Informacijski pooblaščenec Republika Slovenija
   
dekorativna slika

Ob 4. obletnici uporabe Splošne uredbe o varstvu podatkov Slovenija še vedno brez zakona za njeno izvajanje

+ -
25.05.2022

Informacijski pooblaščenec (IP) 6 let po sprejemu Splošne uredbe o varstvu podatkov opozarja, da bi morala Slovenija nujno čim prej sprejeti ustrezne predpise za izvajanje Splošne uredbe in razrešitev že 4 leta trajajočih pravnih negotovosti pri zagotavljanju ustavne pravice do varstva osebnih podatkov. Ob odsotnosti ustreznega zakona se namreč podjetja, posamezniki, javni sektor in druge organizacije dnevno soočamo z nejasnostmi glede tega, kateri predpis dejansko ureja posamezna področja,  IP pa zaradi odsotnosti procesnih predpisov ne more izrekati upravnih glob po Splošni uredbi, kar je z vidika izvajanja evropskega prava nevzdržna situacija.

V Sloveniji tako še vedno velja Zakon o varstvu osebnih podatkov (ZVOP-1), zadnjič dopolnjen leta 2007. Posamezna področja, npr. videonadzor, biometrija, prenos osebnih podatkov v tretje države so tako deloma urejena drugače kot predvideva Splošna uredba ali pa so celo deloma neurejena - npr. varstvo zasebnost v delovnih razmerjih, podrobnejša ureditev obdelav osebnih podatkov za raziskovalne namene, obdelava osebnih podatkov za namene svobode izražanja in obveščanja, nadzor varstva osebnih podatkov v sodstvu, ko to deluje kot sodni organ. Pravne praznine in dvojno oz. neusklajeno urejanje področij pa pomeni resne ovire tudi na področju uveljavljanja pravic posameznikov.

Tudi nedavna odločitev Ustavnega sodišča glede preverjanja pogojev PCT na zahtevo IP potrjuje, da mora v Sloveniji obdelavo osebnih podatkov določati zakon, kar je posebej pomembno v primeru obveznih obdelav osebnih podatkov v državnih zbirkah ter obveznih obdelav v zvezi s točko c in e prvega odstavka 6. člena in 9. členom Splošne uredbe. To posredno pomeni tudi poziv državi in zakonodajalcu, da končno uredi to področje skladno z 38. členom Ustave in Splošno uredbo.

Zaradi pravne neurejenosti področja varstva osebnih podatkov v Sloveniji, torej zaradi nesprejetega novega Zakona o varstvu osebnih podatkov (ZVOP-2), IP zavezancem ne more izrekati sankcij za kršitve Splošne uredbe. To pomeni, da kršitve, zaradi katerih lahko upravljavci iz drugih držav članic EU odgovarjajo z visokimi globami, v Sloveniji ostajajo povsem nekaznovane.

Odsotnost pravne ureditve je nevzdržna tudi z vidika čezmejnega sodelovanja IP s sorodnimi organi iz drugih držav članic EU, kjer gre za nadzor nad podjetji in organizacijami, ki poslujejo čezmejno in imajo  vpliv na posameznike iz več držav, tudi za nadzor nad spletnimi velikani. Pri tem je ključno, da nacionalna zakonodaja sledi določbam Splošne uredbe, ki predpisuje sodelovanje organov, saj je le tako mogoč učinkovit nadzor nad čezmejnimi subjekti. Neurejena domača zakonodaja neposredno negativno vpliva na postopke, ki jih IP vodi skupaj z drugimi organi ter pomeni oviro pri delovanju Evropskega odbora za varstvo podatkov pri pripravi mnenj in smernic o interpretaciji Splošne uredbe ter odločanju o sporih v čezmejnih primerih nadzora.

Odsotnost pravne ureditve tudi ne omogoča učinkovitega izvajanja ukrepov, ki jih predvideva Splošna uredba za zagotavljanje skladnosti, kot so kodeksi ravnanja in možnost certifikacije, s katerimi bi lahko zavezanci brez potrebe po inšpekcijskih nadzorih posameznikom in javnosti izkazovali, da gre za zaupanja vredne in odgovorne upravljavce podatkov.

 

Več o delu IP v letu 2021 v Letnem poročilu IP, ki je dostopno na povezavi.

Več o delu Evropskega odbora za varstvo podatkov v Letnem poročilu EDPB, ki je dostopno na povezavi.

 

Mojca Prelesnik, informacijska pooblaščenka