Logika ZVOP-1, GDPR in ZVOP-2
Ob branju Zakona o varstvu osebnih podatkov (ZVOP-1)3 ter skozi prakso se je razvilo stališče, da zakonsko urejanje varstva osebnih podatkov primarno temelji na zbirkah osebnih podatkov. Primarno je bil torej varovan osebni podatek, ki je bil del zbirke ali je bil namenjen vključitvi v zbirko.4
Splošna uredba je ubrala drugačno, sodobnejšo logiko - primarno urejanje področja varstva osebnih podatkov ne temelji več na zbirkah, ampak se osredotoča na procese obdelave. Takšen preskok je morebiti najbolj viden s transformacijo katalogov zbirk osebnih podatkov5 v evidenco dejavnosti obdelave.6 Pa seveda to ni edini primer.
Zdi se, da ZVOP-2 kombinira logiko obeh, torej ZVOP-1 in Splošne uredbe. Samo po sebi to sicer ni narobe (predvsem zaradi dejstva, da je bila tudi druga slovenska zakonodaja pisana po logiki ZVOP-1 in bi zato v praksi lahko prihajalo do razhajanj), je pa določene dele zakonskega besedila vendarle treba interpretirati morda bolj po "logiki procesov" kot po "logiki zbirk".
Pravne podlage za upravljavce zasebnega sektorja (z izjemo posebnih ureditev, kot je na primer biometrija) načeloma ostajajo enake, kot jih določa člen 6 Splošne uredbe. Nekoliko se zaplete pri pravnih podlagah v javnem sektorju, vendar po moji oceni ne toliko, da bi to predstavljalo večje težave pri uporabi ZVOP-2 v praksi.
Uvodoma želim poudariti, da se iz Splošne uredbe v ZVOP-2 prenašajo razmerja med posameznimi pravnimi podlagami. Da torej pravne podlage ne temeljijo več na načinu ZVOP-1, ki je kot primarni pravni podlagi uporabljal zakon in osebno privolitev. Splošna uredba določa šest enakovrednih pravnih podlag (člen 6(1) Splošne uredbe), čemur je sledil tudi ZVOP-2.
Poudarjam pomembnost razlike v poimenovanju pravne podlage v primeru, ko obdelavo osebnih podatkov določa zakon, kar bo pomembno tudi za nadaljnjo razpravo o tej pravni podlagi po ZVOP-2. Besedno zvezo iz prvega odstavka 8. člena ZVOP-1 "če tako določa zakon" je namreč Splošna uredba spremenila v "zakonsko obveznost". Na prvi pogled nenatančnemu bralcu sicer obe poimenovanji ne predstavljata razlike, vendar je ta bistvena. Za primer vzemimo izvajanje videonadzora. Če je upravljavec pred uvedbo Splošne uredbe za pravno podlago lahko uporabil kar ZVOP-1 (od členov 74 dalje), to po Splošni uredbi ni več mogoče, saj videonadzor ni zakonska obveznost upravljavcev. Ti lahko videonadzor uvedejo le, če se za to odločijo,7 in ne ker to od njih "zahteva zakon". Pravna podlaga za uvedbo videonadzora po Splošni uredbi (in posledično po ZVOP-2) bo tako zakoniti interes, kot ga določa člen 6(1)f Splošne uredbe.8
Prav ob predpostavki zakonske obveznosti9 je ZVOP-2 - vsaj tako se zdi - nekoliko zapletel doslej precej enostavno rabo člena 6(1)c Splošne uredbe. Pri tem gre predhodno poudariti, da določene dodatne pogoje posamezna država članica EU pri tem lahko uvede (glej drugi in tretji odstavek člena 6 Splošne uredbe), kar je slovenski zakonodajalec tudi storil. Vendarle je pri tem v drugem odstavku 6 člena ZVOP-2 uporabil dikcijo, da je v primeru zakonske obveznosti obdelava osebnih podatkov med drugim zakonita le,
"če obdelavo osebnih podatkov, vrste osebnih podatkov, ki naj se obdelujejo, kategorije posameznikov, na katere se ti osebni podatki nanašajo, namen njihove obdelave in rok hrambe osebnih podatkov ali rok za redni pregled potrebe po hrambi določa zakon." (poudaril avtor)
Tako trčimo na oba že obdelana pojma zgoraj: zakonska obveznost in če to določa zakon. Vendarle je treba drugi odstavek 6. člena ZVOP-2 brati natančno, predvsem prva dva dela povedi, ki določata:
"Obdelava osebnih podatkov v javnem sektorju in v zasebnem sektorju je zaradi izvajanja zakonske obveznosti, javnega interesa ali izvajanja javne oblasti v primerih iz točk c) in e) prvega odstavka ter drugega in tretjega odstavka 6. člena Splošne uredbe [...]."
Po moji oceni si je torej treba (ob upoštevanju doslej navedenega) drugi odstavek 6. člena ZVOP-2 razlagati (pri tem nam pomaga že sama jezikovna razlaga) na način, da je pravna podlaga še vedno zakonska obveznost, ob tem pa morajo biti izpolnjeni še dodatni pogoji, ki jih določa drugi odstavek 6. člena ZVOP-2. Menim torej, da ne bi smelo biti nobenega dvoma, da se z ZVOP-2 pravne podlage iz člena 6(1) Splošne uredbe ne spreminjajo, le dodajajo se pogoji, kolikor jih posamezna država članica sme dodati v skladu z drugim in tretjim odstavkom člena 6 Splošne uredbe. Seveda pa vprašanje, kako ravnati v primerih, ko drug zakon ne bo imel vseh sestavin, kot jih določa drugi odstavek 6. člena ZVOP-2, ostaja in bo verjetno malce težje rešljivo.
Kot izjemno pozitivno ocenjujem ločitev med oblastnim (iure imperii) in neoblastnim (iure gestionis) delovanjem organa, ki jo sedaj (vsaj za pravno podlago osebne privolitve) ZVOP-2 jasno opredeljuje v tretjem odstavku 6. člena. Za Informacijskega pooblaščenca RS kot nadzorni organ na tem področju ločitev sicer ni nova, saj jo pogosto uporabi kot argument v postopkih dostopa do informacij javnega značaja,10 pa tudi na področju varstva osebnih podatkov. Prav zaradi te razmejitve delovanja javnega sektorja je tako denimo mogoče izvajati neposredno trženje v javnem sektorju. Razmejitev med oblastnim in neoblastnim delovanjem organa je sicer v dvomu treba razlagati restriktivno, po drugi strani pa menim, da se da ta argument uporabiti tudi za druge pravne podlage. V nasprotnem primeru bi to pomenilo, da je v javnem sektorju denimo videonadzor prepovedan.11
V 23. členu ZVOP-2 na področje varstva osebnih podatkov prinaša nov pojem, ki ga Splošna uredba ne pozna. Gre za posebne obdelave osebnih podatkov, ki se izvajajo v informacijskih sistemih, v katerih:
"1. se izvajajo obdelave osebnih podatkov, določenih v zakonih, ki urejajo področja upravnih notranjih zadev, finančne uprave, državljanstva, Slovenske obveščevalno-varnostne agencije, obrambe, zdravstvenega varstva, obveznega zdravstvenega zavarovanja, uveljavljanja pravic iz javnih sredstev ter kazenskih in prekrškovnih evidenc, ali
2. se obdelujejo osebni podatki več kot 100.000 posameznikov na podlagi zakona, razen obdelav osebnih podatkov iz tretjega poglavja drugega dela tega zakona (videonadzor, op. avtorja) ali
3. upravljavec ali obdelovalec kot svojo temeljno dejavnost izvaja obsežne obdelave posebnih vrst osebnih podatkov ali
4. se obdeluje posebne vrste osebnih podatkov več kot 10.000 posameznikov".
To zakonsko določbo sem sam pospremil z mešanimi občutki, saj z njo zakonodajalec po eni strani nakaže, kateri procesi obdelave so zanj posebej pomembni,12 po drugi strani pa se sprašujem, ali je takšno določilo po več kot štirih letih od uveljavitve Splošne uredbe res treba zapisati v zakon. Praksa se je namreč v tem času že močno oblikovala, upravljavci pa so se že prilagodili Splošni uredbi. Poleg tega takšne opredelitve lahko vodijo v razlike med ureditvami v državah članicah EU, kar nasprotuje namenu Splošne uredbe kot akta unifikacije v Evropski uniji.
Na posebne obdelave je vezano nekaj dodatnih dolžnosti, predvsem:
- upravljavci, ki izvajajo posebne obdelave, morajo smiselno uporabljati določbe o varnostnih zahtevah in priglasitvi incidentov po Zakonu o informacijski varnosti (ZInfV),13 ki se nanašajo na izvajalce bistvenih storitev (prvi odstavek 23. člena ZVOP-2),
- kadar bi kršitev varnosti pomenila možnost škodovanja varnosti ali interesom Republike Slovenije, morajo upravljavci ali obdelovalci obdelave izvajati tako, da se sistemsko onemogoča uničenje, nezakonite spremembe osebnih podatkov ali razkritje nepooblaščenim osebam ali drugim subjektom, ki za dostop do njih ali za njihovo obdelavo nimajo pravne podlage ter s tem stalno preprečuje hudo škodo varnosti in interesom Republike Slovenije (drugi odstavek 23. člena ZVOP-2),
- v določenih primerih mora biti fizična lokacija hrambe znana v vseh fazah obdelave (tretji odstavek 23. člena ZVOP-2), v določenih primerih pa osebnih podatkov ni dovoljeno hraniti izven Republike Slovenije (četrti odstavek 23. člena ZVOP-2) - to določilo morda ni bilo najbolje premišljeno, saj v primeru katastrofalnega dogodka, ki bi zajel vse ozemlje Slovenije, ne bi imeli zakonitih varnostnih kopij podatkov,
- obvezna izvedba ocene učinkov iz 35. člena Splošne uredbe in predhodno posvetovanje z nadzornim organom po 36. členu Splošne uredbe ter ocena možnih škodljivih posledic za varnost države, vključno z njenimi političnimi ali gospodarskimi koristmi, če bi bili obdelovani podatki razkriti nepooblaščenim osebam ali subjektom (prvi odstavek 24. člena ZVOP-2),
- obvezno imenovanje pooblaščene osebe za varstvo osebnih podatkov (prvi odstavek 45. člena ZVOP-2).14
Poleg vseh navedenih dolžnosti upravljavcev 38. člen ZVOP-2 nalaga tudi dolžnost Informacijskemu pooblaščencu, da posebej opredeli letne nadzore nad upravljavci, ki izvajajo posebne obdelave. To bo najverjetneje pomenilo, da lahko vsi upravljavci, ki sodijo v zgornjo "kategorijo", prej ali slej pričakujejo inšpekcijski nadzor. Na tem mestu seveda poudarek upravljavcem in obdelovalcem, da čim prej, najkasneje pa do konca prehodnega obdobja (26. januar 2026 - glej 116. člen ZVOP-2) uskladijo svoje delovanje v skladu s 23. členom ZVOP-2.15 Opozoriti pa moram na to, da prehodno obdobje iz 116. člena ZVOP-2 velja le za uskladitev s 23. členom ZVOP-2, ne pa tudi za uskladitev z določbami drugih členov ZVOP-2, ki se sklicujejo na prvi odstavek 23. člena tega zakona...
Nadaljevanje članka za naročnike >> Klemen Kraigher Mišič, Prva analiza ZVOP-2
>> ali na portalu Pravna praksa, št. 1-2, 2023
>> Še niste naročnik? Preverite uporabniške pakete!
----------------------------------
Opombe:
Članki izražajo stališča avtorjev, in ne nujno organizacij, v katerih so zaposleni, ali uredništva portala IUS-INFO.