Matija Jamnik, odvetnik: ZVOP-2 ob upoštevanju pravil in uporabi zdrave pameti ni noben bavbav

Zakaj večletna zamuda pri sprejemu ZVOP-2?  

Iskreno povedano, resničnih razlogov za to ne poznam. Je pa zamuda po mojem mnenju – morda nenamerno – sporočilo politike, da področje varovanja osebnih podatkov ni pretirano pomembno. Očitno znova unikatno slovenski pogled na zadevo.

Kaj je glavno sporočilo ZVOP-2, ki ga v GDPR morda ni?

Za moj okus najpomembnejše sporočilo, za katero sicer ne morem reči, da ga v GDPR ni, je izrecna opredelitev, da se globe za kršitve določb Splošne uredbe (v Sloveniji) izrekajo v mejah, kot jih predpisuje Splošna uredba. Ne gre za strašenje, a dejstvo je, da so se pred sprejemom ZVOP-2 pojavljala različna tolmačenja, ali so kazni za kršitve, predpisane v GDPR, lahko izrečene kot globe po slovenski zakonodaji o prekrških ali pa za to morda sploh ni pravne podlage in je (bila) Splošna uredba pravzaprav brezzobi tiger.

Zdaj te dileme ni več, kršitelji določb GDPR so zdaj tudi povsem formalno v Sloveniji lahko kaznovani z do 20 milijoni EUR ali z zneskom, ki ustreza do 4% globalnega letnega prometa podjetja. Da pomirim: precej prepričan sem, da tako visoka globa v Sloveniji nikoli ne bo izrečena; razen, če bi neko podjetje namenoma, ponavljajoče in v velikem obsegu kršilo pravila varstva osebnih podatkov.

Ali prinaša ZVOP-2 kaj specifičnega za področje trženja?

Da. Izrecno je prepovedana obdelava (vključno s samim pridobivanjem) biometričnih podatkov (npr. prstni odtis, prepoznava obraza ipd.) v zameno za določene storitve, tudi če so te storitve sicer za posameznika brezplačne. Zagrožena globa je med 8.000,00 in 40.000,000 EUR. Tu nas ne reši niti morebitna privolitev posameznika, saj se bo glede na jasno zakonsko prepoved štela za neveljavno. Ob tem naj omenim še za tržnike zanimivo dejstvo, da je nedavna novela Zakona o varstvu potrošnikov izrecno določila, da se zakon uporablja tudi za digitalne vsebine in storitve, v primerih, ko se potrošnik zaveže, da bo podjetju posredoval osebne podatke, če gre za osebne podatke, ki niso potrebni za zagotovitev digitalne vsebine ali za izvedbo digitalne storitve. Pogodba, pri kateri potrošnik »plača« s svojimi osebnimi podatki, je torej pogodba, ki potrošniku daje enake pravice, kot če bi plačal z denarjem; Zakon o varstvu potrošnikov pa ureja tudi posledice morebitnega preklica privolitve za obdelavo osebnih podatkov.

Če osvežimo še védenje o GDPR: poleg vseh ostalih pomembnih vidikov obdelave osebnih podatkov (spoštovanje temeljnih načel, pravna podlaga, opredeljeni nameni, obveščanje posameznikov, …) vsebuje Splošna uredba izrecne določbe glede pravice posameznikov, da kadarkoli ugovarjajo obdelavi osebnih podatkov za namene neposrednega trženja ter profiliranju, kolikor je v povezavi z neposrednim trženjem. Torej tudi v primerih, ko je pravna podlaga za neposredno trženje npr. zakoniti interes, ne pa privolitev posameznika, ki jo je mogoče kadarkoli preklicati.

Če se vseeno pomudiva še nekoliko pri kaznih. Omenil si globe po GDPR in globe po ZVOP-2. V kakšnih primerih nam grozijo in katere?

Morda res nisem bil dovolj jasen. Torej, ZVOP-2 po eni strani »daje legitimnost« globam, ki jih predpisuje Splošna uredba, in v bistvu pove, da se te globe lahko izrekajo tudi v Sloveniji. Po drugi strani pa vsebuje ZVOP-2 tudi globe za kršitev pravil, ki jih v Splošni uredbi ni in ki so torej specifične za ZVOP-2. Npr. kršitev določb o videonadzoru. Značilno za globe iz ZVOP-2 je, da še zdaleč niso tako drakonske, kot so tiste iz Splošne uredbe.

Kaj je sicer še novega v zakonu?

Zakon ureja predvsem področja, ki jih Splošna uredba ne: videonadzor, biometrija, obdelava osebnih podatkov umrlih posameznikov, podrobnosti glede imenovanja pooblaščenih oseb, pristojnosti in pooblastila Informacijskega pooblaščenca, varstvo osebnih podatkov v koliziji s svobodo izražanja in v koliziji s pravico do dostopa do informacij javnega značaja, sodno varstvo pravic posameznika, …

Ali ni določb o videonadzoru vseboval že dosedanji Zakon o varstvu osebnih podatkov (ZVOP-1)?

Drži, je pa zdaj ureditev podrobnejša. Že samo obvestilo o izvajanju videonadzora bo moralo biti bolj izčrpno kot doslej, pa čeprav bo del vsebine tega obvestila dovoljeno zagotoviti na spletu in na samem obvestilu objaviti spletno povezavo. Na novo se regulira videonadzor na javnih površinah in v javnih prevoznih sredstvih. Še bolj kot do sedaj je, z izjemo dostopa v službene oziroma poslovne prostore, poudarjeno načelo, da naj bil videonadzor skrajnje sredstvo, torej dovoljen le v primerih, ko namenov ni mogoče doseči z milejšimi sredstvi, ki manj posegajo v pravice posameznikov. Tu bomo videli, kako rigorozen bo pri razlagi Informacijski pooblaščenec. Ob njegovi strogi interpretaciji sorazmernosti zna biti še »pestro«.

Rekel si, da varstvo osebnih podatkov lahko trči ob pravico do svobode izražanja. Če pravilno razumem, gre za primer, ko bi denimo nekdo rad nekaj javno objavil, pa objava vsebuje osebne podatke neke druge osebe ali več njih?

Tako je. Dokler to dela posameznik (ki ni žaljiv, obrekljiv ipd.) za lastne namene, je obdelava osebnih podatkov za namen zbiranja, sprejemanja in širjenja vesti in mnenj prosta. Ko gre za medijske, književne ali znanstvene objave, pa mora obstajati ena od v zakonu naštetih okoliščin: privolitev; posameznik, o katerem se piše, je osebne podatke sam javno objavil; podatki so bili na drug zakonit način že javno objavljeni (npr. na spletni strani AJPES); javni interes po obveščanju javnosti, pravica do obveščenosti ter svoboda izražanja prevladajo nad upravičenimi interesi varstva zasebnosti posameznika; objava osebnih podatkov je nujna za utemeljitev mnenja ali vrednostne ocene; pravico do objave določa drug zakon.

Če so osebni podatki javni na podlagi zakona, posameznika tudi ni potrebno obveščati o obdelavi, kar je sicer generalna zahteva iz Splošne uredbe in pogosto kar veliko breme za upravljavce osebnih podatkov.

Kaj pa javna objava osebnih podatkov, npr. fotografij ali videoposnetkov z nekega dogodka ali prireditve? Konkretno: podjetje organizira izobraževalni seminar, slike z dogodka pa objavi v svojih profilih na družbenih medijih, ki so javno dostopni (odprti). Udeleženci seminarja so na fotografijah jasno razpoznavni.

