Splošna uredba o varstvu podatkov

Evropski parlament in svet sta aprila 2016 sprejela Uredbo o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (na kratko ji pravijo Splošna uredba o varstvu podatkov), ki se je začela v državah članicah uporabljati 25. maja letos, pišemo v junijski tematski številki Delavske enotnosti, glasila ZSSS, posvečeni varstvu osebnih podatkov.

Varstvo posameznikov pri obdelavi podatkov je temeljna pravica

Pri sprejemu uredbe sta upoštevala, da je varstvo posameznikov pri obdelavi podatkov temeljna pravica. Vsakdo ima pravico do varstva osebnih podatkov, ki se nanašajo nanj. Uredba vsebuje načela in pravila o varstvu posameznikov pri obdelavi njihovih osebnih podatkov ne glede na njihovo državljanstvo ali prebivališče, ki bi morala zagotavljati spoštovanje temeljnih pravic in svoboščin posameznikov. Namen uredbe je prispevati k dokončnemu oblikovanju območja svobode, varnosti in pravice ter ekonomske unije, h gospodarskemu in socialnemu napredku, krepitvi in uskladitvi gospodarstev na notranjem trgu ter k blaginji posameznikov. Prav tako je namenjena harmonizaciji varstva temeljnih pravic in svoboščin posameznikov pri dejavnostih obdelave in zagotavljanju prostega pretoka osebnih podatkov med državami članicami.

Ob sprejemu uredbe so upoštevali 173 točk

Pri sprejemanju uredbe sta Evropski parlament in Evropski svet izhajala iz 173 dejstev, ugotovitev in okoliščin, ki so v preambuli uredbe naštete v obliki točk od 1 do 173, ki razen številk nimajo nobenega naslova. Zaradi pomanjkanja prostora je vse nemogoče našteti, zato na kratko povzemamo samo nekatere. Zaradi lažjega branja smo vsaki točki dodali naslov, ki je redakcijski in ne izhaja iz uredbe. Jezik uredbe, ki obsega 109 gosto tipkanih strani besedila (okoli 267 tisoč znakov brez presledkov), je na ravni visoke splošnosti, saj naj bi določila in »politiko« iz uredbe države članice vgradile v svojo nacionalno zakonodajo.

Hkrati sta Evropski parlament in svet sprejela še direktivo o varstvu posameznikov pri obdelavi podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, in o prostem pretoku takih podatkov ter direktivo o uporabi podatkov iz evidence podatkov o potnikih (PNR) za preprečevanje, odkrivanje, preiskovanje in pregon terorističnih in hudih kaznivih dejanj. Uredba in obe direktivi, ki urejata obdelovanje osebnih podatkov na specifičnih področjih, obsegajo skupaj 185 strani oziroma 464 tisoč znakov brez presledkov, kar pa je že na ravni solidnega romana.

Poziv k čezmejni izmenjavi osebnih podatkov

Splošna uredba o varovanju podatkov govori, da je gospodarsko in socialno povezovanje, ki izhaja iz delovanja notranjega trga, prineslo občutno povečanje čezmejnih prenosov osebnih podatkov. Izmenjava osebnih podatkov med javnimi in zasebnimi akterji v Evropski uniji, vključno s posamezniki, združenji in družbami, se je enormno povečala. S pravom unije se poziva nacionalne organe držav članic k sodelovanju in izmenjavi osebnih podatkov, da bi lahko opravljali svoje dolžnosti ali izvajali naloge v imenu organa v drugi državi članici (spomnimo se samo položnic za prometne prekrške, storjene v drugi državi članici – op. avt.).

Tehnološki razvoj in globalizacija prinašata nove izzive

Po drugi strani pa sta hiter tehnološki razvoj in globalizacija prinesla nove izzive za varstvo osebnih podatkov. Obseg zbiranja in izmenjave osebnih podatkov se je bistveno povečal. Tehnologija zasebnim podjetjem in javnim organom omogoča, da osebne podatke uporabljajo za dosego svojih ciljev v obsegu, kakršnega še ni bilo. Posamezniki vedno bolj dajejo osebne podatke na razpolago tako javno kot globalno. Tehnologija je spremenila tako gospodarstvo kot družbeno življenje ter bi morala še naprej omogočati lažje izvajanje prostega pretoka osebnih podatkov v uniji ter prenosa v tretje države in mednarodne organizacije, pri čemer je treba zagotoviti visoko raven varstva osebnih podatkov.
Pri sprejemanju uredbe so izhajali iz stališča, da mora biti oblikovana tako, da služi ljudem.

