Lani je Slovenija dobila nov zakon o varstvu osebnih podatkov (ZVOP-2). Ta je v slovenski prostor prinesel določbe, ki so se že uporabljale po GDPR, pa tudi nekatera nova pravila, predvsem s področja videonadzora. A kljub temu, da se GDPR uporablja že skoraj šest let, ZVOP-2 pa eno leto, slepe pege podjetij na nekaterih področjih ostajajo, denimo pri privolitvi za obdelavo osebnih podatkov.
Ena izmed sprememb, ki jo je vnesel ZVOP-2, je tudi to, da urad informacijske pooblaščenke zdaj lahko izdaja globe zaradi kršitev pravil GDPR. Ta je namreč uvedel višje najvišje kazni za kršitve pravil varstva osebnih podatkov in 11 meril, po katerih se presoja višina globe. Minulo leto je bilo sicer rekordno, saj je bilo obravnavanih kar 1.443 novih zadev zaradi suma kršitve varstva osebnih podatkov.
»Vsebine prijav, ki jih prejemamo po uveljavitvi ZVOP-2, ostajajo podobne. Kar opažamo, je predvsem večanje števila čezmejnih postopkov, v katerih sodelujemo kot vodilni ali kot zadevni organ, poleg tega pa je bilo lani prejetih tudi več obvestil o kršitvi varnosti osebnih podatkov,« so nam pojasnili v uradu informacijske pooblaščenke.
Kje ostajajo sive pege podjetij pri varstvu osebnih podatkov?
»Glavno področje, kjer še vedno opažamo največ pomanjkljivosti, je področje informiranja posameznikov o obdelavi njihovih osebnih podatkov, torej način transparentnega, jasnega, preglednega podajanja informacij, ki jih mora upravljavec posamezniku zagotoviti ob vsakem zbiranju njegovih osebnih podatkov, pa naj pravno podlago za obdelavo pomeni zakon, pogodba, privolitev in podobno,« opozarjajo pri informacijski pooblaščenki in ob tem dodajajo, da se pogosto zgodi, da upravljavci na take zahteve sploh ne odgovarjajo, odgovarjajo prepozno ali pomanjkljivo.
Po šestih letih pa vztrajajo tudi še nekateri miti, povezani s pravili GDPR. Še najbolj izrazita tu je (še vedno) privolitev. »Privolitev je namreč ena bolj zahtevnih pravnih podlag, ki pride v poštev le v redkih primerih, ko je posamezniku resnično prepuščena svobodna odločitev,« pravijo v uradu informacijske pooblaščenke, ki ga vodi Mojca Prelesnik.
Ponovimo nekaj pravil o privolitvi, eni izmed šestih pravnih podlag.
GDPR pravi, da mora biti privolitev dana jasno, prostovoljno, specifično, ozaveščeno in nedvoumno. Dana je lahko pisno, z elektronskimi sredstvi, velja tudi ustna izjava. Uporabnik mora imeti resnično izbiro.
Privolitev mora tako biti: prosto dana, informirana, prostovoljna (uporabniku ne smete povezovati uporabe storitve s tem, da privoli v obdelavo osebnih podatkov) ter granulirana (več namenov, več privolitev). Če ima neka storitev več namenov obdelave, se lahko posameznik načeloma sam odloči, kateri nameni obdelave so mu sprejemljivi. Ne smete ga »prisiliti«, da sprejme kup obdelave osebnih podatkov, sploh če ta ni potrebna ali pa vanjo ni privolil. Molk ali nedejavnost nista privolitev.
Videonadzor: pozor na pravila snemanja delovnih prostorov
Veliko nepravilnosti v uradu informacijske pooblaščenke ugotavljajo tudi v okviru izvajanja videonadzora, predvsem na delovnem mestu. »Ta je velikokrat uveden nezakonito, brez ustreznega upoštevanja pravic zaposlenih in temeljnega načela varstva osebnih podatkov – načela sorazmernosti.«
Kdaj lahko snemate delovne prostore? Splošno pravilo o videonadzoru pravi, da zanj velja tako kot na splošno pri varstvu osebnih podatkov. Če ga želite izvajati, morate imeti eno izmed šestih pravnih podlag, pri videonadzoru je sicer to nekoliko bolj omejeno.
A ko gre za delovne prostore, se ta pravila še bolj zaostrijo. Snemanje delavcev v samih delovnih prostorih namreč pomeni večji poseg v zasebnost posameznikov. Videonadzor v delovnih prostorih je dovoljen le, kadar je to nujno za varnost ljudi oziroma premoženja, preprečevanja ali odkrivanja kršitev na področju iger na srečo, ali za varovanje tajnih podatkov, ali za varovanje poslovnih skrivnosti, teh namenov pa ni mogoče doseči z milejšimi sredstvi.
Ob upoštevanju omenjenih pogojev v smernicah o videonadzoru piše, da je videonadzor dopustno izvajati denimo v trgovinah, skladiščih, na mestih v proizvodnji, kjer obstaja velika verjetnost odtujitve predmetov ali povzročitve večje škode, na bančnih okencih, nad blagajnami v gostinskih obratih, na delovnih mestih, kjer se posluje z gotovino … Ni pa videonadzora dopustno izvajati denimo v jedilnicah, na hodnikih, v sejnih in konferenčnih sobah ali v običajnih pisarnah, kjer delajo zaposleni.
Avtorica: Špela Mikuš