Jedro

Drugi odstavek 19. člena ZIN ni zadostna pravna podlaga za pridobitev osebnih podatkov, saj zajema le pridobitev "morebitnih dokazov oziroma drugih podatkov". Pridobitev osebnih podatkov je izrecno določena v 6. alineji prvega odstavka 19. člena ZIN, po kateri lahko inšpektor pridobi osebne podatke le od fizične ali pravne osebe, ki se nanašajo nanjo kot zavezanca, pri kateri opravlja inšpekcijski nadzor, in to le iz uradnih evidenc in drugih zbirk podatkov.

Izrek

Zahteva vrhovnega državnega tožilca za varstvo zakonitosti se zavrne.

Obrazložitev

A. 1. Informacijski pooblaščenec je zoper storilki izdal odločbo o prekršku z dne 3.12.2007, šifra 0603-99/2007/6, s katero je zaradi kršitve določbe drugega odstavka 19. člena ZIN pravni osebi na podlagi 1. alineji prvega odstavka 38. člena ZIN izrekel globo v znesku 1.500 eurov, odgovorni osebi na podlagi drugega odstavka 38. člena ZIN globo v znesku 500 eurov. Okrajno sodišče v Ljubljani je s sodbo z dne 18.8.2008, opr. št. PR 15189/2007, odločbo o prekršku po uradni dolžnosti spremenilo tako, da je po 1. točki prvega odstavka 136. člena Zakona o prekrških (ZP-1) postopek zoper oba kršitelja ustavilo.

2. Vrhovni državni tožilec je 18.9.2008 zoper pravnomočno sodbo Okrajnega sodišča v Ljubljani vložil zahtevo za varstvo zakonitosti, ker naj bi sodišče prekršilo 1. alinejo prvega odstavka 38. člena ZIN v zvezi z drugim odstavkom 19. člena ZIN na način iz 1. točke 156. člena ZP-1. V zahtevi navaja, da je argumentacija sodišča nepravilna, saj informacijski pooblaščenec od kršiteljic ni zahteval zbirke osebnih podatkov, ampak le seznam kupcev opreme za biometrijsko preverjanje posameznika iz prodajnega programa. Torej podatke, ki so razvidni iz izstavljenih faktur, in sicer le za kupce, ki niso fizične osebe, saj se Zakon o varstvu osebnih podatkov (ZVOP-1) v skladu s 7. členom ne uporablja za obdelavo osebnih podatkov o kupcih, ki so kupili naprave za osebno uporabo, družinsko življenje ali za druge domače potrebe. Zahtevani so bili le podatki o kupcih kot pravnih osebah, samostojnih podjetnikih in posameznikih, ki samostojno opravljajo dejavnosti, saj ZVOP-1 le zanje postavlja pogoje za uvedbo biometrijskih ukrepov, zasebne rabe biometrije pa zakon ne ureja. Poleg tega naj bi sodišče napačno razlagalo, da se določba drugega odstavka 19. člena ZIN ne nanaša na osebne podatke. Namen novele ZIN v drugem odstavku 19. člena je namreč omogočiti Informacijskemu pooblaščencu, da lahko tudi od oseb, zoper katere se ne vodi inšpekcijski postopek, pridobi vse dokaze in podatke, tudi osebne. Do uveljavitve je inšpektor lahko izvajal svoja pooblastila le pri tisti fizični ali pravni osebi, pri kateri je opravljal inšpekcijski nadzor, kar je pomenilo občutno omejitev pridobivanja dokazov (predvsem osebnih, kjer se zahteva izrecna zakonska podlaga za obdelavo, torej tudi za posredovanje) od pravnih oseb, ki niso del javnega sektorja in se zanje ne uporablja 139. člen Zakona o splošnem upravnem postopku (ZUP). Vložnik predlaga, da Vrhovno sodišče Republike Slovenije ugotovi, da je bila z izpodbijano sodbo storjena uvodoma navedena kršitev.

B.

