Z razvojem informacijsko-komunikacijske tehnologije prihaja do precejšnjega povečanja količine in kakovosti obdelave osebnih podatkov. Razvoj poleg tehnološkega napredka in večjega zavedanja pomena informacijske zasebnosti prinaša tudi povečano tveganje zlorab, kot so npr. nepooblaščeni dostopi, množična razkritja in nedovoljeno profiliranje posameznikov.

Predlog novega Zakona o varstvu osebnih podatkov (ZVOP-2) ureja učinkovito varstvo pravice do varstva osebnih podatkov, ki sledi dodatni in okrepljeni sodni praksi Sodišča Evropske unije, Evropskega sodišča za človekove pravice ter predvsem Ustavnega sodišča in spremembam na zakonodajnem področju.

Pomemben povod za sprejem novega zakona je precedenčna odločba Ustavnega sodišča št. U-I-180/21 z dne 14. aprila 2022 (Uradni list RS, št. 60/22), v kateri je sodišče presojalo odnos med mednarodno ureditvijo varstva osebnih podatkov – predvsem Uredbo (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba), Ustavo Republike Slovenije in Zakonom o varstvu osebnih podatkov. V sodbi je sodišče poudarilo, da Splošna uredba ni blanketno pooblastilo državi za splošno obdelovanje podatkov, temveč zahteva vzpostavitev ustrezne pravne podlage za obdelovanje osebnih podatkov na nacionalni ravni, ki je lahko po presoji Ustavnega sodišča skladno z 38. členom Ustave RS le zakon.

Zaradi Splošne uredbe oziroma prenovljene Konvencije Sveta Evrope o varstvu posameznikov glede na avtomatsko obdelavo osebnih podatkov in zaradi nove sodne prakse je vlada presodila, da je potreben nov Zakon o varstvu osebnih podatkov (ZVOP-2), ki bo poleg neposredno uporabljivih določb Splošne uredbe in Zakona o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (ZVOPOKD) sistemsko urejal področje varstva osebnih podatkov v Sloveniji. Zaradi obsežnosti in temeljnosti novosti, je predlagatelj ocenil, da je edina možnost za zagotovitev učinkovite in pregledne ureditve sprejetje novega zakona in ne zgolj njegova sprememba oz. dopolnitev.

Predlagani zakon nima značilnosti zakonika, saj upošteva neposredno uporabljivost Splošne uredbe in posledično, izhajajoč zlasti iz njenih pooblastitvenih klavzul, ureja predvsem vprašanja, ki so potrebna zaradi njenega izvrševanja. Poleg tega ureja še postopkovna in druga vprašanja, ki jih je treba urediti na podlagi zahtev iz Splošne uredbe, določene povezovalne določbe ter nacionalne posebnosti.

Načela zakona

Zakon v splošnih določbah poudarja načelo spoštovanja osebnosti in pravic človeka, ki mu kot individualnemu upravičencu zagotavlja dejansko varstvo osebnih podatkov, v luči odločitve Ustavnega sodišča ureja uresničevanje načela zakonitosti, pri poseganju v pravice izhaja iz načela sorazmernosti in določa načelo namenske obdelave osebnih podatkov.

Predstavitev predlaganega zakona

Poglavitne zakonodajne spremembe se nanašajo na splošne in posebne določbe ter tudi na področne ureditve. Na novo so razdelane obdelave v zvezi s »posebnimi vrstami osebnih podatkov« (do zdaj »občutljivi osebni podatki«) vključno s pravnimi podlagami za obdelavo.

Razširjeni so drugi (prej »naknadni«) nameni obdelave osebnih podatkov. Posledično je manjši pomen dan prvotnemu namenu zbiranje osebnih podatkov.

Podobno kot je to urejal prejšnji zakon, so urejene obveznosti upravljalcev in obdelovalcev osebnih podatkov v zvezi z dokazovanjem skladnosti obdelave – določena sta ukrepa notranje in zunanje sledljivosti posredovanj osebnih podatkov. Notranjo sledljivost obdelovalec osebnih podatkov zagotavlja z vodenjem dnevnikov obdelav, zunanjo pa z možnostjo naknadne ugotovitve kateri podatki, komu, kdaj in na kateri podlagi oz. iz katerih razlogov so bili posredovani.

Nova je ureditev oseb, ki znotraj upravljavcev ali obdelovalcev neodvisno zagotavljajo varstvo osebnih podatkov. Imeti morajo zadostno znanje in delovne izkušnje s področja varstva osebnih podatkov. Olajšana je izbira za obdelavo pooblaščenih oseb in najem zunanjih izvajalcev. Za sodišča in državna tožilstva je uvedena posebna centralizirana ureditev.

Podrobneje je urejen postopek uveljavljanja pravic posameznikov. Če nosilec osebnih podatkov meni, da je prišlo do kršitve, lahko vloži neposredno zahtevo (prijavo) pri Informacijskem pooblaščencu. Informacijski pooblaščenec, ki ostaja enotni nadzorni organ za varstvo osebnih podatkov in ohranja svoje pristojnosti, lahko začne nadzorne postopke tudi po uradni dolžnosti in ravna skladno s klasičnim inšpekcijskih postopkom, ki ga ureja Zakon o inšpekcijskem nadzoru. Poleg tega lahko posameznik vloži samostojno tožbo na Upravno sodišče glede kršitev njegovih pravic s strani upravljalca.

V področnih ureditvah obdelav osebnih podatkov so delno prenovljeno razdelane določbe o videonadzoru ter o biometriji.

Kazenske določbe določajo, da se pred Informacijskim pooblaščencem kot prekrškovnim organom upravne globe iz Splošne uredbe obravnavajo kot prekrški. Dodatno urejajo način določanja višine globe. Glede na Splošno uredbo dodajajo odgovornim posameznikom akcesorno kaznivost odgovornih gospodarskih oseb za prekrške, ki je Splošna uredba ne predpisuje.

Končno zakon z novimi pomeni nekaterih izrazov posodablja izrazje in z vidika administrativnih razbremenitev ukinja Register zbirk osebnih podatkov in notifikacije, ki ju nadomešča evidenca dejavnosti obdelav, ki se hrani pri upravljavcu in opredeljuje povezovanje zbirk osebnih podatkov.

Vir: Državni zbor, besedilo Predloga zakona o varstvu osebnih podatkov, 15. julij 2022.