23. januarja 2018 je Ministrstvo za pravosodje objavilo uradni predlog novega Zakona o varstvu osebnih podatkov (ZVOP-2), ki sledi predhodnemu neposrečenemu predlogu osnutka novele iz oktobra 2017. Kljub temu, da za sprejem nove zakonodaje, ki mora veljati in se uporabljati od 25. maja 2018, ni več veliko časa, je to do sedaj uspelo le še Zvezni republiki Nemčiji in Republiki Avstriji.
V primerjavi s prvim osnutkom predloga novega zakona, je napredek v tej drugi fazi, potrebni za sprejem nove zakonodaje v okviru reforme varstva osebnih podatkov na ravni Evropske unije (Uredba (EU) 2016/679, v nadaljevanju Splošna uredba; ter Direktiva (EU) 2016/680), precejšen. Uradni predlog ZVOP-2 je bistveno bolj sistematičen in pregleden. Kljub temu, da so izvedbeni pristop in zakonodajne tehnike, uporabljene v osnutku in v uradnem predlogu novele, bolj kot ne enake, je razlika velika. Predlog ZVOP-2 je veliko bolj dodelan in dosleden, dejansko se bere kot čisto drug pravni akt. Pohvalno je tudi to, da je zakonodajalec v predlogu novele upošteval veliko pripomb in komentarjev, zbranih v okviru javne razprave s strani zainteresirane javnosti. Rok za podajo komentarjev drugega kroga javne razprave je že potekel, kljub temu pa še potekajo vsebinske razprave, v okviru katerih je ministrstvo še vedno pripravljeno upoštevati smiselne in konstruktivne predloge.
Prostora za izboljšave predloga novele je, kljub zgoraj navedenemu, še precej, saj so določene vsebine še vedno nejasne in nedosledne. Cilj zakonodajalca mora biti sprejem zakonodaje, ki v praksi ne bo povzročala težav in nejasnosti, zato v nadaljevanju izpostavljamo določene zanimive opazke.
- Uporabljen pravni pristop naj bi v predlogu ZVOP-2 zagotovil uskladitev s prenovljenim izrazoslovjem Splošne uredbe, kar pa v predlogu novele še ni povsem doseženo in usklajeno (npr. 'izraz zbirka osebnih podatkov' se v predlogu novele še vedno pojavlja, čeprav naj bi ga nadomestil izraz 'zbirka').
- Pravne podlage za obdelavo osebnih podatkov v zasebnem sektorju (prvotni namen obdelave osebnih podatkov) so sedaj izrecno opredeljene v 9. členu predloga ZVOP-2, kar je v prvotnem osnutku predloga manjkalo. Te pravne podlage so zelo podobne tem iz sedaj veljavnega ZVOP-1, v vsakem primeru pa je ta izrecna zakonska opredelitev zelo koristna in odpravlja določene predhodno izpostavljene dvome.
- V zvezi s pogoji za privolitev mladoletne osebe za uporabo storitev informacijske družbe je sedaj starostna meja postavljena na 15 let (če je mladoletna oseba stara 15 let ali več, lahko sama poda privolitev za uporabo takšnih storitev, pri mlajših osebah pa mora privolitev dati starš, rejnik oz. skrbnik), medtem ko sta bili v osnutku predvideni opciji 14 ali 15 let. Navedena starostna meja je postavljena nižje od tega, kar določba Splošna uredba, vendar znotraj njenega okvirja.
- V osnutku prvotnega predloga ZVOP-2 je bilo predvideno, da bi ob odsotnosti drugih pravnih podlag zavezoval 'maksimalni' rok hrambe osebnih podatkov – 5 let (20. člen osnutka predloga ZVOP-2), medtem ko je to iz sedanjega predloga ZVOP-2 brisano. Upravljavci bodo tako morali, ob odsotnosti drugih pravnih podlag, roke hrambe določati sami ter jih tudi upoštevati, pri čemer ostaja glavni kriterij najkrajše možno obdobje, ki je potrebno za dosego namena obdelave.
