Informacijski pooblaščenec ne more izrekati glob po GDPR
Slovenija
25. 05. 2018, 12.39
, posodobljeno: 01. 06. 2018, 15.39
Slovenija je ena od osmih držav, ki bodo krepko prekoračile roke pri prenosu rešitev iz splošne uredbe EU o varstvu podatkov v nacionalni pravni red. Informacijski pooblaščenec pa brez novega oziroma spremenjenega zakona o osebnih podatkih glob po uredbi, ki danes prihaja v uporabo, ne more izrekati, opozarja informacijska pooblaščenka Mojca Prelesnik.
Informacijski pooblaščenec brez novega oziroma spremenjenega
zakona o osebnih podatkih glob po uredbi, ki danes prihaja v
uporabo, ne more izrekati, opozarja informacijska pooblaščenka
Mojca Prelesnik. Foto: STA
LJUBLJANA
>
Mojca Prelesnik je na dogodku z naslovom Evropski dan D za varstvo osebnih podatkov, ki ga pripravljata informacijski pooblaščenec in Gospodarska zbornica Slovenije, pojasnila, da so splošno uredbo EU o varstvu podatkov (GDPR) prenesli v nacionalno zakonodajo v Avstriji, Nemčiji, Franciji, Hrvaški, Nizozemski, Švedski, Slovaški in Veliki Britaniji.
Za vse ostale članice EU se pričakuje, da bodo v juniju sprejele področno zakonodajo, razen v osmih državah, med njimi v Sloveniji, ki bodo verjetno krepko prekoračile rok. "Nas rešuje to, da imamo obstoječi zakon o osebnih podatkih," je dejala Prelesnikova.
Globe so lahko večmilijonske
Ker novi zakon o varstvu osebnih podatkov v Sloveniji do danes, ko začenja veljati evropska uredba, ni bil sprejet, informacijski pooblaščenec ne more zaradi kršitev izrekati glob po uredbi. Te pa so tudi večmilijonske. To pa ne pomeni, da bi bil informacijski pooblaščenec brezzobi tiger, poudarja Prelesnikova in dodaja, da imajo na voljo prisilitvene metode.
"Ne vemo, kdaj bo zakon sprejet. Nekaj časa sem upala, da bo uspelo v tem mandatu. A pred pozno jesenjo najbrž ni možnosti, da bi bil sprejet," je ocenila informacijska pooblaščenka. Vse določbe, ki jih je urejal nov zakon in je med drugim tudi podaljševal roke za uveljavitev uredbe, tako odpadejo in vsi pravni subjekti se morajo z današnjim dnem ravnati v skladu z uredbo, saj je ta v celoti zavezujoča in neposredno uporabljena v vseh članicah EU.
Največ vprašanj, ki so jih prejeli pri informacijskem pooblaščencu pred uveljavitvijo uredbe, se je nanašalo na pooblaščene osebe za varstvo osebnih podatkov. Pooblaščeno osebo so dolžni imenovati vsi subjekti javnega sektorja, v zasebnem sektorju pa tisti, katerih temeljne dejavnosti zajemajo redno, sistematično in obsežno spremljanje osebnih podatkov.
Vsi, ki imajo pooblaščenca, morajo javno objaviti kontaktne podatke, ni pa treba objaviti njihovega imena. To morajo sporočiti le informacijskemu pooblaščencu, ki bo vodil register teh pooblaščencev, a ne bo javen, je pojasnila Prelesnikova. Do sedaj so pri pooblaščencu prejeli imena pooblaščenih oseb za varnost osebnih podatkov od 400 subjektov.
Če bo prišlo do kršitve varstva osebnih podatkov, bo moralo podjetje v 72 urah o tem obvestiti informacijskega pooblaščenca, razen če ni verjetno, da bodo s tem ogrožene temeljne človekove pravice. Po navedbah Prelesnikove je to nov institut, do sedaj so takšen mehanizem poznali le po zakonu o pacientovih pravicah. Informacijski pooblaščenec pa je na leto prejel med nič in pet takšnih obvestil po zakonu o pacientovih pravicah.
Če pa obstajajo velika tveganje za kršitev človekovih pravic zaradi kršitve varstva osebnih podatkov, pa bo podjetje moralo o tem obvestiti tudi posameznika. "Namen tega instituta je, da se čim prej zavarujejo temeljne človekove pravice in da se čim prej zakrpa ta varnostna luknja," je pojasnila.
Veliko vprašanj, s katerimi so se pri pooblaščencu srečali v zadnjem času, se je nanašalo na privolitev posameznika na obdelavo njihovih osebnih podatkov. "Verjetno so tudi vaši elektronski poštni predali v zadnjih 14 dneh najbolj polni do sedaj, čeprav informacijski pooblaščenec na to opozarja že dve leti, kolikor je znašalo prehodno obdobje," je dejala.
Tako je privolitev na obdelavo osebnih podatkov danes bistveno strožja kot prej in mora biti prostovoljna, konkretna, informirana in nedvoumna indikacija na voljo. Izjave o soglasju pa morajo biti v uporabniku prijaznem jeziku.
Prelesnikova je opozorila tudi na to, da splošna uredba EU o varstvu podatkov ne velja za policijo, državno tožilstvo in upravo za izvrševanje kazenskih sankcij za osebne podatke, ki si jih ti organi delijo med sabo za potrebe opravljanja svoje dejavnosti. Za te organe velja policijska direktiva, ki pa ni bila prelita v slovenski pravni red, tako da za njih velja obstoječi zakon o varstvu osebnih podatkov.