0710-121-2019-21 odločba o splošni uredbi

0710-121-2019-21 odločba o splošni uredbi
30. 09. 2023 objavil/a Info Hiša
kopiranje
seznanitev z lastnimi osebnimi podatki

 

 

Številka: 0710-121/2019/21
Datum: 18. 5. 2020

 

 

Informacijski pooblaščenec po informacijski pooblaščenki Mojci Prelesnik (v nadaljevanju IP) na podlagi 2. člena Zakona o Informacijskem pooblaščencu (Uradni list RS št. 113/05 in 51/07 – ZUstS-A; v nadaljevanju ZInfP) v zvezi s členom 15 Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju Splošna uredba) ter prvega odstavka 248. člena in prvega odstavka 252. člena Zakona o splošnem upravnem postopku (Uradni list RS, št. 24/06 – uradno prečiščeno besedilo, 105/06 – ZUS-1, 126/07, 65/08, 8/10 in 82/13; v nadaljevanju ZUP), o pritožbi prosilke: z dne 16. 9. 2019, zoper odgovor upravljavca: VARUH ČLOVEKOVIH PRAVIC REPUBLIKE SLOVENIJE, Dunajska cesta 56, 1109 Ljubljana, št. 14.0 – 3 / 2019 – 26 – KR z dne 2. 9. 2019, v zadevi seznanitve z lastnimi osebnimi podatki izdaja naslednjo

 

 

O D L O Č B O

 

 

1.     Pritožbi prosilke z dne 16. 9. 2019 zoper odgovor upravljavca št. 14.0 – 3 / 2019 – 26 – KR z dne 2.  9. 2019 se delno ugodi, izpodbijan odgovor se odpravi ter se odloči:

 

Upravljavec je prosilki dolžan posredovati kopijo naslednjih delov dokumenta Inšpektorata Republike Slovenije za delo, Socialne inšpekcije, št. …., ki vsebuje izjavo inšpektorice za socialne zadeve:

-        splošni podatki o izdajatelju v glavi dokumenta (ime, naslov in kontaktni podatki), številka in datum dokumenta ter številke strani dokumenta;

-        naziv zadeve;

-        besedilo prvega in drugega stavka drugega odstavka na 2. strani dokumenta, pri čemer se prekrijejo osebni podatki drugih oseb;

-        besedilo zadnjih dveh stavkov drugega odstavka na 3. strani dokumenta;

-        žig organa in ime ter podpis avtorice dokumenta,

 

vse v roku 15 (petnajstih) dni od vročitve te odločbe, pri čemer navedeni rok skladno z 2. členom in prvim odstavkom 6. člena Zakona o začasnih ukrepih v zvezi s sodnimi, upravnimi in drugimi javnopravnimi zadevami za obvladovanje širjenja nalezljive bolezni SARS-CoV-2 (COVID-19) (Uradni list RS, št. 36/20 in 61/20; v nadaljevanju ZZUSUDJZ) ne teče vse do prenehanja razlogov za ukrepe iz ZZUSUDJZ, kar ugotovi Vlada Republike Slovenije s sklepom, ki ga objavi v Uradnem listu Republike Slovenije, vendar najdlje do 1. julija 2020. Na podlagi drugega odstavka 8.a člena ZZUSUDJZ velja vročitev te odločbe za opravljeno šesti delovni dan od dneva odpreme, ki je označen na odločbi.

 

2.      V preostalem delu, to je glede zapisov, ki niso našteti v 1. točki izreka te odločbe in jih je treba v dokumentu Inšpektorata Republike Slovenije za delo, Socialne inšpekcije, št. … prekriti, se pritožba prosilke zavrne.

 

3.     Posebni stroški v tem postopku niso nastali.

 

 

 O b r a z l o ž i t e v:

 

 

Prosilka je od upravljavca 5. 8. 2019 zahtevala seznanitev in fotokopiranje njenih osebnih podatkov, ki so zajeti v odgovoru socialne inšpektorice …. in ki ga je upravljavec pridobil v zvezi s poizvedbo v zadevi, ki se je pri upravljavcu začela na pobudo prosilke.

 

Upravljavec je v odgovoru št. 14.0 – 3 / 2019 – 26 – KR z dne 2. 9. 2019 zahtevo prosilke zavrnil z obrazložitvijo, da je postopek pri upravljavcu skladno z 8. členom Zakona o varuhu človekovih pravic (Uradni list RS, št. 69/17 – uradno prečiščeno besedilo; v nadaljevanju ZVarCP) zaupen. Ob tem je pojasnil, da je ta določba pomembna tako zaradi varstva samega pobudnika z vidika preprečitve neželenih posledic zanj, kot tudi za organ, ki upravljavcu posreduje podatke, pomembne za obravnavo pobude in ugotovitev morebitne kršitve človekovih pravic posameznika.

 

Prosilka je zoper ta odgovor 16. 9. 2019 vložila pritožbo. Navedla je, da niti Splošna uredba niti Zakon o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1; v nadaljevanju ZVOP-1) ne določata izjeme od pravice posameznika do seznanitve z lastnimi osebnimi podatki iz razlogov, ki jih je podal upravljavec v izpodbijanem odgovoru. Poudarila je, da je odločitev upravljavca nezakonita in neustavna ter da je do zahtevanih osebnih podatkov upravičena.

 

IP je dne 19. 9. 2019 upravljavca na podlagi 246. člena ZUP pozval, naj se izreče o pritožbi ter se opredeli do pritožbenih navedb. IP je 8. 10. 2019 prejel odgovor upravljavca, v katerem je navedel, da zavrača pritožbene razloge prosilke in da vztraja pri izpodbijanem odgovoru. Ob tem se je skliceval na 8. člen ZVarCP, ki določa, da je postopek pri Varuhu človekovih pravic Republike Slovenije (v nadaljevanju Varuh) zaupen. Ponovno je poudaril, da je ta določba pomembna tako zaradi varstva samega pobudnika z vidika preprečitve neželenih posledic zanj, kot tudi za organ, ki upravljavcu posreduje podatke, pomembne za obravnavo pobude in ugotovitev morebitne kršitve človekovih pravic posameznika, ter izpostavil, da je zaupnost postopka pomembna tudi za vse bodoče pobudnike, ki se bodo obrnili nanj. Pojasnil je, da bi dovolitev vpogleda v sporne podatke oziroma seznanitev z njimi porušilo zaupanje v upravljavca, pobudnike pa odvrnilo od uporabe poti po ZVarCP, kar bi pomenilo okrnitev njegovega dela kot ustavno zagotovljenega instituta. Nadalje se je upravljavec skliceval še na člen 23 Splošne uredbe, ki določa omejitve pravic posameznikov, na katere se nanašajo osebni podatki. Izpostavil je, da je v 8. členu ZVarCP določena omejitev dostopa do osebnih podatkov skladno s točko (i) člena 23(1) Splošne uredbe, ki spoštuje bistvo temeljnih pravic in svoboščin ter je potreben in sorazmeren ukrep v demokratični družbi za zagotavljanje varstva posameznika, na katerega se nanašajo osebni podatki, ali pravic in svoboščin drugih.

 

Upravljavec je nato v odgovoru z dne 12. 11. 2019 na poziv IP za dokumente z dne 25. 10. 2019 navedel še, da z osebnimi podatki, ki jih zahteva pritožnica, razpolaga v okviru postopka na podlagi prvega odstavka 28. člena ZVarCP, saj je s poizvedbo želel preveriti predvsem ustreznost odziva direktorja Socialne inšpekcije za anonimno prijavo zoper ravnanje inšpektorice. Izpostavil je, da je predmetne podatke upravljavec pridobil od Inšpektorata Republike Slovenije za delo, Socialne inšpekcije, in ne od prosilke. Ponovno je opozoril na zaupnost postopka po 8. členu ZVarCP ter poudaril pomen te določbe za neodvisno in učinkovito delo upravljavca. Nadalje se je skliceval še na člen 14(5)(i) Splošne uredbe, ki določa, da se odstavki 1 do 4 člena 14 Splošne uredbe ne uporabljajo, kadar in kolikor morajo osebni podatki ostati zaupni ob upoštevanju obveznosti varovanja poklicne skrivnosti v skladu s pravom Unije ali pravom države članice, vključno s statutarno obveznostjo varovanja skrivnosti.[1] Meni, da ta določba izključuje posredovanje osebnih podatkov prosilki, ki jih je upravljavec v konkretnem primeru prejel od Socialne inšpekcije. Upravljavec je nadalje navedel tudi, da je omejitev iz člena 23 Splošne uredbe vsebovana v 8. členu v zvezi z 6.a členim ZVarCP, ki določata zaupnost postopka pri upravljavcu ne glede na stopnjo tajnosti in vsebujeta določbe, ki jih zahteva člen 23(2) Splošne uredbe. Dodal je, da estonski zakon o varstvu osebnih podatkov estonskega ombudsmana izvzema iz uporabe Splošne uredbe, zanj velja le, kolikor se določne Splošne uredbe tičejo izvajanja njegovih ustavnopravno določenih nalog in to ni določeno v nobenem predpisu, pravna podlaga za ureditev te izjeme pa sta bili določbi 4(2) in 5(2) Pogodbe o evropski uniji in Pogodbe o delovanju Evropske unije v povezavi z določbo člena 2(2)(a) in (b) Splošne uredbe.

 

Dne 8. 1. 2020 je upravljavec IP posredoval tudi sporni dokument.

 

Pritožba je delno utemeljena.  

