Z nekaj kliki po evidenci lahko določene osebe o vas izvedo tudi najbolj občutljive podatke. Na primer, ali so vas kdaj ujeli pri vožnji pod vplivom alkohola. Ali ste v kazenskem postopku. Ali pa ste bili celo obsojeni zaradi kaznivega dejanja. Kolikokrat vas je nadležen sosed prijavil zaradi po njegovem mnenju preveč glasnega televizijskega sprejemnika. Pa kje stanujete, kakšen avto vozite. Da najrazličnejših številk, od EMŠO do davčne številke, niti ne omenjamo.

Vsi ti podatki o posameznikih se nahajajo v evidencah, ki jih vodi policija. Morali bi se uporabljati strogo v skladu z namenom njihovega zbiranja. Na primer, če vas zaradi utemeljenih razlogov preiskuje policija. Policistom pa je strogo prepovedan vpogled v podatke oseb iz gole radovednosti. A možje postave se tega ne držijo vedno. »Dejansko nas precej skrbi predvidevanje oseb, ki imajo dostop do baz podatkov, da jih smejo uporabljati za katerikoli namen. To ne drži, podatki se lahko uporabljajo samo za določene namene. Skrbi nas, da policisti še vedno neupravičeno pridobivajo podatke iz policijskih evidenc. Kljub precej visokim globam, ki jih moramo izrekati v steku, se ta praksa še kar dogaja. Noče se ustaviti. Gre za zelo visoke globe, ampak bo očitno treba še kaj narediti,« prakso nezakonitih vpogledov komentira Andrej Tomšič, namestnik informacijske pooblaščenke.

Informacijski pooblaščenec je državni organ, ki skrbi za varstvo tudi vaših osebnih podatkov. In tiste, ki do njih neupravičeno dostopajo, tudi oglobi. Globe pa so res visoke, saj za vsak neupravičen vpogled zakon za fizično osebo predpisuje 830 evrov kazni. Z vpogledi v podatke več oseb pa se lahko kazen povzpne vse do zakonsko predpisane zgornje meje 20.000 evrov.

A to policistov ne ustavi. Najpopularnejši so vpogledi v evidence znanih oseb. Pa tudi vohljanje za bližnjimi: družinskimi člani, zakonci in nekdanjimi zakonci. Torej voajerizem. Po podatkih, ki jih je urad informacijskega pooblaščenca letos posredoval portalu Politikis, je v letih 2009 do 2013 zaradi nepooblaščenih vpogledov v evidence urad kaznoval kar štirideset policistov. Rekordno je bilo leto 2012 z dvanajstimi kaznovanimi možmi v modrem.

Od informacijskega pooblaščenca smo pridobili podatke o najhujših primerih. Primerih tistih policistov, ki so neupravičeno vpogledali v osebne podatke več kot deset ljudi in torej dobili za več kot 9000 evrov kazni. Teh je bilo devet, vsi pa so se zgodili v zadnjih treh letih. Trikrat je pooblaščenec izrekel najvišjo možno kazen 20.000 evrov. V dveh primerih se kršitelj nanjo ni pritožil, v tretjem primeru pa je sodišče odpravilo odločbo informacijskega pooblaščenca, torej policistu ni bilo treba plačati kazni. V treh primerih je sodišče po pritožbi globo znižalo, v treh primerih pa kazen odpravilo – sodnik je odločbi pooblaščenca očital, da ne vsebuje dejanskih znakov prekrška oziroma da je nerazumljiva. Ali to kaže na nevestno delo uslužbencev pooblaščenca?

Razlog nikakor ni v nevestnem delu, odgovarja Jože Bogataj, vodja nadzornikov v uradu informacijskega pooblaščenca. Sodišča so namreč pri odločanju o pritožbah zelo neenotna. »Vsak sodnik dela malo po svoje,« pove Bogataj. Na to kažejo tudi druge sodbe, v katerih je sodišče pritrdilo ugotovitvam pooblaščenca.

