Pred Dnevi prava zasebnosti in varovanja informacij smo se z novo informacijsko pooblaščenko pogovarjali o tem, kako deluje nadzor nad varstvom osebnih podatkov v praksi, kje je največ kršitev, kje največ glob …
Splošna uredba o varstvu podatkov oziroma GDPR za Slovenijo ni bila revolucija, temveč evolucija in je prinesla več zavedanja o varstvu osebnih podatkov, je prepričana informacijska pooblaščenka Jelena Virant Burnik, ki se z varstvom osebnih podatkov ukvarja že več kot 15 let. Poudarja, da smo v Evropi nekaj posebnega, saj »imamo le v EU možnost zahtevati, na primer, izbris svojih podatkov, zahtevati, da nam korporacije pojasnijo, katere naše podatke imajo in za kakšen namen. Drugje po svetu so posamezniki bolj ali manj prepuščeni splošnim pogojem organizacij.«
V krajšem pogovoru nam je zaupala tudi, da se je po letu 2020 število prijav kršitev sicer ustalilo, a narašča število prijav težjih kršitev v okviru delovnega razmerja, predstavila pa nam je tudi sodelovanje pri nadzoru globalnih upravljavcev in izzivih, ki jih prinaša umetna inteligenca.
V vlogi informacijske pooblaščenke ste že skoraj leto dni, vendar ste del ekipe pooblaščenca že od leta 2008. Kako ste v tem času občutili razvoj področja varstva osebnih podatkov? Kako se je spremenilo zavedanje o pomenu tega pri vseh vpletenih straneh? Je prvi večji premik povzročila šele splošna uredba, na obeh straneh? Ali celo šele ZVOP-2, ki omogoča izrekanje kazni po GDPR?
Kot pravite, se z varstvom osebnih podatkov ukvarjam že več kot 15 let, največ z izzivi digitalizacije v vseh mogočih sektorjih, regulacijo spletnih velikanov in evropskim sodelovanjem, danes vse več časa namenjam umetni inteligenci. Na teh hitro razvijajočih se področjih je še posebej pomembno najti ustrezne mehanizme regulacije, ki ohranjajo visoko raven varovanja naših pravic, vendar vseeno dopuščajo inovativnost in razvoj.
Evropa je edini del sveta, ki že 30 let pozna in nadgrajuje celosten okvir za varovanje osebnih podatkov vseh posameznikov, ne le državljanov EU. Z GDPR smo spoznali nove mehanizme odgovornosti, ki jih morajo spoštovati organizacije, DPO, ocene vplivov na zasebnost in še marsikaj. Posamezniki imamo več možnosti za uveljavljanje svojih pravic. Tu smo v Evropi nekaj posebnega: čeprav veliko storitev, ki jih uporabljamo, prihaja iz ZDA, vse več iz Kitajske in Azije, imamo le v EU možnost zahtevati, na primer, izbris svojih podatkov, zahtevati, da nam korporacije pojasnijo, katere naše podatke imajo in za kakšen namen. Drugje po svetu so posamezniki bolj ali manj prepuščeni splošnim pogojem organizacij. To je še posebej pomembno v dobi umetne inteligence, ko bo le s takimi pravicami lahko posameznik zahteval izbris ali neupoštevanje nekega svojega podatka, ki je bil netočen, napačen in je bil zaradi njega uvrščen v napačno skupino, ni dobil določene ugodnosti …
GDPR je vsekakor prinesel več zavedanja o varstvu osebnih podatkov, več je treba vložiti v skladnost. Zakon o varstvu osebnih podatkov, ki je končno uredil področje sankcioniranja, pa seveda pomeni dodatno spodbudo vsem, da skladnost tudi zagotovijo. Prejšnje desetletje lahko označimo kot obdobje krepitve pravnega okvira za varstvo osebnih podatkov. Obdobje prihodnjih let – obdobje varstva podatkov 3.0, kot ga pogosto poimenujem, pa bo zaznamovano predvsem s plejado novih regulacij in aktov, ki prihajajo iz EU in bodo regulirali različne digitalne sfere. Treba bo loviti ravnotežje s splošno uredbo o varstvu podatkov in ZVOP-2. Pomembno je, da standardi varovanja naših pravic, ki smo jih že dosegli, ne bodo razvodeneli. Največ izzivov nam že in nam še bodo prinašali umetna inteligenca in nova pravila na tem področju.
Kako z leti raste število prijav kršitev? Kaj pa glede na njihovo utemeljenost?
