Zakaj nova Uredba EU za varstvo podatkov na internetu oz. GDPR in kaj prinaša?
Razlogi za sprejem nove uredbe
Internet je v do sedaj v znani zgodovini človeške civilizacije daleč največji družbeni medij. Po statističnih podatkih spletne strani Internet World Stats je v začetku leta 2018 internet uporabljalo že 54,4 % svetovnega prebivalstva, v Evropi 85,2 %, v Severni Ameriki pa že 95 %. Število svetovnih uporabnikov dnevno narašča.
Z izredno hitrim razvojem interneta, kot elektronskega medija, in po drugi strani hitro rastočo industrijo, ki temelji na obdelavi tudi osebnih podatkov, postaja posameznik vse bolj predmet obdelave in manipuliranja, s čimer izgublja nadzor nad svojimi podatki in posledično nad upravljanjem lastnega življenja. Iz poročila podjetja Forbes o najvrednejših svetovnih znamkah podjetij izhaja, da so na prvih štirih mestih daleč pred vsemi visoko tehnološka podjetja, ki se ukvarjajo s tehnologijo za obdelavo podatkov, velik del posla pa se nanaša na obdelavo osebnih podatkov, kot so po vrsti Apple, Google, Microsoft, Facebook.
Vodilna in še vedno hitro rastoča informacijsko tehnološka industrija uporablja izredno zmogljiva analitična orodja, ki se razvija v smeri vedno bolj dovršene umetne inteligence, omogoča možnosti uporabe, ki so za povprečnega človeka in povprečnega uporabnika interneta nepredstavljiva.
Vse to je postalo pomemben razlog za sprejem Uredbe (EU) 2016/679 Evropskega sveta in parlamenta z dne 26. 4. 2016, o varstvu osebnih podatkov in prostem pretoku takih podatkov, krajše Splošna uredba o varstvu podatkov (v angl. General Data Protection Regulation – GDPR). Veljati je začela 24.5.2016, uporabljati pa se začne s 25.5.2018. Poudariti je treba, da se uredba s 25. majem začne uporabljati in da ne določa nobenega dodatnega prehodnega obdobja.
Splošna uredba je nadomestila pred tem veljavno Direktivo (EU) 95/46/ES iz leta 1995, ki je bila okvir za predpise varstva osebnih podatkov po posameznih državah članicah EU. To pomeni, da je vsaka država imela to področje urejeno nekoliko drugače, kar je onemogočalo tudi hitrejši razvoj gospodarstva znotraj EU na tem področju. Splošna uredba veja za vse države EU enako, vzpostavljeni pa so tudi mehanizmi za nadzor nad poenotenim izvajanjem uredbe v posameznih državah članicah EU.
Ali gre samo za še en predpis, ki ne bo zaživel?
Zgodbe, kot je med novejšimi zloraba osebnih podatkov s strani socialnega omrežja Facebook v sodelovanju z podjetjem Cambridge Analytics, za politične namene, kot je vplivanje na rezultate volitev v letu 2016 v ZDA, je lep primer možnosti zlorab osebnih podatkov. Najhujše pri vsem tem je, da se povprečen človek ne zaveda in niti ne sluti, da je vsak dan predmet manipulacije praktično na vsakem koraku.
Delovna skupina Evropske komisije (angl. Working Party 29), ki se bo z začetkom uporabe uredbe z dnem 25.5.2018 preoblikovala v Evropski odbor za varstvo podatkov, kot samostojni organ EU, v kateri sodelujejo predstavniki nadzornih organov vseh držav članic EU, je 11. aprila 2018 kot odziv na opisani dogodek s Facebookom podala javno izjavo, da smo na začetku nove dobe varovanja osebnih podatkov. Kot eno od prioritet si je določila varovanje osebnih podatkov na socialnih medijih.
Veliko ljudi meni, da uredba o varstvu osebnih podatkov (GDPR) ne bo zaživela, kot nikoli niso zares zaživeli »cookiji«. Prepričan sem, da temu ni tako, ker uredba v osnovi izhaja iz civilnega prava o varovanju zasebnosti in pravic posameznika, ki jih določa tudi Evropska konvencija o varovanju človekovih pravic. Tak predpis je bil že dolgo na poti in se je končno oblikoval. Razvoj tehnologije je šel toliko naprej, da pravo ne sledi tehnološkemu napredku in potrebno bo začeti drugače gledati na osebne podatke. Vsi bomo morali začeti na osebne podatke in njihovo varovanje gledati drugače in temu tudi prilagoditi naše poslovanje.
Kaj so bistvene novosti?
V Sloveniji smo po besedah Informacijske pooblaščenke do sprejetja Splošne uredbe EU imeli enega strožjih zakonov s področja varstva osebnih podatkov (ZVOP-1) v primerjavi z ostalimi državami EU. To pomeni, da za nas spremembe naj ne bi bile tako drastične, kot za več drugih držav EU, seveda ob upoštevanju, da so upravljavci podatkov že sedaj bili skladni z zakonodajo. ZVOP-1 sicer še vedno velja do sprejetja novega zakona s tega področja (ZVOP-2), vendar se ne glede na zakonodajo v posamezni državi članici Splošna uredba EU uporablja neposredno, saj je hierarhično nad zakonom posamezne države.
