univerza v mariboru - core.ac.uk · 3 povzetek v nalogi poleg podrobne predstavitve normativne...
TRANSCRIPT
UNIVERZA V MARIBORU
PRAVNA FAKULTETA
ŠPELA KOTNIK
VARSTVO OSEBNIH PODATKOV
ZAVAROVANCEV
Diplomsko delo
Maribor,2011
2
UNIVERZA V MARIBORU
PRAVNA FAKULTETA
DIPLOMSKO DELO
VARSTVO OSEBNIH PODATKOV ZAVAROVANCEV
Študent: Špela Kotnik Številka indeksa: 71152168 Študijski program: UNI-PRAVO Študijska smer: Korporacijsko pravo Mentor: doc. dr. Suzana Kraljić
Maribor, marec 2011
3
Povzetek
V nalogi poleg podrobne predstavitve normativne ureditve na nivoju Evropske Unije in
v Republiki Sloveniji predstavljam problematiko varstva osebnih podatkov pri
zavarovalnicah. Opisujem varstvo osebnih podatkov, kakor jih opredeljuje Zakon o
varstvu osebnih podatkov, kot tudi posamezni specialni zakoni, kot sta Zakon o
pacientovih pravicah ter Zakon o zavarovalništvu.
V diplomskem delu predstavim osnove varstva osebnih podatkov, njihov pomen in
njihovo varstvo. Za potrditev teze, da so osebni podatki, katere zahteva zavarovalnica
zbrani nesorazmerno z namenom za katerega se potrebujejo, pa se poslužujem mnenj in
odločb Informacijskega pooblaščenca ter pri tem ugotavljam ali sploh obstaja pravna
podlaga za zbiranje osebnih podatkov zavarovancev.
Skozi raziskovalno delo ugotovim, da obstajajo različne pravne podlage za zbiranje
osebnih podatkov zavarovancev, vendar pa je vseeno prisotno nesorazmerno zbiranje
osebnih podatkov zavarovancev, vsaj kar zadeva zdravstveno dokumentacijo
posameznikov. Pri tem je potrebno poudariti, da je vsak konkreten primer poseben in ga
je potrebno obravnavati posamezno. Pri tem pa morajo upravljavci osebnih storitev, v
tem primeru zavarovalnice, v nadaljnjem obdelovanju teh podatkov upoštevati načelo
sorazmernosti ter poštenosti.
Ključne besede: varstvo osebnih podatkov, zdravstvena dokumentacija, Zakon o
zavarovalništvu, pravna podlaga, sorazmernost.
4
Abstract
In this paper, in addition to detailed introduction to normative regulation on the
European Union level and the level of the Republic of Slovenia, I present issues in the
area of protection of insured people.
Throughout the paper I describe the institutes of protection of personal data as they are
generally regulated in Personal Data Protection Act and specifically in Patients Rights
Act and Insurance Act.
The leading thesis is that the personal data which is demanded from the insured is
disproportionate to the purpose for which it is provided. To resolve this dilemma I
include legal opinion and provisions given by Information Commissioner and discuss
whether or not there is a legal ground for demand of certain information.
The research led me to the conclusion that there are different legal grounds for
collecting personal data from the inured persons, however, the amount of gathered
information is disproportionate at least in insured's obligation to provide their health
documentation. Despite all this I have to designate the fact that there are considerable
distictions from case to case and we have to take each and every one individually, and
with this in their minds the insuring companies should account the principle of
proportion and righteousness.
Key words: personal data, medical documentation, Insurrance Act, legal grounds,
principle of proportion.
5
Kazalo 1. UVOD ........................................................................................................................... 7
2. OSEBNI PODATEK .................................................................................................... 9
2.1 Osebni podatek danes ........................................................................................... 10
3. VAROVANJE OSEBNIH PODATKOV V MEDNARODNEM PRAVU ............... 12
3.1 Splošna deklaracija o človekovih pravicah .......................................................... 12
3.2 Mednarodni pakt o državljanskih in političnih pravicah ...................................... 13
3.3 Evropska konvencija o človekovih pravicah ........................................................ 14
3.4 Evropsko sodišče za človekove pravice ............................................................... 15
3.5 Konvencija št. 108 o varstvu posameznikov glede na avtomatsko obdelavo osebnih podatkov ........................................................................................................ 16
4. VARSTVO OSEBNIH PODATKOV V OKVIRU EVROPSKE UNIJE .................. 17
4.1 Direktiva ES št. 95/46/ES o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov .......................................................... 18
4.2 Uredba ES št. 45/2001 o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah in organih Skupnosti in o prostem pretoku takih podatkov ..................... 20
4.3 Listina o temeljnih pravicah EU ........................................................................... 20
4.4 Sodna praksa Sodišča ES ...................................................................................... 21
4.4.1 Huber, C-524/06 ............................................................................................ 22
4.4.2. Rijkeboer, C-553/07 ..................................................................................... 23
4.4.3. Komisija proti Nemčiji, C-518/07 ................................................................ 25
5. UREDITEV VARSTVA OSEBNIH PODATKOV V REPUBLIKI SLOVENIJI .... 26
5.1 Ustava RS ............................................................................................................. 26
5.2 Zakon o varstvu osebnih podatkov (ZVOP-1) ..................................................... 27
5.2.1. Splošne določbe in temeljna načela ZVOP-1 ............................................... 29
5.2.2 Obdelava osebnih podatkov........................................................................... 31
5.2.3. Varstvo posameznikov (18.- 25. člen) .......................................................... 33
5.2.3.1 Točnost in ažurnost osebnih podatkov (18. člen) ................................... 33
5.2.3.2 Obveščanje posameznika o obdelavi osebnih podatkov (19. člen) ........ 33
5.2.3.3 Uporaba istega povezovalnega znaka (20. člen) .................................... 33
5.2.3.4 Rok hrambe osebnih podatkov (21. člen) ............................................... 34
5.2.3.5 Posredovanje osebnih podatkov (22. člen) ............................................. 34
5.2.3.6 Varstvo osebnih podatkov umrlih posameznikov (23. člen) .................. 35
5.2.3.7 Zavarovanje osebnih podatkov (24. in 25. člen) .................................... 35
5.2.4 Katalog zbirk osebnih podatkov in register zbirk (26.-28. člen) ................... 36
5.2.5 Pravice posameznika (29.-36. člen) ............................................................... 37
5.2.5.1 Vpogled v register (29. člen) .................................................................. 37
6
5.2.5.2 Pravica in postopek seznanitve (30.-31. člen) ........................................ 37
5.2.5.3 Pravica in postopek dopolnitve, popravka, blokiranja, izbrisa in ugovora (32.-33. člen)....................................................................................................... 38
5.2.5.4 Sodno varstvo pravic posameznika in njegova omejitev (34.-36. člen) . 39
5.2.6 Iznos osebnih podatkov (62.–71. člen ZVOP-1) ........................................... 40
5.2.7 Področne ureditve varstva osebnih podatkov ................................................ 41
5.2.7.1 Neposredno trženje (72.-73. člen) .......................................................... 41
5.2.7.2 Video nadzor (74.-77. člen) .................................................................... 42
5.2.7.3 Biometrija (78.-81. člen) ........................................................................ 42
5.2.7.4 Evidence vstopov in izstopov iz prostorov (82. člen) ............................ 43
5.2.7.5 Javne knjige in varstvo podatkov (83.-86. člen) ..................................... 44
5.3 Obligacijski zakonik ............................................................................................. 44
5.4 Kazenski zakonik, KZ-1 ....................................................................................... 46
6. ZAVAROVANCI IN VARSTVO NJIHOVIH OSEBNIH PODATKOV ................. 47
6.1 Pravna podlaga pri obdelovanju osebnih podatkov zavarovancev ....................... 48
6.2 Zbiranje osebnih podatkov zavarovancev ............................................................ 51
6.2.1 Zbiranje in obdelovanje občutljivih osebnih podatkov zavarovancev .......... 54
6.2 Posredovanje osebnih podatkov zavarovancev .................................................... 55
6.2.1 Posredovanje osebnih podatkov iz evidenc zavarovalnic.............................. 57
6.2.2 Posredovanje osebnih podatkov umrlih zavarovancev .................................. 58
6.3 Zavarovanje in hramba osebnih podatkov zavarovancev ..................................... 61
6.3.1 Primer opisa varovanja zbirke osebnih podatkov-Zavarovalnica Tilia ......... 64
6.3.2 Primer Zavarovalnice Maribor ...................................................................... 65
7. PRAVNO VARSTVO ................................................................................................ 67
7.1 Informacijski pooblaščenec .................................................................................. 67
7.2 Postopki zavarovalnic ........................................................................................... 69
7.2.1 Interni postopek zavarovalnic ........................................................................ 69
7.2.2 Postopek pri varuhu pravic s področja zavarovalništva ................................ 70
8. ZAKLJUČEK ............................................................................................................. 71
9. SKLEP ........................................................................................................................ 73
10. LITERATURA ......................................................................................................... 75
10.1 Monografija in članki ......................................................................................... 75
10.2 Pravni viri ........................................................................................................... 77
10.2.1 Slovenski pravni viri .................................................................................... 77
10.2.2 Mednarodni pravni viri ................................................................................ 78
10.2.3 Judikati ........................................................................................................ 79
10.3 Spletne strani ...................................................................................................... 80
7
1. UVOD
Pravica varstva osebnih podatkov se je pričela pozno uveljavljati in izvajati v pravnih
sistemih, saj se je večina modernih kršitev zasebnosti, kot so prisluškovanje pogovorom
prek telefonov, mikrofonov in elektronskih ojačevalcev, zbiranje, shranjevanje in
iskanje informacij z video kamerami, računalniki in podobno, začele omogočati šele
nove tehnologije. Prav tako pa so tudi vdori v zasebnost večje skupine oseb, bili pred
uporabo računalniških baz veliko težavnejši, saj so bile informacije o posameznikih
pogosto raztresene in težko dostopne.
Baze osebnih podatkov so bile shranjene v kartonskih škatlah, tako npr. pri zdravniku
zdravstveni kartoni, kot tudi na bankah in zavarovalnicah, podatki o komitentih in
zavarovancih. Ker je bilo do teh baz podatkov težje dostopati oziroma je bil potreben
osebni pristop vpogleda v te podatke, je bilo manj zlorab ali pa se ti niso evidentirali.
Varstvo osebnih podatkov je ena izmed kategorij pravic s področja zasebnosti. Njeno
varstvo je zagotovljeno že z Ustavo Republike Slovenije (Ur.l. RS št. 33/199),
podrobnejša pa je ureditev v temeljnem zakonu, ki ureja varstvo osebnih podatkov in v
raznih področnih zakonih. Z ustanovitvijo samostojnega nadzornega organa za varstvo
osebnih podatkov, Informacijskega pooblaščenca, pa se je zavedanje o pomembnosti
osebnih podatkov in njihova varnost povečala.
K raziskovanju tematike varstva osebnih podatkov zavarovancev me je spodbudila
globa Informacijskega pooblaščenca slovenskima zavarovalnicama zaradi nezakonite
obdelave osebnih podatkov v primeru, ko so bili iz ene zavarovalnice v drugo brez
ustrezne pravne podlage posredovani osebni podatki o 2382 nekdanjih zavarovancih, ti
podatki pa so bili nato uporabljeni za neposredno trženje.
Skozi diplomsko delo sem raziskovala na kakšen način lahko zavarovalnice pridobijo
naše osebne podatke in kakšne so pravne podlage za njihovo pridobivanje, koliko časa
se lahko hranijo naši osebni podatki, v katerih primerih sme upravljavec baze osebnih
podatkov le te posredovati drugemu upravljavcu osebnih podatkov ter kaj moramo
8
storiti da naše podatke izbrišejo iz svoje podatkovne baze. Prav tako pa sem ugotavljala
katere kršitve osebnih podatkov so pri nas najpogostejše ter kako se kršitelje kaznuje.
Skozi diplomsko delo sem se seznanila z osnovnimi pojmi varstva osebnih podatkov, z
varstvom osebnih podatkov zavarovancev ter z pravnim varstvom, ki nam je na voljo ob
morebitnih kršitvah. Seznanila sem se, kateri tuji pravni akti urejajo to področje, na
mednarodni ravni kot tudi v Evropski uniji ter s katerimi pravnimi akti je ta pravna smer
urejena v Sloveniji. Spoznala sem, kako so temeljna načela, kot so na primer načelo
določenosti, poštenosti in sorazmernosti varstva osebnih podatkov, pomembna pri
njihovi obravnavi. V času nastajanja raziskovalnega dela se je spremenila tudi
zakonodaja na področju zavarovalništva. Z ZZavar-H (Ur.l. RS št. 62/2010) so bile
spremenjene določbe ZZavar (Ur.l. RS št. 72/2006) skozi celoten zakon, kar seveda
pomeni, da so bile spremembe prisotne tudi v delu, ki ureja varstvo osebnih podatkov.
V primeru zavarovalnic in zbiranja osebnih podatkov, sem predvidela, da zavarovalnice
zbirajo nesorazmerno veliko osebnih podatkov glede na vrsto zavarovanja in te osebne
podatke pridobivajo od samih posameznikov ter od različnih oseb javnega in zasebnega
prava. Prav tako pa sem domnevala, da zavarovalnice za zbiranje podatkov o svojih
zavarovancih nimajo ustreznih pravnih podlag.
9
2. OSEBNI PODATEK
Ob razvoju sodobnih informacijsko-komunikacijskih tehnologij je postalo zelo
preprosto in dostopno zbiranje, analiziranje in izkoriščanje osebnih podatkov.
Vzporedno s poenostavljenim zbiranjem podatkov se je povečala tudi zloraba teh
podatkov.
Pojavile so se nove oblike marketinga oziroma neposrednega trženja, katerega bistvo je
vzpostavljanje odnosa s posameznikom na podlagi zbranih podatkov o njem.
Večinoma podatkov, ki jih zbirajo tržniki spadajo v sfero osebnih podatkov, njihova
obdelava pa mora zadostiti pogojem, ki jih določa zakonodaja s področja varstva
osebnih podatkov, saj mora biti obdelava zakonita in poštena, predvsem pa
transparentna.1
Za natančno in dosledno varovanje osebnih podatkov, pa je potrebno prvo opredeliti,
kaj vse je osebni podatek? Ni natančne opredelitve, kaj sploh lahko štejemo med osebne
podatke. Večinoma pa se pojem nanaša na podatke, ki ne glede na obliko, v kateri so
izraženi, kažejo na lastnost, stanje ali razmerja posameznika. Nanašajo se lahko
neposredno na osebne podatke, ki so razvidni iz raznih evidenc, na družinska vprašanja
posameznika, na njegov status.2
Temeljni zakon, ki v Sloveniji ureja varstvo osebnih podatkov je Zakon o varstvu
osebnih podatkov (Ur.l. RS št. 94/2007) v nadaljevanju ZVOP-1. Ta zakon ima že dolgo
zgodovino, vsaj kar se Slovenije tiče, saj je bil sprejet 7.3. 1990,3 še pred njeno
samostojnostjo. Slovenija pa je bila ena med prvimi, ki je varstvo osebnih podatkov
povzdignila na ustavno raven.4
1 Burnik Jelena, Privolitev posameznika v kontekstu neposrednega trženja, Pravna praksa, leto 28, št. 28, Ljubljana, 2009, str. 10-11. 2 Cvetko Aleksej, Varovanje zasebnosti v delovnih razmerjih, Gospodarski vestnik, Ljubljana, 1999, str. 45. 3 Zakon o varstvu osebnih podatkov (Uradni list RS, št. 8/1990 in 19/1991). 4 38. člen Ustava Republike Slovenije, Uradni list RS, št. 33/1991 (spremembe: Uradni list RS, št. 42/1997, 66/2000, 24/2003, 69/2004, 68/2006) .
10
ZVOP-1 zelo široko opredeljuje pojem osebnega podatka, saj določa, da je to katerikoli
podatek, ki se nanaša na posameznika, ne glede na obliko v kateri je izražen.5 Pojem
osebnega podatka pa je usklajen z definicijo osebnega podatka, ki jo vsebuje Direktiva
95/46/ES.6 Prav tako je bila v okviru te direktive ustanovljena delovna skupina 29,7 ki je
v svojem mnenju o pojmu osebnega podatka številka 4/2007, podala smernice, kako je
potrebno razumeti pojem osebnega podatka v luči te direktive in da je potrebno zaradi
razlik med praksami držav članic poenotiti pojem osebnega podatka. Skupina je podala
enotne smernice oziroma priporočila, kako bi bilo potrebno uporabljati nacionalna
pravila o varstvu osebnih podatkov.8
2.1 Osebni podatek danes
Delovna skupina 29 je v svojem mnenju nakazala, da bi bilo potrebno sprejeti takšno
definicijo osebnega podatka, ki bi bila dovolj široka, da bi lahko predvidela razvoj
dogodkov, zlasti v smeri razvoja informacijske tehnologije. Tako je Delovna skupina 29
pojasnila, da lahko o osebnem podatku govorimo, kadar so izkazani osnovni štirje
elementi, ki se tesno prepletajo. Prvi med temi elementi je pojem »katerakoli
informacija«. Delovna skupina 29 posebej poudarja, da pojem zajema vse vrste
kakršnihkoli trditev o osebi. Kot osebni podatek je mogoče šteti objektivne (npr.
prisotnost kisika v krvi konkretne osebe), kot subjektivne (npr. ali je konkretna oseba
dober delavec) informacije o neki osebi. Prav tako pa je kot osebni podatek klasificirana
informacija, ki ni nujno resnična in dokazana.
Drugi element je »ki se nanaša«. Ta opredelitev nam pomaga, da ugotovimo kdaj se
neka informacija nanaša na posameznika, se pravi se nanaša na njegovo identiteto,
lastnosti ali vedenje. Alternativno mora biti prisoten vsaj en element, bodisi element
»vsebine« (kadar govorimo o osebi), bodisi »namena« (kadar se bodo verjetno podatki
uporabili ali se uporabijo za namen ocenjevanja, določene obravnave ali vplivanja na
status ali položaj posameznika) ali »rezultata« (pri čemer končna moč nekega rezultata
5 ZVOP-1, 6. člen, točka 1. 6 »Osebni podatek pomeni katerokoli informacijo, ki se nanaša na določeno ali določljivo fizično osebo.« Direktiva 95/46/ES, 2. člen. 7 Delovna skupina 29 ali WP 29 je bila ustanovljena v skladu z 29. členom Direktive 95/46/ES in je neodvisen evropski organ za področje varstva osebnih podatkov in zasebnosti, njene naloge pa opredeljuje 30. člen iste direktive in 15. člen Direktive 02/58/ES. 8 Prelesnik Mojca, Pojem osebnega podatka, kot ga razume delovna skupina 29, ali kaj vse je osebni podatek, Pravna praksa, Ljubljana, 2008, leto 27, štev. 45, str. 6-8.
11
ni nujno velika, vendar dovolj, da se lahko posameznik zaradi obravnave teh podatkov
obravnava drugače od drugih oseb). Pri izvajanju ni težav glede tega, na koga se
določene informacije nanašajo v primerih t.i. samoumevnih zbirkah, kot so npr.
kadrovska mapa ali zdravstveni karton, saj se te informacije nanašajo na posameznike in
ne na predmet. Kadar pa se določena informacija nanaša na predmet, kot npr. podatek o
vrednosti nepremičnine, je to podatek, ki se nanaša na predmet in ne na osebo. Vendar
ta nepremičnina pripada nekomu in je tako podatek o premoženju konkretne osebe. V
primeru ugotavljanja, kolikšna je njegova davčna obveznost, pa bo ta podatek o
nepremičnini, vrednosti hiše, pomenil tudi osebni podatek.
Tretji element je »določena ali določljiva fizična oseba«. Ali je posameznik določen ali
določljiv je ponavadi ključno za reševanje konkretnih vprašanj v praksi. Identifikacija se
naredi z uporabo najrazličnejših informacij oziroma identifikatorjev (npr. ime, barva las,
poklic, funkcija, itd.). Določeno osebo lahko identificiramo posredno ali neposredno.
Za neposredno identifikacijo oseb se najpogosteje uporabljajo imena, priimki, za
posredno pa npr. registrske številke avtomobilov, številka kartice zdravstvenega
zavarovanja, številko potnega lista in tudi s kombinacijami različnih identifikatorjev.
Vendar pa je stopnja, kolikor so različni identifikatorji zadostni za identifikacijo
določene osebe, odvisna od okoliščin v vsakem posameznem primeru. Npr. zelo pogost
priimek v državi ne bo dovolj za identifikacijo posameznika v neki državi, v šolskem
razredu pa bo povsem zadostoval.
Pomembna so tudi sredstva za identifikacijo, saj je potrebno uporabiti vsa sredstva, ki
jih bo za določitev določene osebe, uporabil bodisi upravljavec bodisi katera druga
oseba. V primeru, da take možnosti ni ali pa je zanemarljiva, se oseba ne more šteti kot
določljiva in take informacije potem tudi niso osebni podatek. Kot npr. začasni IP-
naslovi, torej identifikacijska številka računalnika, je osebni podatek. Saj se lahko z
razumnimi sredstvi identificira uporabnike interneta, ki se jim dodeli IP-naslov. Vendar
so internetne kavarne izjeme, saj se tam identifikacija strank ne zahteva, torej ne gre za
identifikacijo z razumnimi sredstvi, zato v teh primerih tudi ne govorimo o osebnih
podatkih. Za vsak posamezen primer je potrebno določiti prag, pod katerim je
identifikacija osebe možna. 9
9 Prelesnik Mojca, Pojem osebnega podatka, kot ga razume delovna skupina 29, ali kaj vse je osebni podatek, Pravna praksa, Ljubljana, 2008, leto 27, štev. 45, str. 6-8.
12
Za obstoj osebnega podatka pa je ključno da se informacija nanaša na »fizično osebo«,
saj pravne osebe ne uživajo varstva v pravu varstva osebnih podatkov. Splošna
deklaracija človekovih pravic10 (v nadaljevanju SDČP) v 6. členu določa pojem fizične
osebe oziroma da ima vsakdo povsod pravico do priznanja pravne sposobnosti. Prav
tako pa je pomembno, da je pravica do varstva osebnih podatkov univerzalna, se pravi,
da ni omejena na državljane ali prebivalce države.
Osnovno vprašanje, kaj je osnovni podatek, je v okviru Delovne skupine 29,
odgovorjeno. Prikazani so bili posamezni elementi pojma osnovnega podatka ter njihovi
primeri, kdaj se lahko neka informacija ali podatek klasificira kot osebni podatek.
3. VAROVANJE OSEBNIH PODATKOV V MEDNARODNEM PRAVU
3.1 Splošna deklaracija o človekovih pravicah
Eden prvih temeljev mednarodnopravnega varstva človekovih pravic, je poleg
ženevskih konvencij,11 nedvoumno SDČP (1948). Generalna skupščina Organizacije
združenih narodov (OZN) jo je sprejela 10. decembra 1948. Vsebuje obsežen splošen
katalog človekovih pravic, ki naj bi jih države zajamčile in varovale v svojih
nacionalnih pravnih redih. Kljub temu, da SDČP ni pravno zavezujoč dokument, je
izjemnega pomena, saj je postala merilo uresničevanja človekovih pravic v posameznih
delih sveta, pa tudi izhodiščni temelj za sprejemanje univerzalnih in regionalnih aktov o
človekovih pravicah, kamor spada tudi pravica do zasebnosti.12 Vsebina SDČP je
namreč predstavljala pobudo za številne dejavnosti OZN ter za vrsto mednarodnih
pogodb in paketov, s katerimi so države podpisnice prevzele nove in bolj konkretno
opredeljene obveznosti glede priznavanja, uveljavljanja in varstva klasičnih človekovih
10 Splošna deklaracija človekovih pravic, Generalna Skupščina Združenih narodov, 10. december 1948, resolucija št. 217 A (III). 11 1. Ženevska konvencija o izboljšanju usode ranjenih in bolnih pripadnikov oboroženih sil na bojišču, 2. Ženevska konvencija o izboljšanju usode ranjenih in bolnih pripadnikov oboroženih sil na morju, 3. Ženevska konvencija o ravnanju z vojnimi ujetniki, 4. Ženevska konvencija o zaščiti civilnih oseb v času vojne, 12.8.1949, objavljene v Uradnem listu Prezidijuma Ljudske Skupščine FLRJ, št. 6/50 in 24/50. 12 Jambrek Peter, Perenič Anton, Uršič Marko, Varstvo človekovih pravic, Mladinska knjiga, Ljubljana, 1988, str. 433.
