Dne 4.5.2016 sta bila v Uradnem listu Evropske unije objavljena ključna gradnika novega zakonodajnega svežnja EU o varstvu osebnih podatkov, in sicer:

·         Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov)

·         Direktiva (EU) 2016/680 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, in o prostem pretoku takih podatkov ter o razveljavitvi Okvirnega sklepa Sveta 2008/977/PNZ

Splošna uredba o varstvu podatkov (angl. General Data Protection Regulation – GDPR; v nadaljevanju uredba) je začela veljati 25.5.2016, njene določbe pa se bodo morale neposredno uporabljati v vseh državah članicah v dveh letih. Rok za prenos določb direktive v nacionalno zakonodajo je prav tako dve leti.

Kdaj in kako bo potekala implementacija uredbe v našem pravnem redu še ni znano. Priporočamo vam, da spremljate našo spletno stran in spletno stran Ministrstva za pravosodje, ki je pristojno za pripravo predpisov na področju varstva osebnih podatkov.

Postopek sprejema

Reforma varstva podatkov je zakonodajni sveženj, ki ga je Evropska komisija predlagala leta 2012 z namenom  posodobitve in prenove določb iz Direktive o varstvu podatkov iz leta 1995. V času od sprejema direktive leta 1995 je z razvojem sodobnih informacijsko-komunikacijskih tehnologij prišlo do obsežnih sprememb v obsegu, intenzivnosti in prenosih osebnih podatkov (npr. z razvojem in širitvijo uporabe računalništva v oblaku, družabnih omrežij, pametnih telefonov), ki terjajo prilagoditve in posodobitve zakonodajnega okvira. Enotna in posodobljena zakonodaja o varstvu podatkov je bistvena za zagotovitev temeljne pravice posameznikov do varstva osebnih podatkov, razvoj digitalnega gospodarstva ter okrepitev boja proti mednarodnemu kriminalu in terorizmu.

Zakonodajni sveženj zajema splošno uredbe o varstvu podatkov in direktivo o varstvu osebnih podatkov pri njihovi obdelavi za namen kazenskega pregona.

Komisija je leta 2010 Evropskemu parlamentu in Svetu predstavila sporočilo z naslovom „Celovit pristop k varstvu osebnih podatkov v Evropski uniji“, ki sta ga obe instituciji pozdravili. Na podlagi tega sporočila je Komisija leta 2012 predstavila predlog o reformi varstva podatkov.

Ta predlog se sprejema po rednem zakonodajnem postopku, kar pomeni, da Svet in Parlament odločata kot sozakonodajalca.

Parlament je marca 2014 sprejel stališče v prvi obravnavi o zakonodajnem svežnju, ki služi kot izhodišče za pogajanja med institucijami. Predlog uredbe o varstvu podatkov je bil Svetu predložen januarja 2012, obravnavala pa ga je Delovna skupina za izmenjavo informacij in varstvo podatkov (DAPIX).Delovna skupina za varstvo podatkov iz člena 29 (Article 29 Working Party), ki združuje nadzorne organe za varstvo osebnih podatkov v EU, kot je Informacijski pooblaščenec, je junija 2015 podala svoja stališča glede ključnih vprašanj reforme. Ministri za pravosodje in notranje zadeve pa so se 15. junija 2015 dogovorili o splošnem pristopu glede uredbe. Na podlagi tega dogovora je Svet začel pogajanja z Evropskim parlamentom (v obliki trialogov), ki so se zaključila decembra 2015. Sveženj je bil 14. 4. 2016 izglasovan v Evropskem parlamentu, končni besedili predpisov pa sta bili objavljeni v Uradnem listu Evropske unije 4. 5. 2016.

Bistvene predlagane spremembe

(vir: http://www.consilium.europa.eu/sl/policies/data-protection-reform/data-protection-regulation/)

Pravice posameznika

V uredbi so navedene pravice posameznika, na katerega se nanašajo osebni podatki, tj. posameznika, katerega osebni podatki se obdelujejo. Med temi pravicami so pravica do dostopa do osebnih podatkov ter pravice do popravka, pozabe, izbrisa, omejitve obdelave, ugovora in prenosljivosti podatkov. Določena je tudi obveznost upravljavcev (oseb, odgovornih za obdelavo podatkov) glede zagotavljanja preglednih in lahko dostopnih informacij posameznikom, na katere se nanašajo osebni podatki, o obdelavi njihovih podatkov.

Obveznosti upravljavcev in obdelovalcev podatkov

V uredbi so podrobno opredeljene splošne obveznosti upravljavcev in oseb, ki osebne podatke obdelujejo v njihovem imenu (obdelovalci). Med temi obveznostmi sta obveznost izvajanja ustreznih varnostnih ukrepov in obveznost uradnega obveščanja o kršitvah varstva osebnih podatkov. V skladu z uredbo bodo javni sektor ter podjetja, katerih temeljne dejavnosti zajemajo ali dejanja obdelave, ki pomenijo redno in sistematično obsežno spremljanje posameznikov, ali pa obsežno obdelavo posebnih vrst podatkov, morali imenovati uradno (odgovorno) osebo za varstvo podatkov..

Upravljavci ne bodo več dolžni prijavljati zbirk osebnih podatkov v register zbirk osebnih podatkov, ostajajo pa dolžnosti sprejema katalogov, te dolžnosti se krepijo in uvajajo tudi za (pogodbene) obdelovalce.

Večji poudarek daje uredba tudi (predhodnim) izvedbam analiz učinkov na varstvo osebnih podatkov, v primeru varnostnih incidentov, kot je npr. izguba osebnih podatkov, pa se uvaja obveznost poročanja nadzornemu organu in v določenih primerih tudi obveščanja vseh prizadetih posameznikov.

Nadzorni organi

V uredbi je potrjena obstoječa obveznost držav članic glede ustanovitve neodvisnega nadzornega organa na nacionalni ravni. Njegov cilj je tudi vzpostavitev mehanizmov, s katerimi bi zagotovili doslednost pri izvajanju zakonodaje o varstvu podatkov v vsej EU. Bistveno je, da bo v primeru, ko obdelava osebnih podatkov poteka v več kot eni državi članici, načeloma en sam ti. vodilni nadzorni organ pristojen za spremljanje vseh teh dejavnosti. To načelo, imenovano vse na enem mestu, pomeni, da bo pristojni vodilni nadzorni organ v vsakem primeru, ko gre za čezmejno obdelavo osebnih podatkov organ države članice, v kateri je glavni ali edini sedež upravljavca ali obdelovalca.

Uredba zajema tudi ustanovitev Evropskega odbora za varstvo podatkov (angl. European Data Protection Board, EDPB). Ta odbor naj bi sestavljali predstavniki vseh 28 neodvisnih nadzornih organov in bo nadomestil sedanjo Delovno skupino za varstvo podatkov iz člena 29 (Article 29 Working Party).

Pravica do pravnega sredstva in sankcije

Nova uredba ureja tudi pravico posameznikov, na katere se nanašajo osebni podatki, do vložitve pritožbe pri nadzornem organu, pa tudi njihovo pravico do pravnih sredstev zoper odločitev nadzornega organa ali v primeru neukrepanja nadzornega organa, pravico do odškodnine in odgovornosti.

Zoper upravljavce ali obdelovalce, ki kršijo pravila o varstvu podatkov, so določene zelo ostre sankcije. Te upravne sankcije izrečejo nacionalni organi za varstvo podatkov.

Kodeksi ravnanja in potrjevanje (certifikacija)

S sprejemom uredba daje EU večji poudarek kodeksom ravnanja in postopkom potrjevanja kot novim mehanizmom za zagotavljanje in izkazovanje ustreznega ravnanja z osebnimi podatki.

vir:www.ip-rs.si