Agencija je utvrdila da je prigovor podnositeja osnovan jer je MUPRS, u okviru sigurnosnih provjera, OSA-i BiH dostavio podatke iz operativne evidencije za podnositelja prigovora.
MUPRS je davanjem ličnih podataka iz operativne evidencije postupao suprotno Zakonu o zaštiti ličnih podataka, kojim je propisano da je kontrolor dužan da lične podatke koje prikuplja za posebne, izričite i zakonite svrhe ne obrađuje na bilo koji način koji nije u skladu s tom svrhom.
Naime, MUPRS je po zahtjevu OSA-e BiH mogao dostaviti podatke iz kaznene evidencije da bi OSABiH mogla izvršiti upoređivanje s podacima iz osnovnog sigurnosnog upitnika, koji se odnose na podatke iz kaznene evidencije i to samo u slučaju ako postoji pravosnažna sudska presuda od najmanje tri mjeseca zatvorske kazne, što u konkretnom predmetu nije bio slučaj.
Kontrolor, MUPRS, pogrešno je postupio dajući podatke iz operativne evidencije, koji su bez ikakvog značaja za sigurnosnu provjeru, jer se takvi podaci mogu koristiti samo u policijske svrhe.
Nijedna osoba ne može biti ograničena u svojim pravima niti snositi štetne posljedice zbog podataka koji proističu iz operativne evidencije.
Radi poštivanja principa pravičnosti i zakonitosti, kontrolor ne može davati podatke iz operativne evidencije, jer je prema Krivičnom zakonu RS-a propisano davanje podataka iz kaznene, a ne operativne evidencije.
Stoga je Agencija za zaštitu ličnih podataka u BiH utvrdila da je došlo do povrede Zakona o zaštiti ličnih podataka kojim je propisano da je kontrolor obavezan da lične podatke obrađuje na pravičan i zakonit način te da se lični podaci koji se prikupljaju za posebne, izričite i zakonite svrhe ne obrađuju na bilo koji način koji nije u skadu s tom svrhom te da se lični podaci obrađuju samo u periodu koji je neophodan za ispunjenje svrhe u koju su podaci prikupljeni, saopćeno je iz Agencije.