Ključne novosti ZVOP-2
+ -Splošna uredba (GDPR) postavlja enotna pravila za varstvo osebnih podatkov v EU, nekatera vsebinska in postopkovna vprašanja pa lahko posebej uredijo države članice. Ta področja ureja novi Zakon o varstvu osebnih podatkov (Uradni list RS št. 163/22; ZVOP-2), ki se uporablja s 26.1. 2023 – s tem preneha veljati ZVOP-1.
Na tej strani najdete bistvene informacije o ZVOP-2 in povezave na obrazložitve in dodatna gradiva:
- Kaj ureja ZVOP-2?
- Kdaj stopijo obveznosti po ZVOP-2 v veljavo in kakšne so prehodne določbe?
- Kje dobimo več informacij o posameznih področjih, ki jih ureja ZVOP-2?
- Primerjava določb ZVOP-1 in ZVOP-2: kaj se spreminja?
Kaj ureja ZVOP-2?
Nacionalni predpis lahko glede na določbe Splošne uredbe uredi določena vsebinska področja, kot so uporaba zdravstvenih, biometrijskih in genskih podatkov, nekatere postopkovne vidike (npr. postopek izrekanja sankcij in pravna sredstva) ter relacijo do drugih področij in pravic (npr. dostop do informacij javnega značaja, uporaba osebnih podatkov v raziskovalne, arhivske in statistične namene). Poleg tega ureja dodatne pogoje za pooblaščene osebe za varstvo podatkov, spreminja ureditev videonadzora, zagotavljanja sledljivosti in nekatera druga področja. ZVOP-2 pa ne sme spreminjati določb Splošne uredbe, saj se mora uredba neposredno uporabljati. Upoštevati je treba, da veljata tako Splošne uredba kot ZVOP-2, zato je tudi določbe ZVOP-2 treba brati v luči Splošne uredbe.
Besedilo zakona je dostopno na tej povezavi.
Kdaj stopijo obveznosti po ZVOP-2 v veljavo in kakšne so prehodne določbe?
Zakon o varstvu osebnih podatkov (Uradni list RS št. 163/22; ZVOP-2) se uporablja s 26.1. 2023, vendar pa ZVOP-2 dopušča različna časovna obdobja za prilagoditev (od dneva uveljavitve, t.j. 26.1.2023):
- Posebni ukrepi za zagotavljanje varnosti osebnih podatkov na področju posebnih obdelav (23. člen) se vzpostavijo v treh letih.
- Minister, pristojen za pravosodje, v soglasju z ministrom, pristojnim za zdravje, po predhodnem mnenju nadzornega organa sprejme pravilnik o zaračunavanju stroškov (17(5) člen) v treh mesecih.
- Pooblaščene osebe, ki so jih do uveljavitve ZVOP-2 določili predstojniki organov v sestavi ministrstev, nadaljujejo opravljanje dela pooblaščene osebe po ZVOP-2.
- Prekrškovni postopki, ki so se začeli pri IP ali na sodiščih pred uveljavitvijo ZVOP-2, se končajo v skladu z ZVOP-1 razen če je ZVOP-2 za storilca milejši. Postopki inšpekcijskega nadzora, začeti na podlagi ZVOP-1 se nadaljujejo v skladu z ZVOP-2.
- Seznam tretjih držav iz 66. člena ZVOP-1 (prenos podatkov v tretje države) se razveljavi.
- Z dnem uveljavitve tega zakona preneha delovati Register zbirk osebnih podatkov pri IP.
- Vodenje dnevnikov obdelav se uskladi z 22. členom ZVOP-2 v dveh letih.
- Slovenska akreditacija začne izvajati postopke akreditacije 1. januarja 2024; upravljavci vloge vložijo v roku šestih mesecev po poteku roka iz prvega odstavka 121. člena.
- Videonadzor v prevoznih sredstvih, namenjenih javnemu potniškemu prometu, se uskladi z določbami 79. člena ZVOP-2 v roku šest mesecev.
- IP ni treba ponovno posredovati informacij o imenovanih pooblaščenih osebah, če podatki o pooblaščenih osebah niso spremenjeni.
- Veljati prenehajo:
- Pravilnik o metodologiji vodenja registra zbirk osebnih podatkov (Uradni list RS, št. 28/05 in 30/11);
- Pravilnik o pridobivanju potrebnih informacij za odločanje o iznosu osebnih podatkov v tretje države (Uradni list RS, št. 79/05);
- Pravilnik o zaračunavanju stroškov pri izvrševanju pravice posameznika do seznanitve z lastnimi osebnimi podatki (Uradni list RS, št. 85/07 in 5/12).
- Do sprememb določb o višinah in razponih glob, ki jih določa zakon, ki ureja prekrške, se globe za kršitve po 83. členu Splošne uredbe, izrekajo v skladu s 83. členom GDPR.
Opozarjamo, da z uveljavitvijo ZVOP-2 preneha veljati ZVOP-1 in s tem tudi naslednje določbe, ki jih ZVOP-2 ne ureja več:
- Zavarovanje občutljivih osebnih podatkov pri prenosu po nezavarovanih elektronskih poteh (14. člen ZVOP-1),
- Ureditev neposrednega trženja (72. in 73. člen ZVOP-1), za več informacij glej podstran o neposrednem trženju.
Informacije o tem, katere določbe ZVOP-1 se spreminjajo in kako najdete v nadaljevanju.
Kje dobimo več informacij o posameznih področjih, ki jih ureja ZVOP-2?
Spletno stran smo posodobili in več informacij glede ključnih delov ZVOP-2, kjer najdete obrazložitve, povezave do smernic in drugih uporabnih gradiv, najdete na naslednjih povezavah:
- Privolitev
- Pogodbena obdelava
- Videonadzor
- Biometrija
- Varnost podatkov
- Prijava kršitev varnosti
- Pooblaščene osebe za varstvo osebnih podatkov (DPO)
- Ocene učinka na varstvo osebnih podatkov
- Obveščanje posameznikov o obdelavi
- Povezovanje zbirk osebnih podatkov
- Prenos osebnih podatkov v tretje države in mednarodne organizacije
- Evidenca dejavnost obdelave
- Pravice posameznika
- Pristojnosti Informacijskega pooblaščenca
- Inšpekcijski nadzor oz. nadzorni postopki
- Kodeksi ravnanja
Posodabljamo tudi:
Primerjava določb ZVOP-1 in ZVOP-2: kaj se spreminja?
S 26.1.2023 preneha veljati ZVOP-1 in se začne uporabljati ZVOP-2, s tem pa nekatera področja, ki jih je urejal ZVOP-1 niso več urejena oziroma se z ZVOP-2 drugače urejajo. Za lažje razumevanje novosti, ki jih prinaša ZVOP-2, v naslednjih preglednici informativne narave podajamo opis ključnih sprememb (abecedno), pri čemer opozarjamo, da gre za zelo strnjen opis in da lahko v določenih primerih veljajo posebne izjeme in omejitve, zato je za zagotavljanje skladnosti nujno upoštevati celotno ureditev posameznega področja po ZVOP-2 in Splošni uredbi. Več informacij o posameznem področju najdete na povezavah zgoraj.
Sprememba |
Kratka razlaga |
Biometrija |
Nova ureditev biometrije (členi 80 do 84). Obdelava biometričnih osebnih podatkov v nasprotju z ZVOP-2 je prepovedana. Drug zakon lahko določa obdelavo biometričnih osebnih podatkov in pogoje za njeno uporabo, lahko pa uporabo biometričnih osebnih podatkov tudi omeji. Prepovedano je povezovati zbirke biometričnih osebnih podatkov z drugimi zbirkami in omogočati prenosljivost teh podatkov razen če to določa drug zakon. V zasebnem sektorju ne več samo nad zaposlenimi, pod določenimi pogoji lahko tudi nad strankami, ostaja omejenost dopustnih namenov. V javnem sektorju mora biometrijo urejati zakon, ostaja zahteva po odločbi IP v zasebnem (in deloma v javnem) sektorju (razen če je biometrija pod nadzorom posameznika), dodana je prepoved pridobivanja biometričnih osebnih podatkov v zvezi s trženjem. |
Definicije |
Veljajo definicije iz GDPR (4. člen), poleg teh pa nove (npr. povezovanje) ali spremenjene (npr. javni sektor!) definicije iz ZVOP-1: · nadzorni organ, · nadzorne osebe, · javni sektor, · zasebni sektor, · povezovalni znak, · zadeva sodišča, · zakon, · varnost države, · kazenske evidence, · prekrškovne evidence, · storitev informacijske družbe, · povezovanje zbirk podatkov. |
Evidentiranje vstopov in izstopov iz službenih prostorov |