Pravica do varstva osebnih podatkov ni absolutna pravica

Pravica do varstva osebnih podatkov pa ni absolutna pravica; v skladu z načelom sorazmernosti jo je treba obravnavati glede na vlogo, ki jo ima v družbi, in jo uravnotežiti z drugimi temeljnimi pravicami. Zato uredba spoštuje vse temeljne pravice in upošteva svoboščine in načela, priznana z Listino, kakor so zajeta v Pogodbah, zlasti spoštovanje zasebnega in družinskega življenja, stanovanja in komunikacij, varstvo osebnih podatkov, svobodo misli, vesti in vere, svobodo izražanja in obveščanja, svobodo gospodarske pobude, pravico do učinkovitega pravnega sredstva in nepristranskega sodišča ter kulturno, versko in jezikovno raznolikost.

Trden in skladnejši okvir varstva podatkov

Uredbo so sprejeli, ker Evropska unija potrebuje trden in skladnejši okvir varstva podatkov, podprt z doslednim izvrševanjem, saj je nujno vzpostaviti zaupanje, ki bo digitalnemu gospodarstvu omogočilo razvoj na celotnem notranjem trgu. Posamezniki bi morali imeti nadzor nad lastnimi osebnimi podatki. Pravno in praktično varnost posameznikov, gospodarskih subjektov in javnih organov je nujno okrepiti.

Nove definicije pojmov
Splošna uredba Evropske unijo o varstvu podatkov na novo definira nekatere pojme.
»Osebni podatki« pomenijo katero koli informacijo v zvezi z določenim ali določljivim posameznikom; določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika.
»Obdelava« pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje.
»Oblikovanje profilov« pomeni vsako obliko avtomatizirane obdelave osebnih podatkov, ki vključuje uporabo osebnih podatkov za ocenjevanje nekaterih osebnih vidikov v zvezi s posameznikom, zlasti za analizo ali predvidevanje uspešnosti pri delu, ekonomskega položaja, zdravja, osebnega okusa, interesov, zanesljivosti, vedenja, lokacije ali gibanja tega posameznika.
»Biometrični podatki« pomenijo osebne podatke, ki so rezultat posebne tehnične obdelave v zvezi s fizičnimi, fiziološkimi ali vedenjskimi značilnostmi posameznika, ki omogočajo ali potrjujejo edinstveno identifikacijo tega posameznika, kot so podobe obraza ali daktiloskopski podatki.
»Genetski podatki« pomenijo osebne podatke v zvezi s podedovanimi ali pridobljenimi genetskimi značilnostmi posameznika, ki dajejo edinstvene informacije o fiziologiji ali zdravju tega posameznika in so zlasti rezultat analize biološkega vzorca zadevnega posameznika.
»Psevdonimizacija« pomeni obdelavo osebnih podatkov na tak način, da osebnih podatkov brez dodatnih informacij ni več mogoče pripisati specifičnemu posamezniku, na katerega se nanašajo osebni podatki, če se take dodatne informacije hranijo ločeno ter zanje veljajo tehnični in organizacijski ukrepi za zagotavljanje, da se osebni podatki ne pripišejo določenemu ali določljivemu posamezniku.
»Kršitev varstva osebnih podatkov« pomeni kršitev varnosti, ki povzroči nenamerno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani.

Raven varstva osebnih podatkov mora biti v vseh državah enaka

Pri sprejemanju uredbe so izhajali tudi iz presoje, da bi morala biti za zagotovitev dosledne in visoke ravni varstva posameznikov ter odstranitev ovir za prenos osebnih podatkov v uniji raven varstva pravic in svoboščin posameznikov pri obdelavi osebnih podatkov enaka v vseh državah članicah. Ob tem pa uredba državam članicam daje manevrski prostor za podrobnejšo opredelitev njenih pravil, tudi glede obdelave posebnih vrst osebnih podatkov (»občutljivi podatki«). V tem obsegu ta uredba ne izključuje prava držav članic, s katerim so opredeljene okoliščine posebnih primerov obdelave, vključno s podrobnejšo določitvijo pogojev, pod katerimi je obdelava osebnih podatkov zakonita.

