Prva analiza ZVOP-2

25.01.2023 Za konkretnejše analize, kako bo Zakona o varstvu osebnih podatkov (ZVOP-2)¹ vplival na delo upravljavcev in obdelovalcev, bo zaradi različnih interpretacij, prakse Informacijskega pooblaščenca, Evropskega odbora za varstvo podatkov (EDPB) in drugih deležnikov treba še nekaj časa počakati. Tokrat se avtor osredotoča le na nekaj najbolj izstopajočih posebnosti zakona, ki po več letih veljavnosti Splošne uredbe² prihaja v našo realnost.

Logika ZVOP-1, GDPR in ZVOP-2

Ob branju Zakona o varstvu osebnih podatkov (ZVOP-1)³ ter skozi prakso se je razvilo stališče, da zakonsko urejanje varstva osebnih podatkov primarno temelji na zbirkah osebnih podatkov. Primarno je bil torej varovan osebni podatek, ki je bil del zbirke ali je bil namenjen vključitvi v zbirko.⁴

Splošna uredba je ubrala drugačno, sodobnejšo logiko - primarno urejanje področja varstva osebnih podatkov ne temelji več na zbirkah, ampak se osredotoča na procese obdelave. Takšen preskok je morebiti najbolj viden s transformacijo katalogov zbirk osebnih podatkov⁵ v evidenco dejavnosti obdelave.⁶ Pa seveda to ni edini primer.

Zdi se, da ZVOP-2 kombinira logiko obeh, torej ZVOP-1 in Splošne uredbe. Samo po sebi to sicer ni narobe (predvsem zaradi dejstva, da je bila tudi druga slovenska zakonodaja pisana po logiki ZVOP-1 in bi zato v praksi lahko prihajalo do razhajanj), je pa določene dele zakonskega besedila vendarle treba interpretirati morda bolj po "logiki procesov" kot po "logiki zbirk".

Pravne podlage

Pravne podlage za upravljavce zasebnega sektorja (z izjemo posebnih ureditev, kot je na primer biometrija) načeloma ostajajo enake, kot jih določa člen 6 Splošne uredbe. Nekoliko se zaplete pri pravnih podlagah v javnem sektorju, vendar po moji oceni ne toliko, da bi to predstavljalo večje težave pri uporabi ZVOP-2 v praksi.

Uvodoma želim poudariti, da se iz Splošne uredbe v ZVOP-2 prenašajo razmerja med posameznimi pravnimi podlagami. Da torej pravne podlage ne temeljijo več na načinu ZVOP-1, ki je kot primarni pravni podlagi uporabljal zakon in osebno privolitev. Splošna uredba določa šest enakovrednih pravnih podlag (člen 6(1) Splošne uredbe), čemur je sledil tudi ZVOP-2.

Poudarjam pomembnost razlike v poimenovanju pravne podlage v primeru, ko obdelavo osebnih podatkov določa zakon, kar bo pomembno tudi za nadaljnjo razpravo o tej pravni podlagi po ZVOP-2. Besedno zvezo iz prvega odstavka 8. člena ZVOP-1 "če tako določa zakon" je namreč Splošna uredba spremenila v "zakonsko obveznost". Na prvi pogled nenatančnemu bralcu sicer obe poimenovanji ne predstavljata razlike, vendar je ta bistvena. Za primer vzemimo izvajanje videonadzora. Če je upravljavec pred uvedbo Splošne uredbe za pravno podlago lahko uporabil kar ZVOP-1 (od členov 74 dalje), to po Splošni uredbi ni več mogoče, saj videonadzor ni zakonska obveznost upravljavcev. Ti lahko videonadzor uvedejo le, če se za to odločijo,⁷ in ne ker to od njih "zahteva zakon". Pravna podlaga za uvedbo videonadzora po Splošni uredbi (in posledično po ZVOP-2) bo tako zakoniti interes, kot ga določa člen 6(1)f Splošne uredbe.⁸

