Doslej so imeli evropski potrošniki zelo malo nadzora nad podatki, ki se o njih shranjujejo, posredujejo ali prodajajo drugim. Z novo splošno uredbo EU o varstvu podatkov naj bi se to spremenilo. Vsi, ki imajo kakršnekoli opravke z osebnimi podatki strank, kupcev oziroma na splošno posameznikov, so se morali do danes prilagoditi uredbi in zagotoviti, da bodo s podatki svojih strank ravnali bolj skrbno. Večinoma so to storili tik pred zdajci in potrošnikom v minulih dneh množično pošiljali sporočila s pozivi k privolitvi za uporabo njihovih osebnih podatkov.
Evropejci želijo več nadzora nad informacijami
"Nova pravila o varstvu podatkov so bila dogovorjena z razlogom: dve tretjini Evropejk in Evropejcev je zaskrbljenih glede načina, kako se njihovi podatki obdelujejo, saj imajo občutek, da nimajo nadzora nad informacijami, ki jih posredujejo prek spleta," je uveljavitev uredbe komentiral podpredsednik Evropske komisije in komisar za enotni digitalni trg Andrus Ansip. Kot je dodal, so nedavni škandali v zvezi z osebnimi podatki potrdili, da v Evropi ravnajo prav, ko uvajajo strožja in jasnejša pravila o varstvu podatkov.
"Podjetja, ki služijo denar z našimi podatki, nosijo večjo odgovornost. Nekaj morajo tudi dati nazaj potrošnikom: vsaj varnost njihovih podatkov," pa je dodala evropska komisarka za pravosodje, potrošnike in enakost spolov Vera Jourova, ki je osebne podatke označila za zlato 21. stoletja. Nova pravila po njenih besedah zagotavljajo boljšo varnost osebnih podatkov posameznikov, ne glede na to, kam so poslani, kje se obdelujejo in kje hranijo.
Pravica do obveščanja, popravka in izbrisa osebnih podatkov
Uredba podjetjem med drugim nalaga, da morajo transparentno pojasniti, kaj počnejo s podatki svojih strank in za katere namene jih uporabljajo. Stranke pa so z uveljavitvijo uredbe dobile pravico do obveščanja, popravka in izbrisa njihovih osebnih podatkov. Če shranjevanje teh podatkov ni nujno potrebno, morajo podjetja za to dobiti dovoljenje strank. Nova uredba ščiti le podatke fizičnih oseb, in ne tudi pravnih.
Potrošniki morajo torej biti vnaprej obveščeni, kdo in za kakšne namene obdeluje njihove osebne podatke, kot so ime, naslov, elektronski naslov ali številka osebnega dokumenta - in s tem morajo soglašati. Poleg tega mora biti jasno, kako dolgo se bodo podatki hranili, soglasje pa je mogoče kadarkoli umakniti.
Ena od pomembnejših novosti je imenovanje pooblaščene osebe za varstvo osebnih podatkov, katere glavna naloga je svetovanje in nadzorovanje procesov obdelave osebnih podatkov v podjetju.
Višje kazni
Z uredbo se zaostrujejo tudi kazni, ki jih lahko nadzorni organi - pri nas je to informacijski pooblaščenec - naložijo podjetjem v primeru kršitev. Te lahko v skrajnih primerih sežejo vse do 20 milijonov evrov oziroma štirih odstotkov skupnega letnega prometa kršitelja.
Namen uredbe pa ni le večja zaščita občutljivih osebnih podatkov državljanov, pač pa predvsem zagotoviti enake konkurenčne pogoje znotraj EU. Do danes je imela namreč vsaka država članica svoja lastna pravila varstva osebnih podatkov, ki so sicer temeljila na starih evropskih smernicah iz leta 1995, a so se od države do države razlikovala.
Slovenija zamuja s prenosom evropske zakonodaje o GDPR
Slovenija je ena od osmih držav, ki bodo krepko prekoračile roke pri prenosu rešitev iz splošne uredbe EU o varstvu podatkov v nacionalni pravni red. Informacijski pooblaščenec pa brez novega oziroma spremenjenega zakona o osebnih podatkih glob po uredbi, ki danes prihaja v uporabo, ne more izrekati, opozarja informacijska pooblaščenka Mojca Prelesnik.
Prelesnikova je pojasnila, da so splošno uredbo EU o varstvu podatkov (GDPR) prenesli v nacionalno zakonodajo v Avstriji, Nemčiji, Franciji, Hrvaški, Nizozemski, Švedski, Slovaški in Veliki Britaniji.
Za vse ostale članice EU se pričakuje, da bodo v juniju sprejele področno zakonodajo, razen v osmih državah, med njimi v Sloveniji, ki bodo verjetno krepko prekoračile rok. "Nas rešuje to, da imamo obstoječi zakon o osebnih podatkih," je dejala Prelesnikova.
Ker novi zakon o varstvu osebnih podatkov v Sloveniji do danes, ko začenja veljati evropska uredba, ni bil sprejet, informacijskih pooblaščenec ne more zaradi kršitev izrekati glob po uredbi. Te pa so tudi večmilijonske. To pa ne pomeni, da bi bil informacijski pooblaščenec brezzobi tiger, poudarja Prelesnikova in dodaja, da imajo na voljo prisilitvene metode.
"Ne vemo, kdaj bo zakon sprejet. Nekaj časa sem upala, da bo uspelo v tem mandatu. A pred pozno jesenjo najbrž ni možnosti, da bi bil sprejet," je ocenila informacijska pooblaščenka. Vse določbe, ki jih je urejal nov zakon in je med drugim tudi podaljševal roke za uveljavitev uredbe, tako odpadejo in vsi pravni subjekti se morajo z današnjim dnem ravnati v skladu z uredbo, saj je ta v celoti zavezujoča in neposredno uporabljena v vseh članicah EU.
Če pride do kršitve varstva osebnih podatkov, mora podjetje v 72 urah obvestiti informacijskega pooblaščenca
Največ vprašanj, ki so jih prejeli pri informacijskem pooblaščencu pred uveljavitvijo uredbe, se je nanašalo na pooblaščene osebe za varstvo osebnih podatkov.
Vsi, ki imajo pooblaščenca, morajo javno objaviti kontaktne podatke, ni pa treba objaviti njihovega imena. To morajo sporočiti le informacijskemu pooblaščencu, ki bo vodil register teh pooblaščencev, a ne bo javen, je pojasnila Prelesnikova. Do sedaj so pri pooblaščencu prejeli imena pooblaščenih oseb za varnost osebnih podatkov od 400 subjektov.
Če bo prišlo do kršitve varstva osebnih podatkov, bo moralo podjetje v 72 urah o tem obvestiti informacijskega pooblaščenca, razen če ni verjetno, da bodo s tem ogrožene temeljne človekove pravice. Po navedbah Prelesnikove je to nov institut, do sedaj so takšen mehanizem poznali le po zakonu o pacientovih pravicah. Informacijski pooblaščenec pa je na leto prejel med nič in pet takšnih obvestil po zakonu o pacientovih pravicah.
Če pa obstajajo velika tveganje za kršitev človekovih pravic zaradi kršitve varstva osebnih podatkov, pa bo podjetje moralo o tem obvestiti tudi posameznika. "Namen tega instituta je, da se čim prej zavarujejo temeljne človekove pravice in da se čim prej zakrpa ta varnostna luknja," je pojasnila.
Uredba ne velja za policijo in državno tožilstvo
Veliko vprašanj, s katerimi so se pri pooblaščencu srečali v zadnjem času, se je nanašalo na privolitev posameznika na obdelavo njihovih osebnih podatkov. "Verjetno so tudi vaši elektronski poštni predali v zadnjih 14 dneh najbolj polni do sedaj, čeprav informacijski pooblaščenec na to opozarja že dve leti, kolikor je znašalo prehodno obdobje," je dejala.
Tako je privolitev na obdelavo osebnih podatkov danes bistveno strožja kot prej in mora biti prostovoljna, konkretna, informirana in nedvoumna indikacija na voljo. Izjave o soglasju pa morajo biti v uporabniku prijaznem jeziku.
Prelesnikova je opozorila tudi na to, da splošna uredba EU o varstvu podatkov ne velja za policijo, državno tožilstvo in upravo za izvrševanje kazenskih sankcij za osebne podatke, ki si jih ti organi delijo med sabo za potrebe opravljanja svoje dejavnosti. Za te organe velja policijska direktiva, ki pa ni bila prelita v slovenski pravni red, tako da za njih velja obstoječi zakon o varstvu osebnih podatkov.
V nekaterih državah zaradi kršitev že vlagajo prve pritožbe
Le nekaj ur po uveljavitvi uredbe so se v javnosti že pojavile novice o prvih kršitvah. Po poročanju tujih medijev so bile v Evropi nedosegljive spletne strani ameriških medijev Los Angeles Times, Chicago Tribune, New York Daily News, Baltimore Sun in Orlando Sentinel. Lastnica domen vseh teh spletnih strani je medijska družba Tronc.
Pritožbe so v več državah vložili tudi proti Googlu in Facebooku. Za njimi stoji društvo Noyb, ki ga vodi avstrijski aktivist za zaščito podatkov Max Schrems. Društvo je v Franciji prijavilo Google, v Belgiji Instagram, v Nemčiji Whatsapp (obe storitvi sta v lasti Facebooka), v Avstriji pa Facebook. Kot je poudaril Schrems, bi morala Google in Facebook pridobiti soglasje uporabnikov za vsako funkcijo, ki ni ključnega pomena za delovanje storitve.
KOMENTARJI (10)
Opozorilo: 297. členu Kazenskega zakonika je posameznik kazensko odgovoren za javno spodbujanje sovraštva, nasilja ali nestrpnosti.