Predpisi, ki urejajo področje varovanja osebnih podatkov

Z vse večjim napredkom v tehnoloških panogah je prišlo do vse večjega zbiranja in upravljanja osebnih podatkov posameznikov. Posledično je bilo treba to področje pravno urediti, da se določijo obveznosti in pravice vseh akterjev, predvsem pa, da se osebni podatki zaščitijo pred zlorabo. Obdelava osebnih podatkov je dovoljena, če obdelavo osebnih podatkov in osebne podatke, ki se obdelujejo, določa zakon ali če je za obdelavo določenih osebnih podatkov podana osebna privolitev posameznika. V javnem sektorju privolitev ni veljavna pravna podlaga za obdelavo osebnih podatkov, razen če privolitev kot podlago predpisuje poseben zakon.

Ustava Republike Slovenije v 38. členu določa, da je varstvo osebnih podatkov ustavno določena in zaščitena pravica. Trenutno je na področju varstva osebnih podatkov v Sloveniji, do sprejema ZVOP-2, v veljavi Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 (v nadaljevanju: Splošna uredba o varstvu podatkov, v ang. General Data Protection Regulation ali GDPR). Na področju obravnavanja kaznivih dejanj se od 1. 1. 2021 uporablja Zakon o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (v nadaljevanju: ZVOPOKD). Ta zakon ureja varstvo pri obdelavi osebnih podatkov, ki jih določeni organi, ki so zakonsko določeni kot pristojni za področja preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, obdelujejo za namen izvrševanja svojih pristojnosti.


Zakoni, ki veljajo na področju varovanja osebnih podatkov

Na področju obravnavanja kaznivih dejanj se uporablja ZVOPOKD, za prekrške in ostala področja pa se uporablja (do uveljavitve ZVOP – 2) Splošna uredba o varstvu podatkov.


Evidence, ki jih vodi policija

ZNPPol v 123. členu določa, da policija za namene opravljanja policijskih nalog vodi in vzdržuje naslednje evidence:

  1. evidenco kaznivih dejanj;
  2. evidenco prekrškov;
  3. evidenco iskanih oseb;
  4. evidenco identifikacij;
  5. evidenco groženj uslužbencem policije;
  6. evidenco operativnih informacij;
  7. evidenco oseb, zoper katere so bili izvedeni prikriti preiskovalni ukrepi iz zakona, ki ureja kazenski postopek;
  8. evidenco preiskav DNK;
  9. evidenco dogodkov;
  10. evidenco oseb, ki jim je odvzeta prostost;
  11. evidenco varnostno preverjenih oseb;
  12. evidenco pritožb;
  13. evidenco uporabe prisilnih sredstev;
  14. evidenco daktiloskopiranih oseb;
  15. evidenco fotografiranih oseb;
  16. evidenco iskanih in najdenih predmetov;
  17. evidenco vstopov v objekte policije;
  18. evidenco izdanih odredb za prepoved približevanja;
  19. evidenco prikritih in namenskih kontrol;
  20. evidenco posnetkov policijskih postopkov in določenih javnih zbiranj;
  21. evidenco oseb, ki imajo prepoved udeležbe na športnih prireditvah;
  22. evidenco odrejenih ukrepov sodišč;
  23. evidenco zadržanih oseb po zakonu, ki ureja nadzor državne meje;
  24. evidenco fotorobotov;
  25. evidenco pogrešanih oseb;
  26. evidenco neidentificiranih trupel;
  27. evidenco operativnih zaznamkov;
  28. evidenco oseb za izločitev;
  29. evidenco gradiv spolnega izkoriščanja mladoletnih oseb;
  30. evidenco potnikov, prijavljenih na let (API);
  31. evidenco potnikov iz sistema rezervacij letalskih vozovnic (PNR)


Podatki, ki jih lahko posameznik zahteva na podlagi GDPR oz. ZVOPKOD

24. člen ZVOPOKD

(1) Posameznik, na katerega se nanašajo osebni podatki, ima pravico od pristojnega organa zahtevati podatek o tem, ali se obdelujejo njegovi osebni podatki, in kopijo ali izpis teh podatkov.

