26. januarja 2023 začne veljati nov Zakon o varstvu podatkov (ZVOP-2). Ta prinaša spremembe na področju varstva osebnih podatkov, njihovega nadzora in obdelave.
Kakšne novosti prinaša zakon?
- Pooblaščenec za varstvo osebnih podatkov:
To je oseba, ki upravljavcu ali obdelovalcu na neodvisen način svetuje pri zagotavljanju skladnosti obdelave s Splošno uredbo in z zakonom. Za pooblaščeno osebo upravljalca ali obdelovalca in njenega namestnika je lahko postavljen posameznik, ki:
- je poslovno sposoben,
- ima znanja oz. praktične izkušnje s področja varstva osebnih podatkov in
- ni bil pravnomočno obsojen na kazen zapora najmanj šestih mesecev oz. ni bil pravnomočno obsojen za kaznivo dejanje glede zlorabe osebnih podatkov.
Za pooblaščeno osebo ali njenega namestnika ne sme biti določena oseba, ki je v nasprotju interesov z upravljavcem in obdelovalcem ali je njeno delo pooblaščene osebe v nasprotju z njenimi drugimi nalogami ali s položajem pri upravljavcu in obdelovalcu.
Potrebujete pomoč pri ureditvi GDPR področja v vašem podjetju? Pošljite povpraševanje.
- Novost v Zakonu je predvsem v Vodenju dnevnika obdelave:
Upravljavci bodo morali voditi dnevnik obdelave, kadar se v avtomatiziranih sistemih obdelave osebnih podatkov izvajajo obsežne obdelave posebnih vrst osebnih podatkov, ali kadar gre za redno in sistematično spremljanje posameznikov, ali kadar je z oceno učinka ugotovljeno tveganje, ki ga je mogoče učinkovito upravljati z vodenjem dnevnika obdelave, ali če tako določa zakon, o naslednjih dejanjih obdelave osebnih podatkov:
- zbiranje;
- spreminjanje;
- vpogled;
- razkritje, vključno s prenosi;
- izbris;
- druga dejanja obdelave, ki jih določa zakon.
Dnevnik obdelave mora za dejanja obdelave iz vsebovati vrsto dejanja obdelave, datum in čas obdelave, identifikacijo osebe, ki je izvedla dejanje obdelave ter identifikacijo uporabnikov osebnih podatkov, da je mogoče naknadno ugotoviti točno identiteto teh oseb. Vsebina dnevnika obdelave se hrani dve leti od zaključka koledarskega leta, v katerem so bila zabeležena dejanja obdelave.
- Posebna ureditev videonadzora za poslovne prostore, delovno mesto in javni potniški promet
Odločitev o uvedbi videonadzora mora sprejeti direktor ali pooblaščen posameznik. V poslovnih in delovnih prostorih je na novo določeno, da se morajo z videonadzorom strinjati lastniki, ki imajo v lasti več kot 70 % delež skupnih delov. Ta odločitev se pisno obrazloži, o tem pa se mora objaviti obvestilo v fizičnih prostorih.
V delovnih prostorih je določeno, da se lahko izvaja videonadzor zgolj če je to nujno potrebno za varnost ljudi in premoženja ali preprečevanje ter odkrivanje kršitev na področju iger na srečo ali za varovanje tajnih podatkov ali poslovnih skrivnosti. V teh primerih varnosti ne moreš zagotoviti z milejšim pristopom.
Določena je tudi prepoved snemanja delavnega mesta, kjer delavec opravlja svoje delo, razen če s tem varuje njegov interes in noben milejši ukrep ni mogoč. Delodajalec se mora posvetovati z reprezentativnimi sindikati pri delodajalcu in svetom delavcev oziroma delavskim zaupnikom pred uvedbo videonadzora. Na novo se določa, da je neposredno spremljanje preko kamer možno, če so podani pogoji za uvedbo videonadzora ter dodaten pogoj, da videonadzor izvaja pooblaščena oseba upravljalca.
ZVOP-2 določa tudi videonadzor v javnem potniškem prometu . Ta bi se lahko izvajal v prevoznih sredstvih, ampak samo v delih, ki so namenjeni potnikom. Namen določbe je varstvo potnikov in premoženja, če milejši ukrep ni mogoč. Posnetki se morajo uničiti najpozneje v sedmih dneh po nastanku in se lahko uporabljajo v obrambi ali uveljavljanju pravnih zahtevkov ali naloge policije.
- Biometrija
Ta se lahko uporabi zgolj če je nujno potrebna za opravljanje dejavnosti ali pa za varnost ljudi, premoženja ter varovanja poslovnih skrivnosti in tajnih podatkov.
Oseba zasebnega sektorja lahko obdeluje biometrične osebne podatke zaradi varstva točnosti identitete svojih strank, če se sledi interesom tega zakona, to posebej določa pogodba ali so stranke izrecno privolile. Kadar se biometrični osebni podatki obdelujejo na podlagi pogodbe s potrošnikom, mora upravljavec posamezniku, na katerega se nanašajo osebni podatki, omogočiti tudi način identifikacije brez obdelave biometričnih osebnih podatkov. V okviru trženja ali podobne druge poslovne dejavnosti se ne smejo zahtevati, pridobiti ali nadalje obdelovati biometrični osebni podatki v zamenjavo za določene storitve, četudi so te storitve za posameznika, na katerega se nanašajo osebni podatki, brezplačne.