Nova zakonodaja EU o varstvu podatkov – Splošna uredba o varstvu podatkov (GDPR) – naj bi zagotovili prebivalcem Evrope več nadzora nad zbiranjem in uporabo njihovih osebnih podatkov ter boljšo zaščito v primeru razkritja podatkov. Pa je res tako? Pogovarjali smo se z odvetnico Aljo Fakin, ki je strokovnjakinja s področja varstva osebnih podatkov, saj na tem področju deluje že vse od leta 2005. Med drugim nam je pojasnila, zakaj se je nemudoma odrekla vsem karticam zvestobe in tudi to, da nas Facebook v hipu lahko pozna vsaj enako dobro kot vaš partner.
GDPR je prinesel kar velike spremembe v naša življenja in delo. Na boljše ali na slabše?
Mislim, da vsekakor na boljše. Posamezniki, ki puščamo svoje osebne podatke povsod, se premalo zavedamo, da so naši osebni podatki blago, s katerim se na veliko trguje (zakonito in nezakonito). Recimo kartica zvestobe v lekarni. Šokiralo me je, ko sem slišala, da so farmacevtske družbe pripravljene plačati nekaj 10 evrov za podatek, kako si posameznik pomaga pri določeni težavi. Lekarna ta podatek pridobi od vas vsakič, ko pri plačilu ponudite še kartico zvestobe. In kaj dobite v zameno za posredovanje tega podatka? Nekaj v smislu 12 odstotkov popusta enkrat na leto na najcenejši izdelek ob nakupu nad 30 evrov. Povsem nesorazmerno. Pa ne želim črniti farmacevtske industrije. Enako počne tudi Facebook. Ampak celo jaz sem v lekarni nekako pričakovala večjo zasebnost, zato me je to spoznanje prešinilo kot strela z jasnega.
Ne, takoj sem jo prenehala uporabljati. V bistvu sem prenehala uporabljati vse kartice zvestobe. Če želi nekdo obdelovati moje osebne podatke na način, da mu bo prineslo dobiček, potem mi bo moral te osebne podatke primerno plačati. Pozitivno je, da postajamo bolj ozaveščeni. Vsaka tranzicija pa je seveda naporna. Ljudje se spremembam upiramo.
Alja Fakin je odvetnica s pridobljeno dodatno kvalifikacijo Strokovnjak/strokovnjakinja za varstvo osebnih podatkov, ki je s sklepom Ministrstva za delo, družino, socialne zadeve in enake možnosti umeščena v Slovensko ogrodje kvalifikacij (SOK) in Evropsko ogrodje kvalifikacij (EOK). Program je vpisan v evidenci pri Centru RS za poklicno izobraževanje.
Kaj je po vašem mnenju bistvo GDPR?
Zelo pomembno se mi zdi poudariti to, da uredba upošteva sodoben način življenja in poslovanja, zlasti razvoj interneta, in pa, da uveljavlja enaka pravila v vsej EU, kar vnaša predvidljivost, transparentnost in vključuje tudi dosledno uveljavitev odgovornosti upravljavcev osebnih podatkov za pravilno in zakonito obdelavo osebnih podatkov. Ni več prenašanja odgovornosti na posameznika. Posameznik je s to reformo dobil na področju osebnih podatkov podoben status, kot ga ima kot potrošnik na trgu.
Še kaj?
Drug pomemben vidik se mi zdi, da GDPR za razliko od pravnih aktov, ki smo jih navajeni, ne določa obveznosti upravljavcev natančno, »po alinejah« kot radi rečemo, ampak daje predvsem usmeritve, ki naj jih vodijo pri obdelavi osebnih podatkov. Pravna pravila želi približati življenju, življenjskim situacijam, ki pa so pisane in nepredvidljive. Zame osebno je to odličen pristop, ker upravljavcem osebnih podatkov dovoljuje, da glede na usmeritve v uredbi sami presodijo, kateri ukrepi bi bili v njihovi situaciji najprimernejši. To omogoča večjo fleksibilnost. V prehodnem obdobju, dokler se ne uveljavijo in ustalijo dobre poslovne prakse, to prinaša tudi nekaj negotovosti, kar v pravu ni zaželeno, ampak menim, da to ni izključna »krivda« uredbe.
