SloveniaEnglish

+386 (0) 8 20 59 630

tajnistvo@cukrov.eu

Odvetniška pisarna

Linhartova cesta 3, 1000 Ljubljana

Irena Vujasinovič

Irena Vujasinovič

Irena Vujasinovič je magistra prava, ki je magistrirala na  Pravni fakulteti Univerze v Ljubljani. Hkrati zaključuje tudi magistrski študij na Ekonomski fakulteti Univerze v Ljubljani.

Deluje na področju finančnega prava, predvsem pri projektih, financiranih s strani EU, ter pri investicijskih pogodbah. Je tudi strokovnjakinja za skrbne preglede, zagotavljanje skladnosti poslovanja, priprave gospodarskih pogodb in  statusno gospodarske zadeve. Področje skrbnih pregledov je dejavnost, pomembna za naše stranke, saj pred pripravo letnih poročil, prodaje oziroma nakupa določenega podjetja oziroma dela podjetja, ter pri preverjanju odgovornosti organov upravljanja in nadzora omogoča strokovno ter objektivno podlago za odločitev. 

NOVOSTI, KI JIH V SLOVENSKI PRAVNI RED VNAŠA PREDLOG ZAKONA O SPREMEMBAH IN DOPOLNITVAH ZAKONA O DAVKU NA DODANO VREDNOST[1]

vir fotografije: https://www.expatica.com/be/finance/taxes/belgian-tax-guide-understanding-taxes-in-belgium-for-foreigners-100073/

Zakon o davku na dodano vrednost (Uradni list RS, št. 13/11 – uradno prečiščeno besedilo, 18/11, 78/11, 38/12, 83/12, 46/13 – ZIPRS1314-A, 101/13 – ZIPRS1415, 86/14, 90/15 in 77/18; v nadaljnjem besedilu: ZDDV-1),[2] ureja sistem obdavčevanja dobav blaga in storitev z davkom na dodano vrednost (v nadaljnjem besedilu: DDV) skladno z zakonodajo Evropske unije (v nadaljnjem besedilu: EU).

Trenutno je v podpisu na Vladi Republike Slovenije predlog Zakona o spremembah in dopolnitvah Zakona o davku na dodano vrednost (v nadaljnjem besedilu: Predlog zakona), katerega cilj je uveljavitev  poenostavljene in poenotene prakse med državami članicami pri obdavčevanju v specifičnih transakcijah, omejitev možnost zlorab in izogibanja plačilu DDV pri dobavah med državami članicam ter uskladitev ZDDV-1 s sledečimi direktivami:

  • Direktiva 2018/1910/EU glede posebne ureditve skladiščenja na odpoklic in zaporednih dobav,
  • Direktiva 2019/475/EU glede vključitve italijanske občine Campione d’Italia in italijanskih voda Luganskega jezera v območje Unije v ozemeljsko uporabo Direktive 2008/118/ES in
  • Direktiva 2018/1713/EU v zvezi z uveljavitvijo možnosti uporabe nižje stopnje DDV za elektronske dobave publikacij.

Poleg nekaj redakcijskih popravkov ZDDV-1[3], predlog zakona uvaja še kar nekaj, v nadaljevanju besedila, navedenih sprememb.

  1. PRENOVITEV KAZENSKIH DOLOČB

V luči zagotavljanja načela enakopravne obravnave davčnih zavezancev – storilcev davčnih prekrškov in njihovih odgovornih oseb po različnih davčnih predpisih, povečanja njihove pravne varnosti ter omejevanja diskrecijske pravice davčnega organa, predlog zakona prenavlja kazenske določbe. Predlog zakona določa kriterije, kdaj se šteje, da je narava prekrška posebej huda in kako se upošteva prikrajšan DDV pri določitvi globe ter zahteva sorazmernost dejanske višine izrečene globe s težo prekrška in njeno primerljivost med različnimi davki. Sledeč predlogu zakona se ob upoštevanju zagroženih glob po zakonu, ki ureja davčni postopek, upoštevajo tudi utemeljene posebnosti kaznovalne politike pri posamezni vrsti obdavčitve.

Večjo sorazmernost zagroženih glob z ekonomsko močjo posameznega zavezanca in težo posledic posameznega prekrška, predlog zagotavlja z na novo določenimi razponi zagroženih glob za prekrške, ki se določajo glede na pravno organizacijsko obliko zavezanca in njegovo velikost. Na novo so določene tudi globe za posameznike, ki storijo prekršek po tem zakonu, vendar niso registrirani kot osebe, ki opravljajo dejavnost,[4] s čimer se zagotovi enakopravnejša obravnava davčnih zavezancev pri sankcioniranju davčnih prekrškov ne glede na to, s katerim zakonom o obdavčevanju je sankcija predpisana.[5]

Predlog zakona podrobneje določa opredelitev prekrškov, za katere se lahko opusti pregon, če zavezanec na podlagi samoprijave predloži davčni obračun po izteku roka ali naknadno popravi napake v že oddanem obračunu.[6]