13
pravic in svoboščin. Tako so države članice OZN in podpisnice omenjenih mednarodnih
dokumentov prevzele obveznost, da v svojem notranjem pravu uveljavijo ne le načela iz
SDČP, temveč tudi konkretnejše določbe, ki so zaobjete v takšnih dokumentih. Tako so
obča moralna, civilizacijska, kulturna in politična načela prodrla v notranjepravne
ureditve.
SDČP je splošna deklaracija, vendar pa je v 12. členu določeno, da se nikogar ne sme
nadlegovati s samovoljnim vmešavanjem v njegovo zasebno življenje, v družino,
dopisovanje, pa tudi ne z napadi na čast in ugled, ter da ima vsakdo pravico do
zakonskega varstva pred takšnimi vmešavanji ali takšnimi napadi.13
3.2 Mednarodni pakt o državljanskih in političnih pravicah
Pravica do zasebnosti, pod katero spada tudi varovanje osebnih podatkov, uživa na
podlagi Mednarodnega pakta o državljanskih in političnih pravicah tudi
mednarodnopravno varstvo v okviru OZN, vendar to varstvo še zdaleč ni tako
učinkovito kot varstvo na podlagi Evropske konvencije o človekovih pravicah
(EKČP).14
Mednarodni pakt o državljanskih in političnih pravicah (v nadaljevanju Pakt), je bil
sprejet 16. decembra 1966, v Generalni skupščini OZN, veljati pa je začel 23. marca
1976.
Pravica do zasebnosti, imenovana tudi pravica do spoštovanja zasebnosti, družine,
doma, dopisovanja ter varstva časti in dobrega glasu, iz 17. člena Pakta se glasi :
» 1. Nikomur se ne sme nihče samovoljno ali nezakonito vmešavati v zasebno življenje,
v družino, v stanovanje ali dopisovanje ali nezakonito napadati njegovo čast in ugled.
13 Lampe Rok, Pravo človekovih pravic; Sistemi človekovih pravic v mednarodnem, evropskem in ustavnem pravu, Uradni list Republike Slovenije, Ljubljana, 2010, str. 86. 14 Glej poglavje 3.3 EKČP.
14
2. Vsakdo ima pravico do zakonskega varstva pred takim vmešavanjem ali pred takimi
napadi.«
Primarna funkcija 17. člena Pakta je obveznost države zagotoviti pravno varstvo pred
»samovoljnim in protipravnim vmešavanjem«. Pravno varstvo naj bo v obliki prepovedi
samovoljnega in protipravnega vmešavanja v pravico do zasebnosti ter vzpostavitvi
pravnega instrumentarija za njeno varstvo.
V nasprotju s SDČP, pa je Pakt mednarodnopravno zavezujoč dokument, ki države
članice zavezuje k spoštovanju njegovih določb. Na ta način pomeni pomemben korak
naprej in pomemben odraz dejstva, da so države članice OZN v samo približno
dvajsetih letih bile pripravljene prenesti pomemben del svoje suverenosti na
nadnacionalno raven in sprejeti zavezujoča pravila.
3.3 Evropska konvencija o človekovih pravicah
V okviru Sveta Evrope je bila 4. novembra 1950 v Rimu podpisana Evropska
konvencija o človekovih pravicah (v nadaljevanju EKČP), veljati pa je začela 3.
septembra 1953. EKČP je za varovanje zasebnosti zelo pomembna, zlasti njen 8. člen,
ki pravi :
»Pravica do spoštovanja zasebnega in družinskega življenja
1. Vsakdo ima pravico do spoštovanja njegovega zasebnega in družinskega življenja,
doma in dopisovanja.
2. Javna oblast se ne sme vmešavati v izvrševanje te pravice, razen, če je to določeno z
zakonom in nujno v demokratični družbi zaradi državne varnosti, javne varnosti ali
ekonomske blaginje države, zato, da se prepreči nered ali kaznivo dejanje, da se
zavaruje zdravje ali morala, ali da se zavarujejo pravice in svoboščine drugih ljudi.«
Da posameznika kot subjekta mednarodnega prava varuje mednarodnopravni dokument,
je z vidika pravice do zasebnosti postal realnost konec 70-ih let, dokončno pa s
sprejetjem Protokola 11 k EKČP in ustanovitvijo Evropskega sodišča za človekove
15
pravice (v nadaljevanju ESČP). Osnovna ideja mednarodnopravnega varstva človekovih
pravic (v tem primeru pravice do zasebnosti) s strani ESČP, kateremu se je država
pokoravala njegovi odločitvi, s tem ko je predala del njegove suverenosti, je postal del
mednarodne realnosti.15 EKČP, natančneje njen 8. člen, ne zagotavlja expressis verbis
varstvo osebnih podatkov posameznika, vendar pa zagotavlja posameznikov pravico do
spoštovanja (doma, dopisovanja, družinskega in zasebnega življenja), katere objekt
varstva je na podlagi kontinuirane prakse organov EKČP tudi tajnost osebnih podatkov
posameznika.16
3.4 Evropsko sodišče za človekove pravice
ESČP je bilo ustanovljeno leta 1998 in deluje v Strasbourgu. Deluje na podlagi EKČP
(1950) in Protokola 11 k tej konvenciji (sprejet 1994). Zamenjal je obstoječe nestalno
delujoče sodišče in komisijo z enotnim organom. Seznam odločenih primerov ESČP17
na podlagi pritožb zaradi kršitve pravice do zasebnosti iz 8. člena EKČP, ki sodijo pod
»pravico do spoštovanja zasebnega življenja« je iz leta v leto, iz meseca v mesec daljši.
Eden zanimivejših primerov pred ESČP nasploh je odločba v primeru Z. proti Finski,
9/1996/627/811, iz leta 1997.18 Ta primer je trdno jedro cele palete vprašanj v zvezi z
upravičenostjo posegov v pravico do zasebnosti pritožnice. Ta je bila priča v kazenskem
postopku zoper svojega moža, Afričana, ki je bil obtožen več kaznivih dejanj, od krvnih
do spolnih deliktov. Kot priča v postopku je bila večkrat izpostavljena vprašanju, ali je
HIV pozitivna. Ob nenehnem zavračanju odgovora na to vprašanje so državne oblasti
izvedle preiskavo njene zdravstvene dokumentacije, hranjene v neki bolnišnici, v kateri
se je pritožnica zdravila. To pa po mnenju ESČP ni pomenilo kršitve, ker je bil poseg
sorazmeren z drugim odstavkom 8. člena kršitev pravice do zasebnosti pritožnice Z. Na
15 Ravbar Nusdorfer Maja, Pravni vidiki varovanja osebnih podatkov s posebnim poudarkom na varovanju podatkov v zdravstveni dejavnosti, Maribor, 2008, str.14. 16 Lampe Rok, Pravo človekovih pravic; Sistemi človekovih pravic v mednarodnem, evropskem in ustavnem pravu, Uradni list Republike Slovenije, Ljubljana, 2010, str. 406. 17 Več na http://www.echr.coe.int/echr/Homepage_EN. 18 Case of Z. v. Finland, , C- 9/1996/627/811, Reports 1997-I.
16
vprašanje, ali je pomenilo kršitev zasebnosti pritožnice tudi zaslišanje njenih zdravnikov
kot prič o njenem zdravju, je ESČP odgovorilo, da v konkretnem primeru prav tako ni
šlo za kršitev prvega odstavka 8. člena zaradi interesov kazenskega postopka. Namesto
tega je sodišče kršitev pravice do zasebnosti videlo v dveh aktih finskega sodišča: 1.
sodba je odredila, da se lahko podatki iz spisa razkrijejo deset let po pravnomočnosti
sodbe, in 2. v objavi sodbe s strani prizivnega sodišča v Helsinkih sta bili razvidna
identiteta Z. ter njena zdravstvena dokumentacija.19
Ta primer je le eden izmed mnogih v kategoriji varovanja zasebnosti oziroma na
podlagi 8. člena EKČP. Na tem mestu pa je potrebno omeniti, da je na pomen
posameznikove zasebnosti ter varstva njegovih podatkov opozorila že OZN. Tako je že
leta 1973 in 1974 Generalni tajnik v dveh različnih poročilih20opozarjal pred
elektronskim prisluškovanjem, vohunjenjem, psihološkimi raziskavami tudi v
informacijski družbi. Tako je priporočal regulacijo varstva podatkov in seveda njihovo
spoštovanje s strani državne oblasti v treh temeljnih načelih: 1. zbirajo naj se le tisti
podatki, ki so izključno potrebni za dosego določenega cilja, za katerega se podatki
morajo zbirati, 2. posameznik mora biti obveščen o podatkih, ki se zbirajo, ter 3. za
zbiranje podatkov je načeloma potrebno soglasje upravičenca. Ta tri načela so bile ene
prvih smernic urejanja osebnih podatkov, ki so se v modificiranih oblikah pojavile v
kasnejših konvencijah na področju urejanja osebnih podatkov in posledično tudi v
nacionalnih predpisih s tega področja.
3.5 Konvencija št. 108 o varstvu posameznikov glede na
avtomatsko obdelavo osebnih podatkov
Zaradi velikega pomena osebnih podatkov, njihovega zbiranja, shranjevanja, dostopa do
njih ter razpolaganja z njimi v današnjem času je Svet Evrope že leta 1981 sprejel
konvencijo o varstvu posameznikov glede na avtomatsko obdelavo osebnih podatkov (v
nadaljevanju KoVP).21
19 Lampe Rok, Pravo človekovih pravic; Sistemi človekovih pravic v mednarodnem, evropskem in ustavnem pravu, Uradni list Republike Slovenije, Ljubljana, 2010, str. 422. 20 Leta 1973 poročilo Respect of the Privacy of Individuals in leta 1974 poročilo Human Rights and Scientific and Tehnological Development, Report of the Secretary General, E/CN.4/116. 21 Zakon o ratifikaciji Konvencije o varstvu posameznikov glede na avtomatsko obdelavo osebnih podatkov, ki je bila ratificirana in objavljena leta 1994 (Uradni list RS, št. 11/1994, MP, št. 3/1994).
17
Namen KoVP je na ozemlju vsake pogodbenice vsakemu posamezniku, ne glede na
državljanstvo in prebivališče, zagotoviti spoštovanje njegovih pravic in temeljnih
svoboščin in v tem okviru še posebej spoštovanje pravice do zasebnosti glede na
avtomatsko obdelavo osebnih podatkov, ki se nanašajo nanj. KoVP sicer neposredno
ureja le področje avtomatske obdelave osebnih podatkov, vendar pa državam članicam
dopušča možnost, da ob podpisu ali kadarkoli kasneje generalnemu sekretarju Sveta
Evrope med drugim predložijo tudi izjavo, da bodo zagotovile uporabo te konvencije
tudi za tiste zbirke osebnih podatkov, ki niso vodeni avtomatsko.22
Določbe KoVP se v Republiki Sloveniji uporabljajo neposredno.
4. VARSTVO OSEBNIH PODATKOV V OKVIRU EVROPSKE UNIJE
Varstvo osebnih podatkov je namenjeno predvsem posamezniku in varovanju njegove
zasebnosti, vendar pa je domena iz tega področja pomembna tudi za vlade in nevladne
organizacije, za javni in zasebni sektor, za države članice Evropske unije (v
nadaljevanju EU), kot tudi za EU samo.
Med članicami EU je vseeno začutiti razlike v nivoju zaščite varovanja zasebnosti, 23
glede na to, da je EU naklonjena njenemu varovanju. Nasproten trend je trenutno
zaznati v Združenih državah Amerike,24 kar je predvsem posledica strahu pred novimi
terorističnimi dejanji.25
22 Pirc Musar Nataša, Bien Sonja, Bogataj Jože, Prelesnik Mojca, Žaucer Alenka, Zakon o varstvu osebnih podatkov s komentarjem, GV Založba, Ljubljana, 2006, str. 24. 23 V sodbah ESČP vidne razlike. V primeru Von Hannover v. Germany C-59320/00 ( Carolina Monaška) proti Nemčiji, z dne 24.06. 2004. V tem konkretnem primeru je strasbourško sodišče razsodilo v prid večjemu obsegu varstva zasebnosti predvsem v razmerju med tabloidnim tiskom in javnimi osebnostmi. 24 Konec junija 2007 je bil po dolgotrajnih pogajanjih dosežen sporazum med Evropsko komisijo in oblastmi ZDA o prenosu podatkov o letalskih potnikih in prenosu podatkov o evropski finančnih transakcijah. Potencialno problematičen je obseg posredovanih osebnih podatkov; (ne)ustreznost ureditve predhodne seznanitve posameznikov o posredovanju osebnih podatkov; potreba po konkretni navedbi organov oblasti v tretji državi (v tem primeru ZDA), ki bodo imeli dostop do posredovanih osebnih podatkov; (pre)dolg rok hrambe posredovanih osebnih podatkov s strani prejemnika (torej v tem primeru organov oblasti ZDA); (ne)ustreznost določil glede izvajanja pravice posameznika do seznanitve ter popravka; (pre)široka določila glede morebitnih nadaljnjih iznosov osebnih podatkov naprej v tretje države; (ne)zagotavljanje zahtevanega varstva občutljivih osebnih podatkov; ter potrebnost opredelitve neodvisnega organa. 25 Jerše Alenka, Korak nazaj pri varstvu osebnih podatkov, Pravna praksa, Ljubljana, 2007,str. 13-14.
18
Da bi odstranili ovire za prenos osebnih podatkov, bi morala biti raven varstva pravic in
temeljnih svoboščin posameznikov glede obdelave takih podatkov enakovredna v vseh
državah članica. Tako je bilo ocenjeno, da je ta cilj, enakovredna obdelava podatkov,
bistven za notranji trg, vendar ga države članice same ne morejo doseči zaradi obsega
razlik, ki so ob ustanovitvi EU obstajale v zadevnih zakonodajah državah članic. Tako
je varstvo osebnih podatkov ali, širše, varstvo zasebnosti tudi predmet mednarodnih
instrumentov v okviru OZN, Sveta Evrope in EU.
Cilj regulative na nivoju EU je bil torej zagotovitev enakovrednega varstva osebnih
podatkov kot posledice približevanja nacionalnih zakonodaj. V posledici enakovrednega
varstva tako države članice ne bi mogle več ovirati medsebojnega prostega pretoka
osebnih podatkov na temelju varstva pravic in svoboščin posameznikov ter predvsem
pravice do zasebnosti.
Evropski koncept varstva osebnih podatkov se je v preteklem desetletju pokazal kot
dober. Ne glede na to pa mora tudi v prihodnje dokazovati svojo koristnost. Zato mora
biti odprt in naklonjen novostim. Upoštevati mora tudi tehnološki, ekonomski in
socialni napredek družbe. Njegov cilj je in mora ostati varstvo pravic in koristi več kot
500 milijonov državljanov26 držav članic EU.27
4.1 Direktiva ES št. 95/46/ES o varstvu posameznikov pri
obdelavi osebnih podatkov in o prostem pretoku takih
podatkov
Direktiva 95/46/ES je osnovni in najpomembnejši evropski predpis iz tega področja. 28
Osnovni cilj je vzpostavitev ravnotežja med visoko zaščito varovanja zasebnosti
državljanov EU ter prostim pretokom osebnih podatkov na ravni EU. Države članice so
bile dolžne sprejeti zakone oziroma druge potrebne predpise za uskladitev z Direktivo
95/46/ES najpozneje v treh letih od njenega sprejetja (24.10.1995). S to Direktivo 26 http://epp.eurostat.ec.europa.eu z dne 17.12.2010. 27 Iz uvoda devetega letnega poročila Evropske komisije, 14.06.2006. 28 Direktiva št. 95/46/ES o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (Uradni list L 281, 23/11/1995 str. 0031-0050).
19
95/46/ES je EU uredila tako varstvo osebnih podatkov, kot tudi prost pretok osebnih
podatkov znotraj EU, kar je bilo potrebno storiti zaradi omogočanja prostega pretoka
blaga in storitev ter zaradi zagotovitve približno enakega varstva osebnih podatkov v
vseh državah članicah EU.
Direktiva 95/46/ES je bila torej sprejeta za zagotovitev delovanja skupnega trga, ki bi ga
pa lahko različna pravila na področju varstva osebnih podatkov nacionalnih zakonodaj,
močno ogrozila oziroma ovirala pri izvajanju številnih gospodarskih dejavnosti na ravni
EU (7. točka preambule Direktive 95/46/ES), prav tako pa tudi notranji trg Skupnosti
zahteva, ne le da se lahko podatki prenašajo iz ene države članice v drugo, ampak tudi
da se zaščitijo temeljne pravice posameznikov (3. točka preambule Direktive 95/46/ES).
Ena izmed najpomembnejšimi določbami, ki jih določa Direktiva 95/46/ES, je pravilo
da se lahko osebni podatki obdelujejo, v skladu s 1. odstavkom 7. člena, samo če je
posameznik, na katerega se osebni podatki nanašajo, nedvoumno dal svojo privolitev;
ali v skladu s 6. odstavkom istega člena, če je obdelava potrebna zaradi zakonitih
interesov, razen kadar nad takimi prevladujejo temeljne pravice in svoboščine
posameznika, na katerega se ti podatki nanašajo, in ki se varujejo na podlagi 1. odstavka
1. člena. Tako lahko države članice, v skladu s 1. odstavkom 8. člena, prepovejo
obdelavo osebnih podatkov, ki kažejo na rasni ali etnični izvor, politična mnenja, verska
ali filozofska prepričanja, pripadnost sindikatu, in obdelavo podatkov v zvezi z
zdravjem ali spolnim življenjem.
Ker so se države odločile, da si zaupajo in izhajajo iz predpostavke, da je nivo varstva
osebnih podatkov enak v vseh državah članicah, je določilo o varnosti in zaupnosti
obdelave (16. in 17. člen) novost, 29 ki jo prinaša Direktiva 95/46/ES.
29 Nobena oseba, ki odgovarja upravljavcu ali obdelovalcu, vključno s samim obdelovalcem, ki ima dostop do osebnih podatkov, teh ne sme obdelovati brez navodil upravljavca, razen če to od nje zahteva zakon. Države članice določijo, da mora upravljavec izvajati ustrezne tehnične in organizacijske ukrepe za zavarovanje osebnih podatkov pred slučajnim ali nezakonitim uničenjem ali slučajno izgubo, predelavo, nepooblaščenim posredovanjem ali dostopom, predvsem kadar obdelava vključuje prenos podatkov po omrežju, ter proti vsem drugim nezakonitim oblikam obdelave. Taki ukrepi ob upoštevanju stanja tehnologije in stroškov za njihovo izvajanje zagotavljajo raven zaščite, ustrezno tveganju, ki ga predstavljata obdelava in narava podatkov, ki jih je potrebno varovati.
20
V skladu z 22. členom, morajo države članice EU zagotoviti, da ima vsaka oseba v
primeru kršitve pravic, pravico vložiti pravno sredstvo na sodišču in je upravičena
zahtevati odškodnino.
Za Direktivo 95/46/ES lahko trdimo, da pomeni splošni pravni okvir, ki izpolnjuje svoje
prvotne cilje z oblikovanjem zadostnega jamstva za delovanje notranjega trga, medtem
ko zagotavlja visoko raven varstva osebnih podatkov. Podrobno obravnava tudi
temeljno pravico do varstva osebnih podatkov, s spoštovanjem njenih pravil, pa mora
pri posamezniku vzbuditi zaupanje glede načina uporabe njihovih osebnih podatkov.
Izvajanje Direktive 46/95/ES redno nadzira Evropska komisija in o svojih ugotovitvah
poroča v letnem poročilu.
4.2 Uredba ES št. 45/2001 o varstvu posameznikov pri
obdelavi osebnih podatkov v institucijah in organih Skupnosti
in o prostem pretoku takih podatkov
Ta uredba30 ne vpliva na pravice in dolžnosti držav članic iz direktiv. Ni bila namenjena
spreminjanju obstoječih postopkov in praks, ki jih zakonito izvajajo države članice na
področju državne varnosti, preprečevanja nereda ali preprečevanja, odkrivanja,
preiskovanja in pregona kaznivih dejanj. Njen cilj je bil zagotoviti učinkovito skladnost
s predpisi, ki urejajo varstvo temeljnih pravic in svoboščin posameznikov, kot tudi prost
pretok osebnih podatkov med državami članicami ter institucijami in organi Skupnosti
ali med institucijami in organi Skupnosti za namene, povezane z izvajanjem njihovih
ustreznih pristojnosti. Prav tako pa uredba med drugim tudi predvideva vzpostavitev
funkcije Evropskega nadzornika za zaščito osebnih podatkov, ki je bila ustanovljena
januarja 2004.31
4.3 Listina o temeljnih pravicah EU32
30 Uredba ES št. 45/2001 o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah in organih Skupnosti in o prostem pretoku takih podatkov (Uradni list L 008 , 12/01/2001 str. 0001 – 0022). 31 Naloge nadzornika za zaščito osebnih podatkov so med drugim tudi sodelovanje z nadzornimi organi za varovanje podatkov kot so na primer Europol ali Eurojust. 32 Charter of Fundamental Rights of the European Union, 2000, Official Journal C 364/01.
21
EU si je v zadnjem krajšem zgodovinskem obdobju intenzivno prizadevala za temeljni
akt, ki bi neposredno veljal v EU in bi tudi EU in njene članice obvezoval k spoštovanju
človekovih pravic pod njeno jurisdikcijo in bi hkrati omogočal sodni nadzor Sodišča
Evropskih skupnosti (Sodišče ES) nad njihovim spoštovanjem. Tako je bila leta 2000
sprejeta Listina EU o temeljnih pravicah. Lizbonska pogodba podeljuje Listini EU o
temeljnih pravicah, v svojem 6. členu, status obveznega dokumenta, ki med drugim
določa, da EU priznava pravice, svoboščine in načela iz Listine EU o temeljnih
pravicah, listina pa ima enako veljavo kot pogodba.33
Listina EU o temeljnih pravicah zajema skupne vrednote človekovih pravic držav članic
EU, ki jih združuje v skupnem enotnem tekstu. Tako vsebuje izčrpen katalog
državljanskih in političnih ter ekonomskih in socialnih pravic, njen glavni namen pa je,
da kot obvezujoč dokument zavezuje države članice k njenemu spoštovanju,
posamezniku pa omogoča, da se nanjo sklicuje pred Sodiščem ES.34
Na varovanje osebnih podatkov se nanašata 7. člen Listine EU o temeljnih pravicah o
spoštovanju zasebnega in družinskega življenja ter 8. člen, ki govori o varovanju
osebnih podatkov in v 1. odstavku poudarja, da ima vsakdo pravico do varstva osebnih
podatkov, ki se nanašajo nanj, ter v 2. odstavku, da se morajo podatki obdelovati
pošteno, na podlagi privolitve prizadete osebe, ali na drugi legitimni podlagi, določeni z
zakonom.
4.4 Sodna praksa Sodišča ES
Varstvo osebnih podatkov je pomembno tudi v okviru evropskega prava.35 EU ureja to
področje z različnimi direktivami in uredbami, kot je bilo že navedeno. Vendar pa se
pojavljajo problemi s to tematiko, s katerimi se v zadnjih letih ukvarja tudi Sodišče ES.
Sodišče ES se je v preteklih letih s to problematiko srečevalo le v okviru vprašanj za 33 » Unija priznava pravice, svoboščine in načela iz Listine Evropske unije o temeljnih pravicah z dne 7. decembra 2000, prilagojene 12. decembra 2007 v Strasbourgu, ki ima enako pravno veljavnost kot pogodbi.« 34Lampe Rok, Pravo človekovih pravic; Sistemi človekovih pravic v mednarodnem, evropskem in ustavnem pravu, Uradni list Republike Slovenije, Ljubljana, 2010, str. 128. 35
Trstenjak Verica, Sodna praksa Sodišča ES na področju varstva osebnih podatkov, Podjetje in delo, 2009, številka 6-7, str. 1414-1422.
22
predhodno odločanje. Tako je leta 2003 odločilo v prvih dveh primerih, ki se ukvarjata
z varstvom osebnih podatkov. To sta bila primera Rechnunhshof v. Österreichischer
Rundfunk and Others s pridruženima primeroma Neukomm and Lautemann
v.ÖsterreichierRundfunk36 ter primer Bodil Lindqvist,37 kjer je Sodišče ES v točki 101
sodbe odločilo, da so določbe »…člena 6, prvi odstavek, točke (c), in člena 7, točki (c)
in (e) Direktive 95746/ES neposredno uporabne, v tem smislu, da se na njih lahko
sklicuje posameznik pred nacionalnimi sodišči, da razveljavi uporabo določb
nacionalnega prava, ki so nasprotne tem določbam.«
V letu 2010, natančneje marca pa je bila izdana prva sodba, kjer je Evropska komisija
tožila državo članico zaradi nepravilno prenesene Direktive 95/46/ES v nacionalno
zakonodajo,38 kar bo predstavljeno tudi v primeru Komisija proti Nemčiji.
