Informacijski pooblaščenec Republika Slovenija
SLO | ENG

Reforma evropskega zakonodajnega okvira za varstvo osebnih podatkov

+ -

Nova pravila o varstvu osebnih podatkov v EU

Dne 4.5.2016 sta bila v Uradnem listu Evropske unije objavljena ključna gradnika novega zakonodajnega svežnja EU o varstvu osebnih podatkov, in sicer:

Uredba bo začela veljati 25.5.2016, njene določbe pa se bodo morale neposredno uporabljati v vseh državah članicah v dveh letih. Rok za prenos določb direktive v nacionalno zakonodajo je prav tako dve leti.

 

Postopek sprejema

Reforma varstva podatkov je zakonodajni sveženj, ki ga je Evropska komisija predlagala leta 2012 z namenom  posodobitve in prenove določb iz Direktive o varstvu podatkov iz leta 1995. V času od sprejema direktive leta 1995 je z razvojem sodobnih informacijsko-komunikacijskih tehnologij prišlo do obsežnih sprememb v obsegu, intenzivnosti in prenosih osebnih podatkov (npr. z razvojem in širitvijo uporabe računalništva v oblaku, družabnih omrežij, pametnih telefonov), ki terjajo prilagoditve in posodobitve zakonodajnega okvira. Enotna in posodobljena zakonodaja o varstvu podatkov je bistvena za zagotovitev temeljne pravice posameznikov do varstva osebnih podatkov, razvoj digitalnega gospodarstva ter okrepitev boja proti mednarodnemu kriminalu in terorizmu.

Zakonodajni sveženj zajema splošno uredbo o varstvu podatkov in direktivo o varstvu osebnih podatkov pri njihovi obdelavi za namen kazenskega pregona.

Komisija je leta 2010 Evropskemu parlamentu in Svetu predstavila sporočilo z naslovom „Celovit pristop k varstvu osebnih podatkov v Evropski uniji“, ki sta ga obe instituciji pozdravili. Na podlagi tega sporočila je Komisija leta 2012 predstavila predlog o reformi varstva podatkov.

Ta predlog se sprejema po rednem zakonodajnem postopku, kar pomeni, da Svet in Parlament odločata kot sozakonodajalca.

Parlament je marca 2014 sprejel stališče v prvi obravnavi o zakonodajnem svežnju, ki služi kot izhodišče za pogajanja med institucijami. Predlog uredbe o varstvu podatkov je bil Svetu predložen januarja 2012, obravnava pa ga Delovna skupina za izmenjavo informacij in varstvo podatkov (DAPIX). Delovna skupina za varstvo podatkov iz člena 29 (Article 29 Working Party), ki združuje nadzorne organe za varstvo osebnih podatkov v EU kot je Informacijski pooblaščenec, je junija 2015 podala svoja stališča glede ključnih vprašanja reforme. Ministri za pravosodje in notranje zadeve so se 15. junija 2015 dogovorili o splošnem pristopu glede uredbe. Na podlagi tega dogovora je Svet začel pogajanja z Evropskim parlamentom (v obliki trialogov), ki so se zaključila decembra 2015. Sveženj je bil 14.4.2016 izglasovan v Evropskem parlamentu, končni besedili predpisov pa sta bili objavljeni v Uradnem listu Evropske unije 4.5.2016.

 

Bistvene predlagane spremembe

(vir: http://www.consilium.europa.eu/sl/policies/data-protection-reform/data-protection-regulation/)

Pravice posameznika

V uredbi so navedene pravice posameznika, na katerega se nanašajo osebni podatki, tj. posameznika, katerega osebni podatki se obdelujejo. Med temi pravicami so pravica dostopa do osebnih podatkov ter pravice popravka, pozabe, izbrisa, ugovora in prenosljivosti podatkov. Določena je tudi obveznost upravljavcev (oseb, odgovornih za obdelavo podatkov) glede zagotavljanja preglednih in lahko dostopnih informacij posameznikom, na katere se nanašajo osebni podatki, o obdelavi njihovih podatkov. 

Obveznosti upravljavcev in obdelovalcev podatkov

V uredbi so podrobno opredeljene splošne obveznosti upravljavcev in oseb, ki osebne podatke obdelujejo v njihovem imenu (obdelovalci). Med temi obveznostmi sta obveznost izvajanja ustreznih varnostnih ukrepov in obveznost uradnega obveščanja o kršitvah varstva osebnih podatkov. V skladu z uredbo bodo javni sektor, velika podjetja in podjetja, katerih temeljne dejavnosti zajemajo obsežno obdelavo posebnih vrst podatkov, morali imenovati uradno (odgovorno) osebo za varstvo podatkov. Upravljavci ne bodo več dolžni prijavljati zbirk osebnih podatkov v register zbirk osebnih podatkov, ostajajo pa dolžnosti sprejema katalogov, te dolžnosti se krepijo in uvajajo tudi za (pogodbene) obdelovalce. Večji poudarek daje uredba tudi (predhodnim) izvedbam analiz učinkov na varstvo osebnih podatkov, v primeru varnostnih incidentov, kot je npr. izguba osebnih podatkov, pa se uvaja obveznost poročanja nadzornemu organu in v določenih primerih tudi obveščanja vseh prizadetih posameznikov.

Nadzorni organi

V uredbi je potrjena obstoječa obveznost držav članic glede ustanovitve neodvisnega nadzornega organa na nacionalni ravni. Cilj uredbe je tudi vzpostavitev mehanizmov, s katerimi bi zagotovili doslednost pri izvajanju zakonodaje o varstvu podatkov v vsej EU. Uredba zasleduje cilj, da bi moral biti v primeru, ko obdelava osebnih podatkov poteka v več kot eni državi članici, en sam nadzorni organ pristojen za spremljanje vseh teh dejavnosti. To načelo, imenovano vse na enem mestu, pomeni, da bo pristojni organ v vsakem primeru organ države članice, v kateri je glavna poslovna enota upravljavca ali obdelovalca.

Uredba zajema tudi ustanovitev Evropskega odbora za varstvo podatkov. Ta odbor naj bi med drugim sestavljali predstavniki vseh 28 neodvisnih nadzornih organov in bo nadomestil sedanjo Delovno skupino za varstvo podatkov iz člena 29 (Article 29 Working Party). 

Pravica do pravnega sredstva in sankcije

V uredbi je priznana pravica posameznikov, na katere se nanašajo osebni podatki, do vložitve pritožbe pri nadzornem organu, pa tudi njihova pravica do pravnih sredstev, odškodnine in odgovornosti.

Zoper upravljavce ali obdelovalce, ki kršijo pravila o varstvu podatkov, so določene zelo ostre sankcije. Te upravne sankcije izrečejo nacionalni organi za varstvo podatkov.

Kodeksi ravnanja in potrjevanje (certifikacija)

S sprejemom uredba daje EU večji poudarek kodeksom ravnanja in postopkom potrjevanja kot novim mehanizmom za zagotavljanja in izkazovanje ustreznega ravnanja z osebnimi podatki.

 

Uporabne povezave: