Zakon o varstvu osebnih podatkov v Sloveniji ali ZVOP-2, ki je bil sprejet za izpolnjevanje zahtev Splošne uredbe o varstvu podatkov (GDPR). ZVOP 2 podrobneje ureja in prilagaja veljavne določbe GDPR, ki nadomeščajo določbe prejšnjega slovenskega zakona o varstvu osebnih podatkov (ZVOP-1). Vzpostavitev skladnosti z ZVOP 2 omogoča institucijam in organizacijam lažjo avtomatizacijo poslovnih procesov ter boljše razumevanje in upravljanje zbranih podatkov. Prav tako zakon pomaga zagotavljati višjo raven varnosti in zaščite osebnih podatkov ter zasebnosti.
Ključne spremembe za varstvo osebnih podatkov in pooblastila Informacijskega pooblaščenca
Vzpostavitev skladnosti z ZVOP 2 zahteva temeljito poznavanje določb zakona ter drugih pravnih temeljev, ki zagotavljajo celovito varnost informacij in podatkov. Zakon o varstvu osebnih podatkov prinaša pomembne novosti, ki so osredotočene na zaščito osebnih podatkov in varovanje zasebnosti. Zagotavljanje varnosti informacij in podatkov je ključni dejavnik, ki ga morajo organizacije izpolnjevati za uspešno delovanje.
Novi zakon prinaša nekaj pomembnih sprememb. Ena od izrazitejših sprememb je razdelitev pravnih podlag na javni in zasebni sektor. Določbe so v nekaterih primerih popolnoma ločene in opredeljene v različnih členih, medtem ko nekateri členi posebej naslavljajo obdelavo osebnih podatkov tako na zasebnem kot na javnem področju. ZVOP 2 z novimi spremembami podrobneje interpretira Splošno uredbo o varstvu osebnih podatkov (GDPR). Pomembna novost je, da ima Informacijski pooblaščenec zdaj pooblastila in odgovornost za izrek glob ob kršitvah. Zakon ga imenuje kot prekrškovni organ in mu dodeljuje odločanje o prekrških v skladu z določbami ZVOP 2. Prav tako so določeni kriteriji za oceno višine glob, ki so določeni po vzoru Uredbe GDPR.
Novosti pri vodenju evidenc osebnih podatkov in olajšave pri uporabi biometrije
Pomembna sprememba, ki jo prinaša zakon ZVOP 2, je ukinitev Registra zbirk osebnih podatkov in obveznosti obveščanja Informacijskega pooblaščenca o njegovem obstoju. Namesto registra se v novem zakonu ustanovi Evidenca dejavnosti obdelav, ki jo upravljalec hrani in vodi sam. Ta evidenca vsebuje informacije o obdelavah osebnih podatkov. Pri teh evidencah lahko zbiramo določene osebne podatke, kot so ime, številka in vrsta uradnega identifikacijskega dokumenta, naslov prebivališča, zaposlitev, vrsta in registrska številka vozila, ter datum, ura in razlog vstopa ali izstopa.
ZVOP 2 prav tako določa, kako se lahko zbirk osebnih podatkov povezuje v javnem sektorju. Pred povezovanjem zbirk mora upravljalec ali obdelovalec izdelati oceno učinka ter se posvetovati z nadzornim organom, v skladu s Splošno uredbo o varstvu podatkov. Nov zakon prinaša nekatere olajšave glede določb o uporabi biometrije. Določbe o biometriji so ločene na javni in zasebni sektor. Kratek povzetek določa, da osebni podatki, ki se nanašajo na biometrijo, ne smejo biti shranjeni na sami napravi, ki identificira posameznika. Poleg tega se biometrija lahko uporablja le na podlagi zakona in izključno za zagotavljanje varnosti ljudi in premoženja.
Novosti pri videonadzoru in visoke kazni za kršitelje zakona
ZVOP 2 prinaša pomembno spremembo glede vsebine obvestila o videonadzoru. Upravljalec videonadzora mora nadgraditi obvestilo, ki ga posamezniki prejmejo, saj zakon zahteva, da mora posameznik ustrezno prebrati tovrstno obvestilo pred samo izvedbo videonadzora. Novost prinaša tudi način urejanja videonadzora na javnih površinah. Videonadzor je dovoljen samo v primerih, ko obstaja resna in utemeljena nevarnost za življenje, osebno svobodo, telo ali zdravje ljudi, varnost premoženja upravljavca ali za varovanje tajnih podatkov, ki se prevažajo, ter kadar ni mogoče doseči teh ciljev z drugimi sredstvi. Videonadzor je dovoljen tudi za namene varovanja posebnih objektov in območij, ki se morajo varovati po zakonu, vendar le v obsegu in trajanju, ki je potrebno za dosego teh ciljev. Ogled, uporaba ali posredovanje posnetkov so dovoljeni samo za te namene.
Kazni za kršitelje zakona in GDPR uredbe so odvisne od resnosti kršitev in lahko dosežejo visoke zneske. Za manjše kršitve so predvidene penale v višini do 10 milijonov evrov ali do 2 % skupnega letnega prometa podjetja na svetovni ravni za preteklo finančno leto, odvisno od tega, kateri znesek je višji. S temi kaznimi se zagotavlja, da imajo organi za varstvo osebnih podatkov ustrezno moč za sankcioniranje hudih kršitev zakona. Zato je pomembno, da organizacije upoštevajo predpise o varstvu osebnih podatkov in izvajajo potrebne ukrepe za zagotavljanje skladnosti. Ne čakajte, da vas doleti visoka globa – vzemite varstvo osebnih podatkov resno in ukrepajte v skladu z zakonodajo.
Postopek uskladitve organizacije z ZVOP-2 in GDPR
Najprej podjetje izvede temeljito analizo trenutnega stanja usklajenosti vaše organizacije z zahtevami GDPR in ZVOP-om v pravu in informacijskih tehnologijah. Pregledajo obstoječe procese, dokumentacijo in varstvo osebnih podatkov. Na podlagi rezultatov analize pripravijo predloge za obvezne in priporočene izboljšave. To lahko vključujejo prenovo politik in postopkov ter vzpostavitev ustreznih informacijskih rešitev za varstvo osebnih podatkov.
Pripravijo potrebno dokumentacijo, kot so pravilniki, navodila, pogodbe in evidence. Po potrebi izvedejo tudi izobraževanje vaših zaposlenih, da se poučijo o pravilni izvedbi GDPR uredbe in zakona o varstvu osebnih podatkov. V okviru vaše organizacije spremljajo izvajanje GDPR uredbe in v primeru potrebe komunicirajo ter zastopajo vašo organizacijo pred nadzornim organom, to je Informacijskim pooblaščencem. Zagotavljajo, da ste vedno na tekočem z zakonodajo in da izpolnjujete vse zahteve in obveznosti. Skupaj s tem postopkom zagotavljajo, da vaša organizacija deluje v skladu z ZVOP-2 in GDPR-om ter da ustrezno varuje osebne podatke, kar je ključnega pomena za zaupanje strank in spoštovanje njihove zasebnosti.