Ureditev je podobna kot v ZVOP-1. 85. člen ZVOP-2 določa, da je dopusten vpogled v osebni dokument in kaj se sme zabeležiti: osebno ime, številka in vrsta uradnega identifikacijskega dokumenta, naslov prebivališča, zaposlitev, vrsta in registrska številka vozila ter datum, ura in razlog vstopa ali izstopa v prostore ali izstopa iz njih. Dodana je registrska številka vozila, skrajšan je rok hrambe - iz 3 let na 2 leti od konca koledarskega leta. |
Genski podatki |
Nova ureditev v 81. členu ZVOP-2 določa, da je genske podatke posameznika (npr. DNK material) dopustno obdelovati kadar to določa drug zakon, za namene zagotavljanja zdravstvenega varstva ali kadar je obdelava potrebna za izvajanje pogodbe, sklenjene izključno zaradi obdelave genskih podatkov v korist pogodbene stranke, ki je posameznik. |
Izjema družinske rabe in zasebne rabe |
Izjema družinske rabe in zasebne rabe (1. odstavek 7. člena ZVOP-1) vsebinsko gledano ostaja, urejena je v 2. odstavku 3. člena ZVOP-2. |
Izjeme glede podatkov, ki jih o svojih članih obdelujejo politične stranke, sindikati, društva ali verske skupnosti ter za upravljavce osebnih podatkov z manj kot 50 zaposlenimi |
Izjeme po 2. do 5. odstavku 7. člena ZVOP-1 (in omejitve teh izjem) s prenehanjem ZVOP-1 ne veljajo več. |
Katalogi in register zbirk |
Dolžnosti glede sprejema katalogi in prijave zbirk v register zbirk pri IP prenehajo veljati; ostaja dolžnost sprejema evidenc dejavnosti po 30. členu Splošne uredbe. |
Neposredno trženje (72. in 73. člen ZVOP-1) – prenehajo veljati |
Za neposredno trženje posameznikom po elektronskih poteh (npr. e-pošta, SMS ipd.) vključno s trženjem po telefonu in telefonskimi imeniki, veljajo določbe Zakona o elektronskih komunikacijah (ZEKom-2); za trženje po navadni pošti velja Splošna uredba. ZVOP-2 tega ne ureja več posebej ali drugače. |
Obdelava kontaktnih podatkov |
Nove so določbe glede obdelave kontaktnih podatkov (93. člen ZVOP-2). Za namene organiziranja uradnih srečanj, izobraževanj, ipd., dajanja izjav za javnost, razen izvajanja neposrednega trženja je dovoljena uporaba kontaktnih podatkov posameznikov iz javno dostopnih virov ali v okviru izvrševanja svojih javnih nalog, če so ji jih posamezniki prostovoljno razkrili ali dali privolitev, Določen je nabor podatkov: osebno ime, telefonska številka, naslov elektronske pošte ali druga komunikacijska številka/oznaka, podatki o delodajalcu/organizaciji ter podatki o področju dela, položaju, funkciji, članstvu v klubu ali hobiju posameznika. Za namene obveščanja javnosti sme oseba javnega ali zasebnega sektorja obdelovati, vključno z objavo: osebna imena, nazive, fotografije in videoposnetke posameznikov, pridobljene na dogodkih, ki jih v okviru svojih nalog, pristojnosti ali dejavnosti organizira ta oseba, če posameznik te obdelave ni prepovedal. |
Obdelava osebnih podatkov in dostop do informacij javnega značaja |
Zavezanci po Zakonu o dostopu do informacij javnega značaja (ZDIJZ) javnosti posredujejo osebne podatke, če so ti po zakonu javni ali če je za njihovo razkritje dan prevladujoč javni interes v skladu z ZDIJZ. Kadar zakon določa javnost podatkov ali kadar gre za podatke, ki so informacije javnega značaja, jih upravljavec, ki z njimi razpolaga, lahko javno objavi (74. člen ZVOP-2). |
Obdelava osebnih podatkov in mediji |
Nova ureditev po 83. členu ZVOP-2. Obdelava za namene obveščanja javnosti s strani medijev, književnega, umetniškega ali raziskovalnega ustvarjanja, resne kritike, obrambe kakšne pravice ali varstva upravičene koristi in izobraževanja je dopustna, če: je posameznik za obdelavo, objavo ali razkritje dal privolitev; jih je posameznik že javno objavil ali dal na razpolago javnosti; so na zakonit način že bili dostopni javnosti; so bili pridobljeni na podlagi prisotnosti posameznika na javno dostopnih krajih ali dogodkih, kjer posameznik glede na vse okoliščine ne more razumno pričakovati varstva zasebnosti, gre za zakonito objavo mnenja ali vrednostne ocene, je objava nujna za utemeljitev tega mnenja ali vrednostne ocene; so bili pridobljeni na drug zakonit način; pretehta javni interes po obveščanju javnosti, pravica do obveščenosti ter svoboda izražanja ali tako določa drug zakon. Uveljavljanje pravic posameznikov poteka pred sodišči, za namene izvajanja svobode izražanja ni dopustno nezakonito razkrivanje osebnih podatkov. |
Obdelava za arhivske namene |
Je dovoljena, če to določa zakon. Posameznik nima pravice do dostopa do lastnih podatkov v arhivskem gradivu po 15. členu Splošne uredbe, če bi dajanje informacij ali kopij njegovih osebnih podatkov zahtevalo očitno nesorazmeren napor. Omejene so pravice posameznika do popravka osebnih podatkov zaradi netočnosti ali neposodobljenosti, izbrisa, omejitve obdelave, prenosljivosti osebnih podatkov in izvršitve pravice do ugovora (kot jih opredeljuje Splošna uredba). Posameznik, ki navaja netočnost ali neposodobljenost svojih osebnih podatkov, ima možnost dati dopolnilno izjavo z navedbo nasprotnih dejstev, ki se priloži arhivskemu gradivu ali na gradivu ustrezno označi, kje je ta izjava. 71. člen ZVOP-2 se ne uporablja, če zakon, ki ureja varstvo dokumentarnega in arhivskega gradiva ter arhive, določa drugače. |
Obdelava za raziskovalne namene |
Obdelava osebnih podatkov za raziskovanje (znotraj zavezanca) ostaja dopustna. Raziskovalne organizacije pridobijo OP, vključno s posebnimi vrstami OP če tako obdelavo dovoljuje drug zakon ali če posameznik ni prepovedal obdelave. Raziskovalci morajo predložiti opis raziskave (»elaborat«), 69. člen ZVOP-2 pa določa, kaj mora vsebovati ter priložiti oceno učinka, če je obvezna po Splošni uredbi. Upravljavec zavrne posredovanje pod določenimi pogoji. Posameznikov se ne obvešča o obdelavah za te namene, razen če zakon določa drugače. Podatki, ki so bili predmet raziskave, se ob zaključku raziskave uničijo ali nepovratno anonimizirajo, razen izjemoma. Rezultati raziskave se objavijo v anonimizirani obliki; izjemoma tudi v psevdonimizirani obliki, če objava podatkov v anonimizirani obliki iz tehničnih razlogov ali zaradi zasledovanja ciljev raziskave ni mogoča. Določena je tudi možnost kontaktiranja posameznikov za pridobivanje privolitev za sodelovanje v raziskavi (70. člen). |
Obdelava za statistične namene |
Podobno ureditvi obdelave za arhivske namene (omejitve pravic posameznika, podlaga v področnem zakonu) – ureja 72. člen ZVOP-2. |
Objava kontaktnih podatkov |
106. člen ZVOP-1 nadomešča 92. člen ZVOP-2, ki določa, katere podatke zaposlenih lahko objavite javno (npr. na spletni strani) ali posredujete javnosti. Osebe javnega ali zasebnega sektorja lahko javnosti posredujejo in javno objavijo: osebno ime, naziv ali funkcijo, službeno telefonsko številko in naslov službene elektronske pošte vodilnih oseb in tistih zaposlenih, katerih delo je potrebno zaradi poslovanja s strankami. |
Pogodbena obdelava |
ZVOP-2 bistveno ne spreminja določb GDPR, ki so nadomestile zahteve ZVOP-1 glede pogodbene obdelave. ZVOP-2 določb glede pogodbene obdelave v smislu ureditve medsebojnega razmerja ter pravic in obveznosti upravljavcev in obdelovalcev posebej ali drugače ne ureja - velja Splošna uredba, se pa morajo obdelovalci zavedati, da tudi zanje veljajo tako določbe Splošne uredbe kot številne določbe ZVOP-2 (npr. glede zavarovanja osebnih podatkov, ki so predmet postopka, glede dnevnikov obdelave in varnosti osebnih podatkov na področju posebnih obdelav itd.). |
