Varstvo osebnih podatkov po novih pravilih

V Sloveniji je javnosti že na voljo osnutek Zakona o varstvu osebnih podatkov (ZVOP-2), ki je pripravljen kot del novega razvoja zagotavljanja varstva osebnih podatkov. Osnovna nova pravna akta Evropske unije sta Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) ter Direktiva (EU) 2016/680 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, in o prostem pretoku takih podatkov ter o razveljavitvi Okvirnega sklepa Sveta 2008/977/PNZ (Direktiva).

V Sloveniji je javnosti že na voljo osnutek Zakona o varstvu osebnih podatkov (ZVOP-2), ki je pripravljen kot del novega razvoja zagotavljanja varstva osebnih podatkov. Osnovna nova pravna akta Evropske unije sta Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) ter Direktiva (EU) 2016/680 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, in o prostem pretoku takih podatkov ter o razveljavitvi Okvirnega sklepa Sveta 2008/977/PNZ (Direktiva).

V skladu s pravili EU, se morajo določbe v Splošni uredbi o namenih obdelave osebnih podatkov (naknadna obdelava podatkov v druge namene, kot so bili prvotno zbrani) ter o pooblaščenih osebah implementirati v slovenskih zakonih, z ozirom na konkretne okoliščine stanja ali razvoja varstva osebnih podatkov v Sloveniji. Delno podobno je glede sprejete Direktive, kar se tiče sistema določitve namenov obdelav osebnih podatkov (naknadna obdelava podatkov v druge namene, kot so bili prvotno zbrani) in tudi njene določbe je možno v slovenskih zakonih izvesti glede na konkretne okoliščine stanja varstva osebnih podatkov v Sloveniji.

Cilj Zakona o varstvu osebnih podatkov (ZVOP-2), za katerega sicer v tem trenutku ni znano, kdaj bo sprejet in kdaj bo začel veljati, bo zagotoviti izvrševanje določb Splošne uredbe in Direktive v pravnem redu Republike Slovenije, tako da bi s sistemskega vidika bilo čim več vprašanj bilo urejeno ali rešeno v sistemskem zakonu s področja varstva osebnih podatkov in tako zagotovljeno uresničevanje osebne človekove pravice do varstva osebnih podatkov (38. člen Ustave Republike Slovenije).

Primerljiv zakonodajni pristop, kot je predlagan v osnutku ZVOP-2, sta do sedaj sprejeli tudi dve drugi primerljivi državi Evropske unije, namreč Zvezna republika Nemčija in Republika Avstrija (državi s primerljivim pravnim redom in ustavnopravnim oziroma ustavnosodnim razumevanjem pravice do varstva osebnih podatkov) v njunih novih zakonih o varstvu osebnih podatkov iz leta 2017, namreč dokaj širšo implementacijo določb Splošne uredbe v nacionalni zakonodaji, razširitev določb Splošne uredbe na določena vprašanja, ki jih ureja sicer Direktiva (zaradi pravne varnosti in enakosti), natančnejše ureditve namenov obdelave osebnih podatkov, ureditev posebnih določb Direktive v posebnem delu zakona ipd.

Osnutek ZVOP-2 sledi prenovljenemu izrazoslovju Splošne uredbe, npr. uporaba izrazov »zbirka« (do sedaj: zbirka osebnih podatkov), upravljavec (do sedaj: upravljavec zbirke osebnih podatkov), obdelovalec (do sedaj: pogodbeni obdelovalec). Določene pojasnjevalne ali povezovalne spremembe glede teh izrazov so še možne v določenih delih osnutka ZVOP-2, odvisno od nadaljnjega proučevanja in razprav. Prav tako utegne na dokončnejšo vsebino bodočega ZVOP-2 vplivati tudi dejstvo, da je predvidena objava popravkov uradne slovenske inačice besedil Splošne uredbe in Direktive konec leta 2017 ali v začetku leta 2018, kar velja tudi za večino drugih jezikovnih inačic Splošne uredbe in Direktive.

V osnutku ZVOP-2 je precej določb, ki urejajo določen del določb iz Splošne uredbe (konkretizacija zaradi pravne varnosti ali zaradi pravila podrobnega zakonskega urejanja – drugi odstavek 38. člena Ustave Republike Slovenije), vendar se v določenih delih tudi sklicujejo na neposredno (ali preostalo neposredno) uporabo določb Splošne uredbe.

Bistvene zakonodajne spremembe glede na dosedanji Zakon o varstvu osebnih podatkov iz leta 2004 (ZVOP-1) se nanašajo tako na splošne, kot na posebne določbe, kot tudi na področne ureditve. Tako so podrobneje določena načela zakonitosti, poštenosti in sorazmernosti, ki veljajo za vse dele osnutka ZVOP-2 ter tudi za področne ureditve v drugih zakonih v Republiki Sloveniji.

Na novo so razdelane definicije in obdelave v zvezi s posebnimi vrstami osebnih podatkov (do sedaj: občutljivi osebni podatki), vključno s pravnimi podlagami za obdelavo. Od posebnih vrst osebnih podatkov so sedaj ločene pravne podlage glede obdelave osebnih podatkov o kazenskih obsodbah ter o kaznovanjih za prekrške, vendar se pravila zavarovanja osebnih podatkov s področja posebnih vrst osebnih podatkov uporabljajo tudi za njih. Podrobneje so določeni drugi (do sedaj: naknadni) nameni obdelave osebnih podatkov, po predlagani ureditvi – v skladu s Splošno uredbo – so drugi (novi) nameni obdelave osebnih podatkov sedaj širši in je upoštevanje prvotnega namena zbiranja in obdelave osebnih podatkov nekoliko manj pomembno.

Določena je ureditev za osebe, ki znotraj upravljavcev ali obdelovalcev zagotavljajo varstvo osebnih podatkov, zlasti ko gre za tvegane ali množične obdelave osebnih podatkov, namreč pooblaščene osebe za varstvo osebnih podatkov. Ne uvaja se reguliran poklic, ampak neodvisne osebe znotraj upravljavca ali obdelovalca, ki naj preprečijo tveganja ali kršitve varstva osebnih podatkov.

Nadzorni organ za varstvo osebnih podatkov Republike Slovenije po določbah ZVOP-2 ostaja Informacijski pooblaščenec, kot je bil do sedaj po določbah ZVOP-1 in po Zakonu o informacijskem pooblaščencu. Ta organ ostaja pristojen za inšpekcijski nadzor glede varstva osebnih podatkov glede vseh obdelav osebnih podatkov v Republiki Sloveniji, razen tistih, kjer to preprečujejo ustavne določbe ali določbe Splošne uredbe ali primerljivi položaji – npr. neodvisno odločanje sodstva.

Ustrezne specifike in izjeme, tako glede namenov obdelav osebnih podatkov, obveščanja posameznikov o njihovih osebnih podatkih, so urejeni specifično, glede na določbe Direktive. V področnih ureditvah obdelav osebnih podatkov (poseben del ZVOP-2) so npr. delno prenovljeno razdelane določbe o videonadzoru (npr. uvedba videonadzora na javnih površinah) ter o biometriji.

Kazenske določbe določajo, da se upravne globe po določbah Splošne uredbe obravnavajo kot prekrški, da je prekrškovni organ Informacijski pooblaščenec ter da odloča tudi o prekrških v posebnem delu ZVOP-2 (npr. prekrški glede videonadzora, biometrije…). Zakon mora biti sprejet in objavljen v Uradnem listu Republike Slovenije ter uveljavljen pred 25. majem 2018, v uporabi pa mora biti od 25. maja 2018.

V zadnjem času je zelo pogosto zastavljeno vprašanje, katero podjetje mora imenovati pooblaščeno osebo (DPO) za varstvo osebnih podatkov glede na aktualne predpise. Pooblaščeno osebo za varstvo osebnih podatkov morajo imenovati tisti upravljavci ali obdelovalci osebnih podatkov v zasebnem sektorju, katerih temeljne dejavnosti zajemajo takšne obdelave osebnih podatkov, ki zaradi svoje narave, obsega oziroma namenov vključujejo redno, sistematično in obsežno spremljanje posameznikov, na katere se nanašajo osebni podatki, ali katerih temeljne dejavnosti zajemajo obsežne obdelave posebnih vrst osebnih podatkov ali osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški.