Predpisi, ki urejajo področje varovanja osebnih podatkov

S čedalje večjim napredkom v tehnoloških panogah je prišlo do čedalje večjega zbiranja in upravljanja osebnih podatkov posameznikov. Posledično je bilo treba to področje pravno urediti, da se določijo obveznosti in pravice vseh akterjev, predvsem pa, da se osebni podatki zaščitijo pred zlorabo. Njihova obdelava je dovoljena, če obdelavo osebnih podatkov in osebne podatke, ki se obdelujejo, določa zakon ali če je za obdelavo določenih osebnih podatkov podana osebna privolitev posameznika. V javnem sektorju privolitev ni veljavna pravna podlaga za obdelavo osebnih podatkov, razen če privolitev kot podlago predpisuje poseben zakon.

Ustava Republike Slovenije v 38. členu določa, da je varstvo osebnih podatkov ustavno določena in zaščitena pravica. Trenutno je na področju varstva osebnih podatkov v Sloveniji v veljavi Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 (v nadaljevanju: Splošna uredba o varstvu podatkov, angl. General Data Protection Regulation ali GDPR) in Zakon o varstvu podatkov (v nadaljevanju ZVOP-2) . Na področju obravnavanja kaznivih dejanj se od 1. 1. 2021 uporablja Zakon o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (v nadaljevanju: ZVOPOKD). Ta zakon ureja varstvo pri obdelavi osebnih podatkov, ki jih določeni organi, ki so zakonsko določeni kot pristojni za področja preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, obdelujejo za namen izvrševanja svojih pristojnosti.


Zakoni, ki veljajo na področju varovanja osebnih podatkov

Na področju obravnavanja kaznivih dejanj se uporablja ZVOPOKD , za prekrške in preostala področja pa se uporablja Splošna uredba o varstvu podatkov in ZVOP-2.


Evidence, ki jih vodi policija

ZNPPol v 123. členu določa, da policija za namene opravljanja policijskih nalog vodi in vzdržuje naslednje evidence:

  1. evidenco kaznivih dejanj;
  2. evidenco prekrškov;
  3. evidenco iskanih oseb;
  4. evidenco identifikacij;
  5. evidenco groženj uslužbencem policije;
  6. evidenco operativnih informacij;
  7. evidenco oseb, zoper katere so bili izvedeni prikriti preiskovalni ukrepi iz zakona, ki ureja kazenski postopek;
  8. evidenco preiskav DNK;
  9. evidenco dogodkov;
  10. evidenco oseb, ki jim je odvzeta prostost;
  11. evidenco varnostno preverjenih oseb;
  12. evidenco pritožb;
  13. evidenco uporabe prisilnih sredstev;
  14. evidenco daktiloskopiranih oseb;
  15. evidenco fotografiranih oseb;
  16. evidenco iskanih in najdenih predmetov;
  17. evidenco vstopov v objekte policije;
  18. evidenco izdanih odredb za prepoved približevanja;
  19. evidenco prikritih in namenskih kontrol;
  20. evidenco posnetkov policijskih postopkov in določenih javnih zbiranj;
  21. evidenco oseb, ki imajo prepoved udeležbe na športnih prireditvah;
  22. evidenco odrejenih ukrepov sodišč;
  23. evidenco zadržanih oseb po zakonu, ki ureja nadzor državne meje;
  24. evidenco fotorobotov;
  25. evidenco pogrešanih oseb;
  26. evidenco neidentificiranih trupel;
  27. evidenco operativnih zaznamkov;
  28. evidenco oseb za izločitev;
  29. evidenco gradiv spolnega izkoriščanja mladoletnih oseb;
  30. evidenco potnikov, prijavljenih na let (API);
  31. evidenco potnikov iz sistema rezervacij letalskih vozovnic (PNR)


Upravljavec zbirk osebnih podatkov

  • Upravljavec zbirk osebnih podatkov:
    • Ministrstvo za notranje zadeve Republike Slovenije, Policija, Štefanova ulica 2, 1501 Ljubljana, telefon: 01 428 40 00, e-pošta: Ta e-poštni naslov je zaščiten proti smetenju. Potrebujete Javascript za pogled., spletna stran www.policija.si

