blog

Rudolf Urban
Rudolf Urban

Varovanje zasebnosti – po štirih letih veljavnosti Splošne uredbe o varstvu podatkov (SUVP) - še vedno gradbišče?

Ste že slišali za oceno učinka v zvezi z varstvom podatkov? Ali imate izkušnje s kršitvijo varnosti podatkov? Ste kdaj morali uresničiti pravice, ki jih potrošnikom daje evropska uredba? Ali morda spadate med tista podjetja, ki še nimajo pravega sistema za upoštevanje pravnega okvira. Tudi, če je bila potrebna dokumentacija in organizacija v podjetju izdelana oz. vzpostavljena ob uvedbi SUVP, je lahko v preteklih štirih letih prišlo do kake spremembe v potekih in v sistemih za obdelavo podatkov, tako, da je potrebna posodobitev dokumentacije v podjetju.

Evropska uredba je stopila v veljavo pred več kot štirimi leti, dne 25.05.2018. Od tedaj naprej so formalno poenoteni predpisi za varstvo podatkov v državah članicah EU in v treh državah Evropskega gospodarskega prostora (EGP), to so Islandija, Lihtenštajn in Norveška. Evropska uredba dopušča v približno sedemdesetih primerih odstopajoče ureditve v državah članicah, v kolikor se sprejmejo v zakonski obliki. Do odstopanj pa prihaja v zadnjih letih tudi zaradi neenotnih interpretacij s strani nadzornih organov v posameznih državah, kar ni optimalno za vzpostavitev skupnega evropskega digitalnega domačega trga znotraj EU.

Po štirih letih veljavnosti SUVP so bili objavljeni mnogi prispevki, ki so skušali ugotoviti in povzeti najbistvenejše točke razvoja na tem področju in potegniti neko vmesno bilanco o uspehu, o posledicah in o smislu uvedbe SUVP.

Glavni cilj SUVP, ki je v poenotenje predpisov za varstvo podatkov v EU, naj bi bil v veliki meri dosežen. Tudi, če so posamezne države v določenih točkah koristile možnost individualnih ureditev, je to omejeno več ali manj le na podrobnosti, ki pa ne vplivajo negativno na zastavljeni glavni namen uredbe. SUVP namreč na primer predvideva starostno mejo šestnajstih let za posameznika, da lahko veljavno daje izjave, v Avstriji se je zakonodajalec odločil za to, da je starostna meja za samostojne odločitve posameznikov že pri štirinajstih letih. Ker je to usklajeno s splošnim avstrijskim pravnim redom glede starostnih omejitev za pravno sposobnost, je to tudi konsekventno.


Gospodarski razvoj v smeri vsevečje digitalizacije poslovanja in v širjenje spletnih ponudb zahteva, da država vzpostavi ustrezni pravni red, ki na eni strani zaščiti interese posameznikov in na drugi strani podjetjem omogoča razvoj novih poslovnih modelov. Mednarodno poslovanje je za gospodarstvo velikega pomena. Seveda pri tem ne sme biti konec na meji Evropske unije. Pomembna točka je namreč pretok podatkov, ki se znotraj EU in EGP lahko prenašajo neomejeno. Za prenos izven skupnega trga v tretje države je potrebna ustrezna pravna podlaga. Merodajni so na primer sklepi Evropske komisije, ki potrjujejo enakovrednost zaščitnih mehanizmov. Pozitivni sklepi so na primer dani za Švico, Kanado, Argentino, Veliko Britanijo in še za nekatere druge države. Če takega sklepa ni, je potrebna vzpostavitev posebnih garancij, ki zagotavljano zaščito osebnih podatkov.

Sklep ustreznosti za Združene države Amerike (ZDA) je bil razveljavljen s strani Evropskega vrhovnega sodišča, tako, da so trenutno vse obdelave, pri katerih se podatki prenašajo v ZDA, potrebne posebne pozornosti. Ena možna pot je, da se upravljavec sklicuje na standardne pogodbene klavzule (angleško: Standard Contractual Clauses – SCC) in jih dopolni s posebnimi garancijami in zaščitnimi mehanizmi kot so na primer psevdonomizacija, anonimizacija ali kriptiranje osebnih podatkov. V pripravi je nova pravna podlaga za prenos podatkov v ZDA, ki je načelno že dogovorjena med EU in ZDA in je znana pod začasnim nazivom Transatlantski okvir zaščite podatkov (Trans-Atlantic Data Privacy Framework). Podjetja za nemoteno poslovanje nujno potrebujejo nesporno pravno podlago, predvsem ko si predočimo pomen in važnost ameriških digitalnih storitev za svetovni trg.

Digitalizacija poslovanja prinaša močno povečanje obsega obdelanih podatkov, poleg splošnih poslovnih podatkov je tudi vseveč osebnih podatkov. S tem tudi raste tveganje, da pride do kršitve varnosti, ki je lahko v izgubi tajnosti, v kršenju integritete podatkov ali pa v izgubi oz. nedostopnosti podatkov. Vsaka izguba varnosti se mora s strani upravljavca preveriti, če je s tem morda povezano tveganje za posameznika. V primeru ugotovitve tveganja mora o tem biti obveščen nadzorni organ, če pa se ugotovi veliko tveganje mora biti obveščen tudi posameznik, da lahko sprejme ustrezne korake za zmanjšanje ali za odpravo rizika. Če bi pri kriminalnem vlomu v računalniški sistem bili na primer ukradeni podatki o bančnih računih ali o kreditnih kartah posameznika, obstoja tveganje, da posameznik utrpi finančno škodo. Če se kreditna karta pravočasno zapre, je mogoče tveganje bistveno zmanjšati.


Raziskave in objave v medijih kažejo, da kriminalni storilci vedno spet uspejo prelisičiti varnostne mehanizme podjetij in javnih institucij. Poročila o spletnem kriminalu (angleško: Cyber Crime) se redno pojavljajo v medijih. Podjetja so obvezana, da svoje obdelave podatkov varnostno zaščitijo. Pri tem se morajo poslužiti aktualnega stanja tehnike, ki se hitro razvija naprej. Torej lahko ugotovimo, da prilagoditev sistemov nikoli ni končana, kar dokazujejo tudi stalne objave novih varnostnih težav v operativnih sistemih. V takšnem primeru je pomembno, da upravljalci sistemov čim hitreje obnovijo in aktualizirajo svoje programe, najbolje z avtomatskimi posodobitvami. Dostopi do računalniških sistemov so trenutno še vedno najpogosteje zaščiteni z gesli. Dolgo je prevladalo mnenje, naj so gesla čim daljša, naj so brez besed, ki jih najdemo v slovarjih, in brez osebnih povezav do posameznika. Danes velja nasvet, naj se dodatno uvede multifaktorska avtentifikacija, saj ta veliko bolj ustreza zahtevi po aktualnem stanju tehnike.

Spletni kriminalci uporabljajo SUVP tudi za vzpostavitev dodatnega pritiska pri izsiljevanju, saj pretijo s tem, da bodo objavili ukradene podatke. Izsiljevanje s kriptiranimi podatki (angleško: ransomware) mnogokrat privede to tega, da podjetja plačajo odkupnino v upanju, da bodo podatki v datotekah ponovno dostopni in da bo dogodek ostal zaupen. Pravno je jasno, da se mora vsaka izguba varnosti, ki vsebuje tveganje za posameznika, javiti nadzornemu organu, saj je tudi zamolčanje kršitve varnosti kaznivo.

Posebno pozornost zahtevajo globe in kazni, ki jih nadzorni organi zahtevajo ob kršitvah veljavnega pravnega okvira. Višina kazni je lahko ogromna, saj lahko znaša do 20 milijonov evrov ali pa do 4 % svetovnega prometa, ki ga ima dotično podjetje. Najvišje kazni so bile doslej izrečene podjetju Amazon v višini 746 milijonov evrov zaradi nedopustnega spletnega reklamiranja, podjetju WhatsApp v višini 225 milijonov evrov zaradi nekorektnega informiranja o obdelavi (kršitev načela transparentnosti), podjetju Google (kar tri krat) v višini 50, 60 in 90 milijonov evrov zaradi nezadostne transparentnosti, zaradi nepravilnega koriščenja piškotov in zaradi neprijaznega upravljanja piškotov. Vsakdo, ki ima v uporabi aplikacije Windows, Microsoft Office 365 ali pa Microsoft Teams in tudi druge znane ameriške ponudbe za videokonference, za shrambo v oblaku, za komunikacijo itd. se mora podrobneje baviti s tozadevnim pravnim redom.

Najvišje kazni so bile torej izrečene spletnim velikanom, kar je zaradi njihove tržne dominance in velikega prometa logično. Vendar ni mogoče izhajati iz tega, da kazni doletijo samo velika podjetja, saj analize v Nemčiji kažejo, da se kršitve varnosti dogajajo predvsem pri malih in srednje velikih podjetjih in pri samostojnih podjetnikih. Pri tem ne smemo prezreti, da so skoraj v vsakem podjetju prisotni pomembni in zaščite vredni osebni podatki. Začne se že pri podatkih o zaposlenih in se nadaljuje pri podatkih, ki jih posamezniki zaupajo podjetju kot koristniki ponudb in storitev. Morda so med podatki tudi zdravstveni podatki, biometrični podatki, finančni podatki, podatki o mladoletnih itd. Posebno poglavje je vedno bolj razširjeni videonadzor poslovnih prostorov ali pa vhodnih vrat. Potrebna je ustrezna pravna podlaga in zadostna dokumentacija rizika, ki bi s tem bil povezan za posameznika, če se snemanju ne more izogniti. Pri tem je priporočljiva ustrezna analiza in dokumentacija rizika, da se v primeru pritožbe dokaže pravno pravilno postopanje.

Podjetja morajo v svojih sistemih imeti vgrajene zaščitne mehanizme ki jih SUVP zahteva v načelih vgrajenega in privzetega varstva podatkov (angleško: privacy by design and privacy by default), kar pomeni, da se mora varovanje zasebnosti upoštevati od prve koncepcije obdelave podatkov naprej do trenutka, ko koristnik spletne storitve vstopi v sistem in so vse nastavitve kodirane v zaščito posameznika. Uporabnik se mora nato aktivno in obveščeno odločiti za vnos podatkov in za to, da jih zaupa podjetju, ki mora z njimi ravnati skrbno in v skladu z načeli SUVP.


Če skušamo ob zaključku razmišljanja povzeti ključne teme, vidimo, da je tematika varstva podatkov dinamična, ker je podvržena tehničnemu razvoju, predvsem zaradi nadaljnje digitalizacije. Odločbe nadzornih organov in sodišč pomagajo pri interpretaciji pravnega reda. Zaradi vseevropske veljavnosti SUVP so tudi odločbe nadzornih organov drugih evropskih držav pomembne, če se nanašajo na splošna pravna vprašanja. Avstrijski nadzorni organ je na primer pred kratkim objavil sklep, ki v konkretnem primeru prepoveduje uporabo določenega orodja za spletno analizo (Google Analytics), kmalu nato pa so bili tudi v drugih državah sprejeti podobni sklepi. Ob tem ima pomembno vlogo Evropski odbor za varstvo podatkov (European Data Protection Board - EDPB), katerega predsednica je predsednica avstrijskega urada za varstvo podatkov. Za ključna vprašanja odbor objavlja posebne smernice, tako, da se tem zagotovi enotna interpretacija predpisov v vseh državah EU.

Ozaveščenost ljudi, potrošnikov, da je zaščitna zakonodaja pomembna in koristna, bi se morala še bistveno povečati. Ljudje poznajo in opažajo predvsem moteča okenca v spletu, ki največkrat le površno obveščajo o uporabi piškotov. Mnogo ljudi daje soglasje pavšalno in brez večjega premišljevanja, tudi objavljanje osebnih podatkov in slik v socialnih omrežjih pogosto kaže, da ljudje na zasebnost ne polagajo velike važnosti.

Po štirih letih veljavnosti SUVP ostajajo mnoge teme odprte. Odločbe nadzornih organov, smernice Evropsklega odbora za varstvo podatkov in sklepi sodišč pomagajo pri interpretaciji predpisov. Tudi v naslednjih letih morajo podjetja računati s tem, da bodo sproti potrebne prilagoditve, predvsem tedaj, če se s svojim poslovanjem podajo v splet. Digitalizacija poslovanja, avtomatizacija potekov, optimiranje obdelave podatkov ali pa umetna inteligenca so teme prihodnosti, ki jih ne smemo zamuditi, če želimo biti in ostati konkurenčni. Pravilno upoštevanje zakonodaje za varstvo podatkov je lahko tudi velika konkurenčna prednost.


Avtor:

Mag. Rudolf Urban, MSc
podjetniški svetovalec

DE Dataexpert e.U.
rudolf.urban@expertgruppe.at
www.expertgruppe.at