Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Povzetki sodb

+ -

Objavljamo kratke povzetke pomembnejših sodb mednarodnih sodišč na področjih varstva osebnih podatkov oz. varstva zasebnosti: 

Sodbe Evropskega sodišča za človekove pravice

  • BIG BROTHER WATCH in drugi proti ZDRUŽENEMU KRALJESTVU, št. 58170/13, 62322/14 in 24960/15 z dne 13. 9. 2018

    Skupina pritožnikov, med njimi več podjetij, novinarskih in civilnih združenj, je v letih 2014 in 2015 na Evropsko sodišče za človekove pravice (ESČP) vložila pritožbo zaradi obsega in razsežnosti programa za elektronski nadzor, ki ga upravlja vlada Združenega kraljestva. Navajajo, da je sama narava njihovega dela vodila v domnevno prestrezanje njihovih komunikacij s strani britanskih obveščevalnih služb, pridobivanje komunikacij, ki so jih prestregle tuje obveščevalne službe in/ali posredovanje komunikacij, ki so jih britanski organi pridobili od ponudnikov komunikacijskih storitev.

    Sodišče je v sodbi ugotovilo, da so britanske oblasti kršile pravico do spoštovanja zasebnega in družinskega življenja oz. 8. člen Evropske konvencije o varstvu človekovih pravic in temeljnih svoboščin, saj niso omogočile ustreznih zaščitnih ukrepov na stopnji izbire, zajemanja in filtriranja prestreženih komunikacij. Sodišče je izpostavilo, da režim obveščevalnih služb s svojim tajnim nadzorom in razpršenim prestrezanjem komunikacij ni zadostil zahtevi nujnosti posega v demokratični družbi. Prav tako je ESČP odločilo, da je bil kršen 10. člen Konvencije, saj so britanske obveščevalne službe s prestrezanjem novinarskih dokumentov kršile pravico do svobode govore. Čeprav obveščevalni ukrepi niso bili namenjeni nadzoru novinarjev ali razkrivanju novinarskih virov, je potrebno upoštevati številne negativne učinke, ki jih poseg v zaupnost komunikacij in svobodo obveščanja lahko prinese. Pritožbi glede kršenja pravice do poštenega sojenja in prepovedi diskriminacije je sodišče zavrglo kot neutemeljeni. 

  • BENEDIK proti SLOVENIJI, št. 62357/14 z dne 24. 4. 2018

    Švicarska policija je leta 2006 v okviru svojih aktivnosti v zvezi z nadzorom uporabnikov t.i. »Razorback« omrežja odkrila, da nekateri uporabniki posedujejo in izmenjuje slikovno in video gradivo s podobami spolnih zlorab otrok. Za izmenjavo datotek so uporabljali omrežje enakovrednih računalnikov (t.i. peer-to-peer), švicarska policija pa je med dinamičnimi naslovi IP zabeležila tudi slovenskega, ki je bil kasneje povezan s pritožnikom I. Benedikom. Slovenska policija je na podlagi člena 149b(3) Zakona o kazenskem postopku od ponudnika internetnih storitev (ISP) zahtevala, da brez sodnega naloga razkrije podatke o uporabniku, ki mu je bil pripisan dinamičen naslov IP. Policija je pridobila ime in naslov lastnika internetnega priključka, ki je pripadal tožnikovemu očetu, nato še na podlagi odločbe preiskovalnega sodnika, temelječe na členu 149b(1) ZKP, tudi osebne in prometne podatke, povezane z naslovom IP.

    Pritožnik I. Benedik je na ESČP vložil pritožbo zaradi kršitve 8. člena Evropske konvencije o varstvu človekovih pravic in temeljnih svoboščin zaradi posega v zasebno življenje in komunikacijo. Evropsko sodišče za človekove pravice (ESČP) je v sodbi ugotovilo, da je pritožnik upravičeno pričakoval, da bosta njegova identiteta in spletna aktivnost ostali zasebni. Pravica do zasebnosti in tajnosti komunikacije sta ustavni pravici posameznika (37. in 38. člen Ustave RS), zato je tudi podatek o identiteti posameznika, ki komunicira, mogoče pridobiti le na podlagi sodne odločbe. Informacijski pooblaščenec je v mnenju Ustavnemu sodišču prav tako izpostavil problematičnost člena 149b(3) ZKP, ki omogoča pridobitev podatkov o identiteti posameznika, ki komunicira, zgolj na podlagi pisne zahteve. ESČP je v nasprotju z Ustavnim sodiščem odločilo, da se pritožnik z uporabo t.i. peer-to-peer omrežja, kjer ni omejil  vidnosti in dosegljivosti naslova IP drugim udeležencem v omrežju, ni prostovoljno odrekel legitimnemu pričakovanju zasebnosti, zato je bila pridobitev podatkov o uporabniku nezakonita.

  • BĂRBULESCU proti ROMUNIJI, št. 61496/08, z dne 12. 1. 2016

    Pritožnik je bil med leti 2004 in 2007 zaposlen v domačem podjetju kot tržnik. Za potrebe komuniciranja in tehnične pomoči s strankami je odprl poseben Yahoo! Mesenger račun, ki ga je občasno uporabljal tudi za zasebno komunikacijo s svojo zaročenko. V podjetju je bila zasebna raba službenih računalnikov, telefonov, in telefaksov strogo povedana, ker naj bi motila red in disciplino na delovnem mestu. Julija 2007 je bil s strani delodajalca obveščen, da je podjetje nekaj časa nadzorovalo njegov službeni računalnik, ter da je pri tem ugotovilo, da v nasprotju z internimi akti podjetja uporablja službeni Yahoo! račun tudi za zasebne namene. Navedeno je v pisni izjavi zanikal. Posledično so mu bili predloženi izpiski njegovih pogovorov z zaročenko, nato pa je prejel odpoved delovnega razmerja iz krivdnih razlogov. Pritožnik je vložil tožbo pred nacionalnim delovnim in socialnim sodiščem, a je izgubil. Zato se je odločil za tožbo zoper Romunijo pred Evropskim sodiščem za človekove pravice (ESČP), zatrjujoč nedopusten poseg v njegovo razumno pričakovano zasebnost na delovnem mestu.

