Ker Direktiva 95/46/ES nedvomno ne velja več, vse določbe, ki so sedaj sicer skladne z Direktivo, torej tiste, ki jih je Slovenija prenesla v ZVOP-1, nimajo več pravnega temelja. Teoretično pa se bodo v praksi lahko brez pravnih zadržkov uporabljajle samo tiste določbe, ki urejajo neko specifično, nedirektivno in neuredbeno področje, torej tiste, ki definirajo področje izven napotkov direktive (biometrija, videonadzor…).
Kaj to pomeni? Menim, da določbe ZVOP-1 sicer veljajo, ker jih tehnično gledano država ni spremenila, vendar bosta vsak posameznik ali pravna oseba, ki bo deležna inšpekcijskega nadzora Informacijskega pooblaščenca, v postopku lahko ugovarjala veljavnosti teh določb. Ko in če bodo določeni ukrepi odrejeni upravljavcu zbirk osebnih podatkov, se bo vsak upravljavec lahko skliceval na GDPR, ki je neposredno uporabljiv pravni akt, in ugovarjal ukrepom, izrečenim na podlagi ZVOP-1. Gre torej za veliko pravno negotovost.
Glede na tolmačenje ministrstva za pravosodje, da se bo GDPR neposredno uporabljal, a, kot trdijo, le del njegovih določb, je potrebno pojasniti, da je zgolj v majhnem delu GDPR najti t. i. direktivne določbe, ki jih je konkretno potrebno urediti v nacionalnih zakonih – recimo starorst otrok za privolitev v uporabo storitev informacijske družbe (8. člen - GDPR državam prepušča določitev starosti med 13. in 16. letom), ali pa ureditev varstva osebnih podatkov umrlih (glej preambulo 27 GDPR).
Težave pa bomo imeli, tudi če bo ZVOP-2 sprejet le nekaj dni pred 25. majem. Nedvomno je sicer mnogo bolje, da je ZVOP-2 vendarle sprejet vsaj tik pred zdajci, kot pa da bo šele jeseni. Težav bo tako nekaj manj, a prehod na nov sistem varstva osebnih podatkov ne bo enostaven ne za javni sektor ne za zasebni sektor.
Težko je predvideti vse težave, ki nas bodo doletele, ker zadnjega teksta ZVOP-2, ki bo šel v zakonodajni postopek, po predvidevanjih Ministrstva za pravosodje še pravočasno, nismo videli.
Zadnji javno objavljen predlog ima žal veliko določb, ki so popolnoma neusklajene z GDPR, kar bo predstavljalo dodatne pravne probleme in zaplete. Recimo neposredno trženje je urejeno v predlogu ZVOP-2 popolnoma enako kot v ZVOP-1 in je takšna ureditev v nasprotju z GDPR, ki je na tem področju zrahljal strogost pri pridobivanju privolitev (kdaj jih je obvezno treba pridobiti – kako jih je treba pridobiti, pa je jasno – granularno in informirano).
Bolj kot bo ZVOP-2 skladen z GDPR, lažje bo za upravljavce. Na področjih, kjer se bo država odločila regulirati po svoje, morda celo v nasprotju z GDPR, bo pa seveda izrazito težko zagotoviti pravočasno in kakovostno skladnost, saj se vsa ozaveščena podjetja že kar nekaj časa pripravljajo na GDPR, vsak odmik od GDPR pa ne le, da povzroča pravno negotovost in zmedo, povzroča lahko tudi nove, ne tako majhne stroške. Če bodo posebej urejena samo določena specifična področja, kot zgoraj omenjeni biometrija in videonadzor, ne bo tako težko, ker tu ne bo šlo za neusklajenost z GDPR, temveč za specialno ureditev, kar ni v nasprotju z GDPR. Nemčija je recimo v svojem novem zakonu o varstvu osebnih podatkov eno celotno poglavje posvetila zasebnosti na delovnem mestu.
Pri vseh ostalih odstopanjih pa bo po 25. 5. 2018 zazevala ogromna praznina, ko bi se teoretično upravljavci morali prilagoditi GDPR, praktično pa bomo šele po sprejemu zakona videli, kaj je urejeno drugače. Skladni tako mnogi upravljavci z GDPR na dan D ne bodo (z)mogli biti.
