ZAKAJ NOVA UREDBA o varstvu osebnih podatkov (GDPR) in KAJ PRINAŠA?
06. 06. 2018/Internet in medijsko pravo
Razlogi za sprejem nove uredbe
Internet je v do sedaj v znani zgodovini človeške civilizacije daleč največji družbeni medij. Po statističnih podatkih spletne strani Internet World Stats[1] je v začetku leta 2018 internet uporabljalo že 54,4 % svetovnega prebivalstva, v Evropi 85,2, v Severni Ameriki pa že 95%. Število svetovnih uporabnikov dnevno narašča.
Z izredno hitrim razvojem interneta, kot elektronskega medija, in po drugi strani hitro rastočo industrijo, ki temelji na obdelavi tudi osebnih podatkov, postaja posameznik vse bolj predmet obdelave in manipuliranja, s čimer izgublja nadzor nad svojimi podatki in posledično nad upravljanjem lastnega življenja. Iz poročila podjetja Forbes[2] o najvrednejših svetovnih znamkah podjetij izhaja, da so na prvih štirih mestih daleč pred vsemi visoko tehnološka podjetja, ki se ukvarjajo s tehnologijo za obdelavo podatkov, velik del posla pa se nanaša na obdelavo osebnih podatkov, kot so po vrsti Apple, Google, Microsoft, Facebook.
Vodilna in še vedno hitro rastoča informacijsko tehnološka industrija uporablja izredno zmogljiva analitična orodja, ki se razvija v smeri vedno bolj dovršene umetne inteligence, omogoča možnosti uporabe, ki so za povprečnega človeka in povprečnega uporabnika interneta nepredstavljiva.
Vse to je postalo pomemben razlog za sprejem Uredbe (EU) 2016/679 Evropskega sveta in parlamenta z dne 26. 4. 2016, o varstvu osebnih podatkov in prostem pretoku takih podatkov, krajše Splošna uredba o varstvu podatkov (v angl. General Data Protection Regulation – GDPR). Veljati je začela 24.5.2016, uporabljati pa se začne s 25.5.2018. Poudariti je treba, da se uredba s 25. majem začne uporabljati in da ne določa nobenega dodatnega prehodnega obdobja.
Splošna uredba je nadomestila pred tem veljavno Direktivo (EU) 95/46/ES iz leta 1995, ki je bila okvir za predpise varstva osebnih podatkov po posameznih državah članicah EU. To pomeni, da je vsaka država imela to področje urejeno nekoliko drugače, kar je onemogočalo tudi hitrejši razvoj gospodarstva znotraj EU na tem področju. Splošna uredba veja za vse države EU enako, vzpostavljeni pa so tudi mehanizmi, ki bodo omogočali nadzor nad tem, da bodo države čimbolj enako izvajanje uredbe tudi nadzorovale.
Ali gre samo za še en predpis, ki ne bo zaživel?
Zgodbe, kot je med novejšimi zloraba osebnih podatkov s strani socialnega omrežja Facebook v sodelovanju z podjetjem Cambridge Analytics, za politične namene, kot je vplivanje na rezultate volitev v letu 2016 v ZDA, je lep primer možnosti zlorab osebnih podatkov. Najhujše pri vsem tem je, da se povprečen človek niti ne zaveda, da je predmet manipulacije praktično na vsakem koraku.
Delovna skupina Evropske komisije (angl. Working Party 29), ki se bo z začetkom uporabe uredbe z dnem 25.5.2018 preoblikovala v Evropski odbor za varstvo podatkov, kot samostojni organ EU, v kateri sodelujejo predstavniki nadzornih organov s področja varstva podatkov vseh držav članic EU, je 11. aprila 2018 kot odziv na opisani dogodel s Facebookom, podala javno izjavo[3], da smo na začetku nove dobe varovanja osebnih podatkov. Kot eno od prioritet pa si je določila varovanje osebnih podatkov na socialnih medijih.
