INFORMACIJSKI POOBLAŠČENEC LETNO POROČILO ZA LETO 2024 UVODNA BESEDA INFORMACIJSKE POOBLAŠČENKE Spoštovani, pred vami je letno poročilo Informacijskega pooblaščenca za leto 2024. Uvodno besedo pišem kot nova informacijska pooblaščenka, tretja po vrsti od ustanovitve samostojnega in neodvisnega organa, ki bdi nad izvrševanjem pravice do informacij javnega značaja in pravice do varstva osebnih podatkov. Čeprav nova na tem odgovornem položaju, sem že več kot 15 let del ekipe, ki na Informacijskem pooblaščencu deluje na področju varstva osebnih podatkov, kot vodja mednarodnega sodelovanja pa sem vodila tudi aktivnosti Informacijskega pooblaščenca v Evropskem odboru za varstvo podatkov. Tako lahko z gotovostjo trdim, da je Informacijski pooblaščenec institucija v dobri strokovni kondiciji in da upravičuje ugled, ki ga uživa v javnosti. Za to gre zahvala zlasti odličnim sodelavcem, ki so izjemno strokovni in predani svojemu delu ter dan za dnem skrbijo, da se uveljavljajo visoki standardi na vseh področjih našega dela. Hvaležna sem za priložnost, da lahko k uspešnemu delu organa prispevam tudi kot njihova predstojnica. Poslanstvo Informacijskega pooblaščenca je varovanje dveh pravic, obe pa je treba razumeti tudi kot podstat za uresničevanje naših drugih temeljnih pravic. Varovanje osebnih podatkov in razkrivanje informacij javnega značaja sta v digitaliziranem svetu upodatkovljenih posameznikov, algoritmov in umetne inteligence vse pogosteje temelja, na katerih se borimo proti diskriminaciji, posegom v svobodo govora, svobodo gibanja in svobodne volitve. Grajenje kulture transparentnosti pa je nujen pogoj za uresničevanje pravic v demokratični družbi. Letno poročilo podrobno prikazuje delo Informacijskega pooblaščenca v letu 2024, s statistikami in primeri iz prakse, v vsem (vsako leto večjem) obsegu in vse večji kompleksnosti. Te vrstice pa namenjam nekaterim uvodnim poudarkom, predvsem izzivom, s katerimi se srečujemo, ter orisu strategij, s katerimi jih bomo naslavljali. Med izzivi je treba posebej izpostaviti kadrovsko stisko. Primerjava naših letnih poročil pokaže, da Informacijski pooblaščenec vsako leto obravnava več zadev, vendar pa se to doslej ni odrazilo v zadostni rasti števila zaposlenih oziroma zadostni rasti sredstev, ki bi nam omogočala izpolnitev našega kadrovskega načrta. Ne le to – ob prevzemu mandata oziroma leta 2024 je bilo na Informacijskem pooblaščencu le 45 zaposlenih, najmanj od leta 2019 naprej. Ključno je, da so Informacijskemu pooblaščencu namenjena ustrezna proračunska sredstva, na kar smo aktivno opozarjali pristojno ministrstvo. Tudi Evropska komisija v svoji zadnji evalvaciji delovanja Splošne uredbe o varstvu podatkov poudarja, da smo nadzorni organi generalno podhranjeni in da moramo imeti dovoljšna sredstva za izvrševanje svojih pristojnosti. Aktivnostim za kadrovsko okrepitev smo v drugi polovici leta 2024 posvečali veliko pozornosti. Iskanje novih sodelavcev, strategije za pritegnitev mlajših strokovnjakov, sodelovanje s fakultetami in promocija dela pri Informacijskem pooblaščencu so področja, kjer bomo dosedanjim strategijam sledili tudi vnaprej. Informacijski pooblaščenec dobiva nove pristojnosti iz aktov digitalne agende EU, že porast nadzornih, pritožbenih in drugih postopkov, ki se je zgodil po uveljavitvi Splošne uredbe o varstvu podatkov, pa nas je prignal na rob zmogljivosti. Na področju dostopa do informacij javnega značaja nam Zakon o dostopu do informacij javnega značaja že več kot 20 let nudi dobro podlago za uresničevanje pravice vedeti. Slovenija je na tem področju zgled marsikateri državi, tudi v EU. Nedavno ratificirana Tromso konvencija nas postavlja ob bok državam z najbolj odprtim in preglednim javnim sektorjem. Informacijski pooblaščenec je tu pritožbeni organ, ki odloča o pritožbah prosilcev zoper neodzivnost zavezancev (t. i. molk organa) in zoper zavrnilne odločitve. Pritožbeni postopki vselej stremijo k odpiranju informacij, s čimer Informacijski pooblaščenec pomembno prispeva k uspešnemu razvoju transparentnosti javnega sektorja. Ker je pri pridobivanju informacij, še posebej kadar so prosilci novinarji in mediji, čas bistvenega pomena, mora biti v pritožbenih postopkih zagotovljeno hitro in učinkovito pravno varstvo. Informacijski pooblaščenec je v letu 2024 postopke vodil hitro in učinkovito (povprečen čas reševanja 30 dni) in taka ostaja naša usmeritev tudi za prihodnje. Izziv, s katerim se prav tako soočamo, je konstantno naraščanje števila zadev, ki jih obravnavamo – lani smo obravnavali 10 % več pritožb kot leto poprej, skupno pa največ od ustanovitve. Največ pritožb je vloženih zoper državne organe (vlada z ministrstvi, upravne enote, organi v sestavi), ki v praksi prejme tudi največ zahtev. Razveseljivo je, da je po večletnem naraščanju lansko leto padlo število pritožb zaradi molka organa, kar nakazuje, da so bili zavezanci bolj odzivni na zahteve po dostopu do informacij javnega značaja. Zelo pa se je povečalo število pritožb zoper občine ter število pritožbenih zadev, ki so se nanašale na okoljske podatke. V večini slednjih je Informacijski pooblaščenec naložil razkritje takih podatkov, saj zakon zanje določa najvišjo stopnjo transparentnosti in v teh primerih ne pride v poštev nobena zakonska izjema. Postopki dostopa do informacij javnega značaja so vsebinsko vse kompleksnejši in procesno vedno bolj zahtevni. Zato smo v letu 2024 ob svetovnem dnevu pravice vedeti skupaj z Ministrstvom za javno upravo izvedli izjemno številčno obiskano spletno usposabljanje Po poteh ZDIJZ – od A do Ž. Izobraževalni materiali so uradnim osebam dostopni tudi na naši spletni strani. V prihodnosti načrtujemo še več aktivnosti na področju ozaveščanja in izobraževanja. Področje varstva osebnih podatkov se zadnjih deset let korenito spreminja. Ima zelo izrazito evropsko komponento, saj primarna regulacija področja prihaja s strani EU. Tudi leto 2024 je v marsikaterem pogledu zaznamoval novi Zakon o varstvu osebnih podatkov, ki je začel veljati leta 2023 in je prinesel nekaj pomembnih novih postopkovnih določb. Predpisal je specifičen način sankcioniranja kršitev, ki odpira različna vprašanja glede izvajanja teh pooblastil. Povsem na novo je določil institut posameznika s posebnim položajem, ki v nadzornem postopku pred Informacijskim pooblaščencem nastopa kot stranka. Tudi to je novost v slovenskem administrativnem pravu in odpira vprašanja. V naslednjih letih bo zato potrebno povezovanje s prakso drugih sorodnih organov v EU, ki Splošno uredbo izvajajo že več let. Informacijski pooblaščenec je na nejasnosti zakona aktivno opozarjal resorno ministrstvo, ki je pristopilo k organizaciji delovne skupine za oceno delovanja zakona, na podlagi katere bodo, upamo, da čim prej, razjasnjene dileme, s katerimi se srečujemo v postopkih nadzora. Informacijski pooblaščenec je na področju varstva osebnih podatkov prvenstveno nadzorni organ, ki izvaja inšpekcijski nadzor, vodi postopke na podlagi prijav prijaviteljev s posebnim položajem, obravnava pritožbe posameznikov in vodi postopke o prekršku. Zakonodaja nam nalaga tudi posvetovalne naloge – vsako leto izdamo veliko število mnenj, mnenj na predpise in na ocene vpliva na varstvo podatkov. Tu uporabljamo tudi druga orodja za spodbujanje skladnosti pri upravljavcih in ozaveščanje: izvajamo različne preventivne dejavnosti, objavljamo smernic in ciljane informacije. Na področju nadzora zadnja leta beležimo rast skupnega števila obravnavanih zadev zlasti na račun številnih čezmejnih postopkov sodelovanja. Največ prijav glede kršitev se je v letu 2024 nanašalo na izvajanje videonadzora. Sledile so prijave zaradi suma nezakonitega razkrivanja in posredovanja osebnih podatkov neupravičenim osebam (tako zaradi nenamenske človeške napake kot tudi zaradi povsem nezakonitih namenov), nezakonitega ali prekomernega zbiranja osebnih podatkov, uporabe osebnih podatkov za namene neposrednega trženja, neustreznega zagotavljanja varnosti osebnih podatkov ter nezakonitih vpogledov v zbirke osebnih podatkov. V zvezi s slednjim vodimo tudi največ prekrškovnih postopkov. Pogosto se v postopkih izkaže, da bi lahko upravljavci marsikatero prijavo preprečili, če bi ob zbiranju ali pridobitvi osebnih podatkov posameznikom zagotovili pregledne, razumljive in lahko dostopne informacije. Stalnica so tudi pritožbe zaradi neupoštevanja pravice do seznanitve z lastnimi osebnimi podatki. Nadzornim in pritožbenim zadevam, ki jih je bilo v letu 2024 skupaj z zadevami čezmejnega sodelovanja več kot 1500, vsako leto dodamo še podobno količino preventivnih, posvetovalnih zadev – mnenj, posvetovanj, mnenj na zakonodajo itd. In vrh tega v zadnjih letih dodamo še vedno rastočo količino aktivnosti, ki jih Informacijski pooblaščenec izvaja v okviru Evropskega odbora za varstvo podatkov – ta obsega 20 strokovnih podskupin, sprejema smernice, pa tudi zavezujoča mnenja. Ni pričakovati, da bi se ta trend v naslednjih letih obrnil, nasprotno, zaradi vse večjih pristojnosti Informacijskega pooblaščenca, tudi po sektorskih zakonih ter zaradi ozaveščenosti javnosti, lahko pričakujemo tako naraščanje števila postopkov kot tudi to, da bodo postopki vse bolj kompleksni. V naši posvetovalni vlogi so izzive v lanskem letu zlasti predstavljale teme digitalizacije velikih podatkovnih sistemov v državi, med njimi predlog zakona digitalizacije zdravstva, glede katerega smo opozarjali na mnoge pomanjkljivosti. Upoštevanje pripomb glede varstva osebnih podatkov izboljša procese digitalizacije, zmanjša tveganje, da bi bili podatki razkriti, napačno obdelani, da bi posamezniki občutili negativne posledice. Tu ne gre le za varovanje zasebnosti posameznikov, temveč za veliko več: napake pri obdelavah podatkov v zdravstvu lahko pomenijo tveganje za življenje posameznika, nepremišljena obdelava podatkov z umetno inteligenco lahko pomeni, da državljan ne bo deležen storitve ali ne bo prejel sredstev, čeprav je do njih upravičen, dopuščanje obdelav podatkov za druge namene lahko pomeni, da nas zasledujejo oglasi za vprašljiva zdravila in da oglaševalci izkoriščajo našo ranljivost. Še posebej je to pomembno, ko gre za mladostnike in starejše, saj so ti bolj ranljivi za zlorabe. Pomembna tema leta 2024 je bila umetna inteligenca. Veliko smo se ukvarjali z vprašanji nadzora nad novim Aktom o umetni inteligenci ter s procesi implementacije številnih drugih aktov evropske digitalne strategije, ki prinašajo nove obveznosti in dolžnosti najrazličnejšim organizacijam v javnem in zasebnem sektorju, da bi naslovili tveganja in škodljive učinke, ki jih imajo sodobne tehnologije na posameznikove pravice in svoboščine. Za integracijo evropskih aktov v nacionalni pravni red so odgovorna različna resorna ministrstva, Informacijski pooblaščenec pa je v tem procesu sodeloval s pripravo mnenj in odzivov glede pooblastil in pristojnosti, ki se tičejo našega dela. Naslednje desetletje pogosto imenujem »obdobje varstva podatkov 3.0«. V zadnjih tridesetih letih smo v EU vzpostavili trden sistem za varstvo podatkov in okrepili pravice posameznikov. Umetna inteligenca in digitalizacija pa nedvomno prinašata nova tveganja. Zelo pomembno je, da se raven varstva, ki je dosežena s Splošno uredbo o varstvu podatkov, zaradi prepletanj z novimi akti EU digitalne agende ne zniža. Izzivov nam vsekakor ne bo zmanjkalo. Naša strokovnost in zavzetost, o kateri priča letno poročilo, pa zagotavljata, da se bomo na Informacijskem pooblaščencu z njimi tudi v prihodnje soočali pogumno in uspešno. dr. Jelena Virant Burnik, informacijska pooblaščenka STRNJEN PREGLED LETA Dostop do informacij javnega značaja Na področju dostopa do informacij javnega značaja je Informacijski pooblaščenec v letu 2024 obravnaval 1.146 zadev, kar je 125 več kot v letu 2023 (12-odstotni porast) in največ od ustanovitve. 776 je bilo vloženih pritožb (od tega 488 pritožb zoper zavrnilne odločbe, 276 pritožb zaradi molka organa ter 12 pritožb zoper poslovne subjekte pod prevladujočim vplivom), v 370 zadevah pa je Informacijski pooblaščenec odgovoril na zaprosila zavezancev in prosilcev glede procesnih vprašanj ter jih napotil na svojo prakso. Povprečen čas reševanja pritožbene zadeve je bil 30 dni. Glede na leto 2023 je skupno število pritožb v letu 2024 vnovič naraslo (za 10 %), kar je trend, ki ga Informacijski pooblaščenec zaznava že zadnjih nekaj let. V skupnem deležu pritožb je delež pritožb zoper zavrnilne odločbe znašal 63 %, kar je več kot preteklo leto. Pri tem je razveseljiv kazalnik, da se je po več letih naraščanja zmanjšalo skupno število pritožb zaradi molka organa. V letu 2024 je bilo teh pritožb 276, kar je 10 % manj kot v letu 2023 (302). To pomeni, da so bili zavezanci v primerjavi z letom poprej v splošnem bolj odzivni in so manjkrat zamudili rok za posredovanje informacij javnega značaja, stopnja transparentnosti pa se je posledično zvišala. Kot v preteklem letu je Informacijski pooblaščenec tudi leta 2024 prejel največ pritožb zoper državne organe (državna uprava in drugi državni organi), ki so največja skupina zavezancev ter posledično prejmejo največ zahtev za posredovanje informacij javnega značaja. Ob tem je razveseljiv podatek, da se je zoper to skupino zavezancev bistveno zmanjšalo število pritožb zaradi molka (za 27 %), žal pa se je povečalo število pritožb zoper občine. V primerjavi z letom 2023 se je v letu 2024 zoper to skupino zavezancev število vseh pritožb povečalo za 58 % (s 137 v letu 2023 na 217 v letu 2024), kar je izjemno visok porast. Da bi ustavili ta negativni trend, bodo morale občine temu področju nameniti (še) več pozornosti. Postopki dostopa do informacij javnega značaja so v praksi vsebinsko vse kompleksnejši in procesno vedno bolj zahtevni, zato naj zavezanci za uradne osebe za posredovanje informacij javnega značaja imenujejo osebe z ustreznim strokovnim (pred)znanjem in dobrim poznavanjem vodenja upravnega postopka na prvi stopnji, vse zaposlene pa naj seznanijo z osnovnimi obveznostmi, ki jih prinaša zakon. Informacijski pooblaščenec priporoča tudi periodično usposabljanje za vse nove in že imenovane uradne osebe za dostop do informacij javnega značaja. Kot že vsa leta do zdaj je Informacijski pooblaščenec tudi v letu 2024 zoper poslovne subjekte pod prevladujočim vplivom vodil izjemno malo postopkov (12 zadev, kar je 1,5 % vseh pritožbenih zadev). To gre pripisati dejstvu, da so ti zavezanci za dostop do informacij javnega značaja zavezani le v ozkem delu svoje dejavnosti, ki ga zakon natančno določa (le glede pravnih poslov za izdatke, upravljanja s stvarnim premoženjem in izplačil poslovodnim osebam), obenem pa ZDIJZ zanje določa široko obveznost proaktivne objave, po kateri morajo večino absolutno javnih informacij že sami objaviti na svojih spletnih straneh. V letu 2024 se je vnovič povečalo število pritožbenih zadev, ki so se nanašale na okoljske podatke. Od tega je Informacijski pooblaščenec le v dveh primerih pritožbo prosilca zavrnil, v vseh ostalih pa je pritožbi delno ali v celoti ugodil in odločil, da morajo zavezanci prosilcu posredovati zahtevane okoljske podatke. Navedeno kaže na to, da so zavezanci slabo seznanjeni z definicijo okoljskega podatka oziroma v praksi zahtevanih podatkov ne prepoznajo kot okoljske podatke. Informacijski pooblaščenec zavezance poziva, naj pri odločanju o okoljskih informacijah postopajo v korist transparentnosti, v teh postopkih pa naj se odločajo še posebej skrbno. Okoljski podatki se namreč vedno nanašajo na širši krog ljudi, njihovo razkritje pa je v javnem interesu. Prav za okoljske podatke namreč naša zakonodaja določa najvišjo stopnjo transparentnosti; pri njih ne pride v poštev nobena zakonska izjema. Varstvo osebnih podatkov Tudi v letu 2024 je bilo področje varstva osebnih podatkov zaznamovano z začetkom veljavnosti novega nacionalnega zakona o varstvu osebnih podatkov (ZVOP-2), ki skupaj s Splošno uredbo in Zakonom o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (ZVOPOKD) predstavlja sklop sistemskih predpisov za področje varstva osebnih podatkov v Sloveniji. Pomembni premiki so se zgodili tudi na področju priprave in sprejema zakonodaje s področja digitalnega poslovanja in umetne inteligence, ki se neposredno dotikata varstva osebnih podatkov in pristojnosti Informacijskega pooblaščenca. ZVOP-2, ki je začel veljati 26. 1. 2023, je bistveno novost prinesel predvsem na področju nadzornih postopkov, v okviru katerih Informacijski pooblaščenec obravnava prijave prijavitelja s posebnim položajem, torej obravnava pritožbe, kot jih predvideva 77. člen Splošne uredbe. Poleg tega je ZVOP-2 Informacijskega pooblaščenca pooblastil za izrekanje sankcij za kršitve določb Splošne uredbe. Te se izrekajo kot sankcije za prekrške. Informacijski pooblaščenec je v letu 2024 zaradi suma kršitve varstva osebnih podatkov skupaj prejel 855 prijav (število vključuje tako inšpekcijske pobude kot prijave prijaviteljev s posebnim položajem). Na podlagi inšpekcijskih pobud je Informacijski pooblaščenec uvedel 141 inšpekcijskih postopkov, poleg tega je na podlagi prijav prijaviteljev s posebnim položajem vodil 184 nadzornih postopkov. Po uradni dolžnosti in skladno z letnim načrtom dela je dodatno uvedel še 37 inšpekcijskih postopkov. Poleg tega je sodeloval v 138 čezmejnih nadzornih postopkih kot zadevni nadzorni organ na podlagi 60. člena Splošne uredbe (postopek čezmejnega sodelovanja). Skupaj je torej Informacijski pooblaščenec na področju varstva osebnih podatkov v letu 2024 zaradi suma kršitve varstva osebnih podatkov obravnaval 1.030 novih zadev ter na tej podlagi uvedel 500 novih nadzornih postopkov. V okviru 184 prijav prijaviteljev s posebnim položajem po 77. členu Splošne uredbe ter 30. členu ZVOP- 2 je bilo 75 prijav vloženih zaradi suma nezakonite obdelave osebnih podatkov prijavitelja, 109 pa zaradi suma kršitev pravic prijavitelja, in sicer 82 zaradi suma kršitve pravice dostopa do lastnih osebnih podatkov, 21 zaradi suma kršitve pravice do izbrisa, pet zaradi suma kršitve pravice do popravka in ena zaradi suma kršitve pravice do ugovora. Poleg navedenih nadzornih postopkov je Informacijski pooblaščenec v letu 2024 obravnaval 160 uradnih obvestil o kršitvi varnosti osebnih podatkov s strani upravljavcev osebnih podatkov na podlagi 33. člena Splošne uredbe ter 15 obvestil izvajalcev zdravstvene dejavnosti zaradi ugotovljenih primerov nedovoljene obdelave osebnih podatkov o pacientih skladno s 46. členom ZPacP. Na področju pacientovih pravic je Informacijski pooblaščenec obravnaval 13 pritožb zaradi kršitve pravice do seznanitve z lastno zdravstveno dokumentacijo (41. člen ZPacP) ter 15 pritožb zaradi kršitve pravice do seznanitve z zdravstveno dokumentacijo po pacientovi smrti (42. člen ZPacP). Informacijski pooblaščenec je obravnaval tudi 14 pritožb posameznikov, ki so bile vložene po ZVOPOKD, in sicer 13 zaradi suma kršitve pravice dostopa do lastnih osebnih podatkov ter eno zaradi suma kršitve pravice do izbrisa in popravka. V letu 2024 je Informacijski pooblaščenec obravnaval tudi 11 pritožb zaradi zavrnitve posredovanja osebnih podatkov iz uradnih evidenc ali javnih knjig na podlagi četrtega odstavka 41. člena ZVOP-2. Na področju varstva osebnih podatkov so nadzorne osebe pri Informacijskem pooblaščencu v letu 2024 skupaj rešile 1.003 nacionalne zadeve, med katere sodijo med drugim inšpekcijske, pritožbene in druge upravne zadeve ter obravnava prijav in obvestil o kršitvi varnosti podatkov, ter 157 postopkov v okviru čezmejnega sodelovanja po 60. členu Splošne uredbe. Rešenih je bilo tudi 145 prekrškovnih postopkov. V prijavah, ki jih je prejel in obravnaval Informacijski pooblaščenec, so prijavitelji navajali podobne kršitve varstva osebnih podatkov kot v preteklih obdobjih. Največ prijav se je nanašalo na sum nezakonitega izvajanja videonadzora. Po številu so sledile prijave, vložene zaradi nezakonitega razkrivanja in posredovanja osebnih podatkov neupravičenim osebam, nezakonitega ali prekomernega zbiranja osebnih podatkov, uporabe osebnih podatkov za namene neposrednega trženja, neustreznega zagotavljanja varnosti osebnih podatkov ter nezakonitih vpogledov v zbirke osebnih podatkov. Tudi za leto 2024 je mogoče zaključiti, da so prijave v mnogih primerih vložene zaradi nerazumevanja določb in dometa Splošne uredbe ter da so za vlaganje prijav še vedno pogosto krivi sami upravljavci, ki ob zbiranju ali pridobitvi osebnih podatkov posamezniku ne zagotovijo vseh informacij, kot jim to nalagata 13. in 14. člen Splošne uredbe. Kljub ozaveščanju upravljavcev in kljub vzorcem takšnih obvestil, ki jih je Informacijski pooblaščenec objavil na svojih spletnih straneh, prav pomanjkljivo informiranje posameznikov ostaja ena od pogosto ugotovljenih kršitev. Veliko prejetih prijav tudi ni dosegalo standardov za uvedbo inšpekcijskega postopka z vidika javnega interesa ali pa zatrjevane kršitve ne kažejo na neko sistemsko problematiko – pogosto gre namreč za zatrjevane enkratne kršitve, storjene v preteklosti, ki se jih z inšpekcijskimi ukrepi ne da odpraviti in jih je možno zgolj sankcionirati v postopku o prekršku. Opaziti je bilo tudi, da do mnogih prijav ne bi prišlo, če bi se posamezniki, ki menijo, da je bila kršena njihova pravica do varstva podatkov, za pojasnila najprej obrnili na upravljavca svojih podatkov. V večini primerov namreč upravljavci nepravilnosti odpravijo, še preden jim Informacijski pooblaščenec izda ureditveno odločbo, kar kaže tudi na to, da upravljavci določbe zakonodaje o varstvu podatkov pogosto ne kršijo namenoma, temveč zaradi pomanjkanja podrobnega poznavanja predpisov. Nasprotno kažejo izkušnje iz postopkov, v katerih Informacijski pooblaščenec preverja ustrezno zagotavljanje varnosti podatkov, ter v primerih izvajanja videonadzora. Pri teh so bile ugotovljene kršitve pogosto posledica malomarnega ali neustreznega zagotavljanja varnosti osebnih podatkov ter namerne nezakonite obdelave osebnih podatkov s strani vodstva ali zaposlenih pri upravljavcih osebnih podatkov. V okviru čezmejnih nadzornih postopkov sodelovanja je bil v letu 2024 Informacijski pooblaščenec udeležen v 463 postopkih sodelovanja po 60. in 61. členu Splošne uredbe v zvezi z upravljavci, ki izvajajo čezmejno obdelavo osebnih podatkov. V 156 novo začetih postopkih sodelovanja pri čezmejnem nadzoru po 60. členu Splošne uredbe je Informacijski pooblaščenec nastopal kot zadevni organ (po 56. členu Splošne uredbe), v enem primeru pa je bil v vlogi domnevnega vodilnega organa. V 19 primerih je Informacijski pooblaščenec sodeloval v postopku izmenjave informacij po 60. členu. V čezmejnih postopkih, v katerih je sodeloval, je bilo izdanih 138 osnutkov odločb po 60. členu Splošne uredbe, 138 postopkov pa je bilo končanih s končno odločbo. Informacijski pooblaščenec je sodeloval tudi v 287 postopkih zagotavljanja medsebojne pomoči med nadzornimi organi po 61. členu Splošne uredbe. Sodelovanje v čezmejnih primerih inšpekcijskega nadzora, kot ga je uvedla Splošna uredba, je nedvomno ena ključnih novosti in okrepitev, predvsem v smislu enotnega delovanja nadzornih organov v različnih državah članicah EU in EGS. Seveda pa tako sodelovanje za Informacijskega pooblaščenca, pa tudi za druge nadzorne organe, predstavlja velik izziv v smislu dodatnih potrebnih resursov, tako finančnih kot kadrovskih. Informacijski pooblaščenec je pri izvajanju svoje posvetovalne vloge in aktivnosti za spodbujanje skladnosti in preventive skozi leta razvil obširen nabor instrumentov in orodij, s katerimi vpliva na raven ozaveščenosti ter s tem razumevanja in spoštovanja zakonodaje. Splošna uredba in ZVOP-2 Informacijskemu pooblaščencu nalagata dolžnost izvajanja različnih posvetovanj (pisna in ustna mnenja posameznikom, mnenja na predloge predpisov, mnenja na ocene učinkov glede varstva osebnih podatkov), pripravo kriterijev in seznamov nadzornega organa glede obveznosti po Splošni uredbi in vodenje registra pooblaščenih oseb za varstvo osebnih podatkov. Posebno pozornost Informacijski pooblaščenec namenja področju svetovanja in priprave mnenj predlagateljem pri pripravi predpisov, zlasti so to ministrstva, ki pomembno vplivajo na varstvo osebnih podatkov. Zlasti na področju javnega sektorja so namreč zakoni tisti, ki postavljajo temeljni okvir zakonite obdelave in določajo, kako, kdaj in v kakšnem obsegu bodo posegi v zasebnost posameznika dopustni. Zakoni morajo biti zato sorazmerni, učinkoviti, jezikovno jasni in razumljivi ter določati predvidljiva, določljiva in ustavno skladna pravila obdelave osebnih podatkov. V letu 2024 so med pomembnejšimi področji, na katerih je Informacijski pooblaščenec pripravljal mnenja na predpise, digitalizacija zdravstva, policijska pooblastila, delovanje različnih nacionalnih registrov, vzgoja in izobraževanje ter področje obdelav pri znanstvenem raziskovanju. Informacijski pooblaščenec je tudi v letu 2024 poleg rednega telefonskega svetovanja zavezancem preko dnevnega dežurstva redno izdajal mnenja za splošno in strokovno javnost – izdal je 981 mnenj na zaprosila posameznikov in organizacij (od tega 850 pisnih in 131 telefonskih svetovanj) ter 84 pripomb na predpise. Poleg pisnih mnenj je bilo opravljenih 1479 svetovanj po telefonu, vsa mnenja pa so objavljena na spletni strani Informacijskega pooblaščenca. Pomembno novost na področju ocen učinka je prinesla t. i. zakonodajna ocena učinka po 24. členu ZVOP-2. Posledično se je občutno povečalo število prejetih ocen učinka glede varstva osebnih podatkov in število izdanih mnenj na ocene učinka, in sicer je Informacijski pooblaščenec v postopku predhodnega posvetovanja izdal 36 mnenj. Kakovost prejetih ocen učinka se izboljšuje, še vedno pa je mogoče opaziti pomembno razliko v dojemanju prednosti ocen učinka. Informacijski pooblaščenec mnenja na zakonodajne ocene učinka objavlja na svoji spletni strani poleg mnenj na predloge predpisov, kar je v pomoč predlagateljem predpisov. Za boljše razumevanje zakonodajnih ocen učinka so bile te ključna točka srečanja s pooblaščenimi osebami za varstvo osebnih podatkov na ministrstvih v novembru 2024. Posebej je bilo izpostavljeno korektno ocenjevanje resnosti tveganj glede varstva osebnih podatkov, saj neustrezna in ne dovolj konkretna opredelitev tveganj ne omogoča oblikovanja primernih zaščitnih ukrepov in varovalk. Na področju pooblaščenih oseb za varstvo osebnih podatkov (angl. Data Protection Officer; DPO) Informacijski pooblaščenec na podlagi analize registra ugotavlja, da glede na zahteve Splošne uredbe pretežni del registra predstavljajo pooblaščene osebe v sektorju vzgoje in izobraževanja ter v sektorju izvajalcev zdravstvene dejavnosti. Tudi v letu 2024 je Informacijski pooblaščenec izvajal preventivne aktivnosti za skladnost (angl. privacy sweep), in sicer so nadzorni organi za varstvo osebnih podatkov analizirali stanje na področju izvrševanja pravice posameznikov do dostopa do lastnih osebnih podatkov ter pripravili ukrepe za okrepitev te pravice. Izsledki skupne akcije kažejo, da je potrebno večje ozaveščanje upravljavcev o Smernicah Evropskega odbora za varstvo podatkov št. 01/2022 o pravicah posameznikov. Med ključnimi identificiranimi izzivi so pomanjkanje dokumentiranih notranjih postopkov za obravnavo zahtev za dostop ter nedosledne in pretirane razlage omejitev pravice do dostopa. Kot nakazujejo izkušnje na področju inšpekcijskega nadzora ter izkušnje nadzornih organov za varstvo osebnih podatkov iz drugih držav, si večina zavezancev ne želi kršiti predpisov in je pri mnogih večja težava slabo poznavanje in razumevanje predpisov ter njihovo spoštovanje na praktični ravni. Usmerjenost k uporabnikom preventivnih vsebin, gradiv in aktivnosti je ključnega pomena, saj je treba kompleksne pravne predpise na čim bolj enostaven in čim bolj razumljiv način približati zavezancem, ki ne razpolagajo z obsežnimi pravnimi viri in ne razumejo pravnega izrazoslovja. Informacijski pooblaščenec zato za vzpodbujanje ozaveščenosti in skladnosti izvaja tudi naslednje aktivnosti: • spletne strani Informacijskega pooblaščenca (www.ip-rs.si, www.tiodlocas.si in www.upravljavec.si), • ozaveščevalna gradiva (smernice, vzorci in obrazci, infografike), • objave na družabnih omrežjih, • preventivne aktivnosti za skladnost, • povezovanje s pooblaščenimi osebami za varstvo osebnih podatkov, • sodelovanje z drugimi organizacijami na nacionalni in mednarodni ravni pri pripravi vodnikov in drugih izobraževalnih vsebin, • izobraževanja in dogodki (organizacija dneva varstva osebnih podatkov, brezplačna predavanja, sodelovanje na konferencah, strokovnih srečanjih, posvetih, okroglih mizah in drugih dogodkih). V tej luči so zlasti pomembne razumljive vsebine na spletni strani Informacijskega pooblaščenca, kjer izpostavljamo t. i. ključna področja zakonodaje o varstvu osebnih podatkov ter obsežno zbirko pisnih mnenj. Uporabniki lahko poleg bistvenih informacij o posameznem področju najdejo navedbo relevantnih členov Splošne uredbe in ZVOP-2 ter povezavo do uporabnih gradiv, kot so smernice (Informacijskega pooblaščenca in EOVP), infografike, vzorci in obrazci. Devetim obstoječim ključnim področjem smo v letu 2024 dodali nova ključna področja o umetni inteligenci, skupnih upravljavcih in certifikaciji ter akreditaciji. Kot vsako leto so bila izvedena številna pro bono predavanja, in sicer je bilo v letu 2024 izvedenih 51 predavanj. Predstavniki Informacijskega pooblaščenca so aktivno sodelovali na konferencah, seminarjih in drugih dogodkih, posebej pa velja izpostaviti zelo dobro obiskan brezplačni seminar Obravnava zahtev posameznikov za uveljavljanje pravic po Splošni uredbi (EU) o varstvu podatkov in ZVOP-2, ki ga v aprilu 2024 dvakrat izvedel Informacijski pooblaščenec. Informacijski pooblaščenec je pripravil tudi dve novi infografiki – razumljivo razlago temeljnih načel varstva osebnih podatkov ter infografiko z napotki, kako izbrati močno geslo, objavil je tudi Smernice o varstvu osebnih podatkov za lovske zveze in družine ter Smernice za upravnike večstanovanjskih stavb. Informacijski pooblaščenec je posodobil in poenotil obrazec vloge zaradi kršitve varstva osebnih podatkov (Obrazec VOP prijava). Prav tako je bil posodobljen obrazec za zavezance, ki morajo nadzorni organ obvestiti o kršitvi varnosti podatkov po 33. členu Splošne uredbe. Glede na ugotovitve inšpekcijskega nadzora, pri katerem je pomemben del kršitev še vedno povezan z videonadzorom, je Informacijski pooblaščenec v pomoč zavezancem posodobil vzorec evidence uporabe videonadzornega sistema glede na novo ureditev v ZVOP-2. Kot vsako leto je Informacijski pooblaščenec evropski dan varstva osebnih podatkov obeležil z organizacijo dogodka, katerega rdeča nit je bilo prvo leto uporabe novega Zakona o varstvu osebnih podatkov (ZVOP-2), ki se je začel uporabljati 26. januarja 2023. Informacijski pooblaščenec je v letu 2024 v okviru EOVP sodeloval pri pripravi Vodnika po varstvu podatkov za majhna podjetja, z Ministrstvom za javno upravo, Računskim sodiščem Republike Slovenije in Inšpektoratom Republike Slovenije za notranje zadeve pa je sodeloval pri izdaji prenovljenega Vodnika za organizatorje volilnih in referendumskih kampanj. Informacijski pooblaščenec aktivno podpira in spodbuja mlade, ki jih zanima področje varovanja zasebnosti in osebnih podatkov. Ekipa Pravne fakultete Univerze v Ljubljani je pod njegovim mentorstvom na mednarodnem študentskem tekmovanju Data Protection Moot Court osvojila naslov najboljše ekipe na tekmovanju, nagrado za najboljši pisni izdelek ter nagrado za najboljšo govorko tekmovanja. Informacijski pooblaščenec je aprila 2024 na razpis Evropske komisije za financiranje projektov, ki jih izvajajo nadzorni organi za varstvo osebnih podatkov za namen ozaveščanja širše javnosti o varstvu osebnih podatkov (CERV-2024-DATA), prijavil projekt Become a PrivacyPRO(tector) s krajšim nazivom PrivacyPRO (št. projekta 101193212). Projekt se je uvrstil med najvišje ocenjene in Evropska komisija ga je izbrala za sofinanciranje v okviru programa Državljani, enakost, pravice in vrednote 2021–2027. Namen projekta PrivacyPRO je povečati ozaveščenost in razumevanje načel varstva osebnih podatkov med otroki, učitelji, starši in skrbniki v Sloveniji ter tako prispevati h kulturi varstva zasebnosti in osebnih podatkov že od zgodnjega otroštva. Ciljne skupine projekta predstavljajo: dve starostni skupini otrok, in sicer otroci, stari od 6 do 10 let, ter otroci, stari od 11 do 14 let, ter njihovi starši in skrbniki, učitelji, socialni delavci in ostali posamezniki, ki delajo z njimi. Leto 2024 je zaznamoval strm porast izdanih mnenj EOVP po drugem odstavku 64. člena Splošne uredbe glede zadev splošne uporabe ali z učinkom v več kot eni državi članici, od katerih izstopa Mnenje o modelih umetne inteligence. Glede na zavezujočo naravo takšnih mnenj je Informacijski pooblaščenec pri njihovem nastanku posebej aktivno sodeloval. EOVP je vnovič sprejel številne smernice in druge dokumente, kot so izjave, pisni odgovori in poročila. Poudariti velja tudi, da je v letu 2024 potekal prvi pregled sklepa o ustreznosti varstva osebnih podatkov na podlagi okvira za varstvo zasebnosti podatkov med EU in ZDA iz leta 2023. EOVP je izdal poročilo, v katerem je opozoril na določene izzive ter priporočil, da se naslednji pregled sklepa o ustreznosti varstva osebnih podatkov med EU in ZDA izvede v roku treh let ali prej. V letu 2024 je Informacijski pooblaščenec podal 109 odgovorov na novinarska vprašanja ter na spletni strani objavil 30 sporočil za javnost. Informacije, stališča in mnenja Informacijski pooblaščenec deli tudi prek družbenih omrežij Facebook in LinkedIn, kjer njegove objave skupaj spremlja več kot 4200 sledilcev. KAZALO Contents 1 O INFORMACIJSKEM POOBLAŠČENCU ���������������������������������������������������1 1.1 NASTANEK IN OSEBNA IZKAZNICA INFORMACIJSKEGA POOBLAŠČENCA .......... 1 1.1.1 ORGANIZIRANOST ............................................................................................................................. 4 1.2 KLJUČNA PODROČJA DELOVANJA IN PRISTOJNOSTI ............................................. 5 1.3 ODNOSI Z JAVNOSTMI ............................................................................................... 12 1.4 FINANČNO POSLOVANJE V LETU 2024 ................................................................... 14 2 DOSTOP DO INFORMACIJ JAVNEGA ZNAČAJA ����������������������������������������20 2.1 PRAVNA UREDITEV NA PODROČJU DOSTOPA DO INFORMACIJ ........................ 20 JAVNEGA ZNAČAJA .......................................................................................................... 20 2.2 ŠTEVILO VLOŽENIH PRITOŽB IN REŠENIH ZADEV ................................................ 24 2.2.1 PRITOŽBE ZOPER ZAVRNILNE ODLOČBE IN IZDANE ODLOČBE ............................................... 24 2.2.2 PRITOŽBE ZOPER MOLK ................................................................................................................. 26 2.3 ŠTEVILO VLOŽENIH TOŽB IN PREJETIH SODB ....................................................... 28 2.4 STORJENI PREKRŠKI PO ZDIJZ, ZInfP IN ZMed ...................................................... 28 2.5 IZBRANI PRIMERI NA PODROČJU DOSTOPA DO INFORMACIJ JAVNEGA ZNAČAJA ........................................................................................................................................... 28 2.6 AKTIVNOSTI IZOBRAŽEVANJA IN OZAVEŠČANJA .................................................. 37 2.6.1 DAN PRAVICE VEDETI ..................................................................................................................... 37 2.6.2 MEDNARODNO SODELOVANJE ................................................................................................... 38 2.7 SPLOŠNA OCENA IN PRIPOROČILA NA PODROČJU DOSTOPA DO INFORMACIJ JAVNEGA ZNAČAJA ........................................................................................................ 40 3 VARSTVO OSEBNIH PODATKOV ��������������������������������������������������������������42 3.1 KONCEPT VARSTVA OSEBNIH PODATKOV V REPUBLIKI SLOVENIJI .................. 42 3.2 NADZOR V LETU 2024 ................................................................................................ 45 3.2.1 INŠPEKCIJSKI NADZOR .................................................................................................................. 45 3.2.2 INŠPEKCIJSKI NADZOR V JAVNEM SEKTORJU ............................................................................ 47 3.2.3 INŠPEKCIJSKI NADZOR V ZASEBNEM SEKTORJU ...................................................................... 48 3.2.4 PRIJAVE KRŠITEV VARNOSTI OSEBNIH PODATKOV ................................................................... 49 3.2.5 PRITOŽBENI POSTOPKI PO 77. ČLENU SPLOŠNE UREDBE IN PO 33. ČLENU ZVOPOKD ...... 50 3.2.6 PRAVICE POSAMEZNIKOV .............................................................................................................. 52 3.2.7 OSTALI PRITOŽBENI POSTOPKI ..................................................................................................... 54 3.2.8 SODELOVANJE PRI ČEZMEJNIH NADZORIH ................................................................................ 55 3.2.9 PREKRŠKOVNI POSTOPKI .............................................................................................................. 58 3.2.10 IZBRANI PRIMERI OBDELAVE OSEBNIH PODATKOV ................................................................. 59 3.3 DRUGI UPRAVNI POSTOPKI ...................................................................................... 65 3.3.1 DOPUSTNOST IZVAJANJA BIOMETRIJSKIH UKREPOV ............................................................... 65 3.3.2 POVEZOVANJE ZBIRK OSEBNIH PODATKOV ............................................................................... 67 3.4 PRIPRAVA MNENJ IN POJASNIL ................................................................................ 70 3.4.1 SPLOŠNA POJASNILA ...................................................................................................................... 70 3.4.2 MNENJA NA PREDPISE ................................................................................................................... 70 3.4.3 ZAHTEVA ZA OCENO USTAVNOSTI IN ZAKONITOSTI .................................................................. 73 3.4.4 OCENE UČINKOV NA VARSTVO OSEBNIH PODATKOV ............................................................... 74 3.5 SKLADNOST IN PREVENTIVA .................................................................................... 77 3.5.1 AKTIVNOSTI ZA DOSEGANJE SKLADNOSTI IN PREVENTIVNA DEJAVNOST ............................ 77 3.5.2 POOBLAŠČENE OSEBE ZA VARSTVO PODATKOV ...................................................................... 78 3.5.3 PREVENTIVNE AKTIVNOSTI ZA SKLADNOST ............................................................................... 78 3.5.4 VSEBINE NA SPLETNIH STRANEH INFORMACIJSKEGA POOBLAŠČENCA ............................... 79 3.5.5 AKTIVNOSTI IZOBRAŽEVANJA IN OZAVEŠČANJA ........................................................................ 81 3.6 MEDNARODNO SODELOVANJE ................................................................................ 85 3.6.1 SODELOVANJE V EVROPSKEM ODBORU ZA VARSTVO PODATKOV ......................................... 85 3.6.2 SODELOVANJE V EVROPSKEM ODBORU ZA UMETNO INTELIGENCO ..................................... 92 3.6.3 SODELOVANJE V DRUGIH NADZORNIH TELESIH EVROPSKE UNIJE ........................................ 93 3.6.4 SODELOVANJE V DRUGIH MEDNARODNIH TELESIH .................................................................. 93 3.7 SPLOŠNA OCENA STANJA VARSTVA OSEBNIH PODATKOV .................................. 96 SEZNAM UPORABLJENIH KRATIC IN OKRAJŠAV ZAKONOV ZDIJZ – Zakon o dostopu do informacij javnega značaja Splošna uredba – Splošna uredba o varstvu podatkov ZVOP-1 – Zakon o varstvu osebnih podatkov ZVOP-2 – Zakon o varstvu osebnih podatkov (veljavnost od 26. 1. 2023) ZInfP – Zakon o Informacijskem pooblaščencu ZVOPOKD – Zakon o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj ZUP – Zakon o splošnem upravnem postopku ZMed – Zakon o medijih ZPacP – Zakon o pacientovih pravicah ZPLD-1 – Zakon o potnih listinah ZOIzk-1 – Zakon o osebni izkaznici ZEKom-2 – Zakon o elektronskih komunikacijah ZCKR – Zakon o centralnem kreditnem registru ZPotK-2 – Zakon o potrošniških kreditih ZBan-3 – Zakon o bančništvu ZUstS – Zakon o Ustavnem sodišču ZJN-3 – Zakon o javnem naročanju ZIN – Zakon o inšpekcijskem nadzoru ZP-1 – Zakon o prekrških ZSPJS – Zakon o sistemu plač v javnem sektorju ZKP – Zakon o kazenskem postopku ZPPDFT-2 – Zakon o preprečevanju pranja denarja in financiranja terorizma ZKSNKB – Zakon o kupcih in serviserjih nedonosnih kreditov bank ZIUETDS – Zakon o izvajanju Uredbe (EU) o enotnem trgu digitalnih storitev ZIUEUP – Zakon o izvajanju uredbe (EU) o evropskem upravljanju podatkov 1 O INFORMACIJSKEM POOBLAŠČENCU O INFORMACIJSKEM POOBLAŠČENCU BDIMO NAD URESNIČEVANJEM PRAVICE DOSTOPA DO INFORMACIJ JAVNEGA ZNAČAJA IN VARSTVA OSEBNIH PODATKOV 1.1 NASTANEK IN OSEBNA IZKAZNICA INFORMACIJSKEGA POOBLAŠČENCA Informacijski pooblaščenec je samostojen in neodvisen državni organ s pristojnostmi na področju dveh z Ustavo Republike Slovenije zavarovanih temeljnih človekovih pravic, pravice dostopa do informacij javnega značaja in pravice do varstva osebnih podatkov. Državni zbor Republike Slovenije je 30. 11. 2005 sprejel Zakon o Informacijskem pooblaščencu (ZInfP), s katerim je bil 31. 12. 2005 ustanovljen nov samostojen in neodvisen državni organ. Zakon je združil dva organa, in sicer Pooblaščenca za dostop do informacij javnega značaja, ki je imel že prej status neodvisnega organa, in Inšpektorat za varstvo osebnih podatkov, ki je deloval kot organ v sestavi Ministrstva za pravosodje. Informacijski pooblaščenec je tako postal državni nadzorni organ za varstvo osebnih podatkov. Delo je začel 1. 1. 2006. ZInfP je v slovenski pravni red prinesel pomembne novosti. S tem zakonom je bil namreč ustanovljen nov državni organ, Informacijski pooblaščenec, ki ima številne pristojnosti tako na področju dostopa do informacij javnega značaja kot tudi na področju varstva osebnih podatkov. Poleg določb, ki urejajo položaj in imenovanje Informacijskega pooblaščenca, ZInfP vsebuje tudi določbe o nadzornikih za varstvo osebnih podatkov, o nekaterih posebnostih postopka pred Informacijskim pooblaščencem ter nekatere prekrškovne določbe. Informacijski pooblaščenec je neodvisen in samostojen državni organ. Njegova neodvisnost je zagotovljena na dva načina. Prvi je postopek imenovanja pooblaščenca kot funkcionarja, ki ga na predlog predsednika Republike Slovenije imenuje Državni zbor. Drugi način, ki omogoča predvsem finančno neodvisnost, pa je, da se sredstva za delo zagotovijo v proračunu Republike Slovenije tako, da o tem odloča Državni zbor na predlog Informacijskega pooblaščenca. V okviru reforme varstva osebnih podatkov v Evropski uniji (EU) ostaja neodvisnost Informacijskega pooblaščenca tudi temeljna zahteva za nadzorne organe skladno z Uredbo (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. 4. 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov, Splošna uredba) ter Direktivo (EU) 2016/680 Evropskega parlamenta in Sveta z dne 27. 4. 2016 o varstvu posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, in o prostem pretoku takih podatkov ter o razveljavitvi Okvirnega sklepa Sveta 2008/977/PNZ (Direktiva (EU) 2016/680). Direktiva (EU) 2016/680 je bila v slovenski pravni red prenesena z Zakonom o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (ZVOPOKD), ki se je začel uporabljati 31. 12. 2020. Splošna uredba pa je terjala sprejem novega Zakona o varstvu osebnih podatkov, s katerim STRAN XX 1 bi se v Republiki Sloveniji zagotovilo celovito izvajanje navedene uredbe, vključno s sankcioniranjem kršitev. Novi Zakon o varstvu osebnih podatkov (ZVOP-2) je bil sprejet 15. 12. 2022 in se je začel uporabljati 26. 1. 2023. Informacijski pooblaščenec tako kot nadzorni organ spremlja uporabo Splošne uredbe, ZVOP-2 in ZVOPOKD, da se zaščitijo temeljne pravice in svoboščine posameznikov v zvezi z obdelavo osebnih podatkov ter se olajša prost pretok osebnih podatkov v EU. Splošna uredba, ZVOP-2 in ZVOPOKD določajo naloge Informacijskega pooblaščenca kot nadzornega organa ter pri tem opredeljujejo njegova pooblastila. Z navedenimi predpisi je okrepljeno tudi sodelovanje med nadzornimi organi v EU, še posebej s sodelovanjem Informacijskega pooblaščenca v okviru Evropskega odbora za varstvo podatkov (EOVP). Mojca Prelesnik je 17. 7. 2024 predala posle novi informacijski pooblaščenki, dr. Jeleni Virant Burnik, ki je nastopila petletni mandat. Primopredaja poslov novi informacijski pooblaščenki, 17. 7. 2024. Ob predaji poslov je Mojca Prelesnik ocenila, da je za Informacijskim pooblaščencem uspešnih deset let. Na področju dostopa do informacij javnega značaja je izpostavila predvsem konstantno povečevanja števila zadev, kljub porastu števila pritožb pa je Informacijskemu pooblaščencu uspelo skozi leta čas reševanja pritožbenih zadev skrajšati in trenutno znaša manj, kot 30 dni, kar je polovico manj kot določa zakon. Poudarila je, da ima Slovenija na tem področju enega najboljših zakonov na svetu, za njegovo kar najboljšo implementacijo v praksi pa je še nekaj prostora. Na področju varstva osebnih podatkov je preteklih deset let zaznamoval sprejem Splošne uredbe o varstvu podatkov, ki je Informacijskemu pooblaščencu prinesel nove pristojnosti, stalno naraščanje števila prijav in pritožb ter zlasti povečevanje števila čezmejnih postopkov sodelovanja. Izpostavila je, da je končno začel veljati novi Zakon o varstvu osebnih podatkov, ki je omogočil polno izvajanje pristojnosti Informacijskega pooblaščenca, tudi sankcioniranje, vendar hkrati prinesel tudi nekatere postopkovne nejasnosti, ki pomenijo še dodatno obremenitev. Poudarila je tudi izzive v obdobju pandemije. Pomisleki o varstvu osebnih podatkov so bili povezani z marsikaterim ukrepom za obvladovanje širjenja virusa, vendar pa mnenje Informacijskega pooblaščenca vedno ni bilo ustrezno upoštevano, kar je na koncu potrdilo tudi Ustavno sodišče. Prav tako je Informacijski pooblaščenec bistveno pripomogel k razkritju informacij javnega značaja, povezanih z vladnimi ukrepi. 2 1�1�1 ORGANIZIRANOST Notranjo organizacijo in sistemizacijo delovnih mest, ki so potrebna za izvajanje nalog pri Informacijskem pooblaščencu, določajo Poslovnik Informacijskega pooblaščenca (Uradni list RS, št. 16/25), Akt o notranji organizaciji in sistemizaciji delovnih mest pri Informacijskem pooblaščencu ter njegova priloga Sistemizacija delovnih mest pri Informacijskem pooblaščencu. Sistemizacija delovnih mest je prilagojena nalogam Informacijskega pooblaščenca in delovnim procesom, ki potekajo pri njem, ter je oblikovana tako, da zagotavlja čim učinkovitejšo izrabo človeških virov. Informacijski pooblaščenec opravlja svoje naloge v naslednjih notranjih organizacijskih enotah: • kabinet Informacijskega pooblaščenca, • področje informacij javnega značaja, • področje varstva osebnih podatkov, • administrativno-tehnična služba. Organigram po delovnih področjih. INFORMACIJSKI POOBLAŠČENEC kabinet Informacijskega pooblaščenca namestniki in vodje oddelkov generalni sekretar področje informacij javnega značaja administrativno tehnična služba področje varstva osebnih podatkov odločanje o pritožbah: glavna pisarna dostop in ponovna uporaba IJZ finančne, kadrovske, splošne zadeve oddelki po zakonu o medijih neformalno svetovanje in izobraževanje nadzor inšpekcijski nadzor, pritožbe, prekrški pravice posameznikov in posvetovanje svetovanje, mnenja, mnenja na predpise, pritožbe glede pravic posameznikov mednarodno sodelovanje sodelovanje v EDPB, koordinacija čezmejnega sodelovanja in izvajanje EU zakonodaje preventiva in IT informacijske tehnologije, preventivne dejavnosti, obveščanje javnosti 4 31. 12. 2024 so bili pri Informacijskem pooblaščencu zaposleni 1 funkcionar in 44 javnih uslužbencev. Izobrazbena struktura zaposlenih je razvidna iz preglednice. Izobrazbena struktura zaposlenih pri Informacijskem pooblaščencu 31. 12. 2024. Srednja Višja Visoka strokovna šola, strokovna strokovna univerzitetni program Univerzitetna Magisterij Doktorat Skupaj šola šola (1. bolonjska stopnja) izobrazba Informacijska pooblaščenka 1 1 Namestnik informacijske pooblaščenke 1 3 4 Vodja mednarodnega sodelovanja 1 1 Strokovni vodja nadzora 1 1 Generalni sekretar 1 1 Državni nadzornik za varstvo osebnih podatkov 9 4 1 14 Samostojni svetovalec pooblaščenca 1 1 2 Svetovalec pooblaščenca 6 2 8 Svetovalec pooblaščenca za varstvo osebnih podatkov 1 1 2 Svetovalec pooblaščenca za mednarodne odnose 1 1 2 Svetovalec pooblaščenca za preventivo 1 1 Asistent svetovalca 0 Raziskovalec pooblaščenca 2 2 Sistemski administrator 1 1 Strokovni sodelavec za finančne in kadrovske zadeve 1 1 Poslovni sekretar 2 2 Dokumentalist 1 1 Projektni sodelavec 1 1 Skupaj 1 2 5 20 12 5 45 1.2 KLJUČNA PODROČJA DELOVANJA IN PRISTOJNOSTI Informacijski pooblaščenec svoje z zakonom določene naloge in pristojnosti opravlja na dveh področjih: • na področju dostopa do informacij javnega značaja in • na področju varstva osebnih podatkov. Na področju dostopa do informacij javnega značaja, ki je urejeno z Zakonom o dostopu do informacij javnega značaja (ZDIJZ), ima Informacijski pooblaščenec pristojnosti pritožbenega organa, kot jih določa 2. člen ZInfP. To pomeni, da odloča o pritožbi prosilca, če je zavezanec za dostop do informacij javnega značaja: 1. zahtevo za dostop do informacij javnega značaja zavrnil ali zavrgel; 2. na zahtevo ni odgovoril v predpisanem roku (je v molku); 3. omogočil dostop v drugi obliki, kot jo je prosilec zahteval; 4. posredoval informacijo, ki je prosilec ni zahteval; 5. neupravičeno zaračunal stroške za posredovanje informacij ali pa je zaračunal previsoke stroške; 6. ni ugodil zahtevi za umik stopnje tajnosti s podatkov, ki so s stopnjo tajnosti označeni v nasprotju z zakonom, ki ureja tajne podatke; 7. zavrnil, zavrgel ali ni odgovoril na zahtevo za ponovno uporabo informacij javnega značaja. Informacijski pooblaščenec je pristojen tudi za vodenje evidence vseh podeljenih izključnih pravic na področju ponovne uporabe informacij javnega značaja (peti odstavek 36.a člena ZDIJZ). 5 Na področju dostopa do informacij javnega značaja Informacijskemu pooblaščencu pristojnosti podeljuje tudi Zakon o medijih (ZMed) (45. člen). Po ZMed se zavrnilni odgovor zavezanca na vprašanje, ki ga zastavi predstavnik medija, šteje kot zavrnilna odločba. Molk zavezanca ob takem vprašanju je razlog za pritožbo, o kateri odloča Informacijski pooblaščenec po določbah ZDIJZ. Informacijski pooblaščenec je v primeru kršitev določb ZDIJZ in ZMed tudi prekrškovni organ. Ključni predpis s področja varstva osebnih podatkov v EU je Splošna uredba o varstvu podatkov (Splošna uredba), ki se uporablja neposredno v vseh državah EU od 25. 5. 2018. Splošna uredba določa naloge Informacijskega pooblaščenca kot nadzornega organa v 57. členu. Informacijski pooblaščenec: (a) spremlja in zagotavlja uporabo te uredbe; (b) spodbuja ozaveščenost in razumevanje javnosti o tveganjih, pravilih, zaščitnih ukrepih in pravicah v zvezi z obdelavo osebnih podatkov; posebna pozornost se posveti dejavnostim, ki so namenjene izrecno otrokom; (c) v skladu s pravom države članice svetuje nacionalnemu parlamentu, vladi ter drugim institucijam in organom o zakonodajnih in upravnih ukrepih v zvezi z varstvom pravic in svoboščin posameznikov pri obdelavi osebnih podatkov; (d) spodbuja ozaveščenost upravljavcev in obdelovalcev glede njihovih obveznosti na podlagi te uredbe; (e) vsakemu posamezniku, na katerega se nanašajo osebni podatki, na zahtevo zagotovi informacije o uresničevanju njegovih pravic na podlagi te uredbe in v ta namen, če je ustrezno, sodeluje z nadzornimi organi v drugih državah članicah; (f) obravnava pritožbe, ki jih vloži posameznik, na katerega se nanašajo osebni podatki, oziroma v skladu z 80. členom telo, organizacija ali združenje, v ustreznem obsegu prouči vsebino pritožbe in v razumnem roku obvesti pritožnika o poteku in rezultatu preiskave, zlasti če je potrebna nadaljnja preiskava ali usklajevanje z drugim nadzornim organom; (g) sodeluje z drugimi nadzornimi organi, med drugim z izmenjavo informacij; organi si nudijo medsebojno pomoč, da se zagotovi doslednost pri uporabi in izvajanju te uredbe; (h) izvaja preiskave o uporabi te uredbe, tudi na podlagi informacij, ki jih prejme od drugega nadzornega organa ali drugega javnega organa; (i) spremlja razvoj na zadevnem področju, kolikor vpliva na varstvo osebnih podatkov, predvsem razvoj informacijskih in komunikacijskih tehnologij ter trgovinskih praks; (j) sprejema standardna pogodbena določila iz osmega odstavka 28. člena in točke (d) drugega odstavka 46. člena; (k) vzpostavi in vzdržuje seznam v zvezi z zahtevo po oceni učinka v zvezi z varstvom osebnih podatkov v skladu s četrtim odstavkom 35. člena; (l) svetuje glede dejanj obdelave iz drugega odstavka 36. člena; (m) spodbuja pripravo kodeksov ravnanja v skladu s prvim odstavkom 40. člena ter poda mnenje in v skladu s petim odstavkom 40. člena odobri take kodekse ravnanja, ki zagotavljajo zadostne zaščitne ukrepe; (n) spodbuja vzpostavitev mehanizmov potrjevanja za varstvo podatkov ter pečatov in označb za varstvo podatkov v skladu s prvim odstavkom 42. člena ter odobri merila potrjevanja v skladu s petim odstavkom 42. člena; 6 (o) kadar je ustrezno, izvaja redne preglede potrdil, izdanih v skladu s sedmim odstavkom 42. člena; (p) oblikuje in objavi merila za pooblastitev telesa za spremljanje kodeksov ravnanja v skladu z 41. členom in organa za potrjevanje v skladu s 43. členom; (q) opravi pooblastitev telesa za spremljanje kodeksov ravnanja v skladu z 41. členom in organa za potrjevanje v skladu s 43. členom; (r) odobri pogodbena določila in določbe iz tretjega odstavka 46. člena; (s) odobri zavezujoča poslovna pravila v skladu s 47. členom; (t) prispeva k dejavnostim Evropskega odbora za varstvo podatkov; (u) hrani notranjo evidenco kršitev te uredbe in sprejetih ukrepov v skladu z drugim odstavkom 58. člena ter (v) opravlja vse druge naloge, povezane z varstvom osebnih podatkov. Skladno s tretjim odstavkom 55. člena Splošne uredbe Informacijski pooblaščenec ni pristojen za nadzor dejanj obdelave sodišč, kadar delujejo kot sodni organ. Splošna uredba določa tudi pooblastila nadzornih organov, ki jih lahko uporabijo pri izvajanju svojih pristojnosti (preiskovalna pooblastila, popravljalna pooblastila ter pooblastila v zvezi z dovoljenji in svetovalnimi pristojnostmi). Začetek uporabe Splošne uredbe je terjal sprejetje novega Zakona o varstvu osebnih podatkov (ZVOP-2), da bi se zagotovilo izvajanje Splošne uredbe. ZVOP-2 je bil sprejet 15. 12. 2022 in se je začel uporabljati 26. 1. 2023. Pristojnosti Informacijskega pooblaščenca so določene zlasti v 29., 55. in 56. členu ZVOP-2, in sicer Informacijski pooblaščenec: 1. izvaja nadzore nad izvajanjem določb Splošne uredbe, ZVOP-2 in drugih predpisov s področja varstva osebnih podatkov; 2. odloča v pritožbenem postopku, odloča v postopkih prijav prijaviteljev s posebnim položajem in izvaja inšpekcijski nadzor po ZVOP-2; 3. odreja nadzorne ukrepe iz 29. člena ZVOP-2, in sicer odredi: odpravo nepravilnosti ali pomanjkljivosti, omejitve obdelave (kot so anonimiziranje, blokiranje in arhiviranje), prepoved prenosa v tretjo državo ali posredovanje tujim uporabnikom, brisanje ali uničenje osebnih podatkov ali druge ukrepe, ki pomenijo prepoved obdelave osebnih podatkov; 4. odreja druge nadzorne ukrepe skladno z zakonom, ki ureja splošni upravni postopek, in z Zakonom o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (ZVOPOKD) ter izvaja preventivne ukrepe in izreka opozorila skladno z zakonom, ki ureja inšpekcijski nadzor; 5. lahko poda kazensko ovadbo oziroma izvaja postopke v skladu z zakonom, ki ureja prekrške, če pri inšpekcijskem nadzoru ugotovi, da obstaja sum storitve kaznivega dejanja ali prekrška; 6. daje in objavlja predhodna mnenja ministrstvom, državnemu zboru, organom samoupravnih lokalnih skupnosti, drugim državnim organom in nosilcem javnih pooblastil o usklajenosti določb predlogov zakonov ter drugih predpisov z zakoni in drugimi predpisi, ki urejajo osebne podatke; 7. izvaja predhodno posvetovanje v skladu s Splošno uredbo in ZVOP-2; 8. vodi postopke o prekrških s področja varstva osebnih podatkov (hitri postopek); 7 9. vodi upravne postopke za izdajo ugotovitvenih odločb o tem, ali je nameravana uvedba izvajanja biometrijskih ukrepov v skladu z določbami ZVOP-2; 10. pristojnim organom in posameznikom daje in objavlja neobvezna mnenja, pojasnila in stališča o vprašanjih glede varstva osebnih podatkov v zvezi z zakoni in z njimi povezanimi predpisi s področja varstva osebnih podatkov; 11. spodbuja ozaveščenost in razumevanje javnosti o tveganjih, pravilih, zaščitnih ukrepih in pravicah v zvezi z obdelavo osebnih podatkov ter v ta namen izvaja brezplačna izobraževanja in usposabljanja; 12. spodbuja ozaveščenost upravljavcev in obdelovalcev o njihovih obveznostih na podlagi tega zakona; 13. sodeluje z nadzornimi organi drugih držav ali mednarodnih organizacij (npr. v nadzornih organih, ki se ukvarjajo z nadzorom obdelave osebnih podatkov v schengenskem informacijskem sistemu, v informacijskem sistemu za carino, v vizumskem informacijskem sistemu, v okviru Europola ter v sistemu Eurodac); 14. sodeluje z nadzornimi organi drugih držav članic Evropske unije pri izvajanju čezmejnih nadzornih postopkov, pri postopkih izrekanja sankcij in v drugih zadevah čezmejne obdelave osebnih podatkov v skladu s VII. poglavjem Splošne uredbe; 15. deluje kot vodilni nadzorni organ pri izvajanju čezmejnih nadzornih postopkov v skladu s Splošno uredbo; 16. sodeluje pri delovanju EOVP; 17. obvesti pristojno sodišče o kršitvah zakona, lahko pa sodišču v sodnem postopku tudi posreduje mnenje o ugotovljenih kršitvah; 18. sodeluje z upravljavci in obdelovalci pri izvajanju nadzorov v skladu z ZVOP-2; 19. olajša postopek vložitve pritožb in zahtev posameznikov s pripravo obrazcev, ki se lahko vložijo tudi v elektronski obliki (npr. glede uveljavljanja pravic posameznikov ali v zvezi z vlogami inšpekcijskega nadzora); 20. izdaja notranje glasilo in strokovno literaturo ter na spletni strani in na druge ustrezne načine objavlja: odločbe ali mnenja Informacijskega pooblaščenca, odločbe in sklepe Ustavnega sodišča RS o zahtevah za oceno ustavnosti, ki jih je vložil Informacijski pooblaščenec, in odločitve Ustavnega sodišča RS o njih, psevdonimizirane odločbe in sklepe sodišč, ki se nanašajo na varstvo osebnih podatkov, psevdonimizirane pomembnejše odločitve v nadzornih in pritožbenih postopkih Informacijskega pooblaščenca, podatke o uvedbi in zaključku nadzornih postopkov, uvedenih po uradni dolžnosti, ter druga pomembna obvestila; 21. daje mnenja o skladnosti splošnih pogojev poslovanja oziroma njihovih predlogov s predpisi s področja varstva osebnih podatkov; 22. pripravlja in daje neobvezne smernice in priporočila glede varstva osebnih podatkov na posameznem področju; 23. daje izjave za javnost o nadzoru v posamičnih zadevah v skladu s tem zakonom in izvaja tiskovne konference v zvezi s svojim delom ter 24. izvaja druge naloge, določene v 57. členu Splošne uredbe in v ZVOP-2. 8 Cilj novega ZVOP-2 je bil med drugim zagotoviti učinkovit nadzor glede varstva osebnih podatkov ter zagotoviti učinkovito prekrškovno kaznovanje kršitev varstva osebnih podatkov. Informacijski pooblaščenec je po ZVOP-2 nadzorni organ za varstvo osebnih podatkov, in sicer je pristojen za nadzor varstva osebnih podatkov za vse obdelave osebnih podatkov v Republiki Sloveniji, razen npr. kadar gre za nadzor in izrekanje sankcij glede obdelav osebnih podatkov, izvršenih pri izvajanju sodne oblasti sodišč in Ustavnega sodišča Republike Slovenije. Informacijski pooblaščenec prav tako ni pristojen za obdelave osebnih podatkov s strani stečajnih upraviteljev, izvršiteljev, sodnih tolmačev, sodnih izvedencev in sodnih cenilcev v zadevah, pri katerih delujejo po postopkih v okviru izvajanja zadeve sodišča. Določene pa so tudi nekatere omejitve pri izvajanju nadzorov, npr. na področju obveščevalno- varnostne dejavnosti in pri izvajanju nadzora pri Varuhu človekovih pravic. S sprejemom ZVOP-2 je Informacijskemu pooblaščencu omogočeno tudi izrekanje glob za kršitve Splošne uredbe. 95. člen ZVOP-2 določa, da se sankcije za kršitve, ki jih predpisuje Splošna uredba, izrekajo pravnim osebam, samostojnim podjetnikom posameznikom in posameznikom, ki samostojno opravljajo dejavnost, kot globe za prekrške v višini in razponih, ki jih določa Splošna uredba. Dodatno ZVOP-2 opredeljuje tudi globe za odgovorne osebe in posameznike. Informacijski pooblaščenec izvaja tudi pristojnosti skladno z Zakonom o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (ZVOPOKD), ki je v slovenski pravni red prenesel Direktivo (EU) 2016/680 in Direktivo (EU) 2016/681 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o uporabi podatkov iz evidence podatkov o potnikih (PNR) za preprečevanje, odkrivanje, preiskovanje in pregon terorističnih in hudih kaznivih dejanj v delu, ki se nanaša na položaj in naloge pooblaščenih oseb za varstvo osebnih podatkov. Skladno z ZVOPOKD Informacijski pooblaščenec deluje kot pritožbeni, inšpekcijski in prekrškovni organ, in sicer skrbi za enotno uresničevanje ukrepov na področju varstva osebnih podatkov po določbah ZVOPOKD, tako da se zaščitijo človekove pravice in temeljne svoboščine posameznikov v zvezi z obdelavo osebnih podatkov ter se omogoči prost pretok osebnih podatkov med državami članicami Evropske unije v skladu z določbami ZVOPOKD. Pristojnosti Informacijskega pooblaščenca so skladno s 76. členom ZVOPOKD naslednje: 1. izvajanje inšpekcijskega nadzora nad izvajanjem določb ZVOPOKD in drugih zakonov, podzakonskih predpisov ali drugih splošnih aktov za izvrševanje javnih pooblastil glede obdelav osebnih podatkov s področij preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij; 2. odločanje v pritožbenem postopku ter v postopkih prijav prijaviteljev s posebnim položajem in izvajanje inšpekcijskega nadzora; 3. dajanje predhodnih mnenj ministrstvom, državnemu zboru, organom samoupravnih lokalnih skupnosti, drugim državnim organom in nosilcem javnih pooblastil o usklajenosti določb predlogov zakonov ter ostalih predpisov z zakoni in drugimi predpisi, ki urejajo osebne podatke s področij preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij; 4. izvajanje predhodnega posvetovanja; 5. dajanje neobveznih mnenj, pojasnil in stališč pristojnim organom in posameznikom o vprašanjih glede varstva osebnih podatkov v zvezi z zakoni in z njimi povezanimi predpisi na področjih obravnavanja kaznivih dejanj; 6. spodbujanje ozaveščenosti in razumevanja javnosti o tveganjih, pravilih, zaščitnih ukrepih in pravicah v zvezi z obdelavo; 7. spodbujanje ozaveščenosti pristojnih organov, drugih upravljavcev in obdelovalcev o njihovih obveznostih na podlagi tega zakona; 9 8. sodelovanje z nadzornimi organi drugih držav ali mednarodnih organizacij; 9. sodelovanje pri delovanju Evropskega odbora za varstvo osebnih podatkov; 10. priprava letnega poročila o izvajanju zakona v skladu z določbami zakonov, ki urejata delo Informacijskega pooblaščenca in varstvo osebnih podatkov; 11. obveščanje pristojnega sodišča o kršitvah zakona oziroma posredovanje mnenja sodišču o ugotovljenih kršitvah; 12. sodelovanje s pristojnimi organi, drugimi upravljavci in obdelovalci pri izvajanju nadzorov v skladu z določbami ZVOPOKD; 13. priprava obrazcev, ki olajšajo postopek vložitve prijav, pritožb, sporočil, pobud in drugih vlog v postopku inšpekcijskega nadzora glede varstva osebnih podatkov iz 27., 33. in 40. člena tega zakona; 14. izvajanje drugih nalog, določenih s tem zakonom. Skladno s prvim odstavkom 77. člena ZVOPOKD pa Informacijski pooblaščenec ni pristojen za izvajanje nadzora in za prekrškovni nadzor glede obdelav osebnih podatkov, ki se obdelujejo v kazenskih zadevah sodišča, izvedenih v okviru neodvisnega sodniškega odločanja ali odločanja strokovnih sodelavcev ali sodniških pomočnikov po odredbi sodnika, kot to opredeljuje zakon, ki ureja sodišča, ali po določbah drugih zakonov, ki določajo njihovo samostojno delovanje. Informacijski pooblaščenec ima pristojnosti še po Zakonu o pacientovih pravicah (ZPacP), Zakonu o potnih listinah (ZPLD-1), Zakonu o osebni izkaznici (ZOIzk-1), Zakonu o elektronskih komunikacijah (ZEKom-2), Zakonu o centralnem kreditnem registru (ZCKR), Zakonu o potrošniških kreditih (ZPotK-2), Zakonu o kupcih in serviserjih nedonosnih kreditov bank (ZKSNKB), Zakonu o izvajanju Uredbe (EU) o enotnem trgu digitalnih storitev (ZIUETDS) in Zakonu o izvajanju Uredbe (EU) o evropskem upravljanju podatkov (ZIUEUP). Na podlagi ZPacP Informacijski pooblaščenec deluje kot pritožbeni, inšpekcijski in prekrškovni organ. V okviru pritožbenih postopkov Informacijski pooblaščenec: • na podlagi desetega odstavka 41. člena ZPacP odloča o pritožbah pacientov in drugih upravičenih oseb ob kršitvi določbe, ki ureja način seznanitve z zdravstveno dokumentacijo; • na podlagi petega odstavka 42. člena ZPacP odloča o pritožbi v zakonu opredeljenih oseb zoper delno ali v celoti zavrnjeno zahtevo za seznanitev z zdravstveno dokumentacijo po pacientovi smrti; • na podlagi sedmega odstavka 45. člena ZPacP odloča o pritožbi upravičenih oseb zoper delno ali v celoti zavrnjeno zahtevo za seznanitev, ki se nanaša na dolžnost varovanja informacij o zdravstvenem stanju pacienta, vendar le, če gre za informacije, ki izvirajo iz zdravstvene dokumentacije. V skladu s četrtim odstavkom 85. člena ZPacP Informacijski pooblaščenec izvaja inšpekcijski nadzor in vodi prekrškovne postopke zaradi kršitev naslednjih določb ZPacP: • 44. člena, ki opredeljuje pravico pacienta do zaupnosti osebnih podatkov ter pogoje za uporabo in drugo obdelavo osebnih podatkov za potrebe zdravljenja ali izven postopkov zdravstvene obravnave; • 45. člena, ki določa dolžnost varovanja poklicne skrivnosti oziroma varovanja informacij o zdravstvenem stanju pacienta; 10 • 46. člena, ki izvajalcem zdravstvene dejavnosti nalaga izvedbo preiskave vsake zaznane nedovoljene obdelave osebnih podatkov o pacientu in obveščanje Informacijskega pooblaščenca o ugotovitvah; • drugega odstavka 63. člena, ki določa način in rok hrambe dokumentacije, nastale v postopku z zahtevo za obravnavo kršitve pacientovih pravic; • 68. člena, ki določa pogoje dostopa do zdravstvene dokumentacije pacienta s strani Komisije RS za varstvo pacientovih pravic. Globe za kršitve 46., 63. in 68. člena so določene v 87. členu ZPacP, za druge prekrške se upoštevajo prekrškovne določbe ZVOP-2. Pristojnosti Informacijskega pooblaščenca po ZPLD-1 in ZOIzk-1 so omejene na določbe, ki določajo, v kakšnih primerih in na kakšen način lahko upravljavci osebnih podatkov kopirajo potne listine oziroma osebne izkaznice ter način hrambe kopij (4. člen ZOIzk-1 in 4.a člen ZPLD-1). Informacijski pooblaščenec v zvezi z navedenimi določbami opravlja naloge inšpekcijskega in prekrškovnega organa, pri čemer o prekršku odloča v skladu s 27. členom ZOIzk-1 in 34.b členom ZPLD-1. ZEKom-2 določa pristojnosti Informacijskega pooblaščenca v 229. členu, in sicer Informacijski pooblaščenec: • izvaja inšpekcijski nadzor nad izvajanjem določb 216. člena ZEKom-2, ki ureja notranje postopke o odzivanju na zahteve pristojnih organov za dostop do osebnih podatkov uporabnikov na podlagi področnih zakonov; • najmanj enkrat letno opravlja inšpekcijski nadzor nad obdelavo podatkov iz 220. člena ZEKom-2, ki določa pogoje in postopke za posredovanje prometnih in lokacijskih podatkov v primerih varovanja življenja in telesa posameznika; • izvaja inšpekcijski nadzor nad izvajanjem določb 223. člena ZEKom-2, ki ureja sledenje zlonamernih ali nadležnih klicev na pisno zahtevo posameznika, ki klice prejema, in postopke glede posredovanja podatkov, ki razkrijejo identiteto kličočega; • izvaja inšpekcijski nadzor nad izvajanjem določb 225. člena ZEKom-2, ki ureja shranjevanje podatkov ali pridobivanje dostopa do podatkov, shranjenih v terminalski opremi naročnika ali uporabnika s pomočjo piškotkov in podobnih tehnologij. Na področju, ki ga nadzoruje, Informacijski pooblaščenec odloča o prekrških za kršitve ZEKom-2 in na njegovi podlagi izdanih predpisov, in sicer kot prekrškovni organ v skladu z zakonom, ki ureja prekrške (298. do 303. člen ZEKom-2). ZCKR ureja vzpostavitev centralnega kreditnega registra kot osrednje nacionalne zbirke podatkov o zadolženosti fizičnih oseb in poslovnih subjektov. Del tega registra je tudi sistem izmenjave informacij o zadolženosti posameznih fizičnih oseb, poznan kot SISBON. Tako register kot sistem izmenjave informacij upravlja Banka Slovenije (drugi odstavek 3. člena ZCKR). V skladu s 26. členom ZCKR Banka Slovenije v zvezi z vzpostavitvijo in upravljanjem sistema izmenjave informacij določi tehnične pogoje, ki jih morajo izpolnjevati člani sistema in vključeni dajalci kreditov za članstvo oziroma vključitev v sistem izmenjave informacij ter za zagotavljanje zaupnosti podatkov, ki se zbirajo v sistemu izmenjave informacij. Pred določitvijo teh aktov Banka Slovenije pridobi mnenje Informacijskega pooblaščenca, ki izvaja inšpekcijski nadzor v zvezi z zbiranjem in obdelavo osebnih podatkov v centralnem kreditnem registru in sistemu izmenjave informacij v skladu z ZVOP-2. V skladu z 31. členom ZCKR Informacijski pooblaščenec z namenom preprečevanja in odvračanja ravnanj, ki pomenijo nezakonito obdelavo osebnih podatkov, javno objavi informacije v zvezi z ukrepi nadzora in sankcijami zaradi prekrška, ki jih je izrekel. 11 ZPotK-2 v 78. členu ohranja leta 2013 dodeljeno pristojnost Informacijskega pooblaščenca v zvezi z izvajanjem nadzora nad dajalci kreditov in kreditnimi posredniki glede izvajanja 10. in 42. člena v delu, ki se nanaša na informiranje, zbiranje in obdelavo osebnih podatkov pri izvedbi ocene kreditne sposobnosti potrošnika, ki jo mora dajalec kredita opraviti pred sklenitvijo kreditne pogodbe in pred sklenitvijo kreditne pogodbe za nepremičnino, ter 11. in 44. člena ZPotK-2, ki določata dostop do osebnih podatkov iz sistema izmenjave informacij o boniteti oziroma zadolženosti fizičnih oseb in zavarovanje teh podatkov. Globe, ki jih lahko Informacijski pooblaščenec izreče za kršitve členov, ki jih nadzira, so določene v 96. členu ZPotK-2. ZKSNKB je začel veljati 24. 2. 2024 in v petem odstavku 42. člena določa, da je Informacijski pooblaščenec pristojen za nadzor nad izpolnjevanjem obveznosti s področja varstva osebnih podatkov. Informacijski pooblaščenec lahko v skladu s 6. alinejo prvega odstavka 23.a člena Zakona o ustavnem sodišču (ZUstS) z zahtevo začne postopek za oceno ustavnosti oziroma zakonitosti predpisa ali splošnega akta, izdanega za izvrševanje javnih pooblastil, če se pojavi vprašanje ustavnosti ali zakonitosti v zvezi s postopkom, ki ga vodi. Pristojnosti Informacijskega pooblaščenca na podlagi ZIUETDS so nadzor nad tretjim odstavkom 26. člena Uredbe (EU) 2022/2065 Evropskega parlamenta in Sveta z dne 19. oktobra 2022 o enotnem trgu digitalnih storitev in spremembi Direktive 2000/31/ES (Akt o digitalnih storitvah) v zvezi s prepovedjo predstavljanja oglasov ponudnikov spletnih platform na podlagi oblikovanja profilov, pri čemer se uporabljajo posebne vrste osebnih podatkov ter nadzor nad 28. členom Uredbe (EU) 2022/2065 v zvezi z zaščito mladoletnikov na spletu. Informacijski pooblaščenec skladno s 5. členom ZIUEUP deluje kot pritožbeni organ zoper odločbo, s katero je organ javnega sektorja odločil o zahtevi za ponovno uporabo zaščitenih podatkov organov javnega sektorja, in zoper sklep, s katerim je organ javnega sektorja zahtevo zavrgel. Pristojnosti Informacijskega pooblaščenca opredeljujejo tudi pravila schengenskega informacijskega sistema (in druga generacija sistema, t� i� SIS II), ki nacionalnim organom kazenskega pregona ter pravosodnim in upravnim organom omogočajo izmenjavo in dostop do podatkov o prestopu zunanjih meja in vizumski politiki, v sistem pa so poleg tega vključeni tudi podatki o evropskem zapornem nalogu, izročitvi, biometrični podatki in podatki o iskanju zaradi terorističnih aktivnosti. Pravni okvir SIS II vključuje: Uredbo (ES) št. 1987/2006 Evropskega parlamenta in Sveta z dne 20. decembra 2006 o vzpostavitvi, delovanju in uporabi druge generacije schengenskega informacijskega sistema (SIS II); Sklep Sveta 2007/533/PNZ z dne 12. junija 2007 o vzpostavitvi, delovanju in uporabi druge generacije schengenskega informacijskega sistema (SIS II) in Uredbo (ES) št. 1986/2006 Evropskega parlamenta in Sveta z dne 20. decembra 2006 o dostopu služb držav članic, pristojnih za izdajo potrdil o registraciji vozil, do druge generacije schengenskega informacijskega sistema (SIS II). Informacijski pooblaščenec na podlagi 60. člena Sklepa Sveta 2007/533/PNZ ter 44. člena Uredbe (ES) št. 1987/2006 nadzira zakonitost obdelave osebnih podatkov v SIS II na svojem ozemlju in pri prenosu s svojega ozemlja, vključno z izmenjavo in nadaljnjo obdelavo dopolnilnih podatkov. 1�3 ODNOSI Z JAVNOSTMI Informacijski pooblaščenec na podlagi 56. člena ZVOP-2 daje izjave za javnost o nadzoru v posamičnih zadevah v skladu s tem zakonom, izvaja konference za medije v zvezi z delom nadzornega organa in prepise izjav ali posnetke izjav s konferenc za medije objavlja na spletu. Na spletnih straneh objavlja tudi druga pomembna obvestila. Mediji in komuniciranje z javnostmi V letu 2024 je Informacijski pooblaščenec podal 109 odgovorov na novinarska vprašanja ter na spletni strani objavil 30 sporočil za javnost. Novinarska vprašanja se najpogosteje nanašajo na stališča 12 Informacijskega pooblaščenca ob predlaganih spremembah zakonodaje, na tolmačenja obveznosti zavezancev v skladu s predpisi, ki sodijo v v njegovo pristojnost, ter na stališča Informacijskega pooblaščenca ob drugih aktualnih dogodkih, ki so deležni večje medijske pozornosti. Prav tako mediji na Informacijskega pooblaščenca naslovijo vprašanja, kadar se nanje obrnejo posamezniki, ki so se znašli v težavah ali pa so zaznali kršitev predpisov. Med temami, ki so bile najbolj izpostavljene v letu 2024, so bila vprašanja glede izvajanja videonadzora v Mestni občini Ljubljana, glede ravnanja z osebnimi podatki pacientov ter glede uvajanja digitalizacije v zdravstvu. S sporočili za javnost, ki jih objavlja na svoji spletni strani, Informacijski pooblaščenec javnost obvešča o dogodkih, ki jih organizira, kot sta dogodka ob dnevu varstva osebnih podatkov in dnevu transparentnosti, obvešča jo tudi o srečanjih s predstavniki drugih neodvisnih državnih organov in nadzornih organov iz drugih držav. Prav tako javnost obvešča o skupnih akcijah nadzora na evropski ravni, o novih izobraževalnih in ozaveščevalnih gradivih ter o drugih pomembnih novicah v okviru svojih pristojnosti. Informacije, stališča in mnenja Informacijski pooblaščenec deli tudi prek družabnih omrežij Facebook in LinkedIn, kjer opozarja na pomembne novosti na področju varovanja zasebnosti ter objavlja povezave do relevantnih objav, vsak mesec pa naročenim na e-novice pošlje novičnik s povezavami do aktualnih vsebin, mnenj in drugih objav s področja svojega delovanja. Na omrežju LikedIn, ki je namenjeno strokovni javnosti, objave Informacijskega pooblaščenca spremlja več kot 2000 sledilcev, na omrežju Facebook, ki je namenjeno predvsem splošni javnosti, pa dobrih 2200 sledilcev. V letu 2024 je Informacijski pooblaščenec: • objavil 58 sporočil na omrežju LinkedIn, • objavil 36 objav na omrežju Facebook ter • poslal 12 novičnikov. Primer objave na družabnem omrežju Facebook. 13 Primer objave na družabnem omrežju LinkedIn. 1.4 FINANČNO POSLOVANJE V LETU 2024 Finančna sredstva za delo Informacijskega pooblaščenca se v skladu s 5. členom ZInfP zagotavljajo iz državnega proračuna in jih določi Državni zbor RS na predlog Informacijskega pooblaščenca. Za izvajanje svojih nalog je imel Informacijski pooblaščenec za leto 2024 veljavni proračun na integralnih postavkah 2�788�927,00 EUR, od tega na postavki plače 2.318.551,00 EUR, na postavki materialni stroški 431.362,00 EUR in na postavki investicije 39.014,00 EUR. Evidentiranih odredb na integralnih postavkah je bilo na dan 31. 12. 2024 2.759.027,79 EUR, od tega na postavki plače 2.291.144,99 EUR, na postavki materialni stroški 428.904,79 EUR in na postavki investicije 38.978,01 EUR. Proračun Informacijskega pooblaščenca 2018–2024. Proračunsko leto Veljavni proračun 2018 1.833.399,66 EUR 2019 2.232.236,00 EUR 2020 2.321.085,00 EUR 2021 2.330.548,50 EUR 2022 2.501.202,00 EUR 2023 2.681.559,05 EUR 2024 2.796.248,05 EUR Informacijski pooblaščenec je v letu 2024 razpolagal z namenskimi sredstvi v višini 7.317,92 EUR. Porabe namenskih sredstev v letu 2024 ni bilo. 14 V proračun za leto 2025 bo Informacijski pooblaščenec prenesel skupaj 7.321,05 EUR namenskih sredstev in sredstev donacij, ki so bile financirane s strani Evropske unije (7.317,92 EUR namenskih sredstev, 0,14 EUR donacije – mednarodna spletna stran in 2,99 EUR finančnih sredstev projekta Taiex). Na proračunsko postavko 7640 – Rezerva Republike Slovenije v letu 2024 ni bilo prenesenih sredstev z integralnih proračunskih postavk zaradi namena zagotavljanja pravic porabe za oblikovanje in uporabo sredstev proračunske rezerve. Na podlagi sklepa Vlade so bile v novembru in decembru 2024 izvedene prerazporeditve sredstev, in sicer je bilo na postavko plače PP 1267 prerazporejeno 58.141,00 EUR, na postavko materialni stroški PP 1271 pa je bilo prerazporejeno 76.356,00 EUR. Podrobnejša razdelitev finančnih sredstev glede na ukrep in projekte, ki se vodijo pri Informacijskem pooblaščencu, je razvidna iz spodnje tabele. Proračun Informacijskega pooblaščenca 2024. Veljavni proračun v EUR Prevzete obveznosti v EUR Razpoložljiv proračun v EUR konec leta 2.796.248,05 2.759.027,79 37.220,26 OPRAVLJENE DEJAVNOSTI 2.788.927,00 2.759.027,79 29.899,21 PP 1267 Plače 2.318.551,00 2.291.144,99 27.406,01 PP 1271 Materialni stroški 431.362,00 428.904,79 2.457,21 PP 1273 Investicije 39.014,00 38.978,01 35,99 NAMENSKA SREDSTVA 7.317,92 0 7.317,92 7459 Namenska sr. kupnine 7.317,92 0 7.317,92 7460 Stvarno premoženje -sr. odškodn. 0 0 0 DONACIJE – EU projekti 3,13 0 3,13 PP 9958 Mednarodna spl. str. 0,14 0 0,14 PP130134 projekt Taiex 2,99 0 2,99 V letu 2024 je bilo finančno poslovanje razdeljeno na 1 ukrep in 3 projekte: UKREP Ukrep 1215-18-0001 vključuje integralne proračunske postavke Materialni stroški 1271 in Plače 1267. Veljavni proračun je ob koncu leta 2024 znašal 2.749.913,00 EUR, medtem ko so prevzete obveznosti ob koncu leta znašale 2.720.049,78 EUR; neporabljena sredstva oziroma razpoložljiv proračun je na dan 31.12.2024 znašal 29.863,22 EUR. UKREP 1215-18-0001 Opravljanje dejavnosti IP Veljavni proračun Prevzete obveznosti Razpoložljiv proračun v EUR konec leta Sredstva skupaj po ukrepu 2.665.739,00 2.652.979,15 12.759,85 PP 1267 Plače 2.289.417,00 2.280.885,53 8.531,47 PP 1271 Materialni stroški 376.322,00 372.093,62 4.228,38 V letu 2024 je bila poraba sredstev za plače zaposlenih v okviru proračunske postavke PP 1267 realizirana v višini 2�291�144,99 EUR, kar predstavlja 98,82 % začetno določenega proračuna, ki je znašal 2.318.551,00 EUR. Povečanje porabe v primerjavi s preteklimi leti je posledica več dejavnikov, 15 vključno z napredovanji zaposlenih ter realizacijo Dogovora o uskladitvi vrednosti plačnih razredov plačne lestvice, ki je privedel do povišanja plač. Prav tako je bil uresničen Dogovor 2024, ki je določil uskladitev plačne lestvice na podlagi rasti cen življenjskih potrebščin v obdobju december 2022–december 2023, s čimer je prišlo do zvišanja plačnih razredov za 3,36 % s 1. junijem 2024. Regres za letni dopust za leto 2024 je bil izplačan pri plači za februar 2024. Zaradi novih pristojnosti Informacijskega pooblaščenca za varstvo osebnih podatkov v skladu s Splošno uredbo o varstvu osebnih podatkov in novo Direktivo Evropskega parlamenta in Sveta, ki Informacijskemu pooblaščencu nalagata dodatne naloge in zadolžitve, so se pojavile potrebe po novih zaposlitvah, kar bi povečalo obseg sredstev za plače. Dodatnih zaposlitev Informacijski pooblaščenec v letu 2024 ni mogel realizirati. Skupaj je bilo za plače in dodatke zaposlenim porabljenih 1.754.978,05 EUR, za regres 58.511,93 EUR, za povračila in nadomestila 96.800,21 EUR, za sredstva za delovno uspešnost 48.550,07 EUR, za druge izdatke 21.302,36 EUR ter za prispevke za socialno varnost 311.002,37 EUR (pokojninsko in invalidsko zavarovanje 157.482,88 EUR, zdravstveno zavarovanje 128.474,05 EUR, prispevki za zaposlovanje 1.176,19 EUR, starševsko varstvo 1.811,69 EUR in premije kolektivnega dodatnega pokojninskega zavarovanja 22.057,56 EUR). Konec leta 2024 je na postavki plače ostalo 27.406,01 EUR razpoložljivih sredstev. V letu 2024 je Informacijski pooblaščenec prejel refundacije bruto nadomestil z naslova bolezni in invalidnin s strani ZZZS v skupnem znesku 52.998,92 EUR. Ta znesek obsega: • prilive za refundacijo v letu 2024 v višini 49.827,34 EUR, • priliv v znesku 3.171,58 EUR v letu 2024, ki je bil knjižen v breme proračuna za leto 2023. V januarju 2025 so bile pripravljene negativne odredbe v višini 3.911,99 EUR za refundacije, ki se nanašajo na boleznine iz junija in novembra 2024, vendar jih zaradi prejetja ob koncu leta ni bilo mogoče vključiti v plače za november, izplačane v decembru 2024. Za izplačilo manjkajočih sredstev v decembru 2024 je bilo na podlagi sklepa Vlade prerazporejenih 58.141,00 EUR na postavko Plače PP 1267. S postavke Plače Informacijski pooblaščenec konec leta 2024 ni prerazporedil prostih pravic porabe na proračunsko postavko 7640 – Rezerva Republike Slovenije. Materialni stroški, evidentirani na proračunski postavki 1271, zagotavljajo sredstva za nemoteno poslovanje Informacijskega pooblaščenca. Poraba sredstev za blago in storitve, evidentirane na proračunski postavki 1271 (skupina 402), je bila v letu 2024 v skladu z načrtovanimi sredstvi in je znašala 428�904,79 EUR, kar predstavlja 99,43 % celotnega veljavnega proračuna na tej postavki, ki je ob koncu leta znašal 431.362,00 EUR. Podrobna poraba sredstev po posameznih kontih je bila naslednja: • Pisarniški in splošni material ter storitve: 75.011,40 EUR, vključno z nakupom pisarniškega materiala, čiščenjem poslovnih prostorov, storitvami varovanja, spremljanjem medijev, arhiviranjem, prevajalskimi in lektorskimi storitvami, reprezentanco, revizijo ter tekočimi obratovalnimi stroški. • Posebni material in storitve: 4.071,70 EUR, kar vključuje nakup drobnega inventarja, zdravstvene preglede zaposlenih, strokovne naloge s področja VPD, zavarovanje odgovornosti ter druge posebne materiale in storitve. • Energija, voda, komunalne storitve, pošta in komunikacije: 48.763,05 EUR, za stroške električne 16 energije, ogrevanja, vode, komunalnih storitev, odvoza smeti, stroške telefonov ter poštnih storitev. • Prevozni stroški in storitve: 8.645,04 EUR, za vzdrževanje, popravila, zavarovanje in registracijo službenih vozil, gorivo, taksi storitve ter druge prevozne in transportne stroške. • Izdatki za službena potovanja: 38.315,12 EUR, kar vključuje stroške dnevnic, nočnin, letalskih kart, hotelskih storitev in drugih prevozov. • Tekoče vzdrževanje: 14.501,47 EUR, povezano z najemom poslovnih prostorov, zavarovalnimi premijami, vzdrževanjem programske opreme (evidenca prisotnosti) in operativnega informacijskega okolja, vključno s spletnimi mesti in strežniškimi sistemi (pregled, analiza in selitev strežniškega sistema). • Poslovne najemnine in zakupnine: 178.173,50 EUR, za najem poslovnih prostorov, parkirnih mest, računalniških programov in licenc ter fotokopirnih strojev. • Drugi operativni odhodki: 61.423,51 EUR, za stroške konferenc, izobraževanja, študentskega dela, sodnih stroškov, letnih članarin in prispevkov za zaposlovanje invalidov. Konec leta 2024 je bil na proračunski postavki 1271, po podpisanih odredbah, razpoložljiv znesek 2.457,21 EUR. V letu 2024 je Informacijski pooblaščenec prejel povračila z naslova potnih stroškov v skupnem znesku 21�525,76 EUR. Ta znesek obsega: • Povračilo iz Evropske komisije (EC) v višini 18.966,20 EUR, ki vključuje refundacije za letalske karte in stroške prevoza v tujini. • Vračilo akontacij v višini 550,00 EUR zaradi storno poti v tujino. • Dodatnih 2.009,56 EUR od Evropske komisije (EC); povračilo je bilo prejeto v januarju 2024, vendar je bilo knjiženo kot prihodek proračuna za leto 2023, saj se je povračilo nanašalo na službene poti v letu 2023. Poleg tega je Informacijski pooblaščenec prejel tudi povračilo zavarovalnih premij v višini 107,69 EUR od zavarovalnice Generali. Za izplačilo manjkajočih sredstev na postavki Materialni stroški za december 2024 je bilo, na podlagi sklepa Vlade, na postavko 1271 Materialni stroški prerazporejenih 76.356 EUR. V letu 2024 je bilo s proračunske postavke 1271 Materialni stroški v juliju in novembru na postavko 1273 Investicije prerazporejenih 15.014,00 EUR, in sicer zaradi nujnega nakupa poštnega strežnika. 17 PROJEKTI PROJEKTI Prevzete Razpoložljiv proračun Veljavni proračun obveznosti v EUR konec leta Sredstva skupaj po 2.665.739,00 2.652.979,15 12.759,85 projektu 1215-21-0001 PP 1273 Investicije 8.499,00 8.498,67 0,33 1215-21-0001 7459 Namenska sr. kupnine 7.317,92 0 7.317,92 1215-16-0001 PP 9958 Mednarodna spl. str. 0,14 0 0,14 1215-16-0001 PP130134 Taiex projekt 2,99 0 2,99 Projekt 1215-21-0001, 1273 Investicije Veljaven proračun na proračunski postavki 1273 Nakup in gradnja osnovnih sredstev (skupina 420) je ob koncu leta 2024 znašal 39�014,00 EUR. Poraba sredstev je bila realizirana v višini 38.978,01 EUR, kar predstavlja 99,91 % začetno določenega proračuna. Poraba sredstev je bila razdeljena na naslednje postavke: • nakup strežnikov in diskovnih sistemov: 4.896,67 EUR (strežniška omara s klimo in diski IBM), • nakup opreme za hlajenje in ogrevanje: 26.097,84 EUR (strežniška omara s klimo), • nakup licenčne programske opreme: 2.734,39 EUR (licence Domino Colaboration, uvoz novega klasifikacijskega načrta, spletna registracija portala, nadgradnja programske opreme in povezava s sistemom MFERAC, licence lektorica Besana – 6 kosov). Na koncu leta 2024 je bilo na postavki Investicije razpoložljivih 35,99 EUR. Za izplačilo manjkajočih sredstev na postavki Investicije je bilo s proračunske postavke 1271 Materialni stroški v juliju in novembru prerazporejenih 15.014,00 EUR na postavko 1273 Investicije. Projekt 1215-21-0001, 7459 Namenska sredstva kupnine V leto 2024 je bilo prenesenih 7�317,92 EUR finančnih sredstev kupnin. Na tej postavki v letu 2024 ni bilo nobenih prilivov ali porabe sredstev. Preostali znesek v višini 7.317,92 EUR se bo prenesel v leto 2025. Projekt 1215-16-0001, 9958 Mednarodna spletna stran info-commissioners�org V letu 2024 je bilo prenesenih 0,14 EUR finančnih sredstev za projekt mednarodne spletne strani info- commissioners.org. Na tej postavki v letu 2024 ni bilo nobene porabe. Projekt se bo zaključil v letu 2025, preostala sredstva bodo nakazana na podračun za izvrševanje proračuna. Projekt 1215-16-0001, 130134 projekt Taiex V letu 2024 je bilo na postavko projekt Taiex prenesenih 2,99 EUR finančnih sredstev. Za ta projekt v letu 2024 ni bilo prilivov ali porabe sredstev. Projekt še deluje v okviru Evropske unije, preostali znesek v višini 2,99 EUR se bo prenesel v leto 2025. PP 344 Založena sredstva Sredstva z naslova založenih sredstev, ki so bila prenesena iz leta 2023 (1.200,00 EUR), so bila v letu 2024 porabljena za plačilo sodnemu izvedencu (996,84 EUR), preostali del zneska (203,16 EUR) pa je bil vrnjen stranki. Tako je ob koncu leta 2024 stanje na postavki 344 – Založena sredstva 0,00 EUR. 18 Dne 16. 10. 2024 je Informacijski pooblaščenec prejel nova sredstva v višini 1.000,00 EUR za kratkoročne obveznosti, ki predstavljajo predujem stranke za postavitev sodnega izvedenca po ZUP. Ker v letu 2024 ni bilo izvedenih plačil izvedencu, je ob koncu leta 2024 stanje na postavki 344 – Založena sredstva 1.000,00 EUR. Ta sredstva se prenesejo v leto 2025. Veljavni proračun Prevzete obveznosti Razpoložljiv proračun v EUR konec leta ZALOŽENA SREDSTVA 2.200,00 1.200,00 1.000,00 PP 344 Založena sredstva 2.000,00 1.200,00 1.000,00 Projekt: IP PrivacyPRO – Postani strokovnjak za varstvo osebnih podatkov Informacijski pooblaščenec je 19. 9. 2024 podpisal pogodbo o izvajanju in financiranju projekta (Grant Agreement) z Evropsko komisijo. Informacijski pooblaščenec bo v letih 2025, 2026 in 2027 samostojno izvajal projekt Become a PrivacyPRO(tector) s krajšim nazivom PrivacyPRO, št. projekta 101193212 (101193212 – PrivacyPRO – CERV-2024-DATA). Projekt je namenjen izobraževanju otrok in njihovih staršev, učiteljev, socialnih delavcev ter drugih posameznikov, ki delajo z otroki, glede varstva osebnih podatkov otrok. Projekt financira Evropska komisija v okviru programa Državljani, enakost, pravice in vrednote 2021–2027. Za izvajanje projekta IP PrivacyPRO – Postani strokovnjak za varstvo osebnih podatkov je Evropska komisija dne 7. 10. 2024 na račun Izvrševanje proračuna RS nakazala znesek v višini 198.761,60 EUR. 19 2 DOSTOP DO INFORMACIJ JAVNEGA ZNAČAJA DOSTOP DO INFORMACIJ JAVNEGA ZNAČAJA V IMENU LJUDI IN ZA LJUDI 2.1 PRAVNA UREDITEV NA PODROČJU DOSTOPA DO INFORMACIJ JAVNEGA ZNAČAJA Pravica dostopa do informacij javnega značaja je zagotovljena že z Ustavo Republike Slovenije. Ta v drugem odstavku 39. člena določa, da ima vsakdo pravico dobiti informacijo javnega značaja, za katero ima v zakonu utemeljen pravni interes, razen v primerih, ki jih določa zakon. Čeprav je pravica dostopa do2 in.1fo rPmRacAij VjaNvnAeg Ua RznEaDčaIjaT eEnVa NodA te PmOelDjnRih OčlČovJeUko DvihO pSraTvOicP inA k oDt Ota kIaN tuFdOi zRaMščAiteCnaI Jn aJ AusVtaNvnEi GA ravni, se je začela uveljavljati šele 11 let po sprejetju Ustave RS, in sicer s sprejetjem Zakona o dostopu doZ inNfoArmČaAcJij Ajavnega značaja. Dotlej so se posamezne določbe o javnosti informacij pojavljale le v nekaterih zakonih; celostno jih je uredil šele ZDIJZ, ki je začel veljati leta 2003. ZDIJZ sledi usmeritvam mednarodnih aktov in EU. Njegov namen je zagotoviti javnost in odprtost delovanja javne uprave ter vsakomur omogočiti dostop do javnih informacij, torej tistih, ki so povezane z delovnimi področji organov javne uprave. Zakon je uredil postopek, ki vsakomur omogoča prost dostop in ponovno uporabo informacij javnega značaja, s katerimi razpolagajo državni organi, organi lokalnih skupnosti, javne agencije, javni skladi in druge osebe javnega prava, nosilci javnih pooblastil in izvajalci javnih služb. S tem zakonom sta se v pravni red Republike Slovenije prenesli dve direktivi Evropske skupnosti: Direktiva 2003/4/ES Evropskega parlamenta in Sveta o javnem dostopu do okoljskih informacij in razveljavitvi Direktive 90/313/EGS, ki je začela veljati 28. 1. 2003, ter Direktiva (EU) 2019/1024 z dne 20. junija 2019 o odprtih podatkih in ponovni uporabi informacij javnega sektorja, ki je začela veljati 16. 7. 2019 in je bila implementirana v zakon z novelo ZDIJZ-G. Leta 2005 je bil z novelo ZDIJZ-A narejen še korak naprej. Novela je namreč zožila možnost neupravičenega zapiranja dostopa do informacij in uvedla številne novosti, kot so ponovna uporaba informacij javnega značaja in pristojnosti upravne inšpekcije na področju izvajanja tega zakona. Najpomembnejša novost je bil zagotovo test javnega interesa. Z novelo je bila tudi poudarjena odprtost pri podatkih o porabi javnih sredstev in podatkih, povezanih z delovnim razmerjem ali opravljanjem javne funkcije. S tem se je Slovenija pridružila tistim demokratičnim državam, ki, kadar gre za javni interes, tudi izjeme obravnavajo s pridržkom. Leta 2014 sta bili sprejeti noveli ZDIJZ-C in ZDIJZ-D. Najpomembnejša sprememba, ki sta jo prinesli, je, da se je obveznost posredovanja informacij javnega značaja z organov javnega sektorja razširila tudi na gospodarske družbe in druge pravne osebe pod prevladujočim vplivom (oz. v večinski lasti) države, občin ali drugih oseb javnega prava ter da je AJPES v šestih mesecih po uveljavitvi ZDIJZ-C vzpostavil spletni Register zavezancev za informacije javnega značaja, ki je javen, podatki v njem pa so dostopni 20 brezplačno. Namen sprememb ZDIJZ je bil, da se poleg zagotavljanja javnosti in odprtosti delovanja javnega sektorja krepita transparentnost in odgovorno ravnanje pri upravljanju finančnih sredstev poslovnih subjektov pod prevladujočim vplivom oseb javnega prava. Nadzor javnosti, omejen zgolj na državne organe, občine in širši javni sektor, se je izkazal za nezadostnega. Finančna in gospodarska kriza preteklih let je namreč povečala občutljivost javnosti za korupcijo, zlorabo oblasti in slabo upravljanje. K večji transparentnosti je prispevala tudi proaktivna objava informacij javnega značaja na spletnih straneh, ki jo zahteva novela ZDIJZ-C. Dne 8. 5. 2016 je v uporabo stopila novela ZDIJZ-E, ki je bila sprejeta konec leta 2015. Novela je prinesla novosti na področju ponovne uporabe informacij javnega značaja (npr. ponovna uporaba informacij muzejev in knjižnic, ponovna uporaba arhivskega gradiva, zagotavljanje odprtih podatkov za ponovno uporabo). Novela določa, da organi na nacionalnem portalu odprtih podatkov javnega sektorja, ki ga vodi Ministrstvo za javno upravo, objavijo seznam vseh zbirk podatkov iz svoje pristojnosti z metapodatki ter zbirke odprtih podatkov ali povezave na spletne strani, kjer so objavljene zbirke odprtih podatkov. Podatke, objavljene na tem portalu, lahko kdor koli ponovno brezplačno uporablja v pridobitne ali druge namene, pod pogojem, da to poteka v skladu z ZVOP-1 in da navede vir podatkov. Novela je spremenila tudi področje zaračunavanja stroškov dostopa in ponovne uporabe informacij javnega značaja. Za dostop do informacij javnega značaja se lahko zaračunajo le materialni stroški, ne pa tudi urne postavke za stroške dela javnih uslužbencev, ki tovrstne zahteve obravnavajo. Na podlagi novele ZDIJZ-E je Vlada RS sprejela novo Uredbo o posredovanju in ponovni uporabi informacij javnega značaja, s katero je sprejela enotni stroškovnik za posredovanje informacij javnega značaja. S tem je odpravila posebne stroškovnike organov, na podlagi katerih so ti zaračunavali stroške dela, ter določila vrste informacij javnega značaja, ki jih je treba posredovati na splet. Leta 2018 je stopila v veljavo novela ZDIJZ-F, ki v členu a26.a določa, da je stranka v postopku z zahtevo za dostop do informacije javnega značaja ali ponovne uporabe samo prosilec, če je predmet odločanja dostop do podatkov, za katere je z zakonom določeno, da so javni. S tem je uredila institut stranske udeležbe posebej glede na splošno ureditev v zakonodaji, ki ureja upravni postopek. Leta 2022 je bila sprejeta novela ZDIJZ-G, ki je v slovenski pravni red z zamudo prenesla Direktivo (EU) 2019/1024. Novela določa, da morajo organi v čim večji meri omogočiti ponovno uporabo raziskovalnih podatkov iz javno financiranih raziskav, omogočiti ponovno uporabo nabora podatkov velike vrednosti (npr. podatkov o okolju, prometu, satelitskih podatkov, meteoroloških podatkov), dinamične podatke (podatke, ki se velikokrat posodabljajo) pa dati na voljo takoj, ko jih zberejo. Dostop do podatkov velike vrednosti in dinamičnih podatkov morajo organi zagotoviti z uporabo t. i. API-vmesnikov. Podatki za ponovno uporabo morajo biti na voljo brez zaračunavanja stroškov (oz. se lahko zaračunava povračilo mejnih stroškov, npr. zaradi reprodukcije, zagotavljanja in razširjanja dokumentov). 21 Časovnica razvoja Zakona o dostopu do informacij javnega značaja. 22 ZDIJZ zagotavlja dostop do informacij, ki so že ustvarjene, in sicer v kakršni koli obliki. S tem zakon zagotavlja preglednost porabe javnega denarja in odločitev javne uprave, saj ta dela v imenu ljudi in za ljudi. Kdo so zavezanci za posredovanje informacij javnega značaja? Zavezanci za posredovanje informacij javnega značaja se delijo v dve skupini: • organi (državni organi, organi lokalnih skupnosti, javne agencije, javni skladi in druge osebe javnega prava, nosilci javnih pooblastil in izvajalci javnih služb) ter • poslovni subjekti pod prevladujočim vplivom oseb javnega prava. Zavezanci so informacije javnega značaja dolžni zagotavljati na dva načina: z objavo na spletu in z omogočanjem dostopa na podlagi individualnih zahtev. Za vsako od skupin zavezancev je pojem »informacija javnega značaja« (torej informacija, ki jo morajo posredovati prosilcu) definiran drugače; pri zavezancih iz druge skupine je ožji. Medtem ko za organe na splošno velja, da so vsi dokumenti, zadeve, dosjeji, registri, evidence in dokumentarno gradivo, s katerim razpolagajo (ne glede na to, ali jih je organ izdelal sam, v sodelovanju z drugim organom ali jih je pridobil od drugih oseb), informacije javnega značaja, razen izjem, za poslovne subjekte pod prevladujočim vplivom oseb javnega prava pa velja ravno obraten miselni proces: informacije javnega značaja so le tisti dokumenti, zadeve, dosjeji, registri, evidence in dokumentarno gradivo, ki jih kot take določa ZDIJZ (npr. informacije, povezane s sklenjenimi pravnimi posli, ter informacije o članih poslovodnega organa, organa upravljanja in organa nadzora). Za te zavezance velja tudi časovna omejitev, saj se dolžnost posredovanja nanaša le na informacije, nastale v času pod prevladujočim vplivom. Zavezanci, ki izpolnjujejo kriterije za umestitev v obe skupini (npr. gospodarske družbe v 100-odstotni lasti občine, ki so hkrati tudi izvajalke javne službe), so zavezani posredovati obe vrsti informacij javnega značaja. Tisti poslovni subjekti pod prevladujočim vplivom oseb javnega prava, ki hkrati ne sodijo med organe, lahko uporabijo t. i. poenostavljeni postopek odločanja o zahtevah (npr. ne izdajo zavrnilne odločbe, ampak vlagatelja pisno obvestijo o razlogih, zaradi katerih informacije ne bodo posredovali). Drugi zavezanci (npr. nosilci javnih pooblastil, ki so hkrati pod prevladujočim vplivom pravnih oseb javnega prava) so dolžni voditi upravni postopek, kot je določen za organe. Kako do informacije javnega značaja? Informacije javnega značaja so prosto dostopne vsem, zato pravnega interesa za njihovo pridobitev ni treba izkazovati, dovolj sta radovednost ter želja po znanju in obveščenosti. Vsak prosilec ima pravico na zahtevo pridobiti informacijo javnega značaja, in sicer tako, da jo dobi na vpogled ali da dobi njen prepis, fotokopijo ali elektronski zapis. Zavezanec mora o zahtevi odločiti v 20 delovnih dneh, organi lahko v izjemnih okoliščinah podaljšajo rok za največ 30 delovnih dni. Vpogled v zahtevano informacijo je brezplačen, kadar ne terja izvedbe delnega dostopa. Za posredovanje prepisa, fotokopije ali elektronskega zapisa zahtevane informacije lahko zavezanec prosilcu zaračuna materialne stroške. Če zavezanec prosilcu zahtevane informacije javnega značaja ne posreduje, ima prosilec v 15 dneh pravico vložiti pritožbo zoper zavrnilno odločbo ali obvestilo, s katerim je zavezanec zahtevo zavrnil. O pritožbi odloča Informacijski pooblaščenec. Prav tako ima prosilec pravico do pritožbe, če mu zavezanec na zahtevo v zakonskem roku ni odgovoril (oz. je v molku) ali če informacije ni dobil v obliki, v kateri jo je zahteval. Kaj so izjeme? Zavezanec lahko prosilcu dostop do zahtevane informacije zavrne, če se zahteva nanaša na eno izmed izjem, določenih v prvem odstavku 6. člena ZDIJZ in 5.a členu ZDIJZ (tajni podatek, poslovna skrivnost, osebni podatek, davčna tajnost, sodni postopek, upravni postopek, statistična zaupnost, dokument v izdelavi, notranje delovanje organa, varovanje naravne oz. kulturne vrednote …). Kljub 23 navedenim izjemam organ dostop do zahtevane informacije vedno dovoli, če gre za podatke o porabi javnih sredstev ali za podatke, povezane z opravljanjem javne funkcije ali z delovnim razmerjem javnega uslužbenca. Zavezanec pod prevladujočim vplivom prosilcu praviloma ne sme zavrniti dostopa, če gre za absolutno javne informacije (osnovni podatki o poslih, ki se nanašajo na izdatke); razkritju teh podatkov se lahko poslovni subjekt izogne le, če izkaže, da bi to huje škodovalo njegovemu konkurenčnemu položaju na trgu. Če dokument, ki ga zahteva prosilec, delno vsebuje informacije iz 5.a ali 6. člena ZDIJZ, to ni razlog, da bi zavezanec zavrnil dostop do celotnega dokumenta. Če je te informacije mogoče iz dokumenta izločiti, ne da bi to ogrozilo njihovo zaupnost, se jih prekrije, prosilcu pa se posreduje preostali del informacij javnega značaja. Zavezanec mora namreč v skladu z 19. členom Uredbe o posredovanju in ponovni uporabi informacij javnega značaja varovane podatke prekriti in prosilcu omogočiti vpogled v preostanek dokumenta (ali fotokopije ali elektronskega zapisa). Kaj pa zahteva na podlagi Zakona o medijih? Če poda zahtevo za posredovanje informacij medij na podlagi 45. člena ZMed, je postopek nekoliko drugačen, saj informacije po ZMed niso enake informacijam javnega značaja po določbah ZDIJZ. Informacije za medije so širši pojem kot informacije javnega značaja, saj med prve sodi tudi priprava odgovorov na vprašanja (torej pojasnila, razlage, analize, komentarji). Če medij zahteva odgovor na vprašanje, se njegova vloga obravnava po določbah ZMed, če pa zahteva dostop do dokumenta, se njegova vloga obravnava po ZDIJZ. Medij mora vprašanje vložiti pisno po navadni ali elektronski pošti (digitalno potrdilo ali elektronski podpis nista potrebna), zavezanec pa ga mora o zavrnitvi ali delni zavrnitvi pisno obvestiti do konca naslednjega delovnega dne. V nasprotnem primeru mora zavezanec odgovor na vprašanje poslati najpozneje v sedmih delovnih dneh od prejema vprašanja, pri čemer sme odgovor zavrniti le, če so zahtevane informacije izvzete iz prostega dostopa po ZDIJZ. Medij lahko po prejemu odgovora zahteva dodatna pojasnila, ki mu jih mora zavezanec posredovati najpozneje v treh dneh. Če zavezanec z informacijo, ki predstavlja odgovor na vprašanje, ne razpolaga v materializirani obliki, se medij ne more pritožiti zoper obvestilo o zavrnitvi ali delni zavrnitvi odgovora. Pritožba pa je dovoljena, kadar odgovor na vprašanje izhaja iz dokumenta. 2.2 ŠTEVILO VLOŽENIH PRITOŽB IN REŠENIH ZADEV Leta 2024 je Informacijski pooblaščenec vodil 776 pritožbenih postopkov, od tega 488 postopkov zoper zavrnilne odločbe organov in 276 postopkov zaradi t. i. molka organa oz. neodzivnosti. Zoper poslovne subjekte pod prevladujočim vplivom je Informacijski pooblaščenec vodil 12 pritožbenih postopkov, od tega enega zaradi molka in 11 zoper zavrnilne odločbe poslovnih subjektov pod prevladujočim vplivom. Informacijski pooblaščenec je odgovoril na 370 pisnih prošenj za neformalno pomoč ali mnenje, ki jih je prejel od zavezancev prve stopnje in prosilcev, odgovoril pa je tudi na 980 zaprosil v okviru telefonskih dežurstev. Vsem je odgovoril v okviru svojih pristojnosti, največkrat jih je napotil na pristojno institucijo. Informacijski pooblaščenec je namreč drugostopenjski organ, ki odloča o pritožbi, in ni pristojen, da v fazi, ko mora odločati organ prve stopnje, odgovarja na konkretna vprašanja, ali je določen dokument informacija javnega značaja ali ne. V skladu z 32. členom ZDIJZ mnenja na področju dostopa do informacij javnega značaja daje ministrstvo, pristojno za javno upravo. 2.2.1 PRITOŽBE ZOPER ZAVRNILNE ODLOČBE IN IZDANE ODLOČBE V okviru pritožbenih postopkov zoper odločbe, s katerimi so zavezanci zavrnili zahteve po dostopu do informacij javnega značaja, je Informacijski pooblaščenec v letu 2024 vsebinsko obravnaval 503 zadeve. Izdal je 476 odločb in 27 sklepov, od tega 11 zaradi umika pritožbe, 13 zaradi nedovoljene pritožbe, v treh primerih pa je bila pritožba prepozna. 24 Informacijski pooblaščenec je izdal 436 odločb, ki so se nanašale na pritožbene postopke, začete v letu 2024, in 40 odločb, ki so se nanašale na postopke, začete pred letom 2024. Med reševanjem pritožb je na terenu opravil 41 ogledov in camera (tj. ogledov brez prisotnosti stranke, ki zahteva dostop do informacije javnega značaja), na katerih je ugotavljal dejansko stanje pri organu. Informacijski pooblaščenec je v izdanih odločbah (476): • pritožbo zavrnil – 245, • pritožbi delno ali v celoti ugodil oz. rešil zadevo v korist prosilca – 151, • pritožbi ugodil in zadevo vrnil prvostopenjskemu organu v ponovno odločanje – 70, • odločbo prvostopenjskega organa razglasil za nično – 10. Pritožbe prosilcev zaradi zavrnitve dostopa do informacij javnega značaja, o katerih je Informacijski pooblaščenec odločil z odločbo, so zadevale naslednje skupine zavezancev: • državni organi – 232, od tega ministrstva in organi v sestavi ter upravne enote 220, sodišča, vrhovno državno tožilstvo in državno odvetništvo pa 12, • javni skladi, zavodi, agencije, izvajalci javnih služb, nosilci javnih pooblastil in druge pravne osebe javnega prava – 122, • občine – 116, • poslovni subjekti pod prevladujočim vplivom države, občin ali drugih oseb javnega prava – 6. Zoper katere zavezance so bile vložene pritožbe? Poslovni subjekti 1,3 % Občine 24,4 % Državni organi 48,7 % Javni skladi in agencije 25,6 % 25 V 368 primerih so bili prosilci fizične osebe, v 70 primerih so se pritožile pravne osebe zasebnega sektorja, v 28 primerih novinarji in medijske hiše, v 10 primerih pa so se pritožile pravne osebe javnega sektorja. Pritožbe zoper zavrnitve dostopa do informacij. 400 368 300 200 100 70 28 10 0 Fizične osebe Pravne osebe ZS Novinarji in medijske hiše Pravne osebe JS 2.2.2 PRITOŽBE ZOPER MOLK V letu 2024 je Informacijski pooblaščenec prejel skupno 277 pritožb zaradi molka, od tega 276 zaradi molka organov in eno zaradi neodziva poslovnih subjektov pod prevladujočim vplivom. Največ primerov molka je bilo zabeleženih med občinami, in sicer 99 primerov, kar v primerjavi z letom 2023, ko je bilo takih primerov 67, predstavlja 47-odstotno povečanje. Sledili so državni organi – pri slednjih se je število primerov zmanjšalo za 19,6 %, saj je bilo v letu 2024 obravnavanih 86 primerov, leto poprej pa 107 primerov. Informacijski pooblaščenec je obravnaval tudi 44 primerov pritožb zaradi molka javnih zavodov – v primerjavi z letom pred tem je bilo takih primerov za 24,1 % manj (leta 2023 je bilo takih primerov 58). 47 pritožb zaradi molka je obravnaval v zvezi s preostalimi zavezanci (izvajalci javnih služb ali nosilci javnega pooblastila, javna podjetja, drugi subjekti javnega prava, drugi državni organi, javne agencije, sodišča in javni skladi). Zoper katere zavezance so bile vložene pritožbe? Občina 99 Državna uprava (ministrstva in organi v sestavi) 86 Javni zavod 44 Izvajalec javne službe ali nosilec javnega pooblastila 14 Javno podjetje 10 Drug subjekt javnega prava 9 Drug državni organ 8 Javna agencija 3 Sodišče 2 Javni sklad 1 Javni gospodarski zavod 0 20 40 60 80 100 26 Največ pritožb zaradi molka organa je bilo vloženih s strani fizičnih oseb, in sicer kar 75,5 % (209 primerov). Novinarji oziroma mediji so vložili 14,8 % pritožb (41 primerov), pravne osebe zasebnega prava pa 8,3 % (23 primerov). V le 1,4 % (v štirih primerih) so pritožbo vložile pravne osebe javnega prava. Po preizkusu formalnih predpostavk Informacijski pooblaščenec v 49 primerih postopka zaradi molka ni uvedel, in sicer je v 13 primerih pritožbo zavrgel s sklepom, v sedmih primerih zaradi preuranjenosti, v šestih pa zaradi pomanjkljivosti pritožbe, ki je prosilec ni dopolnil. V 18 primerih je prosilec pritožbo umaknil, ker je od zavezanca že prejel zahtevano informacijo. V 18 primerih je Informacijski pooblaščenec postopek zaradi molka zaključil tako, da je prosilcu pojasnil: • da za reševanje njegove vloge ni pristojen, in mu svetoval, kako ravnati v zvezi z njegovo zahtevo, • da vloga, ki jo je prosilec vložil pri zavezancu, formalno ni popolna, • da zavezanec utemeljeno ni obravnaval njegove vloge po ZDIJZ, temveč na drugi pravni podlagi, • da je bilo o njegovi vlogi že odločeno. V pritožbenih postopkih je Informacijski pooblaščenec zaradi molka zavezanca v 227 primerih pozval, naj čim prej odloči o zahtevi prosilca. Po pozivu Informacijskega pooblaščenca so zavezanci v 94 primerih zahtevano informacijo posredovali, v 64 primerih so zavrnili dostop z izdajo zavrnilne odločbe, v 62 primerih pa so dostop delno omogočili (tako da so določene podatke zakrili ali pa so omogočili dostop samo do nekaterih informacij, dostop do preostalih pa so zavrnili). V treh primerih je zavezanec zahtevo prosilca zavrgel s sklepom, v dveh pa je organ vlogo za dostop do dokumentov odstopil v reševanje drugemu organu. Dve zadevi sta še odprti in v fazi reševanja. V okviru zahtev za dostop do informacij javnega značaja pri poslovnih subjektih pod prevladujočim vplivom je Informacijski pooblaščenec vodil en pritožbeni postopek zaradi molka zavezanca, ki ga je nato prevzel v pristojno odločanje. 100 Med 27947 primeri molka je bilo 17 primerov povezanih z Zakonom o medijih, pri čemer je največkrat, v devetih primerih, šlo za javne zavode. 80 Kako so ravnali posamezni zavezanci po pozivu Informacijskega pooblaščenca zaradi molka? 64 62 60 40 20 3 2 2 0 Je omogočil dostop Zavrnil dostop Delno omogočil S sklepom zavrgel Odstopil drugemu organu Nerešene zadeve 27 2.3 ŠTEVILO VLOŽENIH TOŽB IN PREJETIH SODB Pritožba zoper odločbo Informacijskega pooblaščenca ni dopustna, mogoče pa je sprožiti upravni spor. Leta 2024 je bilo na Upravnem sodišču RS vloženih 60 tožb zoper odločbe Informacijskega pooblaščenca (zoper 12,6 % izdanih odločb). Delež je relativno majhen, kar kaže na uveljavitev transparentnosti in odprtosti javnega sektorja, pa tudi na to, da zavezanci in prosilci sprejemajo odločbe Informacijskega pooblaščenca. Upravno sodišče je leta 2024 odločilo o 31 tožbah, ki so bile vložene zoper odločbe Informacijskega pooblaščenca, in: • tožbo zavrnilo – 14, • tožbi ugodilo, izpodbijano odločbo oz. del odločbe odpravilo in zadevo vrnilo Informacijskemu pooblaščencu v ponovno odločanje – 14, • tožbi ugodilo, izpodbijano odločbo oz. del odločbe odpravilo in zadevo vrnilo zavezancu v ponovno odločanje – 3. Leta 2024 so bile na Vrhovno sodišče RS vložene tri revizije zoper sodbo Upravnega sodišča. 2�4 STORJENI PREKRŠKI PO ZDIJZ, ZInfP IN ZMed Leta 2024 Informacijski pooblaščenec ni izdal nobene odločbe o prekršku zaradi kršitev določb ZDIJZ, ZInfP ali ZMed. 2.5 IZBRANI PRIMERI NA PODROČJU DOSTOPA DO INFORMACIJ JAVNEGA ZNAČAJA Kadar zahtevana dokumentacija predstavlja okoljske podatke, ni podane omejitve načina seznanitve z informacijo zaradi varovanja avtorske ali sorodne pravice Prosilec je od Ministrstva za naravne vire in prostor zahteval rudarski projekt za pridobitev koncesije pri pridobivanju proda in peska. Kot obliko seznanitve je prosilec navedel, da želi vpogled v dokumente oziroma da zahteva kopijo po pošti ali elektronsko verzijo po elektronski pošti. Organ je prosilcu omogočil le vpogled v dokumentacijo, ker je ugotovil, da gre za avtorskopravno varovano delo, glede katerega velja omejitev načina seznanitve iz drugega odstavka 25. člena ZDIJZ. Informacijski pooblaščenec je v pritožbenem postopku ugotovil, da ima prosilec pravico izbrati način seznanitve z zahtevano dokumentacijo, organ pa je na izbrano obliko seznanitve iz zahteve prosilca vezan, razen kadar omejitve določa zakon (npr. ko gre za varovanje avtorske pravice). Glede na to, da je prosilec v zahtevi navedel več načinov seznanitve, vpogled v dokumentacijo pa je že »vsebovan« tudi ob prejemu fotokopije ali elektronskega zapisa (ne pa tudi obratno), prosilec lahko vztraja tudi pri pridobitvi elektronske kopije zahtevane dokumentacije, saj gre za drugačno obliko seznanitve, kot je vpogled. Informacijski pooblaščenec je sledil ugotovitvi organa, da zahtevana dokumentacija predstavlja okoljske informacije, saj gre za rudarski projekt koncesije za pridobivanje proda in peska, torej za projekt izkoriščanja (izkopa) mineralne surovine okolja. Navedeno nedvomno predstavlja okoljski podatek in gre za absolutno javne podatke, skladno z 2. alinejo tretjega odstavka 6. člena ZDIJZ, za katere omejitev glede načina seznanitve (zgolj na vpogled) ni podana, temveč se način seznanitve določi glede na zahtevo prosilca. Ob tem pa je treba, skladno s četrtim odstavkom 16. člena Uredbe o posredovanju in ponovni uporabi informacij javnega značaja, upoštevati tudi dejstvo, da organ razpolaga zgolj z dokumentom v fizični obliki, prav tako dokumentacija vsebuje slike v nestandardnih in velikih formatih, katerih kopije bi organ lahko naročil le pri zunanjem izvajalcu. Informacijski pooblaščenec je ugotovil, da organ nima tehničnih pripomočkov za reprodukcijo in pretvorbo velikoformatnih dokumentov in dokumentov nestandardnih oblik, na podlagi 28 zahteve po ZDIJZ pa organ tudi ni obvezan, da pripravo kopij dokumentov naroči pri zunanjem izvajalcu (ne glede na morebitno pripravljenost prosilca, da to plača). Informacijski pooblaščenec je še ugotovil, da dokumentacija v delu vsebuje varovane osebne podatke (3. točka prvega odstavka 6. člena ZDIJZ) glede zaposlenih pri gospodarskih družbah v zasebnem sektorju (ki niso hkrati zakoniti zastopniki gospodarskih družb), za katere ni podana pravna podlaga za razkritje. KLJUČNE BESEDE: okoljski podatki, oblika seznanitve, osebni podatek, številka odločbe 090-479/2024 Zloraba pravice dostopa do informacij javnega značaja je podana, kadar bi glede na obseg zahtevanih informacij, glede na obseg dela, ki bi ga omogočanje dostopa pomenilo za organ in glede na kadrovske in tehnične zmožnosti pri organu, to zelo resno ohromilo celotno delovanje organa Prosilec je od Odvetniške zbornice Slovenije zahteval obsežno dokumentacijo v 17 točkah zahteve, organ pa je zahtevo zavrnil s sklicevanjem na zlorabo pravice do dostopa do informacij javnega značaja (peti odstavek 5. člena ZDIJZ). Upoštevaje okoliščine konkretnega primera in kriterije za opredelitev zlorabe pravice iz ZDIJZ ter iz pravne teorije in prakse je Informacijski pooblaščenec v pritožbenem postopku ugotovil, da so izpolnjeni pogoji za zlorabo pravice. Kriterije glede instituta zlorabe pravice do dostopa do informacij javnega značaja je treba upoštevati in presojati glede na okoliščine vsakega posamičnega primera, pri čemer ni potrebno, da so vsi izpolnjeni kumulativno. V obravnavani zadevi namreč zahteva prosilca ni žaljiva in nespoštljiva, prav tako ne vsebuje negativnih vrednostnih sodb, provokacij oziroma ni šikanozna. Prav tako ne gre za ponavljajoče se ali zaporedne zahteve, saj je prosilec vložil eno samo zahtevo, ki ni očitno nedovoljena in neutemeljena v smislu, da bi jo vsak razumen posameznik dojemal kot brez vseh možnosti za uspeh. Prosilec je v konkretnem primeru zahteval dostop do velikega obsega dokumentacije, Informacijski pooblaščenec pa je ugotovil, da je organ (na katerem je dokazno breme) popolno izkazal dejstva, na podlagi katerih je mogoče utemeljiti, da bi vsebinska obravnava predmetne zahteve prekomerno obremenila delo organa, zaradi česar organ ne bi mogel ustrezno zavarovati pravic svojih (bodočih) članov, posledično pa tudi pravic oseb, ki so stranke članov organa. Informacijski pooblaščenec je tudi ugotovil, da na obseg bremena za organ zelo vpliva dejstvo, da je celoten postopek dolgotrajen, saj obsega identifikacijo dokumentov, na katere se zahteva nanaša, in njihovo obdelavo (zlasti izvedba delnega dostopa) v skladu z ZDIJZ. Obravnavanje konkretne zahteve bi povzročilo ohromitev dela zbornice in negativno vplivalo na pristojnosti zbornice v zvezi z opravljanjem poklica odvetnika in vodenjem postopkov pred etično in disciplinsko komisijo, kar bi negativno vplivalo na ugled odvetnikov v javnosti in bi potencialno lahko vodilo tudi do odvzema pooblastil organu za vodenje disciplinskih postopkov. Informacijski pooblaščenec je izvedel še test sorazmernosti posega v ustavno zavarovano pravico dostopa do informacij javnega značaja (drugi odstavek 39. člena Ustave RS), pri čemer je ugotovil, da bi bilo zaradi zastoja, ki bi zaradi takšne količine dela nastal pri delu organa, prizadetih skoraj 2.000 članov in večkrat toliko njihovih strank različnih postopkov, kar pomeni, da ravnanje prosilca predstavlja oviro za izpolnjevanje primarnih dolžnosti organa, tj. zastopanje poklicnih in socialnih interesov njegovih članov ter nadzor nad njihovim delom. To oviro je mogoče preseči le z zavrnitvijo zahteve, saj tega posega v pravico prosilca ni mogoče nadomestiti z drugimi možnimi ukrepi. S podaljšanjem roka za posredovanje informacij javnega značaja (v skladu s 24. členom ZDIJZ), ki bi bilo potrebno predvsem zaradi izjemne kompleksnosti zahtevanih dokumentov, namreč učinka ravnanja prosilca ne bi bilo mogoče omiliti. KLJUČNE BESEDE: ali gre za zlorabo pravice, številka odločbe 090-385/2024 Interes javnosti za razkritje podatkov v zvezi z javnim zdravjem prevlada nad izjemo varstva upravnega postopka Javna agencija za zdravila in pripomočke je novinarju na vprašanja glede sporazumov za nadomestno shranjevanje vzorcev popkovnične krvi propadle gospodarske družbe izdala zavrnilni odgovor po osmem odstavku 45. člena Zakona o medijih (ZMed) in navedla, da inšpekcijskih postopkov v teku ne 29 more komentirati, saj bi razkritje informacij lahko škodilo teku postopkov. Informacijski pooblaščenec je v pritožbenem postopku najprej ugotovil, da odgovori na novinarska vprašanja izhajajo iz dokumentov, torej je izpolnjen kriterij materializirane oblike v skladu s prvim odstavkom 4. člena ZDIJZ, s čimer je podana tudi procesna predpostavka iz devetega odstavka 45. člena ZMed, zato je pritožba dovoljena. Po presoji Informacijskega pooblaščenca so v konkretni zadevi izpolnjeni pogoji iz 7. točke prvega odstavka 6. člena ZDIJZ v zvezi z varstvom upravnega postopka, saj je ugotovitveni postopek še v teku, razkritje do zdaj zbranih dokumentov pa bi nedvomno negativno vplivalo na tek samega postopka (ogrožena bi lahko bila izvedba posameznih procesnih dejanj ipd.), posledično pa bi to vplivalo na ugotovitev dejanskega stanja in na odločitev. Ne glede na navedeno pa je Informacijski pooblaščenec z izvedbo testa prevladujočega interesa iz drugega odstavka 6. člena ZDIJZ (ob tehtanju koristi, ki jih prinaša prosilcu dostop do informacij javnega značaja ter na drugi strani teža posega v varstvo upravnega postopka) zaključil, da javni interes za razkritje zahtevanih dokumentov prevlada, torej da je škoda, ki bi nastala z razkritjem informacij, manjša kot javni interes po seznanitvi z njimi. V konkretnem primeru gre namreč za informacije, ki se tičejo javnega zdravja, saj gre za informacije v zvezi s shranjevanjem človeških tkiv in celic. Navedeno področje je regulirano z javnopravnimi predpisi, ki natančno določajo pogoje za pridobitev dovoljenja za opravljanje take dejavnosti, ki ga izdaja organ, in vse ostale obveznosti, ki morajo biti pri izvajanju te dejavnosti izpolnjene (eden izmed pogojev za opravljanje take dejavnosti je tudi sklenitev sporazuma za nadomestno hrambo v primeru prenehanja opravljanja dejavnosti). Informacijski pooblaščenec še ugotavlja, da se zahtevani dokumenti nanašajo na temo, ki je v danem trenutku zelo aktualna, in da bi razkritje zahtevanih dokumentov javnosti pripomoglo k širši razpravi o pomembni družbeni temi, torej je izpolnjena tudi časovna komponenta javnega interesa. Pri tem ni nebistveno tudi to, da je prosilec novinar medija, ki ima kot tak dolžnost posredovati informacije v vseh zadevah, ki zadevajo javnost. KLJUČNE BESEDE: test interesa javnosti, varstvo upravnega postopka, številka odločbe 090-410/2024 Dokumenti v zvezi z daljinskim ogrevanjem se tičejo porabe javnih sredstev in vsebujejo okoljske podatke, zato so absolutno javni podatki, ne glede na ugotovljeno izjemo varstva notranjega delovanja, hkrati pa gre za materijo, ki zadeva širši javni interes Mestna občina Velenje je prosilcu zavrnila dostop do zapisnikov organov upravljanja zaradi izjeme varstva notranjega delovanja organa (11. točka prvega odstavka 6. člena ZDIJZ). Informacijski pooblaščenec je v pritožbenem postopku ugotovil, da zahtevani podatki v večjem delu ne predstavljajo notranje korespondence med organom in člani in ne interne komunikacije znotraj organa oziroma občutljivih notranjih navodil oziroma načrtov, ampak dokumenti vsebujejo določena dejstva in okoliščine glede oblikovanja cen toplotne energije, preobrazbe sistema daljinskega ogrevanja ter drugih zadev, ki se tičejo poslovanja organa. V manjšem obsegu zahtevani podatki sicer vključujejo posamezna stališča in predloge posameznikov in v tem delu je Informacijski pooblaščenec delno sledil utemeljitvi organa, da gre za informacije, ki se nanašajo na notranje delovanje organa. V tem delu je Informacijski pooblaščenec opravil še t. i. specifični škodni test, kar pomeni, da je potrebna ocena, ali bi razkritje teh podatkov povzročilo motnje pri delovanju oziroma dejavnosti organa. Informacijski pooblaščenec je ugotovil, da je organ zelo na splošno in pavšalno utemeljil razloge za prekritje podatkov, poleg tega pa je delovanje članov organa predvsem javno, v izrazito javnem interesu pa deluje tudi sama družba, zato je njeno poslovanje podvrženo javnemu nadzoru, kar še posebej velja za direktorja kot njenega zakonitega zastopnika. Informacijski pooblaščenec je še ugotovil, da organ izvaja gospodarsko javno službo in dejavnosti, ki so s tem neposredno povezane, zato gre za podatke v zvezi s porabo javnih sredstev, ki so absolutno javni podatki (1. alineja tretjega odstavka 6. člena ZDIJZ). V zvezi z okoljskimi podatki pa je treba upoštevati, da ZDIJZ kot absolutno javne podatke ne določa samo podatkov glede emisij v okolje, odpadkov, nevarnih snovi v obratu ali podatkov iz varnostnih poročil, ampak tudi druge podatke, za katere tako določa zakon, ki ureja varstvo okolja, torej ZVO-2 (2. alineja tretjega odstavka 6. člena ZDIJZ). ZVO-2 zelo široko določa, kaj je okoljski podatek, v 16. točki 3. člena, po oceni Informacijskega 30 pooblaščenca pa zahtevani podatki oziroma odločitve, ki se nanašajo na preobrazbo daljinskega sistema v Šaleški dolini, nedvomno štejejo za okoljske podatke. Nazadnje je Informacijski pooblaščenec glede informacij, za katere je ugotovil izjemo notranjega delovanja, izvedel še test prevladujočega interesa javnosti in ugotovil, da javni interes za razkritje posameznih mnenj oziroma stališč prevlada nad interesom organa, da ti podatki ostanejo varovani zaradi varstva notranjega delovanja organa. Bistvo učinkovitega nadzora javnosti se kaže v zmanjšanju korupcijskih tveganj, večanju vestnosti, poštenosti, skrbnosti in finančne učinkovitosti upravljanja ter poslovanja družb, od dejavnosti katerih je odvisno zagotavljanje izvajanja javnih služb. Javni interes je dalje izkazan v interesu številnih uporabnikov javne službe zagotavljanja toplotne energije v Šaleški dolini, tako gospodinjskega odjema kot uporabnikov poslovnega in industrijskega odjema, ki ne morejo uporabiti drugega vira toplotne energije, pri tem pa cena proizvodnje toplote nedvomno pomembno vpliva na izvajanje te javne službe. Podražitev daljinskega ogrevanja v Šaleški dolini je še vedno predmet javnih razprav oziroma je medijsko precej odmevna, opravljena je bila tudi parlamentarna razprava v pristojnih telesih v Državnem zboru RS. KLJUČNE BESEDE: notranje delovanje organa, test interesa javnosti, okoljski podatki, številka odločbe 090-360/2024 Za opredelitev podatka za tajnega morajo biti kumulativno izpolnjeni tako pogoji iz materialnega kriterija kot pogoji iz formalnega kriterija Prosilka je od Urada Vlade Republike Slovenije za oskrbo in integracijo migrantov zahtevala strokovne utemeljitve, ki so bile osnova za določitev dveh lokacij začasnih izpostav azilnega doma in pripravo vladnega gradiva s predlaganim sklepom Vlade o organiziranju začasnih izpostav azilnega doma na Obrežju in v Središču ob Dravi, sprejetega na 93. redni seji Vlade Republike Slovenije, ter vladno gradivo, ki je bilo obravnavano na tej seji. Organ je zahtevo za strokovne utemeljitve zavrnil iz razloga, da z dokumentom ne razpolaga, kar je v pritožbenem postopku ugotovil tudi Informacijski pooblaščenec. Iz določbe prvega odstavka 4. člena v zvezi s prvim odstavkom 1. člena ZDIJZ namreč izhaja, da informacijo javnega značaja lahko predstavlja le dokument, ki ga je organ v okviru svojega delovnega področja že izdelal oziroma pridobil in ga še ni posredoval naprej oziroma uničil. Gre za pogoj, ki je v teoriji poznan kot »kriterij materializirane oblike«. Zahtevo prosilke za vladno gradivo, ki je bilo obravnavano na seji Vlade, pa je organ zavrnil iz razloga varovanja tajnih podatkov (1. točka prvega odstavka 6. člena ZDIJZ), saj je gradivo označeno s stopnjo tajnosti INTERNO. ZDIJZ kot izjemo dovoljuje samo tiste informacije, ki so ustrezno opredeljene oziroma klasificirane kot tajne na podlagi zakona, ki ureja tajne podatke, torej na podlagi Zakona o tajnih podatkih (ZTP). Po ZTP je tajen le tisti podatek, ki kumulativno izpolnjuje tako materialni kot formalni kriterij. Materialni kriterij se nanaša na samo vsebino podatka in določa, da se podatek lahko določi za tajnega le takrat, če je tako pomemben, da bi z njegovim razkritjem nepoklicani osebi nastale ali bi očitno lahko nastale škodljive posledice za varnost države ali za njene politične in gospodarske koristi, obenem pa se nanaša izključno na naslednja področja: na javno varnost, obrambo, zunanje zadeve, obveščevalno in varnostno dejavnost državnih organov RS oziroma se nanaša na sisteme, naprave, projekte in načrte ali znanstvene, raziskovalne, tehnološke, gospodarske in finančne zadeve, ki so pomembni za omenjene cilje. Za formalni kriterij morajo biti izpolnjeni trije elementi: podatek lahko za tajnega določi le za to pooblaščena oseba, vnaprej mora biti izdelana pisna ocena možnih škodljivih posledic, ki bi nastale z razkritjem podatka, in podatek mora biti ustrezno označen kot tajen. Informacijski pooblaščenec je v pritožbenem postopku ugotovil, da so izpolnjeni vsi trije pogoji za formalni kriterij določitve podatka za tajnega. Glede materialnega pogoja pa je Informacijski pooblaščenec ugotovil, da ta ni izpolnjen, saj vsebina zahtevanega dokumenta ni povezana z enim izmed taksativno varovanih področij delovanja države, ki jih določa 5. člen ZTP. Organ tako ni izkazal, da se vsebina zahtevanega dokumenta nanaša na področje, ki ga je po ZTP sploh mogoče varovati s tajnimi podatki. KLJUČNE BESEDE: ali dokument obstaja, tajni podatki, številka odločbe 090-338/2024 31 Delovno področje organa je treba razlagati široko v smislu, da vanj sodijo vse informacije, s katerimi razpolaga organ v zvezi z izvajanjem javnopravnih nalog Družba Borzen d.o.o. je zavrnila zahtevo prosilca za posredovanje odločb, na podlagi katerih je organ izplačal nadomestila določenemu dobavitelju zemeljskega plina. Pri tem je navedel, da je zavezanec za posredovanje informacij javnega značaja le kot poslovni subjekt pod prevladujočim vplivom oseb javnega prava po 1.a členu ZDIJZ, zato zahtevane odločbe niso informacije javnega značaja po 4.a členu ZDIJZ, podredno pa je zahtevo zavrnil tudi zaradi poslovne skrivnosti (2. točka prvega odstavka 6. člena ZDIJZ). Informacijski pooblaščenec je pri presoji položaja zavezanca po ZDIJZ ugotovil, da je organ zavezanec tudi po 1. členu ZDIJZ, in sicer kot pravna oseba javnega prava in kot izvajalec gospodarske javne službe, ter da zahtevani dokumenti sodijo v njegovo delovno področje. Pojem delovnega področja, kot izhaja iz 4. člena ZDIJZ, je treba razlagati v smislu, da gre za vse dokumente, ki jih je organ pridobil oziroma ustvaril v zvezi s svojim delovnim področjem. Za opredelitev delovnega področja organa v obravnavani zadevi je pomembno dejstvo, da organ opravlja javno službo kot operater trga z električno energijo in da je izvajanje njegovih nalog ali dejavnosti (torej ugotavljanje upravičenosti in izplačevanje nadomestil dobaviteljem) urejeno s predpisi javnega prava, ki določajo obveznost organov glede izvajanja teh nalog v okviru upravne ali druge javnopravne funkcije ter morebitne pravice, obveznosti ali pravne koristi posameznikov, ki iz tega posebnega javnopravnega režima izhajajo. Glede sklicevanja na izjemo poslovne skrivnosti pa je Informacijski pooblaščenec v pritožbenem postopku ugotovil, da je ta podana le v delu dokumentacije, saj za utemeljitev obstoja poslovne skrivnosti ni dovolj zgolj pavšalno in neizkazano zatrjevanje, da dokument vsebuje podatke o cenah in količinah, ki mu jih je posredoval dobavitelj, in omemba, kakšne posledice bi za dobavitelja imelo njihovo razkritje. Poslovna skrivnost so lahko le tisti podatki, pri katerih so kumulativno izpolnjeni zakonski pogoji iz 2. člena Zakona o poslovni skrivnosti in ki predstavljajo strokovno znanje in izkušnje ter dragocene poslovne informacije, ki imetnikom omogočajo večjo konkurenčnost in uspešnost na trgu ter s tem povečujejo donosnost, zaradi česar je v interesu njihovih imetnikov, da ti podatki ostanejo nerazkriti oziroma zaupni. KLJUČNE BESEDE: ali gre za delovno področje organa, poslovna skrivnost, številka odločbe 090- 320/2024 Osebni podatki javnih uslužbencev, ki so v zvezi z opravljanjem delovnega razmerja javnega uslužbenca, in osebni podatki inženirjev, ki so prosto dostopni v javno objavljenih imenikih, niso varovani Prosilka je od Mestne občine Ljubljana zahtevala elaborat vplivov na kulturno dediščino zaradi projekta na območju Osrednje ljubljanske tržnice ter drugo dokumentacijo v zvezi s tem projektom. Organ ji je omogočil dostop do določenih dokumentov, v delu zahteve, ki se je nanašala na korespondenco med organom, izvajalko in določenimi drugimi organi, je to zavrnil zaradi varstva osebnih podatkov, v delu zahteve, ki se je nanašala na elaborat, pa je to zavrnil zato, ker je o zahtevi za isti dokument še tekel postopek. Informacijski pooblaščenec je v pritožbenem postopku najprej ugotovil, da je prosilka ponovno zahtevo za dostop do elaborata vložila v času, ko je še tekel pritožbeni postopek o njeni zahtevi. Ker bi moral organ ponovno zahtevo prosilke za dostop do elaborata zavreči in ne z odločbo zavrniti, je Informacijski pooblaščenec zahtevo zavrgel sam s sklepom, pritožbo prosilke pa zavrnil, ker je o istem dokumentu že tekel upravni postopek (4. točka prvega odstavka 129. člena ZUP). Glede sklicevanja organa na izjemo od prostega dostopa do dokumentov zaradi varstva osebnih podatkov (3. točka prvega odstavka 6. člena ZDIJZ) pa je Informacijski pooblaščenec ugotovil, da osebni podatki javnih uslužbencev niso varovani, saj gre za podatke v zvezi z opravljanjem delovnega razmerja javnega uslužbenca, ki so skladno s prvo alinejo tretjega odstavka 6. člena ZDIJZ javni podatki. Javni uslužbenec ni upravičen pričakovati zasebnosti glede svojega imena, naziva, položaja, plače, službenega naslova in ostalih podatkov, ki so povezani z opravljanjem delovnega razmerja javnega uslužbenca. Prav tako so javni podatki glede projektanta in odgovorne osebe projektanta, saj so ti podatki javno dostopni v 32 imeniku Inženirske zbornice. KLJUČNE BESEDE: kršitev postopka, osebni podatek, številka odločbe 090-372/2024 Glede vsebine zapisnika odbora organa, ki vsebuje informacije o razpravi oziroma osebnih stališčih in mnenjih razpravljavcev, je podana izjema notranjega delovanja RTV Slovenija je delno zavrnila zahtevo prosilca za dostop do zapisnikov finančnega in programskega odbora zaradi izjeme varstva osebnih podatkov. Informacijski pooblaščenec je ugotovil, da ni dvoma, da sta zahtevana zapisnika nastala v okviru opravljanja nalog in pristojnosti organa kot javnega zavoda, kar pomeni, da se je tudi razprava nanašala na tematiko, ki je v pristojnosti finančnega in programskega odbora, zato je bilo vprašanje, ali je organ dostop upravičeno delno zavrnil. Organ je prekril imena in priimke pri »ostali prisotni«. Informacijski pooblaščenec se z odločitvijo organa ni strinjal, saj je ugotovil, da seji nista bili javni, zato so bile očitno navedene osebe prisotne v okviru opravljanja delovnega razmerja oziroma opravljanja javne funkcije (sicer ne bi smele biti na seji), zato je podlaga za razkritje oziroma prost dostop do imen in priimkov ter njihovih funkcij 1. alineja tretjega odstavka 6. člena ZDIJZ. Z vpogledom v vsebino razprav je Informacijski pooblaščenec ugotovil, da gre v pretežnem delu dejansko za podajanje lastnih stališč oziroma mnenj in predlogov, ki predstavljajo varovano kategorijo in se lahko upravičeno varujejo, zlasti zato, ker osebna stališča niso imela neposrednih pravnih učinkov na pravice in obveznosti drugih oseb ali samega organa in niso bila del nekega oblastnega akta (npr. odločbe). V obravnavanem primeru je tako dejansko šlo za preplet dveh izjem, in sicer varstva osebnih podatkov ter izjeme notranjega delovanja organa po 11. točki prvega odstavka 6. člena ZDIJZ, v okvir katere sodi prav varovanje notranjih stališč, razmišljanj, predlogov, mnenj ipd., s čimer naj bi se omogočilo odkrito in odprto razmišljanje organa. Navedena izjema pa ne velja za del v zapisniku finančnega odbora, v katerem je bila podana vsebina sklepa, ki ni bil sprejet, saj že področni zakon, ki ureja delovanje organa (Zakon o RTVS), ne omejuje javnosti sklepov zgolj na sprejete sklepe, kar pomeni, da so javni vsi sklepi, o katerih je finančni odbor glasoval, tudi če kasneje niso bili sprejeti. Nenazadnje je s tem izraženo stališče finančnega odbora o določenem predlogu sklepa, kar je prav tako vselej javno. KLJUČNE BESEDE: notranje delovanje organa, osebni podatek, številka odločbe 090-267/2024 Podatek, ki se nanaša na davčnega zavezanca in odmero konkretnega davka, se varuje kot davčna tajnost Prosilec je vložil pritožbo zoper odločbo Finančne uprave RS, s katero je ta zavrnila dostop do seznama delodajalcev, ki uveljavljajo znižanje davčne osnove zaradi zaposlovanja invalidov, na podlagi izjeme davčne tajnosti (5. točka prvega odstavka 6. člena ZDIJZ), Informacijski pooblaščenec je v pritožbenem postopku sledil ugotovitvam organa in pritožbo zavrnil kot neutemeljeno. Davčni postopek ureja Zakon o davčnem postopku (ZDavP-2), ki opredeljuje pojem zaupnosti davčnega postopka in ga v celoti veže na davčno tajnost. Načelo tajnosti podatkov ščiti zavezanca za davek pred razkritjem njegovega materialnega položaja, ki je iz davčnih podatkov razviden ali se o njem lahko sklepa. Podatek o tem, ali določen delodajalec na osnovi zaposlovanja invalida uveljavlja zmanjšanje davčne osnove za plačilo davka, predstavlja podatek za določitev davčne osnove za plačilo davka od dohodkov pravnih oseb oziroma dohodnine in je nedvomno povezan z davčno obveznostjo davčnega zavezanca, kar pomeni, da gre za davčno tajnost. KLJUČNE BESEDE: davčna tajnost, številka odločbe 090-263/2024 Podatki o kratici imena in priimka javnega uslužbenca so absolutno javni podatki Prosilec je od Inšpektorata za javni sektor zahteval zapisnik o ugotovitvah nadzora, ta pa je njegovo zahtevo delno zavrnil zaradi izjeme varstva osebnih podatkov ter varstva upravnega in sodnega postopka ter prekril podatek o kratici imena in priimka uradnika Ministrstva za okolje, prostor in energijo. Informacijski pooblaščenec je v pritožbenem postopku ugotovil, da za izjemo varstva upravnega 33 postopka iz 7. točke prvega odstavka 6. člena ZDIJZ ni izpolnjen že prvi pogoj, saj v zvezi z zahtevanimi podatki ni v teku noben upravni postopek, ampak je organ pri utemeljitvi izhajal iz morebitne okoliščine, da bo Upravno sodišče zadevo morda vrnilo v ponovno odločanje, kar pa nedvomno niso okoliščine, na podlagi katerih bi bilo mogoče utemeljevati navedeno izjemo, vezano na konkreten upravni postopek, ki je v teku v času odločanja o dostopu do podatkov. Dalje je Informacijski pooblaščenec glede zatrjevane izjeme od prostega dostopa iz razloga varstva sodnega postopka (8. točka prvega odstavka 6. člena ZDIJZ) ugotovil, da ta ni podana, saj organ pri utemeljitvi ni izhajal iz varstva konkretnega sodnega postopka, kar je dejansko bistvo te izjeme, ampak je to oprl na varovanje uradnikov, predvsem v primeru morebitnega ponovnega odločanja, če bi Upravno sodišče izpodbijana upravna akta odpravilo in vrnilo zadevo pristojnemu organu v ponovno odločanje. Organ, na katerem je dokazno breme, tako izjeme od prostega dostopa zaradi varstva sodnega postopka dejansko ni izkazal. Tako široki razlagi izjeme varstva sodnega postopka, kot jo je utemeljil organ, Informacijski pooblaščenec nedvomno ne more slediti. Izjeme od prostega dostopa do informacij javnega značaja je namreč treba razlagati ozko, kar pomeni, da morebitne hipotetične situacije, ki bi morebiti lahko vplivale na postopek, ne morejo biti podlaga, da se dostop zavrne brez konkretne obrazložitve. Končno pa je glede zatrjevane izjeme varstva osebnih podatkov (3. točka prvega odstavka 6. člena ZDIJZ) Informacijski pooblaščenec ugotovil, da gre pri vodenju upravnih postopkov za oblastveno delovanje organa po določbah ZUP, kar pomeni, da so podatki o imenu, priimku ter izpolnjevanju pogojev javnih uslužbencev s tem v zvezi absolutno javni po 1. alineji tretjega odstavka 6. člena ZDIJZ. KLJUČNE BESEDE: javni uslužbenci in funkcionarji, varstvo sodnega postopka, varstvo upravnega postopka, številka odločbe 090-282/2024 Za poslovno skrivnost se ne morejo določiti podatki v zvezi z izpolnjevanjem pogojev in meril iz javnega razpisa Prosilec je od Javne agencije RS za spodbujanje investicij, podjetništva in internacionalizacije Spirit Slovenija zahteval informacije javnega značaja v zvezi z najemom prostorov gospodarske družbe v tujini na podlagi izvedenega javnega razpisa organa. Organ je zahtevo prosilca zavrnil zaradi izjeme poslovne skrivnosti (2. točka prvega odstavka 6. člena ZDIJZ). Pojem poslovne skrivnosti je opredeljen v 2. členu Zakona o poslovni skrivnosti (ZPosS), pri čemer drugi odstavek tega člena določa, da se za poslovno skrivnost ne morejo določiti informacije, ki so po zakonu javne, ali informacije o kršitvi zakona ali dobrih poslovnih običajev. Predmet zahteve prosilca so dokumenti oziroma podatki, vezani na postopek javnega razpisa in na izpolnjevanje pogojev, meril ter določb javnega razpisa, torej na podatke prejemnika javnih sredstev. V skladu s 1. alinejo tretjega odstavka 6. člena ZDIJZ se ne glede na ugotovljene izjeme dostop do zahtevane informacije dovoli, če gre za podatke o porabi javnih sredstev. Ker ZDIJZ ne vsebuje definicije javnih sredstev, se je ta za potrebe postopkov dostopa do informacij javnega značaja izoblikovala s prakso Informacijskega pooblaščenca, Upravnega sodišča Republike Slovenije in Vrhovnega sodišča Republike Slovenije. Poraba javnih sredstev namreč ni zgolj »trošenje«, pač pa vse oblike razpolaganja z javnimi sredstvi, torej podatki v zvezi s »porabo javnih sredstev« niso le podatki o višini in prejemkih teh sredstev, pač pa tudi podatki, ki so vezani na odločanje o sredstvih. Informacijski pooblaščenec je ugotovil, da predstavljajo zahtevane informacije pogoje in merila v povezavi z javnim razpisom, kar pomeni, da gre za podatke o porabi javnih sredstev, ki so absolutno javni. KLJUČNE BESEDE: poslovna skrivnost, številka odločbe 090-204/2024 ZDIJZ med zavezance uvršča organe vseh treh vej oblasti, torej tudi sodno, in to ne le v zvezi z upravnimi funkcijami, temveč tudi glede izvajanja funkcije sojenja v celoti Prosilec je od Okrožnega sodišča v Kranju zahteval dokumente iz določenega sodnega spisa, ta pa mu je posredoval delno anonimizirano sodbo zaradi izjeme varstva osebnih podatkov (3. točka 34 prvega odstavka 6. člena ZDIJZ), pri čemer je Informacijski pooblaščenec v pritožbenem postopku ugotovil, da niso vsi prekriti podatki iz sodbe varovani osebni podatki (npr. podatki o sodnih izvedencih in sodnih cenilcih). Dostop do ostalih dokumentov spisa je organ zavrgel in se pri tem skliceval na odločitev Vrhovnega sodišča v zadevi št. X Ips 4/2020 z dne 27. 5. 2020. Po mnenju organa je uporaba ZDIJZ izključena za vse dokumente iz sodnih spisov, razen sodb, prosilec pa lahko dostop do teh dokumentov zahteva na podlagi 150. člena Zakona o pravdnem postopku (ZPP). Glede zavrženja zahteve zaradi nepristojnosti sodišča za odločanje po ZDIJZ je Informacijski pooblaščenec ugotovil, da je ta odločitev organa napačna. Napačno je namreč stališče organa, da je področna procesna zakonodaja specialnejša podlaga za pridobitev dokumentov iz sodnega spisa. ZDIJZ med zavezance za dostop do informacij javnega značaja uvršča tudi organe sodne veje oblasti, prav tako je Republika Slovenija z ratifikacijo Konvencije Sveta Evrope o dostopu do uradnih dokumentov sodne organe v celoti zavezala k posredovanju vseh dokumentov, ki jih imajo. S tem ko je organ zahtevo prosilca za posredovanje dokumentov zavrgel s sklicevanjem na 150. člen ZPP, se ni spustil v vsebinsko obravnavo in se ni konkretno opredelil do posameznih delov zahtevanih dokumentov, kot bi se moral. Informacijski pooblaščenec je ugotovil, da so predmet presoje vsi dokumenti iz pravdne zadeve, v kateri tožnika fizični osebi uveljavljata odškodnino zaradi kraje slike, ki je bila na podlagi posodbene pogodbe neodplačno izročena muzeju, in da obravnavana dokumentacija ni neposredno povezana niti s porabo javnih sredstev niti z opravljanjem javne funkcije ali delovnega razmerja javnega uslužbenca, zato ne zapade pod določbo 1. alineje tretjega odstavka 6. člena ZDIJZ o absolutni javnosti teh informacij. V osnovi obravnavanega spora namreč ne gre za vprašanje o razpolaganju s premoženjem, ki bi ga lahko opredelili kot javno sredstvo, ampak za reševanje spora v zasebni sferi pravdnih strank. Po opravljeni presoji glede možnosti izvedbe delnega dostopa do obravnavanih dokumentov sodnega spisa (7. člen ZDIJZ) je Informacijski pooblaščenec ugotovil, da gre v zahtevanih dokumentih za tolikšno vsebnost in koncentracijo varovanih osebnih podatkov, da bi ti dokumenti ob uporabi instituta delnega dostopa popolnoma izgubili svojo vrednost in smiselnost, saj ne bi imeli več svoje vsebine in bi bili zato za prosilca oziroma javnost brez posebne vrednosti. KLJUČNE BESEDE: kršitev postopka, osebni podatek, številka odločbe 090-90/2024 Kadar je bil dokument že izdelan in ni več predmet posvetovanja, ne gre za dokument v izdelavi Slovensko narodno gledališče Drama Ljubljana je prosilki zavrnilo vpogled v dokumentacijo projekta rušitve in zaščite gradbene jame za objekt Drama ter dokumentacijo projekta objekt Drama in prizidek, in sicer na podlagi izjeme varstva dokumenta v izdelavi. Informacijski pooblaščenec je v pritožbenem postopku ugotovil, da pogoji za obstoj izjeme po 9. točki prvega odstavka 6. člena ZDIJZ v konkretnem primeru niso podani, saj je dokumentacija kot taka v tej obliki (fazi) izdelana, kar pomeni, da v tej fazi ni več v postopku izdelave ter ni več predmet posvetovanja pri stranskem udeležencu in drugih sodelujočih subjektih, ne glede na to, da se bo predvidoma še spreminjala. Poleg tega je treba, tudi če bi ta izjema bila podana, zadevno dokumentacijo presoditi še z vidika določbe 1. alineje tretjega odstavka 6. člena ZDIJZ, ki določa absolutno javnost podatkov o porabi javnih sredstev. V konkretnem primeru se namreč poraba javnih sredstev ne nanaša samo na zneske, ki so bili plačani za zahtevano dokumentacijo, ampak tudi na samo dokumentacijo, ki jo je bil oziroma jo je še dolžan pripraviti stranski udeleženec za organ kot naročnika na podlagi pogodbe. Informacijski pooblaščenec se je opredelil tudi do avtorskopravnega varstva in načina seznanitve v povezavi s tem. Glede opredelitve avtorskih del izhaja iz Zakona o avtorski in sorodnih pravicah, obstoječe sodne prakse ter pravne teorije pet predpostavk, ki morajo biti izpolnjene, da se posamezno delo po zakonu šteje za avtorsko delo: individualnost, intelektualnost oziroma duhovnost, stvaritev, področje ustvarjalnosti in izraženost. Informacijski pooblaščenec je sicer ugotovil, da zahtevana dokumentacija te predpostavke izpolnjuje, vendar pa so bile po pogodbi materialne avtorske pravice stranskega udeleženca kot izvajalca prenesene na organ kot naročnika (stranski udeleženec je ohranil le moralne avtorske pravice), zato drugi odstavek 25. člena ZDIJZ glede 35 omejitve načina seznanitve z informacijo javnega značaja ne pride v poštev. KLJUČNE BESEDE: dokument v izdelavi, avtorsko delo, osebni podatek, številka odločbe 090-120/2024 Javnomnenjske raziskave ne morejo biti dokument notranjega delovanja organa, saj je bila javnost z njihovo vsebino (vsaj v delu) že seznanjena Prosilka je zahtevala posredovanje vseh raziskav javnega mnenja, ki jih je Uradu Vlade RS za komuniciranje skladno s pogodbo izdelal zunanji izvajalec. Organ je zavrnil dostop na podlagi 9. in 11. točke prvega odstavka 6. člena ZDIJZ z navedbo, da bi v širši javnosti prišlo do napačnega razumevanja, hkrati pa tudi do motenj oziroma težav pri delovanju posameznega ministrstva, ko gre za pripravo novih ustreznih ukrepov oziroma predpisov oziroma za nadgradnjo, spremembo ali dopolnitev že sprejetih ukrepov in rešitev Vlade. Informacijski pooblaščenec je v pritožbenem postopku ugotovil, da izjema dokumenta v nastajanju ni izpolnjena, ker so bile javnomnenjske raziskave izvedene, rezultati pa prikazani v dokumentih, ki so predmet zahteve in so bili poslani organu. Za presojo ni relevantna okoliščina, da so bili anketiranci povprašani o temah v zvezi predpisi, s področja katerih bodo sprejeti ukrepi oziroma spremembe ukrepov, ki še niso bili sprejeti, ter da postopek sprejema teh odločitev še ni zaključen. Pri navedeni izjemi se namreč ne varujejo »postopki v teku«, temveč konkretni dokumenti. V zvezi z zatrjevano izjemo notranjega delovanja pa je Informacijski pooblaščenec sprejel stališče, da ko gre za dokument, ki ga je za organ izdelal zunanji izvajalec, pri čemer je bila v postopek javnomnenjske raziskave vključena in tako s pretežnim delom (razen s skupnimi rezultati) seznanjena tudi javnost, ne gre za notranje delovanje. Prav tako je odločil, da organ motenj za delovanje ni izkazal, saj gre v delu raziskav za preverjanje mnenja javnosti o delu Vlade, ministrov, o preteklih odločitvah, kar v ničemer ne kaže na ukrepe in rešitve, ki jih bo Vlada predlagala oziroma sprejela v prihodnje, ampak na zadovoljstvo glede preteklih zaključenih političnih dejanj. Poleg tega iz zahtevanih javnomnenjskih raziskav v ničemer ne izhajajo odločitve Vlade ali ministrov oziroma nabor vseh možnih alternativnih rešitev, zato se z razkritjem dokumentov ne bi v ničemer poseglo v možnost kritičnega in inovativnega razmišljanja vlade oziroma ministrstev izven dostopa javnosti, saj iz samih javnomnenjskih raziskav ne izhaja niti vladna politika niti razmišljanje vlade, temveč gre predvsem za stališča, ki so jih izrazili anketiranci.. KLJUČNE BESEDE: dokument v izdelavi, notranje delovanje, številka odločbe 090-135/2024 Podatki o članih komisije za izredni strokovni nadzor pri Zdravniški zbornici niso varovani osebni podatki, saj člani komisije izvajajo javno funkcijo Prosilec je od Zdravniške zbornice zahteval informacijo, kdo so bili člani komisije organa, ki je opravila izredni strokovni nadzor v primeru določene bolnišnice v zvezi s konkretno pacientko. Organ je v zavrnilnem odgovoru navedel, da informacij ne more posredovati zaradi varstva osebnih podatkov (3. točka prvega odstavka 6. člena ZDIJZ). V pritožbenem postopku je Informacijski pooblaščenec najprej ugotovil, da je organ postopkovno odločil pravilno, ko je odločil v obliki zavrnilnega odgovora (45. člen Zakona o medijih), saj se je prosilec obrnil na organ kot medij in je zahteval odgovor na vprašanje, ne pa dokumentov. Po vsebini pa je Informacijski pooblaščenec ugotovil, da ne more slediti stališču organa glede zavrnitve dostopa zaradi varovanih osebnih podatkov, saj v konkretnem primeru ne gre za obdelavo varovanih osebnih podatkov pacientke, ampak za podatek v zvezi z nadzornim postopkom, ki ga je izvajal organ. Osebni podatki pacientke, ki jih je za namen identifikacije, za kateri postopek gre, prosilec navedel v zahtevi, so bili predhodno že razkriti v sredstvih javnega obveščanja v okviru izvajanja pravice do svobode izražanja na podlagi prvega odstavka 73. člena Zakona o varstvu osebnih podatkov (ZVOP-2). Prav tako ne obstaja izjema varstva osebnih podatkov glede članov komisije, saj je dostop do imen in priimkov članov komisije mogoč na podlagi določbe 1. alineje tretjega odstavka 6. člena ZDIJZ, ker gre za podatek, povezan z opravljanjem javne funkcije. KLJUČNE BESEDE: javni uslužbenci in funkcionarji, mediji, osebni podatek, številka odločbe 090- 36 130/2024 Ponovne uporabe podatkov ni mogoče omogočiti, kadar bi to povzročilo nesorazmeren vpliv na finančne, tehnične in kadrovske vire organa Družba Slovenske železnice-Potniški promet d.o.o. je zahtevo prosilca, da mu omogoči ponovno uporabo podatkov, ki so dostopni preko določenega vmesnika za aplikacijsko programiranje, zavrnila s sklicevanjem na 10.č člen ZDIJZ, ker bi to povzročilo nesorazmeren vpliv na njegove finančne, tehnične in kadrovske vire. V pritožbenem postopku je Informacijski pooblaščenec ugotovil, da bi se v primeru, če bi organ omogočil ponovno uporabo podatkov preko obravnavanega vmesnika, povečalo tveganje za tehnične težave, ki bi povzročile nekonsistentno pravočasno informiranje uporabnikov storitev organa ali celo ogrozilo komunikacijo in obveščanje za dalj časa. Te težave bi bile posledica različnih ranljivosti vmesnika. Informacijski pooblaščenec je tako zaključil, da zahtevi prosilca za ponovno uporabo ni mogoče ugoditi, ker obstoječi vmesnik ni ustrezen, organ pa glede na veljavne predpise ni dolžan izdelati drugega ustreznega aplikacijskega vmesnika za namen ponovne uporabe. KLJUČNE BESEDE: ponovna uporaba, številka odločbe 090-384/2024 Podatki, ki so povezani z izpolnjevanjem pogojev in meril za zaposlitev ali imenovanje poslovodstva poslovnih subjektov pod prevladujočim vplivom oseb javnega prava, so absolutno javni Prosilec je od družbe Pošta Slovenija d.o.o. zahteval dokumente, iz katerih bo razvidno izpolnjevanje pogojev in meril za imenovanje generalnega direktorja in članice poslovodstva. Informacijski pooblaščenec je v pritožbenem postopku ugotovil, da zahtevani dokumenti pomenijo informacijo javnega značaja v primeru poslovnih subjektov pod prevladujočim vplivom oseb javnega prava iz 2. alineje prvega odstavka 4.a člena ZDIJZ. Podatki, ki so povezani z izpolnjevanjem pogojev in meril za zaposlitev ali imenovanje poslovodstva, so absolutno javni že na podlagi drugega odstavka 6.a člena ZDIJZ. V konkretni zadevi je podan tudi javni interes za razkritje, saj ima javnost upravičen interes izvedeti, na kakšen način država izvaja politiko na področju kadrovanja v družbah v 100-odstotni lasti države in katere kvalitete, znanja in izkušnje država, preko nadzornega sveta družbe, šteje kot odločilne pri izbiri za zasedbo najbolj odgovornih delovnih mest. KLJUČNE BESEDE: poslovni subjekt pod prevladujočim vplivom, test interesa javnosti, osebni podatek, številka odločbe 09021-1/2024 2.6 AKTIVNOSTI IZOBRAŽEVANJA IN OZAVEŠČANJA Načelo transparentnosti je eden temeljnih postulatov vsake demokratične družbe, zato mora (p)ostati eno vodilnih načel delovanja organov javnega sektorja. Odprtost in preglednost delovanja javnih organov sta bistvenega pomena za njihovo boljše delovanje, kar hkrati prinaša koristi vsem članom družbe. Zato Informacijski pooblaščenec pozornost namenja tudi ozaveščanju strokovne in splošne javnosti, s čimer spodbuja dobro prakso na področju dostopa do informacij javnega značaja. 2�6�1 DAN PRAVICE VEDETI V zadnjem tednu septembra po vsem svetu potekajo aktivnosti, ki zaznamujejo svetovni dan pravice vedeti (28. september). Ta dan so leta 2002 razglasile nevladne organizacije, povezane v mrežo Freedom of Information Advokates Network (FOIAnet), leta 2015 je bil za svetovni dan dostopa do informacij izglasovan na Generalni konferenci UNESCA, na 74. Generalni skupščini Združenih narodov leta 2019 pa je bil ta dan razglašen za mednarodni dan univerzalne pravice dostopa do informacij. V okviru dogodkov ob svetovnem dnevu pravice vedeti je Informacijski pooblaščenec 27. 9. 2024 v sodelovanju z Ministrstvom za javno upravo pripravil spletno usposabljanje Po poteh ZDIJZ – od A 37 do Ž. Namenjeno je bilo predvsem ozaveščanju zavezancev o pravici dostopa do informacij javnega značaja ter o pravilnem izvajanju zakona. Udeležence, ki so se usposabljanja udeležili v izjemno velikem številu, sta najprej nagovorila informacijska pooblaščenka dr. Jelena Virant Burnik in državni sekretar na Ministrstvu za javno upravo gospod Jure Trbič. Informacijska pooblaščenka je pojasnila, da se število pritožbenih postopkov, ki jih obravnava Informacijski pooblaščenec, povečuje, ter tudi, da narašča število primerov, pri katerih je organ v molku in prosilcu sploh na odgovori. To pomeni, da stopnja transparentnosti med zavezanci pada. Skrb vzbujajoče je, da do tega trenda prihaja predvsem v organih državne uprave. Prek dostopa do informacij javnega značaja se namreč udejanja ena temeljnih človekovih pravic, to je pravica do svobode govora, ta pa nato omogoča izvajanje številnih drugih temeljnih človekovih pravic. Le s transparentnostjo je mogoče izvajati demokratične procese v družbi, zato je molk zavezancev stanje, do katerega bi morali imeti ničelno toleranco. Pojasnila je, da želi Informacijski pooblaščenec proaktivno pristopiti k ozaveščanju in ponuditi več usposabljanj za uradne osebe, da bo primerov molkov čim manj. V nadaljevanju usposabljanja so sledile predstavitve obveznosti zavezancev, postopka z zahtevo, pojma informacija javnega značaja, zloraba pravice, test javnega interesa, proaktivna transparentnost in ponovna uporaba informacij javnega značaja. Video gradivo z usposabljanja je dostopno na spletni strani Informacijskega pooblaščenca, v zavihku ZDIJZ od A do Ž: https://www.ip-rs.si/informacije-javnega-zna%C4%8Daja/zdijz-od-a-do-%C5%BE. Spletno usposabljanje Po poteh ZDIJZ – od A do Ž, 27. 9. 2024. 2�6�2 MEDNARODNO SODELOVANJE Delavnica praktičnih primerov v Španiji Informacijski pooblaščenec se je 6. in 7. maja 2024 udeležil delavnice z naslovom Case handling Workshop on Freedom of Information, v Madridu, ki jo je gostil španski Svet za transparentnost (Consejo de Transparentcia y Buen Gobierno) pod okriljem ICIC. Šlo je za četrto mednarodno delavnico na temo reševanja konkretnih primerov iz prakse organov, pristojnih za nadzor nad dostopom do informacij javnega značaja. Delavnice so se, poleg gostiteljev, udeležili predstavniki različnih evropskih nadzornih organov (iz Madžarske, Slovenije, Nemčije, Severne Makedonije, Estonije, Portugalske, Švice, Združenega kraljestva, Albanije, Kosova in Hrvaške), predstavnica Evropskega varuha človekovih pravic in predstavnik civilne družbe. Predstavljene so bile različne nacionalne ureditve postopkov dostopa do informacij javnega značaja, poudarek je bil na konkretnih primerih iz prakse. Udeleženci so se osredotočili na dileme, težave in ovire, s katerimi se srečujejo uradne osebe pri vodenju in odločanju v pritožbenih postopkih dostopa 38 do informacij javnega značaja. Posebna pozornost je bila namenjena izkušnjam s področja proaktivne objave podatkov, mednarodnim standardom v pritožbenih postopkih, zlorabi pravice, varstvu osebnih podatkov kot izjemi od prostega dostopa, uporabi algoritmov v postopkih odločanja, iskanju ravnotežja med pravico dostopa do informacij javnega značaja in drugimi pravicami. Informacijski pooblaščenec je na delavnici sodeloval s prispevkom z naslovom Access to Public Information in Slovenia, Emphasis on the Misuse of Freedom of Information. Svetovna konferenca ICIC v Tirani Med 3. in 5. junijem je v Tirani albanski pooblaščenec za informacije javnega značaja in varstvo osebnih podatkov gostil 15. mednarodno konferenco informacijskih pooblaščencev (ICIC), z naslovom Empowering Individuals through Access to Information: Ensuring Transparency and Inclusivity in an Interconnected World. Konference so se udeležili informacijski pooblaščenci in druge institucije, ki izvajajo pristojnosti s področja dostopa do informacij javnega značaja. Potekale so različne okrogle mize, na katerih so udeleženci razpravljali o kritičnih vprašanjih v zvezi z dostopom do informacij za ranljive skupine in o primernih ukrepih, s katerimi bi jim informacije lahko zagotovili. Dotaknili so se vloge civilne družbe in medijev pri spodbujanju dostopa do informacij in transparentnosti. Poglobili so se v proaktivno transparentnost in obravnavali dinamično sinergijo med digitalnimi orodji in pobudami za odprte podatke ter se posvetili vprašanju, kako lahko izkoriščanje tehnologije in sprejemanje odprtih podatkov premakne transparentnost iz reaktivne v proaktivno smer. Ob tej priložnosti so se sestale tudi regionalne delovne skupine, med drugim evropska, azijska, severnoameriška, afriška in južnoameriška mreža pooblaščencev; v okviru delovnih skupin so udeleženci razpravljali o izzivih, s katerimi se soočajo posamezne regije. Konference sta se udeležila dva predstavnika Informacijskega pooblaščenca. Srečanje Iniciative 2020 V oktobru 2024 je v Črni gori potekalo 5. srečanje Iniciative 2020, združenja, ki je bilo oktobra 2020 ustanovljeno na pobudo Informacijskega pooblaščenca Republike Slovenije in v katerega so se povezali pritožbeni organi s področja dostopa do informacij javnega značaja iz Slovenije, Hrvaške, Bosne in Hercegovine, Črne gore, Srbije, Kosova in Severne Makedonije. Namen združenja je krepitev sodelovanja in izmenjava dobrih praks pri promociji in varstvu pravice do dostopa do informacij javnega značaja. Na tokratnem srečanju so udeleženci razpravljali o doseženih standardih pri dostopu do informacij javnega značaja v posameznih državah, odprtih vprašanjih pri dostopu do informacij v konkretnih primerih ter o proaktivnem posredovanju informacij. Posebna pozornost je bila namenjena problematiki molka organov in zlorabi pravice dostopa. Glede molka so poudarili, da ta ovira izvrševanje pravice dostopa do informacij javnega značaja in je zato treba v okviru veljavnega pravnega reda poiskati učinkovita sredstva za sankcioniranje odgovornih oseb organov, ki v praksi najpogosteje ignorirajo zahteve za dostop do informacij. Na srečanju so bila podeljena tudi posebna priznanja »transparentnost« za prispevek pri ustanovitvi in delovanju iniciative. Prejeli so jih ga. Mojca Prelesnik, nekdanja informacijska pooblaščenka, g. Zoran Pičuljan, nekdanji pooblaščenec za dostop do informacij javnega značaja Republike Hrvaške, in g. Muhamed Gjokaj, član sveta Agencije za varstvo osebnih podatkov in dostop do informacij javnega značaja Črne gore. Okrogla miza v Pragi 21. in 22. oktobra 2024 je v Pragi potekala okrogla miza z naslovom Shining the Light on Corruption, ki jo je organiziral Ceeli Inštitut (Central and Eastern European Law Initiative); udeležila se je je tudi 39 predstavnica Informacijskega pooblaščenca. Na panelu so sodelovali predstavniki civilne družbe (Access Info Europe in Open Contracting Partnership), mednarodno uveljavljeni akademiki s področja dostopa do informacij javnega značaja in administrativnega prava (David Banisar, Dacian Dragos in Cristina Haruta) ter sodnik z Evropskega sodišča za človekove pravice Darian Pavli. Govorniki so predstavili prispevke s področja dostopa javnosti do sodnih dokumentov, transparentnosti postopkov javnih naročil in varstva poslovne skrivnosti v postopkih javnega naročanja. Informacijski pooblaščenec je na delavnici sodeloval s prispevkom z naslovom Oversight of Freedom of Information: the Slovenian Example. Na srečanju je bilo predstavljeno tudi poročilo z naslovom Report on Freedom of Information1, ki vključuje predstavitev pravne ureditve dostopa do informacij javnega značaja in prakse s tega področja. 2�7 SPLOŠNA OCENA IN PRIPOROČILA NA PODROČJU DOSTOPA DO INFORMACIJ JAVNEGA ZNAČAJA V letu 2024 je Informacijski pooblaščenec na tem področju obravnaval 1.146 zadev, kar je 125 več kot v letu 2023 (12-odstotni prirast) in največ od ustanovitve. Vloženih je bilo 776 pritožb (od tega 488 zoper zavrnilne odločbe, 276 zaradi molka organa ter 12 zoper poslovne subjekte pod prevladujočim vplivom), v 370 primerih pa je Informacijski pooblaščenec odgovoril na zaprosila zavezancev in prosilcev glede procesnih vprašanj ter jih napotil na svojo prakso. Povprečen čas reševanja pritožbene zadeve je bil 30 dni. Glede na leto 2023 je skupno število pritožb v letu 2024 ponovno naraslo, in sicer za 10 % – ta trend vztraja že zadnjih nekaj let. V skupnem deležu pritožb je delež tistih zoper zavrnilne odločbe znašal 63 %, kar je več kot preteklo leto. Razveseljivo je, da se je po več letih naraščanja zmanjšalo skupno število pritožb zaradi molka organa: v letu 2024 je bilo teh pritožb 276, kar je 10 % manj kot leto poprej (302). To pomeni, da so bili zavezanci v primerjavi z letom 2023 v splošnem bolj odzivni in so manjkrat zamudili rok za posredovanje informacij javnega značaja, stopnja transparentnosti pa se je posledično zvišala. Kot že leta 2023 je bilo tudi leta 2024 največ pritožb zoper državne organe (državna uprava in drugi državni organi), ki sicer predstavljajo največjo skupino zavezancev in posledično tudi prejmejo največ zahtev za posredovanje informacij javnega značaja. Ob tem je razveseljiv podatek, da se je zoper to skupino zavezancev bistveno zmanjšalo število pritožb zaradi molka (zmanjšalo se je za 27 %), žal pa se je povečalo število pritožb zoper občine. Glede na leto pred tem se je v letu 2024 zoper to skupino zavezancev število vseh pritožb povečalo za 58 % (s 137 na 217), kar je izjemno visok porast. Da bi ta negativni trend ustavili, bodo morale občine temu področju nameniti (še) več pozornosti. Postopki dostopa do informacij javnega značaja so v praksi vsebinsko vse kompleksnejši in procesno vedno bolj zahtevni, zato naj občine za uradne osebe za posredovanje informacij javnega značaja imenujejo osebe z ustreznim strokovnim (pred)znanjem in dobrim poznavanjem vodenja upravnega postopka na prvi stopnji, vse zaposlene pa naj seznanijo z osnovnimi obveznostmi, ki jih prinaša ta zakon. Informacijski pooblaščenec priporoča tudi periodično usposabljanje za vse nove in že imenovane uradne osebe za dostop do informacij javnega značaja. K dvigu transparentnosti in lažjemu izvajanju ZDIJZ je z okrepljeno preventivno dejavnostjo v letu 2024 zavezancem pomagal tudi Informacijski pooblaščenec, za kar si bo prizadeval tudi v prihodnje. Odgovoril je na 370 pisnih zaprosil (kar je 17 % več kot v letu 2023), izvedel deset brezplačnih usposabljanj ter v okviru telefonskega svetovanja odgovoril na 980 vprašanj iz prakse. V sodelovanju z Ministrstvom za javno upravo je ob svetovnem dnevu pravice vedeti pripravil spletno usposabljanje, ki se ga je udeležilo več kot 330 udeležencev. Tudi v letu 2024 je Informacijski pooblaščenec na svoji spletni strani objavljal vso svojo prakso s tega področja (vse odločbe in sodbe sodišč), dodatno pa je za zavezance pripravil poseben razdelek, kjer so v obliki kratkih videogradiv dostopne predstavitve posameznih aktualnih vprašanj s tega področja. 1 https://ceeliinstitute.org/resource/shining-the-light-on-corruption-freedom-of-information-and-transparency-in- central-and-eastern-europe. 40 Kot že vsa leta do zdaj je Informacijski pooblaščenec tudi v letu 2024 zoper poslovne subjekte pod prevladujočim vplivom vodil izjemno malo postopkov (12 zadev, kar je 1,5 % vseh pritožbenih zadev). To gre pripisati dejstvu, da so ti zavezanci za dostop do informacij javnega značaja zavezani le v majhnem delu svoje dejavnosti, ki ga zakon natančno določa (le glede pravnih poslov za izdatke, upravljanja s stvarnim premoženjem in izplačil poslovodnim osebam), obenem pa ZDIJZ zanje določa široko obveznost proaktivnih objav, zaradi katere morajo večino absolutno javnih informacij že sami objaviti na svojih spletnih straneh. Na podlagi konkretnih pritožbenih primerov Informacijski pooblaščenec podaja naslednje ugotovitve in priporočila za delo v prihodnje: • Tudi v letu 2024 (kot že v letu 2023) je Informacijski pooblaščenec zaznal povečanje števila primerov, ki so se nanašali na t. i. zlorabo pravice. Če je bilo teh zadev v letu 2023 37 (9 %), je v letu 2024 število naraslo na 67, kar je 14 % vseh zadev, v katerih je Informacijski pooblaščenec odločil z odločbo. Gre za ravnanje prosilcev, ko način uveljavljanja pravice dostopa do informacij javnega značaja ni skladen z zakonom. Očitno prekomerno naslavljanje obsežnih in nerazumnih zahtev na zavezance namreč ne uživa pravnega varstva. V letu 2024 je Informacijski pooblaščenec v 34 primerih pritrdil organom prve stopnje, da je zloraba podana, v preostalih 33 pa je delno ali v celoti ugodil pritožbi prosilca in odločil, da zloraba ni podana. Ob tem je treba upoštevati, da so se za opredelitev zlorabe pravice v praksi Informacijskega pooblaščenca in v sodni praksi že razvili kriteriji, ki naj jim zavezanci, v izogib stroškom in zavlačevanju postopkov, v čim večji meri sledijo. • Tudi v letu 2024 je Informacijski pooblaščenec ugotovil, da zavezanci pri obravnavi zahtev ne namenijo dovolj pozornosti procesnim vprašanjem. Posledično je Informacijski pooblaščenec v 70 primerih (od 476, torej v 14,7 %) izpodbijano odločbo odpravil in zadevo vrnil organu prve stopnje v ponoven postopek. Z vidika načela ekonomičnosti se Informacijski pooblaščenec v vsaki zadevi trudi, da odloči meritorno, vendar so določene procesne kršitve takšne, da jih lahko hitreje in učinkoviteje odpravi le organ prve stopnje. Zavezanci naj več pozornosti namenijo ugotovitvenemu postopku (ali in s katero zahtevano dokumentacijo sploh razpolagajo) ter sestavi izreka (ki mora biti določen in izvršljiv) ter obrazložitvi odločbe, kadar dostop prosilcu zavrnejo. • V letu 2024 se je ponovno povečalo število pritožbenih zadev, ki so se nanašale na okoljske podatke (16 zadev). Od tega je Informacijski pooblaščenec pritožbo prosilca zavrnil le v dveh primerih, v vseh ostalih (14, torej v 87 %) pa je pritožbi delno ali v celoti ugodil in odločil, da morajo zavezanci zahtevane okoljske podatke posredovati. Navedeno kaže na to, da so zavezanci slabo seznanjeni z definicijo okoljskega podatka oziroma v praksi zahtevanih podatkov ne prepoznajo kot okoljske podatke. Informacijski pooblaščenec zato zavezance poziva, naj pri odločanju o okoljskih informacijah postopajo v korist transparentnosti; v teh postopkih naj se odločajo še posebej skrbno. Okoljski podatki se namreč vedno nanašajo na širši krog ljudi, njihovo razkritje pa je v javnem interesu. Prav za okoljske podatke namreč naša zakonodaja določa najvišjo stopnjo transparentnosti, pri njih ne pride v poštev nobena zakonska izjema. 41 3 VARSTVO OSEBNIH PODATKOV VARSTVO OSEBNIH PODATKOV VARSTVO TEMELJNE ČLOVEKOVE PRAVICE DO ZASEBNOSTI 3�1 KONCEPT VARSTVA OSEBNIH PODATKOV V REPUBLIKI SLOVENIJI Koncept varstva osebnih podatkov v Republiki Sloveniji temelji na določbi 38. člena Ustave RS, po kateri je varstvo osebnih podatkov ena izmed zagotovljenih človekovih pravic in temeljnih svoboščin. Omenjena določba zagotavlja varstvo osebnih podatkov, prepoveduje uporabo osebnih podatkov v nasprotju z namenom njihovega zbiranja, vsakomur zagotavlja pravico do seznanitve z zbranimi osebnimi podatki, ki s3e. 1na KnaOšaNjoC nEaPnjT, t eVr AprRavSicToV dAo sOodSnEegBaN vIaHrst vPaO oDb AnjiThoKvOi zVlo rVab Ri. EPUBLIKI SLOVENIJI Za normativno urejanje varstva osebnih podatkov je pomemben predvsem drugi odstavek 38. člena Ustave RS, ki določa, da zbiranje, obdelovanje, namen uporabe, nadzor in varstvo tajnosti osebnih podatkov določa zakon (splošen, sistemski zakon in področni zakoni). Gre za t. i. obdelovalni model, po katerem je na področju obdelave osebnih podatkov prepovedano vse, razen tistega, kar je z zakonom izrecno dovoljeno. Vsaka obdelava osebnih podatkov namreč pomeni poseg v z ustavo varovano človekovo pravico. Z zakonom določen namen obdelave osebnih podatkov mora biti ustavno dopusten, obdelovati pa se smejo le tisti osebni podatki, ki so primerni in za uresničitev namena nujno potrebni. Ureditev varstva osebnih podatkov v sistemskem zakonu je potrebna zaradi enotne določitve načel, pravil in obveznosti ter zaradi zapolnitve pravnih praznin, ki bi lahko nastale v področnih zakonih. Ključni sistemski zakon glede varstva osebnih podatkov je bil do 25. 5. 2018 Zakon o varstvu osebnih podatkov. V okviru reforme varstva osebnih podatkov na ravni EU pa sta bila 4. 5. 2016 v Uradnem listu EU objavljena ključna gradnika novega zakonodajnega svežnja EU o varstvu osebnih podatkov, in sicer: • Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27� 4� 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) in • Direktiva (EU) 2016/680 Evropskega parlamenta in Sveta z dne 27� 4� 2016 o varstvu posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, in o prostem pretoku takih podatkov ter o razveljavitvi Okvirnega sklepa Sveta 2008/977/PNZ (Direktiva 2016/680)� Splošna uredba o varstvu podatkov (Splošna uredba; angl. General Data Protection Regulation – GDPR) je začela veljati 25. 5. 2016, uporablja pa se neposredno od 25. 5. 2018. Direktiva (EU) 2016/680 je bila v nacionalno zakonodajo prenesena z Zakonom o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (ZVOPOKD), ki je začel veljati 31. 12. 2020. 42 S Splošno uredbo so se okrepile pravice posameznika, poleg obstoječe pravice dostopa do osebnih podatkov ter pravice do popravka še pravica do pozabe, izbrisa, omejitve obdelave, ugovora in prenosljivosti podatkov. Precej večji poudarek je zdaj na transparentnosti obdelave, tj. glede zagotavljanja preglednih in lahko dostopnih informacij posameznikom o obdelavi njihovih podatkov. Splošna uredba določa tudi nove obveznosti upravljavcev in obdelovalcev podatkov, kot so obveznost izvajanja ustreznih varnostnih ukrepov in obveznost uradnega obveščanja o kršitvah varstva osebnih podatkov, imenovanje pooblaščenih oseb za varstvo podatkov, izvajanje ocen učinka. Upravljavci niso več dolžni prijavljati zbirk osebnih podatkov v register zbirk osebnih podatkov, ostajajo pa dolžnosti sprejema popisa zbirk (t. i. evidence dejavnosti obdelave); te dolžnosti se krepijo in uvajajo tudi za (pogodbene) obdelovalce. Splošna uredba bistveno bolj poudarja načelo odgovornosti in preventivne ukrepe, poleg omenjenih mehanizmov zagotavljanja skladnosti uvaja tudi možnost potrjevanja sektorskih kodeksov ravnanja in certifikacije. V Splošni uredbi je potrjena obstoječa obveznost držav članic glede ustanovitve neodvisnega nadzornega organa na nacionalni ravni. Njen cilj je tudi vzpostavitev mehanizmov, s katerimi se zagotavlja doslednost pri izvajanju zakonodaje o varstvu podatkov v vsej EU. Bistveno je, da je v primerih, ko obdelava osebnih podatkov poteka v več kot eni državi članici, za nadzor nad temi dejavnostmi po načelu »vse na enem mestu« odgovoren vodilni nadzorni organ, tj. organ tiste države članice, v kateri je glavni ali edini sedež upravljavca ali obdelovalca. Ostali nadzorni organi v postopkih nadzora sodelujejo kot zadevni organi. Splošna uredba zajema tudi ustanovitev Evropskega odbora za varstvo podatkov (EOVP, angl. European Data Protection Board – EDPB). V odboru sodelujejo predstavniki vseh 27 neodvisnih nadzornih organov EU in EGS (Islandija, Norveška in Lihtenštajn), Evropske komisije in Evropskega nadzornika za varstvo podatkov; odbor nadomešča Delovno skupino za varstvo podatkov iz člena 29 (Article 29 Working Party). Splošna uredba je terjala sprejem novega Zakona o varstvu osebnih podatkov (ZVOP-2), s katerim se v Republiki Sloveniji zagotavlja izvajanje te uredbe. Novi Zakon o varstvu osebnih podatkov (ZVOP-2) je bil sprejet šele 15. 12. 2022, uporabljati pa se je začel 26. 1. 2023. 43 Časovni razvoj Zakona o varstvu osebnih podatkov 1991 38. člen Ustave Republike Slovenije določi, da je varstvo osebnih podatkov ena izmed zagotovljenih človekovih pravic in temeljnih USTAVA svoboščin v državi. 1. 1. 2005 prične veljati Zakon o varstvu osebnih podatkov (ZVOP 1), ki uskladi 2005 dolžnosti varstva osebnih podatkov z določbami Direktive 95/46/ES in prevzame ZVOP-1 vlogo ključnega sistemskega zakona glede varstva osebnih podakov 2007 Sprejet je Zakon o spremembah in dopolnitvah Zakona o varstvu osebnih podatkov, ki uvede pomembni novosti. Poleg nekaterih olajšav z ZVOP-1A vidika oblik dostopa posameznikov do njihovih osebnih podatkov novela bistveno zoži krog zavezancev za vpis zbirk osebnih podatkov v register. V Uradnem listu Evropske unije sta objavljena ključna gradnika novega zakonodajnega svežnja EU o varstvu osebnih podatkov, in 2016 sicer Uredba (EU) 2016/679 (Splošna uredba o UREDBA | DIREKTIVA varstvu podatkov) ter Direktiva (EU) 2016/680. 2018 V vseh državah članicah EU prične veljati Splošna uredba o varstvu podatkov (ang. General Data Protection Regulation, GDPR), ki SPLOŠNA UREDBA podjetjem in organizacijam, ki zbirajo in obdelujejo osebne podatke, nalaga dodatne obveznosti, posameznikom pa daje več pravic in nadzora nad njihovimi podatki. Splošna uredba je terjala sprejem novega Zakona o varstvu osebnih podatkov, ki je bil 2022 sprejet 15. 12. 2022, uporabljati pa se je začel 26. 1. 2023. ZVOP-2 44 3�2 NADZOR V LETU 2024 3�2�1 INŠPEKCIJSKI NADZOR Postopek inšpekcijskega nadzora, ki ga izvaja Informacijski pooblaščenec oziroma državni nadzorniki za varstvo osebnih podatkov, poleg Zakona o varstvu osebnih podatkov (ZVOP-2), Zakona o Informacijskem pooblaščencu (ZInfP), Splošne uredbe in Zakona o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (ZVOPOKD) urejata še Zakon o inšpekcijskem nadzoru (ZIN) in Zakon o splošnem upravnem postopku (ZUP). Informacijski pooblaščenec v inšpekcijskih postopkih nadzira izvajanje določb Splošne uredbe, ZVOP-2 in vseh tistih predpisov, ki urejajo področje varstva osebnih podatkov. V okviru inšpekcijskega nadzora Informacijski pooblaščenec nadzira zlasti: • zakonitost in preglednost obdelave osebnih podatkov; • ustreznost ukrepov varnosti osebnih podatkov ter izvajanje postopkov in ukrepov za zagotovitev varnosti osebnih podatkov; • izvajanje določb Splošne uredbe, ki urejajo posebne izraze načela odgovornosti (uradno obveščanje nadzornih organov in posameznikov o kršitvi varnosti, ocene učinka, pooblaščene osebe za varstvo osebnih podatkov, evidence dejavnosti obdelav); • izvajanje določb Splošne uredbe glede prenosa osebnih podatkov v tretje države ali mednarodne organizacije in glede njihovega posredovanja tujim uporabnikom osebnih podatkov; • izvajanje določb Splošne uredbe glede obdelave na podlagi pogodbe o obdelavi osebnih podatkov. Splošna uredba daje Informacijskemu pooblaščencu v 58. členu naslednja inšpekcijska pooblastila: 1. Preiskovalna pooblastila: • da upravljavcu in obdelovalcu ter, če je ustrezno, predstavniku upravljavca ali obdelovalca odredi, naj zagotovi vse informacije, ki jih potrebuje za opravljanje svojih nalog; • da izvaja preiskave v obliki pregledov na področju varstva podatkov; • da izvaja preglede potrdil skladnosti obdelav (certifikatov); • da upravljavca ali obdelovalca uradno obvesti o domnevni kršitvi Splošne uredbe; • da od upravljavca ali obdelovalca pridobi dostop do vseh osebnih podatkov in informacij, ki jih potrebuje za opravljanje svojih nalog; • da pridobi dostop do vseh prostorov upravljavca ali obdelovalca, vključno z vso opremo in sredstvi za obdelavo podatkov, v skladu s pravom EU ali postopkovnim pravom države članice. 2. Popravljalna pooblastila: • da upravljavcu ali obdelovalcu izda opozorilo, da bi predvidena dejanja obdelave verjetno kršila določbe Splošne uredbe; • da upravljavcu ali obdelovalcu izreče opomin, kadar so bile z dejanji obdelave kršene določbe Splošne uredbe; • da upravljavcu ali obdelovalcu odredi, naj ugodi zahtevam posameznika, na katerega se nanašajo osebni podatki, glede uresničevanja njegovih pravic na podlagi Splošne uredbe; 45 • da upravljavcu ali obdelovalcu odredi, naj dejanja obdelave, če je to ustrezno, na določen način in v določenem roku uskladi z določbami Splošne uredbe; • da upravljavcu odredi, naj posameznika, na katerega se nanašajo osebni podatki, obvesti o kršitvi varstva osebnih podatkov; • da uvede začasno ali dokončno omejitev obdelave, vključno s prepovedjo obdelave; • da v zvezi s pravico posameznika odredi popravek ali izbris osebnih podatkov oziroma omejitev obdelave ter o takšnih ukrepih uradno obvesti uporabnike, katerih osebni podatki so bili razkriti; • da prekliče potrdilo ali organu za potrjevanje odredi preklic potrdila, izdanega v skladu z 42. in 43. členom, ali da organu za potrjevanje odredi, naj ne izda potrdila, kadar zahteve v zvezi s potrdilom niso ali niso več izpolnjene; • da glede na okoliščine posameznega primera poleg ali namesto ukrepov iz tega odstavka naloži upravno globo v skladu s 83. členom; • da odredi prekinitev prenosov podatkov uporabniku v tretji državi ali mednarodni organizaciji. ZVOP-2 daje Informacijskemu pooblaščencu naslednja pooblastila glede izvajanja inšpekcijskega nadzora: • da izvaja nadzore nad izvajanjem določb ZVOP-2; • da odloča v pritožbenem postopku, odloča v postopkih prijav prijaviteljev s posebnim položajem in izvaja inšpekcijski nadzor po ZVOP-2; • da odreja nadzorne ukrepe iz 29. člena ZVOP-2, in sicer lahko odredi: odpravo nepravilnosti ali pomanjkljivosti, omejitve obdelave (kot so anonimiziranje, blokiranje in arhiviranje), prepoved prenosa v tretjo državo ali posredovanje tujim uporabnikom, brisanje ali uničenje osebnih podatkov ali druge ukrepe, ki pomenijo prepoved obdelave osebnih podatkov; • da sodeluje z upravljavci in obdelovalci pri izvajanju nadzorov skladno z ZVOP-2; • da sodeluje z nadzornimi organi drugih držav ali mednarodnih organizacij; • da sodeluje z nadzornimi organi drugih držav članic Evropske unije pri izvajanju čezmejnih nadzornih postopkov, pri postopkih izrekanja sankcij in v drugih zadevah čezmejne obdelave osebnih podatkov v skladu s VII. poglavjem Splošne uredbe; • da deluje kot vodilni nadzorni organ pri izvajanju čezmejnih nadzornih postopkov v skladu s Splošno uredbo; • da obvesti pristojno sodišče o kršitvah zakona, lahko pa sodišču v sodnem postopku tudi posreduje mnenje o ugotovljenih kršitvah; • da daje izjave za javnost o opravljanih nadzorih in pripravlja letna poročila o izvajanju ZVOP-2. Informacijski pooblaščenec je leta 2024 zaradi suma kršitev določb Splošne uredbe in/ali ZVOP-2 vodil 846 inšpekcijskih zadev, od tega 177 v javnem in 669 v zasebnem sektorju� V javnem sektorju je 165 inšpekcijskih postopkov začel na podlagi prejetih prijav, 12 pa na lastno pobudo, medtem ko je v zasebnem sektorju 644 postopkov vodil na podlagi prejetih prijav, 25 pa jih je uvedel na lastno pobudo� 46 Inšpekcijske prijave, ki jih je prejel Informacijski pooblaščenec, so se nanašale na naslednje sume kršitev določb Splošne uredbe in ZVOP-2: Sum kršitve Število prijav Nezakonito izvajanje videonadzora 224 Nezakonito razkrivanje, posredovanje osebnih podatkov nepooblaščenim uporabnikom in nezakonita objava osebnih podatkov 128 Nezakonito zbiranje oz. zahtevanje osebnih podatkov 84 Razno: obdelava osebnih podatkov po poteku roka hrambe, uporaba netočnih podatkov, kršitev pravice do seznanitve z osebnimi podatki in pravice do ugovora, sumi kršitev, ki ne sodijo v 84 pristojnost Informacijskega pooblaščenca Nezakonita obdelava osebnih podatkov pri izvajanju neposrednega trženja 41 Neustrezno zavarovanje osebnih podatkov 41 Nezakonit vpogled v osebne podatke 19 Piškotki 18 Zavrnitev posredovanja osebnih podatkov 8 Kršitev pravice do informacij po 13. členu Splošne uredbe 8 Obdelava osebnih podatkov v nasprotju z namenom zbiranja 6 Hekerski napadi in vdori v informacijske sisteme 6 Zavrnitev izbrisa osebnih podatkov 4 Skupaj prijav 671 Po prejemu inšpekcijskih prijav, iz katerih ni jasno izhajal javni interes za uvedbo inšpekcijskega postopka oziroma prijavi niso bili priloženi ustrezni dokazi, je Informacijski pooblaščenec v letu 2024 upravljavcem poslal 97 obvestil, v katerih jih je obvestil o prejeti prijavi kršitve varstva osebnih podatkov ter jim posredoval splošne napotke za zagotovitev skladnosti. Inšpekcijski postopek v teh primerih ni bil uveden, upravljavcem pa je bilo v smislu preventivnega delovanja Informacijskega pooblaščenca poslano obvestilo z informacijami za pomoč v smeri zagotovitve skladne obdelave podatkov. 3�2�2 INŠPEKCIJSKI NADZOR V JAVNEM SEKTORJU Zaradi suma kršitev določb Splošne uredbe in/ali ZVOP-2 je Informacijski pooblaščenec zoper zavezance v javnem sektorju leta 2024 vodil 177 zadev, 165 jih je začel na podlagi prejetih prijav, 12 pa na lastno pobudo. Informacijski pooblaščenec je 37 prijaviteljem pisno pojasnil, zakaj v prijavi opisano ravnanje ne pomeni kršitve zakonodaje s področja varstva osebnih podatkov, v 51 primerih pa je po proučitvi prijave zaključil, da uvedba inšpekcijskega postopka ne bi bila smiselna, ker je šlo za enkratna dejanja oziroma kršitve varstva osebnih podatkov v preteklosti, ki jih z inšpekcijskimi ukrepi za nazaj ni več mogoče preprečiti ali odpraviti. V teh primerih je zoper 47 kršiteljev uvedel postopke o prekršku oziroma je kršiteljem izrekel ukrepe v skladu z Zakonom o prekrških (ZP-1), v štirih primerih je ocenil, da uvedba postopka o prekršku ne bi bila smotrna, ker je v prijavi opisano ravnanje predstavljalo prekršek neznatnega pomena. V 11 zadevah Informacijski pooblaščenec postopka ni uvedel, saj so bile zatrjevane nepravilnosti že odpravljene. 18 prijaviteljev je napotil na pravice posameznika po Splošni uredbi (predvsem na pravice do seznanitve z lastnimi osebnimi podatki). V 19 zadevah prijavitelji pri utemeljevanju kršitve niso navedli ustreznih dokazov, v 36 zadevah pa je Informacijski pooblaščenec ugotovil, da za zatrjevane kršitve ni pristojen. 47 Informacijski pooblaščenec je leta 2024 zavezancem v javnem sektorju izdal 6 t. i. predodločb2 ter eno ureditveno odločbo, vse ostale kršitve so zavezanci sami prostovoljno odpravili takoj po pozivu državnega nadzornika za varstvo osebnih podatkov. Leta 2024 je bilo v javnem sektorju 51 inšpekcijskih postopkov zaključenih z izdajo sklepa o ustavitvi postopka. Informacijski pooblaščenec je 29 postopkov ustavil, ker so zavezanci ugotovljene nepravilnosti odpravili, v sedmih postopkih ni zaznal kršitev določb Splošne uredbe ali ZVOP-2, v petih primerih ni bilo predloženih dovolj dokazov za nadaljevanje postopka, devet postopkov pa je ustavil zato, ker je šlo za kršitve, ki so predstavljale enkratna dejanja v preteklosti, ki jih z inšpekcijskimi ukrepi za nazaj ni bilo več mogoče odpraviti. V eni zadevi je postopek ustavil zaradi nepristojnosti. 3�2�3 INŠPEKCIJSKI NADZOR V ZASEBNEM SEKTORJU Informacijski pooblaščenec je zoper zavezance v zasebnem sektorju vodil 669 zadev, od tega jih je 506 vodil na podlagi prejetih prijav, 25 postopkov pa je uvedel na lastno pobudo. 138 postopkov je bilo uvedenih po iniciativi drugih nadzornih organov v EU v okviru čezmejnega sodelovanja – v teh je Informacijski pooblaščenec sodeloval kot zadevni organ (več v poglavju 3.2.8). Po proučitvi prijav je Informacijski pooblaščenec 75 prijaviteljev obvestil, da postopka inšpekcijskega nadzora ne bo uvedel, ker iz prijave ne izhaja sum kršitev določb Splošne uredbe in ZVOP-2, 33 prijaviteljev pa je napotil na pravice, ki jih morajo pri upravljavcih osebnih podatkov uveljavljati sami, največkrat na pravico do seznanitve z lastnimi osebnimi podatki in na pravico do ugovora. V 23 primerih Informacijski pooblaščenec inšpekcijskega postopka ni uvedel, ker je šlo za enkratna dejanja oziroma kršitve varstva osebnih podatkov v preteklosti in teh kršitev z inšpekcijskimi ukrepi za nazaj ni bilo več možno preprečiti ali odpraviti. Ugotovljene kršitve je obravnaval v okviru pristojnosti, ki jih ima kot prekrškovni organ, in sicer je 11 kršiteljem izrekel ukrep po ZP-1, v 10 primerih je ocenil, da ukrepa po ZP-1 ne bo izrekel, ker gre za prekršek neznatnega pomena, v dveh primerih pa postopka ni uvedel zaradi zastaranja pregona. V 141 primerih Informacijski pooblaščenec postopka ni uvedel, ker niso bili predloženi ustrezni dokazi, ki bi zatrjevano kršitev utemeljevali, v 41 primerih pa za ukrepanje ni bil pristojen. V 44 primerih inšpekcijski postopek ni bil uveden, ker je kršitelj nepravilnosti že odpravil. V 20 zadevah je Informacijski pooblaščenec vlogo odstopil pristojnemu organu. Informacijski pooblaščenec je leta 2024 zavezancem v zasebnem sektorju izdal 25 t. i. predodločb ter dve ureditveni odločbi, preostale kršitve so zavezanci sami prostovoljno odpravili takoj po pozivu državnega nadzornika za varstvo osebnih podatkov. Leta 2024 je Informacijski pooblaščenec pri zavezancih v zasebnem sektorju s sklepom ustavil 123 postopkov: 12 postopkov je ustavil, ker ni zaznal kršitev določb ZVOP-2, 85 postopkov je ustavil po tem, ko so zavezanci odpravili ugotovljene nepravilnosti, 14 postopkov je zaključil, ker v zvezi z ugotovljenimi prekrški ni bilo mogoče izreči inšpekcijskih ukrepov, saj je šlo za enkratna dejanja v preteklosti, v 12 primerih pa ni bilo predloženih dovolj dokazov za nadaljevanje postopka. Informacijski pooblaščenec je prejel eno sodbo Upravnega sodišča RS v zvezi s tožbo, vloženo leta 2022 zoper odločbo zaradi prenehanja pridobivanja in shranjevanja osebnih podatkov; sodišče je tožbo zavrnilo. 2 Informacijski pooblaščenec mora v primeru, ko ugotovi nezakonito obdelavo osebnih podatkov, pred izdajo odločbe, s katero odredi prenehanje takšne obdelave, zavezanca skladno z načelom zaslišanja stranke (9. člen ZUP) predhodno obvestiti o tem, zakaj po njegovem mnenju za predmetno obdelavo osebnih podatkov nima pravne podlage, ter ga seznaniti z argumenti, ki njegovo mnenje potrjujejo. Zavezancu je namreč glede na sodno prakso treba pred izdajo ureditvene odločbe dati možnost, da se izjavi do stališča Informacijskega pooblaščen- ca (načelo kontradiktornosti strank). To v praksi pomeni, da zavezanci po seznanitvi z argumenti Informacijske- ga pooblaščenca v večini primerov sami nehajo nezakonito obdelovati osebne podatke, zato izdaja ureditvene odločbe ni več potrebna. 48 Pregled inšpekcijskih zadev v javnem in zasebnem sektorju leta 2024. 846 ZADEV 138 na predlog 177 JAVNI 669 ZASEBNI tu SEKTOR SEKTOR jih nadzornih organov NA PODLAGI PRIJAVE NA PODLAGI PRIJAVE NI BILO KRŠITVE – 37 NI BILO KRŠITVE – 75 UKREPI PO ZP -1 – 47 UKREPI PO ZP-1 – 23 NAPOTITVE – 18 NAPOTITVE – 33 ODSTOPI – 20 165 UVEDENIH 12 EX OFFO 25 EX OFFO 644 UVEDENIH POSTOPKOV POSTOPKOV SKUPAJ 177 POSTOPKOV SKUPAJ 669 POSTOPKOV 3�2�4 PRIJAVE KRŠITEV VARNOSTI OSEBNIH PODATKOV Skladno s 33. členom Splošne uredbe so zavezanci nadzorni organ (Informacijskega pooblaščenca) dolžni obvestiti o zaznanih kršitvah varnosti osebnih podatkov, če je verjetno, da bi bile s kršitvijo ogrožene pravice in svoboščine posameznikov. Obvestilo je treba podati takoj po zaznani kršitvi, najpozneje pa v 72 urah. Kadar je verjetno, da bo kršitev varnosti osebnih podatkov povzročila veliko tveganje za pravice in svoboščine posameznikov, mora upravljavec o kršitvi obvestiti tudi posameznika, na katerega se osebni podatki nanašajo. V primeru hudih kršitev lahko Informacijski pooblaščenec zavezancu naloži, da mora o kršitvi obvestiti tudi prizadete posameznike. Informacijski pooblaščenec je leta 2024 prejel 160 uradnih obvestil o kršitvi varnosti osebnih podatkov: 86 obvestil so poslali zavezanci iz zasebnega sektorja (npr. banke, trgovska podjetja, zavarovalnice), 74 pa zavezanci iz javnega sektorja (predvsem zdravstvene in izobraževalne ustanove). Kršitve varnosti osebnih podatkov (160) so se nanašale na: • posredovanje dokumentov z osebnimi podatki (npr. zdravniških izvidov, računov, dokumentov v upravnih postopkih, debetne kartice) napačnim osebam kot posledica nenamerne človeške napake ali netočnih podatkov v zbirkah osebnih podatkov (npr. e-naslovov strank) – 57, • nezakonito razkritje osebnih podatkov nepooblaščenim osebam – 37, • neustrezno zagotavljanje varnosti osebnih podatkov – 21, • hekerski vdor oziroma kibernetski napad – 19, 49 • nepooblaščen dostop do osebnih podatkov oziroma njihova obdelava s strani zaposlenih – 12, • izgubo ali krajo prenosnega računalnika ali drugih nosilcev osebnih podatkov (USB-ključek, zdravstveni karton, zvezek z osebnimi podatki strank) – 6, • razkritje osebnih podatkov zaradi napake v aplikaciji oziroma tehnične napake – 4, • izgubo dostopa do osebnih podatkov (onemogočanje dostopa do podatkov zaradi kriptiranja z zlonamerno programsko kodo, t. i. izsiljevalski virus, izguba ali kraja uporabniškega imena in gesla) – 4, • nezakonito objavo osebnih podatkov – 2, • nezakonito uporabo osebnih podatkov za druge namene – 2. Informacijski pooblaščenec je v pomoč upravljavcem na svoji spletni strani pojasnil, katere kršitve pomenijo kršitve varnosti v smislu Splošne uredbe ter o katerih kršitvah in v kolikšnem času so ga dolžni obvestiti. Za obveščanje je odprl namenski e-poštni predal (prijava-krsitev@ip-rs�si), na spletni strani je dostopen tudi obrazec »Uradno obvestilo o kršitvi varnosti osebnih podatkov«, ki ga lahko upravljavci uporabijo za obveščanje, objavljene pa so tudi smernice Evropskega odbora za varstvo podatkov v zvezi z uradnim obvestilom o kršitvi varstva osebnih podatkov in infografika Prijava kršitev varnosti (Data Breach Notification). 3.2.5 PRITOŽBENI POSTOPKI PO 77. ČLENU SPLOŠNE UREDBE IN PO 33. ČLENU ZVOPOKD Poleg inšpekcijskih postopkov vodi Informacijski pooblaščenec tudi postopke prijave po 30. členu ZVOP- 2, ki se vodijo na zahtevo prijavitelja s posebnim položajem, s čimer se zagotavlja pravica do pritožbe po 77. členu Splošne uredbe (pritožba zaradi kršitve varstva osebnih podatkov). Informacijski pooblaščenec vodi postopke prijave tudi na podlagi 33. člena ZVOPOKD na zahtevo prijavitelja s posebnim položajem. Postopek s prijavo zaradi kršitve varstva osebnih podatkov se vodi na zahtevo posameznika, na katerega se nanašajo osebni podatki. V tem primeru gre za nadzorni postopek posebne vrste, v katerem ima tudi prijavitelj položaj stranke nadzornega postopka, zaradi česar mora taka vloga oziroma prijava vsebovati vse sestavine, ki jih določa Zakon o splošnem upravnem postopku (ZUP). V tem postopku lahko Informacijski pooblaščenec uporabi tudi vsa nadzorna pooblastila (npr. vsa prej našteta preiskovalna in popravljalna pooblastila iz 58. člena Splošne uredbe) in izreka vse nadzorne ukrepe, ki mu jih dajejo predpisi (ZVOP-2, Splošna uredba, ZVOPOKD, ZUP in področni zakoni). V tem postopku vsaka stranka krije svoje stroške postopka. V primeru ugotovljenih kršitev lahko Informacijski pooblaščenec uvede tudi postopek izreka sankcije po Splošni uredbi, ZVOP-2, ZVOPOKD in ZP-1. Posameznik, na katerega se nanašajo osebni podatki, lahko v postopku prijave zahteva: 1. ugotovitev, ali se njegovi osebni podatki v trenutku vložitve prijave obdelujejo nezakonito oziroma v nasprotju s Splošno uredbo in ZVOP-2 (in predlaga ukrep za odpravo nepravilnosti) ali 2. informacije, dostop, izbris, popravek ipd. v okviru pravic, ki jih ima po Splošni uredbi (15.– 22. člen) oziroma po ZVOPOKD – pravica do seznanitve z lastnimi osebnimi podatki, pravica do izbrisa oziroma pozabe, pravica do omejitve obdelave, pravica do popravka, pravica do ugovora itd.; v tem primeru mora posameznik pravice uveljavljati pri upravljavcu njegovih osebnih podatkov, preden vloži pritožbo pri Informacijskem pooblaščencu. Upravljavec je dolžan odgovoriti v enem mesecu od prejema zahteve. Če upravljavec v predpisanem roku ne odgovori ali če posameznikovo zahtevo zavrne, lahko posameznik vloži pritožbo pri Informacijskem pooblaščencu. Rok za vložitev prijave je 15 dni od prejema zavrnilnega odgovora. Postopki v zvezi z uveljavljanjem pravic so opisani v naslednjem poglavju. 50 Če državni nadzornik za varstvo osebnih podatkov v takšnem nadzornem postopku zazna sum kršitve varstva osebnih podatkov, ki bi lahko vplivala tudi na pravice drugih posameznikov, mora po uradni dolžnosti uvesti postopek inšpekcijskega nadzora. Pri obravnavi prijav prijaviteljev s posebnim položajem se pogosto dogaja, da so prijave oziroma vloge nepopolne. Prijavitelji v njih najpogosteje zatrjujejo enkratno preteklo kršitev (npr. nezakonit vpogled v njihove osebne podatke ali posredovanje osebnih podatkov nepooblaščenemu uporabniku), ki v času vložitve prijave ne obstaja več. Taka prijava praviloma ne more biti predmet nadzornega postopka, v okviru katerega Informacijski pooblaščenec obravnava prijavo prijavitelja s posebnim položajem, saj se skladno s 30. in 34. členom ZVOP-2 oziroma 33. do 38. členom ZVOPOKD v tem postopku obravnavajo le tiste zatrjevane kršitve obdelave osebnih podatkov prijavitelja s posebnim položajem, ki v trenutku vložitve prijave še obstajajo. Ugotavljanje preteklih kršitev varstva osebnih podatkov lahko posameznik skladno z določbami 11. člena ZVOP-2 oziroma 12. člena ZVOPOKD s tožbo zahteva od sodišča, Informacijski pooblaščenec pa lahko v takih primerih kršitev obravnava v okviru postopka o prekršku, medtem ko lahko nadzorni postopek praviloma uvede le v primeru, ko iz prijave izhaja, da je treba upravljavcu naložiti sprejem ukrepov (npr. organizacijskih in tehničnih ukrepov za zagotavljane varnosti osebnih podatkov), s katerimi se bodo preprečevale podobne možne kršitve v prihodnosti. Informacijski pooblaščenec večkrat prejme sicer popolne prijave prijavitelja s posebnim položajem, iz katerih izhaja, da se opisana kršitev varstva osebnih podatkov ne nanaša zgolj na prijavitelja, temveč na več posameznikov. Informacijski pooblaščenec mora na podlagi take prijave prijavitelja s posebnim položajem zaradi identične kršitve (npr. nezakonite obdelave osebnih podatkov) zoper istega upravljavca voditi dva nadzorna postopka, in sicer nadzorni postopek, v okviru katerega preverja in odloča zgolj o zakonitosti obdelave osebnih podatkov prijavitelja s posebnim položajem, ter inšpekcijski postopek, v okviru katerega preverja in odloča o zakonitosti obdelave osebnih podatkov vseh ostalih posameznikov. Posamezniki so v letu 2024 skupno vložili 75 prijav (v 27 primerih zoper upravljavce javnega sektorja in v 48 primerih zoper upravljavce zasebnega sektorja), s katerimi so zahtevali ugotovitev, da se njihovi osebni podatki obdelujejo nezakonito oziroma v nasprotju s Splošno uredbo oziroma ZVOP-2. Informacijski pooblaščenec v letu 2024 ni prejel nobene tovrstne prijave po ZVOPOKD� V okviru postopkov, ki so se vodili zoper upravljavce javnega sektorja, je Informacijski pooblaščenec izdal skupno pet odločb, s katerimi je v enem primeru ugotovil kršitev Splošne uredbe oziroma ZVOP-2, v štirih primerih pa je ugotovil, da kršitev ni. V 19 primerih je vlogo iz postopkovnih oziroma formalnih razlogov s sklepom zavrgel, v enem primeru je postopek ustavil. Upravljavcem zasebnega sektorja je Informacijski pooblaščenec v letu 2024 izdal osem odločb, s katerimi je v dveh primerih ugotovil kršitev Splošne uredbe oziroma ZVOP-2, v šestih primerih pa je ugotovil, da kršitev ni. V 29 primerih je vlogo prijavitelja zavrgel, v šestih je postopke s sklepom ustavil. ZOPER UPRAVLJAVCE JAVNEGA SEKTORJA 27 ODLOČBA O PREKRŠKU - 1 NI KRŠITVE - 4 SKLEP O ZAVRŽENJU - 19 SKLEP O USTAVITVI - 1 ZOPER UPRAVLJAVCE ZASEBNEGA SEKTORJA 48 ODLOČBA O PREKRŠKU - 2 NI KRŠITVE - 6 SKLEP O ZAVRŽENJU - 29 SKLEP O USTAVITVI - 6 51 75 vloženih prijav 3�2�6 PRAVICE POSAMEZNIKOV Pravica do seznanitve z lastnimi osebnimi podatki je zagotovljena vsakemu posamezniku v tretjem odstavku 38. člena Ustave RS in v 15. členu Splošne uredbe ter 24. členu ZVOPOKD. Postopkovna pravila so urejena v 11. in 12. členu Splošne uredbe ter v 12. do 21. členu ZVOP-2. Po 15. členu Splošne uredbe je posameznik upravičen, da mu upravljavec na njegovo zahtevo: (1) potrdi, ali se v zvezi z njim obdelujejo osebni podatki; (2) omogoči vpogled ali posreduje reprodukcijo teh osebnih podatkov, torej zagotovi dostop do njihove vsebine; (3) če se osebni podatki posameznika pri upravljavcu res obdelujejo, je posameznik upravičen do naslednjih dodatnih informacij: • namen obdelave podatkov, • vrste podatkov, • uporabniki podatkov, • obdobje hrambe podatkov, • obstoj pravic posameznika v zvezi z njegovimi podatki, • vir podatkov in • obstoj avtomatiziranega sprejemanja odločitev, vključno z oblikovanjem profilov, ter informacije o razlogih zanj, pa tudi pomen in predvidene posledice take obdelave za posameznika, na katerega se osebni podatki nanašajo. Splošna uredba opredeljuje še nekatere druge pravice posameznikov, ki se uveljavljajo na zahtevo: 1. Pravica do prenosljivosti osebnih podatkov, ki pomeni možnost, da posameznik doseže prenos osebnih podatkov, ki se obdelujejo v avtomatizirani obliki, drugemu upravljavcu na način, da se lahko ti podatki v enaki obliki vključijo oziroma uporabljajo pri drugem upravljavcu. Lahko pa te podatke posameznik na enak način pridobi tudi sam. 2. Pravica do ugovora, ki pomeni, da lahko posameznik pod določenimi pogoji (npr. če se podatki obdelujejo za neposredno trženje) doseže, da upravljavec določene obdelave ne sme več izvajati. 3. Pravica do ugovora zoper upravljavčevo odločitev o posamezniku (npr. o njegovih pravicah in dolžnostih), če je bila odločitev sprejeta izključno z avtomatizirano obdelavo osebnih podatkov. 4. Pravica do popravka, ki pomeni možnost, da posameznik doseže, da upravljavec izvede popravek ali dopolnitev netočnih ali nepopolnih podatkov, ki se vodijo pri njem. 5. Pravica do izbrisa, ki pomeni, da mora upravljavec pod določenimi pogoji izbrisati osebne podatke – tipični so neobstoj pravne podlage za obdelavo podatkov, neobstoj zakonitega namena za obdelavo podatkov in zahteva področnega predpisa, da se podatki izbrišejo. 6. Pravica do omejitve obdelave, ki omogoča popolno ali delno ter dolgoročno ali začasno blokado določene obdelave osebnih podatkov pod določenimi pogoji. Glede na določbe 12. člena Splošne uredbe mora upravljavec osebnih podatkov o posameznikovi zahtevi odločiti v enem mesecu. Posredovanje osebnih podatkov in dodatnih informacij posamezniku je praviloma brezplačno. Če upravljavec posamezniku ne odgovori v predpisanem roku ali če njegovo zahtevo zavrne, lahko posameznik vloži pritožbo pri Informacijskem pooblaščencu. 52 Informacijski pooblaščenec je v letu 2024 prejel 109 prijav posameznikov v zvezi s kršitvami njihovih pravic� Med njimi je bilo 82 prijav zaradi kršitev pravice do seznanitve z lastnimi osebnimi podatki, pet prijav zaradi kršitev pravice do popravka, 21 prijav zaradi kršitev pravice do izbrisa ter ena prijava zaradi kršitev pravice do ugovora obdelavi po Splošni uredbi� Posamezniki se vedno bolj zavedajo zlasti ustavne pravice do seznanitve z lastnimi osebnimi podatki, številni upravljavci pa še vedno ne izpolnjujejo svojih obveznosti in posameznikom ne omogočajo izvrševanja pravic, ki jim jih zagotavljajo različni predpisi. PRIJAV POSAMEZNIKOV V ZVEZI S KRŠITVAMI NJIHOVIH PRAVIC KRŠITEV PRAVICE DO SEZNANITVE Z LASTNIMI OSEBNIMI PODATKI - 82 109 KRŠITEV PRAVICE DO POPRAVKA - 5 KRŠITEV PRAVICE DO IZBRISA - 21 KRŠITEV PRAVICE DO UGOVORA OBDELAVI PO SPLOŠNI UREDBI - 1 Vložene prijave so v 57 primerih zadevale upravljavce iz javnega sektorja (zlasti ministrstva in organe v njihovi sestavi, šole in javne zdravstvene zavode), 52 prijav pa se je nanašalo na upravljavce iz zasebnega sektorja (npr. banke, zavarovalnice, operaterje elektronskih komunikacij, trgovska podjetja in druge gospodarske družbe). V 34 primerih (torej v 31,19 %) so se posamezniki pritožili, ker jim upravljavci na njihove zahteve niso odgovorili oziroma so bili v molku, drugi (75) pa so se pritožili zato, ker so upravljavci njihove vloge zavrnili ali ker jim niso posredovali vseh zahtevanih podatkov. Razlog za molk je bil (glede na odziv po prejemu poziva Informacijskega pooblaščenca) pri večini upravljavcev nepoznavanje pravice posameznikov do seznanitve z lastnimi osebnimi podatki in dolžnosti upravljavcev v zvezi z njenim izvrševanjem. V 36 primerih, ki so se vodili zaradi molka upravljavca (vključno s postopki, ki so se začeli pred letom 2024), so upravljavci po prejemu poziva Informacijskega pooblaščenca o zahtevah posameznikov odločili na način, da so jim posredovali zahtevane podatke in dokumente ali pa so zahteve zavrnili s formalnim obvestilom z obrazložitvijo (zoper katerega je možna vsebinska pritožba), zaradi česar je Informacijski pooblaščenec postopke ustavil. Leta 2024 je Informacijski pooblaščenec, vključno s postopki, začetimi v pred letom 2024, izdal 31 upravnih odločb v zvezi s pravicami po Splošni uredbi. V 21 odločbah je ugotovil, da je v trenutku vložitve prijave obstajala kršitev Splošne uredbe oziroma ZVOP-2, z 10 odločbami pa je ugotovil, da kršitev ni bilo. Upravljavec je zoper eno odločitev Informacijskega pooblaščenca sprožil upravni spor pred Upravnim sodiščem RS, in sicer zoper odločbo, izdano v letu 2024. Informacijski pooblaščenec je s sklepom zavrgel 36 pritožb po Splošni uredbi, in sicer zaradi postopkovnih pomanjkljivosti (nepopolna, prepozna ali preuranjena vloga, vloga se ni nanašala na pravico posameznika oziroma Informacijski pooblaščenec za obravnavo ni bil pristojen), ter s sklepom ustavil 30 postopkov. Za zahteve posameznikov, ki se nanašajo na področje preprečevanja, odkrivanja, preiskovanja in pregona kaznivih dejanj ter izvrševanja kazenskih sankcij, se uporablja ZVOPOKD. Ta velja za obdelave osebnih podatkov, ki jih izvajajo pristojni organi, in sicer zlasti policija, državna tožilstva, Uprava Republike Slovenije za probacijo, Uprava Republike Slovenije za izvrševanje kazenskih sankcij in drugi državni organi Republike Slovenije, ki so zakonsko določeni kot pristojni za področja preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij ter osebne podatke obdelujejo za namene izvrševanja navedenih pristojnosti. Skladno s Splošno uredbo in ZVOPOKD je Informacijski pooblaščenec pritožbeni organ za uveljavljanje vseh pravic, ne le pravice do seznanitve, kot je predhodno veljalo po ZVOP-1. Pravice posameznikov v primeru uveljavljanja pravic pri pristojnih organih po ZVOPOKD urejajo 23. do 27. člen ZVOPOKD, postopkovna pravila pa določajo 18. do 22. člen ZVOPOKD. 53 V skladu z 24. členom ZVOPOKD ima posameznik, na katerega se nanašajo osebni podatki, pravico od zgoraj omenjenih pristojnih organov med drugim zahtevati podatek o tem, ali se obdelujejo njegovi osebni podatki, pridobiti kopijo ali izpis teh podatkov ter konkretne informacije o: • namenih obdelave in njihovi pravni podlagi; • vrstah osebnih podatkov, ki se obdelujejo; • uporabnikih ali kategorijah uporabnikov, ki so jim bili podatki razkriti, zlasti če gre za uporabnike v tretjih državah ali mednarodnih organizacijah, v primerih omejitev te pravice pa se lahko navede le okvirni opis uporabnikov; • roku hrambe ali roku za redni pregled potrebe po hrambi; • vseh razpoložljivih informacijah o viru osebnih podatkov, razen če je identiteta vira varovana kot tajna ali zaupna po določbah zakona. Pristojni organ posamezniku v primeru obstoja zakonske omejitve glede dostopa do lastnih osebnih podatkov po ZVOPOKD med drugim lahko ne zagotovi navedenih informacij, kadar bi se s tem razkrila identiteta oseb, zoper katere se izvajajo prikriti preiskovalni ukrepi po zakonu, ki ureja kazenski postopek, ali zoper katere so razpisani ukrepi prikritega evidentiranja in namenske kontrole po zakonu, ki ureja naloge in pooblastila policije. Pristojni organ o zahtevi odloči brez nepotrebnega odlašanja, najpozneje pa v enem mesecu po prejemu zahteve. Odločba vsebuje tudi pouk o pravici do pritožbe pri nadzornem organu. Informacijski pooblaščenec je v letu 2024 prejel 13 pritožb posameznikov v zvezi s kršitvami pravice do seznanitve z lastnimi osebnimi podatki po ZVOPOKD ter eno pritožbo glede kršitve drugih pravic. V zvezi s temi pritožbami po ZVOPOKD je Informacijski pooblaščenec izdal pet odločb, in sicer eno ugodilno in štiri zavrnilne. 3.2.7 OSTALI PRITOŽBENI POSTOPKI Informacijski pooblaščenec na pritožbeni stopnji odloča tudi o posebnih pravicah glede seznanitve z zdravstveno dokumentacijo po ZPacP, in sicer o: 1. pravici pacienta do seznanitve z lastno zdravstveno dokumentacijo, ki vključuje tudi pravico do pridobitve pojasnil o vsebini dokumentacije in pravico dajanja pripomb na vsebino zdravstvene dokumentacije; 2. pravici svojcev in drugih upravičenih oseb do seznanitve z zdravstveno dokumentacijo umrlega pacienta; 3. pravici določenih drugih oseb do seznanitve z zdravstveno dokumentacijo pacienta. Na pravico do seznanitve z zdravstveno dokumentacijo po ZPacP se je v letu 2024 nanašalo 28 pritožb (od tega 13 na pravico do seznanitve z lastno zdravstveno dokumentacijo in 15 na pravico do seznanitve z zdravstveno dokumentacijo po pacientovi smrti). Glede pritožb, ki jih je Informacijski pooblaščenec vodil po ZPacP, je bilo izdanih sedem odločb, od tega je bila izdana ena zavrnilna odločba glede pravice do seznanitve z zdravstveno dokumentacijo po 41. členu ZPacP ter šest odločb glede seznanitve z zdravstveno dokumentacijo po pacientovi smrti (štiri odločbe je Informacijski pooblaščenec kot neutemeljene zavrnil, dvema je ugodil). Šest vlog je s sklepom zavrgel, v sedmih primerih pa so upravljavci posredovali zahtevane podatke oziroma pritožbe posameznikov zavrnili, zaradi česar je Informacijski pooblaščenec postopke ustavil. 54 Informacijski pooblaščenec po novem na podlagi četrtega odstavka 41. člena ZVOP-2 odloča tudi o pritožbah zoper odločitve upravljavcev v zvezi z zahtevami za posredovanje osebnih podatkov iz uradnih evidenc ali javnih knjig. V letu 2024 je Informacijski pooblaščenec prejel 11 tovrstnih pritožb. V štirih primerih je pritožbe iz procesnih razlogov zavrgel. Glede vseh zahtev za posredovanje osebnih podatkov tako iz uradnih evidenc ali javnih knjig kot iz drugih zbirk ima posameznik na voljo sodno varstvo. 3.2.8 SODELOVANJE PRI ČEZMEJNIH NADZORIH Splošna uredba v 7. poglavju zapoveduje tesno sodelovanje med nadzornimi organi za varstvo osebnih podatkov v državah članicah EU in EGS (Islandija, Norveška in Lihtenštajn) pri čezmejnih primerih, in sicer prek naslednjih mehanizmov: • po načelu »vse na enem mestu« (angl. one stop shop), ki predvideva, da postopek nadzora v čezmejnem primeru obdelave osebnih podatkov vodi t. i. vodilni organ in pri tem sodeluje z drugimi organi za varstvo osebnih podatkov (60. člen Splošne uredbe); • vzajemna pomoč med organi za varstvo osebnih podatkov v državah članicah EU in EGS (61. člen Splošne uredbe); • skupno ukrepanje organov za varstvo osebnih podatkov v državah članicah EU in EGS (62. člen Splošne uredbe). Sodelovanje po načelu »vse na enem mestu« se lahko začne, ko je ugotovljeno, kateri nadzorni organ bo v postopku prevzel vlogo vodilnega in kateri organ(-i) bodo sodelovali kot zadevni organ(-i). Vodilni organ prihaja iz tiste države članice EGS, kjer ima upravljavec osebnih podatkov, ki posluje čezmejno, glavno ustanovitev – sedež, ki prevzema odgovornost za obdelavo osebnih podatkov. Nadzorni organi iz drugih držav članic EGS se postopku nadzora priključijo kot zadevni organi, kadar ima upravljavec na njihovem ozemlju npr. podružnice ali poslovne enote oziroma kadar obdelava osebnih podatkov pomembno vpliva na posameznike v teh državah članicah. Glavni organ v postopku inšpekcijskega nadzora vodi sodelovanje z drugimi organi ter pripravi osnutek odločbe, zadevni organi pa lahko izrazijo svoje zadržke. V primeru nestrinjanja med vodilnim in zadevnimi organi o sporu odloči Evropski odbor za varstvo osebnih podatkov (EOVP). Sodelovanje v okviru vseh treh mehanizmov poteka prek informacijskega sistema za notranji trg (Internal Market Information System, sistem IMI) Evropske komisije; ta zagotavlja varno in zaupno komunikacijo med nadzornimi organi ter omogoča izvajanje posameznih faz in postopkov čezmejnega sodelovanja v za to določenih rokih. V letu 2024 je bil Informacijski pooblaščenec udeležen v skupno 463 postopkih sodelovanja po 60. in 61. členu Splošne uredbe v zvezi z upravljavci, ki izvajajo čezmejno obdelavo osebnih podatkov. V 157 novo pričetih postopkih sodelovanja pri čezmejnem nadzoru po 60. členu Splošne uredbe je Informacijski pooblaščenec nastopal kot zadevni organ (po 56. členu Splošne uredbe), v enem primeru pa je bil v vlogi domnevnega vodilnega organa� Informacijski pooblaščenec je leta 2024 sodeloval tudi v 287 postopkih zagotavljanja medsebojne pomoči med nadzornimi organi po 61. členu Splošne uredbe in v 19 postopkih izmenjave informacij po 60. členu. 55 Sodelovanje Informacijskega pooblaščenca v čezmejnih postopkih nadzora v letu 2024. 2024 463 POSTOPKOV 2023 524 POSTOPKOV 2022 368 POSTOPKOV 2021 216 POSTOPKOV Temelj za izvedbo čezmejnega sodelovanja po 60. členu Splošne uredbe je opredelitev vodilnega in zadevnih nadzornih organov po 56. členu Splošne uredbe. Informacijski pooblaščenec se opredeli za zadevni nadzorni organ predvsem: • ker ima upravljavec osebnih podatkov, zoper katerega teče postopek v drugi državi članici, v Sloveniji poslovno enoto ali je bil tu ustanovljen, • ker storitve upravljavca, zoper katerega teče postopek v drugi državi članici, uporabljajo posamezniki v Sloveniji in jih vprašanje domnevne kršitve varstva osebnih podatkov pomembno zadeva, tudi na primer v primerih priljubljenih ponudnikov komunikacijskih spletnih storitev, kot so Meta, Google, Amazon, Apple, X, Microsoft, TikTok itd. Postopki sodelovanja po 60. členu Splošne uredbe (»vse na enem mestu«) Na temelju postopkov določitve vodilnega in zadevnih nadzornih organov je Informacijski pooblaščenec v letu 2024 obravnaval 157 novih zadev čezmejnega sodelovanja pri nadzoru nad podjetji, ki poslujejo čezmejno, poleg postopkov, začetih pred letom 2024, ki so še v teku. V teh postopkih je pričakovan sprejem odločitve nadzornih organov po 60. členu Splošne uredbe, po načelu »vse na enem mestu«. Vodilni nadzorni organ zelo pogosto predstavlja irski nadzorni organ, pa tudi nadzorni organi Luksemburga, Francije, Nizozemske, Nemčije, Francije in Avstrije, saj imajo v teh državah pogosto glavno ustanovitev upravljavci, ki poslujejo čezmejno. V 156 čezmejnih postopkih je Informacijski pooblaščenec nastopal v vlogi zadevnega nadzornega organa. Upravljavci, ki so bili najpogosteje udeleženi v nadzornih postopkih, so vključevali ponudnike različnih spletnih storitev (aplikacij za zmenke, spletne igre, ponudnike pretočnih storitev), ponudnike somobilnosti, letalske prevoznike ter v veliki meri spletne velikane, kot so Meta, Google, Amazon itd. Primeri so zadevali različne najpogostejše kršitve, od kršitev glede ustreznega zavarovanja podatkov (med prizadetimi so bili tudi uporabniki iz Slovenije), kršitev glede izvajanja pravic posameznikov do dostopa do podatkov in izbrisa podatkov, pretirane zahteve po podatkih za identifikacijo strank, posredovanja podatkov tretjim osebam, obdelave osebnih podatkov brez ustrezne pravne podlage do neustreznega informiranja o obdelavi osebnih podatkov itd. Informacijski pooblaščenec je prejel tudi 23 prijav oziroma pritožb zoper subjekte izven Slovenije (EU in tretje države). Kadar gre v takem primeru za subjekt s sedežem v državi članici EU, Informacijski pooblaščenec pri nadzoru sodeluje z vodilnim nadzornim organom. V takem primeru je Informacijski pooblaščenec zadolžen za celotno komunikacijo s prijaviteljem, vodilni nadzorni organ glede na ustanovitev upravljavca pa je pristojen za izvedbo nadzora in sprejem ukrepov zoper takšnega upravljavca. V letu 2024 je bil Informacijski pooblaščenec v enem primeru čezmejnega sodelovanja označen kot domnevni vodilni nadzorni organ, ki naj bi vodil postopek nadzora zoper upravljavca, ki ima glavno ali 56 edino ustanovitev v Sloveniji, vendar se je po preverjanju dejstev in okoliščin ugotovilo, da Informacijski pooblaščenec v tem primeru ni dejanski vodilni nadzorni organ. V letu 2024 je bilo v čezmejnih postopkih, v katerih je sodeloval Informacijski pooblaščenec, izdanih 138 osnutkov odločb po 60. členu Splošne uredbe. 138 postopkov je bilo končanih s končno odločbo po 60. členu Splošne uredbe. Na spletni strani Evropskega odbora za varstvo podatkov je dostopen javni register končnih odločb v postopkih čezmejnega sodelovanja po 60. členu: https://edpb.europa.eu/our- work-tools/consistency-findings/register-for-article-60-final-decisions_en. Postopki »vse na enem mestu« v letu 2024. POSTOPKOV ČEZMEJNEGA SODELOVANJA 157 PRI INŠPEKCIJSKEM NADZORU NAD PODJETJI, KI POSLUJEJO ČEZMEJNO (PO NAČELU “VSE NA ENE MESTU”) Postopki zagotavljanja medsebojne pomoči med nadzornimi organi po 61. členu Splošne uredbe Informacijski pooblaščenec je leta 2024 sodeloval tudi v 287 postopkih zagotavljanja medsebojne pomoči med nadzornimi organi po 61. členu Splošne uredbe. Prejel je 271 zahtev drugih organov, od tega je v 29 primerih podal mnenje glede izvajanja določb Splošne uredbe. V 15 primerih je zahtevo za prostovoljno pomoč poslal Informacijski pooblaščenec drugim organom v EU. V enem primeru je Informacijski pooblaščenec prejel tudi formalno zahtevo za medsebojno pomoč. Postopki po 61. členu se razlikujejo glede na njihovo prostovoljno naravo v smislu formalno določenih rokov. Podrobnejši seznam postopkov je naveden v spodnji tabeli. POSTOPKOV PROSTOVOLJNE MEDSEBOJNE POMOČI MED NADZORNIMI ORGANI PO 61. ČLENU: 287 ZAHTEVE INFORMACIJSKEGA POOBLAŠČENCA - 15 ZAHTEVE DRUGIH ORGANOV - 217 PODANA MNENJA INFORMACIJSKEGA POOBLAŠČENCA - 29 19 POSTOPKOV IZMENJAVE PO 60. ČLENU Postopki prostovoljne pomoči običajno zadevajo zahteve nadzornih organov v EU za podajo pojasnil glede konkretnih čezmejnih primerov, ki jih obravnavajo, ali glede usmeritev pri obravnavi določene tematike ter posredovanje prijav, kadar je za nadzor nad obdelavo podatkov določenega zavezanca krajevno pristojen nadzorni organ v drugi državi članici. Postopki medsebojne pomoči pa običajno pomenijo zahtevo za izvedbo ukrepov zoper zavezance, ki izvajajo čezmejno obdelavo osebnih podatkov. Postopki zavezujočih mnenj po 64. členu Pomemben mehanizem za zagotavljanje skladnosti so zavezujoča mnenja EOVP po 64. členu Splošne uredbe. Zavezujoče mnenje po prvem odstavku 64. člena Splošne uredbe se lahko zahteva na osnutek odločitve posameznega nadzornega organa v zvezi s seznamom dejanj obdelave, za katere je obvezno opraviti oceno učinka, v zvezi s kodeksi ravnanja in akreditacijo, zavezujočimi poslovnimi pravili ter standardnimi pogodbenimi določili. Po drugem odstavku 64. člena pa lahko nadzorni organi v EU in EGP zahtevajo mnenje EOVP o kateri koli zadevi splošne uporabe ali kateri koli zadevi z učinkom v več kot eni državi članici. Nabor vprašanj, ki jih lahko postavijo nadzorni organi, pri tem ni omejen. 57 V letu 2024 je EOVP sprejel naslednja pomembnejša zavezujoča mnenja: • Mnenje št. 28/2024 o nekaterih vidikih varstva osebnih podatkov, povezanih z obdelavo osebnih podatkov v okviru modelov umetne inteligence; • Mnenje št. 22/2024 o nekaterih obveznostih, ki izhajajo iz sodelovanja z obdelovalci in podobdelovalci; • Mnenje št. 11/2024 o uporabi tehnologij za prepoznavanje obrazov za pospešitev pretoka letaliških potnikov; • Mnenje št. 8/2024 o veljavnosti privolitve, dane v okviru modelov »privoli ali plačaj«, ki jih uporabljajo velike spletne platforme; • Mnenje št. 4/2024 o pojmu glavne ustanovitve upravljavca v Evropski uniji v skladu s točko a šestnajstega odstavka 4. člena Splošne uredbe o varstvu podatkov. Mnenja so vsebinsko nekoliko podrobneje opisana v poglavju 3.6.1 Sodelovanje v Evropskem odboru za varstvo podatkov. Postopki spora po 65. členu in nujni postopki po 66. členu V letu 2024 v nasprotju s preteklimi leti ni bila sprejeta nobena odločitev, ki bi bila rezultat postopka spora pred EOVP po 65. členu ali nujnega postopka po 66. členu Splošne uredbe. Ključne sodbe Sodišča EU Leta 2024 je Sodišče EU glede delovanja nadzornih organov in njihove obveznosti izvrševanja nadzornih pooblastil odločalo v zadevi TR proti deželi Hessen (C-768/21). Sodišče je poudarilo, da nadzorni organ, tudi po tem, ko je ugotovil kršitev varstva osebnih podatkov, ni dolžan izvajati svojih popravnih pooblastil, zlasti naložiti upravne globe, kadar takšno ukrepanje ni primerno, potrebno ali sorazmerno s kršitvijo Splošne uredbe. Nadzorni organ se torej lahko odloči, da upravljavcu podatkov po kršitvi podatkov ne bo naložil globe, še posebej, če je upravljavec že sam sprejel potrebne ukrepe za odpravo kršitve in preprečitev njene ponovitve. 3�2�9 PREKRŠKOVNI POSTOPKI Informacijski pooblaščenec je zaradi suma kršitev določb ZVOP-1 oziroma ZVOP-2 v letu 2024 uvedel 105 postopkov o prekršku, od tega 39 zoper pravne osebe javnega sektorja in njihove odgovorne osebe, 28 zoper pravne osebe zasebnega sektorja in njihove odgovorne osebe, 38 pa zoper posameznike. Med slednje so vključeni tudi postopki zoper odgovorne osebe državnih organov in samoupravnih lokalnih skupnosti, saj v skladu z ZP-1 Republika Slovenija in samoupravne lokalne skupnosti za prekrške ne odgovarjajo, odgovarjajo le njihove odgovorne osebe� Za ugotovljeni prekršek lahko prekrškovni organ v skladu s 53. členom ZP-1 izreče opozorilo, če je storjeni prekršek neznaten in če pooblaščena uradna oseba oceni, da je glede na pomen dejanja opozorilo zadosten ukrep. V primeru hujšega prekrška prekrškovni organ izda odločbo o prekršku, s katero kršitelju izreče sankcijo. V skladu s 4. členom ZP-1 sta sankciji za prekršek globa in opomin, glede na 57. člen ZP-1 pa se lahko globa izreče tudi v obliki plačilnega naloga. Informacijski pooblaščenec je v prekrškovnih postopkih v letu 2024 izdal: • 91 odločb o prekršku (47 glob in 44 opominov) in • 39 opozoril� 58 Poleg opozoril, ki so bila izrečena v prekrškovnih postopkih, je Informacijski pooblaščenec v okviru postopkov inšpekcijskega nadzora v skladu z načelom ekonomičnosti izrekel tudi 33 opozoril po 53. členu ZP-1. Šest postopkov o prekršku je Informacijski pooblaščenec ustavil. V zvezi z 91 odločbami, ki so po ZP-1 najprej izdane brez obrazložitve, je bilo na podlagi napovedi zahtev za sodno varstvo izdanih sedem odločb z obrazložitvijo, pri čemer so po prejemu odločbe z obrazložitvijo vsi kršitelji vložili zahtevo za sodno varstvo. Kršitelji so torej zoper izdane odločbe o prekršku vložili sedem zahtev za sodno varstvo (zoper 7,69 % odločb). Šest zahtev za sodno varstvo je bilo vloženih zoper odločbe, s katerimi je Informacijski pooblaščenec kršiteljem izrekel globe, ena zahteva pa za sodno varstvo zoper odločbo, s katero je bil izrečen opomin. Relativno majhen delež vloženih zahtev za sodno varstvo kaže na to, da storilci storjene prekrške priznavajo in se zavedajo svoje odgovornosti. Naslednja preglednica prikazuje, na katere kršitve so se nanašali uvedeni prekrškovni postopki v letu 2024. KVrršsittav ek rvšairtvse Število kršitev (v okviru enega tva osebnih podatkov v letu 2024. postopka je lahko več kršitev) Nezakonita obdelava osebnih podatkov in kršitev temeljnih načel za obdelavo (8. člen ZVOP-1 ter 5., 6., 7. in 9. člen Splošne uredbe) 61 Neustrezno zavarovanje osebnih podatkov (24. in 25. člen ZVOP-1) 15 Kršitve določb v zvezi z izvajanjem videonadzora (74., 75., 76. in 77. člen ZVOP-1 ter 76., 78. in 80. člen ZVOP-2) 11 Neizpolnjevanje ukrepov, izrečenih v postopkih inšpekcijskega nadzora (kršitev drugega odstavka 29. člena ZIN) 2 Nezakonita obdelava osebnih podatkov skladno z ZVOPOKD (6. člen ZVOPOKD) 2 S sprejetjem novega ZVOP-2 je Informacijski pooblaščenec postal pristojen tudi za izrekanje sankcij za kršitve, ki jih predpisuje Splošna uredba o varstvu podatkov. Te kršitve se skladno z določbami ZVOP-2 pravnim osebam, samostojnim podjetnikom posameznikom in posameznikom, ki samostojno opravljajo dejavnost, izrekajo kot globe za prekrške. Splošna uredba o varstvu podatkov za kršitve te uredbe, ki so jih storile odgovorne osebe, sankcij ne predpisuje, ZVOP-2 pa je predpisal tudi sankcije, ki se za kršitve Splošne uredbe o varstvu podatkov izrekajo odgovornim osebam pravih oseb, samostojnim podjetnikom posameznikom ali posameznikom, ki samostojno opravljajo dejavnost, ter odgovornim osebam v državnih organih ali organih samoupravnih lokalnih skupnosti. ZVOP-2 je za nekatere kršitve Splošne uredbe o varstvu osebnih podatkov predpisal tudi sankcije za posameznike. Leta 2024 je Informacijski pooblaščenec prejel osem sodb, s katerimi so okrajna sodišča odločila o zahtevah za sodno varstvo, ki so jih storilci vložili zoper odločbe o prekrških, izdane v letih 2020, 2021 in 2022: • zahtevi za sodno varstvo je bilo v celoti ugodeno; odločba se je v celoti spremenila tako, da se je postopek ustavil – 5, • zahteva za sodno varstvo je bila zavrnjena kot neutemeljena – 3. 3�2�10 IZBRANI PRIMERI OBDELAVE OSEBNIH PODATKOV V nadaljevanju so predstavljeni nekateri primeri, v zvezi s katerimi je Informacijski pooblaščenec prejel večje število prijav, pritožb, uradnih obvestil in vprašanj. 59 Zbiranje osebnih podatkov pri nagradni igri Informacijski pooblaščenec je prejel prijavo, iz katere izhaja, da naj bi organizator nagradne igre pogojeval sodelovanje v nagradni igri z oddajo soglasja za neposredno trženje. Uvodoma je Informacijski pooblaščenec izpostavil, da sodelovanje posameznika v nagradni igri ni mogoče brez obdelave osebnih podatkov (npr. zbiranje prijav, izbor nagrajenca, obveščanje nagrajenca), za te obdelave pa mora obstajati ustrezna pravna podlaga. Kadar je privolitev za neposredno trženje postavljena kot pogoj za sodelovanje v nagradni igri, zato verjetno ne gre za prisilo in s tem za neveljavno privolitev v sodelovanje v nagradni igri ali za prisilo v podajo privolitve v neposredno trženje. Privolitev v neposredno trženje, kot podlaga za obdelavo osebnih podatkov, je namreč prostovoljna in svobodna, saj s tem posameznik ne zapade v slabši položaj. Morebitna posledica, da posameznik brez podaje privolitve v neposredno trženje ne bo mogel sodelovati v nagradni igri, posameznika nedopustno ne sili v podajo privolitve. Gre namreč za zakonito izvajanje civilnega instituta javne obljube nagrade, kjer je celo z zakonom predvideno, da lahko tisti, ki javno obljubi nagrado, za to postavi določene pogoje. Zgornje tolmačenje je načeloma skladno tudi s četrtim odstavkom 7. člena Splošne uredbe, ki določa, da se pri ugotavljanju, ali je bila privolitev dana prostovoljno, med drugim zlasti upošteva, ali je izvajanje pogodbe, vključno z zagotavljanjem storitve, pogojeno s privolitvijo v obdelavo osebnih podatkov, ki ni potrebna za izvedbo zadevne pogodbe. Sodelovanje v nagradni igri namreč ni pravica posameznikov sama po sebi, ampak je njihova pravica sodelovanje pod istimi pogoji, pri čemer pogoje postavi tisti, ki nagradno igro razpiše in izvaja. Informacijski pooblaščenec postopka inšpekcijskega nadzora ni uvedel, upoštevajoč stališče, da sme organizator za sodelovanje v nagradni igri postaviti kateri koli dopusten pogoj – tak pogoj je lahko na primer tudi privolitev posameznika v neposredno trženje (v takem primeru privolitev v neposredno trženje sploh omogoča sodelovanje v nagradni igri) –, v konkretnem primeru pa je bil namen privolitve tudi transparentno predstavljen posamezniku. Objava osebnih podatkov sodnikov na družbenem omrežju X Na platformi X je bilo zaznanih več objav uporabnikov, v katerih so bili objavljeni osebni podatki (ime, naslov prebivališča in EMŠO) upokojenih vrhovnih in višjih sodnikov in sodnic ter nekdanje državne tožilke. Uporabnik platforme X je svoji objavi priložil sken sklepa Višjega sodišča, v katerem so v uvodu sklepa zapisani in v objavi razvidni osebni podatki strank postopka, njihov EMŠO in naslov prebivališča, ki so bili sicer prevlečeni s črnim flomastrom, vendar so bili ob povečavi podatki vidni s prostim očesom. Drug uporabnik je v zvezi z objavo, »da se lahko ljudstvo legitimno odloči sodnike 'povesiti z dreves'«, dopisal osebna imena in naslove istih nekdanjih funkcionarjev, ki so bili tožene stranke v objavljenem sklepu. To objavo je nato na svojem profilu delilo več uporabnikov. Informacijski pooblaščenec je uvedel postopek inšpekcijskega nadzora zoper prvega uporabnika in ugotovil, da zavezanec pred objavo obravnavane vsebine ni izvedel ustreznih tehničnih in organizacijskih ukrepov, s katerimi bi zagotavljal zaupnost in ustrezno raven varnosti osebnih podatkov posameznikov, ki jih je na opisani način obdeloval in razkrival z objavo na spletu, s čimer je kršil določbe 32. člena, v povezavi z določbami 24. in 25. člena Splošne uredbe, zaradi česar je pri objavi sklepa prišlo do nepooblaščenega razkrivanja osebnih podatkov posameznikov, saj za takšno njihovo razkrivanje v postopku ni bil ugotovljen nobeden od pogojev iz 6. člena Splošne uredbe. Z namenom takojšnje odprave ugotovljenih nepravilnosti je Informacijski pooblaščenec s svojimi ugotovitvami nemudoma seznanil tudi irski nadzorni organ za varstvo osebnih podatkov, ki skladno z določbami V. poglavja Splošne uredbe nastopa v vlogi vodilnega nadzornega organa v primerih kršitev, ki zadevajo platformo X. Po njihovem posredovanju je Informacijski pooblaščenec zahtevo za odstranitev 60 nezakonito objavljenih osebnih podatkov posredoval platformi X, ki je zaradi ugotovljenih kršitev objavo osebnih podatkov odstranila in s tem preprečila nadaljnjo obdelavo obravnavanih osebnih podatkov. Po odpravljeni kršitvi je bil postopek ustavljen. Videonadzor na osnovni šoli Informacijski pooblaščenec je vodil postopek inšpekcijskega nadzora, v katerem je preverjal zakonitost izvajanja videonadzora na osnovni šoli. Zavezanec pred uvedbo ni izvedel in pisno dokumentiral presoje potrebnosti uvedbe videonadzora, in to za vsako lokacijo, kamero in za vsak namen (snemanje, prenos žive slike) posebej, ki bi vsebovala tudi pojasnilo, zakaj namena ni mogoče zagotoviti z milejšimi posegi v zasebnost; če bi bila takšna presoja izvedena in uporaba kamere ne bi bila ustrezno utemeljena, bi moral kamero nemudoma odstraniti. Ugotovljeno je bilo, da je zavezanec predvidel obvestilo, ki zadošča zahtevam iz 76. člena ZVOP-2 in ga ustrezno namestil, vse zahtevane informacije iz prvega in drugega odstavka 13. člena Splošne uredbe pa niso bile objavljene na spletni strani šole. Prav tako zavezanec ni izpolnil svoje obveznosti do zaposlenih glede obveščanja o uvedbi videonadzora, saj elektronsko sporočilo ni vsebovalo vseh zahtevanih informacij in rezultatov presoje. Zavezanec nadalje ni izkazal, s kakšnim namenom zagotavlja neposredno spremljanje dogajanja pred kamerami, pri čemer je lahko prenos žive slike na eni lokaciji osnovne šole spremljala ravnateljica, na drugi pa hišnik. Spremljanje žive slike videonadzornega sistema je namenjeno izključno varovanju premoženja ter zagotavljanju varnosti ljudi, ki je zaradi konkretnih okoliščin takšno, da ga je mogoče doseči le z neprekinjenim spremljanjem žive slike med delovnim procesom (ne z občasnimi, naključnimi vpogledi) s strani za to pooblaščene osebe. Ravnateljica in hišnik sta zadolžena tudi in predvsem za izpolnjevanje drugih delovnih obveznosti, pri čemer njune delovne naloge ne obsegajo stalnega spremljanja žive slike, kar pa je v nasprotju z dopustnimi nameni izvajanja videonadzora. Podatki za dostop do sistema so bili navedeni v prilogi Pravilnika o izvajanju videonadzora, ki je bil predložen v postopku. Zavezanec je bil opozorjen, da je z vidika zavarovanja osebnih podatkov navajanje uporabniškega imena in gesla za dostop do sistema v prilogi Pravilnika povsem nesprejemljivo. Dostopni podatki uporabnika s posebnimi pravicami (admin) bi se morali hraniti v zapečateni kuverti v sefu in se uporabljati samo v izjemnih primerih, slednje pa bi moralo biti tudi dokumentirano. Upravljalec mora zagotoviti sledljivost obdelave teh podatkov na ravni posameznega uporabnika in voditi dnevnik obdelave skladno z določbami 22. člena ZVOP-2 V postopku je bilo nadalje ugotovljeno, da upravljalec ni izpolnil obveznosti določitve enakega roka hrambe, saj je v dokumentih navajal različne roke, ki pa niso bili daljši od enega leta od nastanka posnetka. Obdelavo osebnih podatkov je v imenu upravljalca izvajal pogodbeni obdelovalec, s katerim ima zavezanec sklenjeno pogodbo o rednem vzdrževanju, vendar pa predmet pogodbe ne vključuje vseh nalog oziroma obdelav osebnih podatkov, ki jih v imenu zavezanca opravlja obdelovalec, in ne vključuje vseh elementov, ki jih določa 28. člen Splošne uredbe; posebna pogodba o obdelavi osebnih podatkov z obdelovalcem ni bila sklenjena. Tekom postopka so bila s strani zavezanca predložena dokazila, vse nepravilnosti pa so bile odpravljene. Predložena je bila tudi vsa dokazna dokumentacija, s katero zavezanec dokazuje vzpostavitev zakonitega stanja glede izvajanja videonadzora. 61 Objava imena stranke v odgovoru na spletno oceno Na spletnem mestu Google ocen (Google Customer Reviews) se je podjetje na slabo vrednostno oceno, objavljeno pod psevdonimom, odzvalo z objavo imena in priimka avtorja ocene, pridobljenega prek podatkov o plačilu prek spletne banke. Narava storitve na spletnem mestu Google ocen je taka, da je na eni strani namenjena strankam podjetja, torej dejanskim uporabnikom storitev in izdelkov podjetja, ki se sami povsem prostovoljno odločijo za njeno uporabo ob spoštovanju pogojev storitve in politike zasebnosti, da lahko svojo izkušnjo s podjetjem javno delijo z drugimi potencialnimi strankami, ki iščejo podobne storitve in se za legitimnost oziroma verodostojnost na spletu objavljene ocene načeloma že sami podpišejo na način, da jih je mogoče prepoznati kot stranke (sicer bi se lahko objavljale tudi lažne ocene tretjih oseb, ki nikoli niso bile stranke), na drugi strani pa so namenjene podjetjem, da jim pomagajo graditi spletni ugled oz. jim dajejo priložnost za konstruktiven odziv na pozitivne in negativne ocene strank. Google ima stroge pravilnike o tem, katere vrste ocen je mogoče odstraniti in katerih ne, ter običajno odstrani le ocene, ki kršijo politiko ocenjevanja (npr. lažne ocene), ne izbriše pa slabih, vendar legitimnih ocen. Zato je za podjetje izredno pomembno, da redno spremlja svoje ocene, preverja njihovo legitimnost, da so torej res od njegovih strank in ne lažne, ter da se nanje čim hitreje odziva. Informacijski pooblaščenec na podlagi prejete prijave, v kateri je posameznik zatrjeval, da je podjetje nezakonito javno objavilo njegovo ime v odzivu na njegovo spletno oceno podjetja, postopka nadzora po uradni dolžnosti ni uvedel, saj je zadevno podjetje podatke zbralo v okviru zakonitega opravljanja dejavnosti, ki jih lahko uporablja za zakonito obdelavo osebnih podatkov. Tako obdelavo v skladu s 85. členom Splošne uredbe in peto točko drugega odstavka 73. člena ZVOP-2 lahko pomeni tudi zakonita objava mnenja ali vrednostne ocene v okviru svobode izražanja za namene obveščanja javnosti, kjer je objava nujna za utemeljitev tega mnenja ali vrednostne ocene. Kadar se osebni podatki obdelujejo za namene obveščanja javnosti v okviru svobode izražanja, privolitev posameznika tako ni potrebna. Zahteva po posredovanju naslova prebivališča pri spletnem nakupu in osebnem prevzemu Informacijski pooblaščenec je vodil postopek inšpekcijskega nadzora zoper zavezanca, ker naj bi bilo treba v njegovi spletni trgovini ob nakupu izdelka, tudi če posameznik izbere možnost osebnega prevzema oziroma če nadaljuje brez registracije, »kot gost«, v obrazec vnesti podatek o prebivališču, pri tem pa ni pojasnjeno, za kateri namen je vnos podatka potreben. Nakup blaga ali naročilo storitve prek spleta se praviloma obravnava kot pogodba, sklenjena na daljavo, ki jo ureja Zakon o varstvu potrošnikov. Pravna podlaga za obdelavo naslova prebivališča v spletnem obrazcu za nakup izdelka na spletni strani je (b) točka prvega odstavka 6. člena Splošne uredbe (izvajanje pogodbe). Zavezanec kot pogodbena stranka mora izpolniti svojo obveznost (izročitev blaga) po kupoprodajni pogodbi točno določenemu kupcu, v zvezi s katerim za ta namen obdeluje njegove osebne podatke, ki so nujni za identifikacijo. Glede nakupovanja v spletni trgovini kot registrirani uporabnik ali »kot gost« je razlika le v tem, da v primeru registracije sistem že hrani vse potrebne podatke kupca in jih ni treba vsakič znova izpolnjevati, v obeh primerih pa se obdeluje enak nabor osebnih podatkov. V primeru osebnega prevzema se naslov obdeluje za namen identifikacije kupca ter za primer odstopa od pogodbe po ZVPot-1. Zahteva po poročilu internega organa za prepoznavanje in preprečevanje mobinga na delovnem mestu Posameznik je od delodajalca (javni zavod) zahteval kopijo poročila internega organa za prepoznavanje in preprečevanje mobinga na delovnem mestu, pri čemer je sam v postopku pred tem organom sodeloval kot domnevni povzročitelj. Poročilo je, poleg posameznikove izpovedbe, vsebovalo obsežne izpovedbe 62 prič ter sklepne ugotovitve in predloge za delodajalca. Delodajalec je zahtevo v pretežnem delu zavrnil, ker naj bi poročilo ne vsebovalo posameznikovih osebnih podatkov. Posamezniku je posredoval izključno zapise njegovega osebnega imena na več mestih, vse ostale zapise pa je prekril. Informacijski pooblaščenec je v nadzornem postopku ugotovil, da poročilo v večjem delu vsebuje izjave (opise dogodkov, opise lastnega doživljanja in mnenja o posamezniku) prič, ki se nanašajo na posameznikova ravnanja in lastnosti, zaradi česar gre za njegove osebne podatke, do katerih bi bil praviloma upravičen. Toda, ker posameznik ni upravičen do podatka o identiteti prič, je bila prijava v tem delu zavrnjena, saj zaradi konkretnih izjav prič, ki so bile v stiku s posameznikom, ter zaradi prepletenosti izjav slednjih nikakor ni bilo možno anonimizirati. Zato je Informacijski pooblaščenec delodajalcu naložil zgolj razkritje sklepnega dela poročila s končnimi ugotovitvami ter predlogi, ne pa tudi razkritja izjav prič. Posameznik je zahteval tudi sklep vodstva delodajalca, ki je bil izdan na podlagi poročila organa. Ker je sklep vseboval ukrepe, ki so se nanašali na delovnopravni položaj posameznika, je Informacijski pooblaščenec v tem delu prijavi ugodil ter delodajalcu naložil razkritje kopije celotnega sklepa. Zahteva po izbrisu poročila internega organa za prepoznavanje in preprečevanje mobinga na delovnem mestu Posameznik je od delodajalca zahteval izbris poročila internega organa za prepoznavanje in preprečevanje mobinga na delovnem mestu, pri čemer je sam v postopku pred tem organom sodeloval kot domnevni povzročitelj. Poleg tega je zahteval izbris sklepa vodstva delodajalca, ki je bil izdan na podlagi poročila. Informacijski pooblaščenec je v nadzornem postopku ugotovil, da niso bili izpolnjeni pogoji za izbris osebnih podatkov po 17. členu Splošne uredbe, ker sta bila poročilo in sklep ustvarjena in nadalje obdelovana zakonito ter še ni potekel legitimni namen njune obdelave, prav tako še ni potekel rok hrambe obeh dokumentov. Zato je bila prijava zavrnjena, delodajalcu pa niso bili naloženi popravljalni ukrepi. Zahteva po posredovanju dokumentov iz postopka pred Centrom za socialno delo (CSD) Posameznica je pri Centru za socialno delo (CSD) vložila zahtevo za posredovanje več dokumentov, med drugim tudi za pridobitev kopije prijav, ki so jih zoper njo vložili njeni sosedi, dopis Policije v zvezi z obravnavo posameznice in zaznavo socialne problematike, ki naj bi vseboval njeno diagnozo, ter zapise razgovorov z različnimi osebami znotraj prve socialne pomoči. CSD je posameznici posredoval kopije večjega števila dokumentov, v nadzornem postopku pa je bilo treba ugotoviti, ali obstajajo še drugi dokumenti, ki ustrezajo zahtevi ter ali je CSD ustrezno izvedel delni dostop na dokumentih, ki jih je posredoval posameznici. Informacijski pooblaščenec je na podlagi ogleda v prostorih CSD ugotovil, da v različnih zadevah obstaja še nekaj dokumentov, ki ustrezajo »prijavi« oziroma »pobudi« zoper njo, ter CSD naložil razkritje tako, da se prikrije identiteto prijaviteljev ter tiste njihove izjave, ki se nanašajo izključno nanje. Ugotovil je tudi, da dopis Policije ne vsebuje diagnoze v smislu konkretne strokovne ali laične opredelitve določenega zdravstvenega stanja posameznice, pač pa opis slabega socialnega stanja, na podlagi katerega je bilo moč sklepati na njeno slabo zdravstveno stanje. CSD je bilo naloženo, da posameznici razkrije ta dopis ter razne zapise razgovorov v okviru prve socialne pomoči, pri katerih je treba pred posredovanjem prekriti osebne podatke, ki se neposredno nanašajo izključno na druge osebe (npr. njihovo identiteto, njihovo stanje in ravnanje ter lastnosti, posledice dogodkov za te osebe). Upravljavec mora posamezniku omogočiti delni dostop do videoposnetka z zameglitvijo osebnih podatkov drugih oseb Upravljavec je zavrnil zahtevo prijavitelja za dostop do njegovih osebnih podatkov na videoposnetku, pri čemer se je skliceval na varstvo osebnih podatkov drugih posameznikov, ki so prisotni na tem posnetku (četrti odstavek 15. člena Splošne uredbe). Obrazložil je, da bi zameglitev osebnih podatkov drugih predstavljala nesorazmeren ukrep, ki bi bil zaradi tehnične zahtevnosti in visokih stroškov nerealen. 63 Informacijski pooblaščenec je presodil, da zgolj visoki stroški ali tehnična zahtevnost ne morejo upravičiti zavrnitve dostopa, saj so sodobna orodja za zameglitev osebnih podatkov široko dostopna in cenovno sprejemljiva, postopek pa je tehnično izvedljiv. Vsak upravljavec, ki zbira in obdeluje osebne podatke, je dolžan zagotavljati uresničevanje pravic posameznikov, vključno s pravico do dostopa do lastnih osebnih podatkov. To je še posebej pomembno pri obsežnem videonadzoru, pri katerem mora upravljavec uporabiti ustrezne tehnične rešitve, da lahko posamezniku omogoči uresničitev njegove pravice do dostopa. Informacijski pooblaščenec je zato upravljavcu odredil, da prijavitelju omogoči dostop do zahtevanega videoposnetka, pri čemer morajo biti vsi osebni podatki drugih oseb ustrezno anonimizirani. Upravljavec mora posamezniku omogočiti dostop do celotnih telefonskih številk brez zakritja zadnjih treh mest Prijavitelj je od upravljavca zahteval izpis podatkov o prejetih in poslanih sporočilih med dvema telefonskima številkama. Upravljavec mu je najprej posredoval razčlenjen račun s prekritimi zadnjimi tremi mesti telefonskih številk kličočih, nato pa zavrnil dodatno zahtevo za razkritje celotnih številk, sklicujoč se na zakonodajo o varstvu zasebnosti v elektronskih komunikacijah (Zakon o elektronskih komunikacijah – ZEKom-2, Splošna uredba, Direktiva o e-zasebnosti). Informacijski pooblaščenec je pojasnil, da je Direktiva o e-zasebnosti res lex specialis v razmerju do Splošne uredbe, vendar le v primerih, ko ureja isto vsebino z enakim ciljem, pravica do dostopa do osebnih podatkov iz 15. člena Splošne uredbe pa spada med pravice posameznikov, ki jih ta direktiva ne ureja. Poleg tega je zavzel stališče, da določbe 177. in 207. člena ZEKom-2 ne predstavljajo omejitve te pravice v smislu 23. člena Splošne uredbe, saj ne vsebujejo jasne in predvidljive določbe, ki bi izrecno omejevala dostop do osebnih podatkov. Nadalje je poudaril razliko med pravico do dostopa do osebnih podatkov in pravico do razčlenjenega računa, saj slednja služi nadzoru nad stroški storitev, medtem ko pravica dostopa posamezniku omogoča seznanitev z obdelavo ter preverjanje njene zakonitosti. Ker je prijavitelj že poznal identiteto druge osebe, s katero je komuniciral, Informacijski pooblaščenec prav tako ni ugotovil, da bi razkritje celotnih telefonskih številk negativno vplivalo na njeno pravico do zasebnosti. Omejitev dostopa s prekritjem zadnjih treh številk na podlagi četrtega odstavka 15. člena Splošne uredbe bi bila zato nesorazmerna in nepotrebna. Informacijski pooblaščenec je zavrnil tudi argument, da operater ni dolžan tehtati vpliva razkritja na pravice drugih posameznikov. Kot upravljavec osebnih podatkov mora namreč presojati med različnimi pravicami in interesi ter zagotavljati skladnost s predpisi o varstvu osebnih podatkov. Poleg tega pravice posameznikov ne smejo biti omejene zgolj zaradi administrativnih ali operativnih razlogov upravljavca. Na podlagi teh ugotovitev je Informacijski pooblaščenec odredil, da mora upravljavec prijavitelju posredovati zahtevane osebne podatke. Obdelava osebnih podatkov s strani tujih javnih organov Informacijski pooblaščenec je obravnaval pritožbo slovenskega državljana zoper italijanski javni organ, in sicer občinsko policijo, prisojno za obravnavo nekaterih cestnoprometnih prekrškov. Očitana kršitev se je nanašala na domnevno nezakonito pridobivanje osebnih podatkov iz matičnega registra vozil in prometnih listin (MRVL) oziroma na kršitev določb nacionalne zakonodaje, ki je implementirala Direktivo (EU) 2015/413 Evropskega parlamenta in Sveta z dne 11. marca 2015 o lažji čezmejni izmenjavi informacij o prometnih prekrških, povezanih z varnostjo v cestnem prometu. Informacijski pooblaščenec je v postopku ugotovil, da je v zadevi na podlagi drugega odstavka 55. člena Splošne uredbe za opravljanje nadzora obdelave osebnih podatkov s strani italijanskih javnih organov izključno pristojen italijanski nadzorni organ, saj je konkretni javni organ deloval oziroma 64 podatke obdeloval na podlagi točke c oziroma e prvega odstavka 6. člena Splošne uredbe. Pritožbo je torej odstopil italijanskemu nadzornemu organu prek informacijskega sistema Evropske komisije IMI (European Commision Internal Market Information System) ter o tem obvestil pritožnika. Italijanski nadzorni organ pa je pritožnika prek Informacijskega pooblaščenca še obvestil, da so na podlagi njegove pritožbe začeli preiskavo zoper zadevni subjekt in da ga bodo obvestili o ugotovitvah postopka. Glede na to, da Informacijski pooblaščenec po določbi drugega odstavka 55. člena Splošne uredbe ni bil pristojen za obravnavo pritožbe, je zadevo zaključil. 3�3 DRUGI UPRAVNI POSTOPKI 3�3�1 DOPUSTNOST IZVAJANJA BIOMETRIJSKIH UKREPOV Biometrijske ukrepe urejajo 81., 82., 83. in 84. člen ZVOP-2. Obdelava biometričnih osebnih podatkov v nasprotju z določbami navedenih členov ZVOP-2 je prepovedana. Če drug zakon določa obdelavo biometričnih osebnih podatkov, mora poleg pogojev za zakonitost obdelave osebnih podatkov iz drugega ali tretjega odstavka 6. člena ZVOP-2 določiti tudi pogoje za njeno uporabo, lahko pa uporabo biometričnih osebnih podatkov tudi omeji. Prepovedano je povezovati zbirke biometričnih osebnih podatkov z drugimi zbirkami in omogočati prenosljivost teh podatkov, razen če to določa drug zakon ali v to privoli posameznik, na katerega se biometrični osebni podatki nanašajo. a) Biometrija v zasebnem sektorju Obdelava biometričnih osebnih podatkov v zasebnem sektorju se lahko skladno s 83. členom ZVOP-2 izvaja le, če je to nujno potrebno za opravljanje dejavnosti, za varnost ljudi, varnost premoženja, varovanje tajnih podatkov ali varovanje poslovnih skrivnosti, pri tem morajo biti dejanja obdelave biometričnih osebnih podatkov potrjena v skladu z 52. členom ZVOP-2 (gre za vzpostavitev mehanizmov certificiranja za varstvo podatkov ter pečatov in označb za varstvo podatkov za izkazovanje, da so dejanja obdelave s strani upravljavcev in obdelovalcev v skladu s Splošno uredbo). Oseba zasebnega sektorja lahko obdeluje biometrične osebne podatke tudi zaradi varstva točnosti identitete svojih strank (če to za prej navedene namene varovanja interesov določa drug zakon, če to posebej določa pogodba ali če so stranke dale izrecno privolitev). Oseba zasebnega sektorja lahko biometrične osebne podatke obdeluje tudi pod pogojem, če so dejanja obdelave teh podatkov stranke pod njenim izključnim nadzorom ali njeno izključno oblastjo ter potrjena v skladu s pristojnostmi nadzornega organa za potrjevanje iz 52. člena ZVOP-2 in če omogoča stranki, da izrecno dovoli obdelavo teh podatkov drugim obdelovalcem in upravljavcem za namen dokazovanja točnosti svoje identitete. V tem primeru stranki izjemoma ni treba pridobiti odločbe Informacijskega pooblaščenca. Pred začetkom obdelave biometričnih osebnih podatkov morajo biti posamezniki o tem pisno obveščeni, kadar gre za zaposlene, pa mora upravljavec z njimi izvesti predhodno posvetovanje o sorazmernosti obdelave. ZVOP-2 prepoveduje tudi pridobivanje biometričnih osebnih podatkov v zvezi s trženjem, in sicer določa, da se v okviru trženja ali druge podobne poslovne dejavnosti ne sme zahtevati, pridobiti ali nadalje obdelovati biometričnih osebnih podatkov v zamenjavo za določene storitve, četudi so te storitve za posameznika, na katerega se osebni podatki nanašajo, brezplačne. Oseba zasebnega sektorja, ki namerava obdelovati biometrične osebne podatke, mora pred začetkom obdelave Informacijskemu pooblaščencu posredovati opis nameravanih obdelav in razloge za njihovo uvedbo (obrazec PRIJAVA BIOMETRIJSKIH UKREPOV – VLOGA ZA IZDAJO ODLOČBE 65 INFORMACIJSKEGA POOBLAŠČENCA PO ZVOP-23). Informacijski pooblaščenec po prejemu potrebnih informacij v dveh mesecih odloči, ali je biometrija dovoljena v skladu z določbami ZVOP- 2. Rok se ob upoštevanju zapletenosti predvidene obdelave lahko podaljša za največ dva meseca. Upravljavec osebnih podatkov sme izvajati biometrijske ukrepe šele po prejemu odločbe Informacijskega pooblaščenca, s katero je izvajanje biometrijskih ukrepov dovoljeno. Zoper odločbo Informacijskega pooblaščenca ni pritožbe, dovoljen pa je upravni spor. Ob tem velja izpostaviti, da 121. člen ZVOP-2 v prehodnih določbah glede potrjevanja določa, da Slovenska akreditacija začne izvajati postopke akreditacije 1. 1. 2024, do začetka izvajanja postopkov akreditacije po tem zakonu pa se šteje, da so dejanja obdelave upravljavcev in obdelovalcev, ki morajo po določbah tega zakona za dejanja obdelave pridobiti certifikat, skladna z merili iz mehanizma potrjevanja. Upravljavci vloge za potrjevanje in vloge po drugem stavku prvega odstavka 83. člena tega zakona vložijo v roku šestih mesecev po poteku roka iz prvega odstavka tega člena. Obdelave, za katere je bila v roku iz prejšnjega stavka dana vloga za potrjevanje4, se štejejo za skladne z merili iz mehanizma potrjevanja do 31. 12. 2024. Potrjevanje bodo izvajala certifikacijska telesa, ki morajo predhodno dobiti ustrezno dovoljenje (akreditacijsko listino) v postopku akreditacije pri Slovenski akreditaciji5. Certifikacijska telesa morajo: • zadovoljivo dokazati svojo neodvisnost in strokovno znanje v zvezi z vsebino certificiranja, se zavezati, da bodo izpolnjevala relevantna merila, • vzpostaviti postopke za izdajo, redne preglede in preklic potrjevanja, pečatov in označb za varstvo podatkov, • vzpostaviti postopke in strukture za obravnavanje pritožb in • zadovoljivo dokazati, da zaradi njihovih nalog in dolžnosti ne pride do nasprotja interesov. Certifikacijska telesa morajo pripraviti merila certificiranja, ki jih pošljejo Informacijskemu pooblaščencu, ta pripravi osnutek odločbe, ki jo posreduje v mnenje Evropskemu odboru za varstvo podatkov. Ko so merila potrjena, lahko certifikacijsko telo pri Slovenski akreditaciji sproži postopek za pridobitev akreditacijske listine. Kdaj bodo ti postopki na voljo, trenutno še ni znano, informacije pa bodo objavljene na spletni strani Slovenske akreditacije. Slovenska akreditacija med drugim preveri kadrovske in finančne resurse vlagatelja, izpolnjevanje drugih pogojev in zahteve po Uredbi (ES) 765/2008, izpolnjevanje standarda ISO/IEC 17065/2012 ter dodatne zahteve za akreditacijo, ki jih določi Informacijski pooblaščenec v skladu s točko b prvega odstavka 43. člena in tretjim odstavkom 43. člena Splošne uredbe. Osnutek takšnih zahtev je Informacijski pooblaščenec poslal EOVP oktobra 2023, nanj pridobil mnenje in uredil ustrezne popravke6. Informacijski pooblaščenec je objavil tudi odgovore na pogosta vprašanja, ki bi jih lahko imele zainteresirane stranke glede dodatnih zahtev za akreditacijo7. b) Biometrija v javnem sektorju Obdelava biometričnih osebnih podatkov v javnem sektorju se lahko skladno z 82. členom ZVOP-2 določi le z zakonom, če je to nujno potrebno za varnost ljudi, varnost premoženja ali za varovanje tajnih podatkov, za identifikacijo pogrešanih ali umrlih posameznikov ali za varovanje poslovnih skrivnosti, teh namenov pa ni mogoče doseči z milejšimi sredstvi. 3 https://www.ip-rs.si/fileadmin/user_upload/doc/obrazci/ZVOP/Prijava_biometrijskih_ukrepov_-_zahteva_za_ izdajo_odlocbe_Informacijskega_pooblascenca__Obrazec_BIOM_.doc 4 Opozarjamo, da je na tem mestu v ZVOP-2 uporabljen napačen izraz »akreditacija«. 5 Slovenska akreditacija je nacionalni akreditacijski organ v skladu z Zakonom o akreditaciji, imenovan v skladu z Uredbo (ES) št. 765/2008 Evropskega parlamenta in Sveta z dne 9. julija 2008. 6 https://www.ip-rs.si/fileadmin/user_upload/doc/Dodatne%20akreditacijske%20zahteve%20Informacijskega%20 poobla%C5%A1%C4%8Denca%20za%20telesa%20za%20certificiranje_OSNUTEK.docx; angleška različica: 7 https://www.ip-rs.si/fileadmin/user_upload/doc/Odgovori%20na%20pogosta%20vpra%C5%A1anja%20 glede%20dodatnih%20zahtev%20za%20akreditacijo.docx 66 Obdelavo biometričnih osebnih podatkov v javnem sektorju je izjemoma dopustno izvajati tudi pod pogojem, da so dejanja obdelave teh podatkov potrjena v skladu s pristojnostmi nadzornega organa za potrjevanje iz 52. člena ZVOP-2 na način, ki zagotavlja obdelavo in uporabo teh podatkov posameznika pod njegovim izključnim nadzorom ali izključno oblastjo ter mu omogoča, da izrecno dovoli obdelavo teh podatkov drugim obdelovalcem in upravljavcem za namen dokazovanja točnosti svoje identitete. Obdelavo biometričnih osebnih podatkov se lahko določi tudi z zakonom, če gre za izpolnjevanje obveznosti iz obvezujoče mednarodne pogodbe ali za identifikacijo posameznikov pri prehajanju državnih meja. Obdelava biometričnih osebnih podatkov v javnem sektorju se lahko določi z zakonom tudi za namen identifikacije posameznikov pri izdaji sredstev elektronske identifikacije v skladu z zakonom, ki ureja sredstva elektronske identifikacije, in če je tako identifikacijo zahteval posameznik. V javnem sektorju se lahko z drugim zakonom izjemoma uvede obdelava biometričnih osebnih podatkov v zvezi z vstopom v stavbo ali dele stavbe; uvedba se izvede ob smiselni uporabi četrtega, petega in šestega odstavka 83. člena tega zakona, če je to nujno potrebno za varnost ljudi, varnost premoženja, varovanje tajnih podatkov ali varovanje poslovnih skrivnosti. Slednje pomeni, da je za te namene treba pridobiti odločbo Informacijskega pooblaščenca, posamezniki morajo biti o tem pisno obveščeni, kadar gre za zaposlene, pa mora upravljavec z njimi izvesti predhodno posvetovanje o sorazmernosti obdelave. Informacijski pooblaščenec je leta 2024 prejel tri vloge za izdajo dovoljenja za uvedbo biometrijskih ukrepov v zasebnem sektorju ter eno vlogo za izdajo dovoljenja za uvedbo biometrijskih ukrepov v javnem sektorju. Uvedbo biometrijskih ukrepov je zaradi varstva točnosti identitete strank vlagatelja v zasebnem sektorju v dveh primerih odobril, v enem primeru pa je vlagatelj zahtevo umaknil, zato je bil postopek s sklepom ustavljen. Zahtevo za uvedbo biometrijskih ukrepov v javnem sektorju je Informacijski pooblaščenec z odločbo zavrnil, saj vlagatelj kljub pozivu ni izkazal obstoja potrebne posebne zakonske podlage za uvedbo obdelave biometričnih osebnih podatkov, ki je v javnem sektorju potrebna glede na določbo prvega odstavka 82. člena ZVOP-2. 3�3�2 POVEZOVANJE ZBIRK OSEBNIH PODATKOV Informacijski pooblaščenec je bil po ZVOP-1 pristojen za izdajo predhodnega dovoljenja za povezovanje zbirk osebnih podatkov, zato je te postopke vodil do uveljavitve ZVOP-2 (torej do 26. 1. 2023). Povezovanje zbirk podatkov je v 12. točki 5. člena ZVOP-2 opredeljeno kot avtomatsko in elektronsko povezovanje zbirk, ki jih upravljajo upravljavci za različne namene ali po različnih pravnih podlagah, in sicer tako, da se določeni osebni podatki samodejno prenesejo ali vključijo v drugo povezano zbirko ali več povezanih zbirk, tudi če se izvaja le enosmeren pretok osebnih podatkov; zbirke so povezane, če se določeni osebni podatki iz ene zbirke neposredno vključijo v drugo zbirko in se tako druga zbirka poveča ali posodobi ali pa se osebni podatki v njej zaradi točnosti spremenijo. Povezovanje zbirk osebnih podatkov je v ZVOP-2 urejeno v 87. členu, ki opredeljuje povezovanje zbirk zgolj določenih podatkov iz uradnih evidenc in knjig. 87. člen ZVOP-2 določa, da kadar se posebne vrste osebnih podatkov, osebni podatki v zvezi s kazenskimi obsodbami in prekrški, podatki o dohodkih v skladu z zakonom, ki ureja dohodnino, podatki o premoženju posameznika v skladu z zakonom, ki ureja uveljavljanje pravic iz javnih sredstev, podatki o nepremičninah v lasti posameznika v skladu z drugimi zakoni, podatki oziroma informacije o kreditni sposobnosti v skladu z zakonom, ki ureja centralni kreditni register, ter uradne evidence v skladu z zakonom, ki ureja naloge in pooblastila policije, in zakonom, ki ureja preprečevanje pranja denarja in financiranja terorizma, obdelujejo v uradnih evidencah ali javnih knjigah, se jih lahko povezuje med seboj ali z drugimi zbirkami samo, če taka povezovanja izrecno določa zakon. 67 V primeru povezovanja uradnih evidenc ali javnih knjig je glede na ustaljeno prakso v zakonu predvsem potrebno določiti: • povezovalni znak, • namen povezovanja, • upravljavca(-e) povezanih evidenc ter • katere podatke se iz povezane zbirke oziroma povezanih zbirk pridobi. Pri urejanju povezovanja v zakonu je treba upoštevati zahtevo tretjega odstavka 24. člena ZVOP- 2, in sicer mora predlagatelj predlogu zakona priložiti t. i. zakonodajno oceno učinka8. Po proučitvi ocene učinka nadzorni organ poda mnenje glede obdelave osebnih podatkov, glede katerega se mora predlagatelj zakona opredeliti. Upravljavec oziroma obdelovalec mora pred dejanskim začetkom povezovanja zbirk izdelati oceno učinka po 35. členu Splošne uredbe (t. i. projektno oceno učinka glede izvedbenih vidikov) in se predhodno posvetovati z Informacijskim pooblaščencem (36. člen Splošne uredbe). Informacijski pooblaščenec z uveljavitvijo ZVOP-2 torej ne izdaja več odločb glede povezovanja zbirk, temveč je njegova vloga predvsem podaja mnenja na prejete zakonodajne in projektne ocene učinka (pred ureditvijo pravne podlage in izvedbo povezovanja); ko se izvaja obdelava osebnih podatkov s povezovanjem, ima Informacijski pooblaščenec vlogo inšpekcijskega in prekrškovnega organa. ZVOP-2 povezave uradnih evidenc in javnih knjig, ki ne vsebujejo posebej navedenih vrst osebnih podatkov, izrecno ne ureja, kar pomeni, da so povezave drugih uradnih evidenc in javnih knjig dopustne pod pogojem, če za takšno obdelavo obstaja katera od pravnih podlag iz prvega odstavka 6. člena Splošne uredbe in če je zagotovljena ustrezna varnost osebnih podatkov, vključno z zagotavljanjem dnevnika obdelave iz 22. člena ZVOP-2. Splošna uredba opredeljuje prenos podatkov v tretje države in mednarodne organizacije v V. poglavju. Prenos je dovoljen, če obstaja ena izmed naslednjih pravnih podlag: 1. Evropska komisija izda odločbo, da država, ozemlje, določen sektor v državi ali mednarodna organizacija, v katero se osebni podatki prenašajo, zagotavlja ustrezno raven njihovega varstva (45. člen); 2. izvoznik podatkov zagotovi ustrezne zaščitne ukrepe na podlagi 46. in 47. člena; 3. gre za posebne primere, ki so določeni v 49. členu, v katerih so mogoča odstopanja. Po Splošni uredbi dovoljenje Informacijskega pooblaščenca za prenos podatkov v tretje države ali mednarodne organizacije v večini primerov ni več potrebno. Pridobitev dovoljenja oziroma odločbe nadzornega organa glede ustreznosti zaščitnih ukrepov iz 46. člena, ki predstavljajo podlago za prenos podatkov, je potrebna le še takrat: • ko gre za prenos podatkov v tretjo državo na podlagi pogodbenih določil, ki jih kot ustrezne zaščitne ukrepe sama določita izvoznik in uvoznik podatkov (točka (a) tretjega odstavka 46. člena); • ko gre za prenos podatkov med javnimi organi na podlagi določb, ki se vstavijo v upravne dogovore (točka (b) tretjega odstavka 46. člena); 8 Več informacij o ocenah učinka je na voljo na: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonoda- jnega-okvira-za-varstvo-osebnih-podatkov/klju%C4%8Dna-podro%C4%8Dja-uredbe/ocena-u%C4%8Dinka-v- zvezi-z-varstvom-podatkov/. 68 • če se podatki prenašajo na podlagi zavezujočih poslovnih pravil, mora le-te predhodno odobriti pristojni nadzorni organ (prvi odstavek 47. člena). Prenosi osebnih podatkov so urejeni tudi v ZVOP-2, vendar se nanašajo le na zelo ozek krog obdelav osebnih podatkov, in sicer zgolj na tiste obdelave, ki se vršijo na področjih zunaj uporabe prava EU, torej na področjih, ki so popolnoma ali delno v samostojni pristojnosti Republike Slovenije. Gre na primer za področja državne varnosti in obrambe države, med taka področja pa sodi tudi obdelava podatkov o umrlih. Določbe ZVOP-2 v zvezi s prenosi se torej nanašajo zgolj na upravljavce, kot sta npr. SOVA, OVS in Ministrstvo za obrambo, v delu mednarodnih civilnih misij tudi na Ministrstvo za zunanje zadeve, na upravljavce, ki želijo v tretjo državo prenesti podatke o umrlih itd. Za vse ostale upravljavce in obdelovalce, ki so zavezanci po Splošni uredbi, se v celoti uporabljajo zgolj določbe V. poglavja Splošne uredbe, torej 44. do 49. člen Splošne uredbe. Informacijski pooblaščenec v letu 2024 ni prejel nobene vloge v zvezi s prenosom podatkov v tretje države. Na spletni strani Informacijskega pooblaščenca so objavljene smernice9, v katerih je podrobno predstavljena ureditev prenosov osebnih podatkov v tretje države in mednarodne organizacije po Splošni uredbi in po ZVOP-2. Evropska komisija je 10. 7. 2023 sprejela sklep o ustreznosti varstva osebnih podatkov na podlagi okvira za varstvo zasebnosti podatkov med EU in ZDA (angl. EU-US Data Privacy Framework – DPF). Sklep o ustreznosti je objavljen na spletni strani Evropske komisije: https://commission.europa.eu/system/ files/2023-07/Adequacy%20decision%20EU-US%20Data%20Privacy%20Framework_en.pdf. Iz sklepa izhaja, da ZDA zagotavljajo ustrezno raven varstva (primerljivo z EU) za tiste osebne podatke, ki se iz EU prenašajo v ameriška podjetja v skladu z novim okvirom za varstvo zasebnosti podatkov med EU in ZDA. Na podlagi sklepa o ustreznosti se lahko osebni podatki iz EU varno prenašajo tistim podjetjem v ZDA, ki sodelujejo v okviru za varstvo zasebnosti podatkov med EU in ZDA, ob tem pa ni treba uvesti dodatnih zaščitnih ukrepov za varstvo podatkov v skladu s 46. členom Splošne uredbe. Ameriška podjetja se lahko okviru za varstvo zasebnosti podatkov pridružijo na podlagi zaveze, da bodo izpolnjevala podrobno določen sklop obveznosti glede varstva zasebnosti, na primer zahtevo po izbrisu osebnih podatkov, ko ti niso več potrebni za namen, za katerega so bili zbrani, in po zagotavljanju neprekinjenega varstva, kadar se osebni podatki posredujejo tretjim osebam. Seznam podjetij, ki sodelujejo v okviru, je javno dostopen na strani ameriškega ministrstva za trgovino (https://www. dataprivacyframework.gov/list). Posamezniki iz EGP imajo v primeru suma, da ameriška podjetja, katerim so bili njihovi osebni podatki preneseni na podlagi sklepa o ustreznosti, nepravilno ravnajo z njihovimi osebnimi podatki, na voljo več pravnih sredstev, vključno z brezplačnimi neodvisnimi mehanizmi za reševanje sporov. Posamezniki lahko vložijo pritožbo neposredno pri podjetju, pri neodvisnem organu za reševanje sporov, ki ga imenuje subjekt, pri nacionalnih organih za varstvo podatkov v EGP (v RS je to Informacijski pooblaščenec), pri Ministrstvu za trgovino ZDA (Department of Commerce – DoC) ali pri Zvezni Komisiji za trgovino (Federal Trade Commission – FTC). V primeru, da noben od navedenih mehanizmov ne bi zadovoljivo rešil pritožbe posameznika, lahko le-ta sproži postopek zavezujoče arbitraže pri EU-ZDA DPF Panel. V zvezi z zbiranjem in uporabo njihovih podatkov s strani ameriških obveščevalnih agencij imajo dostop do neodvisnega in nepristranskega mehanizma pravnega varstva, ki vključuje novoustanovljeno sodišče za presojo varstva podatkov (angl. Data Protection Review Court – DPRC). 9 https://www.ip-rs.si/publikacije/priro%C4%8Dniki-in-smernice/smernice-po-splo%C5%A1ni-uredbi-o-varstvu- podatkov-gdpr/smernice-glede-prenosa-osebnih-podatkov-v-tretje-dr%C5%BEave-in-mednarodne-organizaci- je-po-splo%C5%A1ni-uredbi-o-varstvu-podatkov 69 3�4 PRIPRAVA MNENJ IN POJASNIL 3�4�1 SPLOŠNA POJASNILA Na podlagi 57. člena Splošne uredbe, 76. člena ZVOPOKD in 56. člena ZVOP-2 Informacijski pooblaščenec izdaja neobvezna mnenja, pojasnila in stališča o vprašanjih s področja varstva osebnih podatkov, s katerimi prispeva k ozaveščenosti upravljavcev in obdelovalcev ter širše javnosti. Leta 2024 je Informacijski pooblaščenec svetoval 2.460 posameznikom in pravnim osebam, ki so se nanj obrnili z vprašanji s področja varstva osebnih podatkov. Informacijski pooblaščenec je izdal 981 pisnih mnenj in napotitev na mnenja (od tega je izdal 850 pisnih mnenj, v 131 primerih je prosilcem svetoval po telefonu oziroma jim je posredoval kratka napotila). Na spletni strani https://www.ip-rs.si/mnenja-zvop-2/ so objavljena mnenja, ki so bila izdana po začetku veljavnosti ZVOP-2. Uporabniki lahko z ločenim iskalnikom brskajo po mnenjih, ki so bila izdana po ZVOP-1, preden je v veljavo stopila Splošna uredba, in po mnenjih, ki so bila izdana po uveljavitvi Splošne uredbe (in pred začetkom uporabe ZVOP-2). Mnenja so razvrščena v kar 73 vsebinskih področij, objavljenih je več kot 8.500 mnenj. Zbirka objavljenih mnenj predstavlja pomembno bazo znanja o različnih vidikih varstva osebnih podatkov in je v pomoč tako zavezancem glede njihovih dilem v zvezi z razumevanjem in izpolnjevanjem zahtev zakonodaje o varstvu osebnih podatkov, kakor tudi posameznikom, ki se v vsakdanjem življenju srečajo z vprašanji pravilnega ravnanja z njihovimi podatki. Informacijski pooblaščenec spodbuja svetovanje oziroma posredovanje ustnih odgovorov na vprašanja, zato je bil tudi v letu 2024 v uradu vsak delovnik na voljo dežurni državni nadzornik za varstvo osebnih podatkov, ki je na vprašanja odgovarjal po telefonu. Leta 2024 so državni nadzorniki po telefonu svetovali 1.479 posameznikom in organizacijam. 3�4�2 MNENJA NA PREDPISE Informacijski pooblaščenec podaja mnenja na predpise skladno s točko (c) prvega odstavka 57. člena Splošne uredbe, 56. členom ZVOP-2 in 76. členom ZVOPOKD, ki določajo, da nadzorni organ svetuje državnemu zboru, vladi oz. ministrstvom ter drugim institucijam in organom o zakonodajnih in upravnih ukrepih v zvezi z varstvom pravic in svoboščin posameznikov pri obdelavi osebnih podatkov oz. daje predhodna mnenja, pojasnila in stališča o usklajenosti določb predlogov zakonov ter ostalih predpisov z zakoni in drugimi predpisi, ki urejajo osebne podatke, ter o vprašanjih glede varstva osebnih podatkov. Posebno pozornost Informacijski pooblaščenec v okviru dejavnosti svetovanja namenja področju priprave mnenj na predloge predpisov, s katerimi skrbi, da predlagatelji ustrezno upoštevajo določbe Ustave (zlasti 38. člena) ter ZVOP-2 pri pripravi predpisov. Zlasti so to ministrstva, ki redno zaprošajo za pomoč pri pripravi predpisov, ki pomembno vplivajo na varstvo osebnih podatkov. V javnem sektorju morajo namreč obdelavo načeloma urejati zakoni, ki posledično določajo, kako, kdaj in v kakšnem obsegu bodo posegi v zasebnost posameznika dopustni. Zakoni morajo biti zato sorazmerni, učinkoviti, jezikovno jasni in razumljivi ter določati predvidljiva, jasna in ustavno skladna pravila obdelave osebnih podatkov. Leta 2024 je Informacijski pooblaščenec pripravil 84 mnenj na predloge sprememb zakonov ter na predloge novih zakonov in drugih predpisov. Informacijski pooblaščenec je pri predlagateljih predpisov, s katerimi se uvajajo nove kompleksne oblike obdelav osebnih podatkov ali obsežne obdelave osebnih podatkov z uporabo modernih tehnologij, še vedno pogrešal zavedanje o nujnosti temeljite predhodne analize in naslovitve tveganj, ki jih takšne obdelave prinašajo. Skladno z novimi določili ZVOP-2 morajo namreč predlagatelji predpisa glede določenih obdelav osebnih podatkov pripraviti tudi t. i. zakonodajno oceno učinka glede varstva osebnih podatkov (več o tem v poglavju 3.5.3), kar predlagatelji še vedno prepogosto pregledajo, čeprav število prejetih ocen učinka narašča. 70 V letu 2024 je Informacijski pooblaščenec tako med drugim v zvezi z zakonodajnim projektom izboljšanja digitalizacije zdravstva opozarjal, da višje ravni zdravstvene obravnave pacientov oziroma višje ravni drugih javnih storitev ni mogoče doseči brez ustrezne ravni varstva podatkov v digitalnih sistemih, ki te storitve omogočajo in podpirajo. V tem smislu Informacijski pooblaščenec v svojih nadzornih postopkih že več let opaža resne težave, povezane z (ne)zadostno finančno in kadrovski podporo, prioritizacijo ter organizacijo celotnega sektorja informacijsko-pravnih dejavnosti v državni upravi. Njihova rešitev pa ne sme in ne more biti v prenosu temeljnih državnih zbirk osebnih podatkov, katerih upravljavci so trenutno javni zavodi, v upravljavstvo zasebnega sektorja. Poleg tega je Informacijski pooblaščenec pripravil tudi mnenje na zakone, ki urejajo policijska pooblastila, delovanje različnih nacionalnih registrov, vzgojo in izobraževanje ter področje obdelav pri znanstvenem raziskovanju. Pri slednjem je predlagatelj med drugim s pomočjo Informacijskega pooblaščenca želel ustavno skladno urediti pravne podlage za obdelave osebnih podatkov v okviru javno financiranih znanstvenoraziskovalnih in inovacijskih sistemov. Informacijski pooblaščenec je leta 2024 med drugim podal mnenje, pripombe oz. je sodeloval pri pripravi naslednjih predpisov (v zvezi z nekaterimi je podal več mnenj): • Dopolnjen Predlog novega Zakona o javnih uslužbencih, • Dopolnjen predlog sprememb 135.b in 135.č člena Zakona o organizaciji in financiranju vzgoje in izobraževanja, • Dopolnjen predlog ureditve obdelave podatkov iz evidenc podatkov o gibalnih sposobnostih in morfoloških značilnostih v Zakonu o organizaciji in financiranju vzgoje in izobraževanja (135.f, 135.g, 135.h in 135.i člen), • Dopolnjen Predlog Zakona o spremembah in dopolnitvah Zakona o znanstvenoraziskovalni in inovacijski dejavnosti, • Mnenje glede predloga sprememb Zakona o celostnem prometnem načrtovanju, • Predlog Direktive o spremembi Direktive (EU) 2015/2302 zaradi povečanja učinkovitosti zaščite potnikov ter poenostavitve in pojasnitve nekaterih vidikov Direktive, • Predlog novega Zakona o osebni asistenci, • Predlog novega Zakona o Poslovnem registru Slovenije, • Predlog Podnebnega zakona, • Predlog Pravilnika medsebojnega obveščanja za izplačilo deleža upravičencem pri preoblikovanju Vzajemne zdravstvene zavarovalnice d.v.z., • Predlog Pravilnika o licencah specialistov medicinske biokemije, • Predlog Pravilnika o načinu in pogojih dostopa do podatkov iz centralne zbirke podatkov o pravicah do dolgotrajne oskrbe, • Predlog Resolucije o Nacionalnem programu varstva potrošnikov 2024–2029, • Predlog sprememb 18. člena Pravil sistema izmenjave informacij o zadolženosti fizičnih oseb – SISBON, • Predlog sprememb Zakona o odpravi posledic naravnih nesreč, • Predlog stališča RS k Paktu o migracijah in azilu, • Predlog Uredbe o izvedbi intervencij kmetijske politike za leto 2025, • Predlog Uredbe o pravilih socialne pogojenosti, 71 • Predlog Zakona o cestninjenju, • Predlog Zakona o digitalizaciji zdravstva, • Predlog Zakona o dodatnih ukrepih za zagotavljanje varnosti v zavodih za prestajanje kazni zapora zaradi prezasedenosti in pomanjkanja pravosodnih policistov, • Predlog Zakona o elektronskih plačilnih sredstvih, • Predlog Zakona o informacijski varnosti, • Predlog Zakona o izvajanju Uredbe (EU) o obravnavanju razširjanja terorističnih spletnih vsebin, • Predlog Zakona o izvajanju Uredbe (EU) o trgih kriptosredstev, • Predlog Zakona o medicinskih pripomočkih, • Predlog Zakona o medijih, • Predlog Zakona o nujnih ukrepih za izboljšanje kadrovskih in delovnih pogojev ter zmogljivosti pri izvajalcih socialnovarstvenih storitev in dolgotrajne oskrbe, • Predlog Zakona o potnih listinah, • Predlog Zakona o pravici oseb po prebolelem raku in določenih drugih boleznih do enakega dostopa do zavarovalnih in kreditnih produktov, • Predlog Zakona o spremembah in dopolnitvah Stanovanjskega zakona, • Predlog Zakona o spremembah in dopolnitvah Zakona o bančništvu, • Predlog Zakona o spremembah in dopolnitvah zakona o fitofarmacevtskih sredstvih, • Predlog Zakona o spremembah in dopolnitvah Zakona o gimnazijah in Zakona o spremembah in dopolnitvah Zakona o poklicnem in strokovnem izobraževanju, • Predlog Zakona o spremembah in dopolnitvah Zakona o glasbenih šolah, • Predlog Zakona o spremembah in dopolnitvah Zakona o katastru nepremičnin, • Predlog Zakona o spremembah in dopolnitvah Zakona o kazenskem postopku, • Predlog Zakona o spremembah in dopolnitvah Zakona o množičnem vrednotenju nepremičnin, • Predlog Zakona o spremembah in dopolnitvah Zakona o morskem ribištvu, • Predlog Zakona o spremembah in dopolnitvah Zakona o motornih vozilih, • Predlog Zakona o spremembah in dopolnitvah Zakona o nadzoru državne meje, • Predlog Zakona o spremembah in dopolnitvah Zakona o nalogah in pooblastilih policije, • Predlog Zakona o spremembah in dopolnitvah Zakona o obveznih zavarovanjih v prometu, • Predlog Zakona o spremembah in dopolnitvah Zakona o odvzemu premoženja nezakonitega izvora, • Predlog Zakona o spremembah in dopolnitvah Zakona o ohranjanju narave, • Predlog Zakona o spremembah in dopolnitvah Zakona o organizaciji in financiranju vzgoje in izobraževanja, • Predlog Zakona o spremembah in dopolnitvah Zakona o osebni izkaznici, 72 • Predlog Zakona o spremembah in dopolnitvah Zakona o plačilnih storitvah, storitvah izdajanja elektronskega denarja in plačilnih sistemih, • Predlog Zakona o spremembah in dopolnitvah Zakona o reševanju in prisilnem prenehanju bank, • Predlog Zakona o spremembah in dopolnitvah Zakona o revidiranju, • Predlog Zakona o spremembah in dopolnitvah Zakona o sistemu jamstva za vloge, • Predlog Zakona o spremembah in dopolnitvah Zakona o sodnih izvedencih, sodnih cenilcih in sodnih tolmačih, • Predlog zakona o spremembah in dopolnitvah Zakona o tujcih, • Predlog Zakona o spremembah in dopolnitvah Zakona o zaposlovanju, samozaposlovanju in delu tujcev, • Predlog Zakona o spremembah in dopolnitvah Zakona o zdravilih, • Predlog Zakona o spremembah in dopolnitvah Zakona o zdravstveni dejavnosti, • Predlog Zakona o spremembah Zakona o ureditvi določenih vprašanj zaradi končne razsodbe arbitražnega sodišča na podlagi Arbitražnega sporazuma med Vlado Republike Slovenije in Vlado Republike Hrvaške, • Predlog Zakona o varstvu okolja, • Predlogi pravilnikov, ki urejajo različne vidike dela glasbenih šol. 3�4�3 ZAHTEVA ZA OCENO USTAVNOSTI IN ZAKONITOSTI Informacijski pooblaščenec lahko z zahtevo začne postopek za oceno ustavnosti oziroma zakonitosti predpisov na podlagi 23.a člena Zakona o Ustavnem sodišču (ZUstS), če se pojavi vprašanje ustavnosti ali zakonitosti v zvezi s postopkom, ki ga vodi. Informacijski pooblaščenec je zaradi nesorazmerno dolgih zakonskih rokov hrambe osebnih podatkov v evidenci kaznivih dejanj, na kar sicer opozarja že vrsto let, v letu 2024 vložil zahtevo za oceno ustavnosti10 129. člena Zakona o nalogah in pooblastilih policije (ZNPPol). Zahtevo je Informacijski pooblaščenec vložil v zvezi s pritožbenim postopkom zaradi pravice do izbrisa, saj se v tej policijski evidenci 30 let hrani obsežen nabor podatkov posameznikov, vključno tistih, ki so bili storitve kaznivega dejanja zgolj osumljeni, ne pa tudi pravnomočno obsojeni. Prav tako so v tej evidenci zajeti podatki drugih oseb, ki so zgolj povezane s kaznivim dejanjem, kot so prijavitelji, oškodovanci in prejemniki premoženjskih koristi. Podatki v evidenci kaznivih dejanj se sicer na podlagi 128. člena ZNPPol hranijo do ustavitve policijske preiskave ali izdaje sklepa o zavrženju kazenske ovadbe ali do pravnomočne zavrnilne ali oprostilne sodbe, če teh ni, pa do zastaranja kazenskega pregona. Po preteku teh rokov se skladno s 129. členom ZNPPol podatki iz te evidence blokirajo in hranijo še 30 let, po tem pa se anonimizirajo. V času, ko so podatki hranjeni v blokirani obliki, policija do njih še vedno lahko dostopa. Po mnenju Informacijskega pooblaščenca zakonodajalec pri ureditvi rokov hrambe v evidenci kaznivih dejanj ni v zadostni meri upošteval pogojev, zlasti načela sorazmernosti, za omejitev človekovih pravic iz tretjega odstavka 15. člena Ustave RS. Dolgotrajna hramba po mnenju Informacijskega pooblaščenca tudi ni skladna z uveljavljenimi stališči Evropskega sodišča za človekove pravice glede pogojev za poseg v pravico do zasebnosti in varstva podatkov (npr. sodbe v zadevah Segerstedt-Wiberg in drugi proti 10 https://www.ip-rs.si/fileadmin/user_upload/Pdf/ocene_ustavnosti/Zahteva_za_oceno_ustavnosti_129._clen_ ZNPPol_anon_za_splet.pdf 73 Švedski, S. in Marper proti Združenemu kraljestvu, M. K. proti Franciji, Brunet proti Franciji, Catt proti Združenemu kraljestvu) ter z odločbo Ustavnega sodišča RS št. U-I-312/11. Informacijski pooblaščenec je na te neskladnosti že več let opozarjal predlagatelja ZNPPol in zakonodajalca ob sprejemanju in vsakokratnih spremembah zakonodaje (ZNPPol). Informacijski pooblaščenec je v zahtevi izpostavil, da so roki hrambe osebnih podatkov v evidenci kaznivih dejanj predpisani nedoločno in nejasno. Ureditev v 128. in 129. členu ZNPPol namreč nakazuje, da za iste osebne podatke obstajata dva roka hrambe, pri čemer je ključna razlika le v obravnavi in dostopnih pravicah. Podatki se namreč tudi po preteku teh rokov ne izbrišejo, temveč zgolj anonimizirajo, zato ni jasno, kdaj je posameznik upravičen do izbrisa svojih osebnih podatkov iz evidence kaznivih dejanj. Informacijski pooblaščenec je v zahtevi poudaril nujnost spoštovanja načel najmanjšega obsega podatkov in namena obdelave. 30-letno obdobje hrambe blokiranih podatkov v evidenci kaznivih dejanj namreč temu ne sledi, saj je določeno povsem neselektivno, ne glede na težo in naravo očitanega kaznivega dejanja ter ne glede na subjektivne okoliščine, povezane z osumljencem. Prav tako iz ugotovitev Informacijskega pooblaščenca izhaja, da policija ne pregleduje potrebe po hrambi blokiranih podatkov. Ti se avtomatično hranijo izredno dolgo oziroma trajno, ne glede na morebiten odpadel namen, ki v primeru postopka, ki se ne zaključi z obsodbo, ni več podan. Takšna ureditev po mnenju Informacijskega pooblaščenca prekomerno posega v pravico do zasebnosti, domnevo nedolžnosti ter pravico do osebnega dostojanstva, pri čemer ne prispeva bistveno k učinkovitemu preprečevanju, preiskovanju, odkrivanju ali pregonu kaznivih dejanj. Po mnenju Informacijskega pooblaščenca takšna ureditev omogoča trajen oziroma nesorazmerno dolg rok hrambe osebnih podatkov osumljenih, vendar pravnomočno neobsojenih posameznikov v evidencah policije, ki ne morejo učinkovito uresničiti pravice do izbrisa. Informacijski pooblaščenec je opozoril, da je to v nasprotju s pravico do varstva osebnih podatkov iz prvega odstavka 38. člena Ustave in pravico do spoštovanja zasebnega in družinskega življenja iz 8. člena Evropske konvencije o človekovih pravicah. Celotna besedila podanih zahtev za oceno ustavnosti in zakonitosti so na voljo na spletni strani Informacijskega pooblaščenca: https://www.ip-rs.si/zakonodaja/zahteve-ip-za-presojo-ustavnosti-oz- zakonitosti-predpisov. 3.4.4 OCENE UČINKOV NA VARSTVO OSEBNIH PODATKOV Ocene učinkov na varstvo osebnih podatkov so eno ključnih orodij načela odgovornosti, katerih namen je pravočasna identifikacija in obvladovanje tveganj, povezanih z varstvom osebnih podatkov. Ocene učinkov se zlasti pomembne, kadar gre za nove projekte, ki predvidevajo množično obdelavo osebnih podatkov, še posebej kadar gre za uporabo modernih tehnologij, za ranljive skupine posameznikov ali za obdelavo posebnih vrst osebnih podatkov. V postopku predhodnega posvetovanja, kot ga opredeljuje 36. člen Splošne uredbe, lahko zavezanci svoje ocene učinka na varstvo osebnih podatkov pošljejo v predhodno mnenje Informacijskemu pooblaščencu ter pridobijo stališča in priporočila glede izdelanih ocen učinka. Slednje so namreč zlasti pri velikih projektih, ki vključujejo obsežne obdelave osebnih podatkov, eno ključnih orodij, da se pravočasno in celovito naslovijo tveganja za morebitne kršitve varstva osebnih podatkov pri izvajanju projekta. Mnenje Informacijskega pooblaščenca lahko opozori na neidentificirana tveganja ter pomanjkljive ukrepe za obvladovanje teh tveganj, s pravočasnim obvladovanjem tveganj pa se lahko zavezanci izognejo občutnim stroškom popravljalnih ukrepov, visokim sankcijam zaradi kršitev ter okrnitvi ali celo izgubi ugleda pri strankah in v javnosti. Pomembno novost na področju ocen učinka je prinesla določba tretjega odstavka 24. člena ZVOP-2, ki uvaja t. i. zakonodajne ocene učinka. Omenjena določba od predlagateljev predpisov zahteva, da kadar se z zakonom določa obdelava osebnih podatkov, za katero je treba izdelati oceno učinka, predlagatelj predpisa izvede zakonodajno oceno učinka in jo posreduje v predhodno posvetovanje Informacijskemu pooblaščencu. Posledično se je občutno povečalo število prejetih ocen učinka glede varstva osebnih 74 podatkov. Število izdanih mnenj na ocene učinka vztrajno narašča: Informacijski pooblaščenec je tako v letu 2024 v postopku predhodnega posvetovanja izdal 36 mnenj (v letu 2023 je izdal 29 mnenj, v letu 2022 jih je izdal 14, v letu 2021 pa šest). ZVOP-2 poleg zakonodajnih ocen učinka določa dodatne obveznosti glede ocene učinka, in sicer glede naslednjih področij: • vodenje dnevnikov obdelav in ocena učinka (22. in 24. člen ZVOP-2), • obdelava osebnih podatkov za raziskovalne namene (69. člen ZVOP-2), • videonadzor cestnega prometa (80. člen ZVOP-2), • ocena učinka pri povezovanju zbirk osebnih podatkov (87. člen ZVOP-2). Posebej je urejeno tudi področje varnosti države, in sicer za obdelavo osebnih podatkov na področju varnosti države pristojni organ s področja varnosti države pripravi oceno učinka s smiselno uporabo določb tega člena. V letu 2024 je Informacijski pooblaščenec v postopku predhodnega posvetovanja izdal mnenja glede naslednjih tem na t. i. projektne ocene učinka: • Mnenje glede ocene učinkov na varstvo osebnih podatkov v zvezi s povezovanjem s podatki iz centralne zbirke podatkov o denarnih socialnih pomočeh in varstvenem dodatku ter s podatki iz Zemljiške knjige; • Mnenje glede ocene učinkov na varstvo osebnih podatkov v zvezi s povezovanjem s podatki iz knjigovodskih evidenc Ministrstva za finance, Finančne uprave Republike Slovenije; • Mnenje glede ocene učinkov na varstvo osebnih podatkov v zvezi z monogenskimi in kromosomskimi analizami; • Mnenje glede ocene učinkov na varstvo osebnih podatkov glede zagotavljanja mehanizma za dostope do računalniške opreme v skladu s 23.č členom Zakona o spodbujanju digitalne vključenosti (dve mnenji); • Mnenje glede ocene učinkov na varstvo osebnih podatkov v zvezi z optimizacijo procesa preverjanja polnoletnosti s pomočjo ID-bralnika; • Mnenje glede ocene učinkov na varstvo osebnih podatkov v zvezi s povezovanjem podatkov Eko sklada in zbirk Ministrstva za delo, družino, socialne zadeve in enake možnosti; • Mnenje glede ocene učinka na varstvo osebnih podatkov v zvezi z uporabo informacijskega sistema centrov za socialno delov (IS CSD) za namen posredovanja podatkov za ProbIS; • Mnenje glede ocene učinka na varstvo podatkov pri spremljanju dejanskih lastnikov v okviru evropske kohezijske politike; • Mnenje glede ocene učinkov na varstvo osebnih podatkov v zvezi z izdajo dovolilnic na področju soseske Koseze; • Mnenje glede ocene učinka na varstvo podatkov v zvezi z dostopnostjo podatkov o prekrških mestnega redarstva Mestne občine Ljubljana na portalu eUprava; • Mnenje glede ocen učinkov v zvezi z videonadzorom cestnih odsekov; • Mnenje glede ocene učinkov na varstvo osebnih podatkov v zvezi s postavitvijo videonadzornega sistema; 75 • Mnenje glede ocene učinka na varstvo osebnih podatkov v zvezi z videonadzorom športnega igrišča ob šoli; • Mnenje glede ocene učinka na varstvo osebnih podatkov v zvezi z evidenco osebnih podatkov o potovanjih delavcev Varnostno-obveščevalne službe v tujino; • Mnenje glede ocene učinka v zvezi z uvedbo sistema inteligentne videoanalitike za štetje prometa; • Mnenje glede ocene učinka na varstvo osebnih podatkov glede enotnega informacijskega sistema za delovanje trga s plinom in zagotavljanje zanesljive oskrbe s plinom; • Mnenje glede ocene učinkov v zvezi z videonadzorom in sistemom bralnikov registrskih tablic na področju trgovskega centra; • Mnenje glede ocene učinkov na varstvo osebnih podatkov v zvezi s snemanjem z brezpilotnikom; • Mnenje glede ocene učinkov v zvezi z varstvom osebnih podatkov pri obdelavi podatkov iz obvestil o nezmožnosti odtegnitve obveznega zdravstvenega prispevka zaradi prenizkega dohodka. Informacijski pooblaščenec je v letu 2024 izdal mnenja glede naslednjih zakonodajnih ocen učinka: • Mnenje glede ocene učinka na varstvo podatkov v zvezi s predlogom dopolnitev Zakona o osebni asistenci; • Mnenje glede ocene učinka na varstvo podatkov v zvezi s predlogom Zakona o spremembah in dopolnitvah Zakona o elektronski identifikaciji in storitvah zaupanja; • Mnenje glede ocene učinka na varstvo podatkov v zvezi z Zakonom o poslovnem registru; • Mnenje glede ocene učinka na varstvo podatkov v zvezi s predlogom Zakona o spremembah in dopolnitvah Zakona o osebni izkaznici (dve mnenji); • Mnenje glede ocene učinka na varstvo podatkov v zvezi s predlogom Zakona o spremembah in dopolnitvah Zakona o potnih listinah (dve mnenji); • Mnenje glede ocene učinka na varstvo podatkov v zvezi s predlogom Podnebnega zakona; • Mnenje glede ocene učinka na varstvo podatkov v zvezi s spremembami Zakona o vojnih invalidih; • Mnenje glede ocene učinka na varstvo podatkov v zvezi z Zakonom o dolgotrajni oskrbi; • Mnenje glede ocene učinka na varstvo podatkov v zvezi s Predlogom Zakona o nujnih ukrepih za izboljšanje kadrovskih in delovnih pogojev ter zmogljivosti pri izvajalcih socialnovarstvenih storitev in dolgotrajne oskrbe; • Dopolnjen predlog ureditve obdelave podatkov iz evidenc podatkov o gibalnih sposobnostih in morfoloških značilnostih v Zakonu o organizaciji in financiranju vzgoje in izobraževanja (tri mnenja); • Mnenje na Predlog Zakona o digitalizaciji zdravstva in na Zakonodajno oceno učinka v zvezi z varstvom podatkov (dve mnenji). Mnenja na zakonodajne ocene učinkov glede varstva osebnih podatkov so objavljena poleg mnenj na predloge predpisov11. Objava mnenj na zakonodajne ocene učinkov glede varstva osebnih podatkov 11 https://www.ip-rs.si/zakonodaja/pripombe-informacijskega-poobla%C5%A1%C4%8Denca-na-predloge-predp- isov/ 76 prispeva k večji preglednosti in je v pomoč predlagateljem predpisov, ki lahko iz objavljenih mnenj razberejo, katerim točkam je treba posvetiti posebno pozornost pri pripravi ocen učinka. Glede na prejete zakonodajne ocene učinka glede varstva osebnih podatkov ocenjujemo, da je vključitev zahteve po zakonodajnih ocenah učinka na varstvo osebnih podatkov v ZVOP-2 (24. člen) pomembno prispevala k višji kakovosti predpisov z vidika upoštevanja pravice do varstva osebnih podatkov, kakovost prejetih ocen učnika se v splošnem izboljšuje. Informacijski pooblaščenec je z namenom nadaljnjih izboljšav pri izdelavi zakonodajnih ocen učinka na srečanju s pooblaščenimi osebami za varstvo osebnih podatkov na ministrstvih, ki je potekalo 27. 11. 2024, predstavil ureditev in pomen zakonodajnih ocen učinka ter podal primere dobre in slabe prakse ter priporočila. Posebej je bilo poudarjeno korektno ocenjevanje resnosti tveganj glede varstva osebnih podatkov, saj se v prejetih ocenah učinka v grobem posplošuje vidik resnosti tveganj kot »kršitev varstva osebnih podatkov« in pogosto le z opredelitvijo ravni brez podrobnejše obrazložitve (npr. majhna/srednja/ visoka). Vidik resnosti tveganja bi bilo primerno natančneje analizirati, pri ocenjevanju resnosti tveganj pa je treba upoštevati tako posledice za posameznike, katerih osebni podatki bodo obdelovani, kot posledice za upravljavca, obdelovalca oziroma državo, katere dolžnost je zagotavljati ustrezno varstvo osebnih podatkov. 3�5 SKLADNOST IN PREVENTIVA 3�5�1 AKTIVNOSTI ZA DOSEGANJE SKLADNOSTI IN PREVENTIVNA DEJAVNOST Informacijski pooblaščenec uporablja širok nabor orodij za dviganje ozaveščenosti in doseganje skladnosti, med katera sodijo: • spletne strani Informacijskega pooblaščenca (www.ip-rs.si, www.tiodlocas.si in www.upravljavec.si), • smernice, • vzorci in obrazci, • infografike, • brezplačna predavanja, • objave na družabnih omrežjih, • preventivne aktivnosti za skladnost, • pisna mnenja posameznikom, • pisna mnenja na predloge predpisov, • pisna mnenja na ocene učinkov glede varstva osebnih podatkov, • telefonsko svetovanje, • povezovanje s pooblaščenimi osebami za varstvo osebnih podatkov, • spodbujanje aktivne udeležbe mladih, • sodelovanje z drugimi organizacijami na nacionalni in mednarodni ravni pri pripravi vodnikov in drugih izobraževalnih vsebin, • organizacija dneva varstva osebnih podatkov, • priprava meril na področju certifikacije in akreditacije, 77 • priprava kriterijev in seznamov nadzornega organa glede obveznosti po Splošni uredbi ter • sodelovanje na konferencah, strokovnih srečanjih, posvetih, okroglih mizah in drugih dogodkih. Bistveno vodilo preventivnih aktivnosti Informacijskega pooblaščenca je praktičnost in razumljivost vsebin, saj se je treba zavedati, da pretežni del zavezancev predstavljajo majhne organizacije in majhna podjetja, zanje pa je razumevanje predpisov o varstvu osebnih podatkov, kot sta Splošna uredba in ZVOP-2, precejšen izziv. Usmerjenost k uporabniku vsebin je zato ključna in vsa našteta gradiva so pripravljena s tehtnim premislekom, da bi kompleksne pravne predpise na čim bolj preprost in razumljiv način približali zavezancem, ki ne razpolagajo z obsežnimi pravnimi viri in ne razumejo specifik pravnega izražanja. Z uveljavitvijo ZVOP-2 konec januarja 2023 so se zavezanci znašli pred novim izzivom, saj so morali razumeti in spoštovati nov predpis. Leta 2024 je zato pomemben del preventivnih aktivnosti Informacijskega pooblaščenca predstavljalo ozaveščanje zavezancev glede ZVOP-2. 3.5.2 POOBLAŠČENE OSEBE ZA VARSTVO PODATKOV Določitev pooblaščenih oseb za varstvo osebnih podatkov (angl. Data Protection Officer; DPO) predstavlja pomembno dolžnost zlasti večjih upravljavcev in obdelovalcev osebnih podatkov. Pooblaščena oseba naj bi izvajala svetovalne in nadzorne naloge na področju varstva osebnih podatkov ter delovala kot notranji revizor za varstvo osebnih podatkov, ki poleg nadzora upravljavce in obdelovalce opozarja na njihove obveznosti ter izobražuje in ozavešča zaposlene. Do konca leta 2024 je bilo Informacijskemu pooblaščencu sporočenih 3486 pooblaščenih oseb za varstvo podatkov (leto prej 3340). Podatke o pooblaščeni osebi za varstvo osebnih podatkov je možno enostavno sporočiti in popraviti s pomočjo spletnega obrazca https://www.ip-rs.si/pooblascene- osebe. Ocenjujemo, da je večina zavezancev izpolnila svojo dolžnost glede posredovanja podatkov o pooblaščenih osebah v register pooblaščenih oseb, zato gre z vidika registra zdaj v pretežni meri za vzdrževalne aktivnosti ob spremembah podatkov (npr. ob razrešitvi ali imenovanju novih pooblaščenih oseb). Glede na zahteve Splošne uredbe, po kateri je imenovanje pooblaščene osebe praktično obvezno za javni sektor, pretežni del registra predstavljajo pooblaščene osebe v sektorju vzgoje in izobraževanja (glede na veliko število vrtcev, osnovnih ter srednjih šol), obsežen je tudi sektor izvajalcev zdravstvene dejavnosti (več kot 1000 zavezancev), ki morajo pooblaščeno osebo imenovati zaradi obsežne obdelave zdravstvenih podatkov, ki sodijo med posebne vrste osebnih podatkov. Kot smo poudarili že v prejšnjem poglavju, je pomembno povezovanje z reprezentativnimi skupinami pooblaščenih oseb za varstvo podatkov, med katerimi so zlasti pomembne pooblaščene osebe na ministrstvih, s katerimi se Informacijski pooblaščenec redno srečuje, saj so ministrstva predlagatelji predpisov in vodijo velike državne zbirke osebnih podatkov. 3�5�3 PREVENTIVNE AKTIVNOSTI ZA SKLADNOST Tudi v letu 2024 je Informacijski pooblaščenec izvajal preventivne aktivnosti za skladnost (angl. privacy sweep), in sicer je sodeloval v usklajeni akciji sodelovanja v okviru EOVP, t. i. CEF (Coordinated Enforcement Framework), ki se je začela marca in se je zaključila v jesenskih mesecih. V okviru akcije so nadzorni organi za varstvo osebnih podatkov analizirali stanje na področju izvrševanja pravice posameznikov do dostopa do lastnih osebnih podatkov in pripravili ukrepe za okrepitev te pravice. Pravica do dostopa do lastnih osebnih podatkov iz 15. člena Splošne uredbe o varstvu podatkov je ena najpomembnejših in najpogosteje uveljavljanih pravic s področja varstva osebnih podatkov, kar vodi v veliko število prijav zaradi domnevnih kršitev. Informacijski pooblaščenec jih vsako leto obravnava več kot 100. Ta pravica posameznikom omogoča preverjanje zakonitosti obdelave njihovih osebnih podatkov in uveljavljanje drugih pravic, kot sta pravica do popravka in izbrisa. Namen usklajene akcije sodelovanja 78 v letu 2024 je bil oceniti, kako organizacije to pravico izvajajo in katera področja pri tem zahtevajo dodatno pozornost. Akcijo je 31 nadzornih organov iz celotnega evropskega gospodarskega prostora izvajalo s pošiljanjem poenotenih vprašalnikov za pomoč pri ugotavljanju dejstev, na podlagi zbranih informacij pa je bil pripravljen načrt za morebitno izvedbo posamičnih nadzorov, v nadaljevanju pa tudi izvedbo posamičnih nadzorov v izbranih sektorjih. Nadzorni organi so identificirali tudi druge preventivne aktivnosti v podporo posameznikom in organizacijam za učinkovito izvajanje pravic posameznikov. Rezultati usklajene akcije so združeni v končnem poročilu12, kar omogoča globlji vpogled v temo in ciljno usmerjeno nadaljnje ukrepanje na ravni celotne EU. Na usklajeno akcijo nadzora se je odzvalo skupno 1185 upravljavcev, ki so jih sestavljala mala in srednja podjetja (MSP) ter velika podjetja, dejavna v različnih panogah in na različnih področjih, pa tudi različne vrste javnih subjektov. Rezultati kažejo, da je potrebno večje ozaveščanje upravljavcev o Smernicah Evropskega odbora za varstvo podatkov št. 01/2022 o pravicah posameznikov, na katere se nanašajo osebni podatki – pravica do dostopa13 tako na nacionalni ravni kot na ravni EU. Med ključnimi identificiranimi izzivi so pomanjkanje dokumentiranih notranjih postopkov za obravnavo zahtev za dostop, nedosledne in pretirane razlage omejitev pravice do dostopa, na primer pretirano sklicevanje, ter ovire, s katerimi bi se posamezniki lahko srečali pri uveljavljanju svoje pravice do dostopa, kot so formalizacija zahtev ali večkrat pretirane zahteve po predložitvi identifikacijskih dokumentov za izvrševanje pravice do dostopa. Za vsak ugotovljeni izziv poročilo vsebuje seznam nezavezujočih priporočil, ki naj bi jih upravljavci in nadzorni organi za varstvo osebnih podatkov upoštevali. Tak način sodelovanja nadzornih organov v okviru usklajene akcije, katerega cilj je poenostaviti sodelovanje in nadzor med nadzornimi organi, je potekal že tretjič. Prejšnji temi sta bili uporaba storitev v oblaku v javnem sektorju v letu 2022 in vloga pooblaščenih oseb za varstvo podatkov v letu 2023. Informacijski pooblaščenec je izvedel tudi preventivno aktivnost za zagotavljanje skladnosti na področju obveščanja posameznikov o obdelavi njihovih osebnih podatkov v primerih meritev hitrosti znotraj naselij. Na podlagi informacij iz prakse je Informacijski pooblaščenec ugotovil, da občinska in medobčinska redarska služba v primerih, ko izvajajo kontrole hitrosti udeležencev v prometu znotraj naselij ter posledično zbirajo in nadalje obdelujejo osebne podatke posameznikov, pred začetkom zbiranja osebnih podatkov posameznikov ne obvestijo o informacijah, ki jih je treba zagotoviti, kadar se osebni podatki pridobijo neposredno od posameznika (13. člen Splošne uredbe). V primeru napovedanih meritev hitrosti se na določenem odseku ceste nahaja zgolj obvestilna tabla z napisom »Meritve hitrosti«, takšne meritve pa se lahko opravljajo tudi nenapovedano. V nobenem primeru posameznikom niso bile na voljo ustrezne informacije o obdelavi njihovih podatkov, ki jih je treba zagotoviti tudi v okviru izvajanja prekrškovnih postopkov, zato je Informacijski pooblaščenec 47 zavezancem (občinskim oz. medobčinskim redarstvom in inšpektoratom) posredoval poziv, naj ustrezno uredijo obveščanje posameznikov o obdelavi njihovih osebnih podatkov pri izvajanju meritev hitrosti udeležencev v prometu. V poziv je vključil nekatere napotke, med drugim je poudaril, da je zaradi same narave in namena prekrškovnih postopkov primerno in ustrezno, da zavezanci obvestilo posameznikom pisno objavijo na spletnih straneh redarstva ali, v kolikor le-teh ni, na spletni strani zadevne občine oziroma občin. 3.5.4 VSEBINE NA SPLETNIH STRANEH INFORMACIJSKEGA POOBLAŠČENCA Informacijski pooblaščenec redno posodablja svojo spletno stran z novimi vsebinami, ki so lahko v pomoč zavezancem pri razumevanju in izpolnjevanju zahtev zakonodaje. Zlasti so uporabne informacije o ključnih področjih zakonodaje na podstrani Ključna področja14, kjer so posamezne teme obdelane na 12 https://www.edpb.europa.eu/our-work-tools/our-documents/other/coordinated-enforcement-action-implementa- tion-right-access_sl= 13 https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-012022-data-subject-rights- right-access_sl 14 https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/kl- ju%C4%8Dna-podro%C4%8Dja-uredbe/ 79 razumljiv način, uporabnik pa ima na enem mestu podane vse pomembne informacije o tem področju, napotitve na relevantne člene Splošne uredbe in ZVOP-2 ter povezavo do uporabnih gradiv, kot so smernice (Informacijskega pooblaščenca in EOVP), infografike, vzorci in obrazci. V letu 2024 smo pripravili nova ključna področja o umetni inteligenci, skupnih upravljavcih in certifikaciji ter akreditaciji. Informacijski pooblaščenec je pripravil tudi dve novi infografiki15 – razumljivo razlago temeljnih načel varstva osebnih podatkov ter infografiko z napotki, kako izbrati dobro geslo. Infografike lahko zavezanci prosto uporabijo tudi v okviru svojih izobraževalnih aktivnosti. Infografika: Temeljna načela varstva osebnih podatkov. Informacijski pooblaščenec je v letu 2024 izdal nove smernice, in sicer16: • Smernice o varstvu osebnih podatkov za lovske zveze in družine, • Smernice za upravnike večstanovanjskih stavb. Glede na izkušnje so obrazci in vzorci za zavezance še posebej uporabni, zato je Informacijski pooblaščenec posodobil obrazec, namenjen zavezancem, ki morajo nadzorni organ obvestiti o kršitvi varnosti podatkov po 33. členu Splošne uredbe o varstvu podatkov. Posodobljeni obrazec je strnjen in bolj uporabniku prijazen, dodana mu je tudi ločena priloga glede čezmejnih kršitev, ki tako ni več del osnovnega obrazca in ne obremenjuje zavezancev, pri katerih kršitev varnosti nima čezmejnih elementov17. Informacijski pooblaščenec je glede na novo ureditev v ZVOP-2, ki opredeljuje tudi postopek, ki se vodi na zahtevo prijavitelja s posebnim položajem, posodobil in poenotil obrazec vloge zaradi kršitve varstva osebnih podatkov (Obrazec VOP prijava18). Posodobljeni obrazec na enem mestu omogoča natančnejšo opredelitev nadzornih postopkov in razlikovanje med njima (razlikovanje med postopkom v zvezi s kršitvami podatkov konkretnega prijavitelja ter klasičnim inšpekcijskim postopkom), kar prijaviteljem omogoča boljšo predstavitev njihovih pravic in poteka postopka, Informacijskemu pooblaščencu pa bolj 15 https://www.ip-rs.si/publikacije/infografike 16 https://www.ip-rs.si/publikacije/priro%C4%8Dniki-in-smernice/ 17 https://www.ip-rs.si/fileadmin/user_upload/doc/obrazci/OBRAZEC_-_Obvestilo_o_krsitvi_.docx 18 https://www.ip-rs.si/fileadmin/user_upload/doc/obrazci/ZVOP/Enotni%20obrazec.docx 80 učinkovito dodeljevanje, izvajanje in upravljanje prejetih zahtev posameznikov. Posameznik lahko poda pobudo za uvedbo: a) postopka, ki se vodi na zahtevo prijavitelja s posebnim položajem, ko posameznik prijavlja kršitev njegovih/njenih osebnih podatkov, ali b) inšpekcijskega postopka (sistemske kršitve varstva osebnih podatkov), ko posameznik meni, da določen zavezanec krši predpise s področja varstva osebnih podatkov. Enotni obrazec za boljše razumevanje pravic posameznika in samih postopkov po prejemu tovrstnih pobud za posameznike vsebuje tudi posebna navodila in pojasnila. Glede na spremenjene določbe o izvajanju videonadzora po ZVOP-2 je Informacijski pooblaščenec posodobil informativni vzorec evidence uporabe videonadzornega sistema19 po ZVOP-2. Vzorec zavezancem pomaga pri izpolnjevanju dolžnosti glede evidentiranja obdelav podatkov, ki se hranijo v videonadzornih sistemih, kot so dostop do posnetkov, izbris in posredovanje, kot to zahteva 76. člen ZVOP-2 v povezavi z zahtevo 22. člena ZVOP-2 glede dnevnikov obdelave. 3.5.5 AKTIVNOSTI IZOBRAŽEVANJA IN OZAVEŠČANJA Informacijski pooblaščenec posebno pozornost namenja izobraževanju in ozaveščanju splošne in strokovne javnosti o pomembnih temah na področju varstva osebnih podatkov, čemur namenja različne dogodke in objave, uporablja pa tudi druge načine za dvig ozaveščenosti. Evropski dan varstva osebnih podatkov, ki ga vsako leto praznujemo 28. januarja, je Informacijski pooblaščenec leta 2024 obeležil z organizacijo dogodka, katerega rdeča nit je bila prvo leto novega Zakona o varstvu osebnih podatkov (ZVOP-2), ki se je začel uporabljati 26. januarja 2023. Informacijska pooblaščenka je predstavila bistvene izzive v času uporabe Splošne uredbe o varstvu podatkov brez ZVOP-2 in z ZVOP-2, sledila pa je okrogla miza s strokovnjaki s področja varstva osebnih podatkov. Udeleženci okrogle mize, ki se z varstvom osebnih podatkov srečujejo na različnih področjih in z različnih vidikov, so razpravljali o uspešnosti novega ZVOP-2 v praksi. Predstavili so vsak svoje poglede na posamezne določbe novega zakona in opozorili na aktualne izzive na področju varstva osebnih podatkov. Okrogla miza ob dnevu varstva osebnih podatkov 2024, 25. 1. 2024. 19 https://www.ip-rs.si/fileadmin/user_upload/doc/obrazci/ZVOP/EVIDENCA_UPORABE_VIDEONADZORNE- GA_SISTEMA.doc 81 Tudi letos je Informacijski pooblaščenec podelil priznanja organizacijam, ki so v preteklem letu pridobile certifikat po standardu ISO/IEC 27001:2013 (2022) s področja informacijske varnosti. S pridobitvijo certifikata dobitniki izkazujejo visoko stopnjo zavedanja o pomenu varovanja informacij in s tem tudi osebnih podatkov ter o sistematičnem vlaganju v ustrezne ukrepe za zagotovitev varnosti podatkov. V letu 2023 je tovrstni certifikat prvič pridobilo 30 organizacij. Tradicionalno je bilo podeljeno tudi priznanje ambasador zasebnosti, ki ga je za leto 2023 prejela Katja Koren Ošljak iz zavoda Vsak, in sicer za njen angažma pri pripravi razstave z naslovom Kaj te briga?!. Razstava, ki temelji na raziskavi o digitalnih pravicah, zasebnosti in zaupanju mladih v delovanje digitalnih platform z naslovom Mladi, zasebnost in zaupanje v Sloveniji: utemeljitev potrebe po strožjih predpisih, na svež in humoren način odkriva ter opozarja na izzive in priložnosti odraščanja v vse bolj digitaliziranem svetu. Podelitev nagrade Ambasador zasebnosti za leto 2023, 25. 1. 2024. Kot vsako leto so bila izvedena tudi številna pro bono predavanja na področju varstva osebnih podatkov, v letu 2024 je bilo izvedenih 51 takih predavanj. Predstavniki Informacijskega pooblaščenca so aktivno sodelovali na konferencah, seminarjih in drugih dogodkih. Posebej velja izpostaviti brezplačni seminar Obravnava zahtev posameznikov za uveljavljanje pravic po Splošni uredbi (EU) o varstvu podatkov in ZVOP-2, ki ga je v aprilu 2024 dvakrat izvedel Informacijski pooblaščenec. Dobro obiskan seminar je bil namenjen pooblaščenim osebam za varstvo podatkov in vsem, ki obravnavajo zahteve posameznikov za uveljavljanje pravic po ZVOP-2 in Splošni uredbi. Na seminarju so bila obravnavana vprašanja pravic posameznikov, ki se uveljavljajo na zahtevo (pravica do seznanitve z lastnimi osebnimi podatki ter pravica do izbrisa, popravka, omejitve, ugovora in prenosljivosti), vprašanja zakonske osnove za obravnavo takih zahtev posameznikov, vprašanja primernega načina vodenja postopkov pri upravljavcih v javnem sektorju in zlasti pri upravljavcih, ki so državni organi ali samoupravne skupnosti, ter vprašanja poteka nadzornega postopka pri Informacijskem pooblaščencu in možnih posledic. Informacijski pooblaščenec je v letu 2024 v okviru EOVP sodeloval pri pripravi Vodnika po varstvu podatkov za mala in srednje velika podjetja20. Vodnik vsebuje informacije o temeljnih zahtevah varstva osebnih podatkov, ki so lahko manjšim podjetjem v pomoč pri zagotavljanju skladnosti s Splošno uredbo o varstvu podatkov. Vodnik je opremljen s praktičnimi informacijami, ki so podane na različne načine, npr. pravice posameznikov so prikazane v video vsebinah, vodič pa vsebuje tudi infografike (npr. o obveščanju nadzornega organa o kršitvi varstva osebnih podatkov), diagrame (npr. interaktivni diagram 20 https://www.edpb.europa.eu/sme-data-protection-guide/home_sl 82 o izvedbi ocene učinka in o obveznosti imenovanja pooblaščene osebe), praktične primere ter namige iz prakse. V vodniku so zajeta naslednja ključna področja: • osnove varstva osebnih podatkov, • pogodbena obdelava osebnih podatkov, • spoštovanje pravic posameznikov, • varnost osebnih podatkov, • pooblaščene osebe za varstvo podatkov, • kršitve varnosti osebnih podatkov, • mednarodni prenosi, • pogosto postavljena vprašanja. Vodnik je na voljo v 18 jezikih, tudi v slovenskem, vsebuje pa tudi povezave do uporabnih virov, ki so jih pripravili nekateri evropski nadzorni organi za varstvo osebnih podatkov. Poleg vodnika za mala podjetja je Informacijski pooblaščenec z Ministrstvom za javno upravo, Računskim sodiščem Republike Slovenije in Inšpektoratom Republike Slovenije za notranje zadeve sodeloval pri izdaji prenovljenega Vodnika za organizatorje volilnih in referendumskih kampanj21. V njem so na pregleden in uporabnikom prijazen način predstavljena pravila, ki urejajo organizacijo in financiranje volilnih in referendumskih kampanj, vključno s predstavitvijo zakonskega okvira, relevantne sodne prakse in povezav do uporabnega dodatnega gradiva. Informacijski pooblaščenec je pripravil usmeritve glede zagotavljanja skladnosti s pravili o varstvu osebnih podatkov pri organizaciji volilne in referendumske kampanje, pri čemer je posebno pozornost namenil političnemu oglaševanju na spletu. Informacijski pooblaščenec je na podlagi sklepa o imenovanju medresorske delovne skupine za izvedbo projekta Upravna svetovalnica sodeloval pri projektu Upravne svetovalnice22, ki ga vodita Ministrstvo za javno upravo in Fakulteta za upravo Univerze v Ljubljani. Upravna svetovalnica je namenjena reševanju krajših, določnih upravno-procesnih vprašanj o razumevanju Zakona o splošnem upravnem postopku in Uredbe o upravnem poslovanju, ki pogosto vključujejo tudi vprašanja iz pristojnosti Informacijskega pooblaščenca. Projekt traja že vrsto let; od leta 2023 so v okviru tega projekta obravnavali že več kot 300 21 https://www.gov.si/assets/ministrstva/MJU/STIPS/Volitve/Volitve-v-EP-2024/Vodnik-za-organizatorje-volil- nih-kampanj-2024.pdf 22 https://upravna-svetovalnica.fu.uni-lj.si/predstavitev.php 83 dilem oziroma fokusiranih vprašanj iz prakse. Predstavnik Informacijskega pooblaščenca je sodeloval kot mentor študentom ter pomagal s pripravo odgovorov na konkretna vprašanja in izzive uradnih oseb ali strank, s katerimi se soočajo v upravnih postopkih. Informacijski pooblaščenec aktivno podpira in spodbuja mlade, ki jih zanima področje varovanja zasebnosti in osebnih podatkov. Ekipa Pravne fakultete Univerze v Ljubljani, ki so jo sestavljali Laura Meško, Loti Medved in Andraž Stariha pod mentorstvom dr. Pike Šarf z Informacijskega pooblaščenca, je na mednarodnem študentskem tekmovanju Data Protection Moot Court premagala vso konkurenco in osvojila naslov najboljše ekipe na tekmovanju, prejela je tudi nagrado za najboljši pisni izdelek, Laura Meško pa je prejela še nagrado za najboljšo govorko na tekmovanju. Data Protection Moot Court (DPMC) je mednarodno študentsko tekmovanje, ki so ga letos tretjič organizirali neodvisni strokovnjaki za varstvo osebnih podatkov v sodelovanju z Univerzo na Dunaju. Na njem se pomerijo tričlanske ekipe, ki zastopajo bodisi posameznika, na katerega se nanašajo osebni podatki in zatrjuje kršitev svojih pravic, ali upravljavca, ki naj bi kršil pravice posameznika. Na podlagi fiktivnega primera v prvi fazi tekmovanja ekipe pripravijo pisno vlogo za svojo stranko, ki jo v nadaljevanju tekmovanja zastopajo na ustni obravnavi. Na tekmovanju, ki je potekalo od začetka oktobra, zaključilo pa se je s finalnim zaslišanjem 16. decembra, je sodelovalo 12 ekip iz različnih evropskih držav, ZDA in Peruja. Letošnji tekmovalni primer je vseboval nekatera od najzahtevnejših vprašanj, s katerimi se danes soočamo na področju varstva osebnih podatkov, ter je zahteval odlično poznavanje relevantne zakonodaje, sodne prakse SEU in usmeritev EOVP. Ekipa Pravne fakultete je zastopala posameznico, ki je ob najemu električnega avtomobila na letališču podala privolitev v obdelavo osebnih podatkov v zameno za nižjo ceno najema avtomobila, na podlagi teh podatkov pa je v času najema prejemala oglasna sporočila. Na finalnem zaslišanju, ki so ga ocenjevali priznani strokovnjaki za varstvo osebnih podatkov, se je ekipa Pravne fakultete pomerila z najboljšo ekipo na strani upravljavca. Obe ekipi sta pokazali odlično poznavanje varstva osebnih podatkov, po predstavitvi argumentov obeh strani in zahtevnem zaslišanju s strani sodnikov pa so slednji odločili, da je bila bolj prepričljiva ekipa Pravne fakultete, ki si je s tem prislužila naslov najboljše ekipe tekmovanja. Prav tako je po mnenju sodnikov ekipa Pravne fakultete spisala najboljši pisni izdelek tekmovanja (pritožbo posameznice), Laura Meško pa je bila med več kot tridesetimi nastopajočimi izbrana za najboljšo govorko na tekmovanju. Ekipa študentov Pravne fakultete je tako pod mentorstvom Informacijskega pooblaščenca osvojila vse tri možne nagrade tekmovanja Data Protection Moot Court. Veseli nas, da se tudi med študenti slovenskih pravnih fakultet krepi zavedanje o pomenu pravice do varstva osebnih podatkov kot ene izmed temeljih človekovih pravic, ki posameznike varuje ne le v fizičnem, temveč vse pogosteje tudi v digitalnem svetu. Informacijski pooblaščenec je aprila 2024 na razpis Evropske komisije za financiranje projektov, ki jih izvajajo nadzorni organi za varstvo osebnih podatkov za namen ozaveščanja širše javnosti o varstvu osebnih podatkov (CERV-2024-DATA), prijavil projekt Become a PrivacyPRO(tector) s krajšim nazivom PrivacyPRO (št. projekta 101193212). Projekt se je uvrstil med najvišje ocenjene in Evropska komisija ga je izbrala za sofinanciranje v okviru programa Državljani, enakost, pravice in vrednote 2021–2027. Namen projekta PrivacyPRO je povečati ozaveščenost in razumevanje načel varstva osebnih podatkov med otroki, učitelji, starši in skrbniki v Sloveniji ter tako prispevati h kulturi varstva zasebnosti in osebnih podatkov že od zgodnjega otroštva. Ciljne skupine projekta predstavljajo: dve starostni skupini otrok, in sicer otroci, stari od 6 do 10 let, ter otroci, stari od 11 do 14 let, ter njihovi starši in skrbniki, učitelji, socialni delavci in ostali posamezniki, ki delajo z njimi. Projektne aktivnosti so razdeljene v tri sklope. Prvi delovni sklop obsega izdelavo izobraževalnih materialov za tri ciljne skupine: najmlajšim bo namenjena namizna igra na temo pravic varstva osebnih 84 podatkov in serija stripov, ki bo temeljila na junakih – varuhih zasebnosti; za starejše bomo pripravili več poučnih video vsebin, ki jih bodo izobraževali o pomenu zasebnosti in varstva osebnih podatkov; učiteljem bodo namenjeni materiali za poučevanje o varstvu zasebnosti in osebnih podatkov. V drugem sklopu aktivnosti, ki ga bo Informacijski pooblaščenec izvajal v letu 2026, bodo organizirane delavnice za učitelje in ravnatelje, na katerih jih bomo opremili z znanjem s področja varstva osebnih podatkov, ter jim predstavili, kako kar najbolje uporabiti izobraževalne materiale v učnem procesu, da se bodo otroci lahko skozi igro seznanili z osnovnimi koncepti varstva osebnih podatkov. Zadnji sklop projektnih aktivnosti sestavljajo najrazličnejše podporne aktivnosti, ki so namenjene različnim ciljnim skupinam: za otroke bo organiziran ustvarjalni natečaj, izdelki pa bodo kasneje razstavljeni, podelili bomo nagrado Varuh zasebnosti ter organizirali dan odprtih vrat; širši javnosti pa bo namenjena vsakodnevna strokovna podpora strokovnjakov Informacijskega pooblaščenca v obliki brezplačnega telefonskega svetovanja, pisnega svetovanja, objave informacij in izobraževalnih gradiv na spletnih straneh Informacijskega pooblaščenca ter na zunanjih dogodkih23. 3�6 MEDNARODNO SODELOVANJE 3�6�1 SODELOVANJE V EVROPSKEM ODBORU ZA VARSTVO PODATKOV Evropski odbor za varstvo podatkov (EOVP) je neodvisen evropski organ, ustanovljen s Splošno uredbo o varstvu podatkov; njegov glavni cilj je zagotoviti dosledno, usklajeno in učinkovito izvajanje pravil o varstvu osebnih podatkov po celotni Evropski uniji. EOVP sestavljajo predstavniki nacionalnih nadzornih organov iz vseh držav članic EU, vključno s Slovenijo, ter Islandije, Lihtenštajna in Norveške, ki so del Evropskega gospodarskega prostora (EGP). Glavni namen EOVP je varovati temeljne pravice posameznikov skozi varstvo osebnih podatkov v digitalni dobi, omogočiti prost pretok osebnih podatkov v EU in hkrati zagotoviti njihovo varstvo. Sodelovanje Slovenije v odboru predstavlja pomemben del njenih prizadevanj za spodbujanje mednarodnega sodelovanja na področju varstva osebnih podatkov. Odboru predseduje Anu Talus, predstojnica nadzornega organa za varstvo podatkov iz Finske, ob pomoči dveh podpredsednikov. Delovanje in usmeritve EOVP opredeljuje Strategija za obdobje 2024–202724, ki določa prioritete odbora in jih združuje v štiri stebre: 1. krepitev usklajevanja in spodbujanje skladnosti; 2. krepitev skupne kulture izvrševanja in učinkovitega sodelovanja; 3. varstvo osebnih podatkov v okoliščinah razvoja digitalnega in medregulativnega okolja; 4. prispevek k svetovnemu dialogu o varstvu podatkov. Na podlagi Strategije EOVP sprejme tudi dvoletni Delovni program, ki je aktualen za leti 2024 in 2025.25 Ključne pristojnosti odbora v okviru postopkov sodelovanja nadzornih organov so: • sprejemanje pravno zavezujočih odločitev odbora v okviru mehanizma za skladnost v zvezi z nacionalnimi nadzornimi organi, da se zagotovi dosledno uporabo Splošne uredbe; • sprejemanje splošnih smernic za podrobnejšo opredelitev pogojev evropske zakonodaje o varstvu podatkov, s čimer svojim deležnikom zagotavlja dosledno razlago njihovih pravic in obveznosti; 23 Vse gradivo, ki bo nastalo v okviru projekta PrivacyPRO, vključno z namizno igro in stripi, bo na voljo na splet- ni strani projekta: https://www.ip-rs.si/varstvo-osebnih-podatkov/projekti/privacypro. 24 https://www.edpb.europa.eu/our-work-tools/our-documents/strategy-work-programme/edpb-strate- gy-2024-2027_sl 25 https://www.edpb.europa.eu/our-work-tools/our-documents/strategy-work-programme/edpb-work-pro- gramme-2024-2025_en 85 • svetovanje Evropski komisiji v zvezi z vprašanji varstva podatkov in pripravo evropskih predpisov s področja varstva podatkov; • promocija sodelovanja in izmenjave izkušenj med nacionalnimi nadzornimi organi za varstvo podatkov. Mehanizem za skladnost, kot je opredeljen v Splošni uredbi, poteka prek: • izdaje mnenj EOVP za zagotavljanje dosledne uporabe evropske zakonodaje o varstvu podatkov (po 64. členu Splošne uredbe), med drugim v določenih primerih glede sprejema seznama dejanj obdelave, za katere velja zahteva po oceni učinka v zvezi z varstvom podatkov; v zvezi s kodeksom ravnanja s čezmejnim vplivom ter v določenih primerih glede odobritve meril za pooblastitev organa za spremljanje skladnosti s kodeksom ravnanja; v zvezi z določitvijo standardnih določil o varstvu podatkov v zvezi s prenosi podatkov v tretje države; v zvezi z odobritvijo pogodbenih določil ali zavezujočih poslovnih pravil; • reševanja sporov med nadzornimi organi (po 65. členu Splošne uredbe), npr. glede nasprotujočih si stališč o vsebini odločitve v čezmejnih primerih; o tem, kateri nadzorni organ je vodilni v določenem čezmejnem postopku; v primeru nespoštovanja mnenja odbora s strani posameznega nadzornega organa; • reševanja nujnih postopkov (po 66. členu Splošne uredbe) s sprejemom začasnih ukrepov v izjemnih primerih, ko je ukrepanje potrebno zaradi varstva pravic in svoboščin posameznikov. Temeljna struktura EOVP je razdeljena na dva glavna dela, in sicer na plenarno zasedanje in ekspertne podskupine. Plenarno zasedanje je organ odločanja EOVP, ki je odgovoren za sprejemanje smernic, mnenj, priporočil in drugih dokumentov, povezanih z varstvom osebnih podatkov. Predstavniki Informacijskega pooblaščenca so v letu 2024 aktivno sodelovali na 12 plenarnih zasedanjih. Ekspertne podskupine so bile ustanovljene posebej za obravnavo pomembnih tem, povezanih z varstvom osebnih podatkov. Njihovi člani delujejo tudi v okviru različnih delovnih skupin, ustanovljenih glede na potrebe po usklajevanju glede specifičnih tem. V letu 2024 so predstavniki Informacijskega pooblaščenca delovali v 12 rednih ekspertnih podskupinah ter v osmih posebnih delovnih in koordinacijskih skupinah oziroma odborih glede specifičnih tem. Udeležili so se 178 sestankov. Plenarno zasedanje poteka mesečno, prav tako se vsak mesec sestajajo ekspertne podskupine, da razpravljajo o aktualnih vprašanjih, povezanih z varstvom osebnih podatkov, ter glede na področje svojega dela pripravljajo smernice in mnenja odbora, obravnavajo pa tudi aktualne izzive, s katerimi se srečujejo posamezni nadzorni organi in so pomembni v širšem evropskem prostoru, bodisi zaradi čezmejne obdelave podatkov bodisi zaradi pomembnih vprašanj enotnega tolmačenja evropskih predpisov. Predstavniki nadzornih organov, vključno s predstavniki Informacijskega pooblaščenca, se teh srečanj udeležujejo fizično v Bruslju ali virtualno. Srečanja in sodelovanje vseh nadzornih organov v okviru EOVP so bistveni za zagotavljanje doslednega izvajanja Splošne uredbe po vsej EU in za usklajevanje prizadevanj nacionalnih organov za učinkovito varstvo osebnih podatkov. S sodelovanjem na teh srečanjih Slovenija prispeva k oblikovanju pomembnih smernic in priporočil v zvezi z varstvom osebnih podatkov ter je na tekočem z najnovejšimi dognanji na tem hitro razvijajočem se področju. Ekspertna podskupina za meje, potovanja in kazenski pregon ima ključno vlogo pri obravnavi zapletenih pravnih in tehničnih vprašanj, povezanih s čezmejnim kazenskim pregonom in varnostnim sodelovanjem na področju varstva osebnih podatkov. Osredotoča se na zagotavljanje smernic o temah, kot so: direktiva o kazenskem pregonu (t. i. LED direktiva) in specifične teme v zvezi s to direktivo (npr. o pravicah posameznikov), čezmejne zahteve za e-dokaze, odločitve na podlagi sklepov o ustreznosti glede prenosov osebnih podatkov v tretjo državo ali mednarodno organizacijo, dostop 86 organov kazenskega pregona in nacionalnih obveščevalnih organov v tretjih državah do podatkov, evidence podatkov o potnikih in evidence mejnih kontrol, skupni pregled sklepa o ustreznosti okvira za varstvo zasebnosti podatkov med EU in ZDA. Njeno delo je pomembno za zagotavljanje učinkovitega čezmejnega sodelovanja organov kazenskega pregona in usklajevanje njihovih prizadevanj, hkrati pa varuje temeljne pravice in svoboščine posameznikov. Ekspertna podskupina za skladnost, e-upravo in zdravje je odgovorna za pripravo smernic in priporočil v zvezi s kodeksi ravnanja, certificiranjem in akreditacijo. Poleg tega se podskupina osredotoča na zagotavljanje skladnosti z javnim pravom in politikami e-uprave, pripravo smernic o obdelavi osebnih podatkov za znanstvenoraziskovalne namene. Podskupina tesno sodeluje z ekspertno podskupino za tehnologijo in s tem zagotavlja, da so v njeno delo vključene prakse v zvezi z oceno učinka na varstvo osebnih podatkov; s to podskupino sodeluje tudi glede vprašanj vgrajene in privzete zasebnosti. Ekspertna podskupina za sodelovanje se osredotoča predvsem na zagotavljanje učinkovitih mehanizmov sodelovanja med nadzornimi organi, ki so bili vzpostavljeni s Splošno uredbo. Njene glavne naloge vključujejo aktivno spremljanje zakonodajnega predloga glede nove postopkovne uredbe, zagotavljanje smernic o postopkovnih vprašanjih, povezanih z mehanizmom sodelovanja, ter proučevanje mednarodne medsebojne pomoči in drugih orodij sodelovanja za uveljavljanje Splošne uredbe zunaj EU. Ekspertna podskupina za nadzor je odgovorna za zagotavljanje učinkovitega nadzora nad izvrševanjem Splošne uredbe. Pri tem analizira praktične izkušnje s VI., VII. in VIII. poglavjem Splošne uredbe ter ugotavlja, ali so potrebne dodatne smernice in pojasnila. Podskupina spremlja nadzorne dejavnosti in zagotavlja smernice o praktičnih vprašanjih v zvezi z nadzori, vključno z izmenjavo mnenj o konkretnih primerih. Podskupina se usklajuje s podskupino za sodelovanje pri posodabljanju obstoječih postopkov sodelovanja in pri zagotavljanju učinkovitega izvajanja nadzorov. Podskupina je zadolžena za usmerjanje pri praktični uporabi VII. in VIII. poglavja Splošne uredbe, tesno sodeluje tudi z delovno skupino za upravne globe. Podskupina je odgovorna tudi za postopke po 65. in 66. členu Splošne uredbe v zvezi s čezmejnimi primeri. Ekspertna podskupina za finančne zadeve se osredotoča na področje uveljavljanja načel varstva osebnih podatkov v finančnem sektorju. Sem spada vrsta vprašanj, kot so digitalni evro, kripto valute, samodejna izmenjava osebnih podatkov za davčne namene, vpliv t. i. FATCA (Zakona o spoštovanju davčnih predpisov v zvezi z računi v tujini) na varstvo osebnih podatkov ter medsebojno vplivanje evropske direktive o plačilnih storitvah (PSD2 direktiva) in Splošne uredbe. Podskupina se ukvarja tudi z uravnoteženjem varstva osebnih podatkov z obveznostmi, ki jih določajo predpisi o preprečevanju pranja denarja (AML) in preprečevanju terorizma (CTP). Ekspertna podskupina za mednarodne prenose se ukvarja z zagotavljanjem varnega čezmejnega prenosa osebnih podatkov. Podskupina pregleduje odločitve Evropske komisije o tem, katere države ponujajo ustrezne ukrepe za varstvo osebnih podatkov, zadolžena je za pripravo smernic za javne organe in druge organizacije glede skladnega prenosa osebnih podatkov zunaj EU. Podskupina obravnava tudi uporabo certificiranja in kodeksov ravnanja kot ustreznih orodij za prenos ter zagotavlja informacije o tem, kako se določbe Splošne uredbe ujemajo z drugimi predpisi, kadar se podatki prenašajo na mednarodni ravni. Dodatno si člani podskupine izmenjujejo informacije o pregledu zavezujočih poslovnih pravil (BCR) in ad hoc pogodbenih klavzul v skladu s 64. členom Splošne uredbe. Ekspertna podskupina za uporabnike informacijske tehnologije se osredotoča na razvoj in preizkušanje praktičnih orodij informacijske tehnologije, ki jih uporablja EOVP. Zbira povratne informacije uporabnikov o sistemih informacijske tehnologije in slednje glede na to ustrezno prilagaja. Podskupina razpravlja tudi o drugih poslovnih potrebah, kot so sistemi za tele- in videokonference, sistem IMI (Informacijski sistem za notranji trg) ter druga orodja za podporo delu odbora. 87 Ekspertna podskupina za ključne določbe se osredotoča na zagotavljanje smernic o temeljnih konceptih in načelih Splošne uredbe. Podskupina ponuja smernice o ključnih določbah v I. in II. poglavju Splošne uredbe, ki zajemajo področje uporabe uredbe in njena temeljna načela, smernice za III. in IV. poglavje, ki obravnavata pravice posameznikov in vlogo pooblaščene osebe za varstvo podatkov (DPO), ter smernice za IX. poglavje Splošne uredbe, ki obravnava posebne primere obdelave, kot je obdelava za namene arhiviranja ali obdelava v javnem interesu. Ukvarja se tudi z vprašanjem obdelave osebnih podatkov otrok. Ekspertna podskupina za družbene medije se osredotoča na analizo platform družbenih medijev in funkcij, ki jih te ponujajo, kot so ciljanje uporabnikov, personalizacija, preverjanje istovetnosti uporabnikov, analitika in objavljanje vsebin. Pri tem ocenjuje dejavnosti obdelav osebnih podatkov, ki so povezane s tovrstnimi funkcionalnostmi, in morebitna tveganja, ki jih takšne obdelave predstavljajo za pravice in svoboščine posameznikov. Podskupina razvija tudi smernice in zbira primere dobre prakse za uporabo in ponujanje funkcij družbenih medijev, zlasti iz gospodarskih ali političnih namenov, kot na primer smernice o političnem oglaševanju. Podskupina je zadolžena tudi za proučevanje medsebojnega učinkovanja in prepletanja Splošne uredbe in Uredbe o enotnem trgu digitalnih storitev. Člani podskupine pomagajo tudi drugim podskupinam, in sicer tako, da jim predlagajo pomembne teme za izvajanje nadzora ter v sodelovanju z njimi razvijajo vrsto drugih smernic EOVP ali posodabljajo že obstoječe smernice. Ekspertna podskupina za strateško svetovanje zagotavlja smernice o pomembnih vprašanjih, ki zadevajo celoten EOVP. To vključuje razprave o strategiji odbora in o njegovih delovnih programih za različne ekspertne podskupine. Člani podskupine tudi pomagajo razjasniti vprašanja, ki jih druge ekspertne podskupine morda ne uspejo. Ekspertna podskupina za strateško svetovanje deluje kot podporni sistem za celoten EOVP, ki zagotavlja strateške usmeritve glede ključnih vprašanj za zagotovitev učinkovitega izvajanja in uveljavljanja Splošne uredbe. Ekspertna podskupina za tehnologijo se osredotoča na vprašanja, povezana z vprašanji varstva osebnih podatkov pri uporabi sodobnih tehnologij v digitalni dobi. Podskupina pripravlja smernice o temah, kot so e-zasebnost, šifriranje osebnih podatkov, anonimizacija in psevdonimizacija, ocene učinkov na varstvo podatkov (DPIA) in obvestila o kršitvah varstva podatkov (DBN obvestila). Podskupina spremlja nastajajoče tehnologije in inovacije v družbi ter ocenjuje morebitna tveganja za zasebnost, ki jih te prinašajo. Podskupina zagotavlja mnenja o tehnoloških zadevah, ki so pomembne za druge ekspertne podskupine. EOVP je v letu 2024 objavil tudi nekatere pomembne splošne smernice, in sicer: • Smernice 02/2024 o 48. členu Splošne uredbe. Smernice pojasnjujejo, da se sodbe ali odločitve organov tretjih držav ne morejo samodejno in neposredno priznati ali uveljaviti v državi članici EU ter da se priznanje in izvršljivost tujih sodb in odločb praviloma zagotavlja z veljavnimi mednarodnimi sporazumi. • Smernice 01/2024 o obdelavi osebnih podatkov na podlagi točke f prvega odstavka 6. člena Splošne uredbe, ki podrobneje opisujejo tri kumulativne kriterije, ki morajo biti izpolnjeni, da se upravljavec lahko zanaša na pravno podlago zakonitih interesov upravljavca. Skupaj s podrobnimi smernicami je nastal tudi krajši dokument z jedrnatimi napotki za upravljavce, ki se pri obdelavi osebnih podatkov želijo zanašati na zakoniti interes. • Smernice 2/2023 o tehničnem področju uporabe tretjega odstavka 5. člena Direktive o zasebnosti in elektronskih komunikacijah (po javnem posvetovanju). Omenjene smernice naslavljajo problematiko varstva osebnih podatkov v obdobju novih metod sledenja, ki nadomeščajo obstoječa orodja za sledenje (na primer piškotke) in tako ustvarjajo nove poslovne modele. Pojasnjujejo, kateri tehnični procesi in operacije, zlasti z vidika novih tehnologij, sodijo v okvir direktive o e-zasebnosti. 88 • Po javnem posvetovanju so bile sprejete tudi Smernice 01/2023 o 37. členu Direktive o varstvu posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij. Smernice pojasnjujejo pravila glede prenosov podatkov v tretje države s strani pristojnih organov. EOVP svetuje Evropski komisiji v zvezi z vprašanji varstva podatkov v postopkih priprave evropskih predpisov s področja varstva podatkov. Poleg formalnih mnenj v zakonodajnem postopku pa EOVP spremlja zakonodajno in sorodno aktivnost Evropske komisije in v zvezi z različnimi temami sprejema izjave in poročila. V letu 2024 je EOVP sprejel naslednje dokumente: • Izjavo 6/2024 o Drugem poročilu o uporabi Splošne uredbe o varstvu podatkov – spodbujanje medregulativne skladnosti in sodelovanja; • Izjavo 5/2024 o Priporočilih skupine na visoki ravni za dostop do podatkov za učinkovit kazenski pregon; • Poročilo EOVP o prvem pregledu Izvedbenega sklepa Evropske komisije o ustreznem varstvu osebnih podatkov na podlagi okvira za varstvo zasebnosti med EU in ZDA (angl. EU-US Data Privacy Framework – DPF); • Izjavo 4/2024 o nedavnem razvoju na zakonodajnem področju v zvezi z Osnutkom uredbe o določitvi dodatnih postopkovnih pravil za izvrševanje Splošne uredbe; • Izjavo 3/2024 o vlogi organov za varstvo podatkov v okviru Akta o umetni inteligenci; • Izjavo 2/2024 o dostopu do finančnih podatkov in svežnju plačil; • Izjavo 1/2024 o razvoju na zakonodajnem področju v zvezi s Predlogom uredbe o določitvi pravil za preprečevanje spolne zlorabe otrok in boj proti njej. Na področju zagotavljanja skladnosti EOVP sprejema zavezujoča mnenja (po 64. členu Splošne uredbe), zavezujoče odločitve (po 65. členu Splošne uredbe) ter nujna mnenja oziroma nujne zavezujoče odločitve (po 66. členu Splošne uredbe). EOVP v letu 2024 zavezujočih odločitev v postopku reševanja sporov ali v nujnih postopkih ni sprejel, izdal pa je kar 28 zavezujočih mnenj za zagotavljanje skladnosti (t. i. consistency opinions) v zvezi z najrazličnejšimi vprašanji splošne uporabe določb Splošne uredbe in vprašanji, ki imajo učinke v več kot eni državi članici. Nacionalni nadzorni organi lahko v zvezi s temi zadevami zaprosijo EOVP za mnenje, kadar gre za: • dejanja obdelave, za katera je potrebna ocena učinka v zvezi z varstvom podatkov (DPIA), • kodekse ravnanja v zvezi z dejavnostmi obdelave, • merila za akreditacijo certifikacijskega organa in merila certificiranja, • standardne klavzule o varstvu osebnih podatkov in • zavezujoča poslovna pravila. Mnenja o skladnosti so za zadevne nadzorne organe zavezujoča in jih morajo nadzorni organi upoštevati pri sprejemanju končnih odločitev o zadevi, pri tem pa pomagajo zagotoviti, da je izvajanje Splošne uredbe dosledno po vsej EU. Mnenja, ki jih je EOVP izdal v letu 2024, se nanašajo na temo dejanj obdelave, za katere je potrebna ocena učinka (1), kodeksov ravnanja (1), meril za akreditacijo certifikacijskega organa (1), meril certificiranja (5) in zavezujočih poslovnih pravil (15). 89 V zvezi z zadevami splošne uporabe ali z učinkom v več kot eni državi članici je EOVP v obravnavanem letu sprejel pet pomembnih mnenj, ki so omenjena tudi v poglavju 3.2.8: • Mnenje o modelih umetne inteligence (mnenje št. 28/2024 o nekaterih vidikih varstva osebnih podatkov, povezanih z obdelavo osebnih podatkov v okviru modelov umetne inteligence). V mnenju je EOVP obravnaval vprašanja 1) kdaj in kako se lahko modeli umetne inteligence štejejo za anonimne, 2) ali in kako se lahko zakoniti interes uporabi kot pravna podlaga za razvoj ali uporabo modelov umetne inteligence ter 3) kaj se zgodi, če se model umetne inteligence razvije z uporabo osebnih podatkov, ki so bili obdelani nezakonito. Za mnenje je zaprosil irski nadzorni organ, pri njegovem oblikovanju pa je aktivno sodeloval tudi Informacijski pooblaščenec. V zvezi z anonimnostjo je EOVP poudaril, da lahko model umetne inteligence obravnavamo kot anonimen, če je zelo malo verjetno, (1) da bi se neposredno ali posredno identificirali posamezniki, katerih podatki so bili uporabljeni za oblikovanje modela, in (2) da bi se taki osebni podatki pridobili iz modela s pozivi. Mnenje vsebuje tudi neobvezen in neizčrpen seznam metod za dokazovanje anonimnosti. V zvezi z zakonitim interesom je EOVP napotil na izvajanje tristopenjskega testa, ki izhaja tudi iz Smernic o zakonitem interesu (ter same Splošne uredbe), ter na uporabo meril za presojo pričakovane zasebnosti in blažilnih ukrepov, če test tehtanja pokaže, da se obdelava ne bi smela izvajati zaradi negativnega vpliva na posameznike. • Mnenje glede obdelovalcev in podobdelovalcev (mnenje št. 22/2024 o nekaterih obveznostih, ki izhajajo iz sodelovanja z obdelovalci in podobdelovalci). V tem mnenju, za katerega je zaprosil danski nadzorni organ, je EOVP pojasnil, da morajo imeti upravljavci vedno na voljo informacije o identiteti vseh obdelovalcev in podobdelovalcev, obenem pa je treba od njih zahtevati zadostna jamstva glede na tveganje za pravice in svoboščine posameznikov, jamstva je treba tudi preveriti. Mnenje obravnava tudi vprašanja, povezana z iznosom osebnih podatkov, ter s tem povezane obveznosti upravljavca in obdelovalca. • Mnenje o prepoznavi obrazov na letališčih (mnenje št. 11/2024 o uporabi tehnologij za prepoznavanje obrazov za pospešitev pretoka letaliških potnikov). V mnenju, izdanem na pobudo francoskega nadzornega organa, je EOVP analiziral vprašanja omejitve hrambe, celovitosti in zaupnosti podatkov, vgrajenega in privzetega varstva podatkov ter varnosti obdelave v kontekstu prepoznavanje obrazov letaliških potnikov. • Mnenje o modelu »privoli ali plačaj« (mnenje št. 8/2024 o veljavnosti privolitve, dane v okviru modelov »privoli ali plačaj«, ki jih uporabljajo velike spletne platforme). EOVP je analiziral veljavnost privolitev v primerih, ko velike spletne platforme uporabnike soočijo z izbiro, ali privolijo v obdelavo osebnih podatkov za namene vedenjskega oglaševanja ali pa za uporabo storitev plačajo določeno pristojbino. Po sprejemu zavezujočega mnenja je EOVP začel tudi razvijati smernice na to temo, v katerih se je do določenih elementov lahko opredelil širše, vanje pa je vključil tudi sodelovanje z deležniki. • Mnenje o pojmu glavne ustanovitve upravljavca (mnenje št. 4/2024 o pojmu glavne ustanovitve upravljavca v Uniji v skladu s točko a šestnajstega odstavka 4. člena Splošne uredbe o varstvu podatkov). V tem mnenju je EOVP pojasnil pojem kraja osrednje uprave upravljavca, ki se lahko šteje za glavno ustanovitev le, če sprejema odločitve o namenih in sredstvih obdelave osebnih podatkov ter če je pooblaščena za izvajanje takih odločitev, za to pa morajo obstajati dokazi. EOVP je poudaril, da kadar se odločitve o namenih in sredstvih obdelave sprejemajo zunaj EU, upravljavec v Uniji ne bi smel imeti glavnega sedeža, zato se sistem »vse na enem mestu« ne bi smel uporabiti. EOVP je v okviru svoje strategije za okrepljeno sodelovanje med nadzornimi organi ustanovil podporno skupino strokovnjakov, katere cilj je zagotoviti vsebinsko podporo članicam EOVP pri njihovih nadzorih v zvezi z vprašanji, pri katerih bi ti potrebovali dodatno pomoč. Strokovnjaki prihajajo z različnih področij 90 varstva osebnih podatkov, in sicer pokrivajo ekspertna znanja, npr. na področju storitev v oblaku, tehnik anonimizacije, vedenjskega oglaševanja, umetne inteligence, digitalnega prava itd.26 Namen ustanovitve te skupine je okrepiti sodelovanje in solidarnost med članicami z izmenjavo in krepitvijo ekspertnega znanja po celotni EU ter skupno naslavljanje operativnih potreb posameznih nadzornih organov. Poleg naštetega je EOVP skladno s svojo strategijo okrepljenega sodelovanja začel delovati tudi v okviru usklajene skupne akcije nadzora, ki zagotavlja strukturo ponavljajočih se letnih usklajevanj ukrepov nadzornih organov glede posamezne teme. Cilj je spodbujati skladnost, opolnomočiti posameznike, na katere se osebni podatki nanašajo, ter povečati ozaveščenost vseh deležnikov s skupnimi ukrepi in delovanjem na področju, ki ga EOVP za tisto leto izbere kot prednostno. Tema usklajenega skupnega nadzora za leto 2024 je bilo izvajanje pravice do dostopa do osebnih podatkov po 15. členu Splošne uredbe. V usklajeni nadzorni akciji je sodelovalo 31 nadzornih organov iz EU in EGP, med njimi aktivno tudi Informacijski pooblaščenec. Poročilo usklajene akcije za leto 2024 je na voljo na spletni strani EOVP27 in Informacijskega pooblaščenca28 ter izpostavlja nekatere skrbi in izzive. Med izzivi je v letu 2024 izstopalo pomanjkanje ozaveščenosti o obsegu osebnih podatkov, ki jih treba zagotoviti na podlagi pravice do dostopa, nepravilna in pretirana razlaga omejitev pravice posameznika, posredovanje nepopolnih ali premalo prilagojenih informacij za posameznike in podobno. Spodbudno je, da na tem področju obstajajo Smernice EOVP o pravici do dostopa do osebnih podatkov, ki so jih EOVP in nacionalni nadzorni organi s to akcijo promovirali in tako spodbujali njihovo uporabo. V letu 2024 so predstavniki Informacijskega pooblaščenca sodelovali tudi v številnih delovnih in koordinacijskih skupinah, ki pokrivajo posamezna ključna področja. Nekatere od teh skupin so na kratko predstavljene v nadaljevanju. Delovna skupina za upravne globe deluje z namenom zagotavljanja jasnosti in doslednosti pri izračunavanju upravnih glob po vsej EU, da bi zagotovili pravično in enotno odgovornost vseh upravljavcev in obdelovalcev za kršitve Splošne uredbe ne glede na to, kje v EU se obdelava osebnih podatkov izvaja. Delovna skupina pri pripravi usmeritev upošteva tudi sorazmernost upravnih glob in druge dejavnike, ki lahko vplivajo na njihov izračun, npr. narava in resnost kršitve ter finančna sredstva organizacije. V letu 2024 je Delovna skupina začela razpravo o posodabljanju Smernic Delovne skupine iz 29. člena o upravnih globah ter določanja odnosa s sprejetimi in revidiranimi Smernicami št. 04/2022 o izračunu upravnih glob v skladu s Splošno uredbo. Delovna skupina za piškotke se je v letu 2024 osredotočala na analizo številnih pravnih vprašanj in morebitnih kršitev, povezanih z implementacijo piškotkov na spletnih straneh. Cilj delovne skupine je bil z oblikovanjem skupnega poročila zagotoviti podporo nacionalnim dejavnostim pri izvajanju tovrstnih nadzorov. Namen delovne skupine je bil uskladiti postopek nadzora spletnih strani v povezavi s piškotki in doseči čim bolj enotno interpretacijo pravil vseh pristojnih nadzornih organov. V začetku leta 2023 je skupina izdala skupno poročilo29, v katerem izpostavlja prakse pri uporabi piškotkov, ki ne izpolnjujejo zahtev veljavne zakonodaje (v skladu s tem je Informacijski pooblaščenec posodobil svoje smernice glede piškotkov30). V letu 2024 se je skupina sestala na zadnjem sestanku in nehala delovati, saj je dosegla cilje, zaradi katerih je bila ustanovljena. 26 Več informacij o pozivu s strani EOVP in temah je dostopnih na: https://edpb.europa.eu/system/files/2022-02/ call_for_expressions_of_interest_support_pool_of_experts.pdf. 27 https://www.edpb.europa.eu/news/news/2025/cef-2024-edpb-identifies-challenges-full-implementation-right-ac- cess_en 28 https://www.ip-rs.si/novice/ali-ustrezno-obravnavate-zahteve-za-dostop-do-lastnih-osebnih-podatkov-po- ro%C4%8Dilo-usklajene-akcije-eovp-1737548916 29 https://edpb.europa.eu/our-work-tools/our-documents/other/report-work-undertaken-cookie-banner-taskforce_ en 30 https://www.ip-rs.si/publikacije/priro%C4%8Dniki-in-smernice/smernice-po-splo%C5%A1ni-uredbi-o-varstvu- podatkov-gdpr/smernice-o-uporabi-pi%C5%A1kotkov-in-podobnih-sledilnih-tehnologij 91 Delovna skupina za 101 prijavo se je osredotočala na poenoteno in usklajeno postopanje nadzornih organov glede 101 identične pritožbe, vložene na številne nadzorne organe glede vprašanj uporabe storitev Google Analytics in Facebook Connect, ki vključujejo prenos osebnih podatkov v tretje države. Po objavi končnega poročila v letu 202331 je delovna skupina nehala delovati. EOVP je kot odziv na nadzorne aktivnosti italijanskega nadzornega organa v zvezi s ChatGPT, katerega uporabniki so v vseh državah članicah EU, v letu 2023 uvedel novo delovno skupino ChatGPT, katere namen je usklajevanje pri vprašanjih skladnosti generativne umetne inteligence s Splošno uredbo in pri vprašanjih vodenja postopkov nadzornih organov pred ustanovitvijo upravljavca omenjenega orodja v Evropski uniji in po njej. V letu 2024 je omenjena delovna skupina aktivno delovala. Delovna skupina za mednarodno sodelovanje je bila ustanovljena z namenom krepitve izmenjav med članicami EOVP, ko gre za udeležbo na večstranskih forumih na področju varstva osebnih podatkov in zasebnosti (npr. Svet Evrope, Svetovna skupščina za zasebnost, srečanje organov za varstvo podatkov držav G7, OECD, Spring Conference). Kontaktna skupina za dostop do dokumentov je delovna skupina članov EOVP iz nacionalnih nadzornih organov, ki delujejo kot kontaktne točke za usklajevanje zahtev za dostop do dokumentov v skladu z Uredbo (ES) št. 1049/2001 Evropskega parlamenta in Sveta z dne 30. maja 2001 o dostopu javnosti do dokumentov Evropskega parlamenta, Sveta in Komisije. Naloge skupine obsegajo opredelitev in izmenjavo najboljših nacionalnih praks v zvezi z obravnavo zahtev za dostop do informacij javnega značaja s strani nadzornih organov ter izmenjavo informacij in sodelovanje pri postopkih, povezanih s takšnimi zahtevami. Mreža DPO je sestavljena iz predstavnikov pooblaščenih oseb za varstvo podatkov in ima svetovalno vlogo, svetuje odboru in posebej nadzornim organom, saj zagotavlja neodvisna stališča o zadevah, povezanih z varstvom osebnih podatkov. Kljub temu da mreža pripravi odločitev za odbor, je na nacionalni ravni vsak nadzorni organ sam odgovoren za sprejemanje svojih odločitev. Mreža za komuniciranje združuje člane nadzornih organov, ki koordinirajo vprašanja, povezana s komuniciranjem z javnostmi, in skrbi za medsebojno obveščanje nadzornih organov (npr. medsebojno obveščanje o odmevnejših primerih, usklajevanje skupnih odgovorov in sporočil za javnost, koordiniranje prevodov dokumentov v nacionalne jezike, koordiniranje in obveščanje o dogodkih EOVP, sodelovanje pri pripravi letnega poročila EOVP itd.). 3�6�2 SODELOVANJE V EVROPSKEM ODBORU ZA UMETNO INTELIGENCO Junija 2024 je s sprejemom Akta o umetni inteligenci EU dobila prvi celovit pravni okvir o umetni inteligenci na svetu. Nadzor nad izvrševanjem pravil Akta o umetni inteligenci bodo na ravni držav članic prevzeli organi za nadzor trga, ki morajo biti imenovani najkasneje do 2. avgusta 2025. Glede določenih področij vsebuje Akt o umetni inteligenci pogoje, ki jih morajo izpolnjevati organi za nadzor trga in konkretne predloge, kateri organi lahko to nalogo prevzamejo. Nacionalni organi za varstvo podatkov lahko prevzamejo naloge organa za nadzor trga za določena področja iz Priloge III, na primer za področje preprečevanja, odkrivanja in preiskovanja kaznivih dejanj ter pravosodja. Tej razdelitvi pristojnosti je sledil tudi predlagatelj osnutka Zakona o izvajanju Uredbe (EU) o določitvi harmoniziranih pravil o umetni inteligenci (UI)32, ki vsebuje predlog razdelitve nadzornih pristojnosti v Sloveniji, v skladu s katerim bo Informacijski pooblaščenec pristojen za nadzor nad prepovedanimi praksami in nekaterimi visokotveganimi sistemi UI. Kljub temu, da se v letu 2024 Akt o umetni inteligenci še ni začel uporabljati, se je Informacijski pooblaščenec že začel intenzivno pripravljati na izvajanje pristojnosti v skladu s tem aktom. 31 https://www.edpb.europa.eu/system/files/2023-04/edpb_20230328_report_101task_force_en.pdf 32 Osnutek Zakona o izvajanju Uredbe (EU) o določitvi harmoniziranih pravil o umetni inteligenci (UI) je dost- open na: https://e-uprava.gov.si/si/drzava-in-druzba/e-demokracija/predlogi-predpisov/predlog-predpisa.htm- l?id=17671&lang=si (23. 4. 2025). 92 Na podlagi Akta je bil vzpostavljen Evropski odbor za umetno inteligenco (European Artificial Intelligence Board, v nadaljevanju: EAIB33), ki ga sestavljajo predstavniki držav članic in ima posvetovalno vlogo pri olajševanju dosledne in učinkovite uporabe Akta o umetni inteligenci, med drugim prispeva k usklajevanju med pristojnimi nacionalnimi organi, podpira skupne dejavnosti organov za nadzor trga, zbira in izmenjuje tehnično in regulativno strokovno znanje in najboljše prakse, svetuje, izdaja priporočila in pisna mnenja ter prispeva k pripravi smernic. Republiko Slovenijo v Evropskem odboru za umetno inteligenco zastopa državna sekretarka na Ministrstvu za digitalno preobrazbo. EAIB ima dve stalni podskupini, ki zagotavljata platformo za sodelovanje in izmenjavo med organi za nadzor trga, lahko pa ustanovi tudi druge bodisi stalne ali začasne podskupine za preučitev posebnih vprašanj. V drugi polovici leta 2024 so začele delovati prve podskupine EAIB, v katere so bili – glede na potencialno vlogo Informacijskega pooblaščenca kot organa za nadzor trga – vključeni tudi predstavniki Informacijskega pooblaščenca, ki so sodelovali v podskupinah EAIB glede prepovedanih praks, regulativnih peskovnikov in UI za splošne namene (GPAI). 3�6�3 SODELOVANJE V DRUGIH NADZORNIH TELESIH EVROPSKE UNIJE Informacijski pooblaščenec je leta 2024 na ravni EU aktivno sodeloval v štirih delovnih telesih, ki se ukvarjajo z nadzorom nad izvajanjem varstva osebnih podatkov v okviru velikih informacijskih sistemov EU, in sicer: • na koordinacijskih sestankih Odbora za usklajeni nadzor (Coordinated Supervision Committee – CSC), • na koordinacijskih sestankih EDPS in nacionalnih organov za varstvo osebnih podatkov za nadzor nad informacijskim sistemom VIS (Visa Information system – VIS), • na koordinacijskih sestankih EDPS in nacionalnih organov za varstvo osebnih podatkov za nadzor nad informacijskim sistemom CIS (Customs Information System – CIS), • na koordinacijskih sestankih EDPS in nacionalnih organov za varstvo osebnih podatkov za nadzor nad Eurodac. V letu 2024 je bilo v okviru Odbora za usklajeni nadzor sprejeto poročilo o razpisih ukrepov v Schengenski informacijski sistem (SIS) za osebe in stvari zaradi prikrite kontrole ali namenske kontrole ter poročilo o SIS statističnih podatkih v zvezi z uresničevanjem pravic posameznikov, na katere se nanašajo osebni podatki. V okviru nadzora nad obdelavo osebnih podatkov v VIS je bil sprejet Skupni nadzorni načrt za VIS. Predstavnik Informacijskega pooblaščenca je februarja 2024 sodeloval pri evalvaciji izvajanja schengenskega pravnega reda na področju varstva podatkov v Republiki Hrvaški. Marca 2024 je bil predstavnik Informacijskega pooblaščenca izvoljen za namestnika koordinatorja Odbora za usklajeni nadzor. 3�6�4 SODELOVANJE V DRUGIH MEDNARODNIH TELESIH POSVETOVALNI ODBOR T-PD V letu 2024 je predstavnik Informacijskega pooblaščenca sodeloval v Posvetovalnem odboru Sveta Evrope, ustanovljenem na podlagi Konvencije Sveta Evrope o varstvu posameznikov glede na avtomatsko obdelavo osebnih podatkov (Konvencija št. 108), znanem kot Odbor T-PD. Odbor se je sestal na plenarnih zasedanjih v juniju in novembru ter obravnaval stanje pridruževanja držav in postopek sprejema Protokola o spremembi te konvencije (t. i. Konvencije 108+). Kot vsako leto je obravnaval poročila o mednarodnem in globalnem sodelovanju Sveta Evrope v zvezi z varstvom 33 https://digital-strategy.ec.europa.eu/en/policies/ai-board 93 osebnih podatkov ter poročila nadzornih organov za varstvo osebnih podatkov iz držav članic Sveta Evrope o novostih in dosežkih na tem področju. Odbor je obravnaval tudi aktualne teme, med drugim tehnologije za povečanje zasebnosti, varstvo osebnih podatkov na področju nevroznanosti, čezmejne prenose osebnih podatkov in uporabo vzorčnih pogodbenih klavzul. Nadaljeval je tudi delo v zvezi z interpretacijo 11. člena posodobljene Konvencije. Pomemben dosežek Odbora v letu 2024 je bil sprejem tretjega modula vzorčnih pogodbenih določil za mednarodni prenos osebnih podatkov, ki je namenjen prenosom podatkov med obdelovalci. Prav tako je izdal smernice o varstvu posameznikov pri obdelavi osebnih podatkov za namene registracije in preverjanja volivcev. Naslednja prednostna tema bo vprašanje zasebnosti in varstva podatkov v kontekstu velikih jezikovnih modelov (LLMs). Odbor je podelil tudi nagrado Stefano Rodotà za izjemne prispevke na področju varstva podatkov. SVETOVNA SKUPŠČINA ZA ZASEBNOST Svetovna skupščina za zasebnost (ang. Global Privacy Assembly – GPA), ki povezuje prizadevanja več kot 130 nadzornih organov za varstvo zasebnosti in osebnih podatkov z vsega sveta, se je v letu 2024 posvečala zlasti izzivom učinkovitega mednarodnega sodelovanja med nadzornimi organi, napredku na področju nevroznanosti in nevrotehnologij ter učinkoviti regulaciji na področju globalne izmenjave podatkov. Delo konference vodi izvršni odbor, ki mu predseduje predstavnik bolgarskega nadzornega organa; njegovi člani so bili v letu 2024 predstavniki maroškega, korejskega, južnoafriškega in mehiškega nadzornega organa ter nadzornega organa države Jersey. Podporo delovanju skupščine in njenih delovnih skupin zagotavlja sekretariat, ki ga zagotavlja filipinski nadzorni organ, od leta 2022 pa morajo skladno s sprejeto resolucijo skupščine članice plačevati letno članarino. Med pomembnejšimi resolucijami, sprejetimi na zadnji konferenci leta 2024, ki je potekala na otoku Jersey in se je Informacijski pooblaščenec ni udeležil, so resolucija, posvečena nadzoru in varstvu osebnih podatkov, resolucija na temo spodbujanja uporabe certifikacije na področju varstva osebnih podatkov, resolucija o temeljnih načelih obdelave osebnih podatkov na področju nevrotehnologij in nevroznanosti, resolucija o prostem prenosu podatkov in učinkoviti regulaciji mednarodnih tokov podatkov ter resolucija o pravilih in postopkih delovanja Svetovne skupščine za zasebnost. MEDNARODNA DELOVNA SKUPINA ZA VARSTVO OSEBNIH PODATKOV V TEHNOLOŠKIH ZADEVAH Mednarodna delovna skupina za varstvo osebnih podatkov v tehnoloških zadevah (International Working Group on Data Protection in Technology – IWGDPT34; t. i. Berlin Group) je ena najdlje delujočih mednarodnih skupin na področju varstva osebnih podatkov; skupina že od leta 1983 združuje predstavnike informacijskih pooblaščencev in organov za varstvo osebnih podatkov in zasebnosti z vsega sveta. Nastala je na pobudo informacijskega pooblaščenca Berlina, sčasoma pa je svoje delovanje z domene telekomunikacij razširila tudi na druga tehnološka področja. Sprejeta mnenja skupine predstavljajo pomemben prispevek na mednarodni konferenci informacijskih pooblaščencev, usmerjajo delo nadzornih organov in regulatorjev ter veljajo za pomembna priporočila razvijalcem, ponudnikom in uporabnikom različnih tehnoloških rešitev ter regulatorjem in zakonodajalcem. IWGDPT je na zasedanju v Oslu sprejela nova delovna dokumenta, in sicer o tehnologijah za prepoznavo obrazov (Working Paper on Facial Recognition Technology35) ter o digitalnih valutah centralnih bank (Working Paper on Central Bank Digital Currency – CBDC36). 34 Spletna stran IWGDPT: https://www.bfdi.bund.de/EN/Fachthemen/Gremienarbeit/Berlin-Group/Berlin-Group- node.html 35 https://www.bfdi.bund.de/SharedDocs/Downloads/EN/Berlin-Group/20230608_WP-Facial-Recogni- tion-Tech-EN.pdf?__blob=publicationFile&v=2 36 https://www.bfdi.bund.de/SharedDocs/Downloads/EN/Berlin-Group/20240613_WP-Cental-Bank-Digital-Cur- rency-EN.html?nn=355094 94 Biometrijska prepoznava obrazov se čedalje bolj uveljavlja kot orodje za zagotavljanje varnosti, obenem pa njena uporaba na javnih mestih prinaša številna tveganja za cel spekter temeljnih človekovih pravic. IWGDPT v svojem dokumentu predstavi glavne značilnosti tovrstnih tehnologij, uporabo v zasebnem in javnem sektorju, tveganja za zasebnost in varstvo osebnih podatkov ter možne ukrepe za obvladovanje tveganj, podaja pa tudi priporočila za regulatorje in uporabnike. Digitalne valute centralnih bank predstavljajo digitalno različico klasičnih valut in se lahko uporabljajo tako za spletne kot za gotovinske transakcije. Številne centralne banke po svetu bodisi raziskujejo bodisi že uvajajo svoje digitalne valute predvsem kot odgovor na uveljavljanje kriptovalut, stremijo pa k utrditvi položaja in vloge centralnih bank, krepitvi monetarne politike, izboljšavi finančnega nadzora ter stabilnosti lastne valute. Z vidika zasebnosti je ključno, kako so takšni sistemi zasnovani, saj lahko v najslabšem primeru centralnim in poslovnim bankam omogočijo še podrobnejši vpogled v finančne informacije o posameznikih, kar lahko vodi v podrobno profiliranje in nadzor posameznikov. V delovnem dokumentu IWGDPT so predstavljena tovrstna tveganja, analizirane različne izvedbene možnosti, v njem so podana priporočila zakonodajalcem, centralnim bankam ter finančnim institucijam. Na zasedanju v Bruslju sta bila potrjena nova delovna dokumenta, in sicer dokument o umetni inteligenci in velikih jezikovnih modelih (Working Paper on Large Language Models (LLMs)37) ter dokument o deljenju podatkov (Working Paper on Data Sharing38). Delovni dokument obravnava velike jezikovne modele – gre za matematične modele, ki temeljijo na umetni inteligenci in strojnem učenju, namenjeni pa so izvajanju različnih nalog na področju naravnega jezika. Predvsem v zadnjih dveh letih je hiter razvoj omogočil razvijanje aplikacij, ki omogočajo skoraj naravno komunikacijo z računalniki in druge, z jezikom povezane naloge, ki jih lahko zaupamo računalnikom (npr. nakupovalni asistent ali pomočnik za zapisovanje izvidov). Veliki jezikovni modeli morajo za svoj razvoj in delovanje predelati ogromno besedil, ki pogosto vsebujejo osebne podatke. V delovnem dokumentu IWGDPT je opisanih nekaj najpogostejših scenarijev uporabe velikih jezikovnih modelov, podano je tehnično ozadje njihovega delovanja ter analiza tveganj za varstvo osebnih podatkov in zasebnost. V sklepnem delu so podani primeri dobrih praks za obvladovanje identificiranih tveganj. Delovni dokument o deljenju podatkov obravnava priložnosti in nevarnosti, ki jih prinaša deljenje različnih vrst podatkov, vključno z osebnimi, in sicer z namenom izboljšanja uporabniške izkušnje, optimizacije poslovnih procesov ter za spodbujanje razvoja in novih inovacij. S kombiniranjem podatkov lahko namreč organizacije dobijo dodaten vpogled v to, kako delujejo sistemi in kako se vedejo potrošniki, ugotovijo lahko, kako učinkovito zagotavljati javne storitve, pri tem pa se dodana vrednost podatkov ustvarja v obliki drugotnih namenov uporabe podatkov, kar samo po sebi predstavlja določena tveganja, zlasti ko gre za osebne podatke. Delovni dokument opozarja na pomen upoštevanja temeljnih načel in poudarja nujnost uporabe zaščitnih pristopov, kot je vgrajena zasebnost. V letu 2025 se bo IWGDPT posvečala vprašanjem kognitivne zasebnosti, nadgrajene resničnosti (angl. Extended Reality) ter upravljanja digitalnih podatkov po smrti posameznika. INITIATIVE 20i7 Maja 2024 so se nadzorni organi za varstvo osebnih podatkov iz Hrvaške, Severne Makedonije, Črne gore, Kosova in Slovenije srečali v Zadru na šestem letnem zasedanju pobude Initiative 20i7, ki je nastala na pobudo Informacijskega pooblaščenca z namenom izmenjave izkušenj med nadzornimi organi s področja nekdanje Jugoslavije ter njihovega približevanja teh držav EU. Na zasedanju so nadzorni organi predstavili stanje na področju zakonodaje 37 https://www.bfdi.bund.de/SharedDocs/Downloads/EN/Berlin-Group/20241206-WP-LLMs.pdf?__blob=publica- tionFile&v=1 38 https://www.bfdi.bund.de/SharedDocs/Downloads/EN/Berlin-Group/20241206-WP-Data-Sharing.pdf?__blob=- publicationFile&v=2 95 o varstvu osebnih podatkov v posameznih državah ter izmenjali izkušnje o vlogi nadzornih organov na področjih, kot so uvajanje umetne inteligence, varstvo osebnih podatkov pri izvajanju nacionalnih popisov, uporaba biometrijskih ukrepov ter pristopi za dvigovanje ozaveščenosti o pomenu varstva osebnih podatkov. Predstojniki nadzornih organov bodo nadaljevali tako z letnimi srečanji kakor tudi z bilateralnimi sodelovanji in sodelovanjem, kadar se pojavi potreba po skupnem ukrepanju glede ozaveščanja javnosti in drugih deležnikov ali potreba po izvajanju nadzornih ukrepov. Informacijski pooblaščenec je tako v novembru 2024 na študijskem obisku gostil vodstvo nadzornega organa za varstvo osebnih podatkov iz Bosne in Hercegovine, ki mu je predstavil izkušnje na področju analiz tveganj in ocen učinkov, določanja in izrekanja sankcij po Splošni uredbi o varstvu osebnih podatkov ter izkušnje na področju izvajanja inšpekcijskega nadzora. POBUDA O SODELOVANJU SREDNJEEVROPSKIH NADZORNIH ORGANOV ZA VARSTVO OSEBNIH PODATKOV Od 11. do 13. septembra 2024 je na pobudo nadzornega organa Avstrije na Dunaju potekalo prvo srečanje srednjeevropskih organov za varstvo osebnih podatkov, ki prihajajo iz Slovenije, Avstrije, Madžarske, Češke in Slovaške. Namen te pobude je vzpostaviti tesnejše sodelovanje med sodelujočimi organi ter izmenjava dobrih praks pri obravnavi sorodnih tem s področja varstva osebnih podatkov. Na delovnem srečanju, ki je tokrat potekalo v organizaciji avstrijskega nadzornega organa, so si predstavniki izmenjali informacije o njihovih pristojnostih, interni organizaciji, načinu imenovanja predstojnikov, vrstah postopkov, ki jih vodijo nadzorni organi, ter razpravljali o največjih izzivih, ki jih čakajo v prihodnosti in na katere se bodo morali ustrezno odzvati. 3�7 SPLOŠNA OCENA STANJA VARSTVA OSEBNIH PODATKOV Informacijski pooblaščenec je na področju varstva osebnih podatkov opravljal naloge, ki mu jih nalaga Splošna uredba ter drugi zakoni, ki urejajo obdelavo ali varstvo osebnih podatkov. Splošna uredba, ki se od 25. 5. 2018 neposredno uporablja v vseh državah članicah EU, je terjala sprejem novega Zakona o varstvu osebnih podatkov (ZVOP-2), ki pa je bil sprejet šele 15. 12. 2022 in se je začel uporabljati 26. 1. 2023. S sprejetjem novega ZVOP-2 je Informacijski pooblaščenec postal pristojen tudi za izrekanje sankcij za kršitve, ki jih predpisuje Splošna uredba. Te kršitve se skladno z določbami ZVOP-2 pravnim osebam, samostojnim podjetnikom posameznikom in posameznikom, ki samostojno opravljajo dejavnost, izrekajo kot globe za prekrške. Bistvena novost, ki jo je glede nadzornih postopkov uvedel ZVOP-2, so nadzorni postopki, v katerih Informacijski pooblaščenec obravnava prijave prijavitelja s posebnim položajem. V teh nadzornih postopkih Informacijski pooblaščenec obravnava izključno kršitve, ki jih v svojih zahtevah zatrjujejo posamezniki, ki menijo, da obdelava njihovih osebnih podatkov s strani upravljavca ali obdelovalca krši določbe Splošne uredbe, ZVOP-2 ali drugih zakonov, ki urejajo obdelavo ali varstvo osebnih podatkov. Informacijski pooblaščenec je v obravnavanem obdobju zaradi suma kršitve varstva osebnih podatkov skupaj prejel 855 prijav (štete so tako inšpekcijske prijave oziroma pobude kot tudi prijave prijaviteljev s posebnim položajem). Na podlagi inšpekcijskih prijav oziroma pobud je Informacijski pooblaščenec uvedel 141 inšpekcijskih postopkov, poleg tega pa je na podlagi prijav prijaviteljev s posebnim položajem vodil 184 nadzornih postopkov. Po uradni dolžnosti in skladno z letnim načrtom dela je uvedel še 37 inšpekcijskih postopkov. Dodatno je v 138 čezmejnih nadzornih postopkih sodeloval kot zadevni nadzorni organ na podlagi 60. člena Splošne uredbe o varstvu podatkov (postopek čezmejnega sodelovanja). Skupaj je torej Informacijski pooblaščenec na področju varstva osebnih podatkov v obravnavanem obdobju uvedel 1.214 novih nadzornih postopkov. 96 V okviru 184 prijav prijaviteljev s posebnim položajem po 77. členu Splošne uredbe ter 30. členu ZVOP- 2 je bilo 75 prijav vloženih zaradi suma nezakonite obdelave osebnih podatkov prijavitelja, 109 pa zaradi suma kršitve pravic prijavitelja, in sicer 82 zaradi suma kršitve pravice dostopa do lastnih osebnih podatkov, 21 zaradi suma kršitve pravice do izbrisa, pet zaradi suma kršitve pravice do popravka in ena zaradi suma kršitve pravice do ugovora. Pri vodenju nadzornih postopkov se je tudi v letu 2024 največ težav pojavilo ravno pri obravnavi prijav prijaviteljev s posebnim položajem, saj gre za povsem sui generis nadzorni postopek, ki ga tako prijavitelji kot tudi zavezanci ne poznajo dobro. Pogosto se je namreč dogajalo, da so bile prejete prijave oziroma vloge nepopolne in jih prijavitelji tudi po pozivu niso ustrezno dopolnili oziroma so prijavitelji v njih pogosto zatrjevali enkratno preteklo kršitev (npr. nezakonit vpogled v njihove osebne podatke, posredovanje osebnih podatkov nepooblaščenemu uporabniku), ki v času vložitve prijave ni več obstajala. Taka prijava ne more biti predmet nadzornega postopka, v okviru katerega Informacijski pooblaščenec obravnava prijavo prijavitelja s posebnim položajem, saj se skladno s 30. in 34. členom ZVOP-2 v tem postopku lahko obravnavajo le tiste zatrjevane kršitve obdelave osebnih podatkov prijavitelja s posebnim položajem, ki v trenutku vložitve prijave še obstajajo. Ugotavljanje preteklih kršitev varstva osebnih podatkov lahko posameznik skladno z določbami 11. člena ZVOP-2 s tožbo zahteva od sodišča, medtem ko lahko Informacijski pooblaščenec v takih primerih kršitev obravnava zgolj v okviru postopka o prekršku, nadzorni postopek pa lahko uvede le v primeru, ko iz prijave izhaja, da je treba upravljavcu naložiti sprejem ukrepov (npr. organizacijskih in tehničnih ukrepov za zagotavljane varnosti osebnih podatkov), s katerimi se bodo podobne možne kršitve preprečevale v prihodnosti. Na področju procesnih vidikov vodenja postopka, sproženega na podlagi prijave prijavitelja s posebnim položajem, še ni sodne prakse, saj do zdaj nobena od odločitev Informacijskega pooblaščenca še ni bila predmet presoje s strani sodišča. Nejasnosti postopka, kot je predpisan v ZVOP-2, bodo z vidika pravne varnosti v prihodnosti morale biti razrešene. V prijavah, ki jih je v obravnavanem obdobju prejel in obravnaval Informacijski pooblaščenec, so prijavitelji navajali podobne kršitve varstva osebnih podatkov kot v preteklih obdobjih. Največ prijav se je nanašalo na sum nezakonitega izvajanja videonadzora. Po številu so sledile prijave, vložene zaradi nezakonitega razkrivanja in posredovanja osebnih podatkov neupravičenim osebam, nezakonitega ali prekomernega zbiranja osebnih podatkov, uporabe osebnih podatkov za namene neposrednega trženja, neustreznega zagotavljanja varnosti osebnih podatkov ter nezakonitih vpogledov v zbirke osebnih podatkov. Kar zadeva prijave v zvezi z izvajanjem videonadzora, velja izpostaviti zlasti problematiko izvajanja videonadzora znotraj delovnih prostorov, ki se pogosto izvaja primarno z namenom nadzora nad zaposlenimi ter na način, da se dogajanje pred kamerami neposredno prenaša na osebne računalnike ali mobilne telefone vodilnih, kar je v nasprotju z zakonsko dopustnimi nameni za izvajanje videonadzora v delovnih prostorih. Število tovrstnih prijav iz leta v leto narašča. V zvezi z obdelavo osebnih podatkov v okviru delovnega razmerja je bil v letu 2024 opažen tudi porast prijav v zvezi z uporabo vohunske programske opreme, ki jo delodajalci z namenom izvajanja nadzora nad delom zaposlenih nameščajo na njihove računalnike in s katero (večinoma prikrito) spremljajo dejavnost zaposlenih na njihovih službenih računalnikih. Veliko prijav se je nanašalo tudi na izvajanje videonadzora s strani fizičnih oseb, ki so izvajale videonadzor s kamerami, nameščenimi na njihove objekte. Na podlagi tovrstnih prijav je Informacijski pooblaščenec inšpekcijski postopek načeloma uvedel le v primerih, kadar je posameznik videonadzor izvajal ob opravljanju poklicne ali komercialne dejavnosti, kadar je posnetke posameznikov posredoval nepooblaščeni tretji osebi ali jih je objavil na internetu oziroma kadar je videonadzor pomenil snemanje javnega prostora. Zasebni videonadzor z vidika varstva osebnih podatkov praviloma pomeni obdelavo podatkov, ki jo posameznik izvaja izključno za svoje lastne, domače namene, zato se Splošna uredba (na kar je vezana pristojnost Informacijskega pooblaščenca) načeloma ne uporablja. Poleg tega je treba 97 poudariti, da morajo biti za uvedbo inšpekcijskega postopka zoper posameznika, ki izvaja videonadzor s kamerami, ki jih je namestil na svoje objekte, podani konkretni dokazi o nezakonitem izvajanju videonadzora (npr. konkretni videoposnetek ali posnetek zaslonske slike), torej o tem, da posameznik dejansko snema površine, ki niso v njegovi lasti, oziroma da posnetke uporablja za namene, ki presegajo domačo uporabo, ter da so posnetki takšne kakovosti, da omogočajo prepoznavo posameznikov. To je pomembno, ker vstop v stanovanje zaradi ustavne določbe nedotakljivosti stanovanja ni dopusten brez odredbe sodišča, ki pa bo tako odredbo izdalo samo v primeru zadostnega suma kršitve predpisov s strani posameznika, kršitev pa mora biti tudi dovolj resna, da odtehta relativno velik poseg v nedotakljivost stanovanja, kot ga predstavljata vstop in preiskava stanovanjskih prostorov s strani državnega organa. Informacijski pooblaščenec je v okviru obravnave prijav, ki jih je prejel s strani posameznikov, ugotovil, da so bile te v mnogih primerih vložene zaradi nerazumevanja določb in dometa Splošne uredbe. Veliko prejetih prijav tudi ni dosegalo standardov za uvedbo inšpekcijskega postopka z vidika javnega interesa ali pa zatrjevane kršitve ne kažejo na sistemsko problematiko – pogosto gre namreč za zatrjevane enkratne kršitve, storjene v preteklosti, ki se jih z inšpekcijskimi ukrepi ne da odpraviti in jih je možno zgolj sankcionirati v postopku o prekršku. Opaziti je bilo tudi, da do mnogih prijav niti ne bi prišlo, če bi se posamezniki, ki menijo, da je bila kršena njihova pravica do varstva podatkov, za pojasnila najprej obrnili na upravljavca njihovih podatkov. V večini primerov namreč upravljavci nepravilnosti odpravijo, še preden jim Informacijski pooblaščenec izda ureditveno odločbo, kar kaže na to, da upravljavci določbe zakonodaje o varstvu podatkov pogosto ne kršijo namenoma, temveč zaradi pomanjkanja podrobnega poznavanja predpisov. Nasprotno pa kažejo izkušnje iz postopkov, v katerih Informacijski pooblaščenec preverja ustrezno zagotavljanje varnosti podatkov, ter izkušnje v primerih izvajanja videonadzora. Pri teh so bile ugotovljene kršitve pogosto posledica malomarnega ali neustreznega zagotavljanja varnosti osebnih podatkov ter namerne nezakonite obdelave osebnih podatkov s strani vodstva ali zaposlenih pri upravljavcih osebnih podatkov. Mnogokrat se je v tovrstnih postopkih izkazalo tudi, da bi lahko upravljavci marsikatero prijavo preprečili, če bi ob zbiranju ali pridobitvi osebnih podatkov posameznikom zagotovili pregledne, razumljive in lahko dostopne informacije, kot jim to nalagajo 12., 13. in 14. člen Splošne uredbe. Nezagotavljanje jedrnatih, preglednih, razumljivih in lahko dostopnih informacij iz 13. in 14. člena Splošne uredbe (kdo je upravljavec osebnih podatkov, za kakšne namene se osebni podatki obdelujejo in na kakšni pravni podlagi, kdo so uporabniki osebnih podatkov, koliko časa se podatki hranijo itd.) je bilo kljub že izvedenim akcijam ozaveščanja upravljavcev in kljub vzorcem takšnih obvestil, ki jih je Informacijski pooblaščenec pripravil in objavil na svojih spletnih straneh, tudi v obravnavanem obdobju ena od pogosto ugotovljenih kršitev. Informacijski pooblaščenec je v letu 2024 obravnaval tudi 15 primerov nedovoljenega sporočanja ali druge nedovoljene obdelave osebnih podatkov o pacientih, ki so jih nanj na podlagi 46. člena ZPacP naslovili izvajalci zdravstvenih dejavnosti. Na podlagi tovrstnih obvestil Informacijski pooblaščenec že tradicionalno uvede največji delež prekrškovnih postopkov. Informacijski pooblaščenec je obravnaval tudi 160 uradnih obvestil o kršitvi varnosti osebnih podatkov, ki so mu jih v letu 2024 na podlagi 33. člena Splošne uredbe poslali upravljavci osebnih podatkov. Ta obvestila so se najpogosteje nanašala na posredovanje dokumentov z osebnimi podatki (npr. zdravniških izvidov, računov, dokumentov v upravnih postopkih, debetne kartice) napačnim osebam kot posledica nenamerne človeške napake ali netočnih podatkov v zbirkah osebnih podatkov (npr. e-naslovov strank), nezakonito razkritje ali posredovanje osebnih podatkov nepooblaščenim osebam, nepooblaščeno dostopanje do osebnih podatkov zaradi programske napake ali zlorabe pooblastil s strani zaposlenih ter neustrezno zagotavljanje varnosti osebnih podatkov. V zadnjih letih je opazen porast obvestil o kršitvi varnosti osebnih podatkov zaradi kibernetskega napada oziroma vdora v informacijski sistem z izsiljevalskim virusom, kar upravljavcem osebnih podatkov, ki ne izvajajo ustreznih tehničnih in 98 organizacijskih ukrepov za zagotavljaje varnosti obdelave osebnih podatkov, povzroča velike stroške ter težave pri zagotavljanju zmožnosti pravočasne povrnitve razpoložljivosti in dostopnosti osebnih podatkov. Na področju pacientovih pravic je Informacijski pooblaščenec obravnaval še 13 pritožb zaradi kršitve pravice do seznanitve z lastno zdravstveno dokumentacijo (41. člen ZPacP) ter 15 pritožb zaradi kršitve pravice do seznanitve z zdravstveno dokumentacijo po pacientovi smrti (42. člen ZPacP). Informacijski pooblaščenec je v letu 2024 obravnaval tudi 14 pritožb posameznikov, ki so bile vložene po ZVOPOKD, in sicer 13 zaradi suma kršitve pravice dostopa do lastnih osebnih podatkov ter eno zaradi suma kršitve pravice do izbrisa in popravka. V četrtem odstavku 41. člena ZVOP-2 je bila Informacijskemu pooblaščencu podeljena tudi pristojnost za odločanje o pritožbah vlagateljev, ki jim je upravljavec zavrnil posredovanje osebnih podatkov iz uradnih evidenc ali javnih knjig. V letu 2024 je Informacijski pooblaščenec obravnaval 11 takšnih pritožb. Informacijski pooblaščenec je, podobno kot v preteklih letih, tudi v letu 2024 poleg obravnave prijav in pritožb skladno z letnim delovnim načrtom izvajal redne in sistematične inšpekcijske nadzore, v okviru katerih je pri zavezancih nadzoroval zlasti: 1. zakonitost obdelave osebnih podatkov ter spoštovanje splošnih načel za obdelavo osebnih podatkov; 2. ustreznost postopkov in ukrepov za zagotavljanje varnosti osebnih podatkov iz 25. in 32. člena Splošne uredbe ter s tem povezano ustreznost notranjih aktov, s katerimi upravljavci in obdelovalci predpisujejo te postopke; 3. izvajanje določb Splošne uredbe, ki urejajo zagotavljanje informacij o obdelavi osebnih podatkov (13. in 14. člen), pogodbeno obdelavo osebnih podatkov (28. in 29. člen) ter vodenje evidenc obdelave (30. člen); 4. zakonitost izvajanja videonadzora znotraj delovnih prostorov in s tem povezano zakonitost neposrednega spremljanja dogajanja pred kamerami, ustreznost pisnih odločitev o uvedbi videonadzora ter ustreznost obvestil o njegovem izvajanju. Informacijski pooblaščenec mora v letnem poročilu na podlagi drugega odstavka 62. člena ZVOP-2 poročati tudi o sodelovanju z drugimi organi pri izvajanju nadzorov po tem zakonu ter o predlaganih in opravljenih nadzorih iz 38. člena ter četrtega odstavka 63. člena tega zakona. Informacijski pooblaščenec je pri nadzoru najpogosteje sodeloval z Agencijo za komunikacijska omrežja in storitve RS, s katero je sodeloval na področju elektronskih komunikacij ter Akta o digitalnih storitvah, z Uradom Vlade RS za informacijsko varnost, s katerim je sodeloval na področju zagotavljanja varstva zasebnosti in informacijske varnosti na področju elektronskih omrežij, sistemov, storitev in informacij ter s tem povezanih obravnav varnostnih groženj in incidentov, s Tržnim inšpektoratom na področju neželenih komunikacij in pravic uporabnikov ter nepoštenih in zavajajočih poslovnih praks, z Javno agencijo za zdravila in medicinske pripomočke na področju hrambe genskih podatkov ter s Finančno upravo RS na področju izvajanja videonadzora v prostorih igralnice. Opravljeni nadzori po 38. členu ZVOP-2 se nanašajo na področje posebnih obdelav, ki so opredeljene v 23. členu ZVOP-2. Gre za nadzore nad informacijskimi sistemi, v katerih se obdelujejo osebni podatki, določeni v zakonih, ki urejajo področje notranjih zadev, finančne uprave, državljanstva, Slovenske obveščevalno-varnostne agencije, obrambe, zdravstvenega varstva, obveznega zdravstvenega zavarovanja, uveljavljanje pravic iz javnih sredstev ter kazenskih in prekrškovnih evidenc, pa tudi za nadzore nad informacijskimi sistemi, v katerih se obdelujejo osebni podatki več kot 100.000 posameznikov na podlagi zakona, kadar upravljavec ali obdelovalec kot svojo temeljno dejavnost izvaja obsežne obdelave posebnih vrst osebnih podatkov ter kadar se obdeluje posebne vrste osebnih podatkov več kot 10.000 posameznikov. Za področje posebnih obdelav velja 99 prehodna določba 116. člena ZVOP-2, v skladu s katero so upravljavci in obdelovalci osebnih podatkov, ki jih vključuje prvi odstavek 23. člena ZVOP-2, obdelave dolžni uskladiti z določbami 23. člena tega zakona v roku treh let od uveljavitve zakona, torej najkasneje do 26. 1. 2026. Slednje pa ni ovira, da ne bi Informacijski pooblaščenec nadzora nad upravljavci teh informacijskih sistemov opravljal že prej. Obdelava osebnih podatkov v teh sistemih namreč zaradi narave in količine osebnih podatkov predstavlja še posebej velika tveganja zaradi nevarnosti namernega ali nezakonitega uničenja, izgube, spremembe ter nepooblaščenega razkritja ali dostopa, pri čemer je treba opozoriti, da 116. člen ZVOP-2 upravljavcev in obdelovalcev takšnih sistemov ne odvezuje zagotavljanja varnosti osebnih podatkov in javljanja kršitev varnosti osebnih podatkov na način, kot jim ga že zdaj nalagajo 25., 32., 33. in 34. člen Splošne uredbe. Zaradi zaznanih sumov neskladnosti obdelave osebnih podatkov z določbami Splošne uredbe ter ob upoštevanju ugotovitev iz že opravljenih nadzorov pri upravljavcih in obdelovalcih na področju posebnih obdelav je Informacijski pooblaščenec v letu 2024 skladno z letnim načrtom inšpekcijskih nadzorov izvedel šest postopkov inšpekcijskega nadzora, ki so se nanašali predvsem na zagotavljanje varnosti hrambe in sledljivosti uporabe posebnih vrst osebnih podatkov, hrambo podatkov pri zunanjih ponudnikih, zagotavljanje ustreznih informacij o obdelavi osebnih podatkov ter vodenje evidence dejavnosti obdelave. V skladu s četrtim odstavkom 63. člena ZVOP-2 bi Varuh človekovih pravic Informacijskemu pooblaščencu lahko predlagal izvedbo inšpekcijskega nadzora pri katerem koli upravljavcu ali obdelovalcu. V letu 2024 Informacijski pooblaščenec takega predloga Varuha človekovih pravic ni prejel. Z vidika skladnosti in preventive je Informacijski pooblaščenec skozi leta razvil obširen nabor instrumentov in orodij, s katerimi pozitivno vpliva na raven ozaveščenosti in s tem razumevanja in spoštovanja zakonodaje. Preventivne dejavnosti Informacijskega pooblaščenca vključujejo izdajo smernic, infografik, mnenj, obveščanje javnosti prek spletne strani, družabnih omrežij in novičnikov, sodelovanje s partnerskimi organizacijami, podeljevanje priznanj ob dnevu varstva osebnih podatkov, izvedbo brezplačnih predavanj in udeležbo na relevantnih strokovnih posvetih in konferencah ter številne druge aktivnosti. Kot nakazujejo izkušnje na področju inšpekcijskega nadzora ter izkušnje nadzornih organov za varstvo osebnih podatkov iz drugih držav, si večina zavezancev ne želi kršiti predpisov in je pri mnogih večja težava slabo poznavanje in razumevanje predpisov ter njihovo spoštovanje na praktični ravni. Usmerjenost k uporabnikom preventivnih vsebin, gradiv in aktivnosti je ključnega pomena, saj je treba kompleksne pravne predpise na čim bolj preprost in čim bolj razumljiv način približati zavezancem, ki ne razpolagajo z obsežnimi pravnimi viri in ne razumejo pravnega izrazoslovja. V tem pogledu so zlasti pomembne razumljive vsebine na spletni strani Informacijskega pooblaščenca, kjer izpostavljamo t. i. ključna področja zakonodaje o varstvu osebnih podatkov in kjer je objavljena obsežna zbirka pisnih mnenj. Ključna področja predstavljajo kratke, razumljive in uporabne predstavitve temeljnih elementov zakonodaje o varstvu osebnih podatkov, kot so privolitev, informiranje posameznikov in evidence dejavnosti. Uporabniki lahko poleg bistvenih informacij o posameznem področju najdejo navedbo relevantnih členov Splošne uredbe in ZVOP-2 ter povezavo do uporabnih gradiv, kot so smernice Informacijskega pooblaščenca in EOVP, infografike, vzorci in obrazci. Devetim obstoječim ključnim področjem smo v letu 2024 dodali nova ključna področja o umetni inteligenci, skupnih upravljavcih ter certifikaciji in akreditaciji. Informacijski pooblaščenec je pripravil dve novi infografiki – razumljivo razlago temeljnih načel varstva osebnih podatkov ter infografiko z napotki, kako izbrati močno geslo, objavil je tudi Smernice o varstvu osebnih podatkov za lovske zveze in družine ter Smernice za upravnike večstanovanjskih stavb. Informacijski pooblaščenec je glede na novo ureditev v ZVOP-2, ki opredeljuje tudi postopek, ki se vodi na zahtevo prijavitelja s posebnim položajem, posodobil in poenotil obrazec vloge zaradi kršitve varstva osebnih podatkov (Obrazec VOP prijava). Posodobljeni obrazec na enem mestu omogoča natančnejšo opredelitev in razlikovanje med nadzornimi postopki (med postopkom v zvezi s kršitvami 100 podatkov konkretnega prijavitelja ter klasičnim inšpekcijskim postopkom), kar prijaviteljem omogoča boljšo predstavitev njihovih pravic in poteka postopka, Informacijskemu pooblaščencu pa učinkovitejše dodeljevanje, izvajanje in upravljanje prejetih zahtev posameznikov. Posodobljen je bil tudi obrazec za zavezance, ki morajo Informacijskega pooblaščenca kot nadzorni organ obvestiti o kršitvi varnosti podatkov po 33. členu Splošne uredbe o varstvu podatkov. Glede na ugotovitve iz inšpekcijskega nadzora, da je pomemben del kršitev še vedno povezan z videonadzorom, je Informacijski pooblaščenec v pomoč zavezancem posodobil vzorec evidence uporabe videonadzornega sistema glede na novo ureditev videonadzora v ZVOP-2. Pomembno novost na področju ocen učinka, ki so bistvene za pravočasno in celovito obvladovanje tveganj z naslova varstva osebnih podatkov, je prinesla določba tretjega odstavka 24. člena ZVOP-2, ki je uvedla t. i. zakonodajne ocene učinka. Omenjena določba od predlagateljev predpisov zahteva, da kadar se z zakonom določa obdelava osebnih podatkov, za katero je treba izdelati oceno učinka, predlagatelj predpisa izvede zakonodajno oceno učinka in jo posreduje v predhodno posvetovanje Informacijskemu pooblaščencu. Posledično se je občutno povečalo število prejetih ocen učinka glede varstva osebnih podatkov. Število izdanih mnenj na ocene učinka vsako leto narašča, in sicer je Informacijski pooblaščenec v postopku predhodnega posvetovanja v letu 2024 izdal 36 mnenj (v letu 2023 je bilo izdanih 29 mnenj, v letu 2022 14, v letu 2021 pa šest mnenj). Kakovost prejetih ocen učinka se izboljšuje, še vedno pa je mogoče opaziti pomembno razliko v dojemanju pomena ocen učinka, saj tisti zavezanci, ki bolje razumejo prednosti teh ocen, praviloma izdelajo bolj poglobljene in bolj kakovostne ocene učinka. Informacijski pooblaščenec mnenja na zakonodajne ocene učinka objavlja na svoji spletni strani poleg mnenj na predloge predpisov, kar je v pomoč predlagateljem predpisov, ki lahko iz objavljenih mnenj razberejo, na katere točke je treba biti posebej pozoren. Za boljše razumevanje zakonodajnih ocen učinka so bile ocene učinkov ključna točka srečanja s pooblaščenimi osebami za varstvo osebnih podatkov na ministrstvih, ki ga je v novembru 2024 organiziral Informacijski pooblaščenec. Posebej je bilo izpostavljeno korektno ocenjevanje resnosti tveganj glede varstva osebnih podatkov, saj se v prejetih ocenah učinka v grobem posplošuje vidik resnosti tveganj kot »kršitev varstva osebnih podatkov« in pogosto navede le opredelitev splošne ravni tveganja brez podrobnejše obrazložitve (npr. majhna/ srednja/visoka). Neustrezna in ne dovolj konkretna opredelitev tveganj namreč ne omogoča oblikovanja primernih zaščitnih ukrepov in varovalk. Na področju pooblaščenih oseb za varstvo osebnih podatkov (angl. Data Protection Officer; DPO) Informacijski pooblaščenec ugotavlja, da je večina zavezancev izpolnila dolžnosti glede posredovanja podatkov o pooblaščenih osebah v register pooblaščenih oseb, zato gre z vidika registra zdaj večinoma za vzdrževalne aktivnosti ob spremembah podatkov (npr. ob razrešitvi pooblaščenih oseb ali ob imenovanju novih). Analiza registra kaže, da glede na zahteve Splošne uredbe pretežni del registra predstavljajo pooblaščene osebe v sektorju vzgoje in izobraževanja, številčen je tudi sektor izvajalcev zdravstvenih dejavnosti, ki morajo pooblaščeno osebo imenovati zaradi obsežne obdelave zdravstvenih podatkov, ki sodijo med posebne vrste osebnih podatkov. Številni, zlasti manjši zavezanci, so zaradi omejitev glede kadrov in ob upoštevanju zahteve glede položaja pooblaščene osebe imenovale zunanje (pogodbene) pooblaščene osebe, ki pa nudijo različno kakovostne storitve. Informacijski pooblaščenec je tudi v letu 2024 redno izdajal mnenja za splošno in strokovno javnost – izdal je 981 mnenj na zaprosila posameznikov in organizacij (850 pisnih in 131 telefonskih svetovanj) ter 84 pripomb na predpise. Poleg pisnih mnenj je bilo opravljenih tudi 1479 svetovanj po telefonu v okviru rednega dežurstva; Informacijski pooblaščenec omogoča telefonski posvet z dežurnim državnim nadzornikom za varstvo osebnih podatkov (vsak dan med 9. in 12. uro). Mnenja so objavljena na spletni strani Informacijskega pooblaščenca. Razvrščena so v kar 73 vsebinskih področij, objavljenih pa je več kot 8.500 mnenj, zato ocenjujemo, da takšna zbirka objavljenih mnenj predstavlja pomembno bazo znanja o različnih vidikih varstva osebnih podatkov, ki je v pomoč tako zavezancem kakor tudi posameznikom. 101 Kot vsako leto je tudi v letu 2024 Informacijski pooblaščenec evropski dan varstva osebnih podatkov obeležil z organizacijo dogodka, katerega rdeča nit je bilo prvo leto uporabe novega Zakona o varstvu osebnih podatkov (ZVOP-2), ki se je začel uporabljati 26. januarja 2023. Tudi tokrat je Informacijski pooblaščenec podelil priznanja organizacijam, ki so v preteklem letu pridobile certifikat po standardu ISO/IEC 27001:2013 (2022) s področja informacijske varnosti, in sicer je v letu 2023 tovrstni certifikat prvič pridobilo 30 organizacij. Priznanje ambasador zasebnosti je za leto 2023 prejela Katja Koren Ošljak iz zavoda Vsak za njen angažma pri pripravi razstave o mladih, zasebnosti in zaupanju z naslovom Kaj te briga?!. Obeležitev evropskega dne varstva osebnih podatkov predstavlja pomembno preventivno dejavnost Informacijskega pooblaščenca, saj omogoča naslavljanje aktualnih vprašanj, s podelitvijo priznanj za dobre prakse pa organizacije spodbuja k varovanju osebnih podatkov ter jih nagrajuje za njihov trud na tem področju. Tudi v letu 2024 je Informacijski pooblaščenec izvedel številna pro bono predavanja s tega področja, in sicer je bilo izpeljanih 51 predavanj. Predstavniki Informacijskega pooblaščenca so aktivno sodelovali na konferencah, seminarjih in drugih dogodkih; posebej velja omeniti zelo dobro obiskan brezplačni seminar Obravnava zahtev posameznikov za uveljavljanje pravic po Splošni uredbi (EU) o varstvu podatkov in ZVOP-2, ki je v aprilu 2024 potekal dvakrat. Informacijski pooblaščenec je v letu 2024 v okviru EOVP sodeloval pri pripravi Vodnika po varstvu podatkov za majhna in srednje velika podjetja. Vodnik vsebuje informacije o temeljnih zahtevah varstva osebnih podatkov, ki so lahko manjšim podjetjem v pomoč pri zagotavljanju skladnosti s Splošno uredbo. Informacijski pooblaščenec je z Ministrstvom za javno upravo, Računskim sodiščem Republike Slovenije in Inšpektoratom Republike Slovenije za notranje zadeve sodeloval pri izdaji prenovljenega Vodnika za organizatorje volilnih in referendumskih kampanj. Informacijski pooblaščenec aktivno podpira in spodbuja mlade, ki jih zanima področje varovanja zasebnosti in osebnih podatkov. Ekipa Pravne fakultete Univerze v Ljubljani je pod njegovim mentorstvom na mednarodnem študentskem tekmovanju Data Protection Moot Court osvojila naslov najboljše ekipe na tekmovanju, nagrado za najboljši pisni izdelek ter nagrado za najboljšo govorko tekmovanja. Tudi v letu 2024 je Informacijski pooblaščenec izvajal preventivne aktivnosti za skladnost (angl. privacy sweep), pri čemer lahko izpostavimo usklajeno akcijo sodelovanja v okviru EOVP, t. i. CEF (Coordinated Enforcement Framework). V okviru skupne akcije so nadzorni organi za varstvo osebnih podatkov analizirali stanje na področju izvrševanja pravice posameznikov do dostopa do lastnih osebnih podatkov in pripravili ukrepe za okrepitev te pravice. Pravica do dostopa do lastnih osebnih podatkov je ena najpomembnejših in najpogosteje uveljavljenih pravic s področja varstva osebnih podatkov, kar vodi v veliko število prijav zaradi domnevnih kršitev. Informacijski pooblaščenec jih vsako leto obravnava več kot 100. Izsledki skupne akcije kažejo, da je potrebno večje ozaveščanje upravljavcev o Smernicah Evropskega odbora za varstvo podatkov št. 01/2022 o pravicah posameznikov, na katere se nanašajo osebni podatki – pravica do dostopa na nacionalni ravni in ravni EU. Med ključnimi identificiranimi izzivi so pomanjkanje dokumentiranih notranjih postopkov za obravnavo zahtev za dostop, nedosledne in pretirane razlage omejitev pravice do dostopa ter ovire, s katerimi bi se posamezniki lahko srečali pri uveljavljanju svoje pravice do dostopa. Splošna ocena stanja na področju preventive in skladnosti kaže, da se poznavanje zakonodaje pri zavezancih izboljšuje. Vseeno pa so potrebne nenehne preventivne aktivnosti, ki zavezancem – z izjemo največjih, ki imajo sami na voljo ustrezne pravne in tehnične vire – zagotavljajo ustrezno raven ozaveščenosti ter dostopnost praktičnih in uporabnih pojasnil, vzorcev in drugih gradiv. Pri tem je bistvena usmerjenost k uporabnikom, ki jim je treba zahtevne pravne pojme približati na razumljiv način. Stalnost preventivnih aktivnosti lahko bistveno zmanjša obremenitve nadzornega organa na področju inšpekcijskega nadzora, pri čemer so lahko na določenih področjih, kjer gre za sistemske težave in kjer je nabor zavezancev določljiv, zlasti učinkovite preventivne aktivnosti za skladnost (angl. privacy sweep). 102 Na področju nadzora in sodelovanja pri čezmejnih primerih obdelave osebnih podatkov je bilo število primerov, s katerimi se je ukvarjal Informacijski pooblaščenec, v letu 2024 nekoliko nižje kot leta 2023, a bistveno višje kot leta 2022. Posebej strma je bila rast primerov postopkov zagotavljanja medsebojne pomoči med nadzornimi organi po 61. členu Splošne uredbe. V letu 2024 je bil Informacijski pooblaščenec udeležen v 463 postopkih sodelovanja po 60. in 61. členu Splošne uredbe v zvezi z upravljavci, ki izvajajo čezmejno obdelavo osebnih podatkov. V 156 novo začetih postopkih je Informacijski pooblaščenec nastopal kot zadevni organ (po 56. členu Splošne uredbe), v enem primeru pa je bil v vlogi vodilnega organa. V 19 primerih je Informacijski pooblaščenec sodeloval v postopku izmenjave informacij po 60. členu. Splošna uredba je namreč prinesla formalizirane postopke sodelovanja nadzornih organov za varstvo osebnih podatkov v državah članicah EU in EGS, kjer postopek nadzora v čezmejnem primeru obdelave osebnih podatkov vodi t. i. vodilni organ, ki pri tem sodeluje z drugimi organi za varstvo osebnih podatkov, uvedla pa je tudi mehanizme vzajemne pomoči in skupnega ukrepanja organov za varstvo osebnih podatkov v državah članicah EU. V čezmejnih postopkih, v katerih je sodeloval Informacijski pooblaščenec, je bilo leta 2024 izdanih 138 osnutkov odločb po 60. členu Splošne uredbe, 138 postopkov pa je bilo končanih s končno odločbo po 60. členu Splošne uredbe. Informacijski pooblaščenec je v letu 2024 sodeloval tudi v 287 postopkih zagotavljanja medsebojne pomoči med nadzornimi organi po 61. členu Splošne uredbe, kar je bistveno več kot leto poprej. Prejel je 271 zahtev drugih organov, od tega je v 29 primerih podal mnenje glede izvajanja določb Splošne uredbe. V 15 primerih je zahtevo za prostovoljno pomoč poslal Informacijski pooblaščenec drugim organom v EU. V enem primeru je Informacijski pooblaščenec prejel formalno zahtevo za medsebojno pomoč. Sodelovanje v čezmejnih primerih inšpekcijskega nadzora, kot ga je uvedla Splošna uredba, je nedvomno ena ključnih novosti in okrepitev, predvsem v smislu enotnega delovanja nadzornih organov v različnih državah članicah EU in EGS. Seveda pa tako sodelovanje za Informacijskega pooblaščenca, pa tudi za druge nadzorne organe, predstavlja velik izziv v smislu dodatnih potrebnih resursov, tako finančnih kot kadrovskih, porast primerov je namreč iz leta v leto večji: v letu 2021 je bilo skupno 216 postopkov sodelovanja po 60. in 61. členu Splošne uredbe, v letu 2022 je bilo takih postopkov 368, v letu 2023 pa že 524. V letu 2024 je bila ta številka sicer nekoliko nižja (463), vendar je Informacijski pooblaščenec prejel bistveno več prošenj za zagotavljanje medsebojne pomoč po postopku iz 61. člena Splošne uredbe, na katere je aktivno odgovarjal. V letu 2024 je EOVP sprejel novo strategijo za svoje delo v obdobju 2024–2027, ki med drugim naslavlja spreminjajočo se digitalno krajino in potrebo po medregulatornem sodelovanju ter sodelovanju v različnih mednarodnih forumih, usmerjenih v globalno zaščito osebnih podatkov in informacijske zasebnosti. Leto 2024 je zaznamoval tudi strm porast izdanih mnenj po drugem odstavku 64. člena Splošne uredbe glede zadev splošne uporabe ali z učinkom v več kot eni državi članici. Medtem ko v preteklih letih takšnih zavezujočih interpretacij Splošne uredbe skoraj ni bilo izdanih, jih je EOVP v letu 2024 izdal kar pet, med njimi izstopa Mnenje o modelih umetne inteligence. Glede na zavezujočo naravo takšnih mnenj je Informacijski pooblaščenec pri njihovem nastanku posebej aktivno sodeloval. EOVP je sprejel tudi številne smernice in druge dokumente, kot so izjave, pisni odgovori in poročila. Poudariti velja, da je EOVP v postopku sprejemanja mnenja ali smernic organiziral več predhodnih posvetovanj, namenjenih vključevanju zainteresirane javnosti v delo odbora že v najzgodnejših fazah. V letu 2024 je potekal prvi pregled sklepa o ustreznosti varstva osebnih podatkov na podlagi okvira za varstvo zasebnosti podatkov med EU in ZDA iz leta 2023, o katerem je EOVP izdal tudi poročilo. V poročilu je EOVP pozdravil prizadevanja organov ZDA in Evropske komisije za izvajanje omenjenega okvira, opozoril na nekatere izzive ter priporočil, da se naslednji pregled sklepa o ustreznosti varstva osebnih podatkov med EU in ZDA izvede v roku treh let ali prej. 103 ODGOVORNA UREDNICA: dr. Jelena Virant Burnik, informacijska pooblaščenka AVTORJI BESEDIL: mag. Saša Benčič, svetovalka pooblaščenca I dr. Urban Brulc, samostojni svetovalec pooblaščenca Jasna Duralija, svetovalka pooblaščenca I Tina Ivanc, svetovalka pooblaščenca za varstvo osebnih podatkov Alenka Jerše, namestnica informacijske pooblaščenke mag. Kristina Kotnik Šumah, namestnica informacijske pooblaščenke mag. Eva Kalan Logar, namestnica informacijske pooblaščenke mag. Polona Merc, vodja mednarodnega sodelovanja Blaž Pavšič, strokovni vodja nadzora Urša Pleterski, raziskovalka pooblaščenca Manja Resman, svetovalka pooblaščenca II Matej Sironič, svetovalec pooblaščenca za varstvo osebnih podatkov dr. Pika Šarf, svetovalka pooblaščenca za varstvo osebnih podatkov mag. Andrej Tomšič, namestnik informacijske pooblaščenke Barbara Žurej, svetovalka pooblaščenca za preventivo OBLIKOVANJE: Tomaž Brodgesell Darko Mohar LEKTORIRALA: Katja Klopčič Lavrenčič ISSN 2670-5788 Ljubljana, maj 2025 INFORMACIJSKI POOBLAŠČENEC Vaš varuh zasebnosti in transparentnosti Informacijski pooblaščenec Republike Slovenije Dunajska cesta 22 1000 Ljubljana www.ip-rs.si gp.ip@ip-rs.si Ljubljana, maj 2025