Pooblaščene osebe za varstvo podatkov (DPO) |
Poleg zavezancev po Splošni uredbi jo morajo določiti zavezanci po 22. členu ZVOP-2 ter nekateri drugi subjekti zaradi širše definicije javnega sektorja (npr. zasebni vrtci in šole z javnimi programi). Določen je rok za vpis, objavo in sporočanje podatkov IP (8 dni), že imenovanih ni treba ponovno sporočati. ZVOP-2 določa le osnovne zahteve: poslovna sposobnost, znanje/izkušnje, neobsojenost; DPO državnega organa mora biti iz javnega sektorja, razen državnih organov in v zasebnem pa je lahko zunanji DPO (iz javnega ali zasebnega, s pogodbo). Ne sme biti konflikta interesov, ki je natančneje opredeljen (npr. skrbnik informacijskih sistemov, vodja informacijske varnosti, predstojniki itd.), veljajo specifike za določene organe (npr. za sodišča, upravne enote, ministrstva, sindikate). |
Posredovanje osebnih podatkov |
V javnem sektorju se posredujejo podatki, če obstaja podlaga v skladu s Splošno uredbo, ter na podlagi zahteve po 41(1) členu ZVOP-2, razen če drug zakon določa drugače. Prejemnik sme osebne podatke obdelovati samo za namen, za uresničevanje katerega se mu posredujejo, posredujejo se brezplačno če zakon ne določa drugače. V zasebnem sektorju, če je podana podlaga in ustrezna zahteva. 41. člen opredeljuje zahtevo, ki mora vsebovati: vlagatelj, pravna podlaga, namen, katere podatke, številko zadeve, navedba organa, oblika in način pridobitve; za posredovanje je določen rok 15 dni od popolne zahteve, ob zavrnitvi/molku lahko zahteva vlagatelj zahteve odločitev nadzornega organa, ima sodno varstvo. Ureditev ne posega v pravico do pregleda in prepisa spisa, zahteva se sledljivost posredovanja (2 leti). |
Povezovanje zbirk osebnih podatkov – drugačna ureditev |
Dodana je definicija povezovanja (5. člen), ni več zahteve po obveščanju in pridobivanju odločbe IP, izrecna zakonska podlaga je zahtevana le za taksativno naštete zbirke osebnih podatkov. Pred povezovanjem je treba izdelati oceno učinka in se posvetovati z nadzornim organom (87. člen ZVOP-2). |
Prehodne določbe |
ZVOP-2 dopušča različna časovna obdobja za prilagoditev (od dneva uveljavitve, t.j. 26.1.2023) in sicer: · Posebni ukrepi za zagotavljanje varnosti osebnih podatkov na področju posebnih obdelav (23. člen) se vzpostavijo v treh letih. · Minister, pristojen za pravosodje, v soglasju z ministrom, pristojnim za zdravje, po predhodnem mnenju nadzornega organa sprejme pravilnik o zaračunavanju stroškov (17(5) člen) v treh mesecih. · Pooblaščene osebe, ki so jih do uveljavitve ZVOP-2 določili predstojniki organov v sestavi ministrstev, nadaljujejo opravljanje dela pooblaščene osebe po ZVOP-2. · Prekrškovni postopki, ki so se začeli pri IP ali na sodiščih pred uveljavitvijo ZVOP-2, se končajo v skladu z ZVOP-1 razen če je ZVOP-2za storilca milejši. Postopki inšpekcijskega nadzora, začeti na podlagi ZVOP-1 se nadaljujejo v skladu z ZVOP-2. · Seznam tretjih držav iz 66. člena ZVOP-1 (prenos podatkov v tretje države) se razveljavi. · Z dnem uveljavitve tega zakona preneha delovati Register zbirk osebnih podatkov pri IP. · Vodenje dnevnikov obdelav se uskladi z 22. členom ZVOP-2 v dveh letih. · Slovenska akreditacija začne izvajati postopke akreditacije 1. januarja 2024; upravljavci vloge vložijo v roku šestih mesecev po poteku roka iz prvega odstavka 121. člena. · Videonadzor v prevoznih sredstvih, namenjenih javnemu potniškemu prometu, se uskladi z določbami 79. člena ZVOP-2 v roku šest mesecev. · Ni treba ponovno posredovati informacij, če podatki o pooblaščenih osebah niso