Za prosti pretok osebnih podatkov na notranjem trgu

Uredba je potrebna tudi zaradi tega, da se zagotovi skladna raven varstva posameznikov v vsej Evropski uniji in prepreči, da bi razlike ovirale prosti pretok osebnih podatkov na notranjem trgu. Potrebna je uredba, ki bo gospodarskim subjektom, tudi mikro, malim in srednjim podjetjem, zagotovila pravno varnost in preglednost, posameznikom v vseh državah članicah zagotovila enako raven pravno izvršljivih pravic ter obveznosti in odgovornosti upravljavcev in obdelovalcev, zagotovila dosledno spremljanje obdelave osebnih podatkov, enakovredne sankcije v vseh državah članicah in učinkovito sodelovanje nadzornih organov različnih držav članic. Za pravilno delovanje notranjega trga prosti pretok osebnih podatkov v Evropski uniji ne sme biti niti omejen niti prepovedan iz razlogov, povezanih z varstvom posameznikov pri obdelavi osebnih podatkov.

Uredba upošteva poseben položaj mikro, malih in srednjih podjetij

Za upoštevanje posebnega položaja mikro, malih in srednjih podjetij uredba vsebuje odstopanja glede vodenja evidenc za organizacije, ki zaposlujejo manj kot 250 oseb. Poleg tega se institucije in organe Evropske unije ter države članice in njihove nadzorne organe spodbuja, da posebne potrebe mikro, malih in srednjih podjetij upoštevajo pri uporabi te uredbe.

Uredba se ne uporablja za izključno osebno dejavnost fizičnih oseb

Kot piše v preambuli, se uredba ne uporablja za obdelavo osebnih podatkov s strani fizične osebe v okviru izključno osebne ali domače dejavnosti ter s tem brez povezave s poklicno ali komercialno dejavnostjo. Osebne ali domače dejavnosti bi lahko vključevale korespondenco in seznam naslovov ali dejavnosti na socialnih omrežjih in na spletu v okviru tovrstnih dejavnosti. Uredba pa se uporablja za upravljavce ali obdelovalce, ki zagotavljajo sredstva za obdelavo osebnih podatkov za take osebne ali domače dejavnosti.

Pri odkrivanju kaznivih dejanj in terorizma veljajo drugačni predpisi

Pri sprejemanju uredbe so upoštevali, da sta varstvo posameznikov pri obdelavi osebnih podatkov s strani pristojnih organov za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, vključno z varovanjem pred grožnjami javni varnosti in njihovim preprečevanjem, ter prosti pretok takih podatkov urejena v posebnem pravnem aktu Evropske unije. Uredba se zato ne bi smela uporabljati za dejavnosti obdelave v navedene namene. Vendar pa bi moral obdelavo osebnih podatkov s strani javnih organov na podlagi te uredbe, kadar se uporablja za navedene namene, urejati poseben pravni akt Unije, in sicer Direktiva (EU) 2016/680 Evropskega parlamenta in Evropskega sveta.

Pri obdelavi osebnih podatkov s strani pristojnih organov za namene, ki spadajo na področje uporabe te uredbe, bi države članice morale imeti možnost ohraniti ali uvesti podrobnejše določbe, s katerimi bi prilagodile uporabo pravil te uredbe. S takimi določbami se lahko natančneje opredelijo posebne zahteve za obdelavo osebnih podatkov s strani pristojnih organov za te druge namene, pri čemer je treba upoštevati ustavno, organizacijsko in upravno strukturo posamezne države članice. Kadar obdelava osebnih podatkov s strani zasebnih teles spada na področje uporabe te uredbe, bi morali s slednjo državam članicam omogočiti, da pod posebnimi pogoji z zakonom omejijo nekatere obveznosti in pravice, če je taka omejitev potreben in sorazmeren ukrep v demokratični družbi za zaščito posebnih pomembnih interesov, tudi za javno varnost ter preprečevanje, preiskovanje, odkrivanje ali pregon kaznivih dejanj ali izvrševanje kazenskih sankcij, vključno z varovanjem pred grožnjami javni varnosti in preprečevanjem takih groženj. To na primer zadeva dejavnosti v okviru preprečevanja pranja denarja ali dejavnosti forenzičnih laboratorijev.

Obdelavo osebnih podatkov s strani sodišč velja podrobneje določiti

Ker se uredba med drugim uporablja za dejavnosti sodišč in drugih pravosodnih organov, bi lahko v pravu Evropske unije ali pravu držav članic podrobneje določili dejanja obdelave in postopke obdelave v zvezi z obdelavo osebnih podatkov s strani sodišč in drugih pravosodnih organov. Pristojnost nadzornih organov ne bi smela obsegati obdelave osebnih podatkov, kadar sodišča delujejo kot sodni organ, da se zaščiti neodvisnost sodstva pri opravljanju sodnih nalog, vključno z odločanjem. Omogočeno bi moralo biti, da se nadzor takih dejanj obdelave podatkov zaupa posebnim organom v okviru sodnega sistema države članice, ki naj bi zlasti zagotovili upoštevanje pravil te uredbe, izboljšali ozaveščenost delavcev v sodstvu glede njihovih obveznosti na podlagi te uredbe in obravnavali pritožbe v zvezi s takimi dejanji obdelave podatkov.

Uredba se ne uporablja za umrle osebe

Zanimiva je tudi opredelitev, da se uredba ne uporablja za osebne podatke umrlih oseb. Pravila za obdelavo osebnih podatkov teh oseb lahko določijo države članice.

Javni organi (davčni, carinski itd.) niso običajni uporabniki

Javnih organov, ki so jim bili osebni podatki razkriti v skladu s pravno obveznostjo za izvajanje njihovih uradnih nalog, kot so davčni in carinski organi, finančne preiskovalne enote, neodvisni upravni organi ali organi finančnih trgov, pristojni za regulacijo in nadzor trgov vrednostnih papirjev, po uredbi ne bi smeli šteti za uporabnike, če prejmejo osebne podatke, ki so potrebni za izvedbo določene preiskave v splošnem interesu, in sicer v skladu s pravom Evropske unije ali države članice. Zahteve za razkritje, ki jih predložijo javni organi, bi morale biti vedno v pisni obliki, utemeljene in občasne ter ne bi smele zadevati celotne zbirke ali voditi k medsebojnemu povezovanju zbirk. Obdelava osebnih podatkov s strani teh javnih organov bi morala biti skladna z veljavnimi predpisi o varstvu podatkov glede na namen obdelave.

Posebno varstvo osebnih podatkov otrok

Pri sprejemanju uredbe so upoštevali, da potrebujejo otroci posebno varstvo v zvezi s svojimi osebnimi podatki, saj se morda manj zavedajo zadevnih tveganj, posledic in zaščitnih ukrepov in svojih pravic v zvezi z obdelavo osebnih podatkov. Tako posebno varstvo bi moralo zadevati zlasti uporabo osebnih podatkov otrok v namene trženja ali ustvarjanja osebnostnih ali uporabniških profilov in zbiranje osebnih podatkov v zvezi z otroci pri uporabi storitev, ki se nudijo neposredno otroku. Privolitev nosilca starševske odgovornosti ne bi smela biti potrebna v okviru storitev preventive ali svetovanja, ki se nudijo neposredno otrokom.

