Mineva že sedem let od sprejetja Splošne uredbe o varstvu podatkov, v Sloveniji pa bo z njo usklajeni zakon, ki ureja varstvo osebnih podatkov, s precejšnjo zamudo začel veljati šele letos. Nov Zakon o varstvu osebnih podatkov (ZVOP-2) bo tako začel veljati 26. januarja, poglavitne zakonodajne spremembe pa se nanašajo tako na splošne kot na posebne določbe in na področne ureditve.
Novi zakon skladno z Uredbo 2016/679 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu osebnih podatkov) nekoliko drugače kot stari zakon določa načela zakonitosti, poštenosti in sorazmernosti (1. člen ZVOP-2).
Ozemeljska veljavnost zakona je omejena na obdelavo osebnih podatkov, ki se izvaja v okviru javnega in zasebnega sektorja, kadar gre za obdelavo osebnih podatkov, ki se izvaja v okviru dejavnosti ustanovitve upravljavca ali obdelovalca, registrirane v Republiki Sloveniji, tudi če obdelava osebnih podatkov ne poteka v Sloveniji. Novi zakon velja tudi za obdelavo osebnih podatkov, ki se izvaja v okviru dejavnosti ustanovitve upravljavca ali obdelovalca, ki je registrirana zunaj Evropske unije, če so dejavnosti obdelave povezane s ponujanjem blaga ali storitev posameznikom v Sloveniji (4. člen).
Osebni podatki se lahko obdelujejo le, kadar in kolikor je to v skladu s pravnimi podlagami za obdelavo osebnih podatkov iz prvega odstavka 6. in 9. člena splošne uredbe. Obdelava osebnih podatkov za drug (prej: naknadni) namen kot za tistega, za katerega so bili zbrani (nadaljnja obdelava), je dopustna, če je to v skladu z določbami iz četrtega odstavka 6. člena splošne uredbe. Izrecno je tudi določeno, da se v primeru, ko se nenamerno zberejo osebni podatki, za katere je očitno, da niso potrebni za konkretno obdelavo, ti izbrišejo brez nepotrebnega odlašanja, drugače nepovratno uničijo ali vrnejo posamezniku, na katerega se nanašajo, ali upravljavcu ali obdelovalcu, ki jih je poslal (7. člen ZVOP-2).
Novost je strožja ureditev privolitve otroka za uporabo storitev informacijske družbe – če je otrok mlajši od 15 let, je privolitev veljavna le, če jo da ali odobri eden od staršev otroka, njegov skrbnik ali oseba, ki ji je podeljena starševska skrb (8. člen ZVOP-2).
Na novo so razdelane obdelave v zvezi s posebnimi vrstami osebnih podatkov (do sedaj: občutljivi osebni podatki), vključno s pravnimi podlagami za obdelavo. Sem spadajo tudi podatki o vpisu v kazenske evidence in prekrškovne evidence ali izbrisu iz njih ter prenosi teh podatkov, ki jih ureja zakon v 10. členu.
Sodno varstvo sledi dosedanji ureditvi. Gre za samostojno sodno varstvo in ni pogojeno s predhodnim izčrpanjem kateregakoli drugega pravnega sredstva ali pravice po ZVOP-2 ali splošne uredbe in področnih zakonov (11. člen).
V 2. poglavju je urejen postopek pred upravljavcem in obdelovalcem. V postopkih uveljavljanja pravic in zahtev se neposredno uporablja splošna uredba (12. člen), v nadaljevanju poglavja pa so urejene postopkovne določbe za državne organe in samoupravne lokalne skupnosti za obravnavanje zahtevkov posameznika v javnem in zasebnem sektorju, sestavine odločbe, ki jo organ izda o zahtevku, izvrševanje odločitev in stroški zagotavljanja informacij. Vsebina odločbe je deloma urejena v 13., 14. in 15. členu, v slednjem pa je posebej določeno, da odločba ne obsega konkretnih razlogov za zavrnitev ali omejitev dostopa, če bi to ogrozilo izvrševanje namena zavrnitve ali omejitve dostopa iz prvega odstavka 18. člena ZVOP-2.
Z 19. členom so določena posebna pravila glede načina uveljavljanja pravic ali zahtevkov na določenih področjih, in sicer se ti ne izvajajo v postopkih pred nadzornim organom po določbah tega zakona ali po določbah splošne uredbe, temveč kot je določeno z drugim zakonom (s smiselno uporabo ZVOP-2 in splošne uredbe).