3. Informacijski pooblaščenec je zoper storilki izdal odločbo o prekršku zaradi kršitve določbe drugega odstavka 19. člena ZIN in s tem storitve prekrškov po 1. alineji prvega odstavka in po drugem odstavku 38. člena ZIN, ker mu na njegov poziv v roku treh dni nista posredovali seznama vseh kupcev opreme za biometrijsko preverjanje posameznika iz prodajnega programa s podatki o točnih nazivih in naslovih kupcev. Okrajno sodišče v Ljubljani je s sodbi ugodilo zahtevi za sodno varstvo in odločbo o prekršku po uradni dolžnosti spremenilo tako, da je po 1. točki prvega odstavka 136. člena ZP-1 postopek zoper oba kršitelja ustavilo, ker je ugotovilo, da pravna podlaga po drugem odstavku 19. člena ZIN za pridobitev osebnih podatkov, ni pravilna, saj ne zajema pridobitve osebnih podatkov, ampak le "morebitnih dokazov oziroma drugih podatkov". Prav tako pravna oseba ni upravljavec osebnih podatkov, torej ni bila dolžna oblikovati seznama kupcev, niti ga ni oblikovala na podlagi osebnih privolitev kupcev.

4. Vrhovno sodišče ugotavlja, da je informacijski pooblaščenec s pozivom za dostavo podatkov z dne 23.5.2007, št. 0613-74/2007/1, Š. d.o.o. pozval, naj mu v roku tri dni od prejema poziva posreduje seznam vseh kupcev opreme za biometrijsko preverjanje posameznika iz njenega prodajnega programa in sicer s točnimi nazivi in naslovi. Takšen poziv ni obrazložen, saj ni jasno ali se nanaša na kupce kot fizične ali kot pravne osebe, za katero časovno obdobje in zakaj potrebuje podatke. Navedbe vložnika zahteve, da je seznam vseh kupcev razviden iz faktur, držijo, ne držijo pa navedbe, da ne gre za zbirko osebnih podatkov. Informacijski pooblaščenec je že v odločbi št: 0712-297/2007/2 z dne 26.03.2007 navedel: "Posredovanje kopij računov, iz katerih so razvidni tudi podatki o kupcih kot fizičnih osebah, že lahko šteje kot obdelava osebnih podatkov, saj se takšno ravnanje šteje kot sporočanje, širjenje in dajanje osebnih podatkov na razpolago, in sicer pod pogojem, če so iz podatkov, ki so navedeni na računu, kupci določljivi. Kupec se v takšnem primeru šteje za določljivega, če je na računu poleg njegovega osebnega imena naveden tudi še kakšen drug podatek, ki omogoča njegovo določljivost, npr. naslov njegovega bivališča in/ali davčna številka." Glede na navedeno Vrhovno sodišče ugotavlja, da so bili kupci določljivi, saj je pooblaščenec zahteval seznam vseh kupcev s točnimi nazivi in naslovi.

