Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Mnenja - VOP

+ -
Datum: 10.10.2007
Naslov: Zavarovanje dokumentov CSD na računalniku
Številka: 0712-877/2007/2
Vsebina: Zavarovanje osebnih podatkov
Pravni akt: Mnenje

Spoštovani,

Informacijski pooblaščenec (v nadaljevanju Pooblaščenec) je dne 25. 9. 2007 prejel vaš dopis, v katerem nas sprašujete za mnenje glede ustreznosti varovanja osebnih podatkov na centru za socialno delo, kjer ste zaposleni. Kot navajate, ste ob selitvi v drugo pisarno dobili na uporabo računalnik upokojene sodelavke, vaš stari računalnik pa je v uporabo dobila druga sodelavka. Računalničar iz zunanjega podjetja, ki vaše računalnike vzdržuje na podlagi pogodbe, je vse dokumente iz vašega starega računalnika (med drugim tudi nekatere dokumente povezane z vašim delom v centru, ki so zaupne narave in nekatere vaše osebne dokumente) prekopiral na novega, pri čemer je dokumente naložil v datoteko 'dokumenti v skupni rabi'. Vse datoteke pa je pustil v starem računalniku, ki ga je dobila sodelavka. Ti dokumenti so bili tako na razpolago vsem delavcem in se ohranili v računalniku sodelavke, dokler jih niste kasneje zbrisali. Kot navajate, ste računalničarja na to opozorili, vendar vam je pojasnil, da ga pogodbeno veže le varovanje podatkov centrov navzven, ne pa tudi znotraj centra.

V zvezi s primerom, ki ga opisujete, je z vidika varstva osebnih podatkov, za katerega je pristojen Pooblaščenec, pomembno predvsem:

1.    kateri podatki (npr. vsebina dokumentov na računalniku) so v smislu ZVOP-1 osebni podatki in s tem deležni varstva ZVOP-1?
2.    Kdo je odgovoren za zavarovanje zbirk osebnih podatkov v opisanem primeru v smislu ZVOP-1?
3.    Kakšne so obveznosti vzdrževalca računalnikov z vidika spoštovanja določil ZVOP-1 pri opravljanju svojega dela za pogodbeno stranko?
4.    Kakšni so ukrepi v primeru neustreznega zavarovanja in posledične nepooblaščene obdelave osebnih podatkov?


V nadaljevanju vam na podlagi vašega dopisa in informacij ter na podlagi 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 86/04, 113/05, 51/07-ZUstS in 67/07; ZVOP-1) ter 2. člena Zakona o Informacijskem pooblaščencu (Uradni list RS št. 113/05 in 51/07-ZUstS; ZInf) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji:


1.    Varstva po ZVOP-1 so deležni tisti osebni podatki, ki so del zbirk osebnih podatkov centra za socialno delo, torej ne nujno trdi disk v celoti in prav tako ne zasebne datoteke.

2.    Upravljavec zbirk osebnih podatkov centra za socialno delo je sam center, ki je kot tak odgovoren za zavarovanje zbirk osebnih podatkov in mora poskrbeti, da tako vsi zaposleni kot tudi morebitni pogodbeni obdelovalci ali drugi zunanji sodelavci spoštujejo ukrepe in določila ZVOP-1, kot so opredeljena z notranjim aktom za varstvo osebnih podatkov centra. Ta določila morajo biti tudi opredeljena v pogodbi z zunanjimi sodelavci oziroma pogodbenimi obdelovalci, ki prihajajo v stik z zbirkami osebnih podatkov centra. Za izvajanje teh določil je kot upravljavec odgovoren center, pogodbeni obdelovalec pa je zavezan k spoštovanju pogodbenih določil.

3.    Zunanji sodelavci, kot na primer vzdrževalci računalnikov iz zunanjega podjetja, so kot pogodbeni obdelovalci dolžni spoštovati določila glede varstva osebnih podatkov, kot so opredeljena v pogodbi med upravljavcem in zunanjim sodelavcem. V primeru, da zunanji sodelavec krši ta določila mora upravljavec ustrezno ukrepati.

