Varstvo osebnih podatkov je v Sloveniji poleg evropske Uredbe zagotovljeno z Ustavo Republike Slovenije (Uradni list RS, št. 33/91-I, 42/97 - UZS68, 66/00 - UZ80, 24/03 - UZ3a, 47, 68, 69/04 - UZ14, 69/04 - UZ43, 69/04 - UZ50, 68/06 - UZ121,140,143, 47/13 - UZ148, 47/13 - UZ90,97,99 in 75/16 - UZ70a, v nadaljevanju Ustava RS) in Zakonom o varstvu osebnih podatkov ZVOP-1 (Uradni list RS, št. 86/04, 177/20).
3.2.1 Ustava Republike Slovenije
Ustava Republike Slovenije (Uradni list RS, št. 33/91-I, 42/97 - UZS68, 66/00 - UZ80, 24/03 - UZ3a, 47, 68, 69/04 - UZ14, 69/04 - UZ43, 69/04 - UZ50, 68/06 - UZ121,140,143, 47/13 - UZ148, 47/13 - UZ90,97,99 in 75/16 - UZ70a, v nadaljevanju Ustava RS) je najvišji splošni pravni akt, ki ureja lastno ureditev in pravice državljanov v razmerju do države ter je podlaga za zakonsko ureditev varstva osebnih podatkov. V Ustavi RS so kot prve navedene človekove pravice in temeljne svoboščine. Slovenija je bila med prvimi državami, ki je v Ustavo zapisala pravico do varstva osebnih podatkov (Rovšek, 2004, str. 5).
USTAVA
10
Varstvo osebnih podatkov je ena izmed navedenih človekovih pravic in temeljnih svoboščin, in sicer v 38. členu Ustave RS navaja, da je s tem zakonom zagotovljeno varstvo osebnih podatkov in prepovedana uporaba osebnih podatkov v nasprotju z namenom njihovega zbiranja. Zakon določa zbiranje, obdelovanje, namen uporabe, nadzor in varstvo tajnosti osebnih podatkov ter pravico vsakega, da se seznani z zbranimi osebnimi podatki, ki se nanašajo nanj, in pravico do sodnega varstva ob njihovi zlorabi.
V Ustavi RS so zapisane pravice, ki se navezujejo na varstvo posameznika in so prav tako pomembne. Taka je pravica do osebnega dostojanstva in varnosti (34. člen Ustave RS), ki pravi, da ima vsakdo pravico do osebnega dostojanstva in varnosti. 35. člen Ustave RS pa zagotavlja varstvo pravic zasebnosti in osebnostnih pravic, ki navaja, da je zagotovljena nedotakljivost človekove telesne in duševne celovitosti, njegove zasebnosti ter osebnostnih pravic.
3.2.2 Zakon o varstvu osebnih podatkov
V Sloveniji sta zasebnost in varstvo osebnih podatkov zajamčena z Zakonom o varstvu osebnih podatkov (Uradni list RS, št. 86/04, 177/20, v nadaljevanju ZVOP-1). Zakon je bil sprejet 15. julija 2004, v veljavo pa stopil 1. januarja 2005. ZVOP-1 v 1. členu navaja, da se s tem zakonom določajo pravice, obveznosti, načela in ukrepi, s katerimi se preprečujejo neustavni, nezakoniti in neupravičeni posegi v zasebnost in dostojanstvo posameznika oziroma posameznice pri obdelavi osebnih podatkov. Njegov cilj je zaščititi osebne podatke in zagotoviti varstvo posameznikov pri uporabi osebnih podatkov ter preprečiti zlorabe pri uporabi, shranjevanju in obdelavi podatkov.
ZVOP-1 temelji na treh sledečih načelih:
̶ Načelo zakonitosti in poštenosti (osebni podatki se obdelujejo zakonito in pošteno) (2. člen ZVOP-1).
̶ Načelo sorazmernosti (osebni podatki, ki se obdelujejo, morajo biti ustrezni in po obsegu primerni glede na namene, za katere se zbirajo in nadalje obdelujejo) (3.
člen ZVOP-1).
̶ Prepoved diskriminacije (varstvo osebnih podatkov je zagotovljeno vsakemu posamezniku ne glede na narodnost, raso, barvo, veroizpoved, etnično pripadnost, spol, jezik, politično ali drugo prepričanje, spolno usmerjenost, premoženjsko stanje, rojstvo, izobrazbo, družbeni položaj, državljanstvo, kraj oziroma vrsto prebivališča ali katerokoli drugo osebno okoliščino) (4. člen ZVOP-1).
