Državni zbor je na seji dne 15.12.2022 sprejel nov Zakon o varstvu osebnih podatkov (ZVOP-2). Predlog novele zakona se je pripravljal kar nekaj časa, saj je imel zakonodajalec pred seboj težko nalogo. Pravica do zasebnosti je ena izmed temeljnih človekovih pravic, ki sodi v najvišji rang pravic, ki varujejo dobrine človeka kot posameznika. Del pravice do zasebnosti je tudi varstvo osebnih podatkov, ki je prav tako zagotovljeno kot človekova pravica z Ustavo (38. člen URS). Ta pravica pa brez ustrezno zagotovljenega varstva v današnji dobi informacijsko-komunikacijske tehnologije in tehnološkega napredka hitro ostane brez pomena.
Hiter tehnološki razvoj in globalizacija sta prinesla bistveno povečanje v količini in kakovosti obdelave osebnih podatkov. Posamezniki vsakodnevno izmenjujejo in dajejo na razpolago informacije o sebi in svoje osebne podatke objavljajo na spletnih omrežjih. Tehnologija pa različnim korporacijam in javnim organom omogoča, da te osebne podatke uporabijo za dosego svojih ciljev, vsled česar so se povečale razne zlorabe, kot so kraja osebnih podatkov, neupravičeno razkrivanje in profiliranje posameznikov.
Do sedaj veljavni ZVOP-1 je bil sprejel že v letu 2004. Od takrat do danes ni doživel večjih sprememb, zato je bila reforma nujno potrebna.
1. Temeljna načela ZVOP-2
ZVOP-2 je izrecno uredil in zapisal temeljna načela, na podlagi katerih se lahko zbirajo, obdelujejo in upravljajo osebni podatki. Najpomembnejše izmed njih je načelo zakonitosti, ki določa, da se lahko osebni podatki zbirajo, obdelujejo in upravljajo izključno z zakonskimi predpisi. Obdelava osebnih podatkov ne sme biti primarno določena s predpisom, ki je hierarhično nižji od zakona (npr. pravilnikom ali drugim podzakonskim predpisom). Na to je že večkrat opozorilo Ustavno sodišče v svojih odločbah, kjer je izrecno izpostavilo , da to ni skladno z določbo drugega odstavka 38. člena Ustave.[1]
Naslednje načelo je načelo pravičnosti in preglednosti, ki določa, da morajo biti osebni podatki v zvezi s posameznikom, na katerega se nanašajo pregledni in pošteni. Načelo omejitve namena določa zbiranje, obdelavo in uporabo osebnih podatkov za izrecne in zakonite namene, kar pomeni, da se podatki ne smejo obdelovati za druge namene za katere niso bili pridobljeni.
Načelo najmanjšega obsega podatkov omejuje vse organizacije pri zbiranju osebnih podatkov na način, da se lahko zbirajo le podatki, ki so potrebni za dosego cilja. Podatke je potrebno uporabljati z najmanjšo intenziteto občutljivosti, slednje pa lahko uporablja le za to pooblaščena oseba v podjetju.
Načelo točnosti pomeni obveznost preverjanja in rednega posodabljanja podatkov. Načelo omejitve shranjevanja pa določa, da so osebni podatki lahko shranjeni le toliko časa, kot je to potrebno za namen obdelave. Celovitost in zaupnost se osredotoča na ustrezno zaščito obdelovanja osebnih podatkov. Načelo odgovornosti pa od upravljavca zahteva skladnost ravnanja z vsemi temeljnimi načeli.
2. Pravne podlage za obdelavo osebnih podatkov
Na novo so določena temeljna načela za zakonito obdelavo osebnih podatkov. ZVOP-2 določa pravne podlage, ki omogočajo zbiranje in obdelavo osebnih podatkov. Tako se lahko osebni podatki obdelujejo, kadar je obdelava osebnih podatkov potrebna za izpolnjevanje zakonskih obveznosti upravljavca (kot je npr. izdaja računa za kupljeno blago), kot tudi kadar za obdelavo osebnih podatkov obstaja zakoniti interes, ki temelji na namenu obdelave osebnih podatkov in ki ga upravljavec poskuša uresničiti. Če pa nad zakonitim interesom prevladajo interesi oziroma temeljne pravice posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo, se podatki na tej podlagi ne smejo pridobivati. Zato mora upravljavec, kadar mu podlago za obdelovanje osebnih podatkov predstavlja t. i. zakoniti interes, vedno najprej opraviti oceno skladnosti s Splošno uredbo o varstvu podatkov.
Nadalje je osebne podatke možno obdelovali na t. i. pogodbeni podlagi, do česar pride v primeru, kadar z upravljavcem sklenete pogodbo in so podatki potrebni za izvajanje sklenjene pogodbe.
