Čeprav je 25. maj 2018 za nami in se je Splošna uredba o varstvu podatkov (GDPR) začela uporabljati, se je proces zagotavljanja skladnosti z novimi pravili šele dobro začel, saj ta proces podjetja dnevno spremlja ves čas poslovanja. Upravljavci in obdelovalci na trgu spremljajo drug drugega v želji po uveljavljanju najboljših praks, Informacijski pooblaščenec RS (IPRS) polni vsebino svojih spletnih strani s smernicami in navodili, svoje pa je dodalo še Ministrstvo za pravosodje (MP), ki je izdalo tudi prva (nezavezujoča) sistemska pojasnila.
1. Ali moramo še vedno spoštovati določbe ZVOP-1?
Zanašanje zgolj na določbe GDPR ni dovolj. Kot izhaja iz sistemskih pojasnil Ministrstva za pravosodje, so s 25. 5. 2018 prenehale veljati zgolj tiste določbe obstoječega Zakona o varstvu osebnih podatkov (ZVOP-1), ki se razlikujejo od določb GDPR. V veljavi tako ostajajo zlasti področne ureditve iz ZVOP-1, kot so določbe o videonadzoru, biometriji, neposrednem trženju idr. ter tista področja, ki jih GDPR ne ureja oziroma jih lahko države članice uredijo drugače (npr. 14. člen - zavarovanje občutljivih osebnih podatkov, 24. člen – dodatni ukrepi za varnost osebnih podatkov idr.). V Sloveniji bomo zato do uveljavitve novega ZVOP-2 imeli dva režima, kar nedvomno zmanjšuje pravno varnost in predvidljivost.
2. Ali je res, da nas po 25. 5. 2018 še ne morejo doleteti kazni iz GDPR?
Po GDPR podjetjem grozijo denarne kazni do 20 milijonov EUR ali do 4 % skupnega svetovnega letnega prometa v preteklem proračunskem letu, odvisno od tega, kateri znesek je višji. Kot poudarjata tako IPRS kot MP, govori GDPR o upravnih globah, ki jih naš pravni red ne pozna (pozna pa prekrškovne globe). To pomeni, da po trenutnem stališču IPRS, vse do sprejema ZVOP-2 ne more izrekati niti glob niti drugih sankcij za kršitve določb GDPR, lahko pa izreka sankcije za tiste člene ZVOP-1, ki se še vedno uporabljajo. MP presenetljivo tudi dodaja, da naj bi bile kršitve GDPR, storjene med 25. 5. in ureditvijo prekrškovne pristojnosti IPRS za te določbe v ZVOP-2, še vedno kaznive. Ali bodo kršitelji (po sprejemu ZVOP-2) lahko kaznovani tudi za kršitve GDPR od 25. 5. 2018 dalje, pa bodo na koncu presojala sodišča. Naj pa opozorimo, da GDPR poleg kazni (glob) ureja tudi odškodninsko odgovornost podjetij, na kar pa (ne)sprejetje ZVOP-2 ne vpliva. Podjetja so lahko že neposredno na podlagi GDPR odškodninsko odgovorna v primeru kršitev pravic posameznikov.
Vir: Odvetniška pisarna Fabiani, Petrovič, Jeraj, Rejc d.o.o. | Tel.:+386 8 205 21 11 | Fax: +386 8 205 21 10 | info(at)fpjr.si