Številka: 0610-129/2021/9
Datum: 26. 10. 2021
Informacijski pooblaščenec (v nadaljevanju IP) izdaja po državnem nadzorniku za varstvo osebnih podatkov _______ na podlagi 2. in 8. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZustS-A, v nadaljevanju: ZInfP), 37. in 54. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1 in 177/20, v nadaljevanju: ZVOP-1), petega odstavka 29. in prvega odstavka 32. člena Zakona o inšpekcijskem nadzoru (Uradni list RS, št. 43/07 – UPB1 in 40/14, v nadaljevanju: ZIN), ter členov 57(1) in 58(2) Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov, v nadaljevanju: Splošna uredba), v postopku inšpekcijskega nadzora pri zavezancu ____________ (v nadaljevanju: zavezanec), po uradni dolžnosti naslednjo
ODLOČBO
• Zavezanec mora v roku 75 dni od vročitve te odločbe zagotoviti, da se bodo zabeleženi podatki oziroma zapisi dejavnosti obdelave osebnih podatkov, ki jo uslužbenci zavezanca v okviru ____________ izvajajo v Evidencah _____ in ki v skladu z določbo 5. točke 1. odstavka 24. člena ZVOP-1 vsebujejo podatke o tem, kdaj so bili posamezni osebni podatki v teh evidencah obdelani in kdo je to storil, hranili za obdobje, ko je mogoče zakonsko varstvo pravice posameznika zaradi nedopustne obdelave osebnih podatkov tj. za obdobje šestih (6) let. Odredba prvega stavka se ne nanaša na podatke oziroma zapise dejavnosti obdelave osebnih podatkov, ki jo uslužbenci zavezanca v okviru ____ v Evidencah _____ izvedejo za namene preprečevanja, preiskovanja, odkrivanja in pregona kaznivih dejanj in izvrševanja kazenskih sankcij.
• Zavezanec mora o izvršenih ukrepih iz 1. točke izreka te odločbe v roku 5 dni po izvršitvi pisno obvestiti IP in predložiti dokaze o tem.
• V tem postopku posebni stroški niso nastali.
Obrazložitev:
I. Ugotovitve IP ter pojasnila in stališča zavezanca
IP je pri zavezancu začel postopek inšpekcijskega nadzora, ko je prejel prijavo, v kateri je prijavitelj navajal, da naj bi uslužbenci zavezanca izvajali obsežnejše obdelave njegovih osebnih podatkov v uradnih evidencah, tudi potem, ko za take obdelave njegovih podatkov niso več obstajali upravičeni oziroma zakoniti razlogi.
IP je v zvezi s prejeto prijavo zavezancu dne 13. 5. 2021 poslal poziv za posredovanje izpiska iz dnevnika vpogledov in drugih obdelav osebnih podatkov v njegovih elektronsko vodenih evidencah in drugih elektronskih evidencah, do katerih dostopajo njegovi uslužbenci, ki so bili s strani kateregakoli zaposlenega pri zavezancu opravljeni za konkretnega posameznika, v obdobju med 1. 11. 2017 in 1. 12. 2017.
V svojem odgovoru z dne 24. 5. 2021 je zavezanec navedel, da ima sistemsko urejene roke hrambe zapisov vseh dejavnosti obdelav osebnih podatkov v okviru nacionalnih evidenc _____, pri čemer naj bi pri določitvi rokov hrambe zapisov vseh dejavnosti obdelav osebnih podatkov upošteval določila 5. točke prvega odstavka 24. člena ZVOP-1, 24. člena Splošne uredbe, 25. člena Direktive (EU) 2016/680 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, in o prostem pretoku takih podatkov ter o razveljavitvi Okvirnega sklepa Sveta 2008/977/PNZ (Direktiva PNZ), četrtega odstavka 12. člena in drugega odstavka 38. člena Uredbe (ES) št. 1987/2006 Evropskega parlamenta in Sveta z dne 20. decembra 2006 o vzpostavitvi, delovanju in uporabi druge generacije schengenskega informacijskega sistema (Uredba SIS II) in 47. člena ZVOPOKD. Ker naj veljavni ZVOP-1 eksplicitno ne bi določal roka hrambe zapisov dejavnosti obdelav naj bi zavezanec, na podlagi navedenih pravnih podlag, z odredbo št. 007-56/2021/2 (285-09) z dne 5. 2. 2021 določil roke hrambe zapisov vseh dejavnosti obdelav osebnih podatkov, in sicer tako, da je
· splošni rok hrambe zapisov vseh dejavnosti obdelav osebnih podatkov v okviru evidenc ____ dve leti od zaključka koledarskega leta, v katerih so bila v njih zabeležena dejanja obdelave,
· rok hrambe zapisov vseh dejavnosti obdelav osebnih podatkov v okviru SIS I in SIS II dve leti od zaključka koledarskega leta, v katerem so bila v njih zabeležena dejanja obdelave,
· rok hrambe dopolnilnih podatkov v aplikaciji SIRENE eno leto od izbrisa posameznega razpisanega ukrepa iz SIS II,
· rok hrambe zapisov vseh dejavnosti obdelav osebnih podatkov v okviru PNR pet let od zaključka koledarskega leta, v katerem so bila v njih zabeležena dejanja obdelave;
Ker naj bi se poziv IP glede obdelave osebnih podatkov posameznika nanašal na obdobje, ki je izven določenega roka hrambe zapisov dejavnosti obdelav v okviru evidenc ____, SIS I in SIS II ter aplikacije SIRENE, naj zavezanec zahtevanih podatkov ne bi mogel posredovati, saj naj podatki o dejavnosti obdelav osebnih podatkov iz leta 2017, pri njem ne bi obstajali več.
Zavezanec je v svojem odgovoru na dodatni poziv IP z dne 30. 8. 2021 navedel, da je z Odredbo št. _________, implementiral roke hrambe dnevnikov dejavnosti obdelav osebnih podatkov v evidencah policije in avtomatsko brisanje podatkov po določenem roku hrambe, kot jih je navedel že v svojem prejšnjem odgovoru na poziv IP. Odredba naj bi določila tehnično nalogo, da se izvede enkratni izbris vseh zapisov dejavnosti obdelave, starejših od določenega roka in pripravi servis za avtomatsko brisanje zapisov dejavnosti obdelave po poteku določenega roka hrambe.