  • Informacija o pravici do vložitve pritožbe pri nadzornem organu:
    • Pritožbo lahko podate Informacijskemu pooblaščencu, Dunajska cesta 22, 1000 Ljubljana, e-pošta: Ta e-poštni naslov je zaščiten proti smetenju. Potrebujete Javascript za pogled., telefon: 01 230 97 30, spletna stran: www.ip-rs.si


Meritve hitrosti in meritve razdalj med vozili – evidenca prekrškov

V skladu s 13. členom Splošne uredbe o varstvu podatkov obveščamo, da Policija za namene izvajanja meritev hitrosti v cestnem prometu in namene izvajanja meritev razdalj med vozili obdeluje osebne podatke posameznikov. Podatki posameznika se obdelujejo samo v primeru, ko je bila dejansko zaznana kršitev (prekoračitev najvišje dovoljenje hitrosti, vožnja na neustrezni varnostni razdalji). Če kršitve ni bilo, se podatki posameznika ne obdelujejo. Osebni podatki se po zaznani kršitvi in opravljeni meritvi ter zajemu fotografije vozila in registrske tablice nadalje obdelujejo v sklopu prekrškovnega postopka. Podatki prekrškovnega postopka se hranijo v evidenci prekrškov (2. točka drugega odstavka 123. člena Zakon o naloga in pooblastilih policije ).

Policija je skladno s 13. členom Splošne uredbe o varstvu podatkov pripravila obvestilo zunanjim osebam glede obdelave osebnih podatkov v evidenci prekrškov, katere upravljavec je. Posamezniki se lahko seznanijo s splošnimi informacijami (kontaktni podatki upravljavca ter pooblaščene osebe za varstvo podatkov pri Informacijskem pooblaščencu) ter informacijami glede konkretne obdelave osebnih podatkov v evidenci, ki jo vodi Policija (na primer glede namenov obdelave, pravnih podlag za obdelavo osebnih podatkov, uporabnikov osebnih podatkov, prenosa osebnih podatkov, obdobja hrambe, pravic posameznikov in avtomatiziranega sprejetja odločitev).

  • Obrazložitev zakonitih interesov:  /
  • Uporabniki ali kategorije uporabnikov osebnih podatkov, če obstajajo:
    • Policija,
    • drugi prekrškovni organi, sodišča, državna tožilstva, drugi državni organi v okviru svojih pooblastil,
    • stranke oziroma udeleženci, ki so na podlagi procesnih zakonov upravičeni pregledovati in prepisovati spis v posamezni zadevi, ter preostali uporabniki, ki so za uporabo podatkov pooblaščeni z zakonom,
    • drugi uporabniki in državni organi, ki imajo za pridobivanje osebnih podatkov podlago v zakonu, osebni privolitvi posameznika ali pogodbenem razmerju na zakonski podlagi.
  • Informacije o prenosih osebnih podatkov v tretjo državo ali mednarodno organizacijo:
    • Podatki se ne prenašajo v tretje države ali mednarodne organizacije.
  • Obdobje hrambe osebnih podatkov ali, kadar to ni mogoče, merila, ki se uporabijo za določitev tega obdobja:
    • pravnomočne odločbe, sodbe oziroma sklepi o prekrških se iz evidenc iz 203. člena ZP-1 izbrišejo po poteku treh let od dneva pravnomočnosti odločb, vendar ne, dokler trajajo stranske sankcije (205. člen ZP-1 ),
    • tri leta po dnevu pravnomočnosti odločbe, če te ni, pa štiri leta po času storitve prekrška (128. člen ZNPPol ).
  • Informacije o obstoju pravic posameznika, da lahko zahteva dostop do osebnih podatkov in popravek ali izbris osebnih podatkov ali omejitev, ali obstoju pravice do ugovora obdelavi in pravice do prenosljivosti podatkov:
    • Posameznik lahko zahteva dostop do osebnih podatkov, ki se nanašajo nanj, ter pravico do popravka, ugovora, izbrisa ali omejitve, pri čemer pa se njegovi zahtevi lahko ugodi, le in ko so za to izpolnjeni pogoji, ki jih določa ZNPPol in Zakon o splošnem upravnem postopku.
  • Informacija o pravici do preklica privolitve, kadar obdelava temelji na privolitvi:
    • Obdelava ne temelji na privolitvi posameznika.
  • Informacije o tem:
    • ali je zagotovitev osebnih podatkov zakonska ali pogodbena obveznost:
      • Da. Zagotovitev osebnih podatkov je obvezna le za predlagatelja postopka o prekršku.
    • ali mora posameznik zagotoviti osebne podatke ter kakšne so morebitne posledice, če jih ne zagotovi:
      • Da. Predlagatelj postopka o prekršku mora skladno z Zakonom o prekrških in Zakonom o splošnem upravnem postopku zagotoviti tiste osebne podatke, ki so potrebni, da se vloga lahko obravnava, sicer se njegova vloga zavrže.
  • Informacije o obstoju avtomatiziranega sprejemanja odločitev, vključno z oblikovanjem profilov, ter vsaj v takih primerih smiselne informacije o razlogih zanj, kot tudi pomen in predvidene posledice take obdelave za posameznika, na katerega se nanašajo osebni podatki:
    • Avtomatizirano odločanje in/ali profiliranje se ne izvajata.


