s tem zagotavlja, da so v njeno delo vkljucene prakse v zvezi z oceno ucinka na varstvo osebnih podatkov, z njo pa sodeluje tudi glede vprašanj vgrajene in privzete zasebnosti. 
 
Ekspertna podskupina za sodelovanje se osredotoca predvsem na zagotavljanje ucinkovitih mehanizmov sodelovanja med nadzornimi organi, vzpostavljenih s Splošno uredbo. Njene glavne naloge vkljucujejo zagotavljanje smernic o postopkovnih vprašanjih, povezanih z mehanizmom sodelovanja, ter proucevanje mednarodne medsebojne pomoci in drugih orodij sodelovanja za uveljavljanje Splošne uredbe zunaj EU. 
Ekspertna podskupina za izvrševanje je odgovorna za zagotavljanje ucinkovitega izvrševanja Splošne uredbe. Pri tem analizira prakticne izkušnje s VI., VII. in VIII. poglavjem Splošne uredbe ter ugotavlja, ali so potrebne dodatne smernice in pojasnila. Poleg tega podskupina spremlja nadzorne dejavnosti in zagotavlja smernice o prakticnih vprašanjih v zvezi z nadzori, vkljucno z izmenjavo mnenj o konkretnih primerih. Podskupina tesno sodeluje s podskupino za sodelovanje pri posodabljanju obstojecih postopkov sodelovanja in zagotavljanju ucinkovitega izvajanja nadzorov. Podskupina je zadolžena za usmerjanje pri prakticni uporabi VII. in VIII. poglavja Splošne uredbe, tesno pa sodeluje z delovno skupino za upravne globe. Podskupina je odgovorna tudi za postopke po 65. in 66. clenu Splošne uredbe v zvezi s cezmejnimi primeri. 
	
Ekspertna podskupina za financne zadeve se osredotoca na podrocje uveljavljanja nacel varstva osebnih podatkov v financnem sektorju. Sem spada vrsta vprašanj, kot so samodejna izmenjava osebnih podatkov za davcne namene, vpliv t. i. FATCA (Zakona o spoštovanju davcnih predpisov v zvezi z racuni v tujini) na varstvo osebnih podatkov ter medsebojno vplivanje evropske direktive o placilnih storitvah (PSD2 direktiva) in Splošne uredbe. Podskupina se ukvarja tudi z uravnoteženjem varstva osebnih podatkov z obveznostmi, ki jih dolocajo predpisi o preprecevanju pranja denarja (AML) in preprecevanju terorizma (CTP). 
Ekspertna podskupina za mednarodne prenose se ukvarja z zagotavljanjem varnega cezmejnega prenosa osebnih podatkov. Podskupina pregleduje odlocitve Evropske komisije o tem, katere države ponujajo ustrezne ukrepe za varstvo osebnih podatkov, zadolžena je tudi za pripravo smernic za javne organe in druge organizacije glede skladnega prenosa osebnih podatkov zunaj EU. Podskupina obravnava tudi uporabo certificiranja in kodeksov ravnanja kot ustreznih orodij za prenos ter zagotavlja informacije o tem, kako se dolocbe Splošne uredbe ujemajo z drugimi predpisi, ko se podatki prenašajo na mednarodni ravni. Dodatno si clani podskupine izmenjujejo informacije o pregledu zavezujocih poslovnih pravil (BCR) in ad hoc pogodbenih klavzul v skladu s 64. clenom Splošne uredbe. 
Ekspertna podskupina za uporabnike informacijske tehnologije se osredotoca na razvoj in preizkušanje prakticnih orodij informacijske tehnologije, ki jih uporablja EOVP. Zbira povratne informacije uporabnikov o sistemih informacijske tehnologije in slednje glede na to ustrezno prilagaja. Podskupina razpravlja tudi o drugih poslovnih potrebah, kot so sistemi za tele- in videokonference, sistem IMI (Informacijski sistem za notranji trg) ter druga orodja za podporo delu odbora. 
Ekspertna podskupina za kljucne dolocbe se osredotoca na zagotavljanje smernic o temeljnih konceptih in nacelih Splošne uredbe. Podskupina ponuja smernice o kljucnih dolocbah v I. in II. poglavju Splošne uredbe, ki zajemajo podrocje uporabe uredbe in njena temeljna nacela. Podskupina pripravlja smernice za III. in IV. poglavje, ki obravnavata pravice posameznikov in vlogo pooblašcene osebe za varstvo podatkov (DPO). Clani podskupine tesno sodelujejo z ekspertnimi podskupinami za skladnost, e-upravo in zdravje, izvrševanje in za tehnologijo v zvezi s skupnimi pristojnostmi in podrocji. Podskupina zagotavlja tudi smernice za IX. poglavje Splošne uredbe, ki obravnava posebne primere obdelave, kot je obdelava za namene arhiviranja ali obdelava v javnem interesu. 
Ekspertna podskupina za družbene medije se osredotoca na analizo platform družbenih medijev in funkcij, ki jih te ponujajo, kot so ciljanje uporabnikov, personalizacija, preverjanje istovetnosti uporabnikov, analitika in objavljanje vsebin. Pri tem ocenjujejo dejavnosti obdelav osebnih podatkov, ki so povezane s tovrstnimi funkcionalnostmi, in morebitna tveganja, ki jih takšne obdelave predstavljajo za pravice in svobošcine posameznikov. Podskupina razvija tudi smernice in zbira primere dobre prakse za uporabo in ponujanje funkcij družbenih medijev, zlasti iz gospodarskih ali politicnih namenov. Clani podskupine pomagajo tudi drugim podskupinam, in sicer tako, da jim predlagajo pomembne teme za izvajanje nadzora ter v sodelovanju z njimi razvijajo vrsto drugih smernic EOVP ali posodabljajo že obstojece smernice. 
	
Ekspertna podskupina za strateško svetovanje zagotavlja smernice o pomembnih vprašanjih, ki zadevajo celoten EOVP. To vkljucuje razprave o strategiji odbora in njegovih delovnih programih za razlicne ekspertne podskupine. Clani podskupine tudi pomagajo razjasniti vprašanja, ki jih druge ekspertne podskupine morda ne uspejo. Ekspertna podskupina za strateško svetovanje v bistvu deluje kot podporni sistem za celoten EOVP, ki zagotavlja strateške usmeritve glede kljucnih vprašanj za zagotovitev ucinkovitega izvajanja in uveljavljanja Splošne uredbe. 
	
Ekspertna podskupina za tehnologijo se osredotoca na vprašanja, povezana z vprašanji varstva osebnih podatkov pri uporabi sodobnih tehnologij v digitalni dobi. V sklopu podskupine se tako pripravljajo smernice o temah, kot so e-zasebnost, šifriranje osebnih podatkov, ocene ucinkov na varstvo podatkov (DPIA) in obvestila o kršitvah varstva podatkov (DBN obvestila). Podskupina spremlja tudi nastajajoce tehnologije in inovacije v družbi ter ocenjuje morebitna tveganja za zasebnost, ki jih te prinašajo. Poleg navedenega skupina zagotavlja tudi mnenja o tehnoloških zadevah, ki so pomembne za druge ekspertne podskupine. 
EOVP je tako v letu 2022 glede na svoje pristojnosti pripravil številne splošne smernice, npr.: 
-	
Smernice št. 01/2022 o pravicah posameznikov, na katere se osebni podatki nanašajo – pravica dostopa do osebnih podatkov.1919 https://edpb.europa.eu/our-work-tools/documents/public-consultations/2022/guidelines-012022-data-subject-rights-right_en 
 Namen smernic je analizirati razlicne vidike pravice posameznikov do seznanitve z lastnimi osebnimi podatki in zagotoviti natancnejše smernice o tem, kako je treba pravico dostopa do osebnih podatkov razumeti v razlicnih situacijah. Smernice med drugim pojasnjujejo tudi podrocje uporabe zadevne pravice, informacije, ki jih mora upravljavec zagotoviti posamezniku, na katerega se nanašajo osebni podatki, obliko zahteve za dostop, glavne nacine zagotavljanja dostopa in pojem ocitno neutemeljenih ali pretiranih zahtev.

-	
Smernice št. 3/2022 o temnih vzorcih na vmesnikih platform družbenih medijev: Kako jih prepoznati in se jim izogniti.2020 https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-032022-deceptive-design-patterns-social-media_en 
 Smernice ponujajo prakticna priporocila oblikovalcem in uporabnikom platform družbenih medijev, kako oceniti in kako se izogniti zavajajocim oblikovnim vzorcem v vmesnikih družbenih medijev, ki kršijo zahteve Splošne uredbe. Smernice navajajo konkretne primere vrst zavajajocih oblikovnih vzorcev, predstavljajo najboljše prakse za razlicne primere uporabe in vsebujejo posebna priporocila za oblikovalce uporabniških vmesnikov, da se zagotovi skladno izvajanje dolocb Splošne uredbe tudi pri obdelavi osebnih podatkov, ki poteka na družbenih omrežjih.