Odredba naj bi bila izdana in pričela veljati _____, priprava servisa in izbrisi pa naj bi bili izvedeni do __________. Zavezanec naj bi bil Odredbo dolžan pripraviti, saj je s 1. 1. 2021 začel veljati nov ZVOPOKD, hkrati pa naj bi bilo v pripravi tudi besedilo novega Zakona o varstvu osebnih podatkov (EVA 2018-2030-0045; v nadaljevanju ZVOP-2). Tako ZVOPOKD kot tudi predlog besedila ZVOP-2, ki ju je pripravilo Ministrstvo za pravosodje kot nosilec, naj bi predpisovala, da se zapisi dejavnosti obdelav osebnih podatkov hranijo dve leti od zaključka koledarskega leta, v katerem so bila v njih zabeležena dejanja obdelave, če drug zakon ne določa drugače, ZVOPOKD vsebuje to določbo v petem odstavku 47. člena. Pri tem naj bi bilo tudi potrebno upoštevati, da ZVOPOKD (kot tudi predlog besedila ZVOP-2) v 16. členu določa, da lahko nadzornik odredi hrambo podatkov, ki je daljša od v tem členu določenega roka, če je to potrebno za izvedbo postopka za namen zavarovanja dokazov. Zakonodajalec naj bi ob sprejemu Splošne uredbe zavezancem pri določanju rokov hrambe pustil polje proste presoje, saj naj Splošna uredba rokov hrambe zapisov dejavnosti obdelav osebnih podatkov in ostalih podrobnosti niti ne bi predpisovala, niti ne določala. Navedeno naj bi pomenilo, da lahko države članice to vprašanje (rok hrambe podatkov iz dnevnika obdelave) uredijo samostojno, in Slovenija naj bi to uredila v ZVOPOKD. Prav tako naj bi bilo potrebno po mnenju zavezanca pri določitvi rokov hrambe zapisov dejavnosti obdelav osebnih podatkov upoštevati tudi načelo sorazmernosti, kar naj bi zakonodajalec že upošteval tudi pri implementaciji Direktive PNZ, saj naj bi za »zelo občutljive« obdelave osebnih podatkov (obdelava osebnih podatkov zaradi preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij), za katere je rok zastaranja pregona tudi 10 let in več, v 47. členu ZVOPOKD sorazmerno določil rok hrambe obdelave na dve leti od zaključka koledarskega leta, v katerem so bila v njih zabeležena dejanja obdelave. Pri tem naj bi zakonodajalec v obrazložitvi člena pojasnil, da je »dvoletni rok običajno zadosten za dosego namenov iz tega člena«. Seveda pa naj bi zakonodajalec, na podlagi načela sorazmernosti in dejstva, da obstaja večje tveganje za človekove pravice in temeljne svoboščine posameznikov – osebni podatki so množično zajeti, možno je vsaj delno delovanje na podlagi profiliranja ipd., v šestem odstavku 47. člena ZVOPOKD določil, da se vsebina dnevnika obdelave, ki ga upravlja __________ po ZNPPol, hrani pet let od zaključka koledarskega leta, v katerem so bila v njih zabeležena dejanja obdelave, kar naj bi zavezanec tudi upošteval pri pripravi Odredbe (3. točka). Prav tako naj bi zavezanec pri pripravi Odredbe in določitvi rokov hrambe zapisov dejavnosti obdelav osebnih podatkov v okviru SISI I in SIS II sledil četrtemu odstavku 12. člena Uredbe SIS II, ki določa, da se zapisi dejavnosti obdelav podatkov znotraj schengenskega informacijskega sistema lahko uporabljajo samo za namen zagotavljanja pravilnega delovanja SIS II, neoporečnost in varstvo podatkov, ter se izbrišejo ne prej kot po enem letu in najpozneje po treh letih od njihovega nastanka, zato naj bi rok, hrambe, ki ga je implementiral zavezanec (dve leti od zaključka koledarskega leta, v katerem so bila v njih zabeležena) zadostil zakonskim zahtevam Uredbe SIS II (3. točka Odredbe).
V izogib nesorazmerni hrambi osebnih podatkov – tako obdelovalcev, kot tudi oseb, katerih osebni podatki se obdelujejo (saj naj bi bilo iz ohranjenih podatkov v dnevniku obdelave možno sklepati na osebne podatke, stanja oziroma upravna dejanja v zvezi s posamezniki, izvirni zapis v zbirki podatkov pa je lahko že bil izbrisan), ter z namenom harmonizacije z novo veljavno zakonodajo (v tem primeru ZVOPOKD) in s predlogom besedila ZVOP-2, ki ga pripravlja Ministrstvo za pravosodje (in ki v tem delu sledi rešitvi iz ZVOPOKD), naj bi bila pri zavezancu sprejeta odločitev in pripravljena Odredba o implementaciji zakonsko določenih rokov hrambe in o izbrisu zapisov dejavnosti obdelave osebnih podatkov v evidencah policije št. ___________, na podlagi katere je zavezanec tehnično uredil servis za avtomatsko brisanje zapisov dejavnosti obdelave po poteku (enotno) določenega roka hrambe, kot je opisano zgoraj. Drug zakon ali notranji akt pa naj bi lahko določal tudi druge sestavine dnevnika, ki so potrebni za doseganje namena, če to zahteva ocena učinka ali analiza tveganj v zvezi s konkretno obdelavo. V primeru kršitve pravic posameznika do varstva osebnih podatkov, naj bi lahko le-ta od kršitelja terjal tako kazensko kot odškodninsko odgovornost, pri čemer naj bi dnevniki obdelave osebnih podatkov pri zavezancih lahko predstavljali le enega izmed možnih indicev za kršitev oziroma dokaznih sredstev v postopku. Nadzornik za varstvo osebnih podatkov ima upravičenje kadarkoli odrediti hrambo podatkov iz dnevnikov obdelav, ki je daljša od določnega dvoletnega roka hrambe, če je to potrebno za izvedbo postopka za namen zavarovanja dokazov, prav tako pa upravljavec ali obdelovalec od seznanitve z uvedbo postopka ne sme izbrisati ali spremeniti zahtevanih osebnih podatkov, ki so predmet postopka, dnevnikov obdelav in drugih zahtevanih podatkov, ne glede na potek rokov hrambe, dokler o zadevi ni odločeno.
IP je zavezanca dne 21. 9. 2021 pisno seznanil s svojimi ugotovitvami v predmetnem inšpekcijskem postopku in ukrepi, ki jih bo moral glede na te ugotovitve v postopku sprejeti ter mu dal možnost, da se opredeli do vseh ugotovljenih dejstev in okoliščin v postopku. Zavezanec je v svojem odgovoru na seznanitev in poziv navedel, da vztraja, da niti ZVOP-1, niti Splošna uredba izrecno ne urejata oziroma določata dnevnikov obdelav osebnih podatkov in jih ne predpisujeta kot sredstvo za zagotavljanje ali dokazovanje zakonitosti obdelave osebnih podatkov. Splošna uredba naj jih celo namerno ne bi urejala, za razliko od Direktive PNZ, ki jih določa v 25. členu, ki na bi ga Republika Slovenija implementirala v 47. členu ZVOPOKD. Zmožnost dokazovanja zakonitosti obdelave osebnih podatkov ali zagotavljanja varnosti osebnih podatkov (»data security«) naj bi bilo tako mogoče izpolniti tudi na druge načine, na primer z drugimi organizacijskimi in tehničnimi ukrepi, ki preprečujejo nezakonito obdelavo osebnih podatkov.
Hramba podatkov o posameznih dejanjih obdelave naj bi bila po naravi stvari nova obdelava osebnih podatkov, za katero naj bi bila potrebna ustrezna pravna podlaga. Za obdelave, ki jih zavezanec izvaja za namene iz 1. člena ZVOPOKD naj bi bila pravna podlaga določena v 47. členu tega zakona (ki v tretjem odstavku določa namene uporabe dnevnikov obdelav), medtem ko naj bi bila za vse preostale obdelave pravna podlaga določena s Splošno uredbo, in sicer točkama 6 (1) (c) in 6 (1) (e) v povezavi z odstavkom 6 (2) in 6 (3) Splošne uredbe. Nameni obdelave podatkov v dnevniku obdelav po Splošni uredbi naj bi bili primarno zagotoviti stalno zaupnost, celovitost, dostopnost in odpornost sistemov in storitev za obdelavo in pravočasno povrniti razpoložljivost in dostop do osebnih podatkov v primeru fizičnega ali tehničnega incidenta (točki 32 (1) (b) in (c) Splošne uredbe. Navedeni nameni naj bi se uresničevali tako, da se v dnevniku obdelav preveri, katera dejanja obdelav so se v informacijskem sistemu izvedla in kdo ter kdaj jih je izvedel. Podatki naj bi se uporabljali za odpravo tehničnih napak, ki bi lahko ogrožala zgoraj navedene namene. Ker naj opisana obdelava (zapisi dnevnika obdelav) sama po sebi ne bi bila posebej določena z zakonom (izvajala naj bi se zgolj kot pomožna obdelava za obdelave, ki so določene z zakonom) in ker naj prav tako ne bi bil določen poseben rok hrambe teh podatkov, naj bi zavezanec pri tem postopal skladno s točko 5 (1) (c) Splošne uredbe, ki določa načelo najmanjšega obsega podatkov in naj bi podatke, potem ko naj bi bil zgoraj navedeni namen hrambe dnevnikov obdelav dosežen, izbrisali. Zavezanec je navedel, da šteje, da je rok hrambe dnevnikov obdelav, ki ga je zavezanec določil na obdobje dveh let po koncu koledarskega leta, v katerem so zapisi v dnevniku nastali, sorazmeren in ustrezen za dosegane namena obdelave, tako za obdelave v skladu z ZVOPOKD, kot za ostale obdelave v Evidencah policije iz drugega odstavka 123. člena ZNPPol. V tem času naj bi se običajno jasno izkazala vsa tveganja za doseganje zgoraj opisanega namena obdelave podatkov v dnevniku obdelav. Zgolj za potrebe zagotavljanja stalnosti zaupnosti, celovitosti, dostopnosti in odpornosti sistemov in storitev za obdelavo in zmožnosti za pravočasno povrnitev razpoložljivosti in dostopa do osebnih podatkov v primeru fizičnega ali tehničnega incidenta naj bi sicer zadoščal tudi krajši rok, vendar naj bi zavezanec ocenil, da je z vidika preverjanja zakonitosti obdelav osebnih podatkov v primeru nadzora IP potrebno rok ustrezno podaljšati, tako da so podatki na voljo ves čas, ko je mogoče uvesti postopek o prekršku, torej skladno s prvim odstavkom 42. člena Zakona o prekrških (ZP-1), ki določa, da postopek o prekrških ni dopusten, če preteče dve leti od dneva, ko je bil prekršek storjen. Rok hrambe naj bi bil določen v obliki določenega obdobja po koncu koledarskega leta predvsem z namenom, da se zmanjša število potrebnih obdelav podatkov (izbrisov), na eno obdelavo letno. Zavezanec je navedel, da primerjalno lahko omeni nemški Zvezni zakon o varstvu podatkov, ki naj bi enovito urejal vsebino slovenskega ZVOPOKD in bodočega ZVOP-2 in ki naj bi določal, da je rok hrambe dnevnikov obdelave eno leto po koncu leta, v katerem so zapisi nastali.