Upravljavci pa vedo, da morajo in želijo biti skladni z GDPR, mnogi v to tudi veliko vlagajo in če bo ZVOP-2 prinesel neke nove zahteve, zahteve, ki jih iz GDPR ne znamo razbrati, bo zamuda države povzročila nove stroške pri zagotavljanju skladnosti, ko se bodo družbe po sprejemu ZVOP-2 morale ponovno lotiti pregledovanja svojih procesov obdelave osebnih podatkov.
Sprašujem se, ali ta zamuda pomeni signal upravljavcem, da naj počakajo na ZVOP-2 in počakajo celo na tolmačenje Informacijskega pooblaščenca - recimo pri zagotavljanju načela sledljivosti in ostalih ukrepov zavarovanja zbirk osebnih podatkov.
ZVOP-2 namreč v osnutku v 32. členu določa, da Informacijski pooblaščenec izda smernice za izvajanje obveznosti, pri čemer mora upoštevati tudi smernice Odbora (zdaj še Delovne skupine 29) na to temo. Te smernice so v predlogu ZVOP-2 zapisane kot zakonska kategorija. Ali to torej pomeni, da bo zavarovanje obvezno moralo biti urejeno tako, kot bodo velevale smernice? Smernic pa še ni in jih tudi ne more biti, dokler ne bo jasno, kako bo zavarovanje zbirk osebnih podatkov uredil ZVOP-2.
Kar lahko rečem, je to, da zamujanje povzroča kaos. Jasna pravila bi morali imeti že sedaj, imamo pa le mnenja Delovne skupine 29 (ki se bo preimenovala v Odbor za varstvo osebnih podatkov). In zadnji predlog ministrstva ni usklajen niti s temi mnenji oz. smernicami. Ni usklajen pri pravnih podlagah, neposrednem trženju, izpolnjevanju pogojev za pooblaščeno osebo za varstvo osebnih podatkov, kjer država strožje kot GDPR predpisuje izobrazbene pogoje recimo. In še eno od mnogih odprtih vprašanj, ki si ga zastavljam - ali res lahko država za zasebni sektor predpiše strožje pogoje (recimo stopnjo izobrazbe) kot jih določa GDPR, ali ima to pristojnost glede na GDPR le za javni sektor?
Naj na koncu omenim še eno dilemo, ki sem jo zasledila na zadnji okrogli mizi, kjer je o težavah, ki jih za Informacijskega pooblaščenca prinaša GDPR, spregovoril namestnik informacijske pooblaščenke Andrej Tomšič. Če ZVOP-2 ne bo pravočasno sprejet, se pri Pooblaščencu (vsaj v enem delu upravičeno) sprašujejo, po katerem zakonu ali uredbi bodo lahko vodili postopke - inšpekcijske in prekrškovne.
GDPR v 51. členu določa, da vsaka država članica zagotovi enega ali več neodvisnih javnih organov, ki so pristojni za spremljanje uporabe te uredbe, da se zaščitijo temeljne pravice in svoboščine posameznikov v zvezi z obdelavo ter olajša prost pretok osebnih podatkov v Uniji (nadzorni organ). V tem delu menim, da ni dvoma, da v Sloveniji to pristojnost že sedaj ima Informacijski pooblaščenec, saj Zakon o Informacijskem pooblaščencu (ZinfP) v 2. členu, drugi alineji 1. odstavka določa, da inšpekcijski nadzor nad izvajanjem zakona in drugih predpisov, ki urejajo varstvo ali obdelavo osebnih podatkov (poudarila avtorica tega teksta in pojasnjujem, da GDPR je eden takšnih drugih predpisov) oziroma iznos osebnih podatkov iz Republike Slovenije, ter opravljanje drugih nalog, ki jih določajo ti predpisi, izvaja Informacijski pooblaščenec.
Tax-Fin-Lex d.o.o.
pravno-poslovni portal,
založništvo in
izobraževanja
Tax-Fin-Lex d.o.o.
Železna cesta 18
1000 Ljubljana
Slovenija
T: +386 1 4324 243
E: info@tax-fin-lex.si
PONUDBA
Predstavitev portala
Zakonodaja
Sodna praksa
Strokovne publikacije
Komentarji zakonov
Zgledi knjiženj
Priročniki
Obveščanja o zakonodajnih novostih
TFL AI
TFL IZOBRAŽEVANJA
TFL SVETOVANJE
TFL BREZPLAČNO
Brezplačne storitve
Preizkusite portal TFL
E-dnevnik Lex-Novice
E-tednik TFL Glasnik
Dodatni članki