Podatki, ki jih lahko posameznik zahteva na podlagi GDPR oz. ZVOPKOD

24. člen ZVOPOKD

(1) Posameznik, na katerega se nanašajo osebni podatki, ima pravico od pristojnega organa zahtevati podatek o tem, ali se obdelujejo njegovi osebni podatki, in kopijo ali izpis teh podatkov.

(2) Če se obdelujejo njegovi osebni podatki, ima posameznik pravico pridobiti konkretne informacije o:

  1. namenih obdelave in njihovi pravni podlagi;
  2. vrstah osebnih podatkov, ki se obdelujejo;
  3. uporabnikih ali kategorijah uporabnikov, ki so jim bili podatki razkriti, zlasti če gre za uporabnike v tretjih državah ali mednarodnih organizacijah, v primerih omejitev iz prvega odstavka 25. člena tega zakona pa se lahko navede le okvirni opis uporabnikov;
  4. roku hrambe ali roku za redni pregled potrebe po hrambi;
  5. obstoju pravice zahtevati popravek ali izbris podatkov ali omejitev obdelave in pravici do vložitve pritožbe pri nadzornem organu;
  6. obstoju pravice do vložitve prijave pri nadzornem organu in njegovih kontaktnih podatkih;
  7. vseh razpoložljivih informacijah o viru osebnih podatkov, razen če je identiteta vira varovana kot tajna ali zaupna po določbah zakona.

(3) Pristojni organ posamezniku iz razloga po 1. ali 2. točki prvega odstavka 25. člena tega zakona ne zagotovi informacij iz prejšnjega odstavka, kadar bi se s tem razkrila identiteta oseb, zoper katere se izvajajo prikriti preiskovalni ukrepi po zakonu, ki ureja kazenski postopek, ali zoper katere so razpisani ukrepi prikritega evidentiranja in namenske kontrole po zakonu, ki ureja naloge in pooblastila policije.

(4) Pristojni organ o zahtevi odloči brez nepotrebnega odlašanja, najpozneje pa v enem mesecu po prejemu zahteve. Odločba vsebuje tudi pouk o pravici do pritožbe pri nadzornem organu.

