Ne spreglejte  •  Izkoristite 30 % popust za nove naročnike na rešitev All Hours - samo do konca maja 21 => Izvedite več  
   
Choose languageLanguage
Blog

Glavne novosti, ki jih prinaša ZVOP-2

ZVOP 2 - Klemen Kraigher Mišič
Špica International
Avtor
Špica International
Datum
02/06/2021

V intervjuju z direktorjem podjetja GDPR Plus, pravnikom, specialistom za varsto osebnih podatkov in magistrom poslovnih ved, smo se pogovorili o novostih, ki jih prinaša ZVOP-2. Po njegovi oceni je ZVOP-2 bistveno bolj usklajen z uredbo GDPR kot prva dva – torej ZVOP-2 iz let 2018 in 2019, ki sta relativno neslavno propadla.


Katere so glavne novosti, ki jih prinaša ZVOP-2?

Nekaj novosti ZVOP-2 zagotovo prinaša, med njimi recimo:  

  • malce se olajšuje področje biometrije,
  • uvajajo se nove zahteve na področju videonadzora,
  • uvajajo se posebne zbirke osebnih podatkov,
  • ZVOP-2 deli pravne podlage na javni in zasebni sektor, s čimer znajo imeti težave predvsem v javnem sektorju.  

Pomembna novost so tudi globe, ki jih bo informacijski pooblaščenec (IP) po ZVOP-2 tudi dejansko izrekal, seveda, ko bo sprejet. Pričakujem, da bo ZVOP-2 sprejet jeseni 2021. Bomo pa še videli, v kakšni obliki. 

V resnici pa je tako, da IP po ZVOP -1 lahko že sedaj izreka sodbe, in sicer zaradi nedavne sodbe vrhovnega sodišča. In tukaj bo kar zanimivo opazovati, kako visoke bodo te globe v praksi.   

Kaj ureja ZVOP-2? 

Glede na tiste najboljše zakone, ki so po Evropi nastali na podlagi GDPR, bi moral biti ZVOP-2 pravzaprav bistveno krajši. Žal so se zakonodajalci očitno odločili, da bodo določene stvari prepisovali, in sicer ne samo iz GDPR-ja, temveč tudi iz drugih zakonov, kot na primer iz Zakona o inšpekcijskem nadzoru in iz nekaterih drugih zakonov.  

Načeloma bi moral ZVOP-2 pri nas urejati samo nekatera izvedbena pravila – recimo za izrekanje upravnih glob ali pa recimo posebna področja, ki so že tradicionalno urejena v ZVOP-1, kot na primer biometrija in videonadzor, evidence o vstopu v stavbo in iz nje itd. 

Če bi hoteli, bi ZVOP-2 lahko naredili v bistveno krajši obliki, ampak imamo takšnega, kot je. Osebno sem zelo zadovoljen, da je ZVOP-2 bistveno bolj usklajen z GDPR, ker to pomeni, da bo bistveno lažje delo v praksi, kot bi sicer bilo, če bi recimo kateri izmed prvih dveh predlogov ostal takšen, kot je bil. 

Zakaj sploh potrebujemo svoj ZVOP-2, vedoč, da se uredba GDPR uporablja neposredno?   

Tudi mi se sprašujemo, zakaj ga potrebujemo predvsem v tistih delih, kjer se vsebina zakona prekriva z GDPR. Dejansko bi ga potrebovali za tista vprašanja, ki jih GDPR prepušča državam članicam, recimo, ZVOP-2 je potreben na področju določitve starostne meje za privolitev ali pa za področje obdelave osebnih podatkov pokojnikov (umrlih). Gre za področja, ki naj jih država sama uredi. Potrebujemo pa ga tudi zaradi tega, ker mora naš akt predpisati izrekanje sankcij. 

V uredbi GDPR ni predvideno izrekanje sankcij? 

