Objava kazenske ovadbe – odločba po ZIN

Številka: 0613-438/2019/16

Datum:   25. 3. 2021

Informacijski pooblaščenec (v nadaljevanju IP) izdaja po državnem nadzorniku za varstvo osebnih podatkov … na podlagi 2. in 8. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in naslednji; v nadaljevanju ZInfP), 54. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07; v nadaljevanju ZVOP-1), člena 58(2)(d) Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov; v nadaljevanju Splošna uredba) ter 29. in 32. člena Zakona o inšpekcijskem nadzoru (Uradni list RS, št. 43/07 in naslednji; v nadaljevanju ZIN), v postopku inšpekcijskega nadzora nad izvajanjem določb ZVOP-1 in Splošne uredbe nad zavezancem … (v nadaljevanju zavezanec), ki ga zastopa …, po uradni dolžnosti naslednjo

ODLOČBO

  1. Zavezanec … mora, zaradi ugotovljenih nepravilnosti v zvezi z izvajanjem določb Splošne uredbe, v datoteki »…«, ki predstavlja kazensko ovadbo …, ki je javno dostopna na spletnem naslovu … katerega upravljavec je zavezanec, skladno s členom 32 Splošne uredbe prekriti, izbrisati ali na kak drug način zagotoviti ustrezno raven varnosti a) rojstnih podatkov posameznikov, na katere se … nanaša; b) EMŠO podatkov in podatkov o bivališču posameznikov, na katere se zadevna … nanaša, na način, da se do teh podatkov ne bo dalo dostopati; in c) osebnih podatkov preostalih v … navedenih posameznikov, na način, da prepreči nepooblaščeno razkrivanje ali dostop do navedenih osebnih podatkov.
  2. Ukrep iz 1. točke izreka te odločbe mora zavezanec izvršiti v roku 5 (pet) dni od prejema te odločbe.
  3. Zavezanec mora o izvršitvi ukrepa iz 1. točke izreka te odločbe v roku 3 (treh) dni po izvršitvi pisno obvestiti IP in predložiti dokaze o izvršitvi.
  4. Zahteva zavezanca za vrnitev priglašenih stroškov se zavrne.
  5. Organu v tem postopku niso nastali posebni stroški postopka.

Obrazložitev

  1. Procesna dejanja, ugotovitve IP in navedbe zavezanca

Predmetni postopek je bil uveden, ker naj bi zavezanec na … oziroma na spletnem naslovu … (v nadaljevanju zadevna spletna stran) objavil članek z naslovom »…« (v nadaljevanju zadevni članek), ki vsebuje hiperpovezavo na datoteko – kazensko ovadbo…, katera naj bi vsebovala osebne podatke več posameznikov.

IP je dne 19. 1. 2021 opravil ogled zadevne spletne strani o čemer je bil sestavljen zapisnik o ogledu spletne strani številka 0613-438/2019/7 z dne 19. 1. 2021. Pri ogledu so bile narejene zaslonske slike zadevne spletne strani in zadevnega članka ter na službeni računalnik državnega nadzornika za varstvo osebnih podatkov shranjena .pdf datoteka »…« (v nadaljevanju zadevna datoteka) – članek je namreč vseboval hiperpovezavo s spletnim naslovom …, na katerem je bila objavljena prva zadevna datoteka. Zapisnik o ogledu spletne strani številka 0613-438/2019/7 z dne 19. 1. 2021 je bil zavezancu vročen, zavezanec pa pozvan, da se o njem izjavi.

Po pregledu zadevnega članka in zadevne datoteke je IP ugotovil, da sta tako članek (članek je med drugim vseboval večje število slik zadevne datoteke) kot zadevna datoteka vsebovala večje število imen, priimkov in funkcij posameznikov. Zadevna datoteka, ki predstavlja … (v nadaljevanju zadevna kazenska ovadba), katero je …, je vsebovala še rojstne podatke … posameznikov, na katere se zadevna kazenska ovadba nanaša. Pri vsakem od posameznikov, na katere se nanaša zadevna kazenska ovadba, sta bili dve črni polji, s katerima so bili prekriti nekateri podatki teh posameznikov. Kot je bilo ugotovljeno ob pregledu zadevne datoteke, so bili podatki s črnim poljem prekriti na način, da se je lahko besedilo pod črnim poljem označi in kopiralo v obliki teksta. V kolikor se je prvo zadevno datoteko odprlo s programom za .pdf datoteke, je bilo mogoče črna polja, s katerimi so bili prekriti določeni osebni podatki posameznikov, na katere se zadevna kazenska ovadba nanaša, tudi odstraniti. Na ta način je bilo mogoče, poleg imen, priimka in datuma rojstva posameznikov, na katere se zadevna kazenska ovadba nanaša, razbrati tudi njihov EMŠO in naslov.

Tako s samega spletnega mesta … kot tudi iz vpisa v razvida medijev pri Ministrstvu za kulturo izhaja, da je upravljavec navedenega spletnega mesta oziroma izdajatelj medija … zavezanec. Zavezanec je kot izdajatelj … v razvidu medijev naveden pod zaporedno številko … IP na tem mestu pojasnjuje, da ni jasno kdo je avtor članka, ker je v članku navedeno zgolj »…«.

Na podlagi ugotovljenega dejanskega stanja je IP ocenil, da zavezanec s tem, ko je na spletnem naslovu …  objavil datoteko »…«, ki predstavlja zadevno kazensko ovadbo, ne da bi pred tem prekril, izbrisal ali kako drugače anonimiziral a) rojstne podatke posameznikov, na katere se zadevna kazenska ovadba nanaša; in b) EMŠO podatke in podatke o bivališču posameznikov, na katere se zadevna kazenska ovadba nanaša, na način, da se do teh podatkov ne bi dalo dostopati; in c) osebne podatke preostalih v kazenski ovadbi navedenih posameznikov ter s tem, ko na slikah zadevne kazenske ovadbe, katere vsebuje članek z naslovom »…« z dne …, ki je objavljen na spletnem naslovu …, ni prekril osebnih podatkov več različnih posameznikov, ni zagotovil varnosti osebnih podatkov, kot to določa člen 32 Splošne uredbe oziroma ni zagotovil zavarovanja osebnih podatkov, kot to določata 24. in 25. člena ZVOP-1.

Z dopisom številka 0613-438/2019/8 z dne 25. 1. 2021 je IP zavezanca pozval, da se opredeli, do ugotovitev IP v navedenem dopisu. V kolikor so bile očitane nepravilnosti oz. kršitve določb Splošne uredbe oziroma ZVOP-1 odpravljene, kar pomeni, da je zavezanec zagotovili varnost osebnih podatkov na način, da je sprejel ukrepe s katerimi preprečuje nepooblaščeno razkrivanje ali dostop do osebnih podatkov, ki jih vsebuje: 1) datoteka »…«, ki predstavlja zadevno kazensko ovadbo ter je dostopna na spletnem naslovu … , in 2) članek z naslovom »…« z dne …, ki je objavljen na spletnem naslovu … , pa je bil zavezanec pozvan, da IP obvesti o načinu in datumu odprave nepravilnosti ter predloži dokazila, iz katerih bo izhajala resničnost njegovih navedb.

V vlogi z dne …, ki med drugim predstavlja izjavo zavezanca o dejstvih in okoliščinah zapisnika številka 0613-438/2019/7 z dne 19. 1. 2021, zavezanec navaja, da je do razkritja osebnih podatkov posameznikov, zoper katere je bila vložena kazenska ovadba, mogoče priti zgolj s posebnim računalniških programom, s katerim običajni bralec oziroma spletni uporabnik ne razpolaga. Povprečni bralec se s tako prikritimi osebnimi podatki … ne more seznaniti. Šele uporaba specialnih računalniških programov in napredno računalniško znanje omogoča razkritje EMŠO številk in naslovov posameznikov, ki so osumljeni kaznivega dejanja. V vlogi z dne …, ki predstavlja izjavo v zvezi z dopisom IP številka 0613-438/2019/8 z dne 25. 1. 2021, tj. s seznanitvijo z ugotovitvami IP, zavezanec pritrjuje stališču IP, da v primeru obdelave (objave) imen in priimkov posameznikov, na katere se zadevna kazenska ovadba nanaša, prevlada pravica zavezanca do svobode izražanja. Zavezanec navaja, da je po prejemu dopisa IP z dne 25. 1. 2021 še dodatno zagotovil varnost osebnih podatkov osumljenih, na način, da je v predmetni kazenski ovadbi prekril podatke o dnevu, mesecu in letu rojstva, EMŠO in naslov bivanja. V kazenski ovadbi je prekril tudi imena in priimke posameznikov, na katere se zadevna kazenska ovadba ne nanaša in na posameznike, ki niso sedanji ali bivši najvišji predstavniki … in tako niso relativno javne osebe. Prekriti so bili tudi osebni podatki v zadevnem članku. V obeh navedenih vlogah izpostavlja zavezanec še, da predmetni postopek ni dovoljen, ker se zoper njega, zaradi objave zadevne kazenske ovadbe in članka, že vodi predkazenski postopek.

IP je dne 25. 3. 2021 opravil ponoven pregled zadevne spletne strani oziroma na tej spletni strani objavljenega zadevnega članka. Pri tem IP ugotavlja, da so bili s slik zadevne kazenske ovadbe, katere vsebuje zadevni članek, izbrisana vsi osebni podatki razen imen in priimkov ovadenih oseb ter imena in priimka takratnega ministra. V tem primeru IP ocenjuje, da pravica medija do svobode izražanja prevlada nad pravico teh posameznikov do varstva osebnih podatkov. Nadalje IP ugotavlja, da besedilo zadevnega članka sedaj vsebuje hiperpovezavo z drugačnim spletnim naslovom, in sicer …, ob kliku katero se odpre spletna stran oziroma .pdf datoteka »…« (v nadaljevanju nova zadevna datoteka). Tudi nova zadevna datoteka predstavlja zadevno kazensko ovadbo, vendar pa so v tej datoteki izbrisani rojstni podatki, EMŠO in naslovi bivanja oseb, na katere se zadevna kazenska ovadba nanaša, izbrisani pa so tudi osebni podatki preostalih v kazenski ovadbi navedenih posameznikov, za katere IP ocenjuje, da njihova pravica do varstva osebnih podatkov prevladala nad pravico zavezanca do svobode izražanja.

Kljub drugačnim navedbam zavezanca IP nadalje ugotavlja, da je dne 25. 3. 2021 na spletnem naslovu … še vedno dostopna zadevna datoteka, tj. … datoteka, ki predstavlja zadevno kazensko ovadbo in katera še vedno vsebuje rojstne podatke …  posameznikov, na katere se zadevna kazenska ovadba nanaša. Pri vsakem od posameznikov, na katere se nanaša zadevna kazenska ovadba, sta dve črni polji, s katerima so prekriti nekateri podatki teh posameznikov. Podatki so s črnim poljem prekriti na način, da se lahko besedilo pod črnim poljem označi in kopira v obliki teksta. V kolikor se zadevno datoteko odpre s programom za .pdf datoteke (na primer Adobe Acrobat Reader, Foxit Reader), je mogoče črna polja, s katerimi so prekriti določeni osebni podatki posameznikov, na katere se zadevna kazenska ovadba nanaša, tudi odstraniti. Na ta način je bilo mogoče, poleg imen, priimka in datuma rojstva posameznikov, na katere se zadevna kazenska ovadba nanaša, razbrati tudi njihov EMŠO in naslov. Zadevna datoteka vsebuje tudi večje število osebnih podatkov posameznikov, na katere se kazenska ovadba ne nanaša. Stanje datoteke oziroma v zvezi z datoteko … je torej enako stanju ob pregledu dne 19. 1. 2021, ko je bil opravljen ogled zadevne spletne strani.

Splošna uredba opredeljuje pojma »osebni podatek« in »obdelava« v členu 4. Osebni podatek pomeni katero koli informacijo v zvezi z določenim ali določljivim posameznikom; določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika (točka 1). Obdelava pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje (točka 2).

