20.3.2018
OS POD
> Varstvo osebnih podatkov

Predlog Zakona o varstvu osebnih podatkov (ZVOP-2) – prekoračitev mej GDPR?

Vse odkar je Ministrstvo za pravosodje konec januarja objavilo predlog novega Zakona o varstvu osebnih podatkov (»ZVOP-2«), je slednji pod drobnogledom zainteresirane javnosti – in sicer povsem upravičeno. Ko je Evropska unija (»EU«) sprejela Splošno uredbo o varstvu podatkov (»GDPR«) v obliki neposredno veljavnega predpisa, ki ne zahteva prenosa v notranji pravni red, da bi učinkoval, je bil namen EU nedvomno poenotiti režime varstva podatkov v državah članicah (kar je pomenilo opustitev pristopa iz Direktive o varstvu podatkov (95/46/ES) iz leta 1995).

Res je, da je GDPR državam članicam prepustila določeno stopnjo diskrecije pri ureditvi nekaterih vidikov zadevnih nacionalnih režimov varstva podatkov (npr. obdelovanje v okviru zaposlitve, obdelovanje določenih kategorij občutljivih osebnih podatkov, vključno s podatki o zdravju, obdelovanje za namene arhiviranja v javnem interesu, za znanstveno- ali zgodovinsko raziskovalne namene ali statistične namene, obveznost varovanja skrivnosti). GDPR določa nadaljnje smernice v zvezi s tem in pojasnjuje, da lahko države članice, kolikor je to potrebno zaradi skladnosti in razumljivosti nacionalnih določb za osebe, za katere se uporabljajo, vključijo elemente GDPR v svoje nacionalno pravo. Vendar pa to velja le, kadar GDPR določa natančnejše določitve ali omejitve svojih pravil s pravom držav članic (uvodna navedba 8 GDPR).

Zdi se, da bi ZVOP-2, če bi bil sprejet v obliki objavljenega predloga, prekoračil ta izrecna pooblastila, ki jih daje GDPR.

Prvič, predlog podvaja številne določbe GDPR, ki so dovolj jasne in ne potrebujejo prenosa ali razlage. To so, na primer, opredelitve pojmov, načela v zvezi z obdelavo osebnih podatkov, pravice posameznikov, na katere se nanašajo osebni podatki, in podobno, kar je vse zajeto tako v GDPR kot tudi v predlogu ZVOP-2. Medtem ko so nekatere določbe GDPR ponovljene dobesedno, so druge do določene mere prilagojene, kar povzroča precejšnjo zmedo. Zdi se, da je trenutnemu predlogu ZVOP-2 poizkus, da bi bil zakon o varstvu podatkov kar se da izčrpen in jasen, s tem spodletel.

Nadalje predlog ZVOP-2 različne teme ureja drugače ali bolj podrobno kot GDPR, tudi kadar GDPR ne predvideva izrecno takšnih natančnejših določitev ali omejitev. Na primer, predlog ZVOP-2 posebej ureja neposredno trženje, ki se glede na uvodne navedbe GDPR lahko šteje za opravljeno v zakonitem interesu, vendar pa v zvezi z zakonitim interesom kot podlago za zakonito obdelovanje podatkov GDPR ne dopušča takšne posebne ureditve. Predlog tudi posebej ureja video nadzor (ki v skladu z načelom tehnološke nevtralnosti ni urejen v GDPR), za kar veljajo podobni pomisleki. Drugi primeri posebne ureditve v predlogu ZVOP-2 zajemajo starost, ki se uporablja za privolitev otroka v zvezi s storitvami informacijske družbe (predlog ZVOP-2 določa starostno omejitev na 15 let, s čimer odstopa od privzete možnosti v GDPR, ki določa starost na 16 let), in obdelavo osebnih podatkov umrlih oseb (na podlagi uvodne navedbe 27 GDPR).

Po drugi strani predlog ZVOP-2 ne zajema posebne ureditve glede nekaterih vprašanj, ki bi na podlagi določb GDPR lahko bila urejena z nacionalnim predpisom, npr. o zahtevah za določitev pooblaščene osebe za varstvo podatkov in o posebnih omejitvah za obdelovanje genetskih podatkov ali podatkov o zdravju. Predlog tudi ne omejuje možnosti obdelovanja posebnih kategorij podatkov v zasebnem sektorju na podlagi izrecnega soglasja bolj kot GDPR.

Na datum tega članka končno besedilo ZVOP-2 še ni bilo potrjeno. 13. marca 2018 je bil sicer kot gradivo v obravnavi slovenske vlade objavljen nov predlog zakona, ki pa ne odstopa bistveno od zgoraj navedenega. Vlada je tudi navedla, da določena usklajevanja glede tega osnutka še vedno potekajo. Glede na to, da bi priprave na skladnost z novim sistemom lahko terjale precej časa in sredstev, pa medtem tako upravljavci kot obdelovalci ostajajo v nezavidljivem položaju negotovosti glede tega, ali in kako bo slovenska zakonodaja uredila zadeve drugače kot GDPR. Datum veljavnosti GDPR se nezadržno približuje in slovenski organi se bodo morali hitro domisliti končne rešitve.