Vse o uredbi GDPR

Letos poleti se je zazdelo, da je na delu nov kriptovirus, ki uničuje sisteme in povzroča veliko poslovno škodo. Po spletu so se razširile objave, da prihaja uredba GDPR, da ni nanjo skoraj nihče pripravljen, da bo tukaj prej, kot si mislite, in da bodo posledice res katastrofalne.

Od zgornjih trditev je resnična le ena. In to tista, ki napoveduje prihod GDPR (General Data Protection Regulation oziroma, po slovensko, Splošna uredba o varstvu podatkov), saj se konec maja 2018 izteče prehodno dveletno obdobje, ko bo uredba začela veljati. Uredba dodatno ureja in poenostavlja varovanje osebnih podatkov in usklajuje zakonodaje vseh članic Evropske unije.

»Splošna uredba EU o varstvu podatkov (GDPR) zavezuje vse, ki računalniško obdelujejo podatke, ki se nanašajo na fizične osebe,« pojasnjuje Boštjan Makarovič iz svetovalnega podjetja Aphaia, ki se ukvarja s pravnim svetovanjem na področju zasebnosti in zaščite podatkov. »Tu gre lahko za podatke o sedanjih ali bodočih strankah, o zaposlenih ali pa, denimo, za seznam elektronskih naslovov ali podatke o obiskovalcih spletnega mesta. Izvzeta je obdelava, ki jo izvajajo fizične osebe za povsem osebne ali gospodinjske potrebe,« pojasnjuje.

Jelena Burnik, državna nadzornica za varstvo osebnih podatkov pri Informacijskem pooblaščencu, dodaja, da gre »pri GDPR predvsem za izboljšavo mehanizmov, ki so bili na tem področju na voljo že zdaj, in za razvoj nekaterih novih varoval, saj se predvsem tehnološko okolje zelo hitro spreminja.« Tako GDPR prej pomeni evolucijo kot revolucijo na tem področju, čeprav nekateri novi ukrepi na prvi pogled zvenijo zares revolucionarno.

Kaj je novega v GDPR?

GDPR ureja vse dejavnosti zbiranja in obdelovanja osebnih podatkov in vpliva na vse strani v teh procesih. Tako za končnega uporabnika širi nabor pravic in mu daje več nadzora nad lastnimi podatki, ki jih je prepustil tretji osebi. Uporabnik tako lahko od upravljavca podatkov zateva popravek, izbris, omejitev obdelave in prenos podatkov k drugemu upravljavcu.

»Gre za nekakšno odraščanje na tem področju,« ukrepe komentira Burnikova, »saj smo v petnajstih letih, odkar je bila sprejeta prva evropska zakonodaja o varovanju osebnih podatkov, videli konkretne tržne spremembe in vse večjo razvitost razumevanja varstva osebnih podatkov pri organizacijah. Tako se ukrepi GDPR razvijajo predvsem v smeri nalaganja odgovornosti tistim, ki podatke obdelujejo, in ne samo strogim inšpekcijam oziroma kaznovalnim elementom ob kršitvah.«

Tako uredba od upravljavcev osebnih podatkov (gre za pravne osebe, ki jim uporabniki prepuščamo svoje osebne podatke v zameno za brezplačno storitev oziroma drug digitalni izdelek, oziroma naše osebne podatke uporabljajo za vodenje evidenc) zahteva izboljšano varovanje zbranih osebnih podatkov, uradno obveščanje o zlorabah varovanih podatkov in imenovanje tistega, ki bo v podjetju zadolžen za to področje.

Večinoma bodo te nove zadolžitve zadevale upravljavce osebnih podatkov, katerih dejavnosti intenzivneje temeljijo na podatkih posameznikov, npr. za zavarovalnice, banke, vladne ustanove oziroma javni sektor – skratka organizacije, ki že zdaj obdelujejo velike količine osebnih podatkov in so morale zelo verjetno svoje delovanje že zdaj uskladiti z veljavno zakonodajo na tem področju.

»Seveda pa GDPR ni namenjena le tem subjektom. Pravilneje je, če rečemo, da je namenjena prav fizičnim osebam, katerih podatki se obdelujejo, saj krepi njihove pravice, denimo glede zahtev za veljavno osebno privolitev za obdelavo in z uvedbo pravice do pozabe,« opozarja Makarovič.

