Podjetja bodo morala biti precej bolj odgovorna za svoje ravnanje
Pogovor z vodjo oddelka za varstvo osebnih podatkov Brunom Gencarellijem o GDPR.
Odpri galerijo
Vsako podjetje, ki želi poslovati v Evropi, bo moralo spoštovati pravila GDPR, pravi Bruno Gencarelli.FOTO: Osebni Arhiv
Ljubljana – Zaščita osebnih podatkov pomeni tudi zaščito temeljnih pravic in svoboščin, povezana je tudi z demokracijo, kot jo živimo in uresničujemo, je prepričan Bruno Gencarelli, vodja oddelka za varstvo osebnih podatkov z generalnega direktorata za pravosodje in potrošnike v evropski komisiji.
Sogovornik je od vsega začetka sodeloval pri pripravi Splošne uredbe o zaščiti podatkov (GDPR), ki bo začela veljati 25. maja. Predvsem zavezancem za ravnanje s podatki povzroča njena uveljavitev veliko sivih las, na drugi stani pa postavlja okvir za varno in odgovorno ravnanje s podatki posameznikov, ki so vse bolj del poslovni modelov podjetij. Novi standardi, ki jih uvaja Evropska unija, so vse bolj zgled tudi za druge države sveta. Trend se je okrepil prav pred kratkim, po razkritju škandala Facebook-Cambridge Analytica.
Uredbo GDPR je oz. bo v svojo nacionalno zakonodajo sprejelo le nekaj držav članic EU. Je to lahko težava za podjetja, ki jo morajo vpeljati v svojo poslovno prakso?
No, GDPR je uredba, ki bo avtomatično veljala in zanjo ni potrebna nacionalna zakonodaja. Podjetja so imela dve leti, da se o njeni vsebini poučijo in se pripravijo na izpolnjevanje. Je pa s tem kar veliko dela. Nacionalna zakonodaja je tu zato, da specificira določene aspekte uredbe, še posebej pravila, ki zadevajo javni sektor in ravnovesje med zasebnostjo in temeljnimi pravicami, kot so na primer svoboda izražanja, svoboda tiska in podobno. To so omejena območja, na katerih bi lahko nacionalne ureditve podrobneje interpretirale uredbo. Države članice lahko same določijo obseg, v katerem bodo uporabile te možnosti. Uredba pa bo v popolnosti veljavna ob polnoči 25. maja.
Če pogledamo vsebinsko, kaj je glavni korak naprej za Evropo z novo ureditvijo varovanja osebnih podatkov?
Uredba GDPR v bistvu prinaša dve stvari. Najprej, harmonizira in poenostavlja – namesto da bi imeli 28 zakonov, imamo enega. To je zelo smiselno, saj govorimo o aktivnostih v povezavi s podatki, ki so po sami naravi brez meja. Odpravlja ovire na notranjem trgu, kar je dobro tudi za posameznike, saj dobijo enako zaščito po celi EU. Za podjetje pa je dobro to, da GDPR, prinaša znižanje stroškov prilagajanja pravilom. Če ima podjetje na primer sedež v Sloveniji, storitve pa prodaja na Madžarskem, se mu na primer ni treba ukvarjati z različnimi ureditvami. Drugi aspekt je posodobitev obstoječih pravil, ki so zajeta v direktivi iz leta 1995. To je danes v smislu digitalne družbe skoraj prazgodovina, od takrat je nastalo veliko izzivov in priložnosti. Uredba krepi določene pravice, jih prenavlja, uvaja nekatere nove. Na primer na področju zlorabe podatkov oziroma vdorov v baze podatkov nismo imeli pravil. Je pa zelo pomembno za posameznika, da je obveščen in da lahko ukrepa, da zmanjša potencialno škodljiv učinek takega dogodka. Tudi za podjetja je pomembno, da imajo v svoji organizaciji uveljavljene varnostne ukrepe. Naslednji pomemben vidik uredbe GDPR je, da se od sistema, ki je bil zelo administrativen, naravnan ex-ante, premikamo v drugo stvar. Doslej so morala podjetja obveščati nacionalni organ za varstvo podatkov, počakati na odobritev, nastajali so zamude in stroški. Zagotavljanje varstva s stališča posameznikov ni bilo zelo učinkovito, ker so se poročila kopičila. Sedaj smo vse to odpravili. Regulativa temelji na drugačnem pristopu, ki je odgovornost. Podjetja bodo morala biti precej bolj odgovorna za to, kako ravnajo, imajo pa tudi več fleksibilnosti v smislu, kako izpolnjujejo zahteve. Gre na primer za to, da če ima podjetje zelo tvegano okolje, kjer je odgovorno za videonadzor v mestu ali v velikem obsegu obdeluje tvegane podatke, recimo o zdravju, je visoko tudi tveganje v smislu zasebnosti. V tem primeru bo podjetje zavezanec za določena ravnanja, ki jim sicer ne bi bilo zavezano, če bi imelo precej bolj rutinske obdelave podatkov. Mogoče je torej precejšnje stopnjevanje obveznosti. Fleksibilnost pa pomeni, da če na primer podjetje uvede tehnike, ki so prijazne do zasebnosti, na primer anonimizacijo in s tem zmanjša tveganja, bo zavezano k manjši regulaciji. Vse to so pomembne spremembe, tako v vsebini kot v pristopu, filozofiji.
