14. 6. 2018
Ne glede na dejstvo, da je 25. maj 2018 za nami in se je Splošna uredba o varstvu podatkov (GDPR) začela uporabljati, se je proces zagotavljanja skladnosti z novimi pravili šele dobro začel, saj bo to proces, ki bo podjetja dnevno spremljal ves čas poslovanja. Upravljavci in obdelovalci na trgu spremljajo drug drugega v želji po uveljavljanju najboljših praks, Informacijski pooblaščenec RS (IPRS) polni vsebino svojih spletnih strani s pojasnili, smernicami in navodili, svoje pa je dodalo še Ministrstvo za pravosodje, ki je konec maja izdalo prva sistemska pojasnila ob začetku uporabe GDPR.
Kako bodo pravila in določbe GDPR zaživela v praksi, je torej še vedno vprašanje časa. Naj vam v tem trenutku zato odgovorimo na dve aktualni vprašanji:
1. Ali moramo še vedno spoštovati določbe ZVOP-1?
Zanašanje zgolj na določbe GDPR ni dovolj. Kot izhaja iz prvih (sicer nezavezujočih)
sistemskih pojasnil Ministrstva za pravosodje, so s 25. majem 2018 prenehale veljati zgolj tiste določbe obstoječega Zakona o varstvu osebnih podatkov (ZVOP-1), ki se razlikujejo od določb GDPR . V veljavi tako ostajajo zlasti področne ureditve iz ZVOP-1, kot so določbe o videonadzoru, biometriji, neposrednem trženju idr. ter tista področja, ki jih GDPR ne ureja oziroma jih lahko države članice uredijo drugače (npr. 14. člen - zavarovanje občutljivih osebnih podatkov, 17. člen - obdelava podatkov za zgodovinske, statistične in znanstveno-raziskovalne namene, drugi odstavek 18. člena – vpogled v osebni dokument, 24. člen – dodatni ukrepi za varnost osebnih podatkov idr.).
V Sloveniji bomo do uveljavitve novega Zakona o varstvu osebnih podatkov (ZVOP-2) imeli dva režima, kar nedvomno zmanjšuje pravno varnost in predvidljivost.
2. Ali je res, da nas po 25. maju 2018 še ne morejo doleteti kazni iz GDPR?
Eden od glavnih razlogov, zakaj je GDPR tako »vroča« tema, so zagotovo stroge kazni za kršitve njenih določb. Podjetjem grozijo denarne kazni do 20 milijonov EUR ali do 4 % skupnega svetovnega letnega prometa v preteklem proračunskem letu, odvisno od tega, kateri znesek je višji.
Kot poudarjata tako IPRS kot Ministrstvo za pravosodje, GDPR govori o upravnih globah, ki jih naš pravni red ne pozna (pozna pa prekrškovne globe). To pomeni, da po trenutnem stališču IPRS do sprejema ZVOP-2 ne more izrekati niti glob niti drugih sankcij za kršitve določb GDPR, lahko pa izreka sankcije za tiste člene ZVOP-1, ki se še vedno uporabljajo.
Ministrstvo za pravosodje presenetljivo tudi dodaja, da naj bi bile kršitve GDPR, storjene med 25. majem in ureditvijo prekrškovne pristojnosti IPRS za te določbe v ZVOP-2, še vedno (materialnopravno) kaznive. Ali bodo kršitelji (po sprejemu ZVOP-2) lahko kaznovani tudi za kršitve GDPR od 25. maja 2018 dalje, pa bodo na koncu presojala sodišča.
Naj pa opozorimo, da GDPR poleg kazni (glob) ureja tudi odškodninsko odgovornost podjetij, na kar pa (ne)sprejetje ZVOP-2 ne vpliva. Podjetja so lahko že neposredno na podlagi GDPR odškodninsko odgovorna v primeru kršitev pravic posameznikov.