Zavezanec je nadalje navedel, da v zvezi z navedbo IP, da obveznost daljše hrambe dnevnikov obdelave določa 5. točka prvega odstavka 24. člena ZVOP-1 meni, da iz navedene določbe ne izhaja ravno obveznost hrambe samega dnevnika obdelave, čeprav naj bi bil takšen dnevnik lahko tudi ena od možnosti izpolnitve te zahteve. Organizacijski, tehnični in logično-tehnični postopki in ukrepi, ki so v veljavi pri zavezancu (doseženi z implementacijo informacijskega sistema ________ z delitvijo vlog/dostopov uporabnikov sistema, določil Pravilnika o zaščiti podatkov Policije, Pravilnika o obdelavi podatkov o elektronskih komunikacijah policije in o dostopih do policijskih zbirk podatkov in Navodil ________--, Informacijsko varnostne politike policije in drugih internih navodil za delo policistov, ki opredeljujejo način beleženja in poročanja o opravljenem delu, itd.) naj bi zagotavljali, da so podatki pri zavezancu ustrezno zavarovani in je mogoče poznejše ugotavljanje, kdaj so bili posamezni osebni podatki vneseni v zbirko osebnih podatkov, uporabljeni ali drugače obdelani in kdo je to storil. Logistično-tehnični postopki in ukrepi naj bi bili tudi v skladu s 1. točko prvega odstavka 4. člena Pravilnika o notranji varnosti v policiji (Uradni list RS, št. 67/14) opredeljeni kot ukrepi, namenjeni preprečitvi nepooblaščene obdelave podatkov, naključnega ali namernega nepooblaščenega uničevanja, spreminjanja ali izgube podatkov, nepooblaščenega dostopa do varovanih podatkov policije pri njihovem prenosu, vključno s prenosom po telekomunikacijskih omrežjih, varovanju prostorov, objektov in sistemske programske opreme, vključno z vhodnimi in izhodnimi enotami, aplikativne programske opreme, zagotavljanju učinkovitega načina blokiranja, uničenja, izbrisa ali anonimiziranja varovanih podatkov policije ter poznejšega ugotavljanja, kdaj so bili posamezni podatki, vneseni v zbirko osebnih podatkov, uporabljeni ali drugače obdelani in kdo je to storil.
Zavezanec je v nadaljevanju citiral tudi določbe 31. člena Zakona o organiziranosti in delu v policiji (Uradni list RS, št. 15/13, 11/14, 86/15, 77/16, 77/17, 36/19, 66/19 – ZDZ in 200/20; v nadaljevanju ZODPol) in navajal, da so v skladu s tem vodje posameznih policijskih enot kot enota za zaščito ITK sistemov in podatkov v policiji generalne policijske uprave, dolžni, v skladu z ZODPol in Pravili _____________, kontinuirano izvajati notranji nadzor nad delom enot in uslužbencev zavezanca, pri čemer naj bi bil namen nadzora ugotavljanje nepravilnosti in pomanjkljivosti ter njihovo sistemsko odpravljanje, kar naj bi nadzorniki izvajali tudi s preventivnimi postopki (____________). Zavezanec je navedel tudi, da se njegovi uslužbenci vsako leto izobražujejo na temo informacijske varnosti in da je dostop do podatkov policije zaščiten ___________. V splošnih in strokovnih nadzorih nad delom policijskih enot naj bi se s strani zavezančevega __________-, nadziralo tudi področje varstva osebnih in drugih podatkov, tako s preverjanjem ________-, kot s preverjanjem ________. Zavezanec je navajal tudi, da imajo policisti, glede na njihovo naravo dela in v skladu s svojimi pooblastili ter po načelu »need to know«, dostop do različnih evidenc iz drugega odstavka 123. člena ZNPPol, kjer lahko za potrebe svojih delovnih nalog obdelujejo osebne podatke. Dostopi do posameznih evidenc naj bi bili urejeni preko različnih aplikacij (________-…), prijava v aplikacijo pa naj bi vedno potekala z uporabniškim imenom in geslom. Zavezanec je navedel tudi informacije oziroma opozorila, s katerimi njegov informacijski sistem seznani uporabnika, preden se ta vanj prijavi. Glede na enoto, delovne naloge in pooblastila policista naj bi mu strokovna služba dodelila ustrezen varnostni profil, s katerim naj bi se mu omogočal in hkrati omejeval dostop do posameznih evidenc, pri čemer naj bi moral uporabnik ob vsaki obdelavi osebnih podatkov vpisati tudi _______. Zavezanec naj bi se zavedal, da je lahko ključen problem pri zagotavljanju sorazmerne in zakonite obdelave osebnih podatkov v Evidencah policije predvsem neustrezna stopnja integritete posameznih uslužbencev, vendar naj bi zavezanec načelu integritete zadostil tudi tako, da je uporabnikom omejil dostop do podatkov po načelu najmanjšega obsega podatkov, ki jih posamezni uslužbenec potrebuje za opravljanje svojih nalog. Vsak policist naj bi moral ob sklenitvi delovnega razmerja ali premestitvi tudi podpisati izjavo, s katero potrdi, da je seznanjen s predpisi, ki urejajo zakonito obdelavo in varovanje podatkov pri zavezancu. Strojna in programska oprema, ki sta namenjeni obdelavi podatkov policije, naj bi morala biti _____________-.
Narava dela policista naj bi bila takšna, da je v veliko primerih v času ______ - obdelave osebnih podatkov posameznika, težko vnaprej določiti, ali bo šlo v konkretnem preverjanju za obdelavo za namen preiskovanja kaznivega dejanja ali npr. prekrška, do česar bi se morali policisti opredeliti pred samo obdelavo, kar pa naj velikokrat v praksi ne bi bilo možno. __________ naj trenutno ne bi omogočal avtomatskega ločevanja zapisov na dnevnike dejavnosti obdelav osebnih podatkov, izvedenih za namene preprečevanja, preiskovanja, odkrivanja in pregona kaznivih dejanj in izvrševanja kazenskih sankcij (v skladu s 47. členom ZVOPOKD) in na »ostale« dnevnike dejavnosti obdelav v Evidencah policije. Zaradi uporabe različne aplikativne opreme za obdelavo osebnih podatkov v SIS II in podatkov, ki jih upravlja _________-, naj bi bilo pri dnevnikih obdelav osebnih podatkov za to področje že sedaj tehnično ustrezno urejeno. Da bi lahko zavezanec ločeval med obdelavami v skladu z ZVOPOKD in ostalimi obdelavami in posledično implementiral različne roke hramb dnevnikov obdelav (po ZVOP-1 in po ZVOPOKD) naj bi moral _______ spremeniti na način, da bi bilo že pri vnosu vhodnih iskalnih parametrov potrebno določiti, ali gre za obdelavo za namen preiskave kaznivega dejanja ali za ostale obdelave, saj naj bi se zapisi dnevnika obdelav ustvarjali in zapisovali avtomatsko ob vsaki obdelavi podatkov v evidencah policije, prav tako pa naj bi se istočasno avtomatsko določil rok hrambe podatkov oz. izbrisa. Zavezanec naj bi moral torej, v primeru implementacije ločevanja zapisov dnevnikov obdelav, korenito spremeniti tako način operativnega dela policistov na terenu (______________), kot tudi aplikativno opremo oziroma ustvariti novo, kar pa naj bi zaradi zahtevnosti in obsega _______ zahtevalo večje in nepredvidene kadrovske, finančne in časovne resurse. Obenem naj bi lahko v primeru, da bi bil ZVOP-2 sprejet v trenutno predlagani obliki (ki rok hrambe dnevnikov obdelav določa na dve leti od zaključka koledarskega leta, v katerem so bila v njih zabeležena dejanja obdelave) prišlo do absurdne situacije, ko naj bi bila zahtevana sprememba delovanja _____ in aplikativne opreme glede zapisovanja dnevnikov obdelav brezpredmetna oziroma bi se zavezancu z morebitno predhodno odreditvijo popravkov in sprememb _____ v tem postopku (na način ločevanja zapisov dnevnikov obdelav na obdelave za namen preiskovanja kaznivih dejanj in na ostale obdelave) povzročili predvsem nepotrebni stroški, saj naj v primeru, da bi bil ZVOP-2 sprejet v trenutno predlagani obliki, po sprejetju ne bi bilo potrebe po tako drastičnih posegih in spremembah ____ in aplikativne opreme za obdelovanje osebnih podatkov, kar naj bi se moralo upoštevati tudi pri izdaji odločbe, s katero bi IP zavezancu naložil zagotavljanje oziroma izvajanje postopkov in ukrepov varnosti oziroma zavarovanja osebnih podatkov. Zavezanec je glede na vse navedeno menil, da naj IP pri presoji zakonitosti njegovega delovanja v konkretnem primeru upošteva vse predpisane organizacijske, tehnične in logično-tehnične postopke in ukrepe, ki jih zavezanec izvaja za varovanje in zaščito osebnih podatkov in ne zgolj samega dnevnika obdelav, kjer naj z vidika ZVOP-1 in Splošne uredbe za njegovo uvedbo oziroma njegov obstoj ne bi bilo zakonske obveznosti, saj naj bi ta obstajala samo po ZVOPOKD in v mejah tega zakona.
II. Navedba določb predpisov, na katere se opira odločba
Varstvo osebnih podatkov je ustavna pravica posameznika, saj Ustava Republike Slovenije (Uradni list RS, št. 33/91-I, 42/97 – UZS68, 66/00 – UZ80, 24/03 – UZ3a, 47, 68, 69/04 – UZ14, 69/04 – UZ43, 69/04 – UZ50, 68/06 – UZ121,140,143, 47/13 – UZ148, 47/13 – UZ90,97,99 in 75/16 – UZ70a, v nadaljevanju Ustava) v 38. členu določa, da je zagotovljeno varstvo osebnih podatkov in da je prepovedana uporaba osebnih podatkov v nasprotju z namenom njihovega zbiranja. Zbiranje, obdelovanje, namen uporabe, nadzor in varstvo tajnosti osebnih podatkov določa zakon.
V skladu s 1. točko 4. člena Splošne uredbe pomeni osebni podatek katero koli informacijo v zvezi z določenim ali določljivim posameznikom; določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika.
V točki f) prvega odstavka 5. člena Splošne uredbe je kot eno od temeljnih načel varstva osebnih podatkov vzpostavljeno načelo celovitosti in zaupnosti, ki določa, da se morajo osebni podatki obdelovati na način, ki zagotavlja ustrezno varnost osebnih podatkov, vključno z zaščito pred nedovoljeno ali nezakonito obdelavo z ustreznimi tehničnimi ali organizacijskimi ukrepi. Drugi odstavek 5. člena Splošne uredbe pa določa, da je upravljavec odgovoren za skladnost obdelave osebnih podatkov s temeljnimi načeli, kot jih določa Splošna uredba in da mora biti to skladnost tudi zmožen dokazati. Prvi odstavek 32. člena Splošne uredbe določa, da mora upravljavec, ob upoštevanju najnovejšega tehnološkega razvoja in stroškov izvajanja ter narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, z izvajanjem ustreznih tehničnih in organizacijskimi ukrepov zagotoviti ustrezno raven varnosti glede na tveganje. Pri določanju ustrezne ravni varnosti se, v skladu z drugim odstavkom istega člena, upoštevajo zlasti tveganja, ki jih pomeni obdelava, zlasti zaradi nenamernega ali nezakonitega uničenja, izgube, spremembe, nepooblaščenega razkritja ali dostopa do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani.
V 24. členu ZVOP-1, ki ureja zavarovanje osebnih podatkov, ki so ga dolžni zagotavljati upravljavci, je določeno, da zavarovanje osebnih podatkov obsega organizacijske, tehnične in logično-tehnične postopke in ukrepe, s katerimi se varujejo osebni podatki, preprečuje slučajno ali namerno nepooblaščeno uničevanje podatkov, njihova sprememba ali izguba ter nepooblaščena obdelava teh podatkov tako, da se:
1. varujejo prostori, oprema in sistemsko programska oprema, vključno z vhodno-izhodnimi enotami;
2. varuje aplikativna programska oprema, s katero se obdelujejo osebni podatki;
3. preprečuje nepooblaščen dostop do osebnih podatkov pri njihovem prenosu, vključno s prenosom po telekomunikacijskih sredstvih in omrežjih;
4. zagotavlja učinkovit način blokiranja, uničenja, izbrisa ali anonimiziranja osebnih podatkov;
5. omogoča poznejše ugotavljanje, kdaj so bili posamezni osebni podatki vneseni v zbirko osebnih podatkov, uporabljeni ali drugače obdelani in kdo je to storil, in sicer za obdobje, ko je mogoče zakonsko varstvo pravice posameznika zaradi nedopustnega posredovanja ali obdelave osebnih podatkov.
V 25. členu ZVOP-1 je določeno, da so upravljavci osebnih podatkov dolžni zagotoviti zavarovanje osebnih podatkov na način iz 24. člena ZVOP-1 in da upravljavci osebnih podatkov v svojih aktih predpišejo postopke in ukrepe za zavarovanje osebnih podatkov ter določijo osebe, ki so odgovorne za določene zbirke osebnih podatkov, in osebe, ki lahko zaradi narave njihovega dela obdelujejo določene osebne podatke.
V 25. členu Direktive PNZ je določeno, da države članice določijo, da se vodijo dnevniki vsaj o naslednjih dejanjih obdelave v avtomatiziranih sistemih obdelave: zbiranje, predelava, vpogled, razkritje, vključno s prenosi, kombiniranje in izbris. Dnevniki vpogleda in razkritja omogočajo utemeljitev, opredelitev datuma in časa takih dejanj ter, če je to mogoče, identifikacijo osebe, ki je vpogledala v osebne podatke ali jih razkrila, ter identiteto uporabnikov takih osebnih podatkov. Dnevniki se uporabljajo zgolj za preverjanje zakonitosti obdelave, notranje spremljanje, zagotavljanje neoporečnosti in varnosti osebnih podatkov ter v kazenskih postopkih. Upravljavec in obdelovalec nadzornemu organu na zahtevo omogočita dostop do dnevnikov.
V skladu z 12. členom Uredbe SIS II države članice, ki ne uporabljajo nacionalnih kopij, zagotovijo, da se zaradi nadzora, ali je iskanje zakonito, spremljanja zakonitosti obdelave podatkov ter notranjega spremljanja vsak dostop do osebnih podatkov in izmenjava le-teh v okviru CS-SIS evidentira v N. SIS II in tako zagotovijo pravilno delovanje N. SIS II, neoporečnost in varstvo podatkov. Zapisi se lahko uporabljajo samo za namen, ki ga določa navedeni člen Uredbe SIS II ter se izbrišejo ne prej kot po enem letu in najpozneje po treh letih od njihovega nastanka. Zapisi, ki vsebujejo zgodovino razpisov ukrepov, se izbrišejo po enem do treh let po izbrisu razpisov ukrepov. V skladu z določbo drugega odstavka 38. člena Uredbe SIS II se osebni podatki, ki jih urad SIRENE hrani v zbirkah na podlagi izmenjave informacij, lahko hranijo le toliko časa, dokler je to potrebno za dosego namenov, zaradi katerih so bili zagotovljeni. V vsakem primeru se izbrišejo najpozneje leto dni po tem, ko se iz SIS II izbriše razpis ukrepa.
47. člen ZVOPOKD določa, da pristojni organi, skupni upravljavci in obdelovalci po tem zakonu vodijo dnevnik obdelave o naslednjih dejanjih obdelave osebnih podatkov v avtomatiziranih sistemih obdelave osebnih podatkov: zbiranje, spreminjanje, vpogled, razkritje, vključno s prenosi, povezovanje, izbris in druga dejanja obdelave, ki jih določa zakon. Navedeni člen določa tudi vsebino dnevnika obdelave in namen uporabe dnevnika obdelave. V petem odstavku tega člena je določeno, da se vsebina dnevnika obdelave hrani dve leti od zaključka koledarskega leta, v katerem so bila v njih zabeležena dejanja obdelave, če drug zakon ne določa drugače. Šesti odstavek 47. člena ZVOPOKD pa določa, da se vsebina dnevnika obdelave, ki ga upravlja Nacionalna enota za informacije o potnikih po zakonu, ki ureja naloge in pooblastila policije, hrani pet let od zaključka koledarskega leta, v katerem so bila v njih zabeležena dejanja obdelave.
III. Razlogi, ki glede na ugotovljeno dejansko stanje narekujejo takšno odločitev
IP je na podlagi odgovorov zavezanca in posredovane dokumentacije ugotovil, da je v obravnavani zadevi zavezanec na podlagi Odredbe _______- (v nadaljevanju Odredba), ki jo je izdal direktor zavezančevega ___________, v obdobju od 5. 2. 2021 do 12. 2. 2021 v _____ izvedel brisanje podatkov iz dnevnikov obdelav osebnih podatkov, po kriterijih, ki jih je določil v Odredbi in ki jih je navedel tudi v svojih odgovorih na poziva IP. Poleg tega je zavezanec na podlagi Odredbe v svojem informacijskem sistemu tudi pripravil oziroma vzpostavil servis za avtomatsko brisanje zapisov dejavnosti obdelave v _____-, po poteku rokov hrambe, kot jih je določil v Odredbi. Iz odgovorov zavezanca izhaja, da ta po izvršitvi Odredbe razpolaga zgolj s podatki o dejavnosti obdelav osebnih podatkov, ki niso starejši od rokov, kot so navedeni v Odredbi in odgovorih zavezanca. IP je po pregledu relevantnih predpisov, na katere se je v svojih odgovorih skliceval tudi zavezanec, ugotovil nepravilnosti pri brisanju podatkov o dejavnosti obdelav osebnih podatkov, ki so bile izvedene v evidencah policije, ki jih določa 123. člen ZNPPol (v nadaljevanju Evidence policije), medtem ko pri brisanju podatkov o dejavnostih obdelave iz drugih točk Odredbe in odgovorov zavezanca, niso bile ugotovljene nepravilnosti, zato se predmetna odločba nanaša zgolj na brisanje zapisov o dejavnosti obdelav v Evidencah policije. V zvezi s slednjimi, ki jih zavezanec vodi v elektronski obliki v svojem _______ je IP ugotovil, da je zavezanec v Odredbi določil splošni oziroma enotni rok hrambe zapisov vseh dejavnosti obdelav osebnih podatkov v okviru teh evidenc in sicer dve leti od zaključka koledarskega leta, v katerih so bila v njih zabeležena dejanja obdelave in v skladu s tem tudi izvedel enkraten izbris vseh zapisov dejavnosti obdelave, starejših od tega roka oziroma obdobja in pripravil servis za avtomatsko brisanje zapisov dejavnosti obdelave po poteku tega roka. IP je ugotovil, da je zavezanec s tem izbrisal in še vedno briše tudi podatke, ki jih je, v skladu s 5. točko prvega odstavka 24. člena ZVOP-1 dolžan hraniti, saj so nujni za izpolnjevanje obveznosti iz te določbe ZVOP-1. Zavezanec je s takim brisanjem zapisov vseh dejavnosti obdelav osebnih podatkov v Evidencah policije ravnal v nasprotju z določbami 24. in 25. člena ZVOP-1 in v nasprotju s temi določbami še vedno ravna, ko te zapise avtomatsko briše po dveh letih od zaključka koledarskega leta, v katerih so bila zabeležena dejanja obdelave.
ZNPPol v 120. členu določa, da se, če ta zakon ne določa drugače, za zbiranje in obdelavo podatkov v policijskih evidencah uporabljajo določbe zakona, ki ureja varstvo osebnih podatkov. ZVOPOKD v prvem odstavku 1. člena določa, da ta zakon ureja varstvo pri obdelavi osebnih podatkov, ki jih policija in drugi državni organi RS, ki so zakonsko določeni kot pristojni za področja preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij (v nadaljnjem besedilu: pristojni organi), obdelujejo za namene izvrševanja teh pristojnosti. Iz navedene določbe jasno izhaja, da ZVOPOKD ureja samo del obdelave osebnih podatkov, ki jih v okviru svojih zakonskih pristojnosti izvaja zavezanec, in sicer se ta zakon uporablja samo za tisto obdelavo osebnih podatkov, ki jo policija izvaja za namene preprečevanja, preiskovanja, odkrivanja in pregona kaznivih dejanj in izvrševanja kazenskih sankcij. Kot izhaja iz prvega odstavka 4. člena ZNPPol, pa je zavezanec pristojen za opravljanje tudi več drugih policijskih nalog in ne zgolj tistih, ki jih določa prvi odstavek 1. člena ZVOPOKD in pooblaščen, da lahko osebne podatke obdeluje tudi za namene opravljanja vseh drugih svojih zakonskih pristojnosti in nalog. To jasno izhaja iz določbe prvega odstavka 123. člena ZNPPol, ki določa, da zavezanec upravlja in vzdržuje evidence, v katerih zaradi opravljanja policijskih nalog njegovi uslužbenci zbirajo in obdelujejo osebne in druge podatke, v drugem odstavku tega člena pa zakon taksativno našteva Evidence policije, tj. evidence, ki jih zavezanec vodi in vzdržuje v zvezi z izvajanjem policijskih pooblastil. Kot je razvidno iz navedenih določb ZNPPol in ZVOPOKD se torej za obdelavo osebnih podatkov, ki jih zavezanec obdeluje v Evidencah policije uporabljajo splošna pravila varstva osebnih podatkov (tj. določbe Splošne uredbe in ZVOP-1), razen za obdelavo osebnih podatkov, ki jih zavezanec v teh evidencah izvaja za namene preprečevanja, preiskovanja, odkrivanja in pregona kaznivih dejanj in izvrševanja kazenskih sankcij. V skladu s tem je potrebno uporabljati tudi določbe, ki urejajo rok hrambe revizijskih sledi oziroma zapisov o dejavnosti obdelav osebnih podatkov v Evidencah policije. Če torej uslužbenci zavezanca obdelavo osebnih podatkov v navedenih evidencah izvajajo za katerega od namenov iz prvega odstavka 1. člena ZVOPOKD, se uporabljajo določbe tega zakona in mora zavezanec dnevnik take obdelave voditi v skladu z določbami 47. člena ZVOPOKD, medtem ko se za obdelavo osebnih podatkov v Evidencah policije, ki jo uslužbenci zavezanca izvajajo za druge namene uporabljajo določbe Splošne uredbe in ZVOP-1 in za dnevnike takih obdelav osebnih podatkov veljajo določbe 24. in 25. člena ZVOP-1. Čeprav je navedena razmejitev v zakonodaji jasno določena, pa je bilo v predmetnem postopku ugotovljeno, da zavezanec pri hrambi dnevnikov obdelav osebnih podatkov ne upošteva določb 24. in 25. člena ZVOP-1 (čeprav se v svojih odgovorih sklicuje tudi nanje), ampak zapise dejavnosti vseh obdelav osebnih podatkov v Evidencah policije hrani po določbah 47. člena ZVOPOKD oziroma upoštevajoč samo tam določen rok hrambe, ne glede na namene, za katere so bile obdelave podatkov v teh evidencah izvedene.