Pred kratkim je ustanovitelj Facebooka Mark Zuckerberg pričal v ameriškem kongresu in kongresniki so ga spraševali, ali bo evropski GDPR veljal tudi za Američane. Kako razumete ta preobrat? Še nedavno so Američani Evropski uniji očitali, da je preveč previdna glede zasebnosti in da tudi zato ni konkurenčna v tehnoloških dejavostnih.
To je zelo dobra iztočnica. Mislim, da primer Facebook-Cambridge Analytica kaže več stvari. Najprej, da zaščita osebnih podatkov ni samo zaščita osebnih podatkov, pač pa precej več. Gre za temeljne svoboščine, v tem konkretnem primeru pa tudi za delovanje demokracije. To ni obsedenost, v resnici prek zaščite podatkov varujemo tudi zelo pomembne vrednote in svobodo. To je res za Evropo, za ZDA, za Avstralijo in Japonsko. Kaže tudi, da potrebujemo na tem področju pravila igre ...
Mednarodna pravila?
Tudi. Kaže se potreba po zakonodaji. Evropa je bila neke vrste pionir, ostali pa jo vse bolj pogosto opazujejo, je vir navdiha. Namreč, podatki lahko prinesejo veliko dobrega, koristnega, hkrati pa jih je mogoče dokaj enostavno zlorabiti. Zato potrebujemo splošna pravila oziroma splošni okvir ravnanja. Podatki se premikajo med dejavnostmi, industrijami, tudi geografsko. Primer prav tako kaže, da so pravila nujna za okrepitev zaupanja pri uporabnikih. Gre za povezavo med varovanjem pravic in prispevkom k razvoju gospodarstva. Digitalno gospodarstvo potrebuje zaupanje uporabnikov. Zaupanje je zelo lahko izgubiti in težko zgraditi.
Kako lahko regulacija, kot je GDPR, izboljša, okrepi zaupanje?
Torej, kdor zbira podatke, najprej obvesti uporabnike o tem, kakšne podatke zbira, zakaj in za kakšne namene jih obdeluje. Na tej podlagi lahko uporabniki sprejmejo informirano odločitev o tem, ali s tem podjetjem sodelujejo in ali dovolijo uporabo svojih podatkov. Drugo je, da zavezanec uvede instrumente, s pomočjo katerih lahko posamezniki nadzorujejo uporabo svojih podatkov: ratifikacija, pravica do pozabe, prenosljivost, kar je premikanje podatkov od enega ponudnika storitev k drugemu. To so načini, s katerimi dobi posameznik v roke učinkovita orodja, da izvaja nadzor. In če se vi in jaz počutiva varneje in veva, da bova lahko stvari nadzorovala, potem jih bova tudi lažje delila. To je zelo jasno vidno v raziskavah javnega mnenja. Velja za Evropo in tudi druge dele sveta. Največja skrb posameznikov, ki kupujejo prek spleta, je varnost njihovih podatkov. S krepitvijo zaupanja prispevaš k razvoju. To zavedanje se krepi in v zadnjih letih smo videli veliko držav, ki so sprejele regulativo na tem področju ali pa so jo posodobile: Japonska, Južna Koreja, države v Latinski Ameriki, celo države v Afriki …
So bili njihovi ukrepi podobni načelom v GDPR?