    ESČP je, v primerjavi s prakso v primerih Halford in Copland, ugotovilo, da je pritožnikovo podjetje v okviru delovnopravnih postopkov ravnalo zakonito, pri čemer je ESČP posredno s tem kot dopustno ugotovilo prepoved zasebne rabe računalnika, telefona oz. interneta. Upoštevaje, da je podjetje tudi ustrezno in zadržano postopalo z uvedbo nadzora, oz. s prepisi Yahoo! Messenger pogovorov, naj kršitve ne bi bilo.

    V nekaterih odzivih na sodbo se je pojavilo stališče, da sodba evropskim podjetjem omogoča neomejen vpogled v službeni računalnik, elektronsko pošto, telefonijo, oz. rabo interneta, vendar IP pojasnjuje, da domača delovnopravna zakonodaja tega načeloma ne dopušča in delavcu še vedno dopušča določeno stopnjo zasebnosti pri rabi službenih sredstev.
  • SZABO IN VISSY proti MADRŽARSKI, št. 37138/14 z dne 12. 1. 2016

    ESČP je ugotovilo kršitev pravice do zasebnosti zaradi protiteroristične zakonodaje, ki je omogočala množični prikriti nadzor nad komunikacijami.

    Madžarska vlada je ustanovila posebno protiteroristično enoto, ki je s spremembo zakonodaje dobila široka pooblastila za nadzor nad komunikacijami posameznikov. Pritožnika, zaposlena pri nevladni organizaciji, kritični do vlade, sta vložila pritožbo zaradi kršitve pravice do zasebnosti, pravice do sodnega varstva in učinkovitega pravnega sredstva.

    ESČP je ugotovilo, da je bila madžarska zakonodaja sicer dovolj jasna in predvidljiva, da so posamezniki lahko razumeli, v kakšnih okoliščinah lahko pride do nadzora nad komunikacijami (v primeru nevarnosti terorizma in reševalnih operacij v tujini). Vendar je ESČP ugotovilo, da je omenjena zakonodaja ne zagotavljala ustreznih varovalk, ki bi preprečevale zlorabo pravice do zasebnosti. Zakonodaja namreč ni določila kategorij posameznikov, katerim lahko prikrito nadzorujejo komunikacije, kar je pomenilo, da je lahko ukrepov deležen prav vsak posameznik na Madžarskem, pristojnim organom pa ni bilo treba izkazati dejanske ali domnevne povezave s terorističnimi grožnjami. Prav tako pristojnim organom ni bilo treba utemeljiti in predložiti kakršnih koli dokazov za utemeljitev nujnosti nadzora nad konkretnimi posamezniki. Predvsem pa zakonodaja ni omogočala sodnega nadzora nad ukrepi; ESČP je jasno zapisalo, da nadzor s strani izvršne oblasti ni ustrezen mehanizem za varovanje pravic posameznikov. Ne nazadnje pa madžarska zakonodaja posameznikom ni zagotavljala niti učinkovitega pravnega sredstva, posamezniki pa niso bili nikoli (niti po prenehanju ukrepov) obveščeni o prikritem nadzoru.
  • ZAKHAROV proti RUSIJI, št. 47143/06 z dne 4. 12. 2015

    Sodišče je obravnavalo pritožbo ruskega novinarja in publicista Romana Andrejevič Zakharova  zoper dejstvo, da je varnostno-obveščevalna služba FSB v prostore vseh ruskih mobilnih operaterjev namestila svojo prisluškovalno opremo, tako da je lahko samostojno – brez pomoči ali celo vedenja operaterja - prisluškovala kateremu koli telefonskemu pogovoru v državi. Menil je,  da sta FSB oz. država Rusija s tem nedopustno posegla v pravico državljanov do spoštovanja njihove zasebnosti, saj bi takšno ravnanje pri državljanih lahko - če citiramo naše Ustavne sodišče v predlanski sodbi o razveljavitvi obvezne hrambe prometnih podatkov – »ustvarilo  neoprijemljivi občutek stalnega nadzora, ki lahko vpliva na izvrševanje drugih pravic, predvsem pravice do svobodnega izražanja in obveščanja«.

    ESČP se je z prisluhi varnostno-obveščevalnih služb v preteklosti  že precej ukvarjalo (npr. v primerih Klass in drugi proti Nemčiji (1978), Esbester proti Združenemu kraljestvu (1993), Kennedy proti Združenemu kraljestvu (2010) oz. Drakšas proti Litvi (2012)), vendar to še v času, ko so se prisluhi izvajali v posamičnih zadevah oz. na posameznih telefonskih linijah. Možnost prisluškovanja večini ali vsem telefonskim pogovorom hkrati, s pomočjo tehnike, takrat še ni bila mogoča. Tokrat je sodišče upoštevalo tudi ta moment in postavilo t.i. »evropski standard za masovni nadzor telekomunikacij za obveščevalne in državnovarnostne namene«. Ta standard zdaj zahteva, da države oblikujejo svojo zakonodajo tako, da bodo varnostno obveščevalne službe v zaprosilih za izvajanje prisluhov morale določno navesti, na katere osebe, prostore oz. priključke naj se prisluhi nanašajo (kar pomembno omejuje možnost odredb za »strateški nadzor komunikacij«), zaprosila bodo morala skozi dejansko in vsebinsko (sodno ali drugo primerno) presojo, ter nadzor bo treba izvajati čez posrednika, ker v primeru neposrednega nadzora varnostno-obveščevalnih služb do komunikacijskih vodov ni mogoče zagotoviti primernega nadzora oz. preprečiti zlorab.