V zvezi z navedbami zavezanca, da roki hrambe dnevnikov obdelav osebnih podatkov v 24. členu ZVOP-1 niso točno določeni, IP poudarja, da veljavni ZVOP-1 roka hrambe zapisov dejavnosti obdelav ne določa z eksplicitno navedbo obdobja hrambe, da pa to ne pomeni, v tem členu ZVOP-1 tak rok ni določen. V skladu s 5. točko 1. odstavka 24. člena ZVOP-1 mora upravljavec zagotoviti, da je omogočeno poznejše ugotavljanje, kdaj so bili posamezni osebni podatki vneseni v zbirko osebnih podatkov, uporabljeni ali drugače obdelani in kdo je to storil, in sicer za obdobje, ko je mogoče zakonsko varstvo pravice posameznika zaradi nedopustnega posredovanja ali obdelave osebnih podatkov. Obdobje, ko je še mogoče zakonsko varstvo pravic posameznika zaradi nedopustnega posredovanja ali obdelave osebnih podatkov, določa materialno pravo. Splošni zastaralni rok za uveljavljanje terjatev določa Obligacijski zakonik (Uradni list RS, št. 97/07-UPB1, v nadaljevanju OZ) v 346. členu, in sicer pet let, ki v skladu z določbo 1. odstavka 336. člena OZ začne teči »prvi dan po dnevu, ko je upnik imel pravico terjati izpolnitev obveznosti, če za posamezne primere ni z zakonom določeno kaj drugega«, kar bo prvi dan po nedopustni obdelavi ali posredovanju osebnih podatkov. V primeru, da je bilo s takšno nedopustno obdelavo storjeno tudi kaznivo dejanje, je pri določitvi zastaralnega roka potrebno upoštevati določbe 353. člena OZ, kjer je v prvem odstavku določeno: »Če je bila škoda povzročena s kaznivim dejanjem, za kazenski pregon pa je predpisan daljši zastaralni rok, zastara odškodninski zahtevek proti odgovorni osebi, ko izteče čas, ki je določen za zastaranje kazenskega pregona.« V tem primeru torej velja rok, predpisan za zastaranje kazenskega pregona. Ta rok določa 90. člen KZ-1 in je odvisen od dolžine zagrožene kazni zapora. Za najpogostejši obliki kaznivega dejanja zlorabe osebnih podatkov po 1. in 2. odstavku 143. členu KZ-1 je zagrožena denarna kazen ali zapor do enega leta, zatorej kazenski pregon v skladu s 5. točko 1. odstavka 90. člena KZ-1 zastara po poteku šest let od storitve kaznivega dejanja. Zavezanec je v svojih odgovorih sicer navedel, da je pri določanju rokov hrambe revizijskih sledi obdelave osebnih podatkov v Evidencah policije upošteval tudi določbo 5. točke prvega odstavka 24. člena ZVOP-1, vendar pa pri tem ni pojasnil, s kakšno razlago te določbe je prišel do sklepa, da je splošni rok hrambe zapisov vseh dejavnosti obdelav osebnih podatkov v okviru Evidenc policije dve leti, od zaključka koledarskega leta, v katerem so bila zabeležena dejanja obdelave.
IP poudarja, da je sklicevanje zavezanca na nov Zakon o varstvu osebnih podatkov (ZVOP-2), besedilo katerega je v pripravi, kot podlago za brisanje dnevnikov obdelav, ki so starejši od obdobja, ki naj bi ga za hrambo teh podatkov določal novi ZVOP-2, v celoti neustrezno. Slednji zakon namreč ne samo, da še ni začel veljati, ampak sploh še ni bil sprejet in tudi ni znano ali in kdaj bo sprejet, še manj kakšna bo vsebina njegovih določb, kar pomeni, da sploh še ni znano ali in kaj bo v zvezi z obravnavano materijo določal, zato se nanj in na neobstoječe določbe, ki naj bi jih morda nekoč vseboval, ni mogoče veljavno sklicevati, še manj dopustno pa je s sklicevanjem na tak neobstoječ pravni akt izvajati ravnanja, ki so v nasprotju z veljavno zakonodajo, kot je to storil in še počne zavezanec. Z neselektivnim brisanjem dnevnikov obdelav osebnih podatkov v Evidencah policije, kot ga je določil v Odredbi in potem v skladu s tem tudi izvedel je zavezanec, ne samo ravnal v nasprotju s postopki in ukrepi, ki mu jih nalaga 5. točka prvega odstavka 24. člena ZVOP-1, ampak posegel tudi v pravico posameznikov, ki jo omenja slednja določba.