- Do sprememb nasproti prvotnemu osnutku predloga ZVOP-2 je prišlo tudi pri enem od najpomembnejših in najzanimivejših institutov, ki se v Evropski uniji uvaja z novo zakonodajo – pooblaščena oseba za varstvo podatkov (data protection officer - DPO). Kljub temu, da se institut ne uvaja kot reguliran poklic, pa so namreč v sedanjem predlogu ZVOP-2 predvideni dodatni pogoji, ki jih mora posameznik izpolnjevati, da se lahko opredeli oz. šteje kot pooblaščena oseba za varstvo podatkov. Ti dodatni pogoji zajemajo dejanske izkušnje, ki so sedaj podrobneje (dovolj podrobno?) opredeljene in obsegajo vsaj tri leta delovnih izkušenj s področja varstva osebnih podatkov ali sorodnih področij - področja informacijske varnosti, področja poslovne skrivnosti ali področja zaupnih podatkov.
- Za javni sektor, v okviru katerega bodo morali vsi upravljavci ali obdelovalci imenovati DPO, so določeni še dodatni pogoji (zaposlenost v javnem sektorju, izobrazba, državljanstvo, 'nekaznovanost' …), v novem predlogu ZVOP-2 pa je določena posebnost oz. izjema; subjekti javnega sektorja, ki nimajo več kot 20 (opcija v predlogu je 30) zaposlenih, in če niso podane še določene druge okoliščine, lahko kot DPO imenujejo osebo iz zasebnega sektorja.
- Iz predloga novele ZVOP-2 izstopa tudi določilo 31.a člena, ki ureja evidence dejavnosti obdelav. Te bodo nadomestile dosedanje kataloge zbirk osebnih podatkov in po novem to naj ne bi bilo obvezno za pravne osebe z manj kot 250 zaposlenimi (z določenimi izjemami). Glede na sedanji zapis v tretjem odstavku tega člena pa je razumeti, da bodo morali med drugim tudi notarji in odvetniki brez izjeme voditi takšne evidence dejavnosti obdelav. Takšna ureditev preseneča, v obrazložitvi členov pa žal ni razlogov, ki bi pojasnili, zakaj je bila ta določba dodana.
- V predlog ZVOP-2 se je vrnila določba o neposrednem trženju, ki je vsebovana v trenutno veljavnem ZVOP-1, je pa ni bilo v osnutku predloga ZVOP-2, na kar je bilo izrečenih veliko kritik. V 92. členu predloga ZVOP-2 je tako določena zakonska pravna podlaga za uporabo osebnih podatkov posameznikov za namene neposrednega trženja ter pogoji za zakonito opravljanje te dejavnosti.
- Poglavje o kazenskih določbah je v predlogu ZVOP-2 precej spremenjeno. Bolje in očitneje je razdelana razmejitev med upravnimi globami iz Splošne uredbe ter temi, ki jih posebej določa predlog ZVOP-2. Ta del je tako bolj jasen in pregleden, visoke globe iz Splošne uredbe pa tako (p)ostajajo realnost.
V oceni finančnih posledic predloga zakona je predvideno, da naj bi se urad Informacijskega pooblaščenca v letu 2018 razširil za 10 in v letu 2019 za dodatnih 5 državnih nadzornikov za varstvo osebnih podatkov. Navedeni ukrepi bodo najbrž nujno potrebni, če bo država želela zagotoviti učinkovito varstvo osebnih podatkov ne le v teoriji, temveč tudi v praksi. Vse to pa kaže na to, da se v posledici sprejema nove zakonodaje vsekakor lahko pričakuje poostren nadzor nad izvrševanjem zahtev nove zakonodaje s področja varstva osebnih podatkov.
Na tem mestu zato še enkrat opozorilo in poziv za vse zavezance v zasebnem in javnem sektorju – pravočasno poskrbite za to, da bo vaše poslovanje/delovanje usklajeno z zahtevami nove zakonodaje.
Pripravila: Zlatka Markovič, univ. dipl. prav.
KADROVSKE STORITVE d.o.o.
