Na podlagi sklepa Pooblaščenca ste v letu 2008 postali vodja državnih nadzornikov za varstvo osebnih podatkov. Ali nam lahko poveste, kako se je v tem času razvijala vloga državnih nadzornikov za varstvo osebnih podatkov?
Sama vloga in splošne pristojnosti državnih nadzornikov za varstvo osebnih podatkov, kot jih določa Zakon o varstvu osebnih podatkov in Zakon o informacijskem pooblaščencu, se v tem času ni spremila, pač pa se je v tem času razširil predvsem delokrog nalog, ki jih Informacijskemu pooblaščencu nalagajo zakoni, ki urejajo posamezna področja. Informacijski pooblaščenec in nadzorniki so tako z novim Zakonom o osebni izkaznici in novim Zakonom o potnih listinah dobili pristojnost za nadzor nad kopiranjem in hrambo kopij osebnih izkaznic in potnih listin. Po Zakonu o bančništvu in Zakonu o centralnem kreditnem registru so dobili pristojnost za nadzor nad obdelavo podatkov v sistemu za izmenjavo informacij o boniteti strank (SISBON), po Zakonu o potrošniških kreditih pa nadzor nad dajalci kreditov in kreditnimi posredniki v delu, ki se nanaša na informiranje, zbiranje in obdelavo osebnih podatkov pri izvedbi ocene kreditne sposobnosti potrošnika, ki jo mora dajalec kredita opraviti pred sklenitvijo kreditne pogodbe. Delokrog njihovih nalog se je še posebej razširil z Zakonom o elektronskih komunikacijah, po katerem državni nadzorniki za varstvo osebnih podatkov nadzorujejo notranje postopke o odzivanju na zahteve pristojnih organov za dostop do osebnih podatkov uporabnikov na podlagi področnih zakonov, postopke posredovanja prometnih in lokacijskih podatkov v primerih varovanja življenja in telesa posameznika, obdelavo osebnih podatkov v zvezi s sledenjem zlonamernih ali nadležnih klicev ter shranjevanje in pridobivanje podatkov s pomočjo piškotkov in podobnih tehnologij.
Kar zadeva delo državnih nadzornikov, ki imajo sicer podobna pooblastila kot inšpektorji, ki opravljajo inšpekcijski nadzor po Zakonu o inšpekcijskem nadzoru, je treba omeniti, da nadzorniki ne opravljajo zgolj inšpekcijskega nadzora, pač pa poleg tega opravljajo tudi druge naloge, ki jih zakon na področju varstva osebnih podatkov nalaga Informacijskemu pooblaščencu, kot na primer priprava neobveznih mnenj ter vodenje postopkov za izdajo dovoljenj za: iznos osebnih podatkov iz države, povezavo zbirk osebnih podatkov in izvajanje biometrijskih ukrepov. Vsekakor pa je pred nami obdobje, ki bo prineslo številne spremembe in nove pristojnosti, saj smo tik pred začetkom uporabe nove splošne evropske Uredbe o varstvu osebnih podatkov (GDPR), ki bo terjala organizacijske spremembe tudi na uradu Informacijskega pooblaščenca.
Kako se državni nadzorniki za varstvo osebnih podatkov izobražujete, da lažje sledite novostim na obravnavanem področju?
Državni nadzorniki se udeležujejo izobraževanj, ki jih v zvezi z vodenjem inšpekcijskih in prekrškovnih postopkov izvaja Upravna akademija, je pa res, da tudi Informacijski pooblaščenec zanje pripravlja še posebna izobraževanja, kot je npr. obdelava osebnih podatkov s sredstvi informacijske tehnologije. Ob tem morajo nadzorniki poleg procesnih in materialnih zakonov, ki določajo inšpekcijska pooblastila ter pravila vodenja inšpekcijskega in prekrškovnega postopka, tudi sami tekoče spremljati sprejemanje in spreminjanje zakonov in drugih predpisov, ki na posameznih področjih urejajo obdelavo osebnih podatkov. O spremembah navedenih predpisov, ki zadevajo delo nadzornikov, se razpravlja na naših kolegijih, kjer se nadzornikom predstavijo novosti na posameznem področju.
Glede na to, da se bo 25. 5. 2018 začela uporabljati splošna evropska Uredba o varstvu osebnih podatkov, smo sodelavci pri Informacijskem pooblaščencu v letu 2016 in 2017 za nadzornike in druge zaposlene, ki bodo izvajali naloge po tej uredbi, izvedli posebno interno predstavitev navedene uredbe po posameznih sklopih, tako da smo primerjali veljavno ureditev z novostmi, ki prihajajo, predstavili stališča delovne skupine WP 29, izpostavili odprta vprašanja, na katera bo moralo odgovoriti najprej Ministrstvo za pravosodje in nato zakonodajalec itd. Največ praktičnega znanja s področja varstva osebnih podatkov je namreč pri nas, varuhih zasebnosti v posameznih državah članicah.
