»Le nekaj je področij, na katerih ZVOP-2 predvideva prehodno obdobje«

  • WEBINAR

Slovenija je kot zadnja država v EU sprejela Zakon o varstvu osebnih podatkov (ZVOP-2), ki dopolnjuje Splošno uredbo o varstvu podatkov (GDPR) oziroma ureja področja, ki jih GDPR ne. Veljati je začel 26. januarja 2023 in kot pojasnjuje odvetnik Matija Jamnik, številne njegove določbe učinkujejo takoj, kar pomeni, da časa za prilagoditve ni več. Podjetjem in drugim subjektom, ki npr. področja GDPR še niso (dovolj dobro) uredila, zdaj že grozijo globe, ki jim nedvoumno pravno podlago daje ZVOP-2.

Odvetnik, ki se pri svojem delu pogosto ukvarja s področjem varstva občutljivih podatkov, v krajšem intervjuju za Akademijo Finance izpostavlja tudi najpogostejše nepravilnosti, ki jih srečuje v praksi, ter opozarja na nove določbe ZVOP-2 in njegovo širjenje inšpektorskih pooblastil.

G. Jamnik, sankcije za kršitve GDPR pred sprejemom ZVOP-2 niso mogoče, ste dejali pred dobrim letom dni, ko je bil novi zakon še v medresorskem usklajevanju. Zdaj ZVOP-2 imamo, veljati je začel 26. januarja letos, s čimer so zaživele tudi te globe. Imajo podjetja, ki tega področja še niso uredila, sploh še kaj časa, da ga uredijo?

»Le nekaj je področij, na katerih ZVOP-2 predvideva prehodno obdobje. Tako je rok za uskladitev t.i. posebnih obdelav 3 leta; za vpeljavo oziroma uskladitev dnevnikov obdelave je časa 2 leti; upravljavci in obdelovalci podatkov, ki se nanašajo na videonadzor v javnih prevoznih sredstvih, morajo obdelave osebnih podatkov uskladiti z določbami zakona v roku 6 mesecev. Za vse ostalo prehodnih obdobij ni in torej določbe ZVOP-2 učinkujejo takoj, kar pomeni, da časa za prilagoditve ni več.«

Za vse ostalo prehodnih obdobij ni in torej določbe ZVOP-2 učinkujejo takoj, kar pomeni, da časa za prilagoditve ni več.

Kakšnih neskladnosti opažate največ in kolikšne so globe, ki so zanje predpisane?

»Govorimo predvsem o neskladnostih z (že do sedaj in tudi še naprej veljavno) Splošno uredbo o varstvu podatkov (GDPR). Kar se tiče glob, naj povem, da ZVOP-2 zdaj povsem nedvoumno določa, da se globe za kršitve GDPR izrekajo v mejah, kot jih predpisuje GDPR, se pravi do 20 mio EUR ali 4 % globalnega letnega prometa v letu pred kršitvijo, karkoli je višje. Poleg tega pa ZVOP-2 prinaša tudi globe za kršitve določb ZVOP-2, npr. določb o videonadzoru ali biometriji.

V naši praksi opažamo, da je veliko kršitev pri pravnih podlagah za obdelavo – mnogo podjetij se v pomanjkanju “boljše” pravne podlage zanaša na zakoniti interes kot nekakšen izhod v sili. Pri tem pa pogosto niti ne izvedejo testa zakonitega interesa, kar pomeni, da bodo v primeru nadzora zakoniti interes zelo težko upravičili. Ogromno možnosti za izboljšave je tudi na področju transparentnosti in jasnosti pri obveščanju posameznikov o tem, kaj se z njihovimi osebnimi podatki dogaja. Prisotno je tudi nerazumevanje dejstva, da si GDPR varstvo osebnih podatkov zamišlja kot proces in ne kot enkratno opravilo in da pričakuje, da bomo stalno preverjali, ali pravila, ki smo jih zapisali v dokumente, tudi izvajamo v praksi in ali dosegajo želeni namen ali pa so potrebne izboljšave, dodatna izobraževanja zaposlenih in podobno. Glede ZVOP-2 največ težav pričakujem na področju videonadzora znotraj delovnih prostorov ter na področju biometrije, sploh če bo Informacijski pooblaščenec dosledno sledil določbam ZVOP-2 o tem, da sta videonadzor in biometrija dovoljena le, če zasledovanega cilja ni mogoče doseči z milejšimi ukrepi.«

Glede ZVOP-2 največ težav pričakujem na področju videonadzora znotraj delovnih prostorov ter na področju biometrije, sploh če bo Informacijski pooblaščenec dosledno sledil določbam ZVOP-2 o tem, da sta videonadzor in biometrija dovoljena le, če zasledovanega cilja ni mogoče doseči z milejšimi ukrepi.

Kaj je pomembno vedeti glede postopkov prijave oz. inšpekcijskega nadzora, so v zvezi s tem kakšne posebnosti?