V zadnjem času se je število prijav zaradi neupravičenih vpogledov v policijske evidence nekoliko znižalo, opaža Andrej Tomšič. Večino policistov prijavijo kar njihovi nadrejeni, kar je pohvalno. A kršitve se še kar pojavljajo. Se torej policisti iz visokih glob, izrečenih njihovim sodelavcem, niso ničesar naučili? »Mogoče upajo, da jih ne bodo dobili,« meni Jože Bogataj. Protipraven vpogled v evidence morajo nadrejeni najprej odkriti in nato ugotoviti, kdo ga je zakrivil. »Ne vem pa, kako policija izvaja te nadzore. Naj bi jih,« pove Bogataj.

Za večje upravljalce zbirk osebnih podatkov urad informacijskega pooblaščenca zahteva izvedbo rednih letnih notranjih nadzorov nad uporabo zbirk. »Policija ga izvaja. Zdaj pa: ali je popoln ali ne? Mi bi radi, da se še izboljša, da se protokolira, kako poteka nadzor,« opozarja Tomšič.

Podatki so denar

Varstvo osebnih podatkov določa že ustava. Seveda niso vsi podatki enako občutljivi. Objava vašega imena, priimka in naslova v telefonskem imeniku je skoraj nekaj normalnega. Čeprav so vsi trije podatki po zakonu osebni podatki. Javna objava vaše zdravstvene kartoteke na svetovnem spletu pa vas najverjetneje ne bi pustila tako ravnodušne.

»Največji poseg v zasebnost je razkritje zdravstvenih podatkov, morebitne kazenske evidence, narodnosti, članstva v sindikatu,« poudarja Jože Bogataj. A kršitve niso le razkritja podatkov, ki bi morali ostati skriti javnosti. Hude posledice lahko ima tudi netočnost vaših osebnih podatkov. »Predstavljajte si, da ste po pomoti na seznamu iskanih teroristov ali podpornikov skrajnega gibanja. Ali pa da imate v zdravstveni kartoteki napačen vpis, na kaj ste alergični. Ali pa da zastarel podatek ni bil izbrisan – recimo, da so vam ukradli avto. In vas ustavijo vsakič, ko greste čez mejo,« razloži Andrej Tomšič.

Poleg zaupnosti in celovitosti, torej točnosti podatkov, pa je zelo kritično tudi načelo razpoložljivosti. »Če osebnega podatka ni na voljo, ko bi moral biti, je tudi to slabo z vidika varstva osebnih podatkov. Zame najhujši primer je nekdanje oviranje telefonskih operaterjev pri dostopanju do podatkov, kje se nahajajo pogrešane osebe ali osebe, ujete pod plazovi. Čeprav bi jih s podatki o tem, kje se nahaja njihov mobilni telefon, lahko rešili. Lahko bi našli primere, ko so ljudje zaradi tega umrli. Operaterji policiji enostavno niso hoteli dati podatkov,« pove Tomšič.

Zadeva se je uredila leta 2007. Od takrat operaterje k posredovanju podatkov namreč obvezuje zakon.

Urad informacijskega pooblaščenca je imel resne težave tudi pri uhajanju podatkov iz bolnišnic. Administratorji v bolnišnicah so namreč občutljive zdravstvene podatke o poškodovancih, na primer v prometnih nesrečah, v zameno za plačilo posredovali odškodninskim družbam. Slednje so nato poškodovance kontaktirale in jim ponujale svoje pravne usluge.

»Zelo težko je odkriti osebo, ki izdaja podatke. V bolnišnici namreč vaše podatke obravnava zelo veliko oseb in imajo za to tudi povsem zakonit razlog. Zato smo se osredotočili na odškodninske družbe in njim začeli pisati globe. Če ne morejo pojasniti, od kod jim podatek, obenem pa ta ne izhaja iz javno dostopnih virov, jim napišemo kazen. In tu že dolgo časa nismo dobili novih prijav. Samo ena odškodninska družba je trenutno še osumljena takšnega pridobivanja podatkov,« pove Jože Bogataj.

Glede na evidenco inšpekcijskih kazni pooblaščenca, ki smo jo pridobili z zahtevo po informaciji javnega značaja, je letos pooblaščenec dvakrat kaznoval odškodninsko družbo Povračilo, d.o.o., iz Ljubljane. Obakrat z dobrimi 800 evri kazni.

Rekorderji

Po podatkih iz pridobljene evidence je informacijski pooblaščenec med junijem 2011 in majem 2014 izrekel za 262.000 evrov pravnomočnih glob zaradi kršenja zakona o varstvu osebnih podatkov. Najvišja globa pravnim osebam je znašala 10.000 evrov, dobila pa so jo štiri podjetja: SKB banka, Futurisimo, d.o.o. (upravljalec portala kuponko.si), Nova obzorja založništvo (izdajatelj tednika Demokracija) in veterinarstvo Invet, d.o.o.

SKB banka je leta 2012 po ugotovitvah pooblaščenca nezakonito shranjevala podatke o tekočih računih dveh svojih komitentov pri drugih banki. Oba komitenta sta bila SKB dolžna denar, banka pa je v postopku izvršbe sodišču poslala dokumente, na katerih sta bila navedena tudi tekoča računa obeh oseb pri NLB oziroma Abanki. Številka tekočega računa je po zakonu osebni podatek, zato SKB z informacijami o računih svojih dolžnikov pri drugih bankah ne bi smela razpolagati.

Banka je informacijskemu pooblaščencu sicer pojasnila, da je račune že leta 2004 pridobila iz javno objavljene evidence Banke Slovenije. Slednja je namreč oktobra tistega leta za nekaj dni javno objavila podatke o vseh odprtih tekočih računih fizičnih oseb v Sloveniji. Zaradi neustavnosti objave je takratni nadzornik, inšpektorat za varstvo osebnih podatkov, Banki Slovenije naložil umik številk računov s spletne strani. A SKB banka je že pred tem evidenco kopirala in shranila. Ker sta inšpektorat in pozneje tudi sodišče ugotovila, da evidenca vsebuje varovane osebne podatke, bi jo morala tudi SKB banka zbrisati. A je ni. Za to si je prislužila 8340 evrov kazni, odgovorna oseba v banki pa 1660 evrov kazni.

Banke, kot opaža vodja nadzornikov pri pooblaščencu Jože Bogataj, sicer ne kršijo pogosto zakona o varstvu osebnih podatkov. »Izvajali smo tudi preventivne nadzore v bankah, predvsem morebitne vpoglede v podatke znanih osebnosti. A kršitev je bilo zelo malo.«

Izdajatelj Demokracije je kazen dobil zaradi javne objave varovanih osebnih podatkov. V reviji je namreč javno objavil elektronsko dopisovanje novinarja Mladine in enega izmed slovenskih sodnikov, vključno z elektronskimi naslovi obeh oseb. Ker za javno objavo niso imela dovoljenja obeh posameznikov, z njo pa po mnenju pooblaščenca novinarji Demokracije niso razkrivali informacij v javnem interesu (torej niso na primer razkrivali nepravilnosti), so si Demokracija oziroma odgovorni osebi tednika prislužili skupno 10.000 evrov kazni.

Primer veterinarstva Invet pa tako kot v primeru policije zadeva nepooblaščen vpogled v evidence osebnih podatkov – v konkretnem primeru v centralni register psov Slovenije, ki vsebuje tudi osebne podatke o lastnikih psov. Ker uslužbenec veterinarstva pooblaščencu ni izkazal verjetnega upravičenega razloga za vpogled v podatke o določenih psih in njihovih lastnikih, si je uslužbenec za dva taka nezakonita vpogleda prislužil skupno 1660 evrov kazni, veterinarstvo pa še 8340 evrov.

Četrti kršitelj, ki je dobil 10.000 evrov globe, je podjetje Futurisimo, d.o.o., upravljalec spletne strani kuponko.si. Po ugotovitvah pooblaščenca je brez njunega privoljenja pridobilo podatke o imenu in priimku ter elektronskem naslovu dveh oseb in nato te podatke nezakonito hranilo v svoji elektronski bazi.

Rekordna globa je sicer leta 2009 doletela zavarovalnici Vzajemna in Tilia. Prva je dobila 112.000 evrov, druga pa 108.000 evrov kazni, odgovorni osebi v obeh zavarovalnicah pa vsaka po 20.000 evrov globe. Razlog? Vzajemna je Tilii brez dovoljenja posredovala osebne podatke več nekdanjih zavarovancev.

Pregled evidence pravnomočnih odločb in plačilnih nalogov pa pokaže, da zakon kršijo tudi politične stranke. Rekorderka je Slovenska demokratska stranka s štirimi kaznimi po 4170 evrov stranki in 830 evrov odgovorni osebi stranke med letoma 2011 in 2014. Po enkrat je pooblaščenec kaznoval še Pozitivno Slovenijo in Slovensko ljudsko stranko. Podobno kot v primeru tednika Demokracija gre tudi tu v večini primerov za objavo varovanih osebnih podatkov posameznikov na spletni strani strank brez njihovega privoljenja.

Ozaveščenost raste, kazni pa tudi

Ozaveščenost o pomembnosti varstva osebnih podatkov sicer po opažanju namestnika pooblaščenke Andreja Tomšiča raste. Največ postopkov o prekršku je pooblaščenec uvedel leta 2008, kar 282. Od takrat prekrški upadajo. »Najhujših kršitev je malo, pri številnih prijavah gre za bagatelne zadeve. Pri več kot polovici prijav ugotovimo, da ne gre za kršitev. Hudih pa je manj kot 10 odstotkov.« Pooblaščenec je lani prejel 852 prijav kršenja varstva osebnih podatkov.

Težava pa nastane pri višini glob, ki so jih dolžni izrekati inšpektorji. Zakon namreč za vsak razkrit varovani osebni podatek predvideva 4170 evrov kazni za pravno in 830 evrov za odgovorno osebo. Ne glede na to, ali gre za razkritje relativno neobčutljivega podatka ali pa na primer za razkritje zelo občutljive zdravstvene kartoteke posameznika. Kot rečeno, lahko globa za več prekrškov zraste do 20.000 evrov. »Za posameznika je globa 20.000 evrov strašno visoka. V tujini so globe sicer še višje in evropska zakonodaja jih želi še zvišati. Nam pa dejansko povzroča težave stek prekrškov, kjer lahko zaradi nekompliciranih osebnih podatkov dobiš zelo visoko globo,« pove Andrej Tomšič.

»Na to smo opozorili tako prejšnjega kot tudi zdajšnjega ministra za pravosodje. Da bi spremenili zakon. Kajti zdaj lahko nižjo globo od predpisane izreče le sodišče. A posameznik s pritožbo na sodišče tvega, ker izgubi možnost plačila polovičke. Mi pa lahko izrečemo le najnižjo predpisano globo ali pa opomin. Vmesne poti ni. A opomin lahko damo le za zelo lahek prekršek,« doda Jože Bogataj.

Na uradu informacijskega pooblaščenca tudi zato veliko pozornost namenjajo preventivi. Po telefonu je v času uradnih ur za vprašanja in nasvete, kako varovati podatke, stalno dosegljiv uslužbenec pooblaščenca. Pripravljajo tudi številna mnenja in predhodne ocene vpliva na zasebnost. Torej svetovanje, kako naj javni sektor pa tudi zasebna podjetja varujejo in ravnajo z osebnimi podatki, da ne pride do sankcij. »Tega je vedno več, po trikrat na teden imam sestanke z javnimi in zasebnimi inštitucijami na to temo,« pove Tomšič.

Zaradi visokih kazni je torej za vse, ki imajo opravka z bazami osebnih podatkov, zagotovo boljše preventivno delovanje kot pa naknadno odpravljanje posledic. Kot so na še posebej boleč način izkusili slovenski policisti pa tudi drugi, ki jih je kaznoval informacijski pooblaščenec.

Članek objavljamo v sodelovanju s spletnim portalom za ustvarjanje kakovostnega novinarstva http://podcrto.si/