Po uveljavitvi GDPR smo bili soočeni s povečanjem števila prijav in pobud, zahtev za mnenja, ki jih prejemamo. Od leta 2020 se je število prejetih prijav glede kršitev, ki jih obravnavamo v nadzornem postopku, ustalilo okrog številke 1.200 do 1.300 na leto, kar je za tako majhno državo, kot je Slovenija, in za tako majhen nadzorni organ, kot je IP (Informacijski pooblaščenec, op. ur.), seveda zelo velika količina. Temu vsako leto dodamo še več kot enkrat toliko različnih mnenj, pojasnil, pisnih in ustnih svetovanj. V zadnjih letih se je še posebej povečalo število primerov, ki jih obravnavamo v okviru čezmejnega sodelovanja, prav tako je v prihodnje pričakovati dodatne nove prijave zaradi novih pravnih aktov EU o digitalizaciji, nadzor nad izvajanjem katerih bo delno padel tudi v okvir pristojnosti IP.
Pomen jasne komunikacije pri varstvu osebnih podatkov
Določen del, ki jih prejme IP, je sicer neutemeljen ali celo ne sodi v okvir pristojnosti IP in še vedno kaže nekoliko nerazumevanja določb in dosega splošne uredbe o varstvu podatkov in s tem pristojnosti IP. Pogosto se v postopkih izkaže tudi, da bi lahko upravljavci marsikatero prijavo preprečili, če bi ob zbiranju ali pridobitvi osebnih podatkov posameznikom zagotovili pregledne, razumljive in lahko dostopne informacije, kot jim to nalaga splošna uredba o varstvu podatkov. Tu toplo svetujem, naj organizacije vložijo več truda v pojasnila glede obdelave osebnih podatkov, ki jih dobijo njihove stranke, uporabniki njihovih storitev. In da se trudijo uporabljati jasen in razumljiv jezik. Tako se lahko izognejo marsikateri prijavi in nezadovoljstvu. Stalnica so tudi pritožbe zaradi neupoštevanja pravice do seznanitve z lastnimi osebnimi podatki – vsak upravljavec mora namreč posameznika v roku seznaniti s tem, katere podatke o njem obdeluje, na kakšni pravni podlagi.
Po drugi strani se z leti veča število prijav težjih kršitev v okviru delovnega razmerja. Tu imam v mislih kršitve zaradi prikritega videonadzora zaposlenih pa tudi nameščanja vohunske programske opreme na računalnike zaposlenih – vse z namenom izvajanja popolnega nadzora nad delom zaposlenih. Narašča, tudi po teži kršitve, tudi število kršitev varnosti podatkov, več je neustreznega zavarovanja sistemov, kar gre pripisati digitalizaciji vseh mogočih procesov obdelave podatkov ob hkratnem ne dovolj skrbnem razmisleku v smeri obvladovanja tveganj in zagotavljanja ustrezne ravni varnosti podatkov.
Dve leti že lahko izrekate globe. Kako visoke globe ste izrekli lani in kakšne so bile najpogostejše kršitve? Kaj pa v prvem letu?
Kot rečeno, je zakon o varstvu osebnih podatkov uredil področje izrekanja glob – v letu 2023 je bilo tako zaradi kršitev GDPR in ZVOP-2 skupno izrečenih skoraj za 60 tisoč evrov glob, lani pa za blizu sto tisoč evrov. Najpogosteje so bile globe izrečene zaradi nezakonitega videonadzora in zaradi kršitev pri razkrivanju ali posredovanju osebnih podatkov neupravičenim osebam. Po pogostosti sledijo kršitve zaradi neustreznega zagotavljanja varnosti osebnih podatkov oziroma zavarovanja ter zaradi nezakonitih vpogledov v zbirke osebnih podatkov.
Splošna uredba GDPR je začela veljati že pred skoraj šestimi leti. Poleg obravnavanja prijav opravljate tudi inšpekcijski nadzor: kako so bili na splošno uredbo pripravljeni upravljavci v začetnih letih in kako so danes? Katere so danes najpogostejše pomanjkljivosti?
Neposredno po uveljavitvi GDPR je bilo zaznati več nepoznavanja pravil, še posebej novih institutov. To se kaže zlasti v številu vprašanj posameznikov in organizacij, številu svetovanj, preventivnih dejavnosti, ki smo jih na IP izvedli in jih je bilo v tistih letih še posebej veliko. Ker je v Sloveniji že dolgo veljal zakon o varstvu osebnih podatkov, pa so bili upravljavci osebnih podatkov v bistvenem delu na spremembe pripravljeni – GDPR ni bila revolucija, temveč evolucija.
Kot rečeno, ugotavljamo, da se postopki nadzora že nekaj zadnjih let po vsebini nanašajo na podobne zatrjevane kršitve. Največ se jih nanaša na izvajanje videonadzora, predvsem v smislu zasebnega videonadzora, pa tudi videonadzora znotraj delovnih prostorov. Po številu sledijo prijave zaradi suma nezakonitega razkrivanja in posredovanja osebnih podatkov neupravičenim osebam (tako zaradi nenamenske človeške napake kot tudi zaradi povsem zasebnih in s tem nezakonitih namenov), nezakonitega ali čezmernega zbiranja osebnih podatkov, uporabe osebnih podatkov za namene neposrednega trženja, neustreznega zagotavljanja varnosti osebnih podatkov ter nezakonitih vpogledov v zbirke osebnih podatkov. V zvezi z zadnjim vodimo tudi največ prekrškovnih postopkov, zato bi še enkrat poudarila, da tudi če imamo v okviru delovnih nalog dostop do nekih osebnih podatkov, teh ne smemo uporabljati za druge namene, in ker avtomatizirane zbirke ponujajo sledljivost vseh dostopov, se IP-kršitelji zlahka odkrijejo.