Predlagana sprememba ZDDV-1 omogoča, da se lahko tudi v hitrem postopku storilcu prekrška izreče globa v znesku, ki je višji od najnižje zagrožene globe po tem zakonu, pri čemer se sledi splošni ureditvi po zakonu, ki ureja prekrške.[7] Tako predlog omogoči, da se pri izrekanju glob lahko upošteva tudi teža prekrška v smislu višine neplačanega DDV ali druge oteževalne okoliščine storitve prekrška. Predlog zakona črta posebni zastaralni rok za posebno hude davčne prekrške iz 141. člena v povezavi s 142. členom ZDDV-1. Upoštevaje sistemsko ureditev zastaranja, kot je določena z Zakonom o spremembah in dopolnitvah Zakona o prekrških – ZP-1H (Uradni list RS, št. 21/13), bodo za vse prekrške po tem zakonu tako sedaj veljali splošni in posebni zastaralni roki iz 42. člena Zakona o prekrških (Uradni list RS, št. 29/11 – uradno prečiščeno besedilo, 21/13, 111/13, 74/14 – odl. US, 92/14 – odl. US, 32/16 in 15/17 – odl. US).[8]

  1. NIŽJA STOPNJA DDV ZA ELEKTRONSKO DOBAVLJENE PUBLIKACIJE

Skladno s sedanjo ureditvijo po ZDDV-1 so vse elektronsko opravljene storitve obdavčene po splošni stopnji DDV. Predlog zakona uvaja nižjo stopnjo DDV za elektronsko dobavljene publikacije ter tako za elektronsko dobavljene publikacije, ki nudijo enako bralno vsebino, določa stopnjo DDV, ki je ista kot stopnja DDV, ki se uporablja za publikacije na fizičnih nosilcih. Nadaljnje se uvaja tudi dodatni zakonski pogoj, da publikacije, ki jih v celoti ali v pretežnem delu tvorijo video ali avdio glasbene vsebine, ne sodijo med publikacije, za katere se uporablja nižja stopnja DDV, ne glede na to, ali so le-te dobavljene na fizičnih nosilcih ali elektronsko.[9]

  1. OBVEZNOST POPRAVKA ODBITKA DDV PRI URADNO DOKAZANIH TATVINAH

Skladno s sedanjo ureditvijo po ZDDV-1 je moral zavezanec v primeru tatvine blaga (premoženja) popraviti (zmanjšati) prej uveljavljen odbitek DDV in s tem nosi breme plačila DDV od tega blaga. Predlog zakona pa v primeru dokazane tatvine premoženja določa, da zavezancu ni treba opraviti popravka odbitka DDV.[10]

  1. IDENTIFIKACIJSKA ŠTEVILKA ZA DDV PRIDOBITELJA BLAGA KOT VSEBINSKI POGOJ ZA UVELJAVITEV OPROSTITVE PRI DOBAVI BLAGA V TRGOVANJU ZNOTRAJ EU

Identifikacijska številka za DDV, ki je bistvenega pomena  pri trgovanju znotraj EU za obveščanje države članice prihoda o tem, da se blago nahaja na njenem ozemlju in je tudi ključni element v boju proti goljufijam v EU, po sedanjih pravilih šteje zgolj kot formalni pogoj za oprostitev dobave blaga v drugo državo članico. Z namenom, da bo identifikacijska številka za DDV pridobitelja blaga, poleg pogoja prevoza blaga iz države članice dobave, vsebinski pogoj za uporabo oprostitve plačila DDV pri dobavi blaga v drugo državo članico, se v slovensko zakonodajo vnašajo dodatni pogoji za oprostitev dobave blaga v drugo državo članico, in sicer se določa, da mora pridobitelj blaga dobavitelju sporočiti svojo identifikacijsko številko za DDV.[11] Za oprostitev dobave blaga v drugo državo članico je dodan tudi pogoj, da mora dobavitelj  popolne in pravilne podatke o prejemniku vključiti v svoje rekapitulacijsko poročilo[12][13].

  1. DOPOLNITEV OBVEZNOSTI POROČANJA PRIDOBITVE NOVIH IN RABLJENIH PREVOZNIH SREDSTEV IZ DRUGE DRŽAVE ČLANICE

Pridobitev prevoznega sredstva iz druge države članice je treba v elektronski obliki prijaviti davčnemu organu v 15 dneh od dneva pridobitve.[14]

  1. DOLOČITEV KATERA DOBAVA, V PRIMERU ZAPOREDNIH DOBAV BLAGA MED DRŽAVAMI ČLANICAMI, SE LAHKO OBRAVNAVA KOT OPROŠČENA DOBAVA

Zaradi trenutne nejasnosti in negotovosti v trgovanju med državami članicami se, s predlogom zakona, v slovenski pravni red vnaša enotno pravilo obdavčevanja prometa blaga med državami članicami (ki bo veljalo za vse države članice) v primeru, ko je isto blago predmet več zaporednih dobav, a le enkrat prepeljano iz ene države članice v drugo državo članico.[15] Pri tem želim opozoriti, da ta določba ne velja za tristranske posle.[16]

