Kakšne podatke lahko različne ustanove zahtevajo od nas?
Komu lahko brez negativnih posledic zaupamo podatke o datumu rojstva, emšo, davčno številko, številko bančne kartice?
Osebne podatke zbirajo in uporabljajo različna podjetja in institucije, vendar pa vaše podatke lahko obdelujejo samo »prave osebe ob pravem času«, kar pomeni, da morajo imeti za to ustrezno pravno podlago. So primeri, ko na zbiranje osebnih podatkov ne morete vplivati. Recimo, če želite naročiti izdelek prek spleta, morate trgovcu zaupati svoj naslov, sicer storitve ne bo mogel opraviti. Banke in zavarovalnice imajo v zakonu napisana široka pooblastila, kaj vse lahko zbirajo o vas, zato da lahko vodijo vaše račune oziroma vam ponujajo zavarovalniške storitve. Velikokrat pa se podatki lahko zbirajo ali obdelujejo, če v to privolimo. Takrat imamo moč, da premislimo o tem, ali želimo dati svoje podatke, oziroma moramo imeti možnost to zavrniti. Privolitev mora biti dana za točno določen namen, poleg tega pa naš neodziv, na primer predobkljukana polja na obrazcih, ne more biti razumljen, kot da smo privolili v obdelavo naših podatkov.
Kakšne podatke lahko različne ustanove zahtevajo od nas? Kakšne podatke zaupati podjetjem?
Prvo pravilo je, da smejo podjetja in ustanove zahtevati samo tiste podatke, ki jih dejansko potrebujejo za neko storitev. Na primer, spletni trgovec potrebuje vaš naslov, da vam lahko naročilo dostavi, ne potrebuje pa številke vaše noge, če seveda niste naročili čevljev. Organizacije morajo sicer že vnaprej pojasniti, katere vaše podatke potrebujejo in zakaj, in pri tem morajo biti izčrpne in natančne. Prav tako ima vsak pravico zahtevati od organizacij pojasnilo o tem, katere njegove podatke imajo in zakaj ter kako jih obdelujejo. Še posebej na spletu je zelo pogosto, da nas spletni velikani, kot sta Google in Facebook, spravijo v položaj, ko težko zavrnemo posredovanje podatkov. Na primer, z dizajnom obrazcev za privolitev nas nevidno usmerjajo v smer, kjer nam je lažje klikniti »se strinjam« kot pa preklikati več povezav, da pridemo do možnosti, bolj prijaznih do zasebnosti.
Kaj pa podatki o zdravstvenem stanju, testiranju, cepljenju, kdo jih lahko zbira in posreduje?
To so občutljivi podatki, ki jih sme od nas zahtevati le organizacija, ki ima za to podlago v zakonu, v neki konkretni situaciji, ko je obdelava teh podatkov nujna in sorazmerna. V obdobju epidemije smo z obdelavo teh podatkov soočeni na vsakem koraku, zelo pogosto je predpisana kar z vladnimi odloki. Čeprav se s tem morda na strinjamo, je treba povedati, da tovrstne odloke moramo spoštovati, dokler se o njih ne izrečejo sodišča. Pri Informacijskem pooblaščencu smo do tega kritični, saj se pogosto dogaja zbiranje podatkov na zalogo, brez jasnega namena, na primer pri aplikaciji za sledenje stikov, pa pri prijavah na cepljenje na portalu eUprave, preverjanju digitalnih potrdil na vsakem koraku in še bi lahko naštevali. Nedvomno podatki lahko zelo koristno pomagajo pri odzivanju na epidemijo, vendar je treba razumeti, kateri podatki bodo pomagali kateremu cilju in kako, ali e je to res učinkovito, sorazmerno. Reševanje življenj ne pomeni, da moramo povoziti druge pravice, tudi zasebnost.
Izbris svojih osebnih podatkov lahko zahtevate, če jih neka organizacija hrani nezakonito, če jih ne potrebuje več ali če ste preklicali svojo prvotno privolitev za zbiranje. To naredite tako, da organizaciji pošljete zahtevo za izbris osebnih podatkov, po navadni ai elektronski pošti, uporabite pa lahko tudi obrazce, objavljene na strani Informacijskega pooblaščenca. Rok za odgovor je 30 dni. Če v tem času ne prejmete zahtevanih podatkov ali odgovora, se lahko pritožite Informacijskemu pooblaščencu. Več o tem najdete na spletni strani Informacijskega pooblaščenca, pa tudi v priročniku Moji podatki, moja stvar, ki smo ga pripravili v okviru projekta iDecide, ki ga financira Evropska unija.
Nadzor na tem področju izvaja Informacijski pooblaščenec, če na primer neki upravljavec osebnih podatkov z osebnimi podatki počne nekaj, česar ne bi smel, ker za to nima ustrezne pravne podlage, denimo zakonske, ali ker nima posameznikove privolitve. Ali pa če ne skrbi dovolj za varnost osebnih podatkov, ki jih sicer zakonito vodi, pa so recimo odtujeni v hekerskem napadu, oziroma če se ne odzove na zahtevo posameznika po izvrševanju svojih pravic. Prijavo oziroma pritožbo lahko posameznik vloži tudi na obrazcu, ki je na naši spletni strani.
Simona Fajfar