Se pri vašem delu srečujete z GDPR ali ZVOP-1? Ste v inšpekcijskem postopku informacijskega pooblaščenca? Ste plačali globo zaradi kršitev ZVOP-1 v zadnjih dveh letih? Če ste na vsaj eno vprašanje odgovorili pritrdilno, vam spodnji članek lahko prihrani na tisoče evrov.
Informacijski pooblaščenec (IP) je 13. 2. 2019 oglobil odvetniško pisarno, ker je kršila prvi odstavek 8. člena Zakona o varstvu osebnih podatkov (ZVOP-1) in s tem storila prekršek po 1. točki prvega odstavka 91. člena istega zakona. Kršitev je bila storjena v letih 2016 in 2017 z obdelavo osebnih podatkov brez zakonske podlage ali osebne privolitve.
Odvetniška pisarna se je na odločbo IP pritožila in pri tem izbrala izredno premišljeno pot, ker je poleg uveljavljanja številnih drugih prepričljivih materialnopravnih argumentov za neobstoj očitanih ji prekrškov, izpodbijala tudi veljavnost določb ZVOP-1. S svojo pritožbo je bila v celoti uspešna.
Odločitev sodišča
Sodišče prve stopnje je ugotovilo (sodba ZSV 742/2019 z dne 30. 9. 2019), da se je v času izdaje odločbe o prekršku že uporabljala Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov, t. i. GDPR). Točka c 6. člena te uredbe je razveljavila 8. člen ZVOP-1. Za kršitev pa uredba predvideva izrek upravne globe in takšnega dejanja ne šteje za prekršek. Posledično je sodišče uredbo upoštevalo kot milejši predpis za pritožnika (2. člen Zakona o prekrških), saj izključuje prekršek. Tako kršitev 8. člena ZVOP-1 ne pomeni več prekrška po 1. točki prvega odstavka 91. člena ZVOP-1.
IP se je na odločitev sodišča prve stopnje pritožil, vendar jo je pritožbeno sodišče v celoti potrdilo (sodba PRp 345/2019 z dne 18. 6. 2020).
Pritožnik se je rešil odgovornosti za prekršek, ker GDPR za kršitve predvideva plačilo upravne globe, ki je IP po trenutno veljavni zakonodaji ne more izreči, pa se je izognil tudi globi.
Trenutno stanje: status quo
Trenutni položaj je tako dokaj bizaren. GDPR se uporablja neposredno, kar pomeni, da razveljavlja vse domače predpise, ki urejajo isto tematiko (predvsem ZVOP-1). Za kršitve GDPR so sicer predvidene zelo visoke upravne globe, ki pa jih naš inšpekcijski organ na področju varstva podatkov ne more izrekati. Ironično je varstvo osebnih podatkov po uveljavitvi GDPR v Sloveniji urejeno bistveno slabše kot prej. No, urejeno sicer je, ampak kršitve ne morejo biti sankcionirane.
Vsem, ki ste v zadnjih dveh letih morebiti že plačali kakšno globo IP zaradi kršitev določb ZVOP-1, toplo priporočam, da si poiščete odvetnika in da skupaj preverita, kako je denar mogoče dobiti nazaj. Oglobljeni ste bili namreč za prekršek, ki ne obstaja. S tem pa vam je bila po mojem mnenju kršena najmanj pravica do poštenega sojenja, ki vam jo zagotavljata tako Ustava Republike Slovenije kot Evropska konvencija o človekovih pravicah.
Kaj pa prinaša prihodnost?
Seveda pa takšno stanje verjetno ne bo trajalo v nedogled. Že prihajajoči ZVOP-2 bo stvari spet postavil na svoje mesto. Predlog zakona povzema tudi kazni, predvidene v GDRP, in tako bi vas takšna kršitev, kot je navedena v zgoraj omenjenem primeru, lahko stala od 4.000 pa vse do 20.000.000 EUR oziroma 4 odstotke letnega prometa (odvisno, kateri znesek je višji).
Takšen »spodrsljaj« bi v prihodnje torej z lahkoto čez noč uničil podjetje, kajti ne vem, katero podjetje v Sloveniji bi lahko preživelo globo v znesku 20.000.000 EUR. Nabor kršitev, ki predvidevajo maksimalno globo, pa je zelo širok in marsikaj je še zelo nedorečeno.
Pripravil: Gregor Zagozda, univ. dipl. pravnik
Direktor razvojnega odbora in vodja projektov v družbi Lexpera d.o.o.
Članki izražajo stališča avtorjev, in ne nujno organizacij, v katerih so zaposleni, ali uredništva portala IUS-INFO.