Največji izzivi so danes povezani predvsem z velikimi digitaliziranimi sistemi v vseh mogočih sektorjih v državi, od zdravstva, šolstva, sociale, organov pregona do trgovcev. Digitalizacija tu zadeva res veliko število posameznikov, državljanov. To, da tovrstni sistemi delujejo pravilno, varno in učinkovito, pa je pomembno za veliko aktivnosti, ki jih posamezniki vsak dan izvajamo, jih nujno potrebujemo. Ko se veliki sistemi v državi digitalizirajo, je res pomembno, da so vprašanja varstva osebnih podatkov obravnavana v začetku procesov. Jasno mora biti, kdo je upravljavec podatkov in da ima ustrezne pravne podlage za obdelavo podatkov. Nujno je zagotoviti, da bodo posamezniki vedno lahko uveljavljali svoje pravice do izbrisa, popravka, informacij. In to še preden se široko razširi uporaba umetne inteligence, pri kateri bomo veliko težje zagotavljali popravke pri napakah. Da je na prvem mestu zagotavljanje celovitosti, dostopnosti podatkov in zavarovanja pred nepooblaščenimi vpogledi. Kršitve osebnih podatkov imajo lahko namreč zelo resne posledice – napačni, nedostopni podatki v zdravstvu lahko pomenijo veliko škodo za življenje pacienta, napačni podatki lahko pomenijo napake pri izračunu sredstev, do katerih so upravičeni ranljivi, izpostavljanje osebnih podatkov otrok v času šolanja ima lahko velike posledice za njihovo prihodnje življenje in možnosti.
Sodelujete tudi pri nadzoru globalnih upravljavcev. Lahko predstavite kak konkreten primer? S katerimi izzivi se pri tem srečujete?
Nadzor nad globalnimi upravljavci izvajamo tako, da formalno sodelujemo s sorodnimi organi iz drugih držav EU, velikokrat je to irski organ, ker ima tam sedeže precej največjih ponudnikov družbenih omrežij, pa p(Google#Google), tudi Tiktok. Če, na primer, prejmemo prijavo zoper takega ponudnika storitev, to informacijo posredujemo vodilnemu organu iz države, kjer ima podjetje sedež, potem pa skupaj oblikujemo odločitev glede kršitve, ukrepov, ki jih mora izvesti, glede globe. Omenim lahko številne postopke zoper p(Meto#Meta) in delovanje omrežij Facebook in p(Instagram#Instagram), kjer so bile izrečene tudi rekordne milijardne globe, ter, denimo, postopek zoper Tiktok. Ta je bil kaznovan, ker je mladoletne s svojim zavajajočim dizajnom vabil v to, da so svoje podatke delili javno, namesto da bi spodbujal do zasebnosti otrok bolj prijazne nastavitve. Prav tako se je postavilo vprašanje, ali Tiktok dovolj skrbno preveri, koliko so sploh stari uporabniki (vemo, da je tam največ otrok), da lahko potem podatke otrok bolje varuje. To sodelovanje med organi je ena glavnih novosti GDPR, ki nam omogoča posredovanje v primerih, kjer prej uporabniki iz Slovenije niso mogli učinkovito obraniti svojih pravic, ko je šlo za podjetje, ki posluje v tujini, zdaj pa lahko to storijo prek prijave k Informacijskemu pooblaščencu.
Zadnje obdobje so tu predvsem izzivi, ki jih prinaša umetna inteligenca. Organi za varstvo podatkov v EU intenzivno sodelujemo pri vprašanjih nadzora nad ponudniki generativne umetne inteligence, kot je ChatGPT, zdaj tudi p(DeepSeek#DeepSeek). Marsikatera organizacija tudi pri nas že razvija sisteme UI in jih vpeljuje v svoje poslovne procese, od upravljanja odnosov s strankami in dokumentov do raziskav na različnih področjih. Osebni podatki se uporabljajo tako pri razvoju UI-modelov oziroma treniranju kot tudi pri uvajanju UI-modelov. Prihajajo tudi nove omejitve akta o umetni inteligenci, vendar pa morajo UI-sistemi, s katerimi se obdelujejo osebni podatki, že danes spoštovati vsa pravila, ki jih določa splošna uredba o varstvu podatkov in ne delujejo v pravni praznini. Preveriti je treba, ali obstaja za obdelavo osebnih podatkov pravna podlaga. Zlasti pa je pomembno, da imajo pri uporabi sistemov UI posamezniki možnost uveljavljati svoje pravice – od vpogleda v lastne osebne podatke do popravka ali izbrisa podatkov.