Skladno s sodno prakso Sodišča EU[17] velja, da se lahko oprostitev plačila DDV zaradi dobave blaga v drugo državo članico, uveljavi le enkrat in le pri eni dobavi v verigi. Samo ta ena dobava se torej lahko obravnava kot oproščena dobava, vse preostale dobave se za namene določitve kraja obdavčitve obravnavajo kot dobave brez prevoza.  Predlog zakona določa, da se bo pravica do oprostitve plačila DDV zaradi dobave blaga v drugo državo članico upoštevala praviloma pri transakciji, ki jo dobavitelj opravi prvemu vmesnemu subjektu (prvi pogodbeni partner). Ostale dobave se bodo obravnavale kot dobave blaga brez prevoza in bodo opredeljene kot domače dobave (v državi članici odhoda blaga ali v državi članici prihoda blaga). Izjemo od tega pravila predlog določa v primeru, če vmesni subjekt svojemu dobavitelju predloži DDV identifikacijsko številko države, iz katere se blago odpošilja.[18]

  1. OBVEZNOST POROČANJA GLEDE OPRAVLJENIH DOBAV BLAGA NA DALJAVO V DRUGE DRŽAVE ČLANICE

Obveznost poročanja za davčne zavezance, ki opravljajo dobave blaga na daljavo[19] v določenih primerih,[20] sicer ni novost,[21] vendar pa bo po novem njeno neizpolnjevanje opredeljeno kot prekršek.[22]  Z navedeno spremembo želi predlog zakona zagotoviti učinkovito upravno sodelovanje med državami članicami pri preprečevanju zlorab in izogibanja plačilu DDV pri tovrstnih dobavah.

  1. POSEBNA UREDITEV SKLADIŠČENJA NA ODPOKLIC

Trenutno prihaja do različnih praks med državami članicami v primeru skladiščenja na odpoklic, če se blago prenese iz ene države članice v skladišče v drugo državo članico z namenom, da bo pozneje to blago dobavljeno prejemniku v tej državi članici. Predlog uvaja enotno rešitev, da se davčnemu zavezancu – dobavitelju omogoči, da se sam prenos blaga v skladišče v drugi državi članici ne šteje za dobavo, ampak se šteje, da je dobava opravljena šele takrat, ko je dobava prejemniku blaga dejansko opravljena.[23] Z navedenim se uskladi čas dobave in čas pridobitve blaga, olajša se nadzor tako v državi članici dobave kot v državi članici pridobitve in odloži morebiten nastanek davčne obveznosti na čas, ko je dobava blaga dejansko opravljena ter zmanjša administrativno breme pri čezmejnem poslovanju znotraj Unije.[24]

  1. SPREMEMBE POLOŽAJA ITALIJANSKE OBČINE CAMPIONE D’ITALIA IN ITALIJANSKIH VODA LUGANSKEGA JEZERA V RAZMERJU DO UNIJE

Predlog zakona po novem šteje italijansko občino Campione d’Italia in italijanske vode Luganskega jezera, v carinsko območje Unije in v ozemeljsko uporabo Direktive 2008/118/ES. [25]

[1] Besedilo povzema pomembnejše poudarke, ki jih vsebuje Predlog Zakona o spremembah in dopolnitvah Zakona o davku na dodano vrednost, EVA 2019-1611-0004. [2] Zakon o davku na dodano vrednost je bil nazadnje spremenjen z Zakonom o spremembah in dopolnitvah Zakona o davku na dodano vrednost – ZDDV-1J (Uradni list RS, št. 77/18), ki se uporablja od 1. januarja 2019. [3] 7., 8., in 12. člen predloga zakona. [4] S tem se razponi glob poenotijo s tistimi, ki so uveljavljene v zakonu, ki ureja davčni postopek. [5] 13., 14. in 16. člen predloga zakona; spremenjeni 140., 141. in 142. člen ZDDV-1. [6] 15. člen predloga zakona; sprememba 141.a člena ZDDV-1. [7] 17. člen predloga zakona; sprememba 143. člena ZDDV-1. [8] 18. člen predloga zakona; sprememba 144. člena ZDDV-1. [9] 19. člen predloga zakona; sprememba šeste točke Priloge I k ZDDV-1. [10] 6. člen predloga zakona; sprememba 68. člena ZDDV-1. [11] Pridobitelj mora biti identificiran za namene DDV v državi članici, ki ni država članica, v kateri se odpošiljanje ali prevoz blaga začne. [12] Če dobavitelj te obveznosti ne izpolni ter podatkov v rekapitulacijsko poročilo ne vključi, se zanj uveljavljanje oprostitve ne sme uporabiti, razen če dobavitelj ravna v dobri veri, pred pristojnim davčnim organom predloži opravičljive razloge in hkrati odpravi npako. [13] 5. člen predloga zakona; sprememba 46. člena ZDDV-1. [14] 11. člen predloga zakona; novi 93. a člen ZDDV-1. [15] 4. člen predloga zakona; novi 20.a člen ZDDV-1. [16] Pri tristranskih poslih gre za verižne posle, v katerih sodelujejo tri osebe, identificirane za namene DDV, vsaka v svoji državi članici in kot tristranska dobava v verigi se šteje le dobava, ki jo opravi pridobitelj iz druge države članice prejemniku blaga v tretjo državo članico. [17] Sodba v zadevi Emag Handel, C-245/04 z dne 6. 4. 2006. [18] Kot določa Predlog Zakona o spremembah in dopolnitvah Zakona o davku na dodano vrednost, EVA 2019-1611-0004, na str. 14, bo v tem primeru prva dobava obravnavana kot dobava brez prevoza v državi članici, kjer se blago nahaja, ko se pošiljanje začne, druga dobava končnemu prejemniku pa se obravnava kot dobava blaga s prevozom. S tem se zagotovi, da se oprostitev plačila davka za dobavo blaga v drugo državo članico lahko uveljavi le enkrat. [19] Predlog Zakona o spremembah in dopolnitvah Zakona o davku na dodano vrednost, EVA 2019-1611-0004 na str. 32 dobavo blaga na daljavo opredeli kot dobavo blaga v druge države članice, pri katerih se v skladu z 20. členom ZDDV-1 šteje, da je kraj opravljene dobave tam, kjer se odpošiljanje oziroma prevoz konča. [20] Predlog Zakona o spremembah in dopolnitvah Zakona o davku na dodano vrednost, EVA 2019-1611-0004 na str. 32 opredeli te primere kot sledi. Ko presežejo vrednosti limit, nad katerim se šteje, da je kraj opravljanja teh dobav v drugi državi članici, in v primerih, ko vrednostni limit v drugi državi članici za te dobave ni presežen, pa se davčni zavezanec prostovoljno odloči za identifikacijo in izpolnjevanje davčnih obveznosti v tej drugi državi članici. [21] Pri tem glej sedanjo določbo 135. člena Pravilnika o izvajanju Zakona o davku na dodano vrednost. [22] 3. člen predloga zakona; spremenjeni 20. člen ZDDV-1. [23] 2. člen predloga zakona; nov 9.a člen ZDDV-1. [24] Po novem se dobavitelju, ki skladišči blago v drugi državi članici, v tej državi članici ne bo treba identificirati za namene DDV, ko bo opravil dobavo blaga iz skladišča prejemniku blaga. [25] 1. člen predloga zakona; spremenjeni 1. člen ZDDV-1