Prav ob predpostavki zakonske obveznosti⁹ je ZVOP-2 - vsaj tako se zdi - nekoliko zapletel doslej precej enostavno rabo člena 6(1)c Splošne uredbe. Pri tem gre predhodno poudariti, da določene dodatne pogoje posamezna država članica EU pri tem lahko uvede (glej drugi in tretji odstavek člena 6 Splošne uredbe), kar je slovenski zakonodajalec tudi storil. Vendarle je pri tem v drugem odstavku 6 člena ZVOP-2 uporabil dikcijo, da je v primeru zakonske obveznosti obdelava osebnih podatkov med drugim zakonita le,

"če obdelavo osebnih podatkov, vrste osebnih podatkov, ki naj se obdelujejo, kategorije posameznikov, na katere se ti osebni podatki nanašajo, namen njihove obdelave in rok hrambe osebnih podatkov ali rok za redni pregled potrebe po hrambi določa zakon." (poudaril avtor)

Tako trčimo na oba že obdelana pojma zgoraj: zakonska obveznost in če to določa zakon. Vendarle je treba drugi odstavek 6. člena ZVOP-2 brati natančno, predvsem prva dva dela povedi, ki določata:

"Obdelava osebnih podatkov v javnem sektorju in v zasebnem sektorju je zaradi izvajanja zakonske obveznosti, javnega interesa ali izvajanja javne oblasti v primerih iz točk c) in e) prvega odstavka ter drugega in tretjega odstavka 6. člena Splošne uredbe [...]."

Po moji oceni si je torej treba (ob upoštevanju doslej navedenega) drugi odstavek 6. člena ZVOP-2 razlagati (pri tem nam pomaga že sama jezikovna razlaga) na način, da je pravna podlaga še vedno zakonska obveznost, ob tem pa morajo biti izpolnjeni še dodatni pogoji, ki jih določa drugi odstavek 6. člena ZVOP-2. Menim torej, da ne bi smelo biti nobenega dvoma, da se z ZVOP-2 pravne podlage iz člena 6(1) Splošne uredbe ne spreminjajo, le dodajajo se pogoji, kolikor jih posamezna država članica sme dodati v skladu z drugim in tretjim odstavkom člena 6 Splošne uredbe. Seveda pa vprašanje, kako ravnati v primerih, ko drug zakon ne bo imel vseh sestavin, kot jih določa drugi odstavek 6. člena ZVOP-2, ostaja in bo verjetno malce težje rešljivo.

Kot izjemno pozitivno ocenjujem ločitev med oblastnim (iure imperii) in neoblastnim (iure gestionis) delovanjem organa, ki jo sedaj (vsaj za pravno podlago osebne privolitve) ZVOP-2 jasno opredeljuje v tretjem odstavku 6. člena. Za Informacijskega pooblaščenca RS kot nadzorni organ na tem področju ločitev sicer ni nova, saj jo pogosto uporabi kot argument v postopkih dostopa do informacij javnega značaja,¹⁰ pa tudi na področju varstva osebnih podatkov. Prav zaradi te razmejitve delovanja javnega sektorja je tako denimo mogoče izvajati neposredno trženje v javnem sektorju. Razmejitev med oblastnim in neoblastnim delovanjem organa je sicer v dvomu treba razlagati restriktivno, po drugi strani pa menim, da se da ta argument uporabiti tudi za druge pravne podlage. V nasprotnem primeru bi to pomenilo, da je v javnem sektorju denimo videonadzor prepovedan.¹¹

Posebne obdelave v 23. členu

V 23. členu ZVOP-2 na področje varstva osebnih podatkov prinaša nov pojem, ki ga Splošna uredba ne pozna. Gre za posebne obdelave osebnih podatkov, ki se izvajajo v informacijskih sistemih, v katerih:

"1. se izvajajo obdelave osebnih podatkov, določenih v zakonih, ki urejajo področja upravnih notranjih zadev, finančne uprave, državljanstva, Slovenske obveščevalno-varnostne agencije, obrambe, zdravstvenega varstva, obveznega zdravstvenega zavarovanja, uveljavljanja pravic iz javnih sredstev ter kazenskih in prekrškovnih evidenc, ali

