Ali inšpekcijski organ na podlagi 19. člena ZIN lahko zahteva posredovanje osebnih podatkov, če se ti podatki ne nanašajo na potrebe inšpekcijskega upravnega postopka v teku, temveč naše ne uveden, a predviden prekrškovni postopek?

Ali se lahko uporabi 34.a člen ZUP tudi za posredovanje osebnih podatkov za potrebe prekrškovnega postopka?

Inšpekcijski nadzor je oblika posebnega upravnega nadzora, katerega namen je varstvo javnega interesa prek preprečevanja, odprave in sankcioniranja kršitev zakonov in drugih predpisov. Vodenje inšpekcijskega postopka je odvisno od določb materialnega področnega zakona, ki ureja predmet nadzora in hkrati določa posebnosti postopka (npr. ZVOP-2, ZOsn, GZ-1, ZDR, ZVPot itd.). Če zakon, ki ureja določeno področje, vsebuje tudi procesna pravila za delo pristojne inšpekcije, se ta kot lex specialis uporabijo pred splošnimi pravili delovanja posameznega inšpekcijskega organa (npr. Zakon o informacijskem pooblaščencu, Zakon o šolski inšpekciji, GZ-1, ZID-1, ZTI-1 itd.). Če posebnosti ne določa niti materialni področni zakon niti zakon, ki ureja organizacijo in delovanje posamezne inšpekcije, se postopki nadzora vodijo po določbah Zakona o inšpekcijskem nadzoru (ZIN, Ur. l. RS, št. 43/07 in nasl.), ki predstavlja splošni procesni okvir za inšpekcijski nadzor, ter subsidiarno po določbah ZUP (glej sklep UPRS I U 63/2019-26 z dne 4. 5. 2021, več v Kovač (ur.), Inšpekcijski nadzor: razprave sodna praksa in komentar zakona, 2024).

Izvajanje inšpekcijskega nadzora kot dejavnost v javnem interesu pa se izvaja v obsegu, ki zajema tako upravno ukrepanje kot tudi prekrškovno sankcioniranje (več o tem tudi Kovač (ur.), Inšpekcijski nadzor: razprave sodna praksa in komentar zakona, 2024, str. 110-111 in 162-164). Inšpekcijski upravni postopki so usmerjeni v odpravo posledic kršitev oziroma v oblikovanje ustreznega, z zakonom skladnega pravnega razmerja (npr. odstranitev nezakonite gradnje), medtem ko so inšpekcijski prekrškovni postopki usmerjeni v sankcioniranje kršiteljev pravnih norm (glej Kerševan in Androjna, Upravno procesno pravo, 2018, str. 45).

ZIN v 18. členu določa, da inšpektor pri opravljanju nalog inšpekcijskega nadzora samostojno vodi postopek ter izdaja odločbe in sklepe v upravnem in prekrškovnem postopku. Ta dva postopka, inšpekcijski upravni in inšpekcijsko prekrškovni postopek, sta po naravi zadeve povsem ločena (čeprav vsebinsko de facto povezana) in samostojna postopka različnega tipa in garancij, ki se praviloma izvajata vzporedno ali zaporedno (glej primer Vodenje upravnega in prekrškovnega postopka v inšpekcijskih zadevah), saj upravno ukrepanje ne nadomešča oziroma izključuje prekrškovno ukrepanje in obratno. 32. člen ZIN inšpektorju tako nalaga dolžnost, da ob seznanitvi z zakonskimi znaki prekrška uvede ustrezne postopke v skladu z Zakonom o prekrških (ZP-1, Ur. l. RS, št. 29/11 in nasl.), kar poteka neodvisno od teka inšpekcijsko upravnega nadzora (več v Kovač (ur.), prav tam, str. 390-391). 19. člen ZIN opredeljuje pooblastila inšpektorja za zakonito opravljanje dejanj v okviru inšpekcijskega nadzora. Ta krovni pojem (»inšpekcijski nadzor«) sistematično zajema tako upravno kot tudi prekrškovno ukrepanje inšpekcijskega organa. Pri tem je treba razlikovati med pooblastili, ki jih ima inšpektor do inšpekcijskega zavezanca in tistimi, ki jih ima do drugih fizičnih in pravnih oseb (več v Kovač (ur.), prav tam, 2024, str. 330-332 in nasl.).

