Kaj morate kot državljan EU vedeti o svojih osebnih podatkih in z njimi povezanih pravicah

Dobra štiri leta so trajale priprave in razprave, a je Evropski parlament 14. aprila 2016 vendarle sprejel Splošno uredbo o varstvu osebnih podatkov, ki je znana z okrajšavo GDPR (od angleškega General Data Protection Regulation). Takrat so tudi določili datum uveljavitve: 25. maj 2018, torej današnji dan.

Podjetja so se morala do danes ustrezno prilagoditi novi uredbi. V primeru neskladnosti z novimi določili jim grozijo zelo visoke kazni – do 20 milijonov evrov ali štiri odstotke letnega prometa, če je zadnji znesek večji od 20 milijonov.

GDPR za državljane v enem stavku oziroma kaj GDPR pomeni v praksi

"Napoleon je pri svojem poveljevanju od podrejenih zahteval, da po prejetih ukazih ponovijo, kaj jim je ukazal. Če odgovor ni bil jasen, je vedel, da ukaz ni bil kakovosten!" je na vprašanje, ali javnost razume, kaj prinaša GDPR, odgovoril Primož Govekar, vodja področja kibernetične varnosti pri ljubljanskem podjetju za računalniško varnost Ascaldera, ki se med drugim ukvarja s svetovanjem pri zagotavljanju združljivosti podjetij z GDPR.

"Bistvo Splošne uredbe o varstvu osebnih podatkov (GDPR) je: 'Moji podatki so moja last!'" je povzel Primož Govekar, vodja področja kibernetične varnosti pri ljubljanskem podjetju za računalniško varnost Ascaldera.

Ali lahko povzamemo bistvo uredbe, ki šteje 99 členov in je v postopku svojega usklajevanja doživela in preživela 3.999 amandmajev v nekaj kratkih in razumljivih stavkih? Govekar ne okleva: "Če se boste zapomnili samo en stavek, naj bo to: 'Moji podatki so moja last!'"

Iz tega izvira širša razlaga: "Če moji podatki pripadajo meni, to pomeni nekaj zelo logičnih sklepov. Enako kot mi pripadata moje ime in priimek ter mi pripadajo tudi moj naslov, EMŠO in davčna številka, tako mi pripada tudi moja zdravstvena kartoteka, zgodovina mojih telefonskih pogovorov, podatki o meni pri moji zavarovalnici, vsebina moje kartoteke na ZPIZ, enako mi pripada celo rentgenska slika z mojega zadnjega pregleda pri specialistu, pa podatki v centralnem registru prebivalcev, zgodovina mojih nakupov pri kateremkoli trgovcu, vse moje sličice v katerikoli skupini na Facebooku ali kakšnem družbenem omrežju – pa še niti začeli nismo s tem, kje vse so podatki o meni."

"Enako kot mi pripadata moje ime in priimek ter mi pripadajo tudi moj naslov, EMŠO in davčna številka, tako mi pripada tudi moja zdravstvena kartoteka, zgodovina mojih telefonskih pogovorov, podatki o meni pri moji zavarovalnici, vsebina moje kartoteke na ZPIZ, enako mi pripada celo rentgenska slika z mojega zadnjega pregleda pri specialistu, pa podatki v centralnem registru prebivalcev, zgodovina mojih nakupov pri kateremkoli trgovcu, vse moje sličice v katerikoli skupini na Facebooku ali kakšnem družbenem omrežju – pa še niti začeli nismo s tem, kje vse so podatki o meni." Foto: Bojan Puhek

Velja seveda tudi pogled iz drugega kota: "Enako kot mi pripadajo moji podatki, mi ne pripadajo podatki o nikomer drugem razen o tistih, za katere sem skrbnik. Staršem tako pripadajo podatki o njihovih otrocih, mojim otrokom bodo pripadli moji podatki, ko bodo tudi uradno postali moji skrbniki, podobno velja za posvojence."

Podjetje iz Hongkonga, Kitajske, ZDA ali Paname prodaja kupcem v EU? Tudi zanje velja GDPR!

Ta preprosta resnica zavezuje vse, ki zbirajo in obdelujejo podatke o državljanih Evropske unije, da to počnejo na način, ki državljanom – lastnikom svojih podatkov – omogoča polno in neovirano razpolaganje s svojimi podatki.

Kot pojasnjujejo pri Evropski komisiji, ima GDPR velike pristojnosti, saj velja za vse pravne osebe – ne glede na njihovo lokacijo ali sedež, kjer obdelujejo osebne podatke fizičnih in pravnih oseb iz Evropske unije.

Družbe, katerih sedež ni v Evropski uniji, bodo, če obdelujejo podatke državljanov Evropske unije, zdaj morale imenovati svojega pooblaščenega predstavnika v Evropski uniji.

