Evropski dan D za varstvo osebnih podatkov. Kaj bo od danes drugače?
S 25. majem je začela veljati evropska direktiva o varstvu posebnih podatkov – GDPR. In kaj bo od danes naprej drugače?
Odpri galerijo
Danes je Dan D za varstvo osebnih podatkov. FOTO: Shutterstock
Ljubljana – Evropski dan D za varstvo osebnih podatkov je tu. S 25. majem je začela veljati evropska direktiva o varstvu posebnih podatkov – GDPR. In kaj bo od danes naprej drugače?
Direktiva o varstvu osebnih podatkov, ki jo je EU sprejela pred dvema letoma, z današnjim dnem pa se začne uporabljati, pred članice postavlja enotno ogrodje, ki neposredno zavezuje vse (tudi partnerje v tujini, ki poslujejo na območju EU in zbirajo podatke o evropskih potrošnikih), izvedbene podrobnosti pa prepušča nacionalnim regulativam. Pri nas je to zakon o varstvu osebnih podatkov, ki pa ga vladi v odhodu ni uspelo do roka novelirati. Ne glede na to direktiva velja neposredno.
Čemu spremembe?
Razmah uporabe interneta in digitalizacija zasebnega in poslovnega življenja sta povzročili kopičenje osebnih podatkov, njihovo povezovanje, trgovanje z njimi in povečala stopnjo tveganja za zlorabe podatkov. Slednje je mogoče omejiti samo z enotnim ukrepanjem vseh članic EU. Da je bil že skrajni čas, je dokazala afera s FB in Cambridge Analytico. Cilj GDPR je omogočiti prebivalcem nadzor nad njihovimi osebnimi podatki in poenotiti ter dvigniti raven varstva osebnih podatkov v EU. V perspektivi pa je upati, da se bo podobna pravila uvedla tudi prek Atlantika.
Kaj pomeni GDPR za Slovenijo?
V Sloveniji smo imeli z zakonom o varstvu osebnih podatkov iz leta 2007 že do zdaj dokaj visoke standarde varstva osebnih podatkov, nova uredba pa jih še zvišuje in dviga zavest o njihovi vrednosti. Kljub temu pa bo treba za dosego cilja iz GDPR še veliko postoriti, v nekaterih dejavnostih več, drugje manj.
Pomen za gospodarstvo?
GDPR je pomemben za gospodarstvo, saj bo vplival na poslovne odločitve in rezultate podjetij, posebej tistih, ki se ukvarjajo z neposrednim trženjem. Prehod bo toliko težavnejši, ker zaradi neodločnosti in nepoznavanja te problematike politika ni sprejela prenovljenega slovenskega zakona o varstvu osebnih podatkov, ki bi popravil nedorečenosti iz GDPR. V takih okoliščinah je večja verjetnost, da bodo prakse različne, da bo več napak in (tudi nehotenih) kršitev z materialnimi posledicami. Tako podjetja, ki jih zavezuje GDPR, in bi že morala biti usklajeni z zahtevami iz uredbe, še vedno iščejo informacije, posveti na to temo so praviloma predčasno razprodani. Najemajo (in drago plačujejo) razne svetovalce, njihovi nasveti pa niso vedno »suho zlato«. Za podjetja, ki so bila pri zbiranju podatkov že do zdaj dovolj skrbna, pa je pregled stanja dokaz, da so ravnala pravilno.
Kako se odzivajo posamezniki?
Aktivno so se vključili potem, ko so jim podjetja začela pošiljati v podpis oziroma potrditev soglasja za zbiranje in obdelavo osebnih podatkov, bodisi na podlagi pristopa k splošnim pogojem kluba zvestobe ipd. (kar je v bistvu pogodbeno razmerje) ali kot nova privolitev (ki je bistveno zahtevnejša od te, ki jo je določal zakon o varstvu posebnih podatkov). Podjetja in institucije, ki so po elektronski pošti pošiljale naslovnikom svoje informacije, so morala preveriti, ali želijo ohraniti to navezo in jih opozoriti, da imajo možnost kadar koli preprosto, z eno potezo, iz nje izstopiti. Čeprav so bili ljudje nejevoljni zaradi poplave tovrstne elektronske pošte, se bo morda vendarle začel dogajati premik v glavah: da je treba aktivno spremljati, kaj se dogaja z osebnimi podatki, in ukrepati, če upravljavec ne zasluži zaupanja. Če kdo do danes ni oddal privolitve, podjetje ne bo več moglo uporabljati njegovih podatkov, kartica zvestobe ne bi smela biti več veljavna. Pričakovati pa je, da se bo pridobivanje privolitev nadaljevalo.
Kaj opaža informacijska pooblaščenka?
»Žal so številni zavezanci – vseh skupaj je več kot 200.000 – na implementacijo uredbe čakali praktično do zadnjega, a verjetno se to dogaja tudi na drugih področjih ob spremembah zakonodaje. Informacijski pooblaščenec zoper nespametne izbire svetovalcev ne more ukrepati, lahko pa – in to tudi počnemo – vlagamo velike napore v ozaveščanje javnosti, posameznikov in zavezancev o tem, kaj so dejanske zahteve uredbe, kaj so pa miti, zastraševanje in neresnice.« Sicer pa lahko informacijski pooblaščenec podaja le nezavezujoča mnenja in pojasnila, ne more pa podjetjem poslovno in pravno svetovati, kako organizirati konkretne poslovne procese, katere aplikacije uporabiti, kako napisati pogodbe v zvezi s pogodbeno obdelavo, pravilnike, obrazce za privolitev in podobno, razen v konkretnih inšpekcijskih postopkih.
