Splošna uredba za varstvo podatkov oz. GDPR za Slovenijo ni bila revolucija, pač pa evolucija, in je s sabo prinesla več zavedanja o varstvu osebnih podatkov, je prepričana informacijska pooblaščenka dr. Jelena Virant Burnik, ki se z varstvom osebnih podatkov ukvarja že več kot 15 let. Izpostavlja, da smo v Evropi nekaj posebnega, saj “imamo le v EU možnost zahtevati npr. izbris svojih podatkov, zahtevati, da nam korporacije pojasnijo, katere naše podatke imajo in za kakšen namen. Drugod po svetu so posamezniki bolj ali manj prepuščeni splošnim pogojem organizacij.”
V krajšem pogovoru nam je zaupala tudi, da se je po letu 2020 število prijav kršitev sicer ustalilo, a narašča število prijav težjih kršitev, do katerih prihaja v okviru delovnega razmerja, predstavila pa nam je tudi sodelovanje pri nadzoru globalnih upravljavcev in izzivih, ki jih prinaša umetna inteligenca.
V vlogi informacijske pooblaščenke ste že skoraj leto dni, vendar pa ste del ekipe pooblaščenca že vse od leta 2008. Kako ste v tem času občutili razvoj področja varstva osebnih podatkov? Kako se je spremenilo zavedanje o pomenu tega, na vseh vpletenih straneh? Je prvi večji premik povzročila šele Splošna uredba; na obeh straneh? Ali celo šele ZVOP-2, ki omogoča izrekanje kazni po GDPR?
Kot pravite, se z varstvom osebnih podatkov ukvarjam že več kot 15 let, največ z izzivi digitalizacije v vseh mogočih sektorjih, regulacijo spletnih velikanov in evropskim sodelovanjem, danes vse več časa namenim umetni inteligenci. Na teh hitro razvijajočih se področjih je še posebej pomembno najti ustrezne mehanizme regulacije, ki ohranjano visoko raven varovanja naših pravic, vendar pa vseeno dopuščajo inovativnost in razvoj.
Evropa je edini del sveta, ki že 30 let pozna in nadgrajuje celosten okvir za varovanje osebnih podatkov vseh posameznikov, ne le državljanov EU. Z GDPR smo spoznali nove mehanizme odgovornosti, ki jih morajo spoštovati organizacije, DPOje, ocene vplivov na zasebnost, in še marsikaj. Posamezniki imamo več možnosti za uveljavljanje svojih pravic. Tu smo v Evropi nekaj posebnega: kljub temu, da veliko storitev, ki jih uporabljamo, prihaja iz ZDA, vse več iz Kitajske in Azije, imamo le v EU možnost zahtevati npr. izbris svojih podatkov, zahtevati, da nam korporacije pojasnijo, katere naše podatke imajo in za kakšen namen. Drugod po svetu so posamezniki bolj ali manj prepuščeni splošnim pogojem organizacij. To je še posebej pomembno v dobi umetne inteligence, ko bo le s takimi pravicami lahko posameznik zahteval izbris ali neupoštevanje nekega svojega podatka, ki je bil netočen, napačen in je bil zaradi njega uvrščen v napačno skupino, ni dobil določene ugodnosti …
GDPR je vsekakor prinesla več zavedanja o varstvu osebnih podatkov, več je treba vložiti v skladnost. Zakon o varstvu osebnih podatkov, ki je končno uredil področje sankcioniranja, pa seveda pomeni dodatno spodbudo vsem, da skladnost tudi zagotovijo. Preteklo desetletje lahko označimo kot obdobje krepitve pravnega okvira za varstvo osebnih podatkov. Obdobje naslednjih let – obdobje varstva podatkov 3.0, kot ga pogosto poimenujem, pa bo zaznamovano predvsem s plejado novih regulacij in aktov, ki prihajajo iz EU in bodo regulirali različne digitalne sfere. Treba bo loviti ravnotežje s Splošno uredbo o varstvu podatkov in ZVOP-2. Pomembno je, da standardi varovanja naših pravic, ki smo jih že dosegli, ne bodo razvodeneli. Največ izzivov nam že in nam še bodo prinašala umetna inteligenca in nova pravila na tem področju.
Kako z leti raste število prijav kršitev? Kaj pa glede na njihovo utemeljenost?
Po uveljavitvi GDPR smo bili soočeni s porastom števila prijav in pobud, zahtev za mnenja, ki jih prejemamo. Od leta 2020 dalje se je število prejetih prijav glede kršitev, ki jih obravnavamo v nadzornem postopku, ustalilo okrog številke 1200 do 1300 letno, kar je za tako majhno državo, kot je Slovenija, in za tako majhen nadzorni organ, kot je IP (Informacijski pooblaščenec, op.ur.), seveda zelo velika količina. Temu vsako leto dodamo še več kot enkrat toliko različnih mnenj, pojasnil, pisnih in ustnih svetovanj. V zadnjih letih se je še posebej povečalo število primerov, ki jih obravnavamo v okviru čezmejnega sodelovanja, prav tako pa je v prihodnje za pričakovati dodatne nove prijave zaradi novih EU pravnih aktov o digitalizaciji, nadzor nad izvajanjem katerih bo delno padel tudi v okvir pristojnosti IP.
Določen del, ki jih prejme IP, je sicer neutemeljenih ali pa celo ne sodijo v okvir pristojnosti IP in še vedno kažejo določeno mero nerazumevanja določb in dometa Splošne uredbe o varstvu podatkov in s tem pristojnosti IP. Pogosto se v postopkih izkaže tudi, da bi lahko upravljavci marsikatero prijavo preprečili, če bi ob zbiranju ali pridobitvi osebnih podatkov posameznikom zagotovili pregledne, razumljive in lahko dostopne informacije, kot jim to nalaga Splošna uredba o varstvu podatkov. Tu toplo svetujem, da organizacije vložijo več truda v pojasnila glede obdelave osebnih podatkov, ki jih dobijo njihove stranke, uporabniki njihovih storitev. In da se trudijo uporabljati jasen in razumljiv jezik. Tako se lahko izognejo marsikateri prijavi in nezadovoljstvu. Stalnica so tudi pritožbe zaradi neupoštevanja pravice do seznanitve z lastnimi osebnimi podatki – vsak upravljavec mora namreč posameznika v roku seznaniti s tem, katere podatke o njem obdeluje, na kakšni pravni podlagi.
Po drugi strani pa se skozi leta veča število prijav težjih kršitev, do katerih prihaja v okviru delovnega razmerja. Tu imam v mislih kršitve zaradi prikritega videonadzora zaposlenih ter tudi nameščanja vohunske programske opreme na računalnike zaposlenih – vse z namenom izvajanja popolnega nadzora nad delom zaposlenih. V porastu, tudi po teži kršitve, pa so tudi kršitve varnosti podatkov, neustrezno zavarovanje sistemov, kar je za pripisati digitalizaciji vseh mogočih procesov obdelave podatkov ob hkratnem ne dovolj skrbnem razmisleku v smeri obvladovanja tveganj in zagotavljanja ustrezne ravni varnosti podatkov.
Dve leti že lahko izrekate globe. Kako visoke globe ste izrekli v preteklem letu in kakšne so bile najpogostejše kršitve? Kaj pa v prvem letu?
Kot rečeno je Zakon o varstvu osebnih podatkov uredil področje izrekanja glob – v letu 2023 je bilo tako zaradi kršitev GDPR in ZVOP-2 skupno izrečenih za skoraj 60 000 eur glob, v lanskem letu pa za blizu 100.000 eur. Najpogosteje so bile globe izrečene zaradi nezakonitega videonadzora ter zaradi kršitev pri razkrivanju ali posredovanju osebnih podatkov neupravičenim osebam. Po pogostosti sledijo kršitve zaradi neustreznega zagotavljanja varnosti osebnih podatkov oziroma zavarovanja ter zaradi nezakonitih vpogledov v zbirke osebnih podatkov.
V začetku aprila bo mogoče informacijski pooblaščenki dr. Jeleni Virant Burnik prisluhniti na 11. Dnevih prava zasebnosti in varovanja informacij, kjer bo opisala svoje izkušnje pri sodelovanju z nadzornimi organi drugih evropskih držav in se dotaknila tudi izzivov, s katerimi se srečujejo pri nadzoru globalnih upravljavcev. Spregovorila bo tudi o najbolj težavnih vprašanjih upravljavcev in obdelovalcev v Sloveniji ter nekaterih priporočilih glede ukrepov in postopkov zagotavljanja skladnosti.
Splošna uredba GDPR je v veljavo stopila zdaj že pred skoraj šestimi leti. Poleg obravnavanja prijav, opravljate tudi inšpekcijski nadzor: Kako pripravljeni so bili na Splošno uredbo upravljavci v začetnih letih in kako so danes? Katere so danes najpogostejše pomanjkljivosti?
Neposredno po uveljavitvi GDPR je bilo zaznati več nepoznavanja pravil, še posebej novih institutov. To se kaže zlasti v številu vprašanj posameznikov in organizacij, številu svetovanj, preventivnih dejavnosti, ki smo jih na IP izvedli in je bilo v tistih letih še posebej visoko. Ker smo v Sloveniji že dolgo imeli v veljavi Zakon o varstvu osebnih podatkov, pa so bili upravljavci osebnih podatkov v bistvenem delu na spremembe pripravljeni – GDPR ni bila revolucija, pač pa evolucija.
