LETNO POROCILO Informacijskega pooblašcenca za leto 2019 UVODNA BESEDA INFORMACIJSKE POOBLAŠCENKE Spoštovani, tako v Sloveniji kot širše družbena dogajanja v letu 2019 dokazujejo, kako pomembno je ucinkovito varstvo pravice dostopa do informacij javnega znacaja in varstva osebnih podatkov. To potrjujejo tudi skrbi in izzivi, glede katerih se posamezniki in organizacije obracajo na Informacijskega pooblašcenca. Ti so zelo raznoliki, skupna tocka vseh pa je ugotovitev, da nas kot družbo na obeh podrocjih kljub napredku caka še veliko dela. Dobra novica je, da v Sloveniji neodvisne nadzorne institucije, med katerimi je tudi Informacijski pooblašcenec, uživajo izredno veliko zaupanje, višje od evropskega povprecja, saj so prve, na katere bi se ljudje obrnili po pomoc v primeru kršitev. To dokazuje raziskava Eurobarometer, opravljena v letu 2019, ki Slovenijo tudi glede poznavanja Splošne uredbe o varstvu podatkov (Splošna uredba), pravic posameznikov in zavedanja o obstoju nadzornega organa uvršca nad evropsko povprecje, v primerjavi s podatki iz leta 2015 pa se je ta delež celo precej povecal. Analiza dela Informacijskega pooblašcenca v letu 2019 kaže, da na podrocju dostopa do informacij javnega znacaja med izzivi zlasti izstopa trend rasti pritožb zaradi molka organa (delež teh pritožb znaša kar 44%). Na podrocju varstva osebnih podatkov in zasebnosti smo v zadnjih dveh letih prica bistvenem porastu števila prijav in števila pritožb v zvezi z uveljavljanjem pravic posameznikov. Hkrati se še vedno soocamo s precejšnjimi izzivi zaradi zamud pri sprejemu nacionalnih predpisov za uporabo Splošne uredbe in za prenos Direktive za organe kazenskega pregona, na kar že vec kot tri leta opozarja tudi Informacijski pooblašcenec. Zlasti bo kljucno, da zakonodajalec poskrbi, da se Slovenija ne uvrsti na seznam držav, ki nimajo ustrezno urejenih zakonskih pristojnosti nadzornega organa za varstvo podatkov. Na podrocju dostopa do informacij javnega znacaja je bilo sicer število pritožbenih zadev v letu 2019 na ravni, ki je primerljiva z letom 2018 (leta 2019 je bilo vloženih 540 pritožbenih zadev). Med pritožbami zaradi molka organa zlasti izstopajo organi državne uprave (ministrstva in organi v sestavi), zoper katere je bilo vloženih najvec pritožb zaradi molka (29 %). Gre za zavezance, ki bi po 16 letih veljavnosti Zakona o dostopu do informacij javnega znacaja (ZDIJZ) vsekakor morali biti sposobni vse zahteve obravnavati pravocasno (v roku 20 delovnih dni). Zmanjšalo pa se je število pritožb zaradi molka obcinskih organov. Od vseh prejetih pritožb zaradi molka organa jih je bilo 26 vloženih s strani medijev. Tudi v teh postopkih je Informacijski pooblašcenec najvec pritožb prejel zoper organe državne uprave (10 pritožb). Informacijski pooblašcenec je vodil 17 postopkov zoper poslovne subjekte pod prevladujocim vplivom, kar predstavlja le 3 % vseh pritožbenih zadev. Navedeno kaže, da so zavezanci vecinoma v molku, ker k reševanju zahtevkov po ZDIJZ ne pristopijo pravocasno. V prihodnje bo zato treba (še) vec napora vložiti v aktivnejše usposabljanje zavezancev, kar je sicer primarno naloga Ministrstva za javno upravo. Informacijski pooblašcenec kot pritožbeni organ lahko organom svetuje le neformalno, na podlagi primerov iz prakse. Leta 2019 je podal 300 pisnih odgovorov na zaprosila zavezancev ter 629-krat svetoval v okviru telefonskega dežurstva, primere iz prakse pa je redno objavljal na svoji spletni strani – vse zato, da bi olajšal delo zavezancem in seznanjal javnost s pomenom te temeljne clovekove pravice. S ciljem boljšega poznavanja prakse je Informacijski pooblašcenec izvedel tudi pet prakticnih delavnic za upravne enote. Informacijski pooblašcenec glede na izkušnje iz leta 2019 svetuje, naj zavezanci izjeme od prostega dostopa do informacij javnega znacaja razlagajo ozko in pri tem dosledno upoštevajo nacelo delnega dostopa ter obstoj absolutno javnih podatkov, kot so npr. podatki, povezani z delom javnih uslužbencev. To se s Splošno uredbo ni v nicemer spremenilo. Na podrocju varstva osebnih podatkov je Informacijski pooblašcenec leta 2019 obravnaval 974 prijav oz. pobud za uvedbo inšpekcijskega postopka, kar je najvec doslej, in uvedel 139 prekrškovnih postopkov. Poleg tega je prejel 181 pritožb posameznikov v zvezi s kršitvami pravice do seznanitve z lastnimi osebnimi podatki, pravice do seznanitve z lastno zdravstveno dokumentacijo in pravice do seznanitve z zdravstveno dokumentacijo s strani drugih upravicenih oseb. Na mednarodni ravni je Informacijski pooblašcenec izvedel 148 postopkov cezmejnega sodelovanja po clenih 60 in 61 Splošne uredbe, v zvezi z upravljavci, ki izvajajo cezmejno obdelavo osebnih podatkov, pri cemer se je v 77 postopkih opredelil za zadevni nadzorni organ (po clenu 56 Splošne uredbe). Informacijski pooblašcenec je leta 2019 prejel tudi devet primerov obvestil o kršitvah podatkov o pacientih na podlagi 46. clena Zakona o pacientovih pravicah ter 137 uradnih obvestil o kršitvi varnosti osebnih podatkov na podlagi clena 33 Splošne uredbe. Najpogosteje so se pojavili izguba ali kraja nosilcev osebnih podatkov (npr. osebnih racunalnikov in USB-kljuckov), nepooblašceno dostopanje do osebnih podatkov zaradi programske napake ali zlorabe pooblastil s strani zaposlenih, napad hekerjev na informacijski sistem, onemogocanje dostopa do podatkov zaradi kriptiranja z zlonamerno programsko kodo ter posredovanje osebnih podatkov nepooblašcenim ali napacnim osebam. Pri obravnavi prijav ter izvajanju preventivnih inšpekcijskih nadzorov Informacijski pooblašcenec ugotavlja, da so ugotovljene nepravilnosti ali pomanjkljivosti v veliki meri še vedno posledica nepoznavanja oz. nerazumevanja zakonodaje, kar pa gre pripisati tudi dejstvu, da nov zakon o varstvu osebnih podatkov (ZVOP-2), ki bi jasneje dolocil posamezna pravila v zvezi z izvajanjem Splošne uredbe, še vedno ni sprejet. Do prijav in kršitev Splošne uredbe pogosto prihaja tudi zato, ker upravljavci posamezniku ob zbiranju osebnih podatkov ne zagotovijo ustreznih oz. popolnih informacij, cemur bo v letu 2020 Informacijski pooblašcenec posvetil dodatno pozornost. Ker vecina zavezancev ne želi kršiti zakonodaje in si želi delovati skladno z zakoni, jim je treba pri tem pomagati in jim ponuditi ustrezna orodja, kot so mnenja, smernice, obrazci, infografike idr. Informacijski pooblašcenec je zato leta 2019 tudi na podrocju varstva podatkov nadaljeval okrepljeno delovanje za zagotavljanje skladnosti, preventive in pomoci posameznikom. Svetoval je 3.284 posameznikom in pravnim osebam, in sicer je izdal 1.261 pisnih mnenj ter odgovoril na 2.023 telefonskih klicev. Pomembna skupina sogovornikov Informacijskega pooblašcenca so tudi pooblašcene osebe za varstvo osebnih podatkov, ki jih je vec kot 2000. Informacijski pooblašcenec uspešno kandidira na razpisih Evropske komisije za projekte iz programa REC (Rights, Equality and Citizenship Programme), prav s ciljem dodatne krepitve vseh teh aktivnosti. Glede drugih mehanizmov Splošne uredbe iz nacela odgovornosti Informacijski pooblašcenec ocenjuje, da se izboljšuje znanje glede izvedb ocen ucinkov na varstvo osebnih podatkov, ki so bistvene za zagotavljanje odgovorne uvedbe tveganih oblik obdelave in novih tehnologij pri obdelavi osebnih podatkov. Te bi morale biti tudi kljucni element postopka priprav novih predpisov, ki predvidevajo resne posege v zasebnost posameznikov in/ali uvedbo modernih tehnologij. Izkušnje v letu 2019 so tudi na ravni Evropske unije (EU) in pri sodelovanju v okviru Evropskega odbora za varstvo podatkov (EOVP) pokazale na številne izzive, zlasti glede izvajanja cezmejnih postopkov in razlik v nacionalnih procesnih pravilih v državah clanicah EU. Tudi to je eden od razlogov, da so postopki daljši in se prve odlocitve pricakuje šele v letu 2020. Odgovore deloma išce EOVP, ki aktivno pristopa k iskanju skupnih opredelitev in interpretacij konceptov v Splošni uredbi, deloma pa k reševanju lahko pristopi tudi evropski zakonodajalec, predvsem v okviru razmislekov o potencialni bodoci reviziji Splošne uredbe. Izzivi, ki so pred nami na obeh podrocjih, tudi v letu 2020 niso majhni, a verjamem, da jim bo Informacijski pooblašcenec z dobro ekipo, konstruktivnim sodelovanjem z vsemi deležniki in odprtostjo do posameznikov in organizacij še naprej kos. Vsekakor pa je na podrocju varstva podatkov velika odgovornost na zakonodajalcu, od katerega je odvisno, kaj bo z varstvom podatkov v Sloveniji v bodoce. STRNJEN PREGLED LETA 2019 DOSTOP DO INFORMACIJ JAVNEGA ZNACAJA Informacijski pooblašcenec ugotavlja, da je bilo število pritožbenih zadev na podrocju dostopa do informacij javnega znacaja v letu 2019 na primerljivi ravni kot v letu 2018 (leta 2019 je bilo vloženih 540 pritožbenih zadev). Nadaljuje pa se trend rasti števila pritožb zaradi molka organov (v letu 2018 je Informacijski pooblašcenec obravnaval 213 tovrstnih pritožb, v letu 2019 pa 235), pri cemer zlasti izstopajo organi državne uprave (ministrstva in organi v sestavi). Podobno kot v letu 2018 se je tudi v letu 2019 povecalo število pritožbenih postopkov glede dostopa do informacij, ki se nanašajo na javne uslužbence in javne funkcionarje (število teh pritožb se je povecalo za 75%). Ker so zavezanci v teh primerih dostop do zahtevanih informacij neutemeljeno zavrnili s sklicevanjem na varovane osebne podatke, Informacijski pooblašcenec opozarja, da so ti podatki tudi po uveljavitvi Splošne uredbe, v skladu s tretjim odstavkom 6. clena ZDIJZ, doloceni kot absolutno javni. Takšna je tudi dolgoletna praksa Informacijskega pooblašcenca in Upravnega sodišca. Tudi v letu 2019 se je povecalo število pritožb, ki se nanašajo na dokumente iz inšpekcijskih postopkov. V teh pritožbenih postopkih je bilo ugotovljeno, da zavezanci pogosto neupraviceno niso uporabili pravila delnega dostopa, ampak so prosilcem dostop zavrnili v celoti, ceprav zahtevane informacije niso v celoti predstavljale zakonskih izjem od prosto dostopnih informacij. Ob tem velja opozoriti, da ce dokument ali njegov del le delno vsebuje varovane informacije in je te mogoce iz dokumenta izlociti, ne da bi to ogrozilo njihovo zaupnost, mora organ slediti pravilu delnega dostopa in prosilca seznaniti z vsebino preostalega, nevarovanega dela dokumenta. Ker morajo zavezanci informacije javnosti posredovati tudi sami, brez zahteve prosilca, jih Informacijski pooblašcenec poziva, naj temu podrocju namenijo vec pozornosti in naj ravnajo proaktivno ter se s tem izognejo morebitnim postopkom po ZDIJZ. V vec pritožbenih postopkih so bile namrec predmet zahteve informacije, ki bi jih organi morali že sami javno objavljati po 10. in 10.a clenu ZDIJZ. Podobno kot leta 2018 je tudi za leto 2019 možen zakljucek, da zavezanci pri obravnavi zahtev ne namenijo dovolj pozornosti postopkovnim vprašanjem, posledica nepopolnega oz. napacnega ugotovljenega dejanskega stanja s strani zavezanca na prvi stopnji pa je, da se izpodbijane odlocbe ne da preizkusiti. V primerih, ko zavezanci zahtevo prosilca zaradi obstoja zakonskih izjem zavrnejo, je namrec kljucno, da popolnoma ugotovijo dejansko stanje in se konkretno opredelijo do vsebine zahtevanih dokumentov. Iz obrazložitve odlocbe mora biti razvidno, o katerih dokumentih so odlocali ter v katerem delu je bila zahteva prosilca zavrnjena. Razlogi, zakaj se dostop do zahtevanih dokumentov zavrne, morajo biti pojasnjeni na nacin, ki je prosilcem razumljiv in skladen z izrekom odlocbe. Ker se je leta 2019 vnovic povecalo število pritožb zaradi molka pri organih ožje državne uprave, Informacijski pooblašcenec te poziva, naj podrocju dostopa do informacij javnega znacaja namenijo vec pozornosti in s tem zagotovijo, da bodo zahteve prosilcev obravnavali v okviru zakonskih rokov. VARSTVO OSEBNIH PODATKOV Delo Informacijskega pooblašcenca na podrocju varstva osebnih podatkov je tudi v letu 2019 v najvecji meri zaznamovala Splošna uredba, ki je glede na Zakon o varstvu osebnih podatkov (ZVOP-1) obseg nalog in pristojnosti Informacijskega pooblašcenca še razširila. Povecal se je obseg aktivnosti tako pri upravljavcih osebnih podatkov kot tudi pri Informacijskem pooblašcencu. Najvecji izzivi v letu 2019 so bili na tem podrocju za vse povezani zlasti z dejstvom, da Slovenija v svoj pravni red še vedno ni sprejela zakona za uporabo Splošne uredbe in prenos Direktive za organe kazenskega pregona. Z vidika postopkov, za katere je pristojen Informacijski pooblašcenec, so ti izzivi povezani zlasti z vsebinskimi nejasnostmi glede hkratne veljavnosti ZVOP-1 in Splošne uredbe; s procesnimi nedorecenostmi glede vodenja upravnih postopkov reševanja pritožb posameznikov v zvezi z uveljavljanjem njihovih pravic iz clenov 13 do 22 Splošne uredbe, kjer Informacijski pooblašcenec nastopa kot pritožbeni organ; ter z odsotnostjo procesnih dolocb za vodenje prekrškovnih postopkov in izrekanje glob za ugotovljene kršitve. Informacijski pooblašcenec lahko ob odsotnosti ZVOP-2 postopek za prekrške uvede le v primeru, ce gre za kršitev tistih clenov ZVOP-1, ki še veljajo, ali v primeru kršitev s strani zavezancev po Direktivi za organe kazenskega pregona, za katere do sprejema novih predpisov velja ZVOP-1 v celoti. Informacijski pooblašcenec torej zaradi odsotnosti novega ZVOP-2 v obravnavanem obdobju ni mogel izrekati sankcij za tiste kršitve, ki so dolocene zgolj v clenu 83 Splošne uredbe. Na težave je Informacijski pooblašcenec veckrat opozoril tudi pristojno ministrstvo. Usklajenost nacionalnih dolocb s Splošno uredbo pa je pomembna tudi z vidika usklajevanja praks v državah clanicah EU prek mehanizma poenotenja izrecenih glob, ki naj bi ga uporabljali vsi nadzorni organi. V primerih cezmejnega sodelovanja pri inšpekcijskem nadzoru to pomeni resno procesno oviro. Število prijav in pritožb v zvezi z uveljavljanjem pravic posameznikov, ki jih je v obravnavanem obdobju prejel Informacijski pooblašcenec, se je sicer v primerjavi s preteklimi leti nekoliko povecalo (974 prijav in 181 pritožb posameznikov). Poleg tega je Informacijski pooblašcenec v obravnavanem obdobju prejel in obravnaval tudi devet samoprijav glede nedovoljene obdelave osebnih podatkov o pacientih na podlagi Zakona o pacientovih pravicah ter 137 uradnih obvestil o kršitvi varnosti osebnih podatkov na podlagi clena 33 Splošne uredbe. Te prijave so se nanašale zlasti na: izgubo ali krajo nosilcev osebnih podatkov, napad na informacijski sistem ali napad z zlonamerno programsko kodo ter posredovanje osebnih podatkov nepooblašcenim ali napacnim osebam. Do prijav in kršitev Splošne uredbe je pogosto prihajalo zato, ker upravljavci posamezniku ob zbiranju osebnih podatkov niso zagotovili ustreznih oz. popolnih informacij. Te kršitve še vedno spadajo tudi med najpogosteje ugotovljene kršitve. Po uveljavitvi ZVOP-2 bo lahko Informacijski pooblašcenec za takšne kršitve izrekal globo. Informacijski pooblašcenec na podlagi izvedenih inšpekcijskih pregledov ugotavlja, da so ugotovljene nepravilnosti v veliki meri posledica nepoznavanja oz. nerazumevanja zakonodaje. To gre zlasti pripisati dejstvu, da v Sloveniji še nimamo novih sistemskih predpisov na podrocju varstva podatkov. Poleg tega so ugotovljene kršitve pogosto posledica malomarnega ali neustreznega zagotavljanja varnosti osebnih podatkov ter namerne nezakonite obdelave osebnih podatkov s strani zaposlenih pri upravljavcih osebnih podatkov, kar se kaže zlasti z nezakonitimi vpogledi v zbirke osebnih podatkov, sporno obdelavo osebnih podatkov za namene neposrednega trženja ter izvajanjem videonadzora delovnih prostorov z namenom nadzora nad zaposlenimi. V obravnavanem obdobju so zaposleni najpogosteje nezakonito vpogledovali v zbirke osebnih podatkov s podrocja notranjih zadev oz. policije ter v zbirke osebnih podatkov, ki jih vodijo zdravstvene institucije. Informacijski pooblašcenec je v primeru ugotovljenih kršitev vsem kršiteljem z odlocbo o prekršku izrekel ustrezno sankcijo. Na podrocju uveljavljanja pravic posameznikov so pritožbe v 70 primerih zadevale upravljavce iz javnega sektorja (zlasti ministrstva in organe v njihovi sestavi, sodišca, javne zdravstvene zavode in centre za socialno delo), 111 pritožb pa se je nanašalo na upravljavce iz zasebnega sektorja (npr. banke, zavarovalnice, operaterje elektronskih komunikacij, društva, odvetnike in zasebne izvajalce zdravstvene dejavnosti). Le 17 pritožb se je nanašalo na pravico do seznanitve z zdravstveno dokumentacijo. Informacijski pooblašcenec je zaradi suma kršitev dolocb ZVOP-1 leta 2019 uvedel 139 postopkov o prekršku, od tega je 83 postopkov uvedel zoper pravne osebe javnega sektorja in njihove odgovorne osebe, 32 zoper pravne osebe zasebnega sektorja in njihove odgovorne osebe, 24 pa zoper posameznike (od tega 19 zoper odgovorne osebe državnih organov in samoupravnih lokalnih skupnosti, pri katerih za prekrške odgovarjajo le njihove odgovorne osebe). Informacijski pooblašcenec je leta 2019 prejel šest vlog za izdajo dovoljenja za uvedbo biometrijskih ukrepov, 24 vlog za pridobitev dovoljenja za povezovanje zbirk osebnih podatkov in eno vlogo, s katero je vlagatelj zaprosil za odobritev upravnega dogovora, ki se nanaša na prenose osebnih podatkov, pridobljenih pri opravljanju nalog oz. izvajanju pooblastil in odgovornosti med financnimi nadzornimi organi Evropskega gospodarskega prostora (EGP) in financnimi nadzornimi organi zunaj EGP. Pridobitev dovoljenja oz. odlocba nadzornega organa je v zvezi s prenosom osebnih podatkov v države izven EU in EGP v skladu s Splošno uredbo sicer potrebna le: • kadar gre za prenos podatkov v tretjo državo na podlagi pogodbenih dolocil, ki jih kot ustrezne zašcitne ukrepe sama dolocita izvoznik in uvoznik podatkov (tocka (a) clena 46(3)); • kadar gre za prenos podatkov med javnimi organi na podlagi dolocb, ki se vstavijo v upravne dogovore (tocka (b) clena 46(3)); • ce se podatki prenašajo na podlagi zavezujocih poslovnih pravil (clen 47(1)). Informacijski pooblašcenec je leta 2019 nadaljeval okrepljeno delovanje na podrocju skladnosti in preventive, in sicer je prek mnenj in v okviru telefonskega dežurstva svetoval 3.284 posameznikom in pravnim osebam, ki so se nanj obrnili z vprašanji s podrocja varstva osebnih podatkov (izdanih je bilo 1.261 pisnih mnenj in napotitev na mnenja ter opravljenih 2.023 svetovalnih klicev). Vsa mnenja Informacijski pooblašcenec objavlja tudi na svoji spletni strani. Informacijski pooblašcenec ocenjuje, da se je poznavanje dolocb Splošne uredbe v letu 2019 izboljšalo in da se je med zavezanci izboljšalo razumevanje kljucnih konceptov Splošne uredbe, ostajajo pa številne pravne nejasnosti zaradi odsotnosti nacionalnih sistemskih predpisov. Leta 2019 je Informacijski pooblašcenec zaznal splošen trend znatnega povecanja sklepanja pogodb o pogodbeni obdelavi osebnih podatkov med zavezanci. Število mnenj na to temo se je v primerjavi z letom 2018 skoraj potrojilo. Glede ostalih mehanizmov Splošne uredbe iz nacela odgovornosti Informacijski pooblašcenec ocenjuje, da se izboljšuje znanje glede izvedb ocen ucinkov na varstvo osebnih podatkov. V okviru postopka predhodnega posvetovanja je Informacijski pooblašcenec v sedmih primerih izdal mnenja glede ocen ucinkov. Premalo pa je zavedanja o pomenu ocen ucinkov kot kljucnega elementa postopka priprav novih predpisov, ki predvidevajo resne posege v zasebnost posameznikov in/ali uvedbo modernih tehnologij. Informacijski pooblašcenec je leta 2019 izdal 73 mnenj na predloge sprememb zakonov ter na predloge novih zakonov in drugih predpisov. Pricakovanja glede Splošne uredbe prav tako niso bila izpolnjena glede kodeksov ravnanja, ki bi lahko združenjem upravljavcev omogocila skladnost. Informacijski pooblašcenec je v mnenje prejel le en primer takega kodeksa, ki pa ga ni predložil ustrezen subjekt. Zaradi odsotnosti nacionalnih izvedbenih predpisov je na ravni Slovenije povsem prezrto tudi podrocje vzpostavitve mehanizmov certificiranja za varstvo podatkov ter pecatov in oznacb za varstvo podatkov za izkazovanje, da so dejanja obdelave s strani upravljavcev in obdelovalcev v skladu s Splošno uredbo. Informacijski pooblašcenec je prav s ciljem krepitve podrocja preventivnega delovanja uspešno kandidiral na razpisih Evropske komisije za projekte iz programa REC (Rights, Equality and Citizenship Programme). Leta 2019 je tako uspešno nadaljeval izvajanje projekta RAPiD.Si, katerega glavni namen je izobraževanje in ozavešcanje predvsem manjših in srednje velikih podjetij ter posameznikov o reformi zakonodajnega okvira s podrocja varstva osebnih podatkov, leta 2020 pa bo zacel izvajati nov projekt iDECIDE, namenjen povecevanju zavedanja o reformi okvira za varstvo osebnih podatkov predvsem med mladoletniki ter starejšo in delovno populacijo. Informacijski pooblašcenec je leta 2019 aktivno sodeloval tudi v cezmejnih primerih po nacelu »vse na enem mestu« po Splošni uredbi, ki predvideva, da postopek nadzora v cezmejnem primeru obdelave osebnih podatkov vodi t. i. vodilni organ v sodelovanju z drugimi organi za varstvo osebnih podatkov. Informacijski pooblašcenec je leta 2019 izvedel 148 postopkov sodelovanja po clenih 60 in 61 Splošne uredbe v zvezi z upravljavci, ki izvajajo cezmejno obdelavo osebnih podatkov, ob tem pa se je v 77 postopkih opredelil za zadevni nadzorni organ (po clenu 56 Splošne uredbe). Od tega je sedem postopkov ugotavljanja po clenu 56, 14 postopkov sodelovanja po clenu 60 in 33 postopkov zagotavljanja medsebojne pomoci po clenu 61 Splošne uredbe zacel Informacijski pooblašcenec. Pri postopkih v zvezi s cezmejnimi primeri gre zlasti za priljubljene ponudnike komunikacijskih spletnih storitev oz. spletne velikane (Facebook, Google, Amazon, Apple, PayPal, WhatsApp, Twitter, Instagram, Microsoft itd.); Informacijski pooblašcenec v teh primerih sodeluje kot zadevni organ. Postopki zadevajo skladnost njihovih praks s Splošno uredbo, tako v smislu zakonitosti obdelave osebnih podatkov kot tudi ustreznosti njihovih politik zasebnosti in obvešcanja posameznikov o obdelavi osebnih podatkov, izvrševanja pravic posameznikov ter kršitev varstva osebnih podatkov zaradi vdorov v informacijske sisteme in pomanjkljivega zavarovanja osebnih podatkov. Sodelovanje v cezmejnih primerih inšpekcijskega nadzora, kot ga je uvedla Splošna uredba, je nedvomno ena kljucnih novosti in okrepitev, predvsem v smislu enotnega delovanja in skupnega ukrepanja nadzornih organov v razlicnih državah clanicah EU in EGS. Le z enotnim pristopom lahko namrec nadzorni organi na ravni EU vplivajo na aktivnosti multinacionalnih ponudnikov sodobnih spletnih storitev, komunikacijskih platform in družbenih omrežij, ki jih uporabljajo posamezniki v vseh teh državah. Seveda pa tako sodelovanje za vse nadzorne organe pomeni velik izziv, potrebujejo namrec dodatne vire, tako financne kot kadrovske. Ob sodelovanju po poglavju 7 Splošne uredbe pa so se leta 2019 pokazali tudi drugi izzivi, ki izvirajo predvsem iz razlik v nacionalnih procesnih pravilih v državah clanicah EU – postopki proti velikim multinacionalnim podjetjem so v teh primerih zapleteni in daljši. Prve odlocitve v takih primerih bodo znane v letu 2020. Konkreten izziv ucinkovitemu vodenju tovrstnih postopkov predstavljajo tudi razlicne interpretacije konceptov in norm tovrstnega sodelovanja. Odgovore na izzive deloma išce EOVP, ki izdaja priporocila in smernice, deloma pa bo moral k reševanju pristopiti tudi evropski zakonodajalec, predvsem v okviru razmislekov o potencialni bodoci reviziji Splošne uredbe. KAZALO 1.1 NASTANEK IN OSEBNA IZKAZNICA INFORMACIJSKEGA POOBLAŠCENCA . . . . . . . . . . . . . . . . 2 1.1.1 ORGANIZIRANOST . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 1.2 KLJUCNA PODROCJA DELOVANJA IN PRISTOJNOSTI . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 1.3 FINANCNO POSLOVANJE V LETU 2019 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 2.1 PRAVNA UREDITEV NA PODROCJU DOSTOPA DO INFORMACIJ JAVNEGA ZNACAJA . . . . . . . . . 18 2.2 ŠTEVILO VLOŽENIH PRITOŽB IN REŠENIH ZADEV . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 2.2.1 PRITOŽBE ZOPER ZAVRNILNE ODLOCBE IN IZDANE ODLOCBE. . . . . . . . . . . . . . . . . . . . 21 2.2.2 PRITOŽBE ZOPER MOLK . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 2.3 ŠTEVILO VLOŽENIH TOŽB IN PREJETIH SODB. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 2.4 STORJENI PREKRŠKI PO ZDIJZ, ZInfP IN ZMed . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 2.5 IZBRANI PRIMERI NA PODROCJU DOSTOPA DO INFORMACIJ JAVNEGA ZNACAJA . . . . . . . . . . 24 2.6 AKTIVNOSTI IZOBRAŽEVANJA IN OZAVEŠCANJA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 2.6.1 DANPRAVICEVEDETI. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 2.6.2 MEDNARODNOSODELOVANJE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 2.7 SPLOŠNA OCENA IN PRIPOROCILA. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 3.1 KONCEPT VARSTVA OSEBNIH PODATKOV V REPUBLIKI SLOVENIJI . . . . . . . . . . . . . . . . . . . 38 3.2 INŠPEKCIJSKI NADZOR V LETU 2019. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41 3.2.1 INŠPEKCIJSKI NADZOR V JAVNEM SEKTORJU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 3.2.2 INŠPEKCIJSKI NADZOR V ZASEBNEM SEKTORJU . . . . . . . . . . . . . . . . . . . . . . . . . . . 44 3.2.3 PRIJAVA KRŠITEV VARNOSTI OSEBNIH PODATKOV . . . . . . . . . . . . . . . . . . . . . . . . . . 45 3.2.4 SODELOVANJE PRI CEZMEJNIH INŠPEKCIJSKIH NADZORIH . . . . . . . . . . . . . . . . . . . . . 46 3.2.5 PREKRŠKOVNI POSTOPKI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50 3.2.6 IZBRANI PRIMERI OBDELAVE OSEBNIH PODATKOV . . . . . . . . . . . . . . . . . . . . . . . . . . 52 3.3 DRUGI UPRAVNI POSTOPKI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59 3.3.1 DOPUSTNOST IZVAJANJA BIOMETRIJSKIH UKREPOV. . . . . . . . . . . . . . . . . . . . . . . . . 59 3.3.2 POVEZOVANJE ZBIRK OSEBNIH PODATKOV . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60 3.3.3 PRENOS OSEBNIH PODATKOV V TRETJE DRŽAVE . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 3.3.4 PRAVICE POSAMEZNIKOV. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64 3.3.5 ZAHTEVA ZA OCENO USTAVNOSTI. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66 3.4 PRIPRAVA MNENJ IN POJASNIL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68 3.4.1 SPLOŠNA POJASNILA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68 3.4.2 MNENJA NA PREDPISE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68 3.5 SKLADNOST IN PREVENTIVA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70 3.5.1 OBVEZNOSTI UPRAVLJAVCEV . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70 3.5.2 POGODBENA OBDELAVA. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71 3.5.3 EVIDENCE OBDELAV . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71 3.5.4 OCENE UCINKOV NA VARSTVO OSEBNIH PODATKOV . . . . . . . . . . . . . . . . . . . . . . . . . 72 3.5.5 POOBLAŠCENE OSEBE ZA VARSTVO PODATKOV. . . . . . . . . . . . . . . . . . . . . . . . . . . . 72 3.5.6 KODEKSI RAVNANJA IN POTRJEVANJE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73 3.5.7 AKTIVNOSTI IZOBRAŽEVANJA IN OZAVEŠCANJA . . . . . . . . . . . . . . . . . . . . . . . . . . . 74 3.5.8 PREVENTIVNE AKTIVNOSTI ZA SKLADNOST . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77 3.6 MEDNARODNO SODELOVANJE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77 3.6.1 SODELOVANJE V EVROPSKEM ODBORU ZA VARSTVO PODATKOV . . . . . . . . . . . . . . . . . 77 3.6.2 SODELOVANJE V DRUGIH NADZORNIH TELESIH EVROPSKE UNIJE . . . . . . . . . . . . . . . . . 78 3.6.3 SODELOVANJE V DRUGIH MEDNARODNIH TELESIH . . . . . . . . . . . . . . . . . . . . . . . . . . 79 3.7 SPLOŠNA OCENA STANJA VARSTVA OSEBNIH PODATKOV . . . . . . . . . . . . . . . . . . . . . . . . 81 SEZNAM UPORABLJENIH KRATIC IN OKRAJŠAV ZAKONOV ZDIJZ - Zakon o dostopu do informacij javnega znacaja Splošna uredba - Splošna uredba o varstvu podatkov ZVOP-1 - Zakon o varstvu osebnih podatkov ZInfP - Zakon o Informacijskem pooblašcencu ZVOP-2 - Predlog novega Zakona o varstvu osebnih podatkov ZUP - Zakon o splošnem upravnem postopku ZMed - Zakon o medijih ZPacP - Zakon o pacientovih pravicah ZPLD-1 - Zakon o potnih listinah ZOIzk-1 - Zakon o osebni izkaznici ZEKom-1 - Zakon o elektronskih komunikacijah ZCKR - Zakon o centralnem kreditnem registru ZPotK-2 - Zakon o potrošniških kreditih ZBan-2 - Zakon o bancništvu ZUstS - Zakon o Ustavnem sodišcu ZGD-1 - Zakon o gospodarskih družbah ZDavP-2 - Zakon o davcnem postopku ZJN-3 - Zakon o javnem narocanju ZPosS - Zakon o poslovni skrivnosti ZKP - Zakon o kazenskem postopku ZIN - Zakon o inšpekcijskem nadzoru ZP-1 - Zakon o prekrških ZUPJS - Zakon o uveljavljanju pravic iz javnih sredstev O INFORMACIJSKEM POOBLAŠCENCU Pod svojo streho združuje dostop do informacij javnega znacaja in varstvo osebnih podatkov 1.1 NASTANEK IN OSEBNA IZKAZNICA INFORMACIJSKEGA POOBLAŠCENCA Informacijski pooblašcenec je samostojen in neodvisen državni organ s pristojnostmi na podrocju dveh z Ustavo Republike Slovenije zavarovanih temeljnih clovekovih pravic, pravico dostopa do informacij javnega znacaja in pravico do varstva osebnih podatkov. Državni zbor Republike Slovenije je 30. 11. 2005 sprejel Zakon o Informacijskem pooblašcencu (ZInfP), s katerim je bil 31. 12. 2005 ustanovljen nov samostojen in neodvisen državni organ. Zakon je združil dva organa, in sicer Pooblašcenca za dostop do informacij javnega znacaja, ki je imel že prej status neodvisnega organa, in Inšpektorat za varstvo osebnih podatkov, ki je deloval kot organ v sestavi Ministrstva za pravosodje. Ob uveljavitvi ZInfP je Pooblašcenec za dostop do informacij javnega znacaja nadaljeval delo kot Informacijski pooblašcenec, ki je prevzel inšpektorje in druge uslužbence Inšpektorata za varstvo osebnih podatkov, pripadajoco opremo in sredstva. Hkrati je prevzel tudi vse nedokoncane zadeve, arhive in evidence, ki jih je vodil Inšpektorat za varstvo osebnih podatkov. S tem so se pristojnosti organa, ki je skrbel za nemoteno izvajanje dostopa do informacij javnega znacaja, mocno spremenile in se razširile še na pravno podrocje varstva osebnih podatkov. Informacijski pooblašcenec je tako postal tudi državni nadzorni organ za varstvo osebnih podatkov. Delo je zacel 1. 1. 2006. S takšno ureditvijo, ki je primerljiva z ureditvijo v razvitih evropskih državah, se je poenotila praksa dveh organov, še danes pa se povecuje zavedanje pravice do zasebnosti in pravice vedeti – ti sta zaradi te ureditve v še vecjem sožitju. ZInfP je v slovenski pravni red prinesel pomembne novosti. S tem zakonom je bil namrec ustanovljen nov državni organ, Informacijski pooblašcenec, ki izvaja številne pristojnosti tako na podrocju dostopa do informacij javnega znacaja kot tudi na podrocju varstva osebnih podatkov. Poleg dolocb, ki urejajo položaj in imenovanje informacijskega pooblašcenca, ZInfP vsebuje tudi dolocbe o nadzornikih za varstvo osebnih podatkov, o nekaterih posebnostih postopka pred Informacijskim pooblašcencem ter nekatere kazenske dolocbe. Informacijski pooblašcenec je neodvisen državni organ. Njegova neodvisnost je zagotovljena na dva nacina. Prvi je postopek imenovanja pooblašcenca kot funkcionarja, ki ga na predlog predsednika Republike Slovenije imenuje Državni zbor. Drugi nacin, ki omogoca predvsem financno neodvisnost, pa je, da se sredstva za delo zagotovijo v proracunu Republike Slovenije tako, da o tem odloca Državni zbor na predlog Informacijskega pooblašcenca. Od 17. 7. 2014 Informacijskega pooblašcenca vodi Mojca Prelesnik. Obisk predsednika Republike Slovenije, g. Boruta Pahorja, 19. 10. 2019. 1.1.1ORGANIZIRANOST Notranjo organizacijo in sistemizacijo delovnih mest, ki so potrebna za izvajanje nalog pri Informacijskem pooblašcencu, dolocata Akt o notranji organizaciji in sistemizaciji delovnih mest pri Informacijskem pooblašcencu ter njegova priloga Sistemizacija delovnih mest pri Informacijskem pooblašcencu. Sistemizacija delovnih mest je prilagojena nalogam Informacijskega pooblašcenca in delovnim procesom, ki potekajo pri njem, ter je oblikovana tako, da zagotavlja cim ucinkovitejšo izrabo cloveških virov. Informacijski pooblašcenec opravlja svoje naloge v naslednjih notranjih organizacijskih enotah: • kabinet Informacijskega pooblašcenca, • sektor za informacije javnega znacaja, • sektor za varstvo osebnih podatkov, • administrativno-tehnicna služba. Organigram po delovnih podrocjih. Reševanje pritožb pri dostopu do IJZ Reševanje pritožb pri ponovni uporabi IJZ Reševanje pritožb po Zakonu o medijih Neformalno svetovanje in izobraževanje Izdajanje odlocb o biometriji, povezovanju evidenc in prenosu Svetovanje in izobraževanje 31. 12. 2019 je bilo pri Informacijskem pooblašcencu zaposlenih 47 uslužbencev, 46 za nedolocen cas ter eden za dolocen cas (poslovni sekretar). Izobrazbena struktura zaposlenih je razvidna iz preglednice. Izobrazbena struktura zaposlenih pri Informacijskem pooblašcencu 31. 12. 2019. Visoka Srednja Višja strokovna šola, Univerzitetna strokovna strokovna Magisterij Doktorat Skupaj univerzitetni izobrazba šola šola program Informacijska pooblašcenka 1 1 Namestniki informacijske 22 4 pooblašcenke Vodja mednarodnega sodelovanja in nadzora 1 1 Vodja nadzornikov 1 1 Generalna sekretarka 1 1 Državni nadzorniki za varstvo 10 51 16 osebnih podatkov Samostojni svetovalec pooblašcenca 1 1 2 Svetovalec pooblašcenca za dostop do informacij javnega znacaja 5 1 6 Svetovalec pooblašcenca za varstvo osebnih podatkov 2 1 3 Svetovalec pooblašcenca za 1 1 preventivo Asistent svetovalca 1 1 2 Raziskovalec 1 1 2 Sistemski administrator 1 1 Strokovni sodelavec za 1 1 financne in kadrovske Poslovni sekretar 2 2 Dokumentalist 1 1 Projektni sodelavec 2 2 Skupaj 2 2 5 24 12247 7 1.2 KLJUCNA PODROCJA DELOVANJA IN PRISTOJNOSTI Informacijski pooblašcenec svoje z zakonom dolocene naloge in pristojnosti opravlja na dveh podrocjih: • na podrocju dostopa do informacij javnega znacaja in • na podrocju varstva osebnih podatkov. Na podrocju dostopa do informacij javnega znacaja, ki je urejeno z Zakonom o dostopu do informacij javnega znacaja (ZDIJZ), ima Informacijski pooblašcenec pristojnosti pritožbenega organa, kot jih doloca 2. clen ZInfP. To pomeni, da odloca o pritožbi prosilca, ce je zavezanec za dostop do informacij javnega znacaja: 1. zahtevo za dostop do informacij javnega znacaja zavrnil ali zavrgel; 2. na zahtevo ni odgovoril v predpisanem roku (je v molku); 3. omogocil dostop v drugi obliki, kot jo je prosilec zahteval; 4. posredoval informacijo, ki je prosilec ni zahteval; 5. neupraviceno zaracunal stroške za posredovanje informacij ali pa je zaracunal previsoke stroške; 6. ni ugodil zahtevi za umik stopnje tajnosti s podatkov, ki so s stopnjo tajnosti oznaceni v nasprotju z zakonom, ki ureja tajne podatke; 7. zavrnil, zavrgel ali ni odgovoril na zahtevo za ponovno uporabo informacij javnega znacaja. Informacijski pooblašcenec je pristojen tudi za vodenje evidence vseh podeljenih izkljucnih pravic na podrocju ponovne uporabe informacij (peti odstavek 36.a clena ZDIJZ). Na podrocju dostopa do informacij javnega znacaja Informacijskemu pooblašcencu pristojnosti podeljuje tudi Zakon o medijih (ZMed) (45. clen). Po ZMed se zavrnilni odgovor zavezanca na vprašanje, ki ga zastavi predstavnik medija, šteje kot zavrnilna odlocba. Molk zavezanca ob takem vprašanju je razlog za pritožbo, o kateri odloca Informacijski pooblašcenec po dolocbah ZDIJZ. Informacijski pooblašcenec je v primeru kršitev dolocb ZDIJZ in ZMed tudi prekrškovni organ. Na delo Informacijskega pooblašcenca na podrocju varstva osebnih podatkov je zelo vplival zacetek uporabe Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov, Splošna uredba), ki se uporablja neposredno v vseh državah EU od 25. 5. 2018. Zacetek uporabe Splošne uredbe terja sprejetje novega Zakona o varstvu osebnih podatkov (ZVOP­2), s katerim bi se v Republiki Sloveniji zagotovilo izvajanje Splošne uredbe, vendar pa ta zakon do konca leta 2019 ni bil sprejet. Zato se poleg Splošne uredbe še vedno uporablja tudi Zakon o varstvu osebnih podatkov (ZVOP-1), in sicer tiste dolocbe, ki jih uredba ne ureja in ki z njo niso v nasprotju. Tako ima Informacijski pooblašcenec na podrocju varstva osebnih podatkov naslednje pristojnosti, ki mu jih dajeta ZVOP-1 in 2. clen ZInfP: 1. opravljanje inšpekcijskega nadzora nad izvajanjem dolocb ZVOP-1 in drugih predpisov, ki urejajo varstvo ali obdelavo osebnih podatkov, tj. obravnavanje prijav, pritožb, sporocil in drugih vlog, v katerih je izražen sum kršitve zakona, ter opravljanje preventivnega inšpekcijskega nadzora pri upravljavcih osebnih podatkov s podrocja javnega in zasebnega sektorja (pristojnost je dolocena v 2. clenu ZInfP); 2. odlocanje o pritožbi posameznika, kadar upravljavec osebnih podatkov ne ugodi zahtevi posameznika glede njegove pravice do seznanitve z zahtevanimi podatki, do izpisov, seznamov, vpogledov, potrdil, informacij, pojasnil, prepisovanja ali kopiranja po dolocbah zakona, ki ureja varstvo osebnih podatkov (pristojnost je dolocena v 2. clenu ZInfP); 3. vodenje postopkov o prekrških s podrocja varstva osebnih podatkov (hitri postopek); 4. vodenje upravnih postopkov za izdajo dovoljenj za povezovanje javnih evidenc in javnih knjig, kadar katera od zbirk osebnih podatkov, ki naj bi se jih povezalo, vsebuje obcutljive osebne podatke ali pa je za izvedbo povezovanja potrebna uporaba istega povezovalnega znaka, npr. EMŠO ali davcne številke (84. clen ZVOP-1); 5. vodenje upravnih postopkov za izdajo ugotovitvenih odlocb o tem, ali je nameravana uvedba biometrijskih ukrepov v zasebnem sektorju v skladu z dolocbami ZVOP-1 (80. clen ZVOP-1); 6. sodelovanje z državnimi organi, pristojnimi organi EU za varstvo posameznikov pri obdelavi osebnih podatkov, mednarodnimi organizacijami, tujimi nadzornimi organi za varstvo osebnih podatkov, zavodi, združenji ter drugimi organi in organizacijami glede vseh vprašanj, ki so pomembna za varstvo osebnih podatkov; 7. dajanje in objava predhodnih mnenj državnim organom ter nosilcem javnih pooblastil o usklajenosti dolocb predlogov predpisov z zakoni in drugimi predpisi, ki urejajo osebne podatke; 8. dajanje in objava neobveznih mnenj o skladnosti kodeksov poklicne etike, splošnih pogojev poslovanja oz. njihovih predlogov s predpisi s podrocja varstva osebnih podatkov; 9. priprava, dajanje in objava neobveznih navodil in priporocil glede varstva osebnih podatkov na posameznem podrocju; 10. objava (na spletni strani ali na drug primeren nacin) predhodnih mnenj o usklajenosti predlogov zakonov in drugih predpisov z zakonom in drugimi predpisi s podrocja varstva osebnih podatkov ter zahtev za oceno ustavnosti predpisov, objava odlocb in sklepov sodišc, ki se nanašajo na varstvo osebnih podatkov, ter neobvezna mnenja, pojasnila, stališca in priporocila glede varstva osebnih podatkov na posameznih podrocjih (49. clen ZVOP-1); 11. dajanje izjav za javnost o opravljenih nadzorih in priprava letnega porocila o svojem delu v preteklem letu; 12. sodelovanje v delovnih skupinah za varstvo osebnih podatkov, oblikovanih znotraj EU, ki združujejo neodvisne institucije za varstvo osebnih podatkov držav clanic (v Delovni skupini po clenu 29 Direktive 95/46/EC in v nadzornih organih, ki se ukvarjajo z nadzorom obdelave osebnih podatkov v Schengenskem informacijskem sistemu, v informacijskem sistemu za carino, v okviru Europola ter v skupini za nadzor Eurodaca). Splošna uredba doloca naloge Informacijskega pooblašcenca kot nadzornega organa v clenu 57: (a) spremlja in zagotavlja uporabo te uredbe; (b) spodbuja ozavešcenost in razumevanje javnosti o tveganjih, pravilih, zašcitnih ukrepih in pravicah v zvezi z obdelavo osebnih podatkov; posebna pozornost se posveti dejavnostim, ki so namenjene izrecno otrokom; (c) v skladu s pravom države clanice svetuje nacionalnemu parlamentu, vladi ter drugim institucijam in organom o zakonodajnih in upravnih ukrepih v zvezi z varstvom pravic in svobošcin posameznikov pri obdelavi osebnih podatkov; (d) spodbuja ozavešcenost upravljavcev in obdelovalcev glede njihovih obveznosti na podlagi te uredbe; (e) vsakemu posamezniku, na katerega se nanašajo osebni podatki, na zahtevo zagotovi informacije o uresnicevanju njegovih pravic na podlagi te uredbe in v ta namen, ce je ustrezno, sodeluje z nadzornimi organi v drugih državah clanicah; (f) obravnava pritožbe, ki jih vloži posameznik, na katerega se nanašajo osebni podatki, oz. v skladu s clenom 80 telo, organizacija ali združenje, v ustreznem obsegu preuci vsebino pritožbe in v razumnem roku obvesti pritožnika o poteku in rezultatu preiskave, zlasti ce je potrebna nadaljnja preiskava ali usklajevanje z drugim nadzornim organom; (g) sodeluje z drugimi nadzornimi organi, med drugim z izmenjavo informacij, in jim zagotavlja medsebojno pomoc, da se zagotovi doslednost pri uporabi in izvajanju te uredbe; (h) izvaja preiskave o uporabi te uredbe, tudi na podlagi informacij, ki jih prejme od drugega nadzornega organa ali drugega javnega organa; (i) spremlja razvoj na zadevnem podrocju, kolikor vpliva na varstvo osebnih podatkov, predvsem razvoj informacijskih in komunikacijskih tehnologij ter trgovinskih praks; (j) sprejema standardna pogodbena dolocila iz clena 28(8) in tocke (d) clena 46(2); (k) vzpostavi in vzdržuje seznam v zvezi z zahtevo po oceni ucinka v zvezi z varstvom osebnih podatkov v skladu s clenom 35(4); (l) svetuje glede dejanj obdelave iz clena 36(2); (m) spodbuja pripravo kodeksov ravnanja v skladu s clenom 40(1) ter poda mnenje in v skladu s clenom 40(5) odobri take kodekse ravnanja, ki zagotavljajo zadostne zašcitne ukrepe; (n) spodbuja vzpostavitev mehanizmov potrjevanja za varstvo podatkov ter pecatov in oznacb za varstvo podatkov v skladu s clenom 42(1) in odobri merila potrjevanja v skladu s clenom 42(5); (o) kadar je ustrezno, izvaja redne preglede potrdil, izdanih v skladu s clenom 42(7); (p) oblikuje in objavi merila za pooblastitev telesa za spremljanje kodeksov ravnanja v skladu s clenom 41 in organa za potrjevanje v skladu s clenom 43; (q) opravi pooblastitev telesa za spremljanje kodeksov ravnanja v skladu s clenom 41 in organa za potrjevanje v skladu s clenom 43; (r) odobri pogodbena dolocila in dolocbe iz clena 46(3); (s) odobri zavezujoca poslovna pravila v skladu s clenom 47; (t) prispeva k dejavnostim odbora; (u) hrani notranjo evidenco kršitev te uredbe in sprejetih ukrepov v skladu s clenom 58(2) ter (v) opravlja vse druge naloge, povezane z varstvom osebnih podatkov. 