5. Neutemeljen je tudi na podlagi 7. člena ZVOP-1 sklenjen zaključek vložnika, da seznam kupcev ni zajemal fizičnih oseb kot kupcev. V 7. členu ZVOP-1 je določeno, da se zakon ne uporablja za obdelavo osebnih podatkov, ki jo izvajajo posamezniki izključno za osebno uporabo, družinsko življenje ali za druge domače potrebe, kar pomeni, da ZVOP-1 zasebne rabe biometrije ne ureja. ZVOP-1 biometrijo ureja v 3. poglavju, in sicer le biometrijske ukrepe v javnem sektorju in v zasebnem sektorju. Po določbi 80. člena ZVOP-1 je takrat, ko izvajanje določenih biometrijskih ukrepov v zasebnem sektorju ni urejeno z zakonom, upravljavec osebnih podatkov, ki namerava izvajati biometrijske ukrepe, pred uvedbo ukrepov dolžan posredovati državnemu nadzornemu organu (Informacijskemu pooblaščencu) opis nameravanih ukrepov in razloge za njihovo uvedbo. Ukrepe sme izvajati šele po prejemu odločbe Informacijskega pooblaščenca, s katero je izvajanje biometrijskih ukrepov dovoljeno. Vrhovno sodišče ugotavlja, da je Informacijski pooblaščenec z navedenim pozivom želel preventivno preverjati ali upravljavci osebnih podatkov, ki nameravajo izvajati biometrijske ukrepe, ravnajo v skladu z navedeno določbo. Tako sam v odločbi št.: 0600-30/2007/6 in drugih navaja, da je nadzor nad pravilnim izvajanjem biometrijskih ukrepov predmet posebnega postopka inšpekcijskega nadzora, ki ga lahko nadzorni organ uvede bodisi na podlagi prijave, ali pa v okviru preventivnega inšpekcijskega nadzora nad izvajanjem določb ZVOP-1. Če predpostavimo, da držijo trditve zahteve, da je bil interes Informacijskega pooblaščenca v skladu z določbo 80. člena ZVOP-1 preverjati le upravljavce osebnih podatkov v zasebnem sektorju, vseeno ne gre sklepati, da so bili s pozivom zahtevani le podatki o pravnih osebah, samostojnih podjetnikih in posameznikih, ki samostojno opravljajo dejavnosti, saj se je poziv glasil na seznam vseh kupcev, tudi fizičnih oseb. Vrhovno sodišče je po opravljenih poizvedbah pri prodajalcih opreme za biometrijsko preverjanje posameznika in na podlagi objavljenih mnenj Informacijskega pooblaščenca ugotovilo, da navedeno opremo kupujejo tudi fizične osebe, in sicer tako za osebno uporabo, družinsko življenje ali za druge domače potrebe, česar pooblaščenec v skladu s 7. členom ZVOP-1 ne preverja, kot tudi za javno uporabo, na primer za identifikacijo stanovalcev v bloku ali celo za nadzorovanje svojih zaposlenih v svojem podjetju, za takšno izvajanje pa mora prav tako pridobiti dovoljenje pooblaščenca, na kar ga je dolžan opozoriti prodajalec. Ker opremo za biometrijsko preverjanje posameznika lahko kupijo tako fizične kot pravne osebe, poziv pa se je nanašal na seznam vseh kupcev opreme za biometrijsko preverjanje posameznika iz njenega prodajnega programa in sicer s točnimi nazivi in naslovi, Vrhovno sodišče ugotavlja, da je poziv vključeval tudi seznam kupcev kot fizičnih oseb.

6. Informacijski pooblaščenec je v nadaljevanju citirane odločbe št.: 0712-297/2007/2 pojasnil, da bi bilo po določbah prvega odstavka 10. člena ZVOP-1 posredovanje kopij računov z osebnimi podatki kupcev dopustno, če bi bilo tako določeno v katerem od področnih zakonov, ali pa, če bi bila za takšno posredovanje in razkrivanje osebnih podatkov podana osebna privolitev posameznika. Prav tako je vložnik v zahtevi navedel, da se za obdelavo, torej tudi za posredovanje osebnih podatkov zahteva izrecna zakonska podlaga, ki je po njegovem mnenju v drugem odstavku 19. člena ZIN, na katero se je v pozivu oprl Informacijski pooblaščenec. Po navedeni določbi morajo pravne in fizične osebe, zoper katere se ne vodi inšpekcijski postopek, in ki razpolagajo z morebitnimi dokazi oziroma drugimi podatki, potrebnimi za izvedbo inšpekcijskega nadzora, na zahtevo inšpektorja posredovati dokaze in druge podatke oziroma morajo omogočiti zaslišanje prič za pridobitev teh dokazov ali drugih podatkov najkasneje v treh dneh od prejema njegove zahteve. Vrhovno sodišče sprejema v izpodbijani sodbi navedeno razlago drugega odstavka 19. člena ZIN in sicer, da navedena pravna podlaga za pridobitev osebnih podatkov ni zadostna, saj ne zajema pridobitve osebnih podatkov, ampak le "morebitnih dokazov oziroma drugih podatkov". Pridobitev osebnih podatkov je izrecno določena v 6. alineji prvega odstavka 19. člena ZIN, po kateri ima inšpektor pri opravljanju nalog inšpekcijskega nadzora pri fizični ali pravni osebi, pri kateri opravlja inšpekcijski nadzor, pravico brezplačno pridobiti in uporabljati osebne in druge podatke iz uradnih evidenc in drugih zbirk podatkov, ki se nanašajo na zavezanca in ki so potrebni za izvedbo inšpekcijskega nadzora. Glede na navedeno lahko inšpektor pridobi osebne podatke le od fizične ali pravne osebe, ki se nanašajo nanjo kot zavezanca, pri kateri opravlja inšpekcijski nadzor, in to le iz uradnih evidenc in drugih zbirk podatkov. Nikakor pa tega ne gre širiti na pridobitev osebnih podatkov, ki so potrebni za izvedbo inšpekcijskega nadzora pri neki drugi pravni osebi, od pravne in fizične osebe, zoper katere se ne vodi inšpekcijski postopek, kot je zahteval Informacijski pooblaščenec v obravnavanem primeru.

