Home/Blog/Kaj so novosti, ki jih prinaša novi zakon o varstvu osebnih podatkov ZVOP-2?

Kaj so novosti, ki jih prinaša novi zakon o varstvu osebnih podatkov ZVOP-2?

27.11.2023#Varnost na internetu
FERR istock 54 1024px

Na področju varstva osebnih podatkov so nedavno nazaj v veljavo stopile ključne spremembe. Od januarja letos (natančneje, 26.1.2023) je stopil v veljavo posodboljen zakon o varstvu osebnih podatkov ZVOP-2, ki skupaj z evropskim GDPR postavlja temelje glede obdelave osebnih podatkov. To je evropska zakonodaja, ki se nanaša na varstvo osebnih podatkov in predvideva tudi kazni za morebitne kršitve.

Kljub temu, da je GDPR zakon, ki velja na evropskih tleh in je takorekoč zlati standard za varstvo osebnih podatkov, ima vsaka država določeno mero svobode pri interpretaciji tega zakona ter se sama odloča, kako vas ustrezni nadzorni organ lahko kaznuje za prekršek kot je npr. posredovanje osebnih podatkov nepooblaščeni tretji osebi brez privolitve posameznika, na katerega se nanašajo posredovani osebni podatki.

Za celovitno razumevanje področja varovanja osebnih podatkov v Sloveniji je zato pomembno, da razumemo in upoštevamo obe omenjeni zakonodaji, ki urejata to področje, tako v privatnem kot v javnem sektorju. V nadaljnjem besedilu se bomo dotaknili ključnih členov ZVOP-2, zakona, ki ureja dovoljeno uporabo osebnih podatkov, kazni za morebitne kršitve, našteva vrste osebnih podatkov in več.

 

Z uvedbo ZVOP-2 je prenehala veljavnost ZVOP-1

ZVOP-1 je bila prejšnja zakonodaja, ki se je dotikala področja varstva osebnih podatkov. Pomembno je upoštevati, da z dnem 26.1.2023 ZVOP-1 ne velja več, saj ga je nadomestil ZVOP-2, ki prinaša določene novosti na področju varstva osebnih podatkov, ki veljajo za državljane Republike Slovenije in vse privatne ter javne subjekte.

Morebitna kršitev določb členov omenjene zakonodaje, katere prekrškovni postopki so se začeli pred omenjenim datumom, pomeni, da se bodo omenjeni postopki do konca izvršili v skladu s členi ZVOP-1, torej prejšnje različice zakonodaje o varstvu osebnih podatkov. To velja vedno, razen v primeru, da novi zakon ne določa drugače ali specifično kršitev obravnava milejše.

Ena od pomembnih novosti ZVOP-2 je ukinitev zbirke osebnih podatkov pri informacijskem pooblaščencu. Za usklajevanje vodenja dnevnikov obdelav z odstavki 22. člena tega zakona je predvideno obdobje dveh let.

Upoštevajte, da so tako subjekti privatnega kot javnega sektorja dolžni zagotoviti skladnost z zakonom, ki ureja področje varovanja osebnih podatkov, torej se nanaša na vas, če ste obdelovalec ali upravljavec osebnih podatkov ali zgolj navaden uporabnik, bodisi na ozemlju Republike Slovenije ali drugod.

V nadaljnjem besedilu bomo pod drobnogled vzeli ključne novosti in pojasnili člene, ki jih določa zakon.

 

Opredelitev obdelave osebnih podatkov

Glede na določbe ZVOP-2 se za obdelavo osebnih podatkov šteje naslednje:

  • Hramba osebnih podatkov

  • Posredovanje osebnih podatkov

  • Izbris osebnih podatkov

Vendar je tukaj potrebno upoštevati, da opredelitev ne zajema zgolj zgoraj-navedenih pojmov. Obdelava osebnih podatkov lahko zajema vse postopke, ki se tako ali drugače nanašajo na razpolaganje s podatki občutljivega značaja.

 

Osebne podatke je potrebno evidentirati

Vse morebitne zbirke osebnih podatkov je po smernicah nadzornega organa za varstvo osebnih podatkov potrebno ustrezno evidentirati. Informacijski pooblaščenec lahko kadarkoli zahteva, da se mu zbrane osebne podatke da v vpogled, zbirke osebnih podatkov pa morajo biti redno posodabljane. Splošne uredbe navajajo tudi, kaj vse je potrebno evidentirati in kako naj se evidentacija izvaja.

