ZVOP-2 po skoraj petih letih zamude ugledal luč sveta

Splošna uredba o varstvu podatkov (GDPR) je stopila v veljavo že leta 2016, dve leti kasneje se je začela izvajati v praksi. Predvidevala je, da posamezne članice EU sprejmejo nacionalne zakone, ki naj bi podrobneje uredili nekatere vidike varstva osebnih podatkov. Pisarna Informacijske pooblaščenke in Ministrstvo za pravosodje sta družno zagrizla v kislo jabolko. Tako smo imeli v zadnjih nekaj letih kar nekaj osnutkov zakona. Nekateri so celo doživeli svoj dan v državnem zboru. S četrtim predlogom nam je vendarle uspelo, decembra 2022 je parlament z večino glasov potrdil nov zakon. Po skoraj petih letih zamude je ZVOP-2 naposled ugledal luč sveta in se danes pričel uporabljati. V tem ne ravno kratkem obdobju nam je zaradi doslednega upoštevanja pravice do lastnega tempa uspelo razdražiti Evropsko komisijo, celo do te mere, da nam je kot zadnji državi članici EU, ki zakona še ni sprejela, zagrozila z globami. A naposled je porod, čeravno z nemalo zapleti, uspel.

Kaj novega torej prinaša ZVOP-2?
Ob branju se je težko znebiti vtisa, da gre za sešitek starega ZVOP-1 in GDPR, zato preseneča, da je oblikovanje takšnega izdelka terjalo skoraj 7 let truda dveh resnih državnih institucij. Kot smo pričakovali nov zakon nekatere vidike GDPR še zaostri, hkrati pa ureja specifična področja obdelave osebnih podatkov: videonadzor, biometrijo, obdelavo podatkov za sekundarne namene, obdelavo podatkov umrlih, evidenco vstopov. Toda bolj zanimive so nekatere pomembne novosti, ki jih prinaša, in ki utegnejo močno vplivati na delo pisarne Informacijskega pooblaščenke.

Konec kavč inšpekcij?
V preteklosti smo opozorili na zanimivo prakso izvajanja t.i. kavč inšpekcij, s katerimi je svojo prepoznavnost zgradila aktualna informacijska pooblaščenka Mojca Prelesnik. Vsekakor gre za inovativno obliko »inšpekcij na daljavo«, ki so hitrejše in cenejše, a žal tudi v nasprotju z določbami Zakona o inšpekcijskem postopku, ki pravi, da ima oseba v inšpekcijskem postopku pravico biti prisotna pri izvajanju nadzora. Morda bi bil še boljši kompromis uporaba videokonferenčnih programov, ki smo jih med epidemijo covida dodobra spoznali?
Kakorkoli že, zakonodajalcu se takšne virtualne inšpekcije niso zdele najbolj modre, zato je z novim zakonom temu naredil konec. ZVOP-2 v 59. členu namreč izrecno določa, da nadzorne osebe neposredno opravljajo nadzore. V izogib napačnim interpretacijam je v uradnem komentarju k členu dodal, da »nadzorne osebe Informacijskega pooblaščenca opravljajo nadzore po ZVOP-2 neposredno, torej jih ne morejo opravljati na posredni (oddaljeni) način.« Vsekakor upamo, da prepoved kavč inšpekcij ne bo ohromila delovnih procesov in inovativnosti našega varuha zasebnosti.

Konec zaslužkarstva?
Javni uslužbenci nemalokrat tarnajo, da njihove plače niso zavidljive. Če sodimo po javno dostopni sistemizaciji delovnih mest s plačilnimi razredi, ki je objavljen na spletni strani pisarne informacijske pooblaščenke, to vsekakor drži. Zato povsem razumemo, da nekateri skromne dohodke prek avtorskih pogodb ali popoldanskih s.p.jev, oplemenitijo še s plačljivimi predavanji in svetovanji.

Žal zakonodajalca tovrstna podjetnost ni preveč navdušila, saj si je sicer težko razlagati pomen 55. člena ZVOP-2, ki v 1. odstavku jasno določa, da nadzorni organ »spodbuja ozaveščenost in razumevanje javnosti … in v ta namen izvaja brezplačna izobraževanja in usposabljanja«, v 2. odstavku pa zamisel o brezplačnosti podkrepi, ko zapiše, da »nadzorni organ izvaja pristojnosti in naloge iz prejšnjega odstavka brezplačno«. Upamo, da bo pisarna pooblaščenke za piškotke našla kakšen obvod, morda plačljiva predavanja v zasebnem času ali svetovanja med dopustom, sicer se utegne zgoditi, da bodo vidni strokovnjaki pobegnili v bolje plačan zasebni sektor.

Ta sprememba sicer še ni prišla do zaposlenih v pisarni, tako da si zaenkrat lahko za low-low-low price of €288 + DDV preko Zooma ogledate predavanje o vsebini novega zakona. Učinke 100. člena Zakona o javnih uslužbencih v povezavi z novo osnovno dejavnostjo organa bomo očitno odkrivali čez nekaj let.

Zrno na zrno pogača, varnost na varnost…
ZVOP-2 prinaša strožje zahteve za upravljavce t.i. posebnih zbirk podatkov. To so predvsem zelo obsežne zbirke podatkov, in tiste, kjer se obdelujejo posebne vrste osebni podatki. Javna uprava, zdravstvo, bančništvo, zavarovalnice, energetika, se utegnejo znajti na seznamu upravljavcev, ki obdelujejo posebne zbirke podatkov. Za takšne zbirke bo treba imenovati osebe, ki bodo skrbele za ustrezno varnost, izdelovati ocene učinkov glede obdelav osebnih podatkov, v nekaterih primerih te ocene pošiljati na različne konce in kraje, npr. do pisarne informacijske pooblaščenke, na SI-CERT. Treba bo zavihati rokave in pripravljati analize tveganj, izvajati ukrepe za zmanjšanje teh tveganj, skratka, pobliže se bo treba spoznati z zahtevami Zakona o informacijski varnosti in morda še s kakšnim ISO/IEC standardom. Upamo, da se bodo obsežne nove zahteve vsaj v javnem sektorju uskladile z ustavno pravico do lastnega tempa.

Usoda brezzobega tigra
Če je pisarna informacijske pooblaščenke pred sprejemom ZVOP-2 zaradi nezmožnosti izrekanja glob po GDPR v marsičem spominjala na rjovenje brezzobega tigra, je zdaj jasno, da je zver dobila protezo -- nove zobe. Globe se odmerja v razponu, ki ga predvideva GDPR, torej največ do 20 milijonov EUR oz. do 4% skupnega svetovnega letnega prometa. Hkrati pa so globe za kršitve določb ZVOP-2 nekoliko milejše in se v povprečju dvigajo do nekaj tisoč EUR. Skladno s trendi podražitev se višajo tudi cene varstva osebnih podatkov -- globe.

Več podatkov v zvezi z novimi spremembami pa so za vas skladno z novo zakonodajo pripravili predstavniki Pisarne.