Kot rečeno, ugotavljamo, da se postopki nadzora že nekaj zadnjih let po vsebini nanašajo na podobne zatrjevane kršitve. Največ se jih nanaša na izvajanje videonadzora, predvsem v smislu zasebnega videonadzora, pa tudi videonadzora znotraj delovnih prostorov. Po številu sledijo prijave zaradi suma nezakonitega razkrivanja in posredovanja osebnih podatkov neupravičenim osebam (tako zaradi nenamenske človeške napake kot tudi zaradi povsem zasebnih in s tem nezakonitih namenov), nezakonitega ali prekomernega zbiranja osebnih podatkov, uporabe osebnih podatkov za namene neposrednega trženja, neustreznega zagotavljanja varnosti osebnih podatkov ter nezakonitih vpogledov v zbirke osebnih podatkov. V zvezi s slednjim vodimo tudi največ prekrškovnih postopkov, zato bi na tem mestu še enkrat izpostavila, da tudi če imamo v okviru delovnih nalog dostop do nekih osebnih podatkov, teh ne smemo uporabljati za druge namene, in ker avtomatizirane zbirke nudijo sledljivost vseh dostopov, se IP kršitelje zlahka odkrije.
Največji izzivi so danes povezani predvsem z velikimi digitaliziranimi sistemi v vseh mogočih sektorjih v državi, od zdravstva, šolstva, sociale, organov pregona, trgovcev. Digitalizacija tu zadeva res veliko število posameznikov, državljanov. To, da tovrstni sistemi delujejo pravilno, varno in učinkovito, pa je ključno za veliko aktivnosti, ki jih posamezniki vsakodnevno izvajamo, jih nujno potrebujemo. Ko se veliki sistemi v državi digitalizirajo je res ključno, da so vprašanja varstva osebnih podatkov naslovljena v začetku procesov. Jasno mora biti, kdo je upravljavec podatkov in da ima ustrezne pravne podlage za obdelavo podatkov. Nujno je zagotoviti, da bodo posamezniki vedno lahko uveljavljali svoje pravice do izbrisa, popravka, informacij. In to še preden se široko razširi uporaba umetne inteligence, pri kateri bomo veliko težje zagotavljali popravke pri napakah. Da je na prvem mestu zagotavljanje celovitosti, dostopnosti podatkov in zavarovanja pred nepooblaščenimi vpogledi. Kršitve osebnih podatkov imajo lahko namreč zelo resne posledice – napačni, nedostopni podatki v zdravstvu lahko pomenijo veliko škodo za življenje pacienta, napačni podatki lahko pomenijo napake pri izračunu sredstev, do katerih so upravičenih ranljivi, izpostavljanje osebnih podatkov otrok v času šolanja ima lahko velike posledice za njihovo bodoče življenje in možnosti.
Sodelujete tudi pri nadzoru globalnih upravljavcev. Lahko predstavite kak konkreten primer? S katerimi izzivi se pri tem srečujete?
Nadzor nad globalnimi upravljavci izvajamo tako, da formalno sodelujemo s sorodnimi organi iz drugih držav EU, velikokrat je to irski organ, ker ima tam sedeže precej največjih ponudnikov družbenih omrežij, pa Google, tudi Tik Tok. Če na primer prejmemo prijavo zoper takega ponudnika storitev, to informacijo posredujemo vodilnemu organu iz države, kjer ima podjetje sedež, potem pa skupaj oblikujemo odločitev glede kršitve, ukrepov, ki jih mora izvesti, glede globe. Omenim lahko številne postopke zoper Meto in delovanje omrežij Facebook in Instagram, kjer so bile izrečene tudi rekordne milijardne globe ter denimo postopek zoper Tik Tok. Ta je bil kaznovan, ker je mladoletne s svojim zavajajočim designom vabil v to, da so svoje podatke delili javno, namesto da bi spodbujal zasebnosti otrok bolj prijazne nastavitve. Prav tako se je postavilo vprašanje, ali Tik Tok dovolj skrbno preveri, koliko so sploh stari uporabniki (vemo, da je tam največ otrok), da lahko potem podatke otrok bolje varuje. To sodelovanje med organi je ena ključnih novosti GDPR, ki nam omogoča posredovanje v primerih, kjer prej uporabniki iz Slovenije niso mogli učinkovito obraniti svojih pravic, ko je šlo za podjetje, ki posluje v tujini, sedaj pa lahko to storijo preko prijave k Informacijskemu pooblaščencu.
Zadnje obdobje so tu predvsem izzivi, ki jih prinaša umetna inteligenca. Organi za varstvo podatkov v EU intenzivno sodelujemo pri vprašanjih nadzora nad ponudniki generativne umetne inteligence, kot je Chat GPT, zdaj tudi Deep Seek. Marsikatera organizacija tudi pri nas že razvija sisteme UI in jih vpeljuje v svoje poslovne procese, od upravljanja odnosov s strankami in dokumenti, do raziskav na različnih področjih. Osebne podatke se uporablja tako pri razvoju UI modelov oz. treniranju kot tudi pri uvajanju UI modelov. Prihajajo tudi nove omejitve Akta o umetni inteligenci, vendar pa morajo UI sistemi, s katerimi se obdelujejo osebni podatki, že danes spoštovati vsa pravila, ki jih določa Splošna uredba o varstvu podatkov in ne delujejo v pravni praznini. Preveriti je treba, ali obstaja za obdelavo osebnih podatkov pravna podlaga. Zlasti pa ključno, da imajo pri uporabi sistemov UI posamezniki možnost izvajati svoje pravice – do vpogleda v lastne osebne podatke, do popravka, izbrisa podatkov.