-	
Smernice št. 02/2022 o uporabi 60. clena Splošne uredbe,2121 https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-022022-application-article-60-gdpr_en 
 ki vsebujejo podroben opis sodelovanja med nadzornimi organi na podlagi uredbe in so namenjene nadaljnjemu povecanju dosledne uporabe pravnih dolocb v zvezi z nacelom »vse na enem mestu«. Smernice so v pomoc vsem nadzornim organom glede tega, kako razlagati in uporabljati nacionalne postopke na nacin, da postopki cezmejnega sodelovanja potekajo usklajeno in ucinkovito.

-	
Posodobitve smernic št. 9/2022 glede obvestil kršitev varnosti.2222 https://edpb.europa.eu/our-work-tools/documents/public-consultations/2022/guidelines-92022-personal-data-breach_en 
 


Na podrocju svetovanja Evropski komisiji v zvezi z vprašanji varstva podatkov in pripravo evropskih predpisov s podrocja varstva podatkov je EOVP v letu 2022 med drugim deloval na naslednjih podrocjih:
-	
Posvetovanje o razlicnih zakonodajnih predlogih v okviru t. i. digitalne strategije Evropske unije. 

-	
Skupaj z Evropskim nadzornikom za varstvo podatkov je EDPB pripravil mnenje glede podaljšanja veljavnosti uredbe EU o digitalnem potrdilu v zvezi s COVID-19 ter predlaganih sprememb nekaterih dolocb,2323 https://edpb.europa.eu/news/news/2022/edpb-edps-adopt-joint-opinion-extension-eu-digital-covid-certificate-regulation_en 
 na primer želje po razširitvi vrste testov COVID-19 za potrebe potovanj znotraj EU. 

-	
EOVP je skupaj z Evropskim nadzornikom za varstvo podatkov izdal mnenje o predlogu Uredbe o evropskem prostoru zdravstvenih podatkov,2424 https://edpb.europa.eu/our-work-tools/our-documents/edpbedps-joint-opinion/edpb-edps-joint-opinion-032022-proposal_en 
 ki skuša olajšati oblikovanje evropske zdravstvene unije in EU omogociti, da v celoti izkoristi možnosti, ki jih ponuja varna in zanesljiva izmenjava, uporaba in ponovna uporaba zdravstvenih podatkov. 

-	
Prav tako je EOVP aktivno sodeloval pri posvetovanju z Evropsko centralno banko glede zasnove digitalnega evra, v zvezi s cimer je pripravila izjavo, da mora zasnova digitalnega evra upoštevati principe zasebnosti in varstva osebnih podatkov.2525 https://edpb.europa.eu/our-work-tools/our-documents/other/statement-042022-design-choices-digital-euro-privacy-and-data_en 
 

-	
EOVP je pripravil številna pisma evropskim institucijam glede zakonodajnih predlogov v zvezi z obdelavo osebnih podatkov pri preprecevanju pranja denarja in financiranja terorizma,2626 https://edpb.europa.eu/our-work-tools/our-documents/letters/edpb-letters-european-institutions-protection-personal-data_sl 
 pisma glede sprejetih sporazumov o izvajanju ameriškega zakona o spoštovanju davcnih predpisov v zvezi z racuni v tujini (Foreign Account Tax Compliance Act oz. FATCA)2727 https://edpb.europa.eu/our-work-tools/our-documents/letters/edpb-response-association-accidental-americans_en in https://edpb.europa.eu/our-work-tools/our-documents/letters/edpb-response-mep-int-veld-intergovernmental-agreements_en 
 ter odgovor placilnemu sektorju glede smernic o medsebojnem vplivu druge direktive o placilnih storitvah (PSD2) in Splošne uredbe.2828 https://edpb.europa.eu/our-work-tools/our-documents/letters/edpb-response-joint-payments-industry-regarding-guidelines_en 


-	
EOVP je pripravil tudi skupni mnenji z Evropskim nadzornikom za varstvo podatkov (št. 2/20222929 https://edpb.europa.eu/our-work-tools/our-documents/edpbedps-joint-opinion/edpb-edps-joint-opinion-22022-proposal-european_en 
 in št. 4/20223030 https://edpb.europa.eu/our-work-tools/our-documents/edpbedps-joint-opinion/edpb-edps-joint-opinion-042022-proposal_en 
) glede predloga Uredbe o harmoniziranih pravilih za pravicen dostop do podatkov in njihovo uporabo (akt o podatkih oz. Data Act) ter o predlogu Uredbe glede dolocitve pravil za preprecevanje in boj proti gradivu za spolno nasilje nad otroki ter pismo Evropski komisiji o prilagoditvi pravil o odgovornosti v digitalni dobi in umetni inteligenci.3131 https://edpb.europa.eu/our-work-tools/our-documents/letters/edpb-letter-european-commission-adapting-liability-rules_en 



V okviru promocije sodelovanja in izmenjave izkušenj med nacionalnimi nadzornimi organi za varstvo podatkov je EOVP izvajal postopke reševanja sporov s strani odbora po 65. clenu Splošne uredbe in sprejel pet zavezujocih odlocitev, kot so bile predstavljene v 3.2.6. poglavju. Poleg tega je EDPB pripravil izjavo o tesnejšem sodelovanju nadzornih organov pri izvajanju strateških nadzornih primerov,3232 https://edpb.europa.eu/our-work-tools/our-documents/statements/statement-enforcement-cooperation_en 
 v okviru katerih so bila pripravljena merila za oceno, ali se konkreten cezmejni primer lahko opredeli kot primer »strateškega pomena«, ki bi botroval tesnejšemu sodelovanju med nadzornimi organi.3333 https://edpb.europa.eu/our-work-tools/our-documents/other/edpb-document-selection-cases-strategic-importance_en 
  
Poleg naštetih nalog pa EOVP na podlagi 64. clena Splošne uredbe izdaja tudi mnenja o skladnosti (t. i. consistency opinions) v zvezi z vsemi vprašanji splošne uporabe dolocb Splošne uredbe in vprašanji, ki imajo ucinke v vec kot eni državi clanici. Nacionalni nadzorni organi lahko v zvezi s temi zadevami zaprosijo EOVP za mnenje, kadar gre za:
-	
dejanja obdelave, za katera je potrebna ocena ucinka v zvezi z varstvom podatkov (DPIA),

-	
kodekse ravnanja v zvezi z dejavnostmi obdelave,

-	
merila za akreditacijo certifikacijskega organa in merila certificiranja,

-	
standardne klavzule o varstvu osebnih podatkov in 

-	
zavezujoca poslovna pravila. 


