Slovenija in GDPR – kaj dejstvo, da Slovenija ni sprejela zakona za implementacijo GDPR, pomeni za varstvo podatkov v Sloveniji?
Slovenija je ena od članic EU, ki niso sprejele zakona za implementacijo Uredbe (EU) 2016/679 Evropskega parlamenta in sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (GDPR) pred 25. majem 2018. Pravzaprav Slovenija morda še kar nekaj časa ne bo imela takšnega zakona, saj je bila zadeva, medtem ko je osnutek novega zakona o varstvu podatkov v parlamentarnem postopku od aprila, zaradi predhodnih parlamentarnih volitev začasno ustavljena oziroma odložena. Poleg tega tudi ni jasno, ali bo osnutek sprejet v sedanji različici, saj je bilo precej kritik glede njegove vsebine, tako da naj bi bila v naslednjih mesecih predvidoma objavljena revidirana različica osnutka.
Medtem ko se GDPR uporablja neposredno, je določena vprašanja prepustila državam članicam EU za (nadaljnjo) ureditev. Ker takšen zakon ni bil sprejet, je Ministrstvo za pravosodje Republike Slovenije objavilo pojasnila glede njihovega razumevanja trenutnega stanja v zvezi z varstvom podatkov v Sloveniji. Glede na to, da je pristojen organ za podajanje pojasnil zakonov parlament kot zakonodajalec in do določene mere Informacijski pooblaščenec, ta pojasnila ministrstva niso zavezujoča, vendarle pa je zanimivo videti, kako trenutno stanje v zvezi z varstvom podatkov v Sloveniji dojema državni organ, kot je ministrstvo.
V skladu s pojasnili nekatere določbe trenutnega Zakona o varstvu podatkov (ZVOP-1) še naprej ostajajo v veljavi – gre za dele, ki niso zajeti v GDPR. Takšne so na primer določbe o biometriji, varstvu osebnih podatkov umrlih oseb, sodnem varstvu pravic, neposrednem trženju, video nadzoru, registraciji prihodov in odhodov ter povezovanju podatkovnih zbirk.
Bolj zanimivo pa je stališče ministrstva glede pooblastil Informacijskega pooblaščenca. Ministrstvo namreč meni, da medtem ko je Informacijski pooblaščenec trenutno pristojen za izvajanje inšpekcijskih pregledov tudi na podlagi GDPR (in ne le ohranjenih določb ZVOP-1), nima pooblastila za nalaganje upravnih glob in drugih sankcij za kršitve GDPR, temveč le za kršitve ZVOP-1 v delih, ki ostajajo v veljavi po 25. maju. Obrazložitev za takšno mnenje temelji na določbah Zakona o Informacijskem pooblaščencu (ZInfP), ki ne določajo pooblastila za ukrepanje v svojstvu organa za prekrške v primeru kršitev GDPR. Po njihovem mnenju bodo določbe novega ZVOP-2 Informacijskemu pooblaščencu lahko zagotovile pravno podlago za nalaganje upravnih glob, sedanja zakonodaja pa mu tega ne omogoča. To po mnenju ministrstva pomeni tudi, da bodo kakršni koli postopki, ki so bili sproženi na podlagi ZVOP-1 za zadeve, ki jih zdaj ureja GDPR, začasno ustavljeni, dokler ne bo sprejet ZVOP-2. Kljub temu pa bo Informacijski pooblaščenec imel pooblastilo za izdajanje inšpekcijskih sankcij tudi za kršitve GDPR.
Izpostavljeno je bilo tudi, da bi za kakršne koli kršitve GDPR od 25. maja 2018 pa do datuma začetka veljavnosti novega ZVOP-2 kršiteljem lahko bile naložene upravne globe iz GDPR, če bodo ti postopki sproženi ali zaključeni v okviru splošnih zastaralnih rokov za obravnavo prekrškov.
Poleg tega ministrstvo meni, da Informacijski pooblaščenec nima (še) pristojnosti za obravnavo zadev iz členov 16 do 22 GDPR, kar pomeni, da imajo posamezniki zgolj pravico zahtevati sodno varstvo na podlagi ZVOP-1, nimajo pa pravice do vložitve pritožbe pri nadzornem organu na podlagi GDPR.
To je nezavezujoče mnenje Ministrstva za pravosodje, medtem ko Informacijska pooblaščenka še ni objavila svojih stališč v zvezi s temi vprašanji. Zanimivo bo videti, kako bodo te določbe na koncu uveljavljene. Medtem ko je predvideno, da bo nova verzija osnutka ZVOP-2 objavljena do konca letošnjega poletja, bi lahko trajalo precej dlje, preden bo zakon dejansko sprejet.
