Informacijski pooblaščenec Republika Slovenija
   
dekorativna slika

Reforma evropskega zakonodajnega okvira za varstvo osebnih podatkov

+ -

Dne 4.5.2016 sta bila v Uradnem listu Evropske unije objavljena ključna gradnika novega zakonodajnega svežnja EU o varstvu osebnih podatkov, in sicer:

Splošna uredba o varstvu podatkov (angl. General Data Protection Regulation – GDPR; v nadaljevanju uredba) je začela veljati 25.5.2016, njene določbe pa so se pričele neposredno uporabljati v vseh državah članicah v dveh letih in sicer od 25. maja 2018. Rok za prenos določb direktive v nacionalno zakonodajo je bil prav tako dve leti – v slovenski pravni red je bila prenesena z Zakonom o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (ZVOPOKD).

S 26.1.2023 se prične poleg Splošne uredbe uporabljati tudi nov Zakon o varstvu osebnih podatkov (ZVOP-2). Besedilo zakona in vse ključne informacije o ZVOP-2 najdete na tej strani.

Postopek sprejema Splošne uredbe

Reforma varstva podatkov je zakonodajni sveženj, ki ga je Evropska komisija predlagala leta 2012 z namenom  posodobitve in prenove določb iz Direktive o varstvu podatkov iz leta 1995. V času od sprejema direktive leta 1995 je z razvojem sodobnih informacijsko-komunikacijskih tehnologij prišlo do obsežnih sprememb v obsegu, intenzivnosti in prenosih osebnih podatkov (npr. z razvojem in širitvijo uporabe računalništva v oblaku, družabnih omrežij, pametnih telefonov), ki terjajo prilagoditve in posodobitve zakonodajnega okvira. Enotna in posodobljena zakonodaja o varstvu podatkov je bistvena za zagotovitev temeljne pravice posameznikov do varstva osebnih podatkov, razvoj digitalnega gospodarstva ter okrepitev boja proti mednarodnemu kriminalu in terorizmu.

Zakonodajni sveženj zajema splošno uredbe o varstvu podatkov in direktivo o varstvu osebnih podatkov pri njihovi obdelavi za namen kazenskega pregona.

Komisija je leta 2010 Evropskemu parlamentu in Svetu predstavila sporočilo z naslovom „Celovit pristop k varstvu osebnih podatkov v Evropski uniji“, ki sta ga obe instituciji pozdravili. Na podlagi tega sporočila je Komisija leta 2012 predstavila predlog o reformi varstva podatkov.

Ta predlog se sprejema po rednem zakonodajnem postopku, kar pomeni, da Svet in Parlament odločata kot sozakonodajalca.

Parlament je marca 2014 sprejel stališče v prvi obravnavi o zakonodajnem svežnju, ki služi kot izhodišče za pogajanja med institucijami. Predlog uredbe o varstvu podatkov je bil Svetu predložen januarja 2012, obravnavala pa ga je Delovna skupina za izmenjavo informacij in varstvo podatkov (DAPIX).Delovna skupina za varstvo podatkov iz člena 29 (Article 29 Working Party), ki združuje nadzorne organe za varstvo osebnih podatkov v EU, kot je Informacijski pooblaščenec, je junija 2015 podala svoja stališča glede ključnih vprašanj reforme. Ministri za pravosodje in notranje zadeve pa so se 15. junija 2015 dogovorili o splošnem pristopu glede uredbe. Na podlagi tega dogovora je Svet začel pogajanja z Evropskim parlamentom (v obliki trialogov), ki so se zaključila decembra 2015. Sveženj je bil 14. 4. 2016 izglasovan v Evropskem parlamentu, končni besedili predpisov pa sta bili objavljeni v Uradnem listu Evropske unije 4. 5. 2016.