Obdelava osebnih podatkov je možna tudi na podlagi privolitve posameznika, pri čemer mora imeti posameznik vedno možnost, da lahko svojo privolitev kadarkoli prekliče, o tem pa mora biti predhodno obveščen.
Novo je tudi to, da so pravne podlage, ki omogočajo obdelovanje osebnih podatkov urejene v istem členu tako za javni kot za zasebni sektor.
3. Vsebina predpisa, ki omogoča obdelovanje osebnih podatkov
ZVOP-2 izrecno določa, najmanj kaj mora vsebovati področni zakon s področja osebnih podatkov za uporabo v javnem in zasebnem sektorju. Že zakon mora določiti, da se osebni podatki sploh lahko obdelujejo v posameznem sektorju, nadalje mora določati vrste osebnih podatkov, ki naj se obdelujejo, kategorije posameznikov, na katere se ti osebni podatki nanašajo, namen njihove obdelave in rok hrambe. V kolikor z zakonom vse to ne bo urejeno, obdelava osebnih podatkov, ki bo temeljila na takem zakonu, ne bo zakonita.
Po novem lahko celotni javni sektor (in ne samo nosilci javnih pooblastil, kot je bilo to določeno do sedaj) obdelujejo osebne podatke tudi zgolj na podlagi privolitve posameznika, vendar pod predpostavko, da je posameznik privolitev izrecno podal in da je bil poučen o možnosti, da jo lahko kadarkoli prekliče.
Določeni osebni podatki se lahko izjemoma obdelujejo neposredno na podlagi ZVOP-2, če jih lahko umestimo pod naslednjo kategorijo. Gre za t.i. druge osebne podatke (ki niso določeni v drugem področnem zakonu) so pa potrebni za izvrševanje zakonitih pristojnosti, nalog ali obveznosti javnega sektorja in s to obdelavo ni poseženo v upravičen interes posameznika, na katerega se osebni podatki nanašajo. V praksi bi to pomenilo npr. kontaktiranje posameznika preko telefona za izvedbo določene storitve javnega sektorja.
4. Pooblaščenec za varstvo osebnih podatkov
Določene kategorije obdelovalcev osebnih podatkov morajo po ZVOP-2 imenovati t. i. pooblaščenca za varstvo osebnih podatkov. Kriterije, ki določajo, kdo so takšne organizacije določata tako ZVOP-2 in GDPR.
Po 37. členu GDPR so to javni organi in telesa, podjetja, katerih temeljna dejavnost zajema dejanja obdelave, pri katerih je treba zaradi njihove narave, obsega in/ali namenov posameznike redno in sistematično obsežno spremljati. Sem sodijo npr. banke, zavarovalnice, operaterji elektronskih komunikacij, trgovci s klubi zvestobe. Prav tako bi sem sodile kadrovske agencije, številne spletne trgovine in IT podjetja, ki vzdržujejo rešitve za obdelavo osebnih podatkov posameznikov npr. sistemi za upravljanje podatkov kupcev in njihovo profiliranje (upravljanje odnosov s strankami), zdravstveni IT sistemi. Proizvodna podjetja in druga podjetja, katerih temeljne storitve niso namenjene posameznikom, temveč drugim podjetjem in ki ne vključujejo obsežne obdelave osebnih podatkov, niso dolžna imenovati pooblaščene osebe. Kot izhaja iz pojasnila Informacijskega pooblaščenca pa tudi podjetja in institucije, ki izvajajo obsežno obdelavo zdravstvenih in drugih občutljivih podatkov, ki sodijo med t. i. posebne vrste podatkov, npr. bolnišnice in klinike, zdravstveni in socialno-varstveni zavodi, ponudniki zdravstvenih informacijskih sistemov in storitev.
Posamezen zasebni zdravnik, zobozdravnik ali odvetnik ni dolžan imenovati pooblaščene osebe.
Po določbi 45. člena ZVOP-2 morajo pooblaščenca za varstvo osebnih podatkov imenovati tudi informacijski sistemi, v katerih se izvajajo obdelave osebnih podatkov, določenih v zakonih, ki urejajo področja upravnih notranjih zadev, finančne uprave, državljanstva, Slovenske obveščevalno varnostne agencije, obrambe, zdravstvenega varstva, obveznega zdravstvenega zavarovanja, uveljavljanja pravic iz javnih sredstev ter kazenskih in prekrškovnih evidenc. Gre torej za informacijske sisteme, ki osebne podatke pridobivajo in obdelujejo za interese države.
Seveda pa lahko tudi drugi upravljalci ali obdelovalci prostovoljno določijo pooblaščeno osebo.
Kontaktni podatki pooblaščene osebe morajo biti javno dostopni vsem, da se lahko posameznik s svojimi vprašanji obrne neposredno na to osebo, zato jih mora obdelovalec objaviti na primeren način, zlasti na spletnih straneh.
