Člen predloga

Sporno besedilo ali splošna ugotovitev

Pripomba

2/II

do tajnosti njegovih osebnih podatkov

Tajnost podatkov je urejena z Zakonom o tajnih podatkih.

3

»osebnih podatkov posameznikov, katerih podatki so povezani z njegovimi osebnimi podatki«

V celoti.

Predvidevamo sicer, da gre zgolj za redakcijsko napako besedila, vendar člen uvaja zanimiv nov pojem, ki ga področje prava varstva osebnih podatkov ne pozna.

Sprašujemo se ali je tu zakonodajalec želel zapisati določbo glede prepovedi diskriminacije pri varstvu osebnih podatkov, tako kot je navedeno v 14. točki recitala GDPR. Taka, kot je napisana, prepoveduje izdelavo prilagojene ponudbe na primer na podlagi osebnih značilnosti, kar ni namen GDPR in neutemeljeno postavlja upravljavce na slovenskem trgu v neenak položaj glede na preostale dele sicer enotnega trga EU.

5

V celoti.

Predlagamo, da naj bo ozemeljska definicija jasneje zapisana in naj ne posega v ozemeljsko veljavnost GDPR (v slednje niti ne more, vendar zapis besedila, počne prav to).

Poleg tega člen 3/III GDPR ni bil prenesen, ostali deli pa, pri čemer ni jasno, zakaj le delen prenos.

6/I(11)

privolitev

Definicija privolitve je predrugačena v predlogu ZVOP-2, kot jo definira GDPR. Prosimo za uskladitev. Pri tem dodatno opozarjamo tudi na napačne popravke k besedilu GDPR.

6/III(1 do vključno 4)

nosilci javnih pooblastil + definicija upravljavca

Besedili obeh točk se izključujeta v delu nosilcev javnih pooblastil (ti so določeni kot »javni sektor« in kot »zasebni sektor«. Poleg tega je definicija upravljavca (člen 6/I(7) predloga) prepisana iz GDPR, v točkah 1 do vključno 4 člena 6/III pa so »subjekti«, ki so definirani kot upravljavec, definirani še nekoliko drugače in nekonsistentno. Zgolj predvidevamo, da skozi celoten predlog termini, ki kar na pet načinov definirajo različne »skupine« upravljavcev, niso uporabljeni konsistentno.

6/III(6)

izbris

Poleg definicije je zapisano tudi, kaj je dopustno narediti za zagotavljanje sledljivosti, kar ne spada v kontekst definicije, zato naj se besedilo alineje za besedami:«…..ni mogoče zagotoviti«, briše, črtani tekst pa umesti v nadaljevanju zakona, npr. v 35. člen.

Ni definirano, kako velja glede varnostnih kopij. Ustno zagotovilo je bilo, da na podlagi zahteve posameznika za izbris podatkov teh ni potrebno brisati iz back up-ov, ker bi to pomenilo velik tehnični poseg. Vendar pa to iz te definicije ne izhaja. Predlagamo dopolnitev definicije.

7

V celoti

Ne vidimo utemeljenega razloga, da se načela varstva osebnih podatkov zapišejo drugače kot v GDPR, ker se s tem po nepotrebnem ustvarja zmeda. Predlagamo uskladitev z GDPR.

7/I(a)

“zato da se posamezniki lahko svobodno odločijo, ali bodo sodelovali pri obdelavi njihovih osebnih podatkov oziroma da lahko temu zakonito in učinkovito ugovarjajo”

Posamezniki se lahko svobodno odločajo samo v primeru, kadar je temelj za obdelavo podatkov njihova osebna privolitev (6/I(a) člen GDPR); ugovarjajo lahko samo, kadar je temelj za obdelavo osebnih podatkov zakonit interes (6/I(f) člen GDPR) oziroma je namen obdelave neposredno trženje. Če se obdelava osebnih podatkov izvaja na katerem od drugih enakovrednih pravnih temeljev iz 6/I člena GDPR, potem svobodna odločitev posameznika oziroma njegov ugovor ne prideta v poštev (če npr. obdelavo določa zakon, potem se posameznik ne more odločati o obdelavi svojih osebnih podatkov (npr. FURS obdeluje osebne podatke za namen davčnih postopkov; odločitev tudi ne bo svobodna ali ugovor možen, kadar je temelj za obdelavo pogodba iz 6/I(b) člena GDPR, ipd.).

7/I(d)

/

Manjka beseda »izpolnitev« (namena).

7/II

“morata v skladu s tem voditi tudi predpisano dokumentacijo”

Upravljavce takšno določilo napotuje na prekomerno obdelavo osebnih podatkov, kar ni v skladu s členom 11 GDPR. Poleg tega gre za preveč splošno določbo, ker nikjer ni določene nobene »predpisane dokumentacije«. Prav tako ni pojasnjeno, kaj naj bi »ustrezna« dokumentacija pomenila. Predlagamo črtanje.

8 in 9

Člena v celoti.

Predlog zakona predpostavlja, da je osebna privolitev primarna pravna podlaga, medtem, ko so ostale pravne podlage tej podrejene. Gre za kršitev 6. člena GDPR, kjer so vse pravne podlage med seboj enakovredne (ni pa seveda nujno, da je vedno mogoče uporabiti vsako izmed njih). Predlagamo, da se oba člena zelo natančno prilagodita definicijam iz člena 6 GDPR. Tudi zato, ker posledično niso uravnovešena in skladna druga razmerja oziroma obveznosti, ki jih določa GDPR – na primer, v javnem sektorju bo imel upravljavec težave pri izvajanju neposrednega trženja po 109. členu predloga, kar pa ni namen GDPR.

8/I

“določa zakon”

Besedilo je v nasprotju s točko (c) 1. odst. člena 6 GDPR, ki uporablja termin zakonska obveznost (torej le obveznost, ne pa tudi pristojnost oziroma naloga) kar nima enakega pomena kot »določa zakon«.

8/VII

V celoti.

Glede na pravne podlage iz člena 6 GDPR je obdelava za drugačen namen dopustna, če upravljavec pridobi ustrezno pravno podlago (npr. osebno privolitev).

9/I

Z zakonom se lahko določi, da se določeni osebni podatki za enega ali več določenih namenov obdelujejo le na podlagi privolitve posameznika.