V skladu z navedeno definicij ime, priimek, funkcija (v nekaterih primerih že zgolj navedba funkcije, v nekaterih pa v povezavi z imenom in priimkom), EMŠO in naslov, skupaj z imenom in priimkom, pomenijo osebni podatek, ker gre za informacije v zvezi z določenim ali določljivim posameznikov, objava osebnih podatkov posameznikov na spletni strani pa pomeni obdelavo osebnih podatkov.

V členu 32 Splošna uredba določa, da upravljavec in obdelovalec, ob upoštevanju najnovejšega tehnološkega razvoja in stroškov izvajanje ter narave, obsega in namenov obdelave, pa tudi tveganja za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, zagotovita ustrezno raven varnosti glede na tveganje. Skladno s točko 12 člena 4 Splošne uredbe pomeni »kršitev varnosti osebnih podatkov« kršitev varnosti, ki povzroči nenamerno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani. Smiselno podobno določbe vsebuje ZVOP-1 v 24. in 25. členu, kjer je določeno, da so upravljavci osebnih podatkov in pogodbeni obdelovalci dolžni zagotoviti zavarovanje osebnih podatkov, s katerim se varujejo osebni podatki, preprečuje slučajno ali namerno nepooblaščeno uničevanje podatkov, njihova sprememba ali izguba ter nepooblaščena obdelava teh podatkov.

Ob navedenem je potrebno upoštevati, da pravila varstva osebnih podatkov, ki jih določata Splošna uredba in ZVOP-1, pomenijo konkretizacijo ene od človekovih pravi in temeljnih svoboščin iz Ustave Republike Slovenije (Uradni list RS, št. 33/91-I in naslednji; v nadaljevanju Ustava). Ustava v prvem odstavku 38. člena zagotavlja človekovo pravico do varstva osebnih podatkov. Ustavno sodišče je večkrat poudarilo, da je ustavodajalec s tem posebej zavaroval enega od vidikov posameznikove zasebnosti, t. i. informacijsko zasebnost.[1]Ustava v 38. členu (1) prepoveduje uporabo osebnih podatkov v nasprotju z namenom njihovega zbiranja, (2) zbiranje, obdelovanje, namen uporabe, nadzor in varstvo tajnosti osebnih podatkov določa za predmet zakonskega urejanja in (3) vsakomur daje pravico, da se seznani z zbranimi osebnimi podatki, ki se nanašajo nanj, za primer zlorabe pa tudi pravico do sodnega varstva.

Hkrati je potrebno upoštevati, da med človekove pravice in temeljne svoboščine sodi tudi pravica do svobode izražanja. Ustava v 39. členu (1) zagotavlja svobodo izražanja misli, govora in javnega nastopanja, tiska in drugih oblik javnega obveščanja in izražanja, (2) vsakdo ima pravico dobiti informacijo javnega značaja, za katero ima v zakonu utemeljen pravni interes, razen v primerih, ki jih določa zakon. Prav na pravici do svobode izražanja pa temelji dejavnost medijev. Navedeno izhaja tudi iz 6. člena Zakona o medijih (Uradni list RS, št. 110/06 in naslednji; v nadaljevanju ZMed), ki določa, da dejavnost medijev temelji na svobodi izražanja, nedotakljivosti in varstvu človekove osebnosti in dostojanstva, na svobodnem pretoku informacij in odprtosti medijev za različna mnenja, prepričanja in za raznolike vsebine, na avtonomnosti urednikov, novinarjev in drugih avtorjev pri ustvarjanju programskih vsebin v skladu s programskimi zasnovami in profesionalnimi kodeksi, ter na osebni odgovornosti novinarjev oziroma drugih avtorjev prispevkov in urednikov za posledice njihovega dela.

V skladu s tretjim odstavkom 15. člena Ustave se človekove pravice in temeljne svoboščine lahko omejijo predvsem zaradi človekovih pravic oziroma temeljnih svoboščin drugih ljudi. Enako kot za pravico do svobode izražanja tudi za pravico do informacijske zasebnosti velja, da ni neomejena, ni absolutna. V primeru, ko pride do kolizije dveh sobivajočih pravic, se nasprotje med pravicami uskladi z metodo, ki jo teorija in sodna praksa poznata tudi kot praktično konkordanco. Praktična konkordanca pomeni oblikovanje pravila, veljavnega za konkretni primer, torej pravila o sobivanju pravic v konkretnih okoliščinah. Odločiti je treba, kateri pravici je treba glede na konkretne okoliščine dati prednost in katera se mora zaradi aktiviranja nujne, ustavno varovane vsebine druge pravice, tej umakniti, oziroma se mora umakniti del upravičenj, ki sestavljajo to pravico.[2]

Iz članka izhaja, da je bila zadevna kazenska ovadba objavljena, ker gre za »…« in »…«. Namen, ki ga objava zadevnega članka in zadevne datoteke (v nadaljevanju zadevna objava) in s tem povezana obdelava (objava) osebnih podatkov posameznikov zasleduje, je torej informiranje javnosti o postopku dokapitalizacije bank. Nadalje je mogoče iz dejstva, da je poskušal zavezanec oziroma avtor članka pred objavo zadevne datoteke na spletnem mestu upravljavca v datoteki (neuspešno) prekriti določene osebne podatke posameznikov, na katere se zadevna kazenska ovadba nanaša, sklepati, da se je zavezanec oziroma avtor članka zavedal, da objava pomeni določen poseg v pravico do varstva osebnih podatkov.

Poročanje medijev o času t.i. sanacije bank predstavlja temo, za katero obstaja močan interes javnosti, da je z njo obširno seznanjena. Gre tudi za temo o kateri so različni mediji v preteklosti že obširno poročali. Mediji so že več let pred zadevno objavo na primer poročali, da poteka preiskava povezana s sanacijo bank[3], nekaj mesecev pred zadevno objavo pa na primer tudi o tem, da je Nacionalni preiskovalni v povezavi s sanacijo bank podal kazensko ovadbo na Specializirano državno tožilstvo[4].

Kot je bilo že predhodno navedeno, iz zadevne objave izhaja, da je njena osrednja sporočilna vrednost poročanje o postopku dokapitalizacije bank. Za dosego namena, ki ga zadevna objava zasleduje, obdelava (objava) osebnih podatkov o dnevu, mesecu in letu rojstva, EMŠO podatka in naslova bivanja posameznikov, nikakor ni potrebna. Po mnenju IP za dosego tega namena tudi ni potrebna objava imen, priimkov in ostalih informacij v zvezi z določenimi ali določljivimi posamezniki na katere se zadevna kazenska ovadba ne nanaša in posamezniki, ki niso (sedanji ali bivši) najvišji predstavniki … in tako niso relativno javne osebe. Namreč, v kolikor zadevna objava ne bi vsebovala teh osebnih podatkov, bi še vedno (lahko) dosegla svoj namen. Objava teh osebnih podatkov je zato po mnenju IP v grobem nasprotju z načelom najmanjšega obsega podatkov iz točke (c) člena 5(1) Splošne uredbe, skladno s katerim morajo biti osebni podatki ustrezni, relevantni in omejeni na to, kar je potrebno za namen, za katerega se obdelujejo. Hkrati tak način izvrševanja pravice do svobode izražanja predstavlja tudi nepotreben in nesorazmeren poseg v pravico posameznikov do varstva osebnih podatkov.

Drugačno stališče je potrebno zavzeti v primeru objave imen in priimkov posameznikov, na katere se zadevna kazenska ovadba nanaša. Banka Slovenije je centralna banka Slovenije in je v izključni državni lasti s finančno in upravljavsko avtonomijo, ki deluje kot nadzorni organ slovenskega bančnega sistema. Najvišji predstavniki takšnega organa morajo izpolnjevati visoke strokovne in moralne standarde ter z zasedbo takšnega mesta tudi postanejo relativno javne osebe, zato se njihovo polje pričakovane zasebnosti skrči. Glede na okoliščine konkretnega primera IP ocenjuje, da je potrebno predvsem ob upoštevanju dejstva, da so posamezniki, na katere oziroma na ravnanje katerih se zadevna kazenska ovadba nanaša, (tedanji) najvišji predstavniki Banke Slovenije, v primeru obdelave (objave) imen in priimkov teh posameznikov v zvezi z zadevno kazensko ovadbo, v konkretnem primeru dati prednost pravici zavezanca do svobode izražanja pred pravico teh posameznikov do varstva osebnih podatkov.