Veliko ljudi meni, da uredba o varstvu osebnih podatkov (GDPR) ne bo zaživela, kot nikoli niso zares zaživeli »cookiji«. Preprčan sem, da temu ni tako, ker uredba v osnovi izhaja iz civilnega prava o varovanju zasebnosti in pravic posameznika, ki jih določa tudi Evropska konvencija o varovanju človekovih pravic. Tak predpis je bil že dolgo na poti in se je končno oblikoval. Razvoj tehnologije je šel toliko naprej, da pravo ne sledi tehnološkemu napredku in potrebno bo začeti drugače gledati na osebne podatke. Vsi bomo morali začeti na osebne podatke in njihovo varovanje gledati drugače in temu tudi prlagoditi naše poslovanje.
Kaj so bistvene novosti?
V Sloveniji smo po besedah Informacijske pooblaščenke do sprejetja Splošne uredbe EU imeli enega strožjih zakonov s področja varstva osebnih podatkov (ZVOP-1) v primerjavi z ostalimi državami EU. Ta zakon sicer še vedno velja do sprejetja novega zakona (ZVOP-2), vendar se Splošna uredba EU uporablja neposredno saj je hierarhično nad zakonom posamezne države. To pomeni, da za nas spremembe naj ne bi bile tako drastične, kot za več drugih držav EU, seveda ob upoštevanju, da so upravljavcu že sedaj bili skladni z zakonodajo.
Na kratko lahko povzamemo zahteve uredbe, da ima upravljavec osebnih podatkov ves čas pod nadzorom katere osebne podatke ima, za kakšen namen in da ima ustrezno zakonito podlago, kaj se z njimi dogaja in komu jih posreduje, da zanje zagotavlja ustrezno varovanje ter da zagotavlja uveljavljanje pravic posameznikom. Poleg tega uredba določa konkretna poobastila nadzornim organom in stroge sankcije za kršitve.
Konkretno bi lahko kot najpomembnejše novosti Splošne uredbe izpostavili naslednje.
Posamezniki bodo dobili boljši nadzor nad svojimi osebnimi podatki in lažji dostop do njih. Uredba namreč dokaj natančno določa obveznosti upravljavcev osebnih podatkov za obveščanje posameznikov že ob samem pridobivanju podatkov, prav tako pa imajo posamezniki kadarkoli pravico zahtevati potrdilo o tem, ali in kateri njegovi podatki se obdelujejo, kot tudi pridobiti kopijo osebnih podatkov;
Pravica do prenosljivosti podatkov pomeni, da v primeru, če upravljavec osebne podatke obdeluje elektronsko oz. z avtomatiziranimi sredstvi in jih je pridobil na podlagi privolitve ali zaradi izvršitve pogodbe, ima posameznik tudi pravico do prenosljivosti podatkov v strukturirani, splošno uporabljani strojno berljivi obliki. Prav tako ima pravico zahtevati posredovanje teh podatkov neposredno drugemu upravljavcu, npr. od ene zavarovalnice ali trgovca k drugemu;
Pravica do pozabe oz. izbrisa določa možnost posameznika zahtevati izbris njegovih osebnih podatkov ali pa jih mora upravljavec v primerih določenih z uredbo izbrisati sam, na primer v primeru izteka namena, za katerega jih je pridobil, ali če jih je pridobil nezakonito in nima ustrezne pravne podlage, ali če posameznik prekliče privolitev;
Strožji so pogoji za veljavno privolitev posameznikov za obdelavo osebnih podatkov, ki bo morala biti izrecna in nedvoumna, kar pomeni, da se podjetja ne bodo več mogla zanašati na domnevno tiho privolitev, na primer s sprejemom splošnih pogojev. Dodatne so določbe za privolitev za osebne podatke otrok;
Vsak upravljavec bo moral v primeru kršitve varstva osebnih podatkov obvezno obveščati Informacijskega pooblaščenca v roku 72 ur od nastanka dogodka, kot na primer o vdoru v zbirke osebnih podatkov;
Javni organi in podjetja, ki opravljajo tvegane postopke obdelave osebnih podatkov (redna in sistematična obsežna obdelava osebnih podatkov ali obsežna obdelava posebnih vrst podatkov), bodo morale obvezno imenovati uradno osebo za varstvo podatkov (angl. DPO) in podatke o njem sporočiti Informacijskemu pooblaščencu;
Določene so zelo stroge sankcije za kršitve uredbe, saj bo lahko nadzorni organ za manjše kršitve uredbe izrekel kazen do vrednosti 10 mio EUR in za hujše do 20 mio EUR oziroma do 2-4 % letnega svetovnega prometa podjetja, karkoli je več. Uredba določa tudi načelo sorazmernosti pri odmerjanju glob, tako da so najvišje globe rezervirane za največje kršitelje v primeru hudih kršitev. Ne glede na to, da to izhaja že iz civilnih predpisov, pa tudi uredba določa pravico posameznikov do povračila premoženjske in nepremoženjske škode v primeru kršitve uredbe.
