Novi Zakon o varstvu osebnih podatkov (ZVOP-2)

ZVOP-2 je bil objavljen v Uradnem listu Republike Slovenije dne 27.12.2022, veljati pa je začel z dnem 26. 1. 2023.

ZVOP-2 v našo zakonodajo prenaša določbe Splošne uredbe o varstvu osebnih podatkov EU (Splošna uredba), ki so se že do sedaj neposredno uporabljale, in ki v velikem delu nadomeščajo določbe do sedaj veljavnega slovenskega področnega zakona, Zakona o varstvu osebnih podatkov (ZVOP-1).

Poleg tega je ZVOP-2 določil še nekatera področja, ki s Splošno uredbo niso bila urejena in jih je Evropska unija prepustila v urejanje državam članicam, kot so npr. pogoji za preverjanje privolitev mladoletnih oseb, pogoji za obdelavo osebnih podatkov umrlih, razpon kazni, itd.

Upoštevati pa je treba, da kljub sprejetju novega zakona veljata tako Splošna uredba kot ZVOP-2, zato je tudi določbe na novo sprejetega zakona treba brati v luči Splošne uredbe.

 

Kljub dejstvu, da ZVOP-2 v celoti ne ureja na novo področja varstva osebnih podatkov, prinaša nekaj novosti:

