Evropski parlament in Svet EU sta nedavno dosegla dogovor o novih pravilih EU o varstvu osebnih podatkov, kar je zajeto v Uredbi (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu podatkov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES – Splošna uredba o varstvu podatkov (GDPR). Razveljavljena direktiva je bila v naš pravni red prenešena z Zakonom o varstvu osebnih podatkov (ZVOP-1), zato se bom osredotočila nanj pri primerjavi ureditev.

Uredba je sicer pričela veljati 24.5.2016, neposredno ter hkrati pa se prične uporabljati v vseh državah članicah 25.5.2018.

Nova Uredba predvsem spreminja višino glob, ki bodo postale strožje; pravne osebe bodo v prekrškovnem postopku lahko sankcionirane v višini do 20.000.000 evrov, v nekaterih primerih pa celo 4% svetovnega letnega prihodka prihajajočega finančnega leta. Spreminja tudi položaj družb, ki obdelujejo osebne podatke državljanov EU zunaj EU (z mednarodnim elementom), Uredba pa za določene kategorije pravnih oseb ureja določene dodatne institute ter protokole. Celostno gledano menim, da kljub strahu, prisotnem v medijih ter stroki, ne gre za reformo, saj se splošna pravila (torej tista, ki ne obsegajo zgolj določenih kategorij družb) ne spreminjajo.

 Vprašanje pa ostaja, kako bo novo Uredbo prenesla v svoj pravni red Slovenija; načeloma je ni treba izvesti z notranjo zakonodajo, saj uredbe ne terjajo implementacije, vendar bo Slovenija najverjetneje šla po te poti, saj je v pripravi že nov zakon, Zakon o varstvu osebnih podatkov-2[1], ki pa ima še veliko variacij v samem predlogu.

NOVOSTI V SAMI UREDBI:

- Obseg uporabljivosti evropske zakonodaje je razširjen: uporabljiva bo tudi zunaj samih meja EU pri obdelavi podatkov, če se bodo subjekti nahajali v EU. To bo imelo še posebej močen učinek na ne-evropske ponudnike internetnih storitev, saj bodo morali veliko bolj paziti na svoje ravnanje pri obdelavi podatkov, kot so dosedaj.

V tem kontekstu je novost tudi koncept nadzora na enem mestu - v primeru, ko obdelava osebnih podatkov poteka v več kot eni državi članici, bo zgolj en, t. i. vodilni nadzorni organ pristojen za spremljanje vseh njihovih dejavnosti. Pristojni vodilni nadzorni organ bo v teh primerih organ države članice, v kateri je glavna ali edina enota upravljavca ali obdelovalca.

- Posameznik  po novem ne sme biti podvržen ukrepom, ki izhajajo zgolj iz profiliranja, analize ali predvidevanj z uporabo avtomatiziranih sredstev obdelave (npr. ocena osebnih lastnosti, zdravja, osebnih navad, življenjskega sloga ipd.). Dosedanji 15. člen Zakona o varstvu osebnih podatkov-1 je sicer že vseboval omejitve avtomatiziranega odločanja, ki so se vsebinsko ujemale z prepovedjo, vsebovano v novi Uredbi.

- Uredba prav tako ureja pravico do pravnega sredstva - posamezniki imajo pravico vložiti pritožbo pri nadzornem organu in pa tudi pravico do pravnih sredstev zoper odločitev nadzornega organa (tudi v primeru ne-ukrepanja) ter pravico do odškodnine. Ustava RS, EKČP ter na njuni podlagi 34. člen Zakona o varstvu osebnih podatkih-1 so seveda že zdaj urejali vse navedene pravice.

- Uvaja se pravica do prenosljivosti osebnih podatkov, pri čemer gre v zvezi s tem izpostaviti, da je bilo to pravico mogoče že sedaj uveljavljati, vendar pa je zdaj v evropski zakonodaji še bolj eksplicitno navedena.

- V zvezi z novostmi, ki jih prinaša Uredba, se pogosto izpostavlja tudi pravica do pozabe (right to be forgotten, tj. pravica subjektov, da pridobijo končni izbris podatkov, ki so bili obdelani ter hranjeni s strani upravljavca podatkov). Dejstvo pa je, in o tem se strinjajo vodilni tuji pravni strokovnjaki, da je bila ta pravica že zdaj implicitno vsebovana v evropskem pravu, zdaj pa je expressly provided for, torej poimensko urejena, tako kot pravica za prenos podatkov z enega upravljavca podatkov na drugega.

Pravica zahtevati popravek, izbris ali vložiti pritožbo, del česar je tudi razvpita “pravica do pozabe” torej ni novost; vse našteto je bilo namreč že zdaj zelo podrobno urejeno v 32. členu Zakona o varstvu osebnih podatkov-1.

- Uvaja se pravica vedeti, kako dolgo se hranijo osebni podatki, v praksi je to že zdaj vseboval 30. člen Zakona o varstvu osebnih podatkov-1.

- Zbiranje osebnih podatkov se opravlja na podlagi privolitve - soglasje mora biti jasna in razumljiva izjava, dana z nedvoumnim pritrdilnim dejanjem (opt-in), mora pa biti tudi dokazljiva. Posameznik mora torej izrecno podati privolitev v zbiranje in obdelavo svojih osebnih podatkov. Našteto pomeni, da je pri vsakem obdelovalcu potrebno preveriti veljavnost obstoječih privolitev, kar lahko prinese visoke due diligence stroške večini pravnih oseb v Sloveniji. Veljaven konsenz k obdelavi podatkov se presoja strožje oziroma bolj definirano; podan mora biti na jasen ter pritrdilen način. Tišina, neaktivnost, že označena polja domnevnega strinjanja posameznika torej ne bodo morala predstavljati veljavnega konsenza. Posameznik lahko prav tako kadarkoli ter brez omejitev odvzame svoje soglasje k obdelavi podatkov.