SKLEP:
Povzamemo lahko, da nova Splošna uredba o varovanju podatkov bistveno dviguje standard varovanja osebnih podatkov in pravic posameznikov, po drugi strani pa vsem poslovnim subjektom nalaga bistveno večjo odgovornost ter zahteve varstva osebnih podatkov. Ni vprašanje če, temveč kdaj bo posamezno podjetje poskrbelo za skladnost poslovanja s Splošno uredbo, saj bo s strožjimi pravili naraščala tudi ozaveščenost posameznikov do uveljavljanja svojih pravic in hkrati tudi dolžnost države, da s prisilnimi ukrepi zagotavlja izvajanje teh pravic. Podjetja, ki bodo med prvimi izvedla potrebne ukrepe za skladnost z uredbo, bodo na trgu imela prednost pred konkurenco in še pogoje za osredotočenost na izvajanje svoje osnovne poslovne dejavnosti.
ZAKAJ NOVA UREDBA o varstvu osebnih podatkov (GDPR) in KAJ PRINAŠA?
Razlogi za sprejem nove uredbe
Internet je v do sedaj v znani zgodovini človeške civilizacije daleč največji družbeni medij. Po statističnih podatkih spletne strani Internet World Stats[1] je v začetku leta 2018 internet uporabljalo že 54,4 % svetovnega prebivalstva, v Evropi 85,2, v Severni Ameriki pa že 95%. Število svetovnih uporabnikov dnevno narašča.
Z izredno hitrim razvojem interneta, kot elektronskega medija, in po drugi strani hitro rastočo industrijo, ki temelji na obdelavi tudi osebnih podatkov, postaja posameznik vse bolj predmet obdelave in manipuliranja, s čimer izgublja nadzor nad svojimi podatki in posledično nad upravljanjem lastnega življenja. Iz poročila podjetja Forbes[2] o najvrednejših svetovnih znamkah podjetij izhaja, da so na prvih štirih mestih daleč pred vsemi visoko tehnološka podjetja, ki se ukvarjajo s tehnologijo za obdelavo podatkov, velik del posla pa se nanaša na obdelavo osebnih podatkov, kot so po vrsti Apple, Google, Microsoft, Facebook.
Vodilna in še vedno hitro rastoča informacijsko tehnološka industrija uporablja izredno zmogljiva analitična orodja, ki se razvija v smeri vedno bolj dovršene umetne inteligence, omogoča možnosti uporabe, ki so za povprečnega človeka in povprečnega uporabnika interneta nepredstavljiva.
Vse to je postalo pomemben razlog za sprejem Uredbe (EU) 2016/679 Evropskega sveta in parlamenta z dne 26. 4. 2016, o varstvu osebnih podatkov in prostem pretoku takih podatkov, krajše Splošna uredba o varstvu podatkov (v angl. General Data Protection Regulation – GDPR). Veljati je začela 24.5.2016, uporabljati pa se začne s 25.5.2018. Poudariti je treba, da se uredba s 25. majem začne uporabljati in da ne določa nobenega dodatnega prehodnega obdobja.
Splošna uredba je nadomestila pred tem veljavno Direktivo (EU) 95/46/ES iz leta 1995, ki je bila okvir za predpise varstva osebnih podatkov po posameznih državah članicah EU. To pomeni, da je vsaka država imela to področje urejeno nekoliko drugače, kar je onemogočalo tudi hitrejši razvoj gospodarstva znotraj EU na tem področju. Splošna uredba veja za vse države EU enako, vzpostavljeni pa so tudi mehanizmi, ki bodo omogočali nadzor nad tem, da bodo države čimbolj enako izvajanje uredbe tudi nadzorovale.
Ali gre samo za še en predpis, ki ne bo zaživel?
