12. 4. 2016

Pripravlja se nova ureditev varstva osebnih podatkov v EU

Konec leta 2015 so evropske institucije po večletnih pogajanjih dosegle dogovor o prenovi sistema varstva osebnih podatkov v EU, ki jo je Evropska komisija predlagala že leta 2012. Reforma je bila nujno potrebna tako z vidika varstva pravic posameznikov, kot tudi prostega pretoka osebnih podatkov, kar je ključno za dosego ciljev Digitalne agende za Evropo 2020.

Trenutni zastarel zakonodajni okvir EU glede varstva osebnih podatkov iz leta 1995, na katerem temelji tudi slovenski Zakon o varstvu osebnih podatkov (ZVOP-1), bosta tako nadomestili Uredba Evropskega Parlamenta in Sveta o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (t. i. Splošna uredba o varstvu podatkov) ter Direktiva o varstvu podatkov za policijske organe in organe kazenskega pravosodja. Po pričakovanjih naj bi bil dogovor o zakonodajnem svežnju s strani Evropskega parlamenta in Sveta dokončno potrjen spomladi 2016, pri čemer se bo Splošna uredba uporabljala neposredno, Direktivo pa bodo morale države članice prenesti v svoj pravni red.

Čeprav naj bi se tako Splošna uredba kot Direktiva začeli izvajati šele dve leti po sprejemu, torej predvidoma v prvi polovici 2018, zaradi obsežnosti sprememb že sedaj opozarjamo na nekatere ključne obveznosti upravljavcev osebnih podatkov.

Splošna uredba državljanom zagotavlja boljši nadzor nad njihovimi osebnimi podatki ter uzakonja zlasti lažji dostop do lastnih podatkov, pravico do prenosljivosti podatkov in pravico do pozabe (slednjo je že leta 2014 priznalo Sodišče EU v primeru Costeja) ter pravico izvedeti, kdaj so bili osebni podatki zlorabljeni.

Po novem bodo lahko upravljavci podatke obdelovali le na podlagi izrecne posameznikove privolitve. Bolj strogo urejena je tudi dolžnost obveščanja posameznika o obdelavi njegovih osebnih podatkov, kar pomeni, da bodo morala podjetja pripraviti nova besedila obvestil in izjav o obdelavi podatkov. Podrobneje je določena tudi dolžnost upravljavcev osebnih podatkov do zavarovanja podatkov s tehničnimi in organizacijskimi postopki in ukrepi ter dolžnost, da nemudoma, najkasneje pa v roku 72 ur, pristojnemu nadzornemu organu naznanijo kršitev varstva podatkov. V ta namen bodo morala podjetja prilagoditi svoja interna pravila in smernice o varovanju podatkov ter sprejeti ukrepe za učinkovit nadzor in ukrepanje v primeru morebitnih kršitev. V primeru, da način obdelave osebnih podatkov predstavlja posebno visoko tveganje za posameznikove pravice in svoboščine, bodo morali upravljavci pred obdelavo pripraviti oceno tveganja. Občutno se bodo povečale kazni za prekrške, saj bo lahko nadzorni organ za najhujše kršitve izrekel kazen do vrednosti 1.000.000 EUR oziroma do 2 % letnega svetovnega prometa podjetja (po ZVOP-1 je najvišja globa 12.510 EUR).

Čeprav Splošna uredba za podjetja določa precej novih obveznosti, bodo pravila vsekakor bolj predvidljiva, saj bodo znotraj EU enaka, predviden pa je tudi mehanizem »vse na enem mestu« oziroma sistem zgolj enega nadzornega organa.

<< Nazaj na seznam