2. se obdelujejo osebni podatki več kot 100.000 posameznikov na podlagi zakona, razen obdelav osebnih podatkov iz tretjega poglavja drugega dela tega zakona (videonadzor, op. avtorja) ali

3. upravljavec ali obdelovalec kot svojo temeljno dejavnost izvaja obsežne obdelave posebnih vrst osebnih podatkov ali

4. se obdeluje posebne vrste osebnih podatkov več kot 10.000 posameznikov".

To zakonsko določbo sem sam pospremil z mešanimi občutki, saj z njo zakonodajalec po eni strani nakaže, kateri procesi obdelave so zanj posebej pomembni,¹² po drugi strani pa se sprašujem, ali je takšno določilo po več kot štirih letih od uveljavitve Splošne uredbe res treba zapisati v zakon. Praksa se je namreč v tem času že močno oblikovala, upravljavci pa so se že prilagodili Splošni uredbi. Poleg tega takšne opredelitve lahko vodijo v razlike med ureditvami v državah članicah EU, kar nasprotuje namenu Splošne uredbe kot akta unifikacije v Evropski uniji.

Na posebne obdelave je vezano nekaj dodatnih dolžnosti, predvsem:

- upravljavci, ki izvajajo posebne obdelave, morajo smiselno uporabljati določbe o varnostnih zahtevah in priglasitvi incidentov po Zakonu o informacijski varnosti (ZInfV),¹³ ki se nanašajo na izvajalce bistvenih storitev (prvi odstavek 23. člena ZVOP-2),

- kadar bi kršitev varnosti pomenila možnost škodovanja varnosti ali interesom Republike Slovenije, morajo upravljavci ali obdelovalci obdelave izvajati tako, da se sistemsko onemogoča uničenje, nezakonite spremembe osebnih podatkov ali razkritje nepooblaščenim osebam ali drugim subjektom, ki za dostop do njih ali za njihovo obdelavo nimajo pravne podlage ter s tem stalno preprečuje hudo škodo varnosti in interesom Republike Slovenije (drugi odstavek 23. člena ZVOP-2),

- v določenih primerih mora biti fizična lokacija hrambe znana v vseh fazah obdelave (tretji odstavek 23. člena ZVOP-2), v določenih primerih pa osebnih podatkov ni dovoljeno hraniti izven Republike Slovenije (četrti odstavek 23. člena ZVOP-2) - to določilo morda ni bilo najbolje premišljeno, saj v primeru katastrofalnega dogodka, ki bi zajel vse ozemlje Slovenije, ne bi imeli zakonitih varnostnih kopij podatkov,

- obvezna izvedba ocene učinkov iz 35. člena Splošne uredbe in predhodno posvetovanje z nadzornim organom po 36. členu Splošne uredbe ter ocena možnih škodljivih posledic za varnost države, vključno z njenimi političnimi ali gospodarskimi koristmi, če bi bili obdelovani podatki razkriti nepooblaščenim osebam ali subjektom (prvi odstavek 24. člena ZVOP-2),

- obvezno imenovanje pooblaščene osebe za varstvo osebnih podatkov (prvi odstavek 45. člena ZVOP-2).¹⁴

Poleg vseh navedenih dolžnosti upravljavcev 38. člen ZVOP-2 nalaga tudi dolžnost Informacijskemu pooblaščencu, da posebej opredeli letne nadzore nad upravljavci, ki izvajajo posebne obdelave. To bo najverjetneje pomenilo, da lahko vsi upravljavci, ki sodijo v zgornjo "kategorijo", prej ali slej pričakujejo inšpekcijski nadzor. Na tem mestu seveda poudarek upravljavcem in obdelovalcem, da čim prej, najkasneje pa do konca prehodnega obdobja (26. januar 2026 - glej 116. člen ZVOP-2) uskladijo svoje delovanje v skladu s 23. členom ZVOP-2.¹⁵ Opozoriti pa moram na to, da prehodno obdobje iz 116. člena ZVOP-2 velja le za uskladitev s 23. členom ZVOP-2, ne pa tudi za uskladitev z določbami drugih členov ZVOP-2, ki se sklicujejo na prvi odstavek 23. člena tega zakona...

