V ponedeljek in torek sem se udeležila 1. konference o varstvu osebnih podatkov. Vrhunski predavatelji, vrhunska predavanja, vendar še vedno nisem slišala tega, kar bi si želela – primere dobrih praks in sistematično predstavitev predloga ZVOP-2. Tokrat sem pa res, res, res pričakovala, da vam bom lahko predstavila vsebino tega tako težko pričakovanega zakona, ki je bil že večkrat v ciljni ravnini pa nikoli čez ciljno črto. Ravno zato si nihče več ne upa ničesar napovedovat, dokler ne bo zakon sprejet. Razumljivo.
Namesto tega sem ponedeljek zvečer predihavala rahel tesnobni napad, ki je bil posledica poslušanja o vseh napačnih pristopih in visokih kaznih, ki nas čakajo za ovinkom. Ob pomanjkanju predstavitve praktičnih rešitev za ugotovljene najpogostejše praktične napake, je takšen odziv po moji presoji pričakovan. In nisem bila edina.
Pa vendar:
Če bo vse po načrtih, bo ZVOP-2 obravnavan sredi decembra v DZ. Pričakujemo lahko, da bomo v leto 2023 vstopili z novim zakonom, ki bo s posodobljenim pristopom nadomestil trenutno še veljavni ZVOP-1 in uredil področja, ki jih GDPR ne ureja oz. jih prepušča državam članicam.
Najpomembnejša “novost”, ki jo uvaja, pa bo končna uveljavitev pravne podlage za Informacijskega pooblaščenca, da bo lahko izrekal kazni za prekrške, storjene s strani upravljavcev osebnih podatkov.
Do uveljavitve ZVOP-2 v Sloveniji namreč obstaja nekakšna pravna praznina, ki Informacijskemu pooblaščencu preprečuje oz. vsaj znatno omejuje pri izrekanju glob za prekrške s področja varstva osebnih podatkov, to praznino pa bo zapolnil ZVOP-2. Zato lahko v letu 2023 pričakujemo tudi prve globe. Če do zdaj še niste uredili svojega poslovanja tako, da bo skladen tudi s predpisi o varstvu osebnih podatkov, je sedaj skrajni čas. Recimo, do pomladi 2023.
V praksi pogosto zaznavam napačno mišljenje delodajalcev, da zato, ker poslujejo B2B, ne upravljajo z osebnimi podatki.
Kot delodajalec zagotovo upravljate z osebnimi podatki vsaj svojih zaposlenih!
Vsaj za svoje zaposlene morate sprejeti vse pravne akte, ki so nujni, da bo vaše poslovanje skladno z GDPR in ostalimi predpisi s tega področja. Na ta način bodo odpadli pomisleki v smislu:
Ali moram po prenehanju delovnega razmerja izbrisat vse promocijske videe, ki jih je posnel odhajajoči delavec?
Kaj pa promocijski material – brošure, kjer smo slikani kot ekipa, vključno z nekdanjimi zaposlenimi?
Ali lahko nekdanjemu zaposlenemu, ki je bil z nami več kot 10 let, sploh še voščim za njegov rojstni dan, ali potrebujem njegovo privolitev???
Na vsa ta vprašanja imamo odgovore, do katerih pa ni lahko priti. Če si sposodim priljubljen stavek osebnih trenerjev: “Princip hujšanja je enostaven, ni pa lahek.” Približno tu smo na področju varstva osebnih podatkov. Je enostavno, ni pa lahko.
Dovolite, da vam svetujem: info@aljafakin.si
p.s.
Za konec naj si dovolim še nekaj osebnih misli:
Po besedah enega od predavateljev, ZVOP-2 naj nikakor ne bi zniževal doseženega standarda varnosti varstva osebnih podatkov, kot ga je postavila že GDPR, ampak stremi k še povišanju varnosti. Če je torej kdo pričakoval, da bo razvoj prakse na tem področju šel morda v omilitev “birokratizacije”, ne bo.
V izogib nesporazumom: razumem pomen varstva osebnih podatkov in nevarnosti zlorab (ne gre za to, da kaj skrivamo, ampak, da lahko izberemo, komu se bomo razkrivali), vendar se kot pravnik resnično ne znajdem najbolje med zahtevo, da je vse dokumentirano in zahtevo, da je hkrati za uporabnika jasno in razumljivo. Že sama količina informacij, ki jih moraš zagotoviti kot upravljavec, ni združljiva z jasnostjo in preglednostjo.
Zato bi si na tovrstnih dogodkih želela več primerov dobrih praks. Konkretnih primerov dobrih infografik – pa ne tistih teoretičnih, ampak konkretnih primerov resničnih podjetij. Z vsem spoštovanjem do IP (ki ga kot inštitucijo iskreno cenim in to vselej poudarjam), ampak tudi obrazci, ki nam jih ponuja v pomoč, niso ravno zgled “enostavnega”. Že samo infografika o iznašanju OP v tretje države, npr. Meni, osebno, je jasna, ampak sem jo dolgo študirala in v praksi še vedno naletim na dileme. Če pa jo dam na vpogled svoji materi, univerzitetno izobraženi jezikoslovki, bo razvila nov obrambni mehanizem – nezavest, samo da se ji ne bo treba ukvarjat z razumevanjem predložene infografike.
Namen predpisov ni, da zadevo olajšajo upravljavcu, vendar pa ni življenjsko pričakovati, da bo upravljavec tvegal lastno pravno varnost v iskanju, celo tipanju za rešitvami, ki bi jih nadzorni organ sprejel kot sprejemljivo enostavne za uporabnika in obenem pravno celovite z vidika upravljavca. Žal je tako, da oblastni (nadzorni) organi, najsi so to inšpektorski ali sodišča, pri nadzoru najpogosteje slepo kljukajo kvadratke, ki jih določajo predpisi in ničkolikokrat se zgodi, da en (napačen) izraz pomeni razliko med kljukico in enornomno kaznijo.