4.    Iz opisa vašega primera ni mogoče razbrati ali je pri opisanem prišlo do kršitve ZVOP-1. Če menite, da je bila storjena kršitev, lahko Pooblaščencu pošljete prijavo, ki je lahko anonimna. V primeru kršitev ZVOP-1, ki bi nastale zaradi nedovoljene obdelave ali neustreznega zavarovanja osebnih podatkov s strani upravljavca, torej centra, ZVOP-1 v 91. in 93. členu predvideva globe za storjene prekrške glede zavarovanja osebnih podatkov za odgovorno osebo državnega organa. V primeru kršitev zaradi nespoštovanja pogodbenih določil glede zavarovanja s strani zunanjega sodelavca kot pogodbenega obdelovalca pa je v 92. členu opredeljena tudi globa za kršitve pogodbene obdelave za pravno osebo, samostojnega podjetnika posameznika ali posameznika, ki samostojno opravlja dejavnost ter odgovorno osebo pravne osebe, samostojnega podjetnika posameznika ali posameznika, ki samostojno opravlja dejavnost.

O b r a z l o ž i t e v:

1. Obseg varstva osebnih podatkov v okviru ZVOP-1
ZVOP-1 je sistemski zakon, ki ureja pravice, obveznosti, načela in ukrepe, s katerimi se preprečujejo neustavni, nezakoniti in neupravičeni posegi v zasebnost in dostojanstvo posameznika oziroma posameznice pri obdelavi osebnih podatkov. To pomeni, da ZVOP-1 poizkuša v celoti urediti področje varstva osebnih podatkov v navedenih primerih. Varstvo osebnih podatkov pa je del širšega področja varstva zasebnosti oziroma gre za tako imenovano informacijsko oziroma podatkovno zasebnost, kar je drug naziv za varstvo osebnih podatkov (Več o tem v: Pirc Musar et al., Zakon o varstvu osebnih podatkov s komentarjem, GV Založba, Ljubljana, 2006, str. 39 do 41). ZVOP-1 se tako ne dotika drugih vidikov varstva pravice do zasebnosti, ki je bistveno širša, zato so tudi pristojnosti Pooblaščenca v tem smislu v skladu z ZVOP-1 in ZInf omejene na varstvo osebnih podatkov in ne na širši krog varstva zasebnosti.
 
Osebni podatek po določbah ZVOP-1 pomeni katerikoli podatek, ki se nanaša na določeno ali določljivo fizično osebo, torej posameznika, na glede na obliko, v kateri je izražen. Posameznik pa je določena ali določljiva fizična oseba, na katero se nanaša osebni podatek, pri čemer je določljiva, če se jo lahko neposredno ali posredno identificira s pomočjo njenih identifikacijskih številk (npr. EMŠO, davčna številka, številka zdravstvenega zavarovanja, telefonska številka, registrska številka vozila in na primer tudi vpisna številka študenta), ali s sklicevanjem na dejavnike, ki so značilni za njeno fizično, fiziološko, duševno, ekonomsko, kulturno ali družbeno identiteto (npr. zaposlitev, naslov, funkcijo, položaj ali status v določenem subjektu, ipd.), pri čemer način identifikacije ne povzroča velikih stroškov, nesorazmerno velikega napora ali ne zahteva veliko časa.
 
Obdelava osebnih podatkov je v istem zakonu v 3. točki 6. člena definirana kot kakršnokoli delovanje ali niz delovanj, ki se izvaja v zvezi z osebnimi podatki, ki so avtomatizirano obdelani ali ki so pri ročni obdelavi del zbirke osebnih podatkov ali so namenjeni vključitvi v zbirko osebnih podatkov, zlasti zbiranje, pridobivanje, vpis, urejanje, shranjevanje, prilagajanje ali spreminjanje, priklicanje, vpogled, uporaba, sporočanje in podobno. Zbirka osebnih podatkov je vsak strukturiran niz podatkov, ki vsebuje vsaj en osebni podatek, ki je dostopen na podlagi meril, ki omogočajo uporabo ali združevanje podatkov, ne glede na to, ali je niz centraliziran, decentraliziran ali razpršen na funkcionalni ali geografski podlagi; strukturiran niz podatkov je niz podatkov, ki je organiziran na takšen način, da določi ali omogoči določljivost posameznika (v primeru Centrov za socialno delo so to zagotovo zbirke osebnih podatkov o uporabnikih v skladu s področnimi zakoni).