Zavezanec se je, sicer nekoliko nejasno, skliceval tudi na načelo sorazmernosti. IP v zvezi s tem poudarja, da slednjega nikakor ni mogoče razumeti tako, da lahko posamezni upravljavec sam, po lastni presoji in razumevanju in s sklicevanjem nanj, spreminja in prilagaja rok hrambe dnevnikov obdelav osebnih podatkov, kot ga določa 5. točka prvega odstavka 24. člena ZVOP-1, saj slednja v tem delu jasna in zavezujoča. Povsem neustrezna je argumentacija zavezanca, ko našteva razloge, zakaj in kako je v Odredbi določil rok hrambe zapisov dejavnosti tistih obdelav osebnih podatkov, za katere veljajo določbe Splošne uredbe in ZVOP-1, saj ta tako določanje rokov nima nikakršne zakonske podlage. Kot navedeno je rok hrambe teh zapisov zakonodajalec jasno določil v ZVOP-1 in pri tem upravljavcem v ničemer ni dal možnosti, da tak rok spreminjajo in prilagajajo v skladu s svojimi ocenami in potrebami. Zavezanec pa je storil prav to, ko je v Odredbi določil roke hrambe zapisov dejavnosti obdelave osebnih podatkov, ki so v neskladju z zakonsko določenimi roki hrambe teh podatkov in v skladu s tem te podatke tudi izbrisal oziroma jih še vedno briše. IP torej kot povsem nepomembne zavrača navedbe zavezanca, o tem, zakaj se je odločil za krajši rok hrambe zapisov dejavnosti obdelav v Evidencah policije, kot mu ga nalaga ZVOP-1 in poudarja, da je zavezanec (kot vsak upravljavec) dolžan spoštovati zakonsko določene roke hrambe teh podatkov in ne sme samovoljno določati drugačnih rokov hrambe, kot jih določa zakon. V zvezi s tem je nerelevanten tudi argument zavezanca, da naj bi daljša hramba zapisov dejavnosti obdelave osebnih podatkov posegala tudi v informacijsko zasebnost posameznika, saj naj bi se na ta način pri zavezancu dlje časa hranili njihovi osebni podatki, saj je presojo in tehtanje v zvezi s tem opravil že zakonodajalec in zavezanec ni v ničemer pristojen, da jo opravlja ponovno in drugače. Poleg tega pa IP poudarja, da je bistvo zahteve po beleženju in hrambi zapisov dejavnosti obdelave osebnih podatkov, kot ukrepu za zavarovanje oziroma varnost teh podatkov, prav v varovanju in zaščiti posameznikove pravice do varstva osebnih podatkov in preprečevanju nezakonitih posegov vanjo. S samovoljnim skrajševanjem roka hrambe teh zapisov in njihovim brisanjem, kot ga je izvedel zavezanec se posega v to pravico, saj se zmanjšuje stopnja zavarovanja oziroma varstva osebnih podatkov posameznikov. To se je npr. izkazalo tudi v primeru prijave, na podlagi katere je IP začel predmetni postopek inšpekcijskega nadzora in v kateri je bil izpostavljen sum nezakonite obdelave osebnih podatkov v Evidencah policije. IP v postopku ni mogel preveriti domnevnih posegov v ustavno pravico posameznika do varstva njegovih osebnih podatkov, saj je zavezanec zapise dnevnikov obdelav za obdobje, ko naj bi prišlo do nezakonitih obdelav osebnih podatkov, v času postopka že izbrisal, čeprav za to še ni potekel rok iz 5. točke prvega odstavka 24. člena ZVOP-1 in s tem bistveno zmanjšal možnost zakonskega varstva pravice posameznika zaradi nedopustne obdelave njegovih osebnih podatkov, saj zagotavljanje teh zapisov v _____ predstavlja enega od najučinkovitejših ukrepov zavarovanja oziroma varnosti osebnih podatkov v Evidencah policije. Poleg tega velja v zvezi z navedbami zavezanca poudariti tudi, da hramba zapisov dejavnosti obdelav osebnih podatkov zahteva zgolj hrambo osnovnih podatkov posameznika in ne tudi hrambo osebnih podatkov, ki so se nahajali v Evidencah policije in bili tam s strani uslužbencev zavezanca obdelani, če za njihovo hrambo zakonska podlaga ne obstoji več (npr. zapis o tem, da je nekdo vpogledoval v DNK profil posameznika, ne zahteva hrambe samega DNK profila).
V odgovoru na seznanitev in poziv IP je zavezanec obsežno navajal in opisoval postopke in ukrepe za zavarovanje oziroma varnost osebnih podatkov, ki ima predpisane in jih izvaja in ki naj bi dokazovali, da pri tem ravna v skladu z določbami 24. člena Splošne uredbe in 24. in 25. člena ZVOP-1. IP v zvezi s tem poudarja, da se v predmetnem postopku zavezancu ni očitalo nespoštovanje navedenih določb na splošno ali ravnanje v nasprotju z drugimi obveznostmi, ki mu jih glede zavarovanja oziroma varnosti osebnih podatkov nalagajo te določbe, ampak se je ugotovljena nepravilnost nanašala zgolj na nespoštovanje roka hrambe zapisov o dejavnosti obdelave osebnih podatkov v Evidencah policije pa še to zgolj o dejavnosti nekaterih obdelav v teh evidencah. Izčrpno navajanje vseh tistih postopkov in ukrepov, s katerimi zagotavlja zavarovanje oziroma varnost osebnih podatkov, ki jih IP v postopku ni z ničemer problematiziral, s strani zavezanca zato ni bilo potrebno. Na drugi strani pa ni mogoče sprejeti argumenta, ki izhaja iz vseh navedb in opisov postopkov s strani zavezanca, tj. da se z izvajanjem različnih drugih predpisanih postopkov in ukrepov za zavarovanje oziroma varnost osebnih podatkov, lahko nadomesti ustrezno izvajanje enega od zakonsko izrecno predpisanih postopkov in ukrepov. Določbe prvega odstavka 24. člena ZVOP-1 ni mogoče razlagati na način, da lahko upravljavec, ki izpolnjuje svoje obveznosti iz npr. 1. do 4. točke te določbe, (v celoti ali delno) opusti izvajanje obveznosti, ki mu je naložena v 5. točki iste določbe. Obveznosti posameznega upravljavca osebnih podatkov so v prvem odstavku 25. člena ZVOP-1 določene kumulativno in ne alternativno, v smislu, da bi si upravljavec lahko sam izbiral, katere postopke in ukrepe iz tega člena bo izvrševal in katerih ne. To pomeni, da tudi ob predpostavki, da je zavezanec sprejel in izvaja vse druge postopke in ukrepe, ki mu jih nalaga prvi odstavek 24. člena ZVOP-1 to še ne pomeni, da mu ni potrebno izvajati obveznosti iz 5. točke iste določbe, tj. da zagotavlja postopke in ukrepe, ki bodo omogočali poznejše ugotavljanje kdaj so bili posamezni osebni podatki vneseni v zbirko osebnih podatkov, uporabljeni ali drugače obdelani in kdo je to storil in da to zagotavlja za obdobje, ko je mogoče zakonsko varstvo pravice posameznika zaradi nedopustnega posredovanja ali obdelave osebnih podatkov. Iz zakonske opredelitve te obveznosti nadalje izhaja, da gre za obveznost upravljavca, ki po naravi stvari zahteva beleženje določenih podatkov v zvezi s posamezno obdelavo osebnih podatkov, saj brez tega upravljavec te obveznosti ne more učinkovito zagotavljati. Navedena določba ZVOP-1, za razliko od 47. člena ZVOPOKD res ne uporablja besedne zveze »dnevnik obdelave osebnih podatkov«, vendar pa je iz njene dikcije razvidno, da gre za vsebinsko enako zahtevo, tj. zahtevo po beleženju podatkov (zapisov) o obdelavi osebnih podatkov, ki omogočajo, da se za nazaj ugotavlja kdaj so bili posamezni podatki v evidencah obdelani in kdo je to storil. (Tudi) določba ZVOP-1 torej terja, da se podatek o posamezni obdelavi zabeleži in da vsebuje podatek o času obdelave in osebi, ki jo je izvedla. Glede na navedeno trditev zavezanca, da ZVOP-1 od upravljavca osebnih podatkov ne zahteva vodenja dnevnikov obdelave osebnih podatkov morda zdrži zgolj v smislu, da navedeni zakon ne uporablja termina »dnevnik obdelav osebnih podatkov« nikakor pa ne v vsebinskem smislu, saj je obveznost upravljavca, ki mu jo nalaga 5. točka prvega odstavka 24. člena ZVOP-1 jasna in vsebinsko v temelju enaka obveznosti, ki jo od njega zahteva 47. člen ZVOPOKD. Slednji v okviru beleženja obdelave sicer nekoliko precizneje določa podatke o obdelavi, ki jih mora zavezanec zapisovati in rahlo razširja njihov nabor, vendar pa gre v obeh primerih v osnovi za isto obveznost, tj. obveznost zapisovanja in hrambe revizijske sledi obdelave osebnih podatkov. Zavezanec v postopku trdi, da lahko svojo obveznost iz 5. točke prvega odstavka 24. člena ZVOP-1 lahko izpolni tudi na drug način in ne zgolj z beleženjem obdelav v ____, vendar pri tem ne navede nobenih konkretnih in prepričljivih postopkov in ukrepov, s katerimi bi na enakovredno učinkovit način lahko izpolnjeval to zakonsko obveznost. Tudi IP, zlasti tudi upoštevaje okoliščine, ki jih določata prvi in drugi odstavek 32. člena Splošne uredbe, ne vidi nobene druge možnosti za izpolnjevanje zakonske obveznosti iz 5. točke prvega odstavka 24. člena ZVOP-1 s strani zavezanca v predmetni zadevi, kot je beleženje in hramba zapisov obdelav osebnih podatkov v ____. Zato so navedbe zavezanca, s katerimi poskuša prikazati, da naj obveznost iz 5. točke prvega odstavka 24. člena ZVOP-1 zanj sploh ne bi veljala oziroma da naj mu navedena določba sploh ne bi nalagala dolžnosti, da beleži in hrani revizijsko sled obdelave osebnih podatkov, ki jo njegovi uslužbenci preko _____ izvajajo v Evidencah policije, povsem neutemeljena, poleg tega pa tudi v nasprotju z dosedanjimi stališči in prakso zavezanca.
IP niso povsem razumljive navedbe zavezanca, da je narava dela policista takšna, da je v veliko primerih v času obdelave osebnih podatkov posameznika, težko vnaprej določiti, ali bo šlo v konkretnem preverjanju za obdelavo za namen preiskovanja kaznivega dejanja ali npr. prekrška in da naj bi se morali policisti do tega opredeliti pred samo obdelavo, kar pa naj velikokrat v praksi ne bi bilo možno. V zvezi s tem velja poudariti, da obdelava osebnih podatkov posameznikov s strani policista predstavlja izvajanje policijskih pooblastil, ki pa jih ti niso pooblaščeni izvajati kar na splošno, ampak pri opravljanju njihovih policijskih nalog. Policist v osebne podatke posameznika v Evidencah policije torej lahko vpogleduje, če opravlja določeno policijsko nalogo, ki mu je v času vpogleda znana in za izvedbo katere je potreben vpogled, zato ni jasna navedba zavezanca, da policist težko vnaprej določi, za kakšen namen vpogleduje v posameznikove osebne podatke. Seveda po so možne situacije, ko policist vpogled izvede za potrebe opravljanja določene policijske naloge, ki se kasneje izkaže za katero od drugih policijskih nalog (policist vpogled izvede npr. v okviru preiskave kaznivega dejanja pa se kasneje izkaže, da je šlo pri dejanju zgolj za prekršek ali obratno), vendar pa to z vidika ločevanja obdelave ni problematično. V času izvedbe vpogleda ima policist pred seboj eno ali več konkretnih policijskih nalog iz prvega odstavka 4. člena ZNPPol, ki so mu znane (policist ve, da preiskuje kaznivo dejanje ali npr. nadzira državno mejo), za opravljanje katerih uporabi svoje policijsko pooblastilo obdelave osebnih podatkov in to v skladu s tem tudi zaznamuje v sistemu. Poleg tega upravljavcu, v revizijski sledi iz 5. točke prvega odstavka 24. člena ZVOP-1, ni treba beležiti namenov obdelave osebnih podatkov, tj. za opravljanje katere policijske naloge je bil vpogled potreben, kar pomeni, da lahko policist ta podatek v sistemu zabeleži tudi naknadno in ne zgolj vnaprej, kot je to trdil zavezanec.
IP razume navedbe zavezanca o tehničnih in organizacijskih problemih pri izvedbi različnih rokov hrambe oziroma brisanja revizijskih sledi obdelave osebnih podatkov v Evidencah policije v ___, vendar hkrati poudarja, da je odreditev ukrepov iz prve točke izreka te odločbe edini način za odpravo nepravilnosti in vzpostavitev zakonitega stanja. IP kot varuh ustavne pravice posameznikov do varstva osebnih podatkov ne more dopustiti, da se določba 5. točke prvega odstavka 24. člena ZVOP-1 ne izvaja ustrezno in da zavezanec rok hrambe zapisov obdelave osebnih podatkov v Evidencah policije samovoljno skrajšuje in s tem, v nasprotju z zakonom, zmanjšuje stopnjo zavarovanja oziroma varnosti osebnih podatkov, zlasti tudi upoštevaje specifični položaj zavezanca kot represivnega organa in občutljivosti osebnih podatkov, ki jih obdeluje v Evidencah policije. Ker pa se IP zaveda, da izvršitev te odločbe zahteva določene tehnične in organizacijske prilagoditve na strani zavezanca, za katere ta potrebuje nekoliko več časa, mu je določil daljši rok za izvršitev predmetne odločbe.
IV. Sklepno
Na podlagi vsega zgoraj navedenega je IP zaključil, da je zavezanec z brisanjem dnevnikov tistih obdelav osebnih podatkov v Evidencah policije, ki niso bile izvedene za namene preprečevanja, preiskovanja, odkrivanja in pregona kaznivih dejanj in izvrševanja kazenskih sankcij, na način, da razpolaga zgolj še s podatki oziroma zapisi dejavnosti takih obdelav osebnih podatkov v Evidencah policije, ki se je izvajala pred manj kot tremi leti, ravnal v nasprotju z določbami 5. točke prvega odstavka 24. člena ZVOP-1, ki ga zavezuje k hrambi takih podatkov oziroma zapisov za obdobje, ko je mogoče zakonsko varstvo pravice posameznika zaradi nedopustnega posredovanja ali obdelave osebnih podatkov, tj. za obdobje šestih let. V zvezi s predmetnim ravnanjem zavezanca je bilo ugotovljeno, da je šlo na eni strani za njegovo enkratno dejanje oziroma dejanja, ki jih s postopki in ukrepi, ki jih ima IP na voljo v postopku inšpekcijskega nadzora, za nazaj ni več mogoče odpraviti (pri brisanju podatkov oziroma zapisov iz dnevnikov obdelav, ki jih je zavezanec izvedel od 5. 2. do 12. 2. 2021), na drugi strani pa tudi za njegova dejanja, ki jih periodično še vedno izvaja (avtomatsko brisanje zapisov dejavnosti obdelave po dveh letih od zaključka koledarskega leta, v katerem so bila v njih zabeležena dejanja obdelave) in s tem za nepravilnosti, ki v času izdaje odločbe še trajajo, zaradi česar je moral IP izdati predmetno odločbo.
Zaradi ugotovljene nepravilnosti je bilo treba zavezancu na podlagi 2. in 8. člena ZInfP, 1. točke prvega odstavka 54. člena ZVOP-1, člena 57(1) in točke (d) člena 58(2) Splošne uredbe ter prvega odstavka 32. člena ZIN, odrediti, da pri obdelavi osebnih podatkov postopke in ukrepe, s katerimi zagotavlja njihovo varnost oziroma zavarovanje izvaja ustrezno, odpravo ugotovljene nepravilnosti in uskladitev dejanj obdelave osebnih podatkov z določbami člena 32 Splošne uredbe ter 24. in 25. člena ZVOP-1, in sicer na način, kot je določen v 1. točki izreka te odločbe.
Odredba v 2. točki, da je zavezanec po izvršitvi ukrepov iz 1. točke izreka te odločbe dolžan v roku 5 dni po njihovi izvršitvi pisno obvestiti IP, temelji na določbi petega odstavka 29. člena ZIN, ki določa, da mora zavezanec o odpravljenih nepravilnostih takoj obvestiti inšpektorja.
Na podlagi 118. člena ZUP se v odločbi odloči o stroških postopka; ker v tem postopku niso nastali posebni stroški, je tako odločeno v 3. točki izreka.
Ta odločba je izdana po uradni dolžnosti in je na podlagi 22. člena Zakona o upravnih taksah (Uradni list RS, št. 106/10 – UPB5, 14/15 – ZUUJFO, 84/15 – ZZelP-J in 32/16) takse prosta.
Pouk o pravnem sredstvu: Ta odločba je v upravnem postopku dokončna. Zoper njo v skladu z določbo 55. člena ZVOP-1 ni dovoljena pritožba, mogoč pa je upravni spor z vložitvijo tožbe na Upravno sodišče Republike Slovenije, Fajfarjeva 33, 1000 Ljubljana, v roku 30 dni od prejema te odločbe. Tožbo se vloži pri pristojnem sodišču neposredno pisno ali pa se mu pošlje po pošti. Tožbi v najmanj dveh izvodih je potrebno priložiti to odločbo v izvirniku ali prepisu.
