Na področju varstva osebnih podatkov se je v zadnjih mesecih v Sloveniji zgodil pravi pretres. Sodišče je informacijskega pooblaščenca ohromilo v opravljanju ene izmed njegovih temeljnih zakonskih pristojnosti: v postopanju v postopkih, ki jih vodi po Zakonu o prekrških.

Zmede na tem področju je veliko, še večje pa je pomanjkanje pravne varnosti vseh pravnih subjektov, ki dnevno obdelujejo osebne podatke. Sprejem novega zakona o varstvu osebnih podatkov, ki bi nas postavil ob bok drugim državam članicam Evropske unije, ostaja nujna prioriteta. V izogib nejasnostim, zapletom in zagotavljanju pravne varnosti, bi se v vmesnem času, ko še nimamo sprejetega novega zakonodajnega okvirja na področju varstva podatkov, skozi institut zahteve za varstvo zakonitosti moralo izreči Vrhovno sodišče Republike Slovenije.

Obdelava osebnih podatkov brez zakonske podlage in osebnih privolitev

Sodišče je v sodbi ZSV 742/2019 z dne 30. septembra 2019 informacijskega pooblaščenca ohromilo v opravljanju ene izmed njegovih temeljnih zakonskih pristojnosti: v postopanju v postopkih, ki jih vodi po Zakonu o prekrških (v nadaljevanju: »ZP-1«).

Zadeva se je začela, ko je informacijski pooblaščenec pravno osebo in odgovorno osebo spoznal krive storitve 51 prekrškov po 1. točki prvega odstavka 91. člena Zakona o varstvu osebnih podatkov (v nadaljevanju: »ZVOP-1«) zaradi kršitve prvega odstavka 8. člena ZVOP-1. Odgovorna oseba pravne osebe naj bi s svojim ravnanjem obdelovala osebne podatke brez zakonske podlage in brez osebnih privolitev posameznikov. Odgovorna oseba, ki je bila za pravno osebo pooblaščena opravljati delo odvetnika, naj bi prekrške storila s tem, da je pridobila določene osebne podatke ter maso motornih vozil o 51 lastnikih motornih vozil, registriranih v Republiki Sloveniji v nasprotju z Zakonom o odvetništvu.

Sodišče je v obrazložitvi navedlo, da je za ustavitev prekrškovnega postopka štelo dejstvo, da je po storitvi prekrškov začela uporabljati Uredbo (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov). Ta je z določbo točke c) prvega odstavka 6. člena nadomestila 8. člen ZVOP-1, ki se tako več ne uporablja in zato njena kršitev ne predstavlja prekrška po 1. točki prvega odstavka 91. člena ZVOP-1. Tukaj je pritožbeno sodišče spremenilo stališče okrajnega sodišča in v obrazložitvi sodbe navedlo, da je 8. člen ZVOP-1 še vedno ohranjen v veljavi, vendar pa ne v vsakem primeru, ampak naj bi bila njegova veljavnost odvisna od okoliščin konkretnega primera.

Splošna uredba o varstvu podatkov za kršitev točke c) prvega odstavka 6. člena predvideva izrek upravne globe in kršitve ne določa kot prekršek, kot to določa ZVOP-1. Ob upoštevanju načela zakonitosti, kot je opredeljeno v drugem odstavku 2. člena ZP-1, je sodišče Splošno uredbo o varstvu podatkov uporabilo kot predpis, ki je za storilca milejši, saj izključuje prekršek. Sodišče je ustavilo prekrškovni postopek zoper pravno osebno in njeno odgovorno osebo. Informacijski pooblaščenec se je na sodbo okrajnega sodišča pritožil, ampak je Višje sodišče v Ljubljani v sodbi PRp 345/2020 z dne 18. 6. 2020 pritožbo zavrnilo kot neutemeljeno in potrdilo sodbo sodišča prve stopnje.

Informacijski pooblaščenec brez določenih pristojnosti za kršitve Splošne uredbe

Informacijski pooblaščenec je dne 1. 9. 2020 na Vrhovno državno tožilstvo Republike Slovenije vložil pobudo za vložitev zahteve za varstvo zakonitosti zoper sodbo Višjega sodišča v Ljubljani zaradi kršitve določb ZVOP-1 in ZP-1. V zahtevi izpostavlja, da prekrškovnega nadzora nad kršitvami določb Splošne uredbe o varstvu podatkov še ne more izvajati, saj pravni red Republike Slovenije še ne določa niti prekrškov s posebnimi sankcijami za kršitve Splošne uredbe o varstvu podatkov niti ne določa pristojnosti informacijskega pooblaščenca za tovrstne kršitve. Pravni red samo zatrjuje, da do sprejetja ZVOP-2, v vmesnem obdobju še vedno ostaja informacijski pooblaščenec pristojen za nadzorno in prekrškovno obravnavo kršitev tistih členov ZVOP-1, ki se še vedno uporabljajo kljub začetku uporabe Splošne uredbe. Za dodatno zmedo na tem področju dajejo še pojasnila Ministrstva za pravosodje ob začetku razvoja uporabe nove evropske zakonodaje o varstvu osebnih podatkov z dne 28. 5. 2018, v katerih je jasno določeno, da 8. člen ZVOP-1 ostaja v veljavi. Informacijski pooblaščenec poudarja, da prvi odstavek 8. člena ZVOP-1 predstavlja splošno zakonsko zahtevo po pravni podlagi za vsakršno obdelavo osebnih podatkov, medtem ko so v prvem odstavku 6. člena Splošne uredbe podane konkretizirane pravne podlage za obdelavo osebnih podatkov.

Potreba po zagotavljanju pravne pravnosti in enotne uporabe prava

Informacijski pooblaščenec tako ocenjuje, da je vložitev zahteve za varstvo zakonitosti nujna predvsem zaradi potrebe po zagotavljanju pravne varnosti, enotne uporabe prava in pomena za razvoj prava preko sodne prakse. Nadalje naj bi kršitve 8. člena ZVOP-1 predstavljale veliko večino kršitev, ki jih informacijski pooblaščenec obravnava v praksi in glede katerih vodi prekrškovne postopke, zato meni, da so izpostavljene nejasnosti in sporna ter odprta vprašanja s stališča pravne varnosti in enotne uporabe prava nevzdržna.  Izpostavlja tudi, da zaradi različne oziroma neenotne razlage zakonskih določb prihaja tudi že do razhajanj pri sodni praksi.