A Burnikova opozarja na dve podrobnosti. »GDPR se nanaša le na tiste deležnike, ki dejansko obdelujejo osebne podatke,« pojasnjuje in dodaja, »da bo GDPR za podjetja, ki že zdaj zbirajo in obdelujejo osebne podatke, pomenila nov razlog za prevetritev njihovih politik na tem področju, oceno obsega zbiranja osebnih podatkov in optimiziranje poslovanja na tem področju.« Dodatno poudarja, da mora Slovenija na tem področju sprejeti še lokalno zakonodajo, s katero bo GDPR lokalizirala. »Zaenkrat še ne vemo natančno, kdaj in kako se bo to zgodilo,« opozarja.

GDPR bo stopil v veljavo konec maja 2018, razmere na trgu pa so mešane. »25. maja 2018 mora biti poslovanje zavezancev že usklajeno z GDPR, tega pa ni mogoče doseči čez noč. Evropske multinacionalke se na novo ureditev pripravljajo že od lanske jeseni,« opozarja Boštjan Makarovič in dodaja, da je »v Sloveniji stanje mešano: nekatera večja podjetja jemljejo GDPR kar se da resno, druga pa žal kot birokratsko nujnost. Slednji pristop je napačen. GDPR je pisan na način, ki zahteva strateško prilagoditev poslovanja z udeležbo najvišjega menedžmenta, ne pa odkljukanje okenc s strani vodje informatike ali nekoga, ki se je po fakulteti ravnokar zaposlil v pravni službi,« svari Makarovič. »Podjetja, ki se bodo prilagajala na slednji način, ne bodo prestala resnega inšpekcijskega pregleda in jim grozi globa celo do 4 % globalnega letnega prometa,« pristavlja.

Vesolje osebnih podatkov

Po podatkih javnomnenjske raziskave Evrobarometra je večina vprašanih Slovencev prepričana, da je zaupanje osebnih podatkov postalo del vsakdanjega življenja in da se temu ni mogoče izogniti. Obenem dobro polovico vprašanih to zelo skrbi, velika večina pa si želi nad svojimi osebnimi podatki več nadzora oziroma možnosti upravljanja.

Na drugi strani vedno večje zbirke osebnih podatkov v spletu pomenijo vedno večje varnostno tveganje, ob vsakem vdoru v veliko bazo in odtujitvi večje količine osebnih podatkov pa uporabniki ugotavljamo, kako nevarno in nezavarovano je to področje.

Oglejmo si samo zgled ameriške kreditne družbe Equifax, ki je letošnjega septembra še enkrat pokazala, kako nezaščitene in kako velike so zbirke naših osebnih podatkov. Equifax je ameriško podjetje, ki za banke in druge pravne osebe ocenjuje kreditno sposobnost ameriških potrošnikov. V ta namen o končnih uporabnikih zbira velikanske količine osebnih in drugih podatkov, s katerimi nato izračunava ocene njihovo kreditno sposobnost.

Letos jeseni so prišle v javnost informacije o kibernetskem vdoru v Equifaxovo zbirko podatkov, kjer so neznanci več mesecev pregledovali in odtujevali osebne podatke Američanov. Da bi bila zadeva še hujša, je regulatorje in splošno javnost razburilo to, da so takoj po vdoru direktorji podjetja začeli prodajati delnice, ki so jih imeli v podjetju, javnost pa so o vdoru obvestili šele več mesecev kasneje.

A Equifax je bil le del snežene kepe, ki se vali že vsaj deset let. In samo leta 2017 smo lahko brali o več desetinah vdorov v zbirke podatkov, ki so bili posledica nepooblaščenega dostopa, nezadostno varovane zbirke, tehnične napake oziroma človeškega dejavnika.

Boštjan Makarovič pojasnjuje, da skuša GDPR odgovoriti na podobne izzive informacijske družbe. »Dosedanja ureditev varstva osebnih podatkov je bila pisana v času, ko so bile zbirke podatkov lokalne, računalniki niso bili povezani v mrežo, posamezniki pa niso imeli dostopa do interneta. Danes imamo opravka ne le z internetom, temveč tudi z mobilnostjo uporabnikov, z računalništvom v oblaku, “velikimi podatki” v zasebnem sektorju, ko nekatere korporacije pogosto vedo o nas več kot mi sami, in internetom stvari, ki v tej povezavi obeta še dodatno množitev števila informacij, povezavih s posamezniki.«

Tako je po Makarovičevo »v tem kontekstu pristop, ki ga še vedno pozna tudi naša zakonodaja, po katerem podjetja prijavljajo Informacijskemu pooblaščencu zbirke podatkov, kot da bi šlo za nekaj statičnega, povsem neživljenjski. Obdelava velikih količin podatkov je neizogibna stvarnost – a z njo mora priti tudi prava odgovornost za napravilnosti v smislu resne presoje vplivov kot ene od zahtev GDPR.« 