S katero problematiko pa se državni nadzorniki za varstvo osebnih podatkov na terenu oz. v organizacijah najbolj pogosto srečujete?
Zavezanci v postopku inšpekcijskega nadzora praviloma dobro sodelujejo in ugotovljene nepravilnosti največkrat odpravijo že zgolj na podlagi opozorila državnega nadzornika, tako da izdaja odločbe za odpravo ugotovljenih nepravilnosti v večini primerov sploh ni potrebna.
Največji problem pri opravljanju inšpekcijskega nadzora predstavljajo zavezanci, ki nimajo poslovnih prostorov, pač pa le poštni nabiralnik ter zavezanci, ki imajo v Poslovni register kot pooblaščene osebe za zastopanje vpisane tuje državljane. V takšnih primerih gre pretežno za zavezance, ki se ukvarjajo s spletno prodajo ter osebne podatke zbirajo in uporabljajo za namene vsiljivega neposrednega trženja. Na pobudo Informacijskega pooblaščenca je to problematiko obravnaval Inšpekcijski svet, ki bo na podlagi prejetih predlogov rešitev inšpekcijskih organov pripravil predlog rešitev za pristojni ministrstvi, za Ministrstvo za gospodarski razvoj in tehnologijo ter Ministrstvo za pravosodje.
Problem predstavljajo tudi prijavitelji, ki vlagajo prijave, katerih namen ni varstvo javnega interesa ali vzpostavitev zakonitega stanja na področju varstva osebnih podatkov, pač pa nagajanje, medsebojno obračunavanje prijavitelj – zavezanec, želja po maščevanju ter poizkus reševanja medsebojnih sporov in uveljavljanja takšnih zasebnih interesov, ki jih v postopku inšpekcijskega nadzora Informacijskega pooblaščenca sploh ni mogoče uveljavljati. Prav veliko število takšnih prijav pa precej ovira opravljanje t.i. preventivnega inšpekcijskega nadzora na področjih, kjer bi se le ta moral več izvajati, saj z njimi predvsem naslovimo večje število posameznikov in velikokrat preverimo obdelavo tistih osebnih podatkov, ki našo pozornost posebej terjajo – govorim seveda o občutljivih osebnih podatkih, ki morajo biti posebej zavarovani, npr. o našem zdravstvenem stanju, našem poreklu, političnem prepričanju, itd. Državni nadzornik, ki prijavo obravnava, pa torej vsem takšnim prijaviteljem pošlje pisno obvestilo, v katerem prijavitelju obširno obrazloži razloge, zaradi katerih opisno ravnaje ne pomeni kršitev zakona oziroma zaradi katerih Informacijski pooblaščenec kot inšpekcijski oz. prekrškovni organ ni pristojen ukrepati, prijavitelji pa se na takšno obvestilo pogosto pritožijo in poizkušajo izsiliti ukrepanje oz. kaznovanje zavezanca.
Informacijski pooblaščenec je v Državni zbor RS posredoval Letno poročilo za leto 2016. Ali nam poveste, katera problematika je v letu 2016 najbolj izstopala oz. s čim ste se državni nadzorniki za varstvo osebnih podatkov najbolj pogosto ukvarjali?
Državni nadzorniki so se v letu 2016, podobno kot v preteklih letih, največ ukvarjali s prijavami, ki so bile vložene zaradi posredovanja osebnih podatkov nepooblaščenim uporabnikom, izvajanja videonadzora (zlasti v delovnih prostorih), zaradi uporabe osebnih podatkov za namene neposrednega trženja (zlasti zaradi suma nezakonitega pridobivanja osebnih podatkov za te namene ter neupoštevanja zahteve posameznika po prenehanju uporabe osebnih podatkov za te namene), zaradi preusmeritve in posledično branja elektronske pošte, ki prihaja na službeni elektronski naslov zaposlenih, prijave zaradi objave osebnih podatkov na spletnih straneh ter prijave zaradi pomanjkljivega zavarovanja osebnih podatkov.