Vse pravice, ki jih ima posameznik s svojimi osebnimi podatki, so veljavni tako v fizičnem svetu obrazcev in papirja kot v digitalnem svetu. Foto: Thinkstock

Kratko in jedrnato – tudi za preklic!

Ena od največjih novosti je, da bo pridobivanje soglasij za zbiranje in obdelavo osebnih podatkov zdaj moralo potekati v preprostem, razumljivem jeziku, brez odvečnega dolgovezenja. Preklic soglasja bo moral biti enako preprost, kar danes dobro vemo, da največkrat ni. To brezpogojno velja tako za tiskane kot tudi spletne ali kakršnekoli druge obrazce.

Kako bo to uporabnik dosegel? Govekar pojasnjuje: "Če jaz nekemu podjetju ali javni ustanovi dam svoje podatke, kar naredim z obrazcem, pogovorom po telefonu, na spletnih strani, v mobilni aplikaciji, potem mora ta, ki je moje podatke prejel, dokazati, da sem mu svoje podatke dal v uporabo, oziroma mora dokazati, za kaj jih sme uporabljati."

Kakšna je razlika med soglasjem in pogodbo?

Najpogostejše dokazilo, ki ga mora ponudnik v kateremkoli trenutku na zahtevo uporabnika predložiti, je soglasje. "Drugi pogost tip dokazila ali dovoljenja za uporabo je pogodba. Pogodba je lahko na primer kupoprodajna, podatek, za katerega želim, da ga prodajalec hrani, pa je podatek o garanciji za izdelek, ki sem ga kupil. Pogodba je lahko tudi pogodba z mobilnim operaterjem, ki mi subvencionira nakup mojega novega mobilnega telefona."

Tako kot soglasje je tudi pogodba ena od pravnih podlag za zbiranje in obdelovanje osebnih podatkov. Razlika je v tem, da je soglasje preprosteje in hitreje preklicati, saj sprememba pogodbenih določil praviloma ima časovno opredelitev. Foto: Thinkstock

Za uporabnika je pomembna razlika med pogodbo in soglasjem, da pogodbe ni mogoče preklicati tako hitro kot soglasje. "To je razumljivo, saj pogodbe za razliko od soglasja običajno ne morem tako lahko preklicati, kar je razumljivo, saj obveznosti iz pogodbe zahtevajo določen čas."

Tudi zakon je dovoljenje – davkarija bo še naprej videla vse!

Nekaj dovoljenj pa ostaja tudi brez izrecne privolitve posameznika, pojasnjuje naš sogovornik. "Tudi zakon je tip dovoljenja: Finančni upravi zakon omogoča, da praktično neomejeno dostopa do vseh mojih ali vaših podatkov o prihodkih ali premoženjskem stanju, brez omejitev. Tu ni kaj, kar je cesarjevega …"

Vsa ta in druga dopustna dovoljenja so pravna podlaga – brez nje ni ne zbiranja, ne obdelave, ne uporabe osebnih podatkov. "Po celotni Evropski uniji si po 25. maju nobeno podjetje in nobena ustanova ne bo smela privoščiti stavka 'Ne vem, od kod imam ta osebni podatek!'"

"Tudi zakon je tip dovoljenja za upravljanje osebnih podatkov: Finančni upravi zakon omogoča, da praktično neomejeno dostopa do vseh mojih ali vaših podatkov o prihodkih ali premoženjskem stanju, brez omejitev." Foto: Tina Deu

Pravica do polnega vpogleda, pravica do izbrisa …

Uporabnik bo lahko od ponudnika v kateremkoli trenutku zahteval – in dobil brezplačno v elektronski obliki – izpisek vseh osebnih podatkov uporabnika in natančno opredelitev, kje se ti podatki zbirajo in s kakšnim namenom.

Za uporabnike je pomembna tudi pravica do izbrisa podatkov, za katere uporabnik umakne soglasje, ali niso več potrebni za namene, za katere je uporabnik dal soglasje.

Kdo bo moral imeti pooblaščence za varovanje podatkov?

Predpisi zelo natančno opredeljujejo, katere pravne osebe bodo morale imeti svoje pooblaščence za varovanje osebnih podatkov. To so javna uprava, organizacije, ki izvajajo sistemsko opazovanje v velikem obsegu, in organizacije, ki v veliki meri obdelujejo občutljive osebne podatke (natančneje opredeljeno v 37. členu).

Klicali ste ponudnika, ki vas je opozoril, da se pogovor snema? GDPR jamči, da boste lahko zahtevali posnetek!

