Tresla se je gora, rodila se je miš. Ali to drži pri novi uredbi GDPR?
Kot je večini podjetnikov znano, je s 25.5.2018 stopila v veljavo, dve leti prej sprejeta, Uredba (EU) 679/2016 Evropskega parlamenta in sveta o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (v nadaljevanju uredba). Nekje v začetku letošnjega leta ali celo kasneje se je začelo preko medijev in tudi sicer več govoriti o uredbi in njenih posledicah ter zlasti astronomsko visokih kaznih. Po mojih izkušnjah velika večina ljudi (tudi podjetnikov) tedaj sploh ni vedela, »kaj to (uredba) sploh je«. V mesecu aprilu in maju je prišlo do bistveno večjega ozaveščanja glede uredbe in posledic, ki jih bo le-ta nosila in nekako je kazalo, da bo prišlo do »velikega poka« oz. navala podjetij, ki bodo to želela urediti. Pa ni. In zakaj je tako?
Kar nekaj ljudi, celo strokovnjakov na področju računalništva in prava je trdila, da se bo ponovila zgodba s piškotki (t.i. cookies), kjer se je tresla gora in na koncu zgodilo nič. Danes večina, če ne skoraj vsi, nimamo ustrezno urejenih piškotkov in zgodovina se ponavlja pri uredbi glede varovanja osebnih podatkov. Komu gre pripisati odgovornost in ali se bo res ponovila zgodovina?
Prvi ter največji razlog gre gotovo pripisati naši prelepi državi, ki ni sprejela in implementirala novega Zakona o varstvu osebnih podatkov, t.i. ZVOP-2, ki naj bi dodatno uredil določene zadeve vezane na uredbo. Večina, vključno z informacijskih pooblaščencem, očitno meni, da je za kaznovanje in delo potreben ta novi zakon. Država zakona ni sprejela, kar je napaka št. 1, ker so bile pač volitve in se nihče od politikov ne obremenjuje z upoštevanjem EU zakonodaje in drugič je sam informacijski pooblaščenec (IP) nakazal/povedal v neki od izjav, da kaznovanja ne bo, dokler ne bo sprejet ZVOP-2. Po mojih informacijah IP dela kontrole in nadzor skladno z ZVOP-1, torej ne po novi uredbi in ne po novem zakonu, ki ga seveda ni, ampak po starem in s« starimi kaznimi«. Sam sem mnenja, da tak pristop ni samo napačen, ampak tudi precej verjetno pravno sporen. Uredba namreč velja neposredno in omogoča kaznovanje preko rednega sodnega sistema že sedaj. Zakaj se tega IP ne poslužuje, je vprašanje zanj.
Ne glede na navedeno pa sem globoko prepričan, da se tokrat »ne bo rodila miš« in bo prišlo do strogega nadzora tega področja. Kljub temu, da verjetno 70 % ali celo 80 % podjetji, po moji oceni, še nima urejenega poslovanja podjetja skladno z GDPR menim, da bo slej ko prej, vsako podjetje to moralo imeti urejeno. Seveda bo ključno vlogo morala odigrati država z nadzorom in represijo. GDPR je prihodnost, saj razvoj interneta in tehnologije napredujeta s svetlobno hitrostjo in če se ne bo država hitro zganila pri varovanju naših osebnih podatkov se nam vsem slabo piše…