Z Zakonom o informacijskem pooblaščencu je bil leta 2005 ustanovljen samostojen in neodvisen državni organ Informacijski pooblaščenec (IP RS). Ta pod svojo streho združuje dostop do informacij javnega značaja in varstvo osebnih podatkov. Kdaj se lahko organizacije in/ali posamezniki obrnejo na vaš Urad?
Na področju transparentnosti državnega delovanja se na nas lahko obrne vsakdo (posameznik, organizacija ali medij), ki je kateremu o državnih organov ali drugih zavezancev podal zahtevo za posredovanje informacij javnega značaja – npr. podatkov o porabi javnih sredstev – pa mu je bila ta zahteva zavrnjena ali pa zavezanec nanjo ni odgovoril, pravimo da je organ takrat v molku. Prav slednje je z vidika transparentnosti za prosilca najhuje in kaže najmanj na neustrezen odnos organov do javnosti. V vseh teh primerih torej ukrepamo vedno, ko dobimo pritožbo. Na področju varstva osebnih podatkov pa še ukrepamo vedno, ko se pojavi sum kršitve Zakona o varstvu osebnih podatkov oziroma prihaja do nezakonite obdelave osebnih podatkov.
Na nas pa se lahko obrnejo tudi posamezniki, ki so jim upravljavci zbirk osebnih podatkov zavrnili ali jim niso odgovorili na njihovo zahtevo za seznanitev z lastnimi osebnimi podatki ali zdravstveno dokumentacijo. Poleg tega ima Informacijski pooblaščenec tudi pristojnosti nadzora nad izvajanjem videonadzora, izvajanjem biometrijskih ukrepov ter iznosom osebnih podatkov v tretje države, torej izven EU. Več o posameznih pravicah ter tudi dolžnostih organizacij si lahko bralci preberejo na naši spletni strani: www.ip-rs.si
Foto: IVK
Delovna skupina za varstvo osebnih podatkov, katere član je tudi IP RS, je sprejela mnenje o Sporazumu med EU in ZDA o varstvu osebnih podatkov pri preprečevanju, preiskovanju, odkrivanju in pregonu kaznivih dejanj. Zakaj pravzaprav gre in ali se bo pri čezatlantski izmenjavi podatkov v okviru sodelovanja v boju proti terorizmu in organiziranemu kriminalu zahtevala povsem enaka raven varstva osebnih podatkov kot znotraj EU?
Informacijski pooblaščenec je zelo aktiven tudi v okviru EU in v tem primeru gre za opredelitev okvira varstva, ki mora biti na voljo posameznikom, ko se njihovi osebni podatki iznašajo v ZDA. Gre za dva vidika. Po eni strani gre za vprašanje, kako morajo podjetja, ki iznašajo iz EU naše podatke poslovnim partnerjem ali pogodbenim obdelovalcem v ZDA varovati naše podatke, to ureja Dogovor o Ščitu zasebnosti, ki sta ga sklenili EU in ZDA letos poleti. Po drugi strani pa gre za vprašanje, ki ga omenjate, torej vprašanje sodelovanja evropskih organov pregona in varnostnih organov s podobnimi organi v ZDA v prizadevanjih za varnost. V obeh primerih bi moralo biti vsem posameznikom, katerih osebni podatki se iznašajo v ZDA tudi v okviru teh aktivnosti zagotovljeno varstvo osebnih podatkov, ki je primerljivo varstvu v EU. Gre torej za vprašanja namenskosti obdelave osebnih podatkov, omejenosti obdelave, pravic posameznikov glede popravka in izbrisa netočnih in nezakonitih podatkov ter vpogleda v lastne osebne podatke, rokov hrambe in podobno.
V praksi so to res zelo kompleksna vprašanja, saj je koncept zasebnosti v ZDA urejen in razumljen povsem drugače kot v EU. V ZDA imajo osebni podatki status tržnega blaga – osebni podatki se tam kupujejo in prodajajo. Če ste npr. ameriško farmacevtsko podjetje in želite na nekem geografskem področju v ZDA prodajati svoje zdravilo, boste stopili do prvega data-brokerja in od njega kupili seznam vseh bolnikov z boleznijo, ki vas zanima in jim lahko poslali reklamni letak. Torej tudi tako občutljivi podatki kot so zdravstveni, so v ZDA predmet prodaje. Namen tega krovnega sporazuma pa je nekako najti način, kako bi zgoraj omenjeno raven varstva vendarle zagotovili. Nadzorni organi v EU ta prizadevanja zato seveda pozdravljamo, saj pomeni krovni sporazum precejšnje izboljšanje v primerjavi s sedanjim stanjem, ko čezatlantski prenosi osebnih podatkov med državnimi organi potekajo na podlagi pravnih instrumentov (mednarodnih sporazumov ali nacionalne zakonodaje), ki na splošno ne vsebujejo nobenih ali le malo določb o varstvu podatkov. Krovni sporazum pa te instrumente dopolnjuje in kot zavezujoč dogovor postavlja celovit okvir jamstev in določa temelje minimalnim zahtevam varstva podatkov pri izmenjavi podatkov med organi pregona v EU in ZDA (npr. roki hrambe podatkov so vezani na namen izmenjave podatkov in so javno objavljeni; določena je pravica posameznikov do seznanitve in popravka ter do sodnega varstva; nadaljnji prenosi podatkov so dovoljeni samo s predhodno privolitvijo vseh pristojnih organov države, iz katere so bili poslani osebni podatki). Vendar pa smo nadzorni organi v EU hkrati kritični do dejstva, da skladno s sporazumom vendarle ni zahtevana povsem enaka raven varstva osebnih podatkov kot znotraj EU. Zato smo predlagali, da EU od ZDA pridobi dodatna zagotovila v zvezi s skladnostjo sporazuma s temeljnimi pravicami, ki veljajo v EU, v vsakem primeru pa bomo v okviru omenjene delovne skupine (Working Party 29) v prihodnje skrbno spremljali učinkovitost izvajanja tega sporazuma. Sami namreč v ZDA seveda ne moremo izvajati inšpekcijskih postopkov.
V letošnjem letu je izšel prvi Evropski priročnik za poučevanje o zasebnosti in varstvu osebnih podatkov v osnovnih in srednjih šolah, pri katerem je sodeloval tudi Informacijski pooblaščenec RS. Zakaj je tako pomembno izobraževanje o zasebnosti že v osnovnih in srednjih šolah?
Varstvo osebnih podatkov je lahko resnično učinkovito v praksi le, če vsak posameznik ve, kaj so njegove pravice in seveda dolžnosti, ter v vsakdanjem življenju ravna v skladu s tem. Šola je zato izredno pomemben prostor usposabljanja mladih tudi o pomenu zasebnosti. Tako kot se moramo naučiti brati, bi se morali naučiti tudi varno uporabljati splet in družbena omrežja. Obdelava osebnih podatkov se nas kot ljudi pravzaprav dotakne že zelo zgodaj, saj je ena prvih pošt, ki jo novorojenček dobi, pismo z davčno številko. Ko pa začno otroci uporabljati pametne telefone, in to je danes že zelo kmalu, internet postane neposreden vir osebnih podatkov. Zato morajo že zelo mladi poznati tehnologije, ki so nam na voljo in posledice njihove uporabe za nas same in za druge ljudi.
Res je, da je formalnopravno starš do določene starosti zakoniti zastopnik mladoletnika, a otroci dejansko v šoli in drugje pri stikih z vrstniki in drugimi že zelo zgodaj tudi sami sooblikujejo svoja življenja in s tem vplivajo na kakovost skupnega bivanja. Zato je bistvenega pomena, da se zavedajo pomena spoštovanja zasebnosti in predvsem varne uporabe vseh tehnologij, ki so nam danes na voljo in ki jih prav mladi zelo intenzivno uporabljajo. Enako seveda velja za starše, do dopolnjenega 18 leta starosti je namreč o posamezniku obdelanih že neskončno veliko osebnih podatkov.
Starši igramo ključno vlogo pri varstvu osebnih podatkov svojih otrok. Kdaj pa starši lahko preveč posežemo v otrokovo zasebnost in pravico do varstva osebnih podatkov?
Starši moramo v prvi vrsti poznati tehnologije in pomen varstva osebnih podatkov nasploh, saj šele s tem lahko ustrezno poskrbimo tudi za spoštovanje zasebnosti svojih otrok. Predvsem opažamo težave pri uporabi družbenih omrežij in spleta. Tu velja biti še posebej skrben, ko npr. objavljamo fotografije svojih otrok. Zadržanost in pravilo manj je več, bi bilo tukaj zelo na mestu. Gre namreč za to, da je splet ‘večen’ in da morda ob povsem dobronamerni objavi neke smešne fotografije ne pomislimo, da bi lahko imel otrok zaradi takšne objave kasneje npr. v občutljivem obdobju najstništva ali celo odraslosti težave, če bi se takšna fotografija izven konteksta znašla na napačnem mestu. Priča smo že prvi tožbi na to temo v Avstriji, ko najstnica toži svoje starše zaradi po njenem mnenju neprimerne objave fotografij na družbenem omrežju. Enako velja za objave v medijih. Vedno bi se morali vprašati, kdo bo dejansko lahko določene osebne podatke videl, ali jih bo, morda povsem dobronamerno, lahko posredoval naprej in kaj bi to lahko pomenilo za otroka. Starši nikakor nismo lastniki osebnih podatkov svojih otrok, bolj skrbniki in pomočniki. Zato moramo biti predvsem pri vsakršnih objavah še toliko bolj zadržani in odgovorni.
V mesecu novembru 2016 je IP RS izdal smernice za upravnike večstanovanjskih stavb v katerih med drugim obravnava tudi področje videonadzora v večstanovanjskih stavbah. Ali je dovoljena postavitev videonadzora v skupnih prostorih stavbe (hodniki, kolesarnica, prostor za odlaganje odpadkov itd)?
Pri uvedbi videonadzora v večstanovanjskih stavbah morajo solastniki ali etažni lastniki najprej oceniti, da obstaja realna verjetnost ogrožanja življenja ali telesa posameznikov oziroma nastanka premoženjske škode. Naslednji pogoj za uvedbo videonadzora je pisna privolitev solastnikov, ki imajo v lasti več kot sedemdeset odstotkov solastniških deležev. Sicer pa se v večstanovanjskih stavbah lahko nadzoruje le dostop do vhodov in izhodov večstanovanjskih stavb ter skupne prostore stavbe. Opredelitev pojma skupnih prostorov v večstanovanjske stavbe izhaja iz Stanovanjskega zakona, ki kot skupne prostore določa npr.: stopnišča, vhodne vetrolove, hodnike, kolesarnice, pralnice, sušilnice, skupne kleti, zaklonišča, prostore za odlaganje odpadkov in druge prostore, ki so namenjeni skupni rabi etažnih lastnikov (dovozi, klančnine in podobno) ter zemljišče, na katerem stoji stavba. Prepovedano pa je nadzorovati vhode v posamezna stanovanja, dvigala v večstanovanjski ali hišniško stanovanje ter delavnico za hišnika. To so namreč prostori, kjer ljudje upravičeno pričakujemo višjo stopnjo zasebnosti.
Prav zaradi varovanja posameznikove zasebnosti zakon izrecno prepoveduje omogočanje ali izvajanje sprotnega ali naknadnega pregledovanja posnetkov videonadzornega sistema preko interne kabelske televizije, javne kabelske televizije, interneta ali podobno, tako da bi lahko stanovalci neomejeno in sproti spremljali posnetke s kamer. Določba izvira kot odgovor na sporno prakso, ko je inštalater videonadzornega sistema tega na željo nekaterih stanovalcev priklopil še na interni kabelski sistem v bloku ter s tem nekaterim stanovalcem omogočil enostaven nadzor nad prihodi in odhodi iz stavbe.
Prav tako mora biti seveda tudi v tem primeru (enako kot v vseh primerih izvajanja videonadzora) vidno in razločno objavljeno obvestilo o izvajanju videonadzora na način, ki omogoča posamezniku, da se seznani z njegovim izvajanjem najkasneje, ko se nad njim začne izvajati videonadzor. Takšno obvestilo pa mora vsebovati podatek o tem, da se izvaja videonadzor, naziv izvajalca ter telefonsko številko za pridobitev informacije, kje in koliko časa se shranjujejo posnetki iz videonadzornega sistema.
Andrej Kovačič E: andrej.kovacic@varensvet.si