4.4.1 Huber, C-524/0639
Sodišče ES je konec leta 2008 v velikem senatu odločil v zadevi C-524/06. Huber je bil
avstrijski državljan, ki se je preselil v Nemčijo in tam začel opravljati poklic
neodvisnega zavarovalnega zastopnika. Nemški organi so v centralni register tujcev
vnesli o njem naslednje podatke: priimek in ime, datum in kraj rojstva, državljanstvo,
zakonski stan, spol; podatke o preteklih vstopih na nemško ozemlje ter izstopih s tega
ozemlja, podatke o statusu rezidenta; podatke o zaporednih potnih listih; prejšnje
prijave stalnega prebivališča in opombe pristojnih organov. Huber je zahteval izbris
podatkov, ki so se v centralnem registru tujcev nanašali nanj, ker je menil, da je zaradi
obdelave teh podatkov diskriminiran, in sicer zlasti zato, ker za nemške državljane taka
zbirka podatkov ne obstaja. Pristojni upravni organ, je njegovo zahtevo zavrnil, zato je
sprožil postopek pred nacionalnim sodiščem.
Prvostopenjsko sodišče je odločilo, da pravo Skupnosti nasprotuje taki zbirki podatkov;
tako so nemški pristojni organi vložili pritožbo na predložitveno sodišče, ki pa je na
36 Združeni primeri C-465/00, C-138/01 in C-139/01, 20.5. 2003. 37 Primer C-101/01, 6.11,2003. 38 Sodba SES z dne 9. marca 2010 v zadevi Komisija proti Nemčiji, C-518/07. 39 Sodba z dne 16. decembra 2008 v zadevi C-524/06, Huber
23
Sodišče ES naslovilo vprašanje za predhodno odločanje.40 To je odločilo, da nikakor ni
mogoče šteti, da sta z vidika člena 7(e) Direktive 95/46/ES zbiranje in shranjevanje
osebnih podatkov, ki so v okviru registra, kakršen je centralni register tujcev, navedeni
poimensko, nujni za statistične namene ter da je potrebno prvi odstavek 12. člena PES
razlagati tako, da nasprotuje temu, da država članica zaradi boja proti kriminalu uvede
sistem obdelave osebnih podatkov, ki velja le za državljane EU, ki niso državljani te
države članice.41
4.4.2. Rijkeboer, C-553/07
Sodba v zadevi Rijkeboer, C-553/07 je bila izdana maja 2009 in se nanaša na razlago
Direktive 95/46/ES in izhaja iz spora med Rijkeboerom in rotterdamskim občinskim
svetom, ki je delno zavrnil zahtevo Rijkeboerna za dostop do informacij o posredovanju
njegovih osebnih podatkov tretjim osebam v dveh letih pred vložitvijo njegove zahteve
za te informacije.42
40 Glej vprašanje za predhodno odločanje, objavljeno v UL C 56, 10.3.2007: »Ali je splošna obdelava osebnih podatkov tujcev, ki so državljani Unije, v centralnem registru tujcev združljiva a) z načelom prepovedi diskriminacije glede na državljanstvo tistih državljanov Unije, ki uresničujejo pravico do prostega gibanja in prebivanja na ozemlju držav članic (člen 12, prvi odstavek, v povezavi s členoma 17 in 18(1) ES), b) s prepovedjo omejitve pravice do ustanavljanja državljanov države članice na ozemlju druge države članice (člen 43, prvi odstavek, ES), c) s potrebo, zapovedano v členu 7(e) Direktive Evropskega parlamenta in Sveta 95/46/ES z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov?« 41 Sodba v zadevi Huber, C-524/06, točka 82:« Sistem obdelave osebnih podatkov državljanov Unije – ki niso državljani zadevne države članice – kakršnega vzpostavlja zakon o centralnem registru tujcev (Gesetz über das Ausländerzentralregister) z dne 2. septembra 2004, kot je bil spremenjen z zakonom z dne 21. junija 2005, in katerega cilj je podpora nacionalnim organom, ki so pristojni za izvajanje predpisov o pravici do prebivanja, izpolnjuje zahtevo nujnosti iz člena 7(e) Direktive Evropskega parlamenta in Sveta 95/46/ES z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov, ki se jo razlaga ob upoštevanju prepovedi vsakršne diskriminacije na podlagi državljanstva, le če – vsebuje samo podatke, ki so nujni, da lahko navedeni organi izvajajo te predpise, in – njegova centraliziranost omogoča učinkovitejše izvajanje teh predpisov z vidika pravice do prebivanja državljanov Unije, ki niso državljani te države članice. Predložitveno sodišče mora preizkusiti te dejavnike v postopku v glavni stvari. Nikakor ni mogoče šteti, da sta z vidika člena 7(e) Direktive 95/46 zbiranje in shranjevanje osebnih podatkov, ki so v okviru registra, kakršen je centralni register tujcev, navedeni poimensko, nujni za statistične namene. Člen 12, prvi odstavek, ES je treba razlagati tako, da nasprotuje temu, da država članica zaradi boja proti kriminalu uvede sistem obdelave osebnih podatkov, ki velja le za državljane Unije, ki niso državljani te države članice. 42 Glej sodbo SES v zadevi C-553/07, Rijkeboer, točki 1 in 2.
24
Rijkeboer je od občinskega sveta zahteval, da mu da podatke o vseh primerih, v katerih
so bile informacije o njem posredovane tretjim osebam, in sicer o vsebini teh podatkov
in o tem, kdo jih je dobil. Hotel je zlasti podatke o primerih, ko je bil tretjim osebam
posredovan njegov nekdanji naslov. Občinski svet je tej njegovi zahtevi deloma ugodil,
vendar mu je posredoval podatke samo za preteklo eno leto, saj so bili podatki, ki so bili
starejši od enega leta, avtomatično izbrisani.43
Vendar pa je Rijkeboer hotel tudi podatke za obdobje pred enim leto, zato je vložil
tožbo pri nizozemskem sodišču Rechtbank Rotterdam, ki je tožbi ugodilo. Občinski svet
se je pritožil na Raad von State, ki pa je na Sodišče ES naslovilo vprašanje za
predhodno odločanje.44
Sodišče ES je v sodbi odločilo, da morajo države članice skladno s členom 12 (a)
Direktive 95/46/ES pravico do dostopa do informacij glede prejemnikov in vsebine
posredovanih informacij določiti ne le za sedanjost, temveč tudi za preteklost. Države
članice morajo določiti rok za shranjevanje teh informacij in temu ustrezen dostop do
njih, pri čemer skrbijo za pravično ravnovesje med, po eni strani, interesom
posameznika, na katerega se osebni podatki nanašajo, za varstvo njegove zasebnosti
zlasti s pomočjo pravic in pravnih sredstev, ki jih določa Direktiva 95/46 ES ter po
drugi strani, bremenom, ki ga za upravljavca pomeni obveznost shranjevanja teh
informacij.
Ureditev, s katero je shranjevanje informacij glede prejemnikov ali vrste prejemnikov
podatkov in glede vsebine posredovanih podatkov omejeno na eno leto in s katero je
temu ustrezno omejen dostop do teh informacij, medtem ko se osnovni podatki
shranjujejo veliko dlje, ne more pomeniti pravičnega ravnovesja med zadevnim
interesom in zadevno obveznostjo, razen če se dokaže, da bi daljše shranjevanje teh
43 Ibid., točke 23-25. 44 Glej vprašanje za predhodno odločanje, objavljeno v UL C 64, 8.3.2007, stran 20, » Ali je omejitev posredovanja podatkov, ki jo določa nizozemski zakon o osebnih podatkih, ki jih imajo lokalne uprave, na podatke iz leta pred vložitvijo zadevne zahteve, združljiva s členom 12(a) Direktive Evropskega parlamenta in Sveta 95/46/ES [1] z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov, v zvezi s členom 6(1)(e) te direktive in z načelom sorazmernosti?«
25
informacij pomenilo pretirano breme za upravljavca. Nacionalno sodišče mora opraviti
potrebna preverjanja.45
4.4.3. Komisija proti Nemčiji, C-518/07
Komisija je vložila tožbo proti Nemčiji,46 saj naj bi ta nepravilno prenesla Direktivo
95/46/ES, ker je organe, ki so za nadzor nad obdelavo podatkov v zasebnem sektorju
pristojni v nekaterih nemških deželah, izpostavila državnemu nadzoru in s tem
nepravilno prenesla zahtevo iz člena 28(1) Direktive 95/46/ES, da morajo ti organi pri
izvajanju nalog, ki so jim zaupane, delovati »popolnoma samostojno«.
Glede na vse navedeno je treba člen 28(1), drugi pododstavek, Direktive 95/46/ES
razlagati tako, da morajo biti nadzorni organi, odgovorni za spremljanje obdelave
osebnih podatkov v zasebnem sektorju, samostojni, tako da lahko svoje naloge izvajajo
brez zunanjega vpliva. Ta samostojnost ne izključuje le vsakršnega vpliva s strani
nadziranih organov, temveč tudi kakršno koli navodilo in drug zunanji vpliv, bodisi
neposreden bodisi posreden, ki bi lahko ogrožal navedene organe pri izvajanju njihove
naloge ohranjanja pravega ravnotežja med pravnim varstvom zasebnosti in prostim
pretokom osebnih podatkov.47
Tako je veliki senat Sodišča ES 9. marca 2010 razsodil, da je Zvezna republika Nemčija
s tem, da je nadzorne organe, odgovorne za spremljanje obdelave osebnih podatkov
zasebnih organov in podjetij javnega prava, ki nastopajo v konkurenci na trgu v
različnih deželah, podvrgla državnemu nadzoru, tako nepravilno prenesla zahtevo, da ti
organi izvajajo naloge „popolnoma samostojno“. S tem ni izpolnila obveznosti iz člena
28(1), drugi pododstavek, Direktive 95/46/ES.48
Ti primeri samo nakazujejo, da je varstvo osebnih podatkov pomembno tako na
nacionalni ravni, kot na nadnacionalni v okviru Evropske unije. Sodišče ES se
45 Sodba SES z dne 22.12.2008, Rijkeboer, C-553/07, 70. točka in izrek sodbe. 46 Za povzetek tožbe glej Uradni list C 37, 9.2. 2008, stran 8. 47 Za obrazložitev glej sodbo z dne 9. marca 2010, Komisija proti Nemčiji, točke 17-30. 48 Sodba SES z dne 9. marca 2010 v zadevi Komisija proti Nemčiji, C-518/07, točka 58.
26
vsakodnevno srečuje z različnimi vprašanji s strani držav članic in predhodnimi
odločanji.49
5. UREDITEV VARSTVA OSEBNIH PODATKOV V REPUBLIKI
SLOVENIJI
Sistemska ureditev varstva osebnih podatkov v nacionalni zakonodaji je bila potrebna
zaradi enotne določitve načel, pravil in obveznosti, kakor tudi zaradi zapolnitve pravnih
praznin, ki bi lahko nastale, kolikor bi to področje parcialno urejali posamezni zakoni.
Smiselno pa je tudi definicije, obveznosti in ukrepe v zvezi z zavarovanjem osebnih
podatkov, kataloge zbirk osebnih podatkov, registracijo zbirk osebnih podatkov, pravice
posameznika, vprašanja glede nadzora in pristojnosti nadzornih organov, predpisati na
enem mestu.
5.1 Ustava RS50
Varstvo osebnih podatkov je v Republiki Sloveniji ena izmed ustavno zagotovljenih
človekovih pravic in temeljnih svoboščin in spada v okvir pravic s področja zasebnosti.
Določba 38. člena Ustave RS zagotavlja varstvo osebnih podatkov, prepoveduje
uporabo osebnih podatkov v nasprotju z namenom njihovega zbiranja ter vsakomur
zagotavlja pravico do seznanitve z zbranimi osebnimi podatki, ki se nanašajo nanj in
pravico do sodnega varstva ob njihovi zlorabi. Za normativno urejanje področja varstva
osebnih podatkov je zlasti pomemben drugi odstavek 38. člena Ustave RS, kjer je
določeno, da zbiranje, obdelovanje, namen uporabe, nadzor in varstvo tajnosti osebnim
podatkov, določa zakon. Takšna ustavna določba predpisuje ureditev varstva osebnih
podatkov v splošnem, sistemskem zakonu, poleg tega pa dopušča tudi možnost urejanja
varstva posebnih podatkov v področnih zakonih, ki pa morajo prav tako upoštevati
določbo 38. člena Ustave RS.
Kakor pravi Komentar Ustave RS, pa je potrebno pri vseh posegih v varstvo osebnih
podatkov upoštevati načelo sorazmernosti. To pomeni : »da mora biti omejitev potrebna
49 Sodba SES z dne 16. decembra 2008 v zadevi Satakunnan Markkinapörssi Oy, C-73/07, sodba SES z dne 6. novembra 2003 v zadevi Bodil Lindqvist, C-101/01 in druge. 50 Ustava Republike Slovenije, Uradni list RS, št. 33/1991 (spremembe: Uradni list RS, št. 42/1997, 66/2000, 24/2003, 69/2004, 69/2004, 69/2004, 68/2006) v nadaljevanju Ustava RS.
27
in nujna za dosego zasledovanega ustavno legitimnega cilja (javna korist in varstvo
pravic drugih) ter v sorazmerju s pomembnostjo tega cilja.«51
Ustavodajalec se je odločil za tako imenovani »obdelovalni model« in ne za tako
imenovani »model zlorabe«, saj je določil predvsem pravila za urejanje dopustne
obdelave osebnih podatkov na zakonski ravni in ne načelne svobode obdelave osebnih
podatkov, ki je lahko le izjemoma in izrecno omejena z zakonom.52 Takšen model
preprosto pomeni, da je na področju obdelave osebnih podatkov prepovedano vse, razen
tistega, kar je z zakonom (na področju zasebnega sektorja tudi z osebno privolitvijo
posameznika) izrecno dovoljeno. Vsaka obdelava osebnih podatkov namreč pomeni
poseg v z Ustavo RS varovano človekovo pravico do varstva osebnih podatkov, zato je
takšen poseg dopusten, če je v zakonu določno opredeljeno, kateri osebni podatki se
smejo obdelovati, jasno pa mora biti tudi določen namen obdelave osebnih podatkov,
zagotovljeno mora biti ustrezno varstvo in zavarovanje osebnih podatkov. Namen
obdelave osebnih podatkov mora biti ustavno dopusten, obdelovati pa se smejo le tiste
vrste osebnih podatkov, ki so primerne in nujno potrebne za uresničitev zakonsko
opredeljenega in ustavno dopustnega namena.
5.2 Zakon o varstvu osebnih podatkov (ZVOP-1)53
Temeljni in bistveni razlog za sprejem ZVOP-1 je vsebina določb Direktive 95/46/ES o
varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih
podatkov. ZVOP iz leta 1999 (s spremembami in dopolnitvami iz leta 200154) namreč ni
več v celoti sledil evropskim trendom razvoja prava osebnih podatkov in določbam
Direktive 95/46/ES, zlasti tistim, za katere je sodna praksa Sodišča ES leta 2003
ugotovila, da so zaradi svoje podrobne ureditve neposredno uporabljive,55 zato so jih
51 Arhar France, … in drugi, Šturm Lovro (urednik), Komentar Ustave Republike Slovenije, Ljubljana, Fakulteta za podiplomske državne in evropske študije, 2002, str. 411. 52 Pirc Musar Nataša, Bien Sonja, Bogataj Jože, Prelesnik Mojca, Žaucer Alenka, Zakon o varstvu osebnih podatkov s komentarjem, GV Založba, Ljubljana, 2006, str.19. 53 Zakon o varstvu osebnih podatkov, Uradni list RS št. 86/2004 in 113/2005, v nadaljevanju ZVOP-1, sedaj (uradno prečiščeno besedilo) Uradni list RS, št. 94/2007. 54 Uradni list RS, št. 59/1999, 57/2001 in 59/2001-popravek. 55 Sodba Sodišča ES z dne 20.5.2003, Rechnunhshof v. Österreichischer Rundfunk ond Others s pridruženima primeroma Neukomm and Lautemann v.ÖsterreichierRundfunk, C-465/00, C-138/01 in C-139/01 točka 101,….. » sta člen 6(1)(c) ter člen 7(c) in (e) Direktive 95/46 neposredno uporabljiva, tako da se posameznik nanju lahko sklicuje pred nacionalnimi sodišči, da bi se izognil uporabi predpisov notranjega prava, ki je v nasprotju s temi določbami.«
28
morale države članice sprejeti s točno tako vsebino v svojo zakonodajo. Republika
Slovenija je s sprejemom ZVOP-1 izpolnila večino zahtev iz Direktive 95/46/ES.
Določbe ZVOP-1 so tako v skladu z Ustavo RS in hkrati sledijo razvoju varstva osebnih
podatkov v Evropi. Zadnjo zahtevo Direktive 95/46/ES, ki na področju varstva osebnih
podatkov zahteva samostojen in neodvisen organ, je Republika Slovenija izpolnila
31.12.2005, z ustanovitvijo Informacijskega pooblaščenca, ki poleg pristojnosti na
področju pristopa do informacij javnega značaja izvaja tudi vse pristojnosti na področju
varstva osebnih podatkov. Iz Zakona o informacijskem pooblaščencu,56 s katerim je bil
ustanovljen informacijski pooblaščenec tako izhajajo številne pristojnosti tega organa,
zlasti pristojnost inšpekcijskega nadzora nad izvajanjem vseh predpisov, ki urejajo
varstvo ali obdelavo osebnih podatkov ter opravljanje vseh nalog, ki jih določajo ti
predpisi.
ZVOP-1, je precej težko razumljiv in z vidika zaščite osebnih podatkov zelo rigorozen
zakon, saj je vendar v slovenski pravni red prinesel pomembne novosti glede zavedanja
o teži in pomenu varstva osebnih podatkov. Ta zakon pomeni konkretizacijo ustavne
človekove pravice do varstva osebnih podatkov iz 38. člena Ustave RS. V republiki
Sloveniji je torej zagotovljeno varstvo osebnih podatkov, uporaba v nasprotju z
namenom njihovega zbiranja pa je prepovedana. Po določilu drugega odstavka 38. člena
Ustave RS lahko zbiranje, obdelovanje, namen uporabe, nadzor in varstvo tajnosti
osebnih podatkov, določa zakon. Navedeno pomeni, da je vsakršno urejanje osebnih
podatkov s predpisom hierarhično nižjim od zakona, v nasprotju z Ustavo RS. S tretjim
odstavkom 38. člena pa Ustava RS jamči tudi pravico posamezniku, da se seznani z
zbranimi osebnimi podatki, ki se nanašajo nanj (lastni osebni podatki) in pravico do
sodnega varstva ob zlorabi osebnih podatkov. Na podlagi Direktive 95/46/ES in
ustavnih zahtev je zakonodajalec sprejel ZVOP-1, ki v prvem členu določa, da se s tem
zakonom določajo pravice, obveznosti, načela in ukrepi, s katerimi se preprečujejo
neustavni, nezakoniti in neupravičeni posegi v zasebnost in dostojanstvo posameznika
pri obdelavi osebnih podatkov.
56 Uradni list RS, št. 113/2005, ( spremembe: Uradni list RS, št. 51/2007,14/2010), v nadaljevanju ZINFP.
29
5.2.1. Splošne določbe in temeljna načela ZVOP-1
Za lažje razumevanje področja varstva osebnih podatkov se je potrebno najprej
seznaniti z nekaterimi temeljnimi pojmi, ki jih določa ZVOP-1 v 6. členu.
Definicija »osebnega podatka« je izjemno široka, saj je osebni podatek katerikoli
podatek, ki se nanaša na posameznika, ne glede na obliko v kateri je izražen.
Posameznik je določena ali določljiva fizična oseba, na katero se osebni podatek nanaša.
Fizična oseba je določljiva, če se jo lahko neposredno ali posredno identificira,
predvsem s sklicevanjem na identifikacijsko številko (npr. enotna matična številka
občana (EMŠO), davčna številka) ali na enega ali več dejavnikov, ki so značilni za
njeno fizično, fiziološko, duševno, ekonomsko, kulturno ali družbeno identiteto, pri
čemer način identifikacije ne povzroča velikih stroškov, nesorazmerno velikega napora
ali velike porabe časa.
Obdelava osebnih podatkov po določilu tretje točke 6. člena ZVOP-1 pomeni
kakršnokoli delovanje ali niz delovanj v zvezi z osebnimi podatki, ki so obdelani
avtomatizirano, so pri ročni obdelavi del zbirke osebnih podatkov ali pa so namenjeni
vključitvi v zbirko osebnih podatkov, zlasti pa zbiranje, pridobivanje, vpis, urejanje,
shranjevanje, prilagajanje ali spreminjanje, priklicanje, vpogled, uporaba, razkritje s
prenosom, sporočanje, širjenje ali drugo dajanje na razpolago, razvrstitev ali
povezovanje, blokiranje, anonimiziranje, izbris ali uničenje, pri čemer je prepovedana
obdelava osebnih podatkov v nasprotju z namenom njihovega zbiranja, ki mora biti
predhodno, vnaprej določen. Obdelava je lahko ročna ali avtomatizirana s sredstvi
informacijske tehnologije.
Zakonska definicija obdelave torej ne pomeni, da za načine obdelovanja osebnih
podatkov velja načelo numerus clausus, pač pa ZVOP-1 z uporabo izraza »zlasti«
našteva načine obdelave le primeroma. Zato prav vsakršno (kakršnokoli) ravnanje z
osebnimi podatki, tudi na način, ki med primeri ni naveden, pomeni obdelavo osebnih
podatkov.
Vodila pri vsaki obdelavi osebnih podatkov so tri temeljna načela ZVOP-1:
30
- načelo zakonitosti in poštenosti (2. člen), je primarno in najpomembnejše načelo, po
katerem se morajo osebni podatki obdelovati zakonito in pošteno;
-načelo sorazmernosti (3. člen), določa, da morajo biti osebni podatki, ki se obdelujejo,
ustrezni in po obsegu primerni, glede na namene, za katere se zbirajo in nadaljnje
obdelujejo. To posebno načelo je upoštevano v večjem številu določb zakona, saj so
določeni ukrepi s posegom v podatkovno zasebnost posameznika, namreč tako
opredeljeni, da morajo biti nujno potrebni in da za dosego njihovega namena oziroma
cilja ne obstaja milejše sredstvo, s katerim bi se poseglo v zasebnost, dostojanstvo ali
podatkovno zasebnost posameznika. V tem primeru gre v bistvu za sledenje splošnim
evropskim trendom, ko se v zvezi z varstvom osebnih podatkov ne daje več zgolj
poudarek varovanju zasebnosti, posledično varstvu osebnih podatkov, temveč tudi
varstvu njegovega dostojanstva.
- načelo prepovedi diskriminacije (4. člen), zagotavlja varstvo osebnih podatkov
vsakemu posamezniku ne glede na narodnost, raso, barvo, veroizpoved, etično
pripadnost, spol, jezik, politično in drugo prepričanje, spolno usmerjenost,
premoženjsko stanje, rojstvo, izobrazbo, družbeni položaj, državljanstvo, kraj oziroma
vrsto prebivališča ali katerokoli drugo osebno okoliščino. Ta prepoved diskriminacije pa
pomeni, da se moramo vsi zavedati dejstva, da je samovolja pri izvajanju prepisov
prepovedana ter da je vse veljavne predpise potrebno do vseh ljudi uporabljati na enak
način.57
V splošni veljavnosti oziroma uporabi ZVOP-1, tako v javnem kot zasebnem sektorju,
se kaže njegova širina, v 7. členu pa so natančno določene izjeme pri njegovi uporabi.
ZVOP-1 se ne uporablja samo za obdelavo osebnih podatkov, ki jo izvajajo potrebe.
Delni izjemi sta po določilu 7. člena le še obdelovanje osebnih podatkov medijev za
namene obveščanja javnosti, ko upravljavec ni dolžan obveščati Informacijskega
pooblaščenca o katalogu zbirk osebnih podatkov (26.-28. člen). Medijem poleg tega
tudi ni treba sprejeti notranjih aktov o zavarovanju osebnih podatkov (drugi odst. 25.
člena), zaradi njihove specifične dejavnosti pa zanje tudi ne veljajo določbe glede
iznosa osebnih podatkov v tujino (62.-71. člen).58
57 Pirc Musar Nataša, Bien Sonja, Bogataj Jože, Prelesnik Mojca, Žaucer Alenka, Zakon o varstvu osebnih podatkov s komentarjem, GV Založba, Ljubljana, 2006, str. 41-48. 58 Da so mediji resnično specifična dejavnost in da imajo tudi večjo svobodo pri obdelovanju osebnih podatkov kaže sodba ESČP Sanoma Uitgevers v. the Netherlands, Application no. 38224/03 o medijski svobodi in varovanju novinarskega vira, z dne 14. september 2010.