Predvsem gre za več konvergence. V medijih je bilo veliko poudarka glede divergence med nami in ZDA. To, kar vidimo, pa je, da se v resnici konvergenca povečuje, ureditev pa temelji na podobnih principih. Pojmovati zaščito podatkov kot temeljno pravico, imeti neodvisno agencijo, regulatorja, ki nadzira področje, opredeliti določen nabor individualiziranih pravic, ki jih je mogoče uveljaviti in zaščititi. To se dogaja.
Pričakujete, da bo tak koncept zakonodaje kmalu sprejet tudi v ZDA?
No, debata se premika. To je klic k prebujenju. Ne morem reči, kaj se bo zgodilo v ZDA, zanimivo pa je, da okrepitve varovanja podatkov ne vidijo samo kot regulatorno breme, pač pa kot nekaj, kar je potrebno tudi za gospodarstvo in mogoče najprej za demokratično življenje. To je pomembno vprašanje za nas v Evropski uniji in je pomembno tudi za Američane.
Torej so lahko nova pravila nekakšen pozitiven podporni okvir?
Tako nekako, nekaj, kar omogoča dejavnost. Potrebna so, da bi se izognili džungli, saj odgovarjajo na vprašanje zaupanja. Na primer … še pred časom so bile volitve nekaj zelo nacionalnega. Danes pa lahko nanje vplivajo ali jih celo manipulirajo tuje sile, zasebne ali javne. To spet kaže, da je zasebnost več kot zaščita osebnih podatkov. Zato tudi mislim, da je senat ZDA organiziral zaslišanje Marka Zuckerberga.
Evropejci uporabljamo facebook, google, storitve tehnoloških podjetij, ki imajo sedež v ZDA. Koliko bolje so z GDPR zaščiteni naši podatki in kaj bodo prinesle nove razmere, ko tudi Američani spreminjajo svoj pogled?
Ena pomembnih stvari v zvezi z GDPR je njen doseg, področje uporabe. Velja za vsako podjetje, ki ponuja blago in storitve v EU, ne glede na to, kjer je to podjetje ustanovljeno. To je ključno, saj gre za povezovanje pravil z dejanskimi razmerami v digitalni ekonomiji. Prejšnja pravila so se nanašala na fizično prisotnost, podjetje je moralo imeti tukaj infrastrukturo. Toda to v digitalnem gospodarstvu ni več relevantno. Pomembno je dejstvo, da ponujaš blago in storitve uporabnikom, ljudem v EU, ter da zbiraš in obdeluješ njihove podatke. Vsako podjetje, ki želi poslovati v Evropi, bo moralo spoštovati ta pravila. Zelo pomembno je to tudi za evropska podjetja, saj ustvarja enotno igralno polje. Zato naša podjetja ne bodo imela konkurenčnega primanjkljaja, ko gre za primerjavo z globalnimi tekmeci. Pomembno je tudi, da na mednarodni ravni dosežemo več konvergence, da bodo podatki, ko se bodo selili, podvrženi podobnim zaščitam. Zato mi kot EU zelo promoviramo konvergenco, tudi v pogajanjih z Japonsko, Južno Korejo, ko sklepamo dogovore. Če želimo olajšati tokove podatkov, ki so danes osnova velikega dela trgovine, moramo imeti podobne varovalke in podobno regulatorno okolje.
Kako konkretno bodo evropska podjetja postala z GDPR bolj mednarodno konkurenčna?
Najprej jim bo lažje trgovati v Evropi, kar je že zelo pomembno. Večina naših podjetij je aktivna v neposredni okolici. In če podjetja vidijo Evropo kot kraj, ki zagotavlja visoko stopnjo varnosti, je to konkurenča prednost, predvsem zaradi povečane občutljivosti uporabnikov za zaščito njihove zasebnosti in varnosti njihovih podatkov. Vidimo, da te premike vse več podjetij uporablja skoraj kot marketinško orodje. Podjetja razvijajo tehnologije in tehnike, ki so prijazne do zasebnosti. Z uporabo takih orodij se lahko zmanjša regulatorno breme, ki ga predvideva GDPR. Gre za storitve, ki ponujajo psevdonimizacijo, enkripcijo, podobne koncepte.
