Informacijski pooblaščenec na dan 2. obletnice uporabe GDPR Državnemu zboru posredoval letno poročilo za leto 2019 - Upravljavec.si


  • 3 junija, 2020

Tako v Sloveniji kot širše družbena dogajanja v letu 2019 dokazujejo, kako pomembno je učinkovito varstvo pravice dostopa do informacij javnega značaja in varstva osebnih podatkov. Analiza dela Informacijskega pooblaščenca (v nadaljevanju IP) kaže, da na področju dostopa do informacij javnega značaja zlasti izstopa trend rasti pritožb zaradi molka organa (delež teh pritožb znaša kar 44 %). Na področju varstva osebnih podatkov in zasebnosti pa smo v zadnjih dveh letih priča bistvenem porastu števila prijav (974 v 2019) in števila pritožb (181 v 2019) v zvezi z uveljavljanjem pravic posameznikov. Hkrati se še vedno soočamo s precejšnjimi izzivi zaradi zamud pri sprejemu nacionalnih predpisov za uporabo Splošne uredbe o varstvu podatkov in za prenos Direktive za organe kazenskega pregona, na kar že več kot tri leta opozarja tudi IP.  Slovenski zakonodajalec bo vsekakor moral poskrbeti, da se Slovenija ne uvrsti na seznam tistih držav, ki nimajo ustrezno urejenih zakonskih pristojnosti nadzornega organa za varstvo podatkov.

Dobra novica je, da v Sloveniji neodvisne nadzorne institucije, med katerimi je tudi Informacijski pooblaščenec, uživajo izredno veliko zaupanje, višje od evropskega povprečja, saj so prve, na katere bi se ljudje obrnili po pomoč v primeru kršitev. To dokazuje raziskava Eurobarometer, opravljena v letu 2019, ki Slovenijo tudi glede poznavanja Splošne uredbe o varstvu podatkov, pravic posameznikov in zavedanja o obstoju državnega nadzornega organa uvršča nad evropsko povprečje, v primerjavi s podatki iz leta 2015 pa se je ta delež celo precej povečal.

Na področju dostopa do informacij javnega značaja je bilo število pritožbenih zadev v letu 2019 (540) na primerljivi ravni kot v letu 2018. Od tega je 222 pritožb zoper molk organa, pri čemer zlasti izstopajo organi državne uprave (ministrstva in organi v sestavi) – zoper njih je bilo namreč vloženih največ pritožb zaradi molka (kar 29 %). Gre za zavezance, ki bi po 16 letih veljavnosti ZDIJZ vsekakor morali biti sposobni vse zahteve obravnavati pravočasno (v roku 20 delovnih dni). Od vseh prejetih pritožb zaradi molka organa, so jih mediji vložili 26. Tudi v teh postopkih je IP največ pritožb prejel zoper organe državne uprave (10 pritožb). IP je vodil 17 postopkov zoper poslovne subjekte pod prevladujočim vplivom, kar predstavlja le 3 % vseh pritožbenih zadev in ta številka z leti ne narašča.

Zavezanci so večinoma v molku zato, ker k reševanju zahtevkov po ZDIJZ ne pristopijo pravočasno. Zato bo treba (še) več napora vložiti v aktivnejše usposabljanje zavezancev, kar je sicer primarno naloga Ministrstva za javno upravo. IP kot pritožbeni organ lahko organom svetuje le neformalno, na podlagi primerov iz prakse – leta 2019 je podal 300 pisnih odgovorov na zaprosila ter 629-krat svetoval v telefonskem dežurstvu. V želji po boljšem poznavanju prakse, je IP izvedel tudi pet praktičnih delavnic za upravne enote. IP vsekakor svetuje, da zavezanci izjeme od prostega dostopa do informacij javnega značaja razlagajo ozko in pri tem dosledno upoštevajo načelo delnega dostopa ter obstoj absolutno javnih podatkov, kot so npr. okoljski podatki in podatki, povezani z delom javnih uslužbencev. Slednje se s Splošno uredbo o varstvu podatkov ni namreč v ničemer spremenilo.

