Že hiter pregled določb novega ZVOP-2 pokaže, da vsebina presega obseg urejanja, ki je s pooblastili iz Splošne uredbe o varstvu podatkov dan državam članicam. Uvodna obrazložitev k predlogu ZVOP-2 iz lanskega julija tej ugotovitvi pritrjuje, saj izpostavlja, da je Republika Slovenija je v obdobju od leta 2012 do začetka leta 2016 predlogoma Splošne uredbe o varstvu podatkov in povezane Direktive o varstvu posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namen preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, iz načelnih sistemskih razlogov pretežno ali v celoti nasprotovala (obrazložitev se v tem delu sklicuje na stališči Državnega zbora Republike Slovenije z dne 23. 3. 2012, št. EPA 191-VI, EU U 393 in št. EPA 192-VI, EU U 394).
Kritika oziroma zadržki so izražali bojazen, da bo urejanje varstva osebnih podatkov na nivoju Evropske Unije znižalo že dosežen visok nivo ravni varstva osebnih podatkov v Sloveniji, da bo določilo pretirane obveznosti za upravljavce tudi z očitno pretiranimi upravnimi globami, kot pretirana pa so bila označena tudi pooblastila Evropski komisiji glede izdaje izvedbenih in delegiranih aktov. Slovenija je zagovarjala sprejem nove direktive (torej druge vrste pravnega akta) in si prizadevala, da ne bi prišlo do neutemeljenega zniževanja standardov varstva osebnih podatkov, ki bi bili nižji glede na primerljivi kazalnik – Direktivo 95/46/ES. Ta je bila prenesena v ZVOP-1.
Po sprejemu Splošne uredbe o varstvu podatkov je predlagatelj ZVOP-2 ocenil, da določbe Splošne uredbe glede obdelave osebnih podatkov na podlagi zakonitih interesov, naknadne obdelave osebnih podatkov v druge namene ter določbe o pooblaščenih osebah za varstvo osbenih podatkov, s ciljem unifikacije režimov varstva osebnih podatkov v posameznih državah članicah, morda pomenijo določeno stopnjo znižanja dosežene ravni varstva osebnih podatkov (zadnji odstavek na strani 3 obrazložitve k ZVOP-2 iz julija 2022). Da bi tveganje ublažil, je predlog ZVOP-2 pripravil tako, da se je v čim večji meri naslonil na t.i. pooblastilne klavzule, zlasti iz uvodnih določb Splošne uredbe, da bi ohranil nacionalno ureditev – to pa je v ZVOP-2 najbolj vidno pri urejanju obdelave osebnih podatkov zaradi izvajanja nalog v javnem interesu oziroma pri izvrševanju javne oblasti, pri obdelavi nekaterih posebnih vrst osebnih podatkov, osebnih podatkov umrlih oseb, obdelav osebnih podatkov v zgodovinskoraziskovalne, statistične oziroma arhivske namene in v nekaterih drugih primerih.
Če se tokrat pomudimo le pri ureditvi pravnega temelja iz točk c in e prvega odstavka 6. člena Splošne uredbe o varstvu podatkov, je treba izpostaviti tudi sklic predlagatelja na odločbo Ustavnega sodišča št. U-I-180/21, 14. 4. 2022 (Uradni list RS, št. 60/22). Naj na hitro spomnim, da je šlo v tej zadevi za presojo ustavnosti več vladnih odlokov v zvezi z obvladovanjem okužb s Covid-19, tudi Odloka o načinu ugotavljanja izpolnjevanja pogojev prebolevnosti, cepljenosti in testiranja v zvezi z nalezljivo boleznijo COVID-19 (Uradni list RS, št. 126/21). Predlagatelj, Informacijski pooblaščenec, je opozarjal, da iz izpodbijane ureditve ni razviden končni nabor osebnih podatkov, ki se lahko obdelujejo, kar je v neskladju z 38. členom Ustave. Ustavno sodišče je pretežno sledeč argumentom predlagatelja v točki 48. odločbe št. U-I-180/21, 14. 4. 2022 zapisalo, da iz Splošne uredbe o varstvu podatkov ne izhaja, da bi lahko država članica, če nalaga upravljavcem obdelavo osebnih podatkov za opravljanje nalog v javnem interesu ali pri izvajanju javne oblasti (točka (e) prvega odstavka 6. člena Splošne uredbe o varstvu podatkov) ali če z zakonom naloži upravljavcem obdelavo osebnih podatkov (točka (c) prvega odstavka 6. člena Splošne uredbe o varstvu podatkov), takšne posege upravičila zgolj na podlagi določb Splošne uredbe o varstvu podatkov. Smisel Splošne uredbe o varstvu podatkov, kot splošnega in temeljnega predpisa za varstvo osebnih podatkov v EU, je varstvo posameznika pred nedopustnim zbiranjem, hrambo, uporabo in razširjanjem podrobnosti njegovega osebnega življenja, ne pa blanketno dovolilo državi, da obdeluje osebne podatke.
