Veliko sreče v 2020 na področju varstva osebnih podatkov!

Lokalni fokus in globalna perspektiva!

V letu 2020 bo potrebno (še posebej če delujete tudi izven območja Slovenije oziroma globalno) poleg spremljanja lokalne zakonodaje in lokalnih specifik ter interpretacij GDPR opazovati širše EU in svetovno dogajanje na področju regulative varstva osebnih podatkov, ki lahko pomembno vpliva na vaše vsakodnevne aktivnosti bodisi pri izbiti podizvajalcev, IT ponudnika oz nakupu nove digitalne storitve oziroma produkta ali pa pri strukturiranju poslovnega modela. Če pa ste ponudnik IT storitve, rešitve ali pa tehnološkega produkta, v katerem se obdelujejo osebni podatki, pa je to pomembno v prvi vrsti zaradi zagotavljati skladnost same rešitve in produkta z zakonodajnimi zahtevami. Leto 2019 je pokazalo, da sta postali privzeta in vgrajena zasebnost komercialna prednost na trgu!

Kaj lahko pričakujemo v letu 2020:

IZVOZ OSEBNIH PODATKOV IZVEN EU OZ EEA

Ni več sporno, da bo 2020 nemirno leto glede pravnega režima iznosa osebnih podatkov izven EU. Takšni prenosi podatkov izven EU so tudi v poslovnem svetu pri poslovanju pravnih oseb tako običajni, da se ji premalo zavedamo. Kot npr. prenosi spiskov zaposlenih in podatkov o njihovih plačah v družbo izven EU bodisi nadrejeno družbo ali pa sestrsko družbo, ki centralno upravlja s HR administracijo,...ali pa centralna spletna stran za skupino podjetij, nekatere od teh tudi v 3. državah...ali pa digitalna marketingška orodja kot so Google Analitics, Shopify, Mailchimp, Hotjar…ali pa storitve spletne shrambe in s tem povezana orodja kot so Dropbox, Google Drive, One Drive…in seveda ne pozabimo velikih oblačnih ERP in CRM sistemov. Pripravite se! Skrbno upravljate svoje pogodbene obdelovalce. Če na njih ne morete vplivati (kar je običajno) potem vsaj razumite kako imajo pravno urejen prenos osebnih podatkov izven EU. Tudi če so podatkovni centri locirani v EU še ne pomeni, da ne prihaja do izvoza osebnih podatkov izven EU! Sodišče EU bo letos odločilo o usodi standardnih pogodbenih klavzul, kot najbolj pogosto uporabljenega načina prenosa osebnih podatkov izven EU in sicer z odločitvijo v zadevi Data Protection Commissioner v Facebook Ireland Limited, Maximillan Schrems. Prav tako pa bo Sodišče EU letos odločalo tudi o usodi Ščita zasebnosti (Privacy Shield) v zadevi La Quadrature du Net v Commission.

Generalni pravobranilec sodišča v EU, je izdal sicer nezavezujoče več kot 90 strani dolgo mnenje v katerem meni, da so standardne pogodbene klavzule veljaven način prenosa osebnih podatkov v 3. države, predlaga pa, da tisti, ki jih uporabljajo oziroma na njih temeljijo prenose OP, podrobno preverijo nacionalne zakone države uvoznice podatkov in sicer zakone v povezavi z nacionalno varnostjo in dostopom do osebnih podatkov, če se torej dejansko uvoznik osebnih podatkov sploh lahko drži določil standardnih pogodbenih klavzul. Generalni pravobranilec je izrazil več dvomov glede Privacy Shield. Če bo sodišče sledilo tem dvomom lahko to vpliva na odločitev v zadevi La Quadrature du Net.

Če želite preveriti ali je določena organizacija samo-certificirana v okviru zasebnostnega ščita, to lahko storite na tej povezavi.

Zavezujoča poslovna pravila (Binding Corporate Rules, BRC) ostajajo trdno v sedlu in niso na preveritvi na sodišču EU. Vedno več družb, s hčerinskimi družbami po svetu za svoje medskupinske transferje podatkov in vedno več globalnih IT oblačnih ponudnikov se jih poslužuje. So BRC, sicer izredno komplicirana, edina prava pot, ki zagotavlja stabilnost?

