Številka: 040-05/22-20/
Datum: 27. 10. 2022
.
.
Na podlagi 13. člena Zakona o Državnem zboru in prvega odstavka 27. člena Poslovnika državnega zbora je Zakonodajno-pravna služba pripravila
.
M N E N J E
o Predlogu zakona o varstvu osebnih podatkov (ZVOP-2), druga obravnava, EPA 189-IX.
.
.
Zakonodajno-pravna služba je Predlog zakona preučila z vidika njegove skladnosti z Ustavo Republike Slovenije (v nadaljevanju Ustava), pravnim sistemom in z zakonodajno-tehničnega vidika.
.
Predlog zakona ureja vprašanja varstva in obdelave osebnih podatkov, v pretežni meri pa predstavlja zakon o izvajanju Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) (UL L št. 119 z dne 4. 5. 2016, str. 1; v nadaljnjem besedilu: Splošna uredba). Splošna uredba je začela veljati 25. maja 2016, uporablja pa se od 25. maja 2018. S sprejemom Splošne uredbe, ki je v celoti zavezujoča in se neposredno uporablja v vseh državah članicah, je bila v okviru Evropske unije sprejeta večja reforma okvira za varstvo podatkov. Splošna uredba nadomešča Direktivo 95/46/ES, na kateri temelji Zakon o varstvu osebnih podatkov (ZVOP-1), ki naj bi s Predlogom zakona prenehal veljati. Zaradi tega je pravni okvir varstva osebnih podatkov v slovenskem pravnem redu pomembno spremenjen s tem, ko je namesto direktive, ki terja harmonizacijo (uskladitev) pravnih ureditev držav članic, bila sprejeta uredba, ki je sredstvo unifikacije (poenotenja) prava. Poleg tega ima Splošna uredba neposredne učinke, ker vsebuje pravice posameznikov, ki jih morajo sodišča držav članic varovati, posamezniki pa se lahko nanjo sklicujejo v postopkih pred sodišči in drugimi organi.
Neposredna uporabnost uredb ne pomeni, da država članica ne sme sprejeti predpisov, ki so nujno potrebni za izvajanje uredbe v nacionalnem pravu ali ki olajšujejo njeno uporabo. Pogosto je tudi nujno, da države članice uredbi ustrezno prilagodijo svoje predpise oziroma sprejmejo pravne akte na področjih, ki jih uredba ureja ali se na njih posredno nanaša. Pravni red Evropske unije na področjih, ki so urejena z uredbami, državam članicam ne dopušča selektivnega oziroma zgolj delnega, torej nepopolnega izvajanja določb uredbe. To pomeni, da države članice ne smejo sprejemati pravnih aktov, ki bi bili v nasprotju z vsebino uredbe oziroma bi njeno vsebino povzemali, čeprav dobesedno. V nasprotnem primeru obstaja možnost, da se specifična kakovost prava, primarnost, ki je primerno pravno sredstvo ob kršitvi pravic, lahko izgubi. Vse navedeno je izrecno poudarjeno v Sporočilu Komisije Evropskemu parlamentu in Svetu (Okrepljeno varstvo, nove priložnosti – navodila Komisije o neposredni uporabi splošne uredbe o varstvu podatkov od 25. maja 2018). Iz tega Sporočila izhaja, da morajo pri prilagajanju nacionalne zakonodaje države članice upoštevati dejstvo, da so vsi nacionalni ukrepi, ki bi ustvarili ovire za neposredno uporabo uredbe in ogrozili njeno hkratno in enotno uporabo v celotni Evropski uniji, v nasprotju s pravom Evropske unije. Razlaga uredbe je prepuščena evropskim sodiščem (nacionalnim sodiščem in nazadnje Sodišču Evropske unije) in ne zakonodajalcem držav članic. Nacionalni zakonodajalec zato ne sme niti kopirati besedila uredbe, če to ni potrebno glede na merila, določena v sodni praksi, niti ga razlagati ali dodajati dodatne pogoje pravilom, ki se neposredno uporabljajo na podlagi uredbe. Če bi to storili, bi bili izvajalci v celotni Uniji ponovno soočeni z razdrobljenostjo in ne bi vedeli, katera pravila morajo spoštovati. V pripombah k posameznim členom je večkrat navedeno, da je treba predlagano ureditev ponovno preveriti, soočiti oziroma preizkusiti z vidika neposredno uporabnih določb Splošne uredbe, da ureditev ne bo povzemala njenih določb oziroma jih dopolnjevala tudi takrat, ko države članice za to nimajo izrecnega pooblastila v Splošni uredbi.
.
K 3. členu:
Pomen določbe tretjega odstavka, ki določa subsidiarno uporabo določb tega zakona za obdelave osebnih podatkov, ki jih Splošna uredba ne ureja, je treba ponovno preveriti. Subsidiarne uporabe tega zakona v razmerju do Splošne uredbe ni mogoče določiti, če Splošna uredba določenih vprašanj oziroma področij obdelave osebnih podatkov sploh ne ureja. V teh primerih bi ta Predlog zakona lahko zavezoval neposredno, ne pa subsidiarno v razmerju do Splošne uredbe. Obrazložitev razlaga pomen v razmerju do področnih zakonov, in sicer, da lahko področni zakoni še vedno varstvo podatkov na svojem področju uredijo drugače, vendar ne v nasprotju s Splošno uredbo. Ta obrazložitev ni skladna z zapisom določbe, če se izhaja iz premise, da je Predlog zakona sistemski zakon za varstvo osebnih podatkov in da morajo področni zakoni glede varstva osebnih podatkov slediti sistemskemu zakonu, morebitni odstopi od sistemske ureditve pa morajo biti posebej obrazloženi in utemeljeni, da ne kršijo celovitosti in konsistentnosti pravnega reda. Če želi predlagatelj določiti subsidiarno uporabo tega Predloga zakona v razmerju do področnih zakonov, je treba določbo spremeniti.
K 5. členu:
Opredelitvi javnega in zasebnega sektorja v 3. in 4. točki drugega odstavka je treba ponovno preveriti. V javni sektor so namreč vključeni tudi zasebni vrtci in zasebne osnovne ter srednje šole, ki izvajajo javno veljavne vzgojno-izobraževalne programe, s čimer opredelitev javnega sektorja odstopa od opredelitev v drugih zakonih. V zasebni sektor sodijo po drugi strani nekateri nosilci javnih pooblastil, pri čemer je opredelitev v razmerju do javnega sektorja nejasna, ker ne izvzema tistega dela, v katerem se javna pooblastila izvršujejo.
.
K 6. členu:
Določbe tega člena urejajo podrobnejše podlage za obdelavo osebnih podatkov in temeljijo na 6. in 9. členu Splošne uredbe. Upoštevaje ureditev iz Splošne uredbe bi bilo treba v tem členu določiti, kaj predstavlja zakonsko obveznost po c) točki in kaj opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu po e) točki prvega odstavka 6. člena Splošne uredbe, pri tem pa upoštevati Ustavo ter drugi in tretji odstavek 6. člena Splošne uredbe. V skladu z b) točko tretjega odstavka je podlaga za obdelavo iz točk c) in e) prvega odstavka 6. člena Splošne uredbe pravo države članice, ki velja za upravljavca. V skladu z 38. členom Ustave in ustaljeno ustavnosodno presojo Ustavnega sodišča je v obeh primerih pravna podlaga za obdelavo osebnih podatkov v Republiki Sloveniji zakon. Glede na navedeno se zastavlja vprašanje, zakaj je določba drugega odstavka zasnovana na določanju pogojev za zakonitost obdelave osebnih podatkov. Vprašanje zakonitosti obdelave osebnih podatkov se nanaša na to, ali obdelava osebnih podatkov poteka v skladu z zakonom, pri čemer lahko obdelave določa ta Predlog zakona in tudi drug zakon. Gre torej za vprašanje izvajanja zakona, ki ureja obdelavo osebnih podatkov. Zakonitost obdelave se preverja v nadzoru nad izvajanjem zakona, ki ureja obdelavo osebnih podatkov. Preko določanja zakonitosti obdelave osebnih podatkov, urejenega v drugem zakonu, ni mogoče rešiti razmerja Predloga zakona, ki naj bi na sistemski ravni urejal varstvo osebnih podatkov, do drugih zakonov, ki urejajo obdelavo osebnih podatkov. Upoštevaje drugi in tretji odstavek 6. člena Splošne uredbe lahko pravo države članice, v tem primeru torej zakon, vsebuje podrobnejše in posebne določbe, da se podrobneje opredelijo posebne zahteve v zvezi z obdelavo ter določijo drugi ukrepi za zagotovitev zakonite in poštene obdelave. To pomeni, da je treba določiti, da se lahko v pravnem redu uredi obdelava osebnih podatkov po c) in e) točki prvega odstavka 6. člena Splošne uredbe samo z zakonom, pri tem pa se lahko določi, kaj mora tak zakon urejati, v skladu z drugim in tretjim odstavkom 6. člena Splošne uredbe in 38. členom Ustave. Na tak način je npr. oblikovana določba drugega odstavka 10. člena Predloga zakona.
.
Glede na podano obrazložitev bi bilo treba razmerje med prvim in drugim stavkom petega odstavka nedvoumno določiti, saj ni jasno, ali so vsi izjemni primeri za obdelavo osebnih podatkov taksativno našteti v drugem stavku oziroma ali prvi stavek dopušča, da se obdelava osebnih podatkov izjemoma dopušča tudi za druge namene.
.
K 9. členu:
V četrtem odstavku je treba preveriti ustreznost določbe, ki omogoča izjeme v zakonu, torej tudi v tem in ne le v drugem zakonu.
.
K 10. členu:
Upoštevaje prepoved povezovanja zbirk osebnih podatkov iz kazenske evidence in prekrškovnih evidenc z drugimi zbirkami osebnih podatkov ter prepoved povezovanja zbirk osebnih podatkov iz kazenske evidence in prekrškovne evidence, določeno v 85. členu ZVOP-1, je treba pojasniti razloge, zaradi katerih se po predlagani določbi povezovanje dovoljuje, in sicer kljub temu, da se podatki o vpisu ali izbrisu iz obeh evidenc obravnavajo kot posebne vrste osebnih podatkov. Zlasti je treba pojasniti določbo tretjega odstavka, ki omogoča povezovanje samo z uporabo EMŠO, čeprav pridobivanje podatkov iz kazenske in prekrškovne evidence samo z uporabo EMŠO po prvem odstavku 41. člena Predloga zakona ni dovoljeno.
.
