Januarja je začel veljati Zakon o varstvu osebnih podatkov (ZVOP-2), ki dopolnjuje Splošno uredbo o varstvu podatkov (GDPR). Zakon je pričakovan že dolgo, saj ga je Slovenija sprejela med zadnjimi v EU. Z njim so zdaj urejena tista področja, ki niso pokrita z uredbo GDPR.
Digitalizacija in zbiranje osebnih podatkov sta neposredno povezana. Prav zato je smiselno, da poznamo in razumemo zakonodajo o varovanju osebnih podatkov, saj ta vpliva na delo podjetij in življenje posameznika.
ZVOP-2 postavlja podlago za izrekanje kazni
Obdobja miru, ko za kršitev GDPR nismo mogli dobiti kazni, je konec. S sprejemom ZVOP-2 je zdaj možno izrekanje kazni po GDPR. Najvišje lahko segajo od 20 milijonov EUR ali vse do 4 % skupnega svetovnega letnega prometa.
Pri vsakem izreku kazni se upoštevajo tudi drugi kriteriji: od naklepa ali malomarnosti, kakšno je bilo število prizadetih posameznikov, za kakšne vrste podatkov gre. Kazen bo odvisna tudi od tega, kakšno je sodelovanje kršiteljev pred, med in po ugotovljeni kršitvi.
Visoke kazni so možne za namerno ali zelo brezskrbno zavarovanje podatkov, še posebej, če gre za podatke velikega obsega ali sporne oziroma občutljive podatke. To je mogoče v primerih, ko pride na primer do zlorabe ali prodaje z namenom finančnih koristi, do prikritega zbiranja in sledenja ter zlorabe zelo občutljivih podatkov za posameznike, kot je zdravstveno, finančno stanje, socialne okoliščine in podobno.
Kdaj stopi v veljavo in kakšne so bistvene novosti?
Zakon je bil sprejet 26. 1. 2023. Veljati pa začne trideseti dan po objavi v uradnem listu. To pomeni, da bi morala imeti podjetja do zdaj že vse urejeno, saj so različne prehodne določbe predpisane le za nekaj področij.
Te so:
- 6 mesecev za ureditev videonadzora v javnih prevoznih sredstvih,
- 2 leti za vpeljavo ali uskladitev dnevnikov obdelave in
- 3 leta za uskladitev t.i. posebnih obdelav.
Bistvene spremembe, ki jih prinaša ZVOP-2, so spremenjene zahteve glede videonadzora, branja registrskih tablic in biometrije. Podjetja se morajo dobro seznaniti s postopki posredovanja potekov, ko jih od njih zahtevajo drugi (npr. odvetniki, policija, zavarovalnice).
Določeni pa so še dodatni pogoji glede pooblaščenih oseb za varstvo podatkov (DPO). Zakon predvideva, da se bodo postopki slovenske akreditacije začeli izvajati 1. januarja 2024.
Kaj je glavni vir prijav informacijskemu pooblaščencu (IP)?
Po podatkih iz letnih poročil IP je opazno, da je veliko prijav interne narave (torej zaposleni prijavi npr. delodajalca zaradi vpogleda v korespondenco ali spornega videonadzora … ). Tudi posamezniki so bolj ozaveščeni. Kršitve prijavijo, ko ne vedo, kako je podjetje za potrebe marketinga pridobilo njihov e-naslov. Prijavijo tudi, če podjetje ne upošteva preklicev oglaševanja in podobno.
Seveda pa lahko inšpekcija uvede tudi nadzor po uradni dolžnosti, torej brez prijave.
Kot je na svoji spletni strani zapisal IP, je bilo v letu 2022 ponovno uvedeno veliko število inšpekcijskih postopkov, in sicer 1030. Prejeli so tudi 160 pritožb zaradi kršitev pravic posameznikov. IP je aktivno sodeloval v 190-ih, leto prej pa le v 62-ih postopkih sodelovanja pri čezmejnem nadzoru zoper upravljavce, ki imajo sedež v drugih državah članicah EU, njihove aktivnosti pa zadevajo tudi slovenske državljane.
Kaj morajo vedeti podjetja, ki zbirajo podatke?
Podjetja morajo zagotovo poznati odgovore vsaj na naslednja vprašanja:
- Kaj pomeni evidenca obdelave?
- Kdaj in kdo mora voditi dnevnike?
- Kakšne so pravne podlage za obdelavo?
- Kaj je treba povedati posameznikom?
Pomembno bo tudi, da ob obisku inšpektorja podjetje dokaže, da spoštuje in razume zahteve in določila tako uredbe GDPR kot zakona ZVOP-2.
Kako poteka nadzor in kakšna pooblastila ima IP pri nadzornih postopkih?
Kot je razvidno s spletne strani IP, ima inšpektor naslednje pristojnosti in lahko:
- pregleda dokumentacijo, ki se nanaša na obdelavo osebnih podatkov (pogodbe, poslovne knjige, druge listine);
- vstopi in pregleda prostore (zemljišča, poslovne prostore) in opremo (elektronske naprave ipd.) – pregled poslovne korespondence, opreme ali elektronske naprave, ki bi posegel v upravičeno pričakovano zasebnost posameznika, lahko nadzorna oseba izvede le s soglasjem posameznika ali na podlagi predhodne pisne odredbe sodišča, pri takšnem pregledu ima nadzorovana oseba pravico biti navzoča;
- zaradi zavarovanja dokazov lahko zahteva tudi brezplačno kopijo listin, odredi začasno zapečatenje prostorov (do 5 dni) in odvzame opremo (do 10 dni), s katero se obdelujejo osebni podatki;
- pridobi vse informacije, ki so potrebne za izvedbo nalog, vključno z osebnimi podatki;
- izvaja druga pooblastila, ki mu jih v konkretnem postopku zagotavljajo predpisi (Splošna uredba, ZVOP-2, ZIN, ZUP).
Ali je ZVOP-2 pomemben samo za podjetja ali tudi za posameznike?
Zavedati se je treba, da se o vsakem od nas zbirajo številni osebni podatki. Zbirajo jih delodajalci, podjetja, pri katerih kupujemo (npr. kartice ugodnosti), banke, društva in številni državni organi.
Vsakega od nas zanima, ali z zbranimi podatki ravnajo skrbno in preudarno. Zato je nujno, da zakone poznamo tudi kot posamezniki. Zagotovo si nihče ne želi, da se na spletu znajdejo podatki na primer o njegovem finančnem ali zdravstvenem stanju.