Novi zakon prinaša številne novosti za podjetja in javni sektor ki se ukvarjajo z obdelavo, shranjevanjem in prenosom osebnih podatkov svojih potrošnikov ali uporabnikov storitev. Nadzorni organ za varstvo osebnih podatkov ostaja informacijski pooblaščenec, pomembna novost zakona pa je, da lahko informacijski pooblaščenec izreka globe predpisane s Splošno uredbo o varstvu osebnih podatkov (GDPR).
Med drugim novi ZVOP-2 vsebuje naslednje določbe:
► Starost za privolitev mladoletnikov bo 15 let, za osebe mlajše od 15 let je potrebno soglasje zakonitega zastopnika, rejnika ali predstavnika institucije v katero je nameščen mladoletnik (dijaški dom, popravni dom, itd.)
► Dnevnike obdelave je potrebno voditi v primerih obsežne obdelave posebnih kategorij osebnih podatkov ali rednega oz. sistematičnega spremljanja posameznikov ali takrat, ko ocena učinka obdelave pokaže, da gre za tveganje, ki bi ga bilo možno zmanjšati z vodenjem dnevnikov.
► Za posebno vrsto osebnih podatkov se štejejo podatki o narodni ali etični pripadnosti v javnem sektorju, ter posebne vrste osebnih podatkov na obveščevalno-varnostnem in protiobveščevalnem področju, kadar tako določa zakon (npr. podatki o kazenskih obsodbah, osebni podatki umrlih oseb, videonadzor, biometrija itd.)
► Upravljalcem osebnih podatkov zakon nalaga, da je potrebno vodenje dnevnikov obdelav z zakonom uskladiti v roku 2 let od uveljavitve (do 26.januarja 2025).
► Zakon tudi razveljavlja seznam tretjih držav iz 66. člana ZVOP-1. Na seznamu tretjih držav, za katere ni potrebna dodatna podlaga za iznos podatkov, ne bo več Makedonije. Za iznose osebnih podatkov v Makedonijo bo potrebna druga pravna podlaga (na primer standardne pogodbene klavzule).
► Novi zakon prav tako določa, da ima posameznik pravico do sodnega varstva svojih pravic, ne da bi mu bilo pred tem potrebno izkoristiti druga pravna sredstva. Postopki, ki so se začeli pri informacijskem pooblaščencu ali na sodiščih pred uveljavitvijo zakona, se končajo v skladu z Zakonom o varstvu osebnih podatkov (ZVOP-1). Inšpekcijski nadzor, ki je bil začet na podlagi ZVOP-1, se nadaljuje v skladu z ZVOP-2.
S 1. januarjem 2024 se začnejo postopki akreditacije. V prehodnem obdobju se obdelave podatkov, za katere je potrebno pridobiti certifikat (npr. obdelava biometričnih podatkov), lahko obdelujejo, če so obdelave skladne s predpisi o varstvu osebnih podatkov.
Zakon med drugim vpeljuje nekatere spremembe na področju obdelave osebnih podatkov za znanstvene, raziskovalne in arhivske namene.
Podjetja, ki pri poslovanju obdelujejo osebne podatke imajo dve leti časa, da se prilagodijo spremembam novega zakona. Za obdelavo nekaterih podatkov je potrebno vpeljati dnevnike obravnave, pri nekaterih vrstah podatkov pa pridobiti potreben certifikat zaposlenega, ki podatke obdeluje. Priporočljivo je, da podjetja opravijo analizo tveganj in preverijo obstoječe politike podjetja vezane na osebne podatke tako v živo kot na spletu. V nasprotnem primeru lahko podjetja pri kršitvah odgovarjajo na sodišču ali utrpijo globe.
Želite nasvet strokovnjaka ali pa morda ureditev dokumentov? Obiščite Innolegal.