Varstvo osebnih podatkov je ena izmed temeljnih človekovih pravic, ki zajema široko področje, to pa v ZVOP-1 ni dovolj razločno določeno z zakonom, saj je njegov spekter razlage preveč odprt. Tako problema pri nastali situaciji ne moremo dovolj natančno zakonsko opredeliti. Predlog za sprejetje novega zakona ZVOP-2 je še vedno v teku, ta pa
11
naj bi urejal določena vsebinska področja (zdravstvene, genetske in biometrijske podatke), postopkovne vidike in relacijo do drugih področij in pravic, kot je na primer dostop do javnih informacij itd. (Informacijski pooblaščenec, 2021). Treba je upoštevati tudi, da trenutno v ZVOP-1 veljajo le določene določbe zakona, saj so se s 25. majem 2018 v Republiki Sloveniji prenehale uporabljati tiste določbe obstoječega ZVOP-1, ki jih ureja (oz. nadomešča) Splošna uredba o varstvu podatkov GDPR. Namesto njih se bo tako za upravljavce in obdelovalce, posameznike, na katere se nanašajo osebni podatki, uporabljala Uredba GDPR (Prva sistemska pojasnila Ministrstva za pravosodje ob začetku razvoja uporabe nove evropske zakonodaje o varstvu osebnih podatkov, 2018).
Novi predlagani Zakon o varstvu osebnih podatkov (ZVOP-2, EPA 2733-VII) je v obravnavi v Državnem zboru Republike Slovenije od 6. aprila 2018 in ni bil sprejet pravočasno zaradi povezave z odstopom Vlade Republike Slovenije in temu sledečim razpustom Državnega zbora Republike Slovenije (Prva sistemska pojasnila Ministrstva za pravosodje ob začetku razvoja uporabe nove evropske zakonodaje o varstvu osebnih podatkov, 2018).
3.2.3 Zakon o delovnih razmerjih
Zakon o delovnih razmerjih (Uradni list RS, št. 21/13, 78/13 - popr., 47/15 - ZZSDT, 33/16 - PZ-F, 52/16, 15/17 - odl. US, 22/19 - ZPosS, 81/19 in 203/20 - ZIUPOPDVE, v nadaljevanju ZDR-1) je bil sprejet leta 2013 in ureja delovna razmerja, ki se sklepajo s pogodbo o zaposlitvi med delavcem in delodajalcem (prvi odstavek 1. člena ZDR-1). ZDR-1 med drugim zagotavlja tudi varstvo osebnih podatkov delavca in njegove zasebnosti.
Varstvo osebnih podatkov delavcev je zagotovljeno z 48. členom ZDR-1 in v prvem odstavku 48. člena navaja, da se osebni podatki delavcev lahko uporabljajo, obdelujejo, zbirajo in posredujejo tretjim osebam, če je to določeno z zakonom ali če je to potrebno za uresničevanje pravic in obveznosti iz delovnega razmerja. Za zgoraj navedene dejavnosti je pristojen samo delodajalec ali delavec, ki ga delodajalec za to posebej pooblasti (drugi odstavek 48. člena ZDR-1). Če za te podatke preneha obstajati zakonska podlaga, se morajo ti podatki zbrisati in prenehati uporabljati (tretji odstavek 48. člena ZDR-1).
Ker pa se osebni podatki in zasebnost med seboj dopolnjujeta, je tudi zasebnost delavca zagotovljena s 46. členom ZDR-1, ki pravi, da mora delodajalec »varovati in spoštovati delavčevo osebnost ter upoštevati in ščititi delavčevo zasebnost.« Prav tako je pomemben tudi 47. člen ZDR-1, ki v prvem odstavku govori o varovanju dostojanstva delavca pri delu, pri čemer navaja, da je delodajalec dolžan zagotavljati delovno okolje, v katerem delavec ne bo izpostavljen spolnemu nadlegovanju ali trpinčenju s strani delodajalca, predpostavljenih ali sodelavcev.
12
3.2.4 General Data Protection Regulation (GDPR)
Uredba Evropskega parlamenta in Sveta Evropske unije (angl. General Data Protection Regulation) (Regulation EU 2016/679, v nadaljevanju Uredba GDPR) je bila sprejeta 14.
aprila 2016, v veljavo pa je stopila 25. maja 2018 ter ureja varstvo posameznikov pri obdelavi osebnih podatkov, prostem pretoku takih podatkov in razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov). Uredba GDPR določa, da morajo biti vsi osebni podatki obdelani zakonito in pošteno. Podatki, ki se zbirajo, morajo biti zbrani in obdelani za točno določen namen in ne smejo biti obdelovani za drugačne namene, če to ni določeno z zakonom. Posameznik mora biti obveščen o tem, kateri podatki se zbirajo in v kakšne namene se bodo podatki shranjevali. Trenutno je Uredba GDPR glavni evropski pravni akt in podlaga za nadaljnje pravne akte na področju varstva osebnih podatkov.