  • DELFI AS proti ESTONIJI, št. 64569/09, z dne 16. 6. 2015

    Eden od vodilnih estonskih spletnih portalov, Delfi, je januarja 2006 objavil novico, naj bi podjetje SLK, ki upravlja več trajektnih linij med celino in bližnjimi otoki, s svojimi ledolomilci uničilo več ledenih cest, ki so bile sicer dostopne neposredno z avtomobilom. Članek kot tak sicer ni bil sporen, se je pa v komentarjih pod njim v nekaj dneh pojavilo blizu 200 izrazito negativnih komentarjev zoper SLK in še zlasti zoper enega od njegovih lastnikov. Odvetnik lastnika je dober mesec dni kasneje od podjetja zahteval umik 20 spornih komentarjev ter plačilo približno 32.000 evrov odškodnine. Delfi je komentarje umaknil, plačilo odškodnine pa zavrnil, sklicujoč se na določbe Direktive o elektronskem poslovanju št. 2000/31/ES, ki izključuje odgovornost ponudnikov spletnih storitev za protipravne zapise v uporabniških objavah, kot tudi obveznost preverjanja teh objav (prim. 11. člen Zakona o elektronskem poslovanju na trgu - ZEPT). Ta ugovor je prvostopenjsko sodišče sprejelo, vendar je višje sodišče po pritožbi odločilo, da ni primeren, zato je bil Delfi na ponovnem sojenju obsojen na plačilo (sicer znatno nižje odškodnine) 320 evrov zavoljo prepočasnega umika spornih komentarjev. Delfi je nato vložil tožbo zoper Estonijo na Evropsko sodišče za človekove pravice (ESČP), zatrjujoč, da obsodba pomeni poseg v njihovo pravico do svobode izražanja.

    ESČP je zavrnilo njihovo pritožbo, ugotavljajoč, da v primeru takšnih komentarjev na spletnem novičarskem portalu, ki so očitno protipravni – v smislu, da vsebujejo neposredne grožnje posamezniku oz. predstavljajo sovražni govor zoper določeno skupino – pravice prizadetega posameznika oz. skupine prevladajo nad pravico tožnika do svobode izražanja. Posledično dopuščajo (may entitle) državi, če se tako odloči, da določi odškodninsko odgovornost internetnih novičarskih portalov, če nimajo sprejetih zadostnih ukrepov za odstranitev takšnih komentarjev (ne glede na to, ali so nanje opozorjeni ali ne). To še zlasti velja, če novičarski portali s svojo dejavnostjo ustvarijo znatne prihodke.

    Kot je IP opozoril v svojem sporočilu za javnost, sodba držav ne zavezuje k določitvi takšne odgovornosti, ampak to možnost zgolj dopušča.
  • I proti FINSKI, št. 20511/03 z dne 17. 7. 2008

    Med letoma 1989 in 1994 je bila I. za določen čas zaposlena kot medicinska sestra v javni bolnici, leta 1987 pa so ji v isti bolnici postavili diagnozo, da je HIV pozitivna. Pritožnica je na podlagi posamičnih pripomb sodelavcev ugotovila, da so bili sodelavci seznanjeni z njenim zdravstvenim stanjem in posumila, da so nezakonito vpogledovali v njene zaupne zdravstvene podatke. Sume je zaupala zdravniku, ki je poskrbel, da je imelo do njene kartoteke dostop samo osebje tega oddelka poliklinike, pritožnico pa so kasneje v kartoteko vpisali z drugim imenom. Kasneje so ji še enkrat spremenili podatke in ji tudi dodelili novo številko zdravstvenega zavarovanja. Leta 1996 se je pritožila okrožni zdravstveni oblasti ter jo pozvala, da razišče kdo je imel dostop do njenih zdravstvenih podatkov. Okrožna zdravstvena oblast, ki je bila pristojna tudi za zbirke podatkov pacientov, ni mogla ugotoviti, kdo je obdeloval pritožničine osebne podatke in ni zagotovila zadostnih varovalk proti nepooblaščenemu dostopu do zdravstvenih podatkov, kar je v njeni pristojnosti.

    Tožbo je vložila na podlagi 8. člena (pravica do spoštovanja osebnega življenja), na prvi odstavek 6. člena (pravica do poštene obravnave) in na 13. člen (pravica do učinkovitega pravnega sredstva).

    Sodišče je ugotovilo, da je nedvomno šlo za kršitev 8. člena Konvencije, ker v tistem času, domače oblasti niso zavarovale pritožničinih osebnih zdravstvenih podatkov.

  • COPLAND proti ZDRUŽENEMU KRALJESTVU, št. 62617/00 z dne 3. 4. 2007

    Delodajalec je nadzoroval uporabo telefona, e-pošte in interneta pritožnice, gospe Copland, da bi ugotovil, ali pritožnica prekomerno uporablja službeno opremo za zasebne namene. Nadzor je potekal od leta 1996 do leta 1999. Pritožnica je na ESČP vložila pritožbo zaradi kršitve 8. člena Konvencije zaradi posega v zasebno, družinsko življenje in komunikacijo.

    ESČP je delavki priznalo širok krog pravice in presodilo, da je delodajalec neupravičeno posegal v njeno zasebnost. Ključni element sodbe je, da delavka ni bila vnaprej opozorjena, kdaj in v kakšnih primerih lahko delodajalec nadzira e-pošto. Ta sodba je torej izjemno pomembna tako za delodajalce kot za delavce, saj govori o mejah posega v delavčevo zasebnost pri komuniciranju s službenimi sredstvi (e-pošta, internet). Nekaj mnenj na to temo, ki se v celoti skladajo s to najnovejšo odločitvijo sodišča, je izdal tudi Informacijski pooblaščenec.
  • VON HANNOVER proti ZVEZNI REPUBLIKI NEMČIJI, št. 59320/00 z dne 24. 6. 2004

    Burda in ostale založniške hiše so redno objavljale fotografije Caroline Monaške, vendar je ta nekega dne na hamburškem sodišču zahtevala sodno prepoved objave nadaljnjih fotografij (iz serije fotografij, od katerih so nekatere že bile objavljene), na podlagi Ustave ter pravice do nadzora nad uporabo lastne podobe zagotovljene v Zakonu o avtorskih pravicah. Nacionalno sodišče ji je ugodilo le glede objave fotografij v Franciji, v Nemčiji pa naj bi se morala sprijazniti s tako publiciteto, saj se za javne osebe varstvo njihove zasebnosti konča za domačim pragom, vse sporne fotografije pa so bile posnete izključno na javnih krajih.

    ESČP je v sodbi ugotovilo, da ''zasebnost vključuje tudi elemente osebne identitete, kot sta ime in podoba. Zasebnost vključuje človekovo fizično in psihično integriteto, ki mu zagotavlja svoboden razvoj osebnosti v odnosih z drugimi ljudmi brez zunanjih vplivov.'' Monaška princesa je po mnenju ESČP le članica kraljeve družine in nima politične funkcije, kar bi bil sicer argument v prid prevlade svobode izražanja in pravice javnosti do obveščenosti pred njeno pravico do zasebnosti. ESČP je zato ugotovilo kršitev 8. člena EKČP.
  • HALFORD proti ZDRUŽENEMU KRALJESTVU, št. 20605/92 z dne 25. 6. 1997

    Gospa Halford je bila zaposlena na Policiji, delodajalec pa je zavrnil njene možnosti napredovanja. Pritožnica se je iz razloga diskriminacije na podlagi spola uradno pritožila, po vložitvi pritožbe pa je posumila, da delodajalec prisluškuje njenim zasebnim klicem, ki jih je opravila tudi prek službenega telefona, da bi pridobil informacije in dokaze v delovnopravnem sporu.

    Pritožnica je vložila pritožbo na ESČP zaradi kršitve 8. člena Konvencije, saj naj bi njen delodajalec neupravičeno prestrezal njene telefonske pogovore. ESČP je ugotovilo, da telefonski pogovori, ki jih je pritožnica opravila v službi in v službenem času sodijo v domet "zasebnega življenja" in "korespondence" v smislu 8. člena Konvencije, saj je po praksi Sodišča ta dva pojma treba razlagati široko. Glede prestrezanja telefonskih pogovorov s službenega telefona je ESČP ugotovilo kršitev 8. člena Konvencije. ESČP je torej razsodilo, da je poseg v komunikacijsko zasebnost nedopusten, če lahko prizadeti v konkretnem primeru in na podlagi vseh okoliščin pri svojem komuniciranju razumno pričakuje določen prostor zasebnosti in če je to njegovo pričakovanje upravičeno. Posameznik torej tudi na delovnem mestu in pri uporabi službene opreme lahko razumno pričakuje (določeno mero) zasebnosti.

 

Sodbe Sodišča Evropske unije

Sodišče Evropske unije zagotavlja spoštovanje evropskih predpisov in skrbi za enotno razlago evropskega pravnega reda. Sodišče poleg tega vodi tudi postopke proti državam članicam zaradi neizpolnjevanja obveznosti, postopke zaradi nezakonitega ravnanja organov Skupnosti, postopke zaradi opustitve dejanj, odškodninske postopke in postopke v zvezi s predhodnimi vprašanji.

 

  • FASHION ID proti NEMŠKI POTROŠNIŠKI ZVEZI, št. C‑40/17, z dne 29. julija 2019

    Sodišče Evropske unije je 27. julija 2019 v primeru »Fashion ID« odločilo sledeče:

    1. Upravljavec spletnega mesta, ki na svojo stran vstavi socialni vtičnik, ki brskalniku obiskovalca tega spletnega mesta omogoča, da za ponudnika vtičnika zbira osebne podatke obiskovalca in mu jih posreduje, se šteje za upravljavca osebnih podatkov.

    2. Upravljavec spletne strani in ponudnik socialnega vtičnika sta skupna upravljavca.

    3. Upravljavec spletne strani ima kot upravljavec določene obveznosti, ki so omejene na postopke obdelave osebnih podatkov, za katere dejansko določa namene in sredstva.

    V zadevi je šlo za to, da je nemško podjetje Fashion ID, ki se ukvarja s spletno prodajo modnih oblačil, na svoje spletno mesto vstavilo Facebookov gumb »Všeč mi je« oz. »Like« (gre za t.i. socialni vtičnik). Posledica takšne vstavitve je, da so osebnih podatki obiskovalca, kadar ta obišče spletno mesto z gumbom »Všeč mi je«, posredovani družbi Facebook Ireland. To posredovanje se izvede, ne da bi se navedeni obiskovalec tega zavedal in ne glede na to, ali je član družabnega omrežja Facebook in ali je kliknil na Facebookov gumb „Všeč mi je“.

    Sodišče Evropske unije je ugotovilo, da je družba Fashion ID z vstavitvijo takega socialnega vtičnika na svoje spletno mesto odločilno vplivala na zbiranje in posredovanje osebnih podatkov obiskovalcev navedenega spletnega mesta v korist družbe Facebook Ireland, do česar ne bi prišlo, če Fashion ID navedenega vtičnika ne bi vstavila. To pomeni, da sta družbi v tem delu skupna upravljavca, četudi upravljavec spletnega mesta v konkretnem primeru sam nima dostopa do osebnih podatkov, ki se posredujejo družbi Facebook.