Bistvene novosti Splošne uredbe

(vir: http://www.consilium.europa.eu/sl/policies/data-protection-reform/data-protection-regulation/)

Pravice posameznika

V uredbi so navedene pravice posameznika, na katerega se nanašajo osebni podatki, tj. posameznika, katerega osebni podatki se obdelujejo. Med temi pravicami so pravica do dostopa do osebnih podatkov ter pravice do popravka, pozabe, izbrisa, omejitve obdelave, ugovora in prenosljivosti podatkov. Določena je tudi obveznost upravljavcev (oseb, odgovornih za obdelavo podatkov) glede zagotavljanja preglednih in lahko dostopnih informacij posameznikom, na katere se nanašajo osebni podatki, o obdelavi njihovih podatkov. 

Obveznosti upravljavcev in obdelovalcev podatkov

V uredbi so podrobno opredeljene splošne obveznosti upravljavcev in oseb, ki osebne podatke obdelujejo v njihovem imenu (obdelovalci). Med temi obveznostmi sta obveznost izvajanja ustreznih varnostnih ukrepov in obveznost uradnega obveščanja o kršitvah varstva osebnih podatkov. V skladu z uredbo morajo javni sektor ter podjetja, katerih temeljne dejavnosti zajemajo ali dejanja obdelave, ki pomenijo redno in sistematično obsežno spremljanje posameznikov, ali pa obsežno obdelavo posebnih vrst podatkov,  imenovati pooblaščeno osebo za varstvo podatkov

Upravljavci niso več dolžni prijavljati zbirk osebnih podatkov v register zbirk osebnih podatkov, ostajajo pa dolžnosti sprejema katalogov oziroma t.i. evidenc dejavnosti obdelave, te dolžnosti se krepijo in uvajajo tudi za (pogodbene) obdelovalce.

Večji poudarek daje uredba tudi (predhodnim) izvedbam ocen učinkov na varstvo osebnih podatkov, v primeru varnostnih incidentov, kot je npr. izguba osebnih podatkov, pa se uvaja obveznost poročanja nadzornemu organu in v določenih primerih tudi obveščanja vseh prizadetih posameznikov.

Nadzorni organi

V uredbi je potrjena obstoječa obveznost držav članic glede ustanovitve neodvisnega nadzornega organa na nacionalni ravni. Njegov cilj je tudi vzpostavitev mehanizmov, s katerimi bi zagotovili doslednost pri izvajanju zakonodaje o varstvu podatkov v vsej EU. Bistveno je, da bo v primeru, ko obdelava osebnih podatkov poteka v več kot eni državi članici, načeloma en sam t.i. vodilni nadzorni organ pristojen za spremljanje vseh teh dejavnosti. To načelo, imenovano vse na enem mestu, pomeni, da bo pristojni vodilni nadzorni organ v vsakem primeru, ko gre za čezmejno obdelavo osebnih podatkov organ države članice, v kateri je glavni ali edini sedež upravljavca ali obdelovalca.  

Uredba zajema tudi ustanovitev Evropskega odbora za varstvo podatkov (angl. European Data Protection Board, EDPB). Odbor sestavljajo predstavniki vseh 27 neodvisnih nadzornih organov in je nadomestil Delovno skupino za varstvo podatkov iz člena 29 (Article 29 Working Party). 

Pravica do pravnega sredstva in sankcije

Nova uredba ureja tudi pravico posameznikov, na katere se nanašajo osebni podatki, do vložitve pritožbe pri nadzornem organu, pa tudi njihovo pravico do pravnih sredstev zoper odločitev nadzornega organa ali v primeru neukrepanja nadzornega organa, pravico do odškodnine in odgovornosti.

Zoper upravljavce ali obdelovalce, ki kršijo pravila o varstvu podatkov, so določene zelo ostre sankcije. Te upravne sankcije izrečejo nacionalni organi za varstvo podatkov.

Kodeksi ravnanja in potrjevanje (certifikacija)

S sprejemom uredbe daje EU večji poudarek kodeksom ravnanja in postopkom potrjevanja kot novim mehanizmom za zagotavljanje in izkazovanje ustreznega ravnanja z osebnimi podatki.