Informacijski pooblaščenec je samostojen in neodvisen državni organ, delovati pa je začel po sprejetju Zakona o informacijskem pooblaščencu. S sprejetjem omenjenega zakona je bila spoštovana določba Zakona o varstvu osebnih podatkov (ZVOP), da s 1. januarjem 2006 začne delovati nov državni organ, ki ima številne pristojnosti tako na področju dostopa do informacij javnega značaja kot tudi na področju varstva osebnih podatkov. V Sloveniji sta pravica do dostopa do javnih informacij in pravica do varstva osebnih podatkov z Ustavo RS določeni kot temeljni človekovi pravici.
Govorili smo z namestnico informacijske pooblaščenke Mojco Prelesnik, ki ugotavlja, da nekateri zavezanci obveznosti, ki jim jih nalaga omenjeni zakon, še ne poznajo dovolj, čeprav se zavedanje o pomenu varstva osebnih podatkov veča. Zato pojasnjuje, katere dolžnosti morajo izpolnjevati podjetja in samostojni obrtniki, katere evidence mora voditi delodajalec, kdaj lahko objavi osebne podatke zaposlenega, kako je z videonadzorom, neposrednim trženjem …
Kaj so osebni podatki, kaj se lahko počne z njimi in kakšne so pravice posameznika glede njegovih osebnih podatkov?
Definicija osebnega podatka je po Zakonu o varstvu osebnih podatkov zelo široka, saj je osebni podatek katerikoli podatek, ki se nanaša na posameznika, in to ne glede na obliko, v kateri je izražen. Govorimo torej o kakršnikoli informaciji o posamezniku, ki je ne le določen, ampak je dovolj že to, da je razmeroma lahko določljiv. Zadostuje torej že, da sam način identifikacije posameznika ne povzroča visokih stroškov, nesorazmerno velikega napora ali ne zahteva velike porabe časa. Res široka opredelitev osebnega podatka, kar je za nas posameznike seveda ugodno, saj uživamo zaščito, ki jo ponuja zakon.
Osebni podatki se lahko obdelujejo samo, če za to obstaja pravna podlaga, to pomeni, da je dopustnost njihove obdelave bodisi zapisana v zakonu bodisi je upravljalec zbirke osebnih podatkov dobil posameznikovo osebno privolitev, da lahko obdeluje njegove osebne podatke.
Posameznik ima seveda pravico zahtevati, da upravljalec njegovih osebnih podatkov ne obdeluje, če nima take pravne podlage. Vsakokrat, ko posamezniki zaznajo kršitev, se lahko s prijavo obrnejo k informacijskemu pooblaščencu. Posameznik ima tudi pravico vedeti, kdo obdeluje njegove osebne podatke in tudi katere.
Katere so pristojnosti informacijskega pooblaščenca pri nadzoru zakonitosti obdelave osebnih podatkov? Kdo nadzira vaše delo?
Informacijski pooblaščenec bdi nad zakonitostjo obdelave osebnih podatkov. Področje varstva osebnih podatkov pomeni ožji del sicer širšega pojma zasebnosti. Na tem področju informacijski pooblaščenec prek državnih nadzornikov za varstvo osebnih podatkov izvaja inšpekcijski nadzor – tega lahko uvede po prejeti prijavi ali po uradni dolžnosti, torej vsakokrat, ko zazna kakršenkoli sum nezakonite obdelave osebnih podatkov. Če državni nadzornik ugotovi kršitev Zakona o varstvu osebnih podatkov, najprej s tako imenovano ureditveno odločbo upravljalcu zbirke osebnih podatkov naloži ustrezno ravnanje oziroma odpravo nepravilnosti, nato pa po potrebi uvede tudi prekrškovni postopek in lahko izreče globo.
Našega dela ne nadzoruje neki drugostopenjski organ, temveč ima zavezanec možnost zoper ureditveno odločbo vložiti tožbo na upravno sodišče, zoper izdano prekrškovno odločbo pa vložiti zahtevo za sodno varstvo, o kateri najprej odloča krajevno pristojno okrajno sodišče.
Naši bralci so predvsem samostojni podjetniki in podjetja z manjšim številom zaposlenih. Recimo, da podjetje, ki se ukvarja s polaganjem talnih oblog, pošilja obvestila in ponudbe naslovnikom prek neposredne in elektronske pošte. Zbirke naslovnikov nima prijavljene informacijskemu pooblaščencu, saj pravi, da je to interni seznam, last podjetja. Vendar se moti, kajne? Ali zakon pri prijavi zbirk podatkov dopušča kakšno izjemo?
Ne moti se povsem, odgovor je odvisen predvsem od števila zaposlenih pri upravljalcu osebnih podatkov. Novela Zakona o varstvu osebnih podatkov, ki smo jo dobili lansko poletje, je upravljalcem osebnih podatkov, ki imajo manj kot 50 zaposlenih, prinesla kar nekaj olajšav na tem področju. Tem manjšim pravnim subjektom po novem ni več treba izdelati internega akta o zavarovanju osebnih podatkov, katalogov zbirk osebnih podatkov in vnesti podatkov iz katalogov v register zbirk osebnih podatkov, ki ga vodi informacijski pooblaščenec. Vendar pa tudi tu zakon določa izjeme, in sicer ta oprostitev ne glede na število zaposlenih ne velja za upravljalce osebnih podatkov, ki vodijo zbirke, ki vsebujejo občutljive osebne podatke, obdelava občutljivih osebnih podatkov pa je del njihove registrirane dejavnosti.
Upravljalec zbirke osebnih podatkov mora sprejeti tudi interni akt oziroma pravilnik o zavarovanju osebnih podatkov. Kaj mora v njem predpisati?
Novela, ki smo jo omenili, je torej večini malih subjektov prinesla olajšave. Tem subjektom odslej ni treba več sprejeti internega pravilnika, kar pa jih v resnici razbremeni le minimalno, saj morajo Zakon o varstvu osebnih podatkov v praksi spoštovati in izvrševati, torej v duhu ustreznosti zavarovanja osebnih podatkov urediti vse potrebno, da je zavarovanje dobro in učinkovito. Moram povedati, da smo v obdobju sprejemanja te novele prejeli tudi veliko vprašanj zavezancev, kaj dejansko pomeni ta oprostitev sprejetja pravilnika, saj morajo Zakon o varstvu osebnih podatkov sicer spoštovati in je dejansko dobro, da so dolžnosti in razdelitev pristojnosti v nekem pravnem subjektu tudi natančno določene in zapisane. Prav to pa omogoča interni akt oziroma pravilnik o zavarovanju osebnih podatkov. Zakon določa vsebino zavarovanja osebnih podatkov, in sicer zavarovanje osebnih podatkov obsega tako imenovane organizacijske, tehnične in logično-tehnične postopke in ukrepe, s katerimi se varujejo osebni podatki, preprečuje naključno ali namerno nepooblaščeno uničevanje podatkov, njihovo spremembo ali izgubo ter nepooblaščeno obdelavo. Zavarovanje torej obsega ustrezno varovanje prostorov, opreme ter sistemske in aplikativne programske opreme, preprečevati mora nepooblaščen dostop do osebnih podatkov pri njihovem prenosu, skupaj s prenosom po telekomunikacijskih sredstvih in omrežjih. Zavarovanje se razteza tudi na to, da se po prenehanju obdelave osebnih podatkov zagotavlja učinkovit način njihovega blokiranja, uničenja, izbrisa ali anonimiziranja. Zelo pomemben vidik zavarovanja je tudi dolžnost upravljalca vsake zbirke osebnih podatkov, da zagotavlja sledljivost, torej omogoča poznejše ugotavljanje, kdaj so bili posamezni osebni podatki vneseni v zbirko osebnih podatkov, uporabljeni ali drugače obdelani in kdo je to storil. Ker zakon način izvedbe ustreznega zavarovanja prepušča upravljalcu zbirke, saj morajo biti postopki in ukrepi za zavarovanje osebnih podatkov ustrezni glede na tveganje, ki ga pomenita obdelava in narava določenih osebnih podatkov, je to za upravljalca velikokrat težka naloga. Do sprejetja novele so morali vsi upravljalci osebnih podatkov v svojih aktih predpisati postopke in ukrepe za zavarovanje osebnih podatkov ter določiti osebe, ki bodo odgovorne za določene zbirke osebnih podatkov, in osebe, ki lahko zaradi narave njihovega dela obdelujejo določene osebne podatke, zdaj pa dolžnosti sprejetja akta za večino zavezancev v zasebnem sektorju ni več, dolžnost ustreznega zavarovanja pa seveda vseeno ostaja.