Informacijski pooblaščenec vsako leto prejme tudi precej prijav in zahtev, s katerimi stranke v sodnih in upravnih postopkov zatrjujejo, da sodnik ali uradna oseba, ki vodi pravni postopek, za namene ugotavljanja dejanskega stanja nezakonito in nesorazmerno zbira osebne podatke, zaradi česar prijavitelji zahtevajo, da Informacijski pooblaščenec ukrepa zoper sodnika oz. pooblaščeno uradno osebo ter ji naloži, da v sodnem ali upravnem spisu uniči dokumentacijo, ki vsebuje domnevno nezakonito pridobljene osebne podatke. Državni nadzornik v takšnih primerih prijaviteljem pošlje obvestilo o neuvedbi inšpekcijskega postopka, v katerem pojasni, da Informacijski pooblaščenec skladno s sklepom Ustavnega sodišča RS iz leta 2013 inšpekcijskega nadzora nad izvajanjem Zakona o varstvu osebnih podatkov ne sme izvajati tako, da pri izvrševanju svojih zakonsko določenih pooblastil poseže v posamične pravne postopke, ki jih vodijo za to pristojni državni organi ter v inšpekcijskem postopku ne sme preverjati, ali se v konkretnih pravnih postopkih ustavnoskladno in zakonito spoštuje varstvo osebnih podatkov. Kot je v tem sklepu zapisalo Ustavno sodišče, bi bila zakonska podlaga, ki bi to omogočala, v nasprotju z načelom samostojnosti pristojnega državnega organa pri odločanju ter v nasprotju z rednim sistemom pravnih sredstev oz. vzpostavljeno hierarhično strukturiranostjo državne oblasti in s tem v nasprotju z načeli pravne države. Temu stališču Ustavnega sodišča pritrjuje tudi splošna evropska Uredba o varstvu osebnih podatkov, ki v zvezi s pristojnostjo neodvisnih nadzornih organov za varstvo osebnih podatkov izrecno določa, da nadzorni organi niso pristojni za nadzor dejanj obdelave sodišč, kadar delujejo kot sodni organ. Posamezniki lahko tako svoje pravice v zvezi z osebnimi podatki, ki so bili pridobljeni in se uporabljajo za namene odločanja v sodnih in drugih pravnih postopkih, uveljavljajo pred organom, ki vodi postopek, in sicer z uporabo ugovorov, rednih ali izrednih pravnih sredstev, v skladu z zakoni, ki urejajo pravni postopek v konkretni zadevi, ne morejo pa tega uveljavljati s prijavo, pritožbo oz. zahtevo, naslovljeno na Informacijskega pooblaščenca
Poleg obravnave prijav so državni nadzorniki s ciljem zagotavljanja čim višje možne ravni varstva osebnih podatkov izvajali tudi planirani t.i. ex offo inšpekcijski nadzor, ki se vsako leto izvajajo skladno s sprejetim letnim načrtom. Planirani inšpekcijski nadzor se je leta 2016 največ izvajal v policiji, zdravstvenih zavodih, bankah in hranilnicah, pri dajalcih potrošniških kreditov, zavarovalnicah, organih lokalne samouprave, v visokošolskih zavodih, srednjih šolah ter energetskih družbah.
Ali menite, da bo z novostmi za upravljavce in pogodbene obdelovalce glede obveznosti obveščanja o kršitvah varstva osebnih podatkov, imenovanje pooblaščenih oseb za varstvo podatkov, izvedbe ocene učinka predvidenih dejanj obdelave na varstvo osebnih podatkov, v nekaterih primerih obveznost predhodnega posvetovanja z nadzornim organom in druge, področje varstva osebnih bolj urejeno in s tem delo državnih nadzornikov na terenu lažje?
Iz določb splošne evropske Uredbe o varstvu osebnih podatkov je moč razbrati, da je ta predvsem preventivno naravnana, in sicer tako, da upravljavcem in obdelovalcem osebnih podatkov nalaga sprejem ukrepov, s pomočjo katerih bi se v največji možni meri zmanjšale oz. preprečile nezakonite, neupravičene in prekomerne obdelave osebnih podatkov. Izpolnjevanje zahtev, ki jih upravljavcem in obdelovalcem osebnih podatkov nalaga splošna evropska Uredba o varstvu osebnih podatkov, tako po mojem mnenju ne bo bistveno spremenila ali olajšala dela nadzornikov na terenu, bo pa, vsaj upam, dvignila nivo varstva osebnih podatkov. Preiskovalne in s tem povezane popravljalne oziroma inšpekcijske naloge Informacijskega pooblaščenca se z izjemo sodelovanja z nadzornimi organi drugih držav, ki se bo z uveljavitvijo splošne evropske Uredbe o varstvu osebnih podatkov občutno povečalo, po mojem mnenju ne bodo bistveno spremenile, pač pa se bodo bistveno povečala in spremenila predvsem pooblastila v zvezi z dovoljenji in svetovalnimi pristojnostmi, ki jih uredba nalaga nadzornemu organu. Ta nova pooblastila in pristojnosti nadzornega organa pa bodo zahtevala povečanje števila zaposlenih ter novo postavitev oziroma prilagoditev organizacijske strukture Informacijskega pooblaščenca.
Primož Dobravec E: info@varensvet.si