Leto dni do uveljavitve splošne uredbe o varstvu podatkov
S splošno uredbo o varstvu podatkov (Uredba (EU) 2016/679) so evropske institucije od držav članic prevzele pristojnost urejanja varstva osebnih podatkov, saj se je izkazalo, da so različna pravila in prakse držav članic zavirale razvoj enotnega trga.
Prej veljavno direktivo 95/46/ES bo tako po skoraj dvaindvajsetih letih zamenjal sodoben pravni okvir, ki naj bi bil kos novim izzivom varstva osebnih podatkov. Spremembe so bile gotovo nujne, če pomislimo, da je informacijska tehnologija v vmesnem času pomembno napredovala in močno prepletla naš vsakdan.
Ob sprejemanju in uveljavitvi direktive je imel splet malo uporabnikov. Po podatkih Svetovne banke ga je uporabljalo le manj kot odstotek Evropejcev. Večinoma so uporabljali brskalnik Netscape, ki je takrat prvič omogočal varno povezavo (SSL), in windows 95, računalnike najsrečnejših pa je poganjal najzmogljivejši Pentium 133. Nekaj mesecev pred sprejetjem in uveljavitvijo direktive sta se prvič srečala Larry Page in Sergey Brin (ustanovitelja spletnega giganta Google). Od uveljavitve direktive so morala preteči še tri leta do predstavitve Nokie 5110, šest let do prve množične uporabe pametnih telefonov na Japonskem, devet let do prve javne uporabe socialnega omrežja Facebook in več kot deset let do prve javne storitve v oblaku.
Na te dejavnike za informacijsko zasebnost evropski zakonodajalec ob sprejemanju direktive ni mogel računati. Nevarnosti in pasti za osebne podatke na eni strani ter nezmožnost pravnega okvira, da spodbudi razvoj enotnega trga, na drugi so se pokazali šele med dvaindvajsetletnim obstojem direktive.
V postopku sprejemanja splošne uredbe o varstvu podatkov je evropska komisija predlagala in dosegla usvojitev več pomembnih dopolnitev veljavnih načel varstva osebnih podatkov. Svoje predloge je pripravila na podlagi praktičnih izkušenj in odločb Sodišča Evropske unije.
Z vidika nadzora bodo nova pravila zavezancem, ki so prisotni v več državah članicah, olajšala načelo »one-stop-shop«, skladno s katerim se bodo lahko obračali le na nacionalnega nadzornika, pristojnega za državo članico, v kateri je glavni sedež zavezanca.
Nova pravila bodo posegla v poslovanje organizacij, ki nimajo sedeža v kateri od držav članic, ponujajo pa izdelke ali storitve ali nadzirajo posameznike v Evropski uniji. Navedene organizacije bodo morale v Evropski uniji imenovati predstavnika.
Po novih pravilih bodo otroci veljavno privolitev v obdelavo osebnih podatkov lahko podali le z odobritvijo staršev, omejena pa bo tudi obdelovanja podatkov otrok za potrebe izvajanja pogodbenega razmerja. Za veljavno privolitev bo tudi nasploh več zahtev kot do zdaj, za obdelovanje občutljivih podatkov, ki po novem izrecno vključujejo genetične podatke, ter za iznos osebnih podatkov iz Evropske unije bo potrebna celo izrecna privolitev.
Posamezniki, na katere se nanašajo osebni podatki, z novimi pravili pridobivajo robustnejše pravice, tudi pravico biti pozabljen, zavezanci pa obveznost večjega informiranja o svojih postopkih, vendar ne na račun razumljivosti in preglednosti.
Izvajalci dejavnosti z visokim tveganjem za osebne podatke bodo morali izdelati vnaprejšnjo oceno tveganj in se pred začetkom obdelovanja posvetovati z nacionalnim nadzornikom, kar pomeni dodatni časovni pritisk pri uresničevanju projektov.
Splošna uredba o varstvu podatkov od zavezancev zahteva, da osebne podatke na nosilcih, ki jih uporabljajo za obdelovanje, ustrezno zavarujejo pred nepooblaščenimi osebami, kar si glede na obstoječe grožnje ni mogoče predstavljati brez uporabe naprednih načinov enkripcije.
Javnopravni zavezanci, zavezanci, ki zaradi značilnosti dejavnosti osebne podatke redno in sistematično spremljajo, in zavezanci, ki obdelujejo občutljive osebne podatke, bodo morali imenovati pooblaščeno osebo za varstvo osebnih podatkov, ki bo znotraj zavezanca odgovorna le najvišjim organom upravljanja in prvenstveno pristojna za vsa vprašanja na področju varstva osebnih podatkov.
Zavezanci bodo morali poskrbeti, da bodo nacionalnim nadzornikom sposobni v vsakem trenutku dokazati, da izpolnjujejo vse zahteve. Spoštovanje zahtev bo v nekaterih primerih mogoče zagotoviti tudi s pristopom h kodeksom ravnanj, ki jih bo vnaprej odobril nacionalni nadzornik, ali pa, navadno pred začetkom obdelave osebnih podatkov, s pridobitvijo potrdila pooblaščenega organa za potrjevanje.
Nacionalni nadzorniki bodo pri zavezancu lahko opravili nadzorni postopek, mu izdali opozorila ali prepovedali obdelovanje osebnih podatkov. Zavezancu, ki bo kršil pravila, bo grozila denarna kazen v višini štirih odstotkov svetovnega letnega prometa ali dvajset milijonov evrov, zavezanec pa bo poleg tega prizadetim posameznikom dolžan povrniti tudi škodo.
Splošna uredba o varstvu osebnih podatkov naj bi utišala tiste, ki se zavzemajo za gospodarski napredek na račun krnitve človekovih pravic, pospešila naj bi elektronsko poslovanje, okrepila in spodbudila razvoj enotnega trga ter odpravila administrativne ovire za vstop nanj. Odštevanje do uveljavitve novih pravil se je začelo. Zadnje leto dni do uveljavitve Splošne uredbe o varstvu podatkov bo minilo hitro, zato se je na spremembe treba začeti pripravljati že zdaj; v naši organizaciji smo začeli že med njenim sprejemanjem.
Mitja Podpečan, odvetnik, Odvetniška pisarna Jadek & Pensa
Več iz rubrike
Javnofinančna gibanja ugodna, a z negativnimi tveganji
Novi podatki Fiskalnega sveta na voljo. In kakšna je projekcija prihodnosti?
Kateri so 4 razlogi zakaj imajo samski višje denarne stroške?
Samski stan ima svoje prednosti, toda med njimi v večini ni tistih, ki so denarne narave.