5. Vodenje dnevnikov obdelav oziroma evidence
ZVOP-2 vsebuje tudi dodatne zahteve glede varnosti podatkov, zato morajo določeni upravljalci voditi dnevnik obdelave osebnih podatkov. To so upravljavci, ki v avtomatiziranih sistemih obdelave osebnih podatkov izvajajo obsežne obdelave posebnih vrst osebnih podatkov, kadar gre za redno in sistematično spremljanje posameznikov, kadar je z oceno učinka ugotovljeno tveganje, ki ga je mogoče učinkovito upravljati z vodenjem dnevnika obdelave in kadar tako določa zakon. Na spletnih straneh Informacijskega pooblaščenca je dostopen vzorec Evidence o dejavnosti obdelave osebnih podatkov, ki je lahko v pomoč pri oblikovanju lastnega dnevnika, ki mora biti prilagojen specifičnim lastnostim upravljavca. Zadostuje, da je evidenca vodena elektronsko in da zajema le osnovne podatke.
6. Videonadzor po ZVOP-2
Na področju videonadzora ZVOP-2 uveljavlja pomembno spremembo o vsebini obvestila o videonadzoru. ZVOP-2 predvideva, da je posameznik o videonadzoru ustrezno obveščen le če obvestilo o izvajanju videonadzora prebere, še preden se sam videonadzor izvede. Na novo je urejen tudi način izvajanja videonadzora na javnih površinah. Ta je dovoljen le, kadar je to potrebno zaradi obstoja resne in utemeljene nevarnosti za življenje, osebno svobodo, telo ali zdravje ljudi, varnost premoženja upravljavca ali varovanje tajnih podatkov upravljavca ali obdelovalca v prenosu in teh namenov ni mogoče doseči z drugimi sredstvi. Videonadzor na javnih površinah je dovoljen tudi za namene varovanja varovanih oseb ter posebnih objektov in okolišev objektov oziroma varovanja drugih prostorov, zgradb ali območij, ki jih je treba varovati na podlagi zakona, in sicer samo v obsegu in trajanju, potrebnem za doseganje namena. Vpogled, uporaba ali posredovanje posnetkov so dopustni le za te namene.
Videonadzor na javnih površinah se lahko izvaja le glede tistih bližnjih ali povezanih delov javne površine in v obsegu, kjer je treba varovati zgoraj definirane interese.
7. Pravice, ki jih ima posameznik v zvezi z varstvom osebnih podatkov
V povezavi z obdelavo osebnih podatkov ima posameznik naslednje pravice:
- pravica do seznanitve,
- pravica do popravka,
- pravica do izbrisa,
- pravica do omejitve obdelave podatkov,
- pravica do prenosljivosti podatkov,
- pravica do ugovora proti obdelavi podatkov,
- pravica do pritožbe.
Vse navedene pravice (razen pravice do pritožbe) lahko posameznik uveljavlja neposredno pri upravljavcu. To pa ne vpliva na pravico posameznika, da vloži pritožbo pri pristojnem državnem organu, zlasti kadar meni, da se njegovi osebni podatki obdelujejo neupravičeno oziroma v nasprotju s splošno veljavnimi predpisi. Pritožba se vloži pri Informacijskemu pooblaščencu RS.
8. Položaj Informacijskega pooblaščenca po ZVOP-2
Po ZVOP-2 ima Informacijski pooblaščenec večje pristojnosti, saj deluje kot pritožbeni, inšpekcijski in prekrškovni organ. Ima pooblastila, da lahko ob zaznavi kršitve varstva osebnih podatkov izreka tudi globe. V posebnem delu ZVOP-2 določa tudi višino globe, ki je določena od 200 EUR pa vse do 40.000,00 EUR, odvisno od teže prekrška in odgovorne osebe. Za večje pravne osebe je predvidena razmeroma visoka denarna kazen. Kazen pa lahko informacijski pooblaščenec izreče tudi odgovorni osebi v državnem organu ali lokalni skupnosti kot tudi posamezniku.
[1]Precedenčna odločba Ustavnega sodišča Republike Slovenije, št. U-I-180/21, 14. 4. 2022, jasno izpostavi stališče Ustavnega sodišča. Določbe Splošne uredbe o varstvu osebnih podatkov same po sebi ne pomenijo pravne podlage za obdelavo osebnih podatkov (niso neposredno uporabne), temveč šele terjajo vzpostavitev ustrezne pravne podlage, ki bo hkrati skladna z zahtevami Splošne uredbe o varstvu podatkov. Upoštevaje drugi odstavek 38. člena Ustave Republike Slovenije in ustaljeno ustavno sodno presojo, je takšna pravna podlaga v Republiki Sloveniji lahko le zakon. Splošna uredba torej ni neposredno uporabna.