(2) Če se obdelujejo njegovi osebni podatki, ima posameznik pravico pridobiti konkretne informacije o:

  1. namenih obdelave in njihovi pravni podlagi;
  2. vrstah osebnih podatkov, ki se obdelujejo;
  3. uporabnikih ali kategorijah uporabnikov, ki so jim bili podatki razkriti, zlasti če gre za uporabnike v tretjih državah ali mednarodnih organizacijah, v primerih omejitev iz prvega odstavka 25. člena tega zakona pa se lahko navede le okvirni opis uporabnikov;
  4. roku hrambe ali roku za redni pregled potrebe po hrambi;
  5. obstoju pravice zahtevati popravek ali izbris podatkov ali omejitev obdelave in pravici do vložitve pritožbe pri nadzornem organu;
  6. obstoju pravice do vložitve prijave pri nadzornem organu in njegovih kontaktnih podatkih;
  7. vseh razpoložljivih informacijah o viru osebnih podatkov, razen če je identiteta vira varovana kot tajna ali zaupna po določbah zakona.

(3) Pristojni organ posamezniku iz razloga po 1. ali 2. točki prvega odstavka 25. člena tega zakona ne zagotovi informacij iz prejšnjega odstavka, kadar bi se s tem razkrila identiteta oseb, zoper katere se izvajajo prikriti preiskovalni ukrepi po zakonu, ki ureja kazenski postopek, ali zoper katere so razpisani ukrepi prikritega evidentiranja in namenske kontrole po zakonu, ki ureja naloge in pooblastila policije.

(4) Pristojni organ o zahtevi odloči brez nepotrebnega odlašanja, najpozneje pa v enem mesecu po prejemu zahteve. Odločba vsebuje tudi pouk o pravici do pritožbe pri nadzornem organu.

15. člen Splošne uredbe o varstvu podatkov

  1. Posameznik, na katerega se nanašajo osebni podatki, ima pravico od upravljavca dobiti potrditev, ali se v zvezi z njim obdelujejo osebni podatki, in kadar je temu tako, dostop do osebnih podatkov in naslednje informacije:
    (a) namen obdelave;
    (b) vrste zadevnih osebnih podatkov;
    (c) uporabnike ali kategorije uporabnika, ki so jim bili ali jim bodo razkriti osebni podatki, zlasti uporabnike v tretjih državah ali mednarodnih organizacijah;
    (d) kadar je mogoče, predvideno obdobje hrambe osebnih podatkov ali, če to ni mogoče, merila, ki se uporabijo za določitev tega obdobja;
    (e) obstoj pravice, da se od upravljavca zahteva popravek ali izbris osebnih podatkov ali omejitev obdelave osebnih podatkov v zvezi s posameznikom, na katerega se nanašajo osebni podatki, ali obstoj pravice do ugovora taki obdelavi;
    (f) pravico do vložitve pritožbe pri nadzornem organu;
    (g) kadar osebni podatki niso zbrani pri posamezniku, na katerega se ti nanašajo, vse razpoložljive informacije v zvezi z njihovim virom;
    (h) obstoj avtomatiziranega sprejemanja odločitev, vključno z oblikovanjem profilov iz člena 22(1) in (4), ter vsaj v takih primerih smiselne informacije o razlogih zanj, kot tudi pomen in predvidene posledice take obdelave za posameznika, na katerega se nanašajo osebni podatki.
  2. Kadar se osebni podatki prenesejo v tretjo državo ali mednarodno organizacijo, ima posameznik, na katerega se nanašajo osebni podatki, pravico biti obveščen o ustreznih zaščitnih ukrepih v skladu s členom 46 v zvezi s prenosom.
  3. Upravljavec zagotovi kopijo osebnih podatkov, ki se obdelujejo. Za dodatne kopije, ki jih zahteva posameznik, na katerega se nanašajo osebni podatki, lahko upravljavec zaračuna razumno pristojbino ob upoštevanju upravnih stroškov. Kadar posameznik, na katerega se nanašajo osebni podatki, zahtevo predloži z elektronskimi sredstvi, in če posameznik, na katerega se nanašajo osebni podatki, ne zahteva drugače, se informacije zagotovijo v elektronski obliki, ki je splošno uporabljana.
  4. Pravica do pridobitve kopije iz odstavka 3 ne vpliva negativno na pravice in svoboščine drugih.