Tudi Burnikova opozarja, da je z nastankom pojma množični podatki (big data) prišlo do pretiranega zbiranja in hranjenja osebnih in drugih podatkov o posameznikih, namen pa velikokrat ni jasen. »Obljuba fantastičnih rezultatov zbiranja podatkov je prisotna na vseh področjih, od sodstva, trgovine do medicine, napovedovanja okoljskih sprememb,« ocenjuje Burnikova in nadaljuje, da »se ta obljuba ne uresniči v vseh primerih, podatki pa se kljub temu zbirajo, se v določenih primerih ne uporabljajo za namene, za katere so bili zbrani, se preprodajajo ...«

To lahko kasneje povzroči problematične prakse podjetij, ki na podlagi pridobljenih podatkov svoje storitve prodajajo pod drugačnimi pogoji. Burnikova opozarja na zavarovalnice, ki določenim zavarovancem morda ne bodo hotele prodati življenjskega zavarovanja, ker bodo iz zbranih podatkov razbrali zelo nezdrav življenjski slog. Ali pa bodo banke začele zavračati kredite na podlagi zbranih podatkov, iz katerih bo razvidno, da življenjski slog prosilca ni ravno zgleden. Seveda se lahko na drugi strani zgodi, da bodo z zbranimi podatki institucije natančneje napovedovale in razreševale pandemije, izboljšale učinkovitost zdravil, oziroma preprečevale oziroma omilile naravne katastrofe – »a tega ne moremo vedeti vnaprej,« pojasnjuje Jelena Burnik.

Osebni podatki so dobri za posel

Drugi razlog za uvedbo GDPR je poenotenje zakonodaje po članicah Evropske unije, kar bo imelo za posledico bolj predvidljivo poslovno okolje.

Za začetek se bodo morala podjetja bolj ukvarjati z zbranimi in shranjenimi osebnimi podatki, to pa bo imelo za posledico boljše razumevanje zbranih in (ne)uporabljenih zbirk podatkov in odpravo zbirk podatkov, ki ne rabijo svojemu namenu. Z uporabniško privolitvijo v zbiranje podatkov bodo podjetja dobila boljše podatke o zainteresiranih uporabnikih, in o uporabnikih, ki so osebne podatke prepuščali v hrambo zaradi prisile.

GDPR na hitro

- Razširjeno področje delovanja. GDPR se nanaša na državljane Evropske unije in NE upošteva geografske lokacije sedeža podjetja, ki obdeluje te podatke.

- Finančne kazni za kršitelje. Kazni za kršitelje lahko dosežejo do 4 % letnega prometa oziroma dvajset milijonov evrov (večja od obeh kazni).

- Soglasje. Soglasje za obdelavo podatkov mora biti jasno in nedvoumno. Podjetja se ne bodo mogla več skrivati za nejasnimi pogoji sodelovanja in pravnimi zankami.

- Obveščanje o vdorih. Podjetja bodo zavezana vse vdore prijaviti tri dni po ugotovitvi vdora oziroma odtujitvi podatkov o uporabnikih.

- Pravica dostopa do podatkov. Uporabniki bodo lahko od obdelovalca podatkov dobili informacijo o tem, ali se njihovi osebni podatki obdelujejo, za kakšen namen in v kolikšnem obsegu. Obdelovalec bo te podatke moral priskrbeti brezplačno in v elektronski obliki.

- Pravica do pozabe. Uporabniki bodo lahko od obdelovalca zahtevali izbris svojih osebnih podatkov, če ti ne bodo več relevantni za obdelavo, oziroma če se uporabnik ne bo več strinjal z namenom obdelave.

- Prenos podatkov. Uporabnik bo lahko od obdelovalca zahteval, da njegove zbrane osebne podatke prenese k drugemu obdelovalcu.

- Zasebnost šteje. V GDPR je zahteva po t. i. privacy by design, ki od obdelovalcev zahteva, da se osebne podatke začne ščititi že od snovanja sistema obdelovanja, in ne šele v postprodukciji.

- Pooblaščene osebe za varstvo osebnih podatkov. Določene pravne osebe, ki obdelujejo večje količine osebnih podatkov oziroma posebno občutljive osebne podatke, bodo morale imenovati posebne pooblaščene osebe za varstvo osebnih podatkov.

Dodatno prednost predstavlja prožnost zakonodaje, ki ne predpisuje istih ukrepov za vse vrste organizacij, temveč se prilagaja velikosti organizacije, obsegu in času hrambe uporabniških in osebnih podatkov. Na to opozarja tudi Makarovič, ki se ne strinja s kritikami, da bo nova regulacija na tem področju izključno slaba za posel.