Na področju varstva osebnih podatkov IP ob drugi obletnici uporabe Splošne uredbe ugotavlja, da so osrednji izzivi vseh povezani zlasti z vsebinskimi nejasnostmi glede hkratne veljavnosti ZVOP-1 in Splošne uredbe, procesnimi nedorečenostmi glede vodenja upravnih postopkov reševanja pritožb posameznikov pri uveljavljanju njihovih pravic ter odsotnostjo procesnih določb za vodenje prekrškovnih postopkov in izrekanje glob za ugotovljene kršitve. Ker torej Slovenija ni sprejela nacionalnega zakona o varstvu osebnih podatkov, IP v tem obdobju ni mogel izrekati sankcij za tiste kršitve, ki so določene zgolj v členu 83 Splošne uredbe. Usklajenost nacionalnih določb s Splošno uredbo pa je pomembna zlasti zaradi usklajevanja praks v državah članicah EU v primerih čezmejnega sodelovanja, ko neusklajenost lahko pomeni resno procesno oviro. Na mednarodni ravni je IP izvedel 148 postopkov čezmejnega sodelovanja po Splošni uredbi, ko torej upravljavci čezmejno obdelujejo osebne podatke.

IP je leta 2019 prejel tudi devet primerov obvestil o kršitvah podatkov o pacientih na podlagi 46. člena Zakona o pacientovih pravicah ter 137 uradnih obvestil o kršitvi varnosti osebnih podatkov na podlagi člena 33 Splošne uredbe (samoprijave). Najpogosteje kršitve so bile izguba ali kraja nosilcev osebnih podatkov (npr. osebnih računalnikov in USB-ključkov), nepooblaščeno dostopanje do osebnih podatkov zaradi programske napake ali zlorabe pooblastil zaposlenih, napadi hekerjev na informacijski sistem, onemogočanje dostopa do podatkov zaradi kriptiranja z zlonamerno programsko kodo ter posredovanje osebnih podatkov nepooblaščenim osebam.

Ker si večina zavezancev želi delovati skladno z zakoni, jim je treba pri tem pomagati in jim ponuditi ustrezna orodja, kot so mnenja, smernice, obrazci, infografike idr. IP je zato leta 2019 tudi na področju varstva podatkov nadaljeval okrepljeno delovanje za zagotavljanje skladnosti, preventive in pomoči posameznikom. Svetoval je 3.284 posameznikom in pravnim osebam, in sicer je izdal 1.261 pisnih mnenj ter odgovoril na 2.023 telefonskih klicev. Pomembna skupina sogovornikov IP so tudi pooblaščene osebe za varstvo osebnih podatkov – slednjih je v Sloveniji preko 2000. IP uspešno kandidira  na razpisih Evropske komisije za projekte iz programa REC (Rights, Equality and Citizenship Programme), prav s ciljem dodatne krepitve vseh teh aktivnosti.

Izkušnje v letu 2019 so tudi na ravni Evropske unije (EU) in pri sodelovanju v okviru Evropskega odbora za varstvo podatkov pokazale na številne izzive, zlasti glede izvajanja čezmejnih postopkov in razlik v nacionalnih procesnih pravilih v državah članicah EU. Tudi to je eden od razlogov, da so postopki daljši in se prve tovrstne odločitve pričakujejo šele v letu 2020. Odgovore deloma išče Evropski odbor za varstvo podatkov, ki aktivno pristopa k iskanju skupnih opredelitev in interpretacij konceptov v Splošni uredbi, deloma pa k reševanju lahko pristopi tudi evropski zakonodajalec, predvsem v okviru razmislekov o potencialni bodoči reviziji Splošne uredbe.

Letno poročilo za leto 2019 izkazuje velik obseg opravljenega dela sodelavcev Informacijskega pooblaščenca. Za leto 2020 pa si pri IP želimo predvsem, da bi bili zavezanci za dostop do informacij javnega značaja pri odzivanju na zahteve prosilcev hitrejši, Slovenija pa čim prej dobila nacionalni predpis o varstvu osebnih podatkov, ki bi odpravil dveletno negotovost. 

Letno poročilo je dostopno na povezavi.

Mojca Prelesnik, informacijska pooblaščenka