Vseeno se mi zdi, da na tem področju vlada kar precejšnja zmeda. Mediji smo prenesli celo vest, da so nekatere državne institucije, na primer NIJZ, prenehali pošiljati vabila na ponovne odmerke cepljenj. Kje še vi vidite težave?
Verjetno mislite na eno od območnih enot NIJZ, ki se je odločila, da ne bodo več vabili na ponovni odmerek plačljivih cepljenj. Osebno nisem podrobno seznanjena zakaj so se tako odločili, sklepam (upam), da so imeli neke tehtne razloge, ampak da, primerov neprimerne in nepravilne prakse je veliko, zlasti tudi v šolah in vrtcih.
Kaj konkretno?
Zelo me je presenetilo, npr., ko sem izvedela, da otrok v šoli ne sprašujejo več na način, da drugi otroci poslušajo vprašanja (in se pri tem tudi kaj naučijo), temveč poteka spraševanje izključno med učiteljem in učencem, drugi učenci pa so medtem zaposleni in ne smejo poslušati. S tem naj bi se varovala zasebnost spraševanega učenca. Tudi ocena se ne razglasi. Osebno menim, da je to korak nazaj in vodi v netransparentnost (v tem primeru) ocenjevanja. Pa tudi tovrstno varovanje zasebnosti se mi zdi pretirano.
Verjetno je takih primerov v šolah veliko?
Podoben primer, ravno tako iz šol, je, da starši ne smejo slikati otrok, ki nastopajo v šolski predstavi zaradi varstva zasebnosti drugih sodelujočih otrok. Dokler gre za zasebno rabo teh fotografij s strani staršev, GDPR ne velja in starši lahko mirno slikajo svojega otroka in njegove prijatelje in te fotografije nalepijo v svoj album, pokažejo babicam in dedkom, prijateljem na obisku itd. Posebej pa poudarjam, da album na Facebooku ni enak zasebnemu albumu za slike, ki ga imamo doma. Pri objavi na družbenih omrežjih veljajo drugačna pravila.
Veliko zmede in prestrašenosti nad morebitnimi denarnimi globami opažam še posebej pri malih podjetnikih, samostojnih podjetnikih. Kam se lahko obrnejo po nasvete?
Mali podjetniki se bojijo predvsem visokih stroškov, za katere pričakujejo, da bi jim nastali s pridobitvijo strokovnega nasveta, zato se zatekajo k bližnjicam (npr. k slepim nakupom »vzorcev« po »akcijskih« cenah), ki pa jih pogosto drago stanejo. Na spletnih straneh manjših spletnih trgovin opažam politiko zasebnosti, ki je pri vseh enaka zato sklepam, da so jo vsi pridobili od istega vira. Žal ta politika, ki jo imam v mislih, ne ustreza določilom uredbe.
S kakšnimi vprašanji se obračajo na vas?
Predvsem glede poslovanja, da bo skladno z GDPR. Kadar iščejo dobre vzorce in kakovostne nasvete, pri tem pa jih skrbijo stroški najetja svetovalca, svetujem, da se najprej pozanimajo pri Informacijskem pooblaščencu. Na njihovi spletni strani so odlične infografike, povzetki ključnih obveznosti in vzorci, brskamo pa lahko tudi po smernicah in mnenjih pooblaščenca. Pred kratkim so izdelali tudi spletno stran, kjer so zbrani nasveti izključno za mala podjetja.
Seveda pa je vzorce treba znati tudi pravilno uporabiti
Tako je. Kadar želite konkreten nasvet, so najprimernejši vir za nasvet in usmeritev strokovnjaki za varstvo osebnih podatkov, ki imajo izkazano ustrezno znanje. Ti vam bodo dali vam prilagojen nasvet in vam nudili kakovostno pravno podporo in drznem si reči, da ta storitev na koncu ne bo bistveno dražja (če sploh!) od ponudbe kvazi strokovnjakov na trgu. V vsakem primeru odsvetujem slepe nakupe raznih vzorcev od nepreverjenih »strokovnjakov«.
Veliko je seminarjev o GDPR, veliko se je in se še oglašujejo seminarji. Se je na tem področju že pojavila nelojalna konkurenca. Kakšen certifikat mora imeti predavatelj, da je zaupanja vreden?
