"Gre za uredbo, ki je neposredno uporabljiv pravni akt in prinaša številne novosti, in sicer med drugim obveznost imenovanja pooblaščene osebe za varovanje podatkov, obveznost v določenih primerih izvajanja ocene učinkov, strožja določila glede pridobivanja pridobitev dovoljenj, ki bodo morala biti konkretnejša, in ne del splošnih pravil, ne bo več dovoljen opt-out, kar pomeni, da uporabnik ni aktivno izkazal soglasja, pač pa je bilo to dano avtomatično," je ob robu konference na temo sprememb glede varstva osebnih podatkov za MMC pojasnila namestnica informacijske pooblaščenke Alenka Jerše.

Kaj se bo zgodilo 25. maja, ko začne veljati evropska direktiva o varovanju osebnih podatkov GDPR (General Data Protection Regulation)? "Tudi s kolegi iz drugih držav se pogovarjamo, jasno je, da se 25. maja ne bomo podali v lov na čarovnice, tudi v že obstoječih postopkih se nikoli ni šlo v izrekanje glob, ampak v skladnost s predpisi. Nobeno podjetje, ki je že danes v skladu z ZVOP-1 in si prizadeva zagotoviti skladnost z uredbo, se nima česa bati," je na omizju AmCham Fokus v hotelu Lev dejala Jeršetova.

Bodo ljudje manj slepo klikali da in naprej?
Na vprašanje, ali bodo ljudje v prihodnje posledično manj slepo klikali in se strinjali z vsem mogočim, je odgovorila, da lahko samo upamo, da bo res tako. Osrednjega registra, v katerem so zbrani katalogi obdelav osebnih podatkov pri informacijskem pooblaščencu, po novem ne bo več, saj jih bodo zamenjale evidence obdelav, ki jih bodo morala voditi podjetja in ki bodo na vpogled pooblaščencu ob inšpekciji ali pa, če bo določen posameznik zahteval seznanitev z lastnimi osebnimi podatki, ki jih hrani podjetje ali organizacija.

Novi evropski direktivi bo sledilo večje poenotenje med evropskimi državami, ki bodo implementirale predpise, je poudarila Jeršetova. Po novem se bo namreč mogoče obrniti na sodišče EU-ja, če informacijski pooblaščenci posameznih evropskih držav ne bi ukrepali ustrezno, je še pojasnila.
Različni standardi v ZDA in EU-ju
Ali lahko pričakujemo konflikt med ameriško in evropsko zakonodajo na svetovnem parketu? "Dejstvo je, da se ameriška zakonodaja že zdaj bistveno razlikuje od zakonodaje v EU-ju, in ta razlika ostaja, tako da bistvenih sprememb v tem pogledu ne pričakujem," je odgovorila.

"Slovenija se bo direktivi prilagodila z novim Zakonom o varstvu osebnih podatkov (ZVOP-2), katerega osnutek je ministrstvo že dalo v javno razpravo, a zdaj ni čisto jasno, glede na političen položaj v državi, ali bo zakon tudi dejansko vložen v postopek," je pojasnila in dodala, da zakon definitivno je potreben. Če zakona ne bo, bo treba neposredno uporabljati direktivo GDPR, je opozorila.

ZVOP-2 bo uveden postopoma
Glede ZVOP-2 je še pojasnila, da so na uradu informacijskega pooblaščenca že pred dvema letoma opozorili ministrstvo za pravosodje, da je treba pripraviti zakon. "Uradne informacije ni, zakon naj bi bil na vladi v četrtek, ali se bo to res zgodilo, ne vem," je dejala.
Pri informacijskem pooblaščencu so se na osnutek zakona odzvali s 30 pripombami. "Ali je boljši slab zakon ali pa, da zakona sploh ni, je filozofsko vprašanje, ki se ga ne bom dotaknila," je dodala.

Nobeno podjetje, ki je skladno s starim ZVOP-1, se nima česa bati glede novega t. i. ZVOP-2, saj na začetku ne bo nikakršnega lova na čarovnice ali milijonskih glob, če kakšno podjetje ne bo takoj do pike natančno izvajalo vseh najnovejših zahtev in priporočil, je pojasnila.

"Zavedamo se, da bi lahko imelo gospodarstvo zaradi vpeljave uredbe veliko škode, zato pogrešamo večje razumevanje tistih, ki zakone sprejemajo. Uredba se bo brala v smislu načel, transparentnosti, odgovornosti poslovanja. Uredba je napisana tako, da mora podjetje dokazati, da razume osebne podatke in da razume svoje poslovanje. Če bo podjetje znalo izkazati, da obdeluje osebne podatke na določeni pravni podlagi, bo to stalo in zadostovalo," je navedla Jeršetova.

Regulativa nočna mora majhnih in mikropodjetij
Na uradu informacijskega pooblaščenca dobivajo "zelo veliko" vprašanj zaskrbljenih gospodarstvenikov, tudi več deset dnevno, na katera v uradu podajajo pisna mnenja in izdajajo smernice, kako ravnati. "Za podjetja je to velik zalogaj in namen uredbe gotovo ni, da bi majhnim podjetjem naložili toliko težav, da tega ne bi zmogla, če pa kakšno podjetje temelji zgolj na nezakoniti obdelavi osebnih podatkov, pa bi res lahko ugasnilo, a temu bi težko rekli gospodarska škoda," je pojasnila.

Informacijski pooblaščenec in Facebook
Zadnja afera s Facebookom in zlorabo podatkov okoli 50 milijonov uporabnikov še vedno odmeva, a slovenski informacijski pooblaščenec do zdaj proti družbenemu omrežju sploh ni mogel ukrepati, tudi če bi hotel, saj Facebook v Sloveniji nima predstavništva. "Takšna zloraba podatkov je bila kazniva že po stari zakonodaji, a ker Facebook nima podružnice v Sloveniji, informacijski pooblaščenec nima pravne podlage za ukrepanje," je pojasnila, da z novo uredbo prihaja možnost ukrepanja, če bi bili oškodovani prebivalci Slovenije, saj bo podjetje moralo imenovati predstavnika v Sloveniji. "Vodilni v takšnem inšpekcijskem postopku, ki bi koordinirano potekal v več državah, bi bil organ, kjer je sedež podjetja, v tem primeru bi to bil najverjetneje irski informacijski pooblaščenec," je še pojasnila.

Brskanje šefov po družbenih omrežjih
"Pomemben je namen obdelave podatkov, torej podjetja lahko zbirajo tiste osebne podatke (ureja zakon o delovnih razmerjih), ki jih potrebujejo v povezavi z uresničevanjem pravic in obveznosti iz delovnega razmerja," je pojasnila, kateri podatki smejo zanimati vodilne. "Brskanje po zasebnih profilih pomeni poseg v zasebnost, ki presega samo vprašanje varovanja osebnih podatkov," je opozorila.

"Če se postavimo v čevlje posameznika, v čevlje državljana, starša, otroka, in če pogledamo na nevarnosti, ki pretijo, se vprašamo, zakaj ne bi imeli vseh teh varoval. GDPR je seveda uredba o tehnikah, o tehnologijah, procesih in orodjih, ampak je tudi uredba, ki določa to, kaj je prav. Podjetja nimajo pravice, da bi zlorabljala osebne podatke, ki so jih pridobila na napačen način," je opozorila.

A vsako ukrepanje delodajalcev glede na informacije, zbrane s pomočjo družbenih omrežij, ni sporno. "Če sem recimo na bolniškem dopustu, na svojem profilu na Facebooku pa medtem objavljam slike s smučanja, je to gotovo nekaj, kar lahko delodajalec uporabi kot začetek preverjanja, ali sem utemeljeno na bolniškem dopustu," je navedla primer upravičenega preverjanja.

Hramba podatkov in pravica do pozabe
Dolžina hrambe podatkov je po njenih besedah odvisna predvsem od namena. "Če gre za zbiranje osebnih podatkov v okviru zakona, je priporočljivo, da takšen rok določi zakon sam, če pa gre za zbiranje podatkov v okviru drugih pravnih podlag, bodisi po pogodbi ali s privolitvijo, mora biti rok hrambe podatkov prav tako določen," je pojasnila.

Pogosto je slišati, da vse, kar je enkrat na medmrežju, tam ostane večno. Ali ne bo več tako? "Dejstvo je, da je obdelava osebnih podatkov na spletu bistveno drugačna kot na papirju, dejstvo pa je tudi, da že danes obstaja pravica do izbrisa nezakonito pridobljenih osebnih podatkov, po novem poimenovana pravica do pozabe," je odgovorila in hkrati poudarila, da pravica do pozabe zadeva zgolj nezakonito pridobljene podatke. Obdelava podatkov na spletu pušča drugačne sledi in je gotovo veliko večji poseg v zasebnost kot klasična zdaj že rahlo zastarela papirnata birokracija, je sklenila.

Najpogostejše kršitve v Sloveniji
Katere so najpogostejše zlorabe osebnih podatkov v Sloveniji? "Področje videonadzora, spletnega trženja, pridobivanje zbirk osebnih podatkov na nezakonite načine, kršitve obdelave osebnih podatkov v okviru delovnih razmerij," je naštela.