 

Uvodno

 

IP uvodoma pojasnjuje, da je kot organ druge stopnje v skladu z 247. členom ZUP dolžan preizkusiti odločbo v delu, v katerem jo prosilec izpodbija. Odločbo preizkusi v mejah pritožbenih navedb, po uradni dolžnosti pa preizkusi, ali ni prišlo v postopku na prvi stopnji do bistvenih kršitev postopka in ali ni bil prekršen materialni zakon.

 

IP je o pritožbi odločal po predpisih, ki so veljali v trenutku izdaje izpodbijanega odgovora upravljavca, ter po dejanskem stanju, ki je obstajalo v tistem trenutku.

 

Splošno o pravici posameznika do seznanitve z lastnimi osebnimi podatki

 

Osebni podatek pomeni v skladu s členom 4(1) Splošne uredbe katero koli informacijo v zvezi z določenim ali določljivim posameznikom; določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika.

 

IP ob tem poudarja, da skladno z Mnenjem 4/2007 o pojmu osebnih podatkov Delovne skupine za varstvo osebnih podatkov iz člena 29[2] izraz »katera koli informacija« zahteva široko razlago pojma osebnega podatka. Z vidika narave informacij vključuje pojem osebnih podatkov vse vrste trditev o osebi. Zajema tako »objektivne« informacije, kot je prisotnost določene snovi v krvi neke osebe, ter tudi »subjektivne« informacije, mnenja ali ocene. Določena informacija se lahko šteje za osebni podatek, tudi če ni nujno resnična ali dokazana. S stališča vsebine informacij pa vključuje pojem osebnih podatkov podatke, ki prinašajo kakršne koli informacije. Izraz osebni podatki torej vključuje informacije, ki zadevajo posameznikovo zasebno in družinsko življenje, vendar tudi informacije o kakršni koli vrsti dejavnosti, ki jo opravlja posameznik, na primer o delovnih razmerjih ali o njegovem gospodarskem ali socialnem vedenju.[3]

 

Pravica posameznika do seznanitve z lastnimi osebnimi podatki je temeljna človekova pravica, določena v tretjem odstavku 38. člena Ustave Republike Slovenije (Uradni list RS, št. 33/91-I, s spremembami in dopolnitvami), ki predpisuje, da se ima vsakdo pravico seznaniti z zbranimi osebnimi podatki, ki se nanašajo nanj. Ta pravica je konkretizirana v členu 15 Splošne uredbe (»Pravica dostopa posameznika, na katerega se nanašajo osebni podatki«), ki določa, da ima posameznik, na katerega se nanašajo osebni podatki, pravico od upravljavca dobiti potrditev, ali se v zvezi z njim obdelujejo osebni podatki, in kadar je temu tako, dostop do osebnih podatkov in naslednje informacije:

(a)    namene obdelave;

(b)    vrste zadevnih osebnih podatkov;

(c)    uporabnike ali kategorije uporabnika, ki so jim bili ali jim bodo razkriti osebni podatki, zlasti uporabnike v tretjih državah ali mednarodnih organizacijah;

(d)    kadar je mogoče, predvideno obdobje hrambe osebnih podatkov ali, če to ni mogoče, merila, ki se uporabijo za določitev tega obdobja;

(e)    obstoj pravice, da se od upravljavca zahteva popravek ali izbris osebnih podatkov ali omejitev obdelave osebnih podatkov v zvezi s posameznikom, na katerega se nanašajo osebni podatki, ali obstoj pravice do ugovora taki obdelavi;

(f)     pravico do vložitve pritožbe pri nadzornem organu;

(g)    kadar osebni podatki niso zbrani pri posamezniku, na katerega se ti nanašajo, vse razpoložljive informacije v zvezi z njihovim virom;

(h)    obstoj avtomatiziranega sprejemanja odločitev, vključno z oblikovanjem profilov iz člena 22(1) in (4), ter vsaj v takih primerih smiselne informacije o razlogih zanj, kot tudi pomen in predvidene posledice take obdelave za posameznika, na katerega se nanašajo osebni podatki.

 

Za uresničitev te pravice mora biti primarno izpolnjen osnovni pogoj, tj. obstoj zahtevanih osebnih podatkov pri upravljavcu, pri katerem je bila vložena zahteva. Poleg te izhodiščne predpostavke so materialnopravni pogoji za uresničitev pravice dostopa do lastnih osebnih podatkov po členu 15 Splošne uredbe naslednji:

-        zahtevani osebni podatki morajo ustrezati definiciji osebnih podatkov iz člena 4(1) Splošne uredbe (pogoj podvrženosti pojmu osebnega podatka);

-        zahtevani osebni podatki morajo biti v zvezi s prosilcem (pogoj navezovanja osebnih podatkov na prosilca);

-        zahtevani osebni podatki morajo obstajati v kakršni koli zunaj zaznavni, na primer fizični ali elektronski, obliki (pogoj materializirane oblike);

-        zahtevani osebni podatki morajo biti obdelani v celoti ali delno z avtomatiziranimi sredstvi ali pa morajo biti del zbirke oziroma namenjeni oblikovanju dela zbirke, ki se ne izvaja z avtomatiziranimi sredstvi (pogoj avtomatizirane obdelave ali obstoja zbirke osebnih podatkov);

-        z zahtevanimi osebnimi podatki mora razpolagati upravljavec v smislu člena 4(7) Splošne uredbe (pogoj obstoja upravljavca osebnih podatkov);

-        pogoj neobstoja posebnih omejitev dostopa do lastnih osebnih podatkov v smislu člena 23 Splošne uredbe.