Sogovornik je od vsega začetka sodeloval pri pripravi Splošne uredbe o zaščiti podatkov (GDPR), ki bo začela veljati 25. maja. Predvsem zavezancem za ravnanje s podatki povzroča njena uveljavitev veliko sivih las, na drugi stani pa postavlja okvir za varno in odgovorno ravnanje s podatki posameznikov, ki so vse bolj del poslovni modelov podjetij. Novi standardi, ki jih uvaja Evropska unija, so vse bolj zgled tudi za druge države sveta. Trend se je okrepil prav pred kratkim, po razkritju škandala Facebook-Cambridge Analytica.
Uredbo GDPR je oz. bo v svojo nacionalno zakonodajo sprejelo le nekaj držav članic EU. Je to lahko težava za podjetja, ki jo morajo vpeljati v svojo poslovno prakso?
No, GDPR je uredba, ki bo avtomatično veljala in zanjo ni potrebna nacionalna zakonodaja. Podjetja so imela dve leti, da se o njeni vsebini poučijo in se pripravijo na izpolnjevanje. Je pa s tem kar veliko dela. Nacionalna zakonodaja je tu zato, da specificira določene aspekte uredbe, še posebej pravila, ki zadevajo javni sektor in ravnovesje med zasebnostjo in temeljnimi pravicami, kot so na primer svoboda izražanja, svoboda tiska in podobno. To so omejena območja, na katerih bi lahko nacionalne ureditve podrobneje interpretirale uredbo. Države članice lahko same določijo obseg, v katerem bodo uporabile te možnosti. Uredba pa bo v popolnosti veljavna ob polnoči 25. maja.
Če pogledamo vsebinsko, kaj je glavni korak naprej za Evropo z novo ureditvijo varovanja osebnih podatkov?
Uredba GDPR v bistvu prinaša dve stvari. Najprej, harmonizira in poenostavlja – namesto da bi imeli 28 zakonov, imamo enega. To je zelo smiselno, saj govorimo o aktivnostih v povezavi s podatki, ki so po sami naravi brez meja. Odpravlja ovire na notranjem trgu, kar je dobro tudi za posameznike, saj dobijo enako zaščito po celi EU. Za podjetje pa je dobro to, da GDPR, prinaša znižanje stroškov prilagajanja pravilom. Če ima podjetje na primer sedež v Sloveniji, storitve pa prodaja na Madžarskem, se mu na primer ni treba ukvarjati z različnimi ureditvami. Drugi aspekt je posodobitev obstoječih pravil, ki so zajeta v direktivi iz leta 1995. To je danes v smislu digitalne družbe skoraj prazgodovina, od takrat je nastalo veliko izzivov in priložnosti. Uredba krepi določene pravice, jih prenavlja, uvaja nekatere nove. Na primer na področju zlorabe podatkov oziroma vdorov v baze podatkov nismo imeli pravil. Je pa zelo pomembno za posameznika, da je obveščen in da lahko ukrepa, da zmanjša potencialno škodljiv učinek takega dogodka. Tudi za podjetja je pomembno, da imajo v svoji organizaciji uveljavljene varnostne ukrepe. Naslednji pomemben vidik uredbe GDPR je, da se od sistema, ki je bil zelo administrativen, naravnan ex-ante, premikamo v drugo stvar. Doslej so morala podjetja obveščati nacionalni organ za varstvo podatkov, počakati na odobritev, nastajali so zamude in stroški. Zagotavljanje varstva s stališča posameznikov ni bilo zelo učinkovito, ker so se poročila kopičila. Sedaj smo vse to odpravili. Regulativa temelji na drugačnem pristopu, ki je odgovornost. Podjetja bodo morala biti precej bolj odgovorna za to, kako ravnajo, imajo pa tudi več fleksibilnosti v smislu, kako izpolnjujejo zahteve. Gre na primer za to, da če ima podjetje zelo tvegano okolje, kjer je odgovorno za videonadzor v mestu ali v velikem obsegu obdeluje tvegane podatke, recimo o zdravju, je visoko tudi tveganje v smislu zasebnosti. V tem primeru bo podjetje zavezanec za določena ravnanja, ki jim sicer ne bi bilo zavezano, če bi imelo precej bolj rutinske obdelave podatkov. Mogoče je torej precejšnje stopnjevanje obveznosti. Fleksibilnost pa pomeni, da če na primer podjetje uvede tehnike, ki so prijazne do zasebnosti, na primer anonimizacijo in s tem zmanjša tveganja, bo zavezano k manjši regulaciji. Vse to so pomembne spremembe, tako v vsebini kot v pristopu, filozofiji.
