Odločba o ugotovitvi, da so bili prvi odstavek, prva...

2745. Odločba o ugotovitvi, da so bili prvi odstavek, prva alineja drugega odstavka ter tretji in četrti odstavek 129. člena Zakona o nalogah in pooblastilih policije, kolikor so se nanašali na evidenco kaznivih dejanj, v neskladju z Ustavo

Številka: U-I-9/24-11

Datum: 25. 9. 2025

O D L O Č B A

Ustavno sodišče je v postopku za oceno ustavnosti, začetem z zahtevo Informacijskega pooblaščenca, na seji 25. septembra 2025

o d l o č i l o:

Prvi odstavek, prva alineja drugega odstavka ter tretji in četrti odstavek 129. člena Zakona o nalogah in pooblastilih policije (Uradni list RS, št. 15/13, 23/15 - popr., 10/17 in 47/19), kolikor so se nanašali na evidenco kaznivih dejanj, so bili v neskladju z Ustavo.

O b r a z l o ž i t e v

A.

1.

Informacijski pooblaščenec (v nadaljevanju predlagatelj) vlaga zahtevo za oceno ustavnosti prvega odstavka, prve alineje drugega odstavka in tretjega odstavka 129. člena Zakona o nalogah in pooblastilih policije (v nadaljevanju ZNPPol), kolikor so se nanašali na evidenco kaznivih dejanj iz 1. točke drugega odstavka 123. člena ZNPPol, ki so urejali obdelavo osebnih podatkov iz evidenc osebnih podatkov policije v t. i. blokirani obliki po poteku roka hrambe iz prvega odstavka 125. člena ZNPPol (tj. obravnavanje v skladu s predpisi, ki urejajo poslovanje organov z dokumentarnim gradivom); roke hrambe navedenih osebnih podatkov, dostop do njih in ravnanje z anonimiziranimi podatki po poteku rokov iz drugega odstavka 129. člena (četrti odstavek 129. člena) ZNPPol.

2.

Predlagatelj utemeljuje aktivno procesno legitimacijo z vodenjem pritožbenega postopka zaradi kršitve pravice do izbrisa osebnih podatkov po drugem odstavku 26. člena Zakona o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (Uradni list RS, št. 177/20 - v nadaljevanju ZVOPOKD) iz evidence kaznivih dejanj po 1. točki drugega odstavka 123. člena ZNPPol v času hrambe blokiranih podatkov na podlagi prve alineje drugega odstavka 129. člena ZNPPol.

3.

Zatrjuje, da pomeni obdelava osebnih podatkov iz policijskih evidenc na podlagi izpodbijanih določb poseg v pravico do informacijske zasebnosti iz 38. člena Ustave in v pravico iz 8. člena Konvencije o varstvu človekovih pravic in temeljnih svoboščin (Uradni list RS, št. 33/94, MP, št. 7/94 - v nadaljevanju EKČP). Sklicuje se na Direktivo (EU) 2016/680 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, in o prostem pretoku takih podatkov ter o razveljavitvi Okvirnega sklepa Sveta 2008/977/PNZ (UL L 119, 4. 5. 2016), zadnjič popravljeno s Popravkom (UL L 127, 23. 5. 2018), (v nadaljevanju Direktiva 2016/680), in na ZVOPOKD.

4.

Predlagatelj zatrjuje neskladje izpodbijanih določb z načelom jasnosti in pomenske določljivosti iz 2. člena Ustave. Izpodbijane določbe ZNPPol naj bi določale blokiranje podatkov, ki pa naj bi še vedno pomenilo obdelavo osebnih podatkov, le da naj bi bil dostop do podatkov bolj omejen z objektivnega (tj. za katere namene je dopustno dostopati do navedenih blokiranih podatkov) in osebnega vidika (tj. kdo naj bi do njih lahko dostopal). Zaradi navedenega naj z ustaljenimi metodami razlage ne bi bilo mogoče ugotoviti dolžine rokov hrambe osebnih podatkov iz policijskih evidenc osebnih podatkov. Tako naj bi obstajala dva roka hrambe osebnih podatkov, najprej po prvem odstavku 128. člena ZNPPol, nato pa še po drugem odstavku 129. člena ZNPPol.

5.

Zaradi navedene ureditve naj bi bilo tudi nejasno, v katerem trenutku naj bi bila zagotovljena pravica do izbrisa osebnih podatkov po drugem odstavku 26. člena ZVOPOKD, ki naj bi jo zagotavljali tudi ustaljena praksa Evropskega sodišča za človekove pravice (v nadaljevanju ESČP) in Sodišča Evropske unije (v nadaljevanju SEU, zlasti zadeva NG proti Direktor na Glavna direktsia ʺNatsionalna politsia pri MVR - Sofia, C-118/22, z dne 30. 1. 2024) ter ustaljena ustavnosodna presoja (zlasti odločba Ustavnega sodišča št. U-I-312/11 z dne 13. 2. 2014, Uradni list RS, št. 15/14, in OdlUS XX, 20). Iz zakonodaje naj tako ne bi jasno izhajalo, ali nastopi ta pravica po izteku roka iz prvega odstavka 128. člena ali iz drugega odstavka 129. člena ZNPPol.

6.

Kot nejasno predlagatelj izpostavlja tudi ureditev ravnanja s podatki iz policijskih evidenc po poteku roka iz drugega odstavka 129. člena ZNPPol, saj naj se podatki (razen izjem po četrtem odstavku 129. člena Zakona o kazenskem postopku (Uradni list RS, št. 176/21 - uradno prečiščeno besedilo in 53/24 - v nadaljevanju ZKP) ne bi izbrisali, ampak zgolj anonimizirali. Anonimizacija naj bi bila lahko veljavna oblika izbrisa, a le, če po tem podatkov ne bi bilo mogoče povezati z določljivim posameznikom. Kot taka naj bi omogočala zgolj hrambo statističnih ali številčnih podatkov ali drugih oblik podatkov, na podlagi katerih naj posameznika tudi posredno ob uporabi podatkov iz drugih zbirk ne bi bilo mogoče določiti. Vendar naj bi bila možnost prave anonimizacije navedenih podatkov realno majhna zaradi različne razlage pojma anonimizacija v praksi, zaradi tehničnih možnosti izvedljivosti ter zaradi vsebine podatkov v policijskih evidencah. Zato naj bi šlo za psevdonimizirane podatke, varovane z 38. členom Ustave, in za de facto trajno hrambo osebnih podatkov, vsaj v evidenci kaznivih dejanj.

7.

Predlagatelj zatrjuje tudi nesorazmernost izpodbijane ureditve. Tridesetletni rok hrambe osebnih podatkov iz drugega odstavka 129. člena ZNPPol naj ne bi bil sorazmeren v ožjem pomenu. Zasledovani cilj (boj proti kaznivim dejanjem) naj bi bilo mogoče doseči s krajšim rokom hrambe in z razlikovanjem med roki hrambe osebnih podatkov oseb, ki so bile ali niso bile pravnomočno obsojene. Pri tem se predlagatelj sklicuje na zahteve iz točke e) prvega odstavka 4. člena in iz 5. člena Direktive 2016/680 po časovno omejeni hrambi osebnih podatkov, kolikor je ta potrebna za dosego zasledovanih namenov, na drugi odstavek 16. člena Direktive 2016/680, ki omogoča pravico do izbrisa osebnih podatkov, tudi v primeru kršitev 4., 8. ali 10. člena Direktive 2016/680, ter na odločbo Ustavnega sodišča št. U-I-312/11. Poudarja tudi okoliščine konkretnega primera, v katerem vodi pritožbeni postopek; kazenski postopek zoper pritožnika naj bi se končal s sklepom o zavrženju kazenske ovadbe oziroma s sklepom o ustavitvi kazenskega postopka, kljub temu pa naj bi se pritožnikovi podatki v blokirani obliki (ki pa naj ne bi omejevala dostopa do teh podatkov bistveno niti z objektivnega niti s subjektivnega vidika) hranili še 30 let.

8.

