Januarja je začel veljati Zakon o varstvu osebnih podatkov (ZVOP-2), ki dopolnjuje Splošno uredbo o varstvu podatkov (GDPR). Ker organizacije danes zbirajo vse več osebnih podatkov, je smiselno, da poznamo in razumemo novo zakonodajo.
Z novim zakonom so urejena tista področja, ki s splošno uredbo niso pokrita. Med drugim so določene tudi kazni, ki jih do sedaj za kršitve GDPR inšpektorji niso izrekali.
Izrekanje kazni po GDPR
Obdobja miru, ko za kršitev GDPR nismo mogli prejeti kazni, je konec. S sprejemom ZVOP-2 je zdaj možno izrekanje kazni po GDPR. Najvišje lahko segajo od 20 milijonov EUR ali vse do 4 % skupnega svetovnega letnega prometa.
Pri vsakem izreku kazni se upoštevajo tudi drugi kriteriji: od naklepa ali malomarnosti, kakšno je bilo število prizadetih posameznikov, za kakšne vrste podatkov gre. Kazen bo odvisna tudi od tega, kakšno je sodelovanje kršiteljev pred, med in po ugotovljeni kršitvi.
Visoke kazni so možne za namerno ali zelo brezskrbno zavarovanje podatkov, še posebej, če gre za podatke velikega obsega ali sporne oziroma občutljive podatke. To je mogoče v primerih, ko pride na primer do zlorabe ali prodaje z namenom finančnih koristi, do prikritega zbiranja in sledenja ter zlorabe zelo občutljivih podatkov za posameznike, kot je zdravstveno, finančno stanje, socialne okoliščine in podobno.
Kdaj stopi zakon v veljavo in kje so novosti?
Zakon je bil sprejet 26. 1. 2023. Veljati pa začne trideseti dan po objavi v uradnem listu.
To pomeni, da bi morala imeti podjetja do zdaj že vse urejeno, saj so različne prehodne določbe predpisane le za naslednja področja:
• 6 mesecev za ureditev videonadzora v javnih prevoznih sredstvih,
• 2 leti za vpeljavo ali uskladitev dnevnikov obdelave in
• 3 leta za uskladitev t.i. posebnih obdelav.
Bistvene spremembe, ki jih prinaša ZVOP-2, so spremenjene zahteve glede videonadzora, branja registrskih tablic in biometrije. Podjetja se morajo dobro seznaniti s postopki posredovanja potekov, ko jih od njih zahtevajo drugi (npr. odvetniki, policija, zavarovalnice).
Določeni pa so še dodatni pogoji glede pooblaščenih oseb za varstvo podatkov (DPO). Zakon predvideva, da se bodo postopki slovenske akreditacije začeli izvajati 1. januarja 2024.
Glavni vir prijav informacijskemu pooblaščencu (IP)?
Po podatkih iz letnih poročil IP je opazno, da je veliko prijav interne narave (torej zaposleni prijavi npr. delodajalca zaradi vpogleda v korespondenco ali spornega videonadzora …). Tudi posamezniki so bolj ozaveščeni. Kršitve prijavijo, ko ne vedo, kako je podjetje za potrebe marketinga pridobilo njihov e-naslov. Prijavijo tudi, če podjetje ne upošteva preklicev oglaševanja in podobno.
Seveda pa lahko inšpekcija uvede tudi nadzor po uradni dolžnosti, torej brez prijave.
Kot je na svoji spletni strani zapisal IP, je bilo v letu 2022 ponovno uvedeno veliko število inšpekcijskih postopkov, in sicer 1030. Prejeli so tudi 160 pritožb zaradi kršitev pravic posameznikov. IP je aktivno sodeloval v 190-ih, leto prej pa le v 62-ih postopkih sodelovanja pri čezmejnem nadzoru zoper upravljavce, ki imajo sedež v drugih državah članicah EU, njihove aktivnosti pa zadevajo tudi slovenske državljane.
Kaj morajo vedeti podjetja, ki zbirajo podatke?
Organizacije si morajo zagotovo poznati odgovore vsaj na naslednja vprašanja:
• Kaj pomeni evidenca obdelave?
• Kdaj in kdo mora voditi dnevnike?
• Kakšne so pravne podlage za obdelavo?
• Kaj je treba povedati posameznikom?
Pomembno bo tudi, da ob obisku inšpektorja podjetje dokaže, da spoštuje in razume zahteve in določila tako uredbe GDPR kot zakona ZVOP-2.
Kako poteka nadzor in kakšna pooblastila ima inšpektor?
Kot je razvidno s spletne strani IP, ima inšpektor naslednje pristojnosti in lahko:
- pregleda dokumentacijo, ki se nanaša na obdelavo osebnih podatkov (pogodbe, poslovne knjige, druge listine);
- vstopi in pregleda prostore (zemljišča, poslovne prostore) in opremo (elektronske naprave ipd.) – pregled poslovne korespondence, opreme ali elektronske naprave, ki bi posegel v upravičeno pričakovano zasebnost posameznika, lahko nadzorna oseba izvede le s soglasjem posameznika ali na podlagi predhodne pisne odredbe sodišča, pri takšnem pregledu ima nadzorovana oseba pravico biti navzoča;
- zaradi zavarovanja dokazov lahko zahteva tudi brezplačno kopijo listin, odredi začasno zapečatenje prostorov (do 5 dni) in odvzame opremo (do 10 dni), s katero se obdelujejo osebni podatki;
- pridobi vse informacije, ki so potrebne za izvedbo nalog, vključno z osebnimi podatki;
- izvaja druga pooblastila, ki mu jih v konkretnem postopku zagotavljajo predpisi (Splošna uredba, ZVOP-2, ZIN, ZUP).
Ali je ZVOP-2 pomemben samo za organizacije ali tudi za posameznike?
Zavedati se je treba, da se o vsakem od nas zbirajo številni osebni podatki. Zbirajo jih delodajalci, podjetja, pri katerih kupujemo (npr. kartice ugodnosti), banke, društva in številni državni organi.
Vsakogar od nas zanima, ali z zbranimi podatki ravnajo skrbno in preudarno. Zato je nujno, da zakone poznamo tudi kot posamezniki. Zagotovo si nihče ne želi, da se na spletu znajdejo podatki na primer o njegovem finančnem ali zdravstvenem stanju.