 

Upravljavec osebnih podatkov je dolžen uporabnika obvestiti o obdelavi osebnih podatkov

Da se zagotovi spoštovanje človekovih pravic ima upravljavec osebnih podatkov dolžnost, da vas o morebitni obdelavi osebnih podatkov ustrezno seznani. To zahteva transparentnost ne le glede obsega obdelave osebnih podatkov, temveč tudi izbranega načina.

Uporabnik mora jasno vedeti, katera so tveganja, ki jih sprejema ter katere ukrepe je sprejela odgovorna oseba pravne osebe, ki bo v primeru kršitve zanje tudi odgovarjala. Morebitne kršitve v zvezi z varstvom osebnih podatkov so lahko resnejše ali milejše, kar je odvisno od načina, na katerega je pravna oseba pridobila osebne podatke (torej od posameznika ali tretjih virov).

 

Obdelava biometričnih podatkov je strogo omejena

Običajni obdelovalci osebnih podatkov biometričnih podatkov načeloma ne smejo obdelovati, vendar je tu nekaj izjem, ki nastopijo, če je omenjeno zbiranje tovrstnih podatkov nujno potrebno za namene:

  • Izvajanje dejavnosti

  • Varovanje premoženja

  • Varovanje poslovnih skrivnosti

  • Varovanje uporabnika

Določbe za privatni in javni sektor se v tem oziru razlikujejo.

 

Uporabnik lahko svobodno odloča, komu dovoljuje obdelavo osebnih podatkov

Prav tako ima možnost izbire, ali se strinja s pogoji obdelave, svojo privolitev pa lahko kadarkoli prekliče. Da privolitev šteje kot veljavna, mora biti:

  • Prostovoljna

  • Nedvoumna

  • Informirana

  • Specifična

Kaj torej pomenijo zgoraj navedeni kriteriji? Na kratko, uporabnik mora održati visoko stopnjo nadzora nad tem, kaj se dogaja z njegovimi osebnimi podatki. Privolitev je lahko s strani uporabnika podana tako ustno kot pisno, pri čemer mora biti jasno razvidno, v kaj uporabnik privoli ter za kak namen.

Pomembno: privolitve splošnega značaja glede na določbe ZVOP-2 ne ustrezajo navedenim kriterijem.

Privolitev za obdelavo osebnih podatkov lahko poda tako odrasla oseba kot otrok, iz tega pa niso izvete niti osebe, ki potrebujejo posebno zaščito, kar je razvidno iz 8. člena tega zakona. Glede na določbe ZVOP-2 je potrebno ustrezno varovati tudi osebne podatke umrlih oseb, razen v primeru informacij javnega značaja.

 

Pravice posameznikov, ki jih opredeljuje ZVOP-2

Poleg tega, da je uporabnikom oz. lastnikom osebnih podatkov kadarkoli dovoljen preklic izdanega soglasja, imajo tudi druge pravice. Uporabnik lahko zahteva:

  • Njihovo popravo

  • Dodatna pojasnila

  • Omejitev uporabe

  • Izbris podatkov

To lahko stori npr. v primeru, da obstaja sum na nezakonito obdelavo osebnih podatkov. V primeru kršitev obstaja tudi možnost prijave informacijskemu pooblaščencu, katerega naloga je, da presodi, ali je omenjena obdelava v skladu z zakonom oz. ugotovi morebitne kršitve. Na zahtevo prijavitelja se lahko sproži postopek inšpekcijskega nadzora.

 

Ukrepi za zagotavljanje varnosti osebnih podatkov

V 22. in 23. členu splošne uredbe ZVOP-2 so predvideni tudi ukrepi za zagotavljanje varnosti osebnih podatkov. Njihov glavni namen je preprečiti, da bi podatki ušli iz rok pooblaščene osebe, kar se zagotavlja tako s pomočjo tehničnih kot tudi organizacijskih postopkov.

Varnost osebnih podatkov pomeni tudi, da se le-ti ne smejo nepooblaščeno:

  • Brisati

  • Spreminjati

  • Uporabljati

  • Izgubljati

 

Dnevnik obdelave osebnih podatkov je ena od pomembnih novosti, ki jih uvaja ZVOP-2

Po novem je potrebno voditi tudi dnevnik obdelave osebnih podatkov, kar je jasno razvidno iz 22. člena tega zakona. V dnevniku mora biti jasno navedeno naslednje:

  • Rok hrambe osebnih podatkov

  • Namen uporabe osebnih podatkov

Dnevnik je potrebno hraniti 2 leti od zadnjega zabeleženega roka obdelave ali spremembe. Dnevnik uporabe mora biti pisni dokument.

