2.2. VARSTVO OSEBNIH PODATKOV

2.2.1. Splošno

S spremembami in dopolnitvami Zakona o varstvu osebnih podatkov (ZVOP-A), ki jih je sprejel Državni zbor RS na seji dne 26. 6. 2001, veljati pa je začel 24. 7. 2001, je varuh človekovih pravic dobil novo zadolžitev tudi kot neodvisna institucija za varstvo osebnih podatkov. Zakon določa, da v tej vlogi varuh neposredno nadzoruje spoštovanje predpisov o varstvu osebnih podatkov pri upravljavcih zbirk in pri uporabnikih osebnih podatkov, spremlja oziroma nadzira delo Inšpektorata za varstvo osebnih podatkov, svetuje v zadevah na tem področju, sodeluje v postopkih sprejemanja predpisov in opravlja druge naloge na podlagi zakona. Varuh mora v skladu z zakonom določiti namestnika, ki je posebej zadolžen za izvajanje nalog na tem področju ter v treh mesecih po uveljavitvi zakona uskladiti svojo notranjo organizacijo in sistemizacijo z določbami ZVOP-A.

Na podlagi 29. f člena ZVOP-A je varuh (22. 10. 2001) določil namestnika varuha Jerneja Rovška, ki je poleg drugih področij zadolžen tudi za področje varstva osebnih podatkov. Hkrati je predlagal dopolnitve poslovnika varuha, in sicer je v 11. členu, ki opredeljuje področja dela varuha, predlagal tudi novo področje varstva osebnih podatkov. Zakon (29. e člen) in poslovnik (drugi odstavek 40. člena) določata, da letno poročilo varuha vsebuje tudi ugotovitve, predloge in priporočila o stanju na področju varstva osebnih podatkov, če varuh o tem ne pripravi posebnega letnega poročila. Pozitivno mnenje k dopolnitvam poslovnika varuha je pristojno delovno telo DZ dalo 22. 11. 2001. Tako so bile dopolnitve Poslovnika varuha človekovih pravic objavljene v Ur. listu št. 101 z dne 13. 12. 2001. Poseben svetovalec za področje varstva osebnih podatkov je nastopil delo pri varuhu v začetku decembra 2001.

V letu 2001 se je, tudi na podlagi nove zadolžitve varuha na podlagi ZVOP-A, število prejetih pobud na tem področju povečalo skoraj za trikrat, vendar pa obravnavano obdobje ter število in vsebina v tem času obravnavanih zadev po naši oceni še ne dajejo podlage za izdelavo posebnega poročila za to področje.

Varovanje osebnih podatkov je ustavno zavarovana pravica in sodi med temeljne človekove pravice in svoboščine. Slovenija je bila med prvimi državami, ki so to pravico postavile na raven ustavno zavarovanih pravic, in je med tistimi, ki so z zakonom celovito uredile zbiranje, obdelovanje, namen uporabe in varstvo tajnosti osebnih podatkov. Vendar pa ustavna zagotovila in zakonska ureditev varovanja te pravice ne pomenijo veliko, zlasti za tiste, ki se jim pravice na tem področju kršijo, če niso hkrati zagotovljeni učinkoviti mehanizmi nadzora in varovanja. Ravno to so našemu zakonu predstavniki Evropske unije očitali v postopku usklajevanja z zakonodajo Evropske unije - namreč, da nimamo posebne neodvisne institucije za varovanje osebnih podatkov, ki jo predvideva direktiva 95/46/EC Evropskega parlamenta in Sveta o zaščiti posameznikov pri obdelavi osebnih podatkov in o prostem gibanju takih podatkov. Za uskladitev naše ureditve s to direktivo je bilo v obravnavi več možnosti. V obravnavi so bili tudi predlogi, da bi te naloge prevzela posebna javna agencija, delovno telo državnega zbora ali da bi se za to področje imenoval poseben varuh. Vsaka od rešitev ima nekatere dobre in slabe strani. Na koncu je prevladalo stališče, da bi bila ustanovitev posebnega organa za Slovenijo verjetno neracionalna glede na število prebivalcev in pričakovano število zadev na tem področju. Vendar pa obveznosti varuha človekovih pravic v vlogi neodvisnega organa za varstvo osebnih podatkov, ki se kažejo v zahtevnosti obravnavanih zadev, predvsem pa posledično sodelovanje v Delovni skupini komisije Evropske komisije za varstvo osebnih podatkov, ki je bila ustanovljena na podlagi 29. člena direktive 95/46/EC, kažejo, da bo v sedanji zasedbi težko kakovostno izpolniti vse naloge na tem področju. Navedena delovna skupina se je namreč odločila, da pri svojem delu vključi tudi neodvisne organe na tem področju iz držav kandidatk, ki lahko enakopravno sodelujejo pri delu skupine, nimajo pa pravice glasovanja in odločanja. Delovna skupina obravnava pomembna vsebinska vprašanja uresničevanja direktive Evropske unije s tega področja, kar prinaša tudi nove naloge za naš urad in državo. Še posebej se lahko v prihodnosti pokaže kot problematično pokrivanje sorodnih področij (na primer dostop do informacij javne narave) na tak način, če bo z zakoni sprejeta rešitev, da varuh človekovih pravic na tak način pokriva neodvisni nadzor tudi na drugih področjih.