Največjo težavo vidim v tem, da je z uveljavitvijo GDPR tudi število tako imenovanih strokovnjakov za varstvo osebnih podatkov zrastlo kot gobe po dežju. Upravljavci so se v iskanju primernega svetovalca obrnili na tiste najglasnejše in najcenejše, ki pa so očitno boljši marketingarji, kot pa strokovnjaki za področje varstva osebnih podatkov. Posledično so tudi njihovi nasveti šepavi, kar se sedaj vidi v raznih neprimernih praksah. Iskreno obžalujem, da so se za takšen pristop odločila tudi številna strokovna združenja, ki so svojim članom posledično posredovala napačna ali nejasna navodila in ustvarila popolno zmedo. Primer iz prakse, npr.: pred kratkim sem izvedela, da je predavatelj na seminarju o varstvu osebnih podatkov zatrjeval, da lahko samostojni podjetnik sam zase opravlja funkcijo pooblaščene osebe za varstvo osebnih podatkov (t.im. DPO). To seveda ni res. To je v neposrednem nasprotju s funkcijo DPO-ja, ki mora biti neodvisen od upravljavca (s.p. je v tem primeru upravljavec osebnih podatkov). Po domače, ne more sam sebe nadzirati in si svetovati.
Kaj naj bo torej merilo ob izbiri?
Recimo pridobljena dodatna kvalifikacija »Strokovnjak/-inja za varstvo osebnih podatkov«. Ampak bolj, kot to, kakšen certifikat ima posamezni predavatelj, svetujem, da pri izbiri dobrega strokovnjaka izhajate zlasti iz tega, koliko strokovnega znanja o zakonodaji in praksi na področju varstva podatkov ter kakšne izkušnje ima predavatelj. Bolj, kot je vaše področje specifično, bolj natančni morate biti pri izbiri predavatelja oziroma strokovnjaka.
Marsikateri podjetnik se spopada z vprašanji, kaj lahko pošilja in kaj ne. Da ne bo prestopil meje in plačal kazni. Kaj so najpogostejša vprašanja in težave, ki jih na vas naslavljajo mali podjetniki, tudi s.p.?
Veliko zmede vidim zlasti v tem, da se je marsikateri podjetnik tudi zaradi zavajajočih informacij na trgu, vrgel v nekritično pridobivanje privolitev za obdelavo osebnih podatkov, ko pa je bil izkupiček pridobljenih privolitev boren, pa so ali hiteli z brisanjem adreme (potencialno velika poslovna škoda) ali vrgli puško v koruzo in pustili področje nezaključeno in neurejeno ali pa so se vrgli v (ponovno nekritično) iskanje strokovnjaka, ki jim bo pomagal pridobiti privolitve. V resnici pa privolitev sploh ni primerna podlaga za večino upravljavcev in se jim zato sploh ne bi bilo treba ukvarjati s pridobivanjem le-te. Privolitev je le ena izmed pravnih podlag za obdelavo osebnih podatkov. Vse podlage so enakovredne, niso pa vse primerne. Za upravljavce v zasebnem sektorju zelo pogosto pride v poštev obdelava na podlagi pogodbe, zakona ali zakonitega interesa. Privolitev v bistvu relativno redko.
Lahko na podlagi pridobljene vizitke pošljemo ponudbo?
To je pogosto vprašanje. Vizitka pomeni izraženo pripravljenost poslovno sodelovati, nadaljevati komunikacijo, ki se je začela npr. na nekem sejmu. Vsekakor lahko tej osebi pošljete e-mail z vsebino, ki se nanaša na pogovor, ki sta ga začela na tem sejmu. Privolitev namreč ni nujno pisna. Vedno pa mora biti aktivno izražena – izročitev vizitke je aktivno dejanje, ki jasno kaže na pripravljenost nadaljnjega ohranjanja stika. Ta stik pa mora obvezno biti v zvezi s poslovno dejavnostjo, v okviru katere je bil vzpostavljen stik. Nikar ne izkoriščajte tako pridobljenega stika za začetek zasebne komunikacije!