Prvi odstavek 19. člena ZIN določa pooblastila inšpektorja do inšpekcijskega zavezanca, torej osebe, pri kateri se izvaja nadzor. Med drugim šesta alineja prvega odstavka določa, da inšpektor brezplačno pridobiva in uporablja osebne in druge podatke iz uradnih evidenc in drugih zbirk podatkov, kadar so ti potrebni za izvedbo nadzora. Vrhovno sodišče pri tem potrjuje, da 6. alineja prvega odstavka 19. člena ZIN daje inšpektorju pravno podlago za pridobitev osebnih podatkov od fizične ali pravne osebe, ki se nanašajo nanjo kot zavezanca, pri katerem opravlja inšpekcijski nadzor, in to le iz uradnih evidenc in drugih zbirk podatkov (glej sodbo VSRS IV Ips 101/2008 z dne 18. 11. 2008). Drugi odstavek 19. člena ZIN nadalje določa obveznosti drugih fizičnih in pravnih oseb, ki niso stranke postopka, a razpolagajo z domnevnimi dokazi ali podatki, potrebnimi za izvedbo inšpekcijskega nadzora. Te osebe morajo na zahtevo inšpektorja posredovati zahtevane dokaze in druge, tudi osebne podatke, oziroma morajo omogočiti zaslišanje prič za pridobitev teh dokazov ali drugih, tudi osebnih podatkov, najkasneje v treh dneh od prejema njegove zahteve.

Inšpektorji imajo poleg pooblastil po 19. členu ZIN (ali morebitnih dodatnih pooblastil po sektorski področnih predpisih) tudi možnost pridobivanja osebnih podatkov iz drugih zbirk osebnih podatkov na podlagi 34.a člena ZUP, kjer se določa obveznost, da upravljavci zbirk osebnih podatkov (tako javnopravni kot zasebnopravni subjekti, fizične in pravne osebe), ki razpolagajo s podatki, ki so potrebni za ugotovitev dejstev v zvezi z vodenjem in odločanjem v upravnem postopku, na podlagi obrazložene zahteve organa, brezplačno, najkasneje v roku 15 dni, posredujejo organu zahtevane podatke (glej primer Posredovanje osebnih podatkov, potrebnih za odločanje v postopku med upravnimi organi).

Čeprav Komentar ZUP k 34.a členu (več v Kovač in Kerševan (ur.), Komentar ZUP, 2022, 1. knjiga, str. 292-293) to določbo razume kot zgolj pojasnjevalno oziroma organizacijsko normo brez samostojne podlage za obdelavo osebnih podatkov, je določba 34.a člena ZUP dovolj jasna in določna, da sama po sebi predstavlja pravno podlago za posredovanje osebnih podatkov v upravnih postopkih: glede na 6 (3) Splošne uredbe (Splošna uredba; Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES) se v določbi jasno navede konkreten namen (za potrebe upravnega postopka), zasleduje javni interes (zakonito in učinkovito odločanje o upravni zadevi) ter vključuje preizkus nujnosti in sorazmernosti (omejitev na ugotavljanje dejstev, potrebnih za postopek, in obrazložena zahteva). Razumevanje določbe 34.a člena ZUP kot samostojne pravne podlage za posredovanje osebnih podatkov potrjuje tudi praksa Informacijskega pooblaščenca (več v mnenju IP, št. 07120-1/2025/260 z dne 13. 6. 2025, št. 07120-1/2025/352 z dne 1. 8. 2025 in št. 07121-1/2023/748 z dne 2. 6. 2023), kjer se poudarja, da obdelava osebnih podatkov na podlagi te določbe biti potrebna za vodenje in odločanje v upravnem postopku, ob hkratnem spoštovanju načel varstva osebnih podatkov (omejitev namena, najmanjši potrebni obseg podatkov itd.). Določba 34.a člena ZUP glede posredovanja osebnih podatkov za namen vodenja upravnih postopkov tako predstavlja lex specialis določbo od splošne ureditve posredovanja osebnih podatkov po Zakonu o varstvu osebnih podatkov (ZVOP-2, Ur. l. RS, št. 163/22 in nasl.). Iz zgoraj citiranih mnenj Informacijskega pooblaščenca tudi izhaja, da kadar se osebni podatki obdelujejo za namene vodenja upravnih postopkov, kamor sodijo tudi inšpekcijski postopki (tako inšpekcijsko upravni in inšpekcijsko prekrškovni), kot pravna podlaga za obdelavo osebnih podatkov šteje (e) točka prvega odstavka 6. člena Splošne uredbe, saj gre za obdelavo, ki je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu. Navedena pravna podlaga je utemeljena v okoliščinah, ko upravljavec izvaja naloge v javnem interesu ali izvršuje javno oblast, ki mu je podeljena z zakonom oziroma drugim pravnim predpisom. Javni interes vedno določi zakonodajalec, saj se s tem zagotavlja pravna varnost posameznikov (več v Pirc Musar (ur.), Komentar Splošne uredbe o varstvu podatkov, 2020, str. 177–180).

Obdelava osebnih podatkov v inšpekcijskem postopku se z vidika predhodno citirane določbe in ob upoštevanju določb drugega odstavka 6. člena Splošne uredbe šteje za zakonito, če se izvajajo skladno s pravili, ki jih določajo materialni in postopkovni predpisi, ki določajo načela inšpekcijskega nadzora ter pooblastili in pristojnostmi dela inšpekcijskega organa, vzporedno ob upoštevanju vseh načel varstva osebnih podatkov po 5. členu Splošne uredbe (glej mnenja IP, št. 0712-1/2019/549 z dne 10. 3. 2019, št. 0712-1/2019/617 z dne 17. 3. 2019, št. 07120-1/2020/504 z dne 8. 9. 2020, št. 07120-1/2021/213 z dne 20. 4. 2021 in št. 07121-1/2025/915 z dne 23. 7. 2025).

Treba je torej izrecno poudariti, da se uporaba 34.a člena ZUP kot pravne podlage za posredovanje osebnih podatkov omejuje izključno na primere, ko je obdelava potrebna za vodenje in odločanje v upravnem postopku. Določbe tako ni dopustno uporabljati izven tega procesnega okvira, zlasti ne kot pravne podlage za uvedbo ali vodenje prekrškovnega postopka. ZP-1 namreč v prvem odstavku 58. člena določa, da se določbe ZUP smiselno uporabljajo le glede izrecno naštetih procesnih vprašanj (denimo glede pristojnosti, jezika, rokov, odločb, vročanja, izločitve ipd.), ne pa tudi glede ugotavljanja dejanskega stanja. Ker se 34.a člen ZUP nanaša prav na posredovanje podatkov za potrebe ugotavljanja dejstev in vodenja upravnega postopka, te določbe ni mogoče uporabiti kot pravne podlage za obdelavo osebnih podatkov v prekrškovnih postopkih. Za takšno obdelavo mora obstajati samostojna pravna podlaga v skladu z zahtevami iz člena 6(3) Splošne uredbe.

V zvezi s tem se zastavlja vprašanje, ali bi lahko ustrezno pravno podlago za obdelavo osebnih podatkov predstavljala tudi 6. točka prvega odstavka 19. člena ZIN, ki inšpektorju daje pooblastilo, da »brezplačno pridobi in uporablja osebne in druge podatke iz uradnih evidenc in drugih zbirk podatkov, ki so potrebni za izvedbo inšpekcijskega nadzora.« Čeprav se določba nanaša na celotno izvajanje inšpekcijskega nadzora, ki lahko vključuje poleg upravnega tudi prekrškovni del, njena formulacija ostaja razmeroma splošna in ne naslavlja izrecno vseh obveznih pogojev iz člena 6(3) Splošne uredbe. Zaradi navedenega se zdi, da uporabe 19. člena ZIN ni ustrezno širiti na posredovanje osebnih podatkov za namen uvedbe ali vodenja prekrškovnih postopkov, če za to ne obstaja posebna in dovolj določna pravna podlaga v lex specialis predpisu, ki izrecno navede namen takega posredovanja in hkrati izpolnjuje pogoje iz člena 6(3) Splošne uredbe.

Inšpektorji morajo pri svojem delu dosledno spoštovati načelo najmanjšega obsega podatkov, ki zahteva, da so osebni podatki, ki se obdelujejo, ustrezni, relevantni in omejeni na tisto, kar je potrebno za namene, za katere se obdelujejo (glej mnenje IP, št. 07121-1/2024/913 z dne 7. 8. 2024). Prav tako morajo upoštevati načelo omejitve namena, po katerem se lahko osebni podatki obdelujejo le za določen, izrecen in zakonit namen ter se ne smejo nadalje obdelovati na način, ki ni združljiv s tem prvotnim namenom (npr. pridobljene podatke za namen izvajanja inšpekcijsko upravnega nadzora kasneje uporabiti za uvedbo in vodenje prekrškovnega postopka).