Državni zbor je 15.12.2022 sprejel Zakon o varstvu osebnih podatkov (ZVOP-2), ki v slovensko zakonodajo prenaša evropsko Splošno uredbo o varstvu podatkov (GDPR) ter ureja nacionalne posebnosti na področju varstva osebnih podatkov. Nov zakon se bo začel uporabljati 26. 1. 2023 in bo nadomestil obstoječi Zakon o varstvu osebnih podatkov (ZVOP-1) iz leta 2004.
ZVOP-2 spoštuje človekovo pravico do varstva osebnih podatkov (38. člen Ustave Republike Slovenije). Med drugim ta predvideva, da je prepovedana uporaba osebih podatkov, ki bi bila v nasprotju z namenom njihovega zbiranja in predvideva, da se ima vsakdo možnost seznaniti z zbranimi osebnimi podatki, ki se nanašajo nanj, obenem pa tudi pravico do sodnega varstva v kolikor bi bili osebni podatki zlorabljeni. Že ustava določa, da mora zakon urediti zbiranje, obdelovanje, nadzor in namen uporabe ter varstvo tajnosti osebnih podatkov.
ZVOP-2 poleg GDPR ureja tudi dodatne vidike varstva osebnih podatkov, med drugim na področjih videonadzora, biometrije, obdelave osebnih podatkov za raziskovalne namene, pooblaščenih oseb za varstvo osebnih podatkov, določa starostno mejo za privolitev otrok za uporabo storitev informacijske družbe in omogoča izrekanje glob, kot jih določa GDPR.
V nadaljevanju je predstavljenih nekaj novosti:
- Nov zakon določa, da oseba starejša od 15 let lahko sama privoli v obdelavo podatkov za uporabo storitev informacijske družbe.
- Določeno je, da se posebno varstvo osebnih podatkov umrlih posameznikov, ki ga predvideva zakon, zagotavlja 20 let po njihovi smrti.
- 22. člen novega zakona predvideva vodenje dnevnika obdelave osebnih podatkov, kadar se v avtomatiziranih sistemih obdelave izvajajo obsežne obdelave posebnih vrst osebnih podatkov ali kadar gre za redno in sistematično spremljanje posameznikov ter še v nekaterih drugih z zakonom predvidenih primerih. Dnevnik obdelave bo moral vsebovati vrsto dejanja obdelave, datum in čas, identifikacijo osebe, ki je izvedla dejanje, ter identifikacijo uporabnikov osebnih podatkov. Vsebina dnevnika obdelave se bo morala hraniti dve leti od zaključka koledarskega leta, v katerem so bila zabeležena dejanja. Zakon za uskladitev dnevnikov obdelav predvideva dve leti časa od uveljavitve zakona (torej do 26.1.2025).
- Novi zakon določa smiselno uporabo določb o varnostnih zahtevah in priglasitvi incidentov iz zakona, ki ureja informacijsko varnost (Zakon o informacijski varnosti) , ki se nanašajo na izvajalce bistvenih storitev. Uporaba velja le za določene, z zakonom predvidene, informacijske sisteme, med drugi za tiste, kjer se obdelujejo osebni podatki več kot 100.000 posameznikov na podlagi zakona in v katerih se obdeluje posebne vrste osebnih podatkov več kot 10.000 posameznikov. Zakon za uskladitev obdelave osebnih podatkov s tem členom določa rok treh let od uveljavitve zakona (torej do 26.1.2026).
- Zakon določa, da nadzor nad izvajanjem določb GDPR in zakona izvaja informacijski pooblaščenec, ki je kot prekrškovni organ pristojen tudi za izrekanje glob skladno z GDPR in novim zakonom. Tako bo omogočeno izrekanje visokih glob, ki jih določa GDPR, med drugim je predvidena tudi globa do 20 milijonov evrov oziroma 4 odstotke letne prodaje (katerikoli znesek je večji), ki lahko doleti podjetje. Do veljavnosti ZVOP-2 je izrekanje tovrstnih glob na podlagi GDPR sicer nemogoče.
V nadaljevanju omenjamo nekaj predvidenih glob:
- V primeru kršitev pravil za obdelavo podatkov (npr. nepravilna privolitev posameznika za zbiranje njegovih podatkov) je zagrožena globa med 200 in 8.000 evri za odgovorno osebo ali samostojnega podjetnika.
- V primeru neobjave obvestila o videonadzoru je predvidena globa do 10.000 evrov oziroma do 20.000 evrov za srednja in velika podjetja.
- V kolikor se posnetki hranijo več kot leto dni, zakon predvideva globo v višini 20.000 evrov oziroma 40.000 evrov za srednja in velika podjetja.
