Sprejet je bil nov Zakon o varstvu osebnih podatkov (ZVOP-2)
27. decembra 2022 je bil v Uradnem listu RS št. 163/2022 objavljen nov Zakon o varstvu osebnih podatkov (»ZVOP-2«), ki je začel veljati 26. januarja 2023.
Slovenija je tako sprejela zakonodajo, s katero je Splošno uredbo o varstvu osebnih podatkov (»Uredba« ali »GDPR«) implementirala v nacionalno zakonodajo. Uredba se sicer uporablja neposredno, vendar nekatere njene določbe niso neposredno uporabljive. Predvsem na področju kaznovanja kršiteljev je v naši zakonodaji doslej obstajala pravna praznina, saj nadzorni organ ni imel zakonske podlage za izrekanje upravnih glob, predvidenih z Uredbo. Poleg tega ZVOP-2 tudi sistemsko ureja nekatera druga področja, ki niso vključena v Uredbo oziroma za katera je EU državam članicam prepustila, da jih prosto uredijo v nacionalni zakonodaji (videonadzor, biometrija itd.). Z uveljavitvijo ZVOP-2 bo tako ZVOP-1, ki se v tem delu trenutno še uporablja, prenehal veljati.
Spodaj povzemamo nekatere bistvene novosti, ki jih zakon prinaša in na katere morajo biti upravljavci in obdelovalci posebej pozorni.
1. Visoke globe za kršitelje
Najpomembnejša novost, ki jo prinaša ZVOP-2, je nedvomno uveljavitev pravne podlage za izrekanje glob za prekrške, storjene s strani upravljavcev osebnih podatkov. Kazenske določbe ZVOP-2 določajo, da se kršitve, za katere so predpisane »upravne globe« po določbah Uredbe, obravnavajo kot prekrški. Poleg tega določajo, da je prekrškovni organ Informacijski pooblaščenec, ki odloča tudi o prekrških v posebnem delu ZVOP-2 (npr. o prekrških glede videonadzora, biometrije itd.).
Globe se izrekajo v višini in razponih, kot jih določa Uredba. Ta določa visoke kazni za kršitelje, in sicer do 20.000.000,00 EUR ali v primeru družbe do 4 % skupnega svetovnega letnega prometa. Zakon določa način ocenjevanja višine glob, ki naj se izrečejo za kršitve določb Uredbe (glede na konkretne okoliščine, načelo sorazmernosti, ali je obstajal namen koristoljubja ali škodovanja posameznikom, na katere se osebni podatki nanašajo itd.). Poleg tega določa tudi globe za odgovorne osebe kršitelja – pravne osebe, samostojnega podjetnika ali posameznika, ki samostojno opravlja dejavnost.
2. Nove obveznosti za upravljavce in obdelovalce
Za namene izkazovanja skladnosti obdelave osebnih podatkov (zakonitosti, poštenosti, sorazmernosti) ZVOP-2 kot obveznost za upravljavce in obdelovalce poleg izvedbe ocene učinka določa na novo tudi izvajanje ukrepa t. i. notranje sledljivosti posredovanj osebnih podatkov (določeni upravljavci in obdelovalci morajo voditi dnevnike obdelave) ter ukrepa t. i. zunanje sledljivosti obdelav osebnih podatkov.
3. Prijavitelj s posebnim položajem
Posameznik, na katerega se nanašajo osebni podatki in ki meni, da so njegove pravice varstva osebnih podatkov kršene, ima po novem tudi možnost vložitve neposredne zahteve pri Informacijskemu pooblaščencu (prijava) in je v tem postopku vlagatelj zahteve (prijavitelj s posebnim položajem). Prijavitelj v tem primeru nastopa kot stranka v postopku, v katerem se subsidiarno uporabljajo določbe Zakona o splošnem upravnem postopku (»ZUP«). Prijavitelj ima pravico, da ga nadzorni organ obvešča o bistvenih dejanjih v postopku in stanju zadeve ter da se pred izdajo odločbe izjavi o ugotovitvah.
4. Samostojno sodno varstvo
Še ena pomembna novost za posameznike, ki menijo, da so bili njihovi osebni podatki obdelovani v nasprotju z zakonom, je možnost samostojnega sodnega varstva. Posameznik lahko namreč vloži tudi samostojno tožbo (brez predhodne uporabe drugih pravnih sredstev) na Upravno sodišče Republike Slovenije glede obdelave osebnih podatkov pri upravljavcu. To lahko vloži glede sedanjih ali preteklih kršitev njegovih pravic s področja varstva osebnih podatkov. S tožbenim zahtevkom, ki je naperjen proti upravljavcu, lahko posameznik zahteva prenehanje kršitve, vzpostavitev zakonitega stanja in tudi povrnitev škode. Če je kršitev že prenehala, lahko tožnik postavi tudi ugotovitveni zahtevek, tj. da od sodišča zahteva, naj ugotovi, da je kršitev obstajala. Zaradi varstva podatkovne zasebnosti oz. posameznikovega dostojanstva je javnost v postopku pred sodiščem izključena.
5. Prenovljene določbe o videonadzoru
Prenovljena je vsebina obvestila o uvedbi videonadzora. To bo moralo po novem vsebovati tudi informacije po 13. členu Uredbe, pri čemer pa zadostuje, da se v obvestilo vnese spletna povezava ali QR-koda s povezavo do obvestila. Novost so določbe o izvajanju videonadzora na javnih površinah, kjer je videonadzor dopusten v posebej utemeljenih primerih (resna in utemeljena nevarnost za življenje, osebna svoboda, telo ali zdravje ljudi, varnost premoženja …). Posnetki se lahko v tem primeru hranijo šest mesecev od nastanka (pri ostalih oblikah videonadzora je rok hrambe eno leto). Po določbah ZVOP-2 uporaba sistemov za avtomatsko prepoznavo registrskih tablic (ANPR) na javnih površinah ni dovoljena.
Za podrobnejše informacije, katere novosti prinaša novi ZVOP-2 in kakšne nove obveznosti nalaga, smo vam na voljo.
Avtorica: Tina Mihalič, odvetniška kandidatka