V nasprotju z določilom točke (a) 1. odst. člen 6 GDPR. Zakon ne more določati, da je za določeno obdelavo zahtevana osebna privolitev in je takšno določilo pravzaprav v nasprotju s samim seboj. Toliko bolj, ker je navedeno besedilo zapisano v členu, ki obravnava pravne podlage v zasebnem sektorju.

V 1. odstavku je določeno: »Če obdelavo osebnih podatkov v zasebnem sektorju določa zakon, mora ta določati namen obdelave osebnih podatkov,…«

Kaj pa če zakon tega ne določa ali to pomeni, da potem obdelava podatkov na podlagi zakona ni mogoča? Sklepamo lahko, da veliko zakonov ne določa natančno zahtevanih podatkov glede obdelave podatkov. Predlagamo smiselno dopolnitev določbe ali z določitvijo prehodnega obdobja, s tem, da mora zakonodajalec v tem obdobju smiselno dopolniti vse zakone, ki vseh teh podatkov ne vsebujejo ali, da se določba dopolni na način, da se podatki obdelujejo skladno z namenom, kot ga je mogoče opredeliti iz zakona.

9/IV

Odstop od GDPR, nejasnost

Kaj je zakonodajalec imel v mislih s tem, kateri so to drugi uradni postopki?

9/V

“ki zahtevajo varstvo osebnih podatkov.”

Glede na zapisano, se poved bere kot: osebni podatki, ki zahtevajo varstvo osebnih podatkov. Menimo, da gre za redakcijsko napako.

9/VI

“Opravi presojo v skladu s četrtim odstavkom 6. člena GDPR”

Odstop od GDPR, dodatna zahteva.

9/VII

Zahteva se nova privolitev

27. 7. odstavka ni skladna z GDPR.

10

Glede na ZVOP-1 se odpravlja zahteva po pravnem interesu.

Med upravičenci ni dedičev.

Objava v kontekstu 10/V člena ne predvideva pomembnosti javnega interesa, ampak popolno oblaste prepušča le ozki skupini upravičencev, ki niti nujno sami ne bodo več živi.

V 3. odstavku je bistveno omiljena določba glede posredovanja podatkov o umrlem posamezniku. Ni več zahteve po izkazu pravnega interesa.

Opozarjamo, da se v praksi pojavlja kar nekaj zahtev po izpisu osebnih podatkov umrlih, ki so lahko zelo občutljivi, npr. prometni podatki umrlega, ki jih v praksi zaradi razjasnitve načina smrti, vzroka samomora ... pogosto v praksi zahtevajo oče, mati, …. Doslej brez izkazanega pravnega interesa ti podatki niso bili posredovani. Če je takšna vsebinska odločitev in to rezultat tehtanja različnih upravičenj posameznikov, se strinjamo, želimo le opozoriti na izjemno pomembnost te določbe v praksi ter da je tovrstnih zahtev kar nekaj.

Na drugi strani se z opredelitvijo upravičencev povsem onemogoča obdelava osebnih podatkov umrlih posameznikov.

11

Sprememba zaradi večje jasnosti

Predlagamo dopolnitev 1. odstavka, kot izhaja tudi iz GDPR, z namenom jasnosti določbe: »Privolitev mladoletne osebe…, je lahko veljavna…«.

12/II(a)

Odstop od GDPR

GDPR ne zahteva pisne privolitve, ZVOP-2 brez potrebe in zunaj pooblastil, ki jih GDPR dopušča, spreminja določbe GDPR. GDPR državam članicam dopušča uvedbo dodatnih pogojev in omejitev glede obdelave genskih, biometričnih ali podatkov v zvezi z zdravjem, ZVOP-2 pa uvaja dodatno omejitev za VSE vrste posebnih vrst osebnih podatkov, kar je v neposrednem nasprotju z GDPR.

12/II(č)

Neskladje z GDPR

Točka je neskladna z GDPR.

12/II(h)

Neskladje z GDPR

Točka je neskladna z GDPR. Ni pojasnjeno, kaj naj bi bili uradni postopki.

12/III

Neskladje z GDPR

GDPR državam članicam dopušča uvedbo dodatnih pogojev in omejitev glede obdelave genskih, biometričnih ali podatkov v zvezi z zdravjem, ZVOP-2 pa uvaja dodatne obveznosti za VSE vrste posebnih vrst osebnih podatkov, kar je v neposrednem nasprotju z GDPR.

13/I

Neskladje z GDPR

ZVOP-2, glede na GDPR, uvaja nov obseg posebnih vrst osebnih podatkov.

14/II

V celoti.

Menimo, da gre za pretirano obveznost za upravljavce, ki je GDPR ne predvideva, ter podcenjevanje posameznikov. Člena 12 in 13 GDPR namreč že dovolj natančno določata, kakšne in katere informacije mora posameznik prejeti ter na kakšen način.

Nadalje navedba, da mora upravljavec navajati navodila in obrazce ustvarja dodatno birokratsko breme na strani upravljavcev, ki je povsem nepotrebna. Večina večjih upravljavcev se sicer je odločila za izdelavo obrazcev, vendar pa to za manjše upravljavce in upravljavce, ki osebnih podatkov ne obdelujejo v velikem obsegu, predstavlja nepotrebno breme in strošek.

15

Ustno na zapisnik

15. in 17. (in še nekaj drugih členov).

Ne znamo si predstavljati, kako bodo upravljavci v zasebnem sektorju pisali zapisnike. Prav tako ni možnosti, da posameznik vloži zahtevo ustno, kar pomeni, da predlog zakona nepotrebno dodatno omejuje izvrševanje pravic posameznika.

Zaradi nejasnosti, ki so se pojavljale že v ZVOP-1, predlagamo, da se kot »ustno na zapisnik« eksplicitno definira tudi izjava, da posameznik želi seznanitev s posnetkom, v kolikor z jasnim dejanjem na posnetku (npr. pove na zvočnem posnetku ali prikaže na videu), izjavi, da želi seznanitev in kam se ta seznanitev posreduje. S takim načinom bi bilo olajšano predvsem delo pri upravljavcu, saj bi se kot zadostna identifikacija štela že izjava na samem posnetku.

Menimo, da bi bilo bolje, če bi bila »pisnost« in pogoji pisnosti elektronske pošte definirana enotno za področje uporabe celotnega zakona.

16/I

“kar so lahko”

“opredeli obliko”

Besedilo se lahko bere na dva načina:

1. da so našteti osebni podatki edini, ki jih lahko upravljavec zahteva ali;


2. da so našteti osebni podatki našteti zgolj primeroma.

Predlagamo jasnejšo dikcijo.

Predlagamo črtanje možnosti posameznika, da lahko v zahtevi »opredeli obliko, v kateri želi prejeti odgovor«. Oblika odgovorov naj bo takšna, kot jo določi upravljalec oziroma kot je navedeno v GDPR (če je bila zahteva podana v elektronski obliki, je v elektronski obliki lahko podan tudi odgovor nanjo, če posameznik izrecno ne zahteva drugače).

16/II

5 delovnih dni

Predlagamo, da se spremeni na 10 delovnih dni.

Če denimo prejme zahtevo poslovalnica banke in bodo pri samem reševanju zahtevka sodelovale tudi širše skupine zaposlenih, je vsekakor rok 5 delovnih dni prekratek.

Predlagamo podaljšanje 5 dnevnega roka, ki je nerazumno kratek, hkrati pa ne odraža rokov, kot jih postavlja GDPR. Predlagamo 15 delovnih dni. Lahko pa alternativno ta rok ostane daljši, vendar je absolutni rok še vedno 30 dni + število dni, ki ga porabi posameznik za posredovanje popolne zahteve.

Ne zdi se nam smiselno, da se v ZVOP-2 vnašajo nekatera »procesna določila« v tem smislu, da mora upravljavec v petih dneh pozvati posameznika, če njegova zahteva ni popolna ali razumljiva. Menimo, da bi moral imeti upravljavec pravico, da zavrže nepopolno in nerazumljivo zahtevo brez predhodnega poziva vlagatelju, da jo dopolni, v zakonu pa naj bodo »obvezne sestavine« zahteve napisane tako, da jih bo razumel vsak povprečen in funkcionalno pismen posameznik.

17/I

V celoti

Glede na to, kako se konča besedilo druge alineje, se lahko odstavek v nadaljevanju bere, kot da so preostale alineje del te. Ali pa je pisec pozabil izbrisati »in se vlagatelja lahko preveri:”. Poleg tega sta “podalineji” 1 in 3 druge alineje 1. odstavka (verjetno nenamerno) identični. Predlagamo popravek celotnega odstavka in njegovo bolj pregledno strukturiranje.

18/I

Začetek štetja roka.

Rok enega meseca bi se moral šteti od dneva prejema popolne zahteve (in ne zgolj zahteve).

18/II

“nimajo pravice do pregledovanja dokumentacije, ki je predmet zahteve.”

Določba omejuje pravice posameznikov do pregledovanja dokumentacije, ki utegnejo izhajati iz drugih predpisov (torej izven pravice dostopa po 15. členu GDPR).

V drugem odst. 18. člena ZVOP-2 so navedene stranke in stranski udeleženci, kar je besedilo ZUP. Predlagamo preoblikovanje v posameznik, ki ga opredeljuje 6. člen ZVOP-2 med pojasnjenimi izrazi.

20

Dolžina roka (5, 15 dni)

Predlagamo, da se rok za odgovor upravljavca poveča iz 5 dni na 15 dni in iz 15 dni na 30 dni. 5 dni je v nekaterih primerih, predvsem ko je potrebno preverjanje trditev posameznika oziroma vključitev več deležnikov, praktično nemogoč rok, ne glede na to, da načeloma sicer pozdravljamo predlagano rešitev (institut ugovora).

23/I do vključno IV

“v njih dokončno odloči tudi pooblaščena uradna oseba, ki ne izpolnjuje pogojev za nadzornika.” (tdui 2. odstavek, ki se sklicuje na 1. odstavek)

Pri dajanju pisnih ali ustnih izjav odgovornih oseb upravljavca ali pooblaščene oseb morajo te osebe govoriti resnico in ne smejo ničesar zamolčati, njihove izjave pa se lahko štejejo kot izjave strank.

Inšpekcijska pooblastila ima lahko samo državni nadzornik, ne pa osebe, ki ne izpolnjujejo zahtev za inšpektorja. Menimo, da gre za preobsežno (in nevarno) določilo zakona. Inšpektor ima namreč potrebna znanja, izkušnje in tudi opravljen inšpektorski izpit, medtem ko oseba, ki tega izpita nima, potencialno lahko upravljavcu povzroči nepopravljivo škodo. Tudi z vidika odgovornosti takšne osebe, gre za nevaren precedens, saj je inšpektor po ZIN do določene mere začiten za svojo odločitev, medtem, kot pooblaščena uradna oseba ni.

Nadalje opozarjamo tudi na termin »pooblaščena uradna oseba«, ki se uporablja v prekrškovnem pravu in v upravnem.

Besedilo pooblaščeno osebo za varstvo podatkov postavlja v položaj stranke, kar je v izrecnem nasprotju s členom 38 GDPR, ki določa (povzeto), da mora biti pooblaščena oseba za varstvo podatkov neodvisna pri svojem delu (torej neodvisna tudi in zlasti od upravljavca). Pooblaščena oseba za varstvo podatkov po GDPR ni in ne more (ne sme) biti stranka v postopku.

25/II

“namesto prisilitve”

denarno kazen fizični osebi do 2.000 eurov, drugim subjektom pa do 8.000 eurov.

Kazen je namenjena prav prisilitvi in ne nadomestitvi prisilitve.

Po trenutni dikciji bi lahko Informacijski pooblaščenec kazen izrekel samo enkrat.

26/II in V

“(zlasti, če so glede istih osebnih podatkov ponovljene vsaj petkrat v enem letu)”

“delnega dostopa”

Gre za omejitev za upravljavce, ki je GDPR ne predvideva. Primer: glede na trenutno besedilo, bi lahko posameznik v enem dnevu vložil 5 identičnih zahtev in upravljavec bi moral vsako posebej obravnavati kot posamično zahtevo, čeprav je očitno, da gre za pretirano zahtevo. Predlagamo črtanje in uskladitev z GDPR, ki prekomernost zahtev opredeljuje opisno in ne »številsko«. Na neustreznost podobnih rešitev z določanjem omejitev glede na konkretno število, je opozoril tudi Evropski odbor za varstvo podatkov (EBPD) ob uporabi mehanizma za skladnost glede seznamov nacionalnih nadzornih organov, s katerimi so določili obvezno izvdebo ocene učinka v zvezi z varstvom podatkov (DPIA).