15. člen Splošne uredbe o varstvu podatkov

  1. Posameznik, na katerega se nanašajo osebni podatki, ima pravico od upravljavca dobiti potrditev, ali se v zvezi z njim obdelujejo osebni podatki, in kadar je tako, dostop do osebnih podatkov in naslednje informacije:
    (a) namen obdelave;
    (b) vrste zadevnih osebnih podatkov;
    (c) uporabnike ali kategorije uporabnika, ki so jim bili ali jim bodo razkriti osebni podatki, zlasti uporabnike v tretjih državah ali mednarodnih organizacijah;
    (d) kadar je mogoče, predvideno obdobje hrambe osebnih podatkov ali, če to ni mogoče, merila, ki se uporabijo za določitev tega obdobja;
    (e) obstoj pravice, da se od upravljavca zahteva popravek ali izbris osebnih podatkov ali omejitev obdelave osebnih podatkov v zvezi s posameznikom, na katerega se nanašajo osebni podatki, ali obstoj pravice do ugovora taki obdelavi;
    (f) pravico do vložitve pritožbe pri nadzornem organu;
    (g) kadar osebni podatki niso zbrani pri posamezniku, na katerega se ti nanašajo, vse razpoložljive informacije v zvezi z njihovim virom;
    (h) obstoj avtomatiziranega sprejemanja odločitev, vključno z oblikovanjem profilov iz prvega in četrtega odstavka 22. člena, ter vsaj v takih primerih smiselne informacije o razlogih zanj, kot tudi pomen in predvidene posledice take obdelave za posameznika, na katerega se nanašajo osebni podatki.
  2. Kadar se osebni podatki prenesejo v tretjo državo ali mednarodno organizacijo, ima posameznik, na katerega se ti podatki nanašajo, v skladu s 46. členom pravico biti obveščen o ustreznih zaščitnih ukrepih v zvezi s prenosom.
  3. Upravljavec zagotovi kopijo osebnih podatkov, ki se obdelujejo. Za dodatne kopije, ki jih zahteva posameznik, na katerega se osebni podatki nanašajo, lahko upravljavec zaračuna razumno pristojbino ob upoštevanju upravnih stroškov. Kadar posameznik, na katerega se osebni podatki nanašajo, zahtevo predloži z elektronskimi sredstvi, in če posameznik, na katerega se ti podatki nanašajo, ne zahteva drugače, se informacije zagotovijo v elektronski obliki, ki je splošno uporabljana.
  4. Pravica do pridobitve kopije iz tretjega odstavka ne vpliva negativno na pravice in svoboščine drugih.


Podatki, ki jih je mogoče pridobiti na podlagi prvega odstavka točke a 15. člena GDPR in 3. točke 24. člena ZVOPOKD (seznam uporabnikov, ki so jim bili posredovani osebni podatki)

Namen te določbe je, da omogoča nadzor nad upravljanjem osebnih podatkov posameznika. Pri tem pa je treba razločevati med notranjo in zunanjo sledljivostjo. Smisel te določbe ni, da se posameznik seznani z vsako specifično fizično in pravno osebo, ki je kadarkoli dostopala do katerega koli njegovega osebnega podatka (tj. notranja sledljivost), temveč da se oseba seznani z uporabniki, ki so dostopali do njegovih osebnih podatkov izven upravljavca (npr. Policija je posredovala osebne podatke sodišču itd.).

Zaščita njegovih osebnih podatkov in zakonitost obdelave sta zagotovljeni tako, da se v primeru suma zlorabe ali nezakonite obdelave osebnih podatkov poda zahteva za inšpekcijski nadzor pri Informacijskem pooblaščencu ali pa se sum zlorabe najavi Policiji, ta pa sproži interno preiskavo.


Obveznost posredovanja informacij

Zakon zavezuje upravljalce osebnih podatkov k posredovanju informacij. V primeru Policije je ta pristojna za upravljanje in zbiranje osebnih podatkov na podlagi 127. člena Zakona o nalogah in pooblastilih policije (v nadaljevanju: ZNPPol). ZNPPol tudi določa, kdaj se oseba lahko seznani z lastnimi podatki iz evidenc Policije.


Obrazci

Za različne namene so predpisani različni obrazci:


Zavrnitev dostopa do zahtevane informacije

127. člen ZNPPol določa, pod katerimi pogoji se posameznik lahko seznani z lastnimi osebnimi podatki, prav tako pa določa tudi, da se seznanitev izvede v skladu z določbami zakona, ki ureja varstvo osebnih podatkov, in da sme Policija omejiti vpoglede v podatke o policistu, če je to potrebno za zagotovitev varnosti policista.

14. člen ZVOPOKD pa določa, da se lahko omeji pravica posameznika do seznanitve z osebnimi podatki v naslednjih primerih:

(1) Posameznik, na katerega se nanašajo osebni podatki, do dokončnosti odločitve v postopku uveljavljanja pravic po tem zakonu nima pravice do seznanitve z osebnimi podatki, če:

  1. bi to lahko glede na okoliščine konkretne zadeve škodovalo izvedbi uradnih postopkov, varstvu ali uresničevanju človekovih pravic in temeljnih svoboščin tretjih oseb ter je omejitev vpogleda v osebne podatke nujna in sorazmerna ali
  2. mu je ta pravica omejena na podlagi 20. člena tega zakona.

(2) Če je posamezniku, na katerega se nanašajo osebni podatki, z zakonom prepovedan ali omejen dostop do osebnih podatkov ali seznanitev z njimi, se mu tudi ne dovoli pregled in prepis dokumentov zadeve oziroma dela spisa pristojnega ali nadzornega organa, ki vsebuje te podatke.

(3) Po dokončnosti odločitve v postopku uveljavljanja pravic po tem zakonu lahko posameznik pregleda dokumente zadeve oziroma spisa v obsegu, dovoljenem z odločitvijo pristojnega ali nadzornega organa.

(4) Proti sklepu, s katerim se omeji seznanitev z osebnimi podatki, ni posebne pritožbe, sklep pa se sme izpodbijati skupaj z odločitvijo o glavni stvari.


Podatki, ki morajo biti dosegljivi na spletu

ZVOPOKD v 23. členu določa, da pristojni organ da na razpolago naslednje informacije:

  1. naziv in kontaktne podatke pristojnega organa;
  2. kontaktne podatke pooblaščene osebe za varstvo osebnih podatkov iz 55. člena;
  3. namene obdelave osebnih podatkov;
  4. pravico do prijave pri nadzornem organu in njegove kontaktne podatke;
  5. pravico, da od pristojnega organa zahteva dostop do osebnih podatkov in popravek ali izbris osebnih podatkov in omejitev obdelave osebnih podatkov, ter pravici do vložitve pritožbe pri nadzornem organu;
  6. pravno podlago obdelave.


Zahteva za seznanitev z osebnimi podatki

Osebni podatki so občutljivi podatki, ki so lastni posamezniku, zato je treba pri njihovi obdelavi (kar vsebuje tudi seznanitev) zagotavljati določen standard varnosti, da se nepooblaščeni osebi prepreči dostop. Skladno s tem ni mogoče zahteve podati ustno, lahko pa se jo poda ustno na zapisnik, na izpolnjenem obrazcu, prek pisnega zahtevka ali pa prek elektronskega sporočila (obrazec ali pisni zahtevek). Vsekakor je treba pri vsaki obliki zahtevka preveriti istovetnost posameznika, saj se le tako lahko prepreči dostop nepooblaščeni tretji osebi.

  • Postopek v primeru ustne zahteve

Zahtevek se zapiše na zapisnik in nato podpiše, predhodno pa je izvedeno preverjanje istovetnosti osebe.

  • Postopek v primeru pisne zahteve

Posameznik izpolni obrazec oziroma napiše pisni zahtevek (https://www.ip-rs.si/obrazci/varstvo-osebnih-podatkov/), ki ga nato izpolnjenega pošlje na naslov upravljavca osebnih podatkov.


Organ oz. upravljavec mora o zahtevi odločiti v roku enega meseca

Po ZVOPOKD (četrti odstavek 24. člena) ima pristojni organ dolžnost, da o zahtevi odloči brez nepotrebnega odlašanja, najpozneje pa v enem mesecu po prejemu zahteve. Odločba mora vsebovati tudi pouk o pravici do pritožbe pri nadzornem organu.

Po Splošni uredbi o varstvu podatkov (3. točka 12. člena) ima upravljavec dolžnost, da o zahtevi odloči brez nepotrebnega odlašanja in v vsakem primeru v enem mesecu po prejemu zahteve. Ta rok se lahko po potrebi podaljša za največ dva dodatna meseca ob upoštevanju kompleksnosti in števila zahtev. Upravljavec obvesti posameznika, na katerega se nanašajo osebni podatki, o vsakem takem podaljšanju v enem mesecu po prejemu zahteve, skupaj z razlogi za zamudo.


Pritožbeni postopek

Stranka ima pravico pritožbe zoper odločbo, izdano na prvi stopnji. Pravico do pritožbe ima tudi v primeru, če organ prve stopnje ni izdal odločbe o njeni zahtevi v določenem roku. Pritožbo vloži pri organu prve stopnje, ki preveri, ali je pritožba podana v zakonskem roku, je dovoljena ter jo vloži upravičena oseba, nato pa jo odstopi Informacijskemu pooblaščencu.

Pritožba je prosta upravne takse. Zoper odločitev Informacijskega pooblaščenca je dovoljen upravni spor.


Stroški v zvezi z dostopom do osebnih podatkov

Stroške v zvezi z zahtevo in vpogledom krije upravljavec osebnih podatkov. Plačilo se lahko zahteva le v primerih, ko organ izda večjo količino papirnatega gradiva. Materialni stroški se obračunajo po veljavnem ceniku.