Iz sodne prakse varstva osebnih podatkov
Čas branja 11 minRazlična podjetja pri svojem poslovanju pridobivajo velike količine osebnih podatkov, ki jih analizirajo za potrebe svojega poslovanja. Postavlja se vprašanje, kaj se zgodi s temi osebnimi podatki oziroma, kaj podjetje stori, da osebne podatke ustrezno zavaruje in ne dopusti, da bi do njih prišle nepooblaščene osebe. Običajno za varstvo osebnih podatkov, ki jih določeno podjetje obdeluje, skrbi podjetje samo, vse večkrat pa se zgodi, da podjetje podeli skrb za osebne podatke zunanjemu podjetju, ki je registrirano za opravljanje takšne dejavnosti in izpolnjuje pogoje, kot jih določa Zakon o varovanju osebnih podatkov.
V Republiki Sloveniji je krovni predpis na področju varovanja osebnih podatkov Zakon o varovanju osebnih podatkov, ki je v osnovni verziji (ZVOP) začel veljati že v letu 1999, nato pa je bil zakon v bistvenem spremenjen leta 2007. Zgodovinsko gledano, so se prve potrebe po zaščiti zasebnosti ljudi pojavile zaradi različnih žalitev, napadov, prisluškovanj in podobnega. Razlog, da se je ta pravica pričela pozno uveljavljati in izvajati v pravnih sistemih, pa je v tem, da so večino modernih kršitev zasebnosti, kot so prisluškovanje pogovorom prek telefonov, mikrofonov in elektronskih ojačevalcev, zbiranje, shranjevanje in iskanje informacij z video kamerami, računalniki in podobno, začele omogočati šele nove tehnologije. Pred njihovimi iznajdbami je bil posameznik lahko utemeljeno prepričan, da mu v zasebnem prostoru ni mogoče prisluškovati.
S pravili Zakona o varovanju osebnih podatkov (ZVOP-1) so v aktualnem času določene pravice, obveznosti, načela in ukrepi, s katerimi se preprečujejo neustavni, nezakoniti in neupravičeni posegi v zasebnost in dostojanstvo posameznikov pri obdelavi osebnih podatkov. Osebni podatek je po 1. točki 6. člena ZVOP-1 katerikoli podatek, ki se nanaša na posameznika, ne glede na obliko, v kateri je izražen. Pri tem je posameznik opredeljen kot določena ali določljiva oseba, na katero se nanaša osebni podatek; fizična oseba je določljiva, če se jo lahko neposredno ali posredno identificira (2. točka istega člena). Obdelava osebnih podatkov je v 3. točki istega člena opredeljena kot kakršnokoli delovanje ali niz delovanj, ki se izvaja v zvezi z osebnimi podatki, ki so avtomatizirano obdelani (s sredstvi informacijske tehnologije – 4. točka istega člena) ali ki so pri ročni obdelavi del zbirke osebnih podatkov ali so namenjeni vključitvi v zbirko osebnih podatkov, zlasti zbiranje, pridobivanje, vpis, urejanje, shranjevanje, prilagajanje ali spreminjanje, priklicanje, vpogled, uporaba, razkritje s prenosom, sporočanje, širjenje ali drugo dajanje na razpolago, razvrstitev ali povezovanje, blokiranje, anonimiziranje, izbris ali uničenje; obdelava je lahko ročna ali avtomatizirana (sredstva obdelave). Upravljavec osebnih podatkov pa je fizična ali pravna oseba ali druga oseba javnega ali zasebnega sektorja, ki sama ali skupaj z drugimi določa namene in sredstva obdelave osebnih podatkov oziroma oseba, določena z zakonom, ki določa tudi namene in sredstva obdelave (6. točka istega člena), uporabnik osebnih podatkov pa je fizična ali pravna oseba ali druga oseba javnega ali zasebnega sektorja, ki se ji posredujejo ali razkrijejo osebni podatki (8. točka istega člena). Osebni podatki se lahko obdelujejo le, če obdelavo osebnih podatkov in osebne podatke, ki se obdelujejo, določa zakon ali če je za obdelavo določenih osebnih podatkov podana osebna privolitev posameznika (prvi odstavek 8. člena ZVOP-1). Enako velja tudi za obdelavo osebnih podatkov v zasebnem sektorju (prvi odstavek 10. člena ZVOP-1).
Primer pridobitve posameznikovega osebnega podatka
V eni zadnjih odločb na to temo je Vrhovno sodišče na podlagi zgoraj navedenih opredelitev pojmov po ZVOP-1 opredelilo, da je podatek, ali je (oziroma ni) posameznik vpisan pri določeni izobraževalni instituciji kot njen diplomant, podatek, ki se neposredno nanaša prav na posameznika kot na točno določeno fizično osebo, zato je ta podatek brez dvoma osebni podatek. V konkretnem primeru je točno ta podatek zahteval odvetnik, ki je zastopal drug subjekt, ki je podatek o posamezniku potreboval. Nastal je spor o tem, ali je odvetnik s tem, ko je pridobil posameznikov osebni podatek glede izobrazbe, postal tudi upravljalec baze osebnih podatkov. Vrhovno sodišče RS je na to pomembno pravno vprašanje na podlagi v 13. točki obrazložitve te sodbe opredeljenih pojmov iz ZVOP-1 odgovorilo, da v konkretnem primeru odvetnik s pridobitvijo posameznikovega osebnega podatka tega ni obdeloval v smislu določb ZVOP-1. Ta posamezen podatek namreč ni bil avtomatizirano obdelan, pri ročni obdelavi ni bil del zbirke osebnih podatkov niti ni bil namenjen vključitvi v zbirko osebnih podatkov (3. točka 6. člena ZVOP-1).
Podjetja kot upravljalci osebnih podatkov
Nasprotno pa številna podjetja pridobljene osebne podatke hranijo in jih obdelujejo, saj jim to pomaga pri poslovnih odločitvah, kar pomeni, da so upravljalci osebnih podatkov. Podjetja običajno dobijo podatke od strank samih, saj jih le-te pošljejo kar same. Pravila ZVOP-1 sicer določajo, da se osebni podatki lahko obdelujejo le, če obdelavo osebnih podatkov in osebne podatke, ki se obdelujejo, določa zakon ali če je za obdelavo določenih osebnih podatkov podana osebna privolitev posameznika. Namen obdelave osebnih podatkov mora biti določen v zakonu, v primeru obdelave na podlagi osebne privolitve posameznika pa mora biti posameznik predhodno pisno ali na drug ustrezen način seznanjen z namenom obdelave osebnih podatkov.