7. Navedbe vložnika zahteve, da je zakonodajalec s sprejemom drugega odstavka 19. člena ZIN želel, da se ta nanaša tudi na osebne podatke, sicer potrjuje razlaga določbe, navedena v Poročevalcu št. 2/2007 z dne 15.1.2007, v poglavju Predlog zakona o spremembah in dopolnitvah zakona o inšpekcijskem nadzoru (ZIN-A): "V 19. členu je določeno, da lahko inšpektor izvaja svoja pooblastila le pri fizični ali pravni osebi, pri kateri opravlja inšpekcijski nadzor. To določilo je za izvajanje učinkovitega inšpekcijskega nadzora pomanjkljivo, saj ne omogoča pridobivanja dokazov, predvsem osebnih podatkov za posredovanje in obdelovanje katerih je potrebna izrecna zakonska podlaga, kadar gre za pravne osebe, ki niso del javnega sektorja in se ne more uporabiti 139. člen Zakona o splošnem upravnem postopku (ZUP). Glede na to, da je v inšpekcijskih postopkih potrebno pridobivati tudi materialne dokaze, ki pa niso vedno v posesti zavezanca, je potrebno vzpostaviti pravno podlago, ki bi omogočala inšpektorju vpogled v zbirke osebnih podatkov tudi pri pravni ali fizični osebi, pri kateri ne opravlja inšpekcijskega nadzora, vendar pa le-ta razpolaga s podatki, ki bi lahko bili bistven dokaz v inšpekcijskem postopku. Podobna rešitev je vzpostavljena v Zakonu o davčnem postopku (ZDavP), ki določa obveznost dajanja podatkov davčnemu organu za namene pobiranja davkov." Vrhovno sodišče ugotavlja, da je v 99. členu ZDavP izrecno določen nadzor obračunov davka pri davčnem organu. Prav tako je v 139. členu ZUP navedeno, da uradna oseba lahko pridobiva za potrebe ugotavljanja dejanskega stanja osebne podatke iz uradnih evidenc o stranki, ki je vložila zahtevo za uvedbo postopka, ali v postopku, uvedenem po uradni dolžnosti, razen, če je stranka pridobitev teh podatkov izrecno prepovedala. To šteje za zadostno zakonsko podlago za pridobivanje osebnih podatkov v smislu zakona, ki ureja varstvo osebnih podatkov, ne glede na to, ali posebni (materialni) zakoni za posamezne vrste upravnih postopkov vsebujejo takšno podlago. Tudi po četrtem odstavku 45. člena ZP-1 morajo državni organi in nosilci javnih pooblastil, ki upravljajo zbirke osebnih podatkov, brezplačno posredovati osebne podatke, ki so potrebni za ugotovitev dejstev v zvezi s postopkom in za izvršitev sankcij. V drugem odstavku 19. člena ZIN pa ni izrecno navedeno, da morajo pravne in fizične osebe, zoper katere se ne vodi inšpekcijski postopek, na zahtevo inšpektorja posredovati osebne podatke, ampak le dokaze in druge podatke. V kolikor je zakonodajalec z navedeno določbo hotel zajeti tudi osebne podatke, bi moral to izrecno navesti tako kot v ZDavP, ZUP in ZP-1 ter v 6. alineji prvega odstavka 19. člena ZIN, predvsem zato, ker zahtevati osebne podatke od pravnih in fizičnih oseb, zoper katere se ne vodi inšpekcijski postopek, predstavlja hujši poseg in se zahteva restriktivnejša razlaga.

