c S

O dveh členih zakona, ki je namenjen varstvu osebnih podatkov

Izr. prof. dr. Andraž Teršek Inštitut Ustavnik – Pravni inštitut dr. Andraža Terška ustavnik@andraz-tersek.si
12.11.2021

Informacijska pooblaščenka (IP) ima tudi tokrat – načeloma - prav. Pri svojem delu je preveč kompetentna, odgovorna in natančna, ko gre za veljavno, v zakone zapisano pravo, torej za tisto, kar piše v zakonodaji, da glede dopustnosti preverjanja osebnih dokumentov (in, v tem članku, samo glede tega!) ne bi imela načelno prav. Tokrat mislim na Zakon o varstvu osebnih podatkov (ZVOP-1)

Seveda tudi zase trdim, da imam prav. Sicer tega, kar sledi, ne bi zapisal. Oba imava potemtakem prav. Če se močno motim, ima prav samo IP.

Povezava do njenega mnenja: Zakon o varstvu osebnih podatkov dopušča vpogled v osebni dokument za namen preverjanja točnosti podatkov.

Žal pa se prepogosto zgodi, da je poanta, »keč« v podrobnostih in finesah. Problem je v tem, da je treba zaradi hkratnega obstoja več zakonopisnih razlogov pravna vprašanja dlakocepsko natančno pojasnjevati. Ves čas. Posebej pa v teh, »koronskih« časih. To je sicer že bilo storjeno. To sem tudi sam že storil. Večkrat. Je pa tako, da se na tisto, kar je že bilo pojasnjeno dan prej, dan kasneje pozabi. Posebej, če je pravno pojasnilo daljše od nekaj vrstic ali nekaj odstavkov, ki ne smejo biti predolgi. To je zahteva kvalificiranega dela javnosti. Izkustveno potrjena. Ni nerazumna.

Glede na to, da slovenska oblast od marca 2020 gospoduje s podzakonskimi pravnimi akti, ki se spreminjajo hitreje od vremena, ob tem pa so – brez izjeme (!) - neustavni in nezakoniti, s čimer soglaša tudi Ustavno sodišče RS, četudi glede tega ne stori ničesar zares koristnega in učinkovitega…, vse to ni presenetljivo.

Mediji pravna pojasnila in analize vse bolj poredko povzamejo nadvse primerno in natančno. Predvsem pa to prepogosto storijo enostransko in senzacionalistično. Površno in necelovito, pristransko. Kadar se to zgodi zaradi nepopolnega razumevanja prava, kar je tudi razumljivo, saj mediji niso "pravni strokovnjaki" (kdo to je – o tem v Sloveniji ni več verodostojnih kriterijev, saj je v skladu z »novo normalnostjo« to očitno vsakdo, ki se tako ali drugače, bolj ali manj ukvarja s pravom; delitev med pravom in politiko je odpravljena, obstajata samo še pravna politika in dnevnopolitično pravo – učbeniška definicija tiranije), smo do tega lahko prizanesljivejši.

IP je že pred časom sprožila tudi postopek za ustavnosodno presojo ustavnosti in zakonitosti odlokov, ki vsebujejo »ukaz« (moj izraz) o PCT pravilu. Več od tega ne more storiti.

V obvestilu za javnost, ki je hkrati pravno mnenje, je IP zapisala:

»Pri Informacijskem pooblaščencu (IP) smo danes prejeli več vprašanj glede (ne)dopustnosti vpogledov v osebni dokument, kot to določa zadnji vladni Odlok o začasnih ukrepih za preprečevanje in obvladovanje okužb z nalezljivo boleznijo COVID-19, ki je začel veljati danes (8. 11. 2021). Odlok glede obdelav osebnih podatkov bistveno ne spreminja ureditve dosedanjih načinov preverjanja pogojev. O ustreznosti odlokov (oziroma neobstoja zakona) v zvezi s preverjanjem pogojev PCT bo presojalo Ustavno sodišče, saj je tudi IP že vložil zahtevo za presojo ustavnosti. Dokler torej Ustavno sodišče ne bo odločilo, odloki veljajo. Ne glede na to pa smo že večkrat pojasnili, da vpogled v osebni dokument za namen preverjanja točnosti podatkov dopušča že 18. oz. 82. člen Zakona o varstvu osebnih podatkov. Več o preverjanju izpolnjevanja pogojev PCT v smernicah, ki jih je IP na to temo pripravil septembra letos in so dostopne na povezavi. IP se ob tem kot nadzorni organ za varstvo osebnih podatkov ne sme opredeljevati do drugih ukrepov, ki jih odreja odlok.

Delodajalec ali ponudnik storitve lahko torej v dokazila (in v povezavi s tem v osebni dokument) glede izpolnjevanja pogojev PCT vpogleda, ne sme pa jih hraniti. Predloženih dokazil v papirni ali digitalni obliki torej ne sme kopirati, preslikati, fotografirati ali drugače reproducirati njihove vsebine.

Vsak upravljavec osebnih podatkov lahko pred vnosom podatkov v zbirko preveri njihovo točnost z vpogledom v osebni dokument ali drugo ustrezno javno listino posameznika (18. člen ZVOP-1). Prav tako ZVOP-1 dopušča vpogled v osebni dokument v zvezi z vodenjem evidence vstopov in izstopov, ki jo lahko vodi katerakoli oseba javnega ali zasebnega sektorja. Ta evidenca pa ne predvideva vodenja evidence posebnih vrst osebnih podatkov, kot je podatek o izpolnjevanju pogoja PCT.

IP kot nadzorni organ za varstvo podatkov pa ne sme presojati, kdaj je zahteva glede pogoja PCT potrebna in primerna in tudi ne, ali so odrejeni ukrepi v zvezi z omejevanjem širjenja okužb s COVID-19 ustrezni.«

V 18. členu Zakona o varstvu osebnih podatkov je zapisano:

(1) Osebni podatki, ki se obdelujejo, morajo biti točni in ažurni.

(2) Upravljavec osebnih podatkov lahko pred vnosom v zbirko osebnih podatkov preveri točnost osebnih podatkov z vpogledom v osebni dokument ali drugo ustrezno javno listino posameznika, na katerega se nanašajo.

Besedilo je jasno: »Upravljavec osebnih podatkov lahko pred vnosom v zbirko osebnih podatkov« in samo v primeru, da bo te podatke vnesel v tako zbirko, ne pa »kar tako«, zavoljo legitimiranja samega (RS po ustavi ni »policijska država«), zahteva vpogled v osebni dokument – ali drugače, »legitimira« osebo. Če bi bil v zakonu zapisan samo ta člen, ne bi bilo problema z razlago zakonske ureditve: osebni dokument in s tem identiteto osebe se sme preveriti (ni pa tega treba nujno storiti!) samo pred vnosom teh podatkov v zbirko osebnih podatkov. Pika. Če teh podatkov ni dopustno vnesti v zbirko, ki po zakonu velja za zbirko osebnih podatkov, se osebnega dokumenta ne sme zahtevati (ponovim, da nikakor ne zavoljo »legitimiranja«, ki bi bilo samo sebi namen) in se podatkov – logično - ne sme nikamor vnesti.

Ampak, ker se zakoni pišejo tako, kot se pišejo in ker oblast že dlje od leta in pol počenja, kar počenja, se je treba sprehoditi čez celotno besedilo zakona. Dolg sprehod. Tako se pride do 82. člena, ki ga IP izpostavlja kot bistvenega in ki določa:

(1) Oseba javnega ali zasebnega sektorja lahko za namene varovanja premoženja, življenja ali telesa posameznikov ter reda v njenih prostorih od posameznika, ki namerava vstopiti ali izstopiti iz tega prostora, zahteva, da navede vse ali nekatere osebne podatke iz drugega odstavka tega člena ter razlog vstopa ali izstopa. Po potrebi lahko osebne podatke preveri tudi z vpogledom v osebni dokument posameznika.

(2) V evidenci vstopov in izstopov se lahko o posamezniku vodijo samo naslednji osebni podatki: osebno ime, številka in vrsta osebnega dokumenta, naslov stalnega ali začasnega prebivališča, zaposlitev ter datum, ura in razlog vstopa ali izstopa v ali iz prostorov.