Mnenja o skladnosti so za zadevne nadzorne organe zavezujoca in jih morajo upoštevati pri sprejemanju koncnih odlocitev o zadevi, pri tem pa pomagajo zagotoviti, da je izvajanje Splošne uredbe dosledno po vsej EU. EOVP je v letu 2022 izdal 32 takšnih mnenj, in sicer na temo zavezujocih poslovnih pravil (23), meril certificiranja (3), meril za akreditacijo certifikacijskega organa (3) in kodeksov ravnanja (3).
EOVP je v okviru svoje strategije za okrepljeno sodelovanje med nadzornimi organi za obdobje od leta 2021 do leta 2023 ustanovil podporno skupino strokovnjakov, katere cilj je zagotoviti vsebinsko podporo clanicam EOVP pri njihovih nadzorih v zvezi z vprašanji, pri katerih bi ti potrebovali dodatno pomoc. Strokovnjaki prihajajo z raznovrstnih podrocij varstva osebnih podatkov, in sicer pokrivajo ekspertna znanja, npr. na podrocju storitev v oblaku, tehnik anonimizacije, vedenjskega oglaševanja, umetne inteligence, digitalnega prava itd.3434 Za vec informacij o pozivu s strani EOVP in temah glej: https://edpb.europa.eu/system/files/2022-02/call_for_expressions_of_interest_support_pool_of_experts.pdf 
 Namen ustanovitve te skupine je okrepiti sodelovanje in solidarnost med clanicami z izmenjavo in krepitvijo ekspertnega znanja po celotni EU ter skupno naslavljanje operativnih potreb posameznih nadzornih organov. Strokovnjaki iz podporne skupine naj bi sodelovali pri nadzornih dejavnostih nadzornih organov, svetovali naj bi glede razvoja in dokumentiranja orodij in metod za podporo nadzoru ter glede uporabe posebnih forenzicnih metod, pripravljali prispevke v skladu s svojim strokovnim znanjem ter sodelovali na sestankih nadzornega organa za lažje in ucinkovitejše izvajanje nadzorov.
Poleg naštetega je EOVP skladno s svojo strategijo okrepljenega sodelovanja zacel delovati tudi v okviru usklajene skupne akcije nadzora, ki zagotavlja strukturo ponavljajocih se letnih usklajevanj ukrepov nadzornih organov glede posamezne teme. Cilj CEF je spodbujati skladnost, opolnomociti posameznike, na katere se nanašajo osebni podatki, in povecati ozavešcenost vseh deležnikov s skupnimi ukrepi in delovanjem na podrocju, ki ga EOVP za tisto leto izbere kot prednostno. Tema usklajenega skupnega nadzora za leto 2022 je bilo podrocje obdelave osebnih podatkov pri uporabi storitev v oblaku v javnem sektorju. V okviru usklajene skupne akcije nadzora je nastalo podrobno porocilo stanja v državah EU na podrocju uporabe ponudnikov storitev v oblaku s strani javnih organov,3535 https://edpb.europa.eu/our-work-tools/our-documents/other/coordinated-enforcement-action-use-cloud-based-services-public_en 
 ki vkljucuje priporocila za organizacije javnega sektorja pri uporabi proizvodov ali storitev v oblaku, na voljo pa je tudi seznam ukrepov, ki so jih organi za varstvo podatkov že sprejeli na podrocju racunalništva v oblaku.
V letu 2022 so predstavniki Informacijskega pooblašcenca sodelovali tudi v številnih delovnih skupinah, ki pokrivajo posamezna kljucna podrocja, kot jih zaznavamo clani EOVP. Skupine so na kratko predstavljene v nadaljevanju.
Delovna skupina za upravne globe pripravlja smernice za zagotovitev usklajenosti izracunov upravnih glob v konkretnih postopkih skladno s Splošno uredbo. Namen teh smernic je zagotoviti jasnost in doslednost pri izracunavanju upravnih glob po vsej EU, da bi zagotovili pravicno in enotno odgovornost vseh upravljavcev in obdelovalcev za kršitve Splošne uredbe ne glede na to, kje v EU se obdelava osebnih podatkov izvaja. Delovna skupina pri pripravi smernic upošteva tudi sorazmernost upravnih glob in druge dejavnike, ki lahko vplivajo na njihov izracun, kot so narava in resnost kršitve ter financna sredstva organizacije. Delovna skupina je v letu 2022 pripravila Smernice št. 04/2022 o izracunu upravnih glob v skladu s Splošno uredbo,3636 https://edpb.europa.eu/our-work-tools/documents/public-consultations/2022/guidelines-042022-calculation-administrative_en 
 ki služijo usklajevanju metodologije, ki naj bi jo nadzorni organi uporabljali pri izracunu zneska upravnih glob za morebitne kršitve varstva osebnih podatkov.
Delovna skupina za piškotke se je osredotocala na analizo številnih pravnih vprašanj in morebitnih kršitev, povezanih z implementacijo piškotkov na spletnih straneh. Cilj delovne skupine je bil z oblikovanjem skupnega porocila zagotoviti podporo nacionalnim dejavnostim pri izvajanju tovrstnih nadzorov. Namen delovne skupine je bil uskladiti postopek nadzora spletnih strani v povezavi s piškotki in doseci cim bolj enotno interpretacijo pravil vseh pristojnih nadzornih organov. V letu 2022 se je delovna skupina sestajala na delovnih sestankih, v zacetku leta 2023 pa je izdala skupno porocilo.3737 https://edpb.europa.eu/our-work-tools/our-documents/other/report-work-undertaken-cookie-banner-taskforce_en 
 
Delovna skupina za 101 prijavo se osredotoca na poenoteno in usklajeno postopanje nadzornih organov glede 101 identicne pritožbe, vložene na številne nadzorne organe glede vprašanj uporabe storitev Googla in Facebooka, ki vkljucujejo prenos osebnih podatkov v tretje države. Naloga delovne skupine sta predvsem analiza prejetih prijav in zagotavljanje tesnega sodelovanja med clani odbora, da bi bile odlocitve posameznih nadzornih organov v podobnih primerih usklajene. 
Kontaktna skupina za dostop do dokumentov je delovna skupina clanov EOVP iz nacionalnih nadzornih organov, ki delujejo kot kontaktne tocke za usklajevanje zahtev za dostop do dokumentov v skladu z Uredbo (ES) št. 1049/2001 Evropskega parlamenta in Sveta z dne 30. maja 2001 o dostopu javnosti do dokumentov Evropskega parlamenta, Sveta in Komisije. Naloge skupine obsegajo opredelitev in izmenjavo najboljših nacionalnih praks v zvezi z obravnavo zahtev za dostop do informacij javnega znacaja s strani nadzornih organov ter izmenjavo informacij in sodelovanje pri postopkih, povezanih s takšnimi zahtevami. 
Mreža DPO ima svetovalno vlogo, svetuje odboru in posebej nadzornim organom, saj zagotavlja neodvisna stališca o zadevah, povezanih z varstvom osebnih podatkov. Ko mreža prejme zahtevo, najprej zbere informacije iz ustreznih virov, vkljucno z evropskimi nadzornimi organi, ter zagotovi mnenje, ki ga potrdi plenarna skupšcina EOVP. Kljub temu da mreža pripravi odlocitev za odbor, pa je na nacionalni ravni vsak nadzorni organ sam odgovoren za sprejemanje svojih odlocitev. Mreža pri zbiranju informacij sodeluje tudi z drugimi ekspertnimi podskupinami, vendar pri izvajanju svojega svetovanja kljub temu ostaja neodvisna. 
Usklajeni nadzorni odbor je skupina nacionalnih nadzornih organov in Evropskega nadzornika za varstvo podatkov, ki skrbi za usklajen nadzor nad obsežnimi informacijskimi sistemi ter organi, uradi in agencijami EU. Naloge odbora vkljucujejo predvsem izmenjavo informacij med nadzornimi organi, pomoc pri izvajanju inšpekcijskih nadzorov, reševanje vprašanj v zvezi z razlago in uporabo pravnih aktov EU ter proucevanje težav pri zagotavljanju pravic posameznikov, na katere se osebni podatki nanašajo. Odbor vsaki dve leti pripravi porocilo o svojih aktivnostih, ki ga posreduje Evropskemu parlamentu, Svetu, Komisiji in drugim zadevnim deležnikom. 
Mreža za komuniciranje združuje clane nadzornih organov, ki koordinirajo skupna vprašanja, povezana s komuniciranjem z javnostmi in skrbijo za medsebojno obvešcanje nadzornih organov (npr. medsebojno obvešcanje o odmevnejših primerih, usklajevanje skupnih odgovorov in sporocil za javnost, koordiniranje prevodov dokumentov v nacionalne jezike, koordiniranje in obvešcanje o dogodkih EOVP, sodelovanje pri pripravi letnega porocila EOVP itd.). Mreža za komuniciranje je sodelovala pri pripravi skupne akcije ob dnevu varstva osebnih podatkov, usklajevala je skupne objave (npr. glede prve usklajene akcije v zvezi s storitvami v oblaku), na srecanju v živo pa je razpravljala o izboljšanju sodelovanja nadzornih organov pri postopkih vodenja cezmejnih postopkov (npr. priprava skupnih objav za javnost, izboljšanje obvešcanja o koncanih postopkih) ter spremljala razvoj skupnih orodij za ozavešcanje o varstvu osebnih podatkov za širšo javnost, na primer za mala in srednje velika podjetja (MSP) ter posameznike.
3.6.2 SODELOVANJE V DRUGIH NADZORNIH TELESIH EVROPSKE UNIJE
Informacijski pooblašcenec je leta 2022 na ravni EU aktivno sodeloval v šestih delovnih telesih, ki se ukvarjajo z nadzorom nad izvajanjem varstva osebnih podatkov v okviru velikih informacijskih sistemov EU, in sicer:
-	
v Europolovem Odboru za sodelovanje (za nadzor nad obdelavo osebnih podatkov v okviru Europola je po Uredbi o Europolu primarno pristojen Evropski nadzornik za varstvo osebnih podatkov (EDPS), ki pa je pri tem dolžan tesno sodelovati z nacionalnimi organi za varstvo osebnih podatkov), 

-	
na koordinacijskih sestankih EDPS in nacionalnih organov za varstvo osebnih podatkov za nadzor nad SIS II, 

-	
na koordinacijskih sestankih EDPS in nacionalnih organov za varstvo osebnih podatkov za nadzor nad VIS, 

-	
na koordinacijskih sestankih EDPS in nacionalnih organov za varstvo osebnih podatkov za nadzor nad CIS, 

-	
v Skupnem nadzornem organu za carino, 

-	
na koordinacijskih sestankih EDPS in nacionalnih organov za varstvo osebnih podatkov za nadzor nad Eurodac.


