Zakon o varstvu osebnih podatkov (ZVOP-2) dopolnjuje Splošno uredbo o varstvu podatkov (GDPR) in je v veljavi od 26. februarja 2023.
Digitalizacija in zbiranje osebnih podatkov sta zdaj neposredno povezana.
Visoke kazni
S sprejemom ZVOP-2 je zdaj možno izrekanje kazni po GDPR. Najvišje lahko segajo od 20 milijonov EUR ali vse do 4 % skupnega svetovnega letnega prometa.
Pri izreku kazni se upoštevajo tudi okoliščine kršitve, od naklepne do malomarnosti, koliko posameznikov je bilo prizadetih, za kakšne vrste podatkov gre. Na kazen vpliva tudi sodelovanje kršiteljev pred, med in po ugotovljeni kršitvi.
Visoke kazni lahko doletijo za namerno ali zelo brezskrbno zavarovanje podatkov, ko zaradi tega pride do zlorabe ali prodaje z namenom finančnih koristi, do prikritega zbiranja in sledenja ter zlorabe zelo občutljivih podatkov za posameznike, kot je zdravstveno, finančno stanje, socialne okoliščine in podobno.
Različne prehodne določbe predpisane le za nekaj področij:
- 6 mesecev za ureditev videonadzora v javnih prevoznih sredstvih,
- 2 leti za vpeljavo ali uskladitev dnevnikov obdelave in
- 3 leta za uskladitev t.i. posebnih obdelav.
Spremenjene so zahteve glede videonadzora, branja registrskih tablic in biometrije. Podjetja se morajo dobro seznaniti s postopki posredovanja potekov, ko jih od njih zahtevajo drugi (npr. odvetniki, policija, zavarovalnice).
Zakon predvideva, da se bodo postopki slovenske akreditacije glede pooblaščenih oseb za varstvo podatkov (DPO) začeli izvajati 1. januarja 2024.
Prijave kršitev
Informacijski pooblaščenec pravi, je bilo v letu 2022 uvedeno 1030 inšpekcijskih. Prejeli so tudi 160 pritožb zaradi kršitev pravic posameznikov. IP je aktivno sodeloval v 190-ih, leto prej pa le v 62-ih postopkih sodelovanja pri čezmejnem nadzoru zoper upravljavce, ki imajo sedež v drugih državah članicah EU, njihove aktivnosti pa zadevajo tudi slovenske državljane.
Številni posamezniki prijavijo kršitve, ko ne vedo, kako je podjetje za potrebe marketinga pridobilo njihov e-naslov. Prijavijo tudi, če podjetje ne upošteva preklicev oglaševanja in podobno.
Inšpekcija lahko uvede tudi nadzor po uradni dolžnosti, torej brez prijave.
Podjetja morajo zagotovo poznati odgovore vsaj na naslednja vprašanja:
- Kaj pomeni evidenca obdelave?
- Kdaj in kdo mora voditi dnevnike?
- Kakšne so pravne podlage za obdelavo?
- Kaj je treba povedati posameznikom?
Pomembno bo tudi, da ob obisku inšpektorja podjetje dokaže, da spoštuje in razume zahteve in določila tako uredbe GDPR kot zakona ZVOP-2.
Inšpektor lahko:
- pregleda dokumentacijo, ki se nanaša na obdelavo osebnih podatkov (pogodbe, poslovne knjige, druge listine);
- vstopi in pregleda prostore (zemljišča, poslovne prostore) in opremo (elektronske naprave ipd.) – pregled poslovne korespondence, opreme ali elektronske naprave, ki bi posegel v upravičeno pričakovano zasebnost posameznika, lahko nadzorna oseba izvede le s soglasjem posameznika ali na podlagi predhodne pisne odredbe sodišča, pri takšnem pregledu ima nadzorovana oseba pravico biti navzoča;
- zaradi zavarovanja dokazov lahko zahteva tudi brezplačno kopijo listin, odredi začasno zapečatenje prostorov (do 5 dni) in odvzame opremo (do 10 dni), s katero se obdelujejo osebni podatki;
- pridobi vse informacije, ki so potrebne za izvedbo nalog, vključno z osebnimi podatki;
- izvaja druga pooblastila, ki mu jih v konkretnem postopku zagotavljajo predpisi (Splošna uredba, ZVOP-2, ZIN, ZUP).
Zavedati se je treba, da se o vsakem od nas zbirajo številni osebni podatki. Zbirajo jih delodajalci, podjetja, pri katerih kupujemo (npr. kartice ugodnosti), banke, društva in številni državni organi.
Vsakega od nas zanima, ali z zbranimi podatki ravnajo skrbno in preudarno. Zato je nujno, da zakone poznamo tudi kot posamezniki. Zagotovo si nihče ne želi, da se na spletu znajdejo podatki na primer o njegovem finančnem ali zdravstvenem stanju.
Prirejeno po Minimax