»Morda je vredno omeniti, da ZVOP-2, ki v tem delu dopolnjuje Zakon o inšpekcijskem nadzoru, dokaj podrobno ureja zavarovanje, pregled, zapečatenje oziroma blokiranje elektronske opreme, za kar v določenih primerih predvideva tudi predhodno sodno odredbo. Dejstvo je, da ZVOP-2 že tako skoraj neomejena inšpektorska pooblastila še širi in dopolnjuje.«

Dejstvo je, da ZVOP-2 že tako skoraj neomejena inšpektorska pooblastila še širi in dopolnjuje.

Ker ZVOP-2 dopolnjuje Splošno uredbo o varstvu podatkov (GDPR), se morajo podjetja seznaniti tudi z (novimi) določbami ZVOP-2. Lahko izpostavite katero od njih?

»Precej je odvisno od tega, s čim se podjetje oziroma organizacija ukvarja. Če izvaja videonadzor ali/in biometrijo, potem mora poznati te določbe. Če s svojo informacijsko storitvijo cilja na mladoletnike, mora poznati pravila igre na tem področju. Za medije in avtorje bodo koristne določbe o obdelavi osebnih podatkov v okviru uresničevanja svobode izražanja misli, govora in javnega nastopanja, tiska in drugih oblik javnega obveščanja in izražanja. Podrobno je urejena tudi kolizija med varstvom osebnih podatkov in pravico do dostopa do informacij javnega značaja.«

Matija Jamnik bo 8. marca letos vodil webinar z naslovom Katere obveznosti podjetjem prinaša sprejeti ZVOP-2? V sklopu webinarja vas bo seznanil z novostmi ter osvežil vaše poznavanje določb GDPR. Vse skozi praktične primere in leta izkušenj. Več o webinarju in prijava. 

Lahko z nami delite še kakšno pogosto napačno uporabo GDPR, kot ste jo pogosto “srečevali” v letih od njene uvedbe leta 2018 pa do danes? Napačno uporabo, ki bo zdaj, ko je sprejet ZVOP-2, nedvomno sankcionirana …

»Nekaj sem jih omenil že zgoraj. Veliko nepravilnosti srečamo tudi pri imenovanju pooblaščenih oseb za varstvo podatkov (DPO), kjer se pogosto povsem spregleda zahteve GDPR, da pri njih ne sme obstajati noben konflikt interesov, in se nato za DPOje imenujejo npr. vodje marketing ali IT oddelkov. Tudi če so strokovnjaki na področju varstva osebnih podatkov, imajo evidenten konflikt interesov. Še vedno tudi naletimo na primere, ko se osebne podatke obdeluje tako rekoč prikrito. Izpolnjujete npr. spletni obrazec in vaši podatki se sproti shranjujejo, kar pa ponudnik pozabi ali “pozabi” pojasniti v Politiki ravnanja z osebnimi podatki. Če niti ne omenjam standardnega “Privacy policy smo pa vzeli od podjetja, ki dela podobno kot mi, in jo prilagodili”. To podjetje pa po možnosti celo iz ZDA in v članicah EU sploh ne posluje!« 

Veliko nepravilnosti srečamo tudi pri imenovanju pooblaščenih oseb za varstvo podatkov (DPO), kjer se pogosto povsem spregleda zahteve GDPR, da pri njih ne sme obstajati noben konflikt interesov, in se nato za DPOje imenujejo npr. vodje marketing ali IT oddelkov.

Deli:

Povezana vsebina

Marijeta Kobetic
WEBINAR
(intervju) Najpogosteje izgubljamo čas, ker delujemo na “avtopilotu”
750-x-500_RACUNOVODENJE-V-GRADBENISTVU_20222
WEBINAR
Napake računovodenja v gradbeništvu
David-Djukic
WEBINAR
(intervju) »Pogajanja so postala bolj kompleksna«
Nina_Portret_WEB_211126_20
WEBINAR
(intervju) Zaradi neučinkovitih sestankov izgubljamo tudi denar
750-x-500_GENERATOR-DENARJA-I_2022
WEBINAR
To so najpogostejše napake pri predstavitvi investitorjem
AC1
WEBINAR
Poznate davčne novosti, ki bodo vplivale na vašo davčno bilanco?
odvetnik Matija Jamnik
WEBINAR
Ste pripravljeni na ZVOP-2? Dvomov glede glob ne bo več
Marijeta1
WEBINAR
(intervju) »Menim, da je potrebno prilagoditi vodenje nasploh, ne samo zaradi mladih, ampak tudi zaradi starejših zaposlenih«

Prijavite se na novice

Prijavite se in ne zamudite dogodka in vsakodnevnih novic
Prijava na novice

Ostanite obveščeni

Prijavite se na e-novice Akademije Finance.

Prijava na novice

Poslovna akademija

Dogodki

Kontakt

  • Časnik Finance d.o.o.,
  • Oddelek Poslovne akademije Finance,
  • Bleiweisova cesta 30,
  • 1000 Ljubljana
  • E: akademija@finance.si
  • T: +386 1 30 91 494

Sledite nam