Namesto tega sem ponedeljek zvečer predihavala rahel tesnobni napad, ki je bil posledica poslušanja o vseh napačnih pristopih in visokih kaznih, ki nas čakajo za ovinkom. Ob pomanjkanju predstavitve praktičnih rešitev za ugotovljene najpogostejše praktične napake, je takšen odziv po moji presoji pričakovan. In nisem bila edina.
Pa vendar:
Če bo vse po načrtih, bo ZVOP-2 obravnavan sredi decembra v DZ. Pričakujemo lahko, da bomo v leto 2023 vstopili z novim zakonom, ki bo s posodobljenim pristopom nadomestil trenutno še veljavni ZVOP-1 in uredil področja, ki jih GDPR ne ureja oz. jih prepušča državam članicam.
Najpomembnejša “novost”, ki jo uvaja, pa bo končna uveljavitev pravne podlage za Informacijskega pooblaščenca, da bo lahko izrekal kazni za prekrške, storjene s strani upravljavcev osebnih podatkov.
Do uveljavitve ZVOP-2 v Sloveniji namreč obstaja nekakšna pravna praznina, ki Informacijskemu pooblaščencu preprečuje oz. vsaj znatno omejuje pri izrekanju glob za prekrške s področja varstva osebnih podatkov, to praznino pa bo zapolnil ZVOP-2. Zato lahko v letu 2023 pričakujemo tudi prve globe. Če do zdaj še niste uredili svojega poslovanja tako, da bo skladen tudi s predpisi o varstvu osebnih podatkov, je sedaj skrajni čas. Recimo, do pomladi 2023.
V praksi pogosto zaznavam napačno mišljenje delodajalcev, da zato, ker poslujejo B2B, ne upravljajo z osebnimi podatki.
Kot delodajalec zagotovo upravljate z osebnimi podatki vsaj svojih zaposlenih!
Vsaj za svoje zaposlene morate sprejeti vse pravne akte, ki so nujni, da bo vaše poslovanje skladno z GDPR in ostalimi predpisi s tega področja. Na ta način bodo odpadli pomisleki v smislu:
Ali moram po prenehanju delovnega razmerja izbrisat vse promocijske videe, ki jih je posnel odhajajoči delavec?
Kaj pa promocijski material – brošure, kjer smo slikani kot ekipa, vključno z nekdanjimi zaposlenimi?
Ali lahko nekdanjemu zaposlenemu, ki je bil z nami več kot 10 let, sploh še voščim za njegov rojstni dan, ali potrebujem njegovo privolitev???
Na vsa ta vprašanja imamo odgovore, do katerih pa ni lahko priti. Če si sposodim priljubljen stavek osebnih trenerjev: “Princip hujšanja je enostaven, ni pa lahek.” Približno tu smo na področju varstva osebnih podatkov. Je enostavno, ni pa lahko.
Dovolite, da vam svetujem: info@aljafakin.si
p.s.
Za konec naj si dovolim še nekaj osebnih misli:
Po besedah enega od predavateljev, ZVOP-2 naj nikakor ne bi zniževal doseženega standarda varnosti varstva osebnih podatkov, kot ga je postavila že GDPR, ampak stremi k še povišanju varnosti. Če je torej kdo pričakoval, da bo razvoj prakse na tem področju šel morda v omilitev “birokratizacije”, ne bo.
V izogib nesporazumom: razumem pomen varstva osebnih podatkov in nevarnosti zlorab (ne gre za to, da kaj skrivamo, ampak, da lahko izberemo, komu se bomo razkrivali), vendar se kot pravnik resnično ne znajdem najbolje med zahtevo, da je vse dokumentirano in zahtevo, da je hkrati za uporabnika jasno in razumljivo. Že sama količina informacij, ki jih moraš zagotoviti kot upravljavec, ni združljiva z jasnostjo in preglednostjo.
Zato bi si na tovrstnih dogodkih želela več primerov dobrih praks. Konkretnih primerov dobrih infografik – pa ne tistih teoretičnih, ampak konkretnih primerov resničnih podjetij. Z vsem spoštovanjem do IP (ki ga kot inštitucijo iskreno cenim in to vselej poudarjam), ampak tudi obrazci, ki nam jih ponuja v pomoč, niso ravno zgled “enostavnega”. Že samo infografika o iznašanju OP v tretje države, npr. Meni, osebno, je jasna, ampak sem jo dolgo študirala in v praksi še vedno naletim na dileme. Če pa jo dam na vpogled svoji materi, univerzitetno izobraženi jezikoslovki, bo razvila nov obrambni mehanizem – nezavest, samo da se ji ne bo treba ukvarjat z razumevanjem predložene infografike.
Namen predpisov ni, da zadevo olajšajo upravljavcu, vendar pa ni življenjsko pričakovati, da bo upravljavec tvegal lastno pravno varnost v iskanju, celo tipanju za rešitvami, ki bi jih nadzorni organ sprejel kot sprejemljivo enostavne za uporabnika in obenem pravno celovite z vidika upravljavca. Žal je tako, da oblastni (nadzorni) organi, najsi so to inšpektorski ali sodišča, pri nadzoru najpogosteje slepo kljukajo kvadratke, ki jih določajo predpisi in ničkolikokrat se zgodi, da en (napačen) izraz pomeni razliko med kljukico in enornomno kaznijo.