Januarja je bil objavljen uradni predlog novele Zakona o varstvu osebnih podatkov (ZVOP-2), ki v slovenski pravni red prenaša določila Splošne uredbe o varstvu podatkov (GDPR). Predlog uvaja več novosti, med njimi sta še posebej zanimivi dve, ki odstopata od ureditve v GDPR.
Slovarček ključnih terminov:
a) Upravljavec je fizična ali pravna oseba, javni organ, agencija ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave (npr. delodajalec za zaposlene).
b) Obdelovalec je fizična ali pravna oseba, javni organ, agencija ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca (npr. računovodski servis, IT servis).
c) Pooblaščena oseba za varstvo osebnih podatkov je oseba z ustreznimi poklicnimi odlikami in zlasti strokovnim znanjem ter dejanskimi izkušnjami o zakonodaji in praksi na področju varstva osebnih podatkov ali na primerljivem področju, ki upravljavcu ali obdelovalcu na neodvisen način pomaga pri zagotavljanju skladnosti obdelave osebnih podatkov.
1. Dodatne obveznosti za obdelovalce osebnih podatkov
GDPR odgovornost za skladnost obdelave osebnih podatkov in zmožnosti dokazovanja te skladnosti nalaga izključno upravljavcu, predlog ZVOP-2 pa obveznost dokazovanja skladnosti obdelave osebnih podatkov nalaga tudi obdelovalcu. Nanj prelaga tudi odgovornost dokazovanja točnosti ali osvežitve osebnih podatkov in zakonitosti njihove obdelave, čeprav imajo to obveznost v GDPR predpisano zgolj upravljavci.
Če ostane uradni predlog novele ZVOP-2 v tem delu nespremenjen, bo moral obdelovalec izjemoma izvesti celotno oceno učinka, ko bi bila ta glede na vsebino ali obseg obdelave osebnih podatkov potrebna, pa je upravljavec ne bi pred tem izvedel že sam. V takšnem primeru bodo imeli obdelovalci možnost, da sami izvedejo oceno učinka in jo potrdijo pri upravljavcu (ki bi moral to delo opraviti) ali pa zavrnejo izvedbo obdelave. Predlog ureditve s prenosom dodatnih obveznosti na obdelovalca se zdi nenavaden, saj so obdelovalci pravzaprav z osebnimi podatki zavezani ravnati na način, kot ga določi upravljavec.
Notranji akti bodo obvezni za vse
Novost v primerjavi z GDPR je tudi predpisana dodatna obveznost sprejema notranjih aktov tako za upravljavca kot obdelovalca. V njih bosta morala predpisati politiko oz. ukrepe varstva osebnih podatkov in določiti osebe, ki so odgovorne za posamezne zbirke osebnih podatkov – osebe, ki lahko zaradi narave njihovega dela obdelujejo osebne podatke iz posamezne zbirke osebnih podatkov. Za razliko od doslej veljavnega Zakona o varstvu osebnih podatkov (ZVOP-1), obveznost sprejema notranjih aktov ne bo več pogojena z velikostjo, dejavnostjo ali številom zaposlenih upravljavca oz. obdelovalca, ampak bodo k temu zavezani vsi subjekti na trgu (tako zasebni kot tudi javni sektor).
2. Uvedba pooblaščene osebe za varstvo osebnih podatkov
GDPR uvaja tudi nov institut: pooblaščeno osebo za varstvo osebnih podatkov (DPO). Ob izpolnjevanju zakonskih kriterijev, vezanih na dejavnost podjetja, jo bodo zavezani imenovati vsi subjekti na trgu, ne glede na njihovo velikost. V javnem sektorju pa bo to imenovanje celo obvezno, sami pogoji za imenovanje pooblaščene osebe pa zaenkrat ostajajo še nejasni. Predlog ZVOP-2 že predpisuje dodatne pogoje, ki jih mora posameznik izpolnjevati, če se želi imenovati za pooblaščeno osebo. Zahtevajo se dejanske izkušnje, ki vključujejo vsaj tri leta delovnih izkušenj s področij:
- varstva osebnih podatkov ali sorodnih področij;
- informacijske varnosti ali področja poslovne skrivnosti po zakonu, ki ureja gospodarske družbe;
- zaupnih podatkov po zakonu, ki ureja bančništvo.
Postavljajo se vprašanja, ali je takšna opredelitev dovolj določna, da ne bo omogočala neenakopravnega obravnavanja, ter kdo in kako bo sploh presojal ustreznost teh izkušenj. Za javni sektor se zahteva izpolnjevanje še dodatnih pogojev za imenovanje pooblaščene osebe, ki so sicer podobni pogojem, kot se zahtevajo za večino zaposlitev v subjektih javnega sektorja.
Kako bo z odpovedjo pooblaščene osebe?
Z vidika delovnega prava pa je zanimiva omejitev iz četrtega odstavka 48. člena predloga ZVOP-2. Določena je prepoved odpovedi delovnega razmerja pooblaščeni osebi za čas njenega imenovanja in še eno leto po prenehanju imenovanja, razen v primeru redne odpovedi iz razloga nesposobnosti ali krivdnega razloga, izredne odpovedi, odpovedi v postopku prenehanja delodajalca, oz. če v primeru poslovnega razloga odkloni ponujeno ustrezno zaposlitev pri delodajalcu. V primeru statusne spremembe delodajalca pa pooblaščena oseba ohrani svoj položaj, če pri delodajalcu še naprej obstaja obveznost imenovanja v skladu s tem zakonom.Navedeno določilo se navezuje zgolj na pooblaščene osebe, ki so zaposlene pri posameznem upravljavcu ali obdelovalcu, ne ureja pa situacij, ko so imenovane zunanje pooblaščene osebe.
Številna vprašanja ostajajo neodgovorjena
Kako pa naj upravljavec ali obdelovalec z imenovano interno pooblaščeno osebo ravna v primeru, ko naknadno ugotovi, da imenovanje pooblaščene osebe dejansko ni bilo potrebno ali pa podjetje preneha z določenim delom dejavnosti, zaradi katerega je bila pooblaščena oseba sploh imenovana? Ali, če je upravljavec ali obdelovalec imenoval interno pooblaščeno osebo popolnoma prostovoljno, brez izpolnjevanja pogojev za obvezno imenovanje pooblaščene osebe? Ali ga tudi v tem primeru zavezuje ta prepoved?
Vprašanj je še veliko, predvsem bo zanimivo spremljati ali bo določba (če bo seveda ostala nespremenjena) upravljavce ali obdelovalce odvračala od imenovanja internih pooblaščenih oseb in se bodo ti raje posluževali imenovanje zunanjih pooblaščenih oseb ali pravnih oseb, ki se bodo ukvarjale s to dejavnostjo.