Informacijski pooblaščenec Republika Slovenija
   
dekorativna slika

Zloraba osebnih podatkov

+ -
Datum: 12.07.2021
Številka: 07121-1/2021/1224
Kategorije: Policijski postopki, Zavarovanje osebnih podatkov

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede nepooblaščene obdelave vaših osebnih podatkov.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

IP uvodoma poudarja, da lahko podaja nezavezujoča mnenja in pojasnila, ne sme pa izven konkretnih inšpekcijskih postopkov preverjati primernosti izbrane pravne podlage ali namenov oziroma obsega obdelave osebnih podatkov v konkretnem primeru.

IP splošno pojasnjuje, da lahko posameznik, ki ugotovi, da so kršene njegove pravice, določene s Splošno uredbo o varstvu podatkov oziroma ZVOP-1, s tožbo zahteva sodno varstvo, dokler kršitev traja. Če je kršitev že prenehala, lahko posameznik vloži tožbo za ugotovitev, da je kršitev obstajala, če mu v zvezi s kršitvijo ni zagotovljeno drugo sodno varstvo.

IP nadalje pojasnjuje, da je za zagotovitev ustreznih postopkov in ukrepov za varnost osebnih podatkov odgovoren vsak upravljavec posebej (v konkretnem primeru torej policija). Gre za organizacijske in tehnične ukrepe, ki jih določata Splošna uredba o varstvu podatkov (32. člen) in ZVOP-1 (24. in 25. člen). Slednji tako v 24. členu določa, da zavarovanje osebnih podatkov obsega organizacijske, tehnične in logično-tehnične postopke in ukrepe, s katerimi se varujejo osebni podatki, preprečuje slučajno ali namerno nepooblaščeno uničevanje podatkov, njihova sprememba ali izguba ter nepooblaščena obdelava teh podatkov tako, da se:

  1. varujejo prostori, oprema in sistemsko programska oprema, vključno z vhodno-izhodnimi enotami;
  2. varuje aplikativna programska oprema, s katero se obdelujejo osebni podatki;
  3. preprečuje nepooblaščen dostop do osebnih podatkov pri njihovem prenosu, vključno s prenosom po telekomunikacijskih sredstvih in omrežjih;
  4. zagotavlja učinkovit način blokiranja, uničenja, izbrisa ali anonimiziranja osebnih podatkov;
  5. omogoča poznejše ugotavljanje, kdaj so bili posamezni osebni podatki vneseni v zbirko osebnih podatkov, uporabljeni ali drugače obdelani in kdo je to storil, in sicer za obdobje, ko je mogoče zakonsko varstvo pravice posameznika zaradi nedopustnega posredovanja ali obdelave osebnih podatkov.

 

ZVOP-1 v 5 točki prvega odstavka 24. člena torej izrecno določa, da mora biti zagotovljena sledljivost pri obdelavi osebnih podatkov. Ista določba določa tudi, da mora biti sledljivost zagotovljena za obdobje, ko je mogoče zakonsko varstvo pravice posameznika zaradi nedopustnega posredovanja ali obdelave osebnih podatkov. IP pojasnjuje, da je pri tem treba upoštevati določbe Obligacijskega zakonika (Uradni list RS, št. 97/07 - UPB, 64/16 – odl. US, 20/18 – OROZ631; v nadaljevanju: OZ), ki v 346. členu določa splošni zastaralni rok za uveljavljanje terjatev - pet let. Ta rok v skladu z določbo prvega odstavka 336. člena OZ začne teči prvi dan po dnevu, ko je upnik imel pravico terjati izpolnitev obveznosti, če za posamezne primere ni z zakonom določeno kaj drugega. Rok v konkretnem primeru torej začne teči prvi dan po storjeni nedopustni oziroma nepooblaščeni obdelavi osebnih podatkov.

IP ob tem nadalje pojasnjuje, da je v primeru, da je bilo s takšno nedopustno obdelavo storjeno tudi kaznivo dejanje,  pri določitvi zastaralnega roka treba upoštevati določbe 353. člena OZ, kjer je v prvem odstavku določeno, da če je bila škoda povzročena s kaznivim dejanjem, za kazenski pregon pa je predpisan daljši zastaralni rok, odškodninski zahtevek proti odgovorni osebi zastara, ko izteče čas, ki je določen za zastaranje kazenskega pregona. V tem primeru torej velja rok, predpisan za zastaranje kazenskega pregona. Ta rok določa 90. člen Kazenskega zakonika (Uradni list RS, št. 50/12 - UPB, 6/16 - popr., 54/15, 38/16, 27/17, 23/20, 91/20; v nadaljevanju: KZ-1) in je odvisen od dolžine zagrožene kazni zapora. Za najpogostejši obliki kaznivega dejanja zlorabe osebnih podatkov po prvem in drugem odstavku 143. člena KZ-1 je zagrožena denarna kazen ali zapor do enega leta, tako da kazenski pregon v skladu s 5. točko 1. odstavka 90. člena KZ-1 zastara po poteku šestih let od storitve kaznivega dejanja. Za kvalificirane oblike omenjenega kaznivega dejanja ter za nekatera druga kazniva dejanja je to obdobje ustrezno daljše (npr. kazenski pregon za kaznivo dejanje goljufije zastara po 10 letih).

 

S spoštovanjem.

 

 

 

Pripravil:

Matej Sironič,                                                   

Svetovalec pooblaščenca

za varstvo osebnih podatkov

 

Mojca Prelesnik, univ. dipl. prav.,

Informacijska pooblaščenka