mag. Irena Vujasinovič: Kaj nam prinaša novi Zakon o varstvu osebnih podatkov?[1]                 

Pospešen nenadzorovan pretok informacij o posameznikih, ki ga omogoča razvoj tehnologije, zahteva okrepitev pravic posameznikov ter enotno in usklajeno ukrepanje v vseh državah članicah, kar omogoča enoten predpis, ki na ravni celotne EU zasleduje visoko raven varstva osebnih podatkov, t.i. Splošna uredba EU o varstvu podatkov (v nadaljevanju: Splošna uredba).[2] Omenjena obvezujoča uredba, ki se neposredno uporablja v vseh državah članicah, posameznikom omogoča več nadzora nad njihovimi osebnimi podatki. V praksi se trenutno pojavljajo nezakonite metode spletnega oglaševanja v nasprotju s Splošno uredbo. Prihaja namreč do obsežnih zlorab podatkov s strani podjetij, ki uporabljajo vedenjsko oglaševanje, s čimer grobo kršijo določila Splošne uredbe.[3] Predlog Posodobljenega nacionalnega zakona o varstvu osebnih podatkov (ZVOP-2), ki je trenutno še v medresorskem usklajevanju in na Službi Vlade Republike Slovenije za zakonodajo, v sladu s Splošno uredbo, v slovenski pravni red prinaša višjo raven varstva osebnih podatkov. Posodobljen predpis s svojimi določbami natančneje konkretizira ter razširi in dopolni oz. dodatno uredi določena področja, ki jih Splošna uredba ne ureja (tu velja omeniti neposredno trženje ter videonadzor) oz. jih prepušča v urejanje lokalni zakonodaji (denimo do katere starosti otroka so starši odgovorni za njegovo privolitev), pri čemer pa mora paziti, da ureja le tista področja, kjer Splošna uredba to dovoljuje ter da ne posega v minimum, ki ga le ta predpisuje. Sprva želimo opozoriti na 7. člen Predlaganega predpisa, ki določa temeljna načela varstva osebnih podatkov. Tako se osebni podatki obdelujejo zakonito, tako da so v skladu s pravnimi podlagami za njihovo konkretno obdelavo, ter da se obdelujejo pošteno in na pregleden način za posameznika. Tako se lahko posamezniki svobodno odločijo, ali bodo sodelovali pri obdelavi njihovih osebnih podatkov oziroma da lahko temu zakonito in učinkovito ugovarjajo. Osebni podatki se lahko zbirajo zgolj za določene, izrecne in zakonite namene ter se ne smejo nadalje obdelovati na način, ki ni združljiv s temi nameni. Morajo biti točni, ter, kadar je to potrebno, posodobljeni. Sprejeti je treba vse razumne ukrepe za zagotovitev, da se netočni osebni podatki brez odlašanja izbrišejo ali popravijo ob upoštevanju namenov, za katere se obdelujejo. Potrebno je omejiti njihov rok hrambe. Hranijo se lahko v obliki, ki dopušča identifikacijo posameznikov, na katere se nanašajo osebni podatki, le toliko časa, kolikor je potrebno za namene, za katere se osebni podatki obdelujejo, razen če je z zakonom določen drug rok hrambe. Pomembno je, da se osebni podatki obdelujejo na način, ki zagotavlja ustrezno varnost osebnih podatkov, vključno z zaščito pred nedovoljeno ali nezakonito obdelavo, pred nenamerno izgubo, uničenjem, poškodbo ali izgubo razpoložljivosti, z ustreznimi tehničnimi ali organizacijskimi ukrepi. Novi zakon, katerega določbe se osredotočajo na zagotavljanje višje ravni varstva osebnih podatkov[4], prinaša kar nekaj novot. Pomembnejše ter bolj opazne bodo na kratko opredeljene v nadaljevanju besedila.