(3) Evidenca iz prejšnjega odstavka velja za uradno evidenco v skladu z zakonom, ki ureja splošni upravni postopek, če je potrebno pridobiti podatke z vidika koristi mladoletnika ali za izvrševanje pristojnosti policije ter obveščevalno-varnostne dejavnosti.

(4) Osebni podatki iz evidence iz drugega odstavka tega člena se lahko hranijo največ tri leta od vpisa, nato se zbrišejo ali na drug način uničijo, če zakon ne določa drugače.

Sta 18. in 82. člena ZVOP-1 jasna in razumljiva? Ljudem in upravljavcem? Ne moreta biti. Pa pravnikom? Lažje, a ne tudi povsem enostavno.

Združil bom besede in stavke iz obeh členov, ne da bi spreminjal njihovo vsebino, pomen in vrstni red. Po združitvi dobim naslednje besedilo:

Upravljavec osebnih podatkov lahko (ni mu tega treba storiti) pred vnosom v zbirko osebnih podatkov in samo pred vnosom osebnih podatkov v tako zbirko, ki jo zakon določa kot tako zbirko, preveri točnost osebnih podatkov z vpogledom v osebni dokument. Poenostavim: v osebno izkaznico. Oseba javnega ali zasebnega sektorja lahko – ni pa ji tega treba storiti, torej zanjo ne obstaja »morati« - za namene varovanja premoženja, življenja ali telesa posameznikov ter reda v njenih prostorih od posameznika, ki namerava vstopiti ali izstopiti (da, tudi izstopiti) iz tega prostora, zahteva, da navede vse ali nekatere osebne podatke iz drugega odstavka tega člena ter razlog vstopa ali izstopa. Po potrebi lahko (če obstaja taka potreba, ki pa jo mora določati zakon – izhajati mora iz zakona) osebne podatke preveri tudi z legitimiranjem. To sme (ne pa tudi »mora«) upravljavec storiti samo v primeru, če s tem hkrati varuje premoženje, življenje, telesa posameznikov ali reda v prostoru upravljavca. Če tega ne stori s tem namenom, tega ne sme storiti. Odgovor na vprašanje, kdaj sme to storiti s tem namenom, mora jasno izhajati iz zakona.

Je vsakodnevni nadzor upravljavca nad tem, kdo je tisti, ki vstopa v njegove prostore, vselej in avtomatično nadzor, namenjen varovanju premoženja, življenja, teles in reda v njegovih prostorih? Nikakor ne. A o tem mora odločiti sodna veja oblasti.

Če upravljavec ob legitimiranju oseb njihove posebne podatke zapiše, nastane evidenca vstopov in izstopov. Pri tem pa se lahko o posamezniku vodijo samo naslednji osebni podatki: osebno ime, številka in vrsta osebnega dokumenta, naslov stalnega ali začasnega prebivališča, zaposlitev ter datum, ura in razlog vstopa ali izstopa v ali iz prostorov. Nikakor pa ne zdravstveni podatki posameznika. Ti so po ustavi in zakonodaji, ki jo razširja pravilnik o zaščiti podatkov v centralnem registru podatkov »pacientov« (torej »na papirju«), močno zaščiteni. Kristalno jasno.

V tretjem odstavku člena je zapisano, kdaj se sme (ne pa »mora«) voditi »evidenca« osebnih podatkov, ki potem velja za »uradno evidenco« - in samo taka evidenca se sme »voditi«, »beležiti« kot »uradna evidenca«: če je potrebno pridobiti podatke z vidika koristi mladoletnika ali za izvrševanje pristojnosti policije ter obveščevalno-varnostne dejavnosti. In v nobenem drugem primeru. Tako določa zakon.

Je vsakodnevni nadzor upravljavca nad tem, kdo je tisti, ki vstopa v njegove prostore, vselej in avtomatično nadzor, namenjen varovanju koristi mladoletnika ali izvrševanju pristojnosti policije ter obveščevalno-varnostne dejavnosti? Nikakor ne. Kristalno jasno.

Pristojnosti policije glede legitimiranja, preverjanja osebnih podatkov v osebnih dokumentih oseb, določa Zakon o nalogah in pooblastilih policije.

Do »koronske krize« se v praksi ni uporabljal 82. člen ZVOP-1. Morda obstaja kakšna izjema. Seveda – to je hipoteza, ki pa mora biti strogo spoštovana – se je lahko zgodila izjema. Če se sedaj uporablja ta člen v praksi, so razlog za to samo in izključno odloki Vlade RS. To pa ni pravno zadosten, zakonit in ustavno sprejemljiv razlog.

Ali lahko te določbe zakona vsebinsko spreminja podzakonski akt, odlok? Nikakor ne.

Ali lahko odlok vlade zakonsko določbo o tem, kaj upravljavec sme storiti, spremeni v »mora« storiti? Nikakor ne. Kristalno jasno.

Ali je v zakonu podlaga za to, da upravljavec vselej zahteva vpogled v osebni dokument? Ni je.

Ali je v zakonu podlaga za to, da upravljavec vselej zahteva vpogled v osebni dokument, da bi z njim preveril istovetnost teh podatkov s podatki v PCT izjavi? Ni je.

Ali je v zakonu podlaga za to, da upravljavec vselej zahteva PCT podatke, potem pa osebne podatke iz PCT podatkov preveri s podatki v osebnem dokumentu? Ni je.

Ali je v zakonu podlaga za to, da upravljavec vselej zahteva PCT podatke? Ni je.

Ali sme, na temelju zakona, upravljavec zahtevati PCT podatke? Ne sme.

Ali so PCT zdravstveni podatki po zakonu in v skladu z ustavo »javna listina«? Niso. A o tem mora odločiti sodna veja oblasti.

Ali so PCT podatki hkrati in avtomatično podatki, od katerih je odvisno varovanje premoženja, življenja, teles in reda v njegovih prostorih, ali pa varovanje koristi mladoletnika ali izvrševanje pristojnosti policije ter obveščevalno-varnostne dejavnosti? Ne.

Kdor zatrjuje, da je od pravila PCT odvisno varovanje življenja in teles ljudi (pod varovanje »teles« je potem treba z razlago uvrstiti tudi »varovanje zdravja«), za to varovanje pa je nujno, da je oseba ali prebolela bolezen covid ali je cepljena ali je opravila enega od testov, ki so na voljo (PCT) in brez tega ne more in ne sme koristiti javnih storitev, mora to znanstveno prepričljivo utemeljiti, potem pa dokazati pred sodiščem. Oseba, ki bi ji to uspelo storiti, mi ni znana. Mi je pa znan sveženj, gora utemeljitev, diametralno nasprotnih od tega.

O teh vprašanjih mora presoditi in odločiti sodna veja oblasti. Končno pa ustavno sodišče. Slednje tega še ne stori.

IP je pojasnila, kaj piše v zakonu. Ni pa podala podrobne, dlakocepske razlage, interpretacije tistega, kar piše v zakonu. Tega ji ni treba storiti. Kar pa še ne pomeni, da tega ne sme storiti. A če meni, da tega ne sme storiti, ker za to ni pristojna, ima prav, če tega ne stori. In je vsekakor bolje, ne samo prav, da tega ne stori. Zato sem uvodoma zapisal, da ima vsaj načeloma prav, četudi morda nima povsem prav. Lahko pa ima povsem prav. Zato sem zapisal, da imava oba prav. Pri čemer se sam lahko zelo motim. A tudi o tem, če ima kategorično prav, ne odločam jaz. Dokler IP argumentirano meni, da ima prav, ima prav, zato je prav, kar pravi.

O tem sem se odločil pisati zato, ker gre za nov primer, ko v zakonih zapisano pravo ustvarja več zmede, kot pa razrešuje nejasnosti. In ker gre za nov primer okamenele sodne veje oblasti, predvsem ustavnega sodišča. Predvsem pa, ker je oblast ustvarila stanje z dolgoročnimi škodljivimi, nepopravljivimi posledicami: za pravno državo, za ustavno demokracijo, za politično legitimnost, za življenje in zdravje ljudi.

Sklepno pa ponovim: tudi v »koronskem času« je bilo delo IP zgledno, vzorno.


Članki izražajo stališča avtorjev, in ne nujno organizacij, v katerih so zaposleni, ali uredništva portala EDUS.