GDPR, akt o podatkih, akt o digitalnih storitvah, akt o digitalnih trgih – to so le štiri izmed mnogih uredb in direktiv, ki jih je v zadnjih desetih letih predstavila evropska komisija. Prinesli so kup pravil, kup obveznosti, zdaj pa se komisija loteva ureditve oziroma poenostavitve vseh teh pravil. O tem, kaj nameravajo poenostaviti in pred kakšnimi izzivi so podjetja z nekaterimi pravili, smo poslušali na 12. Dnevih prava zasebnosti in varovanja informacij.

Kaj bi spremenili v GDPR?

Napovedi o tem, da bo evropska komisija začela poenostavljanje uredbe o varstvu osebnih podatkov, bolj znane kot GDPR, se vrstijo že nekaj časa. To naj bi se zdaj uresničilo v okviru digitalnega omnibusa. Kot je povedal Malte Beyer-Katzenberger iz evropske komisije (DG CONNECT – G1 Team leader), je načrt ohranjati visoko raven varstva osebnih podatkov ob uskladitvi, pojasnitvi in poenostavitvi pravil.

Prenovljena pravila naj bi zagotavljala skladnost s pravili tudi ob tehnološkem napredku, hkrati pa bolj usklajeno, enotno uporabo obstoječih pravil o varstvu osebnih podatkov.

Kot je dodal Beyer-Katzenberger, pogovori z deležniki niso pokazali potrebe po kakšni konkretnejši prenovi GDPR. Slišati pa je bilo želje, da se pravila uskladijo in nekatere zahteve poenostavijo.

Kaj bi poenostavljali? Naštevamo nekaj poudarjenih področij:

Eno področje je obveščanje o kršitvah. Kot je povedal Beyer-Katzenberger, je obveščanje o kršitvah nizkega tveganja nepotrebno breme za podjetja, hkrati pa ni povsem jasno določeno, kdaj kršitev varstva osebnih podatkov res pomeni visoko tveganje za posameznike. Predlagajo, da bi se rok za prijavo kršitve podaljšal na 96 ur (zdaj je rok 72 ur, torej tri dni), prijava in obveščanje pa bi bila nujna le za kršitve z visokim tveganjem. Pripravljena bi bila tudi enotna predloga, ki bi olajšala postopek prijave.

Drugo področje so biometrični podatki. Tu so pravila stroga, a še vedno manjka jasnost, kdaj gre le za podatke za identifikacijo. Zato predlagajo, da se pravila razrahljajo, ko je lastnik biometričnih podatkov tudi edini, ki ima dostop do njih.

Pa piškotki?

 

Pravilo, ki ga želi EU poenostaviti, so tudi piškotki. Sprememba pravil na tem področju se napoveduje že celo večnost, a v osmih letih od začetka uporabe GDPR evropski komisiji sprememb piškotkov in e-zasebnosti še ni uspelo predstaviti. To naj bi se zdaj le rešilo znotraj digitalnega omnibusa. Komisija se očitno le zaveda, da imajo uporabniki dovolj pojavnih oken, ki jih sprašujejo o piškotkih, osebnih podatkih. Namesto da bi prebrali, kaj vse spletne strani želijo od njih, samo kliknejo »strinjam se« in gredo naprej.

Zdaj bi se pravila spremenila tako, da bi se količina pojavnih oken zmanjšala. Prva sprememba je, da bi pravila, ki se nanašajo na osebne podatke, tudi tu sodila v okvir GDPR. Dovolile bi se »centralizirane nastavitve za preference pri piškotkih«, denimo znotraj brskalnika, zavrnitev nastavljanja piškotkov pa bi veljala šest mesecev.

Digitalni omnibus pod eno streho združuje še kup pravil o podatkih, ki jih je v zadnjih letih vpeljala Evropska unija. Tu so še štiri bolj ali manj znana področja, ki jih želijo združiti in se ob tem znebiti nekaterih nepotrebnih stvari. Štiri področja, ki bodo združena v enotni akt o podatkih, so že obstoječi akt o podatkih (pravila o internetu stvari, pravila o deljenju podatkov med podjetji, pravila o deljenju podjetij z državo), akt o upravljanju podatkov, pravila o prostem pretoku neosebnih podatkov (zagotavljanje prostega pretoka neosebnih podatkov znotraj EU), direktiva o odprtih podatkih.

Kakšne izzive je prinesel ZVOP-2?

 

Zakon o varstvu osebnih podatkov, ki je bil prenovljen po GDPR, je prinesel več izzivov tako podjetjem kot tudi zakonodajalcem. O tem se je z govorniki pogovarjala Bojana Pleterski, direktorica Info hiše in programska vodja konference.

Petra Stergar z ministrstva za delo, družino, socialne zadeve in enake možnosti: »Izzive bi razdelila v dva večja sklopa. Prvi je uporaba že obstoječih pravil, kjer zakonodaja ni povsem usklajena z ZVOP-2. Drug pa je priprava zakonodaje, da bo skladna z ZVOP-2. Tu smo pred izzivom, da je treba že pred pripravo zakona poznati vse možne scenarije uporabe podatkov.«

Alenka Jerše, namestnica informacijske pooblaščenke: »Težave je treba reševati od primera do primera, ko pride do vprašanja, ali poznate vse možne primere uporabe podatkov, ki jih boste potrebovali. Zagat je veliko, svet se ne more ustaviti, ker zakon ni povsem ustrezen.«

Peter Pavlin z ministrstva za pravosodje: »Zakonske praznine nastajajo zato, ker ko se pojavi ideja za zakonske spremembe, ta ni povsem zrela. Pri vseh analizah ocen učinkov, pri pripravah zakonov je treba pomisliti na vse pomembne sestavine.«

Pa DSA? Kaj je prinesel v praksi?

 

DSA je še en famozni evropski akt, zaradi katerega se je prav tako tresla gora. Gre za akt o digitalnih storitvah, ob omembi katerega najprej pomislimo na velikane in obveznosti ter kazni, ki so jih doletele. A akt je uvedel strožja pravila za odgovornost spletnih platform glede nezakonitih in škodljivih vsebin tudi za srednja podjetja. Seveda, ne čisto vsa. Pravzaprav jih je v Sloveniji le peščica. Ob koncu prejšnjega leta je bilo v Sloveniji identificiranih 128 storitev, ki sodijo v okvir DSA. Ponudnikov teh storitev je nekoliko manj, saj nekateri opravljajo več storitev hkrati, so za Finance pred časom pojasnili pri AKOS. »Večina ponudnikov skladno z evropsko klasifikacijo sodi med mikro ali mala podjetja. Le 20 ponudnikov različnih storitev je takšnih, ki jih lahko klasificiramo kot vsaj srednja podjetja. Gre za ponudnike storitev izključnega prenosa (operaterji elektronskih komunikacij) ter storitev gostovanja (predvsem spletne platforme, oblačne storitve in spletno gostovanje – webhosting).«

Cilj DSA je varnejše spletno okolje in zato zahteva, da ponudniki obdelujejo več podatkov, kot bi si, denimo, želel GDPR. »Zato bo izziv prihodnosti, kako najti to ravnotežje med DSA in GDPR,« pa je na konferenci poudaril Martin Hari, vodja sektorja za digitalne storitve v AKOS.

Članek je napisala Špela Mikuš, Časnik Finance