GDPR določa sankcije, ampak pri nas ni možnosti izrekanja tako imenovanih upravnih glob. Poznamo dva sistema kaznovanja: upravno pravo in kaznovalno pravo, kamor sodijo kazniva dejanja in prekrški. 

Ampak če bi radi, da lahko naš Informacijski pooblaščenec izreka sankcije – namenoma rečem sankcije, da ne mešam z globami in upravnimi globami – potrebujemo takšen zakon. 

Kako je s privolitvami? Ali jih bomo morali ponovno pridobivati, tako kot ob uveljavitvi GDPR v 2018? 

V bistvu je že leta 2018, ko je bil uveljavljen GDPR, večina upravljalcev po nepotrebnem mrzlično poskušala pridobivati privolitve za pošiljanje mailov ipd. Večina tovrstnih aktivnosti v resnici ni bila potrebna, saj je bila večina privolitev, pridobljenih že pred uvedbo GDPR-ja, ustrezna tudi po GDPR. V tem času se je žal izgubilo veliko baz podatkov, a po nepotrebnem. Torej, če so bile privolitve ustrezno pridobljene v preteklosti (torej so v skladu z zahtevami GDPR), bodo te ostajale v veljavi tudi po uvedbi ZVOP-2.  

Zakonska določila, ki se nanašajo na neposredno trženje, so v ZVOP-2 v celoti izpuščena. Neposredno trženje tako ureja uredba GDPR in drugi področni zakoni. Pridobivanje privolitev za e-trženje tako urejata GDPR in ZEKom-1 (Zakon o elektronskih komunikacijah).  

Ali potrebujemo privolitev za komunikacijo z obstoječimi in/ali potencialnimi strankami? 

Praviloma velja, da za komunikacijo s strankami, s katerimi že imamo razvit poslovni odnos (B2B), ni treba pridobivati privolitev. Poslovni odnos v večini primerov dokažemo s pogodbo, računi, vzdževalnimi pogodbami itd. 

Komunikacijo s strankami lahko teoretično razdelimo v tri splošne segmente:  

  • splošna komunikacija
  • komunikacija zaradi izvrševanja pogodbenih določil
  • neposredno trženje 

Pri komunikaciji zaradi izvrševanja pogodbenih določil ni potrebna privolitev, saj ima podjetje zaradi izvrševanja pogodbenih določil dolžnost in interes komunicirati s strankami. Seveda to velja, če je to nujno za izvajanje pogodbe. 

Pri neposrednem trženju po e-pošti in SMS moramo vedno predhodno pridobiti privolitev (izjema so sicer kupci, vendar je uporaba te izjeme nekako zapletena, zato lahko o tem morda kdaj drugič), saj to (ob upoštevanju privolitve po GDPR) zahteva ZEKom-1.  

Splošna komunikacija se, kot že ime pove, nanaša na splošne teme, kot je recimo e-pošta v smislu “Do kdaj imate danes odprto?” in poteka na podlagi zakonitega interesa. Lep primer splošne komunikacije so kontaktni obrazci – če se po zaključku komunikacije podatki izbrišejo, privolitve ni treba pridobiti in so “kljukce na obrazcih” za privolitev odveč. Seveda pa je privolitev potrebna, če bi želeli osebne podatke hraniti dlje. 

Pogosto slišimo, da so slovenski zakoni preobsežni in pravna varnost relativno nizka? 

Slovenski zakoni, na splošno gledano, so napisani zelo natančno in poskušajo zaobjeti vsako podrobnost. V slovenski zakonodaji je ogromno zakonov in podzakonskih aktov in tudi GDPR je precej obsežen, saj ga ureja 99 določil in vsaj še enkrat toliko uvodnih določb.  

Dejstvo je, da sama kompleksnost, število in obseg zakonov ne povečujeta pravne varnosti. Nemogoče je namreč predvideti in zapisati vse življenjske dogodke po alinejeh. Po drugi strani pa bolj odprto napisani zakoni dopuščajo precej več prostora sami argumentaciji, tako za upravljalca kot tudi za Informacijskega pooblaščenca, kar ima seveda tako svoje prednosti, kot tudi pomanjkljivosti. 

Sem pa sam vsekakor privrženec t.i. precedenčnega sistema, kot ga poznajo v ZDA in v katerem izrečena sodba Vrhovnega sodišča de facto postane formalni pravni vir za odločanje o enakih ali podobnih zadevah. Pri nas pa se lahko zgodi, da isti postopek tudi trikrat pride prek vseh sodišč do Vrhovnega, kar je meni kot pravniku precej bizarno. Precendenčno pravo po mojem mnenju nudi boljšo pravno varnost kot naše, kontinentalno pravo, saj je mogoče pravno argumentacijo najti v preteklih sodbah in ni toliko odvisna od razprav na različnih stopnjah izbranih sodišč, v katerih so sodbe včasih tudi neskončno dolge, saj se lahko vedno znova vračajo na prvo stopnjo. V precedenčnem pravu je tako manj zakonodaje ali pa ta ni tako obsežna, je pa seveda treba zato poznati več primerov. 

Je treba imeti v podjetju pooblaščeno osebo za varstvo osebnih podatkov? 

Odgovor ni enoznačen in je stvar presoje v skladu z merili, ki jih določa GDPR. Če bi v podjetju upravljali z veliko količino podatkov in bi na podlagi teh podatkov izbrani osebi lahko sledili (npr. sledenje o njenem vedenju – npr. profiliranje osebe), že lahko pridemo do tega, da je treba imenovati DPO. Kar se tiče samih pogojev za imenovanje DPO-ja, z izjemo javnega sektorja oziroma predvsem državnih organov, ZVOP-2 ne posega preveč v GDPR, kar pomeni, da ostajajo pravila iz GDPR-ja.  

Kdo skrbi za varstvo osebnih podatkov v srednje velikih podjetjih, ki nimajo zaposlenega DPO-ja in upravljajo z občutljivimi osebnimi podatki? 

Pomembno je, da DPO ne sme priti v položaj, ko bi lahko nadziral samega sebe – to pomeni, da na primer direktor podjetja nikoli ne more biti DPO v tem podjetju. Srednje velika in manjša podjetja lahko sodelavca na novo zaposlijo ali pa ga prezaposlijo in uporabijo kot DPO. Malim in srednjim podjetjem se takšna računica težko izide, zato po navadi DPO-ja najamejo, plačajo preko pavšala in uporabijo takrat, ko ga resnično potrebujejo. Bi pa ob tem močno priporočal, da podjetja pred najemom zunanjega DPO-ja tega preverijo, predvsem z vidika konkretne prakse na področju varstva osebnih podatkov. Veliko je namreč ponudb na trgu, kjer so ponudnik “dvakrat prebrali” GDPR in že ponujajo to storitev. Upravljavci pa se ne zavedajo, da jim lahko neizkušen DPO povzroči kar konkretno škodo, saj za skladnost po GDPR na koncu odgovarja upravljavec in ne DPO. Morebitni regresni zahtevek proti DPO-ju pa … saj vemo, kako to izgleda v praksi. 

Velike organizacije, npr. Univerza, ki razpolagajo z ogromno količino osebnih podatkov, pa morajo načeloma, predvsem na račun stroškovne učinkovitosti, DPO-ja po mojem kar zaposliti

Kako se bodo izrekale in obračunavale globe? 

GDPR določa upravne globe v višini 10 M € ali 2 % letnega prometa (za manjše kršitve) oz. 20 M EUR ali 4 % letnega prometa (za hujše kršitve) – upošteva se višji znesek od obeh naštetih. Jaz osebno mislim, da globe tako visoke ne bodo. Pri obračunavanju bo treba upoštevati gmotni položaj kršitelja. Če ima na primer podjetje 100.000 € letnega prometa, mu je nemogoče izreči 10 M € upravne globe, saj bi ga s tem “pokopali”. 