 

Kot izhaja iz uvodne izjave 63 Splošne uredbe, mora imeti posameznik, na katerega se nanašajo osebni podatki, pravico dostopa do osebnih podatkov, ki so bili zbrani v zvezi z njim, da bi se seznanil z obdelavo in preveril njeno zakonitost. Ta pravica sicer ne bi smela negativno vplivati na pravice ali svoboščine drugih, vendar pa to ne bi smelo povzročiti, da se posamezniku, na katerega se nanašajo osebni podatki, zavrne dostop do vseh informacij.

 

IP še izpostavlja, da se pravica do seznanitve nanaša na lastne osebne podatke posameznika, kar pa ne pomeni nujno tudi celotnih listin oziroma dokumentov, v katerih so ti podatki vsebovani. Listina pomeni zgolj obliko materializacije podatka, kar je sicer pogoj za seznanitev z njim, vendar pa to še ne pomeni, da bi se prosilec imel pravico seznaniti tudi z vsebino listine, ki bi kakorkoli presegala pojem osebnega podatka. Pravica do seznanitve z lastnimi osebnimi podatki se torej nanaša izključno na osebne podatke, ne pa tudi na celotne listine oziroma dokumente, ki take podatke vsebujejo.[4]

 

Presoja utemeljenosti pritožbe

 

IP se je o dejanskem stanju prepričal na podlagi razpoložljivega gradiva ob upoštevanju 10. člena ZUP. Na podlagi 139. člena ZUP je ocenil, da dodatna procesna dejanja za ugotavljanje dejanskega stanja niso potrebna.

 

Prosilka v tem pritožbenem postopku uveljavlja kršitev pravice dostopa do lastnih osebnih podatkov iz 15 člena Splošne uredbe. Predmet odločanja je dokument Inšpektorata Republike Slovenije za delo, Socialne inšpekcije, št. …, ki vsebuje izjavo inšpektorice za socialne zadeve v zvezi z anonimno prijavo zoper njeno delo v konkretni inšpekcijski zadevi ter ga je upravljavec pridobil v okviru odločanja o prosilkini pobudi za začetek postopka pri njemu. Upravljavec je z izpodbijanim odgovorom prosilki v celoti zavrnil dostop do zahtevanega dokumenta. Sporno v tem postopku pa je, ali oziroma v kolikšnem obsegu se je prosilka upravičena seznaniti z zahtevanim dokumentom.

 

Opredelitev do navedb upravljavca

 

IP bo najprej obravnaval upravljavčeve argumente za zavrnitev dostopa do zahtevanega dokumenta, ki izhajajo iz izpodbijanega odgovora in navedb, ki jih je podal v okviru tega pritožbenega postopka.

 

Upravljavec je primarno zatrjeval, da pomeni 8. člen ZVarCP zakonodajni ukrep, s katerim je pravica dostopa do osebnih podatkov omejena v smislu člena 23 Splošne uredbe. IP v zvezi s tem poudarja, da so omejitve pravic iz člena 23 Splošne uredbe dopustne le izjemoma in na podlagi posebnega zakona oziroma prava EU. Omejitev mora obenem spoštovati bistvo temeljnih pravic in svoboščin ter je potreben in sorazmeren ukrep v demokratični družbi za zagotavljanje taksativno naštetih ciljev. Na tak način in v obsegu, ki je nujen za dosego namena, je dopustno omejiti tudi pravico posameznika do seznanitve z lastnimi osebnimi podatki oziroma pravico dostopa po členu 15 Splošne uredbe.

 

Omejitve so torej dopustne le v izrecno predvidenih primerih, med drugim tudi zaradi varstva posameznika, na katerega se nanašajo osebni podatki, ali pravic in svoboščin drugih (člen 23(1)(i) Splošne uredbe), kot je poudaril upravljavec. Pri tem pa je pomembna vsebina odstavka 2 člena 23 Splošne uredbe, ki prepisuje, da zlasti vsak zakonodajni ukrep iz odstavka 1 vsebuje posebne določbe vsaj, kjer je ustrezno, glede:

(a)    namenov obdelave ali vrst obdelave;

(b)    vrst osebnih podatkov;

(c)    obsega uvedenih omejitev;

(d)    zaščitnih ukrepov za preprečitev zlorab ali nezakonitega dostopa ali prenosa;

(e)    natančnejše ureditve upravljavca ali vrst upravljavcev;

(f)     obdobij hrambe in veljavnih zaščitnih ukrepov, pri čemer se upoštevajo narava, obseg in nameni obdelave ali vrste obdelave;

(g)    tveganj za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, ter

(h)    pravice posameznikov, na katere se nanašajo osebni podatki, da so obveščeni o omejitvi, razen če bi to posegalo v namen omejitve.

