24.1.2023
OS POD
> Varstvo osebnih podatkov

Novi Zakon o varstvu osebnih podatkov začne veljati 26. januarja 2023 – kaj prinaša?

Novi Zakon o varstvu osebnih podatkov (ZVOP-2) je bil 15. decembra 2022 sprejet v Državnem zboru, 27. decembra 2022 pa z vakacijskim rokom 30 dni od objave tudi objavljen v Uradnem listu. To pomeni, da začne veljati že 26. januarja 2023.

Z uveljavitvijo težko pričakovani ZVOP-2[1] prinaša nekaj pomembnih novosti, med katerimi je najpomembnejša ta, da bo informacijski pooblaščenec (ki ostaja nadzorni organ) lahko izrekal globe predpisane s Splošno uredbo o varstvu osebnih podatkov (GDPR). Zakon v prehodnih določbah določa, da se prekrškovni postopki, ki so se začeli pri Informacijskem pooblaščencu ali na sodiščih pred uveljavitvijo tega zakona, končajo v skladu z Zakonom o varstvu osebnih podatkov (Uradni list RS, št. 94/07 – uradno prečiščeno besedilo; v nadaljnjem besedilu: ZVOP-1), razen če je ta zakon za storilca milejši. Postopki inšpekcijskega nadzora, začeti na podlagi ZVOP-1, pa se nadaljujejo v skladu z ZVOP-2.

Novosti, o katerih smo poročali v začetku leta 2022 so se povečini ohranile tudi v končni različici zakona, zato jih na tem mestu ne bomo ponavljali. Izmed neomenjenih novosti ter novosti, ki so morda urejene nekoliko drugače kot predvideno v osnutku iz prejšnjega prispevka, bi izpostavili še sledeče:

  1. ZVOP-2 določa dve novi podlagi za obdelavo posebnih vrst osebnih podatkov, in sicer (i) obdelavo podatkov o narodni ali etnični pripadnosti v javnem sektorju med drugim za namene zagotavljanja enakih možnosti, zajamčenih posebnih pravic in podobno, ter (ii) obdelavo vseh posebnih vrst osebnih podatkov na obveščevalno-varnostnem in protiobveščevalnem področju, kadar tako določa zakon.
  2. Razveljavlja seznam tretjih držav iz 66. člena ZVOP-1, torej držav, za katere je informacijski ugotovil, da imajo v celoti ali delno zagotovljeno ustrezno raven varstva osebnih podatkov, ali da te nimajo zagotovljene. Glede na odločitve (ti. Adequacy decisions), ki jih je sprejela Evropska komisija[2], bo to pomenilo, da na seznamu tretjih držav, za katere ni potrebna dodatna podlaga za iznos podatkov, ne bo več Makedonije, in bo (do sprejema morebitnih novih odločitev) potrebno za iznose osebnih podatkov v Makedonijo, poiskati drugo pravno podlago (na primer standardne pogodbene klavzule).
  3. Ureja tudi prehodno obdobje do začetka izvajanja postopkov akreditacije, saj se bodo le-ti začeli izvajati s 1. januarjem 2024. V vmesnem obdobju se šteje, da so dejanja obdelave, za katera je potrebno pridobiti certifikat (na primer dejanja obdelave biometričnih podatkov), skladna z merili iz mehanizma potrjevanja, če so obdelave skladne s predpisi o varstvu osebnih podatkov.
  4. Upravljavcem omogoča tudi nekaj časa za uskladitev delovanja z novo obveznostjo vodenja dnevnikov obdelav (22. člen ZVOP-2). Predvideva namreč, da je potrebno vodenje dnevnikov obdelav z zakonom uskladiti šele v roku 2 let od uveljavitve, torej do 26. januarja 2025.

Poleg videonadzora in biometrije zakon ureja tudi nekatera druga področja, ki jih GDPR prepušča državam članicam (na primer obdelave za znanstvenoraziskovalne, statistične in arhivske namene ter varstvo svobode izražanja in dostopa do informacij javnega značaja v razmerju do varstva osebnih podatkov), ter določa pristojnosti nadzornega organa in globe za kršitve določb ZVOP-2.

 

[1] Čakali smo ga vse od 25. maja 2018.

[2] Za nekatere države je bila namreč sprejeta tako odločitev EK kot tudi odločitev IPRS.