Slovenija pa je zdaj končno en korak bližje sprejetju novega zakona o varstvu osebnih podatkov. Osnutek ZVOP-2 je bil namreč konec decembra 2021 predložen v obravnavo pri vladnem delovnem telesu. To je prvi osnutek, ki je prišel tako daleč, zato je zdaj tudi manj možnosti, da bi še prihajalo do večjih pomembnejših sprememb. Seveda pa so spremembe še vedno možne, zato potek obravnave in sprejemanja podrobno spremljamo in bomo o morebitnih novostih tudi pripravili prispevek.
Med drugim trenutni predlog ZVOP-2 vsebuje naslednje določbe:
- Starost za privolitev mladoletnikov bo 15 let, kar je tudi skladno z določbami Družinskega zakonika. Za osebe mlajše od 15 let, bo poleg zakonitega zastopnika lahko soglasje podal tudi rejnik ali predstavnik institucije, v katero je nameščen mladoletnik (to so na primer različni popravni domovi in podobne institucije, kamor jih namesti na primer sodišče, ne pa na primer dijaški domovi, kjer mladoletniki živijo).
- Določbe o varstvu osebnih podatkov pokojnika bodo veljale še 20 let po smrti posameznika. Po tem podatki ne bodo več zaščiteni kot osebni podatki, lahko pa se bodo uporabljali posamezni specialni predpisi.
- Posameznik bo imel pravico do sodnega varstva svojih pravic, ne da bi mu bilo treba pred tem izkoristiti kakršna koli druga pravna sredstva. Trenutno je sodno varstvo predvideno le na upravnem sodišču in se ne šteje več za nujni in prednostni postopek, kot je bil/je po veljavnem zakonu o varstvu podatkov (ZVOP-1).
- Dnevnike obdelave je treba voditi v primeru (i) obsežne obdelave posebnih kategorij osebnih podatkov ali (ii) rednega ali sistematičnega spremljanja posameznikov ali (iii) če je z oceno učinka obdelave podatkov ugotovljeno, da bi bilo ugotovljeno tveganje mogoče uspešno zmanjšati z vodenjem dnevnikov ali (iv) če tako določa zakon. Po sedanjem osnutku bi morali dnevnike hraniti najmanj 2 leti in ne več kot 5 let.
- Osnutek predvideva posebna pravila o varnosti osebnih podatkov na področju posebnih vrst obdelave, ki med drugim vključuje upravljavce/obdelovalce, ki v svojih zbirkah hranijo večinoma posebne kategorije osebnih podatkov. Tako, kot je napisan trenutni osnutek, bi to zajemalo tudi vse zdravnike, ne glede na to, kako majhna je njihova ambulanta.
- Za zasebni sektor je predviden krajši rok za odgovor na zahtevo posameznika po dostopu do podatkov glede na tistega, ki je določen v GDPR – razen v posebnih okoliščinah je rok za odgovor predviden 15 dni (namesto 30 dni, ki jih določa GDPR).
- Osnutek ZVOP-2 izrecno določa, da vodja informacijske varnosti ne more biti DPO (tj. pooblaščena oseba za varstvo osebnih podatkov).
- ZVOP-2 v primerjavi z ZVOP-1 ne ureja več neposrednega trženja v posebnem poglavju.
- Spremenjeno bo tudi poglavje o videonadzoru, saj bo (kot je trenutno predvideno) posnetke po novem dovoljeno hraniti največ 1 leto (sedanji ZVOP-1 predvideva 2 leti), obvestilo o videonadzoru pa bo moralo vsebovati vse podatke, predvidene v 13. členu GDPR (vendar bodo podjetja lahko vključila povezavo do spletnega mesta, ki vključuje vse takšne informacije, namesto da bi vse to vključila v samo obvestilo na lokaciji).
- V zvezi s postopkom certificiranja bo Slovenska akreditacija podeljevala akreditacije certifikacijskim organom. Postopek akreditacije se bo začel 1. januarja 2024.
- Novi osnutek ZVOP-2 še vedno predvideva globe ne le za pravne osebe, temveč tudi za odgovorne osebe teh pravnih oseb (kot so direktorji ali osebe, odgovorne za posamezno področje, na katerega se kršitev nanaša). V primerjavi z GDPR in drugimi državami članicami EU je Slovenija precej redka, če ne edina država s tako ureditvijo.