  • ZVOP-2 deli pravne podlage obdelave osebnih podatkov na javni in zasebni sektor, pri čemer so določbe popolnoma ločene in opredeljene v različnih členih. Vsebuje tudi definicije javnega in zasebnega sektorja, pri čemer javni sektor definira zelo široko.
  • ZVOP-2 ukinja Register zbirk osebnih podatkov in dolžnosti notifikacije le-teh Informacijskemu pooblaščencu, kot je to določal ZVOP-1. Register po novem nadomešča Evidenca dejavnosti obdelav za upravljavce in obdelovalce osebnih podatkov, ki pa jih hrani upravljalec. Evidence dejavnosti in kaj morajo vsebovati evidence, določa Splošna uredba, iz tega pa izhaja, da je evidenca še najbolj podobna tistemu, kar smo že do sedaj poznali kot katalog zbirk osebnih podatkov.
  • ZVOP-2 določa, da upravljavci vodijo dnevnik obdelave, kadar se v avtomatiziranih sistemih obdelave osebnih podatkov izvajajo obsežne obdelave posebnih vrst osebnih podatkov. Zakon ne opredeljuje kaj je "obsežna obdelava", Splošna uredba pa v 9. členu določa le kaj so "posebne vrste osebnih podatkov". Obenem je potrebno omeniti, da je dnevnik obdelav le zapis, pogosto avtomatiziran, iz katerega je razvidno, da so se podatki obdelovali, kdaj so se obdelovali, kdo jih je obdeloval, kateri podatki so se obdelovali ter komu so bili posredovani (uporabnik). Gre za revizijsko sled, ki omogoča kasnejšo analizo v primeru ugotavljanja zakonitosti obdelave, nenazadnje pa tudi zagotavljanje celovitosti in varnosti podatkov ter za odpravljanje napak v delovanju informacijskega sistema
  • ZVOP-2 prinaša pomembno novost na področju varnosti osebnih podatkov pri posebnih obdelavah osebnih podatkov. Za informacijske sisteme, v katerih (1) se izvajajo obdelave osebnih podatkov, določenih v zakonih, ki urejajo področja upravnih notranjih zadev, finančne uprave, državljanstva, Slovenske obveščevalno-varnostne agencije, obrambe, zdravstvenega varstva, obveznega zdravstvenega zavarovanja, uveljavljanja pravic iz javnih sredstev ter kazenskih in prekrškovnih evidenc, ali (2) se obdelujejo osebni podatki več kot 100.000 posameznikov na podlagi zakona, razen obdelav osebnih podatkov pri videonadzoru, ali (3) upravljavec ali obdelovalec kot svojo temeljno dejavnost izvaja obsežne obdelave posebnih vrst osebnih podatkov, ali (4) se obdeluje posebne vrste osebnih podatkov več kot 10.000 posameznikov, ZVOP-2 določa, da se sistemsko onemogoča uničenje, nezakonite spremembe osebnih podatkov ali razkritje nepooblaščenim osebam ali drugim subjektom, ki za dostop do njih ali za njihovo obdelavo nimajo pravne podlage ter s tem stalno preprečuje hudo škodo varnosti in interesom Republike Slovenije. Nadalje ZVOP-2 prepoveduje  obdelavo podatkov pod točko (1) hranjene izven ozemlja Republike Slovenije.
  • ZVOP-2 na novo uvaja povezovanje zbirk osebnih podatkov iz javnega sektorja. Kadar se posebne vrste osebnih podatkov, osebni podatki v zvezi s kazenskimi obsodbami in prekrški, podatki o dohodkih v skladu z zakonom, ki ureja dohodnino, podatki o premoženju posameznika v skladu z zakonom, ki ureja uveljavljanje pravic iz javnih sredstev, podatki o nepremičninah v lasti posameznika v skladu z drugimi zakoni, podatki oziroma informacije o kreditni sposobnosti v skladu z zakonom, ki ureja centralni kreditni register, ter uradne evidence v skladu z zakonom, ki ureja naloge in pooblastila policije, in zakonom, ki ureja preprečevanje pranja denarja in financiranja terorizma, obdelujejo v uradnih evidencah ali javnih knjigah, se jih lahko povezuje med seboj ali z drugimi zbirkami samo, če taka povezovanja izrecno določa zakon. Pred začetkom povezovanja zbirk mora upravljavec oziroma obdelovalec izdelati oceno učinka (t.i. DIPA), prav tako pa se je dolžan posvetovati z nadzornim organom.
  • ZVOP-2 glede pooblaščenih oseb za varstvo osebnih podatkov določa, da jih lahko upravljavci ali obdelovalci določijo tudi prostovoljno, čeprav ne izpolnjujejo pogojev po Splošni uredbi. Več upravljavcev oziroma obdelovalcev lahko ob upoštevanju svoje organizacijske strukture, velikosti ali raznovrstnosti obdelav osebnih podatkov samostojno določi skupno pooblaščeno osebo in njenega namestnika (odvetniki, notarji, reprezentativna zveza ali konfederacija sindikatov).Naloge pooblaščene osebe ZVOP-2 povzema po Splošni uredbi, hkrati pa dodaja, da pooblaščena oseba tudi svetuje pri ocenjevanju tveganj glede varnosti osebnih podatkov v zvezi z vsemi obdelavami osebnih podatkov v zbirkah, ki jih izvaja upravljavec oziroma obdelovalec, pri katerem je določena.