Dobro za vsakega posameznika v EU

GDPR državljanom prinaša številne nove pravice z osebnimi podatki. "Ena temeljnih človekovih pravic vseh državljanov članic EU je pravica do zaščite zasebnosti. Novost GDPR v primerjavi z ureditvijo, ki smo jo imeli doslej, je predvsem v tem, da je stopnja zaščite tudi zaradi visokih zagroženi kazni postala večja," je povedal naš sogovornik.

Prepričan je, da GDPR prinaša veliko dobrega vsakomur od nas: "Dobim lahko vse svoje osebne podatke, lahko zahtevam popravek, lahko zahtevam izbris, podatke lahko prenesem na drugo podjetje ali ustanovo, lahko sem obveščen o obdelavah podatkov, obenem pa moram biti obveščen o vdoru v moje osebne podatke."

Moji izvidi so moja last

Med mnogo primeri, kako bomo državljani Evropske unije lahko uveljavljali svoje (nove) pravice, je Govekar izpostavil tri primere: iz zdravstva, družbenih omrežij in poslovnega odnosa.

"Grem na pregled v bolnišnico. Opravijo mi CT-slikanje moje trebušne votline. CT in vse podatke, ki so nastali pri slikanju, lahko zahtevam." Večina zdravnikov in zdravstvenih ustanov je to sicer izvajala že zdaj, a če bi se po novem upirali zahtevi uporabnika, se lahko ta pritoži pri uradu Informacijske pooblaščenke.

Vsak posameznik je lastnik tudi svojih in samo svojih zdravstvenih podatkov - razen če je skrbnik neke osebe in je lastnik podatkov svojega varovanca. Tako so starši lastniki osebnih podatkov svojih mladoletnih otrok. Foto: Thinkstock

Družbena omrežja bodo morala upoštevati voljo vsakega od nas

Ni malo primerov, ko na zabavi nastane kakšna fotografija, ki jo potem tisti na njej (ali kdo drug) ne bi več želeli videti na družbenih omrežjih. "Zamislimo si mladoletno hčerko, ki odide na zabavo. Tam, žal, v nekoliko preveč prešernem vzdušju nastane fotografija, ki je starš o svoji hčeri ne bi želel videti, še najmanj pa na družbenih omrežjih. Ker starša to moti, bo dal tam pritožbo na to družbeno omrežje. To je dolžno sporno fotografijo v 30 dneh odstraniti iz vseh svojih vsebin."

Že res, da to ne more več ustaviti posameznikov, ki so fotografijo med tem že shranili na svoj računalnik, a ostaja neizpodbitno dejstvo, da družbeno omrežje ne sme več dovoliti širjenja te fotografije.

Posnetki pogovorov niso več last podjetja

Kolikokrat ste poklicali na center za pomoč uporabnikom nekega podjetja in pred začetkom pogovora izvedeli, da se pogovor snema? Ali ste potem poskusili dobiti posnetek tega pogovora?

Ali je Splošna uredba o varstvu osebnih podatkov (GDRP res "birokratski monstrum iz Evropske unije", kot jo nekateri želijo prikazati? "Le za tiste, ki so morajo prilagoditi – podjetja in javne ustanove. Oni so plačani za to, da se prilagodijo, pravice razpolaganja z našimi osebnimi podatki pa niso njihove, temveč naše!" Foto: Thinkstock

Govekar ponuja konkreten primer: "Kličem na klicni center nekega ponudnika in oddam ustno pritožbo na račun preteklega meseca. Ker se čez nekaj dni ne spomnim točno, kaj natančno sva se s svetovalcem pogovarjala, obenem pa želim pritožbo nadaljevati od točke tega pogovora, imam polno in neomejeno pravico, da mi ponudnik operater posreduje zvočni zapis pogovora ali vsakršno obliko snemanja," je pojasnil Govekar. "Celo za videoposnetke, za vse tiste primere, kjer podjetje ve, da me je posnelo."

Kdo se boji GDPR in zakaj?

Medtem ko so nove pravice, ki nam posameznikom (končno) dajejo več nadzora nad svojimi osebnimi podatki, gotovo dobra novica za vsakega posameznika, naš sogovornik opozarja, da veliko medijskih zapisov opredeljuje GDPR kot "birokratskega monstruma iz Evropske unije".

Morda je razlog za to, da bi uradna pojasnila lahko bila še bolj v preprostem jeziku, a Govekar vidi razlog za takšen ton predvsem v nepripravljenosti tistih, ki nam morajo omogočiti izvajanje naših pravic z našimi osebnimi podatki: "GDPR je 'birokratski monstrum' le za tiste, ki se morajo prilagoditi – podjetja in javne ustanove. Oni so plačani za to, da se prilagodijo, pravice razpolaganja z našimi osebnimi podatki pa niso njihove, temveč naše!"