Novi Zakon o varstvu osebnih podatkov

Novi Zakon o varstvu osebnih podatkov (v nadaljevanju: ZVOP-2) je bil 15. decembra 2022 sprejet v Državnem zboru, 27. decembra 2022 objavljen v Uradnem listu Republike Slovenije in začel veljati 26. januarja 2023. Tako je Slovenija še zadnja izmed članic EU sprejela nacionalno zakonodajo na področju varstva osebnih podatkov in s to uredila še nekatera vprašanja, ki je jih je Splošna uredba o varstvu podatkov (v nadaljevanju: Splošna uredba) prepustila državam članicam.

ZVOP-2 prinaša nekaj pomembnih novosti med katerimi je najpomembnejša ta, da bo informacijski pooblaščenec lahko izrekal globe, ki so predpisane s Splošno uredbo. Le te so določene v 83. členu Splošne uredbe. Hkrati je ZVOP-2 omogočil tudi izrekanje glob odgovornim osebam pravnih oseb in posameznikom, česar pa Splošna uredba ne pozna. Pri tem je tudi pomembno, da ZVOP-2 v prehodnih določbah določa, da se prekrškovni postopki, ki so se začeli pri Informacijskem pooblaščencu ali na sodiščih pred uveljavitvijo ZVOP-2, končajo v skladu z ZVOP-1, razen če je ZVOP-2 za storilca milejši. Postopki inšpekcijskega nadzora, začeti na podlagi ZVOP-1, pa se nadaljujejo v skladu z ZVOP-2.

Prav tako je ZVOP-2 uredil področja, ki jih Splošna uredba ne ureja oziroma jih ne ureja dovolj podrobno. ZVOP-2 tako prinaša naslednje novosti:

• na področju videonadzora se je spremenil rok hrambe posnetkov, ki jih je po novem dovoljeno hraniti največ 1 leto, obvestilo o videonadzoru pa bo moralo vsebovati vse podatke, predvidene v 13. členu Splošne uredbe (podjetja bodo na obvestilo lahko vključila informacijo do spletnega mesta, ki bo vsebovalo te informacije, namesto, da so te navedene na samem obvestilu);

• dnevnike obdelave osebnih podatkov se vodi v primeru (i) obsežne obdelave posebnih kategorij osebnih podatkov, (ii) rednega in sistematičnega spremljanje posameznikov ali (iii) kadar je z oceno učinka ugotovljeno tveganje, ki ga je mogoče učinkovito upravljati z vodenjem dnevnika obdelave ali (iv) če tako določa zakon (obveznost vodenja dnevnikov obdelav je potrebno uskladiti z določili ZVOP-2 šele v roku 2 let od uveljavitve, torej do 26. januarja 2025);

• posameznik lahko zahteva sodno varstvo svojih pravic ves čas trajanja kršitve, brez predhodnega uveljavljanja pravic po drugih določbah ZVOP-2 ali uporabe drugih pravnih sredstev, odloča pa upravno sodišče po Zakonu o upravnem sporu, pri čemer posameznik lahko v tožbo vključi tudi odškodninski zahtevek;

• po preteku 20 let od smrti posameznika njegovi podatki ne bodo zaščiteni več kot osebni podatki;

• spreminja se seznam tretjih držav iz 66. člena ZVOP-1, torej seznam držav, za katere je Informacijski pooblaščenec ugotovil, da imajo v celoti ali delno zagotovljeno ustrezno raven varstva osebnih podatkov, ali da te nimajo zagotovljene, in sicer je bil ta z uveljavitvijo ZVOP-2 razveljavljen, kar pomeni, da bo za iznos osebnih podatkov v države, ki so bile na temu seznamu določene kot države z ustrezno ravnijo varstva osebnih podatkov, potrebno poiskati drugo pravno podlago.

ZVOP-2 prinaša tudi druge spremembe, med drugim na področju biometrije, povezovanja zbirk, javnih knjig, raziskovalnih namenov.

Na tem mestu je pomembno poudariti, da določila iz Splošne uredbe še vedno veljajo in se uporabljajo neposredno, ZVOP-2 pa lahko štejemo kot dopolnitev Splošne uredbe, saj prinaša dodatne zahteve k izpolnjevanju skladnosti poslovanja pri obdelavi osebnih podatkov. Družbe, ki so že do zdaj sledile določbam po Splošni uredbi in usmeritvam Informacijskega pooblaščenca, bodo svoje poslovanje lahko dokaj hitro prilagodile.