PODATKOVNA LOKALIZACIJA

V letu 2020 bo dogajanje na področju tim. podatkovne lokalizacije (data localization) spet bogato. Ruska federacija, ki ima zahtevo po podatkovni lokalizaciji v svoji zakonodaji že dolgo časa (in, ki vsem družbam, ki kakorkoli zbirajo podatke o ruskih državljanih ali od njih, narekuje, da te podatke shranjujejo na strežnikih, ki morajo biti fizično prisotni na ruskem ozemlju) je zakonu dodala se kazenska določila, tako, da imajo sedaj organi oblasti vzvode, da kršitelje tudi dejansko kaznujejo. Zahteve Kitajske glede podatkovne lokalizacije so zahtevne, prav tako pa predlog novega zakona v Indiji za določene kategorije osebnih podatkov določa podatkovno lokalizacijo in prepoved iznosa izven Indije.

Če vas poslovni model vključuje obdelavo osebnih podatkov in prodajo storitev na te trge sodelujte z lokalnimi partnerji in raziščite mogoče pravne poti.

FAMOZNI PIŠKOTKI

V letu 2020 boste morali urediti nepravilno in nezakonito delovanje piškotkov na vaših spletnih straneh. In priznajte si, tudi vi!

V letu 2019 je bilo navkljub nesprejetju oziroma zamrznitvi nove EU uredba o zasebnosti in elektronskih komunikacijah (e privacy) inteznivno regulatorno dogajanje, saj je več najbolj aktivnih in prodornih regulatorjev s področja varstva osebnih podatkov izdala priporočila glede upoprabe piškotkov in s tem povezanimi pridobitvami potrebnih soglasij. Ni več sporno, da za soglasje veljajo določila, kot jih za soglasje določa GDPR. Sodišče EU pa je v zadevi Planet 49 jasno povedalo da:
- ne gre za veljavno privolitev v primerih vnaprej označenih potrditvenih polj, ki ga mora ta uporabnik, da svojo privolitev zavrne, odznačiti, in
- informacije, ki jih mora ponudnik storitev zagotoviti uporabniku spletnega mesta, zajemajo obvezno tudi informacijo o trajanju delovanja piškotkov in opis možnosti oziroma nemožnosti tretjih oseb, da dostopajo do teh piškotkov.

Torej, družbe preverite ali so vaša obvestila in soglasja glede uporabe piškotkov skladna z zahtevami in razmislite o nivoju tveganja, ki ste ga z nepravilno ureditvijo pripravljeni prevzeti. Določite kje je vaš apetit za rizik in kaj se vam splača in kaj ne.

Prvotni načrt, predstavljen leta 2017, je bil, da bi trenutno veljavno direktivo o zasebnosti in elektronskih komunikacijah (ki je pri nas implementirana v zakon o elektronskih komunikacijah) nadomestili z novo oblikovano uredbo o zasebnosti z namenom krepitve zaupanja in varnosti na enotnem EU digitalnem trgu in ki bo razširila obstoječa področja varovanja zasebnosti in uvedla nova: Mobilne aplikacije, online oglaševalske mreže, internet stvari, OTT komunikacijske storitve (instant sporočila, Voice-over-IP), ki uporabljajo internet za posredovanje storitev, ki so enake ali primerljive s tradicionalnimi komunikacijami, e-poštne storitve (npr. Gmail in tudi lastna e-mail infrastruktura), telefonija, instant messaging, Customer chat, WhatsApp, Skype, telekomunikacijske vsebine, metadata itd. Najočitneje pa bo posegla na področje piškotkov, kar bo lahko imelo zelo velik vpliv, zlasti na spletno oglaševanje. Vendar predlog konec leta 2019 ni dobil potrebne podpore. Zaradi tega pravila GDPR v povezavi s pomanjkanjem posodobljenih pravil o e zasebnosti dajejo nadzornim organom po EU možnost, da spodbujajo svojo lastno razlago o odmevnih temah, kot so piškotki in neželena pošta oziroma indirektni marketing. Novoimenovani komisar Breton je decembra 2019 sporočil, da namerava Evropska komisija predstaviti prenovljeno različico uredbe o e zasebnosti v okviru hrvaškega predsedstva, tj. v prvi polovici leta 2020. No pa počakajmo!

KJE JE ZVOP 2?

ZVOP 2 še vedno ni. Tudi ga še ni v Državnem zboru.