 

Novosti na področju videonadzora

V ZVOP-2, zakonu, ki ureja področje obdelave osebnih podatkov, so pomembne novosti tudi glede varovanja podatkov, pridobljenih s pomočjo videonadzora. Tukaj je potrebno omeniti, da se po novem mora jasno označiti območja, ki so pod videonadzorom, kar posamezniku omogoča, da se tovrstnim območjem lahko izogne, v kolikor ne želi, da se ga snema, saj v nasprotnem primeru gre za kršitev določb o videonadzoru.

V kolikor gre za prostor, ki se uporablja v poslovne namene, velja še dodatno pravilo, da morajo vsi tamkajšnji zaposleni o podrobnostih snemanja biti o tem obveščeni vnaprej in sicer pisno. Za vpogled v posnet video material ali posredovanje le-tega mora obstajati zakonita podlaga, podrobnosti v zvezi s tem pa morajo biti navedene že v samem obvestilu o snemanju.

Iz jasnih razlogov so tukaj določene izjeme, kot npr. prepoved snemanja dogajanja v sanitarijah. V primeru posredovanja posnetkov tretjim osebam mora biti jasno zabeleženo, komu so omenjeni videoposnetki bili posredovani in s kakšnim namenom.

Zakonodaja predvideva zakonsko podlago za videonadzor cest, vendar je tukaj potrebno upoštevati, da so iz tega izvzeti določeni cestni odseki. Kar zadeva javne površine, se lahko videonadzor izvaja z namenom varovanja oseb, objektov in prostorov. Tukaj je poudarek na jasnosti obsega in trajanja snemanja, videoposnetki pa se lahko tretjim osebam posredujejo oz. dajo v vpogled ali uporabo le na podlagi prej omenjenih razlogov.

 

Postopanje in rok prijave v primeru kršitev

Kako postopati v primeru kršitev varstva osebnih podatkov? 33. in 34. člen Splošne uredbe ter 23. člen ZVOP-2 natančno opisujeta postopke, predvidene v primeru kršitev določb zakonodaje o varovanju osebnih podatkov. Ti delujejo kot mehanizem za varovanje človekovih pravic, ki v primeru kršitve predvidijo nadaljnje korake, vključno z obvestitvijo nadzornega organa za varstvo osebnih podatkov.

Pomembno: upravljavec osebnih podatkov je zakonsko dolžan incident javiti informacijskemu pooblaščencu takoj, v skrajnem primeru pa 72 ur po tem, ko je bila zaznana kršitev.

 

Naloge pooblaščene osebe za varstvo osebnih podatkov

Pooblaščena oseba za varstvo osebnih podatkov je neodvisna oseba, ki izvaja tako svetovalne kot nadzorne naloge. Od pooblaščene osebe se zahteva primerna stopnja izobrazbe, imeti mora pa tudi podporo vodstva in biti primerno obveščena o okoliščinah. Tovrstna oseba je lahko zaposleni oz. član ekipe, lahko pa je tudi zunanji izvajalec. Tukaj je potrebno zagotoviti, da ne prihaja do morebitnega konflikta interesov.

ZVOP-2 predvideva, da obdelovalec ali upravljavec osebnih podatkov prosto določa pooblaščeno osebo za varstvo osebnih podatkov. Ta oseba opravlja svetovalno in nadzorno funkcijo, zato mora imeti tudi ustrezne kvalifikacije. Kontaktni podatki osebe, ki je bila izbrana za opravljanje te funkcije, se morajo posredovati nadzornemu organu, kar je naloga obdelovalca osebnih podatkov. Te podatke je dolžen objaviti tudi na spletni strani.

 

Sklepna misel

V današnjem prispevku smo skušali v strnjeni obliki povzeti novosti, ki jih prinaša ZVOP-2, najnovejša različica zakonodaje o varstvu osebnih podatkov. V izogib morebitnega inšpekcijskega nadzora in astronomskih kazni, ki so predpisane v primeru resnejših kršitev, vam svetujemo, da se z njimi podrobno seznanite, po potrebi pa dodatne informacije poiščete tudi v uradnih virih.