K 13. členu:
Iz 12. člena Predloga zakona izhaja, da se v tem poglavju ureja postopek za uveljavljanje pravic iz 15. do 22. člena Splošne uredbe. Zaradi tega ni jasen prvi odstavek, ki ureja postopek ne le za uveljavljanje pravice iz 15. do 22. člena Splošne uredbe, ampak tudi tega ali drugega zakona. Pravice, ki naj bi jih dajal ta ali drug zakon, bi bilo treba ustrezno opredeliti. V nasprotnem primeru posameznik ne bo mogel razbrati svojega pravnega položaja, in sicer, za katere pravice tega ali drugega zakona se uporablja postopek, urejen v tej določbi.
.
Za upravljavce, ki so državni organi ali organi samoupravnih lokalnih skupnosti, se določa smiselna uporaba zakona, ki ureja splošni upravni postopek (v nadaljevanju ZUP). Opozoriti je treba, da se v teh postopkih odloči o pravici posameznika in da gre pri tem za organe, ki praviloma izvajajo upravne postopke kot del svoje temeljne funkcije, zato v tem primeru ni dopustno določati smiselne uporabe ZUP. Smiselna uporaba je urejena v 4. členu ZUP in je namenjena uporabi v drugih javnopravnih stvareh, ki nimajo značaja upravne zadeve po 2. členu ZUP. Ta določba bi lahko posegla v enako varstvo pravic, varovan v okviru 22. člena Ustave, zato jo je treba ponovno pretehtati, vključno z nadaljnjo ureditvijo, ki v primeru ugoditve ne predvideva odločitve z odločbo. Posebej je treba obrazložiti specifičnosti, ki utemeljujejo sorazmernost posega v to človekovo pravico.
.
V drugem odstavku se pravica do pritožbe veže na 29. člen tega zakona, ki ureja prijavo t.i. prijavitelja s posebnim položajem, zato iz predlagane ureditve ni razvidno, ali mora posameznik vložiti pritožbo ali prijavo. V zvezi s tem je v desetem odstavku 27. in sedmem odstavku 28. člena določeno, da se uporabljajo nadzorna pooblastila in nadzorni ukrepi, zato bi bilo treba pojasniti, ali gre za pritožbo, ki jo nadzorni organ rešuje po ZUP ali na podlagi prijave prijavitelja s posebnim položajem.
.
K 14. členu:
Enako kot v pripombi k 13. členu Predloga zakona je treba opozoriti, da določba ni jasna v delu, v katerem naj bi urejala postopek ne le za uveljavljanje pravice iz 15. do 22. člena Splošne uredbe, ampak tudi tega ali drugega zakona. Pravice, ki naj bi jih dajal ta ali drug zakon, bi bilo treba ustrezno opredeliti. V nasprotnem primeru posameznik ne bo mogel razbrati svojega pravnega položaja, in sicer, za katere pravice tega ali drugega zakona se uporablja postopek, urejen v tej določbi. Ponoviti je treba tudi pripombo k drugemu odstavku 13. člena Predloga zakona.
.
Sicer pa je treba določbo zapisati bolj jedrnato, poenotiti dikcijo z 12. členom Predloga zakona (uveljavljanje pravic ali zahtev) in opustiti nepotrebne in nejasne dele, v katerih je spregledano, da so pravice iz 15. do 22. člena Splošne uredbe raznovrstne in niso omejene le na seznanitev z osebnimi podatki, ki se nanašajo na posameznika.
.
K 16. členu:
Iz obrazložitve člena izhaja, da predlagani prvi odstavek povzema ureditev iz 12. člena Splošne uredbe, ki določa brezplačnost sporočil in ukrepov, sprejetih na podlagi 15. do 22. člena Splošne uredbe. Enako velja za drugi, četrti in peti odstavek, ki povzemajo ureditev iz petega odstavka 12. člena Splošne uredbe in tretjega odstavka 12. člena Splošne uredbe oziroma jo dopolnjujejo. Poleg tega, podobno kot je bilo obrazloženo v pripombi k 13. in 14. členu Predloga zakona, ni jasno razvidno, na katere pravice iz tega ali drugega zakona se določbe nanašajo. V tem členu je dopustno urediti samo tista vprašanja, ki v Splošni uredbi niso urejena ali niso urejena celovito in ustrezno prilagoditi naslov člena. Predlagatelj bi moral pojasniti, na podlagi katerih določb Splošne uredbe je predlagana ureditev iz tretjega odstavka, ki daje posebno podlago za zavrnitev zahteve kot pretirane. Prav tako je treba preučiti pomen določbe sedmega odstavka glede na to, da peti odstavek 12. člen Splošne uredbe celovito ureja, da se vsa sporočila in ukrepi, sprejeti na podlagi 15. do 22. Splošne uredbe, zagotovijo brezplačno in ne dopušča možnosti zaračunavanja drugih stroškov.
.
K 17. členu:
Normativno vrednost prvega odstavka je treba soočiti s 23. členom Splošne uredbe, ki se nanaša na vsak zakonodajni ukrep, ki ureja obdelavo osebnih podatkov in s tem na vsak zakon po pravnem redu Republike Slovenije.
.
Drugi odstavek ni razumljiv, saj se sklicuje na prejšnji odstavek, ta pa se nanaša le na pravice posameznika, ne pa na obveznosti in naloge upravljavcev.
.
K 18. členu:
V prvem odstavku bi bilo treba opredeliti, na katere pravice ali druge zahtevke posameznikov se predlagana ureditev nanaša in jih vezati na izvajanje 72. do 74. člena tega zakona, ne na področja iz teh členov.
.
Zastavlja se vprašanje normativne vrednosti drugega odstavka, ker gre za materijo, ki je posebej urejena v drugih zakonih, vprašanje razmerja med tem zakonom in določbami drugih zakonov pa kljub tej določbi ostaja nerešeno. Poleg tega ni jasno, kaj je mišljeno s pravicami zasebnosti v zvezi s področji iz 72. do 74. člena tega zakona.
.
Sklic na določene člene drugega zakona, kot je uporabljen v petem odstavku, ni mogoč, če je uporabljeno t.i. drseče sklicevanje na zakon. V tem primeru je treba določiti vsebino členov, ki se urejajo v drugem zakonu.
.
K 19. členu:
Določbo tega člena je treba uskladiti s spremembami, ki jih je uvedel Družinski zakonik. Slednji je namreč ukinil institut odvzema poslovne sposobnosti in ga nadomestil z institutom postavitve pod skrbništvo.
.
K 20. členu:
V prvem odstavku je zavarovanje osebnih podatkov, ki so predmet postopka, vezano le na prejem zahteve po tem zakonu, tako da v to ureditev ni zajeto uveljavljanje pravic z 15. do 22. člena Splošne uredbe.
.
Iz drugega odstavka ni jasno razvidno, ali določa upoštevanje določb zakona, ki ureja tajne podatke tudi v primerih, ko ne gre za osebne podatke, ki bi bili označeni kot tajni podatki.
.
K 21. členu:
V drugem odstavku je določeno, da mora dnevnik obdelav vsebovati popis le za dejanji vpogleda in razkritja, ne pa za vsako dejanje obdelave, kot izhaja iz obrazložitve in prvega odstavka tega člena.
.
K 22. členu:
Našteti zakoni iz 1. točke prvega odstavka se ne ujemajo v celoti z naštevanjem zbirk, ki naj bi jih ti zakoni urejali, v obrazložitvi člena, zato je treba preveriti, katere vrste zbirk so s tem zajete (obdelave osebnih podatkov po zakonih, ki urejajo področja upravnih notranjih zadev, niso le centralni register prebivalstva in prijave prebivališča).
.
V prvem odstavku je v zvezi z obdelavami osebnih podatkov v informacijskih sistemih, ki izpolnjujejo pogoje po prvem odstavku, določena smiselna uporaba določb o varnostnih zahtevah in priglasitvi incidentov iz zakona, ki ureja informacijsko varnost. Opozoriti je treba, da Zakon o informacijski varnosti (v nadaljevanju: ZInfV) razlikuje med tremi kategorijami zavezancev, in sicer med izvajalci bistvenih storitev, ponudniki digitalnih storitev in organi državne uprave, ki upravljajo z informacijskimi sistemi in deli omrežja oziroma izvajajo informacijske storitve, nujne za nemoteno delovanje države ali za zagotavljanje nacionalne varnosti. Za vsako kategorijo zavezanca ZInfV določa varnostne zahteve in priglasitev incidentov. Iz obrazložitve je razvidno, da je namen določbe določiti posebno varovanje zbirk osebnih podatkov, ki vsebujejo podatke o velikem številu posameznikov. Smiselna uporaba pomeni uporabo, prilagojeno posebnostim posameznega področja tako, da je dosežen namen ureditve, zato bi bilo treba določbo zapisati tako, da bi omogočala prepoznavo namena. Predlagana ureditev ne daje dovolj jasne podlage, da bi lahko upravljavci zbirk iz prvega odstavka tega člena prepoznali svoje obveznosti; tako ni jasno, ali pomeni smiselna uporaba sočasno uporabo vseh določb o varnostnih zahtevah in priglasitvi incidentov ali pa ti upravljavci sodijo v katero od kategorij zavezancev po ZInfV. Poleg tega so med izvajalci bistvenih storitev že zajeti subjekti, ki delujejo na področju zdravstva (drugi odstavek 5. člena ZInfV), zato je opredelitev iz 1. točke, ki se nanaša na zakon, ki ureja obvezno zdravstveno zavarovanje, v tem delu ožja od opredelitve zavezancev po ZInfV, določitev smiselne uporabe po ZInfV pa nejasnosti v razmerju do ZInfV še poglablja.
.
Glede na to, da ZInfV določa tudi varnostne ukrepe za posamezne kategorije zavezancev, se zastavlja vprašanje, v kakšnem razmerju je zapoved iz drugega odstavka v razmerju do varnostnih ukrepov po ZInfV.
.
K 23. členu:
Upoštevaje ureditev iz Splošne uredbe, po kateri se predhodno posvetovanje uvede, če tako izhaja iz ocene učinka, se zastavlja vprašanje, kakšna je normativna vrednost prvega odstavka. Podobna pripomba se nanaša na drugi odstavek, iz katerega izhaja, da je predhodno posvetovanje v primerih t.i. posebnih obdelav iz 22. člena Predloga zakona obvezno. Poleg tega ni jasno, zakaj se določba sklicuje na okoliščine iz tretjega odstavka, ki določajo, kdaj je treba izdelati ponovno oceno učinka.
.
Prav tako ni povsem jasno, ali se nanaša tretji odstavek na vse primere obdelav osebnih podatkov ali samo na t.i. posebne obdelave. Opozoriti je treba na enajsti odstavek 35. člena Splošne uredbe, ki v zvezi s tem določa, da upravljavec po potrebi opravi pregled, da bi ocenil, ali obdelava poteka v skladu z oceno učinka v zvezi z varstvom podatkov vsaj takrat, ko se spremeni tveganje, ki ga predstavljajo dejanja obdelave.
