ZVOP-2 implementira Uredbo (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba) in Direktivo (EU) 2016/680 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, in o prostem pretoku takih podatkov ter o razveljavitvi Okvirnega sklepa Sveta 2008/977/PNZ (v nadaljevanju: Direktiva).
Cilj osnutka ZVOP-2 je, da se določbe Splošne uredbe in Direktive implementirajo v slovenski pravni red na način, da se čimveč vprašanj s področja varstva osebnih podatkov reši "na enem mestu". Tako bi se zagotovila višja raven pravne varnosti, saj bi se posamezniki lažje seznanili s človekovimi pravicami do varstva osebnih podatkov, če so le-te zajete v sistemskem zakonu.
Objavljen osnutek ZVOP-2 je zanimiv tudi z vidika, ker so v aktu uporabljene določene 'nove' zakonodajne tehnike, in sicer tehnika indikacije (sklica), pri kateri se osnutek v besedilu členov sklicuje na člene Splošne uredbe in Direktive (npr. tretji odstavek 5. člena), tehniko prepisa (npr. pojmi iz 10. člena so skoraj dobesedno prepisani iz Splošne uredbe), tehniko povzetka in tehniko združitve določb iz Splošne uredbe in Direktive.
V nadaljevanju so na kratko predstavljene bistvene novosti in spremembe predlaganega osnutka ZVOP-2.
1. V primerjavi z veljavnim ZVOP-1 je v osnutku ZVOP-2 dan večji poudarek načelom zakonitosti, poštenosti in sorazmernosti, kljub temu pa ta nova opredelitev še ne dosega standarda oziroma meril iz Splošne uredbe.
2. Novost v osnutku ZVOP-2 so tudi pogoji, ki se uporabljajo za privolitev otroka v zvezi z uporabo storitev informacijske družbe in obdelavo njegovih osebnih podatkov ali osebnih podatkov o njegovih bližnjih. Kot zakonita se šteje le privolitev otroka, ki je dopolnil 15 let (v osnutku ZVOP-2 je opcijsko določena meja tudi 14 let starosti). Splošna uredba pušča odločitev o mejni starosti otroka v pristojnosti posamezne države članice, pod predpostavko, da starost ni postavljena pod 13 let. ZVOP-2 torej v tem delu zasleduje okvir, ki je postavljen s Splošno uredbo. Za otroke pod postavljeno mejo pa se zahteva privolitev za obdelavo osebnih podatkov s strani staršev, rejnikov ali skrbnikov.
3. Aktualni ZVOP-1 določa, da se osebni podatki lahko shranjujejo le toliko časa, dokler je to potrebno za dosego namena, zaradi katerega so se zbirali ali nadalje obdelovali. Ne opredeljuje pa maksimalnega roka hrambe. Na drugi strani pa sedaj osnutek ZVOP-2 izrecno določa, da se lahko osebni podatki hranijo 5 let, če drug ali specialnejši predpis ne določa drugače.
4. V osnutku ZVOP-2 so v primerjavi z ZVOP-1 podrobneje opredeljena pravila glede obdelave osebnih podatkov za znanstvene raziskovalne, zgodovinske raziskovalne, statistične in arhivske namene.
5. Spremembe so tudi glede samega načina veljavne privolitve posameznika za obdelavo njegovih osebnih podatkov. V skladu z določili Splošne uredbe bo moral biti upravljavec zmožen dokazati, da je posameznik, na katerega se nanašajo osebni podatki, privolil v obdelavo svojih osebnih podatkov. Glede na novo razlago pojma privolitve posameznika, ki ne rabi biti izrecno pisna (lahko je podana ustno ali s pritrdilnim dejanjem), se pojavlja vprašanje dokazljivosti ustno podane izjave.
6. Nova je tudi izrecna opredelitev varstva svobode izražanja v zvezi s področjem varstva osebnih podatkov, pri čemer glede tega sam sestavljavec osnutka zakona izraža pomisleke v ustreznost sedanjega predloga.
7. Ne glede na velikost podjetja bodo po novem vsi subjekti, ob izpolnjevanju zakonskih kriterijev, vezanih predvsem na dejavnost podjetja, zavezani imenovati pooblaščeno osebo za varstvo osebnih podatkov (Data protection officer). Pri tem gre za osebo, ki bo upravljavcu ali obdelovalcu na neodvisen način pomagala pri zagotavljanju skladnosti obdelave osebnih podatkov z veljavno zakonodajo. Pooblaščena oseba za varstvo osebnih podatkov bo lahko nekdo znotraj subjekta ali zunanja oseba, kar bo glede na manjši obseg obdelave podatkov še posebej zanimivo za manjše subjekte.
8. Med drugim predlog ZVOP-2 uvaja dva nova instituta - kodekse ravnanj in certifikacijo. Ta dva instituta bosta za subjekte neobvezujoče narave.
Cilj Splošne uredbe (ki mu sledi tudi ZVOP-2) je, da je potrebno združenja ali druga telesa, ki predstavljajo vrste upravljavcev ali obdelovalcev (na primer različne zbornice, društva), spodbujati, da pripravijo kodekse ravnanja, saj s tem izkazujejo višji standard varovanja osebnih podatkov. S takimi kodeksi ravnanja bodo subjekti določili obveznosti upravljavcev in obdelovalcev ter ocenili tveganja za pravice in svoboščine posameznikov, ki bo verjetno izhajalo iz obdelave. Kodeks ravnanj bo moral biti predhodno potrjen s strani nadzornega organa.