Nadalje predlagatelj izpostavlja, da izpodbijana zakonska ureditev ne razlikuje med položaji, ko gre za osebne podatke pravnomočno obsojenih oseb, oseb, ki so bile osumljene, pa niso bile pravnomočno obsojene, ter tretjih oseb, katerih osebni podatki so v policijski evidenci kaznivih dejanj (prijavitelji, oškodovanci, prejemniki premoženjske koristi itd.). Samo dejstvo, da je bila oseba obdolžena kaznivega dejanja, naj ne bi zadostovalo za sklep, da je zbiranje njenih podatkov nujno potrebno. Še bolj problematično naj bi bilo obdelovanje osebnih podatkov v preventivne namene. Relevantno merilo naj bi bilo zgolj ocenjevanje nevarnosti, ki jih predstavljajo osebe, torej ocena tveganj. Prav tako naj izpodbijana ureditev ne bi razlikovala rokov hrambe glede na težo in naravo kaznivega dejanja in glede na osebne okoliščine osebe, povezane z osumljencem.

9.

Za posameznike, za katere naj bi veljala domneva nedolžnosti iz 27. člena Ustave, naj tridesetletni rok hrambe osebnih podatkov ne bi bil nujen za dosego namenov preprečevanja, preiskovanja ter odkrivanja in pregona kaznivih dejanj, in naj bi nesorazmerno posegal v pravico do informacijske zasebnosti. Prav tako naj bi pomenil visoko tveganje za nastanek stigmatizacije teh oseb (34. člen Ustave), ki naj bi bile lahko obravnavane na enak način kot obsojenci. Iz navedenih razlogov naj bi bile izpodbijane določbe ZNPPol v neskladju s pravico iz prvega odstavka 38. člena Ustave in iz prvega odstavka 8. člena EKČP.

10.

Zahteva je bila na podlagi prvega odstavka 28. člena Zakona o Ustavnem sodišču (Uradni list RS, št. 64/07 - uradno prečiščeno besedilo, 109/12, 23/20, 92/21 in 22/25 - v nadaljevanju ZUstS) poslana Državnemu zboru, ki nanjo ni odgovoril.

11.

Svoje mnenje je poslala Vlada, ki se je opredelila do navedb predlagatelja. Zavrnila je predlagateljevo sklicevanje na njegove pripombe na ureditev hrambe profila DNK iz let 2013 in 2015, ker naj bi bila izpodbijana ureditev drugačna in naj bi ustrezala zahtevam Ustavnega sodišča iz odločbe št. U-I-312/11. Prav tako je zavrnila njegovo navedbo glede neskladja z ZVOPOKD, saj naj bi bil pojem blokiranje jasno opredeljen v 21. točki 4. člena ZVOPOKD in v 2. točki prvega odstavka 29. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22- v nadaljevanju ZVOP-2). S tem naj bi bilo zadoščeno zahtevi po pravni varnosti oziroma načelu zakonitosti. Prav tako naj bi bili v tretjem odstavku 129. člena ZNPPol nedvoumno določeni pogoji za obdelovanje blokiranih podatkov, ki naj bi bilo omejeno na uporabniške račune, ki imajo dodeljene privilegije dostopa in pravico do nadaljnje obdelave blokiranih podatkov. S tem naj bi bila zagotovljena tudi delna omejitev obdelave osebnih podatkov z namenom preprečevanja njihove nezakonite obdelave. Poleg tega naj bi bila vsaka obdelava takih podatkov beležena v dnevnikih obdelave, s čimer naj bi se zagotavljal nadzor nad zakonitostjo in upravičenostjo obdelav osebnih podatkov.

12.

Vlada nadalje izpostavlja, da glede na definicijo anonimiziranja podatkov v 20. točki 4. člena ZVOPOKD anonimizirani podatki niso osebni podatki in niso varovani po 38. členu Ustave, ZVOP-2 ter ZVOPOKD. Pomisleki predlagatelja glede blokiranja in anonimiziranja podatkov ter prevzemanja gradiva s strani Arhiva Republike Slovenije na izvedbeni ravni in glede nadaljnje obravnave ter hrambe podatkov v skladu z določbami zakona, ki ureja varstvo dokumentarnega in arhivskega gradiva ter arhive, pa naj se ne bi nanašali na 129. člen ZNPPol. Hkrati naj bi imel predlagatelj možnost to obravnavati v okviru svojih zakonskih nadzorstvenih pristojnosti.

13.

Po stališču Vlade naj pravica do izbrisa osebnih podatkov ne bi bila absolutna pravica posameznika, ampak naj bi bila vezana na primere nezakonite obdelave osebnih podatkov po 5., 6. ali 7. členu ZVOPOKD oziroma če je treba osebne podatke izbrisati za izpolnitev pravne obveznosti, ki velja za pristojni organ. To naj bi izhajalo tudi iz pritožbenega postopka, ki naj bi ga vodil predlagatelj in v katerem naj bi pritožbo posameznika glede zahteve za izbris ocenil za neutemeljeno in poudaril, da bi policija ravnala nezakonito, če bi zahtevi za izbris ugodila kljub temu, da obstaja zakonska podlaga za nadaljnjo obdelavo osebnih podatkov.

14.

Navedba predlagatelja, da so izpodbijane določbe ZNPPol v neskladju z Ustavo tudi zato, ker naj v povezavi z drugimi določbami ZNPPol ter ob upoštevanju pravice do izbrisa osebnih podatkov iz drugega odstavka 26. člena ZVOPOKD ne bi bilo mogoče doseči jasne in enoznačne razlage, naj bi bila v neskladju s predlagateljevo jezikovno razlago 128. in 129. člena ZNPPol, ki naj bi jasno in nedvoumno določala roke hrambe podatkov v evidencah. Tako čas hrambe v dokumentarni zbirki in v nadaljevanju v blokirani obliki naj bi bilo treba razumeti kot skupni rok hrambe osebnega podatka, anonimizirani podatki pa naj ne bi pomenili osebnih podatkov. Glede na navedeno naj bi bila zakonska določba jasna in določna ter naj med ZNPPol in ZVOPOKD ne bi obstajala nasprotja.

15.

Glede zatrjevane nesorazmernosti izpodbijane ureditve pa je Vlada, upoštevajoč pravo Evropske unije (v nadaljevanju EU) in slovensko pravno ureditev, pritrdila predlagatelju, da so roki hrambe podatkov v evidenci kaznivih dejanj nesorazmerni.

16.

Mnenje Vlade je bilo posredovano predlagatelju, ki nanj ni odgovoril.

B. - I.

Procesne predpostavke

17.

Predlagatelj lahko z zahtevo začne postopek za oceno ustavnosti oziroma zakonitosti predpisa ali splošnega akta, izdanega za izvrševanje javnih pooblastil, če nastane vprašanje ustavnosti ali zakonitosti v zvezi s postopkom, ki ga vodi (šesti odstavek 23.a člena ZUstS).

18.

Predlagatelju je zakonodajalec podelil privilegiran položaj za dostop do Ustavnega sodišča,¹ zato mora predložiti listine, na podlagi katerih bi lahko Ustavno sodišče ocenilo, ali je zahteva vložena v zvezi s postopkom, v katerem bi moral predlagatelj uporabiti izpodbijane predpise.² Izpodbija lahko le tisti predpis, ki bi ga moral uporabiti v konkretni zadevi, za katero je pristojen voditi postopek.³ Zgolj dejstvo, da predlagatelj vodi postopek (inšpekcijskega) nadzora, v katerem je podvomil o ustavnosti in zakonitosti predpisa, ki je prenehal veljati, za izpolnjevanje pogojev za presojo veljavnega predpisa ne zadostuje. Iz ustaljene ustavnosodne presoje izhaja še, da se predlagatelju prizna aktivna procesna legitimacija le takrat, kadar v zvezi s konkretnim postopkom ne more zagotoviti učinkovitega varstva informacijske zasebnosti.⁴

19.

V obravnavani zadevi je predlagatelj s predložitvijo spisa zadeve št. 07144-2/2023 izkazal, da odloča o pritožbi pritožnika zoper odločbo policije, s katero je ta zavrnila zahtevo pritožnika za izbris osebnih podatkov iz evidence kaznivih dejanj za dve kaznivi dejanji zato, ker še ni potekel rok po drugem odstavku 129. člena ZNPPol, pri čemer je bila v primeru prvega kaznivega dejanja kazenska ovadba zoper pritožnika zavržena, v primeru drugega kaznivega dejanja pa je bil izdan sklep o ustavitvi kazenskega postopka. Ustavno sodišče ocenjuje, da je predlagatelj s tem izkazal, da se mu zastavljajo vprašanja ustavnosti izpodbijanih določb 129. člena ZNPPol v zvezi s pritožbenim postopkom, ki ga vodi.