.
V petem odstavku je določena obveznost predlagatelja v zvezi s predlogi zakonov, ki določajo obdelavo osebnih podatkov. Nujnost oprave ocene učinka se veže na 35. člen Splošne uredbe, medtem ko nadaljnja ureditev predvideva mnenje nadzornega organa, glede katerega se mora predlagatelj zakona opredeliti. V tem delu predlagana ureditev odstopa od četrtega odstavka 36. člena Splošne uredbe, ki zahteva od držav članic le, da se med pripravo predloga zakonodajnega ukrepa, ki ga sprejme nacionalni parlament, posvetujejo z zakonodajnim organom, in sicer tudi takrat, ko ocene učinka v skladu s 35. členom Splošne uredbe ni treba opraviti.
.
K 25. členu:
V prvem odstavku je med razlogi, ki pri postopkovnih dejanjih omejuje prisotnost posameznika, na katerega se nanašajo osebni podatki, tudi varstvo tajnih podatkov. V tem delu ureditev odstopa od ureditve po 29. členu Zakona o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (v nadaljevanju ZVOPOKD). Ureditev po oceni ZPS predstavlja poseg v pravico biti slišan, ki je sestavni del pravice do enakega varstva pravic (22. člen Ustave), zato je poseg vanjo dopusten pod pogoji iz tretjega odstavka 15. člena in 2. člena Ustave. Zakonodajalec mora slediti ustavno dopustnemu cilju, če je ta podan, pa mora zagotoviti še, da je omejitev skladna z načeli pravne države, in sicer s tistim izmed teh načel, ki prepoveduje prekomerne posege države (splošno načelo sorazmernosti). V tem delu, ki se nanaša na varstvo tajnih podatkov, bi bilo treba posebno pozornost posvetiti zlasti tistemu delu strogega testa sorazmernosti, po katerem je treba obrazložiti, ali je poseg nujen in primeren za dosego ustavno dopustnega cilja. Pri tem je treba upoštevati celotno ureditev, po kateri se sklep o izvajanju postopkovnih dejanj brez prisotnosti razteza na vsa druga, torej procesna dejanja v postopku, čeprav iz prvega stavka izhaja, da je lahko prisotnost izključena v celoti ali deloma in da se posameznika ne seznanja z vsebino dejanj. Tudi v tem delu določba odstopa od primerljive ureditve v 29. členu ZVOPOKD, zato jo je treba dodatno preizkusiti (pomenska razlika med predlagano določbo, da se posameznika ne obvešča o procesnih dejanjih in med določbo, da se ne vroča zapisnikov o dejanjih, na katerih ni bila dovoljena prisotnost posameznika).
.
Po drugem odstavku o opravljanju procesnih dejanj brez prisotnosti posameznika, na katerega se nanašajo osebni podatki, v zadevah s področja varnosti države ni izdan sklep, s katerim bi nadzorni organ svojo odločitev utemeljil in preizkusil nujnost, primernost in sorazmernost odločitve v konkretnem primeru. Tudi v tem delu ta določba odstopa od primerljive ureditve v 29. členu ZVOPOKD, zato jo je treba dodatno preizkusiti.
.
K 27. členu:
Opozoriti je treba, da v četrtem odstavku pri opredelitvi verjetnosti in v prvem stavku petega odstavka ni upoštevano, da se odredba sodnika lahko nanaša tudi na pregled tiste poslovne korespondence, ki bi posegla v upravičeno pričakovano zasebnost posameznika.
.
Določbe osmega do desetega odstavka so neobrazložene, zato jih je treba dodatno pojasniti. Nadzorni organ po ZVOP-2 ima vsa pooblastila po 58. členu Splošne uredbe že po sami Splošni uredbi; posebnosti preiskovalnih pooblastil po f) točki prvega odstavka 58. člena Splošne uredbe, ki se urejajo v tem členu kot nadzorna pooblastila, pa izhajajo iz določbe citirane točke, po kateri se pri pridobitvi dostopa do prostorov, vključno z vso opremo in sredstvi za obdelavo podatkov, uporablja ne le pravo Evropske unije, ampak tudi postopkovno pravo države članice.
.
K 28. členu:
V petem odstavku predviden odlog nadzora, ki lahko skupaj traja 6 mesecev, je treba dodatno pojasniti. Zlasti je treba pojasniti drugačno ureditev v primerjavi z ureditvijo po ZVOPOKD, po katerem nadzorovani organ ne more sam odločiti o tem, da bo nadzor odložen, ampak o zakonsko navedenih razlogih, ki zahtevajo odlog, obvesti nadzorni organ. Odločitev o odlogu nadzora torej ni izključno v presoji nadzorovanega predstojnika upravljavca. Upoštevati je treba tudi, da ta deluje na področju obveščevalno-varnostnega ali protiobveščevalnega delovanja države, ki zahteva strog nadzor zaradi potencialno velikih možnosti za posege v pravico do varstva osebnih podatkov.
.
K 29. členu:
Določbo tretjega odstavka bi bilo treba ponovno pretehtati. Namen, ki ga zasleduje (zmanjšati tveganje nenamernega razkritja podatkov, na katere se prijava nanaša), je namreč tudi namen drugih določb Predloga zakona (npr. šesti odstavek 11., tretji odstavek 15. člena, 25. člen Predloga zakona) in se zato njihova nujnost in smiselnost postavi pod vprašaj.
.
K 36. členu:
V določbi drugega odstavka ni vključena posebna ureditev glede Varuha človekovih pravic, določena v četrtem odstavku 62. člena Predloga zakona. Subjekte, ki lahko dajo pobudo ali predlagajo inšpekcijski nadzor, bi kazalo zaradi preglednosti urediti samo v tem členu.
.
K 37. členu:
Določbo drugega odstavka, ki se nanaša na vsebino letnega poročila, bi bilo zaradi preglednosti zakonske ureditve bolje umestiti v 61. člen Predloga zakona, ki ureja letno poročilo nadzornega organa.
K 38. členu:
Prvi odstavek ureja posredovanje osebnih podatkov od oseb javnega sektorja. Zastavlja se vprašanje, ali za posredovanje osebnih podatkov s strani oseb javnega sektorja ni treba vložiti zahteve iz prvega odstavka 40. člena Predloga zakona. V prvem odstavku 39. člena Predloga zakona, ki ureja posredovanje osebnih podatkov s strani oseb zasebnega sektorja, je to izrecno določeno.
.
V četrtem odstavku je treba preveriti tisti del določbe, ki pri odločanju v konkretnem primeru izrecno zahteva, da se poleg izkazanega zakonitega interesa za uveljavljanje pravic pred osebami javnega sektorja posreduje osebne podatke, kolikor so glede na konkretne okoliščine zadeve potrebni. Če je za posredovanje zahtevan zakonit interes in je ta izkazan, ni mogoče še dodatno presojati, ali so osebni podatki glede na konkretne okoliščine zadeve potrebni, saj je ta presoja sestavni del presoje, da je zakonit interes v konkretnem primeru izkazan.
K 39. členu:
Za posredovanje osebnih podatkov od oseb zasebnega sektorja se zahteva veljavna pravna podlaga, pri tem pa ni tako kot v prejšnjem členu določeno, da mora obstajati ena od pravnih podlag iz 6. člena Predloga zakona. Beseda »veljavna« je v normativnem smislu odveč. Preveriti je treba tudi, po katerih merilih se bo presojala utemeljenost zahteve in to ureditev primerjati z ureditvijo po prejšnjem členu, kjer ni predvidena niti vložitev zahteve niti presoja utemeljenosti. Različna ureditev postopkov brez utemeljenega razloga lahko privede do kršitve enakega varstva pravic (22. člen Ustave).
.
K 40. členu:
V drugem odstavku je treba upoštevati, da ureja določitev roka za posredovanje podatkov, zato lahko drug zakon določa drugačen rok in ne drugačnega načina posredovanja osebnih podatkov.
.
V petem odstavku je treba preveriti, ali je s pravico do pregledovanja in pridobivanja podatkov iz spisov mišljena pravica do pregleda in prepisa spisa. Pri tem sicer ni jasno, v katerih »drugih« spisih poleg sodnih in upravnih spisov je ta pravica dana.
.
Drugačno ureditev od določbe prvega, drugega, šestega in sedmega odstavka lahko ureja samo drug zakon in ne le zakon glede na njegovo opredelitev v 7. točki drugega odstavka 5. člena Predloga zakona.
.
Vsebina desetega odstavka je zajeta že v šestem odstavku 38. člena Predloga zakona. Če se posredovanje osebnih podatkov s področja varnosti države ureja v zakonih, ki urejajo izvajanje obveščevalnih in protiobveščevalnih nalog, ni treba posebej določati, da se ne uporablja ta člen, ki ureja postopek posredovanja.
.
K 41. členu:
V zvezi s prvim odstavkom se zastavlja vprašanje razmerja tega zakona do drugih zakonov, ki omogočajo pridobivanje osebnih podatkov iz zbirk osebnih podatkov s področja zdravstva, varnosti države, sodstva ter kazenskih in prekrškovnih evidenc z uporabo enega, in sicer povezovalnega znaka, določenega z zakonom. Sicer pa se zastavlja vprašanje, zakaj je prepoved iz prvega odstavka omejena le na povezovalni znak, določen z zakonom, saj je tveganje za varstvo osebnih podatkov prisotno, četudi je pridobivanje iz teh zbirk omogočeno s katerim drugim povezovalnim znakom (prim. z opredelitvijo povezovalnega znaka v 5. točki drugega odstavka 5. člena Predloga zakona).
.
Ker je tretji odstavek izjema od prvega, bi bilo treba to izrecno nakazati z uporabo tipične besedne zveze, ki izjemo zaznamuje (»ne glede na«).
.
Vsebino četrtega odstavka je treba ponovno preveriti, saj sta pridobivanje in povezovanje dve različni vrsti obdelave osebnih podatkov, zato je samoumevno, da se določba, ki ureja pridobivanje, ne uporablja za povezovanje. Povezovanje kazenskih in prekrškovnih evidenc je določeno že v tretjem odstavku 10. člena Predloga zakona. V drugem stavku pa je samo povzeta veljavna ureditev, katere sedež je v drugih zakonih, zato nima normativne vrednosti (poleg tega pa lahko izjemo od te določbe ureja samo drug zakon in ne le zakon glede na njegovo opredelitev v 7. točki drugega odstavka 5. člena Predloga zakona).
.
.K 42. členu:
Drugačno ureditev od prvega in tretjega odstavka lahko določa samo drug zakon in ne le zakon glede na njegovo opredelitev v 7. točki drugega odstavka 5. člena Predloga zakona.
.