Na podlagi ZVOP-A varuh človekovih pravic izvaja neodvisen nadzor varstva osebnih podatkov (členi 29.a do 29.g). Na podlagi zakona (29.c člen), varuh nadzoruje spoštovanje predpisov o varstvu osebnih podatkov pri upravljavcih zbirk osebnih podatkov in pri uporabnikih osebnih podatkov. Pri opravljanju te naloge svetuje v vseh zadevah, ki se nanašajo na obdelavo osebnih podatkov, in sodeluje v postopkih sprejemanja predpisov, ki urejajo varstvo osebnih podatkov, obravnava in preiskuje pobude in predloge glede varstva osebnih podatkov in njihovih kršitev, spremlja delo inšpektorata za varstvo osebnih podatkov in predlaga ukrepe za izvajanje nadzorstva in za varstvo osebnih podatkov, na lastno pobudo pregleduje uresničevanje določb tega zakona ter opravlja druge naloge, določene z zakonom. Če s tem zakonom ni drugače določeno, se za postopek neodvisnega nadzora varstva osebnih podatkov smiselno uporabljajo določbe Zakona o varuhu človekovih pravic.

S tem, ko varuh za izvajanje nalog na področju varstva osebnih podatkov določi enega od namestnikov, je dosežena določena individualizacija opravljanja te naloge, hkrati pa se ne posega v notranjo organizacijo in delitev dela pri varuhu.

Nadzor nad uresničevanjem ZVOP je po zadnjih spremembah zakona treba upoštevati celovito; skupaj je treba obravnavati pristojnosti in vlogo inšpektorata za varstvo osebnih podatkov in varuha v vlogi neodvisnega nadzora.

Inšpektorat se je po spremembah zakona okrepil tako institucionalno kot z vidika njegovih pooblastil. Najpomembnejša novost je, da je inšpektorat po novem zakonu ustanovljen kot organ v sestavi ministrstva za pravosodje. Inšpektorat za varstvo osebnih podatkov o svojem delu poroča ministru in varuhu človekovih pravic. Tako je vzpostavljena odgovornost inšpektorata ne le v razmerju do ministra, v sestavi katerega deluje, temveč tudi v razmerju do varuha v vlogi neodvisne institucije.

Pri opravljanju nalog varuha na tem področju je treba ločiti dve situaciji. Kadar gre za državni organ, organ lokalne skupnosti ali druge nosilce javnih pooblastil, varuh lahko neposredno uporablja svoje pristojnosti, ki jih ima v skladu s svojim zakonom, in neposredno preiskuje posamične zadeve. Drugačne pa so njegove možnosti, kadar gre za organizacije ali posameznike zunaj njegove pristojnosti, torej za civilnopravne subjekte ali fizične osebe. V teh primerih lahko predlaga inšpektoratu, da opravi nadzor in sprejme ustrezne ukrepe. Nadzor varuha v tovrstnih zadevah bo posreden. Tudi v tem primeru pa sta mogoča dva načina: celotna zadeva se odstopi inšpektoratu ali se zahteva, da inšpektorat za varuha opravi posamezna dejanja, ki so v pristojnosti inšpektorata.

V vsakem primeru je odločitev o tem, ali bo zadevo sprejel neposredno v obravnavo ali jo odstopil inšpektoratu, varuhova. Menimo, da je pri obravnavanju posamičnih zadev na tem področju primerno spoštovati hierarhični pristop in omogočiti, da se z zadevami najprej seznani pristojni inšpektor in jih rešuje v skladu s svojimi pooblastili. Varuh se lahko vključi kasneje na predlog prizadetega, če ne bi bil zadovoljen z ukrepanjem inšpektorja, ali na predlog samega inšpektorja, če bi ta želel načelno mnenje varuha ob obravnavi konkretnega primera.

Na področju varstva osebnih podatkov pogosto pride do nasprotja med različnimi, tudi ustavno in zakonsko varovanimi pravicami. V takšnih primerih je treba tehtati, katera pravica ima v konkretnem primeru prednost. Na eni strani je pravica do varstva osebnih podatkov, ki se sooča s pravico do sodnega varstva ali uveljavljanja kakšne druge pravice ali interesa.

Čeprav v letu 2001 zadev na področju varstva osebnih podatkov še ni bilo posebej veliko, pa iz obravnavanih zadev lahko navedemo nekaj pomembnejših vsebinskih sklopov, zanimivejše posamične zadeve pa so predstavljene tudi v delu poročila, ki je opis posamičnih primerov.