Pred kratkim je ustanovitelj Facebooka Mark Zuckerberg pričal v ameriškem kongresu in kongresniki so ga spraševali, ali bo evropski GDPR veljal tudi za Američane. Kako razumete ta preobrat? Še nedavno so Američani Evropski uniji očitali, da je preveč previdna glede zasebnosti in da tudi zato ni konkurenčna v tehnoloških dejavostnih.
To je zelo dobra iztočnica. Mislim, da primer Facebook-Cambridge Analytica kaže več stvari. Najprej, da zaščita osebnih podatkov ni samo zaščita osebnih podatkov, pač pa precej več. Gre za temeljne svoboščine, v tem konkretnem primeru pa tudi za delovanje demokracije. To ni obsedenost, v resnici prek zaščite podatkov varujemo tudi zelo pomembne vrednote in svobodo. To je res za Evropo, za ZDA, za Avstralijo in Japonsko. Kaže tudi, da potrebujemo na tem področju pravila igre ...
Mednarodna pravila?
Tudi. Kaže se potreba po zakonodaji. Evropa je bila neke vrste pionir, ostali pa jo vse bolj pogosto opazujejo, je vir navdiha. Namreč, podatki lahko prinesejo veliko dobrega, koristnega, hkrati pa jih je mogoče dokaj enostavno zlorabiti. Zato potrebujemo splošna pravila oziroma splošni okvir ravnanja. Podatki se premikajo med dejavnostmi, industrijami, tudi geografsko. Primer prav tako kaže, da so pravila nujna za okrepitev zaupanja pri uporabnikih. Gre za povezavo med varovanjem pravic in prispevkom k razvoju gospodarstva. Digitalno gospodarstvo potrebuje zaupanje uporabnikov. Zaupanje je zelo lahko izgubiti in težko zgraditi.
Kako lahko regulacija, kot je GDPR, izboljša, okrepi zaupanje?
Torej, kdor zbira podatke, najprej obvesti uporabnike o tem, kakšne podatke zbira, zakaj in za kakšne namene jih obdeluje. Na tej podlagi lahko uporabniki sprejmejo informirano odločitev o tem, ali s tem podjetjem sodelujejo in ali dovolijo uporabo svojih podatkov. Drugo je, da zavezanec uvede instrumente, s pomočjo katerih lahko posamezniki nadzorujejo uporabo svojih podatkov: ratifikacija, pravica do pozabe, prenosljivost, kar je premikanje podatkov od enega ponudnika storitev k drugemu. To so načini, s katerimi dobi posameznik v roke učinkovita orodja, da izvaja nadzor. In če se vi in jaz počutiva varneje in veva, da bova lahko stvari nadzorovala, potem jih bova tudi lažje delila. To je zelo jasno vidno v raziskavah javnega mnenja. Velja za Evropo in tudi druge dele sveta. Največja skrb posameznikov, ki kupujejo prek spleta, je varnost njihovih podatkov. S krepitvijo zaupanja prispevaš k razvoju. To zavedanje se krepi in v zadnjih letih smo videli veliko držav, ki so sprejele regulativo na tem področju ali pa so jo posodobile: Japonska, Južna Koreja, države v Latinski Ameriki, celo države v Afriki …
So bili njihovi ukrepi podobni načelom v GDPR?
