Vrhovno sodišče RS in Višje sodišče v Ljubljani sta v svojih odločitvah pritrdila stališču Informacijskega pooblaščenca (IP), da lahko tudi po uveljavitvi Splošne uredbe o varstvu podatkov (GDPR) ta še vedno sankcionira kršitve varstva osebnih podatkov, ki so v Zakonu o varstvu osebnih podatkov (ZVOP-1) opredeljene kot prekrški.

Po uveljavitvi Splošne uredbe o varstvu podatkov (GDPR) 25. maja 2018 je bilo med posamezniki, pa tudi v strokovni literaturi s področja varstva osebnih podatkov, zavzeto stališče, da sankcioniranje prekrškov po ZVOP-1 (tako tistih, ki so bili storjeni pred začetkom veljavnosti GDPR, kot tistih, storjenih kasneje) po uveljavitvi GDPR ni več mogoče.

Sodna praksa je dvom glede vprašanja, ali je prekrškovno sankcioniranje določb ZVOP-1, ki niso v nasprotju s Splošno uredbo o varstvu podatkov in so kot take še vedno veljavne, še vedno mogoče, odpravila.

Vrhovno sodišče RS je v sodbi IV Ips 2/2021, ki se nanaša na prekrške, storjene pred uveljavitvijo GDPR, obrazložilo, da GDPR državam članicam prepušča razmeroma široko polje pri urejanju nacionalnih pravil, s katerimi naj se sankcionirajo kršitve pravil o varstvu osebnih podatkov in da zato tudi upravne globe, ki jih ta predpisuje v svojem 83. členu, niso edina možna sankcija za kršitve varstva osebnih podatkov. Določbe ZVOP-1, ki določajo nezakonito ravnanje z osebnimi podatki in predpisujejo sankcijo zanj, sodijo v to polje diskrecije držav članic pri urejanju sankcioniranja kršitev.

Višje sodišče v Ljubljani pa je v sklepu PRp 215/2021, ki se nanaša na prekršek, storjen po uveljavitvi GDPR, pojasnilo, da v ta okvir urejanja sankcioniranja kršitev sodijo tudi določbe ZVOP-1, ki določajo kršitve zavarovanja (varnosti) osebnih podatkov in zanje predpisujejo sankcije.

Glede na sodno prakso ureditev v ZVOP-1 ni v nasprotju s pravili GDPR in je ni mogoče šteti kot kasnejši predpis, ki je za storilca milejši, IP pa lahko tudi po začetku njene veljavnosti še vedno vodi prekrškovne postopke in izreka sankcije kršiteljem, ne glede na to, ali je bil konkretni prekršek storjen pred ali po uveljavitvi GDPR.

Pripravila:

odvetnica Vesna Ložak Polanec