20.

Dne 30. 1. 2025 je Državni zbor sprejel Zakon o spremembah in dopolnitvah Zakona o nalogah in pooblastilih policije (Uradni list RS, št. 8/25 - v nadaljevanju ZNPPol-C), s katerim je bila spremenjena ureditev rokov hrambe podatkov iz evidence kaznivih dejanj iz 1. točke drugega odstavka 123. člena ZNPPol po blokiranju navedenih podatkov (129. člen Zakona o nalogah in pooblastilih policije, Uradni list RS, št. 22/25 - uradno prečiščeno besedilo - v nadaljevanju ZNPPol/25).

21.

Če je predpis med postopkom pred Ustavnim sodiščem v izpodbijanem delu prenehal veljati ali je bil spremenjen ali dopolnjen, Ustavno sodišče odloči o njegovi ustavnosti oziroma zakonitosti, če predlagatelj ali pobudnik izkaže, da niso bile odpravljene posledice protiustavnosti oziroma nezakonitosti (drugi odstavek 47. člena ZUstS).

22.

Zahtevo za oceno ustavnosti je vložil Informacijski pooblaščenec, ki bo moral v postopku odločanja o pritožbi zoper odločbo policije odločiti o zakonitosti in pravilnosti stališč policije, ki so bila sprejeta na podlagi izpodbijanih zakonskih določb.⁵ Prvi odstavek 129. člena, prva alineja drugega odstavka 129. člena in tretji odstavek 129. člena ZNPPol, kolikor so se nanašali na evidenco kaznivih dejanj iz 1. točke drugega odstavka 123. člena ZNPPol, so tako za odločanje predlagatelja še vedno upoštevni. Zato so izpolnjeni pogoji iz 47. člena ZUstS za oceno ustavnosti navedenih izpodbijanih določb.

B. - II.

Izpodbijana zakonska ureditev

23.

Predlagatelj v svoji vlogi sicer navaja, da izpodbija celoten 129. člen ZNPPol. Vendar je iz njegove zahteve razvidno, da ga vsebinsko izpodbija le toliko, kolikor se je 129. člen nanašal na evidenco kaznivih dejanj iz 1. točke drugega odstavka 123. člena ZNPPol. Predlagatelj tako ne izpodbija ureditve hrambe blokiranih in anonimiziranih podatkov ter ravnanja z njimi iz vseh evidenc policije po drugem odstavku 123. člena ZNPPol. Tudi v prekinjenem postopku predlagatelj kot pritožbeni organ po prvem odstavku 27. člena ZVOPOKD odloča o pritožbi zoper odločbo policije o zavrnitvi zahteve za izbris podatkov iz evidence kaznivih dejanj. Predlagatelj prav tako ne zatrjuje neskladja 128. člena ZNPPol, ki je urejal roke hrambe podatkov iz policijskih evidenc v prvi fazi hrambe podatkov iz policijskih evidenc, tj. pred blokiranjem podatkov.

24.

Ustavno sodišče je zato omejilo obseg svoje presoje in je presojalo prvi odstavek, prvo alinejo drugega odstavka ter tretji in četrti odstavek 129. člena ZNPPol, kolikor so se nanašali na evidenco kaznivih dejanj iz 1. točke drugega odstavka 123. člena ZNPPol.

25.

Izpodbijane določbe ZNPPol so določale:

»129. člen (blokiranje podatkov)

(1)

Po preteku rokov hrambe iz prejšnjega člena se podatki iz evidenc, katerih upravljavec je policija, blokirajo in naprej obravnavajo v skladu s predpisi, ki urejajo poslovanje organov z dokumentarnim gradivom, razen podatkov:

-

v evidencah iz 3., 22. in 24. točke drugega odstavka 123. člena tega zakona, ki se anonimizirajo;

-

v evidencah iz 17., 20., 25., 26., 27., 28., 29. in 32. točke drugega odstavka 123. člena tega zakona, ki se brišejo;

-

v evidencah iz 30. in 31. točke drugega odstavka 123. člena tega zakona, ki se depersonalizirajo v skladu s 129.a členom tega zakona.

(2)

Po blokiranju se podatki:

-

v evidencah iz 1., 6., 7. in 19. točke drugega odstavka 123. člena tega zakona hranijo 30 let;

[…]

(3)

Dostop do podatkov iz evidenc prejšnjega odstavka je policistom in pristojnim državnim organov dovoljen le zaradi preiskovanja storitve kaznivega dejanja, katerega storilec se preganja po uradni dolžnosti, ali v drugih primerih, ki so povezani z zagotavljanjem nacionalne varnosti ali ustavne ureditve in so določeni z zakonom. Dostop do podatkov iz evidenc iz 30. in 31. točke drugega odstavka 123. člena tega zakona je policistom in pristojnim državnim organom dovoljen le skladno z namenom, ki je za podatke potnikov z rezervacijo letalske karte naveden v petem odstavku 112.a člena tega zakona, in sicer za analiziranje podatkov za namen ugotavljanja specifičnih potovalnih vzorcev storilcev kaznivih dejanj iz sedmega odstavka 112.a člena tega zakona ali če je pri obravnavi teh kaznivih dejanj treba izvesti nujne aktivnosti za njihovo neposredno preprečitev, ter za izsleditev in prijetje storilcev.

(4)

Po poteku rokov iz drugega odstavka tega člena se podatki anonimizirajo, razen podatkov iz 8., 14. in 15. točke drugega odstavka 123. člena tega zakona, ki se brišejo.«

26.

Izpodbijane določbe so bile urejene že z Zakonom o nalogah in pooblastilih policije (Uradni list RS, št. 15/13),⁶ ki je začel veljati in se uporabljati⁷ med postopkom odločanja Ustavnega sodišča o zahtevi Vrhovnega sodišča za presojo ustavnosti prve alineje prvega odstavka 63. člena in 64. člena Zakona o policiji (Uradni list RS, št. 66/09 - uradno prečiščeno besedilo in 22/10 - v nadaljevanju ZPol). Z navedenima izpodbijanima določbama ZPol sta bila prav tako urejena hramba osebnih podatkov in ravnanje z njimi v policijski evidenci, konkretno v evidenci preiskav DNK. Ustavno sodišče je z odločbo št. U-I-312/11 ugotovilo, da je bila prva alineja prvega odstavka 63. člena ZPol v neskladju z Ustavo, kolikor je omogočala, da so se lahko profili odvzetih vzorcev DNK oseb, ki so bile osumljene, niso pa bile pravnomočno obsojene za očitano kaznivo dejanje, hranili vse do zastaranja kazenskega pregona. Hkrati je odločilo, da je bil 64. člen ZPol v neskladju z Ustavo, kolikor je omogočal, da so se lahko profili odvzetih vzorcev DNK oseb, ki so bile osumljene, niso pa bile pravnomočno obsojene za očitano kaznivo dejanje, obravnavali skladno s predpisi, ki urejajo poslovanje organov javne uprave s stalno zbirko dokumentarnega gradiva oziroma ravnanje z javnim arhivskim gradivom.

27.

ZNPPol je že v času veljavnosti izpodbijanih določb urejal policijske evidence, njihovo vsebino, hrambo osebnih podatkov in ravnanje z njimi. Policija je upravljala in vzdrževala evidence, v katerih so zaradi opravljanja policijskih nalog uslužbenci policije zbirali⁸ in obdelovali osebne in druge podatke,⁹ med drugim izpodbijano evidenco kaznivih dejanj iz 1. točke drugega odstavka 123. člena ZNPPol. Evidence, katerih upravljavec je policija, so bile specifično dokumentarno gradivo.¹⁰ Izpodbijani 129. člen ZNPPol je v splošnem urejal hrambo in obravnavanje blokiranih podatkov iz policijskih evidenc po poteku rokov iz 128. člena ZNPPol za hrambo osebnih podatkov iz navedenih policijskih evidenc. Izpodbijane določbe pa so ta vprašanja urejale prav v zvezi s podatki iz evidence kaznivih dejanj.

28.

Podatki iz evidence kaznivih dejanj so se na podlagi prve alineje prvega odstavka 128. člena ZNPPol¹¹ hranili do ustavitve policijske preiskave ali izdaje sklepa o zavrženju kazenske ovadbe ali do pravnomočne zavrnilne ali oprostilne sodbe, če pa tega ni bilo, do zastaranja kazenskega pregona. Šlo je za prvo fazo hrambe osebnih podatkov, ki pa je predlagatelj, kot je bilo navedeno, v obravnavanem primeru ne izpodbija. Ne glede na to je treba izpodbijane določbe ZNPPol razlagati v skladu z drugimi določbami ZNPPol, tudi upoštevajoč 128. člen ZNPPol. Ureditev prve faze hrambe osebnih podatkov je namreč vplivala na skupen rok hrambe osebnih podatkov v evidenci kaznivih dejanj.

29.

Roki hrambe so tekli od datuma dogodka, ki je razlog za vnos v evidenco.¹² Trajanje (pred)kazenskega postopka ni (bilo) časovno omejeno v zakonu, prav tako niso bile časovno omejene ali kakorkoli opredeljene posamezne faze kazenskega postopka.¹³ Edina normativna časovna omejitev hrambe podatkov, ki je bila relevantna zgolj v primeru upoštevnosti zastaranja kazenskega pregona, so bili roki, določeni za zastaranje kazenskega pregona v 90., 91. in 95. členu Kazenskega zakonika (Uradni list RS, št. 50/12 - uradno prečiščeno besedilo, 6/16 - popr., 54/15, 38/16, 27/17, 23/20, 91/20, 95/21, 186/21 in 16/23 - v nadaljevanju KZ-1). Ti so bili (z nekaterimi izjemami) opredeljeni glede na višino predpisane kazni. V času veljavnosti izpodbijanih določb je bil najkrajši zastaralni rok 6 let,¹⁴ najdaljši 50 let od izvršitve kaznivega dejanja,¹⁵ kazenski pregon nekaterih kaznivih dejanj je bil celo nezastarljiv,¹⁶ pregon spolnih kaznivih dejanj opredeljen s posebnimi zastaralnimi roki,¹⁷ hkrati pa je KZ-1 omogočal še zadržanje in pretrganje zastaranja. Če ni prišlo do ustavitve policijske preiskave, izdaje sklepa o zavrženju kazenske ovadbe ali do pravnomočne zavrnilne ali oprostilne sodbe, na podlagi navedenega v nekaterih primerih prva faza hrambe po 128. členu ZNPPol sploh ni bila časovno omejena, v drugih primerih pa je bila omejena z navedenimi zastaralnimi roki, določenimi v KZ-1. Po drugi strani pa se je hramba na podlagi prve alineje prvega odstavka 128. člena ZNPPol lahko zaključila že z zaključkom policijske preiskave. Zakonska ureditev je omogočala različne časovne roke hrambe podatkov znotraj teh dveh skrajnosti.

30.

V tem obdobju je bil pristojnim državnim organom dostop do podatkov iz evidence kaznivih dejanj dovoljen zaradi preiskovanja storitve kaznivega dejanja, katerega storilec se preganja po uradni dolžnosti, ali v drugih primerih, ki so bili povezani z zagotavljanjem nacionalne varnosti ali ustavne ureditve in so določeni z zakonom.¹⁸

31.

Po poteku rokov hrambe iz prve alineje prvega odstavka 128. člena ZNPPol so se podatki iz evidence kaznivih dejanj blokirali in od takrat naprej obravnavali v skladu s predpisi o poslovanju organov z dokumentarnim gradivom.¹⁹

32.

V tem delu je pri razlagi izpodbijanih določb treba upoštevati tudi ZVOPOKD, ki v pravni red Republike Slovenije med drugim prenaša Direktivo 2016/680.²⁰ ZVOPOKD je že v času veljavnosti izpodbijanih določb urejal varstvo pri obdelavi osebnih podatkov, ki jih (med drugim) policija kot zakonsko določen pristojni organ za področja preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij obdeluje za namene izvrševanja teh pristojnosti.²¹ Prav tako je opredeljeval blokiranje osebnih podatkov kot takšno označitev ali izločitev osebnih podatkov, da se omeji ali prepreči njihova nadaljnja obdelava. Blokirani podatki so še vedno veljali za osebne podatke po ZVOPOKD.²²

33.

Kot blokirani so se osebni podatki iz evidence kaznivih dejanj v t. i. drugi fazi hrambe na podlagi izpodbijane prve alineje drugega odstavka 129. člena ZNPPol hranili 30 let.²³ Takrat je bil dostop do podatkov iz evidence kaznivih dejanj policistom in pristojnim državnim organom še vedno dovoljen le zaradi preiskovanja storitve kaznivega dejanja, katerega storilec se preganja po uradni dolžnosti, ali v drugih primerih, ki so povezani z zagotavljanjem nacionalne varnosti ali ustavne ureditve in so določeni z zakonom. Omejitev dostopa je bila torej enaka kot v prvi fazi hrambe podatkov po prvi alineji prvega odstavka 128. člena ZNPPol. Glede na roke iz prve alineje prvega odstavka 128. člena ZNPPol in prve alineje drugega odstavka 129. člena ZNPPol ter ob upoštevanju zgolj osnovnih zakonskih zastaralnih rokov za kazenski pregon²⁴ so se podatki iz evidence kaznivih dejanj skupno v neblokirani in blokirani obliki (ki pa sta obe omogočali preiskovanje kaznivih dejanj in doseganje drugih zakonsko določenih namenov)²⁵ v primeru upoštevnosti zastaralnih rokov hranili od 36 do 80 let. V primeru kaznivih dejanj, katerih pregon ni zastaral, pa so se lahko hranili tudi trajno.

34.

V skladu s prvim odstavkom 129. člena ZNPPol so se blokirani podatki obravnavali v skladu s predpisi o poslovanju organov z dokumentarnim gradivom, tj. z Zakonom o varstvu dokumentarnega in arhivskega gradiva ter arhivih (Uradni list RS, št. 30/06 in 51/14 - v nadaljevanju ZVDAGA). Po ZVDAGA mora sicer hramba dokumentarnega gradiva zagotavljati trajnost gradiva oziroma reprodukcije njegove vsebine (načelo trajnosti v 4. členu). Vendar je 129. člen ZNPPol glede blokiranih podatkov določal tako poseben rok hrambe (30 let) kot tudi posebno ureditev režima dostopa do blokiranih podatkov (tretji odstavek 129. člena ZNPPol), zato v skladu z argumentom specialnosti (lex specialis derogat legi generali) v primeru blokiranih podatkov iz prve alineje drugega odstavka 129. člena ZNPPol ni veljalo načelo trajnosti iz 4. člena ZVDAGA, niti ureditev uporabe javnega arhivskega gradiva iz 63. člena ZVDAGA in nedostopnosti arhivskega gradiva iz 65. člena ZVDAGA. Kot lex specialis je v zvezi z rokom hrambe in dostopanjem do podatkov veljal 129. člen ZNPPol.²⁶

35.

Po poteku 30-letnega roka so se podatki iz evidence kaznivih dejanj anonimizirali (četrti odstavek 129. člena ZNPPol), kar je po ZVOPOKD pomenilo takšno spremembo osebnih podatkov, da jih ni več mogoče povezati s posameznikom ali je to mogoče le z nesorazmerno velikimi napori, stroški ali porabo časa.²⁷ Za hrambo anonimiziranih podatkov rok ni bil določen.

B. - III.

Pravica do informacijske zasebnosti (prvi odstavek 38. člena Ustave)

36.

Predlagatelj zatrjuje, da je pomenila izpodbijana ureditev poseg v pravico do informacijske zasebnosti iz prvega odstavka 38. člena Ustave. Vlada mu v svojem mnenju glede druge faze hrambe podatkov ne nasprotuje, glede anonimiziranih podatkov pa navaja, da ne gre za osebne podatke.

37.

Ustava v prvem odstavku 38. člena zagotavlja človekovo pravico do varstva osebnih podatkov. Ustavno sodišče je večkrat poudarilo, da je ustavodajalec s tem posebej zavaroval enega od vidikov posameznikove zasebnosti, t. i. informacijsko zasebnost.²⁸ S tem ko Ustava to pravico ureja posebej, ji daje posebno mesto in pomen v siceršnjem varstvu zasebnosti posameznika.²⁹

38.

