TFL Vsebine / TFLGlasnik

Državni zbor je 15. decembra 2022 sprejel Zakon o varstvu osebnih podatkov (ZVOP-2), ki je bil 27. decembra 2022 objavljen v Uradnem listu in začne veljati 26. januarja 2023. Gre za sistemski zakon, ki ga je vedno treba brati skupaj z določbami Splošne uredbe o varstvu podatkov (GDPR). Ta se že od 15. maja 2018 uporablja neposredno, v primeru kolizije med obema predpisoma pa velja supremacija prava Evropske unije.

Kaj prinaša ZVOP-2, kaj ureja drugače ali vzporedno z GDPR? [1] Uvodoma so ključne določbe o pravnih podlagah za obdelavo osebnih podatkov, ki dopolnjujejo GDPR. Spremenjen je tudi postopek pred upravljavcem in obdelovalcem osebnih podatkov ter Informacijskim pooblaščencem kot državnim nadzornim organom za varstvo osebnih podatkov. Posebna novost in odmik od ureditve iz zakona, ki ureja splošni upravni postopek (ZUP), je tako možnost izvajanja postopkovnih dejanj nadzornega organa brez prisotnosti strank. To pomeni, da lahko ta opravlja razgovore z osebami pri upravljavcu in obdelovalcu in s pričami brez prisotnosti posameznika, na katerega se nanašajo osebni podatki, kadar preceni in s sklepom odloči, da bi taka prisotnost škodovala izvedbi uradnih postopkov ali uresničevanju človekovih pravic in temeljnih svoboščin tretjih oseb. Dodatni odmik od upravnega postopka pa je tudi izključitev stranske udeležbe – ta namreč v postopkih pred Informacijskim pooblaščencem ni dopustna. Poseben položaj pa sedaj dobiva prijavitelj s posebnim položajem, to je posameznik, ki lahko zahteva nadzor zakonitosti obdelave svojih osebnih podatkov. V tem kontekstu je zanimiva določba, da v teh postopkih vsaka stranka sama krije svoje stroške postopka.

Za posamezne upravljavce so vsekakor novost določbe glede varnosti osebnih podatkov in nujnosti vodenja dnevnikov obdelav (22. člen). Za tiste informacijske sisteme, ki jih zakon v 23. členu posebej določa (za nekatere organe in med drugim tudi tiste upravljavce tudi v zasebnem sektorju, ki obsežno obdelujejo posebne vrste osebnih podatkov) pa je določena še posebna obveznost, da morajo pri svojem delu smiselno upoštevati tudi določbe o varnostnih zahtevah in priglasitvi incidentov iz zakona, ki ureja informacijsko varnost, ki se nanašajo na izvajalce bistvenih storitev, če upravljavec glede teh obdelav ni dolžan izvajati ukrepov po zakonu, ki ureja informacijsko varnost. Posebej stroga je določba zadnjega odstavka tega člena, po katerem se določenih zbirk osebnih podatkov ne sme hraniti zunaj ozemlja Republike Slovenije. Da gre za poseben položaj teh obdelav kaže tudi določba 38. člena ZVOP-2, ki Informacijskemu pooblaščencu nalaga, da v svojem letnem načrtu nadzorov te nadzore posebej opredeli. Zakonodajalec je torej prepoznal pomen in težo nekaterih obdelav oziroma zbirk osebnih podatkov.

ZVOP-2 vsebuje tudi podrobnejše določbe glede kodeksov ravnanja in potrjevanja. To možnost je sicer uvedla že GDPR, a doslej v praksi ni zaživela. Sčasoma se bodo te možnosti najbrž poslužili zlasti tisti upravljavci zbirk osebnih podatkov, ki si na področju varstva osebnih podatkov želijo narediti korak naprej k enotni ureditvi in dobri praksi.

Upravljavci morajo posebno pozornost nameniti tudi določbam ZVOP-2, ki urejajo obdelave osebnih podatkov, za katere GDPR pooblašča države članice, da jih te uredijo same. Vsi, ki so tako izvajali videonadzor po določbah ZVOP-1, morajo njegovo izvajanje prilagoditi novim določbam. Predvsem se velja osredotočiti na nove pravne podlage in širše obvestilo upravljavca glede njegovega izvajanja, saj mora vsebovati tudi vse informacije, ki jih predvideva že 13. člen GDPR. Tisti, ki imajo videonadzor v večstanovanjskih hišah že vzpostavljen, in sicer po določbah ZVOP-1, bodo določbe o ureditvi videonadzora v večstanovanjskih hišah v ZVOP-2 iskali zaman, so pa nove določbe o izvajanju videonadzora v prevoznih sredstvih namenjenih javnemu potniškemu prometu. Prav tako ni več določb o neposrednem trženju, kar pa seveda ne pomeni, da se te obdelave lahko izvajajo brez ustrezne pravne podlage.

Z veljavnostjo GDPR so morali posamezni upravljavci posebno pozornost že nameniti tudi imenovanju pooblaščenih oseb za varstvo podatkov ali DPO-jev. ZVOP-2 ima v členih med 44 in 50 še posebne določbe glede njihovega statusa, kdo vse ga mora imenovati, kakšni so pogoji za njihovo imenovanje in njegove naloge. Za pooblaščeno osebo ali njenega namestnika pa ne sme biti imenovana oseba, ki je v nasprotju interesov z upravljavcem ali obdelovalcem ali je njeno delo pooblaščene osebe v nasprotju z njenimi nalogami ali s položajem pri upravljavcu in obdelovalcu. ZVOP-2 že našteva nekaj položajev in situacij, ki se štejejo za nasprotje interesov – DPO tako ne more biti npr. upravljavec informacijskega sistema, skrbnik informacijskega sistema ali vodja informacijske varnosti, predstojnik, član organov upravljanja ali nadzora itd.

Na novo se ureja tudi povezovanje zbirk osebnih podatkov, biometrija in obdelava osebnih podatkov za raziskovalne namene. Slovenija pa je v razmerju do drugih držav članic EU specifična tudi pri urejanju kazenskih določb, saj GDPR pozna upravne globe, medtem ko ima ZVOP-2 le globe za prekrške. Posebnost je v tem, da se po določbi 95. člena ZVOP-2 tudi sankcije za kršitve, ki jih sicer določa GDPR, izrekajo kot globe za prekrške, a v višini in razponih kot jih določa GDPR. Sankcije za kršitve, ki jih predpisuje GDPR, se izrekajo pravnim osebam, samostojnim podjetnikom posameznikom in posameznikom, ki samostojno opravljajo dejavnosti, z ZVOP-2 pa se predpisujejo tudi sankcije za kršitve, ki jih storijo odgovorne osebe ali posamezniki, četudi GDPR njihovega sankcioniranja ne predvideva.

Novosti je torej precej, časa za preučitev sprememb in prilagoditev poslovanja pa ne ravno na pretek.