Sprememba

Kratka razlaga

Biometrija

Nova ureditev biometrije (členi 80 do 84). Obdelava biometričnih osebnih podatkov v nasprotju z ZVOP-2 je prepovedana. Drug zakon lahko določa obdelavo biometričnih osebnih podatkov in pogoje za njeno

uporabo, lahko pa uporabo biometričnih osebnih podatkov tudi omeji. Prepovedano je povezovati zbirke biometričnih osebnih podatkov z drugimi zbirkami in omogočati prenosljivost teh podatkov razen če to določa drug zakon.

V zasebnem sektorju ne več samo nad zaposlenimi, pod določenimi pogoji lahko tudi nad strankami, ostaja omejenost dopustnih namenov. V javnem sektorju mora biometrijo urejati zakon, ostaja zahteva po odločbi IP v zasebnem (in deloma v javnem) sektorju (razen če je biometrija pod nadzorom posameznika), dodana je prepoved pridobivanja biometričnih osebnih podatkov v zvezi s trženjem.

Definicije

Veljajo definicije iz GDPR (4. člen), poleg teh pa nove (npr. povezovanje) ali spremenjene (npr. javni sektor!) definicije iz ZVOP-1:

·        nadzorni organ,

·        nadzorne osebe,

·        javni sektor,

·        zasebni sektor,

·        povezovalni znak,

·        zadeva sodišča,

·        zakon,

·        varnost države,

·        kazenske evidence,

·        prekrškovne evidence,

·        storitev informacijske družbe,

·        povezovanje zbirk podatkov.

Evidentiranje vstopov in izstopov iz službenih prostorov

Ureditev je podobna kot v ZVOP-1. 85. člen ZVOP-2 določa, da je dopusten vpogled v osebni dokument in kaj se sme zabeležiti: osebno ime, številka in vrsta uradnega identifikacijskega dokumenta, naslov prebivališča, zaposlitev, vrsta in registrska številka vozila ter datum, ura in razlog vstopa ali izstopa v prostore ali izstopa iz njih. Dodana je registrska številka vozila, skrajšan je rok hrambe - iz 3 let na 2 leti od konca koledarskega leta.

Genski podatki

Nova ureditev v 81. členu ZVOP-2 določa, da je genske podatke posameznika (npr. DNK material) dopustno obdelovati kadar to določa drug zakon,  za namene zagotavljanja zdravstvenega varstva ali kadar je obdelava potrebna za izvajanje pogodbe, sklenjene izključno zaradi obdelave genskih podatkov v korist pogodbene stranke, ki je posameznik.

Izjema družinske rabe in zasebne rabe

Izjema družinske rabe in zasebne rabe (1. odstavek 7. člena ZVOP-1) vsebinsko gledano ostaja, urejena je  v  2. odstavku 3. člena ZVOP-2.

Izjeme glede podatkov, ki jih o svojih članih obdelujejo politične stranke, sindikati, društva ali verske skupnosti ter za upravljavce osebnih podatkov z manj kot 50 zaposlenimi

Izjeme po 2. do 5. odstavku 7. člena ZVOP-1  (in omejitve teh izjem) s prenehanjem ZVOP-1 ne veljajo več.

Katalogi in register zbirk

Dolžnosti glede sprejema katalogi in prijave zbirk v register zbirk pri IP prenehajo veljati; ostaja dolžnost sprejema evidenc dejavnosti po 30. členu Splošne uredbe.

Neposredno trženje (72. in 73. člen ZVOP-1) – prenehajo veljati

Za neposredno trženje posameznikom po elektronskih poteh (npr. e-pošta, SMS ipd.) vključno s trženjem po telefonu in telefonskimi imeniki, veljajo določbe Zakona o elektronskih komunikacijah (ZEKom-2); za trženje po navadni pošti velja Splošna uredba. ZVOP-2 tega ne ureja več posebej ali drugače.