Pooblaščena oseba za varstvo podatkov (ang. Data Protection Officer ali DPO) v Policiji

Boris OBOLNAR
POOBLAŠČENA OSEBA ZA VARSTVO PODATKOV
Ministrstvo za notranje zadeve
POLICIJA
Štefanova 2
1501 Ljubljana
01 428 40 09
Ta e-poštni naslov je zaščiten proti smetenju. Potrebujete Javascript za pogled.


Podatki, ki jih je mogoče pridobiti na podlagi 1. odstavka točke a 15. člena GDPR in 3. točke 24. člena ZVOPOKD (seznam uporabnikov, ki so jim bili posredovani osebni podatki)

Namen te določbe je, da omogoča nadzor nad upravljanjem osebnih podatkov posameznika. Pri tem pa je treba razločevati med notranjo in zunanjo sledljivostjo. Smisel te določbe ni, da se posameznik seznani z vsako specifično fizično in pravno osebo, ki je kadarkoli dostopala do njegovega katerega koli osebnega podatka (tj. notranja sledljivost), temveč da se oseba seznani z uporabniki, ki so dostopali do njegovih osebnih podatkov izven upravljavca (npr. Policija je posredovala osebne podatke sodišču itd.).

Zaščita njegovih osebnih podatkov in zakonitost obdelave je zagotovljena na način, da se v primeru suma zlorabe ali nezakonite obdelave osebnih podatkov poda zahteva za inšpekcijski nadzor pri Informacijskem pooblaščencu ali pa se sum zlorabe najavi Policiji, ta pa sproži interno preiskavo.


Obveznost posredovanja informacij

Zakon zavezuje upravljalce osebnih podatkov k posredovanju informacij. V primeru Policije je ta pristojna za upravljanje in zbiranje osebnih podatkov na podlagi 127. člena Zakona o nalogah in pooblastilih policije (v nadaljevanju: ZNPPol). ZNPPol tudi določa, kdaj se oseba lahko seznani z lastnimi podatki iz evidenc policije.


Obrazci

Za različne namene so predpisani različni obrazci:


Zavrnitev dostopa do zahtevane informacije

127. člen ZNPPol določa, pod katerimi pogoji se posameznik lahko seznani z lastnimi osebnimi podatki, prav tako pa določa tudi, da se seznanitev izvede v skladu z določbami zakona, ki ureja varstvo osebnih podatkov, in da sme Policija omejiti vpoglede v podatke o policistu, če je to potrebno za zagotovitev varnosti policista.

14. člen ZVOPOKD pa določa, da se lahko omeji pravica posameznika do seznanitve z osebnimi podatki v naslednjih primerih:

(1) Posameznik, na katerega se nanašajo osebni podatki, do dokončnosti odločitve v postopku uveljavljanja pravic po tem zakonu nima pravice do seznanitve z osebnimi podatki, če:

  1. bi to lahko glede na okoliščine konkretne zadeve škodovalo izvedbi uradnih postopkov ali varstvu ali uresničevanju človekovih pravic in temeljnih svoboščin tretjih oseb ter je omejitev vpogleda v osebne podatke nujna in sorazmerna ali
  2. mu je ta pravica omejena na podlagi 20. člena tega zakona.

(2) Če je posamezniku, na katerega se nanašajo osebni podatki, z zakonom prepovedan ali omejen dostop do ali seznanitev z osebnimi podatki, se mu tudi ne dovoli pregled in prepis dokumentov zadeve oziroma dela spisa pristojnega ali nadzornega organa, ki vsebuje te podatke.

(3) Po dokončnosti odločitve v postopku uveljavljanja pravic po tem zakonu lahko posameznik pregleda dokumente zadeve oziroma spisa v obsegu, dovoljenem z odločitvijo pristojnega ali nadzornega organa.

