(intervju) Kako ob neštetih smernicah ostati na tekočem s pravili varstva osebnih podatkov

Pogovor z Rie Aleksandro Walle, desno roko pooblaščenih oseb za varstvo podatkov po vsem svetu.

Rie Aleksandra Walle je desna roka pooblaščenih oseb za varstvo podatkov (DPO) po vsem svetu. Ima več kot 17 let izkušenj v javnem in zasebnem sektorju in je ustanoviteljica NoTies Consultinga, DPO Huba in gostiteljica podkasta Grumpy GDPR. Priznana govornica, svetovalka in mentorica bo 18. in 19. aprila tudi na Ptuju na konferenci Privacy Days.

Pred 10. dnevi prava zasebnosti in varovanja informacij smo se z njo pogovarjali o tem, kje smo skoraj šest let po začetku uporabe GDPR, kateri miti še ostajajo in kako dobro se posamezniki zavedajo svojih pravic pri osebnih podatkih.

Skoraj šest let je, kar se v EU uporablja GDPR. Kako se je v tem času spremenilo naše dojemanje varstva osebnih podatkov?

Odkar je GDPR začel veljati, so bili glavni fokus, žal, kako dati kljukice za skladnost, nadležni pop-upi (ki so jih pomotoma povezali z GDPR) in občasno nesmiselne ocene učinka za prenos podatkov v tretje države. A verjamem, da zdaj lahko spremljamo premik k varstvu podatkov, ključnim besedam že v imenu uredbe o varstvu podatkov.

Zase lahko rečem, da zdaj končno vem, kako malo razumem delovanje interneta. Zdi se mi tudi, da ljudje počasi dojemajo, koliko znanja DPO dejansko potrebujejo, o sami varnosti, o delovanju spleta, kako delujejo aplikacije, da umetne inteligence niti ne omenjam. Tudi visoke kazni, ki so zbudile veliko pozornosti ob začetkih GDPR, so povečale splošno percepcijo varstva podatkov, kar je dobro.

Upam, da ima danes čim več ljudi dvofaktorsko avtentikacijo (2FA) in uporabljajo upravljavca gesel.

Ali se končni porabnik danes zaveda, kako podjetja upravljajo njegove podatke?

Kljub mojemu dvomu o dozdajšnjem uspehu GDPR je jasno, da je očiten dosežek precej povečana ozaveščenost, ne le med organizacijami in podjetji, temveč med splošno populacijo. In ta tudi raste, počasi, a zanesljivo.

Pa še drugi vidik: ali so podjetja kaj spreminjala svoj pristop k varstvu osebnih podatkov, so bolj previdna, transparentna?

Rada bi verjela, da je čim več podjetij postalo bolj ozaveščenih glede varstva podatkov in kako pomanjkanje varstva vpliva na življenja ljudi. Vseeno pa menim, da je grožnja visokih kazni in uničenih ugledov tisto, kar vodi večino vodij in upravnih odborov. Ali se je dejansko varstvo podatkov toliko izboljšalo, o tem nisem prepričana, zaradi razlogov, ki sem jih naštela že pri prvem odgovoru. Če gre ves vaš proračun v ocene učinka, na koncu ne ostane kaj dosti za dejansko varstvo podatkov. Po nekaterih večjih kršitvah varstva podatkov pa upam, da bo čim več ljudi bolj pozornih na zadostne varnostne ukrepe.

Hkrati upam, da bodo čedalje bolj priznavali tveganja, povezana z izgubo podatkov, tudi zato, da še bolj okrepijo delo pri zasebnosti in varstvu podatkov. In v prihodnje bi rada videla več pozornosti posvečene dejanskemu varstvu podatkov, ne le kljukanju obveznosti ter ustvarjanju dokumentacije samo zaradi dokumentacije.

Vprašanje, ki ga vedno postavim informacijski pooblaščenki, tudi zato, da vidim, ali se kaj spreminja, je, kateri miti ostajajo o GDPR? Odgovor je navadno vedno isti – privolitev.