Med pomembnejšimi dokumenti, ki so bili v letu 2022 sprejeti v okviru zgoraj navedenih delovnih teles, je bil v okviru nadzora nad obdelavo osebnih podatkov v Eurodac sprejet skupni obrazec za porocanje nadzornih organov s podrocja varstva podatkov. V okviru nadzora nad obdelavo osebnih podatkov v VIS je bil sprejet skupni nadzorni nacrt, ki predstavlja orodje za pomoc nadzornim organom za varstvo podatkov pri izvajanju njihove nadzorne vloge. V okviru nadzora nad obdelavo osebnih podatkov v SIS je bil sprejet vodic za izvrševanje pravic posameznikov, ki opisuje pravice posameznika v zvezi z obdelavo njegovih osebnih podatkov v SIS ter nacin njihovega izvrševanja v posameznih državah clanicah.
3.6.3 SODELOVANJE V DRUGIH MEDNARODNIH TELESIH
POSVETOVALNI ODBOR T-PD
V okviru Sveta Evrope je predstavnik Informacijskega pooblašcenca tudi leta 2022 sodeloval v Posvetovalnem odboru, ustanovljenem s Konvencijo Sveta Evrope o varstvu posameznikov glede na avtomatsko obdelavo osebnih podatkov (Konvencija št. 108), skrajšano Odbor T-PD. Odbor je zasedal le na enem plenarnem sestanku, ki je novembra 2022 po treh letih vnovic potekal v Strasbourgu. Kot vsako leto je Odbor obravnaval stanje pridruževanja držav h Konvenciji št. 108 in k dodatnemu protokolu (Konvencija št. 108+), porocila o mednarodnem sodelovanju Sveta Evrope v zvezi z varstvom osebnih podatkov ter porocila držav clanic Sveta Evrope o novostih in dosežkih na tem podrocju. Odbor je leta 2022 razpravljal o aktualnih temah, kot so digitalna identiteta, meddržavna izmenjava podatkov za preprecevanje pranja denarja in financiranja terorizma ter davcne namene, vzorcne pogodbene klavzule za cezmejni prenos osebnih podatkov ter izjeme in omejitve osnovnih nacel varstva osebnih podatkov po Konvenciji št. 108+. Sprejel je mnenje o osnutku resolucije o sprejetju uredbe Sveta Evrope o varstvu osebnih podatkov ter spremembe poslovnika in nacinov sodelovanja Ruske federacije v Odboru kot posledico agresije zoper Ukrajino. Izvoljena je bila nova predsednica Odbora in novi clani predsedstva. Odbor je podelil tudi dve nagradi Stefano Rodotŕ.
SVETOVNA SKUPŠCINA ZA ZASEBNOST 
Svetovna skupšcina za zasebnost (Global Privacy Assembly (GPA)), ki povezuje prizadevanja vec kot 130 nadzornih organov za varstvo zasebnosti in osebnih podatkov z vsega sveta, se je v preteklem letu posvecala zlasti izzivom ucinkovitega mednarodnega sodelovanja med nadzornimi organi ter razlicnim vidikom ukrepanja glede varstva zasebnosti pri uporabi modernih tehnologij. V skladu s strateškimi usmeritvami, ki temeljijo na prizadevanjih za vzpostavitev mednarodnega okvirja standardov varstva zasebnosti ter krepitvi razlicnih oblik sodelovanja pri izvajanju nadzorov je GPA v letu 2022 v okviru razlicnih delovnih skupin med drugim obravnavala podrocje varstva zasebnosti v okviru digitalnega gospodarstva, eticnih dilem in tveganj za zasebnost ter pravice posameznikov pri uporabi umetne inteligence ter v okviru varstva pravic potrošnikov. Poleg tega je pripravila prirocnik za izvajanje nadzorov. Delo konference vodi izvršni odbor, katerega clani so bili v letu 2022 predstavniki mehiškega, argentinskega, nemškega, turškega in maroškega nadzornega organa, nadzornega organa Bermudov ter Držav Jerseyja. Med pomembnejšimi resolucijami, sprejetimi na zadnji konferenci leta 2022, ki je potekala v Turciji, sta resolucija, posvecena izzivom sodelovanja na podrocju regulacije spletne varnosti in razumevanja posledic spletnih incidentov, ter resolucija o nacelih in pricakovanjih glede ustrezne rabe osebnih podatkov v tehnologijah za prepoznavo obrazov.
MEDNARODNA DELOVNA SKUPINA ZA VARSTVO OSEBNIH PODATKOV V TEHNOLOŠKIH ZADEVAH (IWGDPT)
Mednarodna delovna skupina za varstvo osebnih podatkov v tehnoloških zadevah (International Working Group on Data Protection in Technology (IWGDPT3838 https://www.datenschutz-berlin.de/infothek-und-service/veroeffentlichungen/working-paper
)) združuje predstavnike informacijskih pooblašcencev in organov za varstvo osebnih podatkov in zasebnosti s celega sveta. Delo skupine prepoznava tudi mednarodna konferenca informacijskih pooblašcencev.
IWGDPT je v letu 2022 nadaljevala delo na delovnem dokumentu na temo senzorskih omrežij (Working Paper on Sensor Networks - „Smart Dust“), gre pa za razvoj razlicnih medsebojno povezanih senzorjev, ki opravljajo meritve na podrocju proizvodnje, porabe, gibanja objektov in ljudi, upravljanja prometa, okolja, onesnaženja in na številnih drugih podrocjih. Glede na minimizacijo senzorjev se za tovrstna omrežja uporablja tudi izraz »pametni prah«. Podatki, zbrani s senzorji, se lahko uporabljajo za ugotavljanje vedenjskih vzorcev posameznikov (npr. glede parkiranja, gibanja), kakor tudi za zbiranje podatkov, povezanih z zdravjem, in lahko posledicno omogocajo sledenje posameznikov, oceno nekaterih njihovih demografskih znacilnosti in okolišcin tako v realnem kot v virtualnem svetu. Delovni dokument opozarja na izzive glede varovanja osebnih podatkov in podaja priporocila proizvajalcem, uporabnikom in regulatorjem.
Clani delovne skupine so tudi nadaljevali delo na delovnem dokumentu na temo biometrijske prepoznave obrazov, v katerem so opisani izzivi, ki jih porast te tehnologije prinaša ne samo za varstvo osebnih podatkov, temvec za cel spekter temeljnih clovekovih pravic, kot so pravica do združevanja, pravica do svobode gibanja, pravica do komunikacijske zasebnosti in druge. V dokumentu so navedeni številni konkretni primeri uporabe tehnologije prepoznave obrazov tako v javnem kot v zasebnem sektorju ter priporocila za upoštevanje temeljnih nacel varstva osebnih podatkov pri njenem uvajanju.
INITIATIVE 20i7
Pobuda Initiative 20i7 je nastala leta 2017 na predlog Informacijskega pooblašcenca z namenom izmenjave prakse in znanj nadzornih organov za varstvo osebnih podatkov z obmocja nekdanje Jugoslavije, saj se ti soocajo s podobnimi strokovnimi vprašanji in izzivi. Srecanje vsako leto gosti druga država.
V letu 2022 se pobuda zaradi odpovedi organizatorjev zaradi proracunskih omejitev ni srecala, nadaljevanje sodelovanja je nacrtovano v letu 2023.
3.7 SPLOŠNA OCENA STANJA VARSTVA OSEBNIH PODATKOV
Informacijski pooblašcenec je na podrocju varstva osebnih podatkov opravljal naloge, ki mu jih nalaga Splošna uredba o varstvu podatkov, ki se od 25. 5. 2018 neposredno uporablja v vseh državah clanicah EU. Splošna uredba terja sprejem novega Zakona o varstvu osebnih podatkov (ZVOP-2) za njeno izvajanje v Sloveniji, vendar je bil zakon sprejet šele 15. 12. 2022 in se je zacel uporabljati 26. 1. 2023.
Zamuda pri sprejetju ZVOP-2 na izvajanje inšpekcijskega nadzora tudi v letu 2022 ni bistveno vplivala, saj so bila pravila za izvajanje inšpekcijskih nadzorov in pooblastila Informacijskega pooblašcenca v zakonodaji dovolj jasno dolocena že pred sprejemom ZVOP-2. Zamuda pa je vplivala na uveljavljanje pravic posameznikov iz 13. do 22. clena Splošne uredbe, zlasti zaradi postopkovne nedorecenosti glede uveljavljanja teh pravic pred upravljavci in reševanja pritožb pri Informacijskem pooblašcencu. Reševanje takšnih zahtevkov posameznikov in s temi zahtevki povezanih pritožb pri Informacijskem pooblašcencu namrec terja dolocitev posebnih pravil, s katerimi bi se rešila posamezna vprašanja upravnega postopka oz. bi se natancneje dolocil postopek reševanja takšnih zahtevkov in pritožb. V tem delu je zamuda pri sprejetju novega zakona še vedno povzrocala precej dilem.
Zamuda pri sprejetju ZVOP-2 je negativno vplivala tudi na vodenje prekrškovnih postopkov in izrekanje sankcij za ugotovljene kršitve. Informacijski pooblašcenec je zaradi odsotnosti ZVOP-2 v primeru ugotovljenih kršitev dolocb Splošne uredbe ali dolocb ZVOP-1 zavezancem v postopku inšpekcijskega nadzora sicer lahko odredil odpravo ugotovljenih nepravilnosti, vzpostavitev zakonitega stanja ter prepovedal nezakonito obdelavo osebnih podatkov, postopek za prekrške pa je lahko uvedel le v primeru, ko je šlo za kršitev tistih clenov ZVOP-1, ki so še vedno veljale. Informacijski pooblašcenec tako zaradi zamude pri sprejetju novega ZVOP-2 tudi v letu 2022 ni mogel izrekati sankcij za tiste kršitve, ki so dolocene v 83. clenu Splošne uredbe. Postopkov o prekršku in izrecenih sankcij je bilo zato manj, kot bi jih bilo v primeru, ce bi Informacijski pooblašcenec lahko izrekal tudi sankcije za ugotovljene kršitve dolocb Splošne uredbe. Informacijski pooblašcenec je zaradi tega pristojno ministrstvo tudi v letu 2022 veckrat opozoril na nujnost sprejetja novega zakona ter ureditve in uskladitve prekrškovnih dolocb v ZVOP-2 z dolocbami Splošne uredbe. Usklajenost nacionalnih dolocb s Splošno uredbo je še posebej pomembna z vidika usklajevanja praks v državah clanicah EU, v katerih se uporablja Splošna uredba. Evropski odbor za varstvo osebnih podatkov (v nadaljevanju: EOVP), katerega del je tudi Informacijski pooblašcenec, namrec dela na oblikovanju mehanizma usklajevanja izrecenih glob, ki naj bi ga uporabljali vsi nadzorni organi in ki temelji na merilih za izrekanje glob na nacin in v višini, kot to doloca 83. clen Splošne uredbe. Namen mehanizma je usklajevanje: izrecene globe glede podobnih prekrškov v podobnih okolišcinah v razlicnih državah naj ne bi odstopale, kar velja še zlasti v primerih cezmejnega sodelovanja pri inšpekcijskem nadzoru.  
Trend povecevanja števila prijav kršitev varstva osebnih podatkov se je v letu 2022 umiril: Informacijski pooblašcenec je v letu 2022 prejel 1.030 prijav oz. pobud za uvedbo inšpekcijskega postopka, kar je nekoliko manj kot leto dni prej. Skupno je Informacijski pooblašcenec na podlagi prijav v letu 2022 zacel 999 inšpekcijskih postopkov, saj je v nekaterih primerih prejel vecje število podobnih prijav, na podlagi katerih pa je zoper istega zavezanca uvedel le en postopek.
Poleg obravnave prejetih prijav je Informacijski pooblašcenec v letu 2022 prejel in obravnaval še 160 novih pritožb glede uveljavljanja pravic posameznikov ter 12 primerov nedovoljenega sporocanja ali druge nedovoljene obdelave osebnih podatkov o pacientih, ki so mu jih na podlagi 46. clena Zakona o pacientovih pravicah (ZPacP) poslali izvajalci zdravstvene dejavnosti. V okviru uveljavljanja pravic posameznikov je bilo 27 pritožb v zvezi s seznanitvijo z lastno zdravstveno dokumentacijo, pet pritožb v zvezi s seznanitvijo z zdravstveno dokumentacijo umrlih, 105 pritožb zaradi kršitev pravice do vpogleda v lastne osebne podatke, ena pritožba zaradi kršitve pravice do popravka osebnih podatkov ter 22 pritožb zaradi kršitve pravice do izbrisa osebnih podatkov. Tudi trend povecevanja števila pritožb zaradi kršitev prej navedenih pravic posameznika se je v letu 2022 nekoliko umiril, tako da je Informacijski pooblašcenec v letu 2022 prejel nekoliko manj pritožb kot leto dni prej.
Informacijski pooblašcenec je v letu 2022 od upravljavcev in obdelovalcev osebnih podatkov prejel tudi 86 uradnih obvestil o kršitvi varnosti osebnih podatkov, ki so jih upravljavci najpogosteje pošiljali zaradi nezakonitega razkritja ali posredovanja osebnih podatkov nepooblašcenim ali napacnim osebam (v obravnavanem obdobju so bile te kršitve najpogosteje posledica nenamerne cloveške napake), zaradi nepooblašcenega dostopanja do osebnih podatkov (to je bilo v obravnavanem obdobju najpogosteje posledica zlorabe pooblastil s strani zaposlenih) ter zaradi napada oz. vdora v informacijski sistem z izsiljevalskim virusom (slednje je upravljavcem osebnih podatkov, ki niso izvajali ustreznih tehnicnih in organizacijskih ukrepov za zagotavljaje varnosti obdelave osebnih podatkov, povzrocilo velike stroške ter težave pri zagotavljanju možnosti pravocasne povrnitve razpoložljivosti in dostopnosti do osebnih podatkov).
Informacijski pooblašcenec je v obravnavanem obdobju poleg obravnave prijav in pritožb skladno z letnim delovnim nacrtom izvajal tudi redne in sistematicne inšpekcijske nadzore, v okviru katerih je pri zavezancih nadzoroval zlasti:
1.	
zakonitost obdelave osebnih podatkov ter spoštovanje splošnih nacel za obdelavo osebnih podatkov;