Predvsem gre za več konvergence. V medijih je bilo veliko poudarka glede divergence med nami in ZDA. To, kar vidimo, pa je, da se v resnici konvergenca povečuje, ureditev pa temelji na podobnih principih. Pojmovati zaščito podatkov kot temeljno pravico, imeti neodvisno agencijo, regulatorja, ki nadzira področje, opredeliti določen nabor individualiziranih pravic, ki jih je mogoče uveljaviti in zaščititi. To se dogaja.
Pričakujete, da bo tak koncept zakonodaje kmalu sprejet tudi v ZDA?
No, debata se premika. To je klic k prebujenju. Ne morem reči, kaj se bo zgodilo v ZDA, zanimivo pa je, da okrepitve varovanja podatkov ne vidijo samo kot regulatorno breme, pač pa kot nekaj, kar je potrebno tudi za gospodarstvo in mogoče najprej za demokratično življenje. To je pomembno vprašanje za nas v Evropski uniji in je pomembno tudi za Američane.
Torej so lahko nova pravila nekakšen pozitiven podporni okvir?
Tako nekako, nekaj, kar omogoča dejavnost. Potrebna so, da bi se izognili džungli, saj odgovarjajo na vprašanje zaupanja. Na primer … še pred časom so bile volitve nekaj zelo nacionalnega. Danes pa lahko nanje vplivajo ali jih celo manipulirajo tuje sile, zasebne ali javne. To spet kaže, da je zasebnost več kot zaščita osebnih podatkov. Zato tudi mislim, da je senat ZDA organiziral zaslišanje Marka Zuckerberga.
Evropejci uporabljamo facebook, google, storitve tehnoloških podjetij, ki imajo sedež v ZDA. Koliko bolje so z GDPR zaščiteni naši podatki in kaj bodo prinesle nove razmere, ko tudi Američani spreminjajo svoj pogled?
Ena pomembnih stvari v zvezi z GDPR je njen doseg, področje uporabe. Velja za vsako podjetje, ki ponuja blago in storitve v EU, ne glede na to, kjer je to podjetje ustanovljeno. To je ključno, saj gre za povezovanje pravil z dejanskimi razmerami v digitalni ekonomiji. Prejšnja pravila so se nanašala na fizično prisotnost, podjetje je moralo imeti tukaj infrastrukturo. Toda to v digitalnem gospodarstvu ni več relevantno. Pomembno je dejstvo, da ponujaš blago in storitve uporabnikom, ljudem v EU, ter da zbiraš in obdeluješ njihove podatke. Vsako podjetje, ki želi poslovati v Evropi, bo moralo spoštovati ta pravila. Zelo pomembno je to tudi za evropska podjetja, saj ustvarja enotno igralno polje. Zato naša podjetja ne bodo imela konkurenčnega primanjkljaja, ko gre za primerjavo z globalnimi tekmeci. Pomembno je tudi, da na mednarodni ravni dosežemo več konvergence, da bodo podatki, ko se bodo selili, podvrženi podobnim zaščitam. Zato mi kot EU zelo promoviramo konvergenco, tudi v pogajanjih z Japonsko, Južno Korejo, ko sklepamo dogovore. Če želimo olajšati tokove podatkov, ki so danes osnova velikega dela trgovine, moramo imeti podobne varovalke in podobno regulatorno okolje.
Kako konkretno bodo evropska podjetja postala z GDPR bolj mednarodno konkurenčna?
Najprej jim bo lažje trgovati v Evropi, kar je že zelo pomembno. Večina naših podjetij je aktivna v neposredni okolici. In če podjetja vidijo Evropo kot kraj, ki zagotavlja visoko stopnjo varnosti, je to konkurenča prednost, predvsem zaradi povečane občutljivosti uporabnikov za zaščito njihove zasebnosti in varnosti njihovih podatkov. Vidimo, da te premike vse več podjetij uporablja skoraj kot marketinško orodje. Podjetja razvijajo tehnologije in tehnike, ki so prijazne do zasebnosti. Z uporabo takih orodij se lahko zmanjša regulatorno breme, ki ga predvideva GDPR. Gre za storitve, ki ponujajo psevdonimizacijo, enkripcijo, podobne koncepte.