K 44. členu:
Pojasniti je treba, zakaj seznam pooblaščenih oseb (in namestnikov) ni dostopen javnosti, medtem ko so njihovi kontaktni podatki objavljeni.
.
K 45. členu:
Določbo 2. točke prvega odstavka je treba ponovno soočiti s petim odstavkom 37. člena Splošne uredbe, ki določa pogoje za imenovanje pooblaščene osebe.
.
V zvezi s 3. točko prvega odstavka je treba opozoriti, da kaznivo dejanje zlorabe osebnih podatkov zajema tudi prevzem identitete druge osebe (četrti odstavek 143. člena Kazenskega zakonika), obenem pa v tej točki niso izrecne omenjene druge (kvalificirane) oblike tega kaznivega dejanja, kar bi lahko povzročilo dvom o tem, ali so zajete.
.
Zahtevo po zaposlenosti pooblaščene osebe državnega organa v javnem sektorju iz drugega odstavka je treba ponovno soočiti s šestim odstavkom 37. člena Splošne uredbe, ki dopušča, da je pooblaščena oseba za varstvo podatkov lahko član osebja upravljavca ali obdelovalca ali pa naloge opravlja na podlagi pogodbe o storitvah. Obrazložitev se sklicuje na drugi in tretji odstavek 6. člena Splošne uredbe, vendar po oceni ZPS ta podlaga ne dopušča podrobnejšega oziroma drugačnega urejanja tega vprašanja v tem Predlogu zakona. Smiselno enaka pripomba je potrebna tudi k tretjemu in petemu odstavku 48. člena Predloga zakona.
.
Peti odstavek je treba jezikovno izboljšati, ker v predlaganem zapisu nasprotje interesov ni jasno opredeljeno in jo zapisati v edninski obliki, ki je običajna za jezikovno izražanje v zakonu (npr. »Za pooblaščeno osebo ali njenega namestnika ne sme biti določena oseba, ki je v nasprotju interesov z upravljavcem in obdelovalcem ali je njeno delo pooblaščene osebe v nasprotju z njenimi drugimi nalogami ali s položajem pri upravljavcu in obdelovalcu.«).
.
V šestem odstavku bi bilo treba nasprotje interesov vezati s sklicem na prejšnji odstavek in opustiti stavek, da ta odstavek velja tudi za namestnika pooblaščene osebe, ker to izhaja že iz prejšnjih odstavkov tega člena. Poleg tega pa je treba opozoriti na vsebinsko skladnost s petim odstavkom in na nejasno določbo v delu, ki se nanaša na razrešitev pooblaščene osebe opravljanja določene naloge kot pooblaščene osebe.
.
K 46. členu:
V zvezi s prvim odstavkom je treba pojasniti, kako se bo upoštevala organizacijska struktura in velikost (upravljavca ali obdelovalca) pri določitvi skupne pooblaščene osebe.
.
V petem odstavku je treba določbo dopolniti, da se bo nanašala na obdelavo osebnih podatkov članov sindikata in ne osebnih podatkov sindikata kot takega.
.
K 47. členu:
Glede na to, da je minimalen nabor nalog, ki jih opravlja pooblaščena oseba, določen v 39. členu Splošne uredbe, je prvi odstavek, ki med vsemi nalogami izpostavlja zgolj svetovanje, neustrezen.
.
K 48. členu:
Iz četrtega odstavka izhaja, da bo predstojnik organa s področja varnosti države sam odločil, katere naloge iz 39. člena Splošne uredbe bo opravljala pooblaščena oseba. To bi bilo po oceni ZPS v nasprotju s prvim odstavkom 39. člena Splošne uredbe, ki določa minimalen nabor nalog pooblaščene osebe.
.
K 50. členu:
Ureditev iz tega člena večinoma predstavlja necelovit zapis vsebine, ki je določena že v 40. členu Splošne uredbe, in sicer tako glede vsebine kodeksov ravnanja, kot tudi glede postopka njihovega sprejema. Prvi in drugi odstavek sta tako povzeta po prvem in petem odstavku 40. člena Splošne uredbe. Peti odstavek je povzet po tretjem odstavku 40. člena Splošne uredbe. Šesti odstavek spreminja ureditev po šestem in sedmem odstavku 40. člena Splošne uredbe, ker določa, da nadzorni organ najprej ugotovi, ali je osnutek kodeksa skladen s Splošno uredbo, potem pa šele preveri, ali se nanaša na dejavnosti obdelave v več državah članicah. Splošna uredba v zvezi s tem določa, da nadzorni organ v tem primeru osnutek kodeksa predloži v postopek iz 63. člena Splošne uredbe Evropskemu odboru za varstvo osebnih podatkov (v nadaljevanju Odbor). Ureditev bi bilo treba zapisati tako, da ne bi povzemala vsebine Splošne uredbe, ampak bi določala samo tisto, kar v Splošni uredbi ni izrecno urejeno (npr. odločitev nadzornega organa, če osnutek kodeksa ni skladen s Splošno uredbo in zato njegovo potrditev zavrne; ravnanje nadzornega organa, če Odbor poda mnenje, da osnutek kodeksa, njegova sprememba ali razširitev nista skladna s Splošno uredbo).
.
K 51. členu:
V 42. členu Splošne uredbe je postopek certificiranja že izčrpno urejen, zato je treba iz člena izločiti tiste dele, ki pomenijo njihov prepis oziroma povzemanje. Da je postopek potrjevanja prostovoljen, je tako npr. določeno že v tretjem odstavku 42. člena Splošne uredbe; prav tako je v tem členu določeno, da se na koncu tega postopka izda certifikat. Pomen potrjevanja izhaja iz prvega, drugega in četrtega odstavka tega člena Splošne uredbe. Že zato ni mogoče potrjevanja opredeliti »za potrebe tega zakona«, kot je to določeno v prvem odstavku. Poleg tega ne gre za ugotavljanje, ali so dejanja obdelave skladna z merili iz določenega mehanizma potrjevanja, kot je določeno v prvem odstavku, ker se certifikat izda na podlagi meril, ki jih odobri nadzorni organ ali Odbor (peti odstavek 42. člena Splošne uredbe), pojem »mehanizma certificiranja« pa Splošna uredba uporablja v zvezi s postopkom certificiranja. Tretji odstavek tega člena je že zajet v četrtem odstavku 42. člena Splošne uredbe.
K 52. členu:
Drugi stavek prvega odstavka je treba ponovno preveriti, ker je v tretjem odstavku 43. člena Splošne uredbe že določeno, kdo določi zahteve za akreditacijo telesa za certificiranje, in sicer je to poleg nadzornega organa lahko tudi Odbor.
.
V drugem odstavku je urejena pritožba v skladu z zakonom, ki ureja akreditacijo, zato je treba opozoriti, da Zakon o akreditaciji ne ureja pritožbe ali druge oblike pravnega varstva in tudi ne določa pritožbenega organa.
.
K 54. členu:
V obrazložitvi člena je navedeno, da so v tem členu določene pristojnosti Informacijskega pooblaščenca poleg nalog, ki so že določene v 57. členu Splošne uredbe. Pregled nalog nadzornih organov, določen v 57. členu Splošne uredbe, pa pokaže, da se veliko nalog iz prvega odstavka podvaja z nalogami iz Splošne uredbe. Tako je npr. pristojnost iz 3. točke določena v c) točki, naloga iz 4. točke vsaj v nalogi iz l) točke, nalogi iz 6. in 7. točke v b) točki, naloga iz 8. točke pa v g) točki prvega odstavka 57. člena Splošne uredbe. Naloga iz 12. točke prvega odstavka se podvaja z vsebino 17. točke, saj je obveznost priprave letnega poročila izrecno urejena v 61. členu Predloga zakona. Nalogo iz 14. točke je treba preveriti, saj ni jasno, kako naj bi nadzorni organ izvajal nadzor, obenem pa sodeloval z upravljavci in obdelovalci. Naloga iz 15. točke je v delu, ki se nanaša na vložitev pritožbe posameznika, določena že v drugem odstavku 57. člena Splošne uredbe. Prav tako je treba preveriti vsebino tistih nalog, ki so že določene v drugih členih Splošne uredbe (npr. sodelovanje Odbora, ki je urejeno v tretjem odstavku 68. člena Splošne uredbe).
.
Pristojnosti iz 8., 9., 10. in 11. točke prvega odstavka se podvajajo z določbami 57. člena Predloga zakona, zato je treba te določbe uskladiti.
.
Drugi odstavek se delno podvaja s tretjim odstavkom 57. člena Splošne uredbe. Tudi v tistem delu, v katerem se ne, pa je po oceni ZPS nepotrebno določati, da je izvajanje nalog in pristojnosti državnega organa brezplačno, ker je to samoumevno (gre za izvajanje oblastnih pristojnosti in ne za zaračunavanje storitev, ki bi se smele izvajati na trgu).
.
K 56. členu:
Glede na to, da tretji odstavek 55. člena Splošne uredbe določa, da nadzorni organi niso pristojni za nadzor dejanj obdelave sodišč, kadar delujejo kot sodni organ, bi bilo treba določiti le, pri katerih dejanjih obdelave sodišča delujejo kot sodni organ, ne pa ponoviti in s tem dopolniti to določbo Splošne uredbe. Pri tem bi bilo treba izhajati iz opredelitve zadeve sodišča, določene v 6. točki drugega odstavka 5. člena Predloga zakona.
Glede na omejitev iz predlagane 3. točke četrtega odstavka, ki ščiti identitete pobudnikov v postopkih pred Varuhom človekovih pravic, se zastavlja vprašanje, ali je smiselna omejitev, da se lahko nadzor iz 36. člena tega zakona izvede le na zahtevo Varuha človekovih pravic.
K 58. členu:
Določba tega člena je po vsebini v celoti zajeta v določbi tretjega odstavka 54. člena Predloga zakona.
.
K 61. členu:
V določbo drugega odstavka bi kazalo vključiti tudi poročilo o nadzorih na področju posebnih obdelav iz 22. člena Predloga zakona (gl. tudi pripombo k 37. členu Predloga zakona).
.
K 63. členu:
Prvi odstavek sicer res sledi veljavni ureditvi iz 61. člena ZVOP-1, vendar je treba upoštevati, da v času sprejetja ZVOP-1 nadzorni organ ni bil samostojen državni organ, kot je Informacijski pooblaščenec po Zakonu o Informacijskem pooblaščencu. ZVOP-1 tudi ne ureja poročanja nadzornega organa v obliki letnih poročil. Zaradi tega je treba pretehtati, na kakšen drug način bo Državni zbor spremljal stanje na področju varstva osebnih podatkov in izvrševanje določb tega zakona kot preko letnega poročila nadzornega organa, urejenega v 61. členu Predloga zakona.
.
Prvi stavek drugega odstavka nima normativne vrednosti, ki bi terjala zakonsko ureditev, ker izraža način sodelovanja med različnimi organi. Nasprotno temu pa bi drugi stavek terjal nadgradnjo ureditve, iz katere bi bilo razvidno, kako ob upoštevanju varstva osebnih in tajnih podatkov nadzorni organ in Komisija za nadzor obveščevalnih in varnostnih služb ugotovita, v katerih primerih si lahko medsebojno posredujeta ugotovitve o obdelavah osebnih podatkov oziroma na podlagi katerih kriterijev bi se takšni nadzori izbrali.
.
K 64. členu:
Med prvim odstavkom tega člena in 65. členom Predloga zakona je vsebinsko neskladje. Prvi odstavek tega člena določa, da se prenosi osebnih podatkov iz Republike Slovenije v tretje države ali mednarodne organizacije izvajajo le po V. poglavju Splošne uredbe, 65. člen pa posebej ureja prenose osebnih podatkov zunaj področja prava Evropske unije, vključno s prenosi v tretje države ali mednarodne organizacije. Po tem členu se torej V. poglavje Splošne uredbe uporablja tudi za tiste prenose osebnih podatkov v tretje države in mednarodne organizacije, za katere se Splošna uredba ne uporablja. Splošna uredba se sicer ne uporablja za obdelavo osebnih podatkov v okviru dejavnosti zunaj področja uporabe prava Evropske unije (a) točka drugega odstavka 2. člena Splošne uredbe), Predlog zakona pa se bo (subsidiarno) uporabljal tudi za obdelave osebnih podatkov, ki jih Splošna uredba ne ureja (tretji odstavek 3. člena Predloga zakona). Zaradi tega je treba iz prvega odstavka izločiti osebne podatke oziroma njihove obdelave, ki so zunaj področja uporabe prava Evropske unije. Ti naj bi bili urejeni v tem, torej 10. poglavju Predloga zakona.
.
K 65. členu:
Za prenos osebnih podatkov zunaj področja uporabe prava Evropske unije sta določeni dve zakonski podlagi: določbe tega poglavja ali določbe zakona, ob smiselni uporabi določb V. poglavja Splošne uredbe. Prvo podlago bi bilo treba specificirati, ker vseh določb tega poglavja ni mogoče uporabiti v celoti (prim. tudi z začetkom prvega odstavka 66. člena: »Po določbah tega poglavja…«). Pri drugi podlagi pa je treba najprej preveriti, ali tovrstni prenos glede na opredelitev pojma »zakon« (7. točka drugega odstavka 5. člena Predloga zakona) res določa tudi ta zakon. Poleg tega pa je treba pojasniti, kako naj bi se smiselno uporabljale določbe V. poglavja Splošne uredbe, če bo prenos določal in s tem dopuščal drug zakon.
.
K 66. členu:
Ta člen ureja zgolj prenos osebnih podatkov iz prejšnjega člena, torej prenos osebnih podatkov zunaj področja uporabe prava Evropske unije. Kot izhaja iz prejšnjega člena, se ti lahko posredujejo v države članice Evropske unije, tretje države in mednarodne organizacije, v prvem odstavku pa je urejeno le posredovanje v tretjo državo ali mednarodno organizacijo. Da bo ureditev celovita, bi bilo treba prvi odstavek dopolniti z ureditvijo posredovanja teh osebnih podatkov v države članice Evropske unije. Sicer pa je treba v zvezi s prvim odstavkom še opozoriti, da so prenosi, za katere se uporabljajo ustrezni zaščitni ukrepi, določeni v 46., ne v 49. členu Splošne uredbe.
.
Določba drugega odstavka je zapisana tako, kot da bi se za prenose iz tega člena (torej osebnih podatkov iz 65. člena Predloga zakona) uporabljal 49. člen Splošne uredbe, kar ne drži.
.
V zadnjem stavku petega odstavka je sklic na nujne zakonite interese iz prejšnjega stavka očitno napačen, ker so ti urejeni v prvem stavku tega odstavka.
.
Določba sedmega odstavka ne sodi v ta člen, ker dopolnjuje prejšnjega. Izrecno namreč določa, da se za osebne podatke, ki jih obdelujejo subjekti javnega sektorja in so zunaj uporabe prava Evropske unije, za prenos ne uporabljajo določbe tega poglavja, ampak določbe (drugega) zakona.
K 67. členu:
V zvezi s tretjim odstavkom je treba opozoriti, da ni videti razloga, zaradi katerega ni uporabljena okrajšava »raziskovanje«, uvedena v prvem odstavku. Poleg tega se kot vrsta obdelave ureja dostop, ne pa pridobivanje osebnih podatkov, čeprav je v drugem odstavku 68. člena Predloga zakona urejen postopek pridobivanja. Določitev smiselne uporabe vseh določb 2. poglavja I. dela Predloga zakona bi bilo treba ponovno preveriti oziroma izločiti tiste določbe, ki glede na naravo stvari pri smiselni uporabi očitno ne pridejo v poštev (npr. 19. člen Predloga zakona).
.
K 68. členu:
V napovednem stavku drugega odstavka je treba namesto sklica uporabiti okrajšavo »raziskovanje«, uvedeno v prvem odstavku 67. člena Predloga zakona. Sklic v četrti točki je treba uskladiti oziroma specificirati na prvi odstavek prejšnjega člena, 6. točko pa je treba ponovno preveriti v delu, ki se nanaša na osebne podatke v obliki, ki ne zahteva identifikacije (verjetno so mišljeni osebni podatki v obliki, ki ne omogoča identifikacije). Pojasniti je treba tudi, zakaj sta v 2. točki uporabljena izraza »neposreden izvajalec raziskave« in »nosilec raziskave«, čeprav je v nadaljnjih odstavkih odgovornost za obdelavo za raziskovalne namene na izvajalcu raziskave.
.
V četrtem odstavku so navedeni zavrnilni razlogi. V zvezi s 1. točko, ki med drugim določa izpolnjenost pogojev iz drugega odstavka tega člena, je treba opozoriti, da zavrnitev posredovanja pomeni vsebinsko (meritorno) presojo utemeljenosti pridobitve osebnih podatkov za raziskovalne namene (ali so raziskovalna organizacija oziroma raziskovalci vezani na etična načela in metodologijo iz prvega odstavka prejšnjega člena). Do zavrnitve ne more priti, če v opis raziskave niso vključeni vsi zahtevani deli iz drugega odstavka tega člena.
.
Zavrnilni razlog iz 4. točke četrtega odstavka je treba ponovno preizkusiti, če se nanaša na primere, ko je pod pogoji iz 36. člena Splošne uredbe predvideno predhodno posvetovanje z nadzornim organom. V tem primeru ima namreč nadzorni organ možnost uporabiti svoja pooblastila in svetuje tudi glede ukrepov in zaščitnih ukrepov za zaščito pravic in svoboščin posameznikov, na katere se nanašajo osebni podatki.
.
V petem in šestem odstavku je treba preveriti pravilnost izraza, da lahko zakon določa drugače glede na opredelitev zakona v pojmovniku (7. točka drugega odstavka 5. člena Predloga zakona), po kateri je to lahko tudi ta zakon (Predlog zakona).
.
Drugi stavek šestega odstavka je treba uskladiti s prvim stavkom, po katerem uničenje osebnih podatkov ob zaključku raziskave ni vedno nujno in določiti, o čem izvajalec raziskave obvesti upravljavca v tem primeru.
.
V sedmem odstavku je treba pojasniti, v kateri določbi ta zakon določa, da lahko rezultati raziskave vsebujejo tudi osebne podatke. Zastavlja se tudi vprašanje, ali in kako lahko upravljavec vpliva na to, kako so objavljeni rezultati raziskave.
.
V osmem odstavku je treba, upoštevaje drugi odstavek 89. člena Splošne uredbe, določiti, katere pravice posamezniku ne pripadajo in ne obratno, saj posamezniku te pravice gredo po sistemski ureditvi iz Splošne uredbe in Predloga zakona. Sicer pa bi bilo treba odstopanja od teh pravic pojasniti po citirani določbi Splošne uredbe (kolikor je verjetno, da bi takšne pravice onemogočile ali resno ovirale doseganje posebnih namenov in kolikor so takšna odstopanja nujna za uresničitev teh namenov).
.
K 70. členu:
Prvi odstavek je treba preveriti z vidika prvega odstavka 89. člena Splošne uredbe, ki že zahteva uporabo ustreznih zaščitnih ukrepov ter tehničnih in organizacijskih ukrepov tudi za namene arhiviranja v javnem interesu. Da je za vsako obdelavo osebnih podatkov potrebna pravna podlaga, izhaja iz 6. člena Splošne uredbe; da je ta pravna podlaga v javnem sektorju oziroma pri opravljanju naloge v javnem interesu ali izvajanju javne oblasti zakon, pa izhaja iz 38. člena Ustave in 6. člena Predloga zakona.
Po tretjem odstavku 89. člena Splošne uredbe, ki je specialen glede na 23. člen Splošne uredbe, na katerega se sklicuje obrazložitev, ni mogoče izključiti pravice iz 17. člena Splošne uredbe, kot izhaja iz 2. točke drugega odstavka.
.
Iz tretjega odstavka izhaja, da bo upravljavec presodil utemeljenost dopolnilne izjave, pri tem pa za to ni predpisan noben postopek oziroma merila za presojo utemeljenosti.
K 71. členu:
Prvi odstavek je treba preveriti z vidika prvega odstavka 89. člena Splošne uredbe, ki že dopušča in ureja obdelavo osebnih podatkov v statistične namene, torej tudi za namene izvajanje državne statistike.
.
Po drugem odstavku 89. člena Splošne uredbe, ki je specialen glede na 23. člen Splošne uredbe, na katerega se sklicuje obrazložitev, ni mogoče izključiti pravice iz 17.
člena Splošne uredbe, kot izhaja iz drugega odstavka.
.
K 72. členu:
Določba četrtega odstavka odstavek je vsebinsko prazna, ker ne določa, kaj predstavlja nezakonito razkritje, nezakonito posredovanje ali nepooblaščen dostop do osebnih podatkov. Upravljavci oziroma obdelovalci ne morejo prepoznati vsebine prepovedi in s tem svojega pravnega položaja. Če gre za ravnanje v nasprotju z drugim odstavkom, ki v 8. točki vključuje tudi druge zakone, bi bilo treba to izrecno določiti.
.
K 73. členu:
Po oceni ZPS sta določbi prvega in tretjega odstavka po vsebini materija, katere sedež je v zakonu, ki ureja dostop do informacij javnega značaja. Vsebina prvega odstavka je že urejena v določbah 1. in 6. člena Zakona o dostopu do informacij javnega značaja (v nadaljevanju ZDIJZ), vsebina tretjega odstavka pa temelji na razlagi teh določb v povezavi z načelom prostega dostopa (5. člen ZDIJZ).