Informacijska pooblaščenka ima povsem prav. Neverjetno je, da je še vedno najpogostejši mit, da moramo za prav vse pridobiti privolitev. O mitih smo se pogovarjali tudi v podkastu Grumpy GDPR. Še eden izmed mitov je povezan z zasebnostjo. Pravzaprav je beseda zasebnost v GDPR omenjena le enkrat. Pa še to le v preambuli! Kljub temu menim, da razlika med zasebnostjo in varstvom podatkov ni tako pomembna, ko govorite z ljudmi, pomembna je le takrat, ko se o njej pogovarjajo strokovnjaki s tega področja.

Še nekateri miti, ki bi jih omenila, so »vedno je treba izbrisati podatke, ko ljudje to prosijo«, »službeni e-poštni naslovi niso oseben podatek«, »odstraniti moraš vsa tveganja« in še moj najljubši »stoodstotna skladnost«. No, še eden je: »DPO nam zagotavlja skladnost s pravili!«

Se je v teh šestih letih vloga pooblaščene osebe za varstvo podatkov spremenila, in če da, kako?

Gotovo! Ko je GDPR začel veljati, veliko ljudi niti ni slišalo za pooblaščeno osebo za varstvo podatkov, sploh na tistih trgih ne, kjer te zahteve ni bilo že prej. Še huje, veliko ljudi sploh ni vedelo za kakršnekoli zakone o varstvu osebnih podatkov. Na Norveškem smo, denimo, imeli podobna pravila že desetletja pred GDPR, a so bila po mojih izkušnjah neznanka za mala in srednja podjetja, ki pomenijo okoli 99 odstotkov vseh podjetij.

Danes, čeprav je več ljudi že slišalo za pooblaščeno osebo za varstvo osebnih podatkov, se bojim, da je še vedno zmeda o tem, kakšna je njena odgovornost. Predvsem, pooblaščena oseba ni »GDPR-serviser« niti nekdo, ki zagotavlja skladnost. Nova zakonodaja sicer pomaga pri zavedanju, predvsem »velikih pet zakonov« (akt o digitalnih trgih, akt o digitalnih storitvah, akt o umetni inteligenci, akt o upravljanju podatkov in akt o podatkih).

Upam, da bo čedalje več organizacij priznalo pomembno in strateško vlogo, ki jo imajo DPO in ekipe za varstvo osebnih podatkov. Po drugi strani, s perspektive DPO, od nas se danes zahteva mnogo več kot kadarkoli, tudi zaradi vseh zgoraj naštetih zakonov. Moramo razumeti tehnologijo, umetno inteligenco, internet stvari, blockchain … Torej, ne gre le za to, da se je treba zavedati vloge DPO, ampak je treba zagotoviti tudi zadostne vire in proračun.

Veliko je sprememb, mnenj evropskega odbora za varstvo podatkov … Kako ostati na tekočem s tem, je sploh mogoče?

Za večino ni. To je žalosten, a resničen odgovor. Samo v letu 2023 smo imeli 32 pomembnih odločitev sodišča EU, 116 mnenj evropskega odbora za varstvo podatkov, 450 primerov v GDPR Hubu in številne aktivnosti na državnih ravneh, denimo odločitve lokalnih sodišč in podobno. In to je le za GDPR! Drugih kratic oziroma zgoraj omenjenih petih zakonov tu niti ne omenjam. Govorimo o skupno več tisoč straneh. Vsako leto. Denimo odločitve irskega pooblaščenca so navadno dolge okoli 200 strani. V desetem tednu tega leta je sodišče EU izdalo štiri odločitve. Ni le plaz, je cunami!

Veliko pooblaščenih oseb je preobremenjenih in so nenehno utrujene, z nenehnim občutkom, da ne dohajajo ničesar. To ni resna stvar le za podjetja, temveč tudi za informacijske pooblaščence. Pred kratkim sem razvila metodologijo, kako ostati na tekočem (FLOWS). Prvi del je, kako najdete in filtrirate vire informacij, da zapišete le tisto, kar je res pomembno, in to organizirate tako, da lahko najdete, ko te informacije dejansko potrebujete. Moj naslednji nasvet je, da si označite v koledarju čas za branje. Morda se zdi absurdno, a je pomembno, da vzpostavite sistem, kako ostati na tekočem.

In seveda je na dnevnem redu tudi uporaba UI za pomoč pri tem. Za zdaj zmogljivosti niso dovolj dobre. V sodbah sodišča EU je, na primer, pogosto toliko nians, ki jih umetna inteligenca ne ujame. Poleg tega se algoritmi pogosto spreminjajo, tako da nikoli niste zares prepričani, ali na vprašanje dobite najboljše odgovore. Osebno ne zaupam umetni inteligenci, da bi (dovolj) natančno povzela katerokoli odločitev. Vsaj ne še! Na spletu je veliko brezplačnih virov, ki pomagajo, da so DPO na tekočem, pa tudi visoko usposobljenih ljudi na Linkedinu, ki jim lahko sledijo. Samo zavedajte se, kaj si boste vzeli k srcu, in ne zanašajte se na tisto, kar preberete mimogrede. Opravite svoje raziskave in skrbni pregled. In tisti, ki ste preveč zaposleni, da bi se sami poglobili v vse sodbe sodišča EU, ste dobrodošli, da se pridružite DPO Hubu, kjer dobite zbirne povzetke na eni strani in drugo perspektivo.

Ali povprečen DPO razume povprečnega uporabnika in zakaj ga mora?

Razumevanje poti posameznika, na katerega se nanašajo osebni podatki, je odločilnega pomena. Moj navdih za to prihaja s področja trženja in prodaje, in sicer na pot kupca oziroma stranke. Strah me je, da se premalo pooblaščenih oseb za varstvo podatkov tega zaveda. Glavni razlog je seveda pomanjkanje virov in preveč obveznosti. Ko si nenehno v načinu gašenja požarov, preprosto nimaš časa razumeti posla ali organizacije same. Sama še nisem videla organizacije, ki bi pripravila pot posameznika, na katerega se nanašajo osebni podatki.

Če želite to preizkusiti, naredite hitro vajo. Zamislite si posameznika, naj bo to stranka, zaposleni, obiskovalec spletne strani, kdorkoli. Razmislite o njegovem čisto prvem stiku z vašo organizacijo pa do zadnjega stika, do takrat, ko je postal vaš nekdanji. Razmislite o vsakem koraku vmes. Katere bolečine in tveganja vidite? To vam bo pomagalo identificirati zaščitne ukrepe in podobno. In še zabavno je. In vključite celotno organizacijo, saj potrebujete informacije od kadrovskega oddelka do IT.

Umetna inteligenca je čedalje bolj navzoča povsod. Kako njen prihod izziva varstvo podatkov in delo DPO?

Če je bil status quo pred umetno inteligenco cunami, je umetna inteligenca izbruh supervulkana. In ne, vaš DPO ne more biti tudi vaš strokovnjak za umetno inteligenco. Niti ne sme biti, če vprašate mene. Razen, seveda, če ima dovolj resursov, a vemo, da jih mnogi niti za GDPR nimajo dovolj. Organizacije, ki želijo uporabljati umetno inteligenco, morajo razmisliti o strategiji in pristopu. In pooblaščene osebe morajo paziti, kje bodo pomagale.

Umetna inteligenca je razburljiva in razumem, zakaj želi veliko DPO biti zraven. Bodite, a potrebujete čas in resurse. Kljub temu menim, da umetna inteligenca spreminja pravila igre, ko gre za učinkovito delo. Večino svoje kariere sem bila vodja projektov in obožujem vse avtomatizacije, predloge, učinkovitost, vnovično uporabo prejšnjega dela … Zdaj to združujem s svojimi izkušnjami pri delu kot DPO. Pred časom sem na Linkedinu napisala članek o »zasedenosti DPO«. Stavek »Če si nenehno v načinu gašenja požarov, je nekaj narobe s tvojo službo« je odmeval pri mnogih. Zraven pa sem zapisala še tole: »Potem bodisi nimaš dovolj časa in resursov bodisi delaš neučinkovito in nestrukturirano.« Ne glede na vzrok menim, da bi večina DPO imela koristi, če bi bilo delo učinkovitejše.