9 Skladno s clenom 55(3) Splošne uredbe Informacijski pooblašcenec ni pristojen za nadzor dejanj obdelave sodišc, kadar delujejo kot sodni organ. Informacijski pooblašcenec ima pristojnosti še po Zakonu o pacientovih pravicah (ZPacP), Zakonu o potnih listinah (ZPLD-1), Zakonu o osebni izkaznici (ZOIzk-1), Zakonu o elektronskih komunikacijah (ZEKom-1), Zakonu o centralnem kreditnem registru (ZCKR), Zakonu o potrošniških kreditih (ZPotK-2), Uredbi o sistemih brezpilotnih zrakoplovov in Uredbi o izvajanju Uredbe (EU) o državljanski pobudi. Na podlagi ZPacP Informacijski pooblašcenec deluje kot pritožbeni, inšpekcijski in prekrškovni organ. V okviru pritožbenih postopkov Informacijski pooblašcenec: • na podlagi desetega odstavka 41. clena ZPacP odloca o pritožbah pacientov in drugih upravicenih oseb ob kršitvi dolocbe, ki ureja nacin seznanitve z zdravstveno dokumentacijo; • na podlagi petega odstavka 42. clena ZPacP odloca o pritožbi v zakonu opredeljenih oseb zoper delno ali v celoti zavrnjeno zahtevo za seznanitev z zdravstveno dokumentacijo po pacientovi smrti; • na podlagi sedmega odstavka 45. clena ZPacP odloca o pritožbi upravicenih oseb zoper delno ali v celoti zavrnjeno zahtevo za seznanitev, ki se nanaša na dolžnost varovanja informacij o zdravstvenem stanju pacienta, vendar le, ce gre za informacije, ki izvirajo iz zdravstvene dokumentacije. V skladu s cetrtim odstavkom 85. clena ZPacP Informacijski pooblašcenec izvaja inšpekcijski nadzor in vodi prekrškovne postopke zaradi kršitev naslednjih dolocb ZPacP: • 44. clena, ki opredeljuje pravico pacienta do zaupnosti osebnih podatkov ter pogoje za uporabo in drugo obdelavo osebnih podatkov za potrebe zdravljenja ali izven postopkov zdravstvene obravnave, • 45. clena, ki doloca dolžnost varovanja poklicne skrivnosti oz. varovanja informacij o zdravstvenem stanju pacienta, • 46. clena, ki izvajalcem zdravstvene dejavnosti nalaga izvedbo preiskave vsake zaznane nedovoljene obdelave osebnih podatkov o pacientu in obvešcanje Informacijskega pooblašcenca o ugotovitvah, • drugega odstavka 63. clena, ki doloca nacin in rok hrambe dokumentacije, nastale v postopku z zahtevo za obravnavo kršitve pacientovih pravic, • 68. clena, ki doloca pogoje dostopa do zdravstvene dokumentacije pacienta s strani Komisije RS za varstvo pacientovih pravic. Globe za kršitve 46., 63. in 68. clena so dolocene v 87. clenu ZPacP, za druge prekrške se upoštevajo prekrškovne dolocbe ZVOP-1. Pristojnosti Informacijskega pooblašcenca po ZPLD-1 in ZOIzk-1 so omejene na dolocbe, ki dolocajo, v kakšnih primerih in na kakšen nacin lahko upravljavci osebnih podatkov kopirajo potne listine oz. osebne izkaznice ter nacin hrambe kopij (4. clen ZOIzk-1 in 4.a clen ZPLD-1). Informacijski pooblašcenec v zvezi z navedenimi dolocbami opravlja naloge inšpekcijskega in prekrškovnega organa, pri cemer o prekršku odloca v skladu s 27. clenom ZOIzk-1 in 34.b clenom ZPLD-1. ZEKom-1 doloca pristojnosti Informacijskega pooblašcenca v 161. clenu, in sicer: • izvaja inšpekcijski nadzor nad izvajanjem dolocb 149. clena ZEKom-1, ki ureja notranje postopke o odzivanju na zahteve pristojnih organov za dostop do osebnih podatkov uporabnikov na podlagi podrocnih zakonov; • najmanj enkrat na leto opravi inšpekcijski nadzor nad izvajanjem 153. in 153.a clena ZEKom-1, ki dolocata pogoje in postopke za posredovanje prometnih in lokacijskih podatkov v primerih varovanja življenja in telesa posameznika ter zavarovanje in hrambo teh podatkov in zagotovitev neizbrisne registracije; • izvaja inšpekcijski nadzor nad izvajanjem dolocb 155. clena ZEKom-1, ki ureja sledenje zlonamernih ali nadležnih klicev na pisno zahtevo posameznika, ki klice prejema, in postopke glede posredovanja podatkov, ki razkrijejo identiteto klicocega; • izvaja inšpekcijski nadzor nad izvajanjem dolocb 157. clena ZEKom-1, ki ureja shranjevanje podatkov ali pridobivanje dostopa do podatkov, shranjenih v terminalski opremi narocnika ali uporabnika s pomocjo piškotkov in podobnih tehnologij; • kot prekrškovni organ v skladu z zakonom, ki ureja prekrške, vodi postopke zaradi kršitev navedenih dolocb ZEKom-1; globe za kršitve so dolocene v 232. do 236. clenu ZEKom-1. ZCKR ureja vzpostavitev centralnega kreditnega registra kot osrednje nacionalne zbirke podatkov o zadolženosti fizicnih oseb in poslovnih subjektov. Del tega registra je tudi sistem izmenjave informacij o zadolženosti posameznih fizicnih oseb, poznan kot SISBON. Tako register kot sistem izmenjave informacij upravlja Banka Slovenije, ki je v skladu s 366. in 400. clenom Zakona o bancništvu (ZBan-2) vzpostavljeni sistem izmenjave informacij o boniteti strank prevzela s 1. 1. 2016. V skladu s 26. clenom ZCKR Banka Slovenije v zvezi z vzpostavitvijo in upravljanjem sistema izmenjave informacij doloci tehnicne pogoje, ki jih morajo izpolnjevati clani sistema in vkljuceni dajalci kreditov za clanstvo oz. vkljucitev v sistem izmenjave informacij ter za zagotavljanje zaupnosti podatkov, ki se zbirajo v sistemu izmenjave informacij. Pred dolocitvijo teh aktov Banka Slovenije pridobi mnenje Informacijskega pooblašcenca, ki izvaja inšpekcijski nadzor v zvezi z zbiranjem in obdelavo osebnih podatkov v centralnem kreditnem registru in sistemu izmenjave informacij v skladu z ZVOP-1. V skladu z 31. clenom ZCKR Informacijski pooblašcenec z namenom preprecevanja in odvracanja ravnanj, ki pomenijo nezakonito obdelavo osebnih podatkov, javno objavi informacije v zvezi z ukrepi nadzora in sankcijami zaradi prekrška, ki jih je izrekel. ZPotK-2 v 78. clenu ohranja leta 2013 dodeljeno pristojnost Informacijskega pooblašcenca v zvezi z izvajanjem nadzora nad dajalci kreditov in kreditnimi posredniki glede izvajanja 10. in 42. clena v delu, ki se nanaša na informiranje, zbiranje in obdelavo osebnih podatkov pri izvedbi ocene kreditne sposobnosti potrošnika, ki jo mora dajalec kredita opraviti pred sklenitvijo kreditne pogodbe in pred sklenitvijo kreditne pogodbe za nepremicnino, ter 11. in 44. clena ZPotK-2, ki dolocata dostop do osebnih podatkov iz sistema izmenjave informacij o boniteti oz. zadolženosti fizicnih oseb in zavarovanje teh podatkov. Globe, ki jih lahko Informacijski pooblašcenec izrece za kršitve clenov, ki jih nadzira, so dolocene v 96. clenu ZPotK-2. Uredba o sistemih brezpilotnih zrakoplovov v drugem odstavku 21. clena doloca, da Informacijski pooblašcenec izvaja nadzor nad izvajanjem petega odstavka 19. clena, ki doloca, da mora operater pred izvajanjem letalskih dejavnosti izvesti oceno ucinkov v zvezi z varstvom osebnih podatkov na obrazcu iz Priloge 6, ki je sestavni del te uredbe, ter da mora Informacijskemu pooblašcencu posredovati izpolnjeni obrazec iz Priloge 6 in kopijo izpolnjenega obrazca iz Priloge 2 k tej uredbi (obrazec izjave za opravljanje letalskih dejavnosti s sistemi brezpilotnih zrakoplovov). V primeru ugotovljene kršitve lahko Informacijski pooblašcenec kršitelju izrece sankcijo po 29. clenu uredbe. Na podlagi 3. clena Uredbe o izvajanju Uredbe (EU) o državljanski pobudi je Informacijski pooblašcenec pristojen za prekrške v primeru kršitve Uredbe (EU) št. 211/2011/EU Evropskega parlamenta in Sveta z dne 16. 2. 2011 o državljanski pobudi s podrocja varstva osebnih podatkov. Informacijski pooblašcenec lahko v skladu s 6. alinejo prvega odstavka 23.a clena Zakona o Ustavnem sodišcu (ZUstS) z zahtevo zacne postopek za oceno ustavnosti oz. zakonitosti predpisa ali splošnega akta, izdanega za izvrševanje javnih pooblastil, ce nastane vprašanje ustavnosti ali zakonitosti v zvezi s postopkom, ki ga vodi. Z vstopom Republike Slovenije v schengensko obmocje je Informacijski pooblašcenec prevzel nadzor nad izvajanjem 128. clena Konvencije o izvajanju Schengenskega sporazuma. Na podlagi 114. clena te konvencije namrec vsaka pogodbenica imenuje nadzorni organ, ki je po nacionalni zakonodaji pristojen za izvajanje nadzora podatkovnih zbirk nacionalnega dela Schengenskega informacijskega sistema (SIS) in za preverjanje, ali obdelava in uporaba podatkov, vnesenih v SIS, ne pomeni kršenja pravic oseb, na katere se podatki nanašajo. Pristojnosti Informacijskega pooblašcenca. Splošna uredba o varstvu podatkov Zakon o potrošniških kreditih Uredba o sistemu brezpilotnih zrakoplovov Uredba o izvajanju Uredbe o drž. pobudi 1.3 FINANCNO POSLOVANJE V LETU 2019 Financna sredstva za delo Informacijskega pooblašcenca se v skladu s 5. clenom ZInfP zagotavljajo iz državnega proracuna in jih doloci Državni zbor RS na predlog Informacijskega pooblašcenca. Za izvajanje svojih nalog je imel Informacijski pooblašcenec za leto 2019 veljavni proracun na integralnih postavkah 2.232.236,00 EUR, od tega na postavki place 1.871.937,00 EUR, na postavki materialni stroški 346.447,00 EUR in na postavki investicije 13.852,00 EUR. Evidentiranih odredb na integralnih postavkah je bilo na dan 31. 12. 2019 2.229.466,19 EUR, od tega na postavki place 1.871.932,34 EUR, na postavki materialni stroški 343.682,70 EUR in na postavki investicije 13.851,15 EUR. Proracun Informacijskega pooblašcenca 2015-2019. Proracunsko leto Veljavni proracun 2015 1.243.661,35 EUR 2016 1.335.457,02 EUR 2017 1.459.747,90 EUR 2018 1.833.399,66 EUR 2019 2.232.236,00 EUR Informacijski pooblašcenec je v letu 2019 razpolagal z namenskimi sredstvi v znesku 7.317,92 EU. Porabe namenskih sredstev v letu 2019 ni bilo. V proracun leta 2020 bo Informacijski pooblašcenec prenesel skupaj 7.321,05 EUR namenskih sredstev in sredstev donacij, ki so bile financirane s strani Evropske unije (7.317,92 EUR namenskih sredstev, 0,14 EUR donacije – mednarodna spletna stran in 2,99 EUR financnih sredstev projekta Taiex). Informacijski pooblašcenec je za pokrivanje tekocih obveznosti novembra prejel 81.700,00 EUR sredstev iz splošne tekoce proracunske rezervacije na podlagi 28. clena Zakona o izvrševanju proracunov Republike Slovenije za leti 2018 in 2019. Z integralnih postavk je bilo decembra 10.000,00 EUR prenesenih na postavko Tekoca proracunska rezerva pri Ministrstvu za finance. Podrobnejši pregled prejetih, porabljenih in neporabljenih financnih sredstev po posameznih postavkah je razviden iz spodnje tabele. Proracun Informacijskega pooblašcenca 2019 Veljavni proracun Prevzete obveznosti v Razpoložljiv proracun v EUR EUR v EUR konec leta Informacijski pooblašcenec 2.300.057,05 2.289.794,53 10.262,52 Podprogrami OPRAVLJANJE DEJAVNOSTI 2.232.236,00 2.229.466,19 2.769,81 PP 1271 Materialni stroški 346.447,00 343.682,70 2.764,30 PP 1273 Investicije 13.852,00 13.851,15 0,85 PP 1267 Place 1.871.937,00 1.871.932,34 4,66 NAMENSKA SREDSTVA 7.317,92 0,00 7.317,92 7459 Namenska sr. kupnine 7.317,92 0 7.317,92 DONACIJE - EU projekti 60.503,13 60.328,34 174,79 PP 9958 Mednarodna spl. str. PP130134 projekt Taiex PP 190100 RAPiD.si 0,14 2,99 60.500,00 0 0,00 60.328,34 0,14 2,99 171,66 13 Za materialne stroške je bilo leta 2019 porabljenih 343.682,70 EUR, in sicer za pisarniški in splošni material in storitve 60.789,13 EUR (pisarniški material, cišcenje poslovnih prostorov, storitve varovanja zgradb in prostorov, spremljanje medijev in arhiviranje, stroški prevajalskih storitev, reprezentanca in drugi splošni material in storitve), posebni material in storitve 2.664,66 EUR (nakup drobnega inventarja, zdravniški pregledi zaposlenih in protokolarna darila), energija, voda, komunalne storitve, pošta in komunikacije 39.653,27 EUR (elektricna energija, ogrevanje, voda in komunalne storitve, odvoz smeti, stroški telefonov ter poštne storitve), prevozni stroški in storitve 9.693,61 EUR (vzdrževanje, popravila, zavarovanje in registracija dveh službenih vozil, gorivo za službeni vozili, najem vozil oz. taksi storitve ter drugi prevozni in transportni stroški), izdatki za službena potovanja 29.584,76 EUR (dnevnice, nocnine, letalske karte, hotelske storitve in stroški prevozov), tekoce vzdrževanje 14.483,81 EUR (najem poslovnih prostorov, zavarovalne premije, vzdrževanje druge opreme ter druge nelicencne programske opreme – vzdrževanje spletnega mesta ter evidence prisotnosti, tekoce vzdrževanje operativnega informacijskega okolja ter izdatki za tekoce vzdrževanje in zavarovanje), poslovne najemnine in zakupnine 154.875,87 EUR (najemnina in zakupnine za poslovne objekte in parkirne prostore, najem programske racunalniške opreme – IUS-INFO in prekrškovni portal), drugi operativni odhodki 31.937,59 EUR (stroški konferenc, seminarjev in simpozijev doma in v tujini, placila avtorskih honorarjev, izdatki za strokovno izobraževanje zaposlenih, sodni stroški, prispevki za spodbujanje zaposlovanja invalidov - kvote Javnemu jamstvenemu, preživninskemu in invalidskemu skladu). Informacijski pooblašcenec je z naslova refundacij potnih stroškov (letalske karte) od Evropske komisije na postavko prejel 25.570,64 EUR. S postavke materialni stroški je Informacijski pooblašcenec leta 2019 prerazporedil 4.053,00 EUR prostih pravic porabe v Tekoco proracunsko rezervo pri Ministrstvu za finance. Za investicije je bilo do konca leta 2019 porabljenih 13.851,15 EUR. Sredstva so bila porabljena za nakup pisarniškega pohištva in pisarniške opreme (pisarniški stoli), strojne racunalniške opreme (osem monitorjev, tiskalnik in skener), avdiovizualne opreme, opreme za evidenco in kontrolo prisotnosti ter za nakup nematerialnega premoženja (licenca Amebis Besana). Informacijski pooblašcenec je s postavke investicije leta 2019 prerazporedil 2.648,00 EUR prostih pravic porabe v Tekoco proracunsko rezervo pri Ministrstvu za finance. Za place zaposlenih je bilo porabljenih 1.871.932,34 EUR oz. 99,99 % glede na veljavni proracun za leto 2019. Glede na predhodna leta se je poraba sredstev povecala zaradi sprostitve napredovanj, realizacije dogovora o placah in zaradi drugih stroškov dela v javnem sektorju ter aneksov h kolektivnim pogodbam dejavnosti in poklicev, višjega regresa za letni dopust ter dodatnih zaposlitev v skladu s kadrovskim nacrtom in novimi pristojnostmi Informacijskega pooblašcenca na podrocju uveljavitev Splošne uredbe ter nove Direktive Evropskega parlamenta in Sveta o varstvu posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprecevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij. Uveljavitev uredbe v Republiki Sloveniji je za Informacijskega pooblašcenca pomenila prevzem številnih novih nalog in zadolžitev, ki zahtevajo dodatne zaposlitve. 1.871.932,34 EUR je bilo porabljenih za osnovne place in dodatke v znesku 1.487.351,17 EUR, regres za letni dopust 40.745,83 EUR, povracila in nadomestila 65.030,24 EUR, sredstva za delovno uspešnost z naslova povecanega obsega dela zaradi povecanega pripada zadev in z naslova EU projekta RAPiD.Si 18.815,90 EUR, druge izdatke zaposlenim 1.155,02 EUR, prispevke delodajalcev za pokojninsko in invalidsko zavarovanje 133.450,29 EUR, prispevke za zdravstveno zavarovanje 106.910,99 EUR, prispevke za zaposlovanje 829,78 EUR, prispevek za starševsko varstvo 1.507,90 EUR ter premije kolektivnega dodatnega pokojninskega zavarovanja na podlagi Zakona o dodatnem pokojninskem zavarovanju javnih uslužbencev 16.135,22 EUR. Informacijski pooblašcenec je leta 2019 od Zavoda za zdravstveno zavarovanje Slovenije z naslova refundacij boleznin in invalidnin prejel sredstva na postavko za place v višini 27.237,70 EUR. S postavke place je Informacijski pooblašcenec leta 2019 prerazporedil 3.299,00 EUR prostih pravic porabe v Tekoco proracunsko rezervo pri Ministrstvu za finance. Namenska sredstva kupnine – v leto 2019 je bilo prenesenih 7.317,92 EUR financnih sredstev kupnin. Leta 2019 na postavki ni bilo niti prilivov niti porabe. Preostanek financnih sredstev v višini 7.317,92 EUR se prenese v leto 2020. Mednarodna spletna stran info-commissioners.org – iz leta 2018 je bilo prenesenih 0,14 EUR financnih sredstev. Leta 2019 na tej postavki ni bilo porabe. Projekt se leta 2020 zakljuci, preostanek sredstev bo nakazan na podracun izvrševanja proracuna. Projekt Taiex – iz leta 2018 je v bilo v leto 2019 prenesenih 2,99 EUR. Za Taiex projekt leta 2019 ni bilo niti prilivov niti porabe. Projekt se leta 2020 zakljuci, preostanek sredstev bo nakazan na podracun izvrševanja proracuna. Projekt RAPiD.Si – Informacijski pooblašcenec v letih 2019, 2020 in 2021 kot vodilni in edini partner izvaja projekt RAPiD.Si — REC-AG-2017/REC-RDAT-TRAI-AG-2017 – »Raising Awareness on Data Protection and the GDPR in Slovenia — RAPiD.Si«, št. pogodbe 814738. Projekt financira Evropska komisija v okviru Programa za pravice, enakost in državljanstvo 2014–2020. Projekt traja 36 mesecev, osredotoca pa se na aktivnosti izobraževanja in ozavešcanja predvsem malih in srednje velikih slovenskih podjetij ter na dejavnosti ozavešcanja splošne slovenske javnosti o novih pravilih EU glede varstva osebnih podatkov, ki jih prinaša uveljavitev Splošne uredbe in novega ZVOP-2. Za sodelovanje v projektu bo Informacijski pooblašcenec prejel evropska namenska sredstva v nacrtovani skupni višini 84.539,00 EUR, sam pa bo v okviru svojih aktivnosti za izvajanje projekta z integralnih proracunskih sredstev zagotovil 21.130,00 EUR. Sredstva bodo porabljena za pokrivanje stroškov, povezanih z delom zaposlenih, za pokrivanje povecanega obsega dela zaposlenih, za stroške izvedbe seminarjev, poti do krajev izvedbe predavanj, za zakup spletne domene in zakup spletnega gostovanja, za telefonske linije 080, za storitve Zveze potrošnikov Slovenije kot podizvajalca v projektu ter za druge stroške v zvezi s pripravo in izvedbo navedenih aktivnosti ter materialnih stroškov, ki jih bo s tem imel Informacijski pooblašcenec. Dne 29. 9. 2018 je bilo s strani Evropske komisije nakazanih 67.631,20 EUR. Znesek je bil nakazan na poseben racun, odprt pri Upravi za javna placila. Z rebalansom proracuna za leto 2019 je bil uvršcen nov projekt NRP 1215-19-0001, s katerim so bile povecane pravice porabe za leto 2019, in sicer v znesku 60.500,00 EUR. Za izvajanje projekta je bilo leta 2019 porabljenih 60.328,34 EUR. Poraba leta 2019 za potrebe projekta je na postavkah integralna sredstva, materialni stroški in place znašala 17.314,66 EUR. Dne 29. 9. 2018 je bilo s strani Evropske komisije nakazanih 67.631,20 EUR. Znesek je bil nakazan na poseben racun, odprt pri Upravi za javna placila. Z rebalansom proracuna za leto 2019 je bil uvršcen nov projekt NRP 1215-19-0001, s katerim so bile povecane pravice porabe za leto 2019, in sicer v znesku 60.500,00 EUR. Za izvajanje projekta je bilo leta 2019 porabljenih 60.328,34 EUR. Poraba leta 2019 za potrebe projekta je na postavkah integralna sredstva, materialni stroški in place znašala 17.314,66 EUR. Projekt IP-CRISP – Informacijski pooblašcenec je leta 2014 zacel sodelovati v projektu v okviru Sedmega okvirnega programa THEME [SEC-2013.5.4-1] – »Evaluation and Certification Schemes for Security Products – Capability«, št. pogodbe 607941. Projekt je bil financiran s strani Evropske komisije, ki jo zastopa Izvajalska agencija za raziskave. Projekt je trajal 36 mesecev. Osredotocen je bil na izboljšanje metodologije za certificiranje varnostnih izdelkov, med drugim upoštevajoc vidike varstva osebnih podatkov. Sodelovanje Informacijskega pooblašcenca kot enega izmed partnerjev projekta je vkljucevalo sodelovanje zaposlenih pri pripravi posameznih gradiv, analiz, raziskav in drugih aktivnosti ter napotitev zaposlenih na misije in sestanke, na katerih so se izvajale posamezne naloge s podrocja varstva osebnih podatkov, ki jih je pokrival projekt, med drugim predstavitve, seminarji in delavnice za posamezne ciljne skupine. Zakljucno financno porocilo je bilo po koncu projekta sicer v roku oddano že maja 2017, vendar je Evropska komisija od vseh sedmih partnerjev v projektu zahtevala vec dodatnih pojasnil, tako da je bilo financno porocilo s strani Evropske komisije sprejeto šele decembra 2017. Za sodelovanje v projektu je Informacijski pooblašcenec prejel namenska financna sredstva v višini 132.400,00 EUR. Leta 2014 je Evropska komisija nakazala 82.076,50 EUR na poseben racun, odprt pri Upravi za javna placila. S sklepom Vlade RS so bile povecane pravice porabe za leto 2014 v znesku 9.549,00 EUR. Leta 2014 je bilo za izvajanje projekta porabljenih 9.236,60 EUR ter na postavki integralna sredstva materialni stroški in place 2.241,72 EUR. Leta 2015 so bile s sklepom Vlade povecane pravice porabe za 22.101,00 EUR. Za izvajanje projekta je bilo porabljenih 22.099,25 EUR. Leta 2016 je bilo s strani Evropske komisije nakazanih 20.802,98 EUR. S sklepom Vlade so bile povecane pravice porabe za leto 2016 v znesku 12.300,00 EUR, s 50.720 EUR na 63,020,00 EUR. Za izvajanje projekta je bilo porabljenih 62.850,63 EUR. Leta 2018 je veljavni proracun znašal 13.441,00 EUR (dovoljena poraba je bila samo 8.209,48,00 EUR, glede na sredstva, prejeta v vseh letih), porabljena so bila financna sredstva v znesku 8.126,28 EUR, in sicer za pokrivanje stroškov zaposlenih ter stroškov za službene poti. Informacijski pooblašcenec je zadnje nakazilo sredstev v višini 29.520,86 prejel decembra 2018. Projekt se je leta 2018 zakljucil, preostanek sredstev bo v letu 2020 nakazan na podracun izvrševanja proracuna. DOSTOP DO INFORMACIJ JAVNEGA ZNACAJA V imenu ljudi in za ljudi 17 2.1 PRAVNA UREDITEV NA PODROCJU DOSTOPA DO INFORMACIJ JAVNEGA ZNACAJA Pravica dostopa do informacij javnega znacaja je zagotovljena že z Ustavo Republike Slovenije. Ta v drugem odstavku 39. clena doloca, da ima vsakdo pravico dobiti informacijo javnega znacaja, za katero ima v zakonu utemeljen pravni interes, razen v primerih, ki jih doloca zakon. Ceprav je pravica dostopa do informacij javnega znacaja ena od temeljnih clovekovih pravic in kot taka tudi zašcitena na ustavni ravni, se je zacela uveljavljati šele 11 let po sprejetju Ustave RS, in sicer s sprejetjem Zakona o dostopu do informacij javnega znacaja. Dotlej so se posamezne dolocbe o javnosti informacij pojavljale le v nekaterih zakonih; celostno jih je uredil šele ZDIJZ, ki je zacel veljati leta 2003. ZDIJZ sledi usmeritvam mednarodnih aktov in EU. Njegov namen je zagotoviti javnost in odprtost delovanja javne uprave ter vsakomur omogociti dostop do javnih informacij, torej tistih, ki so povezane z delovnimi podrocji organov javne uprave. Zakon je uredil postopek, ki vsakomur omogoca prost dostop in ponovno uporabo informacij javnega znacaja, s katerimi razpolagajo državni organi, organi lokalnih skupnosti, javne agencije, javni skladi in druge osebe javnega prava, nosilci javnih pooblastil in izvajalci javnih služb. S tem zakonom sta se v pravni red Republike Slovenije prenesli dve direktivi Evropske skupnosti: Direktiva 2003/4/ ES Evropskega parlamenta in Sveta o javnem dostopu do okoljskih informacij in razveljavitvi Direktive 90/313/ EGS, ki je zacela veljati 28. 1. 2003, ter Direktiva 2003/98/ES Evropskega parlamenta in Sveta o ponovni uporabi informacij javnega sektorja, ki je zacela veljati 17. 11. 2003, spremenjena z Direktivo 2013/37/EU Evropskega parlamenta in Sveta z dne 26. junija 2013 o spremembi Direktive 2003/98/ES o ponovni uporabi informacij javnega sektorja (UL L št. 175 z dne 27. 6. 2013, str. 1). Leta 2005 je bil z novelo ZDIJZ-A narejen še korak naprej. Novela je namrec zožila možnost neupravicenega zapiranja dostopa do informacij in uvedla številne novosti, kot so ponovna uporaba informacij javnega znacaja in pristojnosti upravne inšpekcije na podrocju izvajanja tega zakona. Najpomembnejša novost je bil zagotovo test javnega interesa. Z novelo je bila tudi poudarjena odprtost pri podatkih o porabi javnih sredstev in podatkih, povezanih z delovnim razmerjem ali opravljanjem javne funkcije. S tem se je Slovenija pridružila tistim demokraticnim državam, ki, kadar gre za javni interes, tudi izjeme obravnavajo s pridržkom. Leta 2014 sta bili sprejeti noveli ZDIJZ-C in ZDIJZ-D. Najpomembnejša sprememba, ki sta jo prinesli, je, da se je obveznost posredovanja informacij javnega znacaja z organov javnega sektorja razširila tudi na gospodarske družbe in druge pravne osebe pod prevladujocim vplivom (oz. v vecinski lasti) države, obcin ali drugih oseb javnega prava ter da je AJPES v šestih mesecih po uveljavitvi ZDIJZ-C vzpostavil spletni Register zavezancev za informacije javnega znacaja, ki je javen, podatki v njem pa so dostopni brezplacno. Namen sprememb ZDIJZ je bil, da se poleg zagotavljanja javnosti in odprtosti delovanja javnega sektorja krepita tudi transparentnost in odgovorno ravnanje pri upravljanju financnih sredstev poslovnih subjektov pod prevladujocim vplivom oseb javnega prava. Nadzor javnosti, omejen zgolj na državne organe, obcine in širši javni sektor, se je izkazal za nezadostnega. Financna in gospodarska kriza preteklih let je namrec povecala obcutljivost javnosti za korupcijo, zlorabo oblasti in slabo upravljanje. K vecji transparentnosti je prispevala tudi proaktivna objava informacij javnega znacaja na spletnih straneh, ki jo zahteva novela ZDIJZ-C. Dne 8. 5. 2016 je v uporabo stopila novela ZDIJZ-E, ki je bila sprejeta konec leta 2015. Novela je prinesla novosti na podrocju ponovne uporabe informacij javnega znacaja (npr. ponovna uporaba informacij muzejev in knjižnic, ponovna uporaba arhivskega gradiva, zagotavljanje odprtih podatkov za ponovno uporabo). Novela doloca, da organi na nacionalnem portalu odprtih podatkov javnega sektorja, ki ga vodi Ministrstvo za javno upravo, objavijo seznam vseh zbirk podatkov iz svoje pristojnosti z metapodatki ter zbirke odprtih podatkov ali povezave na spletne strani, kjer so objavljene zbirke odprtih podatkov. Podatke, objavljene na tem portalu, lahko kdor koli ponovno brezplacno uporablja v pridobitne ali druge namene, pod pogojem, da to poteka v skladu z ZVOP-1 in da se navede vir podatkov. Novela je spremenila tudi podrocje zaracunavanja stroškov dostopa in ponovne uporabe informacij javnega znacaja. Za dostop do informacij javnega znacaja se lahko zaracunajo le materialni stroški, ne pa tudi urne postavke za stroške dela javnih uslužbencev, ki tovrstne zahteve obravnavajo. Na podlagi novele ZDIJZ-E je Vlada RS sprejela novo Uredbo o posredovanju in ponovni uporabi informacij javnega znacaja, s katero je sprejela enotni stroškovnik za posredovanje informacij javnega znacaja. S tem je odpravila posebne stroškovnike organov, na podlagi katerih so ti zaracunavali stroške dela, ter dolocila vrste informacij javnega znacaja, ki jih je treba posredovati na splet. Leta 2018 je stopila v veljavo novela ZDIJZ-F, ki v clenu 26.a doloca, da je stranka v postopku z zahtevo za dostop do informacije javnega znacaja ali ponovne uporabe samo prosilec, ce je predmet odlocanja dostop do podatkov, za katere je z zakonom doloceno, da so javni. S tem je uredila institut stranske udeležbe posebej glede na splošno ureditev v zakonodaji, ki ureja upravni postopek. Casovnica razvoja Zakona o dostopu do informacij javnega znacaja. 19 ZDIJZ zagotavlja dostop do informacij, ki so že ustvarjene, in sicer v kakršni koli obliki. S tem zakon zagotavlja preglednost porabe javnega denarja in odlocitev javne uprave, saj ta dela v imenu ljudi in za ljudi. Kdo so zavezanci za posredovanje informacij javnega znacaja? Zavezanci za posredovanje informacij javnega znacaja se delijo v dve skupini: • organi (državni organi, organi lokalnih skupnosti, javne agencije, javni skladi in druge osebe javnega prava, nosilci javnih pooblastil in izvajalci javnih služb) ter • poslovni subjekti pod prevladujocim vplivom oseb javnega prava. Zavezanci so informacije javnega znacaja dolžni zagotavljati na dva nacina: z objavo na spletu in z omogocanjem dostopa na podlagi individualnih zahtev. Za vsako od skupin zavezancev je pojem »informacija javnega znacaja« (torej informacija, ki jo morajo posredovati prosilcu) definiran drugace; pri zavezancih iz druge skupine je ožji. Medtem ko za organe na splošno velja, da so vsi dokumenti, zadeve, dosjeji, registri, evidence in dokumentarno gradivo, s katerim razpolagajo (ne glede na to, ali jih je organ izdelal sam, v sodelovanju z drugim organom ali jih je pridobil od drugih oseb), informacije javnega znacaja, razen izjem, za poslovne subjekte pod prevladujocim vplivom oseb javnega prava pa velja ravno obraten miselni proces: informacije javnega znacaja so le tisti dokumenti, zadeve, dosjeji, registri, evidence in dokumentarno gradivo, ki jih kot take doloca ZDIJZ (npr. informacije, povezane s sklenjenimi pravnimi posli, ter informacije o clanih poslovodnega organa, organa upravljanja in organa nadzora). Za te zavezance velja tudi casovna omejitev, saj se dolžnost posredovanja nanaša le na informacije, nastale v casu pod prevladujocim vplivom. Zavezanci, ki izpolnjujejo kriterije za umestitev v obe skupini (npr. gospodarske družbe v 100-odstotni lasti obcine, ki so hkrati tudi izvajalke javne službe), so zavezani posredovati obe vrsti informacij javnega znacaja. Tisti poslovni subjekti pod prevladujocim vplivom oseb javnega prava, ki hkrati ne sodijo med organe, lahko uporabijo t. i. poenostavljen postopek odlocanja o zahtevah (npr. ne izdajo zavrnilne odlocbe, ampak vlagatelja pisno obvestijo o razlogih, zaradi katerih informacije ne bodo posredovali). Ostali zavezanci (npr. nosilci javnih pooblastil, ki so hkrati pod prevladujocim vplivom pravnih oseb javnega prava) so dolžni voditi upravni postopek, kot je dolocen za organe. Kako do informacije javnega znacaja? Informacije javnega znacaja so prosto dostopne vsem, zato pravnega interesa za njihovo pridobitev ni treba izkazovati, dovolj sta radovednost ter želja po znanju in obvešcenosti. Vsak prosilec ima na zahtevo pravico pridobiti informacijo javnega znacaja, in sicer tako, da jo dobi na vpogled ali da dobi njen prepis, fotokopijo ali elektronski zapis. Zavezanec mora o zahtevi odlociti v 20 delovnih dneh, organi lahko v izjemnih okolišcinah podaljšajo rok za najvec 30 delovnih dni. Vpogled v zahtevano informacijo je brezplacen, kadar ne terja izvedbe delnega dostopa. Za posredovanje prepisa, fotokopije ali elektronskega zapisa zahtevane informacije lahko zavezanec prosilcu zaracuna materialne stroške. Ce zavezanec prosilcu zahtevane informacije javnega znacaja ne posreduje, ima prosilec v 15 dneh pravico vložiti pritožbo zoper zavrnilno odlocbo ali obvestilo, s katerim je zavezanec zahtevo zavrnil. O pritožbi odloca Informacijski pooblašcenec. Prav tako ima prosilec pravico do pritožbe, ce mu zavezanec na zahtevo v zakonskem roku ni odgovoril (oz. je v molku) ali ce informacije ni dobil v obliki, v kateri jo je zahteval. Kje so izjeme? Zavezanec lahko prosilcu dostop do zahtevane informacije zavrne, ce se zahteva nanaša na eno izmed izjem, dolocenih v prvem odstavku 6. clena ZDIJZ in 5.a clenu ZDIJZ (tajni podatek, poslovna skrivnost, osebni podatek, davcna tajnost, sodni postopek, upravni postopek, statisticna zaupnost, dokument v izdelavi, notranje delovanje organa, varovanje naravne oz. kulturne vrednote …). Kljub navedenim izjemam organ dostop do zahtevane informacije vedno dovoli, ce gre za podatke o porabi javnih sredstev ali za podatke, povezane z opravljanjem javne funkcije ali z delovnim razmerjem javnega uslužbenca. Zavezanec pod prevladujocim vplivom prosilcu praviloma ne sme zavrniti dostopa, ce gre za absolutno javne informacije (osnovni podatki o poslih, ki se nanašajo na izdatke); razkritju teh podatkov se lahko poslovni subjekt izogne le, ce izkaže, da bi to huje škodovalo njegovemu konkurencnemu položaju na trgu. Ce dokument, ki ga zahteva prosilec, delno vsebuje informacije iz 5.a ali 6. clena ZDIJZ, to ni razlog, da bi zavezanec zavrnil dostop do celotnega dokumenta. Ce je te informacije mogoce iz dokumenta izlociti, ne da bi to ogrozilo njihovo zaupnost, se jih prekrije, prosilcu pa se posreduje preostali del informacij javnega znacaja. Zavezanec mora namrec v skladu z 19. clenom Uredbe o posredovanju in ponovni uporabi informacij javnega znacaja varovane podatke prekriti in prosilcu omogociti vpogled v preostanek dokumenta (ali fotokopije ali elektronskega zapisa). Kaj pa zahteva na podlagi Zakona o medijih? Ce poda zahtevo za posredovanje informacij medij na podlagi 45. clena ZMed, je postopek nekoliko drugacen, saj informacije po ZMed niso enake informacijam javnega znacaja po dolocbah ZDIJZ. Informacije za medije so širši pojem kot informacije javnega znacaja, saj med prve sodi tudi priprava odgovorov na vprašanja (pojasnila, razlage, analize, komentarji). Ce medij zahteva odgovor na vprašanje, se njegova vloga obravnava po dolocbah ZMed, ce pa zahteva dostop do dokumenta, se njegova vloga obravnava po ZDIJZ. Medij mora vprašanje vložiti pisno po navadni ali elektronski pošti (digitalno potrdilo ali elektronski podpis nista potrebna), zavezanec pa ga mora o zavrnitvi ali delni zavrnitvi pisno obvestiti do konca naslednjega delovnega dne. V nasprotnem primeru mora zavezanec odgovor na vprašanje poslati najpozneje v sedmih delovnih dneh od prejema vprašanja, pri cemer sme odgovor zavrniti le, ce so zahtevane informacije izvzete iz prostega dostopa po ZDIJZ. Medij lahko po prejemu odgovora zahteva dodatna pojasnila, ki mu jih mora zavezanec posredovati najpozneje v treh dneh. Ce zavezanec z informacijo, ki predstavlja odgovor na vprašanje, ne razpolaga v materializirani obliki, se medij ne more pritožiti zoper obvestilo o zavrnitvi ali delni zavrnitvi odgovora. Pritožba pa je dovoljena, kadar odgovor na vprašanje izhaja iz dokumenta. 2.2 ŠTEVILO VLOŽENIH PRITOŽB IN REŠENIH ZADEV Leta 2019 je Informacijski pooblašcenec vodil 540 pritožbenih postopkov, od tega 305 postopkov zaradi zavrnitve dostopa do zahtevane informacije (med njimi je bilo 17 pritožbenih postopkov zoper poslovne subjekte pod prevladujocim vplivom oseb javnega prava) in 235 postopkov zaradi t. i. molka organa (neodzivnosti). Leta 2019 je Informacijski pooblašcenec odgovoril tudi na 300 pisnih prošenj za neformalno pomoc ali mnenje, ki jih je prejel od zavezancev prve stopnje in prosilcev, odgovoril pa je tudi na 629 zaprosil v okviru telefonskega dežurstva. Vsem je odgovoril v okviru svojih pristojnosti, najveckrat jih je napotil na pristojno institucijo. Informacijski pooblašcenec je namrec drugostopenjski organ, ki odloca o pritožbi in ni pristojen, da v fazi, ko mora odlocati organ prve stopnje, odgovarja na konkretna vprašanja, ali je dolocen dokument informacija javnega znacaja ali ne. V skladu z 32. clenom ZDIJZ mnenja na podrocju dostopa do informacij javnega znacaja daje ministrstvo, pristojno za javno upravo. 2.2.1 PRITOŽBE ZOPER ZAVRNILNE ODLOCBE IN IZDANE ODLOCBE V okviru pritožbenih postopkov zoper odlocbe, s katerimi so zavezanci v letu 2019 zavrnili zahteve po dostopu do informacij javnega znacaja ali zahteve po njihovi ponovni uporabi, je Informacijski pooblašcenec izdal 243 odlocb, štiri pritožbe prosilcev pa je s sklepom zavrgel, in sicer dve, ker sta bili prepozni, in dve, ker sta bili nedovoljeni (pritožba zoper sklep, zoper katerega po zakonu ni pritožbe; pritožba zoper odgovor na neformalno vlogo). Informacijski pooblašcenec je poleg omenjenih 243 odlocb izdal še 58 odlocb, ki so se nanašale na postopke, zacete pred letom 2019, skupaj je torej izdal 301 odlocbo. Med reševanjem pritožb je opravil 42 ogledov in camera (tj. ogledov brez prisotnosti stranke, ki zahteva dostop do informacije javnega znacaja), na katerih je ugotavljal dejansko stanje pri organu. Informacijski pooblašcenec je v izdanih odlocbah (301): • pritožbo zavrnil – 136, • pritožbi delno ali v celoti ugodil oz. rešil zadevo v korist prosilca – 114, • pritožbi ugodil in zadevo vrnil v ponovno odlocanje prvostopenjskemu organu – 48, • pritožbo zavrgel – 2, • odlocbo prvostopenjskega organa razglasil za nicno – 1. 21 Število izdanih odlocb na podrocju dostopa do informacij javnega znacaja med letoma 2006 in 2019. 350 300 250 200 150 100 50 0 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 2017 2018 2019 Pritožbe prosilcev zaradi zavrnitve dostopa do informacij javnega znacaja, o katerih je Informacijski pooblašcenec odlocil z odlocbo, so zadevale naslednje skupine zavezancev: • državni organi – 155, od tega ministrstva in organi v sestavi ter upravne enote 110, sodišca, vrhovno državno tožilstvo in državno odvetništvo pa 33, • javni skladi, zavodi, agencije, izvajalci javnih služb, nosilci javnih pooblastil in druge pravne osebe javnega prava – 98, • obcine – 36, • poslovni subjekti pod prevladujocim vplivom države, obcin ali drugih oseb javnega prava – 12. Zoper katere zavezance so bile vložene pritožbe? Državni organi Javni skladi in agencije Obcine Poslovnisubjekti V 209 primerih so bili prosilci fizicne osebe, v 60 primerih so se pritožile pravne osebe zasebnega sektorja, novinarji in medijske hiše so se pritožili 27-krat, pravne osebe javnega sektorja pa petkrat. Fizicne osebe Pravne osebe ZS Mediji Pravne osebe JS 2.2.2PRITOŽBE ZOPER MOLK Informacijski pooblašcenec je v letu 2019 vodil 235 postopkov zaradi molka organa. Po podatkih je bilo najvec molka med organi državne uprave (ministrstva, organi v sestavi itd.), obcinami ter javnimi zavodi. V pritožbenih postopkih je Informacijski pooblašcenec zaradi molka v 172 primerih zavezance pozval, naj o zahtevi prosilca cim prej odlocijo. Po pozivu Informacijskega pooblašcenca so v 89 primerih zavezanci prosilcu informacijo posredovali, v 41 primerih so prosilcu delno omogocili dostop (dolocene podatke so zakrili oz. omogocili dostop le do dolocenih informacij, dostop do ostalih pa so z odlocbo zavrnili), v 40 primerih so prosilcu dostop zavrnili in mu izdali zavrnilno odlocbo, v dveh primerih pa sta zavezanca s sklepom zahtevo prosilca zavrgla. Kako so ravnali zavezanci po pozivu Informacijskega pooblašcenca zaradi molka? Posredoval informacijo Delno omogocil dostop Zavrnildostop 23 V 28 primerih je Informacijski pooblašcenec pritožbo s sklepom zavrgel, in sicer v 23 primerih zaradi preuranjenosti, v petih primerih pa zaradi pomanjkljive vloge, ki je prosilec kljub pozivu k dopolnitvi ni dopolnil. V 19 primerih je prosilec tekom postopka pritožbo umaknil, saj je od zavezanca že prejel zahtevano informacijo. V 15 primerih je Informacijski pooblašcenec postopek z molkom zakljucil tako, da je prosilcu pojasnil: • da za reševanje njegove vloge ni pristojen, in mu svetoval, kako ravnati v zvezi z njegovo zahtevo, • da vloga, ki jo je prosilec vložil pri zavezancu, ni formalna v skladu z ZDIJZ, • da zavezanec njegove vloge utemeljeno ni obravnaval po ZDIJZ, temvec na drugi pravni podlagi, • da je zavezanec njegovo vlogo odstopil v reševanje drugemu zavezancu. V dveh primerih je Informacijski pooblašcenec prevzel pritožbo v odlocanje in sam meritorno odlocil. Izmed vseh 235 molkov je bilo 26 molkov v povezavi z ZMed, najvec med organi državne uprave (10), obcinami (6) in javnimi zavodi (4). 2.3 ŠTEVILO VLOŽENIH TOŽB IN PREJETIH SODB Pritožba zoper odlocbo Informacijskega pooblašcenca ni dopustna, mogoce pa je sprožiti upravni spor. Leta 2019 je bilo na Upravnem sodišcu RS vloženih 34 tožb zoper odlocbe Informacijskega pooblašcenca (zoper 11,3 % izdanih odlocb) in ena tožba zoper sklep, s katerim je Informacijski pooblašcenec zavrgel predlog za obnovo postopka. Delež je relativno majhen, kar kaže na uveljavitev transparentnosti in odprtosti javnega sektorja, pa tudi na sprejemanje odlocb Informacijskega pooblašcenca s strani zavezancev in prosilcev. Upravno sodišce je leta 2019 odlocilo o 52 tožbah, ki so bile vložene zoper odlocbe Informacijskega pooblašcenca, in: • tožbo zavrnilo – 23, • tožbi ugodilo, izpodbijano odlocbo oz. del odlocbe odpravilo in zadevo vrnilo Informacijskemu pooblašcencu v ponovno odlocanje – 20, • tožbo zavrglo – 5, • postopek ustavilo zaradi umika tožbe – 3, • tožbi delno ugodilo tako, da je v enem delu spremenilo izrek izpodbijane odlocbe, v preostalem delu pa je tožbo zavrnilo – 1. Leta 2019 je en zavezanec na Vrhovno sodišce RS vložil revizijo zoper sodbo Upravnega sodišca. 2.4 STORJENI PREKRŠKI PO ZDIJZ, ZINFP IN ZMED Leta 2019 Informacijski pooblašcenec ni izdal nobene odlocbe o prekršku zaradi kršitev dolocb ZDIJZ, ZInfP ali ZMed. 2.5 IZBRANI PRIMERI NA PODROCJU DOSTOPA DO INFORMACIJ JAVNEGA ZNACAJA Imena in priimki imetnikov diplomatskih potnih listov niso varovani osebni podatki Prosilec je od Ministrstva RS za zunanje zadeve zahteval vse dokumente, ki se nanašajo na diplomatske potne liste štirih predstavnikov katoliške cerkve. Organ je zahtevo delno zavrnil s sklicevanjem na varstvo osebnih podatkov po 3. tocki prvega odstavka 6. clena ZDIJZ. Prosilcu je posredoval zahtevane dokumente, pri cemer je prekril imena in priimke, rojstne datume, nazive, naslove bivanja, elektronske naslove, telefonske številke, lastnorocne podpise in druge podatke, iz katerih bi bilo mogoce sklepati o identiteti imetnikov diplomatskih potnih listin. Obstoja javnega interesa ni ugotovil. V pritožbenem postopku je Informacijski pooblašcenec, skladno z dolocbo 44. clena Zakona o splošnem upravnem postopku (ZUP), v postopek kot stranske udeležence pozval vse štiri osebe, na katere se je nanašala zahteva za posredovanje informacij javnega znacaja. Do izdaje odlocbe nihce od pozvanih posameznikov ni priglasil stranske udeležbe. Ker osebni podatek pomeni katero koli informacijo v zvezi z dolocenim ali dolocljivim posameznikom, pri cemer je dolocljiv posameznik tisti, ki ga je mogoce neposredno ali posredno dolociti, je bilo v obravnavani zadevi nesporno, da vsi zahtevani dokumenti vsebujejo osebne podatke konkretnih štirih posameznikov in izpolnjujejo kriterije za izjemo od prostega dostopa po 3. tocki prvega odstavka 6. clena ZDIJZ. Iz clena 6(1) Splošne uredbe kot splošno pravilo izhaja, da je obdelava osebnih podatkov (torej tudi razkritje podatkov javnosti) zakonita (dopustna) med drugim takrat, ce je obdelava potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca (tocka c), ali pri izvajanju javne oblasti, dodeljene upravljavcu (tocka e). Tako zakonsko podlago za obdelavo osebnih podatkov v postopku z zahtevo po ZDIJZ, upoštevajoc tocko (c) clena 6(1) Splošne uredbe, lahko predstavlja tudi dolocba drugega odstavka 6. clena ZDIJZ. Ta doloca, da se, ne glede na dolocbe prejšnjega odstavka (izjeme od prostega dostopa do informacij javnega znacaja, op. Informacijskega pooblašcenca), dostop do zahtevane informacije dovoli, ce je javni interes glede razkritja mocnejši od javnega interesa ali interesa drugih oseb za omejitev dostopa do zahtevane informacije, razen v tam taksativno naštetih primerih, med katerimi pa ni izjeme varstva osebnih podatkov. Pri opravi testa prevladujocega interesa javnosti je Informacijski pooblašcenec izhajal iz ugotovitve, da je prosilec zahteval dokumente, ki so nastali v postopkih izdaje diplomatskih potnih listin, izdanih na podlagi nacionalnega interesa, po vložitvi vloge (prošnje) za izdajo takšnih potnih listih s strani konkretnih štirih posameznikov. Ta nacionalni interes se presoja skladno z Uredbo, ki podrobneje doloca merila za ugotavljanje interesa Republike Slovenije, na podlagi katerih se izda diplomatski potni list, ugotavlja pa jih minister za zunanje zadeve. Kot izhaja iz Uredbe, »se pri presoji o izdaji diplomatskega potnega lista, kadar gre za predstavljanje Slovenije v tujini, zlasti upošteva, ali oseba /…/ v kateri od mednarodno široko priznanih in s slovenskim narodom zgodovinsko povezanih verskih skupnosti uživa poseben ugled ali ima v njej visok položaj«. Informacijski pooblašcenec je zato javni interes za razkritje dolocenih osebnih podatkov konkretnih štirih posameznikov prepoznal v upravicenem interesu javnosti izvedeti, na kakšen nacin država izvaja politiko izdajanja diplomatskih potnih listin na podlagi nacionalnega interesa, kaj oz. koga šteje za upravicenega imetnika diplomatskega potnega lista, izdanega na podlagi nacionalnega interesa, kadar ga ta potrebuje za predstavljanje Slovenije v tujini, in kdo je oseba, ki uživa poseben ugled v mednarodno široko priznani in s slovenskim narodom zgodovinsko povezani verski skupnosti, ali ima v njej visok položaj. Pri podelitvi diplomatskega potnega lista na podlagi nacionalnega interesa posameznik takšen potni list pridobi v postopku ugotavljanja le-tega, odlocanje o njegovem obstoju pa je v diskrecijski pravici ministra za zunanje zadeve. Prav v takšnih primerih je po oceni Informacijskega pooblašcenca pomembna odprtost konkretnih informacij tudi z vidika razumevanja posledic odlocitev javnega sektorja. Tako lahko državljani razumejo posledice odlocitev javnih organov oz. izrazijo morebitne (bistvene) pomisleke glede takih odlocitev. S preglednostjo dela funkcionarjev in uradnikov se zmanjšuje tudi možnost neodgovornega sprejemanja politicnih in strokovnih odlocitev. Preglednost njihovega dela prispeva k bolj premišljenim odlocitvam in s tem k dvigu kakovosti uradništva samega oz. dolocenih postopkov pri organu ter zmanjševanju korupcijskih tveganj. Ker iz zakonske definicije (prvi odstavek 9. clena ZPLD-1) izhaja, da mora biti izdaja diplomatskih potnih listov konkretnim posameznikom v interesu Republike Slovenije (in ne v njihovem osebnem interesu), se mora po oceni Informacijskega pooblašcenca njihova pravica do varstva osebnih podatkov v delu, ki se nanaša na njihova imena in priimke, umakniti javnemu interesu, ki v tem primeru prevlada. Zaradi upoštevanja nacela najmanjšega obsega podatkov (tocka (c) clena 5 Splošne uredbe) niso prosto dostopni tisti osebni podatki, ki s samo podelitvijo diplomatskega potnega lista niso v bistveni zvezi, tj. datum in kraj rojstva, bivališce in elektronski naslov. KLJUCNE BESEDE: osebni podatki, odlocba številka 090-285/2018. Postopki dodeljevanja javnih sredstev morajo biti še posebej transparentni in pregledni Prosilec je Ministrstvo RS za gospodarski razvoj in tehnologijo zaprosil za ocenjevalni list projekta, ki je nastal v postopku izvedbe javnega razpisa za dodeljevanje spodbud v okviru iniciative EUREKA 2018. Organ je zahtevo delno zavrnil s sklicevanjem na varstvo osebnih podatkov po 3. tocki prvega odstavka 6. clena ZDIJZ. Na ocenjevalnem listu je prekril ime in priimek ocenjevalca. Hkrati se je skliceval tudi na izjemo notranjega delovanja po 11. tocki prvega odstavka 6. clena ZDIJZ in navedel, da bi mu z razkritjem imena in priimka ocenjevalca nastala škoda. Javnost imen bi lahko imela za posledico nesodelovanje ocenjevalcev, kar bi povzrocilo motnje pri dejavnosti oz. delu organa. Razlog za ohranjanje anonimnosti ocenjevalcev, ki niso v delovnem razmerju z organom, temvec sodelujejo z organom na podlagi pogodbe, je tudi zagotavljanje nepristranskega ocenjevanja ter avtonomnosti in neodvisnosti ocenjevalcev. Informacijski pooblašcenec je v pritožbenem postopku ugotovil, da ime in priimek ocenjevalca, ki pogodbeno sodeluje z organom, ni varovan osebni podatek, saj obstaja ena izmed pravnih podlag, naštetih v prvem odstavku clena 6(1) Splošne uredbe, zaradi katere je razkritje podatka zakonito. Ocenjevalec je naveden v bazi ocenjevalcev, ki se vodi pri Javni agenciji RS za spodbujanje podjetništva, internacionalizacije, tujih investicij in tehnologije, in sicer na podlagi 25 javnega poziva recenzentom tehnološko razvojnih projektov. Organ je z ocenjevalcem v pogodbenem razmerju na podlagi dogovora o sodelovanju, ocenjevalec pa za svoje delo od organa prejme placilo, in sicer javna sredstva. Za razkritje podatkov o porabi javnih sredstev in za razkritje podatkov, povezanih z opravljanjem javne funkcije, obstaja neposredna podlaga v 1. alineji tretjega odstavka ZDIJZ, ki doloca, da se podatki o porabi javnih sredstev in podatki o opravljanju javne funkcije razkrijejo tudi, kadar je podana izjema varstva osebnih podatkov. Ocenjevalec je na zahtevanem dokumentu naveden v okviru funkcije, ki jo opravlja, in za katero je prejel placilo iz javnih sredstev. Svojo oceno je podal v okviru postopka javnega razpisa, za kar ga je pooblastil organ, kar hkrati pomeni, da gre za informacije, ki so povezane z delom organa. Projekt EUREKA je mednarodna tehnološka pobuda, katere namen je narediti gospodarstva EU konkurencnejša. V okviru projekta organ nastopa v vlogi posredniškega organa in zagotavlja financna sredstva za izvedbo javnega razpisa; kot izhaja iz samega razpisa, sredstva delno zagotavlja EU in delno Slovenija. Ker je organ prenesel svojo javno funkcijo na tretje osebe, so te prevzele nase dolocene naloge, ki sicer primarno sodijo v izvajanje javne funkcije organa. Posledicno je ocenjevalcevo delo podvrženo enakemu režimu, kot ce bi to oceno izvedel organ sam. Ocenjevalcevo delo zahteva visoko strokovnost in nepristranskost; ocenjevalec ne more biti kdor koli, temvec gre za zunanje strokovnjake, ki so izbrani za vsako podrocje posebej. Podatek o tem, kako je ocenjevalec posamezen projekt ocenil, ne more predstavljati osebnega podatka ocenjevalca, ker slednje ne sodi v njegovo osebno sfero in ne razkriva nobenih informacij o ocenjevalcu kot posamezniku. Podatek o imenu in priimku ocenjevalca pa ne more ustrezati niti definiciji izjeme »notranjega delovanja organa«, saj je ta namenjena temu, da varuje »notranje razmišljanje organa«, ne pa zunanje subjekte, ki sodelujejo z organom zaradi svoje strokovnosti na dolocenem podrocju. Postopek javnega razpisa je praviloma javen, torej ne gre za »notranje razmišljanje organa«, pri ocenjevanju prijav, prispelih na javni razpis, pa tudi ne gre za »notranje delovanje organa«, saj je od ocen odvisna podelitev spodbud organa. Pristojnost organa, vezana na odlocanje v postopkih javnega razpisa, predstavlja tipicen primer »zunanjega delovanja«, saj gre za javni razpis, s katerim se pri razlicnih projektih praviloma javno odloca o zunanjih prijaviteljih. Zmotno je bilo tudi izhodišce organa, da je le z anonimnostjo mogoce doseci nepristransko in avtonomno ocenjevanje projektov. Posameznika, ki ocenjuje, morajo odlikovati strokovna avtoriteta, integriteta in visoka moralna drža; nepristranskost in neodvisnost ocenjevalcev se doseže s strokovnim delom, pravilnim pristopom in odnosom, preglednimi zakljucki in kakovostnim delom. Javnost ocenjevalcev je nujna zaradi preglednosti delovanja organa, preglednosti dodeljevanja javnih sredstev, možnosti preverbe, ali so bili ocenjevalci kompetentni in strokovni na podrocju, ki so ga ocenjevali, ter možnosti, da prijavitelji preverijo (ne)obstoj razlogov, zaradi katerih bi jih konkretni ocenjevalec lahko ocenil pristransko in nepošteno. Informacijski pooblašcenec je organu odredil, da prosilcu posreduje tudi ime in priimek ocenjevalca. KLJUCNE BESEDE: osebni podatki, notranje delovanje, odlocba številka 090-110/2019/5 Predhodno opozorilo na placilo stroškov posredovanja informacij je obvezno Prosilec je od Obcine Oplotnica zahteval kopije placanih racunov stroškov, ki jih je placal najemnik poslovnega prostora v športni dvorani. Organ je prosilcu posredoval fotokopije racunov s prilogami ter izdal sklep o placilu materialnih stroškov posredovanja informacij. V pritožbi je prosilec izpostavil, da je zahteval zgolj racune, ki jih placuje najemnik poslovnega prostora, in ne vseh racunov, ki jih placuje organ. Ker je menil, da mu je bil kup papirja, ki ga ni zahteval, posredovan z dolocenim namenom, je oporekal placilu stroškov v celoti. Predmet pritožbe v obravnavani zadevi je bilo vprašanje pravilnosti in utemeljenosti zaracunanih stroškov dostopa do informacij javnega znacaja. Glede na ZDIJZ in Uredbo o posredovanju in ponovni uporabi informacij javnega znacaja ni dvoma, da organ prosilcu lahko zaracuna stroške posredovanja zahtevanih informacij. Pri tem pa mora izpolniti vse zakonske dolocbe, ki urejajo zaracunavanje stroškov posredovanja informacij. Predvsem je organ dolžan prosilca opozoriti na placilo stroškov in, ce prosilec to zahteva, prosilcu vnaprej sporociti višino stroškov, ki mu jih bo zaracunal za posredovanje informacij. V pritožbenem postopku se utemeljenost same višine stroškov ugotavlja šele po ugotovitvi, ali je organ zadostil zahtevam glede objave stroškovnika ter ali je prosilca opozoril na placilo stroškov. Glede na to, da je enotni stroškovnik objavljen v Uredbi o posredovanju in ponovni uporabi informacij javnega znacaja, ki je javno objavljena v uradnem listu, je Informacijski pooblašcenec štel, da tega stroškovnika organu ni treba objaviti tudi v njegovem katalogu informacij javnega znacaja, nedvomno pa organu še vedno ostane obveznost, da prosilca vnaprej obvesti o tem, da mu namerava zaracunati stroške. Takšno obvestilo prosilcu omogoca, da si glede posredovanja zahtevanih informacij lahko premisli, še preden mu organ posreduje zahtevane informacije. V pritožbenem postopku je organ na izrecni poziv Informacijskega pooblašcenca pojasnil, da prosilca ni predhodno obvestil o tem, da bo potrebno placilo stroškov. Informacijski pooblašcenec je tako ugotovil, da organ v obravnavanem primeru ni zadostil zakonski predpostavki iz tretjega odstavka 36. clena ZDIJZ, zato je pritožbi ugodil in sklep o placilu materialnih stroškov posredovanja informacij odpravil. KLJUCNE BESEDE: stroški, odlocba številka 090-112/2019 Priklic obstojecih podatkov iz racunalniške baze ne pomeni ustvarjanja novega dokumenta Prosilec je od Agencije RS za okolje zahteval podatek o številu in vrsti upravnih postopkov, v katerih je stranka dolocena gospodarska družba oz. v katerih stranko zastopa dolocen odvetnik. Organ je zahtevo zavrnil s sklicevanjem na cetrto tocko 5. clena ZDIJZ, ki doloca, da organ ni dolžan zagotavljati pretvorbe iz ene oblike v drugo ali zagotoviti izvleckov iz dokumentov, kadar bi to pomenilo nesorazmeren napor izven preprostega postopka, ter tudi ne nadaljevati z ustvarjanjem dolocenih informacij samo zaradi ponovne uporabe s strani drugih organov ali oseb. Prosilec je odlocitev organa ugovarjal, saj ni bilo dvoma, da je zahteval informacije, kakršne naslovni organ hrani v svoji racunalniški bazi podatkov. Ob odstopu pritožbe je organ navedel, da je prosilec zahteval podatke, ki niso informacije javnega znacaja v smislu prvega odstavka 4. clena ZDIJZ, saj ni zahteval podatkov glede emisij v okolje, odpadkov, nevarnih snovi v obratu ali podatkov iz varnostnega porocila in drugih podatkov, za katere tako doloca zakon, ki ureja varstvo okolja. V pritožbenem postopku je Informacijski pooblašcenec ugotovil, da po dolocbah ZDIJZ celotno delovno podrocje organa zajema vse javnopravne naloge, ki jih opravlja organ, in tudi vse dejavnosti, ki se opravljajo v zvezi s temi nalogami, zato so bile navedbe, da prosilec ni zahteval informacij javnega znacaja, neutemeljene. Ker je organ v izpodbijani odlocbi navedel, da z zahtevanimi informacijami ne razpolaga, je Informacijski pooblašcenec ugotavljal tudi, ali je pri zahtevanih informacijah izpolnjen t. i. kriterij materializirane oblike. Informacijski pooblašcenec je izvedel t. i. ogled in camera, pri katerem je ugotovil, da se v elektronski bazi Lotus Notes v povezavi z gospodarsko družbo kot odvetnikom pojavijo zadetki tako med rešenimi zadevami kot med zadevami v reševanju. Z vpogledom v omenjeni sistem je Informacijski pooblašcenec zakljucil, da so v njem zavedene prakticno vse zahtevane informacije in da jih je mogoce pridobiti na enostaven nacin. Tako je Informacijski pooblašcenec izpodbijano odlocbo odpravil in organu odredil posredovanje izpisov iz elektronske evidence upravnih zadev organa. KLJUCNE BESEDE: ali dokument obstaja, odlocba številka 090-34/2019 Deli dokumenta, ki se nanašajo na porabo javnih sredstev, niso poslovna skrivnost Prosilec (novinar) je od Slovenskega državnega holdinga zahteval Sporazum o prekinitvi delovnega razmerja s predsednico uprave. Organ je zahtevo prosilca zavrnil s sklicevanjem na izjemo varstva poslovne skrivnosti po 2. tocki prvega odstavka 6. clena ZDIJZ. Prosilec se je na odlocitev pritožil, saj je menil, da so podatki, koliko sredstev oz. kaj vse je pripadlo predsednici uprave na podlagi sporazuma o predcasni prekinitvi delovnega razmerja, v absolutnem interesu javnosti. V pritožbenem postopku je Informacijski pooblašcenec ugotovil, da je glede zahtevanega sporazuma izpolnjen kriterij za poslovno skrivnost po prvem odstavku 39. clena Zakona o gospodarskih družbah (ZGD-1). Ta doloca, da se za poslovno skrivnost štejejo podatki, za katere tako doloci družba s pisnim sklepom; s tem sklepom morajo biti seznanjeni družbeniki, delavci, clani organov in druge osebe, ki morajo varovati poslovno skrivnost. Toda ceprav je zahtevani sporazum predstavljal poslovno skrivnost po subjektivnem kriteriju, je Informacijski pooblašcenec ugotovil, da zahtevane informacije predstavljajo podatke, ki skladno s tretjim odstavkom 39. clena ZGD-1 ne morejo biti doloceni za poslovno skrivnost. Sporazum je namrec vseboval podatke, ki so po zakonu javni, in sicer po 1. alineji tretjega odstavka 6. clena ZDIJZ. Ta doloca, da se ne glede na dolocbe prvega odstavka 6. clena ZDIJZ (tj. ne glede na podano izjemo poslovne skrivnosti) dostop do zahtevane informacije dovoli, ce gre za podatke o porabi javnih sredstev, razen v primerih iz 1. in 5. do 8. tocke prvega odstavka 6. clena ZDIJZ ali v primerih, ko zakon, ki ureja javne finance, ali zakon, ki ureja javna narocila, doloca drugace. Ceprav ZDIJZ ne vsebuje definicije javnih sredstev, se je ta za potrebe postopkov dostopa do informacij javnega znacaja izoblikovala s prakso Informacijskega pooblašcenca in sodišc. Pojem porabe javni sredstev (tako npr. sodba Upravnega sodišca I U 764/2015-27 z dne 24. 8. 2016) pomeni vsako odplacno ali neodplacno razpolaganje s premoženjem, tudi sprememba ali pretvorba premoženja iz ene oblike v drugo; tako poraba javnih sredstev niso le odlivi z racuna neke javne inštitucije, ampak tudi vse druge odplacne ali neodplacne oblike razpolaganja z javnimi sredstvi. Iz javnopravne narave in predvsem iz nalog, za izpolnjevanje katerih je bil organ ustanovljen, ter izvora oz. svojstva premoženja, s katerim organ upravlja, je nesporno, da razpolaga in upravlja z javnimi sredstvi ter da je vsakršno razpolaganje z javnimi sredstvi (tudi v primeru izplacil oz. zavez k izplacilom javnih sredstev) javno. Informacijski pooblašcenec je zato odredil, da organ prosilcu posreduje tiste dele zahtevanega dokumenta, iz katerih izhajajo razlogi, pogoji in višina izplacil javnih sredstev. 27 KLJUCNE BESEDE: poslovna skrivnost, mediji, odlocba številka 090-130/2019 Dostop do osebnih podatkov absolutno javnih oseb je prost skozi prizmo javnega interesa Prosilec je od Vrhovnega državnega tožilstva zahteval dostop do kazenskih ovadb proti nekdanjemu mariborskemu županu in do dokumentov, ki kažejo, kako so se ti postopki zakljucili. Organ je zahtevo zavrnil s sklicevanjem na izjemo varstva osebnih podatkov. Prosilec se je na odlocitev organa pritožil, saj obstojeca praksa na tem podrocju – konkretno javna objava sodb – kaže, da se prednost daje vrednoti dostopa do informacij. Vrhovno sodišce javno objavlja tako obsodilne kot oprostilne sodbe oz. so te dostopne z zahtevo po ZDIJZ. Ceprav skladno z ZDIJZ prosilcu ni treba pojasnjevati razloga, zakaj želi imeti dostop do zahtevane informacije, je navedel, da je zahtevo vložil izkljucno z namenom nadzora nad delom tožilstva. V pritožbenem postopku je Informacijski pooblašcenec, skladno z dolocbo 44. clena ZUP, v postopek pozval tudi nekdanjega mariborskega župana, ki je udeležbo tudi priglasil. Informacijski pooblašcenec je stališce organa, da podatki iz sklepov o zavrženju ovadb niso prosto dostopne informacije javnega znacaja, ker bi razkritje lahko vplivalo na pridobivanje dokazov v morebitnem novem postopku, ocenil kot napacno. Razkritje teh podatkov že pojmovno ne more škodovati njihovi izvedbi, saj so bile ovadbe zavržene in so bili s tem postopki zakljuceni. Iz besedila dolocila 6. tocke prvega odstavka 6. clena ZDIJZ izhaja, da se sme dostop zavrniti le v primeru, ce se podatek nanaša na konkretne kazenske postopke, ki pa so v obravnavanem primeru (že) zakljuceni z zavrženjem ovadb. V zvezi z varstvom osebnih podatkov je Informacijski pooblašcenec ugotovil, da je za razkritje nekaterih zahtevanih informacij podan javni interes, saj je nekdanji mariborski župan absolutna javna oseba par excellence, za katero velja, da mora na racun svoje zasebnosti trpeti vecje omejitve, kot bi jih bila dolžna trpeti sicer. Ceprav se organ in stranski udeleženec do obstoja javnega interesa nista opredelila, je Informacijski pooblašcenec javni interes prepoznal zlasti v tem: (a) da je stranski udeleženec kot nosilec uradnih (politicnih) funkcij absolutna javna oseba par excellence, (b) da se tematika zahtevanih dokumentov nanaša na informacije, ki so neposredno povezane z družbeno vlogo in funkcijo stranskega udeleženca in z njegovimi ravnanji v okviru ali v neposredni povezavi s to družbeno vlogo (vsebina dokumentov je mocno povezana z opravljanjem javne funkcije stranskega udeleženca), (c) da so zahtevane informacije pomembne za javno razpravo o relevantnih vprašanjih oz. zadevah v demokraticni družbi (ocena pravilnosti in zakonitosti dela organov odkrivanja in pregona kaznivih dejanj, ki so jih v kazenskih postopkih podala sodišca), (d) da se z delnim dostopom do zahtevanih dokumentov omogoca pregled ravnanja tožilstva in policije pri odlocanju v pomembnih javnih zadevah. Tako je Informacijski pooblašcenec pritožbi ugodil in odredil delni dostop do dokumentov, ki so izkazovali, kako so se zakljucili (pred)kazenski postopki zoper nekdanjega župana Mestne obcine Maribor. Podatki, do katerih je Informacijski pooblašcenec dostop odobril, so obsegali zakonske oznacbe kaznivega dejanja z navedbami dolocb kazenskega zakona, ki naj se po predlogu tožilca uporabijo, sodišce, pred katerim je tekel kazenski postopek, tiste dele posameznih obrazložitev, ki vsebujejo pravno podlago za posamezno ravnanje pristojnih organov, splošni opis ocitanega kaznivega dejanja, pravni pouk, odlocitev o stroških. KLJUCNE BESEDE: osebni podatek, test interesa javnosti, številka odlocbe 090-276/2018 Podatki o enolicni identifikacijski številki državnega tožilca so podatki, povezani z opravljanjem javne funkcije Prosilec je od Vrhovnega državnega tožilstva zahteval posredovanje elektronskih zapisov vseh posebnih statisticnih delov letnih porocil vseh državnih tožilstev, ki so bili do vložitve zahteve izdelani in posredovani skladno s Pravilnikom o obliki letnega porocila o poslovanju državnega tožilstva. Organ je prosilcu zavrnil dostop do »enolicne identifikacijske (ID) številke državnega tožilca« in »enolicne (ID) številke kaznivega dejanja« s sklicevanjem na izjemo varstva osebnih podatkov in varstva kazenskega postopka. Pri tem je navedel, da je prek povezave ID tožilca in ID kaznivega dejanja omogoceno lociranje osebnih podatkov v zvezi s konkretnim posameznikom ter se lahko tako neposredno ali posredno identificira posameznega državnega tožilca. S povezavo med obema ID-podatkoma lahko pride do razkritja identitete pristojnega tožilca, ki obravnava konkretno kaznivo dejanje, v fazi, v kateri bi razkritje škodovalo interesom kazenskega postopka, saj zahtevana informacija ob dodatnem raziskovanju, a brez vecjega napora omogoca tudi identifikacijo posamezne kazenske zadeve. Prosilec se je na odlocitev organa pritožil, saj je menil, da šifra državnega tožilca ne predstavlja njegovega varovanega osebnega podatka, ampak zgolj podatek o izvrševanju javne funkcije, ki razkriva, da je doloceni državni tožilec opravil nekatera procesna dejanja oz. kakšen je bil obseg njegovega dela. Informacijski pooblašcenec je v pritožbenem postopku ugotovil, da je obdelava osebnih podatkov zakonita, ce je podana ena od pravnih podlag, ki jih doloca Splošna uredba v prvem odstavku clena 6. Iz tega clena kot splošno pravilo izhaja, da je obdelava osebnih podatkov (torej tudi razkritje podatkov javnosti) zakonita (dopustna), med drugim v primeru, ce je obdelava potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca (tocka c), ali pri izvajanju javne oblasti, dodeljene upravljavcu (tocka e). Tako zakonsko podlago za obdelavo osebnih podatkov v postopku z zahtevo po ZDIJZ, upoštevajoc tocko c clena 6(1) Splošne uredbe, predstavlja 1. alineja tretjega odstavka 6. clena ZDIJZ. Ta doloca, da se dostop do zahtevane informacije dovoli, ce gre za podatke o porabi javnih sredstev ali za podatke, povezane z opravljanjem javne funkcije ali delovnega razmerja javnega uslužbenca, razen v primerih iz 1. in 5. do 8. tocke prvega odstavka ter v primerih, ko zakon, ki ureja javne finance, ali zakon, ki ureja javna narocila, doloca drugace. Nesporno je torej, da primer iz 3. tocke prvega odstavka 6. clena ZDIJZ (varstvo osebnih podatkov) ne sodi med tiste zakonske izjeme, ki bi bile izvzete iz dolžnosti organa do posredovanja zahtevanih informacij, ce so povezane z opravljanjem javne funkcije ali delovnega razmerja javnega uslužbenca. Podatek o enolicni identifikacijski (ID) številki državnega tožilca se nanaša na posameznega državnega tožilca in predstavlja njegovo anonimizirano šifro (13. clen Pravilnika), ki mu je dodeljena za potrebe opravljanja nalog iz njegove pristojnosti, zato je Informacijski pooblašcenec menil, da gre za podatek, ki je povezan z opravljanem njegove javne funkcije. Podatek o enolicni identifikacijski številki (ID) kaznivega dejanja pojmovno ne more predstavljati osebnega podatka, saj gre za enolicno oznako kaznivega dejanja. Organ tudi ni uspel izkazati obstoja izjeme po 6. tocki prvega odstavka 6. clena ZDIJZ. Za uspešno sklicevanje na izjemo varstva kazenskega postopka morata biti kumulativno izpolnjena dva pogoja: (1) zahtevan podatek je bil pridobljen ali sestavljen zaradi konkretnega kazenskega pregona ali v zvezi z njim in (2) razkritje zahtevanega podatka bi škodovalo izvedbi konkretnega postopka. Iz besedila dolocila tocke 6 prvega odstavka 6. clena ZDIJZ izhaja, da se sme dostop zavrniti le v primeru, ce se podatek nanaša na konkretne kazenske postopke, ki so še v teku. Tega dolocila ni mogoce razlagati tako široko, da bi se lahko to izjemo uveljavljalo tudi v primeru bodocih (»ponovno odprtih«) kazenskih pregonov, pri cemer se je Informacijski pooblašcenec strinjal s stališcem prosilca, da bi s tako široko razlago organ lahko vse informacije o pregonu prikrival vse do zastaranja kazenskega pregona. Ker ID številka državnega tožilca ni varovan osebni podatek, za prekritje ID številke kaznivega dejanja pa organ ni izkazal pogoja nastanka škode za postopek, je Informacijski pooblašcenec organu odredil posredovanje zahtevanih podatkov. KLJUCNE BESEDE: kazenski postopek, osebni podatek, odlocba številka 090-3/2019 Podatki, ki jih FURS potrebuje za izracun davka, so davcna tajnost Prosilka je od Javnega zavoda Lekarne Ljubljana zahtevala dostop do davcnih obracunov za leti 2016 in 2017, kot ju je organ posredoval Financni upravi RS (FURS). Organ je zahtevo zavrnil, ker sta zahtevana davcna obracuna predstavljala in vsebovala podatke, ki so bili po pravilniku in sklepu o dolocitvi poslovne skrivnosti opredeljeni kot poslovna skrivnost. Prosilka je v pritožbi navedla, da organ opravlja gospodarsko dejavnost lekarništva, ki je predmet konkurencnih pravil EU, in da pri svojem poslovanju ustvarja velike dobicke, zato je ugotovitev, ali so pri davcni obremenitvi razlicni izvajalci lekarniške dejavnosti obravnavani enako, v javnem interesu. Prosilka je še dodala, da sta v interesu javnosti tudi ugotovitvi, ali se na lekarniškem trgu na podlagi davcne neenakosti izkrivlja konkurenca oz. prihaja do dejanj nelojalne konkurence ter kolikšne so razsežnosti te težave, ki vpliva tudi na maloprodajne cene lekarniških izdelkov. V pritožbenem postopku ni bilo moc pritrditi navedbam prosilke, da organ opravlja gospodarsko dejavnost lekarništva, ki je predmet konkurencnih pravil EU. Kot izhaja iz Zakona o lekarniški dejavnosti, je lekarniška dejavnost v Sloveniji urejena kot javna zdravstvena služba, zato mora organ kot javni zavod delovati v javnem interesu in porabljati javna sredstva za namen izvajanja javne službe oz. v okviru omejitev, ki mu jih nalaga zakon. Organ je dostop do zahtevanih davcnih obracunov zavrnil na podlagi izjeme varstva poslovne skrivnosti po 2. tocki prvega odstavka 6. clena ZDIJZ, vendar je Informacijski pooblašcenec ugotovil, da gre v obravnavanem primeru za podatke, ki predstavljajo davcno tajnost po Zakonu o davcnem postopku (ZDavP-2). Skladno s 5. tocko prvega odstavka 6. clena ZDIJZ organ zavrne dostop do zahtevane informacije, ce se zahteva nanaša na podatek, katerega razkritje bi pomenilo kršitev zaupnosti davcnega postopka ali davcne tajnosti, skladno z zakonom, ki ureja davcni postopek. V pritožbenem postopku je Informacijski pooblašcenec ugotovil, da bi razkritje zahtevanih dokumentov, ki se nanašajo na ugotavljanje davcne obveznosti, pomenilo kršitev zaupnosti davcnega postopka ali davcne tajnosti. ZDavP-2 v 8. clenu doloca, da se podatki zavezancev za davek obravnavajo kot davcna tajnost v skladu s tem zakonom in zakonom o obdavcenju in drugimi splošnimi akti, ki urejajo pobiranje davkov. Z omenjeno dolocbo je zakonodajalec tako zacrtal zelo široko pojmovanje davcne tajnosti. Zahtevane podatke je organ posredoval FURS na predpisanem obrazcu za obracun davka od dohodkov pravnih oseb, ki ga doloca Pravilnik o davcnem obracunu od dohodkov pravnih oseb, podatki 29 se nanašajo na organ kot davcnega zavezanca in so v neposredni zvezi s samo davcno obveznostjo. Vsi pogoji za predmetno izjemo so bili v obravnavani zadevi nedvomno izpolnjeni. V obravnavani zadevi prosilka ni z nicimer konkretno utemeljila, da bi javni interes po razkritju zahtevanih davcnih obracunov pretehtal nad javnim interesom, da se zahtevani podatki prekrijejo. Navedbe prosilke so bile pavšalne in so se nanašale na nadzor lekarniškega trga na splošno. Tudi Informacijski pooblašcenec ni prepoznal nobenega razloga, ki bi bil v prid razkritju zahtevanih podatkov. Ker je bistvo presoje pri testu javnega interesa v možnosti relativizacije dolocene izjeme, mora biti le-ta omejen zgolj na tiste primere, ko je interes javnosti za razkritje dolocene izjeme mocnejši od interesa, zaradi katerega je dolocena informacija zavarovana kot izjema. Pri tem je Informacijski pooblašcenec izpostavil stališce sodne prakse, da je javni interes glede razkritja podan, »ce bi bile ogrožene take vrednote, kot je npr. življenje, zdravje ali varnost ljudi in podobno« (npr. sodbi št. I U 1488/2011-95 in št. I U 199272010-28). Informacijski pooblašcenec je tako navedel pravilne razloge za zavrnitev dostopa (izjema davcne tajnosti) in pritožbo zavrnil kot neutemeljeno. KLJUCNE BESEDE: davcna tajnost, številka odlocbe 090-161/2019 Podatki o tem, kateri izdelki so bili dobavljeni in po kakšni ceni, predstavljajo informacijo o porabi javnih sredstev Prosilka je od Medicinske fakultete v Ljubljani zahtevala fotokopijo ponudbenega predracuna, ki ga je izbrani ponudnik priložil v postopku javnega narocila. Organ je zahtevo prosilke zavrnil v delu, ki se nanaša na stolpec »Naziv ponujenega blaga in proizvajalec oz. blagovna znamka«, s sklicevanjem na izjemo poslovne skrivnosti. To je zatrjeval tudi stranski udeleženec, ki ga je organ pozval v postopek. Prosilka se je na odlocitev pritožila, ker do trenutka, ko je organ pozval stranskega udeleženca v postopek, noben del ponudbe ni bil oznacen z oznako poslovna skrivnost in ponudbi o tem ni bil predložen nikakršen sklep. Poleg tega je te podatke treba razkriti na podlagi tretjega odstavka 6. clena ZDIJZ (poraba javnih sredstev), podatek o nazivu ponujenega blaga pa je javen tudi na podlagi drugega odstavka 35. clena Zakona o javnem narocanju (ZJN­3). V pritožbenem postopku je Informacijski pooblašcenec ugotavljal, ali so zahtevane informacije dejansko predstavljale izjemo po 2. tocki prvega odstavka 6. clena ZDIJZ, ki jo je v postopku na prvi stopnji zatrjeval stranski udeleženec. Ker se je zahteva nanašala na dokument, ki ga je stranski udeleženec organu v postopku javnega narocanja predložil v ponudbi z dne 25. 5. 2018, tj. pred uveljavitvijo Zakona o poslovni skrivnosti (ZPosS), je Informacijski pooblašcenec upošteval dolocbe 39. in 40. clena ZGD-1, ki sta veljala pred uveljavitvijo ZPosS. ZGD-1 razlikuje dva kriterija za dolocitev poslovne skrivnosti, in sicer subjektivnega (prvi odstavek 39. clena ZGD-1) ter objektivnega (drugi odstavek 39. clena ZGD-1), odvisno od tega, na kakšni podlagi se podatki štejejo za poslovno skrivnost. Za poslovno skrivnost se ne morejo dolociti podatki, ki so po zakonu javni, ali podatki o kršitvi zakona ali dobrih poslovnih obicajev (tretji odstavek 39. clena ZGD-1). Pri subjektivnem kriteriju družba sama, s splošnim ali posamicnim aktom, odredbo ipd., oznaci dolocen podatek za zaupen, ne glede na to, kakšnega pomena je za njeno konkurencno prednost (lahko gre tudi za manj pomemben podatek), kakšna oz. ali sploh kakšna škoda bi z razkritjem nastala ipd. Odlocitev o tem, ali se bo dolocen podatek štel za poslovno skrivnost po prvem odstavku 39. clena ZGD-1, je torej v celoti prepušcena družbi. Ker je stališce sodne prakse glede pravocasnosti izdaje sklepa o poslovni skrivnosti jasno, predloženi Sklep o dolocitvi poslovne skrivnosti z dne 31. 5. 2019 ni bil pravocasen in za obravnavo konkretnega pritožbenega postopka ni bil relevanten. S sklepom se lahko oznaci informacije za poslovno skrivnost tudi za nazaj, vendar se takšen sklep šteje za pravocasnega le, ce je izdan še pred prejemom zahteve za dostop do informacije javnega znacaja (glej sodbe št. U 1976/2008 z dne 26. 5. 2010, št. I U 599/2014 z dne 3. 11. 2015, št. I U 1573/2014 z dne 18. 11. 2015). Za odlocitev o tem, ali se bo dolocen podatek štel za poslovno skrivnost po drugem odstavku 39. clena ZGD-1, je odlocilna vsebina podatka oz. ocitne hude posledice njegovega razkritja. Ker ima družba oz. podjetje praviloma vsa ustrezna znanja in izkušnje na trgu, na katerem deluje, ter natancno ve, kaj, kako in zakaj bi lahko vplivalo na njen konkurencni položaj, zgolj splošno, abstraktno in neobrazloženo sklicevanje na poslovno skrivnost ne zadošca (glej sodbe št. U 284/2008 z dne 27. 5. 2009, U 1276/2008 z dne 11. 2. 2010, I U 1132/2015 z dne 27. 1. 2016). Ker stranski udeleženec ni pojasnil, zakaj zahtevane informacije pomenijo konkurencno prednost, ki jo je treba varovati kot poslovno skrivnost, v obravnavanem primeru tudi objektivni kriterij poslovne skrivnosti ni bil podan. Ker tretji odstavek 39. clena ZGD-1 doloca, da se kot poslovna skrivnost ne morejo dolociti podatki, ki so po zakonu javni, se morajo ponudniki in narocniki že na podlagi samega zakona zavedati, da ni mogoce pricakovati popolnega varstva poslovne skrivnosti v dokumentih, ki so bili pridobljeni oz. so nastali na podlagi postopka javnega narocanja. Temeljna nacela ZJN-3 (3. do 8. clen) zagotavljajo javnost javnih narocil tako splošni kot tudi posebnim javnostim (npr. na javnem razpisu neuspelim ponudnikom) ter nadzor nad pravilnostjo dela javnega sektorja, kar preprecuje slabo upravljanje, zlorabo oblasti in korupcijo. Informacijski pooblašcenec je ugotovil, da nacelo publicitete pokriva tudi podatka »naziv ponujenega blaga« in »proizvajalec oz. blagovna znamka«. Podatek o nazivu ponujenega blaga sodi v okvir »specifikacije ponujenega blaga«, ki je po drugem odstavku 35. clena ZJN-3 javni podatek. Pojem »specifikacija« je povsem jasen. Po jezikovni razlagi »specifikacija« pomeni »podroben opis, oznaka cesa glede na posebne, dolocene znacilnosti«, kar jasno kaže, da se s specifikacijo pricakuje, da se predmet narocila ne opredeli zgolj z »osnovnimi« podatki, temvec z vsemi podatki o predmetu narocila, ki so za narocnika tako pomembni, da jih je v razpisni dokumentaciji posebej opredelil. To pomeni, da je obseg informacij, ki sodijo v okvir »specifikacije ponujenega predmeta«, vselej odvisen od zahtev narocnika – ta jih opredeli v razpisni dokumentaciji. Posledicno mora ponudnik v svoji ponudbi izkazati, da ponujeni predmet ustreza vsem (ne zgolj dolocenim) zahtevam iz specifikacije, sicer je iz postopka izkljucen. Podatki o proizvajalcu blaga oz. blagovni znamki izkazujejo informacije o predmetu narocila, kar pomeni, da gre za podatke o porabi javnih sredstev skladno s 1. alinejo tretjega odstavka 6. clena ZDIJZ. Gre namrec za informacije o tem, kaj (katere izdelke) je organ kupil z javnimi sredstvi. Informacijski pooblašcenec je tako izpodbijano odlocbo odpravil in organu naložil posredovanje zahtevanih podatkov. KLJUCNE BESEDE: javna narocila, odlocba številka 090-153/2019 Celovitost seznanitve z informacijo o nameravani strateški državni naložbi v turizmu je v javnem interesu Prosilka (novinarka) je od Ministrstva za gospodarski razvoj in tehnologijo zahtevala dostop do dokumenta »Naložbeni dokument za naložbo Istrabenz Turizem d.d.