Zato po odločitvi Ustavnega sodišča navedene določbe Splošne uredbe o varstvu podatkov same po sebi ne morejo pomeniti pravne podlage za obdelavo osebnih podatkov za namene opravljanja nalog v javnem interesu ali pri izvajanju javne oblasti, temveč šele terjajo vzpostavitev ustrezne pravne podlage, ki bo hkrati skladna z zahtevami Splošne uredbe o varstvu podatkov. Upoštevaje drugi odstavek 38. člena Ustave in ustaljeno ustavnosodno presojo, je takšna pravna podlaga v Republiki Sloveniji lahko le zakon. Splošna uredba o varstvu podatkov po prepričanju Ustavnega sodišča iz odločbe št. U-I-180/21 takšni ustavnopravni ureditvi ne nasprotuje.
Predlagatelj ZVOP-2 je v zgornji odločbi Ustavnega sodišča našel potrditev svojega razmišljanja oziroma izhodišče za urejanje pravnih temeljev iz točk c in e prvega odstavka 6. člena Splošne uredbe.
Če se vrnemo na Splošno uredbo, ki po mojem mnenju v tem delu ni tako nedoločena in ohlapna, lahko ugotovimo, da je po točki c prvega odstavka 6. člena obdelava osebnih podatkov zakonita, če je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca, po točki e prvega odstavka 6. člena pa, če je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu. Drugi odstavek 6. člena Splošne uredbe vsebuje pooblastilo državam članicam, da lahko ohranijo ali uvedejo podrobnejše določbe, da bi prilagodile uporabo pravil te uredbe v zvezi z obdelavo osebnih podatkov za zagotovitev skladnosti s točkama (c) in (e) odstavka 1, tako da podrobneje opredelijo posebne zahteve v zvezi z obdelavo ter druge ukrepe za zagotovitev zakonite in poštene obdelave, tudi za druge posebne primere obdelave iz poglavja IX. Po tretjem odstavku 6. člena se namen obdelave določi v pravu Evropske Unije ali pravu države članice ali pa je ta v primeru obdelave iz točke (e) odstavka 1 potrebna za opravljanje naloge, ki se izvaja v javnem interesu, ali pri izvajanju javne oblasti, dodeljene upravljavcu. Pravna podlaga lahko vključuje posebne določbe, s katerimi se prilagodi uporaba pravil iz te uredbe, med drugim: splošne pogoje, ki urejajo zakonitost obdelave podatkov s strani upravljavca; vrste podatkov, ki se obdelujejo; zadevne posameznike, na katere se nanašajo osebni podatki; subjekte, katerim se osebni podatki lahko razkrijejo, in namene, za katere se lahko razkrijejo; omejitve namena; obdobja hrambe; ter dejanja obdelave in postopke obdelave, vključno z ukrepi za zagotovitev zakonite in poštene obdelave, kot tiste za druge posebne primere obdelave iz poglavja IX.
Splošna uredba je tako v določbah 6 člena precej natančna pri določitvi obsega pooblastila državam članicam.
Opirajoč se na dano pooblastilo in zgoraj izpostavljeno odločbo Ustavnega sodišča, so bile v ZVOP-2 vnesene določbe 2., 3. in 4. odstavka 6. člena:
(2) Obdelava osebnih podatkov v javnem sektorju in v zasebnem sektorju je zaradi izvajanja zakonske obveznosti, javnega interesa ali izvajanja javne oblasti v primerih iz točk c) in e) prvega odstavka ter drugega in tretjega odstavka 6. člena Splošne uredbe zakonita le, če obdelavo osebnih podatkov, vrste osebnih podatkov, ki naj se obdelujejo, kategorije posameznikov, na katere se ti osebni podatki nanašajo, namen njihove obdelave in rok hrambe osebnih podatkov ali rok za redni pregled potrebe po hrambi določa zakon. Če je mogoče, se v zakonu določijo tudi uporabniki osebnih podatkov, posamezna dejanja obdelave in postopki obdelave ter drugi ukrepi za zagotovitev zakonite, poštene in pregledne obdelave.
(3) V javnem sektorju se lahko v skladu s prvim odstavkom tega člena obdelujejo osebni podatki posameznika, ki je dal privolitev za obdelavo svojih osebnih podatkov za enega ali več določenih namenov, če tako možnost določa zakon, sicer pa na podlagi privolitve, če ne gre za izvrševanje zakonskih pristojnosti, nalog ali oblastnih obveznosti javnega sektorja.
(4) Ne glede na določbe drugega odstavka tega člena se za izvrševanje točke e) prvega odstavka 6. člena Splošne uredbe lahko v javnemu sektorju izjemoma obdelujejo tisti osebni podatki, ki so nujno potrebni za izvrševanje zakonitih pristojnosti, nalog ali obveznosti javnega sektorja, če se s to obdelavo ne poseže v upravičen interes posameznika, na katerega se osebni podatki nanašajo.
