Sreda, 25. 1. 2023, 22.25
1 leto, 9 mesecev
Novi zakon o varstvu osebnih podatkov
Ali bodo z novim zakonom naši podatki in zasebnost varnejši?
V četrtek, 26. januarja, začne veljati nov zakon o varstvu osebnih podatkov (ZVOP-2). Kakšne (nove) pravice prinaša posameznikom, kakšne nove obveznosti vsem, ki podatke zbirajo in obdelujejo?
Kot so nam pojasnili na ministrstvu za pravosodje, kjer so ta zakon pripravljali, je namen zakona predvsem "okrepiti načelo zakonitosti obdelav osebnih podatkov".
"Posameznikom, na katere se nanašajo osebni podatki, se še naprej zagotavlja dozdajšnja dosežena višja raven varstva osebnih podatkov," so dodali, a ob tem omenili primer izjeme – uporabo videonadzora javnih površin.
Več dela in odgovornosti za upravljavce in obdelovalce osebnih podatkov
Nove obveznosti pa so z novim zakonom dobili upravljavci in obdelovalci osebnih podatkov, ki se s tem področjem ukvarjajo uradno. Tako bodo morali med drugim skladno z 22. členom voditi dnevnike obdelave – žurnale, 23. člen pa jim nalaga obveznosti glede posebnih obdelav.
Upravljavci in obdelovalci osebnih podatkov so z novim zakonom dobili nove obveznosti, a tistim, ki so že do zdaj skrbno in zakonito ravnali z osebnimi podatki, ne nalaga velikih sprememb.
Z novim zakonom bodo prekrškarje lahko kaznovali z visokimi globami skladno s splošno uredbo o varstvu podatkov (GDPR), so nam še pojasnili na pristojnem ministrstvu. Ob tem so še opozorili, da je implementacija te uredbe v državah članicah Evropske unije različna, kar dopušča tudi uredba.
Nove pristojnosti informacijske pooblaščenke
"Novi zakon o varstvu osebnih podatkov v našo zakonodajo dokončno uvaja določila splošne uredbe o varstvu podatkov (GDPR)," pritrjuje pooblaščena oseba Telekoma Slovenije za varstvo osebnih podatkov Jernej Nemec.
Ocenjuje, da je največja novost ravno urejanje pristojnosti informacijske pooblaščenke pri izvajanju nadzora nad izvajanjem določil uredbe GDPR in izdajanjem kazni v primeru zaznanih kršitev. Med dodatnimi področji navaja zahtevano soglasje staršev ali skrbnikov, ko je uporabnik storitev informacijske družbe mlajši od 15 let, in natančnejše določbe o postopkih, v katerih lahko posamezniki uveljavljajo svoje pravice.
"Novi Zakon o varstvu osebnih podatkov (ZVOP-2) v našo zakonodajo dokončno uvaja določila splošne uredbe o varstvu podatkov (GDPR)," je za Siol.net povedala pooblaščena oseba Telekoma Slovenije za varstvo osebnih podatkov Jernej Nemec.
Nemec: Slovenska zakonodaja je zahtevnejša od evropske
Ob vseh novostih tega zakona Jernej Nemec ugotavlja, da je slovenska zakonodaja na tem področju še nekoliko zahtevnejša od evropske.
"To bo v prihodnje lahko predstavljalo izziv pri razvoju novih storitev oziroma nabavi (predvsem informacijskih) rešitev, ki so razvite oziroma standardizirane za celotno EU," je posvaril.
Za tiste, ki so do zdaj ravnali skrbno, večjih sprememb ni
Čeprav novi zakon upravljalcem podatkov nalaga nove obveznosti, Nemec ne pričakuje večjih sprememb pri poslovanju njegovega delodajalca z naročniki in uporabniki.
"Z osebnimi podatki že zdaj ravnamo z vso potrebno skrbnostjo, ki jo narekuje in opredeljuje splošna uredba o varstvu podatkov, vsekakor pa bomo podrobno preučili nova zakonska določila in ustrezno prilagodili postopke obdelave, tako da bo ravnanje z osebnimi podatki na sistemski ravni urejeno skladno z najvišjimi varnostnimi standardi."
"Slovenska zakonodaja s področja varstva osebnih podatkov je strožja od evropske, kar bo v prihodnje lahko predstavljalo izziv pri razvoju novih storitev oziroma nabavi (predvsem informacijskih) rešitev, ki so razvite oziroma standardizirane za celotno EU," je posvaril Nemec.
Več varnosti za preprečitev nepooblaščenih dostopov
Na vprašanje, kakšne novosti prinaša ZVOP-2, strokovnjakinja za varstvo osebnih podatkov in direktorica družbe Info hiša Bojana Pleterski odgovarja: "Odvisno, kakšna organizacija ste."
