Slovenija z zamudo sprejema Zakon o varstvu osebnih podatkov (ZVOP-2), ki naj bi dopolnil oziroma interpretiral določbe Splošne uredbe o varstvu podatkov (GDPR), ki se sicer v Sloveniji že neposredno uporablja. Nekaj vprašanj o “našem” zakonu, ki je trenutno v medresorskem usklajevanju in bo odpravil vse dvome o pravni podlagi za izrekanje glob, smo postavili odvetniku Matiji Jamniku, ki bo 9. decembra vodil webinar Novosti Zakona o varstvu osebnih podatkov (ZVOP-2).
Kdaj lahko pričakujemo, da bo začel veljati Zakon o varstvu osebnih podatkov (ZVOP-2)? Slovenija je edina država EU, ki še nima zakona za implementacijo GDPR, čeprav je bilo v zadnjih dveh letih objavljenih že nekaj njegovih različic …
»Tako je, Slovenija je zadnja od članic EU, ki po uveljavitvi GDPR še ni prenovila svoje zakonodaje s področja varstva osebnih podatkov. Seveda je treba ob tem povedati, da se GDPR že ves čas uporablja neposredno, torej, kot da bi šlo za slovenski. Ker pa določenih področij ne ureja ali jih ne ureja podrobno, potrebujemo še ZVOP-2. Kdaj bo sprejet, ne bi želel (več) špekulirati. Trenutno je v medresorskem usklajevanju.«
Splošna uredba EU o varstvu podatkov v Sloveniji velja že od 25. maja 2018 in določa tudi globe za njeno nespoštovanje, a šele ZVOP-2 bo tisti, s katerim bodo te dejansko zaživele. Ali to pomeni, da je/bo neskladnost z GDPR pred sprejetjem ZVOP-2 dejansko nesankcionirana?
»Na to ni mogoče odgovoriti na splošno. Obstaja sodba, v kateri je sodišče presodilo (višje sodišče pa temu pritrdilo), da je GDPR razveljavil prekrškovne določbe ZVOP-1 (ki sicer formalno še vedno velja), obenem pa (pravilno) ugotovilo, da GDPR ne predpisuje sankcij za vse kršitve svojih določb. Zato je v tistem konkretnem primeru odločbo o izreku globe, ki jo je bil izrekel Informacijski pooblaščenec (IP), razveljavilo. Ne glede na to pa si upam reči, da sankcije za kršitve GDPR pred sprejemom ZVOP-2 niso mogoče. Je pa vprašljivo, ali lahko IP kaznuje v zneskih, opredeljenih z GDPR, ki so tam opredeljeni kot administrativne kazni in ne kot globe.«
Kakšna pooblastila pa z ZVOP-2 dobivajo inšpektorji in kakšne ukrepe lahko uporabijo v primeru kršitev?
»Poleg splošnih pooblastil, ki jim jih daje Zakon o inšpekcijskem nadzoru, predlog ZVOP-2 predvideva še nekatere posebne ukrepe: zapečatenje prostorov in opreme, poslovnih knjig in druge dokumentacije ter elektronskih naprav za čas nadzora, izdelava forenzičnih kopij, odreditev omejitve obdelave, prepoved prenosa osebnih podatkov v tretjo državo, odreditev brisanja ali uničenja osebnih podatkov …«
Katere so (druge) glavne novosti, ki jih bo prinesel ZVOP-2?
»Ureditev videonadzora, biometrije, obdelava osebnih podatkov umrlih oseb, postavitev meje za privolitev v obdelavo pri 15-ih letih starosti, vodenje dnevnikov obdelave, razmerje varstva osebnih podatkov do svobode izražanja in do dostopa do informacij, pogoji, ki jih morajo izpolnjevati pooblaščene osebe za varstvo podatkov (DPO), natančno predpisana vsebina zahteve za posredovanje osebnih podatkov, globe za odgovorne osebe itd.«
Bo ZVOP-2 kakorkoli na novo posegel v to, kako imajo subjekti urejeno področje varstva podatkov v skladu z Splošno uredbo?
»Kdor je bil dosedaj skladen z GDPR, večjih težav ne bi smel imeti. Morda bo potrebna kakšna manjša prilagoditev ali korekcija. Mislim pa, da bo imel ZVOP-2 drug učinek, in sicer večje zavedanje, da je to področje potrebno urediti, predvsem pri tistih, ki so GDPR nekako “prespali”. Psihološkega vidika, da gre pri ZVOP-2 za “naš” zakon, ne gre prezreti. Res pa je tudi, da zdaj dvomov o pravni podlagi za izrekanje glob ne bo več.«
Kaj pa je še vedno preslabo znano glede GDPR? Kaj je tisto, kar imajo podjetja ali organizacije javnega sektorja še vedno preslabo urejeno oz. na kaj pozabljajo – in je zdaj zadnji čas, da to uredijo?
Po naših izkušnjah imajo organizacije še vedno velike težave z dostopnostjo, transparentnostjo in razumljivostjo informacij v zvezi z obdelavo osebnih podatkov. Ko beremo razne politike obdelave osebnih podatkov, pogosto še vedno ne vemo, kaj točno neka organizacija počne z našimi osebnimi podatki, koliko časa jih hrani, komu jih posreduje, za kakšne namene vse jih uporablja ipd. Verjamem, da pogosto tudi namerno, čeprav je bil eden od ciljev GDPR, da se take praske končajo. Drugo “bojišče” je splet in digitalni marketing – dosledno upoštevanje GDPR bi (ali pa je že) pri večini ponudnikov pomenilo konkreten upad prihodkov. Iščejo se kompromisi, obvozi in bližnjice.«