«, ki ga je Vlada RS sprejela na seji 30. 5. 2019. Organ je v postopek povabil Slovenski državni holding kot pripravljavca dokumenta, ki je nasprotoval razkritju zahtevanega dokumenta, pri cemer se je skliceval na izjemo poslovne skrivnosti po 2. tocki prvega odstavka 6. clena ZDIJZ. Organ se je strinjal s stranskim udeležencem o obstoju poslovne skrivnosti po ZPosS. Ob upoštevanju dolocbe tretjega odstavka 2. clena ZPosS je zakljucil, da se predmetni dokument ne nanaša na podatke o porabi javnih sredstev niti za njegovo razkritje ne obstaja javni interes, ki bi bil vecji od interesa do varstva poslovne skrivnosti. V pritožbenem postopku je Informacijski pooblašcenec pozval Družbo za upravljanje terjatev bank (DUTB) in Istrabenz turizem, d. d. k priglasitvi stranske udeležbe. V obravnavani zadevi ni bilo sporno, da je bil zahtevani dokument oznacen kot poslovna skrivnost, nanjo pa sta se sklicevali tudi stranski udeleženki. Ker je zahtevani dokument nastal pred uveljavitvijo ZPosS, je Informacijski pooblašcenec utemeljevanje izjeme poslovne skrivnosti presojal v obsegu takrat veljavne dolocbe 39. clena ZGD-1 in ugotovil, da so bili kriteriji za dolocitev poslovne skrivnosti po subjektivnem kriteriju izpolnjeni. Dokument je bil namrec skladno s Pravilnikom o varovanju poslovne skrivnosti oznacen kot poslovna skrivnost. V obravnavani zadevi je Informacijski pooblašcenec ugotovil tudi, da zahtevani dokument ne vsebuje podatkov, ki bi izkazovali neposredno porabo javnih sredstev po 1. alineji tretjega odstavka 6. clena ZDIJZ, saj dokument predstavlja analiticni dokument in ne pomeni samega prenosa kakršnega koli državnega premoženja oz. javnih sredstev. Nasprotno pa je Informacijski pooblašcenec menil, da bi bilo treba zahtevani dokument razkriti na podlagi drugega odstavka 6. clena ZDIJZ, tj. testa javnega interesa. Pri izvedbi testa javnega interesa v obravnavani zadevi je bilo kljucno vprašanje, ali bi se z razkritjem zahtevanega dokumenta dejansko pripomoglo k širši razpravi in razumevanju necesa pomembnega za širšo javnost, kot so to omogocali že javno objavljeni podatki v zvezi s sprejetjem zahtevanega dokumenta. Informacijski pooblašcenec je javni interes za razkritje zahtevanega dokumenta prepoznal v dejstvu, da ta predstavlja analiticni dokument, ki je nastal na podlagi odlocitve politicnega organa (tj. s sklepom Vlade RS v vlogi skupšcine SDH z dne 14. 2. 2019), in je bil potrjen s strani istega organa s sklepom z dne 30. 5. 2019. Zahtevani dokument je nastal kot posledica politicne odlocitve državnega organa, da bo sledil usmeritvam Strategije trajnostne rasti slovenskega turizma 2017–2021. Poleg tega je zahtevani dokument izkazoval ekonomske ucinke kot posledico naložb v namensko družbo, ki naj bi jo ustanovil DUTB in na katero se bodo prenesle delnice Istrabenz turizma, d. d. S prikazovanjem namere o prenosu državne naložbe je bil po mnenju Informacijskega pooblašcenca nedvomno podan javni interes za seznanitev s tem dokumentom, tako z vidika transparentnosti samega postopka izvedbe prenosa kot tudi z vidika možnosti in potrebe sodelovanja javnosti pri razpravi o tej temi že v samem zacetku postopka. Organ je pri zavrnitvi dostopa do zahtevanega dokumenta zavzel tudi stališce, da bi z razkritjem posegel v pravico do svobodne gospodarske pobude iz 74. clena Ustave RS. Informacijski pooblašcenec je argument zavrnil, saj svobodna gospodarska pobuda subjektov, ki jih obvladujejo osebe javnega prava (stranski udeleženki Istrabenz turizem in SDH sta v 100-odstotni lasti Republike Slovenije), že v temelju ne more imeti enake teže in pomena, kot ju ima svobodna gospodarska pobuda subjektov, ki jih obvladujejo zasebniki. Ker pravice prosilke oz. javnosti, da se celovito seznani z informacijami o nameravani strateški državni naložbi na tako pomembnem podrocju, kot je turizem, o naložbi, ki bo imela pomembne gospodarske ucinke, ni bilo mogoce zagotoviti z drugimi ukrepi, je Informacijski pooblašcenec pritožbi ugodil in organu naložil posredovanje zahtevanega dokumenta. 31 KLJUCNE BESEDE: poslovna skrivnost, test javnega interesa, odlocba številka 090-194/2019 Pri dostopu do dokumentov Evropskega parlamenta, Sveta in Komisije je treba neposredno upoštevati evropsko pravo Prosilec je od Ministrstva RS za pravosodje zahteval dostop do mnenja odbora iz clena 255 Pogodbe o delovanju EU glede ustreznosti slovenskega kandidata za sodnika na Splošnem sodišcu EU. Organ je zahtevi delno ugodil in prosilcu posredoval dokument, na katerem je prekril ime kandidata in posamezne odstavke besedila. Pri svoji odlocitvi se je skliceval na neposredno uporabo evropskega prava, tj. Uredbo Evropskega parlamenta in Sveta (ES) št. 1049/2001 z dne 30. 5. 2001, o dostopu javnosti do dokumentov Evropskega parlamenta, Sveta in Komisije. V postopek na prvi stopnji je pritegnil tudi kandidata za sodnika, ki stranske udeležbe ni prijavil, ter pridobil mnenje Sveta EU o sami zahtevi. Svet EU je ocenil, da zahtevani dokument spada v okvir izjem, kar zadeva zasebnost in integriteto posameznika (clen 4(1(b)) Uredbe (ES) št. 1049/2001), varstvo postopka odlocanja (clen 4(3(1)) Uredbe (ES) št. 1049/2001) in varstvo poslovnih interesov (prva alineja clena 4(2) Uredbe (ES) št. 1049/2001). Organ je še navedel, da je v zvezi s podobno zahtevo odlocala tudi evropska varuhinja clovekovih pravic (odlocba z dne 23. 5. 2019). Iz povzetka odlocitve v zadevi št. 1955/2017/THH je razvidno, da se je zadeva nanašala na odlocitev Sveta EU, s katero je nevladni organizaciji zavrnil dostop do mnenj, ki presojajo primernost kandidatov za položaje sodnikov in generalnih pravobranilcev na Sodišcu EU in Splošnem sodišcu EU. Svet EU je zavrnil zahtevek za polni javni dostop do mnenja, pri svoji odlocitvi se je oprl na nujnost varovanja postopka odlocanja odbora, postopkov sodišc, zasebnosti in integritete kandidatov ter poslovnih interesov kandidatov. Varuhinja clovekovih pravic je ugotovila, da je bila odlocitev Sveta EU glede zavrnitve polnega javnega dostopa do mnenj utemeljena, saj je bil njen namen zagotoviti, da bo odbor lahko še naprej nepristransko dajal iskrena in preudarna mnenja glede primernosti kandidatov. Kljub temu je pozdravila javni interes, ki se je odražal v vložitvi pritožbe, saj je to omogocilo neodvisno preiskavo zadeve, ki je zelo pomembna za državljane EU. Organ je pojasnil, da je dolžan spoštovati nacelo lojalnega sodelovanja z evropskimi institucijami in ne ovirati primarne uporabe Uredbe, kadar gre za dokument evropske institucije, ki bi ga lahko prosilec zahteval od organov EU. Tako je organ vsake države clanice, ki bi moral po svojih nacionalnih predpisih (npr. po ZDIJZ) dokument razkriti, a mu to prepovedujejo evropski predpisi ali izrecna odlocitev evropske institucije, dolžan upoštevati evropsko pravo, ki je nacionalnemu nadrejeno. Tako je moral tudi Informacijski pooblašcenec v pritožbenem postopku neposredno uporabiti evropsko pravo (Uredbo (ES) št. 1049/2001), saj je šlo za dokument, ki ga je ustvaril odbor iz clena 255 Pogodbe o delovanju Evropske unije in je izviral iz pristojnosti Sveta EU. Hkrati je bil Informacijski pooblašcenec vezan tudi na mnenje Sveta EU o sami zahtevi, iz katerega je izhajalo, da se prosilcu lahko omogoci delni dostop do zahtevanega dokumenta. Ker je organ pri izvedbi delnega dostopa popolnoma upošteval mnenje Sveta EU o sami zahtevi, je Informacijski pooblašcenec pritožbo prosilca zavrnil. KLJUCNE BESEDE: pravo EU, številka odlocbe 090-204/2019 Izplacila javnega zavoda izkazujejo podatke o porabi javnih sredstev Prosilka (novinarka) je od Ekonomske fakultete v Ljubljani želela dostop do »vseh« izplacil organa »vsem« osebam za obdobje treh let. Organ je zahtevo prosilke zavrnil s sklicevanjem na zlorabo pravice. Organ je prosilki ocital, da njena zahteva ni v nicemer stremela k zagotavljanju odprtosti delovanja države v najširšem smislu, saj je vse podatke, ki jih je želela pridobiti, že prejela na podlagi predhodne zahteve. Tako je bil mnenja, da je namen njene druge zahteve prvenstveno izhajal iz želje po obracunavanju z organom. Pri tem je poudaril, da so morali javni uslužbenci za pripravo podatkov v zvezi s prvotno zahtevo opraviti ogromno dela, za katerega organ ni imel kritja v javnih virih. V zakljucku je organ še navedel, da je ravnanje novinarjev in njihovo domnevno raziskovalno novinarstvo na podrocju izplacil avtorskih honorarjev in plac javnih uslužbencev v visokem šolstvu predvsem s strani medijske hiše POP TV že od prvih objav spletne aplikacije SUPERVIZOR temeljilo zgolj in samo na enostranskem in neobjektivnem porocanju. Škode, ki je bila ustvarjena vsem tistim, ki so bili žrtve te gonje, ni povrnil nihce, ob tem pa javnosti tudi ni bilo nikoli jasno sporoceno, koliko raznovrstnega dela je bilo dejansko opravljenega in kako velik delež le-tega je bil financiran iz absolutno neproracunskih sredstev. V pritožbenem postopku je Informacijski pooblašcenec ugotovil, da organ ni oporekal dejstvu, da zahtevane informacije skladno s 1. alinejo tretjega odstavka 6. clena ZDIJZ predstavljajo prosto dostopne informacije javnega znacaja, saj gre za podatke, ki izkazujejo porabo javnih sredstev. Tudi po praksi Informacijskega pooblašcenca in sodišca je nesporno, da organ kot javni zavod razpolaga z javnimi sredstvi, zato zahtevana izplacila organa izkazujejo podatke o porabi javnih sredstev. Informacijski pooblašcenec je tudi ocenil, da prosilka s tem, ko je vložila zahtevo po dostopu do »vseh« izplacil »vsem« osebam za obdobje treh let, kljub temu da ji je organ na podlagi zahteve z dne 1. 8. 2019 že posredoval dolocen del podatkov (za prvih petnajst najvišjih izplacil), ni zlorabila pravice dostopa do informacij javnega znacaja. Kot izhaja iz Predloga zakona o spremembah in dopolnitvah Zakona o dostopu do informacij javnega znacaja (ZDIJZ-C), so elementi oz. kriteriji, ki lahko (skupaj) kažejo na zlorabo pravice, npr. pogostost vlaganja zahtev, obsežnost zahtev, nesorazmerna obremenitev organa, prosilec ne sledi lastnim upravicenim interesom, nagajanje, šikaniranje ipd. Po mnenju Informacijskega pooblašcenca ni šlo za ponavljajoco se zahtevo za isto zadevo, ampak je bila zahteva prosilke povezana z željo pridobiti vsa izplacila organa z imeni in priimki v elektronski obliki, cesar ji organ do tedaj še ni posredoval. Predvidevanja in vrednostne ocene organa, ki nimajo osnove v sami zahtevi oz. iz same zahteve niso izhajala, niso bila pravno upoštevna. Zahteva tudi ni bila ocitno nedovoljena in neutemeljena, saj je bila usmerjena izkljucno v informacije, ki so javnega znacaja in so lahko prosto dostopne. Objektivno je bilo nemogoce zakljuciti, da bi izpolnitev predmetne zahteve ovirala izpolnjevanje temeljnih nalog organa, organ pa se do tega tudi ni konkretno opredelil. Zgolj vecji obseg zahtevanih informacij in s tem povezano dodatno delo za organ še ne pomenita zlorabe pravice. Za utemeljitev obstoja zlorabe pravice je treba zadostiti dokaznemu standardu »onkraj dvoma«, ne pa zgolj dokaznemu standardu »verjetnosti«, poleg tega ni dovolj, da gre zgolj za neprijetnost, ampak mora biti delo organa resno ohromljeno zaradi upravnega bremena, ki bi bilo posledica obravnave zahteve po ZDIJZ. V praksi to pomeni, da mora biti izkazana stvarna, resnicna grožnja za celotno delo organa. Upoštevati je namrec treba, da je tudi posredovanje informacij javnega znacaja ena izmed zakonsko dolocenih nalog organa, zato je organ dolžan zagotoviti ustrezna sredstva in kader, ki takšne zahteve rešuje. Informacijski pooblašcenec v zahtevi prosilke in v predloženi dokumentaciji ni zaznal okolišcin, ki bi vzbujale pomisleke o slabih namerah prosilke. Informacijski pooblašcenec in sodišce sta že veckrat poudarila, da imajo mediji v družbenem prostoru pomembno vlogo, da kot »javni cuvaji« oz. »cetrta veja oblasti« zbirajo informacije, ki so splošnega pomena, zato da bi bile te posredovane javnosti zaradi demokraticnega diskurza. Informacijski pooblašcenec je pritožbi prosilke ugodil in organu naložil posredovanje zahtevanih dokumentov. KLJUCNE BESEDE: mediji, zloraba pravice, javni uslužbenci, številka odlocbe 090-239/2019 2.6 AKTIVNOSTI IZOBRAŽEVANJA IN OZAVEŠCANJA Nacelo transparentnosti je eden temeljnih postulatov vsake demokraticne družbe, zato mora (p)ostati eno vodilnih nacel delovanja organov javnega sektorja. Odprtost in preglednost delovanja javnih organov je bistvenega pomena za njihovo boljše delovanje, kar na drugi strani prinaša koristi vsem clanom družbe. Zato Informacijski pooblašcenec pozornost namenja tudi aktivnostim ozavešcanja strokovne in splošne javnosti, s katerimi spodbuja dobro prakso na podrocju dostopa do informacij javnega znacaja. 2.6.1DAN PRAVICE VEDETI Leta 2002 je bil 28. september izbran za svetovni dan pravice vedeti, ko so se razlicne organizacije civilne družbe iz številnih držav povezale v organizacijo Freedom of Information Advocates Network (FOIAnet). Dogodek obeležujemo tudi v Sloveniji. V okviru dogodkov ob svetovnem dnevu pravice vedeti je Informacijski pooblašcenec organiziral posvet z naslovom Zapleti in razpleti postopkov dostopa do informacij javnega znacaja, na katerem je beseda tekla o procesnih in vsebinskih dilemah pri izvajanju ZDIJZ ter o reševanju izzivov, s katerimi se zavezanci in prosilci srecujejo v praksi. Udeležence posveta sta uvodoma nagovorila minister za javno upravo Rudi Medved in informacijska pooblašcenka Mojca Prelesnik, ki je poudarila, da so zavezanci z dolocbami ZDIJZ v splošnem dobro seznanjeni in da vse vec zaprošajo za pojasnila, iz cesar izhaja, da so aktivni in odzivni. Enako velja tudi za prosilce, na kar kaže nenehen trend rasti pritožbenih zadev. Informacijski pooblašcenec je ob svetovnem dnevu pravice vedeti poudaril, da je svoboden pretok informacij v interesu vseh. Zavezanci in prosilci naj bodo zato pri razvoju dobrih praks dostopa do informacij javnega znacaja cim bolj aktivni. 33 Dogodek “Dan pravice vedeti 2019”. 2.6.2MEDNARODNO SODELOVANJE Oktobra 2019 se je Informacijski pooblašcenec na povabilo brandenburške informacijske pooblašcenke udeležil mednarodnega simpozija z naslovom Dostop do informacij javnega znacaja in novinarstvo – ucinkovito orodje za raziskovanje v praksi?, ki je potekal v Potsdamu. V okviru dogodka so zastopniki informacijskih pooblašcencev, novinarji in predstavniki nevladnih organizacij iz razlicnih evropskih držav predstavili dileme pri dostopu do informacij v praksi. Na povabilo slovenske nevladne organizacije PiNA je Informacijski pooblašcenec v okviru projekta YOU4EU novembra 2019 sodeloval na mednarodni konferenci v Podgorici. Tema konference je bilo vkljucevanje državljanov v razlicne procese v EU. Namestnica informacijske pooblašcenke je bila gostja okrogle mize o nacrtovanih spremembah zakona o dostopu do informacij javnega znacaja v Crni gori. Predstavila je izkušnje Slovenije z izvajanjem ZDIJZ, trenutno stanje ter glavne izzive, s katerimi se Informacijski pooblašcenec srecuje v praksi. Informacijski pooblašcenec se je decembra 2019 udeležil delavnice Freedom of Information & Access to Information v Gibraltarju. To je bila že druga mednarodna delavnica o reševanju konkretnih primerov iz prakse organov, pristojnih za nadzor nad dostopom do informacij javnega znacaja. Predstavljene so bile razlicne nacionalne ureditve postopkov dostopa do informacij javnega znacaja, predvsem konkretni primeri iz prakse: udeleženci so se osredotocili na dileme, težave in ovire, s katerimi se srecujejo uradne osebe pri vodenju in odlocanju v pritožbenih postopkih dostopa do informacij javnega znacaja. Posebna pozornost je bila namenjena izkušnjam s podrocja proaktivne objave podatkov, mednarodnim standardom v pritožbenih postopkih, dilemi, ali so pravila dostopa do informacij javnega znacaja lex specialis ali lex generalis, vprašanje stroškov dostopa do informacij in druge. Informacijski pooblašcenec je na delavnici sodeloval z dvema prispevkoma: Exceptions to the duty to disclose information in Slovenia in The Public Interest Test in relation to information. 2.7 SPLOŠNA OCENA IN PRIPOROCILA Informacijski pooblašcenec ugotavlja, da je bilo število pritožbenih zadev na podrocju dostopa do informacij javnega znacaja v letu 2019 na primerljivi ravni kot v letu 2018 (leta 2019 je bilo vloženih 540 pritožbenih zadev). Povecalo se je število pritožb zoper molk državnih organov (v letu 2018 je Informacijski pooblašcenec obravnaval 213 tovrstnih pritožb, v letu 2019 pa 222), zmanjšalo pa se je število pritožb zoper molk obcin (v letu 2018 je Informacijski pooblašcenec obravnaval 123 tovrstnih pritožb, v letu 2019 pa 106). Ker se število pritožb zaradi molka organa v zadnjih letih povecuje, je Informacijski pooblašcenec podrobneje analiziral te pritožbene postopke in ugotovil, da je le v 172 primerih od 235 prejetih pritožb zaradi molka dejansko uvedel postopek, v preostalih zadevah pa je bila pritožba prosilca preuranjena, nepopolna oz. ni šlo za molk zavezanca po ZDIJZ, ker zahteva ni bila podana po tem zakonu. V 172 zadevah, v katerih je Informacijski pooblašcenec zoper zavezance uvedel postopek, je velika vecina zavezancev molk v dodatnem roku odpravila in prosilcem dostop do zahtevane informacije v celoti oz. delno omogocila (v 130 primerih), v 42 primerih pa so zavezanci izdali zavrnilno odlocitev oz. so zahteve zavrgli. Od vseh prejetih pritožb zoper molk organa jih je bilo 26 vloženih s strani medijev, ker ti v zakonskem roku sedmih delovnih dni niso prejeli zahtevanih informacij v skladu s 45. clenom ZMed. Tudi v teh postopkih je Informacijski pooblašcenec najvec pritožb prejel zoper organe državne uprave (10 pritožb). Navedeno kaže, da zavezanci vecinoma niso molku, ker zahtevanih informacij ne želijo posredovati, ampak po oceni Informacijskega pooblašcenca k reševanju zahtevkov po ZDIJZ ne pristopijo pravocasno in posledicno zamudijo skrajni zakonski rok za odlocitev. Izhajajoc iz statistike lahko sicer ugotovimo, da je cca. 30 % vloženih pritožb zaradi molka neutemeljenih, še vedno pa je skrb vzbujajoce dejstvo, da narašca število prejetih pritožb zoper organe državne uprave (ministrstva in organi v sestavi). Zoper to skupino zavezancev je bil vložen tudi najvecji delež vseh pritožb zaradi molka (29 %), pri cemer gre za zavezance iz t. i. kroga ožje državne uprave, ki bi po 16 letih veljavnosti ZDIJZ vsekakor morali biti sposobni vse zahteve za dostop do informacij javnega znacaja obravnavati pravocasno, torej v zakonsko dolocenem roku 20 delovnih dni. Glede na visok delež pritožb zaradi molka v skupnem deležu vseh pritožb (44 %) Informacijski pooblašcenec ocenjuje, da bo v prihodnje treba (še) vec napora vložiti v aktivnejše usposabljanje zavezancev za uporabo zakona v praksi, kar je sicer primarno naloga Ministrstva za javno upravo, ki po 32. clenu ZDIJZ med drugim svetuje zavezancem v zvezi z uporabo tega zakona ter opravlja spodbujevalne in razvojne naloge. Informacijski pooblašcenec kot pritožbeni organ lahko organom svetuje le v okviru neformalnega svetovanja, na podlagi primerov iz prakse, ki jih je že obravnaval. Informacijski pooblašcenec je tako v letu 2019 podal 300 pisnih odgovorov na zaprosila zavezancev ter 629-krat svetoval v okviru telefonskega dežurstva. Z namenom predstavitve svoje prakse je izvedel tudi pet prakticnih delavnic za upravne enote: udeležilo se jih je 134 udeležencev iz 51 upravnih enot. Primere svoje prakse Informacijski pooblašcenec redno objavlja na svoji spletni strani, pri cemer se trudi, da je ta ažurna in da so objave pregledno dostopne, vse z namenom olajšati delo zavezancev in seznanjati javnost s pomenom te temeljne clovekove pravice. V letu 2019 je Informacijski pooblašcenec vodil 17 postopkov zoper poslovne subjekte pod prevladujocim vplivom, kar predstavlja le 3 % vseh pritožbenih zadev. Informacijski pooblašcenec ugotavlja, da število teh pritožb že vsa leta ostaja nizko. Na podlagi konkretnih pritožbenih primerov Informacijski pooblašcenec podaja naslednje ugotovitve in priporocila za delo zavezancev v prihodnje: • Podobno kot v letu 2018 je tudi v letu 2019 Informacijski pooblašcenec zaznal povecanje števila pritožbenih postopkov glede dostopa do informacij, ki se nanašajo na javne uslužbence in javne funkcionarje (število prejetih pritožb se je povecalo za 75 %). Ker so zavezanci v teh primerih dostop do zahtevanih informacij neutemeljeno zavrnili s sklicevanjem na varovane osebne podatke, Informacijski pooblašcenec opozarja, da so tudi po uveljavitvi Splošne uredbe ti podatki, v skladu s tretjim odstavkom 6. clena ZDIJZ, doloceni kot absolutno javni. Takšna je tudi dolgoletna praksa Informacijskega pooblašcenca in Upravnega sodišca. • Tudi v letu 2019 je Informacijski pooblašcenec zaznal povecanje števila pritožb, ki se nanašajo na dokumente iz inšpekcijskih postopkov. V teh pritožbenih postopkih je bilo ugotovljeno, da zavezanci pogosto neupraviceno niso uporabili pravila delnega dostopa, ampak so prosilcem dostop zavrnili v celoti, ceprav zahtevane informacije niso v celoti predstavljale zakonskih izjem od prosto dostopnih informacij. Ob tem velja opozoriti, da ce dokument ali njegov del le delno vsebuje varovane informacije in je mogoce slednje izlociti iz dokumenta, ne da bi to ogrozilo njihovo zaupnost, mora organ slediti pravilu delnega dostopa in prosilca seznaniti z vsebino preostalega, nevarovanega dela dokumenta. • Ker morajo zavezanci informacije javnosti posredovati tudi sami, brez zahteve prosilca, jih Informacijski pooblašcenec poziva, naj temu podrocju namenijo vec pozornosti in naj ravnajo proaktivno ter se s tem izognejo morebitnim postopkom po ZDIJZ. Informacijski pooblašcenec je v vec pritožbenih postopkih v letu 2019 namrec ugotovil, da so bile predmet zahteve informacije, ki bi jih morali organi že sami javno objavljati po 10. in 10.a clenu ZDIJZ. • Podobno kot v letu 2018 je tudi v 2019 Informacijski pooblašcenec ugotovil, da zavezanci pri obravnavi zahtev ne namenijo dovolj pozornosti postopkovnim vprašanjem, posledica nepopolno oz. napacno ugotovljenega dejanskega stanja s strani zavezanca na prvi stopnji pa je, da se izpodbijane odlocbe ne da preizkusiti. V primerih, ko zavezanci zahtevo prosilca zaradi obstoja zakonskih izjem zavrnejo, je namrec kljucno, da popolnoma ugotovijo dejansko stanje in se konkretno opredelijo do vsebine zahtevanih dokumentov. Iz obrazložitve mora biti razvidno, o katerih dokumentih so odlocali ter v katerem delu je bila zahteva prosilca zavrnjena. Razlogi, zakaj se dostop do zahtevanih dokumentov zavrne, morajo biti pojasnjeni na nacin, da so prosilcem razumljivi in skladni z izrekom odlocbe. • Ker je Informacijski pooblašcenec v letu 2019 zaznal povecanje števila pritožb zaradi molka pri organih ožje državne uprave, jih poziva, naj podrocju dostopa do informacij javnega znacaja namenijo vec pozornosti in s tem zagotovijo, da bodo zahteve prosilcev obravnavali v okviru zakonskih rokov. VARSTVO OSEBNIH PODATKOV Varstvo temeljne clovekove pravice do zasebnosti 37 3.1KONCEPT VARSTVA OSEBNIH PODATKOV V REPUBLIKI SLOVENIJI Koncept varstva osebnih podatkov v Republiki Sloveniji temelji na dolocbi 38. clena Ustave RS, po kateri je varstvo osebnih podatkov ena izmed zagotovljenih clovekovih pravic in temeljnih svobošcin v državi. Omenjena dolocba zagotavlja varstvo osebnih podatkov, prepoveduje uporabo osebnih podatkov v nasprotju z namenom njihovega zbiranja, vsakomur zagotavlja pravico do seznanitve z zbranimi osebnimi podatki, ki se nanašajo nanj, ter pravico do sodnega varstva ob njihovi zlorabi. Za normativno urejanje varstva osebnih podatkov je pomemben predvsem drugi odstavek 38. clena Ustave RS, ki doloca, da zbiranje, obdelovanje, namen uporabe, nadzor in varstvo tajnosti osebnih podatkov doloca zakon (splošen, sistemski zakon in podrocni zakoni). Gre za t. i. obdelovalni model z dolocenimi pravili za urejanje dopustne obdelave osebnih podatkov na zakonski ravni. Po tem modelu je na podrocju obdelave osebnih podatkov prepovedano vse, razen tistega, kar je z zakonom izrecno dovoljeno. Vsaka obdelava osebnih podatkov namrec pomeni poseg v z ustavo varovano clovekovo pravico. Zato je tak poseg dopusten, ce je v zakonu dolocno opredeljeno, kateri osebni podatki se smejo obdelovati, namen njihove obdelave, zagotovljeno pa mora biti tudi ustrezno varstvo in zavarovanje osebnih podatkov. Namen obdelave osebnih podatkov mora biti ustavno dopusten, obdelovati pa se smejo le tisti osebni podatki, ki so primerni in za uresnicitev namena nujno potrebni. Ureditev varstva osebnih podatkov v sistemskem zakonu je potrebna zaradi enotne dolocitve nacel, pravil in obveznosti ter zaradi zapolnitve pravnih praznin, ki bi lahko nastale v podrocnih zakonih. Kljucni sistemski zakon glede varstva osebnih podatkov je bil do 25. 5. 2018 Zakon o varstvu osebnih podatkov. V okviru reforme varstva osebnih podatkov na ravni EU pa sta bila 4. 5. 2016 v Uradnem listu EU objavljena kljucna gradnika novega zakonodajnega svežnja EU o varstvu osebnih podatkov, in sicer: • Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. 4. 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) in • Direktiva (EU) 2016/680 Evropskega parlamenta in Sveta z dne 27. 4. 2016 o varstvu posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprecevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, in o prostem pretoku takih podatkov ter o razveljavitvi Okvirnega sklepa Sveta 2008/977/PNZ (Direktiva 2016/680, t. i. Direktiva za organe pregona kaznivih dejanj). Splošna uredba o varstvu podatkov (Splošna uredba; angl. General Data Protection Regulation (GDPR)) je zacela veljati 25. 5. 2016, uporablja pa se neposredno od 25. 5. 2018. Rok za prenos dolocb Direktive (EU) 2016/680 v nacionalno zakonodajo je bil dve leti, a Slovenija Direktive za organe pregona kaznivih dejanj do konca aprila 2020 še ni prenesla v svoj pravni red. V Sloveniji tako za zavezance po Direktivi za organe pregona kaznivih dejanj kot sistemski predpis za varstvo osebnih podatkov še vedno v celoti velja Zakon o varstvu osebnih podatkov (ZVOP-1). S Splošno uredbo so se okrepile pravice posameznika, poleg obstojece pravice do dostopa do osebnih podatkov ter pravice do popravka še pravica do pozabe, izbrisa, omejitve obdelave, ugovora in prenosljivosti podatkov. Precej vecji poudarek je zdaj na transparentnosti obdelave, tj. glede zagotavljanja preglednih in lahko dostopnih informacij posameznikom o obdelavi njihovih podatkov. Splošna uredba doloca tudi nove obveznosti upravljavcev in obdelovalcev podatkov, kot so obveznost izvajanja ustreznih varnostnih ukrepov in obveznost uradnega obvešcanja o kršitvah varstva osebnih podatkov, imenovanje pooblašcenih oseb za varstvo podatkov, izvajanje ocen ucinka. Upravljavci niso vec dolžni prijavljati zbirk osebnih podatkov v register zbirk osebnih podatkov, ostajajo pa dolžnosti sprejema popisa zbirk (t. i. evidence dejavnosti obdelave); te dolžnosti se krepijo in uvajajo tudi za (pogodbene) obdelovalce. Splošna uredba bistveno bolj poudarja nacelo odgovornosti in preventivne ukrepe, poleg omenjenih mehanizmov zagotavljanja skladnosti uvaja tudi možnost potrjevanja sektorskih kodeksov ravnanja in certifikacije. V Splošni uredbi je potrjena obstojeca obveznost držav clanic glede ustanovitve neodvisnega nadzornega organa na nacionalni ravni. Njen cilj je tudi vzpostavitev mehanizmov, s katerimi bi zagotovili doslednost pri izvajanju zakonodaje o varstvu podatkov v vsej EU. Bistveno je, da bo v primeru, ko bo obdelava osebnih podatkov potekala v vec kot eni državi clanici, za nadzor nad temi dejavnostmi po nacelu sodelovanja »vse na enem mestu«, odgovoren vodilni nadzorni organ, tj. organ tiste države clanice, v kateri je glavni ali edini sedež Casovni razvoj Zakona o varstvu osebnih podatkov. upravljavca ali obdelovalca. Ostali nadzorni organi bodo v postopkih nadzora sodelovali kot zadevni organi. Splošna uredba zajema tudi ustanovitev Evropskega odbora za varstvo podatkov (EOVP, angl. European Data Protection Board (EDPB)). V odboru sodelujejo predstavniki vseh 28 neodvisnih nadzornih organov EU in EGS (Islandija, Norveška in Lihtenštajn), Evropske komisije in Evropskega nadzornika za varstvo podatkov; odbor nadomešca Delovno skupino za varstvo podatkov iz clena 29 (Article 29 Working Party). 3.2INŠPEKCIJSKI NADZOR V LETU 2019 Postopek inšpekcijskega nadzora, ki ga izvaja Informacijski pooblašcenec oz. državni nadzorniki za varstvo osebnih podatkov, poleg ZVOP-1, Zakona o Informacijskem pooblašcencu (ZInfP) in Splošne uredbe urejata še Zakon o inšpekcijskem nadzoru (ZIN) in Zakon o splošnem upravnem postopku (ZUP). Informacijski pooblašcenec v inšpekcijskih postopkih nadzira izvajanje dolocb Splošne uredbe, ZVOP-1 in vseh tistih predpisov, ki urejajo podrocje varstva osebnih podatkov. V okviru inšpekcijskega nadzora Informacijski pooblašcenec nadzira zlasti: • zakonitost in preglednost obdelave osebnih podatkov; • ustreznost ukrepov varnosti osebnih podatkov ter izvajanje postopkov in ukrepov za zagotovitev varnosti osebnih podatkov; • izvajanje dolocb Splošne uredbe, ki urejajo posebne izraze nacela odgovornosti (uradno obvešcanje nadzornih organov in posameznikov o kršitvi varnosti, ocene ucinka, pooblašcene osebe za varstvo osebnih podatkov, evidence dejavnosti obdelav); • izvajanje dolocb Splošne uredbe glede prenosa osebnih podatkov v tretje države ali mednarodne organizacije in glede njihovega posredovanja tujim uporabnikom osebnih podatkov; • izvajanje dolocb Splošne uredbe glede obdelave na podlagi pogodbe o obdelavi osebnih podatkov. Splošna uredba daje Informacijskemu pooblašcencu v clenu 58 naslednja inšpekcijska pooblastila: 1. Preiskovalna pooblastila: • da upravljavcu in obdelovalcu ter, ce je ustrezno, predstavniku upravljavca ali obdelovalca odredi, naj zagotovi vse informacije, ki jih potrebuje za opravljanje svojih nalog; • da izvaja preiskave v obliki pregledov na podrocju varstva podatkov; • da izvaja preglede potrdil skladnosti obdelav (certifikatov); • da upravljavca ali obdelovalca uradno obvesti o domnevni kršitvi Splošne uredbe; • da od upravljavca ali obdelovalca pridobi dostop do vseh osebnih podatkov in informacij, ki jih potrebuje za opravljanje svojih nalog; • da pridobi dostop do vseh prostorov upravljavca ali obdelovalca, vkljucno z vso opremo in sredstvi za obdelavo podatkov, v skladu s pravom EU ali postopkovnim pravom države clanice. 2. Popravljalna pooblastila: • da izda upravljavcu ali obdelovalcu opozorilo, da bi predvidena dejanja obdelave verjetno kršila dolocbe Splošne uredbe; • da upravljavcu ali obdelovalcu izrece opomin, kadar so bile z dejanji obdelave kršene dolocbe Splošne uredbe; • da upravljavcu ali obdelovalcu odredi, naj ugodi zahtevam posameznika, na katerega se nanašajo osebni podatki, glede uresnicevanja njegovih pravic na podlagi Splošne uredbe; • da upravljavcu ali obdelovalcu odredi, naj dejanja obdelave, ce je to ustrezno, na dolocen nacin in v dolocenem roku uskladi z dolocbami Splošne uredbe; • da upravljavcu odredi, naj posameznika, na katerega se nanašajo osebni podatki, obvesti o kršitvi varstva osebnih podatkov; • da uvede zacasno ali dokoncno omejitev obdelave, vkljucno s prepovedjo obdelave; • da v zvezi s pravico posameznika odredi popravek ali izbris osebnih podatkov oz. omejitev obdelave in o takšnih ukrepih uradno obvesti uporabnike, ki so jim bili osebni podatki razkriti; • da preklice potrdilo ali organu za potrjevanje odredi preklic potrdila, izdanega v skladu s clenoma 42 in 43, ali da organu za potrjevanje odredi, naj ne izda potrdila, kadar zahteve v zvezi s potrdilom niso ali niso vec izpolnjene; • da glede na okolišcine posameznega primera poleg ali namesto ukrepov iz tega odstavka naloži upravno globo v skladu s clenom 83; • da odredi prekinitev prenosov podatkov uporabniku v tretji državi ali mednarodni organizaciji. 41 Informacijski pooblašcenec je leta 2019 zaradi suma kršitev dolocb Splošne uredbe in/ali ZVOP­1 vodil 1.183 inšpekcijskih zadev, od tega 337 v javnem in 846 v zasebnem sektorju, kar pomeni, da se število inšpekcijskih zadev še vedno povecuje. V primerjavi z letom 2018, ki je bilo glede porasta števila inšpekcijskih zadev rekordno (57 % porast inšpekcijskih postopkov glede na leto 2017), je število inšpekcijskih zadev znova naraslo, in sicer za 15 %. Število inšpekcijskih zadev med letoma 2006 in 2019. 1400 1200 1000 800 600 400 200 0 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 2017 2018 2019 Posameznemu državnemu nadzorniku za varstvo osebnih podatkov je bilo leta 2017 dodeljenih v povprecju 61, leta 2018 92 in leta 2019 74 inšpekcijskih zadev. Število zadev na državnega nadzornika se je v letu 2019 glede na leto 2017 povecalo, glede na leto 2018 pa se je kljub povecanju skupnega števila zadev zmanjšalo zaradi zaposlitve novih državnih nadzornikov. Število dodeljenih inšpekcijskih zadev na posameznega nadzornika v letih 2017, 2018 in 2019. Prijave, ki jih je prejel Informacijski pooblašcenec, so se nanašale na naslednje sume kršitev dolocb Splošne uredbe in ZVOP-1: Sum kršitve Število prijav nezakonito razkrivanje osebnih podatkov: posredovanje osebnih podatkov 405 nepooblašcenim uporabnikom in nezakonita objava osebnih podatkov nezakonita obdelava osebnih podatkov pri izvajanju neposrednega trženja 150 nezakonito zbiranje oz. zahtevanje osebnih podatkov 114 nezakonito izvajanje videonadzora 112 neustrezno zavarovanje osebnih podatkov 96 nezakonit vpogled v osebne podatke 83 obdelava osebnih podatkov v nasprotju z namenom zbiranja 36 Hekerski napadi in vdori v informacijske sisteme 32 Zavrnitev izbrisa osebnih podatkov 31 Piškotki 13 Zavrnitev posredovanja osebnih podatkov Razno (npr. obdelava osebnih podatkov po preteku roka hrambe; uporaba netocnih podatkov; kršitev pravice do seznanitve z lastnimi osebnimi podatki in pravice do ugovora; sumi kršitev, ki ne sodijo v pristojnost Informacijskega pooblašcenca, npr. kršitev pravil v postopkih pri drugih organih, kazniva dejanja zoper cast in dobro ime) 10 38 3.2.1 INŠPEKCIJSKI NADZOR V JAVNEM SEKTORJU Zaradi suma kršitev dolocb Splošne uredbe in/ali ZVOP-1 je Informacijski pooblašcenec zoper zavezance v javnem sektorju v letu 2019 vodil 337 zadev, 319 jih je zacel na podlagi prejetih prijav, 18 pa po uradni dolžnosti. Informacijski pooblašcenec je 128 prijaviteljem pisno pojasnil, zakaj v prijavi opisano ravnanje ne pomeni kršitve zakonodaje s podrocja varstva osebnih podatkov, v 34 primerih pa je po preucitvi prijav zakljucil, da uvedba inšpekcijskih postopkov ne bi bila smiselna, ker je šlo za enkratna dejanja oz. kršitve varstva osebnih podatkov v preteklosti, ki jih z inšpekcijskimi ukrepi za nazaj ni vec mogoce prepreciti ali odpraviti. V teh primerih je zoper 24 kršiteljev uvedel postopke o prekršku oz. jim je izrekel ukrepe v skladu z Zakonom o prekrških (ZP-1), v devetih primerih je ocenil, da uvedba postopka o prekršku ne bi bila smiselna, ker v prijavi opisano ravnanje predstavlja prekršek neznatnega pomena, v enem primeru pa postopka ni uvedel zaradi zastaranja pregona. Šest prijaviteljev je Informacijski pooblašcenec napotil na pravico do seznanitve z lastnimi osebnimi podatki, dve prijavi je odstopil v reševanje pristojnim organom, v štirih primerih pa ni uvedel postopka, ker iz prijave ni bilo razvidno, za kakšno kršitev naj bi šlo, prijavitelj pa po pozivu prijave ni dopolnil oz. v prijavi ni posredoval svojih podatkov, zaradi cesar ga Informacijski pooblašcenec niti ni mogel pozvati k posredovanju dodatnih podatkov, ki bi bili potrebni za uvedbo inšpekcijskega postopka. Leta 2019 je bil v javnem sektorju zakljucen 101 inšpekcijski postopek. Informacijski pooblašcenec je 41 postopkov ustavil, ker so zavezanci ugotovljene nepravilnosti odpravili, v 39 postopkih ni zaznal kršitev dolocb Splošne uredbe ali ZVOP-1, 21 postopkov pa je ustavil zato, ker je šlo za kršitve, ki so predstavljale enkratna dejanja v preteklosti, ki jih z inšpekcijskimi ukrepi za nazaj ni bilo vec mogoce odpraviti. 43 3.2.2INŠPEKCIJSKI NADZOR V ZASEBNEM SEKTORJU Informacijski pooblašcenec je zoper zavezance v zasebnem sektorju vodil 846 zadev, od tega 770 na podlagi prejetih prijav, 19 postopkov je uvedel po uradni dolžnosti, preostali (57) pa so bili uvedeni po iniciativi drugih nadzornih organov v EU v okviru cezmejnega sodelovanja, kjer je Informacijski pooblašcenec sodeloval kot zadevni organ (vec v poglavju 3.2.4.). Po preucitvi prijav je Informacijski pooblašcenec 319 prijaviteljev obvestil, da postopka inšpekcijskega nadzora ne bo uvedel, ker iz njihove prijave ne izhaja sum kršitev dolocb Splošne uredbe in ZVOP-1, 82 prijaviteljev pa je napotil na pravice, ki jih morajo pri upravljavcih osebnih podatkov uveljavljati sami, najveckrat na pravico do seznanitve z lastnimi osebnimi podatki in pravico do ugovora. Informacijski pooblašcenec je 59 prijav odstopil v reševanje pristojnim organom (v vecini primerov Agenciji RS za komunikacijska omrežja in storitve), na podlagi 26 prijav inšpekcijskega postopka ni uvedel, ker je šlo za enkratna dejanja oz. kršitve varstva osebnih podatkov v preteklosti, ki jih z inšpekcijskimi ukrepi za nazaj ni bilo vec možno prepreciti ali odpraviti. Ugotovljene kršitve je obravnaval v okviru pristojnosti, ki jih ima kot prekrškovni organ, in sicer je 19 kršiteljem izrekel ukrepe po ZP-1, v šestih primerih je ocenil, da ukrepa po ZP-1 ne bo izrekel, ker gre za prekršek neznatnega pomena, v enem primeru pa uvedba prekrškovnega postopka ni bila dopustna zaradi zastaranja pregona. Sedem prijav je vsebovalo premalo podatkov za uvedbo inšpekcijskega postopka, poleg tega so bile anonimne in Informacijski pooblašcenec prijaviteljev ni mogel pozvati k dopolnitvi. Leta 2019 je Informacijski pooblašcenec pri zavezancih v zasebnem sektorju ustavil 231 postopkov: 109 postopkov je ustavil, ker ni bilo kršitev dolocb ZVOP-1, 92 postopkov je ustavil po tem, ko so zavezanci odpravili ugotovljene nepravilnosti, 30 postopkov pa je zakljucil, ker v zvezi z ugotovljenimi prekrški ni bilo mogoce izreci inšpekcijskih ukrepov, saj je šlo za enkratna dejanja v preteklosti. Zoper en sklep o ustavitvi postopka je zavezanec vložil tožbo na Upravno sodišce RS. Informacijski pooblašcenec je prejel dve sodbi Upravnega sodišca RS v zvezi s tožbama, vloženima leta 2017 in 2018 zoper ureditveno odlocbo in sklep o ustavitvi inšpekcijskega postopka. Sodišce je obema tožbama ugodilo, odlocbo in sklep odpravilo ter zadevi vrnilo Informacijskemu pooblašcencu v ponoven postopek. Pregled inšpekcijskih zadev v javnem in zasebnem sektorju leta 2019. 57 na predlog 846 ZASEBNI 337 JAVNI tujih nadzornih SEKTOR SEKTOR organov 319 UVEDENIH 18 EX OFFO 19 EX OFFO 770 UVEDENIH POSTOPKOV POSTOPKOV SKUPAJ 337 POSTOPKOV SKUPAJ 846 POSTOPKOV 44 3.2.3PRIJAVA KRŠITEV VARNOSTI OSEBNIH PODATKOV Skladno s clenom 33 Splošne uredbe so zavezanci dolžni obvestiti nadzorni organ (Informacijskega pooblašcenca) o zaznanih kršitvah varnosti osebnih podatkov, ce je verjetno, da bi bile s kršitvijo ogrožene pravice in svobošcine posameznikov. Obvestilo je treba podati takoj po zaznani kršitvi, najkasneje pa v 72 urah. Kadar je verjetno, da kršitev varnosti osebnih podatkov povzroci veliko tveganje za pravice in svobošcine posameznikov, mora upravljavec kršitev sporociti tudi posamezniku, na katerega se osebni podatki nanašajo. V primeru hudih kršitev lahko Informacijski pooblašcenec zavezancu naloži, da mora o kršitvi obvestiti tudi prizadete posameznike. Informacijski pooblašcenec je leta 2019 prejel 137 uradnih obvestil o kršitvi varnosti osebnih podatkov, t. i. samoprijav, ki so jih poslali zavezanci. 