  • Postopek na predlog finske Komisije za varstvo podatkov, predhodno odločanje - št. C‑25/17, z dne 10. julija 2018 v slovenščini - povzetek

    Finska komisija za varstvo podatkov je leta 2013 sprejela odločbo, s katero je članom skupnosti Jehovovih prič prepovedala zbiranje in obdelavo osebnih podatkov med oznanjevanjem od vrat od vrat, saj niso bili spoštovani zakonski pogoji za obdelavo osebnih podatkov. Člani Jehovovih prič so namreč v skladu z navodili skupnosti delali zapiske o obiskih pri osebah, med drugim so beležili ime in priimek, podatke o njihovem verskem prepričanju in družinskih razmerah, posledično naj bi župnije skupnosti tudi izdelale seznam oseb, ki so izrazile željo, da jih člani Jehovovih prič ne obiskujejo več. Po vložitvi pritožbe je finsko upravno sodišče odločbo odpravilo z obrazložitvijo, da verska skupnost ni upravljavec osebnih podatkov in da njena dejavnost ne pomeni nezakonite obdelave teh podatkov. Finski nadzornik za varstvo osebnih podatkov je sodbo izpodbijal pri vrhovnem upravnem sodišču, ki je na Sodišče Evropske unije naslovilo predlog v predhodno odločanje.

    Sodišče Evropske unije je razsodilo, da se zbiranje osebnih podatkov, ki ga opravijo člani verske skupnosti med oznanjevanjem od vrat do vrat in poznejša obdelava ne moreta šteti med strogo izjemo, ki izvzema obdelavo podatkov, ki se opravi med popolnoma osebno ali domačo dejavnostjo. Cilj je namreč širjenje vere med osebami, ki niso člani gospodinjstva oznanjevalcev in je dejavnost torej usmerjena iz zasebnega življenja oznanjevalcev. Sodišče je tudi poudarilo, da so kljub temu, da je bila obdelava podatkov neavtomatizirana, tako obdelani podatki še vedno del zbirke oz. so namenjeni sestavljanju dela zbirke. Pojem „zbirka“ zajema niz osebnih podatkov, zbranih med oznanjevanjem od vrat do vrat, v katerem so imena, naslovi in drugi podatki o obiskanih osebah, če so ti podatki strukturirani v skladu s posebnimi merili, ki v praksi omogočajo, da se ti podatki za potrebe poznejše uporabe enostavno najdejo. Da bi tak niz spadal pod ta pojem, ni potrebno, da je sestavljen iz kartotek, posebnih seznamov in drugih sistemov razvrščanja.

    Sodišče je tudi razsodilo, da se verska skupnost skupaj s svojimi oznanjevalci šteje za upravljavca osebnih podatkov, ki jih oznanjevalci obdelujejo med oznanjevanjem od vrat do vrat, ki ga ta skupnost organizira, usklajuje in spodbuja, pri čemer ni potrebno, da ima ta skupnost dostop do teh podatkov, niti ni treba dokazati, da je svojim članom dala pisne smernice ali navodila v zvezi s to obdelavo.

  • Postopek na predlog nemškega upravnega sodišča, predhodno odločanje - št. C-210/16, z dne 5. junija 2018 v slovenščini - povzetek

    Neodvisni organ dežele Schleswig‑Holstein za varstvo podatkov Unabhängiges Landeszentrum für Datenschutz Schleswig‑Holstein (v nadaljevanju: ULD) je leta 2011 družbi Wirtschaftsakademie, specializirani na področju izobraževanja, odredil naj svojo Facebook stran (Fan Page) izklopi. Po mnenju ULD družbi Wirtschaftsakademie in Facebook obiskovalcev Facebook strani nista obvestili o tem, da je Facebook zbiral njihove osebne podatke in da sta ti družbi nato te podatke obdelovali. Skrbniki Facebook strani lahko namreč s funkcijo Vpogledi (Facebook Insight), ki jim jo pod nespremenljivimi pogoji uporabe brezplačno zagotavlja Facebook, pridobijo anonimne statistične podatke o obiskovalcih teh strani. Ti podatki se zbirajo s piškotki, od katerih vsak vsebuje edinstveno kodo uporabnika, ki so aktivne dve leti in ki jih Facebook shrani na pomnilnik obiskovalčeve naprave.

    Družba Wirtschaftsakademie je pri nemških upravnih sodiščih zoper to odločbo vložila tožbo, v kateri je trdila, da ji ni mogoče pripisati odgovornosti za obdelavo osebnih podatkov, ki jo je izvajala družba Facebook. Nemško upravno sodišče je na Sodišče Evropske unije naslovilo predlog za razlago Direktive 95/46 o varstvu podatkov.

    Sodišče Evropske unije je v precedenčnem primeru ugotovilo, da je treba ameriško družbo Facebook in njeno hčerinsko družbo Facebook Ireland šteti za »upravljavki« osebnih podatkov uporabnikov Facebooka in tudi oseb, ki so Facebook strani obiskale, saj ti družbi določata namene in sredstva obdelave teh podatkov. Sodišče je tudi ugotovilo, da je treba za skrbnika, kot je družba Wirtschaftsakademie, šteti, da je v Uniji z družbo Facebook Ireland solidarno odgovoren za obdelavo podatkov. Tak skrbnik z izbiro nastavitev sodeluje pri določanju namena in sredstev obdelave osebnih podatkov obiskovalcev njegove Facebook strani (Fan Page). Skrbnik Facebook strani namreč s tem, da ustvari tako stran, Facebooku omogoči, da namesti piškotke na napravo osebe, ki je obiskala njegovo stran oboževalcev, ne glede na to, ali ima ta oseba račun na Facebooku.