Vsaka obdelava osebnih podatkov mora biti zakonita in poštena

Vsaka obdelava osebnih podatkov bi morala biti zakonita in poštena. Načini zbiranja, uporabe, pregledovanja ali drug način obdelave ter obseg obdelave ali prihodnje obdelave osebnih podatkov, ki se nanašajo na posameznike, bi morali za posameznike biti pregledni. Načelo preglednosti zahteva, da so vse informacije in sporočila, ki se nanašajo na obdelavo teh osebnih podatkov, lahko dostopni in razumljivi ter izraženi v jasnem in preprostem jeziku. To načelo zadeva zlasti informacije za posameznike, na katere se nanašajo osebni podatki, o istovetnosti upravljavca in namenih obdelave ter dodatne informacije za zagotovitev poštene in pregledne obdelave glede zadevnih posameznikov in njihove pravice do pridobitve potrditve in sporočila o obdelavi osebnih podatkov v zvezi z njimi. Posameznike bi bilo treba opozoriti na tveganja, pravila, zaščitne ukrepe in pravice v zvezi z obdelavo njihovih osebnih podatkov ter na to, kako lahko uresničujejo svoje pravice v zvezi s tako obdelavo. Zlasti posebni nameni, za katere se osebni podatki obdelujejo, bi morali biti izrecni in zakoniti ter določeni v času zbiranja osebnih podatkov. Osebni podatki bi morali biti ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Zato bi bilo treba zlasti zagotoviti, da je obdobje hrambe osebnih podatkov omejeno na najkrajše mogoče obdobje. Osebni podatki bi se lahko obdelali le, če namena obdelave ne bi bilo mogoče razumno doseči z drugimi sredstvi. Za zagotovitev, da se osebni podatki hranijo le toliko časa, kolikor je potrebno, bi moral upravljavec določiti roke za izbris ali občasno preverjanje. Sprejeti bi bilo treba vse smiselne ukrepe za popravek ali izbris netočnih osebnih podatkov. Osebne podatke bi bilo treba obdelovati na način, ki zagotavlja ustrezno varnost in zaupnost osebnih podatkov, tudi za preprečitev nedovoljenega dostopa do osebnih podatkov ali uporabe osebnih podatkov in opreme za obdelavo.

Vsak ima pravico do dostopa do »svojih« podatkov

Po uredbi ima posameznik, na katerega se nanašajo osebni podatki, pravico dostopa do osebnih podatkov, ki so bili zbrani v zvezi z njim, in do enostavnega uresničevanja te pravice v razumnih časovnih presledkih, da bi se seznanil z obdelavo in preveril njeno zakonitost. To vključuje pravico posameznikov, na katere se nanašajo osebni podatki, da imajo dostop do podatkov v zvezi s svojim zdravjem, na primer podatkov v njihovi zdravstveni kartoteki, ki vključuje informacije, kot so diagnoze, izvidi preiskav, ocene lečečih zdravnikov in druga zdravljenja ali posegi. Zato bi moral vsak posameznik, na katerega se nanašajo osebni podatki, imeti pravico do seznanitve s sporočilom in njegove pridobitve, zlasti o namenih obdelave osebnih podatkov, po možnosti o obdobju, za katero so osebni podatki obdelani, uporabnikih osebnih podatkov, o razlogih za morebitno avtomatsko obdelavo osebnih podatkov in, vsaj v primerih, kadar obdelava temelji na oblikovanju profilov, o posledicah take obdelave. Kadar je mogoče, bi upravljavec moral imeti možnost zagotoviti dostop na daljavo do varnega sistema, ki bi posamezniku, na katerega se nanašajo osebni podatki, omogočil neposreden dostop do njegovih osebnih podatkov. Ta pravica ne bi smela negativno vplivati na pravice ali svoboščine drugih, vključno s poslovnimi skrivnostmi ali intelektualno lastnino, ter predvsem na avtorske pravice, ki ščitijo programsko opremo. To pa ne bi smelo povzročiti, da se posamezniku, na katerega se nanašajo osebni podatki, zavrne dostop do vseh informacij. Kadar upravljavec obdeluje veliko količino informacij v zvezi s posameznikom, na katerega se nanašajo osebni podatki, bi moral upravljavec imeti možnost, da pred zagotovitvijo informacij od tega posameznika zahteva, naj podrobno opredeli, na katere informacije ali dejavnosti obdelave se zahteva nanaša.

