Kaj uredba o varstvu osebnih podatkov pomeni za mesta?

Danes je začela veljati nova evropska uredba o varstvu podatkov (GDPR), s katero so se mnogi začeli ukvarjati šele zdaj. Ta ne bo vplivala le na podjetja, ampak tudi na javne institucije, mestne uprave. Kakšne spremembe bo prinesla? Kako se na GDPR pripravljajo evropska mesta? Kje jih čevelj žuli?
Fotografija: Pexels
Odpri galerijo
Pexels

Ne le podjetja, tudi mesta so se morala pripraviti na uredbo o varstvu osebnih podatkov (GDPR). Spomnimo, da uredba podjetjem, bankam, mobilnim operaterjem, trgovinam, oglaševalcem, javnim institucijam in drugim nalaga, da morajo imeti pooblaščeno osebo za varstvo osebnih podatkov (ang. Data Protection Officer – DPO). Njena glavna naloga bo svetovanje in nadzorovanje procesov obdelave osebnih podatkov. Poleg tega nova uredba prinaša višje globe za kršitelje, nalaga obvezno poročanje o vdorih v baze, poenotila bo varovanje osebnih podatkov, posameznikom omogoča uveljavitve pravice do pozabe. Vsem, ki obdelujejo osebne podatke, nalaga strožje pogoje za njihovo obdelavo; od posameznika zahteva jasno in nedvoumno privolitev v uporabo osebnih podatkov, omogoča tudi prenosljivost podatkov – svoje podatke bo posameznik lahko prevzel in jih prenesel h konkurenčnemu ponudniku. Ta uredba je mejnik pri varstvu podatkov. Kaj to pomeni za mesta in kakšne spremembe se obetajo v javnih institucijah po vsej Evropi? Kako daleč je implementacija zahtev, ki jih določa?

Intenzivne priprave občin

Dunaj, ki je pred časom gostil mednarodno konferenco o varstvu podatkov Podatki in demokracija – digitalni izzivi za mesta, je svetel primer, ki človekovim pravicam daje velik poudarek. Že od začetka podpira nevladno organizacijo »noyb« (Evropski center za digitalne pravice – none of your business), katere cilj je uveljavljanje novih pravic Splošne uredbe o varstvu podatkov. Martina Jacobs, začasna vodja strokovnega področja varstva podatkov, e-vlade in informacijskega prava z dunajskega magistrata je dejala, da so se pred uvedbo uredbe spopadli z zakonodajnimi, organizacijskimi in tehničnimi izzivi.

V Pragi so težko našli izvedenca za GDPR. podobno je v Bolgariji – Takih ljudi je zelo malo in tudi možnosti za njihovo izobraževanje nimajo. Težave imajo tudi na Madžarskem, kjer je na trgu težko najti neodvisne informatike in strokovnjake.

»Zaradi uredbe smo morali v Avstriji, kjer je devet zveznih deželnih zakonodajalcev, pripraviti zakon o prilagoditvi, ki je v postopku, prilagoditi smo morali tudi velik del zakonodaje. A to je bilo preprosto. Težja je bila prilagoditev na organizacijski ravni – če obdelujemo podatke, moramo dotično osebo o tem obvestiti in ji povedati, kdaj bomo podatke brisali, kam jih bom poslali, kako dolgo jih bomo obdelovali,« razlaga Jacobsova. Sicer pa e-uprava v Avstriji dobro deluje. Med 78 oddelki so delo z osebnimi podatki poenotili, pravi. Sedanji sistem so nadomestili s sistemom David, ki je bil še nekaj tedni v fazi programiranja in za katero niso bili prepričani, da bo končana do 25. maja, torej današnjega dne. V tem sistemu bodo imeli na Dunaju zbrane tudi ustrezne pogodbe, avtomatizirali bodo javljanje o morebitnih vdorih v sistem. »Za obvestila imamo zelo malo časa, zato smo si zamislili, da bi v primeru vdora v sistem vklopili merilnik časa za 72 ur. Če kršitve ne bi opazili v navedenem časovnem roku, bi se sistem avtomatsko ustavil,« je priprave na uredbo opisala Jacobsova.

Dimitrina Vitanova Gerasimova, glavna strokovnjakinja z oddelka za upravne postopke, arhiv, registracije občanov in administrativne storitve v Sofiji v Bolgariji pravi, da se občina, ki obdeluje 82 registrov z osebnimi podatki, intenzivno prilagaja GDPR. V prestolnici že zdaj hranijo izključno »zakonito pridobljene podatke, pri čemer oblika in obseg omogočata identifikacijo oseb za določene namene«. »Ustrezno z bolgarskimi zakonskimi navodili za ohranjanje podatkov, komisija, ki jo imenuje županja, redno preverja neizbrisane osebne podatke, ki so še v obdelavi,« je povedala. V Sofiji ne zbirajo občutljivih podatkov, kot so zdravje, spolna usmerjenost, politična pripadnost, barva kože … Oseba mora tudi jasno privoliti v obdelavo podatkov, »kadarkoli lahko zahteva uničenje ali blokado obravnave podatkov, če meni, da to ni potekalo skladno z zakonodajo«, je pojasnila.

Pexels
Pexels

Zaradi nove uredbe si v Pragi ne belijo las. Miroslava Matoušova, višja referentka za agendo vlade z nacionalnega urada za varstvo podatkov v Pragi pravi, da bo nova uredba prinesla »le majhne spremembe, a nič drastičnega«. Za spletno varnost je namreč dobro poskrbljeno: »Pred letom in pol, ko je svet trepetal pred virusom Wanna cry, smo bili mi mirni. Nismo dobili virusa, saj smo imeli visoke varnostne standarde in smo že navajeni na varstvo podatkov.« Dodaja, da si na vseh ravneh prizadevajo spoštovati uredbo. Kaznovanju kršiteljev, tudi državnih organov, pa je naklonjen celo predsednik.

Nerešena vprašanja o varnostnih kamerah

Attila Peterfalvi, predsednik Nacionalnega urada za varstvo podatkov in svobodo informacij iz Budimpešte opaža, da na Madžarskem do zdaj ni bilo dobro poskrbljeno za varnost osebnih podatkov.

Attila Peterfalvi, predsednik Nacionalnega urada za varstvo podatkov in svobodo informacij iz Budimpešte: Mestne uprave so namestile kamere za nadzor, zdaj bodo morale upoštevati in oceniti posledice te varnosti. Imamo določilo, ki pa šele nastaja.

Obregnil se je ob nadzorne kamere: »Mestne uprave so namestile kamere za nadzor, zdaj bodo morale upoštevati in oceniti posledice te varnosti. Imamo eno določilo, ki pa šele nastaja.« Pomenljivo je, da so na Madžarskem posnetki s kamer shranjeni v oblak, pri tem pa ne upoštevajo določil o varovanju osebnih podatkov. »Madžarski zakon določa, da posnetke naložijo v oblak in poiščejo samo primere, kjer je bil storjen prekršek. Vendar, danes do posnetkov lahko dostopa vsak uradnik, kar pomeni, da jih lahko izrabljajo tudi v politične namene. Poleg tega do zdaj nismo imeli mehanizma za obveščanje o kršitvi rabe osebnih podatkov, kar se bo z GDPR spremenilo. Kršitve je treba javiti v 72 urah in obvestiti tudi posameznika, na katerega se osebni podatki nanašajo,« razlaga Petefalvi. Dodaja, da bi moralo biti tudi posebej določeno, za katere namene bi se nadzorne kamere lahko uporabljale.

Srbija želi slediti evropski zakonodaji

Varstvo osebnih podatkov, predvsem v smislu napredne tehnologije, naslavljajo tudi zunaj EU. V Srbiji sta razpravo odprla odmevna primera nadzornih (fantomskih) kamer. »Leta 2009 so nadzorne kamere za promet, ki so bile nameščene pred Areno, kjer so mladi našli zatočišče za spolne odnose, posnele dva mlada. Nihče ni vedel, da so pred Areno, kjer so pogosto nastajale prometne nesreče, nameščene varnostne prometne kamere. Mlada, ki so ju posneli, sta zaradi predvajanja posnetka po družbenih omrežjih utrpela hude psihične posledice,« razlaga Slavoljupka Pavlović, vodja oddelka za sodelovanje in poročanje v pisarni pooblaščenca za informacije javnega interesa in varstvo osebnih podatkov v Srbiji. Zapletlo se je, ker pooblaščenec ni imel podatka, kateri policist je imel dostop do tega posnetka, ki je romal na splet. »Na fantomske kamere so nas opozorili mediji. Te so namenjene nadzoru prometa v mestih. Sprožen je bil en postopek, ki še vedno poteka – odgovori policije in javne uprave, zakaj so postavili kamere, so si nasprotovali.« Pravi, da se v Srbiji trudijo varovati osebne podatke, a ugotavljajo, da njihova zakonodaja ni zadostna. In tudi poseben člen, ki bi preprečeval snemanje, ne obstaja. »Želimo podoben nadzor, kakršen bo v EU,« je dejala Pavlovićeva.

Težave s primernimi kadri

Pri uredbi, s katero bodo imeli največ dela upravljavci in zbiralci podatkov, državljani pa bomo dobili več pravic, se pojavljajo številna vprašanja in dileme. V Pragi imajo težave s pooblaščenci za varstvo osebnih podatkov. »Težko smo našli izvedenca za GDPR, zato smo sklenili, da bomo pooblaščenca našli v lastnih vrstah in bo zadolžen za 75 okrožij, ki jim bo zagotovil pomoč,« je povedala Miroslava Matoušova.

Martina Jacobs, začasna vodja strokovnega področja varstva podatkov z dunajskega magistrata: Zaradi uredbe smo morali v Avstriji, kjer je devet zveznih deželnih zakonodajalcev, pripraviti zakon o prilagoditvi, ki je v postopku, prilagoditi smo morali tudi velik del zakonodaje. A to je bilo preprosto. Težja je bila prilagoditev na organizacijski ravni.

Podobno je v Bolgariji. Votanova Gerasimova poudarja, da imajo težavo najti strokovnjake iz GDPR. »Takih ljudi je zelo malo, v Bolgariji tudi nimamo možnosti za njihovo izobraževanje,« razlaga. Dodaja, da je šolanje nujno, zato bodo morali to tudi izvesti. Na Češkem so težavo naslovili z ustanovitvijo pisarne za šolanje po različnih modulih, seminarje pa bodo imeli maja. »Tudi najbolje pripravljeni materiali in e-učenje niso dovolj. Ugotovili smo, da je treba imeti neposredni stik s predavateljem,« opažanja strne Matouška. »Eno podjetje je celo ponudilo certificiranje pooblaščencev za varstvo podatkov,« je dodala. S pomanjkanjem primernih kadrov se ukvarjamo tudi na Madžarskem. »Na trgu težko najdemo neodvisne informatike in strokovnjake. Ti so za svoje delo večkrat plačani iz različnih virov. Sami imamo še eno težavo – ker smo nevladna organizacija, ne moremo poslovati s poslovnim svetom ali vlado, zato poskušamo sodelovati z univerzo, ki ima tudi program za izobraževanje uradnikov,« pravi Peterfalvi. V Avstriji so bodoče pooblaščene osebe za varstvo osebnih podatkov šolali po »webinarju« (po spletu). »Vsak pooblaščenec bo namreč odgovoren za vnašanje podatkov v sisteme; vsaka javna služba bo imela enega. A ker je šolanje zelo pomembno, jih bomo zdaj šolali še v živo,« je pojasnila Jacobsova.

Thomas Prorok, namestnik direktorja avstrijskega Centra za upravne raziskave, pravi, da je uredba GDPR v avstrijskih mestih povzročila veliko razburjanja. »Mesta se poskušajo pripraviti po svoje, imajo načrte in poskušajo okrepiti svojo birokracijo, srednja in majhna mesta pa so pri tem prepuščena odvetnikom in se sprašujejo, ali potrebujejo pooblaščenca za podatke ali ne,« razlaga Prorok. Pravi tudi, da jim še ni uspelo določiti pravih smernic za mala podjetja in male občine. »Upam, da se bo to uredilo, a ocenjujem, da nekateri nastopa uredbe 25. maja ne bodo jemali resno, ampak bodo dve leti čakali, kaj se bo zgodilo,« je prepričan.

Pexels
Pexels

Luknje in nejasne definicije

GDPR bo vplival tudi na poslovanje s tujimi podjetji, opozarja Max Schrems, ki je sprožil kampanjo Evropa proti Facebooku (»Europe vs. Facebook«), s katero je zahteval pravico do popolnega vpogleda v osebne podatke za vse evropske uporabnike. V prvih nekaj mesecih jo je podprlo okoli 50.000 ljudi.

Max Schrems, ki je sprožil kampanjo Evropa proti Facebooku: Velika podjetja si izračunajo, ali se jim izplača upoštevati uredbo ali je bolje dobiti kazen. Pri tem izračunajo tudi, kakšna je verjetnost, da kazen dobijo. V Avstriji je bila kazen za neupoštevanje zakonodaje 20.000 evrov, kar je bilo ceneje kot vprašati, kako upoštevati zakon.

Proti največjemu družabnemu omrežju na svetu je vložil skupinsko tožbo v imenu 25.000 uporabnikov, ker da jih je Facebook izpostavil nezakonitim prisluhom ameriških varnostnih služb ter prikrival dejanski obseg zbiranja podatkov (dunajsko sodišče je primer zavrnilo). Od irskega informacijskega pooblaščenca je zahteval neodvisno analizo, ali Facebook res spoštuje določila dogovora o varnem pristanu (Safe Harbor) med Evropsko unijo in ZDA iz leta 2000. Dogovora, po katerem so informacijska podjetja smela »izvažati« osebne podatke evropskih državljanov na tuje strežnike, a le pod pogojem, da jih izvažajo v države s primerljivim režimom varovanja zasebnosti, kot veljajo v EU. »Veliko podatkov se trenutno deli prek standardnih pogodbenih klavzul, recimo, med mestom Dunaj in Googlom, pri čemer velja ameriška zakonodaja. Letalska družba Lufhansa iz EU pošlje podatke o potnikih na Lufthanso v ZDA in zanje ta zakon ne velja,« pomanjkljivosti v uredbi o varovanju osebnih podatkov niza Schrems. Dodaja, da je mogoče slišati, da si velika podjetja izračunajo, ali se jim izplača upoštevati uredbo ali je bolje dobiti kazen. »Pri tem tudi izračunajo, kakšna je verjetnost, da dobijo kazen. V Avstriji je bila kazen za neupoštevanje zakonodaje 20.000 evrov, kar je bilo ceneje kot vprašati, kako upoštevati zakon,« še pravi. Ne glede na pomisleke, bo uredba začela veljati maja. Čeprav še zdaj pri mnogih zakonskih definicijah ni jasno, kako bodo razumljene v praksi, opozarja Schrems: »Predpisane kazni se povečujejo z velikostjo podjetij. Najvišja kazen je 20 milijonov evrov. To velja tudi za podjetnika in mislim, da so zakonodajalci šli predaleč. Uradi imajo veliko manevrskega prostora. Vedeti je treba, da v primeru GDPR govorimo o pravnem okviru, pri čemer je pravna kakovost zelo slaba. Vključuje veliko točk in členov, o katerih ne vemo, kako jih rešiti.«

Navaja primer: »Če nekdo zahteva svoje podatke, podjetje lahko reče, da zaposlenih ne more nadlegovati s tem in da je to poslovna skrivnost.« Opozarja tudi, da je bilo v zvezi z uredbo veliko različnih mnenj, a pri vseh niso našli konsenza. »Čez deset let bomo imeli en nov dopolnilni zakon splošne uredbe,« razmišlja. A še najboljši zakon ne koristi nič, če ga ne uporabljamo in izvajamo, pravi Klemens Himpele, vodja oddelka za statistiko v mestu Dunaj.

Več iz rubrike