  • Pomembne novosti uvaja ZVOP-2 tudi na področju videonadzora. Zakon predvideva, da je posameznik o videonadzoru ustrezno obveščen le, če tovrstno obvestilo prebere preden se sam videonadzor izvede. Določa tudi novo vsebino opozorilnih tabel. Nadalje, videonadzor je na javnih površinah po zakonu dovoljen le, kadar je to potrebno zaradi obstoja resne in utemeljene nevarnosti za življenje, osebno svobodo, telo ali zdravje ljudi, varnost premoženja, varovanje tajnih podatkov, varovanja varovanih oseb, in varovanja prostorov, zgradb ali območij. Vpogled, uporaba ali posredovanje posnetkov so dopustni le za te namene. Glede  videonadzora v delovnih prostorih pa zakon določa omejitve, in sicer je videonadzor dovoljen le, kadar je to nujno potrebno za varnost ljudi in/ali premoženja, varovanje poslovnih skrivnosti, ugotavljanje kršitev pri igrah na srečo in namena ni mogoče doseči z milejšimi ukrepi.
  • Nove so tudi določbe glede obdelave kontaktnih podatkov. Za namene organiziranja uradnih srečanj, izobraževanj, ipd., dajanja izjav za javnost, razen izvajanja neposrednega trženja, je dovoljena uporaba kontaktnih podatkov posameznikov iz javno dostopnih virov ali v okviru izvrševanja javnih nalog, če so ji jih posamezniki prostovoljno razkrili ali dali privolitev. Določen je posebej tudi nabor takih podatkov in obseg obdelave.
  • Glede prenosa podatkov v tretje države ZVOP-2 napotuje na določbe in omejitve Splošne uredbe,  z razveljavitvijo ZVOP-1 se namreč razveljavi seznam tretjih držav, ki jih je določal ZVOP-1 in ustrezni pravilnik
  • Pomembna novost je tudi na področju biometrije, za katero lahko rečemo, da prinaša nekatere olajšave. Določbe ZVOP-2 na področju biometrije so ločene na javni in zasebni sektor, zakon pa predvideva, da se osebni podatki ne smejo shranjevati na napravi, ki identificira posameznika in da se lahko biometrija uporablja le izključno z zakonom, saj je to nujno predvsem zaradi varstva ljudi ter premoženja.
  • ZVOP-2 določa, da osebe javnega ali zasebnega sektorja lahko za zagotavljanje varnosti ljudi in premoženja, varovanja tajnih podatkov ter reda v njenih poslovnih prostorih, od posameznika, ki namerava vstopiti ali izstopiti iz tega prostora, zahteva navedbo vseh ali nekaterih osebnih podatkov. Obdobje hrambe pa se skrajšuje iz 3 let na 2 leti od konca koledarskega leta po vnosu osebnih podatkov v zbirko.  
  • Pomembna novost je, da ZVOP-2 na novo določa mejo za privolitev v obdelavo osebnih podatkov mladoletnih oseb, ki jo postavlja na 15 let, pri čemer morajo mlajši za veljavno privolitev v obdelovanje osebnih podatkov imeti odobritev staršev oziroma skrbnikov. Privolitev mladoletnih oseb pa tudi ne sme biti pogojena s pretiranimi pogoji s strani upravljavec tako da bi otrok moral posredovati več osebnih podatkov, kot je potrebno za namen opravljanja takšne dejavnosti.
  • ZVOP-2 na novo določa, da ima posameznik možnost tožbe proti upravljavcu, brez predhodne uporabe drugih pravnih sredstev, ki jih določa zakon, ter možnost zahtevati prenehanje kršitve , vzpostavitev zakonitega stanja in povrnitev škode. Če je kršitev prenehala, lahko posameznik s tožbo zahteva ugotovitev, da je kršitev obstajala. O zahtevku odloča upravno sodišče po Zakonu o upravnem sporu, posameznik lahko v tožbo vključi tudi odškodninski zahtevek. Javnost pa je zaradi varovanja osebnih podatkov praviloma izključena.  
  • Informacijski pooblaščenec, kot inšpekcijski in prekrškovni organ, ki je do sedaj le opozarjal na nepravilnosti, je z ZVOP-2 prejel pooblastila in odgovornost, da za kršitve Splošne uredbe in ZVOP-2 izreka tudi globe za prekrške.
  • ZVOP-2 v slovenski pravni red prenaša globe za kršitve, ki jih predpisuje Splošna uredba. Dodatno pa določa za kršitve Splošne uredbe prekrške za odgovorne osebe pravne osebe in posameznike.  Prav tako pa ZVOP-2 za kršitve določil zakona določa razpon glob za različne prekrške. Globe za kršitve določb ZVOP-2 segajo od nekaj sto pa do 40.000 evrov, odvisno od velikosti kršiteljev.

Za nadaljnja vprašanja in pomoč na tem področju se lahko obrnete na PwC-jev pravni oddelek:

mag. Sanja Savič

Direktorica v oddelku za pravne storitve, Ljubljana, PwC Slovenia

Email

mag. Maja Malešević

Vodja projektov v oddelku pravnega svetovanja, PwC Slovenia

Email

Pridružite se nam na