Zgoraj navedeno na kratko pomeni, da so v okviru ZVOP-1 in s tem tudi pristojnosti Pooblaščenca osebni podatki, ki so del zbirk, in ne vsaki osebni podatki. V tem smislu bi šlo za zbirke osebnih podatkov v smislu ZVOP-1, če bi bile na vašem računalniku shranjene zbirke osebnih podatkov ali deli teh zbirk, ki jih center za socialno delo na podlagi zakona vodi v okviru svojih pristojnosti. Te zbirke in njihovi deli (npr. dokumenti, ki so del posameznega spisa) so deležne varstva po ZVOP-1. Zanje pa je kot upravljavec zbirke odgovoren center za socialno delo, ki mora poskrbeti, da tako vsi zaposleni kot tudi morebitni pogodbeni obdelovalci osebnih podatkov in drugi, ki bi zaradi narave dela lahko posredno prišli v stik z zbirkami, ustrezno izvajajo varovanje osebnih podatkov uporabnikov v skladu s pravilnikom oziroma drugim internim aktom centra o varstvu osebnih podatkov.

V primeru vaših osebnih dokumentov in dokumentov, povezanih z vašim delom, ki niso del zbirk, pa gre torej za pravico do vaše zasebnosti na delovnem mestu oziroma zasebnosti in drugih pravic uporabnikov centra, saj bi se lahko štelo, da je tudi del vsebine na trdem disku službenega računalnika lahko zasebnost zaposlenega oziroma gre za zasebnost uporabnikov. V tem primeru zato ne gre za tisti del pravice do zasebnosti, ki je v pristojnosti Pooblaščenca, torej varstvo osebnih podatkov po 38. členu Ustave RS, pač pa za del širše pravice od varstva osebnih podatkov, katere meje so začrtane v 35. členu Ustave RS. Ta določa, da je zagotovljena nedotakljivost človekove telesne in duševne celovitosti, njegove zasebnosti ter osebnostnih pravic. Trdi disk računalnika zaposlenega na splošno bi namreč – razen v posameznih primerih, ko gre za zgoraj omenjene zbirke, ki pa se jih ne da obravnavati splošno, kot sprašujete vi – težko šteli kot zbirko osebnih podatkov, ki jo ureja ZVOP-1. Pooblaščenec na tem mestu zgolj obrobno opozarja tudi na nedavno sprejeto odločitev Evropskega sodišča za človekove pravice, ki je v zadevi Copland v. Združeno kraljestvo delavki priznalo širok krog pravice do zasebnosti in presodilo, da je delodajalec neupravičeno posegal v njeno zasebnost. Ključni element sodbe je, da delavka ni bila vnaprej opozorjena, kdaj in v kakšnih primerih lahko delodajalec nadzira e-pošto.

2. Odgovornosti upravljavca zbirk osebnih podatkov glede njihovega zavarovanja
Pooblaščenec poudarja, da tudi razkritje in posredovanje osebnih podatkov pomeni obdelavo osebnih podatkov v skladu z zgoraj omenjeno 3. točko 6. člena ZVOP-1, če gre za osebne podatke iz zbirke osebnih podatkov. Glede na to, da iz vaših navedb ni podrobno razvidno, ali se je nepooblaščena tretja oseba (to lahko pomeni bodisi nepooblaščeni zaposleni znotraj centra ali nepooblaščena zunanja oseba) dejansko seznanila z osebnimi podatki iz zbirk centra, Pooblaščenec ne more z gotovostjo trditi, ali je v konkretnem primeru prišlo do kršitve določb ZVOP-1. Vsekakor pa je potrebno opozoriti, da je upravljavec osebnih podatkov na podlagi 25. člena ZVOP-1 dolžan zagotoviti zavarovanje osebnih podatkov, kamor spada tudi to, da nepooblaščenim osebam, tako nepooblaščenim zaposlenim kot tudi nepooblaščenim zunanjim osebam ali sodelavcem, prepreči dostop do osebnih podatkov. 1. odstavek 24. člena ZVOP-1 namreč določa, da zavarovanje osebnih podatkov obsega organizacijske, tehnične in logično-tehnične postopke in ukrepe, s katerimi se varujejo osebni podatki, preprečuje slučajno ali namerno nepooblaščeno uničevanje podatkov, njihova sprememba ali izguba ter nepooblaščena obdelava teh podatkov tako, da se:
1. varujejo prostori, oprema in sistemsko programska oprema, vključno z vhodno-izhodnimi enotami;
2. varuje aplikativna programska oprema, s katero se obdelujejo osebni podatki;
3. preprečuje nepooblaščen dostop do osebnih podatkov pri njihovem prenosu, vključno s prenosom po telekomunikacijskih sredstvih in omrežjih;
4. zagotavlja učinkovit način blokiranja, uničenja, izbrisa ali anonimiziranja osebnih podatkov;
5. omogoča poznejše ugotavljanje, kdaj so bili posamezni osebni podatki vneseni v zbirko osebnih podatkov, uporabljeni ali drugače obdelani in kdo je to storil, in sicer za obdobje, ko je mogoče zakonsko varstvo pravice posameznika zaradi nedopustnega posredovanja ali obdelave osebnih podatkov.

Če torej trdi disk vsebuje osebne podatke v smislu zgoraj opredeljene definicije ZVOP-1, mora upravljavec osebnih podatkov slediti zahtevam ZVOP-1 in kot enega od osnovnih ukrepov zagotoviti zavarovanje dostopa do datotek z geslom. Hkrati pa mora center v skladu z 2. odstavkom 25. člena v zvezi s 7. členom ZVOP-1 kot upravljavec osebnih podatkov v svojih aktih predpisati postopke in ukrepe za zavarovanje osebnih podatkov ter določiti osebe, ki so odgovorne za določene zbirke osebnih podatkov, in osebe, ki lahko zaradi narave njihovega dela obdelujejo določene osebne podatke. V praksi to pomeni, da bi moral imeti vsak zaposleni dostop le do tistih spisov in dokumentov v spisih, ki jih posamezen zaposleni potrebuje v okviru svojega dela in pristojnosti, in da ne smejo imeti vsi zaposleni dostopa do vsakega spisa. V kolikor interni akti centra, ki urejajo varstvo osebnih podatkov, določajo, da imajo npr. vsi svetovalci lahko dostop do vseh spisov, mora biti to ustrezno utemeljeno in morajo obstajati ustrezni razlogi za takšno odločitev. O tem ali je takšna odločitev v skladu z določili ZVOP-1 z vidika sorazmernosti, namembnosti in dopustnosti takšne obdelave, Pooblaščenec ne more odločati zgolj na podlagi vašega opisa. O možnosti, ki so na voljo v primeru kršitev, več v točki 4 spodaj.

Pooblaščenec v zvezi s tem poudarja, da je v okviru obveznosti po ZVOP-1 enako pomembno kot zavarovanje osebnih podatkov pred nedovoljeno zunanjo obdelavo tudi njihovo zavarovanje pred nedovoljeno dostopnostjo znotraj posameznega upravljavca (npr. nepooblaščenih oseb za posamezne spise znotraj centra za socialno delo).

Pooblaščenec kot dodatek k zapisanemu opozarja tudi na 70. člen Uredbe o upravnem poslovanju (v nadaljevanju Uredba), ki določa, da je uporaba informacijsko – komunikacijske opreme izjemoma dovoljena v zasebne namene, če tem ne povzroča znatnih dodatnih stroškov, ovira uporabe v službene namene ter ogroža katerekoli oblike varnosti podatkov. Predstojnik pa lahko določi omejitve uporabe opreme iz prejšnjega odstavka. Vendar Pooblaščenec ugotavlja, da Uredba samo postavlja pravilo o uporabi, ne določi pa načina, kako omejiti pravico delavca do uporabe navedene opreme, zato je pri tem potrebno upoštevati osnovna pravila pravice do zasebnosti.

3. Odgovornosti pogodbenega obdelovalca
Primer, ki ga opisujete, bi z vidika ZVOP-1 lahko šteli za vrsto pogodbene obdelave osebnih podatkov, saj vzdrževalci računalnikov pri svojem delu prihajajo v stik z zbirkami osebnih podatkov, čeprav je njihovo delo lahko tudi širše. Obdelava osebnih podatkov pa je v smislu ZVOP-1, kot je pojasnjeno zgoraj, kakršnokoli delovanje ali niz delovanj, ki se izvaja v zvezi z osebnimi podatki. Pogodbeni obdelovalec osebnih podatkov je namreč v skladu s 7. točko 6. člena ZVOP-1 fizična ali pravna oseba, ki obdeluje osebne podatke v imenu in na račun upravljavca osebnih podatkov.
 
Pogodbena obdelava osebnih podatkov je urejena v 11. členu ZVOP-1, ki v 1. odstavku določa, da lahko upravljavec osebnih podatkov posamezna opravila v zvezi z obdelavo osebnih podatkov s pogodbo zaupa pogodbenemu obdelovalcu, ki je registriran za opravljanje takšne dejavnosti in zagotavlja ustrezne postopke in ukrepe iz 24. člena ZVOP-1. Pogodbeni obdelovalec sme, v skladu z 2. odstavkom istega člena, opravljati posamezna opravila v zvezi z obdelavo osebnih podatkov v okviru naročnikovih pooblastil in osebnih podatkov ne sme obdelovati za noben drug namen. Medsebojne pravice in obveznosti se uredijo s pogodbo, ki mora biti sklenjena v pisni obliki in mora vsebovati tudi dogovor o postopkih in ukrepih iz 24. člena ZVOP-1. Upravljavec osebnih podatkov nadzoruje izvajanje postopkov in ukrepov iz 24. člena tega zakona.
 
Dogovor med strankama o postopkih in ukrepih iz 24. člena ZVOP-1 pomeni dogovor o organizacijskih, tehničnih in logično-tehničnih postopkih in ukrepih, s katerimi se varujejo osebni podatki, preprečuje nepooblaščeno uničevanje podatkov, njihova sprememba ali izguba ter njihova nepooblaščena obdelava pri pogodbeni obdelavi teh podatkov. Zato morata upravljavec in pogodbeni obdelovalec v pogodbi jasno in natančno določiti postopke in ukrepe, s katerimi mora tudi pogodbeni obdelovalec zagotavlja izvajanje zgoraj omenjenih vidikov zavarovanja, opredeljenih v 24. členu.

Ker morata stranki opisane postopke in ukrepe za zavarovanje osebnih podatkov urediti v pogodbi, pogodbenemu obdelovalcu tudi ni treba teh postopkov in ukrepov predpisovati v svojih aktih, kot je to v skladu z  2. in 5. odstavkom 25. člena ZVOP-1 dolžan storiti center za socialno delo, kot upravljavec osebnih podatkov iz javnega sektorja. Če pa je upravljavec ali pogodbeni obdelovalec že sprejel notranji akt (v praksi po navadi Pravilnik o zavarovanju osebnih podatkov), v katerem je predpisal postopke in ukrepe iz 24. člena ZVOP-1 lahko stranki namesto ponovnega opisovanja vseh postopkov in ukrepov v pogodbi zgolj citirata takšna akta (če ta seveda ustrezata zahtevam upravljavca), pogodbeni stranki navedeta, da sta akta sestavni del pogodbe in da mora pogodbeni obdelovalec zagotoviti zavarovanje osebnih podatkov v skladu z določbami takšnih aktov ter akt priložita pogodbi.
 
Upravljavec in pogodbeni obdelovalec osebnih podatkov morata v pogodbi določiti tudi, katere osebe, zaposlene pri pogodbenem upravljavcu osebnih podatkov, lahko opravljajo posamezna opravila v zvezi z obdelavo osebnih podatkov, kakšna so v zvezi s tem njihova pooblastila ter urediti dolžnost varovanja zaupnosti podatkov. Pogodbeni obdelovalec mora poskrbeti tudi, da se z v pogodbi dogovorjenimi postopki in ukrepi iz 24. člena ZVOP-1 seznanijo vsi tisti zaposleni, ki pri njem odgovarjajo za izvajanje teh postopkov in ukrepov, ter osebe, ki zaradi narave svojega dela pri njem obdelujejo določene osebne podatke. Če sta pogodbenika v pogodbo vključila že obstoječi notranji akt o zavarovanju osebnih podatkov enega ali drugega, mora pogodbeni obdelovalec poskrbeti, da se omenjene osebe seznanijo s tem aktom.