»Nove obveznost po GDPR so priložnosti: uredba po eni strani uvaja strožje zahteve glede privolitve za obdelavo podatkov, a ob upoštevanju določenih pogojev, ki jih mora podjetje skrbno pretehtati, omogoča tudi nadaljnjo obdelavo brez izrecne privolitve,« komentira in ocenjuje, da bo »na prvi pogled seveda najteže dejavnostim, ki so že doslej obdelovale občutljive podatke, denimo na področju zdravstvenega varstva.«

Nekatera večja podjetja jemljejo GDPR kar se da resno, druga pa žal kot birokratsko nujnost.

Poleg zdravstvenega sektorja bodo po mnenju Boštjana Makaroviča v praksi »imeli veliko dela, denimo, ponudniki inovativnih marketinških rešitev, ki združujejo podatke o brskanje po internetu, fizično lokacijo posameznika in druge osebne preference, pri tem pa so pod stalnim pritiskom, da premikajo meje dopustne uporabe zbranih podatkov.«

Dodatna prednost harmonizacije osebnih podatkov uporabnikov bo tudi prenosljivost prek nacionalnih meja članic Evropske unije. Zakonodaja bo namreč omogočila, da bodo zaradi poenotenega pristopa podjetja znotraj Evropske unije podatke enostavnejše selila v različne članice, kar bo spet izboljšalo povezovanje podjetij in poslovne priložnosti znotraj Evropske unije.

DPO in vaše podjetje

DPO (data protection officer, pooblaščene osebe za varstvo osebnih podatkov) je še ena novost nove zakonodaje, in sicer gre za novo funkcijo znotraj podjetja, ki bo neodvisno nadzirala obdelavo in hrambo osebnih podatkov in druge procese, povezane s tem namenom.

A tudi tu je na trgu veliko zmede, saj agresiven nastop pravnih pisarn na trgu daje občutek, da je imenovanje te funkcije nujno, obvezno in da bodo podjetja avtomatsko v prekršku, če pooblaščenih za varstvo osebnih podatkov ne bodo imenovala. To pa ni res. Evropska zakonodaja namreč imenovanje pooblaščene osebe predvideva za tri jasno določene primere.

Pooblaščenec mora biti nujno imenovan v primeru, da gre za javno ustanovo. K imenovanju so torej zavezane vladne ustanove in drugi akterji javnega sektorja. Pooblaščenca bodo morale nujno imenovati tudi ustanove, ki redno in sistematsko obdelujejo veliko število osebnih podatkov, ter ustanove, ki obdelujejo občutljive osebne podatke in osebne podatke, povezane s kazenskimi kartotekami.

Če se bo podjetje samoiniciativno odločilo za imenovanje pooblaščene osebe, bo zavezano k spoštovanju dodatnih ukrepov in varovalk na tem področju, ki jim jih drugače ne bi bilo treba spoštovati.

Za začetek se bodo morala podjetja bolj ukvarjati z zbranimi in shranjenimi osebnimi podatki.

Obenem je treba poudariti, da pooblaščeni zaradi svojega neodvisnega statusa ne sme biti generalni direktor, glavni finančnik, vodja informatike, vodja marketinga oziroma vodja kadrovske službe in da se zna stanje spremeniti, če bi Slovenija na lokalni ravni sprejela zakonodajo, ki bi pooblaščeno osebo za varstvo osebnih podatkov predpisala vsem, ne glede na zgoraj omenjene primere.

Občutljivost javnosti bo ključna

Seveda pa nobena zakonodaja ne bo uredila področja, če se javnost glede osebnih podatkov ne bo senzibilizirala in jih prepoznala kot nekaj, kar velja varovati. Morda bi bilo za začetek dobro, ko bi se javnost naučila definicije osebnih podatkov in v preveliki želji po zasebnosti vsako informacijo o sebi razumela kot osebni podatek.

»Za osebni podatek šteje podatek, ki lahko nedvoumno določi človeka,« opozarja Jelena Burnik iz urada informacijskega pooblaščenca, »kar pomeni, da velika večina podatkov niso osebni podatki – tako v določenih primerih tudi ime in priimek nista dovolj za določitev človeka, saj je, recimo, Janezov Novakov v Sloveniji kar nekaj.«

GDPR je korak v pravo smer, ki upošteva spremembe na trgu, povečan obseg zbiranja (osebnih) podatkov o posameznikih in digitalno komponento, ki je na to področje vnesla več dinamike. A na koncu bo še vedno ključen dejavnik na tem področju dejanski lastnik osebnih podatkov – torej uporabnik. Vsaj doslej se ga je dalo kupiti s kompletom kuharskih pripomočkov, za katere je podjetju predal vse svoje osebne podatke. Za vedno.