27.6.2017
OS POD
> Varstvo osebnih podatkov

Leto dni do uveljavitve Splošne uredbe o varstvu podatkov

Mineva več kot leto dni od sprejetja nove Splošne uredbo o varstvu podatkov (Uredba (EU) 2016/679), ki bo 25. maja 2018 zamenjala nacionalne predpise. Manj kot leto dni je ostalo za prilagoditev zavezancev na spremembe.

Evropske institucije so s tem od držav članic prevzele pristojnost urejanja varstva osebnih podatkov, saj se je izkazalo, da so različna pravila in prakse držav članic zavirale razvoj enotnega trga.

Ker je od sprejetja prejšnjega pravnega okvira, zgrajenega okrog Direktive 95/46/ES, informacijska tehnologija pomembno napredovala in močno prepletla naš vsakdan, so bile spremembe nesporno potrebne.

Ob sprejemanju in uveljavitvi Direktive je imel internet malo uporabnikov. Po podatkih Svetovne banke ga je uporabljalo le manj kot odstotek Evropejcev. Po večini so uporabljali brskalnik Netscape, ki je takrat prvič omogočal varno povezavo (SSL), in Windows 95, računalnike najsrečnejših pa je poganjal najzmogljivejši Pentium 133. Nekaj mesecev pred sprejetjem in uveljavitvijo Direktive sta se prvič srečala Larry Page in Sergey Brin (kasneje ustanovitelja Googla). Od uveljavitve Direktive pa so morala preteči še tri leta do predstavitve Nokie 5110, šest let do prve množične uporabe pametnih telefonov na Japonskem, devet let do prve javne rabe socialnega omrežja Facebook in več kot deset let do prve javne storitve v oblaku.

S temi dejavniki za informacijsko zasebnost evropski zakonodajalec ob sprejemanju Direktive ni mogel računati. Nevarnosti in pasti za osebne podatke na eni in nezmožnost obstoječega pravnega okvirja, da spodbudi razvoj enotnega trga, na drugi strani so se pokazali šele med dvaindvajsetletnim obstojem Direktive.

V postopku sprejemanja Splošne uredbe o varstvu podatkov je Evropska komisija predlagala in dosegla usvojitev več pomembnih dopolnitev obstoječih načel varstva osebnih podatkov. Svoje predloge je oblikovala na podlagi praktičnih izkušenj in odločb Sodišča Evropske unije.

Z vidika nadzora bodo nova pravila zavezancem, ki so prisotni v več državah članicah, olajšalo načelo one-stop-shop, skladno s katerim se bodo lahko obračali le na nacionalnega nadzornika, pristojnega za državo članico, v kateri je glavni sedež zavezanca.

Novi načeli privacy by design in privacy by default bosta zavezali obdelovalce osebnih podatkov, da bodo svoje izdelke in storitve od prvih zasnov dalje načrtovali z mislijo na varstvo osebnih podatkov, s čemer se želi pritegniti več potrošnikov, in bodo kot privzete določili takšne nastavitve, ki bodo v največji možni meri potrošnikom zagotavljali zasebnost.

Nova pravila bodo posegla v poslovanje organizacij, ki nimajo sedeža v kateri od držav članic, pa ponujajo izdelke ali storitve ali nadzirajo posameznike v Evropski uniji. Navedene organizacije bodo morale v Evropski uniji imenovati predstavnika.

Po novih pravilih bodo otroci veljavno privolitev k obdelavi osebnih podatkov lahko podali le z odobritvijo staršev, omejena pa bo tudi obdelovanja podatkov otrok za potrebe izvajanja pogodbenega razmerja. Za veljavno privolitev bo tudi nasploh več zahtev kot doslej, za obdelovanje občutljivih podatkov, ki po novem izrecno vključujejo genetične podatke, in za iznos osebnih podatkov izven Evropske unije pa bo potrebna celo izrecna privolitev.

Posamezniki, na katere se nanašajo osebni podatki, z novimi pravili pridobivajo robustnejše pravice, med drugim tudi pravico biti pozabljen, zavezanci pa obveznost izdatnejšega informiranja o svojih postopkih, vendar ne na račun razumljivosti in preglednosti.

Izvajalci dejavnosti z visokim tveganjem za osebne podatke bodo morali izdelati vnaprejšnjo oceno tveganj in se pred pričetkom obdelovanja posvetovati z nacionalnim nadzornikom, kar predstavlja dodatni časovni pritisk pri implementaciji projektov.

Splošna uredba o varstvu podatkov zahteva od zavezancev, da bodo osebne podatke na nosilcih, ki jih uporabljajo za obdelovanje, ustrezno zavarovali pred nepooblaščenimi osebami, kar si glede na obstoječe grožnje ni mogoče predstavljati brez uporabe naprednih načinov enkripcije.

Javnopravni zavezanci, zavezanci, ki zaradi narave dejavnosti osebne podatke redno in sistematično spremljajo, in zavezanci, ki obdelujejo občutljive osebne podatke, bodo morali imenovati pooblaščeno osebo za varstvo osebnih podatkov, ki bo znotraj zavezanca odgovorna le najvišjim organom upravljanja in prvenstveno pristojna za vsa vprašanja s področja varstva osebnih podatkov.

Zavezanci bodo morali poskrbeti, da bodo nacionalnim nadzornikom zmožni v vsakem trenutku dokazati, da izpolnjujejo vse zahteve. Spoštovanje zahtev bo v nekaterih primerih mogoče zagotoviti tudi s pristopom h kodeksom ravnanj, ki jih bo vnaprej odobril nacionalni nadzornik, ali pa, praviloma pred pričetkom obdelave osebnih podatkov, s pridobitvijo potrdila pooblaščenega organa za potrjevanje.

Nacionalni nadzorniki bodo nad zavezancem lahko opravili nadzorni postopek, mu izdali opozorila ali prepovedali obdelovanje osebnih podatkov. Zavezancu, ki bo kršil pravila, bo grozila denarna kazen v višini štirih odstotkov svetovnega letnega prometa ali dvajset milijonov evrov, zavezanec pa bo poleg tega prizadetim posameznikom dolžan povrniti tudi škodo.

Splošna uredba o varstvu osebnih podatkov naj bi utišala tiste, ki se zavzemajo za gospodarski napredek na račun krnitve človekovih pravic, pospešila naj bi elektronsko poslovanje, okrepila in spodbudila razvoj enotnega trga ter odpravila administrativne ovire za vstop nanj. Odštevanje do uveljavitve novih pravil se je pričelo. Zadnje leto dni do uveljavitve Splošne uredbe o varstvu podatkov bo minilo hitro, zato se je na spremembe potrebno začeti pripravljati že danes.