V skladu z navedenim je torej dolžnost upravljavca ustrezno opredeliti vidike zavarovanja osebnih podatkov v pogodbi z obdelovalcem ter zagotoviti njihovo izvajanje, dolžnost pogodbenega obdelovalca pa spoštovati določila pogodbe. Tretji odstavek 11. člena ZVOP-1 določa, da je v primeru spora med upravljavcem osebnih podatkov in pogodbenim obdelovalcem dolžan pogodbeni obdelovalec na podlagi zahteve upravljavca osebne podatke, ki jih je pogodbeno obdeloval, nemudoma vrniti upravljavcu. Morebitne kopije teh podatkov mora takoj uničiti ali jih posredovati državnemu organu, ki je v skladu z zakonom pristojen za odkrivanje ali pregon kaznivih dejanj, sodišču ali drugemu državnemu organu, če tako določa zakon. V vašem primeru je potrebno upoštevati še določbo 4. odstavka 11. člena ZVOP-1, ki določa, da  se v primeru prenehanja pogodbenega obdelovalca osebni podatki brez nepotrebnega odlašanja vrnejo upravljavcu osebnih podatkov.

Pooblaščenec zaključuje, da se glede na zgoraj navedeno, za odgovor na vaša vprašanja ključne določbe v pogodbi, ki se sklene med naročnikom in vzdrževalcem naročnikovega informacijskega sistema ali dela informacijskega sistema. V tovrstni pogodbi morajo biti opredeljene dolžnosti posamezne pogodbene stranke glede ravnanja s podatki. V prvi vrsti je za zakonito obdelavo osebnih podatkov, ki med drugim vključuje tudi blokiranje, anonimiziranje, izbris ali uničenje podatkov, odgovoren upravljavec osebnih podatkov, v vašem primeru torej naročnik računalniških storitev, s sklepom pogodbe o izvajanju pogodbene obdelave, pa prevzema določene pogodbene obveznosti tudi izvajalec.

4. Ukrepi v primeru neustreznega zavarovanja in morebitne posledične nezakonite obdelave osebnih podatkov
V primeru, da menite, da je prišlo do zlorabe osebnih podatkov, lahko Pooblaščencu pošljete prijavo z več podatki..Prijava je lahko tudi anonimna. Pooblaščenec bo v tem primeru v skladu z ZVOP-1, ZInf, Zakonom o inšpekcijskem nadzoru (Uradni list RS, št. 43/07, uradno prečiščeno besedilo) ugotavljal ali je center za socialno delo oziroma odgovorna oseba centra ustrezno poskrbela za vse zgoraj opisane elemente varstva osebnih podatkov in ali je ta kot upravljavec osebnih podatkov ustrezno nadzorovala izvajanje postopkov in ukrepov iz 24. člena tega zakona s strani pogodbenega obdelovalca (to lahko pomeni tudi prekinitev sodelovanja s pogodbenim obdelovalcem, če ta ne bi želel spoštovati ukrepov za zavarovanje osebnih podatkov vsebovanih v pogodbi). V primeru kršitve katere izmed določb 91. člena ZVOP-1 (npr. obdelava osebnih podatkov brez zakonske podlage, zaupanje obdelave osebi, ne da bi sklenili pogodbo v skladu z 11. členom ZVOP-1, nezakonito zbiranje ali nadaljnje obdelovanje osebnih podatkov) je za odgovorno osebo državnega organa zagrožena globa za prekršek od 830 do 2080 EUR. V primeru kršitev 93. člena ZVOP-1 glede zavarovanja osebnih podatkov je za odgovorno osebo državnega organa zagrožena globa za prekršek od 830 do 1250 EUR.

Prav tako se v skladu z 92. členom ZVOP-1 z globo 4170 do 12510 EUR lahko za prekršek kaznuje pravna oseba, samostojni podjetnik posameznik ali posameznik, ki samostojno opravlja dejavnost, če prekorači pooblastila, vsebovana v zgoraj omenjeni pogodbi iz 11. člena ZVOP-1 ali če ne vrne osebnih podatkov v skladu z 11. členom ZVOP-1, z globo 830 do 2080 EUR pa se za tak prekršek lahko kaznuje tudi odgovorna oseba pravne osebe, samostojnega podjetnika posameznika ali posameznika, ki samostojno opravlja dejavnost.

Prijazen pozdrav,
Informacijski pooblaščenec:
Nataša Pirc Musar, univ.dipl.prav.,
pooblaščenka