Obdelava kontaktnih podatkov

Nove so določbe glede obdelave kontaktnih podatkov (93. člen ZVOP-2). Za namene organiziranja uradnih srečanj, izobraževanj, ipd., dajanja izjav za javnost, razen izvajanja neposrednega trženja je dovoljena uporaba kontaktnih podatkov posameznikov iz javno dostopnih virov ali v okviru izvrševanja svojih javnih nalog, če so ji jih posamezniki prostovoljno razkrili ali dali privolitev, 

Določen je nabor podatkov: osebno ime, telefonska številka, naslov elektronske pošte ali druga komunikacijska številka/oznaka, podatki o delodajalcu/organizaciji ter podatki o področju dela, položaju, funkciji, članstvu v klubu ali hobiju posameznika. Za namene obveščanja javnosti sme oseba javnega ali zasebnega sektorja obdelovati, vključno z objavo: osebna imena, nazive, fotografije in videoposnetke posameznikov, pridobljene na dogodkih, ki jih v okviru svojih nalog, pristojnosti ali dejavnosti organizira ta oseba, če posameznik te obdelave ni prepovedal.

Obdelava osebnih podatkov in dostop do informacij javnega značaja

Zavezanci po Zakonu o dostopu do informacij javnega značaja (ZDIJZ) javnosti posredujejo osebne podatke, če so ti po zakonu javni ali če je za njihovo razkritje dan prevladujoč javni interes v skladu z ZDIJZ. Kadar zakon določa javnost podatkov ali kadar gre za podatke, ki so informacije javnega značaja, jih upravljavec, ki z njimi razpolaga, lahko javno objavi (74. člen ZVOP-2).

Obdelava osebnih podatkov in mediji

Nova ureditev po 83. členu ZVOP-2. Obdelava za namene obveščanja javnosti s strani medijev, književnega, umetniškega ali raziskovalnega ustvarjanja, resne kritike, obrambe kakšne pravice ali varstva upravičene koristi in izobraževanja je dopustna, če: je posameznik za obdelavo, objavo ali razkritje dal privolitev; jih je posameznik že javno objavil ali dal na razpolago javnosti; so na zakonit način že bili dostopni javnosti; so bili pridobljeni na podlagi prisotnosti posameznika na javno dostopnih krajih ali dogodkih, kjer posameznik glede na vse okoliščine ne more razumno pričakovati varstva zasebnosti, gre za zakonito objavo mnenja ali vrednostne ocene, je objava nujna za utemeljitev tega mnenja ali vrednostne ocene; so bili pridobljeni na drug zakonit način; pretehta javni interes po obveščanju javnosti, pravica do obveščenosti ter svoboda izražanja ali tako določa drug zakon. Uveljavljanje pravic posameznikov poteka pred sodišči, za namene izvajanja svobode izražanja ni dopustno nezakonito razkrivanje osebnih podatkov.

Obdelava za arhivske namene

Je dovoljena, če to določa zakon. Posameznik nima pravice do dostopa do lastnih podatkov v arhivskem gradivu po 15. členu Splošne uredbe, če bi dajanje informacij ali kopij njegovih osebnih podatkov zahtevalo očitno nesorazmeren napor. Omejene so pravice posameznika do popravka osebnih podatkov zaradi netočnosti ali neposodobljenosti, izbrisa, omejitve obdelave, prenosljivosti osebnih podatkov in izvršitve pravice do ugovora (kot jih opredeljuje Splošna uredba). Posameznik, ki navaja netočnost ali neposodobljenost svojih osebnih podatkov, ima možnost dati dopolnilno izjavo z navedbo nasprotnih dejstev, ki se priloži arhivskemu gradivu ali na gradivu ustrezno označi, kje je ta izjava. 71. člen ZVOP-2 se ne uporablja, če zakon, ki ureja varstvo dokumentarnega in arhivskega gradiva ter arhive, določa drugače.

Obdelava za raziskovalne namene

Obdelava osebnih podatkov za raziskovanje (znotraj zavezanca) ostaja dopustna. Raziskovalne organizacije pridobijo OP, vključno s posebnimi vrstami OP če tako obdelavo dovoljuje drug zakon ali če posameznik ni prepovedal obdelave. Raziskovalci morajo predložiti opis raziskave (»elaborat«), 69. člen ZVOP-2 pa določa, kaj mora vsebovati ter priložiti oceno učinka, če je obvezna po Splošni uredbi. Upravljavec zavrne posredovanje pod določenimi pogoji. Posameznikov se ne obvešča o obdelavah za te namene, razen če zakon določa drugače. Podatki, ki so bili predmet raziskave, se ob zaključku raziskave uničijo ali nepovratno anonimizirajo, razen izjemoma. Rezultati raziskave se objavijo v anonimizirani obliki; izjemoma tudi v psevdonimizirani obliki, če objava podatkov v anonimizirani obliki iz tehničnih razlogov ali zaradi zasledovanja ciljev raziskave ni mogoča. Določena je tudi možnost kontaktiranja posameznikov za pridobivanje privolitev za sodelovanje v raziskavi (70. člen).

Obdelava za statistične namene

Podobno ureditvi obdelave za arhivske namene (omejitve pravic posameznika, podlaga v področnem zakonu) – ureja 72. člen ZVOP-2.

Objava kontaktnih podatkov

106. člen ZVOP-1 nadomešča 92. člen ZVOP-2, ki določa, katere podatke zaposlenih lahko objavite javno (npr. na spletni strani) ali posredujete javnosti. Osebe javnega ali zasebnega sektorja lahko javnosti posredujejo in javno objavijo: osebno ime, naziv ali funkcijo, službeno telefonsko  številko in naslov službene elektronske pošte vodilnih oseb in tistih zaposlenih, katerih delo je potrebno zaradi poslovanja s strankami.

Pogodbena obdelava

ZVOP-2 bistveno ne spreminja določb GDPR, ki so nadomestile zahteve ZVOP-1 glede pogodbene obdelave. ZVOP-2 določb glede pogodbene obdelave v smislu ureditve medsebojnega razmerja ter pravic in obveznosti upravljavcev in obdelovalcev posebej ali drugače ne ureja  - velja Splošna uredba, se pa morajo obdelovalci zavedati, da tudi zanje veljajo tako določbe Splošne uredbe kot številne določbe ZVOP-2 (npr. glede zavarovanja osebnih podatkov, ki so predmet postopka, glede dnevnikov obdelave in varnosti osebnih podatkov na področju posebnih obdelav itd.).

Pooblaščene osebe za varstvo podatkov (DPO)

Poleg zavezancev po Splošni uredbi jo morajo določiti zavezanci po 22. členu ZVOP-2 ter nekateri drugi subjekti zaradi širše definicije javnega sektorja (npr. zasebni vrtci in šole z javnimi programi). Določen je rok za vpis, objavo in sporočanje podatkov IP (8 dni), že imenovanih ni treba ponovno sporočati. ZVOP-2 določa le osnovne zahteve: poslovna sposobnost, znanje/izkušnje, neobsojenost; DPO državnega organa mora biti iz javnega sektorja, razen državnih organov in v zasebnem pa je lahko zunanji DPO (iz javnega ali zasebnega, s pogodbo). Ne sme biti konflikta interesov, ki je natančneje opredeljen (npr. skrbnik informacijskih sistemov, vodja informacijske varnosti, predstojniki itd.), veljajo specifike za določene organe (npr. za sodišča, upravne enote, ministrstva, sindikate).