Iz odločbe Ustavnega sodišča št. U-I-98/11 z dne 26. 9. 2012 (Uradni list RS, št. 79/12) izhaja, da je temeljna vrednostna podstat te ustavne določbe spoznanje, da ima posameznik pravico zadržati informacije o sebi zase in da je v izhodišču on tisti, ki odloča, koliko informacij o sebi bo razkril in komu. Določena mera skritosti pred pogledi drugih je nujna predpostavka za svoboden razvoj posameznikovih intelektualnih in duhovnih potencialov. V tem smislu varstvo informacijske zasebnosti pospešuje svobodno nastajanje in pretok misli in idej ter utrjuje pluralno demokratično družbo. Zaradi posameznikove vpetosti v družbo pa informacijska zasebnost ne more biti neomejena, absolutna. Posameznik mora tako ob ustavno določenih pogojih dopustiti zbiranje in obdelovanje osebnih podatkov.³⁰

39.

Po 8. členu EKČP ima vsakdo pravico do spoštovanja njegovega zasebnega in družinskega življenja, doma in dopisovanja. Javna oblast se ne sme vmešavati v izvrševanje te pravice, razen če je to določeno z zakonom in nujno v demokratični družbi zaradi državne varnosti, javne varnosti ali ekonomske blaginje države, zato da se prepreči nered ali kaznivo dejanje, da se zavaruje zdravje ali morala ali da se zavarujejo pravice in svoboščine drugih ljudi.

40.

Ustavno sodišče pa mora pri presoji predpisov, ki pomenijo izvajanje prava EU, na podlagi tretjega odstavka 3.a člena Ustave³¹ upoštevati tudi primarno in sekundarno zakonodajo EU in sodno prakso SEU.³² Ustava ne ureja natančneje niti časovnega niti hierarhičnega položaja pravil, ki na podlagi tretjega odstavka 3.a člena Ustave vstopajo v slovenski ustavni red.³³ Iz navedene določbe Ustave izhaja zahteva, da morajo vsi državni organi, tudi Ustavno sodišče, pravo EU pri izvrševanju svojih pristojnosti uporabljati v skladu s pravno ureditvijo te organizacije.³⁴ Učinek prava EU v notranjem pravnem redu je torej odvisen od vsakokratnih pravil, ki urejajo delovanje EU. Gre za temeljna načela prava EU, ki so zapisana v Pogodbi o Evropski uniji (prečiščena različica, UL C 202, 7. 6. 2016 - v nadaljevanju PEU) in Pogodbi o delovanju Evropske unije (prečiščena različica, UL C 202, 7. 6. 2016 - v nadaljevanju PDEU) ali jih je v sodni praksi razvilo SEU. Države članice so jim zavezane slediti. Tudi zaradi tretjega odstavka 3.a člena Ustave so temeljna načela, ki opredeljujejo razmerje med notranjim pravom in pravom EU, hkrati tudi notranja ustavnopravna načela, ki zavezujejo z močjo Ustave.³⁵

41.

Najpomembnejše temeljno načelo je načelo primarnosti prava EU, ki pomeni, da ima v primeru nasprotja med pravom EU in pravom držav članic pravo EU prednost pri uporabi pred pravom držav članic. Druga temeljna načela prava EU, ki urejajo razmerje med pravom EU in nacionalnim pravom, so npr. načelo lojalnega sodelovanja, vključno z načelom skladne razlage (tretji odstavek 4. člena PEU),³⁶ načelo neposredne uporabe prava EU, načelo neposrednega učinka prava EU, načelo prenosa pristojnosti (prvi odstavek 5. člena PEU), načelo subsidiarnosti (tretji odstavek 5. člena PEU) in načelo sorazmernosti (četrti odstavek 5. člena PEU). Ta načela kot notranja ustavnopravna načela zavezujejo Ustavno sodišče pri izvrševanju njegovih pristojnosti v okviru pravnih razmerij, ki zadevajo pravo EU. Ustavno sodišče mora v postopku presoje predpisov pri razlagi nacionalnega prava (Ustave in drugih predpisov) upoštevati pravo EU, in sicer tako, kot izhaja iz aktov EU oziroma kot se je razvilo v praksi SEU. Nacionalno pravo mora razlagati v luči prava EU, da se zagotovi njegova polna učinkovitost.³⁷

42.

V skladu s 7. členom Listine Evropske unije o temeljnih pravicah (UL C 202, 7. 6. 2016 - v nadaljevanju Listina) ima vsakdo pravico do spoštovanja svojega zasebnega in družinskega življenja, stanovanja ter komunikacij. Pravico do varstva osebnih podatkov pa določa 8. člen Listine.

43.

Nadalje, po točki a) drugega odstavka 87. člena PDEU policijsko sodelovanje³⁸ v okviru območja svobode, varnosti in pravice³⁹ vključuje tudi določanje ukrepov glede zbiranja, hrambe, obdelave, analize in izmenjave ustreznih informacij. Glede na vse navedeno mora Ustavno sodišče pri presoji izpodbijanih določb upoštevati tudi primarno in sekundarno zakonodajo EU in sodno prakso SEU glede varstva osebnih podatkov.⁴⁰

Obdelava osebnih podatkov iz evidence kaznivih dejanj

44.

Drugi odstavek 38. člena Ustave določa, da mora zbiranje, obdelovanje in namen uporabe osebnih podatkov določati zakon. Čeprav ta ustavna določba razlikuje med pojmi zbiranje, uporaba in obdelava osebnih podatkov, Ustavno sodišče uporablja pojem obdelava osebnih podatkov kot zbirni pojem za označevanje vseh dejanj, ki se izvajajo v zvezi z osebnimi podatki v skladu s splošno sprejeto terminologijo.⁴¹

45.

Po ustaljeni ustavnosodni presoji pomeni vsako zbiranje in obdelovanje osebnih podatkov poseg v pravico do varstva zasebnosti oziroma v pravico posameznika, da obdrži informacije o sebi, ker noče, da bi bili z njimi seznanjeni drugi.⁴²

46.

Iz MKVP, Direktive 2016/680,⁴³ ZVOP-2⁴⁴ in ZVOPOKD,⁴⁵ ki so sprejeli široko, vsevključujočo opredelitev, izhaja, da je osebni podatek katerakoli informacija v zvezi z določenim ali določljivim posameznikom; določljiv posameznik pa je tisti, ki ga je mogoče neposredno ali posredno določiti,⁴⁶ zlasti z navedbo identifikatorja, kot so ime, identifikacijska številka, podatki o lokaciji in spletni identifikator, ali z navedbo enega ali več dejavnikov, značilnih za fizično, fiziološko, gensko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika.⁴⁷

47.

V 1. točki prvega odstavka 125. člena ZNPPol je bilo določeno, da je evidenca kaznivih dejanj vsebovala naslednje podatke:

1) skupne osebne podatke iz vseh evidenc; osebno ime, rojstne podatke (dan, mesec, leto, kraj), EMŠO, za tujega državljana pa številko, vrsto in državo izdajateljico osebnega dokumenta, spol, naslov stalnega oziroma začasnega prebivališča, skupne podatke samostojnega podjetnika posameznika, posameznika, ki samostojno opravlja dejavnost, pravne osebe in državnega organa;⁴⁸

2) vzdevek ali lažno ime storilca, osebni opis, upravno enoto kraja rojstva, njegove družinske in premoženjske razmere, šolsko izobrazbo, poklic in zaposlitev;

3) skupne podatke oškodovancev, prijaviteljev in drugih oseb, ki so dale obvestila, skupne podatke fizične osebe, pravne osebe in državnega organa kot prejemnika premoženjske koristi, ki je bila pridobljena s kaznivim dejanjem ali zaradi njega, oziroma drugih, na katere je bila premoženjska korist prenesena (fizične osebe, pravne osebe, državni organi);

4) podatke o kaznivem dejanju (vrsta, kraj, čas, način, motiv, opis predmetov kaznivega dejanja, škoda, fotografije, avdio- in videoposnetki ter druge okoliščine);

5) podatke o vrsti in višini premoženjske koristi, pridobljene s kaznivim dejanjem ali zaradi njega, ter podatke o vrsti in vrednosti premoženja, ki ustreza premoženjski koristi in ga je mogoče odvzeti.

48.

Skupni podatki iz 124. člena ZNPPol, kolikor so se nanašali na fizično osebo, so bili vezani na določenega oziroma določljivega posameznika. Enako je veljalo za podatke iz 1. točke prvega odstavka 125. člena ZNPPol, saj je šlo bodisi za podatke, ki so bili neposredno vezani na določeno ali določljivo osebo (na primer vzdevek ali lažno ime storilca, osebni opis), bodisi za podatke, ki so bili nanj vezani posredno (na primer avdio- in videoposnetki v zvezi s kaznivim dejanjem, ki so lahko vsebovali tudi posnetke določenega ali določljivega posameznika ali pa so se nanašali na določeno dejstvo, povezljivo z njim). Glede na navedeno in glede na široko opredelitev osebnih podatkov iz 46. točke obrazložitve te odločbe je šlo torej v primeru podatkov iz evidence kaznivih dejanj, ki so se nanašali na fizično osebo, za osebne podatke. Nesporno so bili navedeni podatki osebni podatki v času hrambe po prvi alineji prvega odstavka 128. člena ZNPPol, ki pa je predlagatelj, kot je bilo navedeno, ne izpodbija.

49.

Enako je veljalo za naslednjo fazo hrambe podatkov po izpodbijani prvi alineji drugega odstavka 129. člena ZNPPol (tj. trideset let). V tej fazi so bili podatki sicer blokirani. Toda že iz definicije blokiranja osebnih podatkov izhaja, da so bili s tem osebni podatki tako označeni ali izločeni, da se je zgolj omejila ali preprečila njihova nadaljnja obdelava.⁴⁹ V primeru blokiranih podatkov je bila torej omejena ali preprečena njihova obdelava, ni pa bila spremenjena njihova nujna lastnost, tj. da so podatki vezani na določeno ali določljivo osebo. Blokirani podatki so veljali za osebne podatke tudi po izrecni določbi ZVOPOKD.⁵⁰ Izpodbijana ureditev je tako v drugi fazi hrambe podatkov prav tako predvidevala obdelavo osebnih podatkov.

50.

V tretji fazi po četrtem odstavku 129. člena ZNPPol pa so se navedeni podatki iz evidence kaznivih dejanj anonimizirali, tj. tako spremenili, da jih ni bilo več mogoče povezati s posameznikom ali je bilo to mogoče le z nesorazmerno velikimi napori, stroški ali porabo časa. Že iz same zakonske opredelitve anonimizacije izhaja, da anonimizirani podatki niso bili več vezani na določeno ali določljivo osebo.⁵¹

51.

V zvezi s tem Ustavno sodišče ne more pritrditi predlagatelju, da na stališče, ali je šlo v tej fazi za osebne podatke, vpliva, da naj bi bila možnost prave anonimizacije navedenih podatkov realno majhna zaradi različne razlage pojma anonimizacija v praksi, zaradi tehničnih možnosti izvedljivosti ter zaradi vsebine podatkov v policijskih evidencah. Četrti odstavek 129. člena ZNPPol je bil v skladu z 20. točko 4. člena ZVOPOKD jasen. Anonimizacija je bila na zakonski ravni jasno urejena; potekati je morala tako, da so se podatki tako spremenili, da jih ni bilo več mogoče povezati s posameznikom ali je bilo to mogoče le z nesorazmerno velikimi napori, stroški ali porabo časa. Morebitno neupoštevanje navedene zakonske dolžnosti v praksi oziroma njena nezmožnost, ki izhajata iz predlagateljevih navedb, ne moreta vplivati na samo razlago zakona in sama po sebi nista mogla pomeniti, da so anonimizirani podatki pomenili »psevdonimizirane« podatke⁵² po 5. točki 4. člena ZVOPOKD. Anonimizacijo osebnih podatkov po četrtem odstavku 129. člena ZNPPol je bilo treba izvesti tako, da so bili izpolnjeni pogoji iz 20. točke 4. člena ZVOPOKD. Anonimizirani podatki v t. i. tretji fazi hrambe podatkov torej niso veljali za osebne podatke po ZVOPOKD.

52.

Obdelava podatkov iz evidence kaznivih dejanj na podlagi izpodbijanega prvega odstavka, prve alineje drugega odstavka ter tretjega odstavka 129. člena ZNPPol (ne pa tudi anonimiziranih podatkov na podlagi četrtega odstavka 129. člena ZNPPol) je bila torej obdelava osebnih podatkov, ki je po ustaljeni ustavnosodni presoji pomenila poseg v informacijsko zasebnost posameznika (prvi odstavek 38. člena Ustave).⁵³

53.

Po ustaljeni praksi ESČP zagotavlja 8. člen EKČP varstvo osebnih podatkov,⁵⁴ med katere lahko spadajo tudi podatki iz policijskih evidenc, na primer profil DNK, prstni odtis in opis osebe.⁵⁵

54.

Podobno izhaja iz uvodnih izjav Direktive 2016/680, da pomeni obdelava podatkov po tej direktivi omejitev pravic do spoštovanja zasebnega in družinskega življenja, do varstva osebnih podatkov, do učinkovitega pravnega sredstva ter do nepristranskega sojenja.⁵⁶ Tudi SEU je že odločilo tako, da pomeni obdelava občutljivih,⁵⁷ pa tudi drugih⁵⁸ osebnih podatkov po Direktivi 2016/680 poseg v pravici iz 7. in 8. člena Listine.

B. - IV.

Presoja z vidika načela jasnosti in pomenske določljivosti (2. člen Ustave)

55.

Predlagatelj najprej zatrjuje, da so izpodbijane določbe ZNPPol v neskladju z načelom jasnosti in pomenske določljivosti (2. člen Ustave).

56.

Iz načel pravne države iz 2. člena Ustave med drugim izhaja zahteva, da so predpisi jasni in pomensko določljivi, tako da je mogoče ugotoviti vsebino in namen pravila. To velja za vse predpise, zlasti pa je pomembno pri predpisih, ki določajo pravice ali dolžnosti pravnih subjektov. Norme morajo biti opredeljene jasno in pomensko določljivo tako, da jih je mogoče izvajati, da ne omogočajo arbitrarnega ravnanja ter da nedvoumno in dovolj določljivo opredeljujejo pravni položaj subjektov, na katere se nanašajo.⁵⁹

57.

To ne pomeni, da morajo biti predpisi taki, da jih ne bi bilo treba razlagati. Uporaba predpisov vedno pomeni njihovo razlago in tako kot vsi drugi predpisi so tudi zakoni predmet razlage. Z vidika pravne varnosti pa postane predpis sporen takrat, kadar s pomočjo pravil o razlagi pravnih norm ne moremo priti do njegove jasne vsebine, oziroma tedaj, ko se z ustaljenimi metodami razlage ne da ugotoviti vsebine norme (ne pa že tedaj, ko besedilo predpisa ne daje odgovorov na vsa vprašanja, ki se utegnejo pojaviti v praksi).⁶⁰ Zakonska norma torej izpolnjuje zahteve po jasnosti in pomenski določljivosti predpisov, če je mogoče z ustaljenimi metodami razlage ugotoviti njeno vsebino in je na ta način ravnanje organov, ki morajo izvajati zakon, določno in predvidljivo.⁶¹ Načelo jasnosti in pomenske določljivosti predpisov iz 2. člena Ustave dejansko pomeni prepoved izpostavljanja naslovnikov pravnih norm stopnji nepredvidljivosti in negotovosti pravnih posledic njihovih storitev in opustitev, ki je, upoštevaje vse okoliščine, ustavnopravno nevzdržna in nesprejemljiva. V temelju to načelo pravne države prepoveduje obstoj predpisov, ki že zaradi svoje nejasne ubeseditve v konkretnih primerih omogočajo arbitrarno delovanje javne oblasti.⁶²

58.

Ustavno sodišče je v zvezi z izpodbijanimi prvim odstavkom, prvo alinejo drugega odstavka ter tretjim odstavkom 129. člena ZNPPol, kolikor se nanašajo na evidenco kaznivih dejanj, že ugotovilo, da pomenijo poseg v pravico do informacijske zasebnosti (prvi odstavek 38. člena Ustave). Tudi zato, ker gre za ureditev, ki se nanaša na občutljivo področje informacijske zasebnosti, v katero posega država s hrambo in obdelavo osebnih podatkov v policijskih evidencah, je zahteva po jasnih in pomensko določljivih normah posebnega pomena.⁶³

59.

Predlagatelj izpostavlja najprej zatrjevano nejasnost rokov hrambe osebnih podatkov.

60.