(4) Proti sklepu, s katerim se omeji seznanitev z osebnimi podatki, ni posebne pritožbe, sklep pa se sme izpodbijati skupaj z odločitvijo o glavni stvari.


Podatki, ki morajo biti dosegljivi na spletu

ZVOPOKD v 23. členu določa, da pristojni organ da na razpolago naslednje informacije:

  1. naziv in kontaktne podatke pristojnega organa;
  2. kontaktne podatke pooblaščene osebe za varstvo osebnih podatkov iz 55. člena;
  3. o namenih obdelave osebnih podatkov;
  4. o pravici do prijave pri nadzornem organu in njegove kontaktne podatke;
  5. o pravici, da od pristojnega organa zahteva dostop do osebnih podatkov in popravek ali izbris osebnih podatkov in omejitev obdelave osebnih podatkov, ter pravici do vložitve pritožbe pri nadzornem organu;
  6. pravno podlago obdelave.


Zahteva za seznanitev z osebnimi podatki

Osebni podatki so občutljivi podatki, ki so lastni posamezniku, zato je treba pri njihovi obdelavi (kar vsebuje tudi seznanitev) zagotavljati določen standard varnosti, da se nepooblaščeni osebi prepreči dostop. Skladno s tem ni mogoče zahteve podati ustno, lahko pa se jo poda ustno na zapisnik, na izpolnjenem obrazcu, preko pisnega zahtevka ali pa preko elektronskega sporočila (obrazec ali pisni zahtevek). Vsekakor pa je treba pri vsaki obliki zahtevka preveriti istovetnost posameznika, saj se le tako lahko prepreči dostop nepooblaščeni tretji osebi.

  • Postopek v primeru ustne zahteve

Zahtevek se zapiše na zapisnik in nato podpiše, predhodno pa je izvedeno preverjanje istovetnosti osebe.

  • Postopek v primeru pisne zahteve

Posameznik napiše pisni zahtevek oziroma izpolni obrazec (https://www.ip-rs.si/obrazci/varstvo-osebnih-podatkov/), ki ga nato izpolnjenega pošlje na naslov upravljavca osebnih podatkov.


Organ oz. upravljalec mora o zahtevi odločiti v roku enega meseca

Po ZVOPOKD (četrti odstavek 24. člena) ima pristojni organ dolžnost, da o zahtevi odloči brez nepotrebnega odlašanja, najpozneje pa v enem mesecu po prejemu zahteve. Odločba mora vsebovati tudi pouk o pravici do pritožbe pri nadzornemu organu.

Po Splošni uredbi o varstvu podatkov (3. točka 12. člena) ima upravljalec dolžnost, da o zahtevi odloči brez nepotrebnega odlašanja in v vsakem primeru v enem mesecu po prejemu zahteve. Ta rok se lahko po potrebi podaljša za največ dva dodatna meseca ob upoštevanju kompleksnosti in števila zahtev. Upravljavec obvesti posameznika, na katerega se nanašajo osebni podatki, o vsakem takem podaljšanju v enem mesecu po prejemu zahteve, skupaj z razlogi za zamudo.


Pritožbeni postopek

Stranka ima pravico pritožbe zoper odločbo, izdano na prvi stopnji. Pravico do pritožbe ima stranka tudi v primeru, če organ prve stopnje ni izdal odločbe o njeni zahtevi v določenem roku. Pritožbo vloži pri organu prve stopnje, ki preveri, če je pritožba podana v zakonskem roku, je dovoljena ter vložena s strani upravičene osebe, nato jo odstopi Informacijskemu pooblaščencu.

Pritožba je prosta upravne takse. Zoper odločitev Informacijskega pooblaščenca je dovoljen upravni spor.


Stroški v zvezi z dostopom do osebnih podatkov

Stroške v zvezi z zahtevo in vpogledom krije upravljavec osebnih podatkov. Plačilo se lahko zahteva le v primerih, ko organ izda večjo količino papirnatega gradiva. Materialni stroški se obračunajo po veljavnem ceniku.