Sploh številni mali podjetniki, s.p., ji se bojijo pošiljati svoja obvestila in ponudbe. Kdaj lahko brez kakršnekoli skrbi pošljemo neko ponudbo za določeno storitev?
Če je podjetnik od svoje stranke ob nakupu njegovih izdelkov ali storitev pridobil tudi njegov elektronski naslov, ga lahko uporablja tudi za trženje svojih podobnih izdelkov/storitev. Podjetnik lahko pošilja obvestila o svoji ponudbi tudi na tiste e-naslove posameznikov, ki so javno objavljeni na spletnih omrežjih in pri drugih ponudnikih spletnih storitev, kjer je posameznik sprejel politiko zasebnosti, ki predvideva neposredno trženje na te e-naslove. Vedno pa mora pošiljatelj naslovnikom dati možnost odjave in zahtevano odjavo od prejemanja tovrstnih sporočil dosledno upoštevati.
Kaj pa, če ste vseeno v dvomu?
Potem je lažje ponudbe poslati po navadni pošti – fizičnim osebam, s katerimi morda še niste poslovno sodelovali, jo namreč lahko pošljete, če je njihovo ime in naslov javno objavljen (npr. imenik, osebna spletna stran ...). Velikokrat pa ugotovim, da posamezno podjetje sploh ne trži svojih storitev fizičnim osebam, ampak podjetjem. V tem primeru pridejo v poštev pravila o dovoljenosti uporabe objavljenih kontaktov zaposlenih v tem podjetju. Načeloma velja, da se lahko preko telefona, elektronske ali navadne pošte obrnejo na tistega zaposlenega, katerega kontakt je pravilno javno objavljen (torej na spletni strani tega podjetja). Če kontakt posameznega zaposlenega ni objavljen na spletni strani podjetja, ki ga ciljate, nikar ne iščite kontaktnih podatkov tega zaposlenega na njegovem zasebnem Facebookovem profilu.
V tujini so že izrekli prve kazni za GDPR. Se nanaša na posamezno poslano elektronsko sporočilo. O kakšnih kaznih govorimo?
Evropska komisija poroča, da so evropski regulatorni organi na področju varstva osebnih podatkov v letu 2018 prejeli 95.000 prijav domnevnih kršitev uredbe. V zadnjem času najbolj odmeven primer je bolnišnica na Portugalskem, ki ji je regulator za kršitve določil uredbe GDPR izrekel kazen v višini 400.000 evrov, francoski regulator naj bi Googlu izrekel kazen v višini 57milijonov dolarjev zaradi pomanjkljive transparentnosti, nezadostne informiranosti in neveljavnih privolitev v zvezi s personaliziranimi oglasi, v Avstriji je bila izrečena kazen v višini 4.800 evrov zaradi nepravilno nameščene varnostne kamere, neko nemško družbeno omrežje pa naj bi moralo plačati 20.000 evrov kazni zaradi vdora v sistem, ki je ogrozil več kot 1,8 milijonov uporabniških imen in gesel uporabnikov. Zanimivo je tudi, da je nemško sodišče izdalo sodbo, v kateri je presodilo, da je 50 evrov primerna odškodnina za nepremoženjsko škodo, ki jo je utrpel prejemnik spam sporočila. V tem primeru ne gre za globo, ampak za odškodnino.
Govorimo torej o zelo visokih kaznih
Da, ampak pri tem se moramo zavedati, da so to tudi zelo pomembni igralci med upravljavci osebnih podatkov, zato se od njih tudi pričakuje večja skrbnost in posledično večja (višja) odgovornost.
Kaj pa posamezniki, manjši podjetniki?
Primera, ko bi kaznovali manjše podjetnike še ne poznam.
Kako je pri nas? Se že izrekajo globe. Kdaj lahko pričakujemo tudi kaznovanje pri nas?
