Zakon o varstvu osebnih podatkov (ZVOP-2) po vsej verjetnosti ne bo sprejet pred 25.5.2018

16. 4. 2018

KAJ TO POMENI ZA VAS?

V preteklem tednu je kolegij predsednika državnega zbora razširil dnevni red izredne seje, ki bo v prihajajočem tednu, nanj pa ni uvrstil predloga Zakona o varstvu osebnih podatkov (ZVOP-2), ki v slovensko zakonodajo prenaša Splošno uredbo o varstvu osebnih podatkov, bolj znano pod kratico GDPR.

Uredba, ki je bila sicer sprejeta že v letu 2016, se prične uporabljati 25. maja 2018. Velja za vse družbe v Sloveniji, ne glede na velikost ali dejavnost, s katero se ukvarja. V Sloveniji sedaj že velja Zakon o varstvu osebnih podatkov (ZVOP-1), vendar je pripravljen predlog dopolnjene verzije zakona, z namenom uskladitve z GDPR.

Čeprav ZVOP-2 po vsej verjetnosti ne bo sprejet pravočasno, pa slovenska podjetja zavezujejo določbe GDPR, s katerimi morajo biti družbe usklajene do 25.5.2018.

Kaj to pomeni za povprečno malo podjetje v Sloveniji?

Čeprav morda ZVOP-2 res ne bo sprejet do 25.5.2018, vam uskladitev ne uide, časa za uskladitev pa ni več veliko.

GDPR je ogrodje, na podlagi katerega bo sprejeta slovenska zakonodaja.

Predlagamo vam, da najprej preverite obseg obdelave osebnih podatkov in namene popišete in preverite ali za tovrstno obdelavo osebnih podatkov potrebujete dovoljenje vaših strank. Če vodite oziroma obdelujete osebne podatke zaradi zakonskih zahtev ali zato, da lahko izvajate svojo storitev, potem za to ne potrebujete soglasja vaše stranke.

Preverite tudi kakšne vrste osebnih podatkov obdelujete. Če so podatki še posebno občutljivi podatki, ste dolžni spoštovati določbe o obdelavi takšnih podatkov. V primeru, da se obdeluje večje količine osebnih podatkov, pa ste dolžni imenovati tudi pooblaščenca za varstvo podatkov (ang. Data protection officer ali DPO), ki bo spremljal skladnost vaših obdelav z veljavno zakonodajo, odgovarjal na vprašanja in zahtevke vaših strank, kakor tudi sodeloval z informacijskim pooblaščencem.

Še posebno pomemben pa je GDPR za podjetja, ki se ukvarjajo z obdelavo osebnih podatkov za namene trženja. Posameznik mora biti obveščen, o temu, da se njegove podatke obdeluje, strinjati pa se mora tudi  z vsemi nameni razen z neposrednim trženjem, ki ga bo slovenska zakonodaja dodala med oblike obdelave osebnih podatkov, ki jih zakonodaja dovoljuje brez izrecnega soglasja posameznika. Posameznik mora izraziti eksplicitno strinjanje z vsakim načinom obdelave osebnih podatkov.

Morate v družbi sprejeti tudi nove pravilnike?

GDPR predvideva tudi uvedbo nekaterih novih postopkov v družbi. Tovrstne postopke družba ureja z internimi akti. Ob najavi informacijskega pooblaščenca je to tudi prva dokumentacija, ki mu jo je potrebno predložiti.

Moramo biti pozorni še na kaj drugega?

Obseg pomembnih sprememb je odvisen predvsem od obsega obdelave osebnih podatkov, ki jih vaša družba obdeluje. Predlagamo, da spremljate spletno stran Informacijskega pooblaščenca (POVEZAVA: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/), preberete samo uredbo GDPR (POVEZAVA: https://eur-lex.europa.eu/legal-content/SL/TXT/PDF/?uri=CELEX:32016R0679&from=SL ) in seveda spremljate zadnje verzije ZVOP-2 (POVEZAVA: https://e-uprava.gov.si/drzava-in-druzba/e-demokracija/predlogi-predpisov/predlog-predpisa.html?id=8701 )

Za vas lahko pripravimo vse potrebne pravilnike, analizo dejanskega stanja ter analizo odstopanj ter vam predlagamo naslednje korake, ki jih morate še opraviti pred 25.5.2018. Kontaktirajte nas na info@pravnisos.si ali 051 368 812.