Pridobivanje podatkov od policije na podlagi ZZasV-1 – DODATNO MNENJE

Datum

12.04.2024

Številka

07121-1/2024/439

Kategorije

Posredovanje osebnih podatkov, Pravne podlage, Zbirke osebnih podatkov

Pri Informacijskem pooblaščencu (IP) smo prejeli vaše zaprosilo za izdajo revidiranega mnenja v zvezi z dopustnostjo pridobivanja podatkov s strani imetnikov licenc zasebnega varovanja od policije na podlagi Zakona o zasebnem varovanju (Uradni list RS, št. 17/11; v nadaljevanju ZZasV-1). Iz vaših navedb v bistvenem izhaja, da je IP v mnenju št. 07121-1/2023/1402 z dne 10. 11. 2023 zavzel preširoko stališče, ki inšpektoratu dopušča izrekanje nezakonitih ukrepov.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju Splošna uredba), 76. člena Zakona o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (Uradni list RS, št. 177/20; v nadaljevanju ZVOPOKD) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A; v nadaljevanju ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

V mnenju št. 07121-1/2023/1402 IP ni niti neposredno niti posredno »dovolil« posredovanja osebnih podatkov s strani policije imetnikom licence oziroma varnostnikom za vnos v evidenco o uporabi ukrepov varnostnika in drugih sredstev iz četrtega odstavka 82. člena ZZasV-1. Dejstvo pa je, da je zakonodajalec v tej določbi predpisal obvezno vsebino evidence, za katero je odgovoren imetnik licence kot upravljavec.

Mnenja IP niso namenjena presoji zakonitosti posameznih obdelav in ravnanj konkretnih upravljavcev niti odločanju v konkretnih postopkih ali komentiranju vodenja postopkov drugih inšpekcijskih organov. Morebitne kršitve, storjene v postopku nadzora nad izvajanjem določb ZZasV-1, se lahko s pravnimi sredstvi uveljavljajo v tistem postopku.

Obrazložitev

Zaradi jasnosti IP najprej izpostavlja, da je v mnenju št. 07121-1/2023/1402 z dne 10. 11. 2023 navedel: »Čeprav v ZZasV-1 ni neposredne pravne podlage za naknadno posredovanje osebnih podatkov osebe s strani policije imetnikom licence oziroma varnostnikom za vnos v evidenco o uporabi ukrepov varnostnika in drugih sredstev iz 4. odstavka 82. člena ZZasV-1, bi bila v primeru, ko varnostnik ne ugotovi istovetnosti osebe ob uporabi ukrepa, ta lahko podana upoštevajoč določbe ZVOPOKD o posredovanju osebnih podatkov, tretji odstavek 40. člena ZNPPol in tretji odstavek 12. člena Pravilnika o izvajanju Zakona o zasebnem varovanju.« (poudarek dodan). Ob tem je izrecno opozoril, »da bi moral ZZasV-1 za opisano situacijo posredovanje osebnih podatkov z namenom vnosa v evidenco določati jasneje in upoštevaje načelo najmanjšega obsega podatkov.«

Iz tega zapisa sledi, da IP ni »dovolil« obdelave osebnih podatkov brez neposredne pravne podlage, niti ni podal »posrednega dovolila« za obdelavo osebnih podatkov v konkretnem primeru, kot to zmotno trdite.

Kot je IP že poudaril, v mnenju ne more in ne sme odločati o tem, ali so v konkretnem primeru podani pogoji za posredovanje osebnih podatkov, saj je ta presoja odgovornost upravljavca, ki je IP ne more prevzeti. Mnenja IP namreč niso namenjena presoji zakonitosti posameznih obdelav in ravnanj konkretnih upravljavcev niti odločanju v konkretnih postopkih, temveč podaji načelnih in splošnih stališč glede interpretacije določb zakonov, ki se nanašajo na varstvo osebnih podatkov. Zato IP kot nadzorni organ izven posamičnega nadzornega postopka ne sme preverjati primernosti izbrane pravne podlage v konkretnem primeru, predvsem pa ne sme komentirati vodenja postopkov drugih inšpekcijskih organov in o tem izdajati mnenj (glej sklep Ustavnega sodišča RS, št. U-I-92/12-13 z dne 10. 10. 2013; http://odlocitve.us-rs.si/documents/8b/89/u-i-92-122.pdf). Iz vašega zaprosila namreč izhaja tudi očitek, da je IP prevalil odgovornost za zbiranje podatkov na imetnike licenc, inšpektoratu pa dopustil izvajanje nezakonitih praks. Vendar je, kot že pojasnjeno, vsak upravljavec sam odgovoren za zakonito obdelavo osebnih podatkov. Morebitne kršitve, storjene v postopku nadzora nad izvajanjem določb ZZasV-1, pa lahko s pravnimi sredstvi uveljavljate v tistem postopku. Ob tem sicer ne gre spregledati, da so dolžni vsi pristojni državni organi odločati po Ustavi in zakonih, kar pomeni, da morajo pri vodenju postopkov in odločanju spoštovati tudi vse ustavno zagotovljene pravice, vključno s pravico do varstva osebnih podatkov.

Glede na navedeno IP ne spreminja stališč iz mnenja št. 07121-1/2023/1402. Dejstvo je, da je zakonodajalec v četrtem odstavku 82. člena ZZasV-1 predpisal obvezno vsebino evidence o uporabi ukrepov varnostnika in drugih sredstev, ki vsebuje tudi podatek o osebi, zoper katero je bil ukrep uporabljen (osebno ime, rojstni podatki, stalno ali začasno prebivališče). Za to evidenco pa je odgovoren imetnik licence kot upravljavec podatkov v njej. Argumenti v smislu nepotrebnosti vodenja teh podatkov v evidenci in možnosti pridobitve podatkov drugih organov neposredno od policije ter komentar o birokratizaciji brez pomena tako ne morejo vplivati na vsebino že izdanega mnenja IP, ki je tudi sicer neobvezujoče. Prav tako pa je zakonodajalec tisti, ki mora urediti ustrezno pravno podlago za določen ukrep. Zato vam priporočamo, da se za podrobnejša pojasnila oziroma morebitne pobude obrnete na predlagatelja zakona oziroma da odločitev inšpektorata, s katerim se ne strinjate, izpodbijate v tistem postopku.

Lepo vas pozdravljamo,

Pripravila

Tina Ivanc, univ. dipl. prav., svetovalka IP za varstvo osebnih podatkov

Mojca Prelesnik, univ. dipl. prav., informacijska pooblaščenka