Ker lahko avtentično razlago posameznih določb zakona daje le Državni zbor, neobvezno pa predlagatelj zakona, vam na podlagi informacij, ki ste nam jih posredovali, v nadaljevanju na podlagi 7. točke prvega odstavka 49. člen Zakona o varstvu osebnih podatkov (Uradni list RS, št. 86/04, 113/05-ZInfP, 51/07-ZUstS-A, 67/2007; v nadaljevanju ZVOP-1) ter 2. člena Zakona o Informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/2007; v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje.

Osebni podatek je v skladu s 1. tč. 6. člena ZVOP-1 katerikoli podatek, ki se nanaša na posameznika, ne glede na obliko, v kateri je izražen.

Posameznik je v skladu s 2. tč. 6. člena ZVOP-1 določena ali določljiva fizična oseba, na katero se nanaša osebni podatek; fizična oseba je določljiva, če se jo lahko neposredno ali posredno identificira, predvsem s sklicevanjem na identifikacijsko številko ali na enega ali več dejavnikov, ki so značilni za njeno fizično, fiziološko, duševno, ekonomsko, kulturno ali družbeno identiteto, pri čemer način identifikacije ne povzroča velikih stroškov, nesorazmerno velikega napora ali ne zahteva veliko časa.

Zbirka osebnih podatkov je v skladu s 5. tč. 6. člena ZVOP-1 vsak strukturiran niz podatkov, ki vsebuje vsaj en osebni podatek, ki je dostopen na podlagi meril, ki omogočajo uporabo ali združevanje podatkov, ne glede na to, ali je niz centraliziran, decentraliziran ali razpršen na funkcionalni ali geografski podlagi; strukturiran niz podatkov je niz podatkov, ki je organiziran na takšen način, da določi ali omogoči določljivost posameznika.

Upravljavec osebnih podatkov je v skladu s 6. tč. 6. člena ZVOP-1 fizična ali pravna oseba ali druga oseba javnega ali zasebnega sektorja, ki določa namene in sredstva obdelave osebnih podatkov oziroma oseba, določena z zakonom, ki določa tudi namene in sredstva obdelave.

1) Vzpostavitev katalogov zbirk osebnih podatkov in njihovo posredovanje Informacijskemu pooblaščencu

Katalog in register zbirk urejajo členi 26 do 28 ZVOP-1. Vsebina kataloga je določena v 26. členu ZVOP-1. V skladu s 1. odst. 26. člena ZVOP-1 mora upravljavec osebnih podatkov za vsako zbirko (torej tudi zbirko o vaših strankah, če so te – vsaj del zbirke – fizične osebe) osebnih podatkov vzpostavi katalog zbirke osebnih podatkov, ki vsebuje:

1. naziv zbirke osebnih podatkov;
2. podatke o upravljavcu osebnih podatkov (za fizično osebo: osebno ime, naslov opravljanja dejavnosti ali naslov stalnega ali začasnega prebivališča, za samostojnega podjetnika posameznika pa še firmo, sedež in matično številko; za pravno osebo: naziv oziroma firmo in naslov oziroma sedež upravljavca osebnih podatkov in matično številko);
3. pravno podlago za obdelavo osebnih podatkov;
4. kategorije posameznikov, na katere se nanašajo osebni podatki;
5. vrste osebnih podatkov v zbirki osebnih podatkov;
6. namen obdelave;
7. rok hrambe osebnih podatkov;
8. omejitve pravic posameznikov glede osebnih podatkov v zbirki osebnih podatkov in pravno podlago omejitev;
9. uporabnike ali kategorije uporabnikov osebnih podatkov, vsebovanih v zbirki osebnih podatkov;
10. dejstvo, ali se osebni podatki iznašajo v tretjo državo, kam, komu in pravno podlago iznosa;
11. splošen opis zavarovanja osebnih podatkov;
12. podatke o povezanih zbirkah osebnih podatkov iz uradnih evidenc ter javnih knjig;
13. podatke o zastopniku iz tretjega odstavka 5. člena tega zakona (za fizično osebo: osebno ime, naslov opravljanja dejavnosti ali naslov stalnega ali začasnega prebivališča, za samostojnega podjetnika posameznika pa še firmo, sedež in matično številko; za pravno osebo: naziv oziroma firmo in naslov oziroma sedež upravljavca osebnih podatkov in matično številko).

