Predlog novega zakona o varstvu osebnih podatkov

Uredba namreč vsem državljanom EU zagotavlja večjo preglednost in nadzor nad tem, kdo upravlja z našimi podatki in kateri pravzaprav sploh so ti zaščiteni osebni podatki.

Najpomembnejše novosti so sicer boljši nadzor nad osebnimi podatki, lažji dostop ter strožja ureditev dolžnosti obveščanja posameznika o obdelavi njegovih osebnih podatkov, pravica posameznika do pozabe oziroma izbrisa in pravica do prenosljivosti podatkov, informirana privolitev posameznika in pravica do delne omejitve obdelave osebnih podatkov, obvezno obvestilo o vdoru v zbirke osebnih podatkov v roku 72 ur, ipd.

Uredba je sicer zavezujoča uredba EU in kot taka nad nacionalnimi zakoni ter se neposredno uporablja v vseh državah članicah EU. V uporabo je stopila 25. maja 2018 in s tem nasledila obstoječi Zakon o varstvu osebnih podatkov (ZVOP-1). Rok za prenos določb Uredbe v nacionalno zakonodajo je bil sicer dve leti, tako, da je bila Slovenija s prenosom določb Uredbe v novi zakon o varstvu osebnih podatkov že v zamudi.  

Cilji in načela predloga zakona o varstvu osebnih podatkov (ZVOP-2)

Ministrstvo za pravosodje trenutno usklajuje besedilo predloga novega Zakona o varstvu osebnih podatkov (ZVOP-2).

Predlog ohranja visoke standarde varstva osebnih podatkov v RS in dopolnjuje Uredbo v delu, kjer ta urejanje prepušča državam članicam EU ter ureja postopek na prvi stopnji pred zavezanci za varstvo osebnih podatkov, pritožbene ter nadzorne postopke pred informacijskim pooblaščencem in določa prekrške za kršitve, ki niso zajeti že v Uredbi. Poleg tega omogoča prekrškovno kaznovanje za kršitve iz Uredbe in določa področne ureditve, kot sta videonadzor in biometrija.

Kot sem omenil že zgoraj, razlogi za sprejem ZVOP-2 ležijo zlasti v Uredbi, pa tudi v  prenovljeni Konvenciji Sveta Evrope, ki narekuje spremembe slovenske zakonodaje na tem področju.  

Cilji predloga ZVOP-2 so sicer zagotovitev izvrševanja določb Uredbe, tako da se v mejah pooblastitvenih klavzul iz te Uredbe določi nacionalne posebnosti ureditve varstva osebnih podatkov, ter ohranitev dosedanje visoke ravni varstva osebnih podatkov v RS in uresničevanje osebne človekove pravice do varstva osebnih podatkov[1] ter zagotovitev učinkovitega nadzora glede varstva osebnih podatkov, pa tudi zagotovitev učinkovitega prekrškovnega kaznovanja glede kršitev varstva osebnih podatkov.

V predlogu ZVOP-2 je uporabljena kombinacija več zakonodajnih tehnik in sicer tehnika indikacije (sklica), npr. na pravne podlage iz Splošne uredbe, tehnika določanja posebnosti – pri pooblastilnih klavzulah, tehnika razčlenitve – npr. postopka z zahtevki posameznika in tehnika uporabe določb drugega predpisa. Ta kombinacija je bila izbrana s ciljem, da se zagotovi spoštovanje pravne varnosti zaradi učinkovitega uresničevanja osebne človekove pravice do varstva osebnih podatkov.

Temeljna načela predloga ZVOP-2 so sicer: načelo spoštovanja osebnosti in pravic človeka, načelo zakonitosti, načelo stroge sorazmernosti, načelo namenske obdelave osebnih podatkov in delno relevantno načelo »prepovedano vse, kar ni izrecno dovoljeno«.

Poglavitne zakonodajne spremembe glede na trenutno veljavni ZVOP-1

Poglavitne zakonodajne spremembe glede na trenutni ZVOP-1 se nanašajo tako na splošne, kot tudi na posebne in področne ureditve.

Kar zadeva splošne ureditve so drugače, sicer v skladu z Uredbo, določena že prej omenjena načela in sicer načelo zakonitosti, poštenosti in sorazmernosti, ki veljajo za vse dele predloga zakona ter tudi za področne ureditve v drugih zakonih v RS.

Kar zadeva posebne ureditve, pa so na novo razdelane obdelave v zvezi s posebnimi vrstami osebnih podatkov (občutljivi osebni podatki), vključno s pravnimi podlagami za obdelavo. Od posebnih vrst osebnih podatkov pa so sedaj ločene pravne podlage glede obdelave osebnih podatkov o kazenskih obsodbah ter o kaznovanjih za prekrške, vendar se pravila varnosti osebnih podatkov s področja posebnih vrst osebnih podatkov uporabljajo tudi za njih.

Določena je tudi nova ureditev glede drugih (naknadnih) namenov obdelave osebnih podatkov, po predlagani ureditvi. V skladu z Uredbo so drugi (novi) nameni obdelave osebnih podatkov sedaj širši in je upoštevanje prvotnega namena zbiranja in obdelave osebnih podatkov nekoliko manj pomembno.

Za namene izkazovanja skladnosti obdelave osebnih podatkov (zakonitosti, poštenosti, sorazmernosti), sta kot obveznost za upravljavce in obdelovalce poleg izvedbe ocene učinka, na novo določena tudi izvajanje ukrepa notranje sledljivosti posredovanj osebnih podatkov[2]  ter ukrepa zunanje sledljivosti obdelav osebnih podatkov[3].

Določena je nova ureditev za osebe, ki znotraj upravljavcev ali obdelovalcev zagotavljajo varstvo osebnih podatkov, zlasti ko gre za tvegane ali množične obdelave osebnih podatkov – gre za pooblaščene osebe za varstvo osebnih podatkov. Ne uvaja se reguliran poklic, ampak se omogoča neodvisna določitev oseb, ki naj znotraj organizacije upravljavca ali obdelovalca na neodvisni način preprečijo tveganja ali kršitve varstva osebnih podatkov.

Podrobneje je urejen tudi postopek uveljavljanja pravic posameznikov, na katere se nanašajo osebni podatki, tudi z delno uporabo določb Zakona o splošnem upravnem postopku, kadar gre za državne organe.

Pomembna novost je, da ima po predlogu ZVOP-2 posameznik, na katerega se nanašajo osebni podatki in ki meni, da so njegove pravice varstva osebnih podatkov kršene, tudi možnost vložitve neposredne zahteve pri Informacijskemu pooblaščencu (poimenovana kot prijava) in je v tem postopku vlagatelj zahteve (poimenovan kot prijavitelj s posebnim položajem) in nastopa kot stranka, s subsidiarno uporabo določb, zlasti Zakona o splošnem upravnem postopku ter določb ZVOP-2 (nadzorna pooblastila in nadzorni ukrepi).

Informacijski pooblaščenec lahko vodi nadzorne postopke tudi v javnem interesu (po uradni dolžnosti), ki jih uvede ali na lastno pobudo, na podlagi prijave katerekoli fizične ali pravne osebe ali na pobudo drugih organov, kar je klasični postopek inšpekcijskega nadzora po določbah Zakona o inšpekcijskem nadzoru. Prijavitelj je torej lahko kdorkoli. Če je to posameznik, na katerega se osebi podatki nanašajo, potem izvršuje svoje pravice posredno - zadoščeno mu bo preko ukrepanja nadzornega organa v javnem interesu, ne pa osebno.

Pomembna novost je, da lahko posameznik vloži tudi samostojno tožbo (brez predhodne uporabe drugih pravnih sredstev) na Upravno sodišče RS, glede obdelave osebnih podatkov pri upravljavcu, in sicer glede sedanjih ali preteklih kršitev njegovih pravic s področja varstva osebnih podatkov (samostojno sodno varstvo), tožena stranka je upravljavec, odločanje pa poteka s smiselno uporabo določb Zakona o upravnem sporu, glede postopka v zvezi s kršitvami človekovih pravic in temeljnih svoboščin. V tem tožbenem zahtevku je možno zahtevati tudi povrnitev škode.

Področne ureditve

Kar zadeva področne ureditve obdelav osebnih podatkov (ki jih najdemo v drugem delu predloga zakona) so delno prenovljeno razdelane določbe o videonadzoru (npr. uvedba videonadzora na javnih površinah) in biometriji. Kazenske določbe, ki jih najdemo v III. delu predloga zakona pa določajo, da se upravne globe po določbah Uredbe obravnavajo kot prekrški ter, da je prekrškovni organ Informacijski pooblaščenec, ki odloča tudi o prekrških v posebnem delu predloga zakona (npr. prekrški glede videonadzora, biometrije, ipd.).

Določen je tudi način ocenjevanja višine glob, ki naj se izrečejo za kršitve določb Uredbe  (glede na konkretne okoliščine, načelo sorazmernosti).

Spremenjeno izrazoslovje

Glede na drugačne definicije iz Uredbe so bile izvedene tudi precejšnje spremembe dosedanjega tradicionalnega izrazoslovja s področja varstva osebnih podatkov in tako so sedanji novi temeljni izrazi varstva osebnih podatkov zlasti: zbirka (doslej zbirka osebnih podatkov), varnost osebnih podatkov (doslej zavarovanje osebnih podatkov), upravljavec (doslej upravljavec osebnih podatkov), obdelovalec (doslej pogodbeni obdelovalec), posebne vrste osebnih podatkov (doslej občutljivi osebni podatki), prenos osebnih podatkov (doslej iznos osebnih podatkov v tretje države).

Sklep

Kot sem omenil že zgoraj, je bilo čim prejšnje sprejetje novega zakona o varstvu osebnih podatkov tako rekoč nujno že zaradi zahtev Uredbe glede implementacije njenih določil. Poleg tega pa je (za zdaj še veljavni) ZVOP-1 že »kar v letih«, saj velja že od leta 2007, od takrat pa se je na področju varstva osebnih podatkov spremenilo marsikaj – ne zgolj tehnologija, ampak tudi družbena klima, ki daje nam posameznikom več pravic v povezavi z varovanjem naše zasebnosti, kar je narekovalo tudi sprejem nekaterih specifičnih mehanizmov, ki nam omogočajo učinkovito varovanje teh pravic (denimo pravica, da intenzivneje vplivamo na to, kaj se dogaja z našimi osebnimi podatki, da smo obveščeni v primeru vdora v baze osebnih podatkov, ipd.).   


Pripravil: mag. Boštjan J. Turk 

---