Nov institut certificiranja pomeni ugotavljanje skladnosti dejanj obdelave osebnih podatkov s strani upravljavcev in obdelovalcev z merili iz določenega mehanizma certificiranja. O ugotovitvi takšne skladnosti se upravljavcu ali obdelovalcu izda certifikat. Pridobljen certifikat bo veljal za obdobje 3 let, po poteku tega obdobja se bo znova presojalo ali so zahtevani pogoji certifikacijskega mehanizma še vedno izpolnjeni. Predvideno je, da bo certificiranje izvajal nacionalni akreditacijski organ (Javni zavod Slovenska akreditacija) oz. od njega pooblaščen subjekt ali telo.
9. Nadzorni organ za varstvo osebnih podatkov Republike Slovenije še naprej ostaja Informacijski pooblaščenec kot samostojen in neodvisen državni organ. Informacijski pooblaščenec bo še vedno pristojen za izvajanje inšpekcijskih nadzorov nad vsemi obdelavami osebnih podatkov Republike Slovenije, razen glede obdelav osebnih podatkov izvršenih v okviru izvajanja neodvisnega sodniškega odločanja, opravljanja samostojne državnotožilske funkcije, odločanja Ustavnega sodišča Republike Slovenije, delovanja Varuha človekovih pravic ter obveščevalno-varnostne dejavnosti ali predkazenskega postopka. V osnutku ZVOP-2 je izrecno poudarjena tudi sodelovalna dolžnost Informacijskega pooblaščenca z drugimi organi (tako državnimi kot tudi organi EU in mednarodnimi organizacijami itd.), glede vseh vprašanj, ki so za varstvo osebnih podatkov pomembna.
10. Osnutek ZVOP-2 namenja posebno poglavje obdelavi osebnih podatkov za namene preprečevanja, preiskovanja, odkrivanja ali pregona zaradi kaznivih dejanj ali prekrškov, izvrševanja nalog in pooblastil policije, varnosti države, obrambe države ter izvrševanja kazenskih sankcij, s čimer se v slovenski pravni red prenašajo določbe Direktive. V to poglavje so nelogično umeščene določbe členov od 65 do vključno 79, ki urejajo splošna določila glede opredelitve upravljavca in obdelovalca, glede same pravne podlage za obdelavo osebnih podatkov v zasebnem in javnem sektorju, pravice posameznikov (pravica do pridobitve njegovih osebnih podatkov, do popravka ali izbrisa ter do omejitve obdelave osebnih podatkov), itd. ter prenos osebnih podatkov tretjim državam ali mednarodnim organizacijam.
11. Določene spremembe so tudi pri področnih ureditvah obdelav osebnih podatkov. Za razliko od Splošne uredbe, ki je tehnološka nevtralna, ZVOP-2 ureja področne obdelave osebnih podatkov z videonadzorom in biometrijskimi sredstvi. V interesu zagotavljanja varstva osebnih podatkov je tudi znižanje maksimalnega roka za hrambo posnetkov videonadzora, ki se lahko po osnutku ZVOP-2 hranijo največ 6 mesecev (ZVOP-1 določa 1 leto).
12. V Splošni uredbi so za kršitve določil uredbe predvidene globe v astronomski višini do 20 milijonov eurov oziroma celo višje, odvisno od višine skupnega svetovnega letnega prometa (predvsem za mednarodne korporacije). Osnutek ZVOP-2 tako visokih glob, ne predvideva. Če bodo kazenske določbe iz predloga ZVOP-2 sprejete, bodo zagrožene kazni za kršitve posameznih določb v predlogu ZVOP-2 (za prekrške v pristojnosti slovenskega nadzornega organa) celo nižje oz. zaokrožene navzdol v primerjavi z globami trenutno veljavnega ZVOP-1.
Zaradi nesistematičnosti obravnavanega osnutka ZVOP-2 ter zaradi uporabe večjega števila različnih zakonodajnih tehnik, se zdi, da sam osnutek ne dosega lastnega cilja. ZVOP-2 v tej obliki namreč posamezniku ali upravljavcu/obdelovalcu ne poenostavlja seznanitve z njegovimi pravicami in obveznosti, saj z ZVOP-2 ni mogoče dobiti vseh informacij 'na enem mestu'. Vprašanje, ki se ob tem poraja, je, ali je s tem dosežena zadostna stopnja pravne varnosti tega predpisa.
Osnutek predloga ZVOP-2 je javno objavljen na spletni strani Ministrstva za pravosodje. Do 13.11.2017 bo mogoče na predlog zakona podati komentarje.
Pripravili: Maja Brajnik, dipl. prav. (UN) in Zlatka Markovič, univ. dipl. prav.
Kadrovska asistenca, Kadrovske storitve d.o.o.
Članki izražajo stališča avtorjev, in ne nujno organizacij, v katerih so zaposleni, ali uredništva portala EDUS.