Pravica do popravka osebnih podatkov in »pravica do pozabe«

Posameznik, na katerega se nanašajo osebni podatki, bi moral imeti pravico do popravka osebnih podatkov v zvezi z njim in »pravico do pozabe«, kadar hramba takih podatkov krši to uredbo ali pravo Evropske unije ali pravo države članice, ki velja za upravljavca. Posameznik, na katerega se nanašajo osebni podatki, bi moral imeti zlasti pravico do tega, da se njegovi osebni podatki izbrišejo in se ne obdelujejo več, kadar osebni podatki niso več potrebni za namene, za katere so bili zbrani ali kako drugače obdelani, kadar posameznik, na katerega se nanašajo osebni podatki, prekliče svojo privolitev ali ugovarja obdelavi osebnih podatkov, ki se nanašajo nanj, ali kadar obdelava njegovih osebnih podatkov kako drugače ni v skladu s to uredbo. Ta pravica je zlasti pomembna, kadar je posameznik, na katerega se nanašajo osebni podatki, dal svojo privolitev kot otrok in se ni v celoti zavedal tveganj, povezanih z obdelavo, ter želi pozneje take osebne podatke odstraniti, zlasti z interneta. Posameznik, na katerega se nanašajo osebni podatki, bi moral imeti možnost, da to pravico uresničuje ne glede na dejstvo, da ni več otrok. Vendar bi morala biti nadaljnja hramba osebnih podatkov zakonita, če je to potrebno za uresničevanje pravice do svobode izražanja in obveščanja, izpolnjevanje pravnih obveznosti, izvajanje nalog v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu, iz razlogov javnega interesa na področju javnega zdravja, za namene arhiviranja v javnem interesu, znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene ali za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov.

Pravica do pozabe v spletnem okolju

Za učinkovitejše uresničevanje pravice do pozabe v spletnem okolju bi bilo treba pravico do izbrisa razširiti tako, da bi zahtevali, da upravljavec, ki je osebne podatke objavil, sprejme razumne, tudi tehnične, ukrepe, da obvesti upravljavce, ki take osebne podatke obdelujejo, da je posameznik, na katerega se nanašajo osebni podatki, zahteval izbris vseh povezav do teh osebnih podatkov ali kopij teh osebnih podatkov. Pri tem bi moral upravljavec ob upoštevanju razpoložljive tehnologije in sredstev, ki jih ima na voljo, vključno s tehničnimi ukrepi, sprejeti razumne ukrepe, da bi upravljavce, ki obdelujejo osebne podatke, obvestil o zahtevi posameznika, na katerega se nanašajo osebni podatki.

Problem avtomatiziranega oblikovanja »profilov posameznikov« in sprejemanje odločitev na podlagi tega

Posameznik, na katerega se nanašajo osebni podatki, bi moral imeti pravico, da zanj ne bi veljala odločitev, ki lahko vključuje ukrep, o ocenjevanju osebnih vidikov v zvezi z njim, ki temelji zgolj na avtomatizirani obdelavi in ima pravne učinke v zvezi z njim ali podobno znatno vpliva nanj, kot so avtomatska zavrnitev spletne prošnje za posojilo ali prakse zaposlovanja prek spleta brez človekovega posredovanja. Taka obdelava vključuje »oblikovanje profilov« v kakršni koli obliki avtomatizirane obdelave osebnih podatkov, na podlagi katerih se ocenjujejo osebni vidiki v zvezi s posameznikom, na katerega se nanašajo osebni podatki, zlasti za analizo ali predvidevanje uspešnosti pri delu, ekonomskega položaja, zdravja, osebnega okusa ali interesov, zanesljivosti ali vedenja, lokacije ali gibanja, kadar ustvarja pravne učinke v zvezi z njim ali nanj podobno znatno vpliva. Sprejemanje odločitev na podlagi take obdelave, vključno z oblikovanjem profilov, pa bi moralo biti dovoljeno, kadar ga izrecno dovoljuje pravo Evropske unije ali pravo države članice, ki velja za upravljavca, tudi za namene spremljanja in preprečevanja zlorab in davčnih utaj v skladu s predpisi, standardi in priporočili institucij Evropske unije ali nacionalnih nadzornih teles ter zagotavljanje varnosti in zanesljivosti storitve, ki jo zagotavlja upravljavec, ali kadar je to nujno za sklepanje ali izvajanje pogodbe med posameznikom, na katerega se nanašajo osebni podatki, in upravljavcem, ali kadar je posameznik, na katerega se nanašajo osebni podatki, v to izrecno privolil. V vsakem primeru bi morali za tako obdelavo veljati ustrezni zaščitni ukrepi, ki bi morali vključevati konkretno seznanitev posameznika, na katerega se nanašajo osebni podatki, in pravico do osebnega posredovanja, pravico izraziti svoje stališče, pravico dobiti pojasnilo o odločitvi, ki je bila sprejeta po takem ocenjevanju, in pravico do izpodbijanja odločitve. Taki ukrepi ne bi smeli zadevati otroka.