1. odst. 27. člena določa, katere dele kataloga mora upravljavec osebnih podatkov sporočiti državnemu nadzornemu organu (Informacijskemu pooblaščencu). Zaradi boljše preglednosti so ti deli kataloga zgoraj poudarjeni. Te podatke mora upravljavec sporočiti najmanj 15 dni pred vzpostavitvijo zbirke osebnih podatkov ali pred vnosom nove vrste osebnih podatkov. Upravljavec mora Pooblaščencu v skladu z 2. odst. 27. člena sporočiti tudi spremembe podatkov in sicer najkasneje v osmih dneh od dneva spremembe.

Novi ZVOP-1A je v 2. členu črtal določbo 3. odst. 27. člena ZVOP-1, ki je določala, da podatkov iz prvega odstavka tega člena ni potrebno posredovati tistemu upravljavcu osebnih podatkov, ki nima več kot 20 oseb zaposlenih za nedoločen čas, o tistih zbirkah osebnih podatkov, ki jih o svojih zaposlenih vodi v skladu z zakonom, ki določa zbirke osebnih podatkov na področju dela (zgolj te zbirke, poudaril Pooblaščenec).

2) Zavarovanje osebnih podatkov in sprejetje Pravilnika o zavarovanju osebnih podatkov

ZVOP-1 v tretjem poglavju ureja zavarovanje osebnih podatkov. 24. člen ZVOP-1 določa vsebino zavarovanja osebnih podatkov.

24. člen

(1) Zavarovanje osebnih podatkov obsega organizacijske, tehnične in logično-tehnične postopke in ukrepe, s katerimi se varujejo osebni podatki, preprečuje slučajno ali namerno nepooblaščeno uničevanje podatkov, njihova sprememba ali izguba ter nepooblaščena obdelava teh podatkov tako, da se:

1. varujejo prostori, oprema in sistemsko programska oprema, vključno z vhodno-izhodnimi enotami;
2. varuje aplikativna programska oprema, s katero se obdelujejo osebni podatki;
3. preprečuje nepooblaščen dostop do osebnih podatkov pri njihovem prenosu, vključno s prenosom po telekomunikacijskih sredstvih in omrežjih;
4. zagotavlja učinkovit način blokiranja, uničenja, izbrisa ali anonimiziranja osebnih podatkov;
5. omogoča poznejše ugotavljanje, kdaj so bili posamezni osebni podatki vneseni v zbirko osebnih podatkov, uporabljeni ali drugače obdelani in kdo je to storil, in sicer za obdobje, ko je mogoče zakonsko varstvo pravice posameznika zaradi nedopustnega posredovanja ali obdelave osebnih podatkov.

(2) V primeru obdelave osebnih podatkov, ki so dostopni preko telekomunikacijskega sredstva ali omrežja, morajo strojna, sistemska in aplikativno programska oprema zagotavljati, da je obdelava osebnih podatkov v zbirkah osebnih podatkov v mejah pooblastil uporabnika osebnih podatkov.

(3) Postopki in ukrepi za zavarovanje osebnih podatkov morajo biti ustrezni glede na tveganje, ki ga predstavlja obdelava in narava določenih osebnih podatkov, ki se obdelujejo.

(4) Funkcionarji, zaposleni in drugi posamezniki, ki opravljajo dela ali naloge pri osebah, ki obdelujejo osebne podatke, so dolžni varovati tajnost osebnih podatkov, s katerimi se seznanijo pri opravljanju njihovih funkcij, del in nalog. Dolžnost varovanja tajnosti osebnih podatkov jih obvezuje tudi po prenehanju funkcije, zaposlitve, opravljanja del ali nalog ali opravljanja storitev pogodbene obdelave.

Dolžnost zavarovanja osebnih podatkov pa ZVOP-1 ureja 25. členu, ki v prvem odstavku določa, da so upravljavci osebnih podatkov in pogodbeni obdelovalci dolžni zagotoviti zavarovanje osebnih podatkov na način iz zgoraj navedenega 24. člena ZVOP-1.

V drugem odstavku istega člena pa je določeno, da upravljavci osebnih podatkov v svojih aktih predpišejo postopke in ukrepe za zavarovanje osebnih podatkov ter določijo osebe, ki so odgovorne za določene zbirke osebnih podatkov, in osebe, ki lahko zaradi narave njihovega dela obdelujejo določene osebne podatke.

3.) Spremembe, ki jih prinaša novi ZVOP-1A

Zgoraj navedene določbe ZVOP-1 (razen, kot je bilo že omenjeno, 3. odst. 27. člena) veljajo tudi po spremembah, ki jih uvaja nedavno sprejeti ZVOP-1A. Glavna novost, ki jo omenjena sprememba prinaša in ki se nanaša na razbremenitev manjših upravljavcev osebnih podatkov v zasebnem sektorju (razen tistih, ki obdelujejo občutljive osebne podatke) je določba novega 4. odst. 7. člena ZVOP-1, ki določa, da upravljavcem osebnih podatkov z manj kot 50 zaposlenimi ni treba izpolniti obveznosti iz 2. odst. 25. člena ZVOP-1 in obveznosti iz 26. in 27. člena ZVOP-1. Tako obsežno oprostitev omejuje določba 5. odst. 7. člena ZVOP-1 (prav tako uvedena z novim ZVOP-1A), ki določa, da se izjeme iz prejšnjega odstavka ne uporabljajo za zbirke osebnih podatkov, ki jih vodijo:

• upravljavci osebnih podatkov iz javnega sektorja,
• notarji,
• odvetniki,
• detektivi,
• izvršitelji,
• izvajalci zasebnega varovanja,
• zasebni zdravstveni delavci,
• izvajalci zdravstvenih storitev ter
• za upravljavce osebnih podatkov, ki vodijo zbirke, ki vsebujejo občutljive osebne podatke in je obdelava občutljivih osebnih podatkov del njihove registrirane dejavnosti.

V skladu z navedeno spremembo so torej vsi upravljavci osebnih podatkov, ki imajo manj kot 50 zaposlenih delavcev oproščeni vzpostavitve katalogov zbirk osebnih podatkov in posredovanja teh katalogov Informacijskemu pooblaščencu, prav tako pa jim ni treba sprejeti Pravilnika o zavarovanju osebnih podatkov. Taka oprostitev pa ne velja za upravljavce, ki spadajo v javni sektor, za upravljavce, ki opravljajo katerega od v 5. odst. 7. člena ZVOP-1 naštetih poklicev, pa tudi za vse upravljavce, ki vodijo zbirke v katerih se nahajajo tudi občutljivi osebni podatki. Upravljavci iz 5. odst. 7. člena morajo tako sprejeti Pravilnik o zavarovanju osebnih podatkov in vzpostaviti in posredovati kataloge vseh zbirk osebnih podatkov, katerih upravljavec so, ne glede na število zaposlenih.

Kot vidimo so spremembe, ki jih je uvedel ZVOP-1A po eni strani razširile tako krog upravljavcev, ki so oproščeni določenih obveznosti po ZVOP-1 (od upravljavcev, ki nimajo več kot 20 zaposlenih za nedoločen čas na upravljavce z manj kot 50 zaposlenimi, ne glede na to, ali so zaposleni za določen ali za nedoločen čas), kakor tudi obseg obveznosti, katerih so oproščeni (od ozke oprostitve posredovanja tistih zbirk osebnih podatkov, ki jih vodi o svojih zaposlenih v skladu z zakonom, ki določa zbirke osebnih podatkov na področju dela, na obsežno oprostitev tako vzpostavitve in posredovanja katalogov vseh zbirk osebnih, katerih upravljavec so, kakor tudi sprejema Pravilnika o zavarovanju osebnih podatkov). Na drugi strani pa novi 5. odst. 7. člena ZVOP-1 taksativno našteva kategorije upravljavcev, za katere ne prihaja v poštev nobena oprostitev (po prejšnjem ZVOP-1 so je tudi za njih veljala oprostitev iz 3. odst. 27. člena ZVOP-1), kar pomeni, da tem upravljavcem sprememba ZVOP-1A nalaga večje obveznosti, kot so jih imeli pred spremembo.

Informacijski pooblaščenec, pa kljub spremembam, ki jih je prinesla novela ZVOP-1 tudi upravljavcem, ki so po novem oproščeni zgoraj navedenih obveznosti priporoča vsaj sprejem pravilnika iz 2. odst. 25. člena ZVOP-1, v katerem naj predpišejo postopke in ukrepe za zavarovanje osebnih podatkov. Opozoriti namreč velja, da sprememba zakona v ničemer ne zmanjšuje obveznosti vseh upravljavcev osebnih podatkov, da te zavarujejo v skladu z zgoraj navedenim 24. členom ZVOP-1. Vsak upravljavec osebnih mora torej še vedno zagotavljati vse postopke in ukrepe iz 24. člena ZVOP-1, ukinjena je le obveznost ureditve takega zavarovanja v posebnem notranjem aktu upravljavca. Ureditev takih postopkov in ukrepov v notranjem aktu upravljavca pa je priporočljiva, ker olajšuje vzpostavitev in povečuje učinkovitost zavarovanja osebnih podatkov.