Kako lahko polagalec talnih oblog ukrepa kot fizična oseba, če so bile kratene njegove pravice do varstva osebnih podatkov oziroma so bili ti obdelovani v nasprotju z zakonom?
Najprej je treba pojasniti, da smo varstva osebnih podatkov deležni samo posamezniki, ne pa tudi gospodarske družbe, samostojni podjetniki ali posamezniki, ki opravljajo dejavnost na trgu – tu ne moremo govoriti o zasebnosti in osebnih podatkih. Tudi mala podjetja in samostojni podjetniki morajo osebne podatke posameznikov ustrezno varovati oziroma jih lahko dobijo v posest in obdelavo samo, če imajo za to ustrezno pravno podlago.
Predvsem posamezniki sami pa smo tisti, ki moramo na svoje osebne podatke paziti in jih nikakor ne smemo posredovati povsem brez skrbi. Moramo biti torej previdni, katere osebne podatke, koliko in predvsem tudi komu jih posredujemo. Ljudje se pomena varstva osebnih podatkov res vse bolj zavedajo, a še vedno premalo. Kraje identitet tudi Sloveniji niso več tuje, saj se je informacijski pooblaščenec srečal že s kar nekaj primeri – znano je, da je neka ženska s ponarejenim potnim listom na obroke kupovala drago tehnično opremo ali pa da se je s ponarejenimi dokumenti prodalo tuje stanovanje. Informacijski pooblaščenec seveda lahko ukrepa, če izve za kršitev, vendar je škoda posamezniku velikokrat že narejena.
Ali lahko gospodarske družbe za običajne posle, denimo kupnina in prodajna pogodba ali posojilo, od fizične osebe zahtevajo EMŠO in davčno številko?
Za posredovanje mora tisti, ki od nas zahteva osebne podatke, vedno izkazati tako imenovano pravno podlago za posredovanje ali pa dobiti osebno privolitev posameznika, čigar osebni podatki se posredujejo, da to lahko stori. Zlasti moramo paziti pri posredovanju tako imenovanih enoličnih identifikatorjev, s katerimi smo z lahkoto takoj določeni, to sta pri nas davčna številka in EMŠO.
Posebej pa moramo biti pazljivi pri tako imenovanih občutljivih osebnih podatkih. To so tisti, ki nas delajo najbolj ranljive – tu imamo v mislih zlasti podatke o zdravju, pa o najrazličnejših osebnih prepričanjih: političnem, verskem, filozofskem, sem sodi tudi naše spolno življenje, pa tudi, ali smo vpisani v kazenske in prekrškovne evidence ali izbrisani iz njih.
V zasebnem sektorju, kamor sodijo gospodarske družbe, je položaj upravljalcev osebnih podatkov lažji, ker lahko te podatke pridobivajo tudi na podlagi osebne privolitve, medtem ko je v javnem sektorju to tako rekoč nemogoče – le izjemoma. Naša pravica je vprašati, za kaj nekdo potrebuje naše osebne podatke, in če dvomimo o upravičenosti posredovanja, se vedno vnaprej pozanimajmo. Paziti moramo, da se naša osebna privolitev nenadoma ne spremeni v osebno »prisilitev«.
V zasebnem sektorju sta zakonska podlaga in posameznikova osebna privolitev izenačena. V poslovnem svetu pa – če želiš sodelovati v nekem poslu, moraš v zameno dati svoje osebne podatke. Posameznik sam presodi, ali mu več pomeni posel ali tajnost osebnih podatkov. Državni nadzornik je opravil kar nekaj inšpekcijskih nadzorov, kjer je pregledoval predvsem zavarovanje teh podatkov, torej kaj se dogaja z zbranimi osebnimi podatki, ali so ustrezno zavarovani, ali so uničeni, ko je izčrpan njihov namen …
Potem pa so še situacije, ki jih je zakonodajalec deloma uredil tudi za zasebni sektor – torej gre za tista področja našega življenja, za katera je že zakonodajalec ocenil, da jih je treba vsaj delno ali v celoti urediti z zakonom – in tu osebna privolitev ne bo dovolj. Tak primer so telefonski operaterji, ki sicer sodijo v zasebni sektor, vendar jih je zakonodajalec kljub načelni možnosti osebne privolitve omejil in jim v Zakon o elektronskih komunikacijah zapisal, da lahko zbirajo tudi davčno številko, to pa pomeni, da EMŠO ne smejo.
Naše splošno navodilo vsem posameznikom je, naj od upravljalca, ki od njih zahteva konkreten osebni podatek, vedno zahtevajo pojasnilo pravne podlage. Upravljalec je torej tisti, ki mora dokazati, da potrebuje osebni podatek oziroma da je do njega sploh upravičen.
Varovanje osebnih podatkov je na splošno občutljivo področje, ki bi mu morala predvsem mala podjetja in samostojni podjetniki nameniti več pozornosti, saj se ne zavedajo vseh možnosti »nenamerne« postavitve podatkov v javno objavo. Pogosto je predvsem neposredno trženje z uporabo elektronskih komunikacij, kajne?
Neposredno trženje pomeni enega najpogostejših namenov obdelave osebnih podatkov. Posamezniki se svojih pravic že precej dobro zavedajo in pogosto odzovejo, če ne upoštevamo njihovega preklica, ter hitro vložijo prijavo pooblaščencu ali drugim pristojnim organom.
Zelo pomembno je, da upravljalec zbirke osebnih podatkov vodi ažuren seznam že preklicanih privolitev, da je do svojih strank jasen in jih obvesti o njihovih pravicah. Pomembno je tudi zavedanje, da za posredovanje podatkov drugi družbi upravljalec potrebuje privolitev posameznika. Zadnje pa seveda ne velja, če upravljalec posreduje te osebne podatke svojemu pogodbenemu obdelovalcu, ki za upravljalca dela v njegovem imenu in za njegov račun, je torej njegova podaljšana roka, denimo računovodski servisi.
Kdaj lahko podjetje uporablja osebne podatke za ponujanje blaga, storitev ali zaposlitev? Kdaj jih lahko obdeluje, uporablja in posreduje tretjim osebam?
Neposredno trženje v Sloveniji urejajo kar štirje zakoni, vendar pa lahko strnemo osnovna pravila. Pri posredovanju oglasnega sporočila z uporabo elektronskega sredstva – elektronske pošte, SMS … – je treba upoštevati, da upravljalec potrebuje posameznikovo predhodno soglasje. Izjema je le, če od denimo kupca svojih izdelkov ali storitev pridobi njegov elektronski naslov za elektronsko pošto, lahko ta naslov uporablja za neposredno trženje samo svojih podobnih izdelkov ali storitev. Pri elektronskem oglaševanju upravljalec ne sme vključevati tujih oglasov v svoje, svojim strankam pa mora vedno omogočati, da kadarkoli brezplačno in enostavno prekličejo privolitev v trženje, gre za tako imenovani mehki opt in.
Pravila posredovanja oglasnega sporočila z navadno pošto ali po telefonu so za upravljalca nekoliko milejša. Osebne podatke lahko pridobi iz javno dostopnih virov, na primer telefonskega imenika, ali pa v okviru zakonitega opravljanja dejavnosti. Tu velja ne tako strogo načelo, in sicer opt out, kar pomeni, da lahko upravljalec izvaja neposredno trženje brez vnaprejšnje privolitve posameznika, a le do njegovega preklica. Dokler torej ne prejme opozorila posameznika, da reklamnih sporočil ne želi več prejemati, ga lahko zalaga s svojimi oglasnimi sporočili. Takoj ko upravljalec prejme tak preklic oziroma opozorilo posameznika, pa tega ne spoštuje, je pošiljatelj v prekršku. Za upravljalca in njegove poslovne partnerje je ugodneje tudi to, da svojim tiskovinam lahko priloži tudi oglasni material tretjih oseb, da torej lahko reklamira tudi druge izdelke in storitve.
Podjetja imajo tudi evidence o zaposlenih. Kako je z varovanjem teh podatkov?
Res je, saj jim to nalaga Zakon o evidencah na področju dela in socialne varnosti, zato morajo vsi, ki imajo zaposlene, te zbirke vzpostaviti. V praksi smo obravnavali kar nekaj primerov, ko upravljalci, denimo podjetja, teh zbirk niso imeli ustrezno zavarovanih. Bistvo zavarovanja je onemogočenje dostopa nepooblaščenim osebam. Nedopustno namreč je, da so zbirke tako rekoč prosto dostopne v poslovnih prostorih. Vsak upravljalec osebnih podatkov mora imeti nadzor nad svojimi zbirkami in tudi določiti osebe, ki so odgovorne zanje in lahko do njih sploh dostopajo, predvsem pa mora zagotavljati sledljivost, torej zabeležiti, kdaj, komu in na kakšni pravni podlagi je posredoval osebne podatke.
Katerih osebnih podatkov podjetja ne smejo zahtevati od zaposlenih?
Vprašati se je treba ravno nasprotno: katere osebne podatke podjetje sploh sme zbirati od zaposlenih? Delovnopravno področje je eno tistih subtilnih pravnih področij, ki zahtevajo natančno ureditev v zakonu, saj so delavci šibkejša stranka od delodajalcev. Delodajalec lahko zbira tiste delavčeve osebne podatke, za katere ga pooblašča zakon.
Ali je pri objavi osebnih podatkov zaposlenega dovolj že ustna osebna privolitev polagalca?
Osebna privolitev je na delovnopravnem področju res izjema, ker je področje urejeno v zakonu in lahko delodajalec zbira le tiste osebne podatke, ki so zakonsko določeni. Načeloma na področju varstva osebnih podatkov zadostuje osebna privolitev, ki je lahko bodisi ustna bodisi pisna, ali druga ustrezna privolitev. Zakon o varstvu osebnih podatkov zahteva pisno privolitev, na primer pri obdelavi občutljivih osebnih podatkov, saj jo dopušča, če je posameznik dal izrecno osebno privolitev. Sicer pa v praksi upravljalcem osebnih podatkov vedno svetujemo pridobivanje pisnih osebnih privolitev prav zaradi lažjega poznejšega dokazovanja, ali je bila osebna privolitev dana ali ne.
Kdaj ima delodajalec v okviru zakonskih možnosti pravico nadzirati zaposlene polagalce na delovnem mestu, na primer z videonadzorom?
Videonadzor pomeni poseg v posameznikovo zasebnost. Najbrž se boste strinjali z mano, da ni prijetno biti v videonadzorovanem območju ves delovni čas. Prav zato zakon postavlja omejitve in določa, da se lahko videonadzor v delovnih prostorih izvaja le izjemoma, in sicer kadar je to nujno za varnost ljudi ali premoženja ali za varovanje tajnih podatkov in poslovne skrivnosti, česar pa ni mogoče doseči z milejšimi sredstvi. Videonadzor je prepovedan v delovnih prostorih zunaj delovnega mesta, zlasti v garderobah, dvigalih in sanitarnih prostorih.
Zaposleni morajo biti pred začetkom videonadzora v delovnih prostorih vnaprej pisno obveščeni o njegovem izvajanju, poleg tega se mora delodajalec pred uvedbo videonadzora posvetovati z reprezentativnim sindikatom pri delodajalcu, seveda če ta pri delodajalcu obstaja.
Janja Napast
