Slo-Tech - Ker, kot pišemo že dve leti, pisarna informacijske pooblaščenke rešuje nove ugotovitve s področja varstva osebnih podatkov od primera do primera in nikoli ne pogleda milimetra levo ali desno, je ponovno čas za nov pregled dobrih praks s področja spoštovanja relevantne procesne zakonodaje (ZDavP, ZUP in GDPR v vsakokratnem agregatnem stanju).

Tokrat si za začetek oglejmo novo dognanje FURS, kjer so napredovali iz običajnega objavljanja davčnih številk in rojstnih datumov v kvalitetno zbirko vseh mogočih podatkov.


Da četrti odstavek 85. člena ZDavP določa: "Če je potrebno opraviti vročitev tako, da se dokument objavi na oglasni deski organa in na enotnem državnem portalu e-uprava, v skladu z zakonom, ki ureja splošni upravni postopek, se v primeru, če dokument vsebuje podatke, ki se štejejo za davčno tajnost, na oglasni deski organa in na enotnem državnem portalu e-uprava, namesto dokumenta objavi zgolj obvestilo o dokumentu, ki vsebuje osnovne podatke iz dokumenta, brez podatkov,...

Slo-Tech - Na Slo-Techu smo v letu 2021 odkrili kvaliteten vir dobrih praks s področja varstva osebnih podatkov v obliki oglasne deske državne uprave. Ker smo štiri leta in pol po uveljavitvi Splošne uredbe o varstvu podatkov (GDPR) spet tik pred tem, da bomo v Sloveniji končno sprejeli potrebno zakonsko ureditev tega področja, ki bo prinesla nezanemarljive globe, je ponovno čas, da si pogledamo, kako je z uporabo predpisa v praksi (kar najbolj natančno kaže na politiko dela nadzornega / prekrškovnega organa).

Naš obstoječi Zakon o varstvu osebnih podatkov (pa tudi trenutni predlog popravka) je malce poseben, še posebej, če ga beremo skupaj z Ustavo (kot jo trenutno na primeru COVIDnih predpisov razlaga Ustavno sodišče). Oba akta zahtevata, da so obdelave osebnih podatkov določene v zakonu. In objava podatkov na spletni oglasni deski vsekakor je obdelava, prav takšna, ki mora biti določena v zakonu. Če beremo ZVOP, hitro ugotovimo, da mora biti določeno kateri podatki se obdelujejo, za...

Slo-Tech - V prejšnjem letu smo dokaj redno spremljali razvoj dobrih praks pri slovenskih državnih organih, ki svoje odločbe državljanom in drugim prebivalcem vročajo prek oglasne deske državne uprave. Po tem, ko smo jih pregledovali več tednov, nam je novih primerov zmanjkalo. Zato smo po skoraj letu dni ponovno pogledali, kaj se dogaja na tem področju.

Hiter pregled je odkril nekaj zanimivih primerov, ki kažejo, da praksa objave osebnih podatkov posameznikov na oglasni deski nikakor ni zamrla.

Kaj smo našli?

Našli smo tri zanimive objave. Gre za sporočila o vročanju z javnim naznanilom, s katerimi Zavod za pokojninsko in invalidsko zavarovanje Slovenije posameznike, ki jih ni uspela doseči s pošto, obvešča, da jim bi radi vročili nek dokument in da bodo šteli dokument za vročen, tudi če ti posamezniki ne pridejo ponj.

Naš Zakon o varstvu osebnih podatkov je malce poseben, še posebej, če ga beremo skupaj z Ustavo. Oba akta zahtevata, da so obdelave osebnih podatkov določene v zakonu. In...

Slo-Tech - Ministrstvo za pravosodje je v petek v javno razpravo ter v strokovno in medresorsko usklajevanje posredovalo predlog novega Zakona o varstvu osebnih podatkov (ZVOP-2), ki na sistemski ravni izvaja določbe Splošne uredbe o varstvu podatkov iz leta 2016 (znana tudi po angleški kratici "GDPR"). Pred tem so novembra v Državnem zboru sprejeli tudi Zakon o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (ZVOPPOKD), ki ločeno ureja varstvo osebnih podatkov posameznika, ki je obravnavan zaradi kaznivih dejanj pred represivnimi organi.

Na spletni strani ministrstva so zapisali, da predlog ZVOP-2 ohranja visoke standarde varstva osebnih podatkov v Republiki Sloveniji in dopolnjuje Splošno uredbo v delu, kjer ta urejanje prepušča državam članicam Evropske unije. Predlog ureja tudi prvostopenjski postopek pred zavezanci za varstvo osebnih podatkov, pritožbene ter nadzorne postopke pred Informacijskim pooblaščencem, določa prekrške za kršitve, ki niso zajeti že v Splošni...

Slo-Tech - Tudi te dni smo, kot že nekaj tednov pregledovali oglasno desko eUprave. Današnji zapis je še en v seriji našega raziskovanja prakse pri uporabi Splošne uredbe o varstvu podatkov pri nas. GDPR je takšna zanimiva uredba, ki je posegla v vse pore upravnega poslovanja naše države. Kot kažejo naši članki, ni z objavami osebnih podatkov popolnoma nič narobe, dokler se objavlja osebne podatke epsilonov in gam.

Informacijski pooblaščenec te lapsuse potihoma, brez uvedbe inšpekcijskega postopka, odpravlja. Enostavno pokliče institucijo in ji predlaga, da sama, prostovoljno, pobriše objave, seveda pod grožnjo uvedbe postopka. Če je stvar res ekscesna, naš nadzorni organ morda objavi kakšen poziv preostali javni upravi, naj pri svojem delovanju ne bo tako zelo očitna.

Pa si na primeru hitro opravljene kavč inšpekcije oglejmo nekaj primerov razredov posameznikov, za katere se GDPR ne uporablja:

• brezposelni, ki se ponesreči uspejo zaposliti - pri tovrstnih primerih je pomembno, da se...

Slo-Tech - Tudi te dni smo, kot že nekaj tednov pregledovali oglasno desko eUprave. Današnji zapis je še en v seriji našega raziskovanja prakse pri uporabi Splošne uredbe o varstvu podatkov pri nas. GDPR je takšna zanimiva uredba, ki je posegla v vse pore upravnega poslovanja naše države. Kot kažejo naši članki, si jo več ali manj vsi razlagajo nekoliko drugače od organa, ki je pri nas zadolžen za varstvo osebnih podatkov - Informacijskega pooblaščenca.

Primerom, ki smo jih opisali v naših člankih je skupno to, da so različni upravni organi na elektronski oglasni deski na spletnih straneh eUprave objavili celotne odločbe. Objava na oglasni deski je nadomestilo za osebno vročitev, ki je iz kakšnega razloga ni mogoče izvesti. Najpogostejši razlog je v tem, da se oseba preseli, pri tem pa upravnemu organu ne sporoči novega naslova. Ko pošta pošiljko vrne s pripisom “preseljen”, organ opravi nadomestno vročitev z nabitjem na fizično oglasno desko in z obvestilom o objavi na spletni oglasni...

Slo-Tech - V prejšnjih nekaj člankih v seriji smo se učili o uporabi Splošne uredbe o varstvu podatkov v praksi na primeru spletne oglasne deske eUprave. Naleteli smo namreč na nekaj primerov objav, ki na prvi pogled izgledajo povsem normalne za oglasno desko državne uprave, vendar nas je Informacijska pooblaščenka skozi svoje nadzore in ukrepe (brisanje objav) poučila o bolj finih niansah zakonitosti obdelav osebnih podatkov.

Skozi članke smo se naučili nekaj malega o splošnem upravnem postopku, predvsem o tako imenovani nadomestni vročitvi; zdaj tako razlikujemo med objavo obvestila o dokumentu in objavi celotnega dokumenta. Načeloma naj bi se po ZUP na spletni oglasni deski objavilo le obvestilo, enako tudi v davčnem postopku po ZDavP-2, pa se tega vsaj nekateri organi niso držali.

No, po nekaj naših vprašanjih in objavah je IP opravil temeljit inšpekcijski nadzor in počistil oglasno desko. To je naredil vsaj trikrat. In zdaj je oglasna deska čista, ostale so le zakonite objave. A ne?...

Slo-Tech - Vse dosedaj smo mislili, da so določila GDPR "all inclusive" - da pravica do varstva osebnih podatkov pripada vsakemu posamezniku, ne glede na njegovo državljanstvo (ali pomanjkanje tega). Tak vtis vsaj daje branje uvodnih stavkov uredbe, kjer denimo piše, da bi »načela in pravila o varstvu posameznikov pri obdelavi njihovih osebnih podatkov morala ne glede na njihovo državljanstvo ali prebivališče zagotavljati spoštovanje temeljnih pravic in svoboščin posameznikov« in da naj bi se »varstvo, zagotovljeno s to uredbo, moralo uporabiti za obdelavo osebnih podatkov posameznikov, ne glede na njihovo državljanstvo ali prebivališče«.

Zato smo bili toliko bolj presenečeni nad praksami nekaterih državnih organov, ki očitno mislijo, da beguncem ta pravica ne pripada, tako da lahko nadaljujejo z masovnim objavljanjem njihovih osebnih podatkov na oglasni deski e-uprave.

Spomnimo: v nedavnem nizu člankov smo večkrat opozorili na zanimive prakse nekaterih državnih organov, ki so se v primeru...

Slo-Tech - Finančna uprava Republike Slovenije (FURS) se očitno ni zadovoljila s pojasnili Informacijske pooblaščenke, da pri nadomestnem vročanju ni dovoljeno objaviti kar celih odločb, z imeni, davčnimi številkami, opisi kršitve in vsem ostalim kar gre zraven.

Včeraj sta tako kar dve izpostavi FURS na oglasni deski e-Uprave objavili svoja sklepa o davčni izvršbi zoper isto osebo - Aneliyo E. S., ki je očitno pred časom živela v Slovenski Bistrici. Izpostava v Murski Soboti bi od nje rada 270€ + stroške, Mariborska pa kar 5335€.

Ko FURSovi uradniki pripravljajo objave teh podatkov pogledajo v Zakon o davčnem postopku in Splošno uredbo o varstvu podatkov. Zakon o davčnem postopku v 85. členu določa, da se namesto dokumenta objavi zgolj obvestilo o dokumentu, ki vsebuje osnovne podatke iz dokumenta, brez podatkov, ki se štejejo za davčno tajnost. V obvestilu se navede osebno ime, letnico rojstva, oziroma firmo zavezanca za davek, njegov naslov, opravilno številko in datum...

Slo-Tech - Prejšnji mesec smo opazili proaktivno transparentnost Zdravstvenega inšpektorata (ZIRS), ki je na oglasni deski eUprave objavljal svoje korona prekrškovne odločbe z vsemi pripadajočimi podatki o kršiteljih (imena, naslovi, EMŠO, rojstni datumi, opisi prekrška in tako dalje). Šlo je za zanimiv vpogled v nadzorno prakso glede korona odlokov. Inšpektorji Informacijskega pooblaščenca so kmalu zatem poskrbeli za njihovo hitro odstranitev. Na seznam za zdravje tveganih vedenj in ravnanj smo tako poleg uživanja rogljićkov v parku lahko dodali še kajenje na klopeh mariborske avtobusne postaje in polnjenje telefona.

Pisarna informacijske pooblaščenke je štajerske zdravstvene inšpektorje obtožila šlamparije. Objavljene so bile namreč tiste prekrškovne odločbe, ki jih inšpektorat iz takšnega ali drugačnega ni uspel vročiti kršiteljem, npr. zato, ker so se ti preselili, pa niso državi sporočili svojega novega naslova. Zakon namreč v teh primerih zahteva, da se izvede še tako imanovano...

Informacijski pooblaščenec - Dobri dve leti po začetku uporabe Splošne uredbe o varstvu osebnih podatkov (GDPR) je slovenski sodni sistem prišel do spoznanja, da Informacijska pooblaščenka ni pooblaščena, da bi sankcionirala njene kršitve, saj še ni bil sprejet zakon, ki bi ji takšno pooblastilo tudi dal.

Kaj se je zgodilo?

Afera Hrvaška parkirišča. Kot smo na veliko slišali v zadnjih tednih, na Hrvaškem vsako leto letuje veliko Slovencev. Ti tudi veliko parkirajo, včasih očitno tudi brez plačila parkirnine. Nekateri lastniki parkirišč so se odločili izterjati neplačano parkirnino. Da pa bi identificirali prekrškarje, so najeli slovenske odvetnike, ki so za njih pridobil podatke o imetnikih registrskih tablic, nakar so jim potem na dom pošiljali opomine. To seveda ni bilo povšeči prekrškarjem, ki so nadnje poslali pisarno Informacijske pooblaščenke. Ta je menila, da je bila celotna shema pridobivanja in izmenjave osebnih podatkov nezakonita, zato je eni taki odvetniški pisarni izrekla globo v višini 12.510...

Slo-Tech - O Informacijskem pooblaščencu (IP-ju) zadnje čase pišemo v zelo pozitivni luči, ker je postal bistveno bolj prijazen do domačih podjetij kot je bil prej. Kot že napisano, primer njihove trenutne najboljše prakse dovoljuje rabo spletnih piškotkov tudi brez predhodne privolitve obiskovalca oz. celo v primeru, da je uporabnik shranjevanje izrecno prepovedal. S to novo dobro prakso so razveselili številne upravljavce spletnih strani (tudi na primer Policijo, ki pa si je po naši objavi premislila in odločila za malo bolj konzervativno uporabo spletne analitike). Pravzaprav smo seznanjeni s še več drugimi državnimi organi in lokalnimi skupnostmi, ki piškotke že veselo uporabljajo na ta način, o čemer nameravamo pisati v kratkem. A to lahko še malo počaka, ker moramo...