2.2. VARSTVO OSEBNIH PODATKOV  

2.2.1. Splošno

Že v poročilu za leto 2002 smo opozorili na nekatere sistemske pomanjkljivosti varovanja osebnih podatkov v RS, tako na normativni ravni kot glede nadzornih mehanizmov. Naš Zakon o varstvu osebnih podatkov (ZVOP) je t. i. sistemski zakon, ki vzpostavljanje zbirk osebnih podatkov dovoljuje v javnem sektorju le na podlagi posebnega zakonskega pooblastila. Na vseh področjih družbenega življenja bi torej morali področni zakoni jasno in nedvoumno določiti, katere zbirke osebnih podatkov se bodo vzpostavile, vrsto osebnih podatkov, ki jih bo vsebovala posamezna zbirka, način zbiranja, čas shranjevanja, varstvo tajnosti in namen uporabe zbranih osebnih podatkov. Te zahteve sistemskega zakona, ki bolj ali manj nespremenjeno veljajo že več kot trinajst let, doslej v zakonodaji niso bile dovolj uresničene. To je razvidno tudi iz letnih poročil inšpektorata za varstvo osebnih podatkov. To prinaša velike probleme tako v praksi kot pri nadzoru izvajanja ZVOP. V javnem sektorju je torej zbirko osebnih podatkov mogoče vzpostaviti izključno na podlagi zakona. Tega ni mogoče storiti niti s podzakonskim predpisi. Če se torej pokaže potreba po vzpostavitvi nove zbirke osebnih  podatkov, na primer zaradi nove oblike bolezni, je treba sprejeti ali spremeniti področni zakon. V našem sistemu vzpostavljanja zbirk osebnih podatkov v javnem sektorju ni nobene druge možnosti. V zasebnem sektorju je mogoče obdelovati osebne podatke tudi na podlagi pisne privolitve prizadetega posameznika, pri čemer ZVOP zahteva, da mora biti posameznik pred privolitvijo pisno seznanjen z namenom obdelave podatkov, z namenom njihove uporabe in časom shranjevanja. Tudi ta določa je le redko dosledno upoštevana.

Jasno je, da tako strogih zahtev našega sistemskega zakona o varstvu osebnih podatkov ni mogoče uresničiti v takšni meri, da bi lahko rekli, da imamo to področje urejeno. Razkorak med normativnimi zahtevami na eni strani ter dejanskim spoštovanjem zakona in tudi vsakodnevnimi potrebami prakse, še posebej z razvojem informacijskih tehnologij na drugi, so privedle do številnih primerov nespoštovanja ZVOP. Naš inšpektorat za varstvo osebnih podatkov dosledno zastopa stališče, da je na tem področju prepovedano vse, kar ni izrecno (z zakonom) dovoljeno, hkrati pa tudi fizično ni zmožen preprečiti in sankcionirati vseh kršitev. Dva inšpektorja, od katerih eden izvaja tudi vodstvene naloge, ne moreta sankcionirati številnih primerov nespoštovanja ZVOP. Inšpektorat v takšni zasedbi lahko deluje le reaktivno na podlagi pritožb, manj možnosti pa ima za inšpekcijske preglede, nadzor ukrepov zavarovanja podatkov ipd. Ne more pa se posvetiti preventivnemu delovanju, ko bi lahko z izobraževanjem in ozaveščanjem posameznikov opozarjal na njihove pravice in morebitne zlorabe osebnih podatkov in tako dosegel premike na tem področju v smeri večjega spoštovanja zasebnosti. Majhna preventivna dejavnost vodi tudi v majhno število pritožb. Tako imamo v Sloveniji v primerjavi z drugimi državami zelo malo pritožb in nesorazmerno malo nadzornikov, ki bedijo nad posegi v zasebnost in varovanje osebnih podatkov. Že v prejšnjih letih smo tudi omenili, da večina predlogov inšpektorjev za varstvo osebnih podatkov pri sodnikih za prekrške zastara, tako da so primeri sankcij na tem področju zelo redki.

Potreben je nov zakon o varstvu osebnih podatkov
V poročilu za minulo leto smo predlagali, da bi bilo treba razmisliti o spremembi normativnega sistema varstva osebnih podatkov hkrati z oblikovanjem posebnega enotnega neodvisnega organa za nadzor nad vzpostavljanjem zbirk in uporabo osebnih podatkov. Takšna zahteva izhaja tudi iz Direktive 95/46/EC, ki v Sloveniji ni zadovoljivo urejena, kar ugotavlja tudi evropska komisija. DZ je na tej podlagi ob obravnavi našega poročila sprejel tri sklepe, ki zadevajo varstvo osebnih podatkov. V 3. sklepu je priporočil Vladi RS, naj zlasti zaradi razvoja novih tehnologij prouči povečanje pristojnosti ter strokovne samostojnosti inšpektorata za varstvo osebnih podatkov. V naslednjem sklepu pa, naj Vlada čimprej pripravi nov zakon o varstvu osebnih podatkov, ki bo usklajen z Direktivo EU 95/46/EC. Kakšne aktivnosti je vlada začela na podlagi omenjenih priporočil DZ, ne vemo.

Menimo, da bi morali z novim zakonom vzpostaviti bolj prilagodljive in v praksi laže uresničljive rešitve za vzpostavljanje zbirk osebnih podatkov na različnih področjih. Težko bo še naprej vztrajati na podmeni, da je za vzpostavitev vsake zbirke potrebna izrecna zakonska podlaga, ki mora nedvoumno določiti tako vrsto osebnih podatkov, ki se lahko zbira, kot tudi način in čas zbiranja in shranjevanja, namen uporabe, način varovanja in drugo, kar izhaja iz veljavnega ZVOP. Večina držav članic EU je z zakoni pooblastila neodvisne institucije za varstvo osebnih podatkov, da na podlagi zakonskih meril v posameznih primerih dovolijo vzpostavljanje zbirk osebnih podatkov ter hkrati določijo pogoje za njihovo uporabo in jo nadzirajo. Takšne rešitve omogočajo večjo prožnost pri vzpostavljanju novih zbirk ter omogočajo učinkovitejši in bolj odgovoren nadzor.

Potrebujemo neodvisno institucijo za varovanje osebnih podatkov
Direktiva EU v 28. členu zahteva, da vsaka država ustanovi popolnoma neodvisno institucijo za varovanje osebnih podatkov ravno zaradi izvajanja gornjih nalog. Neodvisnost je namreč neposredno povezana z nalogami in odgovornostjo takšne institucije. V skladu z direktivo naj bi neodvisni organ sodeloval pri vseh pripravah predpisov in drugih upravnih ukrepov pri varstvu svoboščin in pravic posameznikov pri obdelavi osebnih podatkov. Dajal naj bi tudi mnenja o upravičenosti vzpostavljanja zbirk in glede izjem, ki dovoljujejo njihovo vzpostavljanje, ob upoštevanju zakonskih meril. Neodvisen organ bi moral imeti tudi možnost neposrednega sodelovanja v upravnih in sodnih postopkih, vključno z možnostjo aktivne legitimacije v sodnih postopkih. Iz navedenih pristojnosti in pooblastil je razvidno, da mora biti neodvisen organ za varovanje osebnih podatkov v državi sposoben in pripravljen tehtati med različnimi pravicami in neodvisno sprejeti odločitev, ali in pod kakšnimi pogoji dovoli v posameznih primerih poseg v zasebnost.

Pri nas IVOP nima takšne vloge in ne tehta različnih pravic, ki so povezane z varstvom osebnih podatkov, na primer pravico javnosti, da je seznanjena z informacijami javne narave na eni strani in pravico do zasebnosti na drugi. Varstvo osebnih podatkov pa je izrazito takšno področje, ki pogosto terja tehtanje različnih pravic in na tej podlagi odločitev, katera pravica ima v posameznem primeru prednost. Naša sedanja ureditev izhaja iz domneve, da bodo takšno tehtanje opravili poslanci, ko bodo sprejemali zakonska pooblastila za vzpostavitev posameznih zbirk osebnih podatkov. Praksa je pokazala, da so bila takšna pričakovanja preveč idealistična.