GDPR ne pozna instituta delnega dostopa (dikcija ZDIJZ), zato priporočamo popravek.

27/II

“Ne glede na določbe prejšnjega odstavka in še zlasti v primerih obdelave osebnih podatkov v okviru strokovnih mnenj, izdelanih v skladu z določbami zakonov, ki urejajo uradne postopke, se, kadar posameznik, na katerega se nanašajo osebni podatki, navaja netočnost in neposodobljenost svojih osebnih podatkov, vsebovanih v dokumentih, ki so sestavni del uradnih postopkov, posamezniku da na razpolago možnost za nasprotni prikaz dejstev”

Po naši oceni besedilo posega v sodne in upravne postopke, zato menimo, da je potrebno besedilo črtati, saj ne gre za materijo varstva osebnih podatkov.

28/I

“Posameznik, ki ugotovi, da so kršene njegove pravice, določene s tem zakonom, lahko zahteva sodno varstvo ves čas, dokler kršitev traja.“

Glede na dikcijo besedila, bi posameznik lahko isotčasno vložil pritožbo k Informacijskemu pooblaščencu in tožbo na upravno (3. odst. istega člena) sodišče. Teoretično bi tako lahko prišlo do situacije, ko bi o isti stvari odločala 2 organa – Informacijski pooblaščenec in sodišče, ki bi v isti zadevi lahko odločila diametralno nasprotno. Prav tako določba nasprotuje načelom o litispendenci.

29/III

V celoti.

ZPacP ne more biti del urejanja po ZVOP-2, zato predlagamo črtanje.

30/II

“vzpostavi in izvaja še splošno politiko varstva osebnih podatkov”

Prekomerna zahteva in dodatna birokracija (breme) za upravljavce. Določila so navedena že v GDPR, ZVOP-2 in internih aktih o varnosti obdelave upravljavca in ne vidimo popolnoma nobene potrebe, da bi bilo treba poleg poplave vseh z zakonom predpisanih internih aktov delati še enega. Gre za podvajanje zahtev in veliko finančno breme za upravljavce, ki celo zmanjšuje učinkovito varnost osebnih podatkov.

30/III

V celoti.

“vključno s podpisanimi izjavami zaposlenih glede seznanitve”

Besedilo brez ustrezne utemeljitve uvaja dokazna pravila in upravljavce ter obdelovalce skoraj zavezuje k prisiljevanju delavcev v podpisovanje izjav. Menimo, da bi takšna določba lahko vodila tudi v bistven porast kršitev delovnopravnih predpisov.

31

Pri izvajanju ukrepov se upošteva tudi tehnologijo, ki je dejansko na razpolago upravljavcu.

Menimo, da mora upravljavec upoštevati razvoj tehnologije na splošno, ne le tehnologije, ki mu je v danem trenutku »na razpolago«. Če denimo upravljavec ne bo imel zadostnih finančnih sredstev, bo lahko trdil, da mu določena tehnologija ni na razpolago.

31

Vgrajeno varstvo podatkov

GDPR določa v 25. členu »vgrajeno in privzeto« varstvo podatkov, zato prosimo za poenotenje.

32/III

“Obdelovalec brez predhodnega posebnega ali splošnega pisnega dovoljenja upravljavca v obdelavo ne sme vključiti drugih obdelovalcev ali jih zamenjati, tako da je upravljavcu omogočeno, da lahko učinkovito nasprotuje tem spremembam.”

“Upravljavec mora posebej presoditi, ali lahko vključitev dodatnega obdelovalca oziroma njegova zamenjava vpliva na tveganost obdelave osebnih podatkov.”

Predvidevamo, da gre za redakcijsko napako, ker namen določbe verjetno ni bil, da se upravljavcu onemogoči nadzor nad obdelovalcem in njegovo izbiro »podobdelovalcev«.

Določba izniči »splošno dovoljenje« za podobdelavo po 28. členu GDPR. Predstavlja nepotrebno in nerealno birokratsko zahtevo, ki je GDPR ne postavlja.

32/IV(9)

V celoti.

Določba je napačno povzeta po drugem pododstavku 28/III člena GDPR, ki se nanaša zgolj na točko (h) prvega poddostavka 28/III člena GDPR.

32/IV(7)

“Vrne” (brez navedbe “izbriše ali”)

GDPR določa v členu 28/III (g), da se podatki izbrišejo ali vrnejo upravljavcu po zaključku storitve, odločitev upravljavca (ki jo mora v pogodbi z obdelovalcem opredeliti) pa je, ali bo zahteval vrnitev ali izbris (uničenje) podatkov. Predlagamo uskladitev z GDPR. Ob odsotnosti nacionalnega področnega zakona, so upravljavci in obdelovalci v preteklem letu že bili prisiljeni sklepati pogodbe o obdelavi neposredno na podlagi GDPR, zato bi jim sklepanje novih pogodb, zaradi takšnih neutemeljenih zahtev ZVOP-2, predstavljal podvojeno finančno in administrativno breme usklajevanja z »zapoznelo« zakonodajo.

33/III

V celoti.

Rešitev pozdravljamo, vendar ne vidimo utemeljenega razloga, zakaj se to določilo ne bi uporabljalo tudi v javnem sektorju (predlagamo razširitev izjeme na vse upravljavce).

33/IV

Izjeme iz drugega odstavka tega člena se ne uporablja za upravljavce in obdelovalce, ki so del javnega sektorja, notarje, odvetnike, detektive, izvršitelje, izvajalce zasebnega varovanja ter za izvajalce zdravstvene dejavnosti, vključno z zasebnimi zdravstvenimi delavci.

GDPR takšne izjeme ne dopušča.

34/IV

“V dogovoru se določi tudi kontaktna točka ali kontaktne točke za posameznike, na katere se nanašajo osebni podatki.”

GDPR določa, da »se lahko določi«. Predlagamo uskladitev z GDPR, pri čemer podobno kot v zvezi z že sklenjenimi pogodbami o obdelavi neposredno na podlagi GDPR, opozarjamo, da so bili upravljavci ob odsotnosti nacionalnega področnega zakona v preteklem letu že prisiljeni sklepati dogovore o skupnem upravljanju neposredno na podlagi GDPR, zato bi jim sklepanje novih dogovorov, zaradi takšnih neutemeljenih zahtev ZVOP-2, predstavljalo podvojeno finančno in administrativno breme usklajevanja z »zapoznelo« zakonodajo.