Direktiva o varstvu osebnih podatkov, ki jo je EU sprejela pred dvema letoma, z današnjim dnem pa se začne uporabljati, pred članice postavlja enotno ogrodje, ki neposredno zavezuje vse (tudi partnerje v tujini, ki poslujejo na območju EU in zbirajo podatke o evropskih potrošnikih), izvedbene podrobnosti pa prepušča nacionalnim regulativam. Pri nas je to zakon o varstvu osebnih podatkov, ki pa ga vladi v odhodu ni uspelo do roka novelirati. Ne glede na to direktiva velja neposredno.
Čemu spremembe?
Razmah uporabe interneta in digitalizacija zasebnega in poslovnega življenja sta povzročili kopičenje osebnih podatkov, njihovo povezovanje, trgovanje z njimi in povečala stopnjo tveganja za zlorabe podatkov. Slednje je mogoče omejiti samo z enotnim ukrepanjem vseh članic EU. Da je bil že skrajni čas, je dokazala afera s FB in Cambridge Analytico. Cilj GDPR je omogočiti prebivalcem nadzor nad njihovimi osebnimi podatki in poenotiti ter dvigniti raven varstva osebnih podatkov v EU. V perspektivi pa je upati, da se bo podobna pravila uvedla tudi prek Atlantika.
Kaj pomeni GDPR za Slovenijo?
V Sloveniji smo imeli z zakonom o varstvu osebnih podatkov iz leta 2007 že do zdaj dokaj visoke standarde varstva osebnih podatkov, nova uredba pa jih še zvišuje in dviga zavest o njihovi vrednosti. Kljub temu pa bo treba za dosego cilja iz GDPR še veliko postoriti, v nekaterih dejavnostih več, drugje manj.
Pomen za gospodarstvo?
GDPR je pomemben za gospodarstvo, saj bo vplival na poslovne odločitve in rezultate podjetij, posebej tistih, ki se ukvarjajo z neposrednim trženjem. Prehod bo toliko težavnejši, ker zaradi neodločnosti in nepoznavanja te problematike politika ni sprejela prenovljenega slovenskega zakona o varstvu osebnih podatkov, ki bi popravil nedorečenosti iz GDPR. V takih okoliščinah je večja verjetnost, da bodo prakse različne, da bo več napak in (tudi nehotenih) kršitev z materialnimi posledicami. Tako podjetja, ki jih zavezuje GDPR, in bi že morala biti usklajeni z zahtevami iz uredbe, še vedno iščejo informacije, posveti na to temo so praviloma predčasno razprodani. Najemajo (in drago plačujejo) razne svetovalce, njihovi nasveti pa niso vedno »suho zlato«. Za podjetja, ki so bila pri zbiranju podatkov že do zdaj dovolj skrbna, pa je pregled stanja dokaz, da so ravnala pravilno.
Kako se odzivajo posamezniki?
Aktivno so se vključili potem, ko so jim podjetja začela pošiljati v podpis oziroma potrditev soglasja za zbiranje in obdelavo osebnih podatkov, bodisi na podlagi pristopa k splošnim pogojem kluba zvestobe ipd. (kar je v bistvu pogodbeno razmerje) ali kot nova privolitev (ki je bistveno zahtevnejša od te, ki jo je določal zakon o varstvu posebnih podatkov). Podjetja in institucije, ki so po elektronski pošti pošiljale naslovnikom svoje informacije, so morala preveriti, ali želijo ohraniti to navezo in jih opozoriti, da imajo možnost kadar koli preprosto, z eno potezo, iz nje izstopiti. Čeprav so bili ljudje nejevoljni zaradi poplave tovrstne elektronske pošte, se bo morda vendarle začel dogajati premik v glavah: da je treba aktivno spremljati, kaj se dogaja z osebnimi podatki, in ukrepati, če upravljavec ne zasluži zaupanja. Če kdo do danes ni oddal privolitve, podjetje ne bo več moglo uporabljati njegovih podatkov, kartica zvestobe ne bi smela biti več veljavna. Pričakovati pa je, da se bo pridobivanje privolitev nadaljevalo.
Kaj opaža informacijska pooblaščenka?
»Žal so številni zavezanci – vseh skupaj je več kot 200.000 – na implementacijo uredbe čakali praktično do zadnjega, a verjetno se to dogaja tudi na drugih področjih ob spremembah zakonodaje. Informacijski pooblaščenec zoper nespametne izbire svetovalcev ne more ukrepati, lahko pa – in to tudi počnemo – vlagamo velike napore v ozaveščanje javnosti, posameznikov in zavezancev o tem, kaj so dejanske zahteve uredbe, kaj so pa miti, zastraševanje in neresnice.« Sicer pa lahko informacijski pooblaščenec podaja le nezavezujoča mnenja in pojasnila, ne more pa podjetjem poslovno in pravno svetovati, kako organizirati konkretne poslovne procese, katere aplikacije uporabiti, kako napisati pogodbe v zvezi s pogodbeno obdelavo, pravilnike, obrazce za privolitev in podobno, razen v konkretnih inšpekcijskih postopkih.
