Po velikem »preplahu«, ki ga je med upravljavci in obdelovalci osebnih podatkov leta 2018 sprožila Splošna uredba o varstvu osebnih podatkov (GDPR),¹ so številna podjetja nekoliko umirila svoje delo na tem področju. Brez lokalnega predpisa, ki bi nadomestil tedanji Zakon o varstvu osebnih podatkov (ZVOP-1)² in v naš pravni red (med drugim) ustrezno prenesel upravne globe, predpisane z GDPR,³ Informacijski pooblaščenec RS (IPRS) kot nadzorni organ namreč ni imel pristojnosti izrekati enormnih glob, ki so bile večinoma glavna motivacija za usklajevanje poslovanja s predpisi.

Republika Slovenija je s precejšnjo zamudo in kot zadnja država članica EU konec leta 2022 končno sprejela novi Zakon o varstvu osebnih podatkov (ZVOP-2),⁴ veljati pa je začel 26. januarja 2023. IPRS od tedaj dalje lahko izreka globe, predpisane v GDPR. Zakonodajalec se je odločil, da se te pri nas obravnavajo kot globe za prekrške. Bolj kot iz katerega koli drugega razloga je prav to spodbudilo domača in tuja podjetja, da se vnovič ukvarjajo z usklajevanjem področja obdelave osebnih podatkov z zakonodajo. ZVOP-2 (enako kot ZVOP-1) določa globe za prekrške tudi za odgovorne osebe.

Nekatere (nikakor pa ne vse) pomembne novosti, ki jih v naš pravni red uvaja ZVOP-2, so:

• starost za privolitev otroka za uporabo storitev informacijske družbe je 15 let, kar je tudi skladno z določbami Družinskega zakonika;⁵

• posamezniki bodo lahko v primeru kršitve njihovih pravic neposredno (brez predhodnega uveljavljanja na druge načine) uveljavljali sodno varstvo pred Upravnim sodiščem RS;

• varstvo osebnih podatkov umrlih oseb ZVOP-2 omejuje na 20 let po smrti (ZVOP-1 roka ni določal). Kljub temu bo po preteku tega roka treba upoštevati morebitne specialne predpise, ki še vedno lahko določajo drugače. Po drugi strani širi oziroma lajša pridobivanje podatkov nekaterim izrecno naštetim osebam, saj jim drugače kot ZVOP-1 ni več treba izkazovati pravnega interesa. Upravljavci morajo kljub temu biti previdni in v dvomu presoditi, ali je smiselno takšno zahtevo kljub temu zavrniti, saj ZVOP-2 daje zgolj podlago za posredovanje, neposredovanja pa ne opredeljuje kot prekršek;

• uvaja tako imenovane dnevnike obdelav (ki niso povsem enaki kot revizijska sled, ki jo je določal ZVOP-1), ki jih morajo voditi upravljavci v določenih izrecno naštetih primerih, kot so na primer obsežne obdelave posebnih vrst osebnih podatkov ter redno in sistematično spremljanje posameznikov (kamor spadata na primer različni klubi zvestobe in profiliranje). Ker gre za novo in tehnično potencialno zahtevnejšo operacijo, ZVOP-2 upravljavcem omogoča tudi nekaj časa za uskladitev delovanja s to novo obveznostjo. Določa namreč, da je treba vodenje dnevnikov obdelav z zakonom uskladiti šele v dveh letih od uveljavitve, torej do 26. januarja 2025;

• izrecno prepoveduje uporabo elektronskih naslovov zaposlenih, objavljenih na spletnih straneh družb, za namene neposrednega trženja. Dosedanja praksa in razlaga ZVOP-1 ter Zakona o elektronskih komunikacijah (ZEKom-2)⁶ je pod določenimi pogoji dopuščala uporabo tako objavljenih elektronskih naslovov za namene pošiljanja trženjskih sporočil tudi brez izrecnega soglasja, ZVOP-2 pa v 93. členu izrecno določa, da se tako objavljeni podatki lahko uporabljajo na primer za namene organiziranja uradnih srečanj, izobraževanj, usposabljanj, dogodkov, ni pa jih dovoljeno uporabljati za izvajanje neposrednega trženja;

• razveljavlja seznam tretjih držav iz 66. člena ZVOP-1, torej držav, za katere je IPRS ugotovil, da imajo v celoti ali delno zagotovljeno ustrezno raven varstva osebnih podatkov, ali da te nimajo zagotovljene. Glede na odločitve (angl. adequacy decisions), ki jih je sprejela Evropska komisija,⁷ bo to pomenilo, da na seznamu tretjih držav, za katere ni potrebna dodatna podlaga za iznos podatkov, ne bo več Makedonije, in bo (do sprejema morebitnih novih odločitev) treba za iznose osebnih podatkov v Makedonijo poiskati drugo pravno podlago (na primer standardne pogodbene klavzule);

• uvaja nekatere spremembe na področju videonadzora, med katerimi je treba omeniti obveznost obvestila o videonadzoru, ki sicer ni nova zahteva, spreminja pa se obseg informacij, ki jih mora vsebovati. Zajemati mora namreč vse informacije iz 13. člena GDPR ter dodatno še izrecno naštete sestavine iz 76. člena ZVOP-2. Ker gre za veliko količino informacij, ZVOP-2 dopušča, da so te na voljo na spletni strani, ki je navedena na obvestilu (ob tem je treba opozoriti, da zgolj uporaba kode QR za IPRS zelo verjetno ne bo dovolj).

¹ Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES.

² Uradni list RS, št. 94/07 – uradno prečiščeno besedilo.

³ Tega instituta namreč v Republiki Sloveniji ne poznamo.

⁴ Uradni list RS, št. 163/22.

⁵ Uradni list RS št. 15/17 s spremembami.

⁶ Uradni list RS, št. 130/22 s spremembami.

⁷ Ki se do določene mere prekrivajo s tistimi, ki jih je sprejel Informacijski pooblaščenec RS.

Avtorica: odvetnica Urša Horvat Kous, Jadek & Pensa.