spremenjeni. · Veljati prenehajo: · Pravilnik o metodologiji vodenja registra zbirk osebnih podatkov (Uradni list RS, št. 28/05 in 30/11); · Pravilnik o pridobivanju potrebnih informacij za odločanje o iznosu osebnih podatkov v tretje države (Uradni list RS, št. 79/05); · Pravilnik o zaračunavanju stroškov pri izvrševanju pravice posameznika do seznanitve z lastnimi osebnimi podatki (Uradni list RS, št. 85/07 in 5/12). · Do sprememb določb o višinah in razponih glob, ki jih določa zakon, ki ureja prekrške, se globe za kršitve po 83. členu GDPR, izrekajo v skladu s 83. členom GDPR. |
Prenosi osebnih podatkov v tretje države |
Razveljavi se seznam tretjih držav po ZVOP-1 in ustrezni pravilnik, ostaja ureditev za zavezance, za katere se Splošna uredba ne uporablja, sicer za prenose veljajo določbe Splošne uredbe. |
Prijavitelj s posebnim položajem |
Če oseba prijavi kršitve svojih pravic, lahko dobi status prijavitelja s posebnim položajem. Vlogo mora dati po ZUP, nadzorni organ ima 3 mesece za odločitev, sproti ga obvešča o ukrepih in stanju zadeve (glej člene 30 do 34 ZVOP-2). |
Rok hrambe osebnih podatkov |
21. člen ZVOP-1 se vsebinsko bistveno ne spreminja. V 43. členu ZVOP-2 so podobne določbe, bistvena je nova zahteva, da mora upravljavec ob upoštevanju narave obdelovanih podatkov in tveganj občasno in na dokumentiran način preverjate, ali se upoštevajo določbe omejevanja roka hrambe. |
Sankcije |
Kazenske določbe ZVOP-1 prenehajo veljati, s sprejemom ZVOP-2 bo možno izrekanje sankcij po in v višini, kot jih določa Splošna uredba. Določene so kazni za kršitve določb ZVOP-1, kazni se lahko izrekajo tudi odgovornim osebam (poleg pravnih oseb). |
Sledljivost obdelav osebnih podatkov |
ZVOP-2 sledljivost obdelav poimenuje »dnevniki obdelav«, izrecno se zahtevajo za določene zbirke (22. člen ZVOP-2), določeno je, kaj je treba voditi v njih, za katera dejanja obdelave, za kaj se lahko uporabljajo ter krajši rok hrambe (22. člen ZVOP-2). Sledljivost se zahteva tudi za dostop in uporabo videonadzornih posnetkov (76. člen ZVOP-2). |
Splošno sodno varstvo pravic posameznika
|
Na novo urejeno v 11. členu ZVOP-2. Posameznik lahko zahteva sodno varstvo svojih pravic ves čas trajanja kršitve, brez predhodnega uveljavljanja pravic po drugih določbah tega zakona ali uporabe drugih pravnih sredstev. Posameznik lahko s sodnim varstvom zahteva poleg prenehanja kršitve in vzpostavitve zakonitega stanja tudi povrnitev škode. Če je kršitev prenehala, lahko posameznik s tožbo zahteva ugotovitev, da je kršitev obstajala. Odloča upravno sodišče po Zakonu o upravnem sporu, posameznik lahko v tožbo vključi tudi odškodninski zahtevek. V postopku pred upravnim sodiščem je javnost izključena, če sodišče na predlog posameznika iz utemeljenih razlogov ne odloči drugače. Se ne uporablja za postopke proti upravljavcem ali obdelovalcem glede obdelav osebnih podatkov s področja varnosti države. |
Strokovni nadzor |
Strokovni nadzor je podrobneje opredeljen (členi 89, 90 in 91 ZVOP-2). Izvajalec strokovnega obdeluje vse osebne podatke, ki jih obdelujejo upravljavci osebnih podatkov, nad katerimi izvaja strokovni nadzor; ima pravico do vpogleda, izpisa, prepisovanja ali kopiranja, dolžan je varovati njihovo tajnost. V poročilu ali oceni ob zaključku zapiše le tiste osebne podatke, ki so nujni za dosego namena strokovnega nadzora. Stroške vpogleda, izpisa, prepisovanja ali kopiranja krije upravljavec. Določena je ureditev obveščanja in možnost kontaktiranja drugih oseb. Če se obdelujejo posebne vrste osebnih podatkov, se naredi uradni zaznamek ali drug uradni zapis v zadevo organa. |
Uveljavljanje pravic posameznika |
Glede pravic ali zahtev posameznika velja Splošna uredba in 2. poglavje I. dela ZVOP-2 (členi 12 do 20). Smiselna se uporablja ZUP, veljajo roki iz GDPR. ZVOP-2 določa: postopek obravnavanja zahtevkov (13.-14.člen), sestavine odločbe (15. člen). Kadar upravljavec ugodi zahtevi ne izda posebne odločbe, temveč o tem napravi uradni zaznamek in posameznika seznani z odločitvijo. Kadar upravljavec zahtevi ne ugodi, izda odločbo, ki poleg sestavin po ZUP vsebuje tudi sestavine, ki jih določa ZVOP-2. Če posameznik to zahteva, ga lahko z osebnimi podatki seznani tudi ustno. Glede stroškov seznanitve – brezplačno (razen če gre za očitno neutemeljene ali pretirane: razumne stroške. t.j. samo materialne stroške posredovanja informacij, sporočil, odgovorov oziroma izvajanja zahtevanega ukrepanja; pravilnik bo urejal višino stroškov, način zaračunavanja, obveščanja o stroških). Treba bo vnaprej obvestiti posameznika o možnih stroških. |
Varstvo osebnih podatkov umrlih oseb |
Določbe so podobne tistim iz ZVOP-1, a deloma spremenjene. Podatki o umrlih se posredujejo uporabnikom, ki so za obdelavo pooblaščeni z zakonom, in tistim uporabnikom, ki izkažejo pravni interes za uveljavljanje pravic pred subjekti javnega sektorja. Na njihovo zahtevo tudi zakoncu, zunajzakonskemu partnerju, otrokom, staršem ali dedičem, če umrli posameznik ni pisno prepovedal upravljavcu posredovanja ali če drug zakon ne določa drugače. Ureja se tudi uporaba za namene znanstvenega raziskovanja, zgodovinskega raziskovanja, za izobraževalne, statistične ali arhivske namene ter objavo ali drugo obdelavo v zgodovinskih in drugih izobraževalnih publikacijah. Določbe ZVOP-2 se uporabljajo za osebne podatke umrlih 20 let po njihovi smrti, če drug zakon ne določa drugače. |
Videonadzor
|
Nameni uvedbe videonadzora ostajajo podobni, prav tako zahteva, da se objavi (bolj podrobno) obvestilo, seznani zaposlene, sprejme pisni sklep o uvedbi. Ni več posebne ureditve videonadzora večstanovanjskih stavb (blokov), obvestilo mora imeti več informacij (nekatere lahko na spletu), prepovedano v hotelsih sobah in podobnih prostorih, kjer upravičeno pričakujemo večjo stopnjo zasebnosti. Na novo se ureja videonadzor potniškega prometa in videonadzor na javnih površinah. Videonadzor lahko uporablja lahko samo pooblaščeno osebje, voditi je treba sledljivost uporabe in dostopov. Pri nadzoru znotraj delovnih prostorov se zahteva posvetovanje s predstavniki sindikatov, pri nadzoru cest pa je zahtevana ocena učinka in mnenje IP. Na javnih površinah je prepovedana uporaba sistemov za avtomatsko prepoznavo registrskih tablic in biometrije, če drug zakon ne določa drugače. |
Zavarovanje občutljivih osebnih podatkov pri prenosu po nezavarovanih elektronskih poteh (14. člen ZVOP-1) – preneha veljati |
Ni več zahteve, da morajo biti občutljivi osebni podatki (npr. zdravstveni, članstvo v sindikatu) šifrirani pri pošiljanju po nezavarovanih elektronskih poteh (npr. prek navadne e-pošte). |
Zavarovanje osebnih podatkov, ki so predmet postopka |
ZVOP-2 vsebuje tudi določbe, ki se nanašajo na zavarovanje osebnih podatkov, ki so predmet postopka (21. člen ZVOP-2) – gre za to, kdaj in kako morajo upravljavci osebnih podatkov v primeru, da so določeni osebni podatki zahtevani v določenem postopku (npr. inšpekcijskem, v postopku zahteve posameznika za dostop do lastnih podatkov ipd.), zaščititi zahtevane podatke. Bistveno je, da zavezanec ne sme potrebnih podatkov izbrisati ali spremeniti, dokler traja postopek (do pravnomočnosti odločitve). |