35/II(e)

“Revizijska sled”

Določilo e) v tem odstavku močno presega določilo GDPR. Rok za hranjenje revizijske sledi 5 let je zelo dolg, saj v tem času nastane veliko zapisov, kar bo zelo povečalo stroške pravnih subjektov (IT podpore). Menimo, da ni smiselno hranjenje revizijskih sledi za vse vrste obdelav za tako dolgo obdobje. Zavedamo se, da je ta rok vzporednica zastaralnemu roku, v katerem je možno uveljavljanje pravic posameznikov, vendar je verjetnost za takšne primere pri enostavnejših obdelavah in manj občutljivih vrstah osebnih podatkov tako pozno malo verjetna. Menimo, da to ni zadostni razlog, da upravljalce in obdelovalce obremenimo z dodatnimi stroški. Predlagamo, da se določilo odstrani oziroma vsaj optimizira s skrajšanjem obdobja glede na oceno tveganja, vrste obdelav, osebnih podatkov ali kakšen drug ustrezni kriterij, kar naj bi Informacijski pooblaščenec določil s smernicami.

Navsezadnje ocenjujemo tudi, da pisec ni upošteval manjših upravljavcev, ki jim lahko s takšnim določilom povzroči ogromno gospodarsko škodo, pri čemer pa neke dodane vrednost v smislu varnosti osebnih podatkov, nikakor ne vidimo.

Ntudi na tem mestu opozarjamo, da je na neustreznost podobnih rešitev z določanjem konkretnih »številk«, opozoril tudi Evropski odbor za varstvo podatkov (EBPD) ob uporabi mehanizma za skladnost glede seznamov nacionalnih nadzornih organov, s katerimi so določili obvezno izvdebo ocene učinka v zvezi z varstvom podatkov (DPIA).

35

V celoti

Predlagamo nekoliko obrnjeno besedilo, in sicer predlagamo, da to vključuje:

1. Zagotovitev zaupnosti, celovitosti in razpoložljivosti osebnih podatkov:


2. Zaupnost mora biti stalna oz. neprekinjena


3. Ukrepi morajo biti sorazmerni tveganjem za varstvo osebnih podatkov;


4. Identifikacija – analiza – vrednotenje ukrepov.

37/III

Sklic na četrti odstavek 100. člena.

Domnevamo, da gre za redakcijsko napako, ker ima 100. člen predloga zgolj tri odstavke.

38

V celoti.

GPDR dopušča, da je v eni oceni učinka lahko obravnavanih niz podobnih dejanj, ZVOP-2 to možnost opušča, brez temelja v GDPR.

38/III

V celoti.

GDPR določa, da Informacijski pooblaščenec MORA objaviti seznam, v skladu s pogoji iz četrtega in šestega odstavka 35. člena GDPR, ZVOP-2 pa to obveznosti ukinja in daje le možnost. Takšen seznam je za delo v praksi ključen pri orientaciji in je zlasti v času, kjer se gospodarski subjekti privajajo na novo zasnovo, ki jo je nameraval uvesti GDPR (pa jo ZVOP-2 sedaj v precejšnji meri ruši), ključen, zato menimo, da mora to ostati dolžnosti Informacijskega pooblaščenca. Informacijski pooblaščenec je sicer svojo nalogo že opravil neposredno na podlagi GDPR, njegov seznam pa je bil eden bolje sprejetih s strani EDPB, zato je še tolliko manj utemeljeno, da ZVOP-2 to pristojnost (in nalogo) Informacijskega pooblaščenca predvideva zgolj kot opcijsko. Nasprotno, predlagamo, da se z ZVOP-2 določi pristojnost in naloga Informacijskega pooblaščenca, da obvezno (in ne zgolj »lahko«, kot sicer določa GDPR v 35/V členu) pripravi in objavi seznam dejanj obdelave glede katerih se ocena učinka v zvezi z varstvom podatkov ne zahteva.

40/I in II

V celoti, zlasti pa tudi del “iz katere izhaja utemeljenost zahteve”.

Predlagamo da se opredeli, kdo presodi utemeljenost zahteve, ker gre za veliko breme in odgovornost upravljavcev (zlasti iz zasebnega sektorja). Predlagamo, (če že) določitev obveznih sestavin zahteve in obveznost upravljavca, da preveri popolnost (ne pa tudi utemeljenost) zahteve. V primeru ohranitve določb, ki urejjajo vsebino zahtevkov, predlagamo, da se določi pristojnost Informacijskega pooblaščenca (ali resornega ministrstva), da izda pravno obvezujoče mnenje o utemeljenosti zahtevka.

Člena 40 in 41 sta glede tega, kdo nosi stroške posredovanja podatkov, diametralno nasprotujoča si.

41/III

V celoti.

Predlagamo izenačitev splošnega roka (15 dni) za posredovanje podatkov z rokom za odločitev o pravicah posameznikov (1 mesec z možnostjo podaljšanja).

41/VIII

Revizijsko sled

Revizijska sled je termin, uporabljen v IT. Če to predpostavko upoštevamo, potem osebnih podatkov ni mogoče poslati drugače, kot le v elektronski obliki – konkretno, če bo npr. FURS od upravljavca zahteval, da mu pisno sporoči osebne podatke nekega posameznika, upravljavec pisno ne bo smel odgovoriti, pač pa le v elektronski obliki. Sicer bo kršil ali zahtevo FURS ali zahtevo ZVOP-2.

Priporočamo odpravo oziroma ustrezno nadomestitev termina »Revizijska sled« v celotnem besedilu in vzpostavitev možnosti, da sledljivost obdelav osebnih podatkov zagotavlja tudi s »papirnimi« ali drugačnimi sledmi, oziroma se v besedilu zakona ustrezno definira pojem »revizijska sled«.

42

Ta člen ne posega v določbe drugih zakonov, ki urejajo posamezne osebne dokumente glede dopustnosti kopiranja osebnega dokumenta.

Besedilo se v tem delu ponovno postavi v »nadzakon«. Priporočamo nomotehnično uskladitev.

44/I in III

V celoti.

Besedilo ne upošteva drugih izjem od splošne prepovedi avtomatiziranega odločanja na podlagi profiliranja po 22/II členu GDPR (izključuje uporabo točk (a) in (c) in je tako v neposrednem nasprotju z GDPR. Besedilo povsem blokira avtomatizirano odločanje v zasebnem sektorju, upravljavce v RS močno obremenjuje in jih postavlja v nekonkurenčen položaj glede na (sicer enoten) trg EU. Predlagamo uskladitev z GDPR.

44/II

V celoti. (zlasti tudi “je treba izvesti posebno osredotočeno oceno učinka”

Besedilo ne upošteva izjeme od splošne prepovedi, ki jo dovoljuje 22/IV člen GDPR (»če se uporablja točka (a) člena 9(2)«) in je tako v neposrednem nasprotju z GDPR. Besedilo povsem blokira avtomatizirano odločanje v zasebnem sektorju, upravljavce v RS močno obremenjuje in jih postavlja v nekonkurenčen položaj glede na (sicer enoten) trg EU. Predlagamo uskladitev z GDPR.

Predlog uvaja nov termin in »podvrsto« ocene učinka v zvezi z varstvom osebnih podatkov, ki je GDPR ne pozna. Predlagamo uskladitev z GDPR (ali vsaj definiranje pojma »posebno osredotočena ocena učinka« - pripominjamo, da mora načeloma biti vsaka ocena učinka v zvezi z varstvom podatkov (t. i. DPIA) že po svoji definiciji »posebej osredotočena«, razen izjemoma (pri čemer predlog ZVOP-2 to izjemo z 38. členom (prav tako neutemeljeno) odpravlja).

44/III

V celoti.

Predlagamo besedilo nima nobene povezave z avtomatiziranim odločanjem (predvidevamo sicer, da gre zgolj za redakcijsko napako in ne za nerazločevanje med »avtomatizirano obdelavo« in »avtomatziranim odločanjem«). Predlagamo črtanje odstavka.

46/I

V celoti (zlasti še uporaba termina “pooblaščena oseba”).

Ker se navedeni termin v zakonu uporablja tudi z drugimi pomeni, predlagamo, da zakonodajalec uporabi termin v celoti, brez okrajšave, sicer bo v praksi prišlo do mešanja pojmov.

Sicer ne vidimo razumnega razloga, da se »pooblaščena oseba za varstvo podatkov« v zakonu definira drugače kot v GDPR.

47/IV

njen kontakt ter način možnega kontakta

osebno ime / morebitni strokovni ali znanstveni naslov

Verjetno redakcijska napaka, ker sicer ni razumneag razloga, da bi se objavljala dva kontakta (prej bi s tem lahko prišlo do zmede med posamezniki, ki se na pooblaščeno osebo za varstvo podatkov lahko obrnejo).

Zakon, ki naj bi varoval osebne podatke posameznikov, na tej točki zahteva več, kot bi smel (brez ustrezne ocene sorazmernosti takšne zahteve) – GDPR določa objavo kontaktnih podatkov, ki nujno ne vsebuje osebnih podatkov (imena in strokovnega oz. znanstvenega naziva, ki za opravljanje nalog pooblaščene osebe za varstvo podatkov prav tako ni predpisan), besedilo predloga pa »uzakoni« javno objavo osebnega imena pooblaščene osebe, kar je po našem mnenju v nasprotju z načelom minimizacije oz. sorazmernosti tako po GDPR (kot tudi samega predloga). Menimo, da bi lahko takšna določba bila celo neskladna z Ustavo RS. Predlagamo črtanje.

47/V

V celoti.

Iz istega razloga, kot v prejšnji vrstici, tudi v tem delu ne vidimo razloga, zakaj bi morala biti javno objavljena vsa imena in strokovni oziroma znanstveni nazivi pooblaščenih oseb za varstvo podatkov. Predlagamo črtanje dela, ki se nanaša na osebno ime in naziv – za uresničevanje pravic posameznika je po naši oceni dovolj kontakt (kar zahteva tudi GDPR).

48/I(1)

aktivno obvlada slovenski jezik

Menimo, da gre za zahtevo, ki ni skladna s temeljnimi določili Evropske unije (prost pretok blaga, storitev in oseb), prav tako določilo ne upošteva, da je v Republiki Sloveniji vse več tujejezičnih družb, ki ne poslujejo le v slovenskem jeziku, niti ne upošteva določb Ustave RS o posebnih pravicah avtohtone italijanske in madžarske narodne skupnosti v Sloveniji. Poleg tega ocenjujemo, da je določba težavna z vidika možnosti, ki jo ima GDPR, da lahko skupno pooblaščeno osebo za varstvo podatkov imenujejo povezane osebe (torej se za pooblaščeno osebo imenuje tudi osebe, ki so izven Republike Slovenije). Predlagamo črtanje pogoja.

48/II

zaposlena v javnem sektorju

Določba je v nasprotju z GDPR, ki takšne zahteve ne vsebuje. Ocenjujemo, da bo takšna določba povzročila porast stroškov dela v državnih organih, saj bodo osebe lahko hitro prišle v konflikt interesov in bo potrebno dejansko zaposlovanje novih javnih uslužbencev, ali pa se bo za pooblaščeno osebo za varstvo podatkov v javnem sektorju imenovalo neustrezne kadre.

48/IV

oseba, ki izpolnjuje pogoje za strokovnega delavca na področju vzgoje in izobraževanja

Menimo, da gre za popolnoma neosnovano presumpcijo in določilo, ki je v nasprotju z GDPR, ker presumpija v ničemer ne podpira strokovnih zahtev, ki jih za poolaščeno osebo za varstvo podatkov zahteva GDPR). Predlagamo črtanje odstavka.

48/VI

katerega kontaktni podatki se objavijo v skladu s četrtim odstavkom prejšnjega člena

Glej komentar k 47/IV.

48/X

Upravljavec oziroma obdelovalec v tem primeru odpravi konflikt ali pooblaščeno osebo razreši ob upoštevanju določb tretjega in četrtega odstavka 52. člena tega zakona.

Določilo na široko odpira možnost, da se pooblaščeno osebo za varstvo podatkov zelo enotavno razreši. S tem ta oseba popolnoma izgubi svojo neodvisnost, ki jo zahteva GDPR. Primer: vodstvo upravljavca naloži osebi obdelavo osebnih podatkov, ta je dolžna vodstvo obvestiti o konfliktu interesov, s tem pa vodstvo dobi razlog za njeno razrešitev. Po naši oceni gre za izjemno močno kršitev GDPR, zato predlagmo črtanje besedila.