Po veljavni ureditvi je navedeno urejal že 91. člen Zakona o varstvu osebnih podatkov-1 v kombinaciji z 8. členom, vendar bo po novi ureditvi v tem delu prišlo do strožje presoje. Vprašanje pa je, kako se bo ta določba implementirala preko ZVOP-2, kako se bo razumela v praksi in ali bo dejansko prišlo do drugačnega standarda pri presoji privolitve.

Način za preklic privolitve mora biti po Uredbi enako enostaven kot podaja privolitve. Posameznik ima pravico do umika soglasja za nadaljnjo obdelavo osebnih podatkov še posebej zagotovljeno v primeru neposrednega trženja.  Tudi to je bilo že zdaj razvidno iz splošnih pravnih načel, po katerih za soglasje ter odvzem soglasja po naravi stvari morajo veljati isti pogoji.

- Upravljavci morajo po novi Uredbi upoštevati načeli vgrajenega in privzetega varstva osebnih podatkov, oziroma načeli “by design” in “by default”. Slednje pomeni, da ima upravljavec podatkov obveznost primerno varovati osebne podatke v času njihove pridobitve in tekom vsega časa trajanja obdelave, ter da se osebne podatke sme uporabiti zgolj v namen, h kateremu je bilo dano soglasje, naštete omejitve veljajo pa tudi za čas dosega the namenov.  

Menim, da je tovrstna omejitev že zdaj izhajala iz našega zakona ter direktive, katero je zakon uvajal, sploh iz namena ter splošnih načel na tem področju. Res pa je, da nova Uredba veliko bolj dobesedno navaja veliko instrumentov oziroma pravil, ki so bila  sicer v precejšnji meri že upoštevana ter implicirana v prejšnji evropski zakonodaji.

- Po novem je bolj eksplicitno urejena tudi dolžnost upravljavca, da posamezniku zagotovi osebne podatke v zvezi z njim, ki jih je posredoval upravljavcu, v strukturirani, splošno uporabljani in pa strojno berljivi obliki. Upravljavci morajo posamezniku zagotoviti pregledne, enostavno dostopne informacije o obdelavi njegovih podatkov.

- Novost je tudi varnostni protokol v zvezi z obveznostjo uradnega obveščanja o kršitvah varstva osebnih podatkov – upravljavec mora o kršitvi brez nepotrebnega odlašanja (najpozneje v 72 urah) obvestiti nadzorni organ. V določenih primerih mora o tem obveščati tudi posameznike.

- Uvaja se imenovanje pooblaščene osebe za varstvo podatkov – vendar zgolj za določene kategorije obdelovalcev, kot so denimo javni sektor ter podjetja, katerih temeljne dejavnosti zajemajo dejanja obdelave, ki pomenijo redno in sistematično obsežno spremljanje posameznikov, ali pa obsežno obdelavo posebnih vrst podatkov, bodo morali imenovati odgovorno osebo za varstvo osebnih podatkov.  Ta določba se torej zadeva zgolj zasebnih obdelovalcev podatkov, ki obdelujejo posebne kategorije podatkov (denimo občutljive podatke) ali katerih obdelovanje podatkov vsebuje redno in sistematično nadzorovanje subjektov podatkov velikega obsega. Tovrstni pooblaščenci so lahko pravni strokovnjaki iz področja, ki bodo nadzorovali obdelavo podatkov.

- Evidence obdelav (namesto dosedanjih katalogov) – upravljavci po novem ne bodo več dolžni prijavljati zbirk osebnih podatkov v centralni register zbirk osebnih podatkov, ostaja pa za določene upravljavce (in po novem v določenem delu tudi za pogodbene obdelovalce) obveznost vodenja katalogu podobne evidence dejavnosti obdelave.

- Predhodne ocene učinka v zvezi z varstvom osebnih podatkov – v določenih primerih bodo tovrstne predhodne analize o spoštovanju temeljnih načel varstva osebnih podatkov obvezne za upravljavce.  Upravljavci podatkov bodo izvedli oceno učinka zaščite podatkov, ko bodo ocenili, da zna obdelava podatkov rezultirati v visokem tveganju za subjektove pravice in svoboščine.

 Menim, da že sama definicija “osebnih podatkov” v Uredbi zavezuje kot obdelovalce zgolj tiste pravne osebe, ki obdelujejo podatke fizičnih oseb (saj je uporabljen termin “natural persons”) ne pravnih. Prav tako menim, da gre zgolj za razčlenitev že obstoječih institutov, za spremembe pa zgolj pri določenih zavezancih za varstvo osebnih podatkov, in torej ne za reformo, kot je bila morda ta Uredba predstavljena. Zaradi navedenega in vseh skladnosti z zakonom, ki sem jih ugotovila, menim, da sprejem novega zakona, in ne zgolj novele, ni potreben, saj ne gre za korenito, celostno spremembo zakonodaje; kot že rečeno pa niti sprejem zakona ne bi bil potreben, vendar je morda smiselno o tem razmisliti, saj s tem zagotavljamo večjo seznanjenost. Pomembno pa je, da duhu Uredbe vestno sledimo in ne zaostrujemo trenutno obstoječe zakonodaje več, kot ta od nas zahteva.

[1] Stran Ministrstva za javno upravo: http://e-uprava.gov.si/drzava-in-druzba/e-demokracija/predlogi-predpisov/predlog-predpisa.html?id=8701