ZVOP-2 - zakon

Varnost osebnih podatkov po ZVOP-2

Enotna pravila za varstvo osebnih podatkov v Evropski Uniji postavlja Splošna uredba (GDPR). Poleg tega nekatera vsebinska in postopkovna vprašanja urejajo države članice posebej s svojimi zakoni. V Sloveniji to področje ureja Zakon o varstvu osebnih podatkov, ki je v veljavi od 26.1.2023. ZVOP-2 bolj eksplicitno naslavlja Splošno uredbo o varstvu osebnih podatkov. Nov zakon je prinesel tudi nekatere spremembe v primerjavi s prejšnjim zakonom ZVOP-1.

Zakon o varstvu osebnih podatkov (ZVOP-2), ki ga je 15. 12. sprejel Državni zbor, je bil 27.12.2022 objavljen v Uradnem listu Republike Slovenije. Kot že omenjeno je pričel veljati 26.1.2023.

Varnost osebnih podatkov se nanaša predvsem na to, kako se s tehničnimi in organizacijskimi postopki in ukrepi prepreči, da bi osebni podatki prišli v roke nepooblaščenim osebam. Kadar varnost osebnih podatkov ni urejena oziroma ne obstaja, ne moremo govoriti niti o varstvu osebnih podatkov. Varnost osebnih podatkov je eno temeljnih načel širšega pojma varstva osebnih podatkov. Varnost pomeni zagotavljanje celovitosti, zaupnosti in razpoložljivosti osebnih podatkov.

Zagotavljanje skladnosti z ZVOP-2 je proces, pri katerem je potrebno poznavanje vseh določb zakona. Poleg tega je potrebno poznati tudi vse ostale pravne osnove, ki zagotavljajo in skrbijo za varnost osebnih podatkov. ZVOP-2 določa vsebinska področja, postopkovne vidike in relacijo do drugih področij in pravic. Ureja tudi dodatne pogoje za pooblaščene osebe za varstvo podatkov, spreminja ureditev videonadzora, zagotavlja sledljivost in nekatera ostala področja.

Varnost podatkov po ZVOP-2

Varnost osebnih podatkov je izredno pomembna, ZVOP-2 pa vsebuje tudi dodatne zahteve, ki jih morajo zavezanci upoštevati poleg zahtev Splošne uredbe.

Vodenje dnevnika obdelave

  1. člen ZVOP-2 ureja vodenje dnevnika obdelave. Določa, kdo mora zagotavljati dnevnik obdelave ter za katera dejanja. Določeno je tudi, kaj mora dnevnik vsebovati, za kakšne namene se lahko uporablja ter kakšen je rok hrambe podatkov v dnevniku. Dnevnik obdelave se zagotavlja za dejanja obdelave osebnih podatkov. To so zbiranje, spreminjanje, vpogled, razkritje, izbris ter druga dejanja obdelave, ki so določena z zakonom.

Dnevnik mora vsebovati:

  • Vrsto dejanja obdelave, datum in čas obdelave,
  • Identifikacijo osebe, ki je izvedla dejanje obdelave,
  • Identifikacijo uporabnikov osebnih podatkov, da je mogoče naknadno ugotoviti točno identiteto oseb.

Dnevnik se uporablja za:

  • izkazovanje zakonitosti obdelave ter
  • izvajanje notranjega nadzora,
  • izvajanje nadzorov ali drugih zakonsko določenih preverjanj s strani nadzornega organa ali drugih pristojnih organov,
  • za zagotavljanje celovitosti in varnosti osebnih podatkov ter 
  • za odpravljanje napak v delovanju informacijskega sistema ali obdelavi podatkov.

Vsebina dnevnika obdelave se hrani dve leti od zaključka koledarskega leta, v katerem so bila dejanja obdelave zabeležena. V primeru, kadar je z oceno učinka ali z analizo upoštevanih tveganj ugotovljeno tveganje, ki ga je mogoče učinkovito upravljati s podaljšanjem roka hrambe. V tem primeru se sme dnevnik hraniti največ pet let od zaključka koledarskega leta.

Varnost osebnih podatkov na področju posebnih obdelav

V 23. členu je določena varnost osebnih podatkov na področju posebnih obdelav. Pri tem gre za specifične zahteve za posebej tvegane informacijske sisteme, pri katerih se obdelujejo velike količine občutljivih, zaupnih ali drugače varovanih podatkov. Določeno je, da v primeru, kadar se obdelujejo biometrični osebni podatki, zdravstveni osebni podatki ali podatki iz kazenskih in prekrškovnih evidenc, je hramba prepovedana pri tistih podatkih, katerih fizična lokacija hrambe ni znana.

Varovanje osebnih podatkov, ki so predmet postopka

Gre predvsem za to, kdaj in kako morajo upravljalci osebnih podatkov postopati, ko so določeni osebni podatki zahtevani v določenem postopku. Po 21. členu ZVOP-2 upravljalec ne sme izbrisati, odsvojiti ali spremeniti zahtevanih osebnih podatkov. To so lahko podatki, ki so predmet postopka, dnevnikov obdelav in drugih informacij.

Kazni za kršitelje

Kot GDPR uredba je tudi ZVOP-2 nadzornim organom zagotovil dodatno podporo pri določanju kazni za kršitve zakona. Manjše denarne kazni znašajo do 10 milijonov evrov ali do 2 % skupnega letnega prometa na svetovni ravni za preteklo finančno leto. Znesek je odvisen od tega, kateri znesek je višji.

Za resnejše kršitve pa je predvidena denarna kazen, ki znaša do 20 milijonov evrov ali do 4 % skupnega letnega prometa na svetovni ravni za preteklo finančno leto.

Naša pomoč

Za pomoč pri analizi trenutnega stanja v vaši organizaciji, za pripravo predlogov za izboljšave ter pripravo pravilnika in navodil nas kontaktirajte. Za vas spremljamo izvajanje zakona ter zastopamo vašo organizacijo pred nadzornim organom.

Za več informacij in za informativno ponudbo nas kontaktirajte.

ŽELIM PONUDBO!