Zmeda okoli GDPR

Dobri dve leti po začetku uporabe Splošne uredbe o varstvu osebnih podatkov (GDPR) je slovenski sodni sistem prišel do spoznanja, da Informacijska pooblaščenka ni pooblaščena, da bi sankcionirala njene kršitve, saj še ni bil sprejet zakon, ki bi ji takšno pooblastilo tudi dal.

Kaj se je zgodilo?

Afera Hrvaška parkirišča. Kot smo na veliko slišali v zadnjih tednih, na Hrvaškem vsako leto letuje veliko Slovencev. Ti tudi veliko parkirajo, včasih očitno tudi brez plačila parkirnine. Nekateri lastniki parkirišč so se odločili izterjati neplačano parkirnino. Da pa bi identificirali prekrškarje, so najeli slovenske odvetnike, ki so za njih pridobil podatke o imetnikih registrskih tablic, nakar so jim potem na dom pošiljali opomine. To seveda ni bilo povšeči prekrškarjem, ki so nadnje poslali pisarno Informacijske pooblaščenke. Ta je menila, da je bila celotna shema pridobivanja in izmenjave osebnih podatkov nezakonita, zato je eni taki odvetniški pisarni izrekla globo v višini 12.510 evrov, odgovornemu odvetniku pa še 2.080 evrov.

No, 12.510 evrov evrov ni malo denarja -- niti za odvetniško pisarno, ki se je očitno odločila vložiti kak dan dela v pritožbo (tj. zahtevo za sodno varstvo).

Izplačalo se je

Okrajno sodišče v Ljubljani se je strinjalo z odvetniki. GDPR se uporablja in učinkuje neposredno, tako da je ni treba posebej prenašati v našo zakonodajo (kot to velja za direktive). Kljub temu pa bi bilo treba za njeno polno izvajanje potrebno v naši zakonodaji urediti nekaj podrobnosti, kot na primer sankcije za njeno kršitev, ali pa pristojnost Informacijskega pooblaščenca za izvajanje nadzora, prekrškovnih postopkov in podobno (sploh je težava prenos upravnih glob v slovenski pravni sistem). To naj bi uredil nov Zakon o varstvu osebnih podatkov (famozni "ZVOP-2"), vendar tega še kar ni in ni.

Informacijski pooblaščenec se s tem do sedaj ni obremenjeval, ampak je postopke peljal naprej, sklicujoč se na Načelno mnenje Ministrstva za pravosodje, po katerem naj bi bil za nadzor (in kaznovanje) nekako pristojen po obstoječem zakonu o varstvu osebnih podatkov (ZVOP-1) - torej zakonu ki je bil napisan več kot deset let pred GDPR ...

Tako so prekrškovni postopki mirno tekli, dokler pri IP niso poskusili kaznovati nekoga, ki se je uspel prebiti skozi prvi letnik pravne fakultete in je torej že slišal za načelo zakonitosti: da neko dejanje ne more biti kaznivo (v tem primeru prekršek), če ga ni zakon pred tem označil za kaznivo in tudi določil sankcije zanj. GDPR namreč ne predpisuje sankcije za prekršek, ki jo je mogoče izreči odgovorni osebi ali posamezniku, določa le upravne globe za pravne osebe -- ki pa niso kazni za prekrške.

Skratka, odvetniška pisarna se je branila, da Informacijski pooblaščenec ne more zoper njih voditi prekrškovnega postopka zaradi kršitve Splošne uredbe (vsaj ne takšnega, kot ga je vodil), saj prekrški zaradi kršitev Uredbe nikoli niso bili določeni, prav tako ni bil nihče pooblaščen za njihov pregon (vsekakor ne Informacijski pooblaščenec). Splošna uredba sicer ima svoj sistem sankcij (upravne globe), vendar teh v našem pravnem redu ni (imamo prekrške, ki so sicer podobni, ampak sankcije po GDPR po višini presegajo naše prekrške), zato jih ni mogoče izreči. Posledično pa velja Uredba za milejši zakon, ker pač ponuja milejšo sankcijo (tj. nobene). V prekrškovnem postopku pa se ob spremembi zakonodaje vedno uporabi milejši predpis, torej tisti, ki je za kršitelja bolj ugoden. Prav tako niso več možni prekrši po ZVOP-1 v delu v katerem je ureditev nadomestila Uredba (ki velja neposredno), saj Uredba velja neposredno in je trenutno milejša (tj. nima prekrškov).

Po tej logiki, ki ji je sodišče sledilo, Informacijski pooblaščenec sploh ne more izrekati glob za kršitve GDPR (in prav tako ne več po ZVOP-1 -- v delu, ki je bil nadomeščen z GDPR). S to razlago se je strinjalo tudi višje sodišče.

Kakšne so posledice?

Vsa naša zakonodaja s področja varstva osebnih podatkov, vključno z Splošno uredbo, trenutno deluje v nekakšnem "demo" načinu. Saj se spomnite demo programov, kjer ni mogoče ničesar shraniti, oziroma iger, ki jih založniki izdajo napol dokončane ... nekatere funkcionalnosti še manjkajo. Recimo tiste famozne desetmilijonske globe. Izreči jih ne more nihče.

IP je torej trenutno neke vrste brezzobi tiger. Je posvetovalni organ. Je Informacijska posvetovalnica. S to oznako se sicer ne strinja in zato poziva državno tožilstvo, da poskusi s srečo še na vrhovnem sodišču (ZVZ). Ali bo državno tožilstvo poskusilo ubrati to pot in ali bo Vrhovno sodišče sledilo zatrjevanim (hočemo prekrške) argumentom, bomo videli enkrat naslednje leto. Da bi kdo razmislil, o kakšnem postopku zoper kup izdanih prekrškovnih odločb v tem času, pa je malo verjetno.

Kako dolgo še?

Ne vemo. 843 dni že velja Splošna uredba, približno toliko dni (po možnosti pa še kakšnega več) bi potrebovali nov Zakon o varstvu osebnih podatkov. Pa ga še ni na vidiku, kajti Ministrstvo se trenutno ukvarja s specialnim zakonom za področju obravnavanja kaznivih dejanj. IP se v svojih pripombah ukvarja (glej pripombo k 51. členu) z legalizacijo "kavč inšpekcij". Upravljavci pa se veselo zabavajo.