Kot je Ustavno sodišče že ugotovilo, je ZNPPol predvideval tri faze hrambe podatkov v evidenci kaznivih dejanj. V (neizpodbijani) prvi fazi po prvi alineji prvega odstavka 128. člena ZNPPol so se osebni podatki iz evidence kaznivih dejanj hranili do ustavitve policijske preiskave ali izdaje sklepa o zavrženju kazenske ovadbe ali do pravnomočne zavrnilne ali oprostilne sodbe, če pa tega ni, do zastaranja kazenskega pregona. Po preteku teh rokov so se podatki na podlagi prve alineje drugega odstavka 129. člena ZNPPol hranili še 30 let. V obeh fazah je šlo za obdelavo osebnih podatkov. Po preteku obeh rokov so se podatki anonimizirali in tako anonimizirani podatki niso več pomenili osebnih podatkov.⁶⁴

61.

ZNPPol je urejal tudi režim dostopa do navedenih podatkov. V tretjem odstavku 128. člena je urejal dostop za prvo fazo hrambe osebnih podatkov; dostop do podatkov evidence kaznivih dejanj je bil pristojnim državnim organom dovoljen le zaradi preiskovanja storitve kaznivega dejanja, katerega storilec se je preganjal po uradni dolžnosti, ali v drugih primerih, ki so bili povezani z zagotavljanjem nacionalne varnosti ali ustavne ureditve in določeni z zakonom. V tretjem odstavku 129. člena ZNPPol pa je bil na bistveno podoben način urejen dostop do podatkov v drugi fazi njihove hrambe; dostop do podatkov je bil policistom in pristojnim državnim organov dovoljen le zaradi preiskovanja storitve kaznivega dejanja, katerega storilec se je preganjal po uradni dolžnosti, ali v drugih primerih, ki so bili povezani z zagotavljanjem nacionalne varnosti ali ustavne ureditve in so bili določeni z zakonom. Rok hrambe osebnih podatkov je bil torej razdeljen v dve fazi, za vsako pa je bil določen rok hrambe in režim dostopa do podatkov.

62.

Glede na navedeno je z ustaljenimi metodami razlage mogoče določiti roke hrambe osebnih podatkov v evidenci kaznivih dejanj in ureditev dostopa do navedenih podatkov. Iz tega razloga zato izpodbijane določbe niso bile v neskladju z načelom jasnosti in pomenske določljivosti iz 2. člena Ustave.

63.

Predlagatelj nadalje zatrjuje, da je bila izpodbijana ureditev nejasna glede tega, kdaj je posameznik upravičen do izbrisa svojih osebnih podatkov po ZVOPOKD.

64.

Iz ustaljene ustavnosodne presoje izhaja, da Ustavno sodišče po 160. členu Ustave ni pristojno presojati medsebojne skladnosti dveh zakonov, razen če bi bila zaradi njunega neskladja kršena načela pravne države (2. člen Ustave), temveč je pristojno le za presojo skladnosti zakona z Ustavo. V primeru morebitnih notranjih ali medsebojnih neskladij zakonov je naloga sodišč in drugih organov, ki odločajo o pravicah in obveznostih ter pravnih interesih fizičnih in pravnih oseb, da z različnimi pravili razlage, ki so splošno sprejeta v pravni teoriji in uporabljana v pravni praksi, ugotovijo, katero pravo je treba uporabiti v posameznem primeru. Vse dokler je medsebojna neskladja mogoče odpraviti z uporabo razlagalnih pravil, njihov obstoj ne pomeni neskladja z načeli pravne države.⁶⁵ Notranja konsistentnost je namreč ena od bistvenih prvin pravne varnosti.⁶⁶

65.

Direktiva 2016/680 v drugem odstavku 16. člena določa, da države članice od upravljavca osebnih podatkov zahtevajo, da brez nepotrebnega odlašanja izbriše osebne podatke, in posamezniku, na katerega se nanašajo osebni podatki, zagotovijo pravico, da pri upravljavcu brez nepotrebnega odlašanja doseže izbris osebnih podatkov v zvezi z njim, če obdelava krši predpise, sprejete na podlagi 4., 8. ali 10. člena Direktive 2016/680, ali če je treba osebne podatke izbrisati za izpolnitev pravne obveznosti, ki velja za upravljavca. Navedeni členi Direktive 2016/680, katerih kršitev naj bi zahtevala izbris osebnih podatkov, urejajo načela v zvezi z obdelavo osebnih podatkov (4. člen), zakonitost obdelave (8. člen) ter obdelavo posebnih vrst osebnih podatkov (10. člen). Točka e) prvega odstavka 4. člena Direktive 2016/680 tako določa, da se podatki hranijo v obliki, ki dopušča identifikacijo posameznikov, na katere se osebni podatki nanašajo, in le toliko časa, kolikor je potrebno za namene, za katere se obdelujejo. Časovna omejenost hrambe podatkov je določena v 5. členu Direktive 2016/680, po katerem države članice določijo ustrezne časovne roke za izbris osebnih podatkov ali za reden pregled potrebe po shranjevanju osebnih podatkov. Spoštovanje teh rokov pa se zagotovi s postopkovnimi ukrepi.⁶⁷ Po Direktivi 2016/680 je torej izbris osebnih podatkov predviden po poteku določenih ustreznih časovnih rokov oziroma po odločitvi po pregledu potrebe po shranjevanju osebnih podatkov.⁶⁸

66.

V skladu s tem ima po drugem odstavku 26. člena ZVOPOKD posameznik, na katerega se nanašajo osebni podatki, pravico od pristojnega organa zahtevati, da izbriše njegove osebne podatke, če obdelava krši določbe 5. (načela varstva osebnih podatkov), 6. (zakonitost obdelave) ali 7. člena ZVOPOKD (zakonitost obdelave posebnih vrst osebnih podatkov) ali če je treba osebne podatke izbrisati za izpolnitev pravne obveznosti, ki velja za pristojni organ.⁶⁹ V 5. točki 5. člena je med načeli varstva osebnih podatkov prav tako določeno, da se osebni podatki hranijo v obliki, ki dopušča identifikacijo posameznikov, na katere se nanašajo osebni podatki, le toliko časa, kolikor je potrebno za izpolnitev namena, za katerega se osebni podatki obdelujejo, razen če je z zakonom določen drug rok hrambe (omejitev roka hrambe).

67.

Tak, z zakonom določen rok hrambe je bil določen v ZNPPol, in sicer v seštevku rokov iz prve alineje prvega odstavka 128. člena ZNPPol in iz prve alineje drugega odstavka 129. člena ZNPPol. Kot je Ustavno sodišče že ugotovilo (33. točka obrazložitve te odločbe), je seštevek obeh rokov pomenil rok hrambe osebnih podatkov iz evidence kaznivih dejanj. Po poteku teh rokov, torej po hrambi v obliki, ki dopušča identifikacijo posameznikov, na katere se nanašajo osebni podatki, pa bi v skladu s 5. točko 5. člena in drugim odstavkom 26. člena ZVOPODK morala nastopiti pravica do izbrisa osebnih podatkov iz navedene evidence.⁷⁰

68.

Iz ustaljenih metod razlage izhaja, da so se v skladu s četrtim odstavkom 129. člena ZNPPol po poteku rokov iz drugega odstavka 129. člena hranjeni osebni podatki anonimizirali, razen podatkov iz 8., 14. in 15. točke drugega odstavka 123. člena ZNPPol, ki so se brisali. Brisali se torej niso vsi podatki, ampak le podatki iz evidenc po 8., 14. in 15. točki drugega odstavka 123. člena ZNPPol. Podatki iz evidence kaznivih dejanj po 1. točki drugega odstavka 123. člena ZNPPol se torej po poteku roka hrambe iz prve alineje drugega odstavka 129. člena ZNPPol niso izbrisali, ampak anonimizirali. Anonimizacija je sicer tudi pomenila, da se osebni podatki niso več hranili v obliki, ki dopušča identifikacijo posameznikov, na katere se osebni podatki nanašajo.⁷¹ Vendar anonimizacije ni mogoče enačiti z brisanjem, saj so se podatki iz kazenske evidence še vedno hranili, le v anonimizirani obliki. Poleg tega je očitno tudi ZNPPol v izpodbijanem četrtem odstavku 129. člena razlikoval med brisanjem in anonimizacijo osebnih podatkov.

69.

Na podlagi četrtega odstavka ZNPPol je torej za podatke iz evidence kaznivih dejanj predvidena anonimizacija in ne brisanje navedenih podatkov. To neskladje med četrtim odstavkom 129. člena ZNPPol ter 5. točko 5. člena in drugim odstavkom 26. člena ZVOPOKD pa ni takšno, da bi omogočilo arbitrarno ravnanje državnih organov ali da bi dvoumno in ne dovolj določno opredelilo pravni položaj posameznikov, na katere se osebni podatki nanašajo, kar bi bilo z vidika 2. člena Ustave nedopustno.