80 obvestil so poslali zavezanci iz zasebnega sektorja (npr. banke, telekomunikacijski operaterji, zavarovalnice), 57 pa zavezanci iz javnega sektorja (predvsem zdravstvene in izobraževalne ustanove). Kršitve varnosti osebnih podatkov so se najpogosteje nanašale na: • posredovanje dokumentov z osebnimi podatki (npr. zdravniških izvidov, racunov, dokumentov v upravnih postopkih, debetne kartice) napacnim osebam kot posledica nenamerne cloveške napake ali netocnih podatkov v zbirkah osebnih podatkov (npr. e-naslovov strank) – 26, • izguba dostopa do osebnih podatkov (onemogocanje dostopa do podatkov zaradi kriptiranja z zlonamerno programsko kodo, t. i. izsiljevalski virus, izguba ali kraja uporabniškega imena in gesla) – 21, • izguba ali kraja prenosnega racunalnika ali drugih nosilcev osebnih podatkov (USB-kljuc, zdravstveni karton, zvezek z osebnimi podatki strank) – 11, • nezakonito razkritje osebnih podatkov (e-naslovov) pri pošiljanju e-sporocila vec prejemnikom – 8, • hekerski vdor – 6, • nepooblašcen dostop do osebnih podatkov s strani zaposlenih – 6, • razkritje osebnih podatkov zaradi napake v aplikaciji oz. tehnicne napake – 5, • neustrezno zagotavljanje varnosti osebnih podatkov na spletni strani – 5, • pošiljanje zlonamerne e-pošte in objava lažne spletne strani (ang. phishing) – 5. Informacijski pooblašcenec je v pomoc upravljavcem na svoji spletni strani pojasnil, katere kršitve pomenijo kršitve varnosti v smislu Splošne uredbe ter o katerih kršitvah in v kolikšnem casu so ga dolžni obvestiti. Za obvešcanje je odprl namenski poštni predal (prijava-krsitev@ip-rs.si), na spletni strani je dostopen tudi obrazec Uradno obvestilo o kršitvi varnosti osebnih podatkov, ki ga lahko upravljavci uporabijo za obvešcanje, objavljene pa so tudi smernice Evropskega odbora za varstvo podatkov v zvezi z uradnim obvestilom o kršitvi varstva osebnih podatkov in infografika Prijava kršitev varnosti (Data breach notification). 45 Prijave kršitev varstva osebnih podatkov leta 2019 – infografika. OCENI TVEGANJE UKREPA 1 ZAZNA KRŠITEV 2 3 verjetnost resnost NIZKO INTERNO (lastna evidenca) TVEGANJE PRIMERI: KRITERIJI: Izguba USB kljucka z osebnimi podatki, ki so šifrirani in upravljavec ima kopijo. Nekaj minutni izpad elektrike v klicnem centru onemogoci strankam, da pridobijo telefonsko zvezo z upravljavcem, da lahko dostopajo do svojih zbirk. Vrsta kršitve Narava, obcutljivost in kolicina osebnih podatkov obvesti VERJETNO Enostavnost identifikacije posameznikov (posredno, neposredno, šifrirani…) TVEGANJE PRIMERI: Resnost posledic za posameznike Izguba USB kljucka, podatki niso bili varno verjetno, da so šifrirani. Posebne znacilnosti posameznika ogrožene pravice Izguba šifriranih kopij, U nima varnostnih kopij. POT OBVEŠCANJA: in svobošcine Izsiljevalski napad povzroci šifriranje vseh podatkov in U nima varnostnih kopij (lahko da je Posebne znacilnosti U (npr. bolnišnica ali oglaševalec) treba obvestiti tudi posamzenike obvesti obvesti IN/ALI Število prizadetih posameznikov VELIKO obvesti TVEGANJE za pravice in svobošcine PRIMERI: V kibernetskem napadu ukradejo številke kreditnih kartic gostov hotela. Bancni komitent je prejel izpisek drugega komitenta (vcasih - odvisno od obcutljivosti podatkov). Na spletu se objavijo uporabniška imena, gesla in zgodovina nakupov strank spletne trgovine. www.ip-rs.si: obrazec: Prijava kršitev Uradno obvestilo varnosti o kršitvi varnosti osebnih podatkov 3.2.4 SODELOVANJE PRI CEZMEJNIH INŠPEKCIJSKIH NADZORIH Splošna uredba v poglavju 7 zapoveduje tesno sodelovanje med nadzornimi organi za varstvo osebnih podatkov v državah clanicah EU in EGS (Islandija, Norveška in Lihtenštajn) pri cezmejnih primerih, in sicer prek naslednjih mehanizmov: • po nacelu »vse na enem mestu« (angl. one stop shop), ki predvideva, da postopek nadzora v cezmejnem primeru obdelave osebnih podatkov vodi t. i. vodilni organ in pri tem sodeluje z drugimi organi za varstvo osebnih podatkov (clen 60 Splošne uredbe); • vzajemna pomoc med organi za varstvo osebnih podatkov v državah clanicah EU (clen 61 Splošne uredbe); • skupno ukrepanje organov za varstvo osebnih podatkov v državah clanicah EU (clen 62 Splošne uredbe). Sodelovanje po mehanizmu »vse na enem mestu« se lahko pricne, ko je ugotovljeno, kateri nadzorni organ bo v postopku prevzel vlogo vodilnega in kateri organ(i) bodo v postopku sodelovali kot zadevni organi. Vodilni organ prihaja iz tiste države clanice EGS, kjer ima upravljavec osebnih podatkov, ki posluje cezmejno, sedež oz. ustanovitev, ki prevzema odgovornost za obdelavo osebnih podatkov. Nadzorni organi iz drugih držav clanic EGS pa se postopku nadzora prikljucijo kot zadevni organi, kadar ima upravljavec na njihovem ozemlju npr. podružnice ali poslovne enote oz. kadar obdelava osebnih podatkov pomembno vpliva na posameznike v teh državah clanicah. Glavni organ v postopku inšpekcijskega nadzora vodi sodelovanje z drugimi organi ter pripravi osnutek odlocbe, zadevni organi pa lahko izrazijo zadržke. V primeru nestrinjanja med vodilnim in zadevnimi organi o sporu odloci EOVP. Sodelovanje v okviru vseh treh mehanizmov poteka prek informacijskega sistema za notranji trg (Internal Market Information System, sistem IMI) Evropske komisije; ta zagotavlja varno in zaupno komunikacijo med nadzornimi organi ter omogoca izvajanje posameznih faz in postopkov cezmejnega sodelovanja v za to dolocenih rokih. V letu 2019 je Informacijski pooblašcenec izvedel 148 postopkov sodelovanja po clenih 60 in 61 Splošne uredbe v zvezi z upravljavci, ki izvajajo cezmejno obdelavo osebnih podatkov, v 77 postopkih se je opredelil za zadevni nadzorni organ (po clenu 56 Splošne uredbe). V nadaljevanju so podrobneje predstavljeni razlicni postopki sodelovanja. Sodelovanje Informacijskega pooblašcenca v cezmejnih postopkih nadzor v letu 2019. Postopki dolocitve Postopki vzajemne pomoci Primeri sodelovanja v glavnega in zadevnih drugim nadzornim mehanizmu "vse na enem nadzornih organov organom mestu" 82 80 80 70 70 81 60 60 80 50 50 79 40 40 78 30 30 77 20 20 76 10 10 75 0 0 2018 2019 2018 2019 2018 2019 Opredelitve vodilnega in zadevnih nadzornih organov po clenu 56 Splošne uredbe Temelj za izvedbo cezmejnega sodelovanja po clenu 60 Splošne uredbe je opredelitev vodilnega in zadevnih nadzornih organov po clenu 56 Splošne uredbe. V 77 tovrstnih postopkih leta 2019 se je Informacijski pooblašcenec opredelil za zadevni organ. Sedem postopkov ugotavljanja je pricel Informacijski pooblašcenec, in sicer na podlagi prijave domnevne kršitve varstva osebnih podatkov v cezmejnem primeru. 70 postopkov ugotavljanja je bilo zacetih na iniciativo drugih organov v EU, Informacijski pooblašcenec pa se je opredelil za zadevni nadzorni organ predvsem: • ker ima upravljavec osebnih podatkov, zoper katerega tece postopek v drugi državi clanici, v Sloveniji poslovno enoto ali je bil tu ustanovljen, • ker storitve upravljavca, zoper katerega tece postopek v drugi državi clanici, uporabljajo posamezniki v Sloveniji in jih vprašanje domnevne kršitve varstva osebnih podatkov pomembno zadeva. Tu gre najveckrat za priljubljene ponudnike komunikacijskih spletnih storitev oz. spletne velikane (Facebook, Google, Amazon, Apple, PayPal, WhatsApp, Twitter, Instagram, Microsoft itd.). Številna od navedenih podjetij ima v EU sedež na Irskem, kar pomeni, da je irski nadzorni organ za varstvo osebnih podatkov vodilni v teh postopkih inšpekcijskega nadzora in sodelovanja, organi iz drugih držav clanic pa v postopku sodelujejo v skladu s pooblastili, ki jih doloca Splošna uredba. Postopki sodelovanja po clenu 60 Splošne uredbe (»vse na enem mestu«) Na temelju postopkov dolocitve vodilnega in zadevnih nadzornih organov je Informacijski pooblašcenec v letu 2019 aktivno sodeloval v 75 postopkih cezmejnega sodelovanja pri inšpekcijskem nadzoru nad podjetji, ki poslujejo cezmejno. V teh postopkih je pricakovan sprejem odlocitve nadzornih organov po clenu 60 Splošne uredbe, po t. i. mehanizmu »vse na enem mestu«. Takšna odlocitev je formalno zavezujoca tudi za Informacijskega pooblašcenca. Vodilni nadzorni organ v najvecjem številu primerov predstavlja irski nadzorni organ, pogosto v tej vlogi nastopajo tudi nadzorni organi Luksemburga, Francije, Nizozemske, Nemcije, Francije in Avstrije. 14 tovrstnih postopkov sodelovanja je sprožil Informacijski pooblašcenec, in sicer na 47 podlagi prejete prijave oz. pritožbe zoper ravnanje zavezanca, ki je ustanovljen v drugi clanici EU ali pa ima ustanovitve v razlicnih clanicah v EU oz. so dejanja obdelave osebnih podatkov zadevala posameznike iz razlicnih držav clanic EU. 61 tovrstnih postopkov je bilo pricetih s strani drugih organov v EU in pogosto zadevajo priljubljene ponudnike komunikacijskih spletnih storitev oz. spletne velikane (Facebook, Google, Amazon, Apple, PayPal, WhatsApp, Twitter, Instagram, Microsoft itd.). Postopki zadevajo skladnost njihovih praks s Splošno uredbo, npr.: • zakonitost obdelave osebnih podatkov s strani ponudnikov družbenih omrežij in priljubljenih komunikacijskih storitev ter drugih upravljavcev, še posebej z vidika uporabe osebnih podatkov posameznikov za namen personaliziranega oglaševanja in ciljanja; • ustreznost njihovih politik zasebnosti in obvešcanja posameznikov o obdelavi osebnih podatkov; • izvrševanje pravic posameznikov (npr. do seznanitve z lastnimi osebnimi podatki, do prenosljivosti podatkov); • kršitve varnosti osebnih podatkov, kot npr. zaradi izkorišcanja varnostnih ranljivosti. V 12 primerih je sodelovanje zadevalo kršitev varstva osebnih podatkov zaradi vdorov v informacijske sisteme in pomanjkljivega zavarovanja osebnih podatkov in je bil prek mehanizma cezmejnega sodelovanja Informacijski pooblašcenec obvešcen o kršitvi, ki je zadevala slovenske uporabnike storitev upravljavca (najpogosteje je šlo za spletne in IT-storitve). Postopki cezmejnega sodelovanja po clenu 60 so v letu 2019 zadevali tako primere, ki jih Informacijski pooblašcenec obravnava v okviru inšpekcijskega nadzora (73 primerov), kot tudi postopke glede vpogleda v lastne osebne podatke s cezmejnim znacajem (dva primera), kjer je prosilec Informacijskemu pooblašcencu podal prijavo zoper upravljavca iz druge države clanice EU (Avstrije). Leta 2019 je bilo v primerih, v katerih je sodeloval Informacijski pooblašcenec, izdanih osem osnutkov odlocb in ena koncna odlocba po clenu 60 Splošne uredbe. Primeri cezmejnega sodelovanja se ne zakljucijo nujno z izdajo koncne odlocbe, saj zakonodaja nekaterih držav clanic EU v primerih, ko zavezanci prostovoljno izpolnijo zahteve prijaviteljev, pozna tudi prijateljske poravnave. V teku pa ostaja vecina postopkov zoper velika multinacionalna podjetja; ti postopki so v fazi konzultacije med organi. V vecini teh primerov kot vodilni nastopa irski nadzorni organ. Postopki »vse na enem mestu« v letu 2019. Postopkov cezmejnega sodelovanja pri 75 inšpekcijskem nadzoru nad podjetji, ki poslujejo cezmejno “vse na enem mestu” Postopki zagotavljanja medsebojne pomoci med nadzornimi organi po clenu 61 Splošne uredbe Informacijski pooblašcenec je leta 2019 sodeloval v 73 postopkih zagotavljanja medsebojne pomoci med nadzornimi organi po clenu 61 Splošne uredbe. V 40 primerih se je odzval na zahteve drugih organov, 33 zahtev za sodelovanje pa je poslal drugim organom v EU. Postopki po clenu 61 se razlikujejo glede na njihovo prostovoljno naravo v smislu formalno dolocenih rokov. Podrobnejši prikaz postopkov je razviden iz spodnje razpredelnice. Postopki prostovoljne pomoci obicajno zadevajo zahteve nadzornih organov v EU za podajo pojasnil glede konkretnih cezmejnih primerov, ki jih obravnavajo, ali glede usmeritev pri obravnavi dolocene tematike ter posredovanje prijav, kadar je za nadzor nad obdelavo podatkov dolocenega zavezanca krajevno pristojen obravnavati nadzorni organ v drugi državi clanici. Postopki medsebojne pomoci pa obicajno pomenijo zahtevo za izvedbo ukrepov zoper zavezance, ki izvajajo cezmejno obdelavo osebnih podatkov. 49 3.2.5PREKRŠKOVNI POSTOPKI Informacijski pooblašcenec je zaradi suma kršitev dolocb ZVOP-1 leta 2019 uvedel 139 postopkov o prekršku, od tega je 83 postopkov uvedel zoper pravne osebe javnega sektorja in njihove odgovorne osebe, 32 zoper pravne osebe zasebnega sektorja in njihove odgovorne osebe, 24 pa zoper posameznike (v to število so vkljuceni tudi postopki zoper odgovorne osebe državnih organov in samoupravnih lokalnih skupnosti, saj v skladu z ZP-1 Republika Slovenija in samoupravne lokalne skupnosti za prekrške ne odgovarjajo, odgovarjajo le njihove odgovorne osebe – teh je bilo 19). Število uvedenih postopkov o prekršku med letoma 2006 in 2019. 300 250 200 150 100 50 0 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 2017 2018 2019 Za ugotovljeni prekršek lahko prekrškovni organ v skladu s 53. clenom izrece opozorilo, ce je storjeni prekršek neznaten in ce pooblašcena uradna oseba oceni, da je glede na pomen dejanja opozorilo zadosten ukrep. Ce je storjen hujši prekršek, prekrškovni organ izda odlocbo o prekršku, s katero kršitelju izrece sankcijo. V skladu s 4. clenom ZP-1 sta sankciji za prekršek globa in opomin, glede na 57. clen ZP-1 pa se lahko globa izrece tudi v obliki placilnega naloga. Informacijski pooblašcenec je dva predlagatelja obvestil, da na podlagi njunih predlogov ne bo uvedel postopka o prekršku, ker je pregon že zastaral, en postopek o prekršku pa je ustavil. Informacijski pooblašcenec je v prekrškovnih postopkih leta 2019 izdal: • 65 odlocb o prekršku (44 glob in 21 opominov), • 10 opozoril. Poleg opozoril, ki so bila izrecena v prekrškovnih postopkih, je Informacijski pooblašcenec v skladu z nacelom ekonomicnosti izrekel tudi 54 opozoril po 53. clenu ZP-1 v okviru postopkov inšpekcijskega nadzora. Poleg 65 odlocb, ki so po ZP-1 najprej izdane brez obrazložitve, je bilo na podlagi napovedi zahtev za sodno varstvo izdanih 11 odlocb z obrazložitvijo, pri cemer en kršitelj po prejemu odlocbe z obrazložitvijo zahteve za sodno varstvo ni vložil. Kršitelji so zoper izdane odlocbe o prekršku vložili deset zahtev za sodno varstvo (zoper 15,4 % odlocb). Vse zahteve za sodno varstvo so bile vložene zoper odlocbe, s katerimi je Informacijski pooblašcenec kršiteljem izrekel globe. Relativno majhen delež vloženih zahtev za sodno varstvo kaže na to, da storilci storjene prekrške priznavajo in se zavedajo svoje odgovornosti. Kršitve varstva osebnih podatkov leta 2019. Število kršitev (v okviru Vrsta kršitve enega postopka je lahko vec kršitev) Nezakonita obdelava osebnih podatkov (8. clen ZVOP-1) 68 Neustrezno zavarovanje osebnih podatkov (24. in 25. clen ZVOP-1) 42 Nezakonit namen zbiranja in nadaljnje obdelave osebnih 8 podatkov (16. clen ZVOP-1) Kršitve dolocb v zvezi z izvajanjem videonadzora (74., 75., 76. in 77. 8 clen ZVOP-1) Neizpolnjevanje ukrepov, izrecenih v postopkih inšpekcijskega 3 nadzora, kršitev drugega odstavka 29. clena ZIN Kršitve dolocb o neposrednem trženju (72. in 73. clen ZVOP-1) 2 Upravljavec ni zagotavljal zunanje sledljivosti oz. evidence posredovanja osebnih podatkov (tretji odstavek 22. clena 1 ZVOP-1) Nezakonita obdelava obcutljivih oz. posebnih vrst osebnih podatkov (13. clen ZVOP-1) 1 Neustrezno zavarovanje obcutljivih osebnih podatkov (14. clen 1 ZVOP-1) Nezakonito kopiranje osebnih dokumentov (4. a clen ZPLD-1 in 1 4. clen ZOIzk-1) Operater pred izvajanjem letalskih dejavnosti ni izvedel ocene ucinkov in je ni posredoval Informacijskemu pooblašcencu 1 (peti odstavek 19. clena Uredbe o sistemih brezpilotnih zrakoplovov) Informacijski pooblašcenec poudarja, da je na vodenje prekrškovnih postopkov in izrekanje sankcij za ugotovljene kršitve zelo vplivalo dejstvo, da v Sloveniji še vedno ni sprejet sistemski predpis za uporabo Splošne uredbe in prenos Direktive za organe kazenskega pregona (t. i. ZVOP-2). Informacijski pooblašcenec tako ni mogel uvesti postopka za prekrške in izreci sankcije za kršitve dolocb Splošne uredbe; to je lahko storil le za kršitve tistih clenov ZVOP-1, ki še veljajo oz. za zavezance, za katere velja ZVOP-1 v celoti. Leta 2019 je Informacijski pooblašcenec prejel devet sodb, s katerimi so okrajna sodišca odlocila o zahtevah za sodno varstvo, ki so jih storilci vložili zoper odlocbe o prekrških, izdane v letih 2017, 2018 in 2019: • zahteva za sodno varstvo je bila zavrnjena kot neutemeljena, odlocba Informacijskega pooblašcenca pa potrjena – 6, • zahtevi za sodno varstvo je bilo delno ugodeno tako, da je bila odlocba o prekršku Informacijskega pooblašcenca spremenjena glede odlocitve o sankciji in je bil storilcem namesto globe izrecen opomin, sicer pa je bila zahteva za sodno varstvo zavrnjena kot neutemeljena – 2, • postopek o prekršku je bil ustavljen – 1. 51 Sodba, s katero je okrajno sodišce postopek o prekršku ustavilo, še ni pravnomocna, ker je Informacijski pooblašcenec zoper njo vložil pritožbo. 3.2.6IZBRANI PRIMERI OBDELAVE OSEBNIH PODATKOV V nadaljevanju so predstavljeni primeri, v zvezi s katerimi je Informacijski pooblašcenec prejel vecje število prijav, uradnih obvestil in vprašanj, ter primeri najpogostejših kršitev varstva osebnih podatkov, ki jih je Informacijski pooblašcenec zaznal v inšpekcijskih postopkih v letu 2019. Izsiljevalski virusi Med varnostnimi incidenti, katerih število se povecuje iz leta v leto, predstavljajo velik delež t.i. izsiljevalski virusi (angl. ransomware). Iz Porocila o kibernetski varnosti za leto 2018 nacionalnega odzivnega centra za kibernetsko varnost SI-CERT izhaja, da je SI-CERT v letu 2018 prejel 100 prijav izsiljevalskih virusov, pri cemer je bilo potrjenih okužb 61. Do nedavnega so bile žrtve vdorov izbrane nakljucno, kot del širše kampanje širjenja virusov, v zadnjem casu pa so postali ti napadi ciljani, tj. storilci si izberejo tocno doloceno žrtev (npr. institucijo) z namenom povzrociti ji cim vecjo škodo in od nje izsiliti odkupnino. Kadar je s takšnim vdorom ogrožena varnost osebnih podatkov in s tem pravic posameznikov, je treba v reševanje incidenta vkljuciti tudi Informacijskega pooblašcenca, ki ima na podlagi Splošne uredbe na tem podrocju dolocene pristojnosti (clena 33 in 34 Splošne uredbe). Pri izsiljevalskih virusih, ki imajo obliko zlonamerne programske opreme, napadalec zaklene in šifrira podatke o racunalniku ali napravi žrtve, nato pa zahteva odkupnino za obnovitev dostopa. Dolocena izsiljevalska programska oprema (npr. Cryptolocker) šifrira uporabniške datoteke s kljucem, ki ga pozna samo napadalec, druga (npr. Winlocker) pa blokira dostop do sistema, a pusti datoteke nedotaknjene. V mnogih primerih mora žrtev spletnim prevarantom v dolocenem casu placati odkupnino, obicajno v valuti bitcoin, ki je težko izsledljiva, ali pa tvega, da bo za vedno izgubila dostop do svojih podatkov. Placilo odkupnine seveda ne zagotavlja, da bo dostop do zaklenjenih in šifriranih podatkov obnovljen, s placilom odkupnine pa se spodbuja in podpira razvoj še naprednejših tehnik izsiljevanja spletnih kriminalcev. Ce napadalci žrtvi ne ponudijo kljuca za dešifriranje (kljub placilu odkupnine), morda ta ne bo uspela ponovno dobiti dostopa do svojih podatkov ali naprave. Usmeritve v zvezi z varnostnimi ukrepi na podrocju varstva osebnih podatkov upravljavcem in obdelovalcem nudi Splošna uredba. Ta sledi standardom na podrocju informacijske varnosti, kjer je glavno nacelo, da je treba varnostne ukrepe prilagoditi glede na tveganja, ki pretijo varovani dobrini. Tveganja se obicajno ocenjuje kot kombinacijo verjetnosti, da se bo neki nezaželen dogodek zgodil, in resnosti posledic, ce se to dejansko zgodi. Splošna uredba zato v clenu 32 doloca, da se pri dolocanju ustrezne ravni varnosti upoštevajo zlasti tveganja, ki jih pomeni obdelava, zlasti zaradi nenamernega ali nezakonitega unicenja, izgube, spremembe, nepooblašcenega razkritja ali dostopa do osebnih podatkov, ki so poslani, shranjeni ali kako drugace obdelani. Odlocitev o tem, kakšno stopnjo varnosti potrebuje dolocen zavezanec, je zato njegova, pri tem pa mora upoštevati stopnjo tehnološkega razvoja in stroške izvajanja ter naravo, obseg, okolišcine in namen obdelave, pa tudi tveganja za pravice in svobošcine posameznikov, ki se razlikujejo po verjetnosti in resnosti. Zašcita pred izsiljevalskimi virusi obsega tako tehnicne ukrepe, med katere spadajo uporaba antivirusnih programov, požarnega zidu, filtrov na strežnikih, VPN-povezav, sistemov za nadzor in preprecevanje vdorov, redno posodabljanje vseh varnostnih programov itd., kot tudi redno izobraževanje in ozavešcanje uporabnikov oz. zaposlenih z namenom prepoznave morebitnih škodljivih priponk v elektronskih sporocilih. Kljub vsem varnostnim mehanizmom pa najboljšo zašcito pred izsiljevalskimi virusi še vedno predstavlja ustrezna varnostna kopija, replikacija te na eno ali vec drugih lokacij ter redno preverjanje njihovega delovanja in zmožnosti obnovitve podatkov. V primeru vdora izsiljevalskega virusa, pri katerem so ogroženi osebni podatki posameznikov, govorimo o kršitvi varstva osebnih podatkov, tj. kršitev varnosti, ki povzroci nenamerno ali nezakonito unicenje, izgubo, spremembo, nepooblašceno razkritje ali dostop do osebnih podatkov, ki so poslani, shranjeni ali kako drugace obdelani. O takšni kršitvi je treba obvestiti Informacijskega pooblašcenca in v nekaterih primerih tudi posameznike, na katere se nanašajo osebni podatki, ki so bili predmet kršitve. Na podlagi clena 33 Splošne uredbe mora upravljavec brez nepotrebnega odlašanja, najpozneje pa v 72 urah po seznanitvi s kršitvijo o njej uradno obvestiti Informacijskega pooblašcenca, razen ce ni verjetno, da bi bile s kršitvijo varstva osebnih podatkov ogrožene pravice in svobošcine posameznikov. Kadar uradno obvestilo Informacijskemu pooblašcencu ni podano v 72 urah, mu je treba priložiti tudi navedbo razlogov za zamudo. Kadar pa je verjetno, da bi kršitev varstva osebnih podatkov povzrocila veliko tveganje za pravice in svobošcine posameznikov, mora upravljavec brez nepotrebnega odlašanja o kršitvi obvestiti tudi posameznike, na katere se nanašajo osebni podatki, ki so bili predmet kršitve, z namenom, da se posameznike seznani z ukrepi, ki so bili sprejeti s strani upravljavca, ter z namenom ublažitve morebitnih škodljivih ucinkov kršitve na pravice in svobošcine posameznikov (clen 34 Splošne uredbe). Nezakoniti vpogledi v zdravstvene osebne podatke in pridobitev podatkov zaposlenih, ki so opravili vpoglede Leta 2019 je kar nekaj bolnišnic skladno s 46. clenom ZPacP Informacijskega pooblašcenca obvestilo o nezakonitih vpogledih v osebne podatke pacientov, ki so jih ugotovili v internih postopkih, nekaj prijav pa je Informacijski pooblašcenec prejel s strani posameznikov, ki so hoteli pridobiti tudi seznam oseb, ki so vpogledale v njihove osebne podatke. V zvezi s temi prijavami Informacijski pooblašcenec pojasnjuje, da postopek inšpekcijskega nadzora, v katerem preverja zakonitost obdelave osebnih podatkov dolocenega posameznika, ki se vodijo v doloceni zbirki, uvede zgolj v primeru, ce posameznik v prijavi izkaže konkretne razloge za sum, da so zaposleni pri dolocenem upravljavcu v dolocenem obdobju nezakonito vpogledovali v njegove osebne podatke oz. da so njegove osebne podatke obdelovali za nezakonite namene (npr. da dolocena oseba razpolaga s podatki, ki jih je lahko pridobila izkljucno z nezakonitim vpogledom v zbirko osebnih podatkov). Zgolj domneva, da so nekateri zaposleni, ki imajo dostop do osebnih podatkov, z njimi nepooblašceno razpolagali in jih obdelovali, za uvedbo inšpekcijskega postopka ni dovolj. V primeru potrjenega suma nezakonitega vpogleda v osebne podatke pacientov Informacijski pooblašcenec kršitelju praviloma izrece globo. Zaposleni v doloceni zdravstveni ustanovi lahko v osebne podatke pacienta vpogledajo le, ce sodelujejo v procesu njegove zdravstvene obravnave ali iz drugih zakonitih razlogov (npr. za namen izdaje racuna za opravljene zdravstvene storitve ali za namen obveznega sporocanja dolocenih primerov policiji ali drugim pooblašcenim uporabnikom). Nekateri zaposleni, ceprav so njihova osebna imena zabeležena v dnevnikih sledljivosti obdelave osebnih podatkov, se želijo izogniti odgovornosti za storjeni prekršek tako, da zatrjujejo, da v podatke niso vpogledali oni, ampak nekdo drug z uporabo njihovega gesla. Tudi v takšnem primeru Informacijski pooblašcenec kršiteljem izrece globo, vendar ne zaradi nezakonite obdelave osebnih podatkov, ampak zaradi neustreznega zavarovanja gesel, zaradi cesar so neznane osebe z uporabo gesel kršiteljev nepooblašceno in nezakonito obdelovale osebne podatke pacientov. Ker ima vsak zaposleni, ki dostopa do zbirke osebnih podatkov pacientov v informacijskem sistemu, svoje uporabniško ime in geslo, se mora na zacetku obdelave (npr. vnos, popravljanje, izpis podatkov ali samo vpogled v podatke) prijaviti v sistem in se po koncu obdelave iz njega odjaviti. Še posebej je to pomembno, kadar vsak zaposleni nima svojega racunalnika oz. kadar vec zaposlenih uporablja en racunalnik. Ce se zaposleni ne odjavljajo iz sistema in vec oseb (kljub temu, da je upravljavec dolocil posamicne dostopne pravice) uporablja isto geslo, tudi ni zagotovljena ustrezna notranja sledljivost obdelave osebnih podatkov, ki jo ZVOP-1 nalaga upravljavcem v 5. tocki prvega odstavka 24. clena kot enega izmed ukrepov za zavarovanje osebnih podatkov in ki je bistvenega pomena za odkrivanje nepooblašcenih vpogledov v osebne podatke. Osebnih podatkov zaposlenih pri zavezancu, ki so (nedovoljeno) obdelovali pacientove osebne podatke, ta pacient ni upravicen pridobiti na podlagi pravice do seznanitve z lastno zdravstveno dokumentacijo iz 41. clena ZPacP, ker izpisi dnevnikov sledljivosti obdelave osebnih podatkov ne sodijo med zdravstveno dokumentacijo. Prav tako jih ni upravicen pridobiti na podlagi pravice do seznanitve z lastnimi osebnimi podatki, ki jo doloca clen 15 Splošne uredbe in skladno s katerim ima posameznik, na katerega se osebni podatki nanašajo, pravico od upravljavca dobiti informacije o uporabniku ali kategorijah uporabnikov, ki so jim bili ali jim bodo razkriti osebni podatki, zlasti uporabnike v tretjih državah ali mednarodnih organizacijah (c tocka). Splošna uredba tu ni prinesla nobenih sprememb, saj tudi ZVOP-1 v delu, ki se je nanašal na vsebino pravice do seznanitve z lastnimi osebnimi podatki (30. clen) in definicijo pojma uporabnik (8. tocka 6. clena), ni zajemal zaposlenih znotraj upravljavca. Kljub navedenemu pacient, ki sumi na nezakonito obdelavo osebnih podatkov s strani zaposlenih v zdravstveni ustanovi, v kateri je bil obravnavan, ni prikrajšan za pravno varstvo, saj lahko pri Informacijskem pooblašcencu vloži prijavo zaradi domnevne kršitve varstva osebnih podatkov. Informacijski pooblašcenec v inšpekcijskem postopku ugotavlja, ali in kdo je znotraj upravljavca nezakonito obdeloval osebne podatke, pacient pa lahko v tem postopku skladno z dolocbami drugega odstavka 82. clena ZUP uveljavlja pravico do vpogleda v inšpekcijski spis, vendar mora za takšen vpogled izkazati pravno korist. Ce Informacijski pooblašcenec ugotovi nezakonito obdelavo osebnih podatkov, zoper kršitelja uvede postopek po ZP-1. Posameznik, katerega osebne podatke je dolocen zaposleni pri dolocenem upravljavcu obdeloval nezakonito, ima v postopku o prekršku položaj oškodovanca, zato lahko na podlagi 102. clena ZP-1 53 v povezavi z drugim odstavkom 58. clena ZP-1 opravi vpogled v prekrškovni spis in tako pridobi tudi osebne podatke kršitelja. Obvešcanje posameznikov o obdelavi osebnih podatkov Upravljavci osebnih podatkov morajo poleg zakonitosti obdelave osebnih podatkov zagotoviti tudi poštenost in preglednost njihove obdelave. To storijo tako, da posameznikom posredujejo ustrezne informacije o obdelavi osebnih podatkov. Glede obvešcanja posameznika o obdelavi osebnih podatkov Splošna uredba razlikuje med dvema vrstama pridobivanja osebnih podatkov: v clenu 13 so dolocene informacije, ki jih upravljavci posredujejo takrat, kadar osebne podatke zbirajo neposredno od posameznika, na katerega se nanašajo, clen 14 pa doloca informacije, ki jih morajo upravljavci zagotoviti, kadar osebnih podatkov ne pridobijo neposredno od posameznika, na katerega se nanašajo, ampak npr. iz drugih zbirk osebnih podatkov. Tudi ZVOP-1 je dolocal informacije, ki so jih morali upravljavci posredovati posameznikom (v 19. clenu), a je Splošna uredba nabor informacij mocno razširila. Informacijski pooblašcenec je glede (ne)ustreznosti obvešcanja prejel številna vprašanja, v inšpekcijskih postopkih pa je pogosto tudi ugotovil kršitve. V primeru zbiranja osebnih podatkov neposredno od posameznika, ki je praviloma primarno, mora upravljavec posameznika seznaniti z naslednjimi informacijami: identiteta in kontaktni podatki upravljavca; kontaktni podatki pooblašcene osebe za varstvo podatkov, kadar ta obstaja; namene, za katere se osebni podatki obdelujejo, in pravno podlago za njihovo obdelavo; morebitne zakonite interese, za uveljavljanje katerih si prizadeva upravljavec ali tretja oseba; morebitne uporabnike ali kategorije uporabnikov osebnih podatkov; ali upravljavec namerava prenesti osebne podatke v tretjo državo ali mednarodno organizacijo; obdobje hrambe osebnih podatkov; obstoj pravic posameznika (pravica do dostopa do osebnih podatkov, do popravka ali izbrisa osebnih podatkov, pravica do omejitve obdelave in ugovora, pravica do prenosljivosti podatkov, pravica do preklica privolitve in pravica do vložitve pritožbe pri nadzornem organu); ali je zagotovitev osebnih podatkov statutarna ali pogodbena obveznost ter ali mora posameznik, na katerega se nanašajo osebni podatki, zagotoviti osebne podatke in kakšne so morebitne posledice, ce jih ne; obstoj avtomatiziranega sprejemanja odlocitev, vkljucno z oblikovanjem profilov. Informiranje posameznika po clenu 13 Splošne uredbe je treba izvesti ne glede na to, na kateri pravni podlagi (privolitev, zakonska podlaga, zakoniti interesi, izvrševanje pogodbe ipd.) se osebni podatki zbirajo. Dolžnost obvešcanja tudi ni vezana na zahtevo posameznika, ampak jo mora upravljavec izpolniti avtomaticno. Splošna uredba upravljavcem namrec ne daje možnosti za posredovanje informacij zgolj v primeru, ce bi jih posameznik zahteval, in tudi ne omogoca izbire o tem, katere informacije bo upravljavec posredoval, ampak je dolžan posredovati vse predpisane informacije. Nacin posredovanja informacij je odvisen od nacina zbiranja osebnih podatkov in se šteje kot ustrezen le takrat, ce upravljavec kasneje lahko dokaže, da je posameznikom ob zbiranju res posredoval ustrezne informacije. Izbor ustreznega nacina obvešcanja je odvisen od okolišcin konkretnega primera, pomembno je, da so informacije podane v jedrnati, pregledni, razumljivi in lahko dostopni obliki ter v jasnem in preprostem jeziku, kot to doloca clen 12(1) Splošne uredbe. Upravljavec lahko informacije posreduje npr. na samem obrazcu, v katerega posameznik vpisuje osebne podatke, na locenem dokumentu, ki ga posamezniku predloži pred oz. ob izpolnjevanju obrazca, ustno, ce tako zahteva posameznik (takšen nacin posredovanja informacij je težje dokazljiv), ali na drug nacin, ki izpolnjuje zahtevo po lahko dostopni obliki ter zahtevo po informiranju v casu, ko upravljavec pridobi podatke. Ustrezne informacije morajo biti posameznikom na voljo tudi v primeru posredovanja osebnih podatkov prek spleta, zato mora biti spletna stran oblikovana tako, da mora posameznik pred vnosom oz. posredovanjem svojih osebnih podatkov prebrati predpisane informacije. Informacijski pooblašcenec svetuje, da upravljavec pri pripravi informacij izhaja iz namenov obdelave osebnih podatkov, ki jih doloca zakonodaja ali ki jih je dolocil sam. Nameni obdelave osebnih podatkov morajo biti cim bolj natancno opredeljeni in ne smejo biti prepušceni naknadni volji upravljavca osebnih podatkov. Neopredeljen oz. nejasno opredeljen namen obdelave osebnih podatkov pomeni, da se zbrani podatki lahko uporabljajo za razlicne in posameznikom, na katere se ti podatki nanašajo, neznane namene, kar je v nasprotju tako s Splošno uredbo kot z ZVOP-1, ki upravljavcem prepovedujeta nadaljnjo obdelavo osebnih podatkov za druge namene oz. naknadno spremembo namena obdelave. Da bo namen obdelave posameznikom razumljiv, je treba navesti tudi vrste osebnih podatkov, ki se zbirajo oz. obdelujejo za posamezen namen. Informacijski pooblašcenec je v pomoc upravljavcem pri zagotovitvi informacij pripravil obrazec Obvestilo posameznikom po 13. clenu Splošne uredbe o varstvu podatkov (ang. GDPR) glede obdelave osebnih podatkov, ki je objavljen na https://www.ip-rs.si/obrazci/varstvo-osebnih-podatkov/. Razkrivanje osebnih podatkov v odlocbah centrov za socialno delo Informacijski pooblašcenec že vec let prejema vecje število prijav zoper centre za socialno delo, v katerih prijavitelji navajajo, da so na center vložili vlogo za oprostitev doplacila stroškov institucionalnega varstva, nato pa so prejeli odlocbo, v kateri so našteti vsi njihovi prejemki, vkljucno s prejemki njihovih partnerjev, center pa je odlocbo vrocil tudi nekaterim njihovim sorodnikom. Informacijski pooblašcenec na podlagi prejetih prijav postopka inšpekcijskega nadzora ni uvedel, ker je šlo za obdelavo osebnih podatkov v postopkih odlocanja o placilu institucionalnega varstva in ker mora v primerih, ko gre za obdelavo osebnih podatkov v konkretnih upravnih postopkih, spoštovati sklep Ustavnega sodišca RS št. U-I-92/12-13 z dne 10. 10. 2013, s katerim je Ustavno sodišce odlocilo, da Informacijski pooblašcenec nima podlage za neposredno poseganje v vodenje postopkov, opravljanje procesnih dejanj in odlocanje javnopravnih organov v posamicnih in konkretnih zadevah ter da inšpekcijskega nadzora nad izvajanjem ZVOP-1 ne sme izvajati tako, da pri izvrševanju svojih zakonsko dolocenih pooblastil poseže v posamicne pravne postopke, ki jih vodijo zanje pristojni državni organi. Prav tako ne sme preverjati, ali se v teh postopkih ustavnoskladno in zakonito spoštuje varstvo osebnih podatkov. Kot je v navedenem sklepu ugotovilo Ustavno sodišce, bi bila zakonska podlaga, ki bi to omogocala, v nasprotju z nacelom samostojnosti pristojnega državnega organa pri odlocanju (drugi odstavek 120. clena Ustave RS za upravne organe, 125. clen Ustave RS za sodišca), v nasprotju z rednim sistemom pravnih sredstev oz. vzpostavljeno hierarhicno strukturiranostjo državne oblasti (nacelo vecstopenjskega odlocanja) in s tem v nasprotju z naceli pravne države (2. clen Ustave RS). V posamicnem pravnem postopku, ki ga v skladu z zakonsko dolocenimi pristojnostmi vodi pristojni organ, je mogoce preverjati pravilnost (zakonitost) vodenja postopka in izpodbijati koncne odlocitve samo v postopkih s pravnimi sredstvi, ki jih doloca zakon. O teh sredstvih pa lahko odlocajo le z zakonom doloceni državni organi na nacin, ki ga doloca zakon. Glede na zgoraj navedeni sklep Informacijski pooblašcenec ni pristojen preverjati, ali je pooblašcena uradna oseba na centru za socialno delo zakonito vodila dolocen postopek oz. ali je za odlocanje v postopku potrebovala dolocene osebne podatke ter zakaj jih je navedla v obrazložitvi odlocbe. Posamezniki, ki so prejeli odlocbo centra za socialno delo, imajo možnost svoje pravice uveljavljati v okviru pravnih sredstev, ki so jim na voljo v konkretnem upravnem postopku in ki so navedena v pravnem pouku odlocbe (pritožba na Ministrstvo za delo, družino, socialne zadeve in enake možnosti). Ce menijo, da pooblašcena oseba na centru za socialno delo ni ravnala strokovno, se lahko obrnejo tudi na socialno inšpekcijo, ki izvaja nadzor nad centri za socialno delo. Kljub neuvedbi inšpekcijskih postopkov zaradi nepristojnosti je Informacijski pooblašcenec prijaviteljem pojasnil, na kateri pravni podlagi centri za socialno delo obdelujejo osebne podatke v postopkih odlocanja o oprostitvi placila institucionalnega varstva. Splošna uredba med dopustnimi pravnimi podlagami za obdelavo osebnih podatkov v tocki (c) clena 6(1) doloca, da je obdelava osebnih podatkov zakonita, ce je (med drugim) potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca, torej center za socialno delo. Na podlagi tretjega odstavka 37. clena Zakona o uveljavljanju pravic iz javnih sredstev (ZUPJS) se pravica, ki jo oseba kot zavezanec po predpisih o socialnem varstvu uveljavlja za oprostitev placila socialnovarstvene storitve, uveljavlja s samostojno vlogo hkrati z vlogo upravicenca do uveljavljanja oprostitve placila socialnovarstvenih storitev. Center za socialno delo v tem primeru z eno odlocbo odloci o pravicah in obveznostih upravicenca in njegovega zavezanca. Obrazložitev odlocb o pravicah iz javnih sredstev v skladu z drugim odstavkom 37. clena ZUPJS vsebuje vrsto in višino dohodkov iz 12. clena tega zakona ter vrsto in vrednost premoženja iz 17. clena tega zakona, ki so bili upoštevani pri izracunu dohodka na družinskega clana. Natancnejša obrazložitev je potrebna le, ce posamezni pravici iz javnih sredstev ni ugodeno. V tem primeru se obrazloži tisti del izreka, s katerim pravica ni bila priznana. Center za socialno delo torej nima možnosti, da v odlocbi o upravicenosti do oprostitve placila institucionalnega varstva ne navede dohodkov ter premoženja vseh zavezancev za placilo stroškov institucionalnega varstva. Odlocbo mora vrociti vsem zavezancem, ki se tako seznanijo z osebnimi podatki ostalih zavezancev. Ob tem Informacijski pooblašcenec poudarja, da morajo vsi prejemniki odlocbe varovati osebne podatke, ki jih vsebuje, kar pomeni, da jih ne smejo razkrivati nepooblašcenim osebam ali uporabljati v nasprotju z namenom, za katerega so jih pridobili, tj. uveljavljanje pravic pred pristojnimi organi. V primeru nezakonitega razkrivanja odlocbe bi šlo za kršitev, katere sankcioniranje je v pristojnosti Informacijskega pooblašcenca, saj na odlocbi navedeni podatki izvirajo iz zbirk osebnih podatkov, zaradi cesar so predmet varstva po Splošni uredbi in ZVOP-1. 55 Videonadzor iz zasebne hiše Informacijski pooblašcenec vsako leto prejme precej prijav zoper posameznike, ki namestijo kamere na svojo hišo, pri cemer pa naj ne bi snemali samo svoje lastnine, ampak tudi sosedovo parcelo in/ali javne površine. Splošna uredba se skladno s tocko (c) clena 2(2) ne uporablja za obdelavo osebnih podatkov s strani fizicne osebe med potekom popolnoma osebne ali domace dejavnosti, prav tako se po prvem odstavku 7. clena ZVOP-1 ne uporablja za obdelavo osebnih podatkov, ki jo izvajajo posamezniki izkljucno za osebno uporabo, družinsko življenje ali za druge domace potrebe. Videonadzor, ki ga posameznik izvaja iz svoje hiše, se tako praviloma šteje kot obdelava osebnih podatkov za osebno uporabo in domace potrebe, razen v primeru, ko snema tudi javne površine ali prostor, ki ni v njegovi lasti. Takšno stališce izhaja iz sodbe Sodišca EU v zadevi Ryneš proti Úrad pro ochranu osobních údaju, št. C-212/13 z dne 11. 12. 