 

Navedenih posebnih določb pa 8. člen ZVarCP[5] (niti v zvezi s 6.a členom ZVarCP) ne vsebuje in je zato preveč nedoločen, da bi lahko prestavljal veljavno omejitev po členu 23 Splošne uredbe. Ker gre za poseg v temeljno ustavno pravico, je treba te omejitve razlagati restriktivno, kar med drugim pomeni, da morajo biti izjeme opredeljene izrecno in jasno. To pa za določbo 8. člena ZVarCP nikakor ne drži. Načelo zaupnosti postopka pri Varuhu zato ne more vplivati na pravico dostopa do osebnih podatkov iz člena 15 Splošne uredbe, zaradi česar se nanj upravljavec v tem postopku ne more uspešno sklicevati. Gre namreč za dve povsem različni pravni podlagi in za urejanje dveh različnih pravic, tj. na eni strani za pravico dostopa do lastnih osebnih podatkov, na drugi strani pa za (širšo) pravico do vpogleda v spis oziroma dostopa do podatkov konkretnega postopka v razmerju tako do pobudnikov, drugih udeležencev v postopku in javnosti (prim. 9. člen Poslovnika Varuha človekovih pravic Republike Slovenije, Uradni list RS, št. 3/19). V slednjem primeru lahko Varuh ali pristojni namestnik pod pogojem, da to ni v škodo zaupnosti postopka, udeležencu v postopku dovoli vpogled v spis. V okviru navedenega lahko torej upravljavec presoja upravičenost določene zahteve za vpogled v spis. V primeru uveljavljanja pravice dostopa do lastnih osebnih podatkov pa je upravljavec dolžan presojati le, ali so izpolnjeni pogoji iz člena 15 Splošne uredbe, torej predvsem, ali so zahtevani podatki res osebni podatki prosilca, s katerimi razpolaga upravljavec. 

 

IP ob tem dodaja, da Splošna uredba pri pravici dostopa do lastnih osebnih podatkov tudi sicer ne določa splošne izjeme zaupnosti drugega postopka. Zato se IP ne strinja z razlago upravljavca, da določba 8. člena ZVarCP predstavlja posebno izjemo, ki bi na kakršen koli način izključevala uporabo določbe člena 15 Splošne uredbe oziroma omejevala pravico posameznika po tej določbi. Posledično tudi upravljavčeve navedbe glede varstva pobudnika in organa, ki upravljavcu posreduje podatke, ter opozorila glede izgube zaupanja v upravljavca ter okrnitve dela upravljavca za odločitev v tem postopku niso relevantne.

 

Prav tako na presojo v tem postopku ne morejo vplivati upravljavčeve navedbe, da je zahtevane osebne podatke pridobil od Socialne inšpekcije in ne od prosilke. Ne člen 15 ne kakšna druga določba Splošne uredbe namreč ne daje podlage za razlikovanje med podatki, ki jih je upravljavec osebnih podatkov pridobil od prosilca, in podatki, ki jih je pridobil na drug način. Zato vprašanje, od kod je upravljavec dobil osebne podatke oziroma na kakšni pravni podlagi z njimi razpolaga, za odločitev v tem postopku ni pomembno, bistveno je le, da gre za osebne podatke prosilca, ki jih obdeluje upravljavec.

 

IP nadalje pojasnjuje, da ni utemeljeno niti sklicevanje upravljavca na člen 14(5)(d) Splošne uredbe. Določba člena 14 Splošne uredbe namreč ureja dolžnost upravljavca, da posamezniku, na katerega se osebni podatki nanašajo, zagotovi določene informacije v primeru, ko osebne podatke pridobi od tretjih in ne od tega posameznika, in sicer:

(a)    v razumnem roku po prejemu osebnih podatkov, vendar najpozneje v enem mesecu, pri čemer se upoštevajo posebne okoliščine, v katerih se obdelujejo osebni podatki;

(b)    če se bodo osebni podatki uporabili za komuniciranje s posameznikom, na katerega se nanašajo osebni podatki, najpozneje ob prvem komuniciranju s tem posameznikom, ali

(c)    če je predvideno razkritje drugemu uporabniku, najpozneje ob prvem razkritju osebnih podatkov.

 

Navedena določba torej predpisuje obveščanje posameznika brez njegove zahteve in se ne nanaša na pravico po členu 15 Splošne uredbe, skladno s katerim lahko posameznik naknadno zahteva tako dostop do lastnih osebnih podatkov kot tudi drugačen obseg informacij v zvezi z njimi. Zato je upravljavčeva razlaga, da določba člena 14(5)(d) Splošne uredbe izključuje posredovanje osebnih podatkov prosilki, ker jih je upravljavec v konkretnem primeru prejel od Socialne inšpekcije, zmotna.

 

Prav tako ni utemeljeno niti opozorilo upravljavca na estonsko zakonodajo, saj je IP v tem postopku dolžan odločati po veljavni nacionalni zakonodaji, Splošni uredbi in drugih mednarodnih predpisih, ki ga zavezujejo. Nacionalna zakonodaja druge države članice zato na ta pritožbeni postopek ne more imeti nobenega vpliva.

 

Ker navedbe upravljavca glede zavrnitve dostopa do zahtevanega dokumenta niso utemeljene, je IP v nadaljevanju presojal, ali zahtevan dokument vsebuje osebne podatke prosilke ter ali so izpolnjeni drugi pogoji za uresničitev pravice po členu 15 Splošne uredbe.

 

Podatki, do katerih je prosilka upravičena

 

IP je presodil, da so izpolnjeni materialnopravni pogoji za dostop do naslednjih osebnih podatkov prosilke, ki so vsebovani v zahtevanem dokumentu:

-        splošni podatki o izdajatelju v glavi dokumenta (ime, naslov in kontaktni podatki), številka in datum dokumenta ter številke strani dokumenta;

-        naziv zadeve;

-        besedilo prvega in drugega stavka drugega odstavka na 2. strani dokumenta, pri čemer se prekrijejo osebni podatki drugih oseb;

-        besedilo zadnjih dveh stavkov drugega odstavka na 3. strani dokumenta;

-        žig organa in ime ter podpis avtorice dokumenta.

Razlogi za to so sledeči. V konkretnem primeru vsebina dokumenta ni vezana neposredno na prosilko, temveč na konkretno inšpekcijsko zadevo, ki se je vodila pri delodajalcu prosilke in v katerem je bila poleg drugih oseb udeležena tudi prosilka. Sporni dokument pa je bil pridobljen v zvezi s poizvedbami za odločitev o pobudi prosilke za začetek postopka pri upravljavcu[6] in vsebuje izjavo inšpektorice. Ta izjava ne vsebuje le osebnih podatkov prosilke, temveč tudi informacije glede ravnanja inšpektorice in druge okoliščine konkretnega inšpekcijskega postopka. Zato kljub temu, da je bila prosilka pobudnica za začetek postopka pri upravljavcu in je bil dokument pridobljen v zvezi z njeno zadevo, ter upoštevaje, da je postopek pri upravljavcu v razmerju do pobudnikov zaupen, IP ni štel, da sporni dokument kot celota predstavlja njene osebne podatke. Če bi se pravica prosilke do dostopa razširila na celoten dokument, to dejansko ne bi služilo cilju Splošne uredbe, ki varuje temeljne pravice in svoboščine posameznikov ter zlasti njihovo pravico do varstva osebnih podatkov, temveč bi se ji zagotovila pravica do dostopa do uradnega dokumenta, te pa Splošna uredba ne vsebuje.[7] Posledično je IP izločil tiste podatke, ki se ne nanašajo na prosilko, razen splošnih podatkov dokumenta, kot izhaja tudi iz nadaljnje obrazložitve.

Osebni podatki, glede katerih je prosilka upravičena, se torej nahajajo v dokumentu, ki je bil pripravljen v okviru delovanja državnega organa, in sicer za namen izvajanja osnovnih pristojnosti upravljavca. Na podlagi prvega odstavka 28. člena ZVarCP je namreč upravljavec v zvezi s pobudo prosilke za začetek postopka opravil določene poizvedbe. Upravljavec je, kot je navedel, s pridobitvijo spornega dokumenta želel preveriti predvsem ustreznost odziva direktorja Socialne inšpekcije na anonimno prijavo zoper ravnanje inšpektorice v določenem primeru. V takšni vlogi pa upravljavec določa sredstva obdelave podatkov in namene obdelave (odločanje o pobudah za začetek postopka pri upravljavcu, vodenje preiskav, sestava končnega poročila, morebiten predlog za odpravo nepravilnosti oziroma uvedbo disciplinskega postopka in podobno). Varuh ima v tem okviru tipična upravljavska upravičenja, kot so pridobitev dokumenta, nadzor nad dokumentom in njegovo obdelavo, odločanje o obdelavi dokumenta, tehnično možnost spreminjanja in izbrisa ter reproduciranja dokumenta. Varuh torej nedvomno predstavlja upravljavca osebnih podatkov, kot ga opredeljuje člen 4(7) Splošne uredbe, saj nastopa kot samostojen in neodvisen organ (4. člen ZVarCP), ki s svojim delovanjem omejuje samovoljo oblasti pri poseganju v človekove pravice in temeljne svoboščine. Ker je bil zahtevani dokument pridobljen v uradnem, z zakonom urejenem postopku, predstavlja del upravljavčevega evidentiranega dokumentarnega gradiva in je kot tak obdelan z avtomatiziranimi sredstvi oziroma predstavlja del zbirke pri upravljavcu. IP je prepričan, da je v celotnem dokumentarnem gradivu zahtevani dokument in s tem prosilkine osebne podatke mogoče enostavno najti s pomočjo enega ali več iskalnih kriterijev (osebno ime prosilke kot pobudnice, naslov dokumenta, datum in številka dokumenta ipd). Glede na navedeno so izpolnjeni pogoji materializirane oblike, obstoja upravljavca osebnih podatkov in pogoj obdelave podatkov s področja uporabe Splošne uredbe.

Odobreni deli dokumenta nadalje vsebujejo osebne podatke, ki posamično ali v kombinaciji omogočajo enostavno in nedvoumno določljivost prosilke ter so tako »v zvezi z njo«. To so prosilkino osebno ime, vrsta dela, ki ga opravlja, naziv delodajalca ter druge podatke o lastnostih, stanjih in ravnanjih prosilke v zvezi z inšpekcijskim postopkom, opravljenim v …. Ti podatki se torej neposredno in objektivno nanašajo na prosilko, čeprav gre za zapise, ki jih je o prosilki pripravila inšpektorica za socialne zadeve …. Ista informacija se lahko namreč nanaša na več fizičnih oseb in je zato zanje, če so te osebe določene ali določljive, osebni podatek v smislu člena 4(1) Splošne uredbe.[8] Glede na navedeno sta v tem delu izpolnjena pogoja pojma osebnega podatka in navezovanja osebnih podatkov na prosilko.

Poleg tega IP ocenjuje, da je prosilka upravičena tudi do splošnih formalnih delov zahtevanega dokumenta (t. i. generalije), kot so glava, izdajatelj, avtor, številka, datum, naziv dokumenta, številke strani, podpisi in grafični elementi. Ti deli so nujni sestavni deli uradnega dokumenta, brez katerih bi trpela oblikovna in vsebinska integriteta dokumenta. Prosilkini osebni podatki so torej vezani na posamezen dokument oziroma na nek kontekst dokumenta, zaradi česar bi bila okrnjena pravica do seznanitve, če ji ne bi bili razkriti tudi osnovni podatki o izdajatelju. Zato je te dele treba šteti kot podatke, ki so v zvezi s prosilko. Tako predstavlja tudi ime inšpektorice kot avtorice uradnega dokumenta v konkretnem primeru osebni podatek prosilke.

IP ugotavlja še, da v obravnavanem primeru za osebne podatke, do katerih je prosilka upravičena, niso podane nobene posebne omejitve pravice dostopa do osebnih podatkov.

Glede na zgoraj navedeno je pritožba prosilke delno utemeljena, zato ji je IP delno ugodil (1. točka izreka te odločbe).

Zapisi, do katerih prosilka ni upravičena

Za uresničitev pravice iz člena 15 Splošne uredbe zadostuje, da prosilka prejme popoln pregled vseh lastnih osebnih podatkov v jedrnati, pregledni, razumljivi in lahko dostopni obliki ter jasnem in preprostem jeziku (člen 12(1) Splošne uredbe), to je na način, ki ji omogoča, da se z njimi seznani in preveri, ali so točni in ali se obdelujejo v skladu s to uredbo. Da posameznik, na katerega se podatki nanašajo, ne bi imel dostopa do drugih informacij, ki niso osebni podatki, ki se nanj nanašajo, lahko ta pridobi kopijo dokumenta ali originalnega spisa, v katerem so bile te druge informacije zakrite.[9]

Prosilka tako po presoji IP ni upravičena do seznanitve s preostalimi deli oziroma zapisi v zahtevanem dokumentu, ker ne gre za podatke, ki se nanašajo nanjo. Gre namreč za izjavo …, ki opisuje svoje ravnanje, podaja lastna mnenja, ocene, opažanja, lastnosti in druge podatke v zvezi z vodenjem konkretnega inšpekcjskega postopka ter vsebuje tudi osebne podatke drugih oseb. Ti deli dokumenta se torej neposredno in objektivno ne nanašajo na prosilko, pač pa so z njo le v posredni zvezi, ki pa je preveč oddaljena, da bi lahko govorili o njenih osebnih podatkih.

Pri tem IP še opozarja, da mora upravljavec tudi v odobrenih delih dokumenta pred razkritjem prekriti osebne podatke drugih oseb.

Glede na pojasnjeno je IP pritožbo v tem delu zavrnil (2. točka izreka te odločbe).

