Kljub odsotnosti ZVOP-2 je Splošna uredba o varstvu podatkov (GDPR) v Sloveniji neposredno uporabljiva že vse od 25. 5. 2018, ZVOP-1 velja le še v omejenem obsegu, številna podjetja pa so se že pred tem datumom pripravila in svoje poslovanje uskladila z GDPR. Spet druga so ob branju pojasnil Ministrstva za pravosodje (opisana so v prvem prispevku na to temo) verjetno pomislila, da se jim časa in sredstev (še) ne izplača vlagati v usklajevanje njihovih procesov obdelave osebnih podatkov z GDPR, saj (i) lahko ZVOP-2 prinese določene manjše spremembe in (ii) informacijska pooblaščenka tako in tako ne more izrekati visokih glob po GDPR.
Dodatno je takšno razmišljanje utrdila odločitev Okrajnega sodišča Ljubljani z dne 30. 9. 2019, s katero je le-to spremenilo odločbo informacijskega pooblaščenca in ustavilo postopek o prekršku, ki ga je vodil zoper pravno osebo in njeno odgovorno osebo zaradi pridobivanja določenih osebnih podatkov na podlagi 10. člena Zakona o odvetništvu (ZOdv). Sodišče se tam sicer ni posebej opredeljevalo do možnosti izrekanja upravnih glob, je pa zavzelo stališče, da je GDPR milejši od ZVOP-1, saj predvideva le upravne globe (ki so sicer občutno višje od kazni iz ZVOP-1, pa vseeno), kršitev ne opredeljuje kot prekrške, prav tako pa ne predvideva globe za odgovorno osebo.
Tako se nahajamo v situaciji, ko sprejetje ZVOP-2 (sploh zdaj, ko se večina ukvarja s predpisi zaradi epidemije COVID-19) ni še niti na vidiku, upravljavci pa z osebnimi podatki počnejo takorekoč kar želijo, saj tvegajo le inšpekcijski nadzor in potencialno opozorilo.
Takšno razmišljanje sicer danes lahko prihrani kakšen euro in nekaj časa, na dolgi rok pa se lahko ne obrestuje. Namreč, kljub temu da trenutno informacijska pooblaščenka upravnih glob po GDPR ne more izrekati, ni mogoče izključiti, da bo ZVOP-2 sprejet pred potekom splošnih zastaralnih rokov za prekrške in bo informacijska pooblaščenka upravne globe tedaj lahko izrekla za nazaj (trenutni predlog ZVOP-2 namreč na primer določa, da nadzorni organ o kršitvah in upravnih globah iz 83. člena GDPR odloča kot o prekrških).
Nadalje; ne glede na to, kako dobro smo svoje poslovanje uskladili, vedno lahko pride do nenačrtovanih situacij, ali celo do situacij, ki se jih pri urejanju področja nismo niti zavedali, posledično pa se pojavi situacija, ko smo v kršitvi. Takšen primer je na primer razveljavitev zasebnostnega ščita ter potencialne težave, ki jih lahko imajo podjetja s tem, ko (nevede) iznašajo osebne podatke v ZDA na primer zaradi uporabe Facebook piškotkov.
Svojim strankam zato svetujemo, da področje dobro uredijo že sedaj (oziroma idealno bi področje moralo biti že v celoti urejeno), sproti pa spremljajo stanje in hitro ter pravilno reagirajo na (grozečo) kršitev.
Koristi takšnega pristopa je več, zlasti pa se s tem na eni strani izognemo potencialnim visokim globam, ki nam jih pred zastaranjem prekrška lahko izreče informacijska pooblaščenka tudi naknadno, ko bo sprejet ZVOP-2, na drugi strani pa bo strošek usklajevanja z ZVOP-2 toliko nižji, saj le-ta lahko drugače ureja le nekatera redka področja, v preostalem delu pa velja že sedaj veljavni GDPR.