ZVOP-2 in GDPR: Kako pripraviti skladno politiko zasebnosti?
Znanje
• ZVOP-2 • POLITIKA ZASEBNOSTI • ZVOP • GDPR • ISO42001 • SKLADNOST •
Kako pripraviti politiko zasebnosti?
V letu 2026 priprava pravilno usklajene politike zasebnosti ne bo več mogoča brez strokovne pravne pomoči. Dokument mora biti usklajen z vašo politiko informacijske varnosti, notranjimi procesi ter tudi z vašo politiko uporabe umetne inteligence (AI). Poleg tega boste morali imenovati in pri IP-ju prijaviti pooblaščeno osebo za varstvo podatkov (DPO). Zato preprosto kopiranje generičnih predlog ali spletnih besedil ne bo prestalo nobenega inšpekcijskega nadzora.
Uveljavitev ZinfV-1 in ZVOP-2 je v slovenskem prostoru prinesla pomembne spremembe na področju varstva osebnih podatkov, predvsem pa je okrepila obveznosti upravljavcev in obdelovalcev. Podjetja in organizacije so danes pod dvojnim nadzorom: Informacijskega pooblaščenca (IP) ter Urada Vlade Republike Slovenije za informacijsko varnost (URSIV) / Inšpekcije za informacijsko varnost, ki izvaja nadzore po Zakonu o varstvu osebnih podatkov (ZVOP-2) in Zakonu o informacijski varnosti (ZInfV-1).
Čeprav so prve ugotovitve ob nadzorih pogosto blažje in so globe praviloma nizke, pri manjših nepravilnostih pogosto pod 100 evrov, nadzorna organa pričakujeta, da organizacije svoje procese pravočasno izboljšajo in vzpostavijo celovit sistem skladnosti, ki zadeva tako GDPR kot ZVOP-2 in ZInfV-1.
Varnostna politika in politika zasebnosti: obvezni, usklajeni dokumenti
Podjetja pogosto menijo, da je dovolj, če na spletni strani objavijo politiko zasebnosti. V praksi to ne zadošča. ZVOP-2 in GDPR izrecno zahtevata, da organizacija sprejme varnostno politiko, interni dokument, ki določa postopke, zaščitne ukrepe, nadzorne mehanizme, ravnanje s sistemi, dostopi in odgovornostmi.
Oba dokumenta morata biti vsebinsko usklajena, saj politika zasebnosti govori posameznikom, varnostna politika pa opisuje dejanske interne procese in tehnične ukrepe. Neskladje med njima je ena najpogostejših ugotovitev nadzora IP in URSIV.
Ključni elementi, ki jih mora imeti podjetje urejene:
- sprejeta in implementirana varnostna politika, skladna z ZVOP-2 in ZInfV-1
- ažurna politika zasebnosti, ki odraža dejanske prakse organizacije
- evidenca dejavnosti obdelav po členu 30 GDPR
- dokumentirani tehnični in organizacijski ukrepi (TOM)
- ustrezna določitev in morebitna prijava pooblaščene osebe za varstvo podatkov (DPO)
- pogodbe z obdelovalci in pogodbe o skupnih upravljavcih
- interni postopki za pravice posameznikov, obveščanje o incidentih in ravnanje ob kršitvah
Kdo mora imenovati pooblaščeno osebo (DPO)
Splošna uredba (GDPR) in ZVOP-2 določata več kategorij upravljavcev, ki morajo obvezno imenovati pooblaščeno osebo. Mednje sodijo:
- vsi organi javnega sektorja,
- podjetja, ki izvajajo redno in sistematično spremljanje posameznikov,
- organizacije, ki izvajajo obsežno obdelavo posebnih vrst osebnih podatkov,
- upravljavci in obdelovalci, ki obdelujejo podatke v informacijskih sistemih, določenih v 23. členu ZVOP-2, ali obdelujejo osebne podatke več kot 100.000 posameznikov.
Pravilnik dopušča tudi imenovanje skupne pooblaščene osebe, kar je posebej koristno za manjše organizacije ali večje skupine povezanih podjetij.
Naloge pooblaščene osebe: notranji nadzor in strateška funkcija
Pooblaščena oseba za varstvo podatkov deluje kot neodvisni strokovnjak znotraj ali zunaj organizacije. Med njenimi glavnimi nalogami so:
- svetovanje vodstvu in zaposlenim,
- spremljanje skladnosti z zakonodajo,
- izvajanje notranjih pregledov,
- pomoč pri oceni učinkov na varstvo podatkov (DPIA),
- kontakt s nadzornimi organi,
- ozaveščanje in usposabljanje sodelavcev.
Pooblaščena oseba ne sme biti v konfliktu interesov in mora imeti ustrezno strokovno znanje iz področja prava in informacijskih sistemov.
Inšpekcijski postopki: kako potekajo in kaj pričakujejo nadzorniki
V Sloveniji nadzor izvajata dva organa:
- Informacijski pooblaščenec (IP), področje GDPR in ZVOP-2
- Inšpekcija za informacijsko varnost (URSIV), področje informacijske varnosti po ZInfV-1
Prvi nadzor je v večini primerov usmerjen predvsem v ugotavljanje stanja, ne v sankcioniranje. Podjetje praviloma prejme odredbo za odpravo pomanjkljivosti in razumen rok za izboljšave. Globe za manjše kršitve so pogosto pod 100 evrov, a ob ponavljajočih se kršitvah ali ignoriranju zahtev se lahko kazni močno povečajo.
Organi pričakujejo, da podjetje pokaže:
- jasen načrt skladnosti,
- dokumentirane postopke,
- dokaze o usposabljanju zaposlenih,
- nadzor nad obdelovalci,
- sistemski pristop k varnostnim tveganjem.
Zakaj mora biti skladnost celovita in profesionalno izvedena
Zakonodaja predvideva, da organizacije ne skrbijo samo za formalne dokumente, temveč tudi za dejansko izvajanje ukrepov. Fragmentaren pristop (npr. samo politika zasebnosti brez varnostne politike, ali samo imenovan DPO brez procesov) praviloma ne zadostuje pri nadzorih.
Celovita implementacija pomeni:
- usklajene dokumente,
- jasne odgovornosti,
- tehnične ukrepe,
- ozaveščanje zaposlenih,
- stalno posodabljanje dokumentacije in procesov.
Umetna inteligenca je postavila varstvo osebnih podatkov v povsem novo perspektivo. GDPR je sicer “star” zakon, vendar so tveganja, ki nastajajo zaradi uporabe LLM-jev in generativnih modelov, popolnoma nova:
- Kaj se zgodi, ko zaposleni v ChatGPT ali drugo orodje vnesejo osebne ali poslovno občutljive podatke?
- Kdo nosi odgovornost, če tretji AI-model iz podatkov sklepa nekaj, česar organizacija ni predvidela ali odobrila?
- Ali podjetje sploh ve, kje se podatki obdelujejo: v EU, ZDA ali drugje?
- In najtežje vprašanje: ali lahko organizacija dokazljivo pokaže, katere vrste podatkov so bile uporabljene v katerem AI-orodju?
Vse to so vprašanja, ki jih nadzorni organi, IP pri ZVOP-2/GDPR in URSIV pri ZInfV-1, danes vse pogosteje postavljajo.
Uporaba umetne inteligence ne sme ostati prepuščena posameznim zaposlenim ali improvizaciji. Podjetje mora v varnostni politiki natančno določiti:
- katera AI-orodja so dovoljena in pod kakšnimi pogoji,
- katere podatke je dopustno obdelovati (in katere izrecno prepovedano),
- obvezne postopke preverjanja izpisov (točnost, pristranskost, občutljive vsebine),
- lokacijo obdelave podatkov in zahteve glede hrambe,
- odgovornost vodij projektov,
- postopke notranjega nadzora, ter
- obvezno beleženje primerov uporabe AI v poslovnih procesih.
To velja za vse spletne poslovne modele, še posebej pa za hotele, ki obdelujejo velike količine osebnih podatkov gostov, se zanašajo na zunanje IT-ponudnike ter uporabljajo rezervacijske sisteme, kanale prodaje in orodja za avtomatizacijo komunikacije. Kadar imate zunanji ali interni IT-oddelek, helpdesk ali pogodbeno podporo uporabnikom, se odgovornosti dodatno zapletejo in praviloma zahtevajo strokovno pravno podporo. Podjetje mora vzpostaviti jasen, preverljiv in skladen nadzor nad svojimi IT-procesi: vse se začne z ustrezno dokumentirano politiko varnosti, pravilnikom o zaupnosti ter natančno določenimi postopki, ki urejajo delo zunanjih izvajalcev. Poleg tega mora organizacija imenovati osebo, odgovorno za izvajanje teh kontrol, ter jo skladno z zakonodajo prijaviti pri Informacijskem pooblaščencu.
Ponujamo strokovno in skladno pripravo politike zasebnosti ter celotne pravne dokumentacije za varstvo osebnih podatkov. Varstvo zasebnosti je področje, ki zadnja leta prejema veliko pozornosti, vendar pogosto na napačnih mestih. V hitro digitalizirani informacijski družbi predstavlja pravilno upravljanje osebnih podatkov temelj vsake pravno urejene in zaupanja vredne organizacije. Skladnost z GDPR in slovensko zakonodajo zahteva temeljit pregled vaših poslovnih procesov ter jasno opredeljene obveznosti.
Naša ekipa vam pomaga hitro prepoznati ranljivosti v organizaciji, pripraviti vso potrebno pravno dokumentacijo, vključno s politiko zasebnosti, ter izvesti izobraževanja, ki bodo okrepila varnostno kulturo in dolgoročno zaščitila vaše poslovanje.
Spletni obrazec za sporočanje kontaktov pooblaščenih oseb za varstvo osebnih podatkov
Pooblaščena oseba za varstvo podatkov po Splošni uredbi in ZVOP-2
clanke044