2014, s katero je sodišce odlocilo, da uporaba videonadzornega sistema, ki ga je sicer posameznik namestil na družinsko hišo zaradi varovanja premoženja, zdravja in življenja lastnikov hiše, vendar pa se z njim nadzira tudi javni prostor, ne pomeni obdelave podatkov, ki se opravi med potekom popolnoma osebne ali domace dejavnosti. Zato mora biti izvajanje takšnega videonadzora skladno z ZVOP-1 in Splošno uredbo. Informacijski pooblašcenec inšpekcijski postopek uvede le takrat, ko za to obstaja utemeljen sum kršitve dolocb ZVOP-1 in Splošne uredbe in ko je to v javnem interesu. V primeru suma izvajanja videonadzora javnih površin s strani posameznikov to pomeni, da mora razpolagati z dokazi, da posameznik dejansko snema površine, ki niso v njegovi lasti, cesar pa kamere na zunanji strani hiše same po sebi še ne izkazujejo. Upoštevati je namrec treba, da samo glede na položaj namešcene kamere še ni mogoce ugotoviti, kaj kamera dejansko snema, ce sploh, saj se v praksi pogosto dogaja, da posamezniki namestijo slepe kamere, ki v resnici ne snemajo, a imajo preprecevalni ucinek, ali pa so posnetki tako slabe kvalitete, da posnetih oseb sploh ni mogoce prepoznati. V obeh primerih zbirka osebnih podatkov ne nastaja, zato Informacijski pooblašcenec ni pristojen ukrepati. Za uvedbo inšpekcijskega postopka zoper posameznika, ki izvaja videonadzor s kamerami, ki jih je namestil na svojih objektih, v katerih ni registrirane nobene dejavnosti, Informacijski pooblašcenec torej potrebuje dokaze o nezakonitosti izvajanja videonadzora, npr. konkreten videonadzorni posnetek, iz katerega je razvidno, da posameznik z videonadzornim sistemom dejansko snema površine, ki niso v njegovi lasti, in da so posnetki takšne kvalitete, da je posameznika na njih mogoce prepoznati. To je pomembno, ker vstop v stanovanje zaradi ustavne dolocbe nedotakljivosti stanovanja ni dopusten brez odredbe sodišca, poleg tega pa že zgolj sama uvedba inšpekcijskega postopka zoper posameznika pomeni poseg v njegovo zasebnost. Ce prijavitelj predloži ustrezna dokazila, Informacijski pooblašcenec uvede inšpekcijski postopek, v katerem presoja, ali ima posameznik za izvajanje videonadzora nad javnimi površinami za namen varovanja svojega premoženja pravno podlago v tocki (f) clena 6(1) Splošne uredbe, ki doloca, da je obdelava osebnih podatkov (videoposnetkov) dopustna, ce je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svobošcine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok. Presoditi je torej treba, ali je interes imetnika videonadzornega sistema zakonit in dovolj mocan, da prevlada nad interesi snemanih posameznikov. Zakonit interes imetnika videonadzora je utemeljen v 33. clenu Ustave RS, ki doloca pravico do zasebne lastnine, in v 34. clenu, ki doloca pravico do osebnega dostojanstva in varnosti, snemani posameznik pa uživa varstvo pravic zasebnosti in osebnostnih pravic na podlagi 35. clena Ustave RS, še posebej pravico do varstva osebnih podatkov iz 38. clena Ustave RS. Dopustnost izvajanja videonadzora in snemanja javnih površin s strani posameznika je odvisna predvsem od tega, ali svojega premoženja ne more ucinkovito zavarovati na drug nacin. Informacijski pooblašcenec pojasnjuje, da lahko posameznik s kamero oz. kamerami, s katerimi snema svoje premoženje, ki se nahaja ob javni cesti (npr. dvorišcna vrata, ograja), zajame tudi del te ceste, katerega nadzor je po naravi stvari nujen, da se doseže namen izvajanja videonadzora (ce npr. nekdo poškoduje dvorišcna vrata, ga kamera, ce ne bi pokrivala dela ceste, ne bi mogla posneti, zaradi cesar posameznik ne bi mogel najti povzrocitelja škode in zahtevati odškodnine). To pomeni, da mora posameznik pri dolocitvi dela javne ceste, ki ga bo zajela kamera, upoštevati nacelo sorazmernosti. Ce kamera zajame vecji del ceste, kot je nujno potrebno, potem je treba del slike programsko zakriti, kar omogocajo vsi sodobnejši videonadzorni sistemi. Ker posameznik posname tudi mimoidoce, ki se gibajo po tem delu ceste, Informacijski pooblašcenec poudarja, da ceprav mimoidoci ne morejo pricakovati takšne stopnje zasebnosti kot na svojem zemljišcu, to ne pomeni, da lahko posameznik videoposnetke pregleduje kadar koli in jih uporablja za katere koli namene. Vpogled v arhiv videoposnetkov je namrec dopusten le v primeru incidenta (npr. poškodovanje premoženja), videoposnetki pa se lahko uporabljajo le za namen uveljavljanja pravic pred pristojnimi organi. Ce posameznik izkaže, da je snemanje dela javne površine zakonito, mora objaviti obvestilo o izvajanju videonadzora, ki vsebuje informacije iz tretjega odstavka 74. clena ZVOP-1 (da se izvaja videonadzor, naziv (ime) osebe, ki ga izvaja, in telefonsko številko za pridobitev informacije, kje in koliko casa se shranjujejo posnetki iz videonadzornega sistema). V nasprotnem primeru mora izvajanje takšnega videonadzora prekiniti. V primerih, ko posameznik ne snema javnih površin, ampak posest drugega posameznika, Informacijski pooblašcenec inšpekcijskega postopka praviloma ne uvede. Ker posameznik s snemanjem tuje lastnine posega v osebnostne pravice snemanega posameznika, lahko slednji v skladu s 134. clenom Obligacijskega zakonika (OZ) vloži tožbo in sodišcu predlaga, da odredi prenehanje snemanja, na podlagi 179. clena OZ pa lahko zahteva odškodnino, ce mu je zaradi snemanja nastala škoda. Ce posameznik z izvajanjem videonadzora obcutno poseže zasebnost drugega posameznika ali v njegovo družinsko življenje, ima slednji na razpolago tudi kazenskopravno sodno varstvo, saj bi lahko šlo za kaznivo dejanje neupravicenega slikovnega snemanja iz 138. clena Kazenskega zakonika. Pregon za to kaznivo dejanje se zacne na predlog, ki ga na pristojni policijski postaji ali na pristojnem državnem tožilstvu vloži oškodovanec. Pravica do izbrisa osebnih podatkov, ki so objavljeni v spletnih medijih Pravico do izbrisa oz. »pravico do pozabe« Splošna uredba ureja v clenu 17. Iz prvega odstavka izhaja, da mora upravljavec na zahtevo posameznika, na katerega se nanašajo osebni podatki, brez nepotrebnega odlašanja izbrisati osebne podatke v zvezi z njim kadar: osebni podatki niso vec potrebni za namene, za katere so bili zbrani ali kako drugace obdelani; posameznik preklice privolitev v obdelavo osebnih podatkov in kadar za obdelavo ne obstaja nobena druga pravna podlaga; posameznik obdelavi ugovarja v skladu s clenom 21 (tj. obdelavi za namene neposrednega trženja in obdelavi iz zakonitih interesov ali v javnem interesu), za njihovo obdelavo pa ne obstajajo nobeni prevladujoci zakoniti razlogi; so bili osebni podatki obdelani nezakonito; je osebne podatke treba izbrisati za izpolnitev pravne obveznosti v skladu s pravom EU ali pravom države clanice, ki velja za upravljavca; so bili osebni podatki zbrani v zvezi s ponudbo storitev informacijske družbe od mladoletne osebe. Ce so izpolnjeni pogoji za izbris objavljenih osebnih podatkov, skladno z drugim odstavkom upravljavec ob upoštevanju razpoložljive tehnologije in stroškov izvajanja sprejme razumne ukrepe, da upravljavce, ki obdelujejo osebne podatke, obvesti, da posameznik zahteva, naj izbrišejo morebitne povezave do teh osebnih podatkov ali njihove kopije. Pravica do izbrisa ni neomejena. Splošna uredba v tretjem odstavku clena 17 doloca, da se prvi in drugi odstavek ne uporabljata, ce je obdelava potrebna za uresnicevanje pravice do svobode izražanja in obvešcanja; za izpolnjevanje pravne obveznosti obdelave na podlagi prava Unije ali prava države clanice, ki velja za upravljavca, ali za izvajanje naloge v javnem interesu ali pri izvajanju javne oblasti, ki je bila dodeljena upravljavcu; iz razlogov javnega interesa na podrocju javnega zdravja; za namene arhiviranja v javnem interesu, za znanstvene ali zgodovinsko-raziskovalne namene ali statisticne namene in ce je potrebna za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov. Po zacetku uporabe Splošne uredbe je Informacijski pooblašcenec prejel nekaj pritožb posameznikov, ker so upravljavci osebnih podatkov (medijske hiše) zavrnili njihove zahteve za izbris osebnih podatkov oz. clankov, ki vsebujejo njihove osebne podatke, s spletnih strani. Pri odlocanju o pritožbi posameznika Informacijski pooblašcenec najprej preveri, ali so objavljeni podatki predmet varstva po ZVOP-1 ali Splošni uredbi. V nasprotnem primeru ni pristojen odlocati, saj so predmet varstva po Splošni uredbi in ZVOP-1 samo tisti osebni podatki, ki so del zbirk osebnih podatkov ali obdelani z avtomatiziranimi sredstvi. Ce gre za podatke iz zbirk ali za podatke, ki so avtomatizirano obdelani, Informacijski pooblašcenec nadalje oceni, ali so v clanku navedeni osebni podatki ustrezni, relevantni in omejeni na obseg, potreben za namene medijskega porocanja, ter pretehta, ali je izpolnjen kateri od pogojev za izbris oz. ali je podana izjema, na podlagi katere se izbris osebnih podatkov zavrne. Pri presoji utemeljenosti posameznikove zahteve za izbris objave s strani medijev je treba upoštevati predvsem dolocbo tocke (a) clena 17(3) Splošne uredbe, ki izkljucuje pravico do izbrisa oz. iz katere izhaja, da posameznik ni upravicen do izbrisa njegovih osebnih podatkov, ce je obdelava potrebna za uresnicevanje 57 pravice do svobode izražanja in obvešcanja. Svobodo izražanja ureja 39. clen Ustave RS in 10. clen Evropske konvencije o clovekovih pravicah. Prvi odstavek 39. clena Ustave RS doloca, da je zagotovljena svoboda izražanja misli, govora in javnega nastopanja, tiska in drugih oblik javnega obvešcanja in izražanja ter da lahko vsakdo svobodno zbira, sprejema in širi vesti in mnenja. Temeljna pravica do svobode izražanja je zagotovljena vsakomur, tako fizicnim kot pravnim osebam. Ustavno sodišce RS v svojih odlocitvah poudarja, da ima svoboda govora še poseben pomen, ko gre za izražanje v okviru novinarskega poklica, saj so široke meje svobode tiska eden od temeljev sodobne demokraticne družbe. Novinarsko delo predstavlja pomemben dejavnik pri raziskovanju in obravnavi pozitivne in negativne družbene realnosti, pomembno poslanstvo novinarskega porocanja je njegova informativna funkcija. V skladu s tretjim odstavkom 15. clena Ustave RS se clovekove pravice in temeljne svobošcine lahko omejijo predvsem zaradi clovekovih pravic oz. temeljnih svobošcin drugih ljudi. Enako kot za pravico do svobode izražanja tudi za pravico do informacijske zasebnosti oz. pravico do varstva osebnih podatkov, ki jo ureja 38. clena Ustave RS, velja, da ni neomejena. V primeru, ko pride do kolizije dveh sobivajocih pravic, se nasprotje med pravicami uskladi z metodo prakticne konkordance, ki pomeni oblikovanje pravila, veljavnega za konkreten primer. Odlociti je treba, kateri pravici je treba glede na konkretne okolišcine dati prednost in katera se mora zaradi aktiviranja nujne, ustavno varovane vsebine druge pravice umakniti oz. se mora umakniti del upravicenj, ki sestavljajo to pravico. Iz sodne prakse izhaja, da je za uravnoteženje med pravico do zasebnosti in pravico do svobode izražanja Evropsko sodišce za clovekove pravice razvilo niz meril, ki jih je treba upoštevati, med drugim: prispevek k razpravi v splošnem interesu, poznanost prizadete osebe, predmet objave, predhodno ravnanje zadevne osebe, vsebino, obliko in posledice objave, nacin in okolišcine, v katerih so bile informacije pridobljene, in verodostojnost informacij. Informacijski pooblašcenec dodaja, da navedbe posameznika, da mu zaradi objave dolocenih podatkov oz. zaradi proste dostopnosti dolocenih clankov nastaja škoda, ne vplivajo na presojo pravice do izbrisa. Ta pravica se namrec presoja le po merilih, ki so dolocena v clenu 17 Splošne uredbe. Ce posameznik meni, da clanek vsebuje ocitke oz. neresnicne informacije, ki lahko škodujejo njegovi casti in dobremu imenu ter mu povzrocajo škodo, ima pravico do pravnega varstva, ki je v stvarni pristojnosti sodišc. Informacijski pooblašcenec je namrec pristojen le za tisti del pravice do zasebnosti, ki se nanaša na varstvo osebnih podatkov, ki ga ureja 38. clen Ustave RS, nima pa stvarne pristojnosti v zvezi z zahtevki posameznikov, ki temeljijo na 35. clenu Ustave RS. To pomeni, da ima posameznik, tudi ce ni upravicen do izbrisa njegovih osebnih podatkov na podlagi clena 17 Splošne uredbe, pravico do morebitnega drugega pravnega varstva z zahtevki, s katerimi lahko varuje svojo osebnostno pravico do lastne podobe. Uveljavljanje pravic pri upravljavcih iz drugih držav clanic EU Informacijski pooblašcenec prejema pritožbe in prijave posameznikov iz Slovenije glede izvajanja svojih pravic po Splošni uredbi, ki se lahko nanašajo na upravljavce iz drugih držav EU, npr. na delodajalce v primeru sosednjih držav ali na ponudnike spletnih storitev, ki so na voljo cezmejno. Pritožbe se lahko nanašajo na to, da upravljavec posamezniku ne omogoci seznanitve z lastnimi osebnimi podatki, najdejo pa se tudi primeri, ko posameznik npr. zahteva izbris svojih podatkov. Informacijski pooblašcenec v primeru, da gre za cezmejno obdelavo osebnih podatkov (upravljavec je bil ustanovljen v drugi državi clanici EU), najprej locira organ, ki bo pristojen zadevo obravnavati glede na svojo ozemeljsko pristojnost ali kot glavni organ v postopku cezmejnega sodelovanja. V primeru, da je upravljavec ustanovljen v drugi državi clanici EU (npr. v Avstriji) in ne gre za cezmejno sodelovanje, pac pa za individualen primer kršitve, Informacijski pooblašcenec uporabi mehanizme sodelovanja iz clena 61 Splošne uredbe in pristojnemu nadzornemu organu posreduje pritožbo v obravnavo. Obvešcanje pritožnika v takem primeru še vedno izvaja Informacijski pooblašcenec. Kadar prijava ali pritožba zaradi neupoštevanja pravic posameznika ni le individualne narave, temvec kaže na sistemsko pomanjkljivost pri upravljavcu, ki izvaja obdelavo podatkov cezmejne narave, prvi korak obravnave primera vkljucuje postopek ugotavljanja vodilnega organa in zadevnih organov po clenu 56 Splošne uredbe. Vodilnemu organu Informacijski pooblašcenec posreduje v angleški jezik prevedeno prijavo oz. pritožbo ter z njim aktivno sodeluje prek neformalnih konzultacij do izdaje koncne odlocitve. Postopki cezmejnega sodelovanja po Splošni uredbi so pri uveljavljanju pravic zelo dobrodošlo novo orodje, ki izkazuje dobre rezultate. Primeri, v katerih Informacijski pooblašcenec pred Splošno uredbo zaradi omejitev pri ozemeljski pristojnosti ni mogel uradno posredovati, se lahko zdaj prek postopkov po clenih 61 in 60 Splošne uredbe ucinkovito razrešijo v korist pravic posameznikov. Nadzor nad tehnološkimi velikani zaradi personaliziranega oglaševanja Ponudniki zelo priljubljenih spletnih storitev, družbenih omrežij in komunikacijskih platform (Facebook, Google, Twitter, Amazon idr.) svoje brezplacne storitve zelo pogosto monetizirajo s pomocjo personaliziranega in ciljanega oglaševanja, ki temelji na zbiranju ogromnih kolicin podatkov posameznikov, njihovi analizi, tudi s pomocjo umetne inteligence, ter na predvidevanjih o interesih, željah in potrebah posameznikov, ki so jim prikazani zanje relevantni oglasi. Prakse uporabe osebnih podatkov so obicajnemu uporabniku storitev najpogosteje nevidne, ne zaveda se jih in je o njih pomanjkljivo obvešcen, hkrati pa imajo lahko zelo velik negativen vpliv na njegovo pravico do varstva osebnih podatkov in zasebnosti. Lahko vodijo v diskriminacijo in družbeno razslojevanje. Problematika personaliziranih oglasov je postala še posebej pereca ob zadnjih razkritjih glede uporabe podatkov posameznikov za namen politicne promocije pred volitvami in referendumi prek družabnih omrežij. Informacijski pooblašcenec kot zadevni nadzorni organ sodeluje v vrsti postopkov zoper omenjena podjetja in njihovo obdelavo osebnih podatkov za namen personaliziranega oglaševanja, tudi na podlagi prijav in pritožb nevladnih in potrošniških organizacij ter njihovih ugotovitev v nedavnih porocilih. V vecini primerov je vodilni nadzorni organ irski nadzorni organ za varstvo osebnih podatkov. Postopki so v teku in na ravni konzultacij med nadzornimi organi, prve odlocitve naj bi bile sprejete v letu 2020. Kot zadevni nadzorni organ v teh postopkih Informacijski pooblašcenec lahko poda formalni ugovor na osnutek odlocbe, ki ga pripravi vodilni nadzorni organ. Ta mora ugovore zadevnih nadzornih organov upoštevati pri pripravi koncne odlocbe po clenu 60 Splošne uredbe. V primeru, da se vodilni nadzorni organ in zadevni nadzorni organi glede koncne odlocitve ne strinjajo oz. ugovori zadevnih nadzornih organov niso upoštevani, se zadeva na podlagi clena 65 Splošne uredbe predloži v odlocanje EOVP. 3.3DRUGI UPRAVNI POSTOPKI 3.3.1DOPUSTNOST IZVAJANJA BIOMETRIJSKIH UKREPOV Informacijski pooblašcenec je po dolocbi 80. clena ZVOP-1 pristojen za vodenje upravnih postopkov za izdajo odlocb o tem, ali je nameravano izvajanje biometrijskih ukrepov v skladu z dolocbami ZVOP-1 ali ne. Biometrijski ukrepi so kot posebna oblika obdelave osebnih podatkov opredeljeni v 78. do 81. clenu ZVOP-1. Informacijski pooblašcenec mora v skladu s tretjim odstavkom 80. clena ZVOP-1 pri odlocanju o tem, ali je nameravana uvedba biometrijskih ukrepov v zasebnem sektorju v skladu z dolocbami ZVOP­1, ugotoviti predvsem, ali je izvajanje biometrijskih ukrepov nujno za opravljanje dejavnosti, za varnost ljudi ali premoženja ali za varovanje tajnih podatkov ali poslovne skrivnosti. Pri presoji, ali so biometrijski ukrepi nujno potrebni za dosego namena, Informacijski pooblašcenec ugotavlja, ali bi namen, ki ga zasleduje vlagatelj, ta lahko dosegel s postopki in ukrepi, ki manj posegajo v zasebnost zaposlenih oz. ne vkljucujejo biometrijskih ukrepov. Slednji namrec predstavljajo velik poseg v informacijsko zasebnost posameznika, saj gre za obdelavo tistih znacilnosti, ki so za vsakogar edinstvene in stalne in zloraba katerih bi za posameznika lahko imela hude, daljnosežne in nepopravljive posledice. Informacijski pooblašcenec presoja tudi tehnicni vidik biometrijskih ukrepov (ali se bodo ti ukrepi uporabljali za preverjanje identitete oz. avtentikacijo ali za ugotavljanje identitete oz. identifikacijo). Informacijski pooblašcenec je leta 2019 prejel šest vlog za izdajo dovoljenja za uvedbo biometrijskih ukrepov. Dva vlagatelja sta po pozivu za dopolnitev vloge svoji vlogi umaknila, zaradi cesar je Informacijski pooblašcenec oba postopka ustavil. Izdal je tri odlocbe: • Enemu vlagatelju je za namen varovanja poslovnih skrivnosti in zagotavljanja varnosti njegovega premoženja in tretjih oseb dovolil izvajanje biometrijskih ukrepov za vstopanje v poslovne prostore vlagatelja na njegovem sedežu, in sicer z enim citalcem prstnih odtisov na glavnem vhodu in z dvema citalcema na dveh notranjih vhodih ter za vstopanje v dve varni sobi, v katerih se odvijajo najbolj obcutljivi procesi s podrocja vlagateljeve dejavnosti (upravljanje digitaliziranih sredstev). • Eno vlogo za izvajanje biometrijskih ukrepov je zavrnil, ker je vlagatelj želel biometrijske ukrepe z uporabo naprave za prepoznavo obraza in prstnega odtisa uvesti zaradi poenostavitve postopka registracije delovnega casa zaposlenih. Biometrijskih ukrepov, ki se uvajajo le zato, ker so bolj prirocni ali bolj ekonomicni od drugih sistemov registracije delovnega casa, ki temeljijo na npr. brezkontaktnih karticah, namrec ni mogoce opredeliti kot nujno potrebne za dosego namenov, opredeljenih v prvem odstavku 80. clena ZVOP-1. • Eni vlogi je delno ugodil tako, da je vlagatelju dovolil izvajanje biometrijskih ukrepov z uporabo citalnika prstnega odtisa kot edinega nacina za vstopanje v strežniško sobo, v kateri se nahajajo strežniki in druga 59 oprema oz. sredstva informacijske tehnologije, katerih pravilno delovanje je nujno in kljucno za opravljanje dejavnosti vlagatelja, poleg tega pa ta oprema oz. sredstva vsako zase, zlasti pa skupaj predstavljajo premoženje vecje vrednosti. Vlagatelju pa ni dovolil izvajanja biometrijskih ukrepov na glavnem vhodu v poslovno stavbo, ker v stavbo vstopa vecje število posameznikov (vsi zaposleni in obiskovalci), ki uporabljajo tudi RFID-kartice. Izvajanje biometrijskih ukrepov je namrec lahko ucinkovito, ce gre za prostore, v katere lahko vstopajo le pooblašcene osebe, in ce ti ukrepi predstavljajo edini nacin vstopanja v zavarovane prostore. 3.3.2POVEZOVANJE ZBIRK OSEBNIH PODATKOV Povezovanje zbirk osebnih podatkov urejajo 84., 85. in 86. clen ZVOP-1. 84. clen ZVOP-1 doloca, da ce najmanj ena izmed zbirk osebnih podatkov, ki naj bi se jih povezovalo, vsebuje obcutljive osebne podatke ali ce bi bila posledica povezovanja razkritje obcutljivih podatkov ali je za povezovanje potrebna uporaba istega povezovalnega znaka, povezovanje brez predhodnega dovoljenja Informacijskega pooblašcenca ni dovoljeno. Ta povezavo dovoli na podlagi pisne vloge upravljavca osebnih podatkov, ce ugotovi, da ta zagotavlja ustrezno zavarovanje osebnih podatkov. Postopki in ukrepi za zavarovanje morajo biti ustrezni glede na tveganje, ki ga predstavljata obdelava in narava osebnih podatkov, ki se obdelujejo. Poleg ugotavljanja ustreznosti zavarovanja osebnih podatkov mora Informacijski pooblašcenec pri odlocanju o izdaji dovoljenja za povezovanje zbirk osebnih podatkov opraviti tudi vsebinski preizkus, ali za povezovanje zbirk osebnih podatkov obstaja ustrezna zakonska podlaga. V okviru povezave zbirk osebnih podatkov se lahko posredujejo oz. obdelujejo le tisti osebni podatki, ki jih doloca veljavna zakonodaja. Povezovanje zbirk predstavlja avtomatsko in elektronsko povezovanje zbirk osebnih podatkov, ki jih vodijo upravljavci za razlicne namene, in sicer tako, da se doloceni podatki samodejno ali na zahtevo prenesejo ali vkljucijo v drugo povezano zbirko ali v vec povezanih zbirk. Zbirki osebnih podatkov sta povezani, ce se doloceni podatki iz ene zbirke neposredno vkljucijo v drugo zbirko, s cimer se druga zbirka spremeni (poveca, ažurira ipd.); pri tem gre lahko zgolj za enosmeren tok prenosa podatkov. Informacijski pooblašcenec je leta 2019 prejel 24 vlog za pridobitev dovoljenja za povezovanje zbirk osebnih podatkov. En vlagatelj je vlogo umaknil, zato je Informacijski pooblašcenec postopek ustavil. Informacijski pooblašcenec je izdal 23 odlocb (šest v postopkih iz leta 2018), s katerimi je upravljavcem dovolil povezovanje zbirk osebnih podatkov. Izdane odlocbe glede povezovanja javnih evidenc Upravljavec 1 Zbirka osebnih podatkov 1 Upravljavec 2 Zbirka osebnih podatkov 2 Povezovalni znak 1. Zavod RS za zaposlovanje Evidenca brezposelnih oseb Financna uprava RS Davcni register davcna številka 2. KDD – Centralna klirinško depotna družba Centralni register nematerializiranih papirjev (CRVP) Ministrstvo RS za notranje zadeve Centralni register prebivalstva (CRP) EMŠO Ministrstvo RS za notranje zadeve Centralni register prebivalstva (CRP) EMŠO 3. Splošna bolnišnica »dr. Franca Derganca« Nova Gorica Osnovna medicinska dokumentacija (OMD) Ministrstvo RS za notranje zadeve Maticni register (MR) EMŠO EMŠO ali davcna 4. Ministrstvo za javno upravo Elektronska evidenca dokumentarnega gradiva organov Ministrstvo RS za notranje zadeve Centralni register prebivalstva (CRP) številka 5. Zavod RS za zaposlovanje Evidenca brezposelnih oseb in Evidenca iskalcev zaposlitve Študentska organizacija Slovenije Evidenca študentskega dela EMŠO Ministrstvo RS za izobraževanje, znanost in šport Centralna evidenca udeležencev vzgoje in izobraževanja (Ceuviz) EMŠO 6. Študentska organizacija Slovenije Evidenca študentskega dela (EŠD) Evidencni in analitski informacijski sistem visokega šolstva v RS Ministrstvo RS za izobraževanje, znanost in šport EMŠO (eVŠ) Evidenca o odmeri dohodnine od dohodka iz oddajanja premoženja Ministrstvo za okolje in prostor, Geodetska uprava 7. Financna uprava RS Register nepremicnin EMŠO v najem RS - Evidenca o davkih, - Evidenca o vodenju financnega nadzora, (EMŠO) ali MŠ ali - Evidenca o hrambi blaga, 8. Financna uprava RS Ministrstvo za infrastrukturo Evidenca registriranih vozil registrska številka - Evidenca trošarin, vozila - Evidenca o davcni izvršbi in - Evidenca motornih vozil Zbirka osebnih podatkov dijakov in študentov, ki so opravljali 9. Študentska organizacija Slovenije Evidenca študentskega dela (EŠD) Zavod ŠOUM EMŠO študentsko delo Zamorc, podjetje za opravljanje in posredovanje Zbirka osebnih podatkov dijakov in študentov, ki so opravljali 10. Študentska organizacija Slovenije Evidenca študentskega dela (EŠD) EMŠO storitev, Škofja Loka, d. o. o. študentsko delo Študentski, posredovanje dela in ostale poslovne Zbirka osebnih podatkov dijakov in študentov, ki so opravljali 11. Študentska organizacija Slovenije Evidenca študentskega dela (EŠD) EMŠO storitve, d. o. o. študentsko delo Študentski servis, posredovanje delovne sile, Zbirka osebnih podatkov dijakov in študentov, ki so opravljali 12. Študentska organizacija Slovenije Evidenca študentskega dela (EŠD) trgovina, gostinstvo, gradbeništvo, nepremicnine in EMŠO študentsko delo storitve, d. o. o. Zbirka osebnih podatkov dijakov in študentov, ki so opravljali 13. Študentska organizacija Slovenije Evidenca študentskega dela (EŠD) ŠS storitveno podjetje, d. o. o. EMŠO študentsko delo Zbirka osebnih podatkov dijakov in študentov, ki so opravljali 14. Študentska organizacija Slovenije Evidenca študentskega dela (EŠD) MS Servis posredovanje, d. o. o. EMŠO študentsko delo Kadring – kadrovsko in poslovno svetovanje, d. o. Zbirka osebnih podatkov dijakov in študentov, ki so opravljali 15. Študentska organizacija Slovenije Evidenca študentskega dela (EŠD) EMŠO o. študentsko delo Mladinski servis, Pomurski študentski servis, d. o. Zbirka osebnih podatkov dijakov in študentov, ki so opravljali 16. Študentska organizacija Slovenije Evidenca študentskega dela (EŠD) EMŠO o. študentsko delo Cifra, financne in racunovodske svetovalne Zbirka osebnih podatkov dijakov in študentov, ki so opravljali 17. Študentska organizacija Slovenije Evidenca študentskega dela (EŠD) EMŠO storitve, d. o. o. študentsko delo Zbirka osebnih podatkov dijakov in študentov, ki so opravljali 18. Študentska organizacija Slovenije Evidenca študentskega dela (EŠD) Alt Lakoše, d. o. o. EMŠO študentsko delo Zbirka osebnih podatkov dijakov in študentov, ki so opravljali 19. Študentska organizacija Slovenije Evidenca študentskega dela (EŠD) Agencija M servis, Kadrovske storitve, d. o. o. EMŠO študentsko delo Zbirka osebnih podatkov dijakov in študentov, ki so opravljali 20. Študentska organizacija Slovenije Evidenca študentskega dela (EŠD) Agado, d. o. o. EMŠO študentsko delo Zbirka osebnih podatkov dijakov in študentov, ki so opravljali 21. Študentska organizacija Slovenije Evidenca študentskega dela (EŠD) Adecco H.R., d. o. o. EMŠO študentsko delo - Evidenca upravicencev do sofinanciranja placil staršev za vrtec iz državnega proracuna (SPS), - Evidenca prijavljenih kandidatov za vpis v 1. letnik srednje šole (VPIS V SS), 22. Ministrstvo za izobraževanje, znanost in šport Centralna evidenca udeležencev vzgoje in izobraževanja (CEUVIZ) Ministrstvo za izobraževanje, znanost in šport EMŠO - Evidenca vpisanih v dijaške domove (VPIS V DD) in - Evidenca študentov in diplomantov v zbirki podatkov evidencnega in analitskega informacijskega sistema visokega šolstva v Republiki Sloveniji (eVŠ) kombinacija osebnih zbirka Evropskega informacijskega sistema kazenskih evidenc 23. Ministrstvo za pravosodje Ministrstvo RS za notranje zadeve Centralni register prebivalstva (CRP) podatkov ime, priimek (ECRIS) in datum rojstva Število vlog za izdajo odlocbe glede povezljivosti zbirk osebnih podatkov med letoma 2006 in 2019. 30 25 20 15 10 5 0 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 2017 2018 2019 3.3.3 PRENOS OSEBNIH PODATKOV V TRETJE DRŽAVE Splošna uredba ureja prenos podatkov v tretje države in mednarodne organizacije v V. poglavju. Prenos je dovoljen, ce obstaja ena izmed naslednjih pravnih podlag: 1. Evropska komisija izda odlocbo, da država, ozemlje, dolocen sektor v državi ali mednarodna organizacija, v katero se osebni podatki prenašajo, zagotavlja ustrezno raven njihovega varstva (clen 45). V veljavi ostajajo tudi odlocbe o zagotavljanju ustrezne ravni varstva osebnih podatkov v tretjih državah, ki jih je na podlagi 63. clena ZVOP-1 sprejel Informacijski pooblašcenec; 2. izvoznik podatkov zagotovi ustrezne zašcitne ukrepe na podlagi clenov 46 in 47; 3. gre za posebne primere, ki so doloceni v clenu 49, v katerih so mogoca odstopanja. Po Splošni uredbi dovoljenje Informacijskega pooblašcenca za prenos podatkov v tretje države ali mednarodne organizacije v vecini primerov ni vec potrebno. Pridobitev dovoljenja oz. odlocbe nadzornega organa glede ustreznosti zašcitnih ukrepov iz clena 46, ki predstavljajo podlago za prenos podatkov, je potrebna le še takrat: • ko gre za prenos podatkov v tretjo državo na podlagi pogodbenih dolocil, ki jih kot ustrezne zašcitne ukrepe sama dolocita izvoznik in uvoznik podatkov (tocka (a) clena 46(3)); • ko gre za prenos podatkov med javnimi organi na podlagi dolocb, ki se vstavijo v upravne dogovore (tocka (b) clena 46(3)); • ce se podatki prenašajo na podlagi zavezujocih poslovnih pravil, mora le-te predhodno odobriti pristojni nadzorni organ (clen 47(1)). Informacijski pooblašcenec je leta 2019 prejel eno vlogo, s katero je vlagatelj zaprosil za odobritev dolocenega upravnega dogovora, ki se nanaša na prenose osebnih podatkov, pridobljenih pri opravljanju nalog oz. izvajanju pooblastil in odgovornosti med dolocenimi financnimi nadzornimi organi Evropskega gospodarskega prostora (EGP) in dolocenimi financnimi nadzornimi organi zunaj EGP, kot so javni organi, regulatorji in/ali nadzorniki trgov vrednostnih papirjev in/ali izvedenih financnih instrumentov. Informacijski pooblašcenec je v postopku ugotovil, da upravni dogovor, ki ga je želel izvoznik podatkov uporabiti kot pravno podlago za prenos osebnih podatkov organom financnega nadzora zunaj EGP, zagotavlja ustrezne zašcitne ukrepe in daje posameznikom, na katere se nanašajo osebni podatki, na voljo izvršljive pravice in ucinkovita pravna sredstva. Zato je vlagatelju dovolil, da po prejemu odlocbe na podlagi upravnega dogovora iz tocke (b) clena 46(3) Splošne uredbe, in sicer »Administrative Arrangement for the transfer of personal data between European Economic Area (EEA) Financial Supervisory Authorities and non-EEA Financial Supervisory Authorities«, o katerem je EOVP dne 12. 2. 2019 že izdal pozitivno mnenje, osebne podatke, pridobljene pri 63 opravljanju nalog oz. izvajanju pooblastil in odgovornosti, prenaša financnim nadzornim organom v tretjih državah, s katerimi bo podpisal predmetni upravni dogovor. Informacijski pooblašcenec ima na svoji spletni strani objavljene smernice, v katerih je podrobno predstavljena ureditev prenosov osebnih podatkov v tretje države in mednarodne organizacije po Splošni uredbi. Smernice so dostopne na tej povezavi. 3.3.4PRAVICE POSAMEZNIKOV Pravica do seznanitve z lastnimi osebnimi podatki je zagotovljena vsakemu posamezniku v tretjem odstavku 38. clena Ustave RS in v clenu 15 Splošne uredbe. Postopkovna pravila so urejena v clenu 11 in 12 Splošne uredbe. Po clenu 15 Splošne uredbe je posameznik upravicen, da mu upravljavec na njegovo zahtevo: (1) potrdi, ali se v zvezi z njim obdelujejo osebni podatki; (2) omogoci vpogled ali posreduje reprodukcijo teh osebnih podatkov, torej zagotovi dostop do njihove vsebine; (3) ce se osebni podatki posameznika pri upravljavcu res obdelujejo, je posameznik upravicen tudi do naslednjih dodatnih informacij: • namen obdelave podatkov, • vrsta podatkov, • uporabniki podatkov, • obdobje hrambe podatkov, • obstoj pravic posameznika v zvezi z njegovimi podatki, • vir podatkov in • obstoj avtomatiziranega sprejemanja odlocitev, vkljucno z oblikovanjem profilov, ter informacije o razlogih zanj, pa tudi pomen in predvidene posledice take obdelave za posameznika, na katerega se osebni podatki nanašajo. Splošna uredba ureja še nekatere druge pravice posameznikov, ki se uveljavljajo na zahtevo: 1. Pravica do prenosljivosti osebnih podatkov, ki pomeni možnost, da posameznik doseže prenos osebnih podatkov, ki se obdelujejo v avtomatizirani obliki, drugemu upravljavcu na nacin, da se ti podatki lahko v enaki obliki vkljucijo oz. uporabljajo pri drugem upravljavcu. Lahko pa te podatke na enak nacin pridobi tudi sam. 2. Pravica do ugovora, ki pomeni, da lahko posameznik pod dolocenimi pogoji (npr. ce se podatki obdelujejo za neposredno trženje) doseže, da upravljavec dolocene obdelave ne sme vec izvajati. 3. Pravica do ugovora zoper upravljavcevo odlocitev o posamezniku (npr. o njegovih pravicah in dolžnostih), ce je bila odlocitev sprejeta izkljucno z avtomatizirano obdelavo osebnih podatkov. 4. Pravica do popravka, ki pomeni možnost, da posameznik doseže, da upravljavec izvede popravek ali dopolnitev netocnih ali nepopolnih podatkov, ki se vodijo pri njem. 5. Pravica do izbrisa, ki pomeni, da mora upravljavec pod dolocenimi pogoji izbrisati osebne podatke – tipicni so neobstoj pravne podlage za obdelavo podatkov, neobstoj zakonitega namena za obdelavo podatkov in zahteva podrocnega predpisa, da se podatki izbrišejo. 6. Pravica do omejitve obdelave, ki omogoca popolno ali delno ter dolgorocno ali zacasno blokado dolocene obdelave osebnih podatkov pod dolocenimi pogoji. Za zahteve posameznikov, ki se nanašajo na podrocje preprecevanja, odkrivanja, preiskovanja in pregona kaznivih dejanj ter izvrševanja kazenskih sankcij, se tudi po 25. 5. 2018 še vedno uporabljata 30. in 31. clen ZVOP-1. Po 30. clenu ZVOP-1 je ureditev sicer nekoliko drugacna, vendar bistvenih razlik glede vsebine pravic v primerjavi s Splošno uredbo ni. Glede na dolocbe clena 12 Splošne uredbe mora upravljavec osebnih podatkov o posameznikovi zahtevi odlociti v enem mesecu. Posredovanje osebnih podatkov in dodatnih informacij posamezniku je praviloma brezplacno. Ce upravljavec posamezniku ne odgovori v predpisanem roku ali ce njegovo zahtevo zavrne, lahko posameznik vloži pritožbo pri Informacijskem pooblašcencu. Informacijski pooblašcenec na pritožbeni stopnji odloca tudi o posebnih pravicah glede seznanitve z zdravstveno dokumentacijo po ZPacP, in sicer o: 1. pravici pacienta do seznanitve z lastno zdravstveno dokumentacijo, ki vkljucuje tudi pravico do pridobitve pojasnil o vsebini dokumentacije in pravico dajanja pripomb na vsebino zdravstvene dokumentacije; 2. pravici svojcev in drugih upravicenih oseb do seznanitve z zdravstveno dokumentacijo umrlega pacienta; 3. pravici dolocenih drugih oseb do seznanitve z zdravstveno dokumentacijo pacienta. Informacijski pooblašcenec je leta 2019 prejel 181 pritožb posameznikov v zvezi s kršitvami pravice do seznanitve z lastnimi osebnimi podatki, pravice do seznanitve z lastno zdravstveno dokumentacijo in pravice do seznanitve z zdravstveno dokumentacijo s strani drugih upravicenih oseb. Skrb vzbujajoce je, da je v primerjavi z letom 2018 prejel 75 pritožb (71 %) vec, saj je mogoce zakljuciti, da številni upravljavci osebnih podatkov ne izpolnjujejo svojih obveznosti in posameznikom ne omogocajo izvrševanja pravic, ki jim jih zagotavljajo razlicni predpisi. Število pritožb v zvezi s pravico do seznanitve z lastnimi osebnimi podatki med letoma 2006 in 2019. 180 160 140 120 100 80 60 40 20 0 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 2017 2018 2019 Vložene pritožbe so v 70 primerih zadevale upravljavce iz javnega sektorja (zlasti ministrstva in organe v njihovi sestavi, sodišca, javne zdravstvene zavode in centre za socialno delo), 111 pritožb pa se je nanašalo na upravljavce iz zasebnega sektorja (npr. banke, zavarovalnice, operaterje elektronskih komunikacij, društva, odvetnike in zasebne izvajalce zdravstvene dejavnosti). Le 17 pritožb se je nanašalo na pravico do seznanitve z zdravstveno dokumentacijo po ZPacP, vse preostale so se nanašale na pravico do seznanitve z lastnimi osebnimi podatki po Splošni uredbi oz. ZVOP-1. V vec kot polovici primerov (v 98 primerih, torej v 54 %) so se posamezniki pritožili, ker jim upravljavci na njihove zahteve sploh niso odgovorili oz. so bili v molku, drugi pa so se pritožili zato, ker so upravljavci njihove vloge zavrnili ali ker jim niso posredovali vseh zahtevanih podatkov. Razlog za molk je bil (glede na odziv po prejemu poziva Informacijskega pooblašcenca) pri vecini upravljavcev nepoznavanje pravice posameznikov do seznanitve z lastnimi osebnimi podatki in dolžnosti upravljavcev v zvezi z njenim izvrševanjem. V 62 primerih, ki so se vodili zaradi molka upravljavca, so upravljavci po prejemu poziva Informacijskega pooblašcenca o zahtevah posameznikov odlocili na nacin, da so jim posredovali zahtevane podatke in dokumente ali zahteve obrazloženo zavrnili s formalnim obvestilom (zoper katerega je možna vsebinska pritožba), zaradi cesar je Informacijski pooblašcenec postopke ustavil. 16 posameznikov je Informacijskega pooblašcenca po vložitvi pritožbe obvestilo, da umikajo pritožbe, ker so s strani upravljavca prejeli ustrezna pojasnila in podatke, Informacijski pooblašcenec pa je nato postopke s sklepom ustavil. Leta 2019 je Informacijski pooblašcenec, vkljucno s postopki, zacetimi v letu 2018, izdal 38 upravnih odlocb, kar je enkrat vec kot leta 2018. V 19 odlocbah je pritožbam posameznikov v celoti ugodil in upravljavcem naložil posredovanje dolocenih osebnih podatkov, v 11 odlocbah je pritožbam ugodil delno, z osmimi odlocbami je pritožbe posameznikov kot neutemeljene zavrnil. Vecina upravljavcev je odlocbe izvršila in posameznikom posredovala zahtevane dokumente oz. podatke, dva upravljavca pa sta zoper odlocbi sprožila upravni spor pred Upravnim sodišcem RS. Tožbi sta vložila tudi dva posameznika, eden zoper zavrnilno odlocbo, izdano decembra 2018, eden pa zoper sklep o zavrženju vloge zaradi nepristojnosti. 65 Informacijski pooblašcenec je s sklepom zavrgel 33 pritožb, in sicer 22 pritožb, ker je v postopku ugotovil, da je upravljavec zahtevi prosilca že v celoti ugodil, zaradi cesar prosilec ni imel (vec) pravnega interesa, 11 pritožb pa zaradi postopkovnih pomanjkljivosti (nepopolna, prepozna ali preuranjena vloga, vloga se ni nanašala na pravico do seznanitve z lastnimi osebnimi podatki). Osmim posameznikom je Informacijski pooblašcenec posredoval predlog za ravnanje, tri pritožbe pa je odstopil v reševanje pristojnim organom. En pritožbeni postopek je Informacijski pooblašcenec prekinil do odlocitve Ustavnega sodišca RS, ker je vložil zahtevo za presojo ustavnosti cetrtega odstavka 149.b clena Zakona o kazenskem postopku (ZKP). 