Na seznamu novosti je med drugim izpostavila opredelitev zahtev po dodatni varnosti za obdelave osebnih podatkov, ki so zaradi vsebine ali količine podatkov še posebej občutljive, kakor tudi za sistemsko preprečitev nepooblaščenega dostopa in nezakonite obdelave ter omejitve pri uporabi oblačnih storitev in prenosu podatkov iz Slovenije.
Podrobnejša ureditev videonadzora
Novi zakon podrobneje ureja tudi področje videonadzora, a ker splošna uredba o varstvu podatkov tega področja ne ureja, novi zakon sledi smernicam Evropskega odbora za varstvo podatkov (EDPB).
Med neposredno vidnimi spremembami bodo npr. zamenjave označb o izvajanju videonadzora ali njihove postavitve. "Posameznik mora biti primerno obveščen, da se lahko izogne vstopu v nadzorovano območje."
Razširjena obveza po imenovanju pooblaščene osebe za varstvo podatkov
Organizacijam, ki so do zdaj že skrbele za skladnost poslovanja, se ne bo treba zelo prilagajati, a je to odvisno tudi od tega, za kakšno organizacijo gre, je še povedala Bojana Pleterski. Ob tem meni, da bodo tveganja za kazni višja, kot so bila do sedaj, manj pa je negotovosti za upravljavce in obdelovalce, kaj je potrebno storiti, da se temu izognejo, ker je v novem zakonu dorečeno več elementov.
Med novostmi ZVOP-2 je tudi opredelitev zahtev po dodatni varnosti za sistemsko preprečitev nepooblaščenega dostopa in nezakonite obdelave ter omejitve pri uporabi oblačnih storitev in prenosu podatkov iz Slovenije.
"ZVOP-2 je razširil obvezo po imenovanju pooblaščene osebe za varstvo podatkov (Data Protection Officer – DPO) na celotni javni sektor. V več primerih bo tudi treba izvajati oceno učinka na varstvo podatkov in se posvetovati z nadzornim organom – informacijskim pooblaščencem," pojasnjuje.
Novi zakon spodbuda zavesti o pomenu varstva osebnih podatkov
Opozarja pa, da kljub številnim dobrim praksam v Sloveniji obstaja nezanemarljivo število organizacij, "ki se bodisi ne zavedajo svojih obveznosti bodisi se s tem področjem zavedno ne ukvarjajo ali celo čutijo nek odpor ali oviro do GDPR in nacionalne zakonodaje, češ da nas omejuje".
"Toda pri tovrstni zakonodaji ne gre za prepovedi, temveč za določila, kako moramo oblikovati procese in kakšne ukrepe izvajati, da bomo podatke obdelovali zakonito in varno," pojasnjuje sogovornica.
"Mislim tudi, da bo novela zakona dala nov zagon pri upravljavcih in obdelovalcih, da uredijo procese in dokumentacijo. Spodbudila bo tudi posameznike, da se bolj zavedamo svojih pravic ter da tudi sami skrbimo za svojo zasebnost in zasebnost svoje okolice, pa naj bo to po službeni ali zasebni plati. Zavedati se moramo, da danes praktično ni storitve, procesa, ki ne uporablja osebnih podatkov."
"ZVOP-2 je med drugim tudi razširil obvezo po imenovanju pooblaščene osebe za varstvo podatkov (Data Protection Officer – DPO) na celotni javni sektor," je za Siol.net pojasnila strokovnjakinja za varstvo osebnih podatkov Bojana Pleterski.
"Najprej naj neposredno pri upravljavcu njegovih osebnih podatkov zahteva pojasnitev, katere osebne podatke obdeluje in na kakšni podlagi, ali pa naj uveljavlja pravico po omejevanju obdelave ali celo izbrisu," pojasnjuje Bojana Pleterski. Pred državnim organom ali organom lokalne samouprave je to prilagojen upravni postopek, pri organizacijah pa bolj neformalni postopek skladno s splošno uredbo o varstvu podatkov.
Če sumi in dvomi še vedno obstajajo, lahko posameznik vloži prijavo informacijski pooblaščenki. "Zakonodajalec je ta postopek nekoliko preoblikoval in posameznik mora slediti zahtevam zakona o splošnem upravnem postopku, pri čemer je informacijskemu pooblaščencu naložil, da ta postopek posamezniku olajša z vnaprej pripravljenim obrazcem," pojasnjuje sogovornica.
Zadnja mogoča pot pa je vložitev samostojne tožbe na upravno sodišče glede obdelave osebnih podatkov pri določenem upravljavcu.
2