Nadaljevanje članka za naročnike >> Klemen Kraigher Mišič, Prva analiza ZVOP-2
>> ali na portalu Pravna praksa, št. 1-2, 2023

>> Še niste naročnik? Preverite uporabniške pakete!

----------------------------------
Opombe:

¹ Ur. l. RS, št. 163/22. Zakon začne veljati 26. januarja 2023.

²Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (UL L 119 z dne 4. maja 2016 (str. 1), s popravkom (UL L 126 z dne 23. maja 2018 (str. 2)).
³ Ur. l. RS, št. 86/04 in nasl. Zakon preneha veljati 26. januarja 2022.

⁴ Glej definicijo obdelave osebnih podatkov v 3. točki 6. člena ZVOP-1.

⁵ Glej npr. 26. člen ZVOP-1.

⁶ Glej člen 30 GDPR.

⁷ Pri tem namerno spregledam posebne organizacije, ki videonadzor morajo uvesti, ker to od njih zahteva zakon, torej je to v jeziku Splošne uredbe "zakonska obveznost".

⁸ Posledično to pomeni tudi, da morajo upravljavci poleg tehtanj, ki jih zahteva ZVOP-2 ob uvedbi videonadzora, izvesti tudi oceno zakonitega interesa (LIA: Legitimate Interest Assessment) per se, kot to zahteva točka 6(1)f Splošne uredbe. V poštev pridejo tudi druga pravila, vezana na uporabo točke 6(1)f Splošne uredbe, in ne tista, vezana na uporabo točke 6(1)c Splošne uredbe.

⁹ Pa tudi za primer opravljanja naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu - glej člen 6(1)e Splošne uredbe. Za lažjo primerjavo se v tem odstavku osredotočam zgolj na zakonsko obveznost, mutatis mutandis pa vse navedeno velja tudi za pravno podlago iz točke 6(1)e Splošne uredbe.

¹⁰ Primer: odločba št. 090-147/2021 z dne 14. junija 2021, objavljena na https://www.ip-rs.si/informacije-javnega-značaja/iskalnik-po-odločbah/149 .
¹¹ Zakoniti interes kot pravna podlaga je zaradi izrecne prepovedi drugega pododstavka člena 6(1) Splošne uredbe prepovedan za javni sektor, ko opravlja javne naloge.

¹² Spomnimo se dilem ob začetku veljave Splošne uredbe, ko so si posamezne države članice različno interpretirale pojme "večje količine", "obsežnejša obdelava" ipd.

¹³ Ur. l. RS, št. 30/18 in nasl.

¹⁴ Sklic v prvem odstavku 45. člena ZVOP-2 "Pooblaščeno osebo določijo upravljavci in obdelovalci v skladu s prvim odstavkom 37. člena Splošne uredbe in vsi upravljavci in obdelovalci v javnem sektorju ter upravljavci in obdelovalci, ki obdelujejo osebne podatke iz 1.-4. točke prvega odstavka 23. člena tega zakona (poudaril avtor)" je ob natančnem branju sicer nekoliko neroden in bi ga bilo verjetno smiselno ob prvi priložnosti ustrezno popraviti.

¹⁵ Pri tem opozarjam, da morajo vsaj nekatere varnostne zahteve upravljavci oz. obdelovalci izpolnjevati že sedaj (po Splošni uredbi in po ZVOP-1).

Članki izražajo stališča avtorjev, in ne nujno organizacij, v katerih so zaposleni, ali uredništva portala IUS-INFO.

10 najvplivnejših pravnikov

Multimedijski arhiv