Home / Publications / Kaj pripravlja EU na področju varstva osebnih po...

Kaj pripravlja EU na področju varstva osebnih podatkov?

2014-09

Tehnološki napredek in globalizacija sta nedvomno temeljito spremenila način zbiranja naših podatkov, dostopa do njih in njihove uporabe, zaradi česar so po mnenju Evropske unije (EU) načela direktive o varstvu podatkov iz leta 1995 že precej zastarela. Zaradi različne implementacije EU predpisov v nacionalnih državah, pa naj bi prihajalo tudi do razlike pri njihovem izvrševanju. V ta namen je Evropska komisija predlagala obsežno in celostno prenovo zakonodaje EU na področju varstva osebnih podatkov.

Predlog reforme, katerega jedro predstavlja sprejem Uredbe Evropskega parlamenta in Sveta o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (Splošna uredba o varstvu podatkov), je Evropska komisija sprejela že 25. januarja 2012. Predlog trenutno obravnava Evropski parlament, v naslednjem koraku pa bo svoje stališče moral podati tudi Svet ministrov EU, saj bo Splošna uredba o varstvu podatkov sprejeta po posebnem zakonodajnem postopku soodločanja. To pomeni, da bodo pred sprejemom sledila še obsežna tripartitna pogajanja med Evropsko komisijo, Parlamentom in Svetom.

Za razliko od prej veljavne direktive, ki je države članice zavezovala zgolj glede ciljev, način uresničevanja oz. njena implementacija v nacionalno pravo pa je bila prepuščena državam, se bo nova Splošna uredba o varstvu podatkov uporabljala neposredno. To pomeni, da bo uredba začela veljati takoj v vseh državah članicah, brez da bi morali nacionalni organi zato sprejeti kakšen zakonodajni ukrep, ter da bodo njene določbe v skladu z načelom primarnosti prava EU prevladale nad domačimi določbami o varstvu podatkov.

Iz tega razloga je izjemno pomembno, da se na bodoče spremembe pravočasno pripravijo tudi vsi subjekti na trgu. Ker gre za vseobsežno spremembo zakonodaje varstva podatkov, je mogoče pričakovati, da bo uredba vsaj v nekaterih državah članicah povzročila temeljne spremembe nacionalne zakonodaje. Podjetja bodo morala prilagoditi svoja interna pravila in smernice o varovanju podatkov, priporočljiva je tudi priprava ustreznih analiz tveganja.

Kaj bo torej predvidoma prinesla nova Splošna uredba o varstvu podatkov?

Uredba v tretjem členu širi ozemeljsko veljavnost zakonodaje EU, saj bo predvidoma veljala tudi za upravljalce in pogodbene obdelovalce osebnih podatkov izven EU, v kolikor bodo izvajali obdelavo podatkov prebivalcev EU na način, da bodo njihove aktivnosti usmerjene k njim ali pa da bodo spremljali njihovo vedenje. Taka ureditev ne prinaša le večje zaščite prebivalcev EU, temveč varuje tudi upravljalce v EU, saj bodo morali tudi upravljalci izven EU zagotavljati enako varstvo pravic, s tem pa bodo izgubili svojo konkurenčno prednost zaradi prej običajno manj stroge domače zakonodaje.

Nadalje uredba v 4. členu spreminja tudi več definicij, med drugim je širša definicija osebnega podatka, strožja pa definicija posameznikove privolitve. Privolitev bo morala biti vedno izrecna, kar pomeni, da se podjetja ne bodo več mogla zanašati na "domnevno privolitev" oz. privolitev s konkludentnim dejanjem ter na razne opt-out mehanizme pridobitve soglasja. Dokazno breme v zvezi z obstojem soglasja bo imelo podjetje. Predlagana uredba ureja tudi privolitev otrok, tako da bo obdelava osebnih podatkov otroka, mlajšega od 13 let, zakonita le, če in v obsegu v katerem bo privolitev dal ali odobril starš ali skrbnik otroka. Taka ureditev bo nedvomno predstavljala breme za podjetja, saj bodo morala uvesti ustrezne mehanizme za preverjanje veljavnosti soglasja.

13.a in 14. člen Splošne uredbe o varstvu podatkov nalagata upravljalcu osebnih podatkov obširno dolžnost obveščanja posameznika o obdelavi njegovih osebnih podatkov. Poleg že sedaj potrebnih podatkov, bo moral upravljalec posameznika na standardiziranem formularju seznaniti tudi s tem, kaj bo počel s podatki, v kakšni obliki se bodo prenašali in kakšen bo način zavarovanja podatkov ter mu sporočiti čas shranjevanja, ga poučiti o pravici do pritožbe na pristojni organ, mu poročati o morebitnem posredovanju njegovih podatkov javnim organom itd. Vsi upravljalci osebnih podatkov bodo zato morali pripraviti nova besedila obvestil in prilagoditi svoje pravilnike o obdelavi podatkov.

Upravljalci, ki obdelujejo podatke z elektronskimi sredstvi, bodo po novem dolžni na zahtevo posameznika le-temu posredovati elektronsko kopijo njegovih podatkov, kar pomeni, da bodo lahko uporabniki elektronskih storitev lažje menjali ponudnike. Nova je tudi uzakonitev pravice do pozabe oz. pravice do izbrisa, o kateri smo že pisali (Cenzura interneta ali velik napredek pri varstvu osebnih podatkov?).

Uredba predvideva tudi dolžnost upravljalcev, da vsako kršitev varstva podatkov nemudoma naznanijo pristojnemu nadzornemu organu za varstvo podatkov, kar pomeni, da bodo morali upravljalci sprejeti ukrepe za nadzor in ukrepanje v primeru morebitnih kršitev. Nova je tudi obveznost izvajanja redne analize tveganja, ali trenuten način obdelave podatkov predstavlja kakšna posebna tveganja za posameznikove pravice in dolžnosti, posebno glede na pravico do varstva osebnih podatkov (t.i. ocena vpliva na varstvo osebnih podatkov). Vse tiste družbe, ki kot svojo glavno dejavnost obdelujejo osebne podatke oz. družbe, ki bodo obdelovale podatke več kot 5000 posameznikov v obdobju 12 zaporednih mesecev, bodo morale imenovati tudi internega nadzornika za varstvo osebnih podatkov. S tem želi EU vzpodbujati določeno stopnjo samoregulacije.

Spremembe se obetajo tudi na področju iznosa osebnih podatkov v tretje države. Iznos bo v primeru, da tretja država ne zagotavlja ustrezne ravni varstva, dovoljen le izjemoma. Brez dovoljenja nadzornega organa v tako državo ne bo mogoče razkriti osebnih podatkov niti na podlagi sodne ali druge upravne odločbe.

In kakšne sankcije lahko doletijo podjetja? V primeru ravnanja v nasprotju z obveznostmi določenimi v uredbi, bodo imeli pristojni organi za varstvo podatkov več pristojnosti za ukrepanje, poleg tega pa bodo morali izreči vsaj eno od predvidenih sankcij, in sicer (i) pisno opozorilo (v primeru manj hudih kršitev), (ii) izvedbo redne in periodične revizije varstva podatkov ali (iii) kazen v višini do 100 milijonov EUR oziroma do 5% letnega svetovnega prometa, kateri koli znesek je v konkretnem primeru višji. Do sedaj je Zakon o varstvu osebnih podatkov kot najvišjo globo določal znesek v višini 12.510 EUR, kar pomeni, da bo imel Informacijski pooblaščenec v primeru kršitev pristojnost izreči kar 8.000 krat višjo globo. Najnižja višina globe pa po novem ne bo več določena.