70.

Pravica do varstva osebnih podatkov, kadar gre za obdelavo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, vključuje tudi pravico do izbrisa, kot je ta določena v 16. členu Direktive 2016/680 in drugem odstavku 26. člena ZVOPOKD, ki je določbe te direktive prenesel v slovenski pravni red.⁷² Pravica do izbrisa je zrcalna slika dolžnosti upravljavca, da izbriše podatke o osebi, ko za obdelavo niso več izpolnjeni pogoji.⁷³ Upravljavec mora podatke izbrisati, kadar poteče zakonski rok, ki je določen za hrambo podatkov. Če upravljavec (kot organ iz 1. člena ZVOPOKD) te svoje dolžnosti ne izpolni, ima posameznik na podlagi drugega odstavka 26. člena ZVOPOKD pravico zahtevati izbris teh podatkov.

71.

Za posameznika, na katerega se podatki nanašajo, pa je z vidika pravice do varstva njegovih podatkov položaj enak, ali upravljavec te podatke izbriše ali pa jih anonimizira. V obeh primerih podatkov, ki bi jih lahko povezali z določenim ali določljivim posameznikom, ni več. Tudi anonimizacija je s tega vidika možna oblika izbrisa osebnih podatkov.⁷⁴

72.

To pomeni, da zakonski določbi, ki po poteku roka hrambe določata tako anonimizacijo kot izbris, z vidika pravice do varstva osebnih podatkov in natančneje pravice do izbrisa, za kar gre v sprožilnem primeru predlagatelja, nista v takšnem neskladju, da bi puščali posameznika v dvomu glede njegovega pravnega položaja. Pravica do izbrisa bo tako na primer nastopila v trenutku, ko bo potekel rok hrambe podatkov (če niso izpolnjeni drugi zakonski zadržki) in ko bo nastopila dolžnost upravljavca, da izbriše podatke. To svojo dolžnost pa bo upravljavec lahko dosegel tudi z anonimizacijo podatkov, pod pogojem seveda, da bo izvršena v skladu z zahtevami iz 35. in 107. točke obrazložitve te odločbe.

73.

Poleg tega ZVOPOKD v tem delu, kot je bilo že navedeno zgoraj, pomeni prenos Direktive 2016/680 in s tem »izvajanje prava Unije« v smislu prvega odstavka 51. člena Listine. V sodni praksi SEU, ki izhaja iz zadeve Simmenthal,⁷⁵se je izoblikovala obveznost organov držav članic, da ne uporabijo določb nacionalnega prava, ki so v nasprotju s pravom EU. Vsak državni organ, ne le sodišča, torej tudi Informacijski pooblaščenec kot neodvisni nadzorni organ iz 51.-59. člena Splošne uredbe o varstvu podatkov, mora zagotoviti polni učinek prava EU ter po potrebi opustiti uporabo nasprotujočih si nacionalnih predpisov.⁷⁶

74.

Tako kot je Ustavno sodišče že pojasnilo za redna sodišča, velja tudi za predlagatelja, da mora v konkretnem primeru najprej poskusiti z razlago izpodbijane določbe, skladno s pravom EU; če bi taka razlaga presegla dopustne meje (contra legem), mora - v okviru svoje pristojnosti - neposredno uporabiti ustrezno določbo prava EU (če so za to izpolnjeni pogoji) in zadevne nacionalne določbe ne uporabiti.⁷⁷

75.

Predlagatelj ima torej na voljo razlagalne mehanizme, ki mu omogočajo določiti obvezno pravilo za obravnavani primer. Če ugotovi, da je izpodbijana ureditev očitno neskladna s pravom EU, mora uporabiti te mehanizme, s čimer domnevno neskladje odpade in ni pravne antinomije.

76.

Ker je torej izpodbijana ureditev določala dovolj jasno rok za hrambo podatkov in ker po tem roku nastopi dolžnost upravljavca, da izbriše (ali anonimizira podatke), in s tem tudi pravica posameznika, da zahteva izbris, izpodbijana ureditev v tem delu ni v neskladju z 2. členom Ustave.

B. - V.

Presoja z vidika pravice do informacijske zasebnosti (38. člen Ustave)

77.

Predlagatelj zatrjuje tudi nesorazmernost hrambe blokiranih podatkov na podlagi izpodbijanih določb ZNPPol. Ustavno sodišče je te navedbe presojalo z vidika pravice do informacijske zasebnosti iz prvega odstavka 38. člena Ustave.

78.

Ustavno sodišče je že ugotovilo, da je predvidevala izpodbijana ureditev prvega odstavka, prve alineje drugega odstavka in tretjega odstavka 129. člena ZNPPol obdelavo osebnih podatkov (glej 52. točko obrazložitve te odločbe).

79.

Pravica do informacijske⁷⁸ zasebnosti ni neomejena, ni absolutna. Poseg v navedeno pravico je dopusten v primerih iz tretjega odstavka 15. člena Ustave, če je zakonodajalec zasledoval ustavno dopusten cilj in če je omejitev skladna z načeli pravne države (2. člen Ustave), in sicer s tistim izmed teh načel, ki prepoveduje prekomerne posege države - splošnim načelom sorazmernosti.⁷⁹ Oceno, ali ne gre morda za čezmeren poseg, opravi Ustavno sodišče na podlagi t. i. strogega testa sorazmernosti, ki obsega presojo primernosti, nujnosti in sorazmernosti posega.⁸⁰

Ustavno dopusten cilj

80.

Prvi pogoj za dopustnost posega v pravico iz prvega odstavka 38. člena Ustave je torej obstoj ustavno dopustnega cilja.

81.

Temeljni namen ZVOPOKD je urejanje varstva pri obdelavi osebnih podatkov, ki jih policija, državna tožilstva, Uprava za probacijo, Uprava za izvrševanje kazenskih sankcij in drugi državni organi Republike Slovenije, ki so zakonsko določeni kot pristojni za področja preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, obdelujejo za namene izvrševanja teh pristojnosti.⁸¹ Policisti zbirajo in obdelujejo osebne in druge podatke zaradi opravljanja policijskih nalog.⁸² Ena izmed temeljnih policijskih nalog je tudi preprečevanje, odkrivanje in preiskovanje kaznivih dejanj, odkrivanje in prijemanje storilcev kaznivih dejanj.⁸³ Tudi dostop do podatkov iz evidence kaznivih dejanj je bil policistom in pristojnim državnim organov v tridesetletnem času hrambe blokiranih podatkov dovoljen le zaradi preiskovanja storitve kaznivega dejanja, katerega storilec se preganja po uradni dolžnosti, ali v drugih primerih, ki so povezani z zagotavljanjem nacionalne varnosti ali ustavne ureditve in so določeni z zakonom.⁸⁴

82.

Ustavno sodišče je prav tako že v odločbi št. U-I-312/11 ugotovilo, da vodenje in vzdrževanje policijske evidence (v konkretnem primeru evidence preiskav DNK, v kateri so bili tudi profili odvzetih vzorcev DNK) zasleduje uresničevanje ene od temeljnih obveznosti države, ki je v zagotavljanju učinkovite zaščite in varnosti vseh pred kriminalno dejavnostjo, kar je ustavno dopusten cilj za posege v ustavno varovano pravico do informacijske zasebnosti iz prvega odstavka 38. člena Ustave (26. točka obrazložitve). Večkrat je tudi odločilo, da so učinkovito preiskovanje kriminalitete in učinkovit kazenski postopek v širšem pomenu, zagotavljanje javnega interesa po kazenskem pregonu najhujših oblik kaznivih dejanj ter s tem varstvo pravic žrtev in drugih posameznikov do osebnega dostojanstva in varnosti (34. člen Ustave) ustavno upoštevne pravne dobrine in ustavno dopusten cilj,⁸⁵ tudi za poseg v pravico do informacijske zasebnosti z zbiranjem osebnih podatkov za namene policijskega dela.⁸⁶

Odločba o ugotovitvi, da so bili prvi odstavek, prva alineja drugega odstavka ter tretji in četrti odstavek 129. člena Zakona o nalogah in pooblastilih policije, kolikor so se nanašali na evidenco kaznivih dejanj, v neskladju z Ustavo

Časovnica