Slovenija kot zadnja država EU, ki še nima zakona za implementacijo GDPR
Od prvega prispevka na to temo (povezava v nadaljevanju) je minilo že več kot 2 leti, stanje pa se (z izjemo tega, da smo v vmesnem času brali in komentirali še nekaj dodatnih verzij Zakona o varstvu osebnih podatkov (ZVOP-2)) še vedno ni spremenilo. Trenutno smo zadnja država članica EU, ki takšnega zakona še nima in vse oči so torej uprte v nas.
Kljub odsotnosti ZVOP-2 je Splošna uredba o varstvu podatkov (GDPR) v Sloveniji neposredno uporabljiva že vse od 25. 5. 2018, ZVOP-1 velja le še v omejenem obsegu, številna podjetja pa so se že pred tem datumom pripravila in svoje poslovanje uskladila z GDPR. Spet druga so ob branju pojasnil Ministrstva za pravosodje (opisana so v prvem prispevku na to temo) verjetno pomislila, da se jim časa in sredstev (še) ne izplača vlagati v usklajevanje njihovih procesov obdelave osebnih podatkov z GDPR, saj (i) lahko ZVOP-2 prinese določene manjše spremembe in (ii) informacijska pooblaščenka tako in tako ne more izrekati visokih glob po GDPR.
Dodatno je takšno razmišljanje utrdila odločitev Okrajnega sodišča Ljubljani z dne 30. 9. 2019, s katero je le-to spremenilo odločbo informacijskega pooblaščenca in ustavilo postopek o prekršku, ki ga je vodil zoper pravno osebo in njeno odgovorno osebo zaradi pridobivanja določenih osebnih podatkov na podlagi 10. člena Zakona o odvetništvu (ZOdv). Sodišče se tam sicer ni posebej opredeljevalo do možnosti izrekanja upravnih glob, je pa zavzelo stališče, da je GDPR milejši od ZVOP-1, saj predvideva le upravne globe (ki so sicer občutno višje od kazni iz ZVOP-1, pa vseeno), kršitev ne opredeljuje kot prekrške, prav tako pa ne predvideva globe za odgovorno osebo.
Tako se nahajamo v situaciji, ko sprejetje ZVOP-2 (sploh zdaj, ko se večina ukvarja s predpisi zaradi epidemije COVID-19) ni še niti na vidiku, upravljavci pa z osebnimi podatki počnejo takorekoč kar želijo, saj tvegajo le inšpekcijski nadzor in potencialno opozorilo.
Takšno razmišljanje sicer danes lahko prihrani kakšen euro in nekaj časa, na dolgi rok pa se lahko ne obrestuje. Namreč, kljub temu da trenutno informacijska pooblaščenka upravnih glob po GDPR ne more izrekati, ni mogoče izključiti, da bo ZVOP-2 sprejet pred potekom splošnih zastaralnih rokov za prekrške in bo informacijska pooblaščenka upravne globe tedaj lahko izrekla za nazaj (trenutni predlog ZVOP-2 namreč na primer določa, da nadzorni organ o kršitvah in upravnih globah iz 83. člena GDPR odloča kot o prekrških).
Nadalje; ne glede na to, kako dobro smo svoje poslovanje uskladili, vedno lahko pride do nenačrtovanih situacij, ali celo do situacij, ki se jih pri urejanju področja nismo niti zavedali, posledično pa se pojavi situacija, ko smo v kršitvi. Takšen primer je na primer razveljavitev zasebnostnega ščita ter potencialne težave, ki jih lahko imajo podjetja s tem, ko (nevede) iznašajo osebne podatke v ZDA na primer zaradi uporabe Facebook piškotkov.
Svojim strankam zato svetujemo, da področje dobro uredijo že sedaj (oziroma idealno bi področje moralo biti že v celoti urejeno), sproti pa spremljajo stanje in hitro ter pravilno reagirajo na (grozečo) kršitev.
Koristi takšnega pristopa je več, zlasti pa se s tem na eni strani izognemo potencialnim visokim globam, ki nam jih pred zastaranjem prekrška lahko izreče informacijska pooblaščenka tudi naknadno, ko bo sprejet ZVOP-2, na drugi strani pa bo strošek usklajevanja z ZVOP-2 toliko nižji, saj le-ta lahko drugače ureja le nekatera redka področja, v preostalem delu pa velja že sedaj veljavni GDPR.