8. Niti v ZIN niti v ZVOP-1 ni določeno, da sme Informacijski pooblaščenec pridobiti osebne podatke tudi od pravnih in fizičnih oseb, zoper katere se ne vodi inšpekcijski postopek. Nujnost ukrepa, kot jo poudarja vložnik zahteve za varstvo zakonitosti, ko navaja, da sicer Informacijski pooblaščenec ne more dobiti podatkov, ki so potrebni za izvedbo inšpekcijskega nadzora in zato nadzor po uradni dolžnosti (brez prijave) nad določbo 80. člena ZVOP-1 ni mogoč, nikakor ne more nadomestiti odsotnosti obstoja zakonske podlage za opisan poseg v varstvo osebnih podatkov. Zgolj z namensko razlago, ki naj bi to omogočala, bi sodna veja oblasti posegla v pooblastila zakonodajalca, kar pa ni dopustno.

9. Vrhovno sodišče se ni spuščalo v ustreznost zakonske ureditve prometa z opremo za biometrijsko preverjanje posameznika, ampak je za primerjavo navedlo ureditev inšpekcijskega nadzora prodaje orožja po določbah Zakona o orožju (ZOro-1-UPB1, Uradni list št. 23/2005). Po 40. členu ZOro-1-UPB1 lahko trgovec orožje, strelivo in dele orožja proda le osebi, ki ima orožno listino za nabavo take vrste orožja, streliva in delov orožja. O prodanem orožju mora trgovec kupcu izdati posebno potrdilo. Po določbi 37. člena ZOro-1-UPB1 morajo odgovorna oseba trgovca in pri njem zaposleni posamezniki, ki opravljajo neposredna dela v zvezi s prometom ter prevozom orožja in streliva, policistu oziroma inšpektorju iz 80. člena (to so inšpektorji za orožje v okviru ministrstva, pristojnega za notranje zadeve) tega zakona omogočiti, da preveri hrambo orožja in vpogled v evidence ter ostalo dokumentacijo o orožju. Inšpektor opravlja nadzor nad izvrševanjem določb tega zakona tako, da pri pravnih osebah in podjetnikih posameznikih, ki posedujejo orožje, se ukvarjajo s prometom orožja ali dejavnostjo strelišča opravi pregled predpisanih evidenc in ostalo dokumentacijo, ki se nanaša na orožje in strelivo, na kupce orožja in streliva ter na osebe, ki jim je bilo orožje zaupano (6. alineja četrtega odstavka 80. člena ZOro-1-UPB1). Pravne osebe in podjetniki posamezniki, ki posedujejo orožje, se ukvarjajo s prometom orožja ali dejavnostjo strelišča, njihove odgovorne osebe, osebe, ki jim je bilo orožje zaupano ali osebe, ki opravljajo neposredna dela z orožjem, morajo inšpektorju omogočiti nemoten nadzor (peti odstavek 80. člena Zoro-1-UPB1). Zakonodajalec se ni odločil za takšno ali podobno ureditev prometa z opremo za biometrijsko preverjanje, očitno ni štel za nujno, da pri tem prometu uvede nadzor, ki posega v varstvo osebnih podatkov, ne da bi bili za to podani razlogi v posameznem primeru. Po veljavni ureditvi fizične osebe lahko nabavljajo opremo za biometrijsko preverjanje posameznika brez omejitve in tudi ni predviden nadzor, kako z njo razpolagajo – ali jo na primer dajo na voljo oziroma v uporabo pravni osebi. Očitno je tako da tudi v primeru, če bi informacijski pooblaščenec zahteval le seznam kupcev – pravnih oseb, kar bi lahko storil, s tem ne bi bil dosežen učinkovit nadzor nad uporabo vseh prodanih sredstev.

10. Iz navedenih razlogov je Vrhovno sodišče Republike Slovenije na podlagi 425. člena ZKP v zvezi s 171. členom ZP-1 zahtevo za varstvo zakonitosti zavrnilo kot neutemeljeno.