Zakon dovoljuje objavo, če »so bili osebni podatki pridobljeni na podlagi prisotnosti posameznika na javno dostopnih krajih ali dogodkih, kjer posameznik glede na vse okoliščine ne more razumno pričakovati varstva zasebnosti, ter na način, ki ne pomeni občutnega posega v razumno pričakovano zasebnost«. Če odmislimo dilemo, ali je seminar, kje je udeležba npr. pogojena s plačilom ali članstvom, javni dogodek ali ne (moje mnenje je, da je lahko javni dogodek, kot je javni dogodek npr. koncert, čeprav je tudi zanj treba plačati vstopnino), je pomembno, da je slikanje ali snemanje očitno, torej ni prikrito, in da so fotografije ali posnetki dovolj splošni, da – čeprav omogočajo prepoznavo posameznikov – ne posegajo pretirano v pravico do zasebnosti.

Ali ni potem bolj varno od vseh sodelujočih pobrati privolitve za slikanje oziroma snemanje in objavo?

Privolitev se sliši vabljivo, a njena negativna plat je, da je prostovoljna in se lahko prekliče. Pomeni, da če nekdo ne privoli, mu ne smemo preprečiti udeležbe na dogodku. Kdorkoli od tistih, ki privolijo, pa to lahko kadarkoli prekličejo in smo znova pred izzivom, kaj storiti s fotografijami, na katerih se pojavlja (tudi) ta oseba. Torej: če presodimo, da smo znotraj prej omenjenih zakonskih okvirov, privolitve ne potrebujemo. Če presodimo, da nismo, bomo iskali privolitev, a treba se je zavedati njenih slabosti in omejitev.

Obstaja kakšno področje, na katerem imajo podjetja še čas za prilagoditve?

ZVOP-2 določa nekaj prehodnih obdobij. Za bralce najbolj relevantno je verjetno prehodno obdobje dveh let, kar se tiče obveznosti vodenja dnevnikov obdelave osebnih podatkov (obsežne obdelave posebnih vrst osebnih podatkov; redno in sistematično spremljanje posameznikov; z oceno učinka ugotovljeno tveganje, ki ga je mogoče učinkovito upravljati z vodenjem dnevnika obdelave). Velika večina določb ZVOP-2 velja brez kakršnihkoli prehodnih obdobij.

Kaj točno pomeni vodenje dnevnikov obdelave?

Gre za drugo poimenovanje za evidenco obdelave iz 30. člena Splošne uredbe. Tam je določeno, da vsak upravljavec, razen tistih z manj kot 250 zaposlenimi (z izjemami!) vodi evidenco dejavnosti obdelave, v kateri morajo biti določeni podatki, npr. kategorije posameznikov, nameni obdelave, roki hrambe itd. Nekoč smo tem rekli katalog zbirke osebnih podatkov.

Kakšne pogoje pa mora izpolnjevati pooblaščena oseba za varstvo podatkov?

Poleg poslovne sposobnosti in nekaznovanosti zakon določa, da mora imeti znanja oziroma praktične izkušnje s področja varstva osebnih podatkov. Podobno torej kot Splošna uredba, ki kot pogoj navaja strokovno znanje o zakonodaji in praksi na področju varstva podatkov. Tudi na tem področju zna biti zanimivo, če bo Informacijski pooblaščenec začel preverjati kompetence. Predvsem pa, če bo začel dosledno zahtevati, da je izpolnjen še en pomemben pogoj iz Splošne uredbe, in sicer neobstoj kakršnegakoli konflikta interesov, predvsem v smislu, da pooblaščena oseba nima nobenega vpliva na namene in sredstva obdelave osebnih podatkov.

Za konec še kakšen nasvet za naše bralce?

Varstvo osebnih podatkov ni noben bavbav. Zato ob poznavanju temeljnih načel in pravil in z uporabo nekaj zdrave pameti podjetja s tem področjem tudi po uveljavitvi ZVOP-2 ne bi smeli imeti nobenih težav.

Matija Jamnik, odvetnik, se od leta 2008 posveča vprašanjem zasebnosti in varstva osebnih podatkov, še posebej v povezavi z digitalnimi storitvami. Svoje bogato znanje iz praske prenaša v številke članke, predavanja in delavnice.