Slo-Tech - Splošna uredba o varstvu podatkov (GDPR) je stopila v veljavo že leta 2016, dve leti kasneje se je začela izvajati v praksi. Predvidevala je, da posamezne članice EU sprejmejo nacionalne zakone, ki naj bi podrobneje uredili nekatere vidike varstva osebnih podatkov. Pisarna Informacijske pooblaščenke in Ministrstvo za pravosodje sta družno zagrizla v kislo jabolko. Tako smo imeli v zadnjih nekaj letih kar nekaj osnutkov zakona. Nekateri so celo doživeli svoj dan v državnem zboru. S četrtim predlogom nam je vendarle uspelo, decembra 2022 je parlament z večino glasov potrdil nov zakon. Po skoraj petih letih zamude je ZVOP-2 naposled ugledal luč sveta in se danes pričel uporabljati. V tem ne ravno kratkem obdobju nam je zaradi doslednega upoštevanja pravice do lastnega tempa uspelo razdražiti Evropsko komisijo, celo do te mere, da nam je kot zadnji državi članici EU, ki zakona še ni sprejela, zagrozila z globami. A naposled je porod, čeravno z nemalo zapleti, uspel.

Kaj novega torej...

Slo-Tech - Medtem, ko je pisarna Informacijske pooblaščenke ravno uspela počistiti sledi dobrih praks upravnih enot iz prejšnjega prispevka, pa preostanek državnega aparata seveda dela nadure.

Tokrat je Ministrstvo za pravosodje presodilo, da je za splošno dobro vseh nas pomembno, da smo seznanjeni, da se družbeno koristno delo nekega precej določenega obsojenca opravlja v Kopru in ne v Ljubljani.

Kot je razvidno iz dokumenta samega je junak današnje zgodbe dejansko obvestil naslovni organ o svoji spremembi bivališča (ki je tudi razlog za objavljeni postopek). Vendar tovrstne malenkosti ne ovirajo organa, da ne bi za odločbo opravljal nadomestne vročitve po oglasni deski.

ZUP v svojem 96. členu precej določno našteva podatke, ki se jih lahko objavi v tovrstnih primerih (številke EMŠO očitno na seznamu ni), vendar kot je bilo že večkrat ugotovljeno, Quod licet Iovi, non licet bovi.

Do popolnosti tej praksi manjka samo še mug shot.

Slo-Tech - Medtem, ko se pisarna Informacijske pooblaščenke že skoraj štirinajst dni trudi ugotoviti, kako točno bi morali na Slo-Techu predstaviti njihovo večletno inšpekcijsko prakso (glej sliko desno), pa slovenski državni aparat seveda ne spi (topla jesen preprečuje zimsko spanje) in zato navdušeno proizvaja nove primere, ki jih lahko analiziramo.


Tako so sedaj upravne enote ugotovile, da je za skladnost s slovensko zakonodajo s področja varovanja osebnih podatkov dovolj, da se na pravno podlago sklicuješ (branje ni potrebno).

Zakon o splošnem upravnem postopku namreč v svojem 96.a členu pravi, da v kolikor so izpolnjeni določeni pogoji, se objavijo nekateri podatki iz tretjega odstavka 96. člena ZUP. Ker branje seveda škodi in ker gre za pomembne podatke z razvoja prakse uporabe GDPR (ki bo v Sloveniji skorajda že dobila zobe -- morda celo letos) si poglejmo nekaj najboljših primerov:



Datum rojstva je v javni objavi seveda pomemben, ker kup podatkov iz 96. člena ZUP ne...

Slo-Tech - Na Slo-Techu smo v letu 2021 odkrili kvaliteten vir dobrih praks s področja varstva osebnih podatkov v obliki oglasne deske državne uprave. Ker smo štiri leta in pol po uveljavitvi Splošne uredbe o varstvu podatkov (GDPR) spet tik pred tem, da bomo v Sloveniji končno sprejeli potrebno zakonsko ureditev tega področja, ki bo prinesla nezanemarljive globe, je ponovno čas, da si pogledamo, kako je z uporabo predpisa v praksi (kar najbolj natančno kaže na politiko dela nadzornega / prekrškovnega organa).

Naš obstoječi Zakon o varstvu osebnih podatkov (pa tudi trenutni predlog popravka) je malce poseben, še posebej, če ga beremo skupaj z Ustavo (kot jo trenutno na primeru COVIDnih predpisov razlaga Ustavno sodišče). Oba akta zahtevata, da so obdelave osebnih podatkov določene v zakonu. In objava podatkov na spletni oglasni deski vsekakor je obdelava, prav takšna, ki mora biti določena v zakonu. Če beremo ZVOP, hitro ugotovimo, da mora biti določeno kateri podatki se obdelujejo, za...

Slo-Tech - Dobrih štirinajst dni je minilo od naše zadnje kavč inšpekcije. Ker je popolnoma nemogoče, da bi se v Republiki Sloveniji v pol leta kaj spremenilo, si tokrat oglejmo nova dognanja s področja varstva osebnih podatkov.



Center socialno delo Celje tako ugotavlja, da mu ni znano prebivališče oseb za katere v dani odločbi posoja denar za namen plačila bivanja v domu starejših občanov.

Finančni urad Brežice je ugotovil, da podatki iz 85. člena ZDavP-2 ne zadoščajo za javni linč davčnega zavezanca. Zaradi tega je potrebno objaviti še davčno številko in antedatirati čas objave na oglasni deski na januar.


Prav tako v Sloveniji obstaja policistka, ki ne plačuje davkov, hodi v službo, vendar je FURS drugače kot z javno objavo ni sposoben izslediti. Vsekakor pohvalno.


Podobno delamo tudi s prekrškarji, davčnimi dolžniki (tudi malo večjimi), sploh če slučajno kaj plačajo.

Še vedno niso problem podatki davčnih dolžnikov, ki se enkrat znajdejo na internetu - ko pobrišemo...

ECJ - Ponudnik spletne strani, ki uporablja Facebookov gumb »Všeč mi je«, se šteje za skupnega upravljavca osebnih podatkov, ki jih ameriški spletni velikan Facebook na ta način zbere o obiskovalcih njegove spletne strani. Je namreč tisti, ki se je odločil ta gumb postaviti na svojo spletno stran in s tem Facebooku pomagati pri zbiranju podatkov o obiskovalcih. Posledično ima iz tega naslova nekatere dolžnosti po predpisih o varstvu osebnih podatkov. Tako je ta teden razsodilo Sodišče Evropske unije v primeru nemške nevladne organizacije za zaščito uporabnikov interneta Verbraucherzentrale NRW proti nemškemu modnemu portalu in zagrizenemu uporabniku Facebookovih vtičnikov Fashion ID.

Facebook kot prednost pred konkurenco
Sodišče je v omenjenem primeru ugotovilo, da...

Slo-Tech - Zdravstveni dom Kamnik svojim pacientom olajšuje zdravljenje tudi z digitalizacijo. Kamničani tako lahko prek internetov naročijo tudi recepte. Pri tem morajo v spletni obrazec zapisati podatke, kot so datum rojstva, številko mobilnika, elektronsko pošto, ter seveda podrobnosti o receptu.



Ko vnesejo zahtevane informacije pritisnejo zelen gumb Naročam. Nevedoč, da ima dostop do vaših podatkov tudi Facebook.




Spletna stran aplikacije za recepte ima namreč vtičnik...

Slo-Tech - Ko smo pred kratkim razkrili, da spletišče UKC Ljubljana, namenjeno naročanju pacientov na preglede preko spleta, ni uporabljalo HTTPS šifriranja, smo opozorili tudi na 14. člen Zakona o varstvu osebnih podatkov. Ta določa, da se “pri prenosu občutljivih osebnih podatkov preko telekomunikacijskih omrežij šteje, da so podatki ustrezno zavarovani, če se posredujejo z uporabo kriptografskih metod in elektronskega podpisa tako, da je zagotovljena njihova nečitljivost oziroma neprepoznavnost med prenosom.” UKC Ljubljana je po našem opozorilu na svoje spletišče namestil HTTPS šifriranje, sicer popolnoma neustrezno, a vendarle.

Kako pa je z ostalimi zdravstvenimi ustanovami?

Problema uporabe kriptografskih metod pri...