29. 12. 2021
Ob nedavnem dnevu mednarodnega dneva boja proti korupciji (9. december) je postalo jasno, da Republika Slovenija do predvidenega roka, 17. decembra 2021, ne bo sprejela zakona, s katerim bi v nacionalno zakonodajo pravočasno prenesla določbe t. i. Direktive o zaščiti žvižgačev (
»EU Whistleblower Directive«), na katero smo opozorili v enem izmed prejšnjih prispevkov (
https://www.fpjr.si/si/publikacije/2021/10/610-Direktiva-o-zasciti-zvizgacev#middle).
Podobno je na področju varstva osebnih podatkov, kjer Republika Slovenija ostaja edina članica EU, ki svoje zakonodaje še ni ustrezno uredila oziroma prilagodila Splošni uredbi o varstvu podatkov (»GDPR«). Ta je v veljavo stopila že 25. maja 2018 in se od takrat sicer uporablja neposredno, kljub temu pa je vsaka država članica zavezana, da s sprejetjem ustrezne nacionalne zakonodaje uredi tudi tista področja, ki se skladno z GDPR urejajo na nivoju posamezne države, ter med drugim določi tudi ustrezno ureditev postopkovnih določb. Zadnji osnutek Zakona o varstvu osebnih podatkov (»ZVOP-2«) je bil objavljen letos spomladi, od avgusta dalje pa je v medresorskem usklajevanju.
Večina zavezancev je svoje poslovanje oziroma delovanje že uskladila z veljavnim GDPR; novi zakon za večino tako praviloma ne bo predstavljal dodatnih obveznosti. Vseeno je pomembno, da naj bi novi nacionalni zakon končno razrešil dilemo glede sankcioniranja kršitev varstva osebnih podatkov, vključno z izrekanjem t. i. upravnih glob. Deloma sta odgovor na dlje časa trajajoče dileme sankcioniranja kršitev letos podali Vrhovno sodišče Republike Slovenije in Višje sodišče v Ljubljani, ki sta pritrdili stališču informacijskega pooblaščenca, da lahko ta tudi po uveljavitvi GDPR še vedno sankcionira kršitve varstva osebnih podatkov, ki so v (trenutno veljavnem) Zakonu o varstvu osebnih podatkov (»ZVOP-1«) opredeljene kot prekrški. Navedeno velja tako za kršitve, ki so nastopile pred, kot tudi kršitve, ki so nastopile po uveljavitvi GDPR. Temeljni poudarek Vrhovnega sodišča Republike Slovenije v tem primeru je bil, da GDPR državam članicam prepušča relativno široko polje pri urejanju nacionalnih pravil, s katerimi naj se sankcionirajo kršitve, in da zato upravne globe, ki jih ta predpisuje v 83. členu, niso edina možna sankcija za kršitev varstva osebnih podatkov.
ZVOP-2 poleg sistematične ureditve sankcioniranja kršitev med drugim prinaša še nekatere druge novosti. Med drugim določa starostno mejo za privolitev v obdelavo osebnih podatkov pri starosti 15 let, ureja občutljivo razmerje med varstvom osebnih podatkov in svobodo izražanja ter dostopom do informacij, ureja aktivnosti v zvezi z videonadzorom, biometrijo ter obdelavo osebnih podatkov umrlih oseb, določa pogoje, ki jih morajo izpolnjevati pooblaščene osebe za varstvo podatkov, ter ureja nekatere druge postopkovne aktivnosti (npr. predpisuje vsebino zahteve za posredovanje osebnih podatkov).
Ker je osnutek ZVOP-2 trenutno še v medresorskem usklajevanju, je težko napovedati, kdaj naj bi bil dejansko sprejet oziroma v kakšni meri bi končni osnutek lahko odstopal od trenutno predstavljenega predloga. Ne glede na to pa je navedeno šteti za jasen signal vsem, ki z ustrezno ureditvijo varstva osebnih podatkov še odlašajo ali to urejajo nepopolno, da pripravijo interni pregled obstoječe ureditve in stanja ter poskrbijo, da sprejeti ukrepi in aktivnosti tudi skoraj štiri leta po začetku neposredne uporabe GDPR še naprej ustrezajo veljavnim standardom ter razvoju tako tehnologije kot pravne ureditve.
Avtorica: Eva Možina, odvetnica