3.3.5ZAHTEVA ZA OCENO USTAVNOSTI Informacijski pooblašcenec lahko z zahtevo zacne postopek za oceno ustavnosti oz. zakonitosti predpisov na podlagi 23.a clena Zakona o Ustavnem sodišcu (ZUstS), ce se pojavi vprašanje ustavnosti ali zakonitosti v zvezi s postopkom, ki ga vodi. Zahteva za oceno ustavnosti cetrtega odstavka 149.b clena ZKP Informacijski pooblašcenec je na podlagi tretje alineje prvega odstavka 2. clena ZInfP v zvezi s 30. clenom ZVOP-1 zacel pritožbeni (drugostopenjski) postopek zoper operaterja elektronskih komunikacij kot upravljavca osebnih podatkov, in sicer na podlagi vložene pritožbe posameznika zoper zavrnilni odgovor upravljavca. Upravljavec je zavrnil posameznikovo zahtevo v delu, kjer je zahteval tudi seznam uporabnikov, katerim so bili posredovani njegovi podatki, kdaj, na kakšni podlagi in za kakšen namen, kot to omogoca 4. tocka prvega odstavka 30. clena ZVOP-1. Pri tem se je skliceval na cetrti odstavek 149.b clena ZKP, ki doloca, da operater svoji stranki ali tretji osebi ne sme razkriti, da je ali da bo dolocene podatke posredoval pristojnemu organu (prvi odstavek tega clena) ali policiji (tretji odstavek tega clena) za namen odkritja storilca ali kaznivega dejanja, ki se preganja po uradni dolžnosti. Posameznik se je v pritožbenem postopku omejil le na podatke o uporabnikih njegovih osebnih podatkov, ki oz. ce so bili posredovani v zvezi s 149.b clenom ZKP, kar pomeni, da je od upravljavca želel prejeti podatke o posredovanju njegovih prometnih podatkov (telefonska številka, datum komunikacije, cas komunikacije, trajanje klica, vrsta komunikacije, kolicina podatkov in kraj) upravicenim organom po prvem odstavku 149.b clena ZKP, ne glede na to, ali je nastopal kot osumljenec ali kot tretja, nakljucno udeležena oseba. Za meritorno odlocitev o posameznikovi pravici do seznanitve z lastnimi osebnimi podatki je v pritožbenem postopku, poleg ostalih pogojev, neizogibno treba ugotoviti, ali je v podrocnih zakonih ali višjih predpisih dolocena omejitev pravice do seznanitve z lastnimi osebnimi podatki in ali omejitev v konkretnem primeru pride v poštev. V obravnavanem primeru se je izkazalo, da je taka omejitev res dolocena v cetrtem odstavku 149.b clena ZKP, tako kot je zatrjeval upravljavec. Vendar pa je Informacijski pooblašcenec, izhajajoc iz dosedanje prakse, primerljivih predpisov in splošnih standardov na podrocju varstva osebnih podatkov, ugotovil, da obstajajo resni in objektivni razlogi, da omenjena zakonska omejitev ni v skladu z Ustavo RS. Po mnenju Informacijskega pooblašcenca ni problematicen sam obstoj omejitve pravice do seznanitve z lastnimi osebnimi podatki, ki jo doloca cetrti odstavek 149.b clena ZKP. Sama omejitev pravice ter cilji oz. razlogi zanjo so legitimni in skladni s tedaj veljavno Direktivo 95/46/ES (13. clen) in sedaj veljavno Splošno uredbo (clen 23), saj iz obeh izhaja, da države clanice lahko sprejmejo predpise za omejitev obsega pravic posameznikov, kadar taka omejitev predstavlja potreben in sorazmeren ukrep v demokraticni družbi, med drugim za zagotavljanje preprecevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij. Prav tako ni problematicen tisti del cetrtega odstavka 149.b clena ZKP, ki se nanaša na bodoce posredovanje podatkov, torej da bo operater dolocene podatke posredoval pristojnemu organu ali policiji, ampak le del, ki govori o preteklem posredovanju podatkov pristojnim organom. Obravnavana omejitev oz. izjema od splošne pravice do seznanitve z lastnimi osebnimi podatki po mnenju Informacijskega pooblašcenca ni v skladu z Ustavo RS oz. je nesorazmerna, ker brez ocitno utemeljenega razloga trajno (ni pogojena z doloceno casovno tocko oz. dogodkom) in brezpogojno (ne doloca izjem od omejitve ali pogojev, kdaj so dopustne izjeme glede nacina izvrševanja pravice), torej absolutno omejuje posameznike pri uveljavljanju pravice do seznanitve z lastnimi osebnimi podatki, ki jo posamezniki sicer imajo po 38. clenu Ustave RS, po 30. clenu ZVOP-1 in po clenu 15 Splošne uredbe. Nevarnost razkritja prometnih komunikacijskih podatkov osumljencu, udeležencu ali s kaznivim dejanjem kako drugace povezanim osebam (npr. pricam, žrtvam ali svojcem osumljenca) je v tem, da lahko takšno razkritje ogrozi uspešno in ucinkovito odkritje, preiskavo in pregon konkretnega kaznivega dejanja s strani pristojnih organov, kar pomeni, da je lahko prizadet javni interes, ki ga zasleduje kazensko pravo. Toda te kazenskopravne interese je utemeljeno, tj. smiselno, legitimno, primerno in neizogibno, treba varovati le do neke casovne tocke, ko interesi preprecevanja, preiskovanja, odkrivanja in pregona kaznivih dejanj dejansko (v konkretnem primeru glede na okolišcine konkretnega primera) ali abstraktno (teoreticno, na splošno) ne morejo biti vec ogroženi. Primerne casovne tocke bi lahko bile na primer: zastaranje kazenskega pregona za kaznivo dejanje, v zvezi s katerim so se obdelovali osebni podatki posameznika pri operaterjih, organih odkrivanja in pregona kaznivih dejanj ter sodišcih; pravnomocna obsodilna, zavrnilna ali oprostilna sodba sodišca; pravnomocna odlocitev državnega tožilca, da ne bo zacel pregona; pravnomocna odlocitev o uvedbi kazenskega postopka. Zato ni utemeljenih razlogov, da bi moralo varstvo interesov preprecevanja, odkrivanja, preiskovanja in pregona kaznivih dejanj trajati neomejeno (izjema bi lahko veljala le za nezastarljiva kazniva dejanja), ampak bi morali biti tudi podatki o posredovanju prometnih podatkov glede telefonske komunikacije, ki jih ima operater, podvrženi sprostitvi v trenutku, ko navedeno varstvo ni vec nujno potrebno in vsebinsko utemeljeno za dosego zasledovanih ciljev. Zaradi masovnih izmenjav osebnih podatkov je v praksi pogosto, da z istimi ali istovrstnimi osebnimi podatki razpolaga vec upravljavcev, posameznik pa ima možnost, da pod enakimi pogoji uresnicuje pravico do seznanitve pri katerem koli od njih ali pri vseh. Zato bi tudi v konkretnem primeru bilo prav, da posameznik pod dolocenimi pogoji pridobi želene podatke pri vseh štirih možnih upravljavcih: policiji, državnem tožilstvu, sodišcu in tudi pri operaterju. Primerjava s podrocnimi procesno-organizacijskimi zakoni je pokazala, da je obravnavana omejitev pretirana, ker zakonodajalec v podrocnih zakonih (Zakon o državnem tožilstvu, Zakon o nalogah in pooblastilih policije) ni dolocil absolutnih, temvec le relativne omejitve pri uresnicevanju pravice do seznanitve z lastnimi osebnimi podatki, kamor sodijo tudi prometni podatki glede telefonske komunikacije, poleg tega omejitve pravice do seznanitve ne doloca niti ZEKom-1, ki ureja delovanje operaterjev. Pravica do seznanitve zato ne ucinkuje enako v razmerju do sodišca (kot izdajatelja odredbe) in v razmerju do operaterja (kot vira podatkov), ceprav gre za primerljive podatke in ceprav bi pravica do seznanitve z enakimi ali istovrstnimi podatki morala imeti enake ali vsaj podobne ucinke in pogoje, ne glede na to, kdo je upravljavec osebnih podatkov. Informacijski pooblašcenec je izpostavil tudi, da sta z omejitvijo prizadeti dve kategoriji oseb, in sicer osebe, zoper katere so potekale aktivnosti pri preiskovanju, odkrivanju ter pregonu kaznivih dejanj, in tretje osebe, ki s kaznivim dejanjem nimajo nobene zveze, saj so le nakljucno ali neodvisno od kaznivega dejanja vstopile v komunikacijo z osebo, v katero so sicer usmerjene aktivnosti iz prvega odstavka 149.b clena ZKP. Zakonodajalec je po vložitvi zahteve za oceno ustavnosti predpis v tem delu delno dopolnil in dolocil rok, v katerem operater oz. ponudnik storitev informacijske družbe svojemu uporabniku, narocniku ali tretjim osebam ne sme razkriti, da je ali da bo v skladu s tem clenom posredoval dolocene podatke. Tega ne sme razkriti 24 mesecev po preteku meseca, v katerem se je zakljucilo izvrševanje odredbe. Preiskovalni sodnik lahko z odredbo doloci drugacen rok, rok lahko podaljša za najvec 12 mesecev, vendar ne vec kot dvakrat, rok lahko skrajša ali prepoved seznanitve odpravi. 67 3.4PRIPRAVA MNENJ IN POJASNIL 3.4.1SPLOŠNA POJASNILA Na podlagi clena 57 Splošne uredbe in 49. clena ZVOP-1 Informacijski pooblašcenec izdaja neobvezna mnenja, pojasnila in stališca o vprašanjih s podrocja varstva osebnih podatkov, s katerimi prispeva k ozavešcenosti upravljavcev in obdelovalcev ter širše javnosti. Leta 2019 je Informacijski pooblašcenec svetoval 3.284 posameznikom in pravnim osebam, ki so se nanj obrnili z vprašanji s podrocja varstva osebnih podatkov. Informacijski pooblašcenec je izdal 1.261 pisnih mnenj in napotitev na mnenja. Ce je posameznik zastavil vprašanje, na katerega je Informacijski pooblašcenec v preteklosti podobno že odgovoril, je prejel le napotitev na mnenje, objavljeno na spletni strani. Na spletni strani https://www.ip-rs.si/vop/ je objavljenih vec kot 5.000 mnenj, ki so razvršcena v 48 vsebinskih podrocij. Uporabniki lahko brskajo po mnenjih, ki so bila izdana, preden je v veljavo stopila Splošna uredba, z locenim iskalnikom pa lahko dostopajo do mnenj, ki so bila izdana po 25. maju 2018. Informacijski pooblašcenec spodbuja svetovanje oz. posredovanje ustnih odgovorov na vprašanja, zato je v uradu vsak dan na voljo dežurni državni nadzornik za varstvo osebnih podatkov, ki na vprašanja odgovarja po telefonu. Leta 2019 so državni nadzorniki sprejeli 2.023 klicev. 3.4.2MNENJA NA PREDPISE Informacijski pooblašcenec podaja mnenja na predpise skladno s tocko (c) clena 57 Splošne uredbe, ki doloca, da vsak nadzorni organ na svojem ozemlju v skladu s pravom clanice svetuje nacionalnemu parlamentu, vladi ter drugim institucijam in organom o zakonodajnih in upravnih ukrepih v zvezi z varstvom pravic in svobošcin posameznikov pri obdelavi osebnih podatkov, in skladno z 48. clenom ZVOP-1, ki doloca, da državni nadzorni organ daje predhodna mnenja ministrstvom, državnemu zboru, organom samoupravnih lokalnih skupnosti, drugim državnim organom ter nosilcem javnih pooblastil o usklajenosti dolocb predlogov zakonov ter ostalih predpisov z zakoni in drugimi predpisi, ki urejajo osebne podatke. Leta 2019 je Informacijski pooblašcenec izdal 73 mnenj na predloge sprememb zakonov ter na predloge novih zakonov in drugih predpisov, kar je nekoliko vec kot leta 2018, ko jih je izdal le 60. Kljub rahlemu povecanju števila mnenj je to število še vedno precej manjše kot pred letom 2018, ko je Informacijski pooblašcenec v posameznih letih izdal tudi vec kot 100 mnenj. Informacijski pooblašcenec poudarja, da pri predlagateljih predpisov, s katerimi se uvajajo nove kompleksne oblike obdelav osebnih podatkov ali obsežne obdelave osebnih podatkov z uporabo modernih tehnologij, pogreša zavedanje o nujnosti temeljite predhodne analize in naslovitve tveganj, ki jih takšne obdelave prinašajo. Zato priporoca, da v teh primerih predlagatelji vedno predhodno pripravijo oceno ucinkov v zvezi z varstvom podatkov, s katero lahko pravocasno prepoznajo in naslovijo morebitna tveganja ter se tako izognejo nepotrebnim napakam in težavam ob pripravi predpisa, ter poskrbijo, da bo zakon dejansko skladen z nacelom sorazmernosti z vidika posegov v zasebnost. Upoštevajoc velike stroške uvajanja novih tehnologij pri obdelavi osebnih podatkov pa nikakor ni zanemarljivo, da se le tako lahko pravocasno in realno oceni financne posledice uvedbe nove oblike obdelave ter prepreci morebitne dodatne stroške ob njenem izvajanju. Informacijski pooblašcenec je leta 2019 podal mnenje, pripombe oz. je sodeloval pri pripravi naslednjih predpisov (v zvezi z nekaterimi je podal vec mnenj): • Predlog Zakona o spremembah in dopolnitvah Zakona o divjadi in lovstvu, • Predlog Zakona o spremembah in dopolnitvah Zakona o referendumu in ljudski iniciativi, • Predlog Zakona o mladoletnih storilcih kaznivih dejanj (dve mnenji), • Predlog novele Zakona o pacientovih pravicah, • Predlog Zakona o spremembah in dopolnitvah Zakona o preprecevanju pranja denarja in financiranja terorizma, • Predlog sprememb Zakona o osebni izkaznici – medresorsko usklajevanje (drugi krog), • Predlog Uredbe o izvajanju Uredbe (EU) o evropski državljanski pobudi, • Predlog novega Stanovanjskega zakona, • Predlog Zakona o spremembah in dopolnitvah Zakona o športu (ZŠpo-1-A), • Nezagotavljanje ustavne pravice do varstva osebnih podatkov v Sloveniji – nevarnost izkljucitve organov pregona iz nadzora, • Predlog Letnega programa statisticnih raziskovanj za leto 2020, • Predlog dopolnjenega besedila novega Zakona o racunskem sodišcu, • Predlog novega clena 146 j Zakona o varstvu okolja, • Predlog dopolnjenega Zakona o spremembah in dopolnitvah Zakona o centralnem kreditnem registru, • Predlog sprememb Zakona o osebni izkaznici, • Uredba o spremembah in dopolnitvah Uredbe o izvajanju podukrepa pomoc za zagon dejavnosti, namenjene razvoju majhnih kmetij iz Programa razvoja podeželja Republike Slovenije za obdobje 2014– 2020, • Priloge predlogov pravilnikov k predlogu Zakona o spremembah in dopolnitvah Zakona o tujcih, • Dodatna pojasnila k Predlogu Zakona o spremembah in dopolnitvah Zakona o prevozih v cestnem prometu, • Predlog Zakona o spremembah in dopolnitvah Zakona o celostni zgodnji obravnavi predšolskih otrok s posebnimi potrebami, • Predlog Zakona o spremembah in dopolnitvah Zakona o kmetijstvu, • Predlog Zakona o spremembah in dopolnitvah Zakona o urejanju trga dela (ZUTD-E), • Predlog Zakona o obravnavi otrok in mladostnikov s custvenimi in vedenjskimi težavami in motnjami, • Predlog Zakona o spremembah in dopolnitvah Zakona o zašciti živali, • Osnutek novele Zakona o pacientovih pravicah in Pravilnika o narocanju, • Osnutek Zakona o spremembah in dopolnitvah Zakona o tujcih, • Predlog novega Zakona o varstvu osebnih podatkov – ZVOP-2 (štiri mnenja), • Predlog Pravilnika o pogojih in postopkih za izvajanje Zakona o izvajanju rejniške dejavnosti, • Predlog Zakona o spremembah in dopolnitvi Zakona o pravilih cestnega prometa, • Osnutek Odredbe o dolocitvi programa strokovnega usposabljanja za varnostnika telesnega stražarja, • Predlog Zakona o spremembah in dopolnitvah Zakona o prevozih v cestnem prometu, • Predlog novega Zakona o racunskem sodišcu, • Predlog Zakona o spremembah in dopolnitvah Zakona o preprecevanju pranja denarja in financiranja terorizma (ZPPDFT-1A), • Predlog Zakona o zagotavljanju zemljišc za namene izvajanja raziskovalnih in izobraževalnih procesov s podrocja kmetijstva in gozdarstva, • Osnutek Odredbe o dolocitvi standardov, ki so obvezni na podrocju zasebnega varovanja, • Predlog sprememb Zakona o letalstvu (ZLet), • Predlog Uredbe o izvajanju Uredbe (EU) o klinicnem preskušanju zdravil, • Predlog Zakona o spremembah in dopolnitvah Stvarnopravnega zakonika, • Predlog Zakona o spremembah in dopolnitvah Zakona o preprecevanju pranja denarja in financiranja terorizma (ZPPDFT-1B), • Predlog besedila 3. podpoglavja novega Stanovanjskega zakona – javna stanovanja (pridobivanje podatkov in zbirke podatkov pri lastnikih), • Predlog Zakona o izvajanju Uredbe (EU) Evropskega parlamenta in Sveta o sodelovanju med nacionalnimi organi, odgovornimi za izvrševanje zakonodaje o varstvu potrošnikov, • Predlog besedila Zakona o spremembah in dopolnitvah Zakona o vrtcih – medresorsko usklajevanje, • Predlog besedila sprememb clenov 75.a in 75.b Zakona o integriteti in preprecevanju korupcije, • Mnenje na predlog Zakona o spremembah in dopolnitvah Zakona o trgu financnih instrumentov, • Predlog Pravilnika o spremembah in dopolnitvah Pravilnika o pogojih in postopkih za izvajanje Zakona o izvajanju rejniške dejavnosti (dve mnenji), • Predlog Pravilnika o izvajanju mediacije po Družinskem zakoniku, • Predlog Zakona o spremembah in dopolnitvah Zakona o poklicnem in strokovnem izobraževanju, • Predlog Zakona o spremembah in dopolnitvah Zakona o gimnazijah, • Dopolnjen Predlog Zakona o postopku sodnega varstva nekdanjih imetnikov kvalificiranih obveznosti bank (ZPSVNIKOB), • Predlog sprememb clena 43.e Zakona o tajnih podatkih, • Predlog Pravilnika o tehnicnih pregledih motornih in priklopnih vozil, • Predlog Zakona o spremembah in dopolnitvah Zakona o maticnem registru (dve mnenji), • Predlog Zakona o spremembah in dopolnitvah Energetskega zakona (dve mnenji), • Predlog Pravilnika o ravnanju ob nesrecah in incidentih v železniškem prometu, • Odredba o dolocitvi programa strokovnega usposabljanja za operaterja varnostnonadzornega centra, 69 • Predlog Zakona o kazenskem postopku (ZKP-N), • Predlog Pravilnika o izvrševanju kazni zapora, • Predlog Zakona o postopku sodnega varstva nekdanjih imetnikov kvalificiranih obveznosti bank, • Predlog Uredbe o dolocitvi pogojev za dostop do drugih informacijskih sistemov EU za namene ETIAS, • Predlog Uredbe o izvajanju uredbe (EU) o skladih denarnega trga, • Predlog Pravilnika o registraciji motornih in priklopnih vozil, • Predlog Zakona o spremembah Zakona o nematerializiranih vrednostnih papirjih (ZNVP-1B), • Predlog Uredbe o izvedbi ukrepov kmetijske politike za leto 2019, • Predlog Zakona o spremembah in dopolnitvah Zakona o nalogah in pooblastilih policije, • Predlog Zakona o spremembah in dopolnitvah Zakona o varstvu pred ionizirajocimi sevanji in jedrski varnosti, • Predlog Pravilnika o gradbišcih, • Predlog Zakona o spremembah in dopolnitvah Zakona o tujcih. 3.5SKLADNOST IN PREVENTIVA Splošna uredba daje veliko težo novemu nacelu odgovornosti (angl. accountability) in predvideva nabor ukrepov in mehanizmov, ki jih morajo izvajati upravljavci in obdelovalci s ciljem zagotavljanja skladnosti. Nadzorni organi za varstvo osebnih podatkov zato vedno vec resursov namenjajo preventivnemu delovanju, katerega cilj je zavezancem, ki želijo spoštovati zakonodajo, dati na razpolago ustrezne informacije, orodja in mehanizme, s katerimi lahko bolje razumejo in upoštevajo zahteve zakonodaje. Splošna uredba je namrec zlasti za mala in srednje velika podjetja, ki nimajo lastnih pravnih oddelkov, precejšen zalogaj, zato jim je treba dati na voljo enostavna, razumljiva in uporabna orodja ter jim tako približati zakonodajo. Med tovrstna orodja vsekakor sodijo smernice, mnenja, infografike, predavanja, srecanja pooblašcenih oseb in komunikacija z relevantnimi združenji zavezancev, kot so razlicne zbornice, prisotnost v medijih ter preventivne akcije za skladnost (angl. privacy sweep). Informacijski pooblašcenec redno posodablja svojo spletno stran, na kateri je objavljen bogat nabor uporabnih gradiv, prisoten je tudi na družabnih omrežjih Facebook in LinkedIn, kjer predvsem objavlja povezave na pomembne novosti na podrocju varovanja zasebnosti. Sektor za skladnost prav tako podaja mnenja na prejete ocene ucinkov glede varstva osebnih podatkov in pokriva podrocji kodeksov ravnanja ter (bodoce) certifikacije. Informacijski pooblašcenec je v letu 2019 izvajal projekt ozavešcanja RAPiD.Si, za katerega je pridobil evropska sredstva (vec o tem v poglavjih 1.3 in 3.5.7), v letu 2020 pa bo zacel izvajati nov projekt iDECIDE. Informacijski pooblašcenec je leta 2018 okrepil podrocje skladnosti, preventive in informacijskih tehnologij; na tem podrocju delujejo strokovnjaki s pravnimi, tehnološkimi in komunikološkimi znanji, ki so potrebna za ustrezno pripravo gradiv in komunikacijo z zavezanci. 3.5.1OBVEZNOSTI UPRAVLJAVCEV V sklop mehanizmov za skladnost in upoštevanje nacela odgovornosti sodijo naslednji mehanizmi, ki jih doloca Splošna uredba: • upoštevanje nacela vgrajenega in privzetega varstva podatkov, • ustreznost ureditve v primerih skupnega upravljanja, • ustrezna ureditev pogodbenih razmerij s (pogodbenimi) obdelovalci, • evidentiranje dejavnosti obdelave, • zagotavljanje organizacijskih in tehnicnih postopkov in ukrepov za varnost, • obveznost porocanja o kršitvah varnosti podatkov, • izvajanje ocen ucinka glede varstva osebnih podatkov, • imenovanje pooblašcenih oseb za varstvo osebnih podatkov, • kodeksi ravnanja in • certifikacija. Z namenom ustreznega informiranja zavezancev in ucinkovitega izvajanja teh obveznosti je Informacijski pooblašcenec vzpostavil številne postopke ter pripravil gradiva, kot pojasnjuje v nadaljevanju. 3.5.2POGODBENA OBDELAVA Leta 2019 je Informacijski pooblašcenec zaznal splošni trend znatnega povecanja sklepanja pogodb o pogodbeni obdelavi osebnih podatkov med zavezanci. Tudi vprašanj s tega podrocja je bilo neprimerljivo vec. Število mnenj v zvezi s pogodbeno obdelavo, ki jih je Informacijski pooblašcenec objavil na svoji spletni strani, se je tako od leta 2018 skoraj potrojilo (število mnenj iz rubrike »pogodbena obdelava« po letih: 2016: 8, 2017: 11, 2018: 17, 2019: 47). Navedeno torej ocitno kaže na vecje zavedanje zavezancev o pomenu obveznosti s podrocja varstva osebnih podatkov, ki ga je prinesla Splošna uredba (obveznost ureditve razmerja pogodbene obdelave je namrec obstajala že po ZVOP-1). Pri uporabi nove zakonodaje nastajajo tudi nova pravna vprašanja glede ustreznosti ureditve konkretnih razmerij – zlasti ali gre za razmerje pogodbene obdelave v smislu clena 28 Splošne uredbe oz. za razmerje skupnih upravljavcev v smislu clena 26 Splošne uredbe, ki je nov institut, ki ga je uvedla Splošna uredba. Na tem podrocju se je pokazala potreba po bolj koherentnem pristopu k izpolnjevanju obveznosti po Splošni uredbi za državne organe in druge javne institucije, ki so podprti z državno informacijsko infrastrukturo. Najvec vprašanj na tem podrocju je Informacijski pooblašcenec prejel s strani zasebnega sektorja; na to podrocje je usmeril mnoge preventivne aktivnosti – poleg rednega izdajanja mnenj in posodabljanja svojih smernic je v okviru projekta RAPiD.Si za srednja in mala podjetja dnevno izvajal brezplacno telefonsko svetovanje, izvedel vec brezplacnih predavanj po vsej Sloveniji ter redno vsebinsko posodabljal pojasnila na spletnih straneh upravljavec.si in ip-rs.si. Informacijski pooblašcenec je leta 2019 pristopil tudi k pripravi standardnih pogodbenih dolocil, ki bodo v veliko pomoc zavezancem za ureditev njihovih pogodbenih razmerij. Standardna pogodbena dolocila bodo v skladu s predpisanim postopkom predvidoma potrjena s strani Evropskega odbora za varstvo osebnih podatkov v letu 2020. Pricakujemo, da bo Informacijski pooblašcenec med prvimi nadzornimi organi v EU, ki bodo svoja standardna pogodbena dolocila predložili v potrditev pristojni evropski instituciji. 3.5.3EVIDENCE OBDELAV Splošna uredba ohranja dolžnost vestnega evidentiranja obdelave osebnih podatkov v zbirkah osebnih podatkov. Zavezanci vodijo zbirke osebnih podatkov o zaposlenih, strankah, uporabnikih in drugih kategorijah posameznikov, število zbirk pa v vecjih podjetjih in državnih organih presega število 50. Med pogosto spregledanimi zbirkami osebnih podatkov so podatki o zaposlenih, ki nastajajo ob uporabi službenih sredstev (interneta, e-pošte, tiskalnikov ipd.). Celovit popis zbirk osebnih podatkov je prvi in najpomembnejši korak k zagotavljanju skladnosti, zavezanci pa morajo za vsako zbirko osebnih podatkov natancno opredeliti njeno vsebino, pravne podlage, roke hrambe, namene uporabe podatkov in druge pomembne elemente. Splošna uredba je ukinila dolžnost prijave zbirk v register zbirk pri Informacijskem pooblašcencu, a je po drugi strani obveznost popisa zbirk razširila tudi na (pogodbene) obdelovalce. V preventivni aktivnosti za skladnost (ang. privacy sweep) je Informacijski pooblašcenec 130 najvecjih delodajalcev v državi pozval k evidentiranju dejavnosti obdelav osebnih podatkov, ki se zbirajo ob uporabi službenih sredstev zaposlenih, kot je uporaba interneta, e-pošte, tiskalnikov in drugih delovnih sredstev. Med naslovniki je bilo 40 delodajalcev iz javnega in 90 iz zasebnega sektorja, ki so skupaj zaposlovali približno 146.000 oseb. Na poziv je odgovorilo 67 zavezancev (odziv ni bil obvezen), ki so skupaj zaposlovali približno 84.000 oseb. Dobra polovica prejemnikov se je odzvala in velik delež teh je tudi podal pojasnila o izvedenih ukrepih, zato ocenjujemo, da je bila preventivna aktivnost na tem podrocju uspešna. Velja izpostaviti, da sta dva zavezanca izrecno pohvalila tovrsten pristop k zagotavljanju skladnosti, saj naj bi bilo s preventivnimi pozivi in usmeritvami mogoce doseci izboljšave organsko namesto prisilno, z grožnjo sankcij. Informacijski pooblašcenec je preventivno pozval k skladnosti tudi 40 spletnih trgovcev. Poziv se je v delu nanašal tudi na izpolnjevanje obveznosti po clenu 30 Splošne uredbe, zlasti glede evidentiranj osebnih podatkov, ki nastajajo v zvezi z uporabniki njihovih spletnih mest. Odzvalo se je 21 zavezancev, od katerih so nekateri posredovali obsežna in konkretna pojasnila. Informacijski pooblašcenec ocenjuje, da je bila aktivnost uspešna, konkretne ugotovitve pa bodo narekovale nacrtovanje inšpekcijskih aktivnosti v prihodnosti. Ob izvedenih preventivnih aktivnostih so v pomoc zavezancem na spletni strani objavljena pojasnila, vkljucno 71 z dvema vzorcema evidenc dejavnosti obdelave (obrazec za upravljavce in obrazec za obdelovalce), s katerim lahko zavezanci enostavno in ucinkovito popišejo svoje zbirke. 3.5.4 OCENE UCINKOV NA VARSTVO OSEBNIH PODATKOV Ocene ucinkov na varstvo osebnih podatkov predstavljajo eno kljucnih orodij nacela odgovornosti, katerih namen je pravocasna identifikacija in obvladovanje tveganj v povezavi z varstvom osebnih podatkov. Ocene ucinkov so še zlasti pomembne takrat, kadar gre za nove projekte obdelave osebnih podatkov, ki predvidevajo množicno obdelavo osebnih podatkov, še posebej kadar gre za uporabo modernih tehnologij, bolj ranljive skupine posameznikov in za obdelavo posebnih vrst osebnih podatkov. Klasicen primer projekta oz. sistema, kjer je tovrstna ocena ucinkov kljucna, je sistem elektronskih bolniških listov (eBOL), v katerem se obdelujejo podatki o zdravstvenem stanju, zdravniki pa vsako leto izdajo vec kot milijon in pol bolniških listov. V kolikor zavezanec ocenjuje, da obstajajo tveganja, ki niso obvladovana, se lahko po clenu 36 Splošne uredbe obrne na Informacijskega pooblašcenca po mnenje na izdelano oceno ucinka. Informacijski pooblašcenec oceno ucinka najprej pregleda s formalnega vidika, tj. ali ustreza smernicam glede predvidene vsebine, nato pa oceno ucinka še vsebinsko pregleda in izpostavi morebitne pomanjkljivosti ter poda priporocila. Leta 2019 je Informacijski pooblašcenec dopolnil smernice o ocenah ucinka , in sicer je dodal prilogo 3 – seznam vrst dejanj obdelave, za katera velja zahteva po oceni ucinka, ter prilogo 4 – seznam vrst dejanj obdelave, za katera velja zahteva po oceni ucinka pri cezmejnih zadevah in ocena tveganja po izvedenih ukrepih. Glede na odzive zavezancev je tudi dopolnil smernice v delu, ki se nanaša na obravnavo tveganj, in sicer z dodatnim elementom, ki se nanaša na raven tveganja po izvedenih ukrepih. Leta 2019 je Informacijski pooblašcenec v postopku predhodnega posvetovanja izdal mnenja o naslednjih ocenah ucinkov: • Mnenje glede ocene ucinkov na varstvo osebnih podatkov v zvezi z uporabo sistema »Potrdila o upraviceni zadržanosti od dela v elektronski obliki« (eBOL), • Mnenje glede ocene ucinkov na varstvo osebnih podatkov v zvezi s predlagano spremembo Zakona o centralnem kreditnem registru (ZCKR), • Mnenje glede ocene ucinkov na varstvo osebnih podatkov pri uvajanju sistema izposoje elektricnih vozil, • Mnenje glede ocene ucinka na varstvo podatkov v zvezi z vzpostavitvijo aplikativno podprtega nadzora nad izvajanjem lastnih transakcij zaposlenih v virnih aplikacijah, • Mnenje glede ocene ucinka na varstvo podatkov glede pridobivanja podatkov po Stanovanjskem zakoniku, • Mnenje glede ocene ucinka v zvezi z varstvom osebnih podatkov pri uporabi podatkovnega vira ISPAP za izvajanje projekta »Skrinja 2.0 – vzpostavitev sistema poslovne analitike v državni upravi«, • Mnenje glede ocene ucinka v povezavi s predlagano spremembo Zakona o integriteti in preprecevanju korupcije (ZIntPK). Informacijski pooblašcenec ugotavlja, da se znanje in kakovost izdelanih ocen ucinkov izboljšujeta, še vedno pa zavezanci premalo pozornosti posvecajo tveganjem v povezavi z uveljavljanjem pravic posameznika. Informacijski pooblašcenec pricakuje, da se bo znanje za kakovostno izdelavo ocen ucinka s casom povecevalo, s tem pa se bo bistveno zmanjšalo tveganje že pred uvedbo projektov obdelave osebnih podatkov. 3.5.5 POOBLAŠCENE OSEBE ZA VARSTVO PODATKOV Dolocitev pooblašcenih oseb za varstvo osebnih podatkov (angl. Data Protection Officer; DPO) je eden kljucnih mehanizmov v sklopu odgovornosti, ki jih je prinesla Splošna uredba. Pooblašcena oseba naj bi izvajala svetovalne in nadzorne naloge na podrocju varstva osebnih podatkov in naj bi delovala kot notranji revizor za varstvo osebnih podatkov, ki poleg nadzora tudi svetuje upravljavcem in obdelovalcem o njihovih obveznostih, izobražuje in ozavešca zaposlene. Informacijski pooblašcenec ugotavlja, da marsikje prihaja do nerazumevanja vloge pooblašcenih oseb, ki niso odgovorne za zagotovitev skladnosti z zakonodajo, temvec so odgovorne za nadzor, svetovanje in izobraževanje. Do konca leta 2019 je pooblašceno osebo prijavilo 2169 zavezancev. Pooblašcena oseba Informacijskega pooblašcenca je dostopna prek namenskega elektronskega predala dpo@ip-rs.si. Informacijski pooblašcenec je konec leta 2019 z namenom pridobitve boljših informacij o položaju in praksi pooblašcenih oseb za varstvo podatkov izvedel anketo med (notranjimi) pooblašcenimi osebami za varstvo podatkov v javnem sektorju. Izmed okvirno 500 imenovanih oseb se jih je na anketo odzvalo tocno 100. Anketa je bila uspešno izvedena, njene kljucne ugotovitve pa so naslednje: • Povprecni delež casa, ki ga pooblašcene osebe namenijo oz. ga imajo na voljo za opravljanje svojih nalog, znaša 13 % delovnega casa. • Med nalogami, ki ne sodijo med naloge pooblašcenih oseb, so predvsem priprava obrazcev, priprava evidenc dejavnosti obdelave ter pisanje pravilnikov in internih aktov. • Anketiranci so (na lestvici od 1 do 5) dobro ocenili predvsem neposreden dostop do vodstva (ocena 4,59), zaupanje in podporo vodstva (4,2) ter vedenje zaposlenih o tem, kdo je pooblašcena oseba (4,19). • Nekoliko previsoko oceno ima trditev, da so pooblašcene osebe »odgovorne« za uskladitev z varstvom osebnih podatkov (ocena 3,5), pooblašcene osebe pa so tudi izpostavile pomanjkanje casa za opravljanje svojih nalog (ocena 2,79). • Glede kljucnih dejavnikov uspeha pooblašcenih oseb so anketiranci kot najpomembnejše izpostavili podporo vodstva (4,64), zaupanje vodstva (4,61) ter pravocasno vkljucenost v procese obdelav osebnih podatkov (4,54). Anketiranci so med drugim izpostavili naslednje: • Številne dojemajo kot odgovorne za uskladitev s Splošno uredbo. Koristno bi bilo vec povezovanja s kolegi. • Zelo pomembno bo dvigniti zavest o varstvu osebnih podatkov med državljani, saj je ta po njihovem mnenju trenutno prenizka. • Podrocje delovanja je prevec prepušceno delovanju posameznega organa, poleg tega je to podrocje preširoko in prezahtevno za kakovostno delo, ce ima pooblašcena oseba poleg tega že nalog za 8-urni delovnik. • Glede pooblašcenih oseb v javnem sektorju je treba poudariti, da se pojavlja problem neupoštevanja položaja pooblašcenih oseb in tudi konflikt interesov. • Naloge pooblašcene osebe se naloži nekomu, ki dobro/vestno opravlja svoje delo, zato se mu doda še te naloge. Pricakuje se, da bo pooblašcena oseba naredila vse potrebno in da bo odgovarjala za nepravilnosti; nerazumevanje pojma pooblašcena/odgovorna oseba. Pooblašcene osebe na neki nacin predstavljajo podaljšano roko Informacijskega pooblašcenca, zato jim bo ta v letu 2020 namenil vec pozornosti, predvsem bo spodbujal in omogocal njihovo medsebojno povezovanje, izmenjave izkušenj in prakse z upoštevanjem sektorske specifike. 3.5.6KODEKSI RAVNANJA IN POTRJEVANJE Splošna uredba vsebuje tudi nekatere prostovoljne mehanizme, kot sta potrjevanje kodeksov ravnanja in certifikacija. Združenja, zbornice, zveze in druga telesa, ki predstavljajo vrste upravljavcev ali obdelovalcev, lahko pripravijo kodekse ravnanja oz. takšne kodekse spremenijo ali razširijo z namenom podrobneje obrazložiti uporabo Splošne uredbe (npr. glede zbiranja osebnih podatkov, ustreznih nacinov informiranja in pridobivanja privolitve). Združenja, ki nameravajo pripraviti kodeks ravnanja oz. spremeniti ali razširiti veljavni kodeks, Informacijskemu pooblašcencu predložijo osnutek kodeksa, spremembo ali razširitev, Informacijski akreditacijo in certificiranje; aktivnosti z zvezi s slednjimi trenutno potekajo na evropskem nivoju. Po sprejemu akreditacijskih in certifikacijskih shem bodo zavezanci svoje dejavnosti obdelave lahko predložili v presojo ustreznemu certifikacijskemu organu, ki jim bo po uspešno prestani presoji izdal certifikat za obdobje najvec treh let z možnostjo podaljšanja. 3.5.7 AKTIVNOSTI IZOBRAŽEVANJA IN OZAVEŠCANJA Tudi leta 2019 je bil Informacijski pooblašcenec zelo aktiven na podrocju izobraževanja in ozavešcanja, in sicer prek svojega spletnega mesta (www.ip-rs.si) in prek razlicnih gradiv, organiziral je razlicne dogodke in brezplacna predavanja, prisoten je bil na družbenih omrežjih, sodeloval pa je tudi z drugimi organizacijami in v razlicnih projektih. Informacijski pooblašcenec je leta 2019 izdal vec razlicnih gradiv. Poleg mnenj med najpomembnejše sodijo smernice. Izdane so bile naslednje: • Smernice o varstvu osebnih podatkov v delovnih razmerjih, • Smernice o orodjih za zašcito zasebnosti na internetu, • Smernice o uporabi GPS sledilnih naprav in varstvu osebnih podatkov. Poleg smernic je Informacijski pooblašcenec v pomoc upravljavcem skladno s Splošno uredbo izdal priporocila glede urejanja skupnega upravljanja osebnih podatkov (clen 26 Splošne uredbe). V pomoc zavezancem je Informacijski pooblašcenec pripravil tudi nova obrazca, in sicer: • Vzorec zahteve za izvršitev pravice do prenosljivosti osebnih podatkov (clen 20 Splošne uredbe); • Obrazec – Vloga za prenos osebnih podatkov v tretje države ali mednarodne organizacije. Med izobraževalne aktivnosti Informacijskega pooblašcenca sodi tudi izdelava infografik, saj se je izkazalo, da je mogoce z njimi ucinkovito in razumljivo vplivati na boljše splošno razumevanje kljucnih elementov zakonodaje o varstvu podatkov. V letu 2019 je tako Informacijski pooblašcenec pripravil naslednje infografike: • Prijava kršitve varnosti; • Neupraviceni vpogledi v osebne podatke; • Infografika o pogodbeni obdelavi; • Prenos osebnih podatkov po Splošni uredbi v tretje države in mednarodne organizacije v dveh korakih; • Roki hrambe dokumentov neizbranih kandidatov v zaposlitvenih postopkih; • Statistika prejetih kršitev varnosti v letu 2018. Infografika "Neupraviceni vpogledi v osebne podatke". NEUPRAVICENI VPOGLEDI V Zakaj se to Kateri podatki so OSEBNE PODATKE dogaja? najbolj “zanimivi”? . radovednost . bancni podatki . zaslužek s prodajo . podatki pri operaterjih podatkov . iz državnih registrov in evidenc . nepoznavanje pravil . zdravstveni podatki Kako jih preprecimo? OZAVESTITE 3 UPORABNIKE OMEJITE DOSTOPE . da je neupravicen vpogled kazniv 1 NA NUJNE . da se njihovi dostopi beležijo osnutek potrdi, ce oceni, da zagotavlja zadostne in ustrezne zašcitne ukrepe. pooblašcenec pa poda mnenje, ali je oddani osnutek skladen s Splošno uredbo. Informacijski pooblašcenec 2 . ZAGOTOVITE da bodo ujeti in kaznovani SLEDLJIVOST DOSTOPOV TO NI STVAR zveze in podobna telesa v pripravo kodeksov lahko vložila vec energije, saj bi tako razbremenila svoje clane in zagotovila enotno, predvsem pa s strani nadzornega organa potrjeno zakonito prakso, postopke oz. delovanje. Zagotavljanje skladnosti je ucinkovitejše na ravni teles, ki predstavljajo vrste upravljavcev ali obdelovalcev, kot takrat, kadar je odvisno od angažiranosti posameznih clanov oz. clanic, zato Informacijski pooblašcenec upa, da bodo zavezanci v bodoce prepoznali koristi kodeksov. Splošna uredba prinaša tudi možnost certificiranja, ki pa bo predhodno terjala razvoj ustreznih sistemov za 73 vpogledov. DOSTOP PRAVICA do do baze . vpogleda! . o njem obvestite zaposlene . lahko je nakljucen ali na podlagi suma (npr. zaradi odstopajocih statistik) DOKUMENTIRAJTE 5 STANJE . sprejmite interna pravila v pisni obliki glede omejitve dostopov in zagotavljanja sledljivosti . dokumentirajte aktivnosti ozavešcanja . dokumentirajte notranje nadzore 74 Leta 2019 je Informacijski pooblašcenec prejel samo en osnutek kodeksa, ki pa ga v mnenje ni predložil IT-ja! IT ne more IZVAJAJTE NOTRANJI 4 prepreciti ustrezen subjekt, zato ga ni obravnaval. Informacijski pooblašcenec ugotavlja, da bi združenja, zbornice, NADZOR neupravicenih Informacijski pooblašcenec je ob evropskem dnevu varstva osebnih podatkov (28. januar) organiziral poseben dogodek na temo novosti Splošne uredbe, ki je potekal kot okrogla miza. Skupaj z zanimivimi gosti je predstavil izkušnje posameznikov in podjetij z novo uredbo ter osvetlil dobre in slabe prakse pri zagotavljanju ustrezne obvešcenosti posameznika. Preveril je, ali Splošna uredba tudi v praksi pomeni ustrezno varstvo posameznika in s kakšnimi izzivi se soocajo podjetja v Sloveniji pol leta po zacetku njene uporabe. Okrogla miza ob Dnevu varstva osebnih podatkov 2019. Informacijski pooblašcenec je že tradicionalno podelil priznanje ambasador zasebnosti, ki ga je za leto 2019 prejela Zveza potrošnikov Slovenije (ZPS), ker vztrajno in zavzeto brani interese potrošnikov na vseh podrocjih, pomembno delo pa opravlja tudi na podrocju varstva osebnih podatkov potrošnikov. Prav tako je tradicionalno podelil priznanja prejemnikom mednarodnega certifikata za informacijsko varnost po standardu ISO/EIC 27001:2013. Ob obletnici zacetka uporabe Splošne uredbe je Informacijski pooblašcenec 24. 5. 2019 organiziral tiskovno konferenco, na kateri je medijem in splošni javnosti predstavil prerez svojega dela in stanje na podrocju varstva osebnih podatkov, pojasnil, kako so podjetja in inštitucije implementirale Splošno uredbo, kaj je Splošna uredba prinesla posameznikom ter katere aktivnosti je na podrocju nadzora, skladnosti in preventive ter mednarodnega sodelovanja v letu dni uporabe Splošne uredbe izvajal sam. Informacijski pooblašcenec je aktivno sodeloval tudi z drugimi deležniki. V okviru priprav na volitve v Evropski parlament je sodeloval pri izdelavi strokovnih gradiv, in sicer Vodnika za organizatorje volilnih kampanj, ki ga je izdalo Ministrstvo za javno upravo. Prispeval je uvodni nagovor ter posebno poglavje o pravilih in pasteh pri obdelavi osebnih podatkov v volilnih kampanjah. Gre za pomemben vidik volilnih dejavnosti in politicnih kampanj, saj je spoštovanje pravil o varstvu podatkov kljucno za zašcito demokracije. Obenem je to tudi sredstvo za ohranjanje zaupanja državljanov in integritete volitev. Informacijski pooblašcenec je leta 2019 izvedel 102 brezplacni predavanji za razlicne zbornice, združenja in druge javnosti po razlicnih dejavnostih v javnem in zasebnem sektorju. Informacijski pooblašcenec je uspešno nadaljeval aktivnosti v okviru projekta RAPiD.Si, ki je namenjen ozavešcanju in opolnomocenju posameznikov ter malih in srednje velikih podjetij o varstvu osebnih podatkov. V letu 2019 je: • v osmih slovenskih mestih izvedel 15 brezplacnih predavanj, ki jih je skupaj obiskalo 614 udeležencev, • odgovoril je na 601 klic na telefonsko številko 080 2900 (brezplacna svetovalna linija je bila odprta do konca oktobra 2019) in pri tem odgovoril na 1010 vprašanj, • v sodelovanju z ZPS pripravil pet strokovnih clankov v reviji Obrtnik, namenjenih podjetjem, in šest clankov, namenjenih posameznikom, • vsak mesec razposlal elektronski novicnik z aktualnimi vsebinami, • redno tedensko objavljal zanimivosti s podrocja varstva osebnih podatkov na družabnih omrežjih Facebook in LinkedIn, • dodajal vsebine na dve spletni strani, pripravljeni v okviru projekta: tiodlocas.si (namenjeni predvsem posameznikom) in upravljavec.si (namenjeni predvsem podjetjem), • pripravil dve animaciji za spletno stran za posameznike tiodlocas.si. 75 Primer objave na LinkedIn poslovni strani Informacijskega pooblašcenca. V okviru projekta RAPiD.Si je Informacijski pooblašcenec nadgradil aktivnosti s sodelovanjem z ZPS: v reviji ZPStest je bil prisoten z obcasno rubriko, skupaj z ZPS pa je izdal prirocnik o varstvu osebnih podatkov potrošnikov z naslovom Ti odlocaš. V prirocniku, ki je izšel v nakladi 5000 izvodov, prosto pa je dostopen tudi na spletu, je razumljivo pojasnjeno, na kakšen nacin mora upravljavec posameznika obvestiti o obdelavi podatkov, o tem, ali bo podatke posredoval tretjim osebam, koliko casa bo podatke hranil, predvsem pa o tem, kakšne so pravice posameznika in kako jih lahko uveljavlja ter kam se lahko obrne v primeru kršitev. Brošura "Ti odlocaš o svojih osebnih podatkih". 