Da bi upravljavec ob upoštevanju posebnih okoliščin in okvira, v katerih se osebni podatki obdelujejo, zagotovil pošteno in pregledno obdelavo osebnih podatkov za posameznika, na katerega se osebni podatki nanašajo, bi moral uporabiti ustrezne matematične ali statistične postopke za oblikovanje profilov, izvajati tehnične in organizacijske ukrepe, s katerimi bi na ustrezen način zagotovil zlasti, da se dejavniki, ki povzročijo netočnost osebnih podatkov, popravijo in tveganje napak čim bolj zmanjša, zavarovati osebne podatke tako, da se upoštevajo morebitne nevarnosti, povezane z interesi in pravicami posameznika, na katerega se nanašajo osebni podatki, ter da se preprečijo tudi diskriminatorne posledice za posameznike na podlagi rasnega ali etničnega porekla, političnega mnenja, vere ali prepričanja, članstva v sindikatu, genetskega ali zdravstvenega stanja, spolne usmerjenosti ali učinki, ki privedejo do ukrepov, ki imajo takšne posledice.

Avtomatizirano sprejemanje odločitev in oblikovanje profilov na podlagi posebnih vrst osebnih podatkov bi bilo treba dovoliti le pod posebnimi pogoji.

Obdelava podatkov pacientov in strank pri odvetnikih

Obdelava osebnih podatkov se ne bi smela šteti kot obdelava v velikem obsegu, če gre za obdelavo osebnih podatkov pacientov ali strank s strani posameznega zdravnika, drugega zdravstvenega delavca ali odvetnika. V takih primerih ocena učinka v zvezi z varstvom podatkov ne bi smela biti obvezna.

Izjeme od pravil o svobodi izražanja in obveščanja

Pravo držav članic bi moralo pravila, ki urejajo svobodo izražanja in obveščanja, vključno z novinarskim, akademskim, umetniškim in/ali književnim izražanjem, usklajevati s pravico do varstva osebnih podatkov v skladu s to uredbo. Za obdelavo osebnih podatkov, ki se izvaja zgolj v novinarske namene ali zaradi akademskega, umetniškega ali literarnega izražanja, bi se morala uporabiti odstopanja ali izjeme od nekaterih določb te uredbe, če je to potrebno za uskladitev pravice do varstva osebnih podatkov s pravico do svobode izražanja in obveščanja, kakor je določena v členu 11 Listine. To bi moralo veljati zlasti za obdelavo osebnih podatkov na avdiovizualnem področju ter v arhivih novic in medijskih arhivih. Zato bi morale države članice sprejeti zakonodajne ukrepe, v katerih bi bile določene izjeme in odstopanja, potrebna za uravnoteženje teh temeljnih pravic. Države članice bi morale take izjeme in odstopanja sprejeti glede splošnih načel, pravic posameznika, na katerega se nanašajo osebni podatki, upravljavca in obdelovalca, prenosa osebnih podatkov v tretje države ali mednarodne organizacije, neodvisnih nadzornih organov, sodelovanja in skladnosti ter posebnih primerov obdelave podatkov. Kadar se take izjeme ali odstopanja po državah članicah razlikujejo, bi se moralo uporabiti pravo države članice, ki velja za upravljavca. Za upoštevanje pomena pravice do svobode izražanja v vsaki demokratični družbi je treba pojme, povezane s to svobodo, kot je na primer novinarstvo, razlagati v širokem smislu.

V kolektivnih pogodbah so lahko določena posebna pravila

V pravu držav članic ali kolektivnih pogodbah, vključno s »pogodbami na ravni podjetij«, so lahko določena posebna pravila o obdelavi osebnih podatkov zaposlenih v okviru zaposlitve, zlasti za pogoje, pod katerimi se lahko obdelujejo osebni podatki v okviru zaposlitve na podlagi privolitve zaposlenega, v namene zaposlovanja, izvajanja pogodbe o zaposlitvi, vključno z izpolnjevanjem obveznosti, določenih z zakonom ali kolektivnimi pogodbami, upravljanja, načrtovanja in organizacije dela, enakosti in raznolikosti na delovnem mestu, zdravja in varnosti pri delu, za namene individualnega ali kolektivnega izvajanja in uživanja pravic in ugodnosti, povezanih z zaposlitvijo, ter za namene prekinitve delovnega razmerja.