  1. Predlagani predpis krepi položaj prekrškovnega in nadzorstvenega organa za varstvo osebnih podatkov, tj. informacijskega pooblaščenca[5]
  2. Predlagani predpis uvaja novi subjekt na področju varstva osebnih podatkov pooblaščene osebe za varstvo podatkov (»Data Protection Officers«, v nadaljevanju: DPO),[6] katerega vloga je nadzorno-svetovalne narave.[7] Imenovanje pooblaščene osebe se zahteva zgolj za upravljavce in obdelovalce v javnem sektorju (obdelave se tu izvajajo neodvisno od privolitve posameznika), ter za tiste upravljavce iz zasebnega sektorja, ki izvajajo bolj tvegane obdelave osebnih podatkov.[8] DPO upravljavcu ali obdelovalcu zgolj pomaga zagotavljati skladnost njegovih obdelav osebnih podatkov z določbami Splošne uredbe. Obveznost zagotavljanja skladnosti obdelave osebnih podatkov z določbami Splošne uredbe, Direktive, ZVOP-2, področnih zakonov tako ostaja na upravljavcu oziroma obdelovalcu, oziroma se ta odgovornosti za kršitve skladnosti ne more rešiti s sklicevanjem na neustrezno delo pooblaščene osebe.
  3. Predlog predpisa v primeru kršitve varnosti osebnih podatkov določa obveznost upravljavca, da (informacijskega pooblaščenca oz. posameznika) obvesti o kršitvi.[9] Pri tem je potrebno paziti na elektronske oz. telefonske goljufije, ki lahko pod krinko upravljavca, ki mora v primeru velikega tveganja za kršitev človekovih pravic zaradi kršitve varstva osebnih podatkov obvestiti tudi posameznika, vzpostavijo kontakt in izkoristijo nepozorne uporabnike.[10]
  4. Predlog ureja tudi okrepljeno obveznost obdelovalcev in upravljavcev.[11] Odgovornost upravljavca[12] ureja določba 14. člena,[13] ki sloni na premisi, da lahko le dobro informiran posameznik ustrezno zavaruje svoj pravice skozi postopke pred upravljavcem, Informacijskim pooblaščencem oziroma pred sodišči. Upravljavec mora sprejeti vse zakonsko določene ustrezne ukrepe, da posamezniku olajša uveljavljanje njegovih pravic.[14]

Upravljavec mora ves čas izvajanja obdelav skrbeti za skladnost teh obdelav s pravili Splošne uredbe ter le to izvajanje tudi ustrezno dokumentirati. Upravljavec mora v ta namen v svojih internih aktih[15] po novem določiti postopke in ukrepe za zagotovitev skladnosti (le-to je tako urejeno drugače kot je to urejal drugi odstavek 25. člena oz. drugi odstavek 11. člena ZVOP-1). V skladu z usmeritvijo Splošne uredbe veljajo vse navedene obveznosti tudi za obdelovalce osebnih podatkov.[16] Upravljavec in obdelovalec morata biti vedno zmožna dokazati skladnost svojih obdelav osebnih podatkov z naštetimi določbami in morata skladno s tem voditi predpisano dokumentacijo (7. člen). Predlagani 30. člen določa odgovornost za skladnost obdelav osebnih podatkov, upravljavec pa mora biti sposoben dokazati, da obdelava poteka v skladu s Splošno uredbo, tem predpisom in drugimi relevantnimi predpisi. Navedeno dokazuje z vodenjem ustrezne dokumentacije glede izvajanja obveznosti, pa tudi s seznanitvijo zaposlenih s pravno ureditvijo varstva osebnih podatkov – vključno s podpisanimi izjavami zaposlenih glede seznanitve.[17] Upravljavec mora po novem že pri snovanju novih obdelav preveriti, katere podatke resnično potrebuje za učinkovito izvajanje posamezne obdelave, ter potem te obdelave zasnovati tako, da ne zahtevajo zbiranja dodatnih podatkov (vgrajeno varstvo osebnih podatkov). Obenem mora upravljavec svoje obdelave v čim večji meri zasnovati tudi tako, da v vsakem posamičnem primeru pridobijo in obdelajo samo podatke, ki so potrebni za konkretni primer.[18] Informacijskega pooblaščenca ne bo več potrebno vnaprej obveščati o vzpostavitvi novih zbirk osebnih podatkov oziroma spremembah obstoječih zbirk. Predvidena je le še obveznost vodenja evidence dejavnosti obdelav,[19] pa še to zgolj za večje upravljavce (z vsaj 250 zaposlenimi) oziroma upravljavce, ki redno izvajajo tvegane obdelave. Obvezna vsebina evidence je zdaj bistveno ožja kot prej, saj vsebuje le še 7 točk namesto prejšnjih 13, pri čemer gre pri vseh za že obstoječe kategorije, kar bo omogočalo migracijo obstoječih katalogov zbirk osebnih podatkov v novo evidenco. Namen evidence je zlasti pomagati pri dokazovanju skladnosti obdelav (29. člen ZVOP-2) v morebitnih kasnejših postopkih nadzora s strani Informacijskega pooblaščenca, prav tako pa ostaja koristna tako za lasten pregled dejavnosti obdelave osebnih podatkov, kot tudi za obravnavo zahtev posameznikov za pridobitev lastnih osebnih podatkov (15. člen ZVOP-2).[20]