    Sodišče je še pojasnilo, da je nadzorni organ države članice, kadar namerava izvajati pooblastila za posredovanje iz Direktive 95/464 zaradi kršitev pravil v zvezi z varstvom osebnih podatkov, ki jih je storila tretja oseba, ki je odgovorna za obdelavo teh podatkov in ki ima sedež v drugi državi članici (v obravnavanem primeru Facebook Ireland), pristojen za to, da neodvisno od nadzornega organa drugonavedene države članice (Irske) opravi presojo zakonitosti take obdelave podatkov.
  • Peter Nowak proti Data Protection Commissioner - zadeva C-434/16, z dne 20. decembra 2017 v slovenščini - povzetek

    Peter Nowak je kot pripravnik za poklic računovodje opravil prvostopenjske računovodske izpite in tri drugostopenjske izpite pri irski zbornici računovodij, finančnikov in revizorjev. Neuspešen pa je bil pri izpitu „računovodstvo strateškega financiranja in upravljanja“. Po neuspešnem poskusu na tem izpitu je najprej vložil ugovor, s katerim je izpodbijal rezultat tega izpita. Ko je bil njegov ugovor zavrnjen, je vložil zahtevo za dostop do vseh osebnih podatkov, ki se nanj nanašajo in ki jih ima zbornica računovodij, finančnikov in revizorjev. Zbornica mu je posredovala 17 dokumentov, zavrnila pa je posredovanje njegovega izpitnega izdelka z obrazložitvijo, da ta ne vključuje osebnih podatkov.

    Sodišče EU je najprej poudarilo, da je kandidat na poklicnem izpitu fizična oseba, ki se lahko identificira neposredno zaradi svojega imena ali posredno zaradi identifikacijske številke, ki je na izpitnem izdelku ali na naslovni strani tega izdelka. Sodišče EU je nato ugotovilo, da so pisni odgovori, ki jih je na poklicnem izpitu dal kandidat, ter morebitni komentarji popravljavca, ki so s temi odgovori povezani, informacije, ki se na tega kandidata nanašajo. V zvezi s tem pojasnjuje, da uporaba izrazov „katera koli informacija“ v opredelitvi pojma „osebni podatek“ iz Direktive Evropskega parlamenta in Sveta 95/46/ES z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov vključuje raznovrstne informacije, tako objektivne kot subjektivne v obliki mnenj ali presoj, če se te „nanašajo“ na zadevno osebo. Če je informacija zaradi svoje vsebine, namena ali učinka povezana z določeno osebo, je to osebni podatek. Sodišče EU je nenazadnje še pojasnilo, da pravici do dostopa in popravka ne zajemata izpitnih vprašanj, ki kot taka niso osebni podatki kandidata. Pravo Unije določa nekatere omejitve teh pravic, države članice lahko tako sprejmejo zakonodajne ukrepe za omejitev obsega predvidenih obveznosti in pravic, če taka omejitev pomeni potrebni ukrep za zaščito pravic in svoboščin drugih.

  • Camera di Commercio,Industria, Artigianato e Agricoltura di Lecce proti Salvatoreju Manniju, št. C‑398/15 z dne 9. 3. 2017

    S. Manni je poslovodja družbe, ki ji je bilo oddano naročilo za gradnjo turističnega kompleksa v Italiji. Trdil je, da se nepremičnine v tem kompleksu niso prodale, ker je bilo iz registra družb razvidno, da je bil S. Manni tudi poslovodja druge družbe, ki je bila leta 2005 izbrisana iz registra zaradi stečaja. Zato je decembra 2007 vložil tožbo proti pristojni gospodarski zbornici. V tožbi je zahteval, da gospodarska zbornica izbriše, anonimizira ali blokira podatke, ki ga povezujejo s stečajem, in mu povrne škodo, ki jo je utrpel zaradi okrnitve ugleda.

    Sodišče mu je v obeh zahtevkih ugodilo in ocenilo,  da »vpisi, ki ime fizične osebe povezujejo s kritično fazo poslovanja podjetja (kot je stečaj), ne morejo biti trajni, če ne obstaja poseben splošni interes za njihovo hranjenje in razkritje.« Ker v veljavni zakonodaji ni določeno najdaljše trajanje vpisa, je sklenilo, da po določenem času od konca stečaja družbe in od njenega izbrisa iz registra družb ni več potrebe in interesa za navedbo imena edinega poslovodje te družbe ob stečaju. Javnemu interesu za »zgodovinski spomin« o obstoju družbe in težavah, s katerimi se je srečevala, je namreč povsem mogoče zadostiti tudi z anonimnimi podatki.

    Gospodarska zbornica se je zoper sodbo pritožila. Pritožbeno sodišče je Sodišču EU postavilo predhodno vprašanje, ali Direktiva o varstvu osebnih podatkov1 in Direktiva o objavi dokumentov družb2 nasprotujeta temu, da lahko vsakdo brez časovnih omejitev dostopa do osebnih podatkov, ki jih vsebuje register družb.

    Sodišče EU je ugotovilo, da objava osebnih podatkov posameznikov v registrih družb ne pomeni nesorazmernega posega v njihove pravice, kadar gre za objavo na podlagi Direktive o objavi dokumentov družb. V register družb se namreč vpiše samo omejeno število osebnih podatkov. Poleg tega gre za posameznike, ki se odločijo, da bodo na trgu sodelovali preko gospodarskih družb, pri čemer tretjim osebam kot jamstvo ponujajo le premoženje te družbe. Javnost registrov družb (in določenih osebnih podatkov v teh registrih) je tako namenjena zagotavljanju pravne varnosti v razmerjih med družbami in tretjimi osebami ter varovanju interesov tretjih oseb v razmerju do družb.

    Pri tem se še več let po prenehanju družbe lahko pojavijo vprašanja, za odgovor na katera je treba razpolagati z osebnimi podatki iz registra družb. Zato ni mogoče jamčiti, da se bodo po določenem času od prenehanja družbe osebni podatki izbrisali iz registra družb. Praktično nemogoče je namreč za vse države članice določiti enoten rok, po poteku katerega objava podatkov v registru ne bi bila več potrebna.

    Vendar pa se lahko v posebnih primerih, ko preteče dovolj časa od prenehanja družbe, dostop do osebnih podatkov iz registra družb omeji na osebe, ki izkažejo poseben interes za vpogled v te podatke. Takšna omejitev je upravičena izjemoma, kadar gre za zakonite in nujne razloge, povezane s konkretnim primerom fizične osebe. Vsaka država članica se mora odločiti, ali želi tako omejitev dostopa v svojem pravnem redu. Samo okoliščina, da se objekti v turističnem kompleksu ne prodajajo zato, ker imajo potencialni kupci dostop do podatkov v registru družb, za takšno omejitev dostopa do osebnih podatkov ne zadošča. To velja zlasti ob upoštevanju legitimnega interesa tretjih oseb, da razpolagajo s temi informacijami.

 

  • RYNEŠ proti ÚŘAD PRO OCHRANU OSOBNÍCH ÚDAJŮ, št. C-212/13 z dne 11. 12. 2014

    Sodišče EU je odločilo, da uporaba videonadzornega sistema, ki ga je sicer posameznik namestil na družinsko hišo zaradi varovanja premoženja, zdravja in življenja lastnikov hiše, vendar pa se z njim nadzira tudi javni prostor, ne pomeni obdelave podatkov, ki se opravi med potekom popolnoma osebne ali domače dejavnosti v smislu določbe 2. alineje drugega odstavka 3. člena Direktive 95/46/ES o varstvu osebnih podatkov. Glede na navedeno določbo Direktive se namreč direktiva ne uporablja za obdelavo osebnih podatkov s strani fizične osebe med potekom popolnoma osebne ali domače dejavnosti. Kadar torej posameznik pri opravljanju videonadzora nad lastnim premoženjem s snemanjem zajame tudi javni prostor, se ne šteje, da gre za popolnoma osebno ali domačo dejavnost, in se uporabljajo določbe Direktive o varstvu osebnih podatkov.

  • Združeni zadevi DIGITAL RIGHTS IRELAND LTD proti MINISTER FOR COMMUNICATIONS in drugim, in SEITLINGER in drugi, C-594/12, z dne 8. 4. 2014

    EU je leta 2005, kmalu po terorističnih napadih v Londonu in Madridu, sprejela Direktivo o obvezni hrambi prometnih podatkov št. 2006/24/ES, v skladu s katero so morale države nacionalnim operaterjem javno dostopnih komunikacijskih storitev naložiti hrambo prometnih podatkov o javnih telekomunikacijskih storitvah (telefonija, mobilna telefonija, e-poštna, povezovanje v internet) za obdobje do 24 mesecev, za potrebe nacionalne varnosti in pregona hudih kaznivih dejanj. Direktivi so že v času sprejemanja nasprotovale številne nevladne organizacije, zatrjujoč, da obvezna hramba podatkov o vseh uporabnikih komunikacijskih sredstev krši njihove ustavne pravice. Sodišče EU je obravnavalo predhodni vprašanji v zvezi z dvema takšnima pritožbama na Irskem oz. v Avstriji.

    Velja dodati, da je Sodišče EU svojo odločitev podalo v letu po objavi razkritij Edwarda Snowdna, ki so pokazala na številne vprašljive prakse množičnega zbiranja in uporabe prometnih podatkov in tudi vsebine komunikacije s strani številnih ameriških in evropskih varnostno-obveščevalnih oz. policijskih služb.

    Sodišče EU je v svoji presoji ugotovilo, da neselektivna in obvezna hramba prometnih podatkov ustvarja obsežne zbirke osebnih podatkov, iz katerih bi bilo mogoče dognati zelo natančne ugotovitve o uporabnikih storitev, med drugim njihove vsakodnevne navade, kraj bivanja, kje se gibljejo vsakodnevno oz. sicer, kaj počno, ter s kom stopajo v stik. Prav tako je ugotovilo, da direktiva slabo zamejuje pogoje rabe hranjenih podatkov, tako glede vrst kaznivih dejanj, glede katerih je dostop sploh možen, kot tudi glede ukrepov za zavarovanje podatkov pred nepooblaščenimi dostopi. Posledično je ugotovilo, da direktiva nesorazmerno krši pravico javnih komunikacijskih storitev do njihove zasebnost, ter je direktivo odpravilo.

    Sodbi EU je s sodbo v zvezi z ugotavljanjem ustavne skladnosti XIII. Poglavja Zakona o elektronskih komunikacijah sledilo tudi naše Ustavno sodišče.
  • BAVARIAN LAGER CO LTD. proti KOMISIJI, C-28/08 z dne 29. 6. 2010

    Podjetje Bavarian Lager Co. Ltd, s sedežem v Veliki Britaniji, ki se ukvarja z uvozom nemškega piva, je zahtevalo dostop do celotnega seznama udeležencev sestanka predstavnikov pivovarske industrije in ostalih udeležencev na določenem protikartelnem srečanju v letu 1996.

    Evropska komisija je zavrnila dostop do zahtevanih dokumentov, iz katerih so bila razvidna imena lobistov, s sklicevanjem na varstvo osebnih podatkov. Komisija je prosilcu sicer posredovala zapisnik srečanja, ob tem pa iz seznama udeležencev črtala imena petih ljudi z argumentom, da sta dve osebi razkritju njunih identitet nasprotovali, s tremi pa Komisija ni mogla stopiti v stik. Po navedbah Komisije, ni razkritje teh petih imen spodkopalo varstvo zasebnosti in integritete posameznika.

