Milijonske kazni za neprimerno varovanje podatkov
Tudi posamezniki bomo morali za zaščito svoje zasebnosti narediti več
Slovenija je po več letih čakanja vendarle dobila novi zakon o varstvu osebnih podatkov, ki je med drugim v pravni red implementiral evropsko splošno uredbo o varstvu osebnih podatkov, znano tudi kot uredba GDPR, ki jo uporabljamo že skoraj pet let. A če informacijski pooblaščenec doslej za kršitve ni mogel izrekati glob, se bo to z novim zakonom spremenilo.
Evropska uredba GDPR je maja 2018 podjetjem in organizacijam naložila bolj opredeljeno pravno podlago za obdelavo osebnih podatkov, kar naj bi prineslo več preglednosti pri politiki zasebnosti. Med drugim jim je naložila imenovanje pooblaščenih oseb za varstvo osebnih podatkov, posameznikom pa dala pravico, da se z obdelavo podatkov (ne) strinjajo, da zahtevajo izbris ali pa pridobitev zbranih podatkov. »Splošna uredba o varstvu podatkov je v teh petih letih dobro zaživela in je predvsem prinesla svež veter ter povečano zanimanje za varstvo podatkov. Glede na to da smo imeli v Sloveniji že pred njo uveljavljeno zakonodajo, ki je zagotavljala visoko raven varstva podatkov, je bil najbrž pri nas prehod nekoliko lažji,« meni informacijska pooblaščenka Mojca Prelesnik, ki ugotavlja, da so se nekatere novosti uveljavile bolje, druge manj. Kot pravi, ima na primer izvajanje ocen učinkov še veliko potenciala zlasti na področju izredno hitrega razvoja in vnosa novih tehnologij v vsakdanje življenje in poslovanje, pogosto ob pomanjkljivem poznavanju resničnih posledic teh tehnologij.
Prostor za izboljšave
Tudi direktorica Info hiše in strokovnjakinja za varstvo osebnih podatkov Bojana Pleterski se strinja, da je splošna uredba podjetjem in organizacijam prinesla bolj jasne podlage glede varstva osebnih podatkov posameznikov in da smo dosegli napredek, a kot opozarja sogovornica, bodo morali tako podjetja kot posamezniki na tem področju narediti več. Pri velikih korporacijah, predvsem neevropskih, zaščita osebnih podatkov še vedno peša, prav tako se bomo morali naučiti zahtevati svoje pravice uporabniki, ki nemalokrat avtomatično dajemo osebne podatke ali pa soglasja za pogoje različnih aplikacij, programov, tako imenovanih piškotkov in podobno. »Na področju piškotkov bi si, denimo, želeli neka standardizirana obvestila, da uporabniku ne bi bilo treba vedno znova brati povsem različnih in predolgih besedil, za kaj gre. To področje je zelo neurejeno,« ponazarja Bojana Pleterski.
Dodaten pospešek na tem področju bi lahko prinesel nov zakon o varstvu podatkov (ZVOP), ki je začel veljati konec januarja. Med drugim prinaša nekatere spremembe pri izvajanju videonadzora, uporabi biometričnih ukrepov in obdelavi genskih podatkov, pa tudi pri varstvu osebnih podatkov umrlih ter obdelavi podatkov za znanstvenoraziskovalne namene. Prav tako prinaša nekaj sprememb pri obdelavi podatkov v javnem sektorju in pri podatkih državnega pomena. Ključna novost pa je, da bo lahko informacijski pooblaščenec po novem kršilcem uredbe GDPR izrekal tudi globe, ki bodo znašale od dva do štiri odstotke letnega prometa podjetja oziroma od 2,5 pa tudi do 20 milijonov evrov, odvisno od teže kršitve. Doslej denimo za neposredovanje informacij posamezniku o obdelavi podatkov, neupoštevanje pravice do prenosa ali omejitve obdelave podatkov in neimenovanje pooblaščene osebe ni mogel izrekati sankcij.
Dokončna implementacija
Kazni bodo višje tudi za druge kršitve zakona, lahko bodo dosegle od nekaj sto pa tudi do 40.000 evrov. »Pomembna novost je še to, da je informacijski pooblaščenec z ZVOP dobil pristojnost izrekanja sankcij za kršitve splošne uredbe, česar do sedaj ni mogel. Sankcije se bodo izrekale kot prekrški in ne kot upravne globe,« pojasnjuje Prelesnikova.
Bojana Pleterski meni, da je bilo obdobje negotovosti po uveljavitvi splošne uredbe predolgo, zato je prav, da smo vendarle dobili nov zakon o varstvu osebnih podatkov, ki bo omogočil dokončno implementacijo uredbe GDPR. »Ta zakon seveda prinaša nekatere omejitve, po drugi strani pa nas usmerja k rešitvam, ki omogočajo varno ravnanje z osebnimi podatki,« razloži. Strinja se, da pri varstvu osebnih podatkov še vedno trčimo ob nekatere druge pravice in je potem treba iskati druge poti, da se upošteva vse predpise.
• Zaščita podatkov pri velikih korporacijah je še vedno slaba.
• Kazni znašajo od nekaj sto evrov do 20 milijonov.
• Varstvo podatkov včasih trči ob druge pravice.