Na kratko lahko povzamemo da uredba nalaga, da ima upravljavec osebnih podatkov ves čas pod nadzorom katere osebne podatke ima v obdelavi in za kakšen namen, da ima ustrezno zakonito podlago, kaj se z njimi dogaja in komu jih posreduje, da zanje zagotavlja ustrezno varovanje ter da zagotavlja uveljavljanje pravic posameznikom. Poleg tega uredba določa konkretna pooblastila nadzornim organom in stroge sankcije za kršitve.
Konkretno bi lahko kot najpomembnejše novosti Splošne uredbe izpostavili naslednje:
- Posamezniki bodo dobili boljši nadzor nad svojimi osebnimi podatki in lažji dostop do njih. Uredba namreč dokaj natančno določa obveznosti upravljavcev za obveščanje posameznikov že ob samem pridobivanju osebnih podatkov, prav tako pa imajo posamezniki kadarkoli pravico zahtevati potrdilo o tem, ali in kateri njegovi podatki se obdelujejo, kot tudi pridobiti kopijo osebnih podatkov;
- Pravica do prenosljivosti podatkov, pomeni, da v primeru, če upravljavec osebne podatke obdeluje elektronsko oz. z avtomatiziranimi sredstvi in jih je pridobil na podlagi privolitve ali zaradi izvršitve pogodbe, ima posameznik tudi pravico do pridobitve podatkov v strukturirani, splošno uporabljani, strojno berljivi obliki. Prav tako ima pravico zahtevati posredovanje teh podatkov neposredno drugemu upravljavcu, npr. od ene zavarovalnice k drugi ali od enega trgovca, ki ima klub zvestobe, k drugemu;
- Pravica do pozabe oz. izbrisa določa možnost posameznika zahtevati izbris njegovih osebnih podatkov iz evidenc ali pa jih mora upravljavec v primerih določenih z uredbo izbrisati sam, na primer v primeru izteka namena, za katerega jih je pridobil, ali če jih je pridobil nezakonito, ali nima ustrezne zakonite podlage, ali če posameznik prekliče privolitev;
- Strožji so pogoji za veljavno privolitev posameznikov za obdelavo osebnih podatkov, ki bo morala biti izrecna in nedvoumna, kar pomeni, da se podjetja ne bodo več mogla zanašati na domnevno, tiho privolitev, na primer s sprejemom splošnih pogojev. Dodatne so določbe za veljavno privolitev za osebne podatke otrok;
- Vsak upravljavec bo moral v primeru kršitve varstva osebnih podatkov obvezno obveščati Informacijskega pooblaščenca v roku 72 ur od nastanka seznanitve z dogodkom, kot na primer v primeru vdora v zbirke osebnih podatkov ali izgube podatkov zaradi uničenja informacijske opreme;
- Javni organi in podjetja, ki opravljajo tvegane postopke obdelave osebnih podatkov (redna in sistematična obsežna obdelava osebnih podatkov ali obsežna obdelava posebnih vrst podatkov), bodo morale obvezno imenovati uradno osebo za varstvo podatkov (angl. DPO) in podatke o njem sporočiti Informacijskemu pooblaščencu;
- Določene so zelo stroge sankcije za kršitve uredbe, saj bo lahko nadzorni organ za manjše kršitve uredbe izrekel kazen do vrednosti 10 mio EUR in za hujše do 20 mio EUR oziroma do 2-4 % letnega svetovnega prometa podjetja, karkoli je več. Uredba sicer določa tudi načelo sorazmernosti pri odmerjanju glob, tako da so najvišje globe rezervirane za največje kršitelje v primeru hudih kršitev. Ne glede na to, da to izhaja že iz civilnih predpisov, pa tudi uredba določa pravico posameznikov do povračila premoženjske in nepremoženjske škode v primeru kršitve določb uredbe.
SKLEP:
Povzamemo lahko, da nova Splošna uredba o varovanju podatkov bistveno dviguje standard varovanja osebnih podatkov in pravic posameznikov, po drugi strani pa vsem poslovnim subjektom nalaga bistveno večjo odgovornost ter zahteve varstva osebnih podatkov. Ni vprašanje če, temveč kdaj bo posamezno podjetje poskrbelo za skladnost poslovanja s Splošno uredbo, saj bo s strožjimi pravili naraščala tudi ozaveščenost posameznikov do uveljavljanja svojih pravic in hkrati tudi dolžnost države, da s prisilnimi ukrepi zagotavlja izvajanje teh pravic. Podjetja, ki bodo med prvimi izvedla potrebne ukrepe za skladnost z uredbo, bodo na trgu imela prednost pred konkurenco, izpolnjene pogoje za osredotočenost na izvajanje svoje osnovne poslovne dejavnosti in jim ne bo treba skrbeti za morebitni nadzor inšpektorjev Informacijskega pooblaščenca.
Andrej Miklič
Odvetniška pisarna Petek, d.o.o.