3.5.8PREVENTIVNE AKTIVNOSTI ZA SKLADNOST Informacijski pooblašcenec je leta 2019 okrepljeno izvajal preventivne aktivnosti za skladnost (ang. privacy sweep). S preventivnimi aktivnostmi želi doseci, da zavezanci brez uvajanja stroškovno in casovno zahtevnih inšpekcijskih postopkov tako za zavezance kot za nadzorni organ samostojno ocenijo lastno stanje na podrocju varstva osebnih podatkov in zadostijo zahtevam zakonodaje, v pomoc pa imajo s strani nadzornega organa na voljo ustrezne informacije in orodja. Povratne informacije zavezancev se upoštevajo pri strateškem nacrtovanju inšpekcijskih in drugih aktivnosti Informacijskega pooblašcenca v prihodnjem letu. Leta 2019 je Informacijski pooblašcenec izvedel naslednje preventivne aktivnosti za skladnost: Zavezanci Vsebina Št. Prejemnikov Operaterje brezpilotnikov (dronov)je pozval k izpolnitvi dolžnosti glede izdelave ocene Operaterji ucinkov,zavezanci so vpomoc prejelipovezave do vzorcaocene in ustreznih navodil.Vec 77 brezpilotnikov kot 90% zavezancevje nato izpolnilosvoje obveznosti in uvedbaprisilnih inšpekcijskih postopkov ni bila potrebna. Spletne trgovine je pozval k ureditvi obvešcanjaposameznikapo clenu 13in 14Splošne Spletne trgovine uredbe pri izvajanju spletnih nakupov. Zavezanci so prejelipovezave do obrazcev, navodil 40 in pojasnil. Najvecje delodajalce vdržavi je pozval k ureditvi evidence dejavnosti (clen 30 Splošne 130 uredbe) glede osebnih podatkovzaposlenih, ki se zbirajo ob uporabi službenih delovnih (40 delodajalcevizjavnegain 90iz Veliki delodajalci sredstev. Ti podatkiso namrec pogosto spregledani, posledicno pa prihajado njihove zasebnega sektorja, ki imajo nenamenske uporabe in zlorab. Zavezanci so prejelipovezave do obrazcev, navodil in skupaj146.000 zaposlenih pojasnil. Na podlagi ugotovitev, danekateri zavezanci posameznikom po telefonu razkrivajo prevec informacij,pri cemer jih ustreznone identificirajo, je relevantnazdruženja(npr. Posredovanje telekomunikacijskapodjetja, dobavitelje energentovin upravnike, zdravstvene ustanove) osebnih podatkov pozval, dazaidentifikacijo posameznikaprek telefonazahtevajo vsajdvarazlicna 38 združenj po telefonu identifikatorja, s katerima po vsejverjetnosti razpolaga samo zadevni posameznik. Združenjaso opozorilo in napotke posredovala svojim clanom, nekateraso jih tudi objavila vsvojih glasilih. Na podlagi preliminarnih ugotovitev Informacijski pooblašcenec ocenjuje, da tovrstne preventivne aktivnosti postopkovno in stroškovno ucinkovito prispevajo k zagotavljanju višje skladnosti, saj imajo velik doseg in pomembno ozavešcevalno komponento. Nekateri zavezanci so tovrsten pristop Informacijskega pooblašcenca k zagotavljanju skladnosti izrecno pohvalili, saj naj bi bilo s proaktivnimi pozivi in usmeritvami mogoce doseci izboljšave organsko namesto prisilno, z grožnjo sankcij. Preventivne aktivnosti zagotavljajo tudi pomembne povratne informacije sistemskega znacaja, ki so koristne pri nacrtovanju nadaljnjih aktivnosti Informacijskega pooblašcenca. Zlasti ucinkovito se kaže tovrstno sodelovanje z zbornicami, združenji in podobnimi branžnimi povezavami. 3.6MEDNARODNO SODELOVANJE 3.6.1SODELOVANJE V EVROPSKEM ODBORU ZA VARSTVO PODATKOV Informacijski pooblašcenec je kot nacionalni nadzorni organ za varstvo osebnih podatkov aktivno deloval kot clan Evropskega odbora za varstvo podatkov (EOVP), ki je neodvisni evropski organ za zagotavljanje dosledne uporabe pravil o varstvu podatkov v EU in za spodbujanje sodelovanja med organi EU za varstvo podatkov; deluje od maja 2018. V odboru sodelujejo predstavniki vseh 28 neodvisnih nadzornih organov EU in EGS (Islandija, Norveška in Lihtenštajn), Evropske komisije in Evropskega nadzornika za varstvo podatkov. Odbor deluje v skladu s svojim pravilnikom in vodilnimi naceli. Kljucne pristojnosti odbora v okviru postopkov sodelovanja nadzornih organov so: • sprejemanje pravno zavezujocih odlocitev odbora v okviru mehanizma za skladnost v zvezi z nacionalnimi nadzornimi organi, da se zagotovi dosledno uporabo Splošne uredbe; • sprejemanje splošnih smernic za podrobnejšo opredelitev pogojev evropske zakonodaje o varstvu podatkov, s cimer svojim deležnikom zagotavlja dosledno razlago njihovih pravic in obveznosti; • svetovanje Evropski komisiji v zvezi z vprašanji varstva podatkov in pripravo evropskih predpisov s podrocja varstva podatkov; • promocija sodelovanja in izmenjave izkušenj med nacionalnimi nadzornimi organi za varstvo podatkov. Mehanizem za skladnost, kot je opredeljen v Splošni uredbi, poteka prek: 77 -izdaje mnenj odbora za zagotavljanje dosledne uporabe evropske zakonodaje o varstvu podatkov (po clenu 64 Splošne uredbe), med drugim v dolocenih primerih glede sprejema seznama dejanj obdelave, za katere velja zahteva po oceni ucinka v zvezi z varstvom podatkov; v zvezi s kodeksom ravnanja s cezmejnim vplivom ter v dolocenih primerih glede odobritve meril za pooblastitev organa za spremljanje skladnosti s kodeksom ravnanja; v zvezi z dolocitvijo standardnih dolocil o varstvu podatkov glede prenosa podatkov v tretje države; v zvezi z odobritvijo pogodbenih dolocil ali zavezujocih poslovnih pravil; -reševanja sporov med nadzornimi organi (po clenu 65 Splošne uredbe), npr. glede nasprotujocih si stališc o vsebini odlocitve v cezmejnih primerih; o tem, kateri nadzorni organ je vodilni v dolocenem cezmejnem postopku; v primeru nespoštovanja mnenja odbora s strani posameznega nadzornega organa; -reševanja nujnih postopkov (po clenu 66 Splošne uredbe) s sprejemom zacasnih ukrepov v izjemnih primerih, ko je ukrepanje potrebno zaradi varstva pravic in svobošcin posameznikov. Delo odbora, ki se vsak mesec sestaja na plenarni ravni, poteka v 12 podskupinah strokovnjakov. Te obravnavajo razlicna podrocja dela odbora, v njih pa sodelujejo predstavniki vseh nadzornih organov. Predstavniki Informacijskega pooblašcenca med drugim aktivno sodelujejo v podskupinah za tehnološka vprašanja, prenose podatkov v tretje države, podrocje varstva podatkov v okviru dela organov pregona, družbene medije, financne zadeve, vprašanja usklajevanja sistema izrekanja upravnih glob, sodelovanje med nadzornimi organi in usklajevanje dela na podrocju nadzora. Posamezne podskupine glede na podrocje svojega dela pripravljajo smernice in mnenja odbora ter obravnavajo aktualne izzive, s katerimi se srecujejo posamezni nadzorni organi ter so pomembni v širšem evropskem prostoru, bodisi zaradi cezmejne obdelave podatkov bodisi zaradi pomembnih vprašanj enotnega tolmacenja evropskih predpisov. Leta 2019 so se nadzorni organi v okviru odbora med drugim ukvarjali z vprašanji enotnega tolmacenja Splošne uredbe glede zakonite obdelave osebnih podatkov v okviru postopkov volitev, izvajanja pravice do pozabe v primerih spletnih brskalnikov, obdelave osebnih podatkov v postopkih klinicnega testiranja in postopkov cezmejnega sodelovanja, izvedena je bila tretja revizija delovanja mehanizma Šcit zasebnosti v zvezi z zagotavljanjem varstva podatkov po prenosu v Združene države Amerike, obravnavana so bila vprašanja in izzivi glede nadgrajevanja informacijskih sistemov v EU in digitalne infrastrukture sistemov eZdravja, obravnavana pa so bila tudi vprašanja razmerja med Splošno uredbo in direktivo o e-zasebnosti ter vplivi postopka izstopa Združenega kraljestva iz EU (Brexit) na varstvo podatkov v EU tako z vidika nadzornih postopkov kot tudi posledic za posameznike in podjetja. Leta 2019 je odbor sprejel naslednje smernice: • Smernice št. 5/2019 glede tolmacenja izvajanja pravice do pozabe v primerih spletnih brskalnikov; • Smernice št. 4/2019 o clenu 25 Splošne uredbe glede vgrajenega in privzetega varstva podatkov; • Smernice št. 3/2019 o obdelavi osebnih podatkov v okviru sistemov videonadzora; • Smernice št. 2/2019 glede tolmacenja pravne podlage po tocki (b) clena 6(1) Splošne uredbe v zvezi s pogodbami o zagotavljanju spletnih storitev potrošnikom; • Smernice št. 1/2019 o kodeksih ravnanja in organih za spremljanje na podlagi Uredbe (EU) 2016/679. Poleg tega je odbor leta 2019 sprejel 17 mnenj, in sicer: osem mnenj v zvezi s seznami dejanj obdelave, za katere velja zahteva po oceni ucinka v zvezi z varstvom podatkov in ki so jih sprejeli posamezni nacionalni nadzorni organi držav clanic EU, dve mnenji glede osnutkov zahtev posameznih nacionalnih nadzornih organov držav clanic za akreditacijo organa za spremljanje kodeksa ravnanja v skladu s clenom 41 Splošne uredbe ter sedem mnenj na nekatere druge zgoraj omenjene teme. Letno porocilo odbora je dostopno na https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_annual_ report_2019_en.pdf 3.6.2SODELOVANJE V DRUGIH NADZORNIH TELESIH EVROPSKE UNIJE Informacijski pooblašcenec je leta 2019 na ravni EU aktivno sodeloval v petih delovnih telesih, ki se ukvarjajo z nadzorom nad izvajanjem varstva osebnih podatkov v okviru velikih informacijskih sistemov EU, in sicer: • v Skupnem nadzornem organu za Europol, ki se je z uveljavitvijo Uredbe o Europolu maja 2017 preoblikoval v Europolov Odbor za sodelovanje (za nadzor nad obdelavo osebnih podatkov v okviru Europola je po Uredbi o Europolu primarno pristojen Evropski nadzornik za varstvo osebnih podatkov (EDPS), ki pa je pri tem dolžan tesno sodelovati z nacionalnimi organi za varstvo osebnih podatkov), • v Skupnem nadzornem organu za carino, • na koordinacijskih sestankih EDPS in nacionalnih organov za varstvo osebnih podatkov za nadzor nad SIS II, • na koordinacijskih sestankih EDPS in nacionalnih organov za varstvo osebnih podatkov za nadzor nad CIS, • na koordinacijskih sestankih EDPS in nacionalnih organov za varstvo osebnih podatkov za nadzor nad VIS, • na koordinacijskih sestankih EDPS in nacionalnih organov za varstvo osebnih podatkov za nadzor nad Eurodacom. V okviru nadzora nad obdelavo osebnih podatkov v okviru Europola in VIS sta bili sprejeti porocili o aktivnostih za obdobje 2017–2018. Europolov odbor za sodelovanje je posodobil seznam pristojnih organov držav clanic za zagotavljanje pravice posameznikov do dostopa do osebnih podatkov ter pripravil prenovljen vodic za posameznike glede izvrševanja pravic dostopa, popravka, izbrisa in omejitve obdelave osebnih podatkov, ki se vodijo v okviru Europola. V okviru nadzora nad obdelavo osebnih podatkov v SIS II je bil sprejet in izveden vprašalnik v zvezi z razpisi ukrepov za osebe in stvari zaradi prikrite kontrole ali namenske kontrole na podlagi 36. clena Sklepa o vzpostavitvi, delovanju in uporabi druge generacije schengenskega informacijskega sistema (SIS II). V okviru nadzora nad obdelavo osebnih podatkov v okviru Eurodaca je bilo sprejeto porocilo o izvrševanju pravic posameznikov, na katere se nanašajo podatki v sistemu Eurodac, ter vodic, katerega namen je pomagati uradnim osebam in organom pri obvešcanju prosilcev za azil in migrantov o obdelavi njihovih prstnih odtisov v sistemu Eurodac v razumljivi in dostopni obliki. V okviru nadzora nad VIS je bilo sprejeto porocilo o izvajanju usposabljanj s podrocja varstva podatkov. Leta 2019 so bile sprejete tudi spremembe postopkovnih pravil EOVP, na podlagi katerih je bilo ustanovljeno novo nadzorno telo – CSC (Skupina za koordiniran nadzor nad obdelavo osebnih podatkov v okviru velikih informacijskih sistemov EU). Scasoma se bo nadzor posameznih velikih informacijskih sistemov EU preselil pod okvir CSC. Maja 2019 je bila v Republiki Sloveniji uspešno izvedena evalvacija izvajanja schengenskega pravnega reda z vidika varstva osebnih podatkov, pri kateri je aktivno sodeloval tudi Informacijski pooblašcenec. 3.6.3SODELOVANJE V DRUGIH MEDNARODNIH TELESIH POSVETOVALNI ODBOR T-PD V okviru Sveta Evrope je predstavnik Informacijskega pooblašcenca tudi leta 2019 sodeloval v Posvetovalnem odboru, ustanovljenem s Konvencijo Sveta Evrope o varstvu posameznikov glede na avtomatsko obdelavo osebnih podatkov (Konvencija št. 108), v Odboru T-PD. Odbor je junija in novembra na plenarnih zasedanjih obravnaval vprašanja procesa dokoncanja in sprejema (posodobljene) Konvencije št. 108+, ki poteka od zacetka leta 2011, ter stanje pridruževanja držav h Konvenciji 108 in k dodatnemu protokolu. Kot vsako leto je Odbor obravnaval porocila o mednarodnem in globalnem sodelovanju Sveta Evrope v zvezi z varstvom osebnih podatkov, porocila nadzornih organov za varstvo osebnih podatkov iz držav clanic Sveta Evrope o novostih in dosežkih na tem podrocju ter še posebej informacije, podane s strani nadzornih organov ob dnevu varstva osebnih podatkov. Odbor je leta 2019 aktivno obravnaval aktualne teme, kot so prepoznava obrazov, profiliranje in varstvo osebnih podatkov otrok v izobraževalnih sistemih. Izdal je Porocilo o umetni inteligenci, Smernice o umetni inteligenci in varstvu osebnih podatkov ter Mnenje na osnutek priporocila o vplivu algoritemskih sistemov na clovekove pravice. Odbor je izdal tudi Mnenje o osnutku drugega dodatnega protokola k Budimpeštanski konvenciji o kibernetski kriminaliteti glede neposrednega razkritja podatkov o narocnikih in izvajanja zahtev druge pogodbenice za pospešeno pridobivanje podatkov. Sodeloval je na delu konference »Octopus«, ki je namenjena obravnavi vprašanj s podrocja kibernetskega kriminala. Prvic je Odbor podelil nagrado »Stefano Rodotŕ«, in sicer za projekt, ki preucuje zasebnost in varstvo podatkov z vidika otrokovih pravic. 79 MEDNARODNA DELOVNA SKUPINA ZA VARSTVO OSEBNIH PODATKOV V TELEKOMUNIKACIJAH (IWGDPT) Informacijski pooblašcenec je tudi leta 2019 aktivno deloval v Mednarodni delovni skupini za varstvo osebnih podatkov v telekomunikacijah (IWGDPT – International Working Group on Data Protection in Telecommunications), v okviru katere se srecujejo predstavniki informacijskih pooblašcencev in organov za varstvo osebnih podatkov in zasebnosti s celega sveta. Aprila 2019 je Informacijski pooblašcenec prvic gostil zasedanje IWGDPT, ki se ga je udeležilo 30 predstavnikov nadzornih organov iz EU in tretjih držav. Delovna skupina je na zasedanjih na Bledu in v Bruslju sprejela nove delovne dokumente, ki so pomemben znak konsenza glede dolocenih vprašanj varstva osebnih podatkov na mednarodni ravni, predvsem glede izzivov, ki jih prinašajo nove tehnologije. Na zasedanju na Bledu je bil sprejet dokument o varstvu osebnih podatkov pri uporabi pametnih igrac; glavni porocevalec je bil Informacijski pooblašcenec. Dokument obravnava tveganja, ki nastajajo pri uporabi t. i. pametnih naprav, kot so govorece igrace, pametne ure in druge naprave, ki so obicajno povezane z internetomin ki ob nespametni uporabi in pogosto nejasnih informacijah o zajemu in obdelavi podatkov lahko predstavljajo tveganje za zasebnost tako otrok kot staršev in uciteljev (https://www.datenschutz-berlin.de /fileadmin/ user_upload/pdf/publikationen/working-paper/2019/2019-IWGDPT-Working_Paper_Smart_Devices.pdf). Varstvo osebnih podatkov otrok naslavlja tudi drugi dokument, ki je bil sprejet na Bledu, in sicer orisuje tveganja in podaja priporocila za varno uporabo spletnih storitev, ki ciljajo na otroke. Dokument zlasti poudarja pomen natancnih informacij, pridobitve ustreznih soglasij staršev ter vprašanja verifikacije starosti otrok na spletu (https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/publikationen/working-paper/2019/2019­ IWGDPT-Working_Paper_Online_Services_for_Children.pdf). Na zasedanju v Bruslju je bilo obravnavano glasovno upravljane naprav, veriženje podatkovnih blokov (angl. blockchain) ter vloga pravice do prenosljivosti osebnih podatkov. Sprejeti dokumenti bodo po pregledu javno objavljeni na spletni strani delovne skupine (https://www.datenschutz-berlin.de/working-paper.html). Na zasedanju v Bruslju je bilo izglasovano tudi novo ime skupine. Namesto izraza »telekomunikacije«, ki je vsebinsko zastarel in preozek glede na dejansko delovno podrocje delovne skupine, bo v uporabi izraz »tehnologije«. Novo uradno ime skupine je tako International Working Group on Data Protection in Technology, kratica pa ostaja ista (IWGDPT). SVETOVNA SKUPŠCINA ZA ZASEBNOST Svetovna skupšcina za zasebnost (prej imenovana Mednarodna konferenca pooblašcencev za varstvo podatkov in zasebnost; ang. International Conference of Data Protection and Privacy Commissioners – ICDPPC) že štiri desetletja predstavlja vodilni svetovni forum na podrocju varstva podatkov in zasebnosti ter povezuje prizadevanja vec kot 130 nadzornih organov za varstvo zasebnosti in podatkov z vsega sveta. Leta 2019 je bilo soglasno izbrano novo ime tega mednarodnega združenja glede na dejansko svetovno zastopanost in glede na zastavljeni cilj: doseci vecjo prepoznavnost. V skladu s tem so bile sprejete strateške usmeritve za naslednje triletno obdobje, ki temeljijo na poudarjenih prizadevanjih za vzpostavitev mednarodnega okvira standardov varstva zasebnosti v svetu množicne uporabe in razširjenosti modernih tehnologij, krepitvi razlicnih oblik sodelovanja pri izvajanju nadzorov, nadaljuje pa se tudi tematsko delo na podrocjih krepitve varstva podatkov v javnem sektorju, na podrocju digitalnega gospodarstva, v demokraticnih in politicnih procesih ter v povezavi s širšim kontekstom zagotavljanja vseh temeljnih clovekovih pravic. Med pomembnejšimi resolucijami, sprejetimi na zadnji konferenci v Tirani leta 2019, so resolucija o zagotavljanju pravice do varstva podatkov kot temeljnega predpogoja tudi za uveljavljanje drugih clovekovih pravic ter resolucija o krepitvi sodelovanja med nadzornimi organi za varstvo podatkov in organi za varstvo potrošnikov za boljšo zašcito državljanov in potrošnikov v digitalnem gospodarstvu ter o promociji ucinkovitih prakticnih cezmejnih mehanizmov sodelovanja nadzornih organov. Pomemben cilj konference je okrepiti sodelovanje nadzornih organov ter s tem dvigniti raven varstva osebnih podatkov v svetu. Osrednje razprave na konferenci leta 2019 so bile posvecene izzivom ucinkovitega uveljavljanja varstva zasebnosti in sodelovanja med nadzornimi organi za varstvo zasebnosti po svetu pri uveljavljanju varstva osebnih podatkov v svetu digitalnega gospodarstva. INITIATIVE 20i7 Na tretjem srecanju Initiative 20i7, ki je maja 2019 potekalo v Budvi, so predstojniki nadzornih organov za varstvo osebnih podatkov iz Hrvaške, Srbije, Bosne in Hercegovine, Crne gore, Kosova, Makedonije in Slovenije izmenjali izkušnje in prakso pri izvajanju oz. približevanju standardom, ki jih je prinesla Splošna uredba. Na zasedanju so nadzorni organi izdali tudi skupno izjavo za javnost, s katero so želeli opozoriti na pocasno usklajevanje zakonodaje, saj vecina držav še ni sprejela predpisov za implementacijo evropskega pravnega okvira (Splošne uredbe in Policijske direktive). Za vse države iz te regije je harmonizirana zakonodaja posebnega pomena za gopodarski razvoj, pravno varnost upravljavcev podatkov ter varovanje pravic in svobošcin posameznika, sprejeti zakoni pa ne smejo zniževati doseženega nivoja varstva posameznikov; posebej so pomembni natancno definirani postopki varovanja in uveljavljanja njihovih pravic (http://www. azlp.me/docs/naslovna/2019/Budva%2C%20maj%202019/Saop%C5%A1tenje%20ENG.docx). Initiative 20i7 je nastala leta 2017 na pobudo Informacijskega pooblašcenca z namenom izmenjave prakse in znanj nadzornih organov za varstvo osebnih podatkov z obmocja nekdanje Jugoslavije, saj se ti soocajo s podobnimi strokovnimi vprašanji in izzivi. Informacijski pooblašcenec z zadovoljstvom ugotavlja, da je pobuda zaživela – leta 2020 bo potekalo že cetrto srecanje pobude. Initiative 20i7 tako predstavlja primer dobre prakse cezmejnega sodelovanja, ki ga zlasti cenijo države na poti v EU, saj se soocajo s podobnimi težavami, kot sta se na tej poti srecali Slovenija in Hrvaška. Srecanje pobude Intiative 20i7 v Budvi, 28.5.2019. 3.7SPLOŠNA OCENA STANJA VARSTVA OSEBNIH PODATKOV Delo Informacijskega pooblašcenca na podrocju varstva osebnih podatkov je leta 2019 v najvecji meri zaznamovala Splošna uredba, ki se je v vseh državah clanicah EU zacela neposredno uporabljati 25. maja 2018 in ki je naloge in pristojnosti Informacijskega pooblašcenca glede na ZVOP-1 še razširila. Zaradi potrebe po prilagoditvi podrocja obdelave osebnih podatkov se je precej povecal obseg aktivnosti tako pri upravljavcih osebnih podatkov kot pri Informacijskem pooblašcencu. Splošna uredba in Direktiva za organe kazenskega pregona terjata tudi sprejetje novega sistemskega Zakona o varstvu osebnih podatkov (ZVOP-2), s katerim bi se v Republiki Sloveniji v celoti zagotovilo njuno izvajanje. Republika Slovenija takšnega zakona leta 2019 še vedno ni sprejela. Rezultat tega je precej odprtih vprašanj, nejasnosti ter povsem prakticnih težav tako pri upravljavcih in obdelovalcih osebnih podatkov kot pri Informacijskem pooblašcencu. Nesprejetje novega ZVOP-2 na samo izvajanje inšpekcijskega nadzora sicer ni bistveno vplivalo, je pa vplivalo 81 na vodenje upravnih postopkov reševanja pritožb posameznikov v zvezi z uveljavljanjem njihovih pravic iz clenov 13 do 22 Splošne uredbe, v katerih Informacijski pooblašcenec nastopa kot pritožbeni organ. Obseg pravic posameznika, na katerega se osebni podatki nanašajo, ter s tem povezane pristojnosti Informacijskega pooblašcenca kot pritožbenega organa so se glede na obstojeci ZVOP-1 obcutno povecali, zaradi cesar se je leta 2019 glede na leta pred tem obcutno povecalo tudi število takšnih pritožb. Reševanje le-teh pa terja dolocitev posebnih pravil, s katerimi bi se rešila posamezna vprašanja upravnega postopka oz. bi se z njimi dolocil postopek njihovega reševanja. Nesprejetje novega zakona o varstvu osebnih podatkov (ZVOP-2) je zato povzrocilo precej dilem, ki so se pojavile pri vodenju takšnih pritožbenih postopkov. Še posebej negativno je nesprejetje ZVOP-2 vplivalo na vodenje prekrškovnih postopkov in izrekanje glob za ugotovljene kršitve, saj je lahko Informacijski pooblašcenec zaradi odsotnosti ZVOP-2 v obravnavanem obdobju v primeru ugotovljenih kršitev dolocb Splošne uredbe ali dolocb ZVOP-1 zavezancem v postopku inšpekcijskega nadzora odredil le odpravo ugotovljenih nepravilnosti, vzpostavitev zakonitega stanja ter prepovedal nezakonito obdelavo osebnih podatkov, postopek za prekrške pa je lahko uvedel le v primeru, ce je šlo za kršitev tistih clenov ZVOP-1, ki še veljajo, ali v primeru kršitev s strani zavezancev po Direktivi za organe kazenskega pregona. Informacijski pooblašcenec torej zaradi odsotnosti ZVOP-2 ni mogel izrekati sankcij za tiste kršitve, ki so dolocene zgolj v clenu 83 Splošne uredbe, lahko pa je v okviru prekrškovnih postopkov sankcioniral kršitev tistih dolocb še vedno veljavnega ZVOP-1, ki niso v nasprotju s Splošno uredbo. Informacijski pooblašcenec je zato pristojno ministrstvo že veckrat opozoril na nujnost sprejetja novega zakona in ureditve in uskladitve prekrškovnih dolocb v ZVOP-2 z dolocbami Splošne uredbe. Usklajenost nacionalnih dolocb s Splošno uredbo je še posebej pomembna z vidika usklajevanja praks v državah clanicah EU, v katerih se uporablja Splošna uredba. EOVP, katerega del je Informacijski pooblašcenec, namrec dela na oblikovanju mehanizma usklajevanja izrecenih glob, ki naj bi ga uporabljali vsi nadzorni organi in ki temelji na merilih za izrekanje glob na nacin in v višini, kot to doloca clen 83 Splošne uredbe. Namen mehanizma je usklajevanje: izrecene globe glede podobnih prekrškov v podobnih okolišcinah naj se v razlicnih državah ne bi razlikovale, kar še zlasti velja v primerih cezmejnega sodelovanja pri inšpekcijskem nadzoru. Število prijav, ki jih je leta 2019 prejel Informacijski pooblašcenec, se je glede na pretekla leta še nekoliko povecalo: Informacijski pooblašcenec je prejel 974 prijav oz. pobud za uvedbo inšpekcijskega postopka, kar je najvec doslej. Poleg zgoraj navedenih prijav je Informacijski pooblašcenec leta 2019 prejel in obravnaval še devet primerov nedovoljenega sporocanja ali druge nedovoljene obdelave osebnih podatkov o pacientih, ki so jih na podlagi 46. clena ZPacP poslali izvajalci zdravstvene dejavnosti, ter 137 uradnih obvestil o kršitvi varnosti osebnih podatkov, ki so jih poslali upravljavci osebnih podatkov. Vlaganje takšnih uradnih obvestil o kršitvi varnosti osebnih podatkov, t. i. samoprijav, je novost, ki jo upravljavcem in obdelovalcem osebnih podatkov nalaga clen 33 Splošne uredbe. Kot kažejo dosedanje ugotovitve, podjetja oz. upravljavci s posredovanjem takšnih uradnih obvestil o kršitvi varnosti osebnih podatkov Informacijskemu pooblašcencu precej vestno prijavljajo varnostne incidente. Upravljavci osebnih podatkov so uradna obvestila o kršitvi varnosti osebnih podatkov Informacijskemu pooblašcencu najpogosteje pošiljali zaradi izgube ali kraje nosilcev osebnih podatkov (npr. osebnih racunalnikov in USB-kljuckov), nepooblašcenega dostopanja do osebnih podatkov zaradi programske napake ali zlorabe pooblastil s strani zaposlenih, hekerskega napada na informacijski sistem, onemogocanja dostopa do podatkov zaradi kriptiranja z zlonamerno programsko kodo ter posredovanja osebnih podatkov nepooblašcenim ali napacnim osebam. Informacijski pooblašcenec pri obravnavi prijav, ki jih jeprejel s strani posameznikov, ugotavlja, da so bile prijave v mnogih primerih vložene zaradi nerazumevanja dolocb Splošne uredbe, kar velja zlasti v primeru obdelave osebnih podatkov na podlagi privolitve posameznika, na katerega se nanašajo osebni podatki. Splošna uredba sicer res doloca strožje pogoje, ki morajo biti izpolnjeni, da se privolitev šteje za veljavno, vendar pa je privolitev posameznika zgolj ena od šestih enakovrednih pravnih podlag, ki jih v zvezi z zakonitostjo obdelave osebnih podatkov doloca clen 6 Splošne uredbe. Zaradi tega se je pri obravnavi prijav pogosto izkazalo, da so upravljavci pridobivali privolitve posameznikov tudi v primerih, ko je bila obdelava osebnih podatkov dolocena v zakonu ali potrebna za izvajanje pogodbe s posameznikom, ali pa je bil izpolnjen kakšen drug pogoj iz clena 6 Splošne uredbe in zaradi tega pridobivanje privolitve posameznika sploh ni bilo potrebno. Do prijav in kršitev Splošne uredbe je pogosto prihajalo tudi zato, ker upravljavci posamezniku ob zbiranju osebnih podatkov niso zagotovili ustreznih oz. popolnih informacij. Upravljavci so namrec dolžni sprejeti ustrezne ukrepe, s katerimi posamezniku, na katerega se nanašajo osebni podatki, ob zbiranju osebnih podatkov zahtevane informacije v zvezi z obdelavo osebnih podatkov zagotovijo v jedrnati, pregledni, razumljivi in lahko dostopni obliki ter v jasnem in preprostem jeziku. Vrste informacij, ki jih je treba zagotoviti posamezniku ob zbiranju njegovih osebnih podatkov, so dolocene v clenih 13 in 14 Splošne uredbe, posameznik pa na podlagi takšnih informacij izve, kdo je upravljavec osebnih podatkov, za kakšne namene in na kakšni pravni podlagi se osebni podatki obdelujejo, kdo so uporabniki osebnih podatkov, koliko casa se podatki hranijo itd. Kršitve dolocb clenov 13 in 14 Splošne uredbe tudi leta 2019 kljub ozavešcanju upravljavcev in kljub vzorcem takšnih obvestil, ki jih je Informacijski pooblašcenec pripravil in objavil na svoji spletni strani, še vedno spadajo med najpogosteje ugotovljene kršitve. Informacijski pooblašcenec v primeru ugotovljene kršitve dolocb clenov 13 in 14 Splošne uredbe odredi odpravo ugotovljenih nepravilnosti, po uveljavitvi ZVOP-2 pa bo lahko za takšne kršitve izrekal tudi globe, dolocene v clenu 83(4) Splošne uredbe. Pri obravnavi prijav ter izvajanju preventivnih inšpekcijskih nadzorov, ki jih je Informacijski pooblašcenec leta 2019 izvajal pri zavezancih na podrocjih, na katerih glede na oceno tveganja obstaja bodisi vecja verjetnost kršitve predpisov s podrocja varstva osebnih podatkov bodisi zaradi obcutljivosti obdelave osebnih podatkov v primeru kršitev obstaja nevarnost vecjih škodljivih posledic za posameznike, na katere se osebni podatki nanašajo, se ugotavlja, da so ugotovljene nepravilnosti ali pomanjkljivosti v veliki meri še vedno posledica nepoznavanja oz. nerazumevanja zakonodaje, kar pa gre pripisati tudi dejstvu, da ZVOP-2, ki bi jasneje dolocil posamezna pravila izvajanja Splošne uredbe, še vedno ni sprejet. Poleg nepoznavanja predpisov so ugotovljene kršitve pogosto posledica malomarnega ali neustreznega zagotavljanja varnosti osebnih podatkov ter namerne nezakonite obdelave osebnih podatkov s strani zaposlenih pri upravljavcih osebnih podatkov, ki se kaže zlasti z nezakonitimi vpogledi v zbirke osebnih podatkov, sporno obdelavo osebnih podatkov za namene neposrednega trženja ter izvajanjem videonadzora delovnih prostorov z namenom nadzora nad zaposlenimi. Podobno kot v minulih letih je Informacijski pooblašcenec tudi leta 2019 vodil vec inšpekcijskih in prekrškovnih postopkov zaradi nezakonitih vpogledov v zbirke osebnih podatkov s strani zaposlenih, ki so takšne vpoglede opravili bodisi zaradi radovednosti bodisi zaradi pridobivanja osebnih podatkov za lastne namene. Zaposleni so najpogosteje nezakonito vpogledovali v zbirke osebnih podatkov s podrocja notranjih zadev oz. policije ter v zbirke osebnih podatkov, ki jih vodijo zdravstvene institucije. Omenjene zbirke osebnih podatkov imajo zagotovljeno sledljivost obdelave osebnih podatkov, ki zagotavlja možnost naknadnega ugotavljanja, katere osebe so v dolocenem casu vpogledovale v osebne podatke dolocenega posameznika, s cimer so zaposleni, ki jim je zaradi narave dela omogocen dostop do osebnih podatkov v zbirki, sicer seznanjeni, vendar pa nezakonite vpoglede kljub temu opravijo v upanju, da jih ne bodo odkrili. Informacijski pooblašcenec je v primeru ugotovljenih kršitev vsem kršiteljem z odlocbo o prekršku izrekel ustrezno sankcijo. Informacijski pooblašcenec je v letu 2019 nadaljeval okrepljeno delovanje na podrocju skladnosti in preventive. Informacijski pooblašcenec ocenjuje, da se je poznavanje dolocb Splošne uredbe v letu 2019 izboljšalo in da se je med zavezanci izboljšalo razumevanje njenih kljucnih konceptov, ostajajo pa številne pravne nejasnosti za upravljavce, ki so posledica tega, da Slovenija ni sprejela nacionalnega predpisa glede izvajanja Splošne uredbe in da dolocb Direktive za organe kazenskega pregona ni prenesla v slovenski pravni red. K izboljšavam je po oceni Informacijskega pooblašcenca pripomoglo tudi imenovanje pooblašcenih oseb za varstvo osebnih podatkov, ki jih je vec kot 2000, saj med njihove naloge sodijo tudi naloge ozavešcanja, svetovanja in izobraževanja. Pooblašcene osebe za varstvo podatkov predstavljajo nekakšno podaljšano roko Informacijskega pooblašcenca, zato bo v prihodnosti treba vec aktivnosti nameniti prav njim, saj se lahko z njihovo usposobljenostjo ozavešcevalni ucinki multiplicirajo, s tem pa tudi skladnost zavezancev. Glede preostalih mehanizmov Splošne uredbe iz nacela odgovornosti se izboljšuje znanje glede izvedb ocen ucinkov na varstvo osebnih podatkov, ki so bistveni element preventivnega varstva osebnih podatkov, premalo pa je zavedanja o pomenu ocen ucinkov kot kljucnega elementa postopka priprav novih predpisov, ki predvidevajo resne posege v zasebnost posameznikov in/ali uvedbo modernih tehnologij. Prav tako pricakovanja niso bila izpolnjena glede kodeksov ravnanja, ki bi lahko združenjem upravljavcev omogocila doseganje skladnosti. Vecja združenja, kot kaže, že imajo ustrezne vire in znanje ter predvidoma ne vidijo dodane vrednosti v kodeksih ravnanja, združenja manjših upravljavcev pa po naši oceni nimajo dovolj ustreznih sredstev in znanja za njihovo pripravo. Obenem so zahteve Splošne uredbe glede organov za spremljanje kodeksov, ki so v zasebnem sektorju obvezni, zelo visoke, saj terjajo financno, strokovno in kadrovsko neodvisnost, s cimer pa se pod vprašaj postavi njihova izvedljivost. Zaradi odsotnosti nacionalnih izvedbenih predpisov je na ravni Slovenije povsem prezrto tudi podrocje vzpostavitev mehanizmov certificiranja za varstvo podatkov 83 ter pecatov in oznacb za varstvo podatkov za izkazovanje, da so dejanja obdelave s strani upravljavcev in obdelovalcev v skladu s Splošno uredbo. Preventivne aktivnosti za skladnost, ki so se zacele izvajati leta 2019, po oceni Informacijskega pooblašcenca predstavljajo zelo ucinkovit nacin za doseganje skladnosti. Vecina zavezancev ne želi kršiti zakonodaje in si želi biti skladna, zato jim je treba pri tem pomagati in jim ponuditi ustrezna orodja, kot so mnenja, smernice, obrazci, infografike idr. Kot zelo zgovoren primer lahko navedemo izpolnitev dolžnosti glede ocen ucinkov pri operaterjih brezpilotnikov. Na podlagi podatkov Javne agencije za civilno letalstvo je Informacijski pooblašcenec ugotovil, da 77 zavezancev ni izpolnilo dolžnosti glede izvedbe ocene ucinkov; po pozivu Informacijskega pooblašcenca z ustreznimi pojasnili in napotki je takih ostalo le še pet. Zagotavljanje skladnosti z uvedbami inšpekcijskih postopkov zoper toliko zavezancev bi prav gotovo trajalo neprimerno vec casa in bi zahtevalo veliko vec kadrovskih in financnih sredstev. Posebej ucinkovite se kažejo tovrstne aktivnosti v povezavi z združenji zavezancev, ki lahko ozavešcevalna gradiva ucinkovito distribuirajo do svojih clanov in tudi pozdravljajo takšen nacin sodelovanje z nadzornim organom. Informacijski pooblašcenec uspešno kandidira na razpisih Evropske komisije za projekte iz programa REC (Rights, Equality and Citizenship Programme). Leta 2019 je uspešno nadaljeval izvajanje projekta RAPiD. Si, katerega glavni namen je izobraževanje in ozavešcanje predvsem manjših in srednje velikih podjetij ter posameznikov o reformi zakonodajnega okvira s podrocja varstva osebnih podatkov, v letu 2020 pa bo zacel izvajati nov projekt iDECIDE, namenjen dvigovanju zavedanja o reformi okvira za varstvo osebnih podatkov predvsem med mladoletniki, starejšo in delovno populacijo. Splošna uredba je prinesla pomembne novosti glede sodelovanja nadzornih organov za varstvo osebnih podatkov v državah clanicah EU in EGS (Islandija, Norveška in Lihtenštajn) pri cezmejnih primerih po nacelu »vse na enem mestu«, ki predvideva, da postopek nadzora v cezmejnem primeru obdelave osebnih podatkov vodi t. i. vodilni organ, ki pri tem sodeluje z drugimi organi za varstvo osebnih podatkov, in ki je uvedla mehanizme vzajemne pomoci in skupnega ukrepanja organov za varstvo osebnih podatkov v državah clanicah EU. Informacijski pooblašcenec je leta 2019 sodeloval v 73 postopkih medsebojne pomoci med nadzornimi organi po clenu 61 Splošne uredbe in v 77 postopkih ugotavljanja vodilnega organa po clenu 56 Splošne uredbe. Od tega je sedem postopkov ugotavljanja zacel Informacijski pooblašcenec. Na temelju postopkov dolocitve vodilnega in zadevnih nadzornih organov je Informacijski pooblašcenec leta 2019 aktivno sodeloval v 75 postopkih cezmejnega sodelovanja pri inšpekcijskem nadzoru nad podjetji, ki poslujejo cezmejno. V teh postopkih je pricakovan sprejem odlocitve nadzornih organov po clenu 60 Splošne uredbe, po t. i. mehanizmu »vse na enem mestu«. 61 tovrstnih postopkov je bilo zacetih s strani drugih organov v EU in obicajno zadevajo priljubljene ponudnike komunikacijskih spletnih storitev oz. spletne velikane (Facebook, Google, Amazon, Apple, PayPal, WhatsApp, Twitter, Instagram, Microsoft itd.); Informacijski pooblašcenec v teh postopkih sodeluje kot zadevni organ. Postopki zadevajo skladnost njihovih praks s Splošno uredbo, tako v smislu zakonitosti obdelave osebnih podatkov kot tudi ustreznosti njihovih politik zasebnosti in obvešcanja posameznikov o obdelavi osebnih podatkov, izvrševanja pravic posameznikov ter kršitev varstva osebnih podatkov zaradi vdorov v informacijske sisteme in pomanjkljivega zavarovanja osebnih podatkov. 14 tovrstnih postopkov sodelovanja je sprožil Informacijski pooblašcenec, in sicer na podlagi prejete prijave oz. pritožbe zoper ravnanje zavezanca, ki je ustanovljen v drugi clanici EU ali pa ima ustanovitve v razlicnih clanicah v EU oz. so dejanja obdelave osebnih podatkov zadevala posameznike iz razlicnih držav clanic EU. Sodelovanje v cezmejnih primerih inšpekcijskega nadzora, kot ga je uvedla Splošna uredba, je nedvomno ena kljucnih novosti in okrepitev, predvsem v smislu enotnega delovanja nadzornih organov v razlicnih državah clanicah EU in EGS. Le z enotnim pristopom lahko namrec nadzorni organi na ravni EU vplivajo na aktivnosti multinacionalnih ponudnikov sodobnih spletnih storitev, komunikacijskih platform in družbenih omrežij, ki jih uporabljajo posamezniki v vseh državah clanicah EU in EGS, nadzorni organi za varstvo osebnih podatkov pa imajo zdaj na voljo mehanizme in orodja tesnega sodelovanja, s katerim imajo možnost nastopiti proti spornim praksam, ki škodijo pravicam posameznikov, z enim glasom. Seveda pa tako sodelovanje za Informacijskega pooblašcenca, kot tudi za ostale nadzorne organe, pomeni velik izziv: potrebni so dodatni viri, tako financni kot kadrovski – znanje, potrebno za obravnavo takih primerov, je namrec specificno, predvsem pa vkljucuje zelo razlicne discipline. Kljucno je odlicno poznavanje angleškega jezika, saj je anglešcina v cezmejnih postopkih operativni jezik. Vodenje primerov cezmejne narave je kompleksno in zahteva veliko dodatnih resursov, tudi zaradi zahteve po zagotavljanju prevodov dokumentacije (ki lahko obsega tudi celotna zelo obširna porocila). Dodatne vire zahteva že administriranje sodelovanja prek platforme IMI, ki jo je Informacijski pooblašcenec moral organizacijsko integrirati v svoje procese obravnave inšpekcijskih primerov in primerov odlocanja o pravici do seznanitve z lastnimi osebnimi podatki. Vzpostaviti je moral interni sistem za sledenje postopkom v sistemu IMI ter za povezovanje informacij z evidencami, ki jih vodi na nacionalni ravni. Informacijski pooblašcenec je tako moral za izvajanje poglavja 7 Splošne uredbe nameniti dodatne vire (enakovredne 4–5 redno zaposlenim) za interno koordiniranje procesov sodelovanja in nacionalne prakse v nadzoru in pri pritožbah, za izobraževanje o tehnicnem delovanju sistema IMI, o vodenju cezmejnih postopkov, poenotenju praks in stalnem sledenju praks, ki se razvijajo glede uporabe sistema IMI. Izkušnje leta 2019 so pokazale tudi na druge izzive sodelovanja po poglavju 7 Splošne uredbe, predvsem z vidika razlik v nacionalnih procesnih pravilih v državah clanicah EU (npr. glede pravic strank v postopkih, glede rokov za posamezna dejanja v postopkih, glede obvešcanja prijaviteljev). Raznolika nacionalna pravila so zagotovo eden od razlogov, da so postopki sodelovanja po nacelu »vse na enem mestu« v kompleksnejših primerih nadzora nad velikimi multinacionalnimi podjetji, daljši. Prve odlocitve v tem okviru so pricakovane v letu 2020. Tudi razlicne interpretacije konceptov in norm sodelovanja, ki ga kot novost uvaja Splošna uredba, so se v konkretnih primerih leta 2019 izkazale kot velik izziv ucinkovitemu vodenju tovrstnih postopkov. Odgovor na izziv deloma išce EOVP, ki aktivno pristopa k iskanju skupnih opredelitev in interpretacij konceptov v Splošni uredbi, deloma pa k reševanju lahko pristopi tudi evropski zakonodajalec, predvsem v okviru razmislekov o potencialni bodoci reviziji Splošne uredbe. Informacijski pooblašcenec je svoja videnja glede izzivov pri uporabi poglavja 7 Splošne uredbe za namen izvedbe postopkov revizije podal pristojnemu ministrstvu, prispeval pa je tudi k pripravi stališc EOVP na to temo. ODGOVORNA UREDNICA: Mojca Prelesnik, informacijska pooblašcenka AVTORJI BESEDIL: dr. Monika Benkovic Krašovec, državna nadzornica za varstvo osebnih podatkov Jože Bogataj, namestnik informacijske pooblašcenke Alenka Jerše, namestnica informacijske pooblašcenke mag. Andrej Tomšic, namestnik informacijske pooblašcenkemag. Kristina Kotnik Šumah, namestnica informacijske pooblašcenke Karolina Kuševic, svetovalka Pooblašcenca II Matej Sironic, svetovalec Pooblašcenca za varstvo osebnih podatkov Tina Ivanc, svetovalka Pooblašcenca za varstvo osebnih podatkov Neja Domnik, raziskovalka Pooblašcenca mag. Urban Brulc, samostojni svetovalec Pooblašcenca dr. Jelena Burnik, vodja mednarodnega sodelovanja in nadzora Manja Resman, svetovalka pooblašcenca II mag. Eva Kalan Logar, vodja državnih nadzornikov OBLIKOVANJE: Darko Mohar Tomaž Brodgesell LEKTORIRALA: Katja Klopcic Lavrencic Informacijski pooblašcenec Republike Slovenije Dunajska cesta 22 1000 Ljubljana www.ip-rs.si gp.ip@ip-rs.si Ljubljana, maj 2020