Prekomeren poseg v zasebnost tudi z zakonom
Primer zakona, ki omogoča prekomerne posege v zasebnost in nesorazmerno zbiranje najbolj intimnih osebnih podatkov, je Zakon o zbirkah podatkov s področja zdravstvenega varstva (ZZPPZ). O vsebini zakona v DZ ni bilo veliko razprav, glavna vsebina pa je pravzaprav razvidna iz njegovih prilog, ki omogočajo uvedbo številnih zbirk osebnih podatkov na področju zdravstva, ki tako rekoč vse vsebujejo tudi EMŠO. Tako na primer evidenca obravnave uživalcev drog (IVZ 14) poleg EMŠO, spola, datuma rojstva, stalnega prebivališča in drugih identifikacijskih podatkov zahteva tudi zbiranje podatkov o spolni usmerjenosti, dotedanjih spolnih odnosih, številu spolnih partnerjev, uporabi kondoma, psihiatričnih diagnozah in celo o policijski in sodni obravnavi. Ob koncu leta 2003 smo začeli obravnavati pobudo enega od centrov za preprečevanje odvisnosti od drog, ki zelo nazorno kaže na prekomernost podatkov, ki se morajo zbirati, ter na pomanjkljivost postopka njihovega zbiranja, saj posameznik ni pisno seznanjen s tem, komu in za kakšne namene se ti podatki lahko posredujejo naprej. Posameznik, ki je stopil v stik s takšnim centrom, praviloma sploh ne ve, da se takšni podatki morajo zbirati in posredovati dalje Inštitutu za varovanje zdravja. Posredujejo pa se na način, ki brez večjih težav omogoča njihovo prepoznavo. ZZPPZ v evidencah večinoma predpisuje čas hranjenja 15 let ali celo trajno, podatki pa naj bi se v glavnem uporabljali za spremljanje in analiziranje posameznih bolezni. S kazenskimi določbami ZZPPZ so sankcionirani le tisti, ki ne zbirajo, obdelujejo in ne posredujejo zahtevanih podatkov, niso pa predpisane sankcije za primere zlorab tako zbranih podatkov. Tako je očitno, da je pri pripravi ZZPPZ, predvsem pa njegovih prilog, sodelovala v glavnem le ena stroka, to je zdravstvena stroka, ki ima interes zbirati čim več podatkov za svoje raziskovalne potrebe, ob tem pa očitno ni bilo opravljeno tehtanje z drugimi pravicami, to je posegi v zasebnost posameznika in možnosti zlorab tako zbranih osebnih podatkov. Ta primer najbolje ilustrira, da tudi najboljši namen sistemskega zakona lahko privede do drugačnih učinkov, to je do očitno čezmernega posega v zasebnost, četudi z zakonom. Če bi o tem odločala neodvisna institucija za varovanje osebnih podatkov, bi bil nabor podatkov, ki se morajo zbirati na področju zdravstva, prav gotovo bolj restriktiven in premišljen.

Rešitev, ki jo predlagamo, je oblikovanje takšnega zakona, ki bo na podlagi zakonskih meril omogočal vzpostavitev zbirk osebnih podatkov na podlagi soglasja neodvisne institucije za varovanje osebnih podatkov, ki bo prevzela tako odgovornost za vzpostavitev določenih zbirk kot odgovornost za nadzor njihove uporabe, zavarovanja, časa hranjenja in drugih podrobnosti, ki jih pogosto ni mogoče vnaprej predvideti z zakonom. Takšna institucija bi morala imeti pooblastila za delovanje tako v javnem kot v zasebnem sektorju. Sedanja ureditev, ko varuh izvaja nadzor, vendar v omejenem obsegu, le v javnem sektorju, inšpektorat pa na obeh z izvršnimi pooblastili, vendar pa ni neodvisen, je slaba in deležna kritik s strani organov EU. Slovenija je ena redkih pristopnic, ki nima oblikovane neodvisne institucije za varstvo osebnih podatkov z vsemi potrebnimi pooblastili tako v javnem kot zasebnem sektorju. Predlagana ureditev, o kateri menimo, da ni v nasprotju z 38. členom ustave, bi bila tudi v celoti usklajena z zahtevami Direktive 95/46/EC Evropskega parlamenta in Sveta o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem gibanju takšnih osebnih podatkov.