.
Določba drugega odstavka določa posredovanje oziroma javno objavo tudi tistih osebnih podatkov, ki niso javni po zakonu in tudi če ni za razkritje podan prevladujoč javni interes v skladu z zakonom, ki ureja dostop do informacij javnega značaja. Pravna podlaga za posredovanje, ki je vezana le na pomensko široko odprte pojme, kot je sodelovanje z javnostmi, zagotavljanje transparentnosti dela ali spremljanja prakse zavezancev, vključno s sodno prakso sodišč Republike Slovenije, ne predstavlja predvidljive in določne zakonske ureditve za posredovanje in javno objavo osebnih podatkov. Pri tem ni jasno, kako se osebni podatki objavijo samo praviloma v psevdonimizirani obliki in v obliki delnega dostopa.
.
K 74. členu:
Ponovno je treba preučiti določbo v delu, ki se nanaša na obveščanje v skladu z zakonom, ki ureja splošni upravni postopek. Določba ni jasna. Če je mišljeno vabljenje k stranski udeležbi, potem ne gre za obveščanje, ampak za vprašanje, katere osebe imajo položaj stranke. V tem primeru pa bi bilo najprej jasno opredeliti postopek, na katerega se določba nanaša.
.
K 75. členu:
Glede na to, da je v prvem odstavku določena subsidiarna uporaba določb tega poglavja za izvajanje videonadzora, je smiselno opustiti navajanje, da lahko drug zakon ali zakon določi drugače v sedmem, devetem, enajstem in dvanajstem odstavku.
.
V četrtem odstavku je v posameznih točkah navedeno, katere informacije vsebuje obvestilo poleg informacij iz 13. člena Splošne uredbe. Vsebino 2., 4. in 5. točke tega odstavka je treba ponovno preveriti, saj se z informacijami, določenimi v 13. členu Splošne uredbe (prim. a), b), c) in f) točka prvega odstavka 13. člena), podvajajo.
.
Glede devetega odstavka, ki ureja rok hrambe posnetkov videonadzornega sistema, se zastavlja vprašanje, ali je smiselno posebej zavezovati k upoštevanju načel iz 5. člena Splošne uredbe glede na to, da se ta načela uporabljajo glede vseh osebnih podatkov in vseh obdelav, torej tudi pri izvajanju videonadzora.
.
K 77. členu:
Pojasniti je treba razmerje med ureditvijo iz petega odstavka, ki določa pisno obveščanje zaposlenih pred začetkom izvajanja videonadzora, do 75. člena Predloga zakona, ki ureja obvestilo o izvajanju videonadzora. Glede na zapis petega odstavka bi se lahko pojavilo vprašanje, ali v teh primerih obveščanje o vsebinah iz četrtega odstavka 75. člena ni potrebno (v tretjem odstavku 76. člena je oboje izrecno določeno).
.
Šesti odstavek je treba zapisati brez tistih delov, ki niso običajni za izražanje v zakonskem jeziku (npr. opustiti »če obstajajo«, »po prejetju morebitnega mnenja«, ker ni obveznosti, da se mnenje izda, delodajalcu ni treba odločiti o neuvedbi videonadzora, ampak samo o uvedbi videonadzora, »dokončno« odloči), ob tem pa določiti zgolj minimalno obdobje posvetovanja.
.
V devetem odstavku je določena smiselna uporaba določb tega člena za nadzor vstopa ali izstopa v ali iz uradnih službenih oziroma poslovnih prostorov ali če zaradi narave dela obstaja možnost varnostnega ogrožanja zaposlenih. Pomen te določbe ni jasen, ker je v 76. členu Predloga zakona izrecno urejen videonadzor dostopa v uradne službene in poslovne prostore, pri tem pa je ena, ne pa edina možna podlaga za uvedbo, da obstaja možnost ogrožanja zaposlenih zaradi narave dela. Če je mišljena uporaba postopkovnih določb tega člena, je treba to določiti s sklicem na ustrezne odstavke tega člena, ne pa na ves člen, ki zajema tudi možne vsebinske podlage za uvedbo videonadzora.
.
K 79. členu:
Ta člen ureja videonadzor na javnih površinah. Iz prvega odstavka izhajajo interesi oziroma dobrine, ki takšen videonadzor omogočajo, pri tem pa je varnost vsakršnega premoženja upravljavca kot vrednota izenačena z varnostjo življenja, osebne svobode, telesa ali zdravja ljudi. Za kakšno premoženje gre in kdo je njegov lastnik, iz predlagane določbe ni razvidno. Prav tako iz določbe ni razvidno, ali mora biti premoženje umeščeno na javno površino ali v njeno neposredno bližino, da bi bil tak videonadzor dopusten. V obrazložitvi je glede tega zapisano le, da gre za varnost premoženja upravljavca in torej ne premoženja vseh prebivalcev v lokalni skupnosti. Določba bo torej omogočila videonadzor na javnih površinah tudi upravljavcu iz zasebnega sektorja, če bo ta ocenil, da je to potrebno zaradi varnosti (svojega) premoženja. Predlagano ureditev je po oceni ZPS treba ponovno pretehtati z vidika dopustnosti in legitimnosti zasledovanega cilja, ki ga ta ureditev, ki posega v pravico iz 38. člena Ustave, zasleduje, nato pa utemeljiti, ali bi bil tak videonadzor nujen, primeren in sorazmeren glede na cilj. Enak test bi bilo treba ponoviti glede varovanja tajnih podatkov v prenosu in ob tem najprej pojasniti, v katerem primeru se namena varnosti tajnih podatkov v prenosu ne bi moglo doseči z drugimi sredstvi oziroma ukrepi, ki manj posegajo v pravico do varstva osebnih podatkov.
.
Določba prvega stavka prvega odstavka je sicer oblikovana tako, da vključuje presojo nujnosti videonadzora v vsakem konkretnem primeru, vendar bo odločitev o tem odvisna le od posameznega upravljavca. Glede na to, da videonadzor na javnih površinah predstavlja velik poseg v zasebnost potencialno velikega števila oseb, se zastavlja vprašanje, ali bi bilo treba pred uvedbo videonadzora odločitev upravljavca podvreči obličnosti (npr. pisna utemeljitev izkazanih pogojev za uvedbo videonadzora). Zlasti pa je treba preučiti, ali bi bilo treba videonadzor na javnih površinah omejiti tudi tako, da bi bil tudi časovno, po trajanju omejen na najkrajši možni čas, potreben za varstvo vrednot, ki temeljijo na v Ustavi varovanih človekovih pravicah. To je predlagano samo v drugem stavku prvega odstavka za varovane osebe, posebne objekte in posebne okoliše, ki jih na podlagi zakona varujejo našteti organi.
.
Glede na to, da je v prvem odstavku 75. člena Predloga zakona določena subsidiarna uporaba določb tega poglavja za izvajanje videonadzora, je mogoče opustiti navajanje, da lahko drug zakon ali zakon določi drugače v prvem, šestem in desetem odstavku.
.
Glede šestega odstavka, ki ureja rok hrambe posnetkov videonadzornega sistema, se zastavlja vprašanje, ali je smiselno posebej zavezovati k upoštevanju načel iz 5. člena Splošne uredbe glede na to, da se ta načela uporabljajo glede vseh osebnih podatkov in vseh obdelav, torej tudi pri izvajanju videonadzora.
.
V osmem in devetem odstavku je urejen videonadzor cestnega prometa. Opozoriti je treba, da je bil sprejet Zakon o cestah (ZCes-2, Uradni list RS, št. 132/2022), ki videonadzor cestnega prometa v 10. členu že celovito in podrobno ureja (določa rok hrambe, morebitne uporabnike podatkov, vrste zbranih podatkov, ukrepe za varnost teh podatkov) in posebej določa primere, v katerih ima upravljavec ceste pravico slikovno snemati vozila na javnih cestah na posameznih odsekih javnih cest v njegovem upravljanju tako, da pri tem ni mogoča obdelava osebnih podatkov. Obenem določa primere, ko se videonadzor cestnega prometa izvaja tako, da je mogoča prepoznava vozila oziroma udeleženca cestnega prometa (kadar je to nujno potrebno za obveščanje pristojnih organov o prometnih in drugih nesrečah ter izrednih dogodkih). Upravljavec ceste izvaja videonadzor cestnega prometa le v obsegu, ki je potreben za izpolnitev izrecno določenih namenov. Zaradi tega se zastavlja vprašanje razmerja predlagane ureditve, po kateri naj bi upravljavec na področju videonadzora cestnega prometa vnaprej določal tiste odseke ceste, kjer z drugimi sredstvi ni mogoče doseči nujnega in učinkovitega varovanja cestnega prometa ali njegovega upravljanja, do zaokrožene ureditve videonadzora cestnega prometa po ZCes-2.
.
K 80. členu:
V drugem odstavku je določeno, da se lahko obdelava biometričnih osebnih podatkov določi le z zakonom (glede na opredelitev iz 5. člena torej tudi s tem zakonom). Obdelavo biometričnih osebnih podatkov določa že ta Predlog zakona, in sicer v 82. členu, ki ureja biometrijo v zasebnem sektorju, kar bi zaradi jasnosti ureditve moralo biti razvidno iz tega člena. Če pa je namen te določbe vsebina drugega in ne tudi tega zakona, je treba namesto zakona uporabiti pojem drugega zakona. Ni jasno, katere vsebine so mišljene s sklicem na drugi in tretji odstavek 6. člena Predloga zakona. Glede na to, da je treba obdelavo biometričnih osebnih podatkov kot obdelavo katerihkoli drugih osebnih podatkov določiti z zakonom, se zastavlja vprašanje smiselnosti opredelitve, da mora imeti zakon vsebine iz drugega odstavka 6. člena tega zakona. Ker je lahko podlaga za obdelavo osebnih podatkov po 38. členu Ustave le zakon in ne morebiti pravni akt nižje hierarhične veljave, morajo vsi zakoni slediti 38. členu Ustave in hkrati določbi drugega odstavka 6. člena Predloga zakona.