Uredba ima 109 strani in 99 členov, razvrščenih v deset poglavij

V splošnih določbah uredba med drugim pojasnjuje pojme, kot so osebni podatki, obdelava, oblikovanje profila, psevdonimizacija, privolitev in druge. V drugem poglavju so opredeljena tudi načela zbiranja in obdelave osebnih podatkov. Gre za »zakonitost«, »pravičnost«, »preglednost«, »omejitev namena«, »najmanjši obseg podatkov«, »točnost«, »omejitev shranjevanja«, »celovitost«, »zaupnost« in »odgovornost«. Tretje poglavje je namenjeno varovanju pravic posameznika, na katerega se nanašajo osebni podatki. Posebej velja opozoriti na pravico do popravka in izbrisa oziroma na »pravico do pozabe«, pa tudi pravico do omejitve uporabe.

Četrto poglavje je posvečeno določbam, ki govorijo o obveznostih in pravicah upravljavcev in obdelovalcev osebnih podatkov, med katere sodi tudi ZSSS, ko gre za zbiranje in obdelovanje podatkov svojih članov. Med drugim mora upravljavec voditi evidenco dejavnosti obdelave osebnih podatkov v okviru svoje odgovornosti, ki omogoča sledljivost. Upravljavec in obdelovalec osebnih podatkov morata imenovati tudi odgovorno osebo za varnost osebnih podatkov.

Uredba napotuje države članice ter različna združenja in nadzorne organe k pripravljanju kodeksov ravnanja, katerih namen je prispevati k pravilni uporabi uredbe, ob upoštevanju posebnih značilnosti različnih sektorjev za obdelavo ter posebnih potreb mikro, malih in srednjih podjetij.

Peto poglavje ureja prenos podatkov v tretje države ali mednarodne organizacije, šesto poglavje govori o neodvisnih nadzornih organih in njihovih pristojnostih, sedmo o sodelovanju in skladnosti, osmo o pravnih sredstvih, odgovornosti in kaznih. Kazni so izjemno visoke – za kršitve nekaterih določb znašajo upravne globe do 20 milijonov evrov ali v primeru družbe štiri odstotke skupnega svetovnega letnega prometa v preteklem proračunskem letu, odvisno od tega, kateri znesek je višji. Deveto poglavje vsebuje določbe o posebnih primerih obdelave v zvezi s svobodo izražanja in obveščanja, deseto o izvedbenih aktih, enajsto pa končne določbe.

Uredba je v celoti zavezujoča za vse države Evropske unije

Uredba, ki je v celoti zavezujoča in se mora neposredno uporabljati v vseh državah članicah, bo zagotovo prispevala k večjemu in bolj učinkovitemu varstvu osebnih podatkov. Seveda pa bo minilo še kar nekaj časa, da se bodo z njo dodobra seznanili vsi, ki jo bodo morali pri svojem delu spoštovati. Ker gre za precej novosti in ker direktiva ureja zapleteno področje, bo verjetno spočetka kar precej različnih interpretacij, kaj določene formulacije v njej dejansko pomenijo oziroma kaj je po njej dovoljeno in kaj ne. Nobenega dvoma pa ni, da je napisana za to, da bi regulirala zbiranje in obdelavo osebnih podatkov v velikih korporacijah in multinacionalkah ter v velikih podjetjih in državnih organih – skratka pri velikih upravljavcih osebnih podatkov. Mikro, mala in srednja podjetja so večkrat omenjena kot izjeme. Najslabše, kar bi se lahko pri nas zgodilo, pa je, da bi zaradi pregovornega slovenskega pikolovstva nadzorni organi začeli z uredbo »jahati« male upravljavce osebnih podatkov oziroma da bi konkurenti na trgu začeli z »intrigami in nato špecanjem« eden drugemu greniti življenje. Zato velja pozdraviti besede informacijske pooblaščenke Mojce Prelesnik, ki je v intervjuju za naš časnik dejala, da je treba vsak zakon in predpis tolmačiti s pravo mero zdrave pameti. Uredba bo pametnim koristila, za intrigante, pikolovce in pretirane birokrate pa lahko pomeni nov navdih. Upajmo, da tokrat ne bo tako.