2.	
ustreznost postopkov in ukrepov za zagotavljanje varnosti osebnih podatkov iz 25. in 32. clena Splošne uredbe ter 24. in 25. clena ZVOP-1 ter s tem povezano ustreznost notranjih aktov, s katerimi upravljavci in obdelovalci predpisujejo te postopke;

3.	
izvajanje dolocb Splošne uredbe, ki urejajo zagotavljanje informacij o obdelavi osebnih podatkov (13. in 14. clen), spoštovanje pravic posameznika (15. do 22. clen), pogodbeno obdelavo osebnih podatkov in obdelavo s strani skupnih upravljavcev (26., 28. in 29. clen), vodenje evidenc obdelave (30. clen), obvešcanje nadzornega organa in posameznikov o kršitvi varnosti osebnih podatkov (33. in 35. clen) ter imenovanje in položaj pooblašcenih oseb za varstvo osebnih podatkov (37. do 39. clen).


Informacijski pooblašcenec je pri obravnavi prijav ter izvajanju preventivnih inšpekcijskih nadzorov ugotovil, da so ugotovljene nepravilnosti ali pomanjkljivosti v številnih primerih še vedno posledica nepoznavanja oz. nerazumevanja predpisov, ki urejajo obdelavo osebnih podatkov, kar je v mnogih primerih tudi posledica dejstva, da je bil ZVOP-2, ki je jasneje dolocil posamezna pravila v zvezi z izvajanjem Splošne uredbe, sprejet šele ob koncu leta (15. 12. 2022). 
Tudi prijave in pobude za inšpekcijski nadzor so bile v letu 2022 v mnogih primerih vložene zaradi nerazumevanja dolocb Splošne uredbe, kar velja zlasti v primeru obdelave osebnih podatkov na podlagi privolitve posameznika, na katerega se osebni podatki nanašajo. Prijavitelji, pa tudi upravljavci, pogosto še vedno ne razumejo, da je privolitev posameznika zgolj ena od šestih enakovrednih pravnih podlag, ki jih v zvezi z zakonitostjo obdelave osebnih podatkov doloca 6. clen Splošne uredbe, pri cemer pa so za vlaganje takšnih prijav pogosto krivi predvsem upravljavci, ki osebne podatke zbirajo, posamezniku pa ob tem ne zagotovijo preglednih, razumljivih in lahko dostopnih informacij, kot jim to nalagajo 12., 13. in 14. clen Splošne uredbe. Prav tako številni upravljavci nimajo urejenih postopkov za obravnavo zahtevkov, s katerimi posamezniki pri njih uveljavljajo pravice v zvezi z osebnimi podatki, ki se nanašajo nanje, ali pa takšne zahtevke posameznika preprosto ignorirajo in nanje ne odgovarjajo.
Podobno kot v preteklih letih so bile tudi v letu 2022 ugotovljene kršitve pogosto posledica malomarnega ali neustreznega zagotavljanja varnosti osebnih podatkov ter namerne nezakonite obdelave osebnih podatkov s strani vodstva ali zaposlenih pri upravljavcih osebnih podatkov, ki se je kazala zlasti z nezakonitimi vpogledi v zbirke osebnih podatkov, sporno obdelavo osebnih podatkov za namene neposrednega trženja ter neupravicenim izvajanjem videonadzora v delovnih prostorih z namenom nadzora nad zaposlenimi. Kar zadeva obravnavo prijav v zvezi z izvajanjem videonadzora, velja opozoriti zlasti na problematiko izvajanja videonadzora znotraj delovnih prostorov ter videonadzora, ki ga posamezniki izvajajo iz svoje nepremicnine, npr. stanovanjske hiše. Videonadzor delovnih prostorov se pogosto izvaja na nacin, da se dogajanje pred kamerami neposredno prenaša na osebne racunalnike ali mobilne telefone vodilnih, ki dogajanje spremljajo zaradi nadzora nad zaposlenimi, kar je v nasprotju z zakonsko dopustnimi nameni za izvajanje videonadzora v delovnih prostorih. V primeru videonadzora, ki ga posamezniki izvajajo iz svoje nepremicnine, pa se dogaja, da posamezniki z njim ne snemajo zgolj nepremicnin, ki so v njihovi lasti, kar bi se lahko štelo kot obdelava osebnih podatkov med potekom popolnoma osebne ali domace dejavnosti, pac pa snemajo tudi javne in druge (npr. sosedove) površine. Pri takšnem videonadzoru se pojavlja tudi problem izvajanja nadzora s strani Informacijskega pooblašcenca, in sicer zato, ker zgolj pogled na postavljeno kamero še ne pomeni, da se z njo dejansko izvaja nadzor površin, ki niso v lasti posameznika, pristojnost Informacijskega pooblašcenca za izvajanje nadzora nad takšnim videonadzornim sistemom pa je zaradi zagotovljene nedotakljivosti stanovanja precej omejena in je v mnogih primerih mogoca samo ob izpolnitvi pogojev, ki jih zakon doloca za pregled stanovanjskih prostorov.
Na podrocju nadzora in sodelovanja pri cezmejnih primerih obdelave osebnih podatkov število primerov, s katerimi se ukvarja Informacijski pooblašcenec, vsako leto strmo narašca. V letu 2022 je bil tako Informacijski pooblašcenec udeležen v skupno 368 postopkih sodelovanja po 60. in 61. clenu Splošne uredbe, v zvezi z upravljavci, ki izvajajo cezmejno obdelavo osebnih podatkov. V 182 novo pricetih postopkih sodelovanja pri cezmejnem nadzoru po 60. clenu Splošne uredbe je Informacijski pooblašcenec nastopal kot zadevni organ (po 56. clenu Splošne uredbe), v osmih primerih pa je bil v vlogi vodilnega organa. Splošna uredba je namrec prinesla formalizirane postopke sodelovanja nadzornih organov za varstvo osebnih podatkov v državah clanicah EU in EGS (Islandija, Norveška in Lihtenštajn) pri cezmejnih primerih. Omogocila je postopek sodelovanja po nacelu »vse na enem mestu«, ki predvideva, da postopek nadzora v cezmejnem primeru obdelave osebnih podatkov vodi t. i. vodilni organ, ki pri tem sodeluje z drugimi organi za varstvo osebnih podatkov, ter uvaja mehanizme vzajemne pomoci in skupnega ukrepanja organov za varstvo osebnih podatkov v državah clanicah EU. 
Informacijski pooblašcenec je leta 2022 sodeloval v 196 postopkih zagotavljanja medsebojne pomoci med nadzornimi organi po 61. clenu Splošne uredbe. Prejel je 175 zahtev drugih organov, v 55 primerih je podal zahtevano mnenje glede izvajanja dolocb Splošne uredbe. 21 zahtev za sodelovanje je Informacijski pooblašcenec poslal drugim organom v EU.
Na temelju postopkov dolocitve vodilnega in zadevnih nadzornih organov je Informacijski pooblašcenec v letu 2022 obravnaval 190 novih zadev sodelovanja pri nadzoru nad podjetji, ki poslujejo cezmejno, poleg postopkov, zacetih pred letom 2022, ki so še v teku. V osmih primerih po 60. clenu Splošne uredbe je šlo za upravljavca s sedežem iz Slovenije, zato je vlogo vodilnega organa prevzel Informacijski pooblašcenec. Primeri, kjer je bil Informacijski pooblašcenec vodilni nadzorni organ, so zajemali zahtevo za izbris podatkov od ponudnika spletnih storitev in pomanjkljivo zavarovanje podatkov, vecina pa je bila povezana z domnevnimi nezakonitostmi glede uporabe piškotkov na spletnih straneh, katerih upravljavci so zavezanci iz Slovenije, in sicer glede uporabe mehanizmov za sporocanje preferenc glede spletnih piškotkov, t. i. cookie banners, ki naj ne bi uporabnikom omogocale izbire glede piškotkov in naj ne bi bile skladne s Splošno uredbo.
182 tovrstnih postopkov pa je bilo pricetih s strani drugih organov v EU; v teh postopkih Informacijski pooblašcenec sodeluje kot zadevni organ. Primeri niso zadevali le storitev priljubljenih spletnih velikanov (Facebook, Google, Amazon itd.) temvec tudi neustrezna ravnanja z osebnimi podatki s strani raznolikih akterjev, ponudnikov bancnih storitev, spletnih ponudnikov razlicnih storitev, ponudnikov pretocnih storitev, povezanih vozil itd. iz številnih držav clanic EU. Primeri spornih praks so vkljucevali kršitve glede ustreznega zavarovanja podatkov, med prizadetimi pa so bili tudi uporabniki iz Slovenije, kršitve glede izvajanja pravic posameznikov do dostopa do podatkov in izbrisa podatkov, pretirane zahteve po podatkih za identifikacijo strank, posredovanje podatkov tretjim osebam, obdelavo osebnih podatkov brez ustrezne pravne podlage, neustrezno informiranje o obdelavi osebnih podatkov itd. 11 postopkov cezmejnega sodelovanja je sprožil Informacijski pooblašcenec, in sicer na podlagi prejete prijave oz. pritožbe zoper ravnanje zavezanca, ki je ustanovljen v drugi državi clanici EU ali pa ima ustanovitve v razlicnih državah clanicah v EU oz. so dejanja obdelave osebnih podatkov zadevala posameznike iz razlicnih držav clanic EU. 
V letu 2022 je bil v cezmejnih postopkih, v katerih je sodeloval Informacijski pooblašcenec, izdan 201 osnutek odlocb po 60. clenu Splošne uredbe, en osnutek odlocbe je izdal Informacijski pooblašcenec kot vodilni nadzorni organ. 180 postopkov je bilo koncanih s koncno odlocbo po 60. clenu Splošne uredbe. 
Sodelovanje v cezmejnih primerih inšpekcijskega nadzora, kot ga je uvedla Splošna uredba, je nedvomno ena kljucnih novosti in okrepitev, predvsem v smislu enotnega delovanja nadzornih organov v razlicnih državah clanicah EU in EGS. Seveda pa tako sodelovanje za Informacijskega pooblašcenca, pa tudi za druge nadzorne organe, predstavlja velik izziv v smislu dodatnih potrebnih sredstev, tako financnih kot kadrovskih, porast primerov je namrec glede na leto 2021 70-odstoten (v letu 2021 je bilo skupno 216 postopkov sodelovanja po 60. in 61. clenu Splošne uredbe, v letu 2022 pa je bilo takih postopkov 368). 
V letu 2022 je bilo sprejetih tudi pet koncnih odlocitev v postopku spora po 65. clenu, ki ga obravnava EOVP in v katerem sodeluje tudi Informacijski pooblašcenec.
Postopek spora v primeru hotelirske družbe Accor z glavno ustanovitvijo v Franciji je zadeval predvsem vprašanje globe zaradi neupoštevanja pravice do ugovora pri marketinških aktivnostih in zaradi pomanjkljivosti pri izvajanju pravice dostopa do podatkov. EOVP je v zavezujoci odlocitvi odlocil, da mora vodilni, francoski organ, pri izracunu globe upoštevati letni promet družbe za leto 2021 in da mora biti globa glede na resnost kršitev odvracalna. Vodilni organ iz Francije je postopek zoper Accor zakljucil s koncno odlocitvijo po 60. clenu Splošne uredbe in zavezancu izrekel globo v višini 600.000 EUR. Postopek spora v primeru družbenega omrežja Instagram z glavno ustanovitvijo na Irskem je zadeval kršitve omenjenega omrežja glede obdelave osebnih podatkov otrok, in sicer so bili javno razkriti naslovi e-pošte in telefonske številke otrok, ki so uporabljali možnost poslovnega racuna, poleg tega pa so bile nastavitve racunov privzeto javne, tudi v primeru podatkov otrok. Postopek pred EOVP je zadeval pravne podlage, na katerih sme Instagram obdelovati podatke otrok, ter višino predlagane globe. Irski nadzorni organ je v svoji koncni odlocitvi po 60. clenu Splošne uredbe omrežju Instagram izrekel globo 405 milijonov eurov. Konec leta 2022 je EOVP sprejel tudi tri zavezujoce odlocitve glede platform znotraj Meta Platforms Ireland Limited, in sicer zoper Facebook, Instagram in WhatsApp. Postopki nadzora zoper omenjene platforme, ki jih je vodil vodilni organ iz Irske, so zadevali predvsem zakonitost uporabe podatkov uporabnikov platform za namen vedenjskega oglaševanja ter v primeru WhatsApp tudi glede zakonitosti uporabe podatkov za namen izboljšanja storitev. V procesu spora je EOVP odlocal glede uporabe pravnih podlag za tako obdelavo osebnih podatkov ter glede višine globe za kršitve. Koncne odlocbe po 60. clenu Splošne uredbe je irski nadzorni organ izdal v zacetku leta 2023.
V letu 2022 je pomembno sodbo v zvezi s cezmejnim sodelovanjem po Splošni uredbi sprejelo tudi Sodišce EU v zvezi z zahtevo družbe WhatsApp Ireland iz Irske za razveljavitev zavezujoce odlocitve EOVP št. 01/2021, na podlagi katere je irski nadzorni organ sprejel svojo koncno odlocitev po 60. clenu Splošne uredbe ter družbi WhatsApp Ireland naložil odpravo nepravilnosti zaradi kršitev dolocb glede obvešcanja posameznikov in globo v višini 225 milijonov EUR. Sodišce EU je odlocilo, da taka zahteva ni dopustna, saj ima družba WhatsApp Ireland pravne možnosti zoper koncno odlocitev pred irskimi sodišci, ta pa lahko relevantna vprašanja posredujejo v predhodno odlocanje Sodišcu EU. 
Informacijski pooblašcenec je v letu 2022 nadaljeval izvajanje številnih preventivnih aktivnosti, katerih cilj je zagotavljanje skladnosti s predpisi, ne da bi bilo potrebno uvajanje inšpekcijskih postopkov. Ob zamujanju s sprejemom ZVOP-2 je bilo vec pozornosti namenjene preventivnim aktivnostim za skladnost (t. i. privacy sweep), medtem ko je bila prenova in posodobitev smernic z razlicnih podrocij varstva osebnih podatkov prestavljena na cas po sprejemu ZVOP-2.
Kot je bilo porocano v predhodnem letnem porocilu, je bilo do konca leta 2021 Informacijskemu pooblašcencu sporocenih skoraj 2500 pooblašcenih oseb za varstvo podatkov. Informacijski pooblašcenec je na podlagi ocene, da pomemben del zavezancev iz javnega sektorja pooblašcene osebe za varstvo osebnih podatkov še ni imenoval, izvedel preventivno aktivnost za skladnost, s katero je ugotovil, da je takšnih zavezancev 539. Te zavezance je pozval k cimprejšnji izpolnitvi obveznosti po 37. clenu Splošne uredbe. Poziv je bil uspešen, saj je Informacijski pooblašcenec prejel 361 novih imenovanj, preostale pa je še enkrat pozval v drugem krogu. Po podatkih iz registra se je v njem konec leta 2022 nahajalo 2951 subjektov, prijave pa se nadaljujejo v letu 2023.
Izvedena je bila tudi preventivna aktivnost za skladnost pri zastopnikih pacientovih pravic, ki so bili pozvani k posredovanju informacij o upoštevanju dolžnosti glede zavarovanja obcutljivih osebnih podatkov (posebnih vrst osebnih podatkov) pri posredovanju po elektronski pošti, k porocanju o nedovoljenih obdelavah osebnih podatkov (46. clen ZpacP) in o uveljavljanju pravice pacientov do seznanitve z zdravstveno dokumentacijo in z lastnimi osebnimi podatki ter glede uveljavljanja pravice do popravka in izbrisa osebnih podatkov. Povratne informacije bodo služile oblikovanju bodocih preventivnih in nadzornih aktivnosti na tem podrocju.
V sodelovanju z drugimi nadzornimi organi v okviru EOVP je bila izvedena usklajena skupna akcija nadzora (ang. Coordinated enforcement action) na temo uporabe storitev racunalništva v oblaku v javnem sektorju; rezultat je bilo skupno porocilo na evropski ravni.3939 https://edpb.europa.eu/system/files/2023-01/edpb_20230118_cef_cloud-basedservices_publicsector_en.pdf

Informacijski pooblašcenec je v okviru preventivnega delovanja pripravil 876 pisnih mnenj s pojasnili o razlicnih vidikih varstva podatkov na podlagi zaprosil posameznikov in zavezancev, posameznikom pa je podal tudi 1465 ustnih mnenj v okviru telefonskega dežurstva. Informacijski pooblašcenec je pripravil tudi tri nove infografike (o definiciji osebnih podatkov, o ustreznosti in priporocilih za izdelavo ocen ucinka ter o Splošni uredbi). Konec leta 2022, po sprejemu ZVOP-2 (15. 12. 2023), pa je Informacijski pooblašcenec zacel intenzivno prenovo spletnih strani, da bi bile informacije, vkljucno z obrazci in vzorci, cim prej in v cim vecji meri posodobljene glede na dolocbe ZVOP-2. Povecalo se je tudi število mnenj na prejete ocene ucinka – v letu 2022 je bilo izdanih 14 tovrstnih mnenj, kot vsako leto pa je bilo izvedeno tudi veliko število pro bono predavanj na podrocju varstva osebnih podatkov, in sicer je bilo takih predavanj v letu 2022 53.
Kot se je pokazalo konec leta 2022, je bil sprejem ZVOP-2 pomemben motivator za številne zavezance, da okrepijo poznavanje in razumevanje predpisov o varstvu osebnih podatkov – ne samo ZVOP-2, temvec tudi same Splošne uredbe. Informacijski pooblašcenec ocenjuje, da je in da bo sprejem ZVOP-2 pomemben element, ki bo prispeval k vecji skladnosti na podrocjih, na katerih zavezanci vse od prejema Splošne uredbe niso mogli biti kaznovani, gre pa za ene najpomembnejših gradnikov skladnosti v okviru nacela odgovornosti, in sicer predvsem za:
•	
evidence dejavnosti po 30. clenu Splošne uredbe,

•	
informiranje posameznikov po 13. in 14. clenu Splošne uredbe,

•	
imenovanje in delovanje pooblašcenih oseb za varstvo osebnih podatkov po 37., 38. in 39. clenu Splošne uredbe,

•	
izdelavo ocen ucinka po 24. clenu ZVOP-2 in po 35. clenu Splošne uredbe.