V tretjem odstavku je določena prepoved povezovanja zbirk biometričnih osebnih podatkov in prepoved prenosljivosti. Prenosljivost bi bilo treba, tako kot v 4. točki drugega odstavka 71. in sedmem odstavku 16. člena Predloga zakona, vezati na 20. člen Splošne uredbe. Obe prepovedi sta načelni, ker lahko izjeme določa zakon ali če v to privoli posameznik. Glede izjem, določenih v zakonu, je treba preveriti, ali izjeme od obeh prepovedi res določa tudi ta Predlog zakona ali pa izjeme določa drug zakon. V zvezi s privolitvijo, ki jo da posameznik, na katerega se biometrični osebni podatki nanašajo, pa je treba izhajati iz določbe drugega odstavka, da se lahko obdelava biometričnih osebnih podatkov določi le z zakonom. Povezovanje je ena od vrst obdelave, zato bi morala biti tudi urejena z zakonom. Zaradi tega se zastavlja vprašanje, ali je lahko privolitev, brez predhodne zakonske podlage, zadostna pravna podlaga za povezovanje zbirk biometričnih osebnih podatkov.
.
V četrtem odstavku je posebej urejena obdelava genetskih podatkov, ki tudi spadajo med biometrične osebne podatke. Gre za izjemo od drugega odstavka, saj je te podatke dopustno obdelovati ne le, kadar to določa zakon, ampak tudi za namene zagotavljanja zdravstvenega varstva ali kadar je obdelava potrebna za izvajanje pogodbe. V obrazložitvi je zapisano, da drugih možnih podlag za obdelavo genetskih podatkov ni in da se zanje ne uporablja nadaljnja ureditev v 81. in 82. členu Predloga zakona. Glede na to bi bilo treba določiti, da se lahko genetski obdelujejo, kadar to določa drug zakon. Pojasniti bi bilo treba tudi drugo podlago za obdelavo genetskih podatkov, ki je širša in ni vezana na ureditev s pravnimi akti. Pojem zdravstvenega varstva po Zakonu o zdravstvenem varstvu in zdravstvenem zavarovanju (v nadaljevanju ZZVZZ) obsega sistem družbenih, skupinskih in individualnih aktivnosti, ukrepov in storitev za krepitev zdravja, preprečevanje bolezni, zgodnje odkrivanje, pravočasno zdravljenje, nego in rehabilitacijo zbolelih in poškodovanih, pravice iz zdravstvenega zavarovanja, s katerimi se zagotavlja socialna varnost v primeru bolezni, poškodbe, poroda ali smrti. Že po ZZVZZ je pojem zdravstvenega varstva širok, če pa po predlagani ureditvi ni niti vezan na zakon, je ureditev obdelave genetskih podatkov kot biometričnih osebnih podatkov urejena manj strogo kot ureditev drugih biometričnih osebnih podatkov.
.
K 81. členu:
V drugem odstavku se zastavlja vprašanje, kaj pomeni potrditev dejanj obdelave oziroma ali bi bilo treba potrditev (na enak način kot v prvem odstavku 82. člena Predloga zakona), vezati na 51. člena tega zakona, ki ureja potrjevanje v skladu s Splošno uredbo.
.
Zapis četrtega odstavka je treba preveriti, ker dvakrat usmerja na zakon, ki določi obdelavo biometričnih osebnih podatkov za namen identifikacije pri izdaji sredstev elektronske identifikacije.
.
Peti odstavek dovoljuje obdelavo biometričnih osebnih podatkov v javnem sektorju v zvezi z vstopom v stavbo ali dele stavbe, pri tem pa se sklicuje na četrti, peti in šesti odstavek 82. člena tega zakona, ki ureja biometrijo v zasebnem sektorju. V teh odstavkih pa je urejen le postopek uvedbe obdelave biometričnih podatkov, zato bi bilo treba ureditev dopolniti z navedbo vsebinskih pogojev, pod katerimi je dopustno v teh primerih obdelovati biometrične osebne podatke.
.
K 82. členu:
V drugem odstavku je določeno, da lahko oseba zasebnega sektorja obdeluje biometrične osebne podatke tudi glede svojih strank. Pri tem je spregledano, da je že v prvem odstavku določeno, da se lahko obdelava biometričnih osebnih podatkov izvaja med drugim tudi za varstvo točnosti identitete strank in za varnost ljudi (med slednje je mogoče šteti tudi stranke) in da se za to ne zahteva zakonska oziroma pogodbena podlaga oziroma privolitev strank. Razmerje med obema odstavkoma bi bilo treba urediti bolj jasno.
.
V nasprotju z obrazložitvijo v tretjem odstavku, ki je po vsebini primerljiv z drugim odstavkom 81. člena Predloga zakona, ni izrecno zahtevano, da so dejanja obdelave potrjena v skladu z 51. členom Predloga zakona. Zaradi tega je treba preveriti ustreznost devetega odstavka, po katerem osebi zasebnega sektorja ni treba pridobiti odločbe nadzornega organa, če se biometrični ukrepi izvajajo na način, določen v tretjem odstavku tega člena. V obrazložitvi je zapisano, da odločba ni potrebna, če so dejanja obdelav potrjena na način, določen v tem odstavku. Obveznost potrjevanja je sicer za vsa dejanja obdelave biometričnih osebnih podatkov določena v prvem odstavku tega člena.
.
Določbi petega in šestega odstavka je treba preoblikovati tako, da bo iz določb razvidno, da oseba zasebnega sektorja vloži vlogo za obdelavo biometričnih osebnih podatkov, ki vsebuje opis nameravanih obdelav in razloge za njihovo uvedbo in da nadzorni organ o vlogi (in ne o prejemu informacij) odloči v dveh mesecih (ne odloči o tem, ali je nameravana uvedba biometričnih ukrepov v skladu s tem zakonom, ampak odloči, ali se uvedba biometrije dovoli).
.
K 84. členu:
V prvem odstavku bi bilo treba opredeliti, kaj šteje za službene prostore (npr. z ustrezno okrajšavo).
.
K 85. členu:
Upoštevaje 38. člen Ustave je lahko javna knjiga, če vsebuje osebne podatke, urejena samo z zakonom. Iz te določbe izhaja tudi ustavna zahteva, da mora biti namen obdelave (zbiranja ali nadaljnje obdelave) določen ali določljiv. Zaradi tega je treba preveriti zapis določbe, iz katerega bi lahko izhajalo, da zapoved velja le pogojno, torej samo, če je namen zbiranja ali obdelave določen ali določljiv, v nasprotnem primeru pa ne. Prav tako bi bilo treba uporabiti izraz »zakonski« namen javne knjige (tudi v naslovu), saj gre za to, da je namen določen v zakonu ali določljiv na podlagi zakona in ne za oceno, ali je v skladu z zakonom (zakonit).
.
K 86. členu:
Predlagana zasnova povezovanja zbirk osebnih podatkov je v primerjavi z ZVOP-1 drugačna in bo omogočala obsežno in nepregledno povezovanje zbirk osebnih podatkov. Najprej je treba opozoriti na opredelitev povezovanja zbirk podatkov v 12. točki drugega odstavka 5. člena, ki se v bistvenih značilnostih razlikuje od opredelitve povezovanja zbirk v tretjem odstavku (opušča avtomatsko povezovanje, ne določa, da gre za povezovanje, četudi se se zbirke na isti pravni podlagi vodijo za različne namene). Posebej je treba izpostaviti v tretjem odstavku določen drug, kumulativno določen pogoj, da gre za povezovanje (le), če se, neodvisno od tehnične izvedbe, izvaja v obsegu oziroma na način, ki predstavlja ali bi lahko predstavljala bistveno večje tveganje za človekove pravice ali temeljne svoboščine posameznikov kot obdelava osebnih podatkov v okviru ene same uradne evidence, javne knjige ali zbirke. Povezovanje bi bilo treba urediti na enem mestu in povsem jasno, ne da bi bilo odvisno od presoje tveganja, ki jo opravi upravljavec oziroma predlagatelj zakona in zakonodajalec, predno povezovanje določi z zakonom. V prvem odstavku je treba še pojasniti pomen določbe v besedilu: »podatki o nepremičninah v lasti posameznika v skladu z drugimi zakoni«.
.
Opozoriti je treba na drugi odstavek, po katerem se lahko uradne evidence in javne knjige povezuje med seboj in z drugimi zbirkami, če zakon določa pravico upravljavca (uradne evidence, javne knjige ali druge zbirke), da pridobi osebne podatke iz uradne evidence, javne knjige ali druge zbirke. Ne glede na to, da bi bilo treba določbo izboljšati in zapisati nedvoumno (ali se na eni strani nanaša samo na uradne evidence in javne knjige ali tudi na druge zbirke), je iz obrazložitve razvidno, da bodo s predlagano ureditvijo manj tvegana povezovanja bistveno enostavnejša, ker bo zadostovala zakonska določba, da sme upravljavec določene zbirke za določene namene pridobivati določene podatke. S predlagano ureditvijo se posega v ureditev drugih zakonov tako, da se izrecno določena možnost pridobivanja podatkov spreminja v povezovanje zbirk. Pri tem ni upoštevano, da veljavni področni zakoni, upoštevaje 38. člen Ustave, že razlikujejo med pridobivanjem in povezovanjem osebnih podatkov, ker gre za različni dejanji obdelave, ki morajo biti določena z zakonom in da je bila že pri tem opravljena presoja, ali je povezovanje zbirk potrebno oziroma ali prinaša večje tveganje za varnost osebnih podatkov. S predlagano določbo, s katero bo sistemska ureditev spremenila določbe področnih zakonov tako, da bo dopustila za varnost osebnih podatkov bolj tvegano povezovanje, so po oceni ZPS ogrožena načela jasnosti, pomenske določljivosti in pravne varnosti (elementi načela pravne države iz 2. člena Ustave).
.
V četrtem odstavku ni upoštevano, da je predhodno posvetovanje z nadzornim organom po 36. členu Splošne uredbe predvideno le, če to izhaja iz ocene učinka po 35. členu Splošne uredbe, tako da predhodno posvetovanje vedno sledi oceni učinka.
Poleg tega je za predhodno posvetovanje v Splošni uredbi določen rok, ki je daljši od 30 dni (do osem tednov, do nadaljnjih šest tednov). Zaradi tega ni mogoče določiti, da se oboje opravi najpozneje v 30 dneh pred začetkom povezovanja, ker bi to lahko pomenilo, da se bo povezovanje zbirk začelo, še preden bo izdelana ocena učinka oziroma opravljeno predhodno posvetovanje.
.
Prilagoditi je treba še naslov člena, ki se nanaša samo na uradne evidence in javne knjige, čeprav se ureditev nanaša tudi na druge zbirke.
.
K 88. členu:
V prvem odstavku se ponovi določba 87. člena Predloga zakona, iz katere že izhaja, da ta Predlog zakona ne ureja strokovnega nadzora, ampak obdelavo osebnih podatkov pri strokovnem nadzoru, če ta ni posebej urejena v drugem zakonu. V četrtem odstavku je treba popraviti očitno napačen sklic na prejšnji odstavek.
.
H kazenskim določbam:
Predpisane razpone glob je treba ponovno preveriti z vidika sorazmernosti teže zagrožene sankcije glede na naravo kršitve (prvi odstavek 83. člena Splošne uredbe).