Prakse po drugih državah članicah EU kažejo, da se izrekajo globe od 300 evrov pa do nekaj milijonov evrov – razpon pa ostaja velik.  

Ali na višino globe torej vplivajo tudi “mehki kriteriji”? 

Globo izrekajo državni nadzorniki pri Informacijskem pooblaščencu, ki imajo inšpekcijo in prekrškovna pooblastila ter trenutno lahko oni izrekajo globe oziroma upravne globe v nadaljevanju. Seveda lahko globo izreče tudi pooblaščenka neposredno. 

Merila oziroma kriteriji o tem, komu je mogoče izreči upravno globo, so zapisana v GDPR-ju. Omenjena merila so zelo podobna kot v našemu prekrškovnemu pravu. Na primer, če pride do hekerskega vdora, bodo inšpektorja zanimala merila kot na primer:  

  • Ste imeli narejeno analizo tveganja?
  • Ste izvedli potrebne ukrepe glede na analizo tveganja? 
  • Ste šli takoj, ko ste incident zaznali? 
  • Ste ga poskušali preprečiti in ali ste v 72 urah od incidenta obvestili IP? 

Če bodo podjetja pritrdilno odgovorila na vsa vprašanja in torej dokazala, da so naredila vse, kar je v njihovi moči za zaščito podjetja, bodo izrečene globe verjetno nižje, kot če se temu področju sploh ne bi posvečali.  

Kako je s kibernetsko varnostjo in uredbo GDPR? 

Varnost obdelave je ena ključnih sestavin GDPR-ja. Nadzorniki bi se tako po moji oceni morali zavedati, da 100 % varnosti ni (razen če bi vse računalnike ugasnili in prelili z betonom, tako kot v Černobilu), upravljalci pa bi morali na drugi strani narediti vse, kar je v njihovi moči, da zagotovijo maksimalno varnost

Znanemu reku direktorja FBI, da obstajata samo dva tipa organizacij – tiste, ki so že bile napadene, in tiste, ki še bodo, bi dodal še tretjo kategorijo – tiste, ki so napadene, pa tega ne vedo – podatki namreč kažejo, da podjetja v povprečju napad zaznajo šele več kot 200 dni po vdoru. 

Menim, da bi moral IP, ko bo izrekal upravne globe, natančno razmišljati, do kje še sega prekrškovna odgovornost upravljavca in kje se začne kazenska odgovornost storilca, torej na primer hekerja. Na podlagi tovrsnte analize bo lažje izrekel globo, ki bo seveda tudi bolj relevantna. 

Obveščanje IP in drugih nadzornih organov o storjenem prekršku je lahko le dvorezen meč! 

Prijavo prekrška vidim kot klic na pomoč podjetij, v katerih naj bi jim IP s svojim znanjem lahko pomagal. Razumem pa tudi, da imajo podjetja zadržke, predno prijavijo napad, ker se bojijo inšpekcijskega pregleda in izrečene (upravne) globe, hkrati pa je to tudi slabo sporočilo za njihove stranke.  

Osebno sem prepričan, da bi morali državni nadzorniki obvestilo nadzornemu organu v primeru kršitve varnosti osebnih podatkov, takšno obvestilo prvenstveno najprej vzeti kot “prošnjo za pomoč” pri odpravi posledic in koordiniranju upravljanja incidenta, šele v drugi vrsti pa razmišljati o morebitnih sankcijah ter te izrekati le v primerih, ko je do npr. vdora prišlo do resne malomarnosti ali naklepa upravljavca.  

GDPR namreč namenoma ne uporablja izraza “samoprijava”, ampak “obvestilo nadzornemu organu”. Zato tudi pričakujem, da bo izrečena (upravna) globa ustrezno nižja, če bo podjetje skrbelo za doseganje dovolj visokega nivoja informacijske varnosti.  

ZVOP-2 olajša uvedbo biometrije. Na kakšen način? 

Predlog zakona ZVOP-2 predvideva, da mora imeti posameznik podatke pod svojim nadzorom – v tem primeru neke dodatne birokracije ne bi bilo. To pomeni, da se podatki ne smejo shraniti na napravi, ki identificira posameznika. V praksi je situacija drugačna, saj se morata identifikacija in avtorizacija zgoditi v realnem času, in dejstvo je, da se bodo podatki za kratek čas (govorim o milisekundah) lahko začasno zapisali tudi pri upravljalcu naprave. Morda bi v tem delu morda lahko malo razmislili tudi o nadgradnji zakonskega besedila. 

Ali je torej sploh mogoče uporabiti biometrične podatke za identifikacijo ob dejstvu, da posameznik kontrolira podatke?  

Je mogoče, in sicer zasledil sem brezstično biometrično plačilno sredstvo pri bančni skupini RBS iz Anglije. Na plačilni kartici se nahaja biometrični čitalec in varno shranjen prstni odtis. Uporabnik prisloni prst na čitalec, ki izvede avtorizacijo in sprosti brezstično plačilo. Sistema sicer podrobneje ne poznam, ampak predvidevam, da kartica čitalcu sporoči zgolj, da je avtorizacija uspešna, ne pa tudi biometrične podatke. 

Kaj se je spremenilo na področju videonadzora? 

ZVOP-2 ne uvaja nič pretirano novega. Pomembni zakonodajni vidiki urejanja videonadzora so zapisani že v smernicah EDBP (European Data Protection Board) iz lanskega leta. Pomembna sprememba je vsebina obvestila o videonadzoru, ki ga bo moral upravljalec nadgrajevati oz. menjati po ZVOP-2 (ta sicer sledi prej omenjenim smernicam EDPB). Zakon predvideva, da je posameznik ustrezno obveščen, če tovrstno obvestilo prebere, še predno ga kamera posname. 

Novost je način urejanja videonadzora javnih površin. Videonadzor javnih površin je še precej megleno oz. mejno podorčje. Po GDPR je pravna podlaga za izvajanje videonadzora zakoniti interes, ki ga bo v primeru ZVOP-2 napolnil prav ta zakon. 

Je revizijska sled po ZVOP-2 resnično obvezna? 

Videti je, da bo revizijska sled, vsaj pri velikih upravljalcih, dejansko obvezna, Področje je zahtevno. Že sam termin je med razpravo o sonutku zakona sprožil vprašanja o izrazu – ZVOP-2 namreč ne govori o revizijski sledi, temveč o dnevniku obdelav.  

Sam menim, da bi veliki upravljalci osebnih podatkov tovrstne revizijske sledi morali tako ali tako že imeti in da bi te morale biti avtentične. Kar pa za seboj potegne visoke stroške – SIEM orodja (sistem za upravljanje incidentov in varnostnih informacij), ki zagotavljajo avtentičnost revizijske sledi, so precej dragi. Obstajajo pa tudi ugodnejše variante, in sicer je mogoče zagotoviti avtentično revizijsko sled tudi z uporabo blockchain zapisov, kar so že razvili tudi v Sloveniji. 

Revizijska sled bo torej za velike upravljavce obvezna in tudi obsežna – poleg klasičnih podatkov – kdo, kaj in kdaj – se bodo morali beležiti tudi podatki o namenu obdelave in ostali podatki, ki jih bo moral tak sistem zapisovati v revizijsko sled. Shranjevanje tovrstne količine podatkov pa zahteva, po domače rečeno, ogromno “diskovja” in stroški za hrambo gredo lahko v nebo. Zato v končni različici ZVOP-2 pričakujem bolj pragmatično rešitev, ki jo bodo podjetja lahko brez večjih težav implementirala