31
5.2.2 Obdelava osebnih podatkov
Način obdelave in pravne podlage osebnih podatkov, zavarovanje osebnih podatkov,
pogodbeno obdelavo in druga vprašanja, vezana na obdelavo, podrobno ureja drugi del
ZVOP-1 v členih od 8 do 28.
Že v uvodnem delu ZVOP-1 smiselno določa, da varstvo osebnih podatkov služi
predvsem preprečevanju nezakonitih in neupravičenih posegov v informacijsko
zasebnost vsakega posameznika in to ne glede na katerekoli okoliščine posameznika
(državljanstvo, prebivališče, različna prepričanja itd.)
Zakonodajalec se je zaradi različnih pristojnosti in položaja odločil za različno
regulacijo obdelave osebnih podatkov v zasebnem in javnem sektorju. Pravne podlage v
javnem sektorju so namreč precej ožje, saj je osebni podatki načeloma lahko obdelujejo
le, če obdelavo in tudi določitev konkretnih osebnih podatkov, ki se jih lahko obdeluje,
določa zakon.59 Samo z zakonom pa se lahko v javnem sektorju predhodno določi, da se
nekateri osebni podatki obdelujejo le na podlagi posameznikove osebne privolitve. Za
državne organe, organe lokalnih skupnosti, nosilce javnih pooblastil, javne agencije,
javne sklade, javne zavode, univerze, samostojne visokošolske zavode in samoupravne
narodne skupnosti, ki jih 22. točka 6. člena skupno definira kot javni sektor, je torej
obdelava osebnih podatkov dopustna v manjši meri. Le, če obdelavo določa zakon (ta
ali kateri drugi), med zasebnim in javnim sektorjem ni razlike, je dopustna že ex lege,
vedno pa je potrebno paziti še na sorazmernost obdelavo osebnih podatkov in namen
obdelave, ki mora biti zapisan v vsakem zakonu.
Zasebni sektor, kot ga opredeljuje 23. točka 6. člena ZVOP-1, posameznikovo osebno
privolitev enači z določenostjo v zakonu, kar pomeni, da se osebni podatki v zasebnem
sektorju obdelujejo, če obdelavo in konkretizacijo osebnih podatkov določa zakon, ali
če je za obdelavo osebnih podatkov podana posameznikova osebna privolitev.
59 ZVOP-1 je generalni zakon na področju varstva osebnih podatkov. Zakonov, ki določajo obdelavo osebnih podatkov na posameznem področju pa je veliko- na primer Zakon o centralnem registru prebivalstva, Zakon na področju dela in socialne varnosti, Zakon o zavarovalništvu, Zakon o policiji, Zakon o osnovni šoli, Zakon o pacientovih pravicah in drugi področni zakoni.
32
Vedno pa mora biti posameznik, čigar osebni podatki se obdelujejo na podlagi njegove
osebne privolitve, predhodno pisno seznanjen z namenom obdelave podatkov.
12. člen pa uvaja poseben režim pri obdelovanju osebnih podatkov pri varovanju
življenjskih interesov posameznika. Če je namreč obdelava nujno potrebna za varovanje
posameznikovega življenja in telesa, daje pravno podlago za obdelovanje že neposredno
ZVOP-1.
Občutljivi osebni podatki, so zaradi svoje subtilnosti posebej zaščitena kategorija
osebnih podatkov. Določba 6. člena jih definira kot podatke o rasnem, narodnem ali
narodnostnem poreklu, političnem, verskem ali filozofskem prepričanju, članstvu v
sindikatu, zdravstvenem stanju, spolnem življenju, vpisu ali izbrisu v kazensko ali
prekrškovno evidenco ter biometrične značilnosti posameznika. Po določilu 13. člena60
se lahko obdelujejo le v osmih, posebej določenih primerih, še dodatno pa morajo biti
zavarovani pri vsakokratni obdelavi in pri prenosih preko telekomunikacijskih omrežij
(14. člen).
60 Občutljivi osebni podatki se lahko obdelujejo le v naslednjih primerih: 1. če je posameznik za to podal izrecno osebno privolitev, ki je praviloma pisna, v javnem sektorju pa tudi določena z zakonom; 2. če je obdelava potrebna zaradi izpolnjevanja obveznosti in posebnih pravic upravljavca osebnih podatkov na področju zaposlovanja v skladu z zakonom, ki določa tudi ustrezna jamstva pravic posameznika; 3. če je obdelava nujno potrebna za varovanje življenja ali telesa posameznika, na katerega se osebni podatki nanašajo, ali druge osebe, kadar posameznik, na katerega se osebni podatki nanašajo, fizično ali poslovno ni sposoben dati svoje privolitve iz 1. točke tega člena; 4. če jih za namene zakonitih dejavnosti obdelujejo ustanove, združenja, društva, verske skupnosti, sindikati ali druge nepridobitne organizacije s političnim, filozofskim, verskim ali sindikalnim ciljem, vendar le, če se obdelava nanaša na njihove člane ali na posameznike, ki so v zvezi s temi cilji z njimi v rednem stiku, ter če se ti podatki ne posredujejo drugim posameznikom ali osebam javnega ali zasebnega sektorja brez pisne privolitve posameznika, na katerega se nanašajo; 5. če je posameznik, na katerega se nanašajo občutljivi osebni podatki, te javno objavil brez očitnega ali izrecnega namena, da omeji namen njihove uporabe; 6. če jih za namene zdravstvenega varstva prebivalstva in posameznikov ter vodenja ali opravljanja zdravstvenih služb obdelujejo zdravstveni delavci in zdravstveni sodelavci v skladu z zakonom; 7. če je to potrebno zaradi uveljavljanja ali nasprotovanja pravnemu zahtevku; 8. če tako določa drug zakon zaradi izvrševanja javnega interesa.
33
5.2.3. Varstvo posameznikov (18.- 25. člen)
Posameznikom že 38. člen Ustave RS zagotavlja sodno varstvo ob zlorabi njihovih
osebnih podatkov. ZVOP-1 zagotavlja vrsto previdnostnih ukrepov, ki preprečujejo
zlorabo osebnih podatkov, tako, da bi bilo sodno varstvo potrebno čim manjkrat in le v
izjemnih primerih.
5.2.3.1 Točnost in ažurnost osebnih podatkov (18. člen)
Ena izmed prvih previdnostnih ukrepov je točnost in ažurnost osebnih podatkov (18.
člen), ki zahteva, da morajo biti obdelovani podatki točni in ažurni, zato lahko
upravljavec pred vnosom v zbirko osebnih podatkov preveri točnost podatkov z
vpogledom v osebni dokument ali drugo ustrezno javno listino posameznika.
5.2.3.2 Obveščanje posameznika o obdelavi osebnih podatkov
(19. člen)
Prav tako ima posameznik ob vsakokratni obdelavi njegovih osebnih podatkov vedno
pravico, da se seznani tako s podatki o upravljavcu osebnih podatkov in njegovem
morebitnem zastopniku (osebni ime, naziv, naslov) kot z namenom obdelave.
5.2.3.3 Uporaba istega povezovalnega znaka (20. člen)
ZVOP-1 prepoveduje uporabo istega povezovalnega znaka pri pridobivanju, osebnih
podatkov s področja zdravstva, sodstva in državnega tožilstva, kazenske evidence ter
prekrškovnih evidenc, z namenom preprečevanje zlorab. Navedeno pa ne velja za
zemljiško knjigo in sodni register kot javni knjigi. Isti povezovalni znak61 se izjemoma
lahko uporabi za pridobivanje osebnih podatkov, kadar je to edini podatek, ki lahko
omogoči razkritje kaznivega dejanja, zavarovanje življenja ali telesa posameznika ali
zagotovitev izvajanja zakonitih nalog obveščevalnih ali varnostnih organov.
61 V večini primerov je to enotna matična številka občana-EMŠO, lahko pa je tudi osebno ime, priimek kraj prebivališča, kakšna posebna številka, ki je lahko tudi drug povezovalni znak, itd.
34
5.2.3.4 Rok hrambe osebnih podatkov (21. člen)
Osebnim podatkom ZVOP-1 dopušča le omejen čas trajanja njihovega shranjevanja, saj
se morajo osebni podatki, takoj ko je dosežen namen njihove obdelave izbrisati, uničiti,
blokirati ali anonimizirati, razen če so opredeljeni kot arhivsko gradivo oziroma, če
zakon za posamezne vrste osebnih podatkov ne določa drugače. V tem primeru določba
ščiti posameznika pred morebitnimi zlorabami in mu zagotavlja, da se njegovi osebni
podatki obdelujejo le za dosego točno določenega namena, po izpolnitvi namena pa
niso več dostopni.
5.2.3.5 Posredovanje osebnih podatkov (22. člen)
Osebni podatki se lahko med drugim zbirajo tudi z namenom posredovanja upravičenim
uporabnikom. V tem primeru jih mora upravljavec osebnih podatkov za plačilo
posredovati uporabnikom. Posebna določba velja za centralni register prebivalstva ali
evidenc stalno ali začasno prijavljenih prebivalcev,62 ki morajo upravičencu, če izkaže
pravni interes pred osebami javnega sektorja posredovati osebno ime in naslov stalnega
ali začasnega prebivališča posameznika, zoper katerega uveljavlja svoje pravice. Ta
določba bo največkrat prišla v poštev za sprožitev različnih sodnih postopkov kot
legitimne poti za uveljavljanje posameznikovih pravic.
Dolžnost upravljavca je zagotavljanje tako imenovane sledljivosti za vsako
posredovanje. Zagotavljanje sledljivosti pomeni, da je mogoče pozneje ugotoviti, kateri
osebni podatki so bili posredovani, komu, kdaj in na kakšni podlagi, in sicer ves čas, do
konca obdobja, ko je še mogoče zakonsko varstvo posameznika zaradi nedopustnega
posredovanja osebnih podatkov.
V primeru kjer sta tako upravljavec kot tudi uporabnik osebnih podatkov del javnega
sektorja, je ureditev zaračunavanja posredovanja osebnih podatkov milejša, saj se
62 Zakon o centralnem registru prebivalstva, Uradni list RS, št. 72/2006, (v nadaljevanju ZCRP), določa v 2. odstavku 23. člena : »Uporabniki osebnih podatkov, ki imajo zakonsko podlago za pridobivanje podatkov in uporabniki, ki so pooblaščeni z osebno pisno privolitvijo posameznika, na katerega se podatki nanašajo, pa v zakonu oziroma pooblastilu nimajo konkretno opredeljenih podatkov, do katerih so upravičeni, imajo pravico iz CRP dobiti naslednje podatke: ime in priimek, kraj rojstva, leto rojstva, spol, državljanstvo, prebivališče in vrsta prebivališča.«
35
podatki posredujejo praviloma brezplačno. Prav tako je posredovanje brezplačno tudi,
kadar se osebni podatki uporabljajo v zgodovinske, statistične ali znanstveno
raziskovalne namene.
5.2.3.6 Varstvo osebnih podatkov umrlih posameznikov (23.
člen)
S smrtjo posameznika varstvo osebnih podatkov ne preneha, saj je upravljavec osebnih
podatkov še vedno dolžan varovati pokojnikove osebne podatke in jih lahko posreduje
samo tistim uporabnikom, ki so za obdelavo zakonsko pooblaščeni. Poleg tega se lahko
posredujejo samo osebi, ki je po zakonu, ki ureja dedovanje, njegov zakoniti dedič
prvega ali drugega dednega reda in zato izkaže pravni interes, vendar le pod pogojem,
da umrli posameznik posredovanje svojih osebnih podatkov ni pisno prepovedal.
Upravljavec lahko te podatke posreduje tudi za uporabo v zgodovinske, statistične ali
znanstveno raziskovalne namene, vendar tudi to praviloma samo, če umrli posameznik
ali njegovi zakoniti dediči prvega ali drugega dednega reda, tega niso prej pisno
prepovedali.
5.2.3.7 Zavarovanje osebnih podatkov (24. in 25. člen)
Eden zadnjih previdnostnih ukrepov pa je zavarovanje osebnih podatkov, ki je hkrati
tudi eden bistvenih pogojev za učinkovito varstvo osebnih podatkov. Namen določb o
zavarovanju osebnih podatkov, ki so tehnične narave, saj obsegajo potrebne
organizacijske ter logično tehnične postopke in ukrepe, s katerimi se osebni podatki
varujejo, je preprečevanje naključnega in nenamernega nepooblaščenega uničevanja
podatkov ter preprečevanje sprememb, izgube ali nepooblaščene obdelave. Njihovo
izvrševanje pa poteka z varovanjem prostorov, opreme, vhodno izhodnih enot in
sistemske programske opreme, aplikativne programske opreme za obdelavo,
preprečevanje nepooblaščenega dostopa pri prenosu podatkov, zagotavljanje
učinkovitega blokiranja uničenja, izbrisa ali anonimiziranja osebnih podatkov,
omogočanje sledljivosti oziroma poznejšega ugotavljanja uporabe ali vnosa osebnih
podatkov.
36
Poudarjena pomembnost in občutljivost varstva osebnih podatkov pa je podana z
določbo v 4. odstavkom 24. člena ZVOP-1, po kateri so vsi, ki dostopajo do osebnih
podatkov, dolžni varovati njihovo tajnost v času trajanje funkcije ali zaposlitve kot tudi
po njenem prenehanju. To določilo velja tako za zaposlene v javnem kot tudi v
zasebnem sektorju.
Ker je zavarovanje osebnih podatkov eno najpomembnejših zagotovil, ki preprečuje
njihovo zlorabo, morajo tako upravljavci kot tudi morebitni pogodbeni obdelovalci
osebnih podatkov, v svojih internih aktih natančno predpisati postopke in ukrepe za
zavarovanje ter določiti odgovorne osebe za posamezne zbirke osebnih podatkov in
osebe, ki obdelujejo določene osebne podatke zaradi narave njihovega dela.
5.2.4 Katalog zbirk osebnih podatkov in register zbirk (26.-28.
člen)
ZVOP-1 je upravljavcem osebnih podatkov zavezal k vzpostavitvi kataloga za vsako
zbirko osebnih podatkov, saj imajo posamezniki pravico vedeti kdo, na kakšen način in
zakaj obdeluje njegove osebne podatke. Vsak katalog zbirke osebnih podatkov ima v
zakonu določene obvezne sestavine (npr. naziv zbirke osebnih podatkov, podatke o
upravljavcu osebnih podatkov, pravno podlago, kategorije posameznikov, namen
obdelave, rok hrambe, splošen opis zavarovanja…), upravljavec osebnih podatkov pa
mora skrbeti za točnost in ažurnost vsebine kataloga.
Upravljavec zbirke osebnih podatkov mora večino sestavin kataloga zbirk najmanj
petnajst dni pred vzpostavitvijo zbirke ali vnosom nove vrste osebnih podatkov
posredovati informacijskemu pooblaščencu. Dolžan pa je priglasiti tudi vsako
spremembo in sicer v najpozneje v osmih dneh od dneva spremembe.
Na podlagi tako pridobljenih podatkov informacijski pooblaščenec vzpostavi, vodi in
vzdržuje register zbirk osebnih podatkov, po metodologiji, določeni s Pravilnikom o
metodologiji vodenja registra zbirk osebnih podatkov, (Ur.l. RS, št. 28/2005) katere
mora objaviti na svoji spletni.
37
5.2.5 Pravice posameznika (29.-36. člen)
Posameznik ima v zvezi z obdelovanjem svojih osebnih podatkov vrsto pravic, ki mu
omogočajo seznanjanje, zagotavljajo točnost in ažurnost osebnih podatkov ter ustrezno
institucionalno varstvo v primeru kršitve predpisov o varstvu osebnih podatkov.
5.2.5.1 Vpogled v register (29. člen)
Informacijski pooblaščenec mora vsakomur dovoliti vpogled v register zbirk osebnih
podatkov in prepis le teh. Vpogled in prepis se morata dovoliti in omogočiti praviloma
istega dne, najpozneje pa v osmih dneh, sicer se šteje, da je zahteva zavrnjena. Ta
posameznikova pravica bo prišla do izraza zgolj v primeru, ko posameznik nima
dostopa do svetovnega spleta, saj mora informacijski pooblaščenec register objaviti na
svoji spletni strani.
5.2.5.2 Pravica in postopek seznanitve (30.-31. člen)
Ker ima posameznik pravico, da se lahko seznani z lastnimi osebnimi podatki, mu mora
upravljavec osebnih podatkov na njegovo zahtevo:
1. omogočiti vpogled v katalog zbirk osebnih podatkov,
2. potrditi, ali se podatki v zvezi z njim obdelujejo in mu omogočiti vpogled,
prepisovanje ali kopiranje,
3. posredovati izpis osebnih podatkov,
4. posredovati seznam uporabnikov, ki so jim bili njegovi podatki posredovani ter
podatke, kdaj, na kakšni podlagi in za kakšen namen,
5. dati informacijo o virih, na katerih temeljijo zapisi, ki jih o posamezniku vsebuje
zbirka osebnih podatkov in metodi obdelave,
6. dati informacijo o namenu obdelave in vrsti osebnih podatkov, ter pojasnila v
zvezi s tem,
7. pojasniti tehnične oziroma logično tehnične postopke odločanja pri
avtomatiziranem odločanju.
38
To pravico lahko posameznik uresniči z vložitvijo ustrezne pisne zahteve ali ustno na
zapisnik pri upravljavcu osebnih podatkov.63 Upravljavec je dolžan posamezniku
omogočiti vpogled in prepis osebnih podatkov najpozneje v petnajstih dneh, ali pa ga v
petnajstih dneh pisno obvestiti o razlogih, zaradi katerih vpogleda, prepisa, kopiranja ali
izdaje potrdila ne bo omogočil.64 Če upravljavec posameznika v predpisanem roku ne
obvesti o svoji odločitvi, se šteje, da je zahtevo zavrnil. V primeru, da je posamezniku
kratena pravica do seznanitve z njegovimi osebnimi podatki, se lahko ta pritoži pri
Informacijskem pooblaščencu.
5.2.5.3 Pravica in postopek dopolnitve, popravka, blokiranja,
izbrisa in ugovora (32.-33. člen)
Po določilu 18. člena ZVOP-1, morajo biti osebni podatki, ki se obdelujejo, točni in
ažurni. Zato mora tudi upravljavec zbirke osebnih podatkov na posameznikovo zahtevo
dopolniti, popraviti, blokirati ali izbrisati osebne podatke, za katere posameznik dokaže,
da so nepopolni, netočni ali neažurni, ali da so bili zbrani ali obdelani v nasprotju z
zakonom. V primeru da posameznik to zahteva, mora upravljavec obvestiti vse
morebitne uporabnike in pogodbene obdelovalce, ki jim je posredoval njegove osebne
podatke. Tega mu ni treba storiti le, če bi to povzročilo velike stroške, nesorazmerno
velik napor ter veliko časa. Zahteva za dopolnitev ali popravek se vloži pisno ali ustno
na zapisnik pri upravljavcu osebnih podatkov. Navedene spremembe mora upravljavec
opraviti v petnajstih dneh od prejema zahteve in o tem obvestiti vlagatelja zahteve ali pa
ga v istem roku obvestiti o razlogih zaradi katerih tega ne bo storil. V primeru molka
63 Zahteva se lahko vloži enkrat na tri mesece, glede obdelave občutljivih osebnih podatkov in osebnih podatkov po določbah 2. poglavja VI. dela tega zakona pa enkrat na mesec. Kadar je to potrebno za zagotavljanje poštene, zakonite ali sorazmerne obdelave osebnih podatkov, zlasti kadar se osebni podatki posameznika v zbirki osebnih podatkov pogosto ažurirajo ali posredujejo ali bi se lahko pogosto ažurirali ali posredovali uporabnikom osebnih podatkov, mora upravljavec osebnih podatkov posamezniku omogočiti, da vloži zahtevo tudi v krajšem ustreznem roku, ki ni krajši od petih dni od dneva seznanitve z osebnimi podatki, ki se nanašajo nanj ali zavrnitve te seznanitve. 64 Za prepis, kopiranje in pisno potrdilo lahko upravljavec osebnih podatkov posamezniku zaračunava zgolj materialne stroške po vnaprej določenem ceniku, s tem, da so ustno potrdilo, ustne informacije in pojasnila brezplačne. Če posameznik kljub pridobitvi ustnih potrdil, informacij ali pojasnil, zahteva potrdilo, informacijo ali pojasnilo v pisni obliki, mu mora upravljavec osebnih podatkov to zagotoviti. Minister, pristojen za pravosodje, na podlagi predloga Informacijskega pooblaščenca s pravilnikom predpiše cenik zaračunavanja materialnih stroškov in ga objavi v Uradnem listu Republike Slovenije.
39
upravljavca osebnih podatkov se šteje, da je zahtevo zavrnil. Stroške sprememb in vseh
dejanj upravljavca krije upravljavec. Če pa upravljavec sam ugotovi, da so osebni
podatki nepopolni, netočni ali neažurni, jih mora po uradni dolžnosti tudi sam dopolniti
ali popraviti in o tem obvestiti posameznika, če z zakonom ni določeno drugače.
Osebni podatki se lahko, po 4. odstavku 9. člena ZVOP-1, v javnem sektorju izjemoma
obdelujejo tudi, če ni izrecne podlage v zakonu in je to hkrati nujno za izvrševanje
zakonitih pristojnosti, nalog ali obveznosti v javnem sektorju, če se s to obdelavo ne
poseže v upravičen interes posameznika, na katerega se osebni podatki nanašajo.
Podobno se lahko tudi po 3. odstavku 9. člena ZVOP-1, obdelujejo osebni podatki v
zasebnem sektorju, če je to nujno zaradi uresničevanja zakonitih interesov zasebnega
sektorja in če ti interesi očitno prevladujejo nad interesi posameznika, na katerega se
nanašajo ti osebni podatki. V obeh navedenih primerih lahko posameznik z ugovorom
pri upravljavcu osebnih podatkov dokaže, da niso izpolnjeni pogoji za tovrstno izjemno
obdelavo osebnih podatkov, in lahko kadarkoli zahteva prenehanje obdelave svojih
podatkov. V primeru, da upravljavec posameznikovem ugovoru ne ugodi, lahko ta v
sedmih dneh od vročitve odločitve o ugovoru zahteva, da o obdelavi odloči
informacijski pooblaščenec. Ta mora odločiti v dveh mesecih od prejema zahteve,
vložena zahteva pa ima suspenzivni učinek, tako, da zadrži sporno obdelavo osebnih
podatkov posameznika.
5.2.5.4 Sodno varstvo pravic posameznika in njegova omejitev
(34.-36. člen)
Pravico do sodnega varstva jamči že Ustava RS v 23. členu,65 podrobneje pa jo določa
ZVOP-1. Posameznik lahko s tožbo pred Upravnim sodiščem zahteva sodno varstvo ves
čas trajanja kršitve, pred tem pa mora izkoristiti vsa razpoložljiva pravna sredstva. Tudi
po prenehanju lahko vloži tožbo za ugotovitev, da je kršitev res obstajala, če mu v zvezi
s kršitvijo ni zagotovljeno drugo sodno varstvo. Ker obstaja možnost nastanka velike
65 23. člen Ustave RS: »Vsakdo ima pravico, da o njegovih pravicah in dolžnostih ter o obtožbah proti njemu brez nepotrebnega odlašanja odloča neodvisno, nepristransko in z zakonom ustanovljeno sodišče. Sodi mu lahko samo sodnik, ki je izbran po pravilih, vnaprej določenih z zakonom in s sodnim redom.«
40
škode je ta postopek s tožbo nujen in prednosten, javnost pa je iz njega praviloma
izključena.
Ker ima posameznik pravico do sodnega varstva zagotovljeno že z ustavo, je nekatere
njegove pravice mogoče omejiti le v izjemnih primerih, pri čemer se mora spoštovati
načelo sorazmernosti. Omejiti je mogoče le naslednje pravice:
- pravico do obveščanja posameznika o obdelavi njegovih osebnih podatkov,
- pravico posameznika do seznanitve z lastnimi osebnimi podatki,
- pravico do dopolnitve, popravka, blokiranja, izbrisa in ugovora. 66
Zaradi tovrstnega posega v pravico izvrševanja je omejitev njenega izvrševanja mogoče
določiti le z zakonom in samo zaradi pravnega varstva pomembnih dobrin, ki jih
eksplicitno našteva ZVOP-1.67
5.2.6 Iznos osebnih podatkov (62.–71. člen ZVOP-1)
Iznos osebnih podatkov iz Republike Slovenije v države EU in Evropskega
gospodarskega prostora (EGP)68 je z ZVOP-1 izenačen s posredovanjem osebnih
podatkov upravljavcem osebnih podatkov, pogodbenemu obdelovalcu ali uporabniku
osebnih podatkov v Sloveniji. Poseben režim pa velja za tretje države, se pravi tiste, ki
niso članice EU ali EGP.
Posredovanje osebnih podatkov in s tem iznos osebnih podatkov v tretje države, je
dovoljen samo, če informacijski pooblaščenec izda odločbo, da tretja država zagotavlja
ustrezno raven varstva osebnih podatkov. V primeru, da je tretja država na seznamu
držav, ki ga vodi informacijski pooblaščenec in za katere je ugotovljeno, da v celoti ali
delno zagotavljajo ustrezno raven varstva osebnih podatkov, odločba ni potrebna. Prav
tako ni potrebna v primeru ko tako določa zakon, mednarodna pogodba ali je
posameznik v to pisno privolil. Iznos pa je možen tudi zaradi zavarovanja življenja ali
66 Tretji in četrti odstavek 19. člena in 30. in 32. člen ZVOP-1. 67 36. člen ZVOP-1 določa : »…. izjemoma omejiti iz razlogov varstva suverenosti in obrambe države, varstva nacionalne varnosti in ustavne ureditve države, varnostnih, političnih in gospodarskih interesov države, izvrševanja pristojnosti policije, preprečevanja, razkrivanja, odkrivanja, dokazovanja in pregona kaznivih dejanj in prekrškov, odkrivanja in kaznovanja kršitev etičnih norm za določene poklice, iz monetarnih, proračunskih ali davčnih razlogov, zaradi nadzora nad policijo in varstva posameznika, na katerega se nanašajo osebni podatki, ali pravic in svoboščin drugih.« 68 Poleg EU v EGP sodijo še Norveška, Islandija in Liechtenstein.
41
telesa posameznika, če je opravljen iz registrov, javnih knjig ali uradnih evidenc,
sklenitve in izvršitve pogodbe ter zaradi nekaterih drugih taksativno v zakonu naštetih
razlogov. 69
5.2.7 Področne ureditve varstva osebnih podatkov
Pet pomembnih področij varstva osebnih podatkov je, zaradi specifične materije,
sodobnega načina življenja in modernih, informacijsko komunikacijskih tehnologij, v
ZVOP-1 posebej urejeno.
5.2.7.1 Neposredno trženje (72.-73. člen)
Neposredno trženje je ponujanje blaga, storitev, zaposlitev ali začasnega opravljanja del
z uporabo poštnih storitev, telefonskih klicev, elektronske pošte ali drugih
telekomunikacijskih sredstev. Bistvo neposrednega trženja je vzpostavljanje odnosa s
posameznikom na podlagi zbranih podatkov o njem.70 Ker pa zaradi potrošniškega
načina življenja neposredno trženje nenehno narašča je pomembno zlasti, da lahko za te
namene upravljavec osebnih podatkov uporablja le tiste osebne podatke
posameznikov,71 ki jih je zbral iz javno dostopnih virov ali v okviru zakonitega
opravljanja dejavnosti. Z vidika posameznika pa je pomembno, da ZVOP-1 določa,
katere osebne podatke lahko upravljavec uporablja in pod katerimi pogoji. Prav tako pa
69 Kot določa 2. odst. 68. člena ZVOP-1:« ali se izneseni osebni podatki uporabljajo le za namen, za katerega so bili izneseni, ali se namen lahko spremeni le na podlagi dovoljenja upravljavca osebnih podatkov, ki jih je posredoval, ali na podlagi osebne privolitve posameznika, na katerega se osebni podatki nanašajo; - ali ima posameznik, na katerega se nanašajo osebni podatki, možnost izvedeti, za kakšen namen so se njegovi osebni podatki uporabljali, komu so bili posredovani ter možnost popravka ali izbrisa netočnih ali neažurnih osebnih podatkov, razen če mu to zaradi tajnosti postopka onemogočajo obvezujoče mednarodne pogodbe; - ali tuji upravljavec izvaja ustrezne organizacijske in tehnične postopke ter ukrepe, s katerimi se zavarujejo osebni podatki; - ali je določena kontaktna oseba, ki je pooblaščena podati informacije posamezniku, na katerega se nanašajo osebni podatki, ali državnemu nadzornemu organu o obdelavi osebnih podatkov, ki so bili izneseni; - ali lahko tuj uporabnik iznese osebne podatke le pod pogojem, če je pri drugem tujem uporabniku, ki mu bodo posredovani osebni podatki, zagotovljeno ustrezno varstvo osebnih podatkov tudi za tuje državljane; - ali je zagotovljeno učinkovito pravno varstvo posameznikom, katerih osebni podatki so bili izneseni.« 70 Burnik Jelena, Privolitev posameznika v kontekstu neposrednega trženja, Pravna praksa, leto 28, št. 28, Ljubljana, 2009, str. 10-11. 71 Kot so npr. osebno ime, naslov stalnega ali začasnega prebivališča, telefonsko štev
42
sta posebej določena tudi postopek in način prenehanja izvajanja neposrednega trženja,
če posameznik to zahteva.72
5.2.7.2 Video nadzor (74.-77. člen)
Video nadzor pomeni enega od načinov obdelave osebnih podatkov, zato je
posamezniku z ZVOP-1 dana možnost, da se vsakokrat seznani z njegovim izvajanjem.
Eden izmed ključnih pogojev je, da določen posnetek spada v sfero osebnega podatka,
da je možna identifikacija posameznika, saj kadar je posnetek tako slabe kakovosti da
posameznika ni možno identificirati, pomeni odsotnost tega atributa, pogoj za ne obstoj
osebnega podatka. ZVOP-1 določa posebne pogoje, ki jih mora upravljavec oziroma
izvajalec video nadzora izpolniti, da je video nadzor dopusten. ZVOP-1 razlikuje
posamezne kategorije izvajanja video nadzora in ga pod točno določenimi pogoji
dopušča v uradnih službenih ali poslovnih prostorih, delovnih prostorih in
večstanovanjskih stavbah. Ker ZVOP-1 določa tudi izjeme73 v katerih se ta zakon ne
uporablja, zato torej ZVOP-1 ni pravna podlaga za ukrepanje pri posegih v sfero
zasebnosti v primeru, ko se posamezniki odločijo za video nadzor za domačo uporabo.
5.2.7.3 Biometrija (78.-81. člen)
Biometrija je veda o načinih prepoznave ljudi na podlagi njihovih telesnih, fizioloških
ter vedenjskih značilnosti, ki jih imajo vsi posamezniki, so edinstvene in stalne za
vsakega posameznika posebej in je možno z njimi določiti posameznika, zlasti z
uporabo prstnega odtisa, glasu, posnetka papilarnih linij s prsta, šarenice, očesne
mrežnice, obraza, ušesa, dezoksiribonukleinske kisline (DNK) ter značilne drže ter
pomeni poseg v telo posameznika. Z obdelavo teh biometričnih značilnosti se
ugotavljajo ali primerjajo lastnosti posameznika, tako da se lahko izvrši njegova
identifikacija oziroma preveri njegova identiteta pod pogoji določeni v ZVOP-1.
72 Ne glede na določbe ZVOP-1 neposredno trženje urejata na primer tudi Zakon o elektronskih komunikacijah in Zakon o varstvu potrošnikov. 73 Na primer obdelava osebnih podatkov, ki jo izvajajo posamezniki izključno za osebno uporabo, družinsko življenje ali za druge domače potrebe.
43
ZVOP-1 v svojih določbah razlikuje pogoje za uvedbo biometričnih ukrepov v javnem
ali zasebnem sektorju.
V javnem sektorju lahko biometrične ukrepe določi le zakon vendar samo, če je to
nujno za varovanje ljudi, premoženja, tajnih podatkov in poslovnih skrivnosti in tega
namena ni mogoče doseči z milejšimi sredstvi.
Lahko se uvedejo biometrijski ukrepi v zvezi z vstopom v stavbo ali dele stavbe in
evidentiranjem navzočnosti zaposlenih na delu. Pri tem mora oseba javnega sektorja
predhodno pridobiti pozitivno odločbo informacijskega pooblaščenca. Ta z vidika
sorazmernosti ugotavlja, ali je nameravana uvedba biometrijskih ukrepov res nujna za
opravljanje dejavnosti, za varnost ljudi in premoženja, ali za varovanje tajnih podatkov
ali poslovne skrivnosti.
V zasebnem sektorju se lahko biometrijski ukrepi izvajajo iz enakih razlogov kot v
javnem in tudi, če je to nujno za opravljanje dejavnosti, vendar jih lahko delodajalec
izvaja le nad svojimi zaposlenimi, če so bili o tem predhodno obveščeni. Kadar pa
izvajanje biometrijskih ukrepov v zasebnem sektorju ni urejeno z zakonom, mora
upravljavec osebnih podatkov pridobiti pozitivno odločbo informacijskega
pooblaščenca.
5.2.7.4 Evidence vstopov in izstopov iz prostorov (82. člen)
Za namene varovanja premoženja, življenja ali zdravja posameznikov ter reda v
prostorih se lahko oseba javnega ali zasebnega sektorja od posameznika zahteva, da
navede določene osebne podatke in razlog vstopa in izstopa. To pomeni, da sta osebi
javnega in zasebnega sektorja glede vodenja evidenc vstopov in izstopov iz prostorov
izenačeni.
ZVOP-1 določa obseg osebnih podatkov v evidenci vstopov in izstopov, ki se lahko
zbirajo in so taksativno našteti.74 Osebni podatki, iz zbirke, ki mora biti prijavljena v
74 2. odst. 82. člena ZVOP-1: »… osebno ime, številka in vrsta osebnega dokumenta, naslov stalnega ali začasnega prebivališča, zaposlitev ter datum, ura in razlog vstopa ali izstopa v ali iz prostorov.«
44
registru zbirk osebnih podatkov pri informacijskem pooblaščencu, se lahko hranijo
največ 3 leta od vpisa, nato se morajo uničiti.
5.2.7.5 Javne knjige in varstvo podatkov (83.-86. člen)
Osebni podatki iz javnih knjig se lahko uporabljajo le v skladu z namenom, za katerega
so bili zbrani ali se obdelujejo, ne pa v kakršnekoli druge namene. Pri njihovi obdelavi
je potrebno izhajati iz namena zaradi katerega je bila javna knjiga vzpostavljena.
Prav tako je tudi povezovanje zbirk osebnih podatkov iz uradnih evidenc in javnih knjig
dovoljeno le, če tako določa zakon. ZVOP-1 tudi v tem primeru določa pomembno
vlogo informacijskemu pooblaščencu, in sicer pri izvedbi povezave dveh ali več zbirk
osebnih podatkov ter pri povezovanju in razkrivanju zbirk občutljivih osebnih podatkov.
V primeru da se povezuje dve ali več zbirk osebnih podatkov, ki se vodijo za različne
namene, je upravljavec o nameravani povezljivosti dolžan samo obvestiti
informacijskega pooblaščenca. V kolikor pa gre za povezovanje ali razkrivanje
občutljivih osebnih podatkov ali bi bila za izvedbo povezovanja potrebna uporaba istega
povezovalnega znaka,75 povezovanje ni dovoljeno brez predhodnega dovoljenje
informacijskega pooblaščenca.
5.3 Obligacijski zakonik76
Varstvo osebnih podatkov spada v sfero zasebnosti posameznika, katerega varstvo je
zagotovljeno že s samo Ustavo RS.77 Tako je dolžnost države, da varuje varstvo
posameznika pred posegom drugega posameznika in države s tem, da zagotavlja
učinkovita pravna sredstva za njihovo varovanje. V primeru ko posamezniku nastane
škoda, zaradi npr. nedopustnega posredovanja njegovih osebnih podatkov, se izvaja
videonadzor nad posameznikom, vendar ta ni ustrezno seznanjen z njim, mu
Obligacijski zakonik (Ur.l. RS, št. 97/2007), v nadaljevanju OZ nudi dve obliki
pravnega varstva. Prva preventivna oblika je vsebovana v zahtevi za prenehanje s
kršitvami osebnostnih pravic iz 134. člena OZ, ki določa:
75 Kot npr. z zakonom opredeljene identifikacijske številke (EMŠO, davčna številka). 76 Obligacijski zakonik (uradno prečiščeno besedilo), Uradni list RS, št. 97/2007. 77 38. člen Ustave RS.
45
»(1) Vsak ima pravico zahtevati od sodišča ali drugega pristojnega organa, da odredi
prenehanje dejanja, s katerim se krši nedotakljivost človekove osebnosti, osebnega in
družinskega življenja ali kakšna druga osebnostna pravica, da prepreči tako dejanje ali
da odstrani njegove posledice.
(2) Sodišče oziroma drug pristojni organ lahko odredi, da kršitelj preneha z dejanjem,
ker bo sicer moral plačati prizadetemu določen denarni znesek, odmerjen skupaj ali od
časovne enote.«
Druga oblika varstva pa je določena v 179. členu OZ, ki določa:
1) Za pretrpljene telesne bolečine, za pretrpljene duševne bolečine zaradi
zmanjšanja življenjske aktivnosti, skaženosti, razžalitve dobrega imena in časti
ali okrnitve svobode ali osebnostne pravice ali smrti bližnjega in za strah
pripada oškodovancu, če okoliščine primera, zlasti pa stopnja bolečin in strahu
ter njihovo trajanje to opravičujejo, pravična denarna odškodnina neodvisno od
povračila premoženjske škode, pa tudi če premoženjske škode ni.«
Da se posamezniki resnično poslužujejo pravnega varstva, katero je določeno v OZ, je
pokazala tudi sodna praksa, saj je kar nekaj sodb bilo že izdanih na podlagi 134. in 179.
člena OZ.78
V sodbi Višjega sodišča v Ljubljani, z dne 14.04.2010, Cp 328/2010, je bilo določeno
da niso vsi osebni podatki varovani v okviru pravice do zasebnosti po 134. členu OZ.
Kot je razvidno iz jedra te dotične sodbe: »Objava podatkov o dohodkih, plačil in
udeležbi na dobičku ter managerski pogodbi ne pomeni posega v pravico do zasebnosti,
upoštevajoč pri tem dejstvo, da so ti podatki tistega področja tožnikovega
udejstvovanja, ki ni intimen. Ti podatki so brez dvoma osebni podatki, niso pa, glede na
vsebino pravice do zasebnosti in druga dejstva, ki jih je tožnik navedel predmet varstva
po 134. členu OZ v okviru pravice do zasebnosti.«79
78 Odločba Višjega sodišča RS: Sodba VSL I Cp 3019/2009, z dne 02.12.2009. 79 Odločba Višjega sodišča RS: Sodba VSL II Cp 328/2010, z dne 14.04.2010.
46
5.4 Kazenski zakonik, KZ-180
Kazenski zakonik (Ur.l. RS, št. 63/1994) je bil sprejet leta 1994 in je že v svoji prvotni
obliki, v 154. členu81, imel določbo o sankcioniranosti zlorabe osebnih podatkov.
Vendar pa se je s spremembami kazenske zakonodaje spremenila tudi določba o zlorabi
osebnih podatkov, ki ima sedaj dodano točko o kaznivosti prevzemanja identitete druge
osebe.82 Prav tako pa se je spremenil zastaralni rok, ki je sedaj deset let od storitve
kaznivega dejanja, za katero se sme po zakonu izreči zapor nad eno leto ali šest let od
storitve kaznivega dejanja, za katero se sme po zakonu izreči zapor do enega leta ali
denarna kazen.83
Denarna ali zaporna kazen je predvidena za tistega, ki v nasprotju z zakonom uporabi
osebne podatke, ki se smejo voditi samo na podlagi zakona ali osebne privolitve
posameznika, na katerega se ti podatki nanašajo kot npr. če podatke uporabi oseba, ki za
to ni pooblaščena.84
80 Kazenski zakonik (KZ-1), Uradni list RS št. 55/2008, 66/2008 (spremembe: Uradni list RS, št. 39/2009, 55/2009) 81 154. člen KZ (Uradni list RS, št. 63/1994) (1) Kdor v nasprotju z zakonom uporabi osebne podatke, ki še smejo voditi samo na podlagi zakona ali na podlagi osebne privolitve posameznika, na katerega se osebni podatki nanašajo, se kaznuje z denarno kaznijo ali z zaporom do enega leta. (2) Enako se kaznuje, kdor vdre v računalniško vodeno zbirko podatkov z namenom, da bi sebi ali komu drugemu pridobil kakšen osebni podatek. (3) Če stori dejanje iz prvega ali drugega odstavka tega člena uradna oseba z zlorabo uradnega položaja ali uradnih pravic, se kaznuje z zaporom do dveh let. 82 143. člen KZ-1 (1) Kdor uporabi osebne podatke, ki se obdelujejo na podlagi zakona, v neskladju z namenom njihovega zbiranja ali brez osebne privolitve osebe, na katero se osebni podatki nanašajo, se kaznuje z denarno kaznijo ali zaporom do enega leta. (2) Enako se kaznuje, kdor vdre ali nepooblaščeno vstopi v računalniško vodeno zbirko podatkov z namenom, da bi sebi ali komu drugemu pridobil kakšen osebni podatek. (3) Kdor na svetovnem medmrežju objavi ali omogoči drugemu objavo osebnih podatkov žrtev kaznivih dejanj, žrtev kršitev pravic ali svoboščin, zaščitenih prič, ki se nahajajo v sodnih spisih sodnih postopkov, kjer po zakonu ali po odločitvi sodišča ni dovoljena prisotnost javnosti ali identifikacija žrtev ali zaščitenih prič ter osebnih zapisov o njih v zvezi s sodnim postopkom, na podlagi katerih se te osebe lahko določi ali so določljive, se kaznuje z zaporom do treh let. (4) Kdor prevzame identiteto druge osebe in pod njenim imenom izkorišča njene pravice, si na njen račun pridobiva premoženjsko korist ali prizadene njeno osebno dostojanstvo, se kaznuje z zaporom od treh mesecev do treh let. (5) Če stori dejanje iz prejšnjih odstavkov tega člena uradna oseba z zlorabo uradnega položaja ali uradnih pravic, se kaznuje z zaporom do petih let. (6) Pregon iz tretjega odstavka tega člena se začne na predlog. 83 4. in 5. točka 1. odstavka 90. člena KZ-1. 84 Npr. uslužbenec banke, ki se seznanja z osebnimi podatki nekega svojega znanca, iz povsem osebnih razlogov.
47
Na kazenskem področju zlorabe osebnih podatkov obstaja tudi sodna praksa, vendar do
sedaj ni bila tako pestra kot na ostalih kazenskih področjih. Vendar pa se to z novim
KZ-1 spreminja. K temu pa je pripomoglo tudi zavedanje posameznikov in
uveljavljanje njihovih pravic, predvsem pa vestno delovanje Informacijskega
pooblaščenca.
Vseeno pa so se v praksi pojavila določena vprašanja na katera je sodišče tudi
odgovorilo. Kot npr. v sklepu Vrhovnega sodišča RS VIII Ips 527/2008 je bilo
vprašanje, ali je toženec neupravičeno vpogledane podatke uporabil v nasprotju z
zakonom. Dokazano mu je namreč bilo, da je resnično nepooblaščeno vpogledal v bazo
podatkov v katero ni imel dostopa, vendar, ker ni bilo raziskano ali je te podatke potem
tudi uporabil v nasprotju z zakonom, niso bili izpolnjeni vsi znaki očitanega kaznivega
dejanja po 154. členu KZ in tako je to kaznivo dejanje ostalo neraziskano, sprejeta
odločitev sodišča, ki ga je spoznala za krivega, pa je posledično bila zmotna.85
6. ZAVAROVANCI IN VARSTVO NJIHOVIH OSEBNIH PODATKOV
Zavarovanje je pogodbeni odnos strank z obojestranskim finančnim interesom, saj se
zavarovalec zavezuje, da bo zavarovalnici plačal zavarovalno premijo ali prispevek,
zavarovalnica pa se zavezuje, da bo, če se zgodi dogodek, ki pomeni zavarovalni
primer, izplačala zavarovancu ali nekomu tretjemu zavarovalnino ali odškodnino ali
storila kaj drugega.86 Pri tem pa je zavarovanec dolžan navesti podatke, ki so potrebni
za veljavno sklenitev tovrstnega pravnega posla ter prijaviti vse okoliščine, ki so
pomembne za ocenitev zavarovane nevarnosti, ki so mu znane ali mu niso ostale
neznane,87 saj ti podatki vplivajo na oceno rizika, od katerega je potem tudi odvisna
višina zavarovalne premije. Najpogosteje gre za podatke, ki so po ZVOP-1 uvrščeni
med občutljive osebne podatke, za katere ZVOP-1 predvideva posebno pravno
varstvo.88 Prav tako pa zavarovalnice posedujejo in zahtevajo tudi druge podatke, ki ne
spadajo ravno v sfero občutljivih osebnih podatkov, vendar pa je njihovo zbiranje in
obdelava prav tako predvideno z različnimi zakoni.
85 Odločba Vrhovnega sodišča RS: Sklep VIII Ips 527/2008, z dne 07.06.2010. 86 921. člen OZ. 87 931. člen OZ. 88 19. točka 6. člena ZVOP-1.
48
Katere osebne podatke bo določena zavarovalnica zahtevala od posameznikov je
odvisno od faze, vsebine in okoliščin v zvezi s konkretno zavarovalno pogodbo ter vrsto
zavarovalnega produkta. Tako bodo zahteve po osebnih podatkih različne, če bomo
sklepali osebno, nezgodno ali življenjsko zavarovanje.89
6.1 Pravna podlaga pri obdelovanju osebnih podatkov
zavarovancev
Zavarovalnice na podlagi 23. točke 6. člena ZVOP-1 spadajo v zasebni sektor, kateremu
pravno podlago za obdelovanje osebnih podatkov daje 10. člen ZVOP-1, kateri določa,
da se lahko osebni podatki v zasebnem sektorju obdelujejo, če tako določa zakon ali če
je za obdelavo določenih osebnih podatkov podana osebna privolitev posameznika.
To pomeni, da sta v zasebnem sektorju glede dopustnosti obdelave osebnih podatkov
zakonsko dovoljenje in posameznikova osebna privolitev načeloma izenačena. Vendar
je ne glede na to izenačitev nujno spoštovanje standardov in pravil v zvezi z obdelavo
osebnih podatkov, še posebej glede dejanske neenakosti pogodbenih strank, kadar
nasproti gospodarske družbe-zavarovalnice, nastopa fizična oseba-posameznik. V
primeru, da bosta upravljavec in uporabnik osebnih podatkov sodila v zasebni sektor,
bosta podatke lahko pridobila ali posredovala tudi na podlagi osebne privolitve
posameznika na katerega se nanašajo.90 Če pa bo eden izmed njiju, uporabnik ali
upravljavec, del javnega sektorja, pa bo dopustnost obdelave osebnih podatkov glede na
zahteve iz 9. člena ZVOP-1 moral določiti zakon.91
Vendar pa tretji odstavek 10. člena ZVOP-1 določa, da se lahko v zasebnem sektorju
obdelujejo osebni podatki ne glede na to ali za to obstaja pravna podlaga v zakonu ali
osebna privolitev posameznika, če je to nujno zaradi uresničevanja zakonitih interesov
zasebnega sektorja in ti interesi očitno prevladujejo nad interesi posameznika, na
katerega se nanašajo osebni podatki.
89 Gornik Maja, Prijavna dolžnost in osebni podatki v zvezi s sklenjeno zavarovalno pogodbo, Pravna praksa, Ljubljana, 2007, str. 18. 90 Na primer med zavarovalnicami in bankami. 91 Na primer med zavarovalnicami in Centralnim registrom prebivalstva. Kar pomeni, da je potrebno da je takšna obdelava osebnih podatkov zagotovljena v enem izmed področnih zakonom, v tem primeru v Zakonu o centralnem registru prebivalstva.
49
Zakon o zavarovalništvu (Ur.l. RS, št. 99/2010) v nadaljevanju ZZavar-UPB7, 92 ki je
krovni zakon na področju zavarovalništva v Sloveniji, v svojem 154. členu določa da
lahko zavarovalnice in Slovensko zavarovalno združenje (v nadaljevanju SZZ) zbirajo,
obdelujejo, shranjujejo, posredujejo in uporabljajo osebne podatke, potrebne za
sklepanje zavarovanj in za likvidacijo škod, ki izvirajo iz zavarovanj po ZZavar-UPB7,
v skladu z zakonom, ki ureja varstvo osebnih podatkov in posebnimi predpisi o zbirkah
podatkov s področja zavarovanja. Na takšen način vzpostavijo, vzdržujejo in vodijo
zbirko podatkov o zavarovalcih, o škodnih dogodkih in podatkih za presojo
zavarovalnega kritja in višine odškodnine.