Iz tako ugotovljenega dejanskega stanja IP zaključuje, da zavezanec s tem, ko je na spletnem naslovu … objavil datoteko »…«, ki predstavlja …, ne da bi pred tem na učinkovit način prekril, izbrisal ali kako drugače anonimiziral a) rojstne podatke posameznikov, na katere se zadevna kazenska ovadba nanaša; in b) EMŠO podatke in podatke o bivališču posameznikov, na katere se zadevna kazenska ovadba nanaša, na način, da se do teh podatkov ne bi dalo dostopati; in c) osebne podatke preostalih v kazenski ovadbi navedenih posameznikov, ni zagotovil varnosti osebnih podatkov, kot to določa člen 32 Splošne uredbe oziroma ni zagotovil zavarovanja osebnih podatkov, kot to določata 24. in 25. člena ZVOP-1.

IP ob vsem navedenem izpostavlja še, da je bil zavezanec z zgoraj navedenimi ugotovitvami IP seznanjen z dopisom številka 0613-438/2019/8 z dne 25. 1. 2021 in hkrati pozvan, da se do njih opredeli. V vlogi z dne …, ki med drugim predstavlja izjavo zavezanca o dejstvih in okoliščinah zapisnika številka 0613-438/2019/7 z dne 19. 1. 2021, je zavezanec navedel zgolj, da se povprečni bralec ne more seznaniti z EMŠO in naslov bivanja ovadenih oseb, ker so ti v datoteki »…« prekriti, šele uporaba specialnih računalniških programov in napredno računalniško znanje pa omogoča razkritje teh podatkov. Tem navedbam IP ne more slediti. Namreč, sodobni spletni brskalniki (na primer Google Chrome, Mozilla Firefox ali Microsoft Edge), to so programi, ki omogočajo ogled spletnih strani, med drugim omogočajo tudi odpiranje .pdf datotek. Tako lahko vsak uporabnik, ki v spletni brskalnik vpiše naslov … dostopa do datoteke »…«. Kot je bilo ugotovljeno ob pregledu navedene datoteke, so bili v njej podatki s črnim poljem prekriti na način, da se je lahko označilo in kopiralo tudi besedilo (EMŠO in naslov) pod črnim poljem. Uporaba funkcije kopiranja in lepljenja (t.i. copy paste) besedila predstavlja eno najosnovnejših računalniških znanj. V kolikor se navedeno datoteko odpre s programom za .pdf datoteke (na primer Adobe Acrobat Reader ali Foxit Reader – slednji je bil uporabljen v konkretnem primeru) pa je mogoče črna polja, s katerimi so bili prekriti določeni osebni podatki posameznikov, na katere se zadevna kazenska ovadba nanaša, tudi odstraniti. Tako je mogoče s kopiranjem besedila ali odstranitvijo črnih polij enostavno razbrati tudi EMŠO in naslov ovadenih. Pripomb v zvezi z ostalimi ugotovitvami IP oziroma ostali v podatki, ki so dostopni v navedeni .pdf datoteki, pa zavezanec ni imel.