52

V celoti.

Besedilo predloga v celoti izpušča osnovni dve zahtevi GDPR glede zagotavljanja neodvisnega položaja pooblaščene osebe za varstvo podatkov, ki sta določeni v 2. odst. člena 38: »Upravljavec in obdelovalec pooblaščeni osebi za varstvo podatkov pomagata pri opravljanju nalog iz člena 39, tako da zagotovita sredstva, potrebna za opravljanje teh nalog, in dostop do osebnih podatkov in dejanj obdelave, ter ohranjanje njenega strokovnega znanja.«

53

Uporaba termina “tajnost podatkov”

Predlagamo uskladitev z Zakonom o tajnih podatkih in Zakonom o dostopu do informacij javnega značaja, v delih, kjer določa umik stopnje tajnosti.

61/I

mora za izvedbo prenosa pridobiti dovoljenje Informacijskega pooblaščenca

3. odstavek člena 47 GDPR se po naši oceni nanaša na dovoljenje nadzornega organa za uporabo pogodbenih določil, ne pa na vsak prenos posebej. Če bo razlaga, da morajo uporavljavci za vsak prenos posebej pridobiti dovoljenje Informacijskega pooblaščenca, bo to lahko pomenilo ogromen pripad zadev, po drugi strani pa onemogočanje prenosov na strani upravljavcev, kar lahko povzroči tudi veliko gospodarsko škodo in neenako ureditev področja znotraj EU.

63/II

nadzor glede uporabe podzakonskih predpisov

Besedilo je v nasprotju z 2. odst. Ustave RS, ki določa, da se lahko obdelavo osebnih podatkov določi le z zakonom. Predlagamo razmislek o ustreznosti določila z vidika uporabe načela exceptio illegalis.

65/IV

V celoti.

Enak razlog, kot je to navedeno pri 63/II.

71/I(2)

poslovno korespondenco

Menimo, da gre za kršitev 2. odst. 37. člena Ustave RS, ki poseg v korespondenco omogoča zgolj na podlagi odločbe sodišča ter če je to nujno za uvedbo ali potek kazenskega postopka ali za varnost države. Predlagamo črtanje, saj gre za hud poseg v ustavne pravice (predvsem posameznikov, ki naj bi jih prav ta zakon varoval).

71

V celoti, posebej “skritih predelov prostorov oziroma opreme”

Besedilo ne pojasni pojma, kar lahko vodi v arbitrarnost. Predlagamo razmislek o črtanju.

V 4. odstavku je določeno, da se uporabniku iz 1. odstavka praviloma omogoči vpogled. Opozarjamo, da se z vpogledom v zbirke dejansko praviloma razkrivajo tudi poslovne skrivnosti zasebnega sektorja, težko je omejiti vpogled, zato predlagamo, da je vpogled možen le s soglasjem upravljavca, sicer pa so prvenstvene druge oblike posredovanja podatkov (kopiranje, prepis, izpis), ki v praksi tako ali tako v boljši meri zagotavljajo uporabljivost podatkov, ki jih je prav vedno potrebno izvoziti v določeni obliki.

77

Varovanje tajnosti.

Tajnost je termin s področja varovanja tajnih podatkov. Namreč, v GDPR se uporablja beseda »zaupnost podatkov«. Predlagamo spremembo termina in poenotenje v celotnem besedilu predloga (zlasti tudi 53. člen predloga).

82 in 83

V celoti.

82/VII (zlasti tudi del “če to ni pomembno za izvršitev namena raziskave”)

Menimo, da gre za pretirano zaostrovanje pogojev in s tem že za onemogočanje uporabe podatkov za znanstveno- in zgodovinskoraziskovalni ter statistični namen, v nasprotju z načeli GDPR, ki obdelavo osebnih podatkov za te namene priznava kot v pomembnem javnem interesu.

V skladu s strokovnimi in etičnimi standardi raziskovalne dejavnosti je potrebna skrbna hramba gradiv, na podlagi katerih je bila posamezna raziskava izvedena. Iz besedila ni jasno, na kaj se nanaša besedica »to« - besedilo se bere, kot da se nanaša na »uničenje« oziroma »nepovratno anonimizacijo« (ob čemer zgolj pripominjamo, da je bistvo anonimizacije in razlika od psevdonimizacije prav v »nepovratnosti«). Predlagamo, da se dopusti obdelavo osebnih podatkov za zgodovinsko-ali znanstvenoraziskovalni namen in izjema od »uničenja« oziroma »nepovratne anonimizacije« zapiše bolj jasno, predvsem pa da predlagatelj vključi tudi obveznost hrambe zaradi zagotavljanja strokovnih in etičnih standardov v raziskovalni dejavnosti. Določba se treneutno bere, kot da izjema velja le dokler se raziskava ne zaključi, ne pa tudi po zaključku raziskave, pri čemer pouradjamo, da je hramba gradiv bistvena za zagotavljanje verodostojnosti raziskave.

87

V celoti.

Predvidevamo, da bi morala prva pika biti nadomeščena z vejico. Po našem mnenju določba ni skladna z Ustavo RS in GDPR.

IX. DEL

V celoti

Menimo, da implementacija t. i. policijske direktive absolutno ne sodi v področni zakon, ki ureja varstvo osebnih podatkov, in zato predlagamo izločitev celotnega dela in ureditev v drugem posebnem zakonu.

109/II in III

“zakonske” / 3. odst. v celoti

»Zakonske« nima enakega pomena kot je sicer dopustna obdelava osebnih podatkov na podlagi GDPR, zato predlagamo nadomestitev besede z besedo »ustrezne« ali »pravne«. Prav tako se 2. in 3. odstavek delno izključujeta med seboj (sta si v neposrednem nasprotju), zato priporočamo, da se oba odstavka smiselno združita in pri tem upošteva, da je po GDPR šest enakovrednih (in ne hierarhično razvrščenih) pravnih podlag.

109/IV

ali je upravljavec podatke zbral iz javno dostopnih virov ali v okviru zakonitega opravljanja dejavnosti in

Menimo, da gre za nepotrebno birokratsko zahtevo, saj je posameznik o tem seznanjen že ob sami podaji privolitve oz. ob posredovanju osebnih podatkov, kadar gre za druge ustrezne pravne podlage. Gre tudi za dodatno »smetenje« z obvestili neposrednega trženja, saj bo posameznik prejemal še večje količine informacij, ki jih zaradi njihove količine več ne bo prebral. Zato predlagamo črtanje.

109/V

uporabnikom

Glede na to, da so po definiciji uporabniki tudi obdelovalci, bo moral upravljavec od posameznika pridobiti dodatno dovoljenje (npr. upravljavec bo, preden bo osebne podatke posredoval klicnemu centru, ki bo v njegovem imenu izvajal neposredno trženje kot obdelovalec, moral za to pridobiti (ločena!) soglasja vseh posameznikov), kar ocenjujemo kot oomejevanje načel GDPR in nesorazmerno breme za upravljavce in omejevanje konkurence med obdelovalci. Zato predlagamo zamenjavo termina z ustreznejšim ali izbris te zahteve v celoti, ker ni videti razumnega razloga, da bi se dejavnost obdelave neposrednega trženja obravnavala bistveno drugače kot katerakoli druga dejavnost obdelave.

109/VII

V celoti.

Predlagamo črtanje, ker je besedilo redundantno (če ni redundantno, potem predlagamo ustrezne popravne besedila, da bo jasen namen te določbe).

111/IX

Revizijsko sled

Če predpostavimo, da je revizijska sled pojem iz IT področja, to pomeni, da bodo morali po uveljaviti ZVOP-2 vsi upravljavci, katerih videonadzorni sistem ne omogoča revizijske sledi, kupiti nove videonadzorne sisteme, kar ocenjujemo kot pretiran poseg v gospodarstvo in nepotrebno višanje stroškov. Predlagamo zamenjavo termina z besedilom »ter takšen podatek«.

111/X

V celoti

Predlog izenačuje neposredno spremljanje dogajanja z videonadzorom, pri čemer pa se ne ozira na druge zahteve, ki jih besedilo določa glede videonadzora, na primer, kako bo upravljavec z “revizijsko sledjo” (glej pripombo v prejšnji vrstici) zagotavljal podatek o tem, kdaj je nekdo gledal živo sliko, kar je po naravi stvari mogoče zagotoviti samo s senzorji za prepoznavo in sledenje pogleda varnostnika. Tudi v primeru ustrezne nadomestitve termina “revizijska sled” (z zagotavljanjem “papirne” ali tehnološko nevtralne “sledi”) to lahko pomeni, da bo denimo moral receptor, ki spremlja dogajanje pred vhodom v poslopje, vsakokrat, ko bo pogledal na ekran, zabeležiti, kdaj je vpogledal. Predlagamo razmislek o ustreznejši ureditvi.

117/I

“nujno”

Predlagamo črtanje besede »nujno« v 1. odst. 117. člena, ker ni razumnega razloga za takšno omejevanje.

To določilo ni smiselno in predlagamo popravek: «…določa zakon ali so stranke podale pisno privolitev«.

117/III

določa zakon in so stranke podale pisno privolitev

Ne vidimo razumnega razloga za takšno določbo in predlagamo popravek, da se bo besedilo glasilol: “…določa zakon ali so stranke podale pisno privolitev”.

117/IX

V celoti.

Ne vidimo razloga, zakaj je potrebno podvajati zakon še v dodatnem obvestilu. Če v Republiki Sloveniji še velja načelo Ignorantia Iuris Nocet, potem je seveda kopiranje in dodatna seznanitev posameznika z zakonom popoln birokratski nesmisel. Pri tem gre besedilo tako daleč, da zakon Informacijski pooblaščenec najprej kopira na svojo spletno stran, upravljavec pa mora nato kopirati besedilo s spletne strani Pooblaščenca in besedilo posredovati posamezniku. Po naši oceni gre torej za nepotrebno birokratsko breme in predlagamo črtanje, zlasti ob upoštevanju dejstva, da je upravljavec dolžan posameznike obveščati že po 13. oziroma 14. členu GDPR (na način iz 12. člena GDPR).

128/I

Informacijski pooblaščenec odloča o predpisanih kršitvah in upravnih globah iz 83. člena GDPR kot o prekrških

Glede na to, da v pravnem redu Republike Slovenije ne poznamo upravnih glob, menimo, da je določilo v neposrednem nasprotju z 9. odstavkom člena 83 GDPR in bo takšno določilo onemogočilo izrekanje upravnih glob Informacijskemu pooblaščencu, saj je pri tem treba upoštevati načelo nullum crimen nulla poena sine lege praevia. Predlagamo striktno upoštevanje 9. odstavka člena 83 GDPR. Menimo namreč, da v skladu z navedenim določilom GDPR upravne globe v Republiki Sloveniji lahko izreka samo sodišče.

129 in 130 in smiselno ostale določbe XI. dela (kazenske določbe)

Glede na določila GPPR ni jasno, zakaj nacionalni zakon določa najnižjo mejo globe 4000 eur. GDPR tega ne določa, niti ne dopušča, da države članice to določijo same. Predlagamo, da se spodnja meja ne določi, to naj ostane v pristojnosti nadzornega organa. Dodatno opozarjamo tudi na prakso Informacijskega pooblaščenca in predvsem tudi sodišč o steku v prekrškovnem pravu (en prizadeti subjekt – 1 prekršek).

150/III

V celoti.

Menimo, da je določilo v nasprotju z GDPR, ki imenovanje pooblaščene osebe za varstvo podatkov zahteva že od 25. 5. 2018. Prav tako je nekoliko nenavadno, da zakon (tudi za druga določila v tem poglavju) uvaja prehodno obdobje, ko pa je GDPR že skoraj leto dni v veljavi in je Informacijski pooblaščenec že celo izvajal inšpekcijske nadzore po GDPR. Prehodno obdobje je primerno zgolj za tista področja, ki jih zakon ureja drugače (pri čemer opozarjamo, naj se zakonodajalec drži tega, kar glede na GDPR sploh sme urejati drugače).

153

V celoti.

Menimo, da je prehodno obdobje skoraj treh let neznosno za upravljavce, ki bodo že na ZVOP-2 morali čakati več kot leto dni. Če so se upravljavci morali prilagoditi zahtevam GDPR praktično čez noč, pričakujemo da bo podobno ravnala tudi država. Zato predlagamo, da se postopki akreditacij začnejo izvajati takoj ob uveljavitvi ZVOP-2.