Posegi v informacijsko zasebnost posameznikov ne smejo ostati nekaznovani - zmaga za varstva osebnih podatkov, Informacijski pooblaščenec lahko (še naprej) sankcionira kršitve

03. 8. 2021

rhovno sodišče RS in Višje sodišče v Ljubljani sta v svojih odločitvah pritrdila stališču Informacijskega pooblaščenca (IP), da lahko tudi po uveljavitvi Splošne uredbe o varstvu podatkov (GDPR) ta še vedno sankcionira kršitve varstva osebnih podatkov, ki so v Zakonu o varstvu osebnih podatkov (ZVOP-1) opredeljene kot prekrški in s tem pomembno pripomogla k zaščiti ustavne pravice do varstva osebnih podatkov pred nezakonitim poseganjem vanjo.

Potem, ko je konec maja 2018 v veljavo stopila Splošna uredba o varstvu podatkov, se je IP srečal z več primeri, v katerih so storilci prekrškov, ki jih opredeljuje ZVOP-1 trdili, da sankcioniranje prekrškov po ZVOP-1 (tako tistih, ki so bili storjeni pred začetkom veljavnosti Splošne uredbe o varstvu podatkov, kot tistih, storjenih kasneje) po uveljavitvi navedenega akta EU ni več mogoče. Taka stališča je bilo zaslediti tudi v nekaterih člankih in strokovni literaturi s področja varstva osebnih podatkov. IP je vseskozi zagovarjal nasprotno stališče, tj. da je prekrškovno sankcioniranje določb ZVOP-1, ki niso v nasprotju s Splošno uredbo o varstvu podatkov in so kot take še vedno veljavne, skladno s slovenskim in evropskim pravnim redom. Temu je nazadnje pritrdila tudi sodna praksa, saj je sporno vprašanje rešilo Vrhovno sodišče RS v sodbi IV Ips 2/2021, ki se nanaša na prekrške, storjene pred uveljavitvijo Splošne uredbe o varstvu podatkov, in Višje sodišče v Ljubljani v Sklepu PRp 215/2021, ki se nanaša na prekršek, storjen po uveljavitvi navedenega akta. Bistveni zaključek, ki izhaja iz sodbe Vrhovnega sodišča RS in ki mu sledi tudi Višje sodišče v Ljubljani v svojem aktu je, da Splošna uredba o varstvu podatkov državam članicam prepušča razmeroma široko polje pri urejanju nacionalnih pravil, s katerimi naj se sankcionirajo kršitve pravil o varstvu osebnih podatkov po Splošni uredbi o varstvu podatkov, in da zato tudi upravne globe, ki jih ta predpisuje v svojem 83. členu, niso edina možna sankcija za kršitve varstva osebnih podatkov. V takem polju diskrecije držav članic pri urejanju sankcioniranja kršitev, se po ugotovitvi Vrhovnega sodišča RS nahajajo tudi določbe ZVOP-1, ki določajo nezakonito ravnanje z osebnimi podatki in predpisujejo sankcijo zanj, po ugotovitvi Višjega sodišča v Ljubljani pa tudi določbe ZVOP-1, ki določajo kršitve zavarovanja (varnosti) osebnih podatkov in zanje predpisujejo sankcije. Taka ureditev v ZVOP-1 po ugotovitvah sodišč ni v nasprotju s pravili Splošne uredbe o varstvu podatkov, ampak ostaja v njenih mejah. Iz navedenega torej izhaja, da Splošne uredbe o varstvu podatkov ni mogoče šteti kot kasnejši predpis, ki je za storilca milejši, ter da lahko IP tudi po začetku veljavnosti Splošne uredbe o varstvu podatkov še vedno vodi prekrškovne postopke in izreka sankcije kršiteljem, ki nezakonito obdelujejo osebne podatke ali opustijo postopke in ukrepe za zavarovanje teh podatkov in s tem storijo prekršek po ZVOP-1, ne glede na to, ali je bil konkretni prekršek storjen pred ali po uveljavitvi Splošne uredbe o varstvu podatkov. 

Mojca Prelesnik,

informacijska pooblaščenka

Vir: Informacijski pooblaščenec

Nazaj