  1. Predlog predpisa v 115. členu povsem na novo ureja izvajanje videonadzora na javnih površinah.[21]
  2. Aktualen predlog ZVOP-2 določa pravne podlage za obdelavo osebnih podatkov, pri čemer ločuje pravno podlago za obdelavo osebnih podatkov v javnem sektorju (8. člen)[22] in pravno podlago za obdelavo osebnih podatkov v zasebnem sektorju (9. člen). [23]
  3. Zbiranje osebnih podatkov[24] je možno pridobiti tudi na podlagi privolitve posameznika, ki je v Predlogu predpisa urejena drugače od izvirno zapisane v Splošni uredbi.
  4. Dvanajsta točka 6. odstavka po predlagani ureditvi, drugače kot dosedanji institut zavarovanja osebnih podatkov, določa kršitev varnosti osebnih podatkov kot »kršitev varnosti, ki povzroči nenamerno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani«.
  5. Na predloge prakse je v ZVOP-2 vrnjeno neposredno trženje, četudi je z vidika Splošne uredbe morda nekoliko sporno – stališče, da je bolje regulirati, kot prepustiti nejasni praksi, ki lahko področje čisto odpre ali pa pride do (možnih) določenih prepoved. Upravljavec lahko uporablja osebne podatke posameznikov, na katere se nanašajo osebni podatki, ki jih je zbral iz javno dostopnih virov ali v okviru zakonitega opravljanja dejavnosti (v nadaljnjem besedilu: neposredno trženje), tudi za namene ponujanja blaga, storitev, zaposlitev ali začasnega opravljanja del z uporabo poštnih storitev, telefonskih klicev, elektronske pošte ali drugih elektronskih komunikacijskih sredstev v skladu z določbami tega poglavja, če drug zakon ne določa drugače. Pri čemer mora upravljavec posamezniku ob izvajanju neposrednega trženja jasno in ločeno od katerihkoli drugih informacij obvestiti z zakonsko določenimi informacijami.[25]