ZVOP-2 bo podrobneje uredi področja, ki so mu bila v okviru GDPR prepuščena ter na novo (enako ali drugače) uredi področja, ki z GDPR sploh niso urejena (in jih trenutno še vedno ureja ZVOP-1). Tako določbe trenutnega Zakona o varstvu podatkov (ZVOP-1) še naprej ostajajo v veljavi – gre za dele, ki niso zajeti v GDPR. Takšne so na primer določbe o biometriji, varstvu osebnih podatkov umrlih oseb, sodnem varstvu pravic, neposrednem trženju, video nadzoru, registraciji prihodov in odhodov ter povezovanju podatkovnih zbirk. Informacijski pooblaščenec, trenutno pristojen za izvajanje inšpekcijskih pregledov tudi na podlagi GDPR (in ne le ohranjenih določb ZVOP-1), nima pooblastila za nalaganje upravnih glob in drugih sankcij za kršitve GDPR, temveč le za kršitve ZVOP-1 v delih, ki ostajajo v veljavi. Informacijski pooblaščenec tudi še nima (še) pristojnosti za obravnavo zadev iz členov 16 do 22 GDPR, kar pomeni, da imajo posamezniki zgolj pravico zahtevati sodno varstvo na podlagi ZVOP-1, nimajo pa pravice do vložitve pritožbe pri nadzornem organu na podlagi GDPR.

Motivacija za nespoštovanje GDPR (v delu, kjer ZVOP 1 ne velja) ostaja?

IZREČENE GLOBE PO GDPR PO EU

Če želite izvedeti kako EU nadzorni organi s področja varstva osebnih podatkov izrekajo globe po GDPR je nazoren naslednji sledilec izrekanja glob po GDPR po EU.

Kot lahko vidite je npr. Poljski nadzorni organ kaznoval in oglobil spletno trgovino, ker ni sledila splošnim priporočilom glede tehničnih ukrepov varstva osebnih podatkov, kot jih določajo ISO standardi in smernic Agencije EU za kibernetsko varnost (ENISA). ENISA ima super smernice, ki pomagajo pri oceni kršitve varstva osebnih podatkov in dilemi ali gre za hujše kršitve ter posledično komu prijavljati incident (ali je nadzornemu organi ali pa tudi prizadetim posameznikom). Poslužite se jih! In ne pozabite vzpostaviti register kršitev varstva osebnih podatkov, tudi če na koncu ugotovite, da gre za minimalno tveganje, register dokazuje da primerno upravljate z riziki.

Združeni nemški nadzorni organ za varstvo osebnih podatkov (The German Datenschutzkonferenz) pa je objavil model po katerem bo obračunaval globe na podlagi 83. člena GDPR. Zanimivo in strašljivo branje!

ROKI HRAMBE OSEBNIH PODATKOV

Preveritev pravil glede rokov hrambe osebnih podatkov so trend pri nadzornih organih po EU. Berlinski nadzornik osebnih podatkov je izrekel globo v višini 14.5 mio EUR družbi Deutstche Wohnen ker ni imela sprejetih pravil o rokih hrambe osebnih podatkov. Pravila upravljanja, vključujoč brisanja tim. "starih osebnih podatkov” in brisanje le teh so ključna, saj se v nasprotnem primeru družba izpostavljanja tveganjem v primeru različnih kibernetskih napadov.

Družbe čas je da se v 2020 končno lotite projekta določanja rokov hrambe osebnih podatkov in posledičnega brisanja starih "odsluženih" podatkov. Ali v današnji podatkovni dobi sploh obstaja besedna zveza odsluženi podatek?:)

ČAS JE ZA PREVERITVE  POLITIK ZASEBNOSTI IN PRAVIL VARSTVA OSEBNIH PODATKOV 

V času ko smo se intenzivno usklajevali z GDPR (v letu 2017 in začetku 2018) je bilo ob nejasnostih v GDPR (ki jih je polno!) na voljo zelo malo priporočil in navodil s strani regulatorjev. V zadnjem letu so organi po EU intenzivno delali in kreirali cel kup dokumentov, ki interpretirajo oziroma pojasnjujejo posamična področja GDPR.

Čas torej je, da se v letu 2020 s tega vidika pregledajo napisane in sprejete politike.

OCENA UČINKA

Ocena učinka je osnovno orodje upravljalca pri oceni tveganja obdelovanja osebnih podatkov. Je tudi glavni “razkrivalec” ali družbe sledijo načelu odgovornosti in skrbi za osebne podