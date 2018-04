Mokrice – Splošna uredba o varstvu podatkov (GDPR) bo v Sloveniji 25. maja začela neposredno veljati, saj je zdaj že jasno, da državni zbor pred volitvami ne bo sprejel prenovljenega slovenskega zakona o varstvu osebnih podatkov.



Podjetja in druge upravljavce zbirk osebnih podatkov bo to spravilo v neroden položaj, saj bodo morali – če bodo želeli biti skladni z ureditvijo – še natančneje paziti, kdaj sta lahko oba veljavna predpisa (evropska uredba GDPR in še naprej veljavni slovenski zakon ZVOP-1) v navzkrižju. Če se bo to zgodilo, bo merodajna ureditev iz GDPR. Ta pa je razmeroma splošna in zavezancem pušča precejšnjo svobodo pri tem, kako vzpostaviti sistem varstva podatkov znotraj podjetij. Nacionalni zakon bi (oziroma bo) na tem področju lahko postavil natančnejša pravila, predvsem na področju javne uprave, zato bodo številni zavezanci razmere po 25. maju razumeli kot pravno praznino. In obdobje, v katerem ne bodo natančno vedeli, kako ravnati, hkrati pa se bodo bali tudi razmeroma visokih kazni za nepravilno ravnanje s podatki.



Vendar pa Slovenija v tem smislu ni osamljena v Evropi, do zdaj so GDPR v svoj nacionalni pravni red prenesli v Nemčiji, Avstriji in na Slovaškem. »Tega ne dramatiziramo. Uredbo GDPR je mogoče neposredno uporabljati in bistveno je, da prinaša poenotene standarde ravnanja s podatki uporabnikov, o katerih so se v času nastajanja direktive strinjale tako države članice kot evropski parlament,« je zakonodajni zastoj v Sloveniji včeraj komentiral Bruno Gencarelli, vodja oddelka za varstvo osebnih podatkov z generalnega direktorata za pravosodje in potrošnike v evropski komisiji.



Gencarelli, ki se je udeležil posveta o pravu zasebnosti in svobodi izražanja, je v zvezi z GDPR še pojasnil, da je namenoma pripravljena »odprto«, saj to zavezancem omogoča, da način upravljanja podatkov (in s tem povezano izpolnjevanje zahtev iz direktive) prilagodijo stopnji tveganja v povezavi s podatki, ki jih zbirajo. »Če podjetja uredijo upravljanje podatkov na manj tvegan način (za zlorabe oziroma nepooblaščeno uporabo, op. p.), je manj tudi regulatornih zahtev, ki jih morajo izpolnjevati.«



Da prehod v novo ureditev ne bi smel biti oster in boleč, je prepričan tudi Andrej Tomšič, namestnik informacijske pooblaščenke. »Naše izkušnje kažejo, da imajo največ težav z zahtevami iz GDPR tisti manjši zavezanci, ki bi že do zdaj morali slediti ZVOP-1, pa jim to nekako ni uspelo,« je povedal. Da bi to izboljšali, po njegovem mnenju ni rešitev v nadzoru in (morebitnem) kaznovanju, ampak bodo zavedanje o pomembnosti varovanja podatkov pri zavezancih najbolj pospešili potrošniki sami. »Zahtevajte svoje podatke, poskušajte ugotoviti, koliko so vredni za tistega, ki jih zbira, in tako jih bomo spodbudili k odgovornemu ravnanju,« predlaga.