Pri nas, kolikor je meni znano, še ni bilo izrečenih glob zaradi kršitev uredbe, je pa Informacijski pooblaščenec prijel že veliko prijav domnevnih kršitev. Kot povsod v Evropi je tudi naš Informacijski pooblaščenec prehodno zavzel bolj izobraževalno in svetovalno pozicijo, ne kaznovalne. Nekoliko se je zataknilo tudi pri sprejemu potrebnih sprememb zakonodaje, da bo pooblaščenec lahko dejansko izvrševal predvideno prekrškovno in inšpekcijsko funkcijo, vendar to ne pomeni, da ne morete biti kaznovani, kot se zavajajoče govori v javnosti. Tudi danes ste lahko kaznovani zaradi kršitve varstva osebnih podatkov v delu, ki ga še vedno ureja »stari« zakon o varstvu osebnih podatkov (ZVOP-1), npr. iz naslova neposrednega trženja. Ali iz naslova neustrezno urejenega videonadzora
Osebno se mi zdi, da v poštni nabiralnik dobivam še več »spama« kot pred uveljavitvijo GDPR. Kakšne so moje možnosti?
Vse se začne pri dobri zaščiti računalnika, telefona, tablice. Gesla, protivirusni programi, požarni zidovi.... Na spam nikoli ne odgovarjajte. Če pa govorimo o reklamnih sporočilih, o raznih ponudbah, ki niso spam v strogem pomenu besede, ampak neželena pošta sicer legitimnih pošiljateljev, pa predlagam, da zahtevate, da vas izbrišejo iz svoje adreme. To lahko v večini primerov naredite s klikom na povezavo »odjava«, ki jo večina takšnih sporočil vsebuje na dnu sporočila.
Spletno nakupovanje je vse bolj priljubljeno. Na kaj naj bomo pozorni?
Ne le pri nakupih po spletu, tudi v fizičnih trgovinah ne odkljukate možnosti, da vam pošiljajo sporočila, če si tega ne želite. Če pa naletite na gluha ušesa, pa se lahko vedno obrnete na Informacijskega pooblaščenca, ki je prekrškovni in inšpekcijski organ.
Ali smo zaradi GDPR na spletu res bolj varni, če pogledamo kaj vse klikamo in delimo na Facebooku, Twitterju, Instagramu?
Ne, zaradi GDPR-ja nismo. Zavedati se moramo, da uredba velja v EU, vse ostale pa so t.im. tretje države. Izmed tretjih držav, lahko na prste preštejemo tiste, ki sta jih Informacijski pooblaščenec ali Evropska komisija uvrstila na sezname tretjih držav, ki naj bi imele v celoti ali vsaj deloma zagotovljeno ustrezno raven varstva osebnih podatkov (npr. Švica in Makedonija, delno še država Izrael in ZDA). Preostane nam še cel kup držav, med drugim npr. Rusija in Indija, kjer niti približno ni poskrbljeno za varstvo osebnih podatkov, internet pa, kot vemo, je globalen. Razne manipulacije, socialni inženiring in druge zlorabe so lažje, pogostejše, njihove oblike pa bolj sofisticirane kot kadarkoli prej.
Torej tudi brez GDPR vse vedo o nas?
Ravno pred kratkim sem prebrala, da je neka študija dokazala, da lahko upravljavci družbenih omrežij zgolj na podlagi objav naših prijateljev s 95 odstotno gotovostjo predvidijo, kakšne bodo naše objave, četudi sploh nimamo profila. Ali pa, da nas Facebook na podlagi nekaj 10 všečkov pozna tako dobro, kot naš partner.
Sliši se strašno
Res je. Zato še vedno pravim, da je najboljša stvar, ki jo je prinesel ves »hype« okoli GDPR ta, da smo se ponovno začeli zavedati naše pravice do zasebnosti. Ne gre za to, da bi hoteli kaj skrivati, ampak za to, da lahko izberemo, s kom bomo delili našo zasebnost.
Lekarna Ljubljana je poslala prikaz nasprotnih dejstev. Preberete ga lahko tukaj.
Ma dejte no, svoje podatke skrivajo samo tisti, imajo slabo vest, kakšni lopovi in švercarji, skratka tisti, ki se bojijo da jih odkrijejo pri raznih nečednih dejanjih...
Ampak končno dejstvo, je da nima nobene kartice, da je vse vrnila. Po tem bi sklepal, da ji nihče ni pripravljen ustrezno plačat za koriščenje njenih osebnih podatkov.
Tole varstvo podatkov je šlo močno predaleč. Podobno kot permisivna vzgoja in prenos v živo neenotnosti vlade. Ni čudno, da vsak išče krivine...