    Sodišče prve stopnje je to odločitev Komisije razglasilo za nično, saj je pravica do dostopa do dokumentov evropske institucije pretehtala nad pravico do varstva osebnih podatkov posameznikov. Vendar je Sodišče Evropske unije (torej druga stopnja) presodilo drugače in odločilo, da pravica posameznikov do varstva osebnih podatkov pretehta.
  • BODIL LINQVIST proti KOMISIJI, št. C-101/01 z dne 6. 11. 2003

    Ga. Lindqvist je za potrebe svoje cerkve naredila spisek svojih sodelavcev z njihovimi osebnimi podatki (tudi telefonske številke in celo podatek o zdravstvenem stanju enega sodelavca). Spisek je objavila na internetu, vendar ga je umaknila takoj, ko so se sodelavci začeli pritoževati. Tožilstvo je zoper njo sprožilo postopek zaradi avtomatske obdelave podatkov, objave podatkov brez privoljenja in posredovanje podatkov tretjim državam (preko interneta) brez avtorizacije. Gospa je dobila denarno kazen.

    Nacionalno sodišče sprašuje SES: 1. Ali pomeni objava podatkov na internetu avtomatizirano obdelavo podatkov? DA, ker ima uporabnik možnost aplikacije »iskalnik«, kar že pomeni obdelavo podatkov. 2. Ali je posredovanje osebnih podatkov na zasebno domačo stran, ki jo lahko obiščejo le osebe, ki poznajo naslov, resnično kršitev varstva osebnih podatkov? DA. 3. Ali je podatek, da si je sodelavec zlomil nogo in da zaradi dela le polovični delovni čas kršitev določbe, da se zdravstvenih podatkov na sme obdelovati? DA. 4. Ali je kršitev prepovedi posredovanje podatkov tretjim državam brez avtorizacije, če oseba na Švedskem objavi podatke na internetni strani, ki je shranjena na švedskem strežniku? DA, ker pri uporabi interneta vedno obstaja možnost, da podatke dobi oseba iz tretje države. Vendar v konkretnem primeru sodišče ni štelo ravnanja ge. Lindquist kot iznos osebnih podatkov v tretje države, ker je pri iznosu potrebno upoštevati protokol, ki pa ni zavezujoč za fizične osebe. 5. Kako uravnotežiti svobodo izražanja s pravico do varstva osebnih podatkov? Sodišče odgovarja, da je to naloga nacionalnih sodišč in zakonodajalca. Sodišče opozarja, da je pri presojanju kršitve treba biti pozoren na konflikt z ostalimi temeljnimi pravicami (prosti pretok podatkov, svoboda izražanja, dostop do informacij) in pri kaznovanju kršitve nujno upoštevati sorazmernost.

  • ADIDAS AG proti ŠVEDSKEMU CARINSKEMU URADU, št. C-223/98 z dne 14. 10. 1999

    Družba Adidas je švedskemu carinskemu uradu prijavila obstoj ponaredkov, ki naj bi se pojavili na trgu, ter carinski urad zaprosila za dokumente, ki bi razkrili identiteto kršitelja, ki so mu zasegli ponaredke, da bi lahko proti njemu sprožil postopek pred sodiščem. Carinski urad je zavrnil zahtevo za dostop do dokumentov zaradi varovanja zaupnih informacij.

    Zaradi zavrnitve se je Adidas pritožil na nacionalno sodišče, ki je zaprosilo za mnenje Sodišča Evropske unije (takrat Sodišča Evropske skupnosti). Vprašanje za Sodišče se je glasilo, ali Uredba Sveta EU št. 3295/94 o ukrepih za prepoved sprostitve ponarejenega in piratskega blaga v prosti promet izvoz, ponoven izvoz ali za uvedbo odložnega postopka preprečuje razkritje identitete kršitelja imetniku zavarovane blagovne znamke.

    Sodišče EU je opozorilo, da daje predmetna Uredba glavno vlogo glede preprečevanja ponarejenega in piratskega blaga imetniku pravic intelektualne lastnine. Posledično je učinkovita uporaba Uredbe neposredno odvisna od tega, katere informacije so posredovane imetniku pravic intelektualne lastnine. Če imetniku pravic identiteta kršitelja ni na voljo, ta ne more sprožiti ustreznih postopkov pred nacionalnimi organi. Določbe Uredbe, ki se sklicuje na varovanje osebnih podatkov in poslovnih skrivnosti, torej ni dopustno razlagati, kot da preprečuje razkritje identitete kršitelja, saj je to potrebno za zavarovanje pravic imetnika pravic intelektualne lastnine. Sodišče je še poudarilo, da Uredba vsebuje več varovalk, ki preprečujejo, da bi imetnik pravic zlorabil podatke kršitelja.

 

1 Direktiva Evropskega parlamenta in Sveta 95/46/ES z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (UL, posebna izdaja v slovenščini, poglavje 13, zvezek 15, str. 355).

2 Prva direktiva Sveta 68/151/EGS z dne 9. marca 1968 o uskladitvi zaščitnih ukrepov za varovanje interesov družbenikov in tretjih oseb, ki jih države članice zahtevajo od gospodarskih družb v skladu z drugim odstavkom člena 58 Pogodbe, zato da se oblikujejo zaščitni ukrepi z enakim učinkom v vsej Skupnosti (UL, posebna izdaja v slovenščini, poglavje 17, zvezek 1, str. 3), kakor je bila spremenjena z Direktivo 2003/58/ES Evropskega parlamenta in Sveta z dne 15. julija 2003 (UL, posebna izdaja v slovenščini, poglavje 17, zvezek 1, str. 304).