K 94. členu:
V četrtem, petem in šestem odstavku 83. člena Splošne uredbe je za kršitve posameznih določb Splošne uredbe določen alternativni izrek upravne globe, in sicer v določenem znesku ali v primeru družbe v odstotku od skupnega svetovnega letnega prometa. V prvem odstavku distinkcija med družbo in ostalimi kršitelji, ki jo omogoča Splošna uredba, ni upoštevana, ker je določeno le, da se sankcije za kršitve, ki jih predpisuje Splošna uredba, izrekajo pravnim osebam, samostojnim podjetnikom posameznikom in posameznikom, ki samostojno opravljajo dejavnost, določajo kot globe za prekrške v višini in razponih, kot jih določa Splošna uredba. Drži sicer navedba v obrazložitvi, da se po 17. členu Zakona o prekrških (v nadaljevanju ZP-1) lahko za prekršek kaznuje (zgolj) pravna oseba, samostojni podjetnik posameznik in posameznik, ki samostojno opravlja dejavnost, vendar to ne pomeni, da pri sankcioniranju med pravnimi osebami ni mogoče razlikovati. Družba v Splošni uredbi ni opredeljena, zato bi jo bilo mogoče opredeliti v Predlogu zakona. Pravno-sistemsko primerljive zakonske ureditve, ki urejajo izrekanje glob po evropskih uredbah, po navadi posebej določajo višino oziroma razpon globe za pravne osebe, ki se po zakonu, ki ureja gospodarske družbe, šteje za srednjo ali veliko gospodarsko družbo. Takšno razlikovanje omogoča že sistemski zakon, ki ureja prekrške (tretji odstavek 17. člena ZP-1).
.
K 96. členu:
V tem členu so v razponu določene globe za odgovorne osebe in posameznike za kršitve določb iz petega in šestega odstavka 83. člena Splošne uredbe, v 95. členu Predloga zakona pa so določene globe za kršitve določb iz četrtega odstavka 83. člena Splošne uredbe. Višina glob, določena za kršitve določb iz petega in šestega odstavka 83. člena Splošne uredbe, je po Splošni uredbi dvakrat višja kot je višina globe, določena za kršitve določb iz četrtega odstavka 83. člena Splošne uredbe. To ni upoštevano pri sankcioniranju odgovornih oseb, saj so razponi glob enaki kot razponi, določeni v 95. členu Predloga zakona. Zakaj je višina globe za odgovorno osebo enaka, čeprav gre glede na ureditev iz Splošne uredbe za težje prekrške, tudi ni obrazloženo.
.
Določbe tega člena za odgovorne osebe in posameznike sankcionirajo kršitve določb petega in šestega odstavka 83. člena Splošne uredbe, pri tem pa je izpuščena kršitev iz točke d) petega odstavka 83. člena Splošne uredbe (glej tudi pripombo k 98. členu Predloga zakona).
K 98. členu:
Za kršitve obveznosti, sprejete na podlagi IX. poglavja Splošne uredbe, je vzpostavljen poseben prekršek v 98. členu Predloga zakona. Zasnova prekrška je po oceni ZPS v nasprotju s Splošno uredbo, ki določa sankcijo za prekršek iz d) točke petega odstavka 83. člena Splošne uredbe za prekršek in s prvim odstavkom 94. člena Predloga zakona, po katerem se sankcije za kršitve, ki jih predpisuje Splošna uredba, izrekajo pravnim osebam, samostojnim podjetnikom posameznikom in posameznikom, ki samostojno opravljajo dejavnost kot globe za prekrške, v višini in razponih, kot jih določa Splošna uredba. V prvem in drugem odstavku je namreč določen prekršek za kršitev 72. člena Predloga zakona, ki predstavlja obveznost iz IX. poglavja Splošne uredbe, in sicer tudi za pravne osebe, samostojne podjetnike posameznike in posameznike, ki samostojno opravljajo dejavnost.
.
Preveriti je treba tudi določitev zakonskega dejanskega stana prekrška, ker se vsebinsko ne ujema z obveznostjo iz četrtega odstavka 72. člena Predloga zakona (obveznost temelji le na namenu izvajanja svobode izražanja). Iz četrtega odstavka 72. člena Predloga zakona ni mogoče razbrati, kdaj nastopi polje kaznivosti. V drugem odstavku istega člena je namreč določeno, v katerih primerih (pogojih) je osebne podatke dopustno razkriti za namene, povezane s svobodo izražanja, med temi pa so tudi določbe drugega zakona (8. točka drugega odstavka 72. člena Predloga zakona), v četrtem odstavku pa je določena prepoved nezakonitega razkritja, posredovanja oziroma omogočanja nepooblaščenega dostopa do osebnih podatkov, čeprav gre za namene izvajanja svobodo izražanja.
.
K 99. členu:
Prekršek, določen v 3. točki prvega odstavka, ni v celoti usklajen s tretjim odstavkom 41. člena Predloga zakona.
.
K 101. členu:
Prekršek iz 1. točke prvega odstavka se po vsebini ne sklada z devetim odstavkom 75. člena Predloga zakona.
.
K 102. členu:
Prekrška, določena v 2. in 3. točki prvega odstavka, nista v skladu z drugim in tretjim odstavkom 76. člena Predloga zakona. Vsebino 3. točke je treba preizkusiti tudi z vidika podvajanja prekrška (četrti odstavek 75. člena Predloga zakona je sankcioniran v 3. točki prvega odstavka 100. člena Predloga zakona v delu, ki se nanaša na informacije v obvestilu o videonadzoru).
.
K 105. členu:
Prekršek, določen v 6. točki prvega odstavka, sicer povzema besedilo določbe, ki jo sankcionira (deseti odstavek 79. člena Predloga zakona), vendar veže obstoj prekrška na to, ali vsebuje drug zakon izrecno zakonsko določbo, ki bi določala drugačno obveznost. To bi lahko bilo sporno z vidika ustavnega načela zakonitosti v kazenskem pravu (28. člen Ustave, lex certa), ki zahteva, da je kaznivo ravnanje določeno dovolj natančno, da ga je mogoče razlikovati od dovoljenih dejanj. V primerjavi s tem prekršek, določen v 4. točki prvega odstavka, za izključitev prekrška zahteva zgolj obstoj drugačne zakonske določbe.
.
K 108. členu:
Tretji odstavek 82. člena ni sankcioniran, čeprav je po vsebini primerljiva določba drugega odstavka 81. člena Predloga zakona sankcionirana v 2. točki prvega odstavka 107. člena Predloga zakona. Razloge za to je treba pojasniti.
.
K 110. členu:
Prekršek, določen v 2. točki prvega odstavka, ne sankcionira samo kršitve določb tega Predloga zakona (tretjega odstavka 84. člena Predloga zakona), ampak kršitve vseh določb glede roka hrambe, četudi so določene v drugih zakonih. To bi lahko bilo sporno z vidika načela zakonitosti v kazenskem pravu. Če je obveznost spoštovanja določenega roka hrambe določena v drugem zakonu, je lahko v drugem zakonu takšna obveznost tudi sankcionirana. Določitev prekrška za vse kršitve roka hrambe bi zato lahko vodila tudi do dvojnega sankcioniranja.
.
K 112. členu:
V četrtem odstavku 86. člena Predloga zakona, ki je sankcioniran v 2. točki prvega odstavka, je določena drugačna obveznost, in sicer, dolžnost posvetovanja z nadzornim organom.
K 113. členu:
Prekrška v 1. in 2. točki prvega odstavka je treba uskladiti v celoti z določbo, ki jo sankcionirata.
.
K 114. členu:
Namen določbe je določitev dodatnih pravil za odmerjanje sankcij za prekrške, poleg pravil, ki so določena v zakonu, ki ureja prekrške. Najprej je treba opozoriti, da se ta dodatna pravila za odmero sankcije nanašajo samo na kršitve, predpisane v četrtem do šestem odstavku 83. člena Splošne uredbe. Zaradi tega ni razloga, da je ta določba umeščena na konec III. dela zakona, ki ureja Kazenske določbe, ampak jo je treba umestiti za 96. člen Predloga zakona. Preučiti je treba vsebino posameznih pravil za odmero sankcij. V drugem odstavku 83. člena Splošne uredbe je namreč že določeno, kaj se upošteva pri odločanju o tem, ali se naloži upravna globa in o višini upravne globe za vsak posamezen primer. Po vsebini se okoliščine iz drugega odstavka podvajajo z okoliščinami, določenimi v tem členu (npr. namen koristoljubnosti je že določen v k) točki, upoštevanje ravnanja upravljavca in obdelovalca v c), d) in f) točki, ponavljanje ali množičnost kršitev v a) točki, odvračilni učinek v a) točki).
K 116. členu:
Opozoriti je treba, da v 22. členu Predloga zakona niso predvideni posebni ukrepi za zagotavljanje varnosti osebnih podatkov na področju posebnih obdelav. V drugem odstavku 22. člena Predloga zakona je določeno le, kako se izvajajo obdelave na področju posebnih obdelav.
.
K 124. členu:
V zvezi s tretjo alinejo je treba opozoriti, da v 16. členu Predloga zakona ni predvideno sprejetje pravilnika o zaračunavanju stroškov, ki bi lahko nadomestil veljavni Pravilnik o zaračunavanju stroškov pri izvrševanju pravice posameznika do seznanitve z lastnimi osebnimi podatki.
K 125. členu:
Normativna vrednost te določbe je vprašljiva. Iz določbe izhaja, da naj bi se globe za kršitve, določene v 83. členu Splošne uredbe, izrekale v skladu s 83. členom Splošne uredbe, vendar le do sprememb določb o višinah in razponih glob, ki jih določa zakon, ki ureja prekrške. Iz te določbe torej izhaja, da se bodo ob prvi spremembi višin in razponov glob zakona, ki ureja prekrške, uporabljale višine in razponi glob, ki jih določa zakon, ki ureja prekrške. Takšna določba bi lahko bila v nasprotju z načelom zakonitosti v kazenskem pravu, ki zahteva, da morata biti razpon in višina glob urejeni ob določitvi prekrška tako, da sta kazen, enako kot dejanje, ki je prekršek, določeni pred storitvijo prekrška, pri tem pa se dejanja, ki so kazniva, ugotavljajo in kazni zanje izrekajo po zakonu, ki je veljal ob storitvi dejanja, razen če je novi zakon za storilca
milejši (28. člen Ustave).
.
|
. Višja sekretarka mag. Sonja Bien Karlovšek, l.r. |
. Nataša Voršič vodja |
.
.
.
.
Poslano:
− Odboru za pravosodje
− Odboru za finance
Original na tej povezavi.