V 3. poglavju sta urejana varnost osebnih podatkov in ocena učinka. V 22. členu je določeno, kdaj morajo upravljavci osebnih podatkov voditi dnevnik obdelave ter njegovo vsebino (vodenje dnevnikov obdelav se mora z novim zakonom uskladiti v dveh letih od uveljavitve novega zakona – 120. člen ZVOP-2). Za namene izkazovanja skladnosti obdelave osebnih podatkov (zakonitosti, poštenosti, sorazmernosti) sta kot obveznost za upravljavce in obdelovalce poleg izvedbe ocene učinka določeni tudi izvajanje ukrepa t. i. notranje sledljivosti posredovanja osebnih podatkov (22. člen ZVOP-2) ter izvajanje ukrepa t. i. zunanje sledljivosti obdelav osebnih podatkov (41. člena ZVOP-2), kar je delno podobno dosedanji ureditvi.
V 1. oddelku 4. poglavja so temeljne določbe glede postopkovnih vprašanj v zvezi z izvajanjem nadzorov ali odločanj Informacijskega pooblaščenca, v 2. oddelku je določen položaj prijavitelja s posebnim položajem, v 3. pa inšpekcijski nadzor glede varstva osebnih podatkov. Podrobneje je urejen postopek uveljavljanja pravic posameznikov, na katere se nanašajo osebni podatki, tudi z delno uporabo določb Zakona o splošnem upravnem postopku (ZUP), kadar gre za državne organe (25. člen ZVOP-2). Posameznik, na katerega se nanašajo osebni podatki in ki meni, da so njegove pravice varstva osebnih podatkov kršene, ima po novem zakonu tudi možnost vložitve neposredne zahteve pri Informacijskem pooblaščencu (poimenovana prijava) in je v tem postopku vlagatelj zahteve (poimenovan prijavitelj s posebnim položajem) ter nastopa kot stranka, s subsidiarno uporabo določb zlasti Zakona o splošnem upravnem postopku ter določb novega ZVOP-2. Posameznik v tem primeru pravice uresničuje posredno.
Drugače kot prej so urejene pooblaščene osebe za varstvo osebnih podatkov (6. poglavje). Gre za osebe, ki so imenovane na podlagi poklicnih odlik in zlasti strokovnega znanja o zakonodaji in praksi na področju varstva podatkov ter zmožnosti za izpolnjevanje nalog (pogoje za določitev pooblaščene osebe določa 46. člen ZVOP-2) in ki znotraj upravljavcev ali obdelovalcev na neodvisen način svetujejo pri zagotavljanju skladnosti obdelave s splošno uredbo in zakonom (44. člen ZVOP-2). Zakon določa obveznost določiti pooblaščeno osebo, kadar:
1. se izvajajo obdelave osebnih podatkov, določenih v zakonih, ki urejajo področja upravnih notranjih zadev, finančne uprave, državljanstva, Slovenske obveščevalno-varnostne agencije, obrambe, zdravstvenega varstva, obveznega zdravstvenega zavarovanja, uveljavljanja pravic iz javnih sredstev ter kazenskih in prekrškovnih evidenc, ali
2. se obdelujejo osebni podatki več kot 100.000 posameznikov na podlagi zakona, razen obdelav osebnih podatkov iz 3. poglavja 2. dela ZVOP-2, ali
3. upravljavec ali obdelovalec kot svojo temeljno dejavnost izvaja obsežne obdelave posebnih vrst osebnih podatkov, ali
4. se obdelujejo posebne vrste osebnih podatkov več kot 10.000 posameznikov,
ter v primerih iz 37. člena splošne uredbe.
Upravljavci ali obdelovalci iz zasebnega in javnega sektorja, razen državnih organov, lahko imenujejo pri njih zaposleno osebo, lahko pa tudi s pogodbo v pisni obliki določijo drugega posameznika ali pravno osebo. Za pooblaščeno osebo ali njenega namestnika ne sme biti določena oseba, ki je v nasprotju interesov z upravljavcem in obdelovalcem ali je njeno delo pooblaščene osebe v nasprotju z njenimi drugimi nalogami ali položajem pri upravljavcu in obdelovalcu (46. člen ZVOP-2). Več upravljavcev oziroma obdelovalcev lahko določi skupno pooblaščeno osebo in njenega namestnika. Na tem mestu so posebej izpostavljeni odvetniki in notarji (47. člen ZVOP-2) ter sodišča in tožilstva, za katere je podana posebna centralizirana ureditev (49. člen ZVOP-2).
Kodeksi ravnanja so urejeni v 7. poglavju ter predstavljajo pravila dobre prakse na področju posameznih vrst obdelav osebnih podatkov. Kodeksi so lahko potrjeni na različnih nivojih nadzornih organov; tako s strani posameznega državnega nadzornega organa kot širše.
Nadzorni organ za varstvo osebnih podatkov v Republiki Slovenije ostaja Informacijski pooblaščenec (54. člen ZVOP-2). Pristojnosti nadzornega organa so določene v 55. členu zakona: izvaja nadzore nad izvajanjem določb splošne uredbe in zakonov ter podzakonskih aktov s področja obdelave osebnih podatkov (omejitve glede opravljanja nadzora so določene v 57. členu); odloča v pritožbenem postopku, postopkih prijav prijaviteljev s posebnim položajem in izvaja inšpekcijski nadzor; daje predhodna mnenja ministrstvom, državnemu zboru, organom samoupravnih lokalnih skupnosti itd.; izvaja predhodno posvetovanje v skladu s splošno uredbo in ZVOP-2 ter druge naloge (glej še 56. členu ZVOP-2).
Zunanji nadzor nad delovanjem nadzornega organa prek letnega poročila izvajajo Državni zbor RS ter Evropska komisija in Evropski odbor za varnost osebnih podatkov, poročilo pa je tudi dostopno javnosti. Kot drugi nadzorni mehanizem je določen Varuh človekovih pravic, tretji pa je pristojno delovno telo državnega zbora za nadzor obveščevalnih in varnostnih služb (9. poglavje).
V II. delu novega zakona so določene področne ureditve obdelave osebnih podatkov. Tu so urejena posebna pravila glede obdelave osebnih podatkov za znanstvenoraziskovalne, zgodovinskoraziskovalne, statistične in arhivske namene; pravila glede varstva svobode izražanja in dostopa do informacij javnega značaja v razmerju do varstva osebnih podatkov; videonadzor; obdelava osebnih podatkov z uporabo biometrije in genskih podatkov; evidentiranje vstopov in izstopov; javne knjige, povezovanje zbirk osebnih podatkov, strokovni nadzor in obdelava kontaktnih podatkov in osebnih dokumentov. Glede slednje je določeno, da lahko osebe javnega ali zasebnega sektorja javnosti posredujejo in javno objavijo osebno ime, naziv ali funkcijo, službeno telefonsko številko in naslov službene elektronske pošte vodilnih oseb in tistih zaposlenih, katerih delo je potrebno zaradi poslovanja s strankami oziroma uporabniki storitev, če drug zakon ne določa drugače (92. člen). Oseba iz javnega ali zasebnega sektorja lahko kontaktne podatke posameznikov, ki jih je zbrala iz javno dostopnih virov ali v okviru izvrševanja svojih javnih nalog ali so ji jih posamezniki, na katere se nanašajo, prostovoljno razkrili ali dali privolitev, uporablja tudi za namene organiziranja uradnih srečanj, izobraževanj, usposabljanj in dogodkov (93. člen). Določena je tudi obdelava osebnih podatkov iz uradnega identifikacijskega dokumenta, in sicer lahko upravljavec, obdelovalec ali uporabnik za namen identifikacije posameznika ali za namen zagotavljanja točnosti in posodobljenosti osebnih podatkov vpogleda v njegove uradne identifikacijske dokumente (npr. osebna izkaznica, potni list, vozniško dovoljenje) ter lahko za namen identifikacije osebne podatke tudi prepiše, kopira ali jih drugače obdela (94. člen).
V III. delu zakona so kazenske določbe, v okviru katerih je predvideno, da se upravne globe po določbah splošne uredbe obravnavajo kot prekrški. Kot prekrškovni organ je določen Informacijski pooblaščenec, ki odloča tudi o prekrških v posebnem delu zakona (npr. prekrški glede videonadzora, biometrije itd.). Določen je tudi način ocenjevanja višine glob (upošteva se načelo sorazmernosti: globa ne sme biti nesorazmerno breme ali neprimerljivo breme – 114. člen ZVOP-2).
Z uveljavitvijo novega zakona 26. januarja bo prenehal veljati do sedaj veljaven Zakon o varstvu podatkov (ZVOP-1).
Pripravila: mag. Jasmina Potrč
Članki izražajo stališča avtorjev, in ne nujno organizacij, v katerih so zaposleni, ali uredništva portala IUS-INFO.