Posredovanje osebnih podatkov

V javnem sektorju se posredujejo podatki, če obstaja podlaga v skladu s Splošno uredbo, ter na podlagi zahteve po 41(1) členu ZVOP-2, razen če drug zakon določa drugače. Prejemnik sme osebne podatke  obdelovati samo za namen, za uresničevanje katerega se mu posredujejo, posredujejo se brezplačno če zakon ne določa drugače. V zasebnem sektorju, če je podana podlaga in ustrezna zahteva. 41. člen opredeljuje zahtevo, ki mora vsebovati: vlagatelj, pravna podlaga, namen, katere podatke, številko zadeve, navedba organa, oblika in način pridobitve; za posredovanje je določen rok 15 dni od popolne zahteve, ob zavrnitvi/molku lahko zahteva vlagatelj zahteve odločitev nadzornega organa, ima sodno varstvo. Ureditev ne posega v pravico do pregleda in prepisa spisa, zahteva se sledljivost posredovanja (2 leti).

Povezovanje zbirk osebnih podatkov – drugačna ureditev

Dodana je definicija povezovanja (5. člen), ni več zahteve po obveščanju in pridobivanju odločbe IP, izrecna zakonska podlaga je zahtevana le za taksativno naštete zbirke osebnih podatkov. Pred povezovanjem je treba izdelati oceno učinka in se posvetovati z nadzornim organom (87. člen ZVOP-2).

Prehodne določbe

ZVOP-2 dopušča različna časovna obdobja za prilagoditev (od dneva uveljavitve, t.j. 26.1.2023) in sicer:

·   Posebni ukrepi za zagotavljanje varnosti osebnih podatkov na področju posebnih obdelav (23. člen) se vzpostavijo v treh letih.

·   Minister, pristojen za pravosodje, v soglasju z ministrom, pristojnim za zdravje, po predhodnem mnenju nadzornega organa sprejme pravilnik o zaračunavanju stroškov (17(5) člen) v treh mesecih.

·   Pooblaščene osebe, ki so jih do uveljavitve ZVOP-2 določili predstojniki organov v sestavi ministrstev, nadaljujejo opravljanje dela pooblaščene osebe po ZVOP-2.

·   Prekrškovni postopki, ki so se začeli pri IP ali na sodiščih pred uveljavitvijo ZVOP-2, se končajo v skladu z ZVOP-1 razen če je ZVOP-2za storilca milejši. Postopki  inšpekcijskega nadzora, začeti na podlagi ZVOP-1 se nadaljujejo v skladu z ZVOP-2.

·   Seznam tretjih držav iz 66. člena ZVOP-1 (prenos podatkov v tretje države) se razveljavi.

·   Z dnem uveljavitve tega zakona preneha delovati Register zbirk osebnih podatkov pri IP.

·   Vodenje dnevnikov obdelav se uskladi z 22. členom ZVOP-2 v dveh letih.

·   Slovenska akreditacija začne izvajati postopke akreditacije 1. januarja 2024; upravljavci vloge vložijo v roku šestih mesecev po poteku roka iz prvega odstavka 121. člena.

·   Videonadzor v prevoznih sredstvih, namenjenih javnemu potniškemu prometu, se uskladi z določbami 79. člena ZVOP-2 v roku šest mesecev.

·   Ni treba ponovno posredovati informacij, če podatki o pooblaščenih osebah niso spremenjeni.

·   Veljati prenehajo:

·   Pravilnik o metodologiji vodenja registra zbirk osebnih podatkov (Uradni list RS, št. 28/05 in 30/11);

·   Pravilnik o pridobivanju potrebnih informacij za odločanje o iznosu osebnih podatkov v tretje države (Uradni list RS, št. 79/05);

·   Pravilnik o zaračunavanju stroškov pri izvrševanju pravice posameznika do seznanitve z lastnimi osebnimi podatki (Uradni list RS, št. 85/07 in 5/12).

·   Do sprememb določb o višinah in razponih glob, ki jih določa zakon, ki ureja prekrške, se globe za kršitve po 83. členu GDPR, izrekajo v skladu s 83. členom GDPR.

Prenosi osebnih podatkov v tretje države

Razveljavi se seznam tretjih držav po ZVOP-1 in ustrezni pravilnik, ostaja ureditev za zavezance, za katere se Splošna uredba ne uporablja, sicer za prenose veljajo določbe Splošne uredbe.

Prijavitelj s posebnim položajem

Če oseba prijavi kršitve svojih pravic, lahko dobi status prijavitelja s posebnim položajem. Vlogo mora dati po ZUP, nadzorni organ ima 3 mesece za odločitev, sproti ga obvešča o ukrepih in stanju zadeve (glej člene 30 do 34 ZVOP-2).

Rok hrambe osebnih podatkov

21. člen ZVOP-1 se vsebinsko bistveno ne spreminja. V 43. členu ZVOP-2 so podobne določbe, bistvena je nova zahteva, da mora upravljavec ob upoštevanju narave obdelovanih podatkov in tveganj občasno in na dokumentiran način preverjate, ali se upoštevajo določbe omejevanja roka hrambe.

Sankcije

Kazenske določbe ZVOP-1 prenehajo veljati, s sprejemom ZVOP-2 bo možno izrekanje sankcij po in v višini, kot jih določa Splošna uredba. Določene so kazni za kršitve določb ZVOP-1, kazni se lahko izrekajo tudi odgovornim osebam (poleg pravnih oseb).

Sledljivost obdelav osebnih podatkov

ZVOP-2 sledljivost obdelav poimenuje »dnevniki obdelav«, izrecno se zahtevajo za določene zbirke (22. člen ZVOP-2), določeno je, kaj je treba voditi v njih, za katera dejanja obdelave, za kaj se lahko uporabljajo ter krajši rok hrambe (22. člen ZVOP-2). Sledljivost se zahteva tudi za dostop  in uporabo videonadzornih posnetkov (76. člen ZVOP-2).

Splošno sodno varstvo pravic posameznika

Na novo urejeno v 11. členu ZVOP-2. Posameznik lahko zahteva sodno varstvo svojih pravic ves čas trajanja kršitve, brez predhodnega uveljavljanja pravic po drugih določbah tega zakona ali uporabe drugih pravnih sredstev.

Posameznik lahko s sodnim varstvom zahteva poleg prenehanja kršitve in vzpostavitve zakonitega stanja tudi povrnitev škode. Če je kršitev prenehala, lahko posameznik s tožbo zahteva ugotovitev, da je kršitev obstajala.

Odloča upravno sodišče po Zakonu o upravnem sporu, posameznik lahko v tožbo vključi tudi odškodninski zahtevek.

V postopku pred upravnim sodiščem je javnost izključena, če sodišče na predlog posameznika iz utemeljenih razlogov ne odloči drugače. Se ne uporablja za postopke proti upravljavcem ali obdelovalcem glede obdelav osebnih podatkov s področja varnosti države.

Strokovni nadzor

Strokovni nadzor je podrobneje opredeljen (členi 89, 90 in 91 ZVOP-2). Izvajalec strokovnega obdeluje vse osebne podatke, ki jih obdelujejo upravljavci osebnih podatkov, nad katerimi izvaja strokovni nadzor; ima pravico do vpogleda, izpisa, prepisovanja ali kopiranja, dolžan je varovati njihovo tajnost.  V poročilu ali oceni ob zaključku zapiše le tiste osebne podatke, ki so nujni za dosego namena strokovnega nadzora. Stroške vpogleda, izpisa, prepisovanja ali kopiranja krije upravljavec. Določena je ureditev obveščanja in možnost kontaktiranja drugih oseb. Če se obdelujejo posebne vrste osebnih podatkov,  se naredi uradni zaznamek ali drug uradni zapis v zadevo organa.

Uveljavljanje pravic posameznika

Glede pravic ali zahtev posameznika velja Splošna uredba in 2. poglavje I. dela ZVOP-2 (členi 12 do 20). Smiselna se uporablja ZUP, veljajo roki iz GDPR. ZVOP-2 določa: postopek obravnavanja zahtevkov (13.-14.člen), sestavine odločbe (15. člen).