Predlagani XII. del ZVOP-2 ureja prehodne in končne določbe. Prehodne določbe so zlasti pomembne z vidika pozitivnih vplivov na gospodarstvo, lokalno samoupravo in javne zavode. Tako  prvi in drugi odstavek 149. člena določata začasno prilagoditveno obdobje (časovno zamejeno obdobje) za upravljavce in obdelovalce – glede na novote iz Splošne uredbe in ZVOP-2, kar v primeru, če izvajajo (so vsaj začeli) postopne prilagoditve Splošni uredbi in določbam tega zakona – to onemogoča začasno nastanek kaznivosti za prekrške po določbah Splošne uredbe ali ZVOP-2, ne omogoča pa nadzorov Informacijskega pooblaščenca.[26] V predstavljenem besedilu smo predstavili le majhen del sprememb, ki jih v naš pravni red vnaša novi Zakon o varstvu osebnih podatkov. Le čas bo pokazal ali predlagane zakonske določbe ZVOP-2 ustrezno varujejo pravice posameznikov do varstva zasebnosti ter interese gospodarstva in ali bo v praksi ustrezno izvedljiv na način, da bo kar najbolj primerno zagotavljal varnost osebnih podatkov posameznikov. Menimo, da je naslednji pomembni korak k večjemu varstvu osebnih podatkov sprejetje t.i. e-Privacy Uredbe,[27] ki bo uskladila sistem piškotkov na spletnih straneh, ki obdelujejo osebne podatke, ki je trenutno zastarel in celo neskladen s Splošno uredbo. Trenutno namreč spletne strani »silijo« v uporabo piškotkov (ne dopuščajo zahtevane izrecne privolitve posameznika). [1] Besedilo povzema podatke pridobljene na naslovu: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/najpogostejsa-vprasanja-in-odgovori/ ter pomembnejše poudarke, ki jih vsebuje Predlog Zakona o varstvu osebnih podatkov z dne 6.3.2019, ki ga je izdala Vlada Republike Slovenije. [2] UREDBA (EU) 2016/679 EVROPSKEGA PARLAMENTA IN SVETA z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov), ki določa nova pravila glede varstva osebnih podatkov ter jo s kratico označujemo kot GDPR (General Data Protection Regulation). [3] Navedeno je sprožilo pritožbe že v devetih državah EU, med drugim tudi v Sloveniji. [4] Predlog predpisa omogoča večje število pravic posameznikov kar se kaže predvsem v pravici do prenosljivosti osebnih podatkov, pravici od izbrisa oz. pravici do pozabe ter pravici do seznanitve z lastnimi osebnimi podatki. Za postopke seznanitve z lastnimi osebnimi podatki se bodo delno (poenostavljeno) uporabljale določbe Zakona o splošnem upravnem postopku, kolikor gre za subjekte javnega sektorja, ki odločajo (delujejo) po pravilih splošnega upravnega postopka. Izbris osebnih podatkov (6. točka tretjega odstavka 6. člena) pomeni trajno odstranitev  ali uničenje  osebnega podatka, tako da ga več ni mogoče obnoviti, pri tem pa je zaradi zagotavljanja sledljivosti obdelave osebnih podatkov (sedmi odstavek 40. člena ZVOP-2) dopustno zabeležiti zaznamek, da je bil v zvezi osebnimi podatki določenega posameznika izveden izbris, pri čemer pa zaznamek ne sme vsebovati podatkov, ki bi omogočali obnovo izbrisanega podatka. [5] Prvi odstavek 63. člena Predloga ZVOP-2: »Informacijski pooblaščenec samostojno in neodvisno izvaja inšpekcijski nadzor nad izvajanjem Splošne uredbe, tega zakona in drugih zakonov, ki urejajo varstvo, obdelavo oziroma prenos osebnih podatkov iz Republike Slovenije, ter opravlja druge naloge ali pooblastila, ki jih določajo ti predpisi.« [6] 46. člen: »Pooblaščena oseba za varstvo osebnih podatkov (v nadaljnjem besedilu: pooblaščena oseba) je oseba, ki upravljavcu ali obdelovalcu na neodvisen način pomaga pri zagotovitvi skladnosti obdelave s Splošno uredbo, tem zakonom in drugimi zakoni, ki urejajo obdelavo in varstvo osebnih podatkov.« [7] . Pogoji za določitev DPO so zapisani v 48. členu (pri čemer se za javni sektor zahtevajo še dodatni pogoji), vendar pa se postavlja vprašanje ali so dovolj določni. Pri tem opozarjamo tudi na peti odstavek 52. člena, ki določa, da se pooblaščeni osebi »delovno razmerje ne sme odpovedati za čas njene določitve in še eno leto po prenehanju določitve, če ravna v skladu z zakonom, kolektivno pogodbo in pogodbo o zaposlitvi, razen če v primeru poslovnega razloga odkloni ponujeno ustrezno zaposlitev pri delodajalcu ali če gre za odpoved pogodbe o zaposlitvi v postopku prenehanja delodajalca.«, ki sproža določena delovnopravna vprašanja ter kakšen bo potek v primeru imenovanja zunanjih pooblaščenih oseb. [8] Pri tem glej 47. člen Predloga predpisa. [9] Prvi odstavek 36. člena: »V primeru kršitve varnosti osebnih podatkov upravljavec brez nepotrebnega odlašanja, po možnosti pa najpozneje v 72 urah po seznanitvi s kršitvijo, o njej v skladu s 33. členom Splošne uredbe uradno obvesti Informacijskega pooblaščenca, razen če ni verjetno, da bi bile s kršitvijo varstva osebnih podatkov ogrožene človekove pravice in temeljne svoboščine posameznikov.« Prvi odstavek 37. člena: »Kadar je verjetno, da kršitev varstva osebnih podatkov povzroči veliko tveganje za pravice in svoboščine posameznikov(npr. posledično lahko nastopi fizično, premoženjsko ali nepremoženjsko škodo kot so npr. okrnitev ugleda, diskriminacija, kraja identitete ali goljufija), upravljavec brez nepotrebnega odlašanja v skladu z drugim odstavkom 34. člena Splošne uredbe sporoči posamezniku, na katerega se nanašajo osebni podatki, da je prišlo do kršitve varstva osebnih podatkov.