Policija naj ne razkriva identitete ovadenih
Neživljenjskost in neprožnost sedanjega sistema vzpostavljanja, uporabe in nadzora osebnih podatkov sta se pokazali tudi ob odločitvi policije, da na priporočilo inšpektorja za varstvo osebnih podatkov ob koncu leta 2003 ne bo več sporočala novinarjem začetnic imen in priimkov oseb, osumljenih kaznivih dejanj. Ukrep je naletel na pričakovano oster odziv novinarjev in medijskih hiš, ki se sklicujejo na pravico javnosti, da je seznanjena z za javnost pomembnimi podatki. Odločitev policije podpiramo, saj med drugim pomeni uresničitev predlogov, ki jih ponavljamo v svojih letnih poročilih od leta 1996 naprej. Takšno odločitev nam je minister za notranje zadeve obljubil že pred nekaj leti. Ob tem pa ostaja brez odgovora vprašanje, kdo bo prevzel odgovornost za odločitev, da se v izjemnih, za javnost pomembnih primerih le dovoli objava polnih imen. Z zadnjo odločitvijo je policija odgovornost za razkritje imen prenesla na novinarje, ki pa se seveda tej odgovornosti izogibajo. Inšpektor za varstvo osebnih podatkov na podlagi svojega stališča, da je prepovedano vse, kar ni izrecno dovoljeno, vidi rešitev v sprejetju zakonske določbe, ki bo upoštevala tako interes javnosti za pomembne podatke kot varstvo pravice do zasebnosti in varstvo osebnih podatkov. Menimo, da nobena zakonska določba ne more dovolj natančno razmejiti, katera pravica bo imela v posameznem primeru prednost. Takšno tehtanje je mogoče opraviti le ob upoštevanju vseh okoliščin posameznega primera in ga lahko opravi ustrezno usposobljena institucija ali posameznik, ki ima znanje in pooblastila, da lahko v konkretnih primerih priporoči, katera pravica naj ima prednost. Če prizadeta oseba zahteva sodno varstvo, pa bo končno odločitev vedno sprejelo sodišče. Tako tudi ta primer kaže, da je nujno spremeniti sedanjo ureditev ter vzpostaviti neodvisno in strokovno močno institucijo, ki bo sposobna tehtati med javnim in zasebnim interesom na področju varstva osebnih podatkov.

2.2.2. Obravnava pobud na področju varstva osebnih podatkov

V letu 2003 je število pobud, uvrščenih na področje varstva osebnih podatkov, v primerjavi s prejšnjim letom upadlo. Ocenjujemo, da je bilo največje število pobud dotlej v letu 2002 posledica v letu 2001 spremenjenega zakona o varstvu osebnih podatkov in novih pristojnosti varuha človekovih pravic na tem področju. Če so se pobude nanašale izključno na kršitve v zasebnem sektorju, smo jih posredovali IVOP s predlogom, da jih razišče in ukrepa v skladu s svojimi pristojnostmi in nam posreduje povratno informacijo. Ob tem moramo izreči kritiko inšpektoratu, saj v dveh primerih odgovorov nismo prejeli v predlaganih rokih in ju kljub ponovnim zahtevam nismo zaključili v letu 2003.

Po vsebini je še vedno največ pobud z različnimi vprašanji, kako je treba uresničevati in razlagati določila ZVOP v različnih življenjskih primerih. Veliko pobud je bilo prezgodnjih, saj po navedbah pobudnikov še ni prišlo do kršitev. Tako smo največkrat pobudnikom pojasnjevali, kako je treba razumeti določila ZVOP, in jih napotili na pristojne organe. To dokazuje, da je ozaveščenost o potrebnosti varovanja osebnih podatkov in zasebnosti v Sloveniji majhna, zato bi bilo treba na ravni države opraviti več izobraževalnih in promocijskih akcij.

Nezakonita objava izpitnih rezultatov študentov
Naše posredovanje je terjala pobuda, ko naj bi PF v Ljubljani na oglasni deski objavljala poleg imen in priimkov študentov tudi vse podatke o opravljenih testih, številu ponavljanj posameznih izpitov in podatke o tem, ali oseba opravlja izpit kot redni ali izredni študent. IVOP smo posredovali pobudo in mu predlagali, da opravi nadzor.

Po opravljenem nadzoru je IVOP ugotovil, da PF za takšno obdelavo osebnih podatkov nima podlage niti v zakonu niti v pisni privolitvi prizadetih posameznikov. Z odločbo, ki je bila po pritožbi na MP spremenjena, je bilo PF v Ljubljani odrejeno, da iz izpitnih rezultatov, ki se izobešajo na oglasne deske, ne bodo več razvidna osebna imena študentov. Izpitne rezultate, ki že visijo na oglasnih deskah in vsebujejo poleg drugih podatkov tudi osebna imena študentov, je bila PF zavezana brez odlašanja odstraniti. Na oglasni deski izobešeni izpitni rezultati lahko poleg podatkov, kot so predmet, predavatelj, datum izpita, vrsta ocene, prostor, čas, dovoljeno število prijav ter zaporedne številke vsebujejo le še vpisne številke študentov, ocene izpitov, podatke o številu ponavljanj in načinu študija. Zaradi suma kršitve posameznih določb ZVOP je bil zoper PF v Ljubljani in njeno odgovorno osebo podan tudi predlog za uvedbo postopka o prekršku.

Tožilstvo je skušalo nezakonito vzpostaviti zbirko osebnih podatkov o družinskem nasilju
To vprašanje smo raziskali na lastno pobudo. V enem naših spisov smo naleteli na dopis Okrožnega državnega tožilstva v Novem mestu, ki je bil naslovljen na generalno državno tožilko. V tem dopisu okrožni državni tožilec obvešča o vsebini akcijskega načrta za preprečevanje družinskega nasilja, ki naj bi vseboval tudi obveznost urada kriminalistične policije, da uvede zbirko podatkov o storilcih in družinah, kjer se dogaja družinsko nasilje. Takšna zbirka naj bi poleg podatkov o predobravnavnosti in predkaznovanosti vsebovala tudi podatke o socialni anamnezi potencialnih storilcev in obvestila drugih institucij (varne hiše, varuha človekovih pravic in institucij civilne družbe). Takšni in tako pridobljeni podatki naj bi služili učinkovitejšemu ukrepanju tožilcev ob prijavah primerov družinskega nasilja oziroma za lažjo utemeljitev pripornih razlogov.

Na podlagi naše zahteve Državnemu tožilstvu RS za pojasnila o vsebini in pravni podlagi za uvedbo omenjene zbirke osebnih podatkov smo prejeli odgovore okrožnega državnega tožilstva, ki je vztrajalo, da ne gre za zbirko osebnih podatkov po ZVOP, temveč za zakonit dogovor o operativnih metodah dela, ki temelji na določbah strokovnega navodila o sodelovanju policije in državnega tožilstva pri odkrivanju in pregonu storilcev kaznivih dejanj.

Generalni državni tožilki smo posredovali odgovor, v katerem smo sicer podprli namen zbiranja osebnih in drugih podatkov, ki naj bi služil učinkovitejšemu delu represivnih organov, vendar smo vztrajali, da gre za vzpostavitev zbirke osebnih podatkov, ki mora imeti podlago v zakonu. Ker se zavedamo problematike nasilništva v družini in potrebe po učinkovitejšem in tudi preventivnem delovanju, smo predlagali, da se vzpostavitev zbirke podatkov o storilcih kaznivih dejanj, povezanih z družinskim nasiljem, zakonsko uredi v skladu z zahtevami ZVOP. Menili smo, da je vzpostavitev takšnih zbirk brez zakonske podlage nezakonita.

Generalna državna tožilka je z našim mnenjem v celoti soglašala in o tem seznanila tudi vodjo Okrožnega državnega tožilstva v Novem mestu. Predlagala mu je, naj ne vztraja pri izvršitvi dogovora s policijo o vzpostavitvi zbirke podatkov o potencialnih storilcih kaznivih dejanj v družinah. Prek generalne policijske uprave je preverila in ugotovila, da policijska uprava v Novem mestu ne zbira nikakršnih obvestil niti ni vzpostavila zbirke podatkov, ki jo je predlagal vodja Okrožnega državnega tožilstva v Novem mestu. Zagotavlja, da policija ne bo vzpostavila zbirk podatkov, ki niso predvidene v 59. členu Zakona o policiji (ZPol).