Kadar upravljavec ugodi zahtevi ne izda posebne odločbe, temveč o tem napravi uradni zaznamek in posameznika seznani z odločitvijo.

Kadar upravljavec zahtevi ne ugodi, izda odločbo, ki poleg sestavin po ZUP vsebuje tudi sestavine, ki jih določa ZVOP-2.

Če posameznik to zahteva, ga lahko z osebnimi podatki seznani tudi ustno. Glede stroškov seznanitve – brezplačno (razen če gre za očitno neutemeljene ali pretirane: razumne stroške. t.j. samo materialne stroške posredovanja informacij, sporočil, odgovorov oziroma izvajanja zahtevanega ukrepanja; pravilnik bo urejal višino stroškov, način zaračunavanja, obveščanja o stroških). Treba bo vnaprej obvestiti posameznika o možnih stroških.

Varstvo osebnih podatkov umrlih oseb

Določbe so podobne tistim iz ZVOP-1, a deloma spremenjene. Podatki o umrlih se posredujejo uporabnikom, ki so za obdelavo pooblaščeni z zakonom, in tistim uporabnikom, ki izkažejo pravni interes za uveljavljanje pravic pred subjekti javnega sektorja. Na njihovo zahtevo tudi zakoncu, zunajzakonskemu partnerju, otrokom, staršem ali dedičem, če umrli posameznik ni pisno prepovedal upravljavcu posredovanja ali če drug zakon ne določa drugače. Ureja se tudi uporaba za namene znanstvenega raziskovanja, zgodovinskega raziskovanja, za izobraževalne, statistične ali arhivske namene ter objavo ali drugo obdelavo v zgodovinskih in drugih izobraževalnih publikacijah.

Določbe ZVOP-2 se uporabljajo za osebne podatke umrlih 20 let po njihovi smrti, če drug zakon ne določa drugače.

Videonadzor

Nameni uvedbe videonadzora ostajajo podobni, prav tako zahteva, da se objavi (bolj podrobno) obvestilo, seznani zaposlene, sprejme pisni sklep o uvedbi. Ni več posebne ureditve videonadzora večstanovanjskih stavb (blokov), obvestilo mora imeti več informacij (nekatere lahko na spletu), prepovedano v hotelsih sobah in podobnih prostorih, kjer upravičeno pričakujemo večjo stopnjo zasebnosti. Na novo se ureja videonadzor potniškega prometa in videonadzor na javnih površinah. Videonadzor lahko uporablja lahko samo pooblaščeno osebje, voditi je treba sledljivost uporabe in dostopov. Pri nadzoru znotraj delovnih prostorov se zahteva posvetovanje s predstavniki sindikatov, pri nadzoru cest pa je zahtevana ocena učinka in mnenje IP. Na javnih površinah je prepovedana uporaba sistemov za avtomatsko prepoznavo registrskih tablic in biometrije, če drug zakon ne določa drugače.

Zavarovanje občutljivih osebnih podatkov pri prenosu po nezavarovanih elektronskih poteh (14. člen ZVOP-1) – preneha veljati

Ni več zahteve, da morajo biti občutljivi osebni podatki (npr. zdravstveni, članstvo v sindikatu) šifrirani pri pošiljanju po nezavarovanih elektronskih poteh (npr. prek navadne e-pošte).

Zavarovanje osebnih podatkov, ki so predmet postopka

ZVOP-2 vsebuje tudi določbe, ki se nanašajo na  zavarovanje osebnih podatkov, ki so predmet postopka (21. člen ZVOP-2) – gre za to, kdaj in kako morajo upravljavci osebnih podatkov v primeru, da so določeni osebni podatki zahtevani v določenem postopku (npr. inšpekcijskem, v postopku zahteve posameznika za dostop do lastnih podatkov ipd.), zaščititi zahtevane podatke. Bistveno je, da zavezanec ne sme potrebnih podatkov izbrisati ali spremeniti, dokler traja postopek (do pravnomočnosti odločitve).