Sklepno

Pritožbi prosilke je IP delno ugodil, kot to izhaja iz 1. točke izreka, in sicer na podlagi prvega odstavka 252. člena ZUP, ker je bil deloma napačno uporabljen pravni predpis, na podlagi katerega je bilo odločeno o zadevi.

Pritožbo pa je IP zavrnil v delu, kot to izhaja iz 2. točke izreka, in sicer na podlagi prvega odstavka 248. člena ZUP, ker je izpodbijani odgovor upravljavca deloma pravilen in utemeljen na zakonu.

Postavljen 15 dnevni rok za posredovanje odobrenih osebnih podatkov IP šteje kot primeren, zlasti zaradi majhne zahtevnosti iskanja, priprave reprodukcije in delnega dostopa ter odpreme dokumentov.

Posebni stroški v tem pritožbenem postopku niso nastali (2. točka izreka te odločbe).

 

 

Pouk o pravnem sredstvu:

Zoper to odločbo ni dovoljena pritožba, pač pa se lahko sproži upravni spor. Upravni spor se sproži s tožbo, ki se vloži v 30 dneh od vročitve te odločbe na Upravno sodišče, Fajfarjeva 33, Ljubljana, pri čemer navedeni rok za vložitev tožbe skladno z 2. in 3. členom ZZUSUDJZ ne teče vse do prenehanja razlogov za ukrepe iz ZZUSUDJZ, kar ugotovi Vlada Republike Slovenije s sklepom, ki ga objavi v Uradnem listu Republike Slovenije, vendar najdlje do 1. julija 2020. Vročitev velja za opravljeno šesti delovni dan od dneva odpreme, ki je označen na odločbi. Tožba se lahko vloži pisno po pošti ali pri navedenem sodišču. Če se tožba pošlje priporočeno po pošti, se za dan izročitve sodišču šteje dan oddaje na pošto. Tožba z morebitnimi prilogami se vloži v najmanj treh izvodih. Tožbi je treba priložiti tudi to odločbo v izvirniku ali prepisu.

 

 

 

 

Postopek vodila:

svetovalka IP za varstvo osebnih podatkov

Mojca Prelesnik, univ. dipl. prav.,

informacijska pooblaščenka

 

 

 

 

 

O./Vročiti:

  • (priporočeno – z vložitvijo v hišni predalčnik);
  • (priporočeno – z vložitvijo v hišni predalčnik);
  • zbirka dokumentarnega gradiva pri IP.

 


[1] IP pojasnjuje, da je takšna vsebina predpisana v členu 14(5)(d) Splošne uredbe.

[2] To mnenje se sicer nanaša na pojem osebnega podatka, kot je bil opredeljen v razveljavljeni Direktivi Evropskega parlamenta in Sveta 95/46/ES z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov, vendar je še vedno aktualno in v precejšnjem delu uporabno tudi upoštevajoč definicijo osebnega podatka iz Splošne uredbe.

[3] Glej tudi sodbo Sodišča EU v zadevi C434/16, Peter Nowak proti Data Protection Commissioner, ECLI:EU:C:2017:994.

[4] Prim. sodbo Upravnega sodišča Republike Slovenije I U 1404/2015-20 z dne 22. 3. 2018.

[5] Ta določba se glasi:

»Postopek pri varuhu je zaupen.

O svojih ugotovitvah in ukrepih varuh obvešča javnost in državni zbor.«

[6] 26. člen ZVarCP določa, da lahko vsakdo, ki meni, da so mu z aktom ali dejanjem državnega organa, organa lokalne skupnosti ali nosilca javnih pooblastil kršene človekove pravice ali temeljne svoboščine, naslovi na Varuha pobudo za začetek postopka. Prvi odstavek 28. člena ZVarCP pa v prvem odstavku določa, da ko Varuh prejme pobudo za začetek postopka, opravi potrebne poizvedbe in na tej podlagi sklene, da: 1. o pobudi odloči po skrajšanem postopku; 2. začne preiskavo; 3. pobudo zavrne; 4. pobude ne vzame v obravnavo, ker je anonimna, prepozna, žaljiva in predstavlja zlorabo pravice do pritožbe.

[7] Prim. sodbo Sodišča EU v združenih zadevah C141/12 in C372/12, YS proti Minister voor Immigratie, Integratie en Asiel in Minister voor Immigratie, Integratie en Asiel proti M in S, ECLI:EU:C:2014:2081.

[8]   Sodba Sodišča EU v zadevi C434/16, Peter Nowak proti Data Protection Commissioner, ECLI:EU:C:2017:994.

[9] Tako sodba Sodišča EU v združenih zadevah C141/12 in C372/12, YS proti Minister voor Immigratie, Integratie en Asiel in Minister voor Immigratie, Integratie en Asiel proti M in S, ECLI:EU:C:2014:2081.