Drugi odstavek gre pravzaprav razumeti kot napotilo zakonodajalcu – kako naj v zakonu ureja obdelavo osebnih podatkov zaradi izvajanja zakonske obveznosti, javnega interesa ali izvajanja javne oblasti. Tako izhaja tudi iz obrazložitve k členu, po kateri predlagani drugi odstavek določa, kaj mora biti vsebina področnega zakona. Upravljavec (če ravno ne govorimo o Državnem zboru) nima vpliva na zakonsko vsebino, vsaj ne neposrednega. Tako je težko razumeti, kakšno zavezo s strani upravljavca ustvarja predmetno določilo, kot je težko razumeti, kakšno zavezo tudi na strani zakonodajalca ustvarja zadnji stavek drugega odstavka, po katerem se, če je mogoče, v zakonu določijo tudi uporabniki osebnih podatkov, posamezna dejanja obdelave in postopki obdelave ter drugi ukrepi za zagotovitev zakonite, poštene in pregledne obdelave. Sama nisem mogla ugotoviti, kdaj bi bilo to mogoče ali kdaj bi bilo nemogoče v zakonu določiti tudi uporabnike, posamezna dejanja obdelave, postopki obdelave ipd. Z obrazložitvijo pa si v tem delu tudi ni bilo moč pomagati, saj ne vsebuje nobene podpore izpostavljenemu delu zakonske določbe. Glede na to, da je usmeritev zakonodajalcu dana že z 38. členom Ustave, se drugi odstavek 6. člena ZVOP-2 zdi nekoliko odveč, poleg tega od besedila Ustave tudi bistveno odstopa. 38. člen Ustave RS terja, da zbiranje, obdelovanje, namen uporabe, nadzor, in varstvo tajnosti osebnih podatkov določa zakon. Nikakor Ustava RS torej ne zahteva, da zakon določa tudi vrste osebnih podatkov, ki naj se obdelujejo, kategorije posameznikov, na katere se ti osebni podatki nanašajo, namen njihove obdelave in rok hrambe osebnih podatkov ali rok za redni pregled potrebe po hrambi določa zakon, in (če je mogoče) še uporabnike osebnih podatkov, posamezna dejanja obdelave in postopke obdelave ter druge ukrepe za zagotovitev zakonite, poštene in pregledne obdelave. To možnost je dala Splošna uredba, pri čemer jo je treba po mojem mnenju razumeti kot napotek zakonodajalcu, ta pa strogost prilagodi vrstam osebnih podatkov in invazivnosti posega v pravico do varstva osbenih podatkov pri izvajanju javne oblasti oziroma zasledovanju javnega interesa. Obdelave osebnih podatkov tudi pri izvajanju javne oblasti ali zasledovanju javnega interesa variirajo in niso vse enako invazivne za posamenzikovo informacijsko zasebnosti.
Seveda pa lahko v praksi pride do primerov, še posebej pri obdelavi posebnih vrst podatkov s strani državnih oblastnih organov, ko zakonska ureditev zaradi pravne varnosti posamenikov terja tako podrobno urejanje.
Četrti odstavek 6. člena ZVOP-2, četudi je izrecno opredeljen kot izjema, bo najbrž podpiral večino življenjskih primerov obdelave osebnih podatkov ne le v javnem interesu, pač pa v javnem sektorju. Po tej določbi je namreč v javnem sektorju dovoljena (sicer izjemoma) obdelava tistih osebni podatkov, ki so nujno potrebni za izvrševanje zakonitih pristojnosti, nalog ali obveznosti javnega sektorja, če se s to obdelavo ne poseže v upravičen interes posameznika, na katerega se osebni podatki nanašajo – tudi če obdelava ni določena v zakonu na način, ki je predviden v drugem odstavku.
Določba četrtega odstavka je po moji oceni pomanjkljiva vsaj v dveh vidikih. Najprej dopušča obdelavo osebnih podatkov v javnem interesu le v javnem sektorju. Pri tem pozablja, da javne naloge (javna pooblastila na primer) izvaja lahko tudi zasebni sektor. Ni jasno, ali in kako se bo aplicirala določba četrtega odstavka v primeru, ko naloge na primer po podeljenem javnem pooblastilu izvaja subjekt zasebnega sektorja, obdelava osebnih podatkov pa ni natančno urejena v zakonu. Določba je pomanjkljiva tudi zato, ker ne določa, niti ne nakazuje, na kakšen način naj upravljavec preveri (in kasneje izkaže), ali je obdelava osebnih podatkov nujna za izvedbo njegove naloge, pristojnosti v javnem interesu in da ne posega v upravičeni interes posameznika, na katerega se podatki nanašajo.
*****
Hiter pregled le treh odstavkov ene od določb v ZVOP-2 je pokazal, da je kljub dolgotrajnosti priprave predpisa v njem najti nedoslednosti in nedorečenosti. Te niso v korist pravni varnosti posameznikov niti niso v korist upravljavcem, ki se želijo v težnji po skladnosti obdelave s predpisi zanesti na novi ZVOP-2. Bomo potrebovali tolmačenje nadzornega organa ali samega Državnega zbora še preden začnemo ZVOP-2 uporabljati? V dobri stari maniri se zdi, da smo šli precej po svoje, četudi morda z dobrimi nameni.
Odvetnica mag. Rosana Lamut Strle
#ZVOP-2
#splosna-uredba-o-varstvu-podatkov
#varstvo-osebnih-podatkov
Comments