Zavezanec tako v vlogi z dne … kot tudi v vlogi z dne …, sklicujoč se na 11.a člen Zakona o prekrških (Uradni list RS, št. 29/11 in naslednji; v nadaljevanju ZP-1) navaja še, da predmetni postopek ni dovoljen, ker se zoper zavezanca že vodi kazenski postopek, pri čemer oba izhajata iz istega historičnega dogodka. V zvezi z navedenim IP pojasnjuje, da konkretni postopek predstavlja upravni inšpekcijski postopek, tj. postopek, ki se vodi skladno z določili ZIN, in ne prekrškovni postopek, ki bi se vodil skladno z določili ZP-1. Inšpekcijski nadzor je nadzor nad izvajanjem oziroma spoštovanjem zakonov in drugih predpisov (2. člen ZIN). Inšpektorji opravljajo naloge inšpekcijskega nadzora z namenom varovanja javnega interesa ter interesov pravnih in fizičnih oseb (5. člen ZIN). V kolikor državni nadzornik za varstvo osebnih podatkov v nekem postopku inšpekcijskega nadzora ugotovi, da obdeluje zavezanec osebne podatke v nasprotju s predpisi s področja varstva osebnih podatkov, lahko izreče enega od ukrepov iz prvega odstavka 54. člena ZVOP-1 ali uporabil katerega od popravljalnih pooblastil iz drugega odstavka člena 58 Splošne uredbe. Iz navedenega jasno izhaja, da je izključni namen vodenja postopka inšpekcijskega nadzora nad izvajanjem določb ZVOP-1 in Splošne uredbe preveritev (ne)zakonitosti obdelave osebnih podatkov, pri čemer je mogoče nepravilnosti, ki so morda odkrite v postopku inšpekcijskega nadzora, tudi odpraviti. Namen postopka inšpekcijskega nadzora je torej zagotoviti skladnost z veljavno zakonodajo. Izrekanju sankcij za morebitne kršitve pravil s področja varstva osebnih podatkov je namenjen drug, ločen postopek – postopek o prekršku – pravila katerega določa ZP-1. Šele v prekrškovnem postopku pa se uporabljajo določbe ZP-1, tudi člen 11.a, na katerega se sklicuje vlagatelj. Inšpekcijski postopek in prekrškovni postopek sta dva ločena postopka, ki imata različen in ločen namen.

Glede na obrazloženo je bilo zavezancu na podlagi 2. in 8. člena ZInfP, 54. člena ZVOP-1 ter člena 58(2) Splošne uredbe potrebno odrediti odpravo ugotovljenih nepravilnosti oziroma zagotovitev varnosti obdelave kot to določa člen 32 Splošne uredbe, in sicer na način in v roku, kot je določeno v 1. in 2. točki izreka te odločbe.

Odredba za odpravo ugotovljenih nepravilnosti temelji na ugotovitvah v postopku inšpekcijskega nadzora. 

Odredba v 3. točki izreka, da mora o odpravi ugotovljenih nepravilnosti zavezanec v 3 (treh) dneh po odpravi nepravilnosti pisno obvestiti IP in predložiti dokaze o odpravi nepravilnosti, temelji na določbi petega odstavka 29. člena ZIN, ki določa, da mora zavezanec o odpravljenih nepravilnostih takoj obvestiti inšpektorja. 

Na podlagi 118. člena ZUP se v odločbi odloči o stroških postopka. Stroške inšpekcijskega postopka, ki so bili nujni za ugotovitev dejstev, ki dokazujejo, da zavezanec krši zakon ali drug predpis, skladno s prvim odstavkom 31. člena ZIN trpi zavezanec, zato zavezanec sam krije svoje stroške, kot je odločeno v 4. točki izreka. 

Ker organu v tem postopku niso nastali posebni stroški postopka, je tako odločeno v 5. točki izreka. 

Ta odločba je izdana po uradni dolžnosti in je na podlagi 22. člena Zakona o upravnih taksah (Uradni list RS, št. 106/10 in naslednji) takse prosta.

Pouk o pravnem sredstvu: Ta odločba je v upravnem postopku dokončna. Zoper njo po določbi 55. člena ZVOP-1 ni dovoljena pritožba, mogoč pa je upravni spor z vložitvijo tožbe na Upravno sodišče Republike Slovenije, Fajfarjeva 33, 1000 Ljubljana, v roku 30 dni po prejemu te odločbe. Tožba se vloži pri pristojnem sodišču neposredno pisno ali se mu pošlje po pošti. Tožbi v dveh izvodih je treba priložiti to odločbo v izvirniku ali neoverjeno kopijo.


[1] Odločba Ustavnega sodišča št. U-I-98/11 z dne 26. 9. 2012 (12. točka).

[2] Vrhovno sodišče Republike Slovenije Sklep II Ips 340/2011 z dne 17. 7. 2014.

[3] …

[4] …

Exit mobile version