Obdelavo osebnih podatkov na področju obveznih zavarovanj v prometu pri
zavarovalnicah in SZZ, ki so potrebni za sklepanje in obravnavanje odškodninskih
zadev, ureja Zakon o obveznih zavarovanjih v prometu (Ur.l. RS, št. 93/2007) v
nadaljevanju ZOZP.93 8. člen ZOZP predstavlja zakonsko podlago, ki dovoljuje
zavarovalnicam in SZZ obdelovati osebne podatke na področju obveznih zavarovanj v
prometu v treh zbirkah podatkov, podobno kot 2. odstavek 154. člena ZZavar-UPB7, v
zbirki podatkov o zavarovancih, zbirki podatkov o škodnih dogodkih in zbirki podatkov
za presojo zavarovalnega kritja in višine odškodnine ter opredeljuje namen obdelave
osebnih podatkov.
ZOZP, v 8. členu natančno določa katere osebne podatke je zavarovalnica za namene, iz
zbirk podatkov s področja zavarovalništva, upravičena pridobiti. Vendar pa se v
določenih primer vseeno pojavljajo vprašanja, katere podatke iz zbirk podatkov lahko
zavarovalnice in SZZ vzpostavijo, vodijo in vzdržujejo ter od katerih organov jih lahko
zahtevajo.
Tudi Informacijski pooblaščenec se je v svojem neobveznem mnenju,94 na vprašanje,
ali smejo zavarovalnice od upravnih enot zahtevati kupoprodajne pogodbe in
homologacijo vozila, opredelil, da določba 8. člena ZOZP natančno določa, katere
podatke – tudi osebne podatke je zavarovalnica za namene presoje zavarovalnega kritja
in določitve odškodnine, upravičena pridobiti. Določbe pa po mnenju Informacijskega
92 Zakon o zavarovalništvu, Uradni list RS, št. 109/2006 (spremembe: Uradni list RS, št. 9/2007, 102/2007, 69/2008, 19/2009, 49/2009, 78/2010, 99/2010-UPB7). 93 Zakon o obveznih zavarovanjih v prometu, Uradni list RS, št. 93/2007. 94 Mnenje Informacijskega pooblaščenca št. 0712-2/2010/484 z dne 29.03. 2010.
50
pooblaščenca ni mogoče razlagati tako široko, da bi med podatke o zavarovalcu, ki jih
zavarovalnica lahko pridobiva tudi od upravne enote (iz registra motornih vozil) lahko
uvrstili tudi kupoprodajno pogodbo in homologacijo vozila. Navedeno pomeni, da
upravna enota nima zakonske podlage za posredovanje zahtevanih podatkov,
zavarovalnica pa jih bo lahko, če so potrebni in primerni za presojo odškodnine, na
podlagi drugega odstavka 10. člena ZVOP-1 zahtevala in pridobila od zavarovalca.
Prav tako pa je Informacijski pooblaščenec podal pravno mnenje tudi o vprašanju, ali
obstaja pravna podlaga, da zavarovalnica ob obravnavanju odškodninskega zahtevka iz
prometne nesreče od oškodovanca zahteva fotokopijo zdravstvenega kartona za obdobje
zadnjih petih let, in ali gre pri tem za osebne podatke.
Informacijski pooblaščenec je ocenil, da zakonsko podlago za zbiranje podatkov iz
zdravstvenega kartona zavarovalnicam daje 8. člen ZOZP. 1. odstavek navedenega
člena namreč določa, da zavarovalnice zbirajo, obdelujejo, shranjujejo, posredujejo in
porabljajo osebne podatke, potrebne za sklepanje zavarovanj in za obravnavanje
odškodninskih zahtevkov, ki izvirajo iz zavarovanj, obveznih po tem zakonu, v skladu z
zakonom o varstvu osebnih podatkov in posebnimi predpisi o zbirkah podatkov s
področja zavarovanja. Zavarovalnice vzpostavijo, vodijo in vzdržujejo tudi zbirko
podatkov za presojo zavarovalnega kritja in višine odškodnine. V tej zbirki se med
drugim zbirajo tudi podatki o predhodnih poškodbah in zdravstvenem stanju, vrsti
telesnih poškodb, trajanju zdravljenja in posledicah oškodovanca (2. točka petega
odstavka 8. člena ZOZP). Navedeni podatki se lahko zbirajo tudi iz zbirk podatkov
zdravstvenih ustanov (6. točka šestega odstavka 8. člena ZOZP).
Iz navedenega izhaja, da zavarovalnica v primerih obravnavanj odškodninskih
zahtevkov iz obveznih zavarovanj v prometu ima pravico pridobiti podatke iz
zdravstvenega kartona oškodovanca, kljub temu da gre za osebne podatke oškodovanca.
Zavarovalnica oškodovanca seveda ne more prisiliti, da ji zdravstveni karton izroči sam,
saj ga nenazadnje lahko pridobi sama že po ZOZP. Ob tem pa vendarle ni odveč
opozoriti, da je izročitev zdravstvenega kartona zavarovalnici v takšnih primerih po
naravi stvari v korist oškodovanca, ki od zavarovalnice terja odškodnino. Zavarovalnica
51
namreč brez vpogleda v zdravstveni karton navadno oškodovancu ni pripravljena plačati
odškodnine oziroma vsaj ne odškodnine v zahtevani višini.95
Vendar pa je na tem mestu potrebno opozoriti, da je ob načelni dopustnosti obdelave
zdravstvenih podatkov, potrebno upoštevati, da zavarovalnico pri obdelavi osebnih
podatkov, ne glede na splošno pravno podlago v ZZavar-UPB7, obvezuje tudi načelo
sorazmernosti. Pri zbiranju podatkov o zdravstvenem stanju je zavarovalnica upravičena
le do tistih zdravstvenih podatkov, ki so resnično potrebni in primerni za presojo obstoja
obveznosti in višine zavarovalnine. ZZavar-UPB7 ne določa natančno, katere podatke o
zdravstvenem stanju lahko zavarovalnice zbirajo, zato je treba potrebnost in primernost
obdelave zahtevanih zdravstvenih podatkov presojati v vsakem konkretnem primeru
posebej. Čeprav ZZavar-UPB7 govori o podatkih o zdravstvenem stanju na splošno, to
še ne pomeni, da lahko zavarovalnica zbira tudi zdravstvene podatke, ki niso v zvezi s
posameznim zavarovanjem oziroma niso pomembni za presojo obstoja obveznosti in
njene višine.96
6.2 Zbiranje osebnih podatkov zavarovancev
Zakon o zavarovalništvu je predpis, ki daje zavarovalnicam in SZZ vsa pooblastila, za
zbiranje in obdelovanje osebnih podatkov, potrebnih za sklepanje zavarovanj in
likvidacijo škod. Podatki, ki jih lahko obdelujejo v zbirkah o zavarovalcih, škodnih
dogodkih in za presojo zavarovalnega kritja in višine odškodnine, morajo biti potrebni
za sklenitev zavarovanja in za likvidacijo škode.
Pri tem morata biti upoštevani načeli namenskosti in sorazmernosti. Namen obdelave
osebnih podatkov mora biti določen v zakonu, v primeru obdelave osebnih podatkov na
podlagi osebne privolitve posameznika, mora biti posameznik predhodno pisno ali na
drug ustrezen način seznanjen z namenom obdelave osebnih podatkov. Tako je v prvem
odstavku 154. člena ZZavar-UPB7 določen namen zbiranja in obdelovanja osebnih
podatkov, ki so potrebna za sklepanje zavarovanj in likvidacijo škod. V 154.a členu
95 Mnenje Informacijskega pooblaščenca, št. 092-4/2006/48, z dne 08.02.2006. 96 Balažič Jože, Brulc Urban, Ivanc Blaž, Korošec Damjan, Kralj Katarina, Novak Barbara, Pirc Musar Nataša, Robida Andrej, Zakon o pacientovih pravicah s komentarjem, GV Založba, Ljubljana, 2009, str. 234.
52
ZZavar-UPB7 je razširjen namen obdelave osebnih podatkov, saj se smejo podatki
obdelovati tudi za namen ugotavljanja spornih okoliščin škodnega dogodka (na primer
neobičajna pogostost škodnega dogodka pri posameznem zavarovancu, prepovedano
dvojno zavarovanje, škodni dogodki s ponavljajočo se udeležbo istih zavarovancev ali
udeležencev). Bistveno pri načelu namenskosti je, da je posameznik z namenom
obdelave seznanjen vnaprej, torej še predenj vanjo privoli. Zato se pri privolitvi
uporablja tudi izraz »informirana privolitev«, ki pa naj bi kazala na to, da jo je
posameznik dal ne le svobodno (prosto prisile), ampak tudi ob vedenju za katere
namene jo daje. Torej to pomeni, da če je posameznik privolil v konkreten, točno
določen namen zbiranja osebnih podatkov, tega namena ni dovoljeno preširoko
razlagati. Zato tako zbranih osebnih podatkov upravljavec tudi ne sme posredovati
uporabniku oziroma drugemu upravljavcu osebnih podatkov za isti ali drug namen, v
kolikor mu tega ne dopušča bodisi zakon, bodisi posameznikova osebna privolitev kot
podlagi za obdelavo osebnih podatkov.97
Po načelu sorazmernosti pa morajo biti osebni podatki, ki se obdelujejo, ustrezni in po
obsegu primerni glede na namene, za katere se zbirajo in nadalje obdelujejo. To načelo
je opozorilo vsem upravljavcem osebnih podatkov v zasebnem sektorju, kamor spadajo
tudi zavarovalnice, ki osebne podatke največkrat zbirajo zgolj na podlagi osebne
privolitve posameznika, kako naj ne prekomerno obdelujejo osebne podatke, torej zgolj
tiste, ki jih potrebujejo za izvajanje določenega posla, pogodbe, nagradne igre,
neposrednega trženja…Tako je nesorazmerno zbirati osebne podatke »na rezervo«. Prav
tako pa je načelo sorazmernosti vključeno tudi v ZZavar-UPB7, in sicer je sedaj dodan
tretji odstavek 154. člena ZZavar-UPB7, ki določa, da je obdelava osebnih podatkov
dopustna le v obsegu, ki je potreben za uresničevanje sklepanja zavarovanj in likvidacij
škode.98
Predvsem pa je potrebno upoštevati načelo poštenosti obdelave osebnih podatkov, ki
zahteva dobroverno in ne zavajajoče ravnanje tistih, ki obdelujejo osebne podatke.
Temu načelu na primer ni zadoščeno, kadar je splošno formulirana osebna privolitev
vsebovana v splošnih pogojih, saj je takšnemu pridobivanju osebne privolitve moč
97 Strle Lamut Rosana, Obdelava osebnih podatkov v zavarovalništvu s poudarkom na zavarovanju osebnih podatkov, XVI. Seminar s področja avtomobilskega zavarovanja, 2010, str. 8. 98 Tretji odstavek 154. člena ZZavar-UPB7, Uradni list RS, št. 99/2010 .
53
očitati nepoštenost. Posamezniki na splošne pogoje nismo pozorni do te mere, da bi bilo
privolitvene klavzule primerno umeščati med »drobni tisk«. Dejansko seznanjenost in s
tem pošteno pridobitev osebne privolitve (in na njeni podlagi obdelave osebnih
podatkov) relativno zanesljivo zagotavlja izjava posameznika, ki jo ta posebej podpiše.
V tem primeru posameznik, tako ne poda osebne privolitve za obdelavo osebnih
podatkov avtomatično s pristopom k zavarovalni pogodbi, ampak je zaradi zahteve po
posebnem podpisu, na težo svoje izjave posebej opozorjen.
Ne glede na to, bi bila neprimerna izjava soglasja, ki bi se glasila: »Zavarovalec soglaša
z zbiranjem, uporabo, posredovanjem in drugo obdelavo osebnih podatkov za namen
izvajanja zavarovalne pogodbe.« Po ZVOP-1 bi moralo biti soglasje posameznika za
obdelavo osebnih podatkov izrecno in določeno, kar pa v tem primeru ni. To pomeni, da
bi moral posameznik izrecno soglašati z obdelavo določenih osebnih podatkov od
določenih upravljavcev (npr. davčne številke od DURS) in s konkretnimi nameni, za
katere bo upravljavec obdeloval posameznikove osebne podatke (npr. za namen
morebitnih sprememb zavarovalne pogodbe in likvidacijo škode).
Pomanjkljiva bi bila tudi privolitvena klavzula, ki bi se glasila: »Spodaj podpisani
prostovoljno soglašam z uporabo mojih osebnih podatkov (imena in priimka, naslova,
telefonske številke, naslova elektronske pošte, davčne številke, enotne matične številke),
za namene izvajanja zavarovalne pogodbe.« Iz navedene izjave posameznik namreč ne
more razbrati, od katerih upravljavcev bodo pridobljeni določeni osebni podatki,
vprašanje je pa tudi, ali posameznik ve, katere aktivnosti vse vključuje »izvajanje
zavarovalne pogodbe«. 99
Osebna privolitev je namreč prostovoljna izjava volje, kar ne pomeni samo, da
privolitev ni bila dana na podlagi sile ali grožnje, temveč, da je prosta tudi drugih
pritiskov, npr. tudi s pogojevanjem sklenitve glavne pogodbe in s tem pristanek na
splošne pogoje,100 torej postavljanje posameznika pred dejstvo »vse ali nič«.101
99 Strle Lamut Rosana, Obdelava osebnih podatkov v zavarovalništvu s poudarkom na zavarovanju osebnih podatkov, XVI. Seminar s področja avtomobilskega zavarovanja, 2010, str. 7. 100 Splošni pogoji za nezgodno zavarovanje oseb zavarovalnice Triglav, 19. člen: 1 .Zavarovalec in zavarovanec v skladu z zakonom, ki ureja varstvo osebnih podatkov dovoljujeta, da se osebni podatki iz ponudbe uporabljajo v zbirki podatkov….
54
Odločitev o pristanku mora biti plod avtonomne odločitve posameznika, ki s pristankom
presoja zgolj, ali je ponujena obdelava osebnih podatkov v njegovo korist ali ne.102
6.2.1 Zbiranje in obdelovanje občutljivih osebnih podatkov
zavarovancev
Občutljivi osebni podatki so definirani v 19. točki 6. člena ZVOP-1, kar je bilo v
predhodnih poglavjih tudi opisano. V primeru zavarovalništva in zavarovalnic, te
potrebujejo medicinsko dokumentacijo, ki spada med zdravstvena stanja posameznika
in tako med občutljive osebne podatke posameznikov.
Zavarovalnica za nedvoumno ugotavljanje nastalega škodnega dogodka in njegovega
obsega nujno potrebuje medicinsko dokumentacijo svojega zavarovanca bodisi v fazi
sklepanja zavarovanja bodisi ob prijavi zavarovalnega primera. Pri tem se pojavlja
vprašanje, ali zavarovalnice resnično potrebujejo vso zdravstveno dokumentacijo
posameznika, kakor so pogosto zahtevki zavarovalnic tudi formulirani. Zavarovalnice
podatke o zdravstvenem stanju zavarovancev zahtevajo od njih samih, v kolikor pa jih ti
ne podajo, pa jih zahtevajo od različnih zdravstvenih ustanov.
Ker podatki o zdravstvenem stanju zavarovancev spadajo med t.i. občutljive osebne
podatke, se za obdelavo teh podatkov uporablja 13. člen ZVOP-1, ki določa, da je
obdelovanje osebnih podatkov v zasebnem sektorju mogoče na podlagi osebne
privolitve posameznika, za razliko od javnega sektorja, pri katerem je potrebna tudi
izrecna podlaga v zakonu, ki ureja posamezno področje.
Prav tako pa je v sedmem odstavku 154. člena ZZavar-UPB7 določeno, da se osebni
podatki, praviloma zbirajo neposredno od posameznika, na katerega se nanašajo, od
drugih oseb (kot npr. prič škodnih dogodkov), iz zbirk podatkov posameznih
2. Zavarovalec dovoljuje zavarovalnici, da v skladu z zakonom, ki ureja varstvo osebnih podatkov uporablja osebne podatke iz 1. odstavka tega člena, razen občutljivih osebnih podatkov, tudi za namene neposrednega trženja zase in za povezane družbe, ki se ukvarjajo z zavarovalno dejavnostjo…. 101 http://www.triglav.si/pokazi.asp?id=2067. 102 Strle Lamut Rosana, Obdelava osebnih podatkov v zavarovalništvu s poudarkom na zavarovanju osebnih podatkov, XVI. Seminar s področja avtomobilskega zavarovanja, 2010, str.7.
55
zavarovalnic in SZZ, zbirk podatkov ministrstva za notranje zadeve in pravosodnih
organov ter iz zbirk podatkov delodajalca, Zavoda za pokojninsko in invalidsko
zavarovanje in centrov za socialno delo. Pri tem pa lahko zbirajo podatke o predhodnih
škodnih dogodkih, predhodnih poškodbah in zdravstvenem stanju, vrsti telesnih
poškodb, trajanju zdravljenja in posledic za zavarovanca in oškodovanca ter stroškov za
medicinsko oskrbo, zdravila in ortopedske pripomočke zavarovanca in oškodovanca iz
zbirk podatkov zdravstvenih ustanov.
6.2 Posredovanje osebnih podatkov zavarovancev
Obveznosti upravljavcev zbirk osebnih podatkov v zvezi s posredovanjem osebnih
podatkov iz zbirk osebnih podatkov ureja 22. člen ZVOP-1. Ta določa, da mora
upravljavec osebnih podatkov proti plačilu posredovati osebne podatke uporabnikom
osebnih podatkov. 30. člen ZVOP-1 pa ureja pravico posameznika do seznanitve z
lastnimi osebnimi podatki. Ti dve pravici se večkrat povezujeta, prekrivati in
nemalokrat tudi izključujeta.
V primeru, da zavarovalnica zahteva od izvajalca zdravstvenih storitev medicinsko
dokumentacijo na podlagi 154. člena ZZavar-UPB7, izvajalec zdravstvenih storitev
zaračuna stroške posredovanja zavarovalnici (prvi odstavek 22. člena ZVOP-1). Če pa
se zavarovalnica sklicuje na pravico do seznanitve z lastnimi osebnimi podatki svojega
zavarovanca, pa peti odstavek 31. člena ZVOP-1 predvideva, da stroške v zvezi z
zahtevo iz 30. člena ZVOP-1 in vpogledom krije upravljavec zbirke osebnih podatkov.
To pomeni, da izvajalec zdravstvenih storitev za sam vpogled posameznika v njegovo
zdravstveno dokumentacijo, ne sme zaračunati stroškov, čeprav bi izvajalec za ta
postopek lahko izkazal določene stroške. Kdaj lahko upravljavec zbirke osebnih
podatkov zaračuna stroške za posredovanje je v tem primeru odvisno kdo zahteva
osebne podatke, kar je v svojem mnenju pojasnil tudi informacijski pooblaščenec. 103
Glede zaračunavanja stroškov je treba ločiti situacijo, ko zaproša posameznik – pacient,
na katerega se nanašajo njegovi osebni podatki, ali tretji – uporabnik osebnih podatkov.
Stroške, ki nastanejo v zvezi z zahtevo posameznika in njegovim vpogledom v osebne
103 Mnenje Informacijskega pooblaščenca, št. 0712-2/2010/1829, z dne 14.10.2010.
56
podatke (tudi kopiranjem), ki so vsebovani v zbirki osebnih podatkov, krije upravljavec
zbirke osebnih podatkov (5. odstavek 31. člena ZVOP-1). Za potrebe izvrševanja
pravice posameznika do seznanitve z lastnimi osebnimi podatki, pa se za zaračunavanje
višine materialnih stroškov za posamezna opravila, določena v 30. členu ZVOP-1,
uporabljajo določbe Pravilnika o zaračunavanju stroškov (Ur.l. RS, št. 85/2007) pri
izvrševanju pravice posameznika do seznanitve z lastnimi osebnimi podatki. Konkretna
višina stroškov posredovanja podatkov, to je cenik, je podana v 2. členu pravilnika (npr.
kopijo formata A4 je dopustno posamezniku zaračunati največ v višini 0,10 evrov).
Glede na navedeno torej v primeru, ko se posamezniku na njegovo zahtevo zagotavlja
prepis, kopiranje in izdajanja pisnega potrdila iz 2. točke ter za izpis iz 3. točke, seznam
iz 4. točke, informacije iz 5. in 6. točke ter pojasnilo iz 7. točke 1. odstavka 30. člena
ZVOP-1, lahko upravljavec osebnih podatkov posamezniku zaračuna ceno materialnih
stroškov skladno z določbami pravilnika. Če pa se posreduje podatke iz zbirk
zdravstvenih osebnih podatkov tretjim – uporabnikom, ki za pridobitev izkazujejo
pravno podlago, kot na primer zavarovalnica, je upravljavec osebnih podatkov dolžan
proti plačilu (če zakon ne določi drugače) posredovati zahtevane osebne podatke (22.
člena ZVOP-1). Področni zakon lahko določi, da je posredovanje osebnih podatkov med
določenimi upravljavci in uporabniki tudi brezplačno. Če zakon o stroških posredovanja
osebnih podatkov nima določb, kot je to v primeru posredovanja osebnih podatkov
zavarovalnici, se lahko po mnenju Pooblaščenca izračun stroškov opre na Pravilnik o
zdravniški tarifi, ki v 10. čl. določa, da je naročnik dolžan povrniti zdravniku tudi
izdatke za ptt storitve, za obrazce, za fotokopiranje popisov bolezni ter dokumentacije in
podobne izdatke.104
Pravico do seznanitve z lastnimi osebnimi podatki posamezniku zagotavlja že tretji
odstavek 38. člena Ustave RS, prav tako pa tudi 30. člen ZVOP-1, ki določa, v katerih
primerih in na kakšen način mora upravljavec osebnih podatkov na posameznikovo
zahtevo omogočiti seznanitev z njegovimi osebnimi podatki.
Ena izmed pravnih podlag za seznanitev z lastnimi osebnimi podatki, je tudi Zakon o
pacientovih pravicah (Ur.l. RS, št. 15/2008) v nadaljevanju ZPacP. 105 V prvi točki 41.
104 Mnenje Informacijskega pooblaščenca, št. 0712-2/2010/1829, z dne 14.10.2010. 105 Zakon o pacientovih pravicah, Uradni list RS, št. 15/2008.
57
člena je določeno, da je posamezniku zagotovljeno fotokopiranje in druga reprodukcija
njegove zdravstvene dokumentacije. Pacientu ali njegovemu pooblaščencu se
seznanitev omogoči ob pogoju, da se identificirata in je izkazana pravna podlaga. Kot
sredstvo določitve ustreznega zaračunavanja stroškov se tudi v primeru seznanitve z
zdravstveno dokumentacijo pacienta uporablja Pravilnik o zaračunavanju stroškov.
Se pa razlikuje rok v katerem morajo izvajalci zdravstvenih storitev omogočiti pacientu
seznanitev z zdravstveno dokumentacijo. Po tretjem odstavku 41. člena ZPacP je
določen rok pet delovnih dni v katerih morajo omogočiti seznanitev z dokumentacijo.
Medtem ko prvi odstavek 31. člena ZVOP-1 določa petnajstdnevni rok v katerem mora
upravljavec osebnih podatkov posamezniku omogočiti vpogled, prepis, kopiranje in
potrdilo ali pa ga pisno obvestiti pisno obvestiti o razlogih, zaradi katerih vpogleda,
prepisa, kopiranja ali izdaje potrdila ne bo omogočil.
Prav tako pa področje zbirk osebnih podatkov v zdravstvu urejata poleg ZPacP še
Zakon o zbirkah podatkov s področja zdravstvenega varstva(Ur.l. RS, št. 65/2000) kot
specialni prepis, posamezne določbe pa najdemo tudi v Zakonu o zdravniški dejavnosti
(Ur.l. RS, št. 23/2005), Zakon o zdravstvenem varstvu in zdravstvenem zavarovanju
(Ur.l. RS, št. 72/2006) in Zakonu o zdravniški službi(Ur.l. RS, št. 72/2006).106
6.2.1 Posredovanje osebnih podatkov iz evidenc zavarovalnic
ZZavar-UPB7 v svojem 154.b členu določa, da si lahko zavarovalnice v primeru kadar
so prisotne sporne okoliščine zavarovanega primera, izmenjajo osebne podatke. To
pomeni, da lahko zavarovalnice, ki obravnavajo odškodninske zahtevke v škodnem
dogodku, glede katerega so od SZZ prejele sporočilo o spornih okoliščinah, za namen
ugotovitve dejanskih okoliščin in v obsegu, ki je potreben, v postopku likvidacije škode
izmenjajo osebne podatke o udeležencih tega škodnega dogodka. Ti podatki so:
- vrsta škodnega dogodka,
- kraj, čas in potek škodnega dogodka,
106 Balažič Jože, Brulc Urban, Ivanc Blaž, Korošec Damjan, Kralj Katarina, Novak Barbara, Pirc Musar Nataša, Robida Andrej, Zakon o pacientovih pravicah s komentarjem, GV Založba, Ljubljana, 2009, str. 206.
58
- naziv zavarovalnic, ki obravnavajo odškodninske zahtevek tega škodnega
dogodka,
- številka zavarovalnih polic, na podlagi katerih se uveljavljajo odškodninski
zahtevki pri posamezni zavarovalnici,
- ime in priimek, datum in kraj rojstva v škodnem dogodku udeleženih oseb in
prič,
- opis ugotovljenih spornih okoliščin.107
Prav tako pa ZOZP izrecno dopušča posredovanje osebnih podatkov iz evidenc, ki jih
vodijo zavarovalnice in SZZ, tuji zavarovalnici ali tujemu zavarovalnemu biroju, če je
bil v nesreči udeležen tuj državljan.108 Ostala posredovanja osebnih podatkov pa so
dopustna v skladu z določili ZVOP-1 oziroma v skladu z določili področnih zakonov,
ki bi uporabnike pooblaščali do pridobitve osebnih podatkov iz zbirk zavarovalnic
oziroma SZZ. Tako je dejansko tudi posredovanje oziroma razkritje osebnih podatkov
uporabnikom osebnih podatkov praviloma dopustno samo v sledečih primerih:
1. če obstaja za posredovanje osebnih podatkov izrecna podlaga v zakonu;
2. če je za posredovanje osebnih podatkov podana osebna privolitev posameznika,
pri čemer je potrebno upoštevati, da zakon za posamezne primere lahko določa,
da se osebni podatki lahko posredujejo uporabnikom osebnih podatkov samo na
podlagi pisne privolitve posameznika;
3. če je posredovanje osebnih podatkov potrebno zaradi izpolnjevanje pogodbe.109
6.2.2 Posredovanje osebnih podatkov umrlih zavarovancev
Seznanitev z osebnimi podatkih umrlih je različno urejena v dveh zakonih. ZPacP je v
42. členu predvidel štiri režime oziroma podlage za seznanitev z zdravstveno
dokumentacijo umrlih pacientov. Tako se lahko z zdravstveno dokumentacijo seznanijo:
- osebe, za katere je pacient za časa življenja podal predhodno pisno privolitev
(dovoljenje);
107 2. oddstavek 154.a člena ZZavar-UPB7. 108Ristin Gordana, Korbar Tjaša, Simoniti Sergej; Zakon o obveznih zavarovanjih v prometu: s komentarjem; Slovensko zavarovalniško združenje, Ljubljana, 2008, str. 80. 109 Pirc Musar Nataša, Bien Sonja, Bogataj Jože, Prelesnik Mojca, Žaucer Alenka, Zakon o varstvu osebnih podatkov s komentarjem, GV Založba, Ljubljana, 2006, str. 183.
59
- osebe, ki so za to pooblaščene s posebnim zakonom (na primer Zakon o sodiščih,
Zakon o zavarovalništvu, Zakon o policiji);
- pacientov zakonec, zunajzakonski partner, partner iz istospolne skupnosti, otroci in
posvojenci, kadar teh oseb ni, pa pacientovi starši. Te osebe se lahko z zdravstveno
dokumentacijo umrlega pacienta seznanijo brez izkazovanja posebnega pravnega
interesa. Navedene osebe morajo pri zahtevi za seznanitev zgolj navesti s katerimi
podatki se želijo seznaniti in zakaj (zakoniti namen seznanitve). Poleg tega morajo
izkazati ustrezno razmerje s pokojnim pacientom;
- druge osebe, ki izkažejo pravni interes z ustrezno listino.110
O zahtevi za seznanitev mora izvajalec zdravstvenih storitev odločiti v 15 dneh, v
primeru, da izvajalec zdravstvenih storitev zahtevi za seznanitev ne ugodi ali jo zavrne
imajo upravičenci iz tega člena pravico vložiti pritožbo pri Informacijskem
pooblaščencu.
Za vse upravljavce zbirk osebnih podatkov umrlih, razen za izvajalce zdravstvenih
storitev, velja ZVOP-1, izvajalci zdravstvenih storitev pa morajo upoštevati določbe 42.
člena ZPacP. 111
ZVOP-1 v 23. členu ureja varstvo osebnih podatkov umrlih posameznikov. Upravljavec
osebnih podatkov lahko podatke o umrlem posamezniku posreduje samo tistim
uporabnikom osebnih podatkov, ki so za obdelavo osebnih podatkov pooblaščeni z
zakonom (npr. za potrebe vodenja matičnega registra umrlih ali pa sodišču pri reševanju
zapuščinskih zadev). Ne glede na to upravljavec osebnih podatkov podatke o umrlem
posamezniku posreduje osebi, ki je po zakonu, ki ureja dedovanje, njegov zakoniti dedič
prvega ali drugega dednega reda, če za uporabo osebnih podatkov izkaže pravni interes,
umrli posameznik pa ni pisno prepovedal posredovanja teh osebnih podatkov, pri čemer
pravni interes pomeni neposredno in na zakon ali drug predpis oprto osebno
110 »Pravni interes« mora biti lasten vlagatelju (torej se mora nanašati na vlagatelja in ne na morebitne tretje osebe), mora biti neposreden, konkreten in praven. »Pravni interes« je strožji pogoj kot »zakoniti namen« in pomeni neposredno in na zakon oprto osebno premoženjsko ali nepremoženjsko korist (ne zadošča dejanski interes) . Sklepati je mogoče, da je pravni interes za pridobivanje osebnih podatkov o umrlem lahko izkazan le v primeru, če vlagatelj podatke o umrlem posamezniku potrebuje zaradi varovanja ali uveljavljanja svojih pravic pred osebami javnega sektorja, kar pomeni, da mora v svoji vlogi za pridobitev osebnih podatkov umrlega jasno navesti, kakšne svoje pravice bo varoval oziroma uveljavljal ter pred katerimi osebami javnega sektorja bo te svoje pravice varoval oziroma uveljavljal . 111 Krapež Katarina, Razkrivanje osebnih podatkov umrlih pacientov, Pravna praksa, leto 28, št. 26, 2009, str.21.
60
premoženjsko ali nepremoženjsko korist (ne zadošča dejanski ali ekonomski interes).
Navedeno pomeni, da osebe, ki sicer so dedovale po umrlem posamezniku pa niso
zakoniti dediči prvega ali drugega dednega reda (na primer oporočni dediči ali dediči
tretjega dednega reda), niso upravičene do pridobitve osebnih podatkov umrle osebe. V
primeru, da je posameznik pisno prepovedal posredovanje svojih osebnih podatkov,
dediči prvega oziroma drugega dednega reda niso upravičeni do pridobitve njegovih
osebnih podatkov, ne glede na to, da izkažejo pravni interes za pridobitev osebnih
podatkov. Kot pisna prepoved lahko šteje tudi določilo sklenjene zavarovalne
pogodbe.112
Pri tem pa je potrebno upoštevati še ZZavar. V skladu s 152. členom ZZavar-UPB7
mora zavarovalnica kot zaupne varovati vse podatke, dejstva in okoliščine, za katere je
izvedela pri poslovanju s posameznim zavarovalcem oziroma zavarovancem oziroma
drugim upravičencem iz zavarovanja. Dolžnost varovanja zaupnih podatkov ne velja v
naslednjih primerih:
1. če zavarovalec izrecno pisno pristane, da se sporočijo posamezni zaupni podatki,
2. če so podatki potrebni za ugotavljanje dejstev v kazenskih postopkih in predložitev
teh podatkov pisno zahteva oziroma naloži pristojno sodišče,
3. določenih z zakonom o preprečevanju pranja denarja,
4. če so ti podatki potrebni za odločitev o pravnih razmerjih med zavarovalnico in
zavarovalcem oziroma zavarovancem oziroma drugim upravičencem iz zavarovanja v
sodnem sporu,
5. če so ti podatki potrebni v zapuščinskem postopku in predložitev teh podatkov
zahteva oziroma naloži pristojno sodišče,
6. če so ti podatki potrebni zaradi izvršbe na premoženje zavarovalca oziroma
zavarovanca oziroma drugega upravičenca iz zavarovanja in predložitev teh podatkov
pisno zahteva oziroma naloži pristojno sodišče,
7. če te podatke potrebuje Agencija za zavarovalni nadzor oziroma drug nadzorni organ
za potrebe nadzora, ki ga vodi v okviru svojih pristojnosti,
8. če te podatke potrebuje davčni organ v postopku, ki ga vodi v okviru svojih
pristojnosti,
9. v primerih, določenih z Zakonom o obveznih zavarovanjih v prometu. 113
112 Mnenje informacijskega pooblaščenca, št. 0712-165/2010, z dne 24.03.2010. 113 Mnenje Informacijskega pooblaščenca, št. 0712-2/2010/2032, z dne 14.11.2010.
61
6.3 Zavarovanje in hramba osebnih podatkov zavarovancev
Zavarovaje osebnih podatkov mora biti učinkovito, saj se le na takšen način zagotovi
primerno varstvo osebnih podatkov. ZVOP-1 predvideva različno raven varstva osebnih
podatkov in občutljivih osebnih podatkov.
Zavarovanje občutljivih osebnih podatkov ureja 14. člen ZVOP-1, ki določa da morajo
biti občutljivi osebni podatki pri obdelavi posebej označeni in zavarovani tako, da se
nepooblaščenim osebam onemogoči dostop do njih. ZVOP-1 dopušča eno izjemo, in to
v primeru, če je posameznik svoje osebne podatke sam objavil, brez očitnega ali
izrecnega namena, da omeji namen njihove uporabe. Postopki in ukrepi za zavarovanje
občutljivih osebnih podatkov morajo biti torej v notranjih aktih upravljavca še posebej
skrbno predpisani, krog oseb, katerim je zaradi narave njihovega dela dovoljeno
obdelovati občutljive osebne podatke, pa mora biti čim ožji. Nosilce z občutljivimi
osebnimi podatki (to so vse vrste sredstev, na katerih so zapisani ali posneti podatki) 114
je potrebno hraniti v zaklenjenih ognjevarnih omarah, prostore, kjer se takšni podatki
nahajajo pa je priporočeno opremiti z dodatnim varovanjem, kot so na primer
videonadzorni sistemi, alarmne naprave ter protipožarna zaščita.
Vendar pa se v praksi pokaže da za zavarovanje osebnih podatkov ni zagotovljeno
zadostno, za kar je kriv osebni stik npr. zavarovalnega agenta z zavarovancem. V
primeru ko se z določenim zavarovalnim agentom dogovarjamo o zavarovanem
primeru, se nam lahko pogostokrat zgodi, da je v prostoru kjer potekajo pogovori tudi
druga stranka, ki čaka na svojega zastopnika. V primeru, da so zagotovljeni ustrezni
ločeni prostori, se pustijo odprta vrata ali pa se na mizi znajdejo mape z osebnimi
podatki prejšnjih strank, ki pa še niso pospravljene nazaj v ognjevarne omare.
24. člen ZVOP-1 pa določa splošno zavarovanje osebnih podatkov tako, da se:
1. varujejo prostori, oprema in sistemsko programska oprema, vključno z vhodno-
izhodnimi enotami;
114 Na primer: listine, akti, gradiva, spisi, računalniška oprema, vključno magnetni, optični ali drugi računalniški mediji, fotokopije, zvočno in slikovno gradivo, mikrofilmi, naprave za prenos podatkov.
62
2. varuje aplikativna programska oprema, s katero se obdelujejo osebni podatki;
3. preprečuje nepooblaščen dostop do osebnih podatkov pri njihovem prenosu, vključno
s prenosom po telekomunikacijskih sredstvih in omrežjih;
4. zagotavlja učinkovit način blokiranja, uničenja, izbrisa ali anonimiziranja osebnih
podatkov;
5. omogoča poznejše ugotavljanje, kdaj so bili posamezni osebni podatki vneseni v
zbirko osebnih podatkov, uporabljeni ali drugače obdelani in kdo je to storil, in sicer za
obdobje, ko je mogoče zakonsko varstvo pravice posameznika zaradi nedopustnega
posredovanja ali obdelave osebnih podatkov.
Zadnja, peta točka sledi načelu sledljivosti pri posredovanju osebnih podatkov drugim
uporabnikom. Tretji odstavek 22. člena ZVOP-1 določa, da mora upravljavec osebnih
podatkov za vsako posredovanje osebnih podatkov zagotoviti, da je mogoče pozneje
ugotoviti, kateri osebni podatki so bili posredovani, komu, kdaj in na kakšni podlagi, in
sicer za obdobje, ko je mogoče zakonsko varstvo pravice posameznika zaradi
nedopustnega posredovanja osebnih podatkov. Načelo sledljivosti je izjemnega pomena
tudi za odrivanje nepooblaščenih vstopov v zbirke osebnih podatkov. V primeru, da se
elektronska zbirka osebnih podatkov vodi elektronsko, se lahko ob uporabi
uporabniškega imena in gesla, vpogledi v zbirke osebnih podatkov zabeležijo na
strežniku. V primeru, ko so zbirke podatkov vodene ročno, pa jih je potrebno na
primeren način hraniti115 in v pravilniku ali drugem ustreznem aktu, ki ga kot
obveznega določa drugi odstavek 25. člena ZVOP-1, točno določiti osebe, ki imajo
pravico dostopa do osebnih podatkov.
Osebni podatki se lahko po ZVOP-1 shranjujejo le toliko časa,116 kolikor je potrebno za
dosego namena, zaradi katerega so se zbirali in nadalje obdelovali. Po izpolnitvi namena
obdelave se osebni podatki zbrišejo, uničijo, blokirajo ali anonimizirajo,117 če niso na
podlagi zakona, ki ureja arhivsko gradivo in arhive, opredeljeni kot arhivsko gradivo
oziroma, če zakon za posamezne vrste osebnih podatkov ne določa drugače.
ZOZP določa daljši rok hrambe osebnih podatkov:
115 Na primer: jih zaklepati v omare, posebne sobe, ipd. 116 21. člen ZVOP-1. 117 Takšna sprememba oblike osebnih podatkov, da jih ni več mogoče povezati s posameznikom ali pa je to mogoče le z nesorazmerno velikimi napori.
63
1. za osebne podatke iz zbirke podatkov o zavarovancih, in sicer:
-deset let po prenehanju zavarovalne pogodbe oziroma,
-deset let po koncu obdelave škodnega dogodka.
2. za osebne podatke iz zbirke o škodnih dogodkih in zbirke podatkov za presojo
zavarovalnega kritja in višine odškodnine pa deset let po koncu obdelave
škodnega dogodka.
3. za podatke o kaznivih dejanjih in prekrških v zvezi s škodnim dogodkom in za
podatke o prekrških po zakonu, ki ureja varnost v cestnem prometu, kaznivih
dejanjih zoper varnost cestnega prometa ter kaznivih dejanj goljufije na področju
zavarovalništva pa rok, ki je po KZ118 določen za zakonsko in sodno
rehabilitacijo.
Tudi ZZavar-UPB7 v devetem odstavku 154. člena določa enako časovno obdobje
shranjevanja osebnih podatkov kot ZOZP. Dodano ima pa določilo za primer, če
zavarovanec ali oškodovanec v tem roku vložita nov zahtevek za uveljavljanje pravic iz
škodnega dogodka. V tem primeru se rok hrambe po potrebi podaljša tako, da se
podatki o novem zahtevku hranijo pet let po koncu obdelave tega zahtevka. Po preteku
roka za shranjevanje se podatki iz zbirk podatkov izbrišejo.
Po tretjem odstavku 154.a člena ZZavar-UPB7 se evidenca o ugotovljenih spornih
okoliščinah, ki jo vodi SZZ, shranjuje pet let od dne pošiljanja sporočila
zavarovalnicam. Po preteku petletnega roka shranjevanja podatkov, se podatki iz
evidence izbrišejo.
Zakon o zbirkah s področja zdravstvenega varstva (Ur.l. RS št. 65/2000) v nadaljevanju
ZZPPZ, pa je zakon, ki ureja zbirke podatkov s področja zdravstvenega varstva,
zbiranje, obdelavo in posredovanje podatkov, ki jih pri opravljanju z zakonom
določenih nalog vodijo, uporabljajo in medsebojno izmenjujejo pravne in fizične osebe,
ki opravljajo zdravstveno dejavnost. Vrste in vsebino posameznih zbirk podatkov s
področja zdravstvenega varstva, njihov namen, obdobna poročila, kdo mora posredovati
118 Takšen način normiranja ni najbolj posrečen, saj ni videti razloga, zaradi katerega bi morale zavarovalnice hraniti podatke o kaznivih dejanjih in prekrških. Sodbe hrani sodišče, ki je njihov izvorni upravljavec. Prav tako pa se podaljšana hramba ne zdi smiselna iz razloga, saj zavarovalnice in SZZ ne vesta, ali bo/je do sodne rehabilitacije sploh prišlo. O tem, jih lahko obvesti zavarovanec (oškodovanec), ki bo tako storil, če bo imel za razkritje novega dejstva pravni interes oziroma bo tako želel.
64
podatke in kdaj, upravljavca zbirke, način dajanja podatkov in čas hranjenja podatkov
pa je opredeljen v Prilogi, ki je sestavni del tega zakona.
Priloga v svoji zbirki osebnih podatkov določa, npr. da se morajo zobozdravstveni
kartoni hraniti trajno, zdravstveni kartoni in popis bolezni 10 let po smrti bolnika ter
ostala osnovna medicinska dokumentacija 15 let.
6.3.1 Primer opisa varovanja zbirke osebnih podatkov-
Zavarovalnica Tilia
Tekoča kadrovska dokumentacija (personalne mape) se nahaja v zaklenjeni omari v
pisarni kadrovika v kadrovsko- pravnem oddelku. Vrata pisarne se zaklepajo s ključem
(v in izven delovnega časa), dostop do oddelka pa je varovan s kontrolo pristopa (z
magnetnimi karticami). Pravico vstopa v pisarno imata kadrovnik in vodja kadrovsko-
pravnega oddelka, pravico dostopa do podatkov pa imajo kadrovik, vodja kadrovsko-
pravnega oddelka, notranji revizor in uprava družbe. Stalni arhiv kadrovske
dokumentacije se nahaja v kleti poslovne stavbe, prostor je varovan z zaklenjenimi
železnimi vrati. Pravico vstopa v arhiv in pravico dostopa do podatkov kadrovske
dokumentacije imajo zaposleni v kadrovsko- pravnem oddelku, notranji revizor in
uprava družbe. Elektronska zbirka podatkov aplikacije Oproda se nahaja v strežniški
sobi v oddelku Informatike. Prostor je protipožarno varovan in klimatiziran ter varovan
s kontrolo pristopa (z magnetnimi karticami). Pravico vstopa v prostor imajo zaposleni
na oddelku Informatike in varnostniki varnostne službe, dostop do podatkov imata
kadrovik in vodja kadrovsko- pravnega oddelka, dostop do podatkov je varovan z
geslom na ravni operacijskega sistema in z geslom na ravni aplikacije. Matična knjiga
zaposlenih se nahaja v zaklenjeni omari v pisarni kadrovika v kadrovsko pravnem
oddelku. Vrata pisarne se zaklepajo s ključem (v in izven delovnega časa), dostop do
oddelka pa je varovan s kontrolo pristopa (z magnetnimi karticami). Pravico vstopa v
pisarno in pravico dostopa do podatkov imajo kadrovik, vodja kadrovsko- pravnega
oddelka, notranji revizor in uprava družbe. Elektronska zbirka podatkov aplikacije Vizir
(dodatno pokojninsko zavarovanje) se nahaja v strežniški sobi v oddelku Informatike.
Prostor je protipožarno varovan in klimatiziran ter varovan s kontrolo pristopa (z
magnetnimi karticami). Pravico vstopa v prostor imajo zaposleni na oddelku
Informatike in varnostniki varnostne službe, dostop do podatkov imajo kadrovik, vodja
65
kadrovsko- pravnega oddelka, referentka za obračun plač in vodja računovodstva,
dostop do podatkov je varovan z geslom na ravni operacijskega sistema in z geslom na
ravni aplikacije.119
6.3.2 Primer Zavarovalnice Maribor
Pisna dokumentacija o zaposlenih delavcih (personalne mape) se nahaja v zaklenjenih
ognjevarnih omarah v prostorih oddelka za razvoj zaposlenih. Vstop v nadstropje je
zavarovan s kontrolo pristopa, prostori se zaklepajo s ključem. Poslovna stavba je pod
videonadzorom, je tehnično in fizično varovana (vstop v poslovno stavbo je varovan z
varnostnikom oz. receptorjem in videonadzorom v delovnem času, izven delovnega časa
pa z alarmom). V in izven delovnega časa imajo dostop do prostorov zaposleni v
oddelku za razvoj zaposlenih (izven delovnega časa le z dovoljenjem vodje oddelka za
razvoj zaposlenih). Ostali zaposleni v ZM imajo dostop do prostorov oddelka za razvoj
zaposlenih le v delovnem času in v spremstvu zaposlenih v oddelku za razvoj
zaposlenih. Dostop do podatkov imajo zaposleni v oddelku za razvoj zaposlenih,
izvršilni direktorji sektorjev, direktorji služb, direktorji poslovnih enot za zaposlene v
svojem sektorju, službi oz. enoti, notranji revizor, zaposleni v oddelku nadzora in
kontrole, uprava družbe. Starejša pisna dokumentacija o zaposlenih se nahaja v
varovanih prostorih stalnega arhiva kadrovske dokumentacije v Centralnem arhivu ZM.
Vstop centralni arhiv je zavarovan s kodo, prostori se zaklepajo s ključem. Poslovna
stavba je tehnično varovana, izven delovnega časa je stavba senzorsko varovana proti
požaru, vlomu in poplavi. V delovnem času imajo dostop do centralnega arhiva
direktor, vodja, redno in pogodbeno zaposleni v Službi za tehnične in splošne posle,
arhivarji ter študentje (po potrebi). Izven delovnega časa imajo dostop do centralnega
arhiva direktor Službe za tehnične in splošne posle, vodja odseka in arhivarji. •
Elektronska zbirka podatkov aplikacije »Kopa« (»Kadri«) se nahaja na strežniku v
strežniški sobi računalniškega centra Tezno. Prostor je varovan s požarnimi vrati,
kontrolo pristopa, šifro (pin kodo) za vstop v prostor, z videonadzorom vhoda v prostor,
s sistemom identifikacije s pomočjo tehtanja vstopnika. Dostop do prostora imajo
sistemski administratorji, direktor Sektorja za informatiko in organizacijo in vodja
oddelka za razvoj in infrastrukturo. Dostop do podatkov ima prek računalniške mreže
119 Informacijski pooblaščenec, register zbirk osebnih podatkov Zavarovalnice Tilia d.d.
66
pooblaščena oseba v oddelku za razvoj zaposlenih in sistemski administrator. Dostop do
podatkov je varovan z geslom na ravni operacijskega sistema in gesla za vstop v
aplikacijo. Elektronska zbirka podatkov aplikacije »Victoria« (ocenjevanje uspešnosti
dela in spremljanje razvoja zaposlenih) se nahaja na strežniku v strežniški sobi
računalniškega centra Tezno. Prostor je varovan s požarnimi vrati, kontrolo pristopa,
šifro (pin kodo) za vstop v prostor, z videonadzorom vhoda v prostor, s sistemom
identifikacije s pomočjo tehtanja vstopnika. Dostop do prostora imajo sistemski
administratorji, direktor Sektorja za informatiko in organizacijo in vodja oddelka za
razvoj in infrastrukturo. Dostop do podatkov ima prek računalniške mreže pooblaščena
oseba v oddelku za razvoj zaposlenih in sistemski administrator. Dostop do podatkov je
varovan z geslom na ravni operacijskega sistema in gesla za vstop v aplikacijo.120
120 Informacijski pooblaščenec, register zbirk osebnih podatkov Zavarovalnice Maribor, d.d.
67
7. PRAVNO VARSTVO
ZVOP-1 načelno določa, da je varstvo osebnih podatkov namenjeno preprečevanju
nezakonitih in neupravičenih posegov v informacijsko zasebnost posameznika na vseh
relevantnih področjih. Smisel varstva osebnih podatkov torej ni varovanje osebnih
podatkov kot takih, temveč varovanje pravic posameznika, na katerega se podatki
nanašajo.
7.1 Informacijski pooblaščenec
Informacijski pooblaščenec je kot prekrškovni organ pristojen za nadzor nad ZVOP-1,
hkrati pa je pristojen tudi za inšpekcijski nadzor nad izvajanjem tega zakona in drugih
predpisov, ki urejajo varstvo osebnih podatkov. V okviru inšpekcijskega nadzora izda
upravno odločbo, s katero prepove določeno ravnanje ali naloži sprejem ukrepov, s
katerimi se bo kršitev odpravila. Kot prekrškovni organ pa izda odločbo o prekršku, s
katero takšno kršitev sankcionira z izrekom opomina ali z globo.
V okviru inšpekcijskega nadzora državni nadzorni organ:
• nadzoruje zakonitost obdelave osebnih podatkov;
• nadzoruje ustreznost ukrepov za zavarovanje osebnih podatkov ter izvajanja
postopkov in ukrepov za zavarovanje osebnih podatkov po 24. in 25. členu tega
zakona;
• nadzoruje izvajanje določb zakona, ki urejajo katalog zbirke osebnih podatkov,
register zbirk osebnih podatkov in evidentiranje posredovanja osebnih podatkov
posameznim uporabnikom osebnih podatkov;
• nadzoruje izvajanje določb zakona glede iznosa osebnih podatkov v tretjo
državo in o njihovem posredovanju tujim uporabnikom osebnih podatkov.121
Pri opravljanju inšpekcijskega nadzora je nadzornik upravičen:
o pregledovati dokumentacijo, ki se nanaša na obdelavo osebnih podatkov, ne
glede na njeno zaupnost ali tajnost, ter iznos osebnih podatkov v tretjo državo in
posredovanje tujim uporabnikom osebnih podatkov; 121 http://www.ip-rs.si/varstvo-osebnih-podatkov/inspekcijski-nadzor/.
68
o pregledovati vsebino zbirk osebnih podatkov ne glede na njihovo zaupnost ali
tajnost in katalogov zbirk osebnih podatkov;
o pregledovati dokumentacijo in akte, ki urejajo zavarovanje osebnih podatkov;
o pregledovati prostore, v katerih se obdelujejo osebni podatki, računalniško in
drugo opremo ter tehnično dokumentacijo;
o preverjati ukrepe in postopke za zavarovanje osebnih podatkov ter njihovo
izvajanje;
o izvajati druge pristojnosti, določene z zakonom, ki ureja inšpekcijski nadzor, ter
zakonom, ki ureja splošni upravni postopek.
Nadzornik, ki pri opravljanju inšpekcijskega nadzora ugotovi kršitev ZVOP-1 ali
drugega zakona ali predpisa, ki ureja varstvo osebnih podatkov, ima pravico takoj:
� odrediti, da se nepravilnosti ali pomanjkljivosti, ki jih ugotovi, odpravijo na
način in v roku, ki ga sam določi;
� odrediti prepoved obdelave osebnih podatkov osebam javnega ali zasebnega
sektorja, ki niso zagotovile ali ne izvajajo ukrepov in postopkov za zavarovanje
osebnih podatkov;
� odrediti prepoved obdelave osebnih podatkov ter anonimiziranje, blokiranje,
brisanje ali uničenje osebnih podatkov, kadar ugotovi, da se osebni podatki
obdelujejo v nasprotju z določbami zakona;
� odrediti prepoved iznosa osebnih podatkov v tretjo državo ali njihovega
posredovanja tujim uporabnikom osebnih podatkov, če se iznašajo ali
posredujejo v nasprotju z določbami zakona ali obvezujoče mednarodne
pogodbe;
� odrediti druge ukrepe, določene z zakonom, ki ureja inšpekcijski nadzor, ter
zakonom, ki ureja splošni upravni postopek.122
Če nadzornik pri inšpekcijskem nadzoru ugotovi, da obstaja sum storitve kaznivega
dejanja ali prekrška poda kazensko ovadbo oziroma izvede postopke v skladu zakonom,
ki ureja prekrške.123 Postopek o prekršku se vodi v skladu z ZP-1.124 Za ugotovljeni
122 http://www.ip-rs.si/varstvo-osebnih-podatkov/inspekcijski-nadzor/. 123 Pirc Musar Nataša, Bien Sonja, Bogataj Jože, Prelesnik Mojca, Žaucer Alenka, Zakon o varstvu osebnih podatkov s komentarjem, GV Založba, Ljubljana, 2006, str. 488. 124 Zakon o prekrških ( ZP-1-UPB4), Uradni list RS, št. 3/2007, (spremembe: Uradni list RS, št. 17/2008, 108/2009).
69
prekršek lahko prekrškovni organ v skladu s 53. členom izreče opozorilo, če je storjeni
prekršek neznatnega pomena in če pooblaščena uradna oseba oceni, da je glede na
pomen dejanja opozorilo zadosten ukrep. Če je storjen hujši prekršek, prekrškovni
organ izda odločbo o prekršku, s katero lahko kršitelju izreče sankcijo. V skladu s 4.
členom ZP-1 sta sankciji za prekršek globa in opomin, glede na 57. člen ZP-1 pa se
lahko globa izreče tudi v obliki plačilnega naloga.
7.2 Postopki zavarovalnic
Na področju zavarovalništva so zavarovalnice, članice Slovenskega zavarovalnega
združenja, leta 1999 sprejele Zavarovalni kodeks,125 z namenom, da bi vplivale na
kakovost svojega poslovanja, na strokovno opravljanje zavarovalnih poslov in
profesionalno ravnanje. Za nadzor nad spoštovanjem Zavarovalnega kodeksa in dobrih
poslovnih običajev s strani zavarovalnic in za obravnavanje njihovih kršitev v odnosih
med zavarovalnicami in njihovimi strankami je pristojen Varuh pravic s področja
zavarovalništva126(v nadaljevanju varuh).
7.2.1 Interni postopek zavarovalnic
Zavarovalni kodeks zavarovalnicam v drugem odstavku 3.7 člena nalaga, da morajo
stranko seznaniti o obstoju in pravilih internega pritožbenega postopka. Možnost
pritožbe določajo zavarovalni pogoji, vendar mora zavarovalnica kljub temu na
obvestilu o zavrnitvi zahtevka, določno navesti pravni pouk o pritožbi. V pravnem
pouku mora biti naveden organ, na katerega se pritožba naslovi, rok na katerega je
pritožba vezana ter ostale formalnosti.
125 Sprejet 14.4. 1999 s spremembami in dopolnitvami z dne 1.6.2002 in 1.7. 2004. 126 Ustanovile so ga članice Slovenskega zavarovalnega združenja z Aktom o ustanovitvi in delu varuha s področja zavarovalništva, sprejet novembra leta 2002, s spremembami in dopolnitvami z dne 1.7.2004.
70
7.2.2 Postopek pri varuhu pravic s področja zavarovalništva127
Postopek se začne z vložitvijo pritožbe. Slednjo lahko vloži stranka, to je zavarovalec,
potencialni zavarovanec oziroma drugi upravičenec iz zavarovalne pogodbe. Predhodno
odločanje v internem pritožbenem postopku zavarovalnice, je procesna predpostavka za
začetek postopka pri varuhu. Pritožba se praviloma vloži pisno in mora obsegati
zahtevek ter dejstva na katerih temelji, prav tako pa tudi dokaze, s katerimi se ta dejstva
ugotavljajo. Služba varuha pošlje pritožbo zavarovalnici, ki pa mora nanjo odgovoriti v
petnajstih dneh. Odgovor se posreduje stranki, s čimer se zagotovi kontradiktornost
postopka. Varuh mora pritožbe obravnavati hitro in v vsaki fazi postopka raziskovati in
ugotavljati dejstva in dokaze, pomembne za odločitev. Po končanem postopku odloči s
pisno odločitvijo, ki zajema obrazložitev ter v primeru kršitve priporočilo zavarovalnici
kako naj kršitev odpravi. Zoper odločitev varuha se ni mogoče pritožiti.
Se pravi, da varuh odloča o kršitvah dobrih poslovnih običajev in temeljnih standardov
zavarovalne stroke, njegove odločitve pa so za njegove ustanoviteljice obvezujoče.
Izrecno pa je izključena pristojnost za obravnavanje sporov iz zavarovalnih razmerij, ki
glede na svoj pravni značaj in vsebino sodijo v pristojnost sodišča.
127 Kolander Tanja, Predstavitev prakse Varuha pravic s področja zavarovalništva, XV. Seminar s področja avtomobilskega zavarovanja, 2009, str. 133.
71
8. ZAKLJUČEK
Varstvo osebnih podatkov spada v kategorijo zasebnosti, ki je varovana že na nivoju
Ustave RS. Temeljni zakon, ki ureja to področje je ZVOP-1. Varstvo osebnih podatkov
zavarovancev pa je urejeno že s temeljnim zakon kot tudi z ZZavar-UPB7, ZOZP ter
drugimi področnimi zakoni.
V ZVOP-1 so določeni osnovni pojmi kot je npr. osebni podatek, ki je katerikoli
podatek, ki se nanaša na posameznika, ne glede na obliko v kateri je izražen ali
posameznik, ki je določena ali določljiva fizična oseba, na katero se osebni podatek
nanaša. Ti osnovni pojmi nas s pomočjo načel, kot so načelo zakonitosti in poštenosti,
določljivosti, sorazmernosti ter prepovedi diskriminacije vodijo skozi zapleteno
tematiko varstva osebnih podatkov
Na zastavljena vprašanja v uvodu raziskovalnega dela sem našla tudi odgovore. Pravna
podlaga za obdelovanje osebnih podatkov za zasebni sektor, kamor spadajo tudi
zavarovalnice je podana v 10. členu ZVOP-1, ki določa, da se osebni podatki v
zasebnem sektorju lahko obdelujejo le, če obdelavo osebnih podatkov in osebne
podatke, ki se obdelujejo določa zakon ali če je za obdelavo določenih osebnih
podatkov podana osebna privolitev posameznika. V primeru zavarovalnic imamo
ZZavar-UPB7, ki v svojem 154. členu ureja pridobivanje, vodenje in uporabo zbirk
osebnih podatkov in določa kdaj lahko zavarovalnice ter Slovensko zavarovalno
združenje zbirajo, obdelujejo, shranjujejo, posredujejo in uporabljajo osebne podatke,
potrebne za sklepanje zavarovanj in za likvidacijo škod, ki izvirajo iz zavarovanj po tem
zakonu, v skladu z zakonom, ki ureja varstvo osebnih podatkov in posebnimi predpisi o
zbirkah podatkov s področja zavarovanja.
Koliko časa se lahko hranijo osebni podatki določa 154. člen ZZavar-UPB7, ki določa
da se podatki o zavarovancih shranjujejo deset let po prenehanju zavarovalne pogodbe,
v primeru nastanka škodnega dogodka pa deset let po koncu obdelave škodnega
dogodka. V primeru da zavarovanec ali oškodovanec v tem času shranjevanje vložita
nov odškodninski zahtevek pa se rok podaljša za dobo pet let po koncu obdelave tega
zahtevka. Pri tem pa ima vsak posameznik pravico da od upravljavca osebnih podatkov
kadarkoli zahteva, da upravljavec osebnih podatkov trajno ali začasno preneha
uporabljati njegove osebne podatke za namene neposrednega trženja.
72
Največ kršitev je na področju nedovoljenega pridobivanja osebnih podatkov, kar se
pokaže z odsotnostjo pravne podlage za takšno ravnanje. Prav tako pa je največ kršitev
na področju nespoštovanja pravic posameznika, kjer posameznik prepove uporabo
njegovih osebnih podatkov za neposredno trženje, upravljavec pa to kljub prepovedi še
vedno počne. V primeru nezakonitega ravnanja zavarovalnic, ga lahko Informacijski
pooblaščenec kot nadzorni in prekrškovni organ, oglobi kot samo pravno osebo ter
odgovorne osebe te pravne osebe.
73
9. SKLEP
V primeru varstva osebnih podatkov zavarovancev, je za varstvo podatkov v
zavarovalnicah načeloma dobro poskrbljeno. Mape o zavarovancih in njihovi podatki so
ustrezno zavarovani. So v posebnih sobah, do katerih imajo dostop samo določene
osebe. Podatki, ki so shranjeni v računalniških bazah so ustrezno varovani z gesli in
omejenim dostopom do njih, prav tako pa so v primeru varovanja občutljivih osebnih
podatkov ta ustrezno varovana ter dostop do njih je omogočen smo redkim, določenim
osebam. Tako bi se lahko reklo, da je za varstvo ustrezno poskrbljeno, vendar pa so
baze zbirk teh podatkov velike in lahko služijo kot osnova v primeru neposrednega
trženja.
Problem pa je še vedno sorazmernost pri zbiranju in obdelavi osebnih podatkov. Ker
ZZavar-UPB7 ne določa natančno katere zdravstvene podatke o zdravstvenih stanjih ali
na splošno, lahko zavarovalnice zbirajo, te, s svojimi poizvedbami za svojimi
zavarovanci ali oškodovanci ponavadi zahtevajo celotno zdravstveno dokumentacijo.
Namreč pri zbiranju podatkov iz medicinske dokumentacije je zavarovalnica upravičena
le do tistih zdravstvenih podatkov, ki so potrebni in primerni za presojo obstoja
obveznosti in višine zavarovalnine. Navedeno pravilo zavezuje tudi izvajalce
zdravstvenih storitev v tem smislu, da zavarovalnicam ne smejo posredovati več
podatkov, kot je to potrebno. Kljub zgornjim navedbam, je treba opozoriti, da je po
naravi stvari dejansko le zavarovalnica tista, ki lahko oceni, kateri dokumenti oziroma
kateri deli posameznih dokumentov utegnejo biti zanjo pomembni. Ker je torej z vidika
zavarovalnice težko sprejemljivo, da bi tretje osebe (npr. zdravstveno osebje ali
zavarovalec) vnaprej ločevale relevantne dele zdravstvene dokumentacije od
nerelevantnih, je razumljivo, da zavarovalnice v praksi pogosto zahtevajo celotno
zdravstveno dokumentacijo, in sicer za obdobje, za katerega same ocenijo, da je
odločilno. To pa ne pomeni, da zavarovalnica ni zavezana k načelu sorazmernosti v fazi
nadaljnje obdelave osebnih podatkov (po prejemu celotne zdravstvene dokumentacije).
Prav tako pa se pojavlja zanimiv fenomen, ki mu "podlegajo" praktično vse
zavarovalnice, da obdelavo osebnih podatkov še dodatno urejajo v splošnih pogojih - na
podlagi osebne privolitve posameznika kar je lahko problematično z več vidikov;
74
veljavnost splošnih pravil za posameznika, ker se v času spreminjajo in spoštovanje
načela sorazmernosti pri obdelavi osebnih podatkov.
75
10. LITERATURA
10.1 Monografija in članki
1. Arhar France, … in drugi, Šturm Lovro (urednik), Komentar Ustave Republike
Slovenije, Ljubljana, Fakulteta za podiplomske državne in evropske študije,
2002.
2. Balažič Jože, Brulc Urban, Ivanc Blaž, Korošec Damjan, Kralj Katarina, Novak
Barbara, Pirc Musar Nataša, Robida Andrej, Zakon o pacientovih pravicah s
komentarjem, GV Založba, Ljubljana, 2009.
3. Burnik Jelena, Privolitev posameznika v kontekstu neposrednega trženja, Pravna
praksa, leto 28, št. 28, Ljubljana, 2009, str. 10-11.
4. Cvetko Aleksej, Varovanje zasebnosti v delovnih razmerjih, Gospodarski
vestnik, Ljubljana, 1999.
5. Gornik Maja, Prijavna dolžnost in osebni podatki v zvezi s sklenjeno
zavarovalno pogodbo, Pravna praksa, leto 26, št. 11, Ljubljana, 2007, str. 18-19.
6. Jambrek Peter, Perenič Anton, Uršič Marko, Varstvo človekovih pravic,
Mladinska knjiga, Ljubljana, 1988.
7. Informacijski pooblaščenec, register zbirk osebnih podatkov Zavarovalnice
Maribor, d.d.
8. Informacijski pooblaščenec, register zbirk osebnih podatkov Zavarovalnice
Tilia d.d.
9. Jerše Alenka, Korak nazaj pri varstvu osebnih podatkov, Pravna praksa, leto 26,
št. 29/30, 2007, str. 13-14.
76
10. Kolander Tanja, Predstavitev prakse Varuha pravic s področja zavarovalništva,
XV. Seminar s področja avtomobilskega zavarovanja, 2009, str. 133-150.
11. Kovačič Matej, Nadzor in zasebnost v informacijski družbi: filozofski,
sociološki, pravni in tehnični vidiki nadzora in zasebnosti na internetu,
Ljubljana, 2006.
12. Krapež Katarina, Razkrivanje osebnih podatkov umrlih pacientov, Pravna
praksa, leto 28, št. 26, 2009, str.21.
13. Lampe Rok, Pravo človekovih pravic; Sistemi človekovih pravic v
mednarodnem, evropskem in ustavnem pravu, Uradni list Republike Slovenije,
Ljubljana.
14. Pirc Musar Nataša, Bien Sonja, Bogataj Jože, Prelesnik Mojca, Žaucer Alenka,
Zakon o varstvu osebnih podatkov s komentarjem, GV Založba, Ljubljana,
2006.
15. Prelesnik Mojca, Pojem osebnega podatka, kot ga razume delovna skupina 29,
ali kaj vse je osebni podatek, Pravna praksa, Ljubljana, 2008, leto 27, štev. 45,
str. 6-8.
16. Ravbar Nusdorfer Maja, Pravni vidiki varovanja osebnih podatkov s posebnim
poudarkom na varovanju podatkov v zdravstveni dejavnosti, Diplomsko delo,
Maribor, 2008.
17. Ristin Gordana, Korbar Tjaša, Simoniti Sergej; Zakon o obveznih zavarovanjih
v prometu: s komentarjem; Slovensko zavarovalniško združenje, Ljubljana,
2008.
18. Strle Lamut Rosana, Obdelava osebnih podatkov v zavarovalništvu s poudarkom
na zavarovanju osebnih podatkov, XVI. Seminar s področja avtomobilskega
zavarovanja, 2010, str.7.
77
19. Trstenjak Verica, Sodna praksa Sodišča ES na področju varstva osebnih
podatkov, Podjetje in delo, 2009, številka 6-7, str. 1414-1422.
20. Vrabl Miran, Interes in upravičenost zavarovalnic do vpogleda v medicinsko
dokumentacijo svojih zavarovancev, Zdravniški vestnik, številka 77, 2008, str.
51-57.
10.2 Pravni viri
10.2.1 Slovenski pravni viri
1. Kazenski zakonik, Uradni list RS št. 55/2008, 66/2008 (spremembe: Uradni list RS,
št. 39/2009, 55/2009).
2. Obligacijski zakonik (uradno prečiščeno besedilo), Uradni list RS, št. 97/2007.
3. Pravilnik o metodologiji vodenja registra zbirk osebnih podatkov, Uradni list RS, št.
28/2005.
4. Ustava Republike Slovenije, Uradni list RS, št. 33/1991 (spremembe: Uradni list
RS, št. 42/1997, 66/2000, 24/2003, 69/2004, 69/2004, 69/2004, 68/2006).
5. Zakon o centralnem registru prebivalstva, Uradni list RS, št. 72/2006,
6. Zakon o informacijskem pooblaščencu, Uradni list RS št. 113/2005 (spremembe:
Uradni list RS, št. 51/2007, 14/2010).
7. Zakon o inšpekcijskem nadzoru (uradno prečiščeno besedilo), Uradni list RS, št.
43/2007.
78
8. Zakon o obveznih zavarovanjih v prometu, Uradni list RS, št. 93/2007.
9. Zakon o pacientovih pravicah, Uradni list RS št. 15/2008.
10. Zakon o prekrških ( ZP-1-UPB4),Uradni list RS, št. 3/2007, (spremembe: Uradni list
RS, št. 17/2008, 108/2009).
11. Zakon o varstvu osebnih podatkov (uradno prečiščeno besedilo), Uradni list RS, št.
94/2007.
12. Zakon o zbirkah podatkov s področja zdravstvenega varstva, Uradni list RS, št.
65/2000.
13. Zakon o zdravstveni dejavnosti, Uradni list RS, št. 23/2005 (spremembe: Uradni list
RS, št. 15/2008-ZPacP, 23/2008, 58/2008-ZZdrS-E, 77/2008-ZDZdr).
14. Zakon o zdravstven varstvu in zdravstvenem zavarovanju, Uradni list RS, št.
72/2006 (spremembe:Uradni list RS, št. 114/2006, 91/2007, 71/2008, 76/2008,
118/2008, 47/2010, 62/2010).
15. Zakon o zavarovalništvu, Uradni list RS, št. 109/2006 (spremembe: Uradni list RS,
št. 9/2007, 102/2007, 69/2008, 19/2009, 49/2009, 99/2070-UPB7).
10.2.2 Mednarodni pravni viri
1. Direktiva 2006/24/ES o hrambi podatkov, pridobljenih ali obdelanih v zvezi z
zagotavljanjem javno dostopnih elektronskih komunikacijskih storitev ali javnih
komunikacijskih omrežij (Uradni list L 105 , 13/04/2006 str. 0054 – 0063).
2. Direktiva št. 95/46/ ES o varstvu posameznikov pri obdelavi osebnih podatkov in o
prostem pretoku takih podatkov (Uradni list L 281 , 23/11/1995 str. 0031 – 0050).
79
3. Konvencija o varstvu človekovih pravic in temeljnih svoboščin, Uradni list RS-MP,
št. 3-20/1994.
4. Konvencija SE št. 108 o varstvu posameznikov glede na avtomatsko obdelavo
podatkov 1981, Uradni list RS- MP, št. 3-18/1994.
5. Mednarodni pakt o državljanskih in političnih pravicah (Uradni list SFRJ, št.
7/1971; Uradni list RS-MP, št. 35/1992).
6. Mednarodni pakt o ekonomskih, socialnih in kulturnih pravicah (Uradni list SFRJ,
št. 7/1971; Uradni list RS-MP, št. 35/1992).
7. Splošna deklaracija o človekovih pravicah; Generalna Skupščina Združenih
narodov, 10. december 1948, resolucija št. 217 A (III).
8. Uredba (ES) št. 45/2001 o varstvu posameznikov pri obdelavi osebnih podatkov v
institucijah in organih Skupnosti in o prostem pretoku takih podatkov (Uradni list L
008 , 12/01/2001 str. 0001 – 0022).
10.2.3 Judikati
1. Bodil Lindqvist (C-101/01), Sodišče evropske Skupnosti, 6.11.2003, European
Court reports 2003, str. I-12971.
2. Huber (C-524/06), Sodišče evropske Skupnosti, 16.12.2008, European Court reports
2008, str. I-09705.
3. Komisija proti Nemčiji(C-518/2007), Sodišče evropske Skupnosti, Uradni list
evropske Skupnosti, 1.5.2010, str.3.
4. Mnenje Informacijskega pooblaščenca št. 0712-2/2010/484 z dne 29.03. 2010.
80
5. Mnenje Informacijskega pooblaščenca, št. 092-4/2006/48, z dne 08.02.2006.
6. Mnenje Informacijskega pooblaščenca, št. 0712-2/2010/1829, z dne 14.10.2010.
7. Mnenje Informacijskega pooblaščenca, št. 0712-2/2010/2032, z dne 14.11.2010.
8. Odločba Višjega sodišča RS: Sodba VSL I Cp 3019/2009, z dne 02.12.2009.
9. Odločba Višjega sodišča RS: Sodba VSL II Cp 328/2010, z dne 14.04.2010.
10. Odločba Vrhovnega sodišča RS: Sklep VIII Ips 527/2008, z dne 07.06.2010.
11. Rijkeboer (C-553/07), Sodišče evropske Skupnosti, 7.5.2009, European Court
reports 2009, str. I-03889.
10.3 Spletne strani
1. http://www.ip-rs.si/, 12.9.2010.
2. http://www.dolenjskilist.si/si/, 10.9.2010.
3. http://epp.eurostat.ec.europa.eu, 17.12.2010.
4. www.echr.coe.int/echr/Homepage_EN, 27.12.2010.
5. http://www.europarl.europa.eu/news/public/default_sl.htm, 11.9.2010.
6. http://www.triglav.si/pokazi.asp?id=2067,12.1.2011.
7. http://www.zav-zdruzenje.si/, 12.9.2010.
8. http://www.zav-zdruzenje.si/docs/Kodeks.pdf,17.12.2010.
81