Ocenjujemo, da je register pooblašcenih oseb za varstvo podatkov že zelo dobro izpo(po)lnjen, kar je seveda prva faza pri izpolnjevanju poslanstva teh oseb, v nadaljevanju pa bo vec pozornosti treba nameniti predvsem vprašanjem, ali so te osebe ustrezno podprte in izobražene in ali opravljajo predvidene naloge na podrocju nadzora, svetovanja in ozavešcanja. Po nekaterih informacijah so namrec nekateri zavezanci tovrstno osebo zgolj imenovali zaradi zadostitve zahtevi Splošne uredbe, izvajanje dejanskih nalog pooblašcenih oseb pa je v praksi pomanjkljivo, saj zavezanci temu ne namenijo ustreznih financnih in kadrovskih sredstev.
Z vidika skladnosti zavezancev ugotavljamo, da bo v letu 2023 pozornost treba nameniti podrocjem, kot so uvajanje GPS sistemov za sledenje, pametnih mest in vasi, glede na nove dolocbe ZVOP-2 o videonadzoru pa tudi videonadzornim sistemom ter sistemom za branje registrskih tablic na javnih površinah.
Spodbuden je tudi podatek o povecanem številu zaprosil za mnenja na izdelane ocene ucinka, ki se Informacijskemu pooblašcencu pošljejo v predhodno posvetovanje po 36. clenu Splošne uredbe – v letu 2021 je bilo takih zaprosil šest, v letu 2022 pa 14. Po informacijah zavezancev ta sicer nizka številka ne pomeni, da se ocene ucinkov v praksi ne izdelujejo, gre bolj za to, da jih ne posredujejo v mnenje Informacijskemu pooblašcencu, pri cemer velja pojasniti, da je slednje obvezno le, kadar zavezanec ne najde ustreznih ukrepov za obvladovanje tveganj. Ocene ucinka so izjemno pomembno in koristno orodje, saj se z njimi pravocasno naslovi in lahko tudi odpravi tveganja, ki bi jih po zacetku obdelave osebnih podatkov lahko obvladovali z vecjimi stroški, angažmajem in potencialno tudi po že ugotovljenih kršitvah zakonodaje. Smernice o ocenah ucinka se kažejo kot ucinkovito orodje za zavezance, v letu 2023 pa bo treba pripraviti posebne smernice za t. i. zakonodajne ocene ucinka, ki jih bodo morali nekateri predlagatelji predpisov skladno z zahtevo tretjega odstavka 24. clena ZVOP-2 pripravljati že ob predlaganih spremembah zakonodaje. Posledicno je pricakovati, da se bo tudi število izdanih mnenj v letu 2023 bistveno povecalo. Informacijski pooblašcenec je sicer v letu 2022 podal 60 pisnih mnenj na pripombe predpisov, pri cemer vecina zakonodajnih predlogov ni vsebovala priloženih ocen ucinkov.
Informacijski pooblašcenec je zato že pripravil osnutek metodologije za pripravo zakonodajnih ocen ucinka v zvezi z varstvom osebnih podatkov, ki smo jo posredovali Ministrstvu za javno upravo, ob koncu leta 2022 še nismo razpolagali z informacijami, ali in kako je bila predlagana metodologija sprejeta v okviru Izvajanja projekta ePredpisov – Metodologije za oceno ucinkov na razlicna družbena podrocja.4040 Predlog metodologije IP je na voljo na povezavi https://www.ip-rs.si/fileadmin/user_upload/Pdf/pripombe/2022/MJU_metodologija%20ocene%20u%C4%8Dinkov_jul2022_AJ_AT_%C4%8Distopis.pdf.
 Ocene ucinka glede varstva osebnih podatkov pri pripravi predpisov so posebej pomembne glede na to, da mora obdelavo osebnih podatkov na podlagi 38. clena Ustave dolocati zakon (kakor tudi upravljavce, namene, roke hrambe, evidence, morebitno povezovanje zbirk ipd.), zato je bistveno, da se tveganja analizirajo že v casu priprave predpisa. Kasnejše ocene ucinka namrec nimajo želenega pomena, saj upravljavci bistvenih okolišcin in pogojev obdelave ne morejo spremeniti, ko so bistveni elementi zakonsko že doloceni. Kakovostno in celovito izdelana ocena ucinka na ravni predpisa lahko tudi bistveno razbremeni upravljavce podatkov.
Ocena ucinka v fazi snovanja predpisa zagotovi pravocasno in ucinkovito upoštevanje temeljnih nacel varstva osebnih podatkov, tj poštenosti, preglednosti in zakonitosti, minimizacije obdelave, namenskosti, ažurnosti, rokov hrambe ter dolocitev ustreznih zašcitnih ukrepov in varovalk – njen cilj je celovit premislek o tem, katere podatke se bo zbiralo in za katere namene, kakšne so možnosti minimizacije nabora in obsega obdelave, katere evidence bodo vsebovale katere podatke in kdo bo z njimi upravljal, ali gre pri tem morda za skupno upravljanje, ali je predvideno povezovanje evidenc, kakšne so relevantne pravice posameznika, kateri so najkrajši možni roki hrambe, komu se bodo doloceni podatki posredovali, ali prihaja do prenosa osebnih podatkov v tretje države ipd.
Izjemnega pomena so ocene ucinka zlasti pri uvajanju sistematicnih novih obsežnih nacionalnih zbirk osebnih podatkov, novih policijskih pooblastil in pristojnosti, na podrocju obdelave posebej obcutljivih podatkov (kot so npr. podatki v zvezi z zdravjem, podatki o kazenskih in prekrškovnih postopkih, genski, biometrijski podatki, zakonska uvedba nadzora javnih površin ipd.), pri opredeljevanju ukrepov, ki zadevajo široko populacijo ali specificne družbene segmente, saj z analizo tveganj in ucinkov na posameznika in družbo omogocajo javni diskurz o sprejemljivosti, primernosti, ucinkovitosti ter nujnosti dolocenih ukrepov v demokraticni družbi. Ocenjujemo, da bo vkljucitev zahteve po zakonodajnih ocenah ucinka na varstvo osebnih podatkov v ZVOP-2 (24. clen), ce se bo uveljavila v praksi in ce bodo ocene ucinkov narejene dobro, bistveno vplivala na višjo kakovost predpisov v tem delu ter posledicno tudi razbremenila Ustavno sodišce, ki mora sicer neredko presojati o predpisih, ki nesorazmerno posegajo v ustavno pravico do zasebnosti.
Informacijski pooblašcenec sodeluje tudi na podrocju preventivnega delovanja na evropski ravni v razlicnih delovnih skupinah EOVP ter s tem prispeva k oblikovanju kljucnih smernic, priporocil in odlocitev v zvezi z varstvom osebnih podatkov. Predstavniki Informacijskega pooblašcenca so v letu 2022 aktivno sodelovali na 15 plenarnih zasedanjih ter v okviru 19 strokovnih delovnih skupin, ki so se sestale na 163 sestankih.
EOVP je v letu 2022 prispeval k razlagam številnih dolocb Splošne uredbe s smernicami in priporocili, npr. glede pravice dostopa do lastnih podatkov, glede zavajajocih (temnih) vzorcev na družbenih omrežjih, glede uporabe prepoznave obraza s strani organov pregona, glede sodelovanja po 60. clenu Splošne uredbe in drugimi. Na podrocju svetovanja Evropski komisiji v zvezi z vprašanji varstva podatkov in priprave evropskih predpisov s podrocja varstva podatkov je EOVP v letu 2022 deloval na podrocju posvetovanja o razlicnih zakonodajnih predlogih v okviru t. i. digitalne strategije Evropske unije. Skupaj z Evropskim nadzornikom za varstvo podatkov je EOVP pripravil mnenje o predlogu Uredbe o evropskem prostoru zdravstvenih podatkov, ki skuša olajšati oblikovanje evropske zdravstvene unije in EU omogociti, da v celoti izkoristi možnosti, ki jih ponuja varna in zanesljiva izmenjava, uporaba in ponovna uporaba zdravstvenih podatkov. Prav tako je EOVP aktivno sodeloval pri posvetovanju z Evropsko centralno banko glede zasnove digitalnega evra, ki mora upoštevati principe zasebnosti in varstva osebnih podatkov. Sprejeta so bila tudi številna mnenja v postopkih skladnosti glede certifikacijskih in akreditacijskih mehanizmov. 
Srecanja in s tem sodelovanje vseh nadzornih organov v okviru EOVP so bistvena za zagotavljanje doslednega izvajanja Splošne uredbe po vsej EU in za ucinkovit nadzor na podrocju varstva podatkov. EOVP je pripravil izjavo o tesnejšem sodelovanju nadzornih organov pri izvajanju strateških nadzornih primerov. V okviru svoje strategije za okrepljeno sodelovanje med nadzornimi organi je EOVP ustanovil podporno skupino strokovnjakov (Support pool of experts), katere cilj je zagotoviti vsebinsko podporo clanicam EOVP pri njihovih nadzorih.

3 VARSTVO OSEBNIH PODATKOV – VARSTVO TEMELJNE CLOVEKOVE PRAVICE DO ZASEBNOSTI









Izdane odobrene odlocbe glede povezovanja javnih evidenc.




ODGOVORNA UREDNICA: 
Mojca Prelesnik, informacijska pooblašcenka
AVTORJI BESEDIL:
Jože Bogataj, namestnik informacijske pooblašcenke
dr. Jelena Burnik, vodja mednarodnega sodelovanja in razvoja
Jasna Duralija, svetovalka pooblašcenca I
Tina Ivanc, svetovalka pooblašcenca za varstvo osebnih podatkov
Alenka Jerše, namestnica informacijske pooblašcenke
mag. Eva Kalan Logar, vodja državnih nadzornikov
mag. Kristina Kotnik Šumah, namestnica informacijske pooblašcenke
Grega Rudolf, asistent svetovalca
Matej Sironic, svetovalec pooblašcenca za varstvo osebnih podatkov
Ana Škrlin, študentka
mag. Andrej Tomšic, namestnik informacijske pooblašcenke
Barbara Žurej, svetovalka pooblašcenca za preventivo
OBLIKOVANJE:
Tomaž Brodgesell
Darko Mohar
LEKTORIRALA:
Katja Klopcic Lavrencic
Informacijski pooblašcenec Republike Slovenije
Dunajska cesta 22
1000 Ljubljana
www.ip-rs.si
gp.ip@ip-rs.si
ISSN 2670-5788
Ljubljana, maj 2023