Ob obisku spletnih strani se lahko na vaš računalnik (telefon, tablico,...) shranijo določene informacije - večinoma v obliki piškotkov. Te informacije so lahko tudi o vas, vaših priljubljenih aktivnostih na spletni strani, vrsti brskalnika in podobno. Piškotki skrbijo tudi za to, da spletna stran deluje tako kot je bilo pričakovano oz. predvideno. Piškotke lahko delno ali v celoti odobrite, vendar pa v primeru zavrnitve, nekateri deli spletne strani in nekatere funkcije za vas mogoče ne bodo dostopne več.
Dne 26.1.2023 je začel veljati novi Zakon o varstvu osebnih podatkov (ZVOP-2). Pomembno je, da ga beremo skupaj s Splošno uredbo (GDPR), ki je okvir, ki postavlja enotna pravila za varstvo osebnih podatkov. To pomeni, da posamezna država ne more in ne sme spreminjati določb Uredbe, a imajo države članice v določenem segmentu možnost, da posamezna vprašanja področja varstva osebnih podatkov uredijo posebej. Oba predpisa torej beremo skupaj.
ZVOP-2 posebej ureja določena vsebinska področja (uporaba zdravstvenih, biometričnih, genskih podatkov), postopek izrekanja sankcij in pravna sredstva v postopku, razmerje do drugih področij in pravic, dodatne pogoje za pooblaščene osebe za varstvo podatkov, urejanje videonadzora, sledljivost in druga področja. Nov zakon prinaša precej novosti, ki jih je v izogib težavam dobro poznati in jim ustrezno prilagoditi svoje poslovanje. ZVOP-2 deli pravne podlage na javni in zasebni sektor, tako, da so ponekod določbe popolnoma ločene, druge pokrivajo oba sektorja. Za razumevanje vsebine zakona je pomemben 5. člen, ki določa vsebino izrazov, ki jih zakon uporablja in je torej ključen za pravilno razumevanje.
V nadaljevanju na kratko o najpomembnejših novostih ZVOP-2 in sicer z navedbo členov zakona in Splošne uredbe ter s kratkimi pojasnili o vsebini. Z uveljavitvijo ZVOP-2 je prenehal veljati ZVOP-1. ZVOP-2 je v prehodnih določbah določil različne roke za prilagoditev novosti, ki jih ZVOP-2 določa (na primer: prekrškovni postopki, ki so se začeli pred veljavnostjo ZVOP-2 se končajo po pravilih ZVOP-1, razen, če je novi zakon milejši, prenehal je delovati Register osebnih podatkov pri Informacijskem pooblaščencu (IP), vodenje dnevnikov obdelav se uskladi z 22. členom ZVOP-2 v dveh letih, če se podatki o pooblaščenih osebah niso spremenili, jih IP ni potrebno ponovno posredovati). Zakon velja za upravljavce, obdelovalce, uporabnike in druge subjekte, ki obdelujejo osebne podatke, ne glede na to, da obdelava ne poteka na ozemlju Republike Slovenije.
Privolitev (6., 8. člen ZVOP-2; 7., 8., 9. člen Splošne Uredbe): Posameznik svobodno odloča komu in pod kašnimi pogoji dovoljuje obdelavo svojih osebnih podatkov. Splošna uredba definira privolitev v 4. členu in da je privolitev veljavna mora izpolnjevati sledeče pogoje: biti mora prostovoljna (posameznik ima možnost izbire in nadzor nad svojimi osebnimi podatki), nedvoumna (pritrditev je dana z pisno ali ustno izjavo ali pa je izkazana z aktivnostjo), informirana (posameznik razume v kaj privoli) in specifična (za konkretno opredeljen namen). Zato v naprej, na splošno dane privolitve tem standardom ne ustrezajo. ZVOPP-2 ureja privolitev v javnem sektorju in privolitev otroka v storitve informacijske družbe, kot osebe, ki potrebuje posebno zaščito (8. člen ZVOP-2). Posebno varstvo osebnih podatkov se določa tudi za umrle osebe, ki svojih pravic ne morejo ščitit same (9. člen ZVOP-2). Posameznik lahko svojo privolitev kadarkoli prekliče.
Obveščanje posameznikov o obdelavi osebnih podatkov (17., 30. – 34., 75. člen ZVOP-2 in 5(1)(a), 12. – 14. člen Splošne uredbe): Pri obdelavi osebnih podatkov so temeljna načela zakonitost, poštenost in preglednost. Od upravljavca se zahteva, da posamezniku, katerega osebne podatke obdeluje zagotovi jasne informacije glede načina in obsega obdelave, kaj so tveganja in ukrepe, ki jih je sprejel, da te podatke lahko ustrezno zaščiti. Informacije, ki jih mora dati upravljavec se razlikujejo glede na to ali so bili podatki pridobljeni neposredno od posameznika ali iz drugih virov.
Videonadzor (76. – 80. člen ZVOP-2): Upravljavec mora o opravljanju videonadzora objaviti obvestilo, ki mora biti postavljeno tako, da je v naprej vidno, kar pomeni, da se posameznik lahko predhodno odloči in se izogne območju, kjer je vzpostavljen videonadzor. Informacije, ki jih mora obvestilo vsebovati so določene v 13. členu Splošne uredbe in 76. členu ZVOP-2. Te informacije so lahko objavljene tudi na spletnih straneh. Videonadzor, ki se opravlja pri vstopu v poslovne prostore mora biti urejen posebej, kar pomeni, da morajo biti vsi zaposleni, o njem pisno obveščeni v naprej. Vpogled v posnetke ali njihovo posredovanje je dopustno samo iz razlogov in za namen, ki je zakonito obstajal in bil naveden na obvestilu o izvajanju videonadzora. Videonadzor v določenih prostorih ni dopusten (dvigala, sanitarije,..). Obdelava videoposnetkov mora biti sledljiva, kar pomeni, da mora upravljavec sistema zagotoviti možnost ugotavljanja, komu je posnetke posredoval, zakaj, kaj je bila podlaga itd. Pri nadzoru cest se lahko izvaja videonadzor le v naprej določenih cestnih odsekih. Videonadzor na javnih površinah je dovoljen tudi za namene varovanja varovanih oseb ter posebnih objektov in okolišev objektov oziroma varovanja drugih prostorov, zgradb ali območij, ki jih je treba varovati na podlagi zakona, in sicer samo v obsegu in trajanju, potrebnem za doseganje namena. Vpogled, uporaba ali posredovanje posnetkov so dopustni le za te namene.
Biometrija (81. – 84. člen ZVOP-2): Obdelava teh podatkov je strogo omejena, saj se lahko izvaja le če je nujna za opravljanje dejavnosti, varnost ljudi, premoženja, varovanja tajnih podatkov ali poslovnih skrivnosti. Določbe so ločene na javni in zasebni sektor. Obdelava teh podatkov v nasprotju z določbami ZVOP-2 je prepovedana.
Varnost osebnih podatkov (22., 23. člen ZVOP-2): Tretje poglavje ZVOP-2 ureja varnost osebnih podatkov in ukrepe za njihovo zagotavljanje. Gre za skupek ravnanj, ki s pomočjo tehničnih in organizacijskih postopkov in ukrepov preprečijo, da bi osebni podatki prišli v roke nepooblaščenim osebam, se nepooblaščeno uporabljali, brisali, spreminjali ali izgubili. Splošna uredba ureja varnost osebnih podatkov, ZVOP-2 pa vsebuje dodatne zahteve, ki jih morajo zavezanci upoštevati poleg tistih, ki so določene v Splošni uredbi. Novost je vodenje dnevnika obdelave (22. člen). Zakon določa kdo in za katera dejanja ga vodi, kaj mora vsebovati, nameni za katere se uporablja in rok hrambe. Dnevnik obdelave se hrani dve leti od zaključka koledarskega leta, v katerem so bila zabeležena dejanja obdelave, če drug zakon ne določa drugače. Dnevnik obdelave je pisni dokument, v večini primerov avtomatiziran.
Postopanje v primeru kršitve varnosti osebnih podatkov (23. člen ZVOP-2 in 33. in 34. člen Splošne uredbe): Pomembno je, da je v primeru varnostnega incidenta (ko bi kršitve pomenile ogrožanje pravic in svoboščin posameznika) vzpostavljen sistem za zaznavanje in sporočanje kršitev. Upravljavec mora o kršitvi obvestiti IP takoj, najkasneje v roku 72 ur po zaznani kršitvi.
Ocena učinkovitosti v zvezi z varstvom osebnih podatkov (22., 24., 69., 80. člen ZVOP-2 in 35., 36. člen Splošne uredbe): Predstavlja jo način, kako doseči zmanjševanje tveganj pri ravnanju z osebnimi podatki, analizo tveganj in določanje, kaj bi lahko pomenilo tveganje. Vsebino določa Splošna uredba, dodatno pa ZVOP-2.
Pooblaščena oseba za varstvo osebnih podatkov (44. – 50 člen ZVOP-2 in 37. – 39. člen Splošne uredbe): Ta oseba naj bi izvajala svetovalne in nadzorne naloge na področju varstva osebnih podatkov, gre za osebo, ki je neodvisna, ki ima vse potrebne informacije v zadevah, ki se tičejo področja varstva osebnih podatkov, ima podporo vodstva, je ustrezno strokovno izobražena. Kdo mora imenovati pooblaščeno osebo določa Splošna uredba v 37. členu, 45. člen ZVOP-2 pa ta nabor razširja na upravljavce in obdelovalce iz 1. do 4. točke prvega odstavka 23. člena ZVOP-2. Drugi upravljavci ali obdelovalci lahko prostovoljno določijo pooblaščeno osebo, saj si s tem precej olajšajo delo povezano z varstvom osebnih podatkov. Naloge takega pooblaščenca so predvsem svetovalne in nadzorne narave, zato so njegove kvalifikacije izjemno pomembne. Zahteva se, da upravljavec oziroma obdelovalec na spletni strani objavi kontaktne podatke pooblaščene osebe in te podatke posreduje nadzornim organom. Ni nujno, da je pooblaščena oseba zunanji izvajalec, lahko je tudi zaposlena oseba, pri čemer je pomembno, da ne gre za nasprotje interesov.
Evidenca dejavnosti obdelave (45., 67., 119., 126. člen ZVOP-2 in 30. člen Splošne uredbe): Med obdelavo sodi vsaka obdelava osebnih podatkov, ki se izvaja – posredovanje, hramba, izbris itd. Evidenco je treba voditi tako, da se le ta lahko vsak čas posreduje IP v pregled, torej mora biti v pisni obliki (tudi elektronsko). Evidenco je treba sprotno ažurirati. Splošna uredba določa, kdo mora evidentirati, kaj mora evidentirati in kako se evidentiranje izvaja. ZVOP-2 določa rok v katerem je potrebno vpisati podatek o imenovani pooblaščeni osebi za varstvo osebnih podatkov v 8 dneh od njene določitve.
Pravice posameznikov in postopki, ki jih vodi IP: Posameznik, ki meni, da se njegovi osebni podatki obdelujejo nezakonito lahko zahteva, da se seznani z lastnimi osebnimi podatki, lahko zahteva njihovo popravo, omejitev obdelave oziroma izbris nezakonito obdelanih podatkov. Uredba daje pravico do ugovora obdelavi. Posameznik, ki meni, da se njegovi podatki nezakonito obdelujejo lahko poda prijavo IP (pristojnosti IP določa Zakon o informacijskem pooblaščencu). IP izvršuje svoja pooblastila v postopku, ki se vodi na zahtevo prijavitelja in postopek, ki ga vodi, kot inšpekcijski postopek. Inšpekcijski postopek se vodi v javnem interesu in v skladu z Zakonom o inšpekcijskem nadzoru.
Za vse, ki potrebujete več informacij in obrazce, ki se v postopku uporabljajo pa so v pomoč obsežna navodila in pojasnila na spletni strani Informacijskega pooblaščenca in na spletni strani pojasnil k predlogu ZVOP-2, na spodnji povezavi:
https://www.ip-rs.si/zakonodaja/zakon-o-varstvu-osebnih-podatkov/zvop-2#a1