« »Namen tega instituta je, da se čim prej zavarujejo temeljne človekove pravice. Torej je ključni dejavnik, kdaj vas upravljavci morajo obvestiti, da je prišlo do kršitve, če bi ta verjetno povzročila veliko tveganje za vaše pravice in svoboščine. To tveganje obstaja, kadar bi lahko kršitev varnosti povzročila fizično, premoženjsko ali nepremoženjsko škodo. Nekateri primeri take škode so diskriminacija, kraja identitete ali goljufija, finančna izguba in okrnitev ugleda.« [10] Pod krinko tako lahko pridobijo podatke o kartici posameznika, prihaja do kraj gesla ipd. [11] Sedma in osma točka 6. člena: »upravljavec« pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave; kadar namene in sredstva obdelave določa pravo Evropske unije ali pravo države članice, se lahko upravljavec ali posebna merila za njegovo imenovanje določijo s pravom Evropske unije ali pravom države članice; »Obdelovalec« pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca. [12] Upravljavec mora zagotavljati pregledne in lahko dostopne informacije ter izvajati ustrezne varnostne ukrepe in obveščati o kršitvah varstva osebnih podatkov. [13] »(1) Upravljavec sprejme ustrezne ukrepe, s katerimi zagotovi posamezniku, na katerega se nanašajo osebni podatki, da lahko učinkovito uveljavlja pravice iz Splošne uredbe, tako da so informacije zagotovljene v jedrnati, pregledni, razumljivi in lahko dostopni obliki ter v jasnem in preprostem jeziku. (2) Upravljavec posamezniku, na katerega se nanašajo osebni podatki, olajša pridobitev informacij oziroma sporočil iz prejšnjega odstavka. Če je mogoče, upravljavec na svoji spletni strani v ta namen objavi navodila ter obrazce za uveljavljanje posameznih pravic po tem zakonu ali Splošni uredbi.« [14] Upravljavec mora vzpostaviti ustrezne ukrepe in postopke za sprejem, obravnavo in odgovarjanja na zahteve posameznikov. Ustrezno mora določiti in usposobiti osebje, ki bo opravljalo te naloge, ter določiti postopke za njihovo delo. Navedeno zlasti pomeni, da posamezniku posreduje ustrezna navodila ter obrazce za uveljavljanje zahtev, ki so prav tako pomembna novota Predloga predpisa. Posameznik lahko, če želi, svojo zahtevo vedno odda tudi brez uporabe obrazca. [15] V internih aktih je potrebno določiti osebe odgovorne za določene zbirke osebnih podatkov, in osebe, ki lahko zaradi narave njihovega dela obdelujejo osebne podatke iz posamezne zbirke osebnih podatkov. [16] Obdelovalci glede njih odgovarjajo samostojno, ob tem pa za njih posebej odgovarja še upravljavec. Pri tem glej 30 in 32. člen Predloga ter njuni obrazložitvi. [17] Pri tem glej 30. člen. [18] Tako pojasnilo k 31. členu Predloga. [19] Dosedanje zbirke osebnih podatkov (26. člen ZVOP-1) je nadomestila evidenca dejavnosti obdelav (33. člen predloga ZVOP-2), ki mora biti točna in posodobljena, za kar skrbita upravljavec in obdelovalec, ki vodita evidenco skladno s Splošno uredbo. [20] Tako Pojasnilo k 33. členu. [21] 115. člen: »(1) Videonadzor na javnih površinah je dovoljen le, kadar je to nujno potrebno zaradi obstoja resne in utemeljene nevarnosti za življenje ali zdravje ljudi, varnost premoženja ali varovanje tajnih podatkov in tega namena ni mogoče doseči z milejšimi sredstvi, ali za potrebe varovanja oseb, objektov in okolišev objektov, ki jih varuje policija, oziroma varovanja drugih prostorov, zgradb ali območij, ki jih je treba varovati na podlagi zakona, in sicer samo v obsegu in trajanju, ki je za dosego namena nujno potreben. Vpogled, uporaba ali posredovanje posnetkov je dopustno le za te namene, če drug zakon ne določa drugače. (2) Videonadzor se lahko izvaja le glede tistih delov javne površine in v obsegu, kjer je treba varovati interese iz prejšnjega odstavka. (3) Videonadzor na javnih površinah lahko izvaja oseba javnega ali zasebnega sektorja, ki upravlja z javno površino ali na njej zakonito opravlja dejavnost.« [22] Predlagana ureditev v 8. členu določa, da se lahko osebni podatki v javnem sektorju obdelujejo, če obdelavo osebnih podatkov, vrste osebnih podatkov, ki naj se obdelujejo, namen njihove obdelave in kategorije posameznikov, na  katere se ti osebni podatki nanašajo, določa zakon. Če je mogoče, zakon pri tem določi tudi rok hrambe osebnih podatkov, uporabnike osebnih podatkov oziroma namene, za katere se jim lahko posreduje osebne podatke, posamezna dejanja obdelave in postopke obdelave ter druge ukrepe za zagotovitev zakonite, poštene in pregledne obdelave. Ne glede na zgoraj navedeno, se lahko v javnem sektorju obdelujejo osebni podatki posameznika, ki je privolil v obdelavo svojih osebnih podatkov za enega ali več določenih namenov, če takšno možnost določa zakon, če pa je ne določa zakon, pa le, če ne gre za izvrševanje zakonskih pristojnosti, nalog ali obveznosti javnega sektorja. [23] Enajsta točka prvega odstavka 6. člena: »privolitev« posameznika, na katerega se nanašajo osebni podatki, pomeni vsako prostovoljno, konkretno, informirano in nedvoumno ravnanje v obliki izjave ali jasnega pritrdilnega dejanja, iz katerega je mogoče sklepati na želje posameznika, na katerega se nanašajo osebni podatki, s katerim izrazi strinjanje z obdelavo osebnih podatkov, ki se nanašajo nanj. [24] Pri tem glej 8. in 9. člen predlaganega predpisa. [25] Glej 109. člen. [26] Tako opomba k 149. členu. [27] Uredba naj bi prinesla nova, strožja pravila na področju piškotkov (pred samo namestitvijo piškotkov na napravo bo potrebna pridobitev soglasja posameznika, omogočeno blokiranje piškotov že kot privzeto nastavitev) ter na področju trženja po e-pošti.? Vir fotografije: https://www.salawus.com/insights-alerts-BewareofNewGeneralDataProtectionRegulation.html

SloveniaEnglish