E-zasebnost bo uvedla tudi ureditev področij, kot je internet stvari

Od pričetka veljavnosti Splošne uredbe o varstvu osebnih podatkov (GDPR) mineva pol leta. Kakšno je stanje v Sloveniji, so se podjetja uspela prilagoditi novi ureditvi? So prakse med podjetji usklajene ali med njimi prihaja do večjih razlik?

Čeprav je od uveljavitve uredbe GDPR minilo že nekaj mesecev, je vseeno še prezgodaj za konkretno oceno, kaj nam uredba resnično prinaša v praksi. Njeno bistvo je prav v njeni pravni naravi – kot uredba je neposredno veljavna v vseh državah članicah Evropskega gospodarskega prostora. Uredba pa ima še precej širši vpliv in pomen – spoštovati jo morajo tudi podjetja in organizacije, ki sicer niso “doma” v Evropski uniji, vendar pri svojem delu uporabljajo osebne podatke ali ponujajo blago in storitve na območju Evropske unije. GDPR ima velik vpliv tudi na slovensko gospodarstvo, saj se v večini gospodarskih dejavnosti obdeluje precejšnja količina osebnih podatkov, slovensko gospodarstvo pa je v veliki meri izvozno naravnano, kar pomeni tudi izmenjavo osebnih podatkov s subjekti v tujini. V praksi opažamo, da je evforija, ki je vladala v dneh pred 25. majem, v večini podjetij vsaj začasno upadla. Velika večina podjetij je GDPR ustrezno uvedla v poslovne procese, nekateri pa z uvedbo večjih sprememb še oklevajo, pri čemer se pogosto sklicujejo na dejstvo, da Slovenija še vedno ni sprejela novega Zakona o varstvu osebnih podatkov.

Kaj je potrebno storiti takoj, če se uredbi nismo prilagodili oziroma kako jo spoštovati v prihodnje, če smo pravočasno pridobili privolitev za shranjevanje in obdelavo podatkov?

Čeprav je bila uredba sprejeta v letu 2016, so se pomena in potrebe po prenosu njenih določb v vsakodnevno življenje, v veliki večini podjetij in organizacij žal zavedli šele nekaj mesecev pred uveljavitvijo. Nikoli ni prepozno in tudi, če ste zamudili rok, lahko svoje poslovanje brez hitenja in kakovostno uredite v skladu z GDPR. Kot rečeno, še čakamo na slovenski zakon, pa tudi priporočil in koristnih odgovorov na praktična vprašanja je vsak dan več, kar bo zamudnikom omogočilo ustrezno prilagoditev. Vsekakor se bodo lahko podjetja še naprej prilagajala uredbi GDPR in jo uvajala v vsakodnevno komuniciranje in poslovanje.

Kakšne težave (če sploh) podjetjem povzroča dejstvo, da v Sloveniji še vedno ni bil sprejet nov Zakon o varstvu osebnih podatkov (ZVOP-2)? Kako to vpliva na njihovo poslovanje?

ZVOP-2 je bil umaknjen iz zakonodajnega postopka in v pripravi je nov oziroma dopolnjen osnutek. Uredba GDPR je sicer neposredno veljavna v slovenskem pravnem redu, vendar pa je za dosledno uveljavljenje njenih določb pomemben sprejem ZVOP-2, kar bi nedvomno morala biti ena od prioritet nove vlade in Državnega zbora. Pojavljajo se številne dileme, povezane z izrekanjem sankcij in prekrškovnimi postopki nasploh, kar bo sprejem novega zakona ustrezni uredil.

Iz osnutka ZVOP-2 nadalje izhaja, da bo v Sloveniji praktično onemogočena obdelava biometričnih osebnih podatkov v zasebnem sektorju. Se vam zdi takšna omejitev smiselna, glede na dejstvo, da uporaba tovrstnih podatkov na drugi strani zagotavlja tudi večjo varnost posameznikov?

Popolna omejitev po mojem mnenju ni smiselna. Vsekakor morajo biti pravila jasna in morajo posameznikom zagotavljati varnost in zaupnost biometričnih osebnih podatkov, saj so zlorabe na tem področju lahko izjemno velike. A kot pravilno omenjate, tovrstni podatki obenem omogočajo večjo varnost posameznikov, na primer s prepoznave s skeniranjem šarenice, uporabo 3D posnetkov ven v prstu… Opozoril bi še na nekaj: če bo Slovenija selektivno onemogočila obdelavo določenih vrst osebnih podatkov v zasebnem sektorju, bodo to pač počela in razvijala podjetja v tujini. Bistveno boljše bi bilo, da se določijo jasna pravila, ki bodo stimulirala uporabo novih tehnologij v korist posameznikom, seveda pa je potreben tudi učinkovit inšpkekcijski nadzor.

Nekatera podjetja so bazi svojih strank pošiljala (oziroma še vedno) e-maile, v katerih so nas obvestila, da če ne želimo več prejemati njihovih obvestil, naj se odjavimo na priloženem linku, sicer pa nam ni treba ničesar storiti. Je to v skladu z uredbo?

Gre za izjemno pogosto vprašanje. Vsak od nas je prejel na desetine in več sporočil, s katerimi so nas podjetja in organizacije »prosile«, naj ostanemo v stiku z njimi in naj jim podamo ponovno privolitev za posredovanje e-novičnikov. Statistika kaže, da je manj kot 10% ljudi na prošnjo za ponovno privolitev sploh odgovorilo in sedaj se podjetja sprašujejo, ali sploh še lahko komunicirajo s tistimi, ki jim ponovne privolitve niso podali pred 25. majem. Na kratko: če je podjetje pred 25. majem 2018 zakonito pridobilo privolitve posameznikiv za npr. pošiljanje tedenskega e-novičnika, pa želi s pošiljanjem enakega novičnika in na enak način nadaljevati tudi po tem datumu, “panika” pred 25. majem ni bila potrebna in bi takšen novičnik lahko pošiljalo tudi po 25. maju. Če pa se je podjetje odločilo, da razširi obseg obdelave osebnih podatkov, je seveda prav, da je pridobilo novo, dodatno soglasje za takšno obdelavo. Pogosto tudi pozabljamo, da je pravnih podlag za obdelavo podatkov poleg privolitev več, naj omenim le pogodbeno in zakonito podlago za obdelavo.

Kako je z adremo medijev? Kako lahko komuniciramo z novinarji in javnostjo?

Seveda so kontaktni podatki novinarjev tu zato, da lahko z njimi komuniciramo in tako izvajamo našo in splošno pravico javnosti do obveščenosti, kar je naš skupni javni interes. Zato naj ti podatki ostanejo v vaših bazah podatkov, morajo pa biti uporabljeni za namene, za katere so ustvarjeni in objavljeni – komunikacijo z mediji o vprašanjih, ki se nanašajo na vaše delo in dejavnosti.

Smo tudi v pričakovanju sprejetja nove regulative na področja zasebnosti in elektronskih komunikacij (ePrivacy Regulation oziroma Uredba o e-zasebnosti). Katera so temeljna področja, ki jih bo urejala nova uredba in kaj se bo spremenilo? Kdaj lahko pričakujemo sprejem omenjene uredbe?

Uredba o e-zasebnosti bo na digitalno komuniciranje in zasebnost vplivala še bolj, kot uredba GDPR. Uredba bi morala biti sprejeta in uveljavljena sočasno z uredbo GDPR, a je trenutno še v fazi oblikovanja in bo predvidoma sprejeta v prvi polovici 2019, uveljavljena pa bo z določenim zamikom, ki bo omogočal prilagoditev na njene določbe. Na splošno bo uredba na novo uredila področje elektronskih komunikacij (pri nas ga ureja področni Zakon o elektronskih komunikacijah), kar vključuje splet, e-pošto, aplikacije, sms, mobilne aplikacije, spam, neposredno trženje, spletno oglaševanje in seveda piškotke. Obenem bo nova Uredba o e-zasebnosti lex specialis uredbi GDPR, kar pomeni, da bo določena področja, ki jih na splošnem nivoju ureja uredba GDPR, podrobneje uredila. Uredba bo uvedla tudi ureditev področij, kot so internet stvari in OTT komunikacije. Prav na vseh naštetih področjih lahko pričakujemo spremembe, o konkretnih rešitvah pa je še prezgodaj špekulirati. Ne pozabimo, da je bil osnutek uredbe GDPR v postopku sprejema predpis z največ amandmaji v zgodovini EU, nekaj podobnega pa lahko pričakujemo tudi pri Uredbi o e-zasebnosti.

Na kakšen način bi omenjene zakonodajne ovire najlažje prebrodili? V kolikšni meri te vplivajo na konkurenčnost slovenskih podjetij?

Povsem na kratko: če bomo evropske predpise, zlasti direktive, ki državam omogočajo veliko manevrskega prostora, v domači pravni red prevajali restriktivno in omejujoče, bomo ostali nekonkurenčni v digitalni družbi in ekonomiji. Digitalna zakonodaja lahko v praksi zaživi le, če jo bodo oblikovali predstavniki gospodarstva, javnega sektorja in zlasti stroke, kar je tudi eden od ciljev Digitalnih koalicij v Evropski uniji.

Jaka Repanšek (univ. dipl. pravnik, MBA), je specialist za pravo in management medijev, komunikacij in digitalnega poslovanja ter vodja sekcije za regulativo in okolje Slovenske digitalne koalicije.