Zgodbe, kot je med novejšimi zloraba osebnih podatkov s strani socialnega omrežja Facebook v sodelovanju z podjetjem Cambridge Analytics, za politične namene, kot je vplivanje na rezultate volitev v letu 2016 v ZDA, je lep primer možnosti zlorab osebnih podatkov. Najhujše pri vsem tem je, da se povprečen človek niti ne zaveda, da je predmet manipulacije praktično na vsakem koraku.
Delovna skupina Evropske komisije (angl. Working Party 29), ki se bo z začetkom uporabe uredbe z dnem 25.5.2018 preoblikovala v Evropski odbor za varstvo podatkov, kot samostojni organ EU, v kateri sodelujejo predstavniki nadzornih organov s področja varstva podatkov vseh držav članic EU, je 11. aprila 2018 kot odziv na opisani dogodel s Facebookom, podala javno izjavo[3], da smo na začetku nove dobe varovanja osebnih podatkov. Kot eno od prioritet pa si je določila varovanje osebnih podatkov na socialnih medijih.
Veliko ljudi meni, da uredba o varstvu osebnih podatkov (GDPR) ne bo zaživela, kot nikoli niso zares zaživeli »cookiji«. Preprčan sem, da temu ni tako, ker uredba v osnovi izhaja iz civilnega prava o varovanju zasebnosti in pravic posameznika, ki jih določa tudi Evropska konvencija o varovanju človekovih pravic. Tak predpis je bil že dolgo na poti in se je končno oblikoval. Razvoj tehnologije je šel toliko naprej, da pravo ne sledi tehnološkemu napredku in potrebno bo začeti drugače gledati na osebne podatke. Vsi bomo morali začeti na osebne podatke in njihovo varovanje gledati drugače in temu tudi prlagoditi naše poslovanje.
Kaj so bistvene novosti?
V Sloveniji smo po besedah Informacijske pooblaščenke do sprejetja Splošne uredbe EU imeli enega strožjih zakonov s področja varstva osebnih podatkov (ZVOP-1) v primerjavi z ostalimi državami EU. Ta zakon sicer še vedno velja do sprejetja novega zakona (ZVOP-2), vendar se Splošna uredba EU uporablja neposredno saj je hierarhično nad zakonom posamezne države. To pomeni, da za nas spremembe naj ne bi bile tako drastične, kot za več drugih držav EU, seveda ob upoštevanju, da so upravljavcu že sedaj bili skladni z zakonodajo.
Na kratko lahko povzamemo zahteve uredbe, da ima upravljavec osebnih podatkov ves čas pod nadzorom katere osebne podatke ima, za kakšen namen in da ima ustrezno zakonito podlago, kaj se z njimi dogaja in komu jih posreduje, da zanje zagotavlja ustrezno varovanje ter da zagotavlja uveljavljanje pravic posameznikom. Poleg tega uredba določa konkretna poobastila nadzornim organom in stroge sankcije za kršitve.
Konkretno bi lahko kot najpomembnejše novosti Splošne uredbe izpostavili naslednje.
SKLEP:
Povzamemo lahko, da nova Splošna uredba o varovanju podatkov bistveno dviguje standard varovanja osebnih podatkov in pravic posameznikov, po drugi strani pa vsem poslovnim subjektom nalaga bistveno večjo odgovornost ter zahteve varstva osebnih podatkov. Ni vprašanje če, temveč kdaj bo posamezno podjetje poskrbelo za skladnost poslovanja s Splošno uredbo, saj bo s strožjimi pravili naraščala tudi ozaveščenost posameznikov do uveljavljanja svojih pravic in hkrati tudi dolžnost države, da s prisilnimi ukrepi zagotavlja izvajanje teh pravic. Podjetja, ki bodo med prvimi izvedla potrebne ukrepe za skladnost z uredbo, bodo na trgu imela prednost pred konkurenco in še pogoje za osredotočenost na izvajanje svoje osnovne poslovne dejavnosti.
Andrej Miklič, univ.dipl.iur.
Odvetniška pisarna Petek, d.o.o.
[1] https://www.internetworldstats.com/stats.htm#links
[2] https://www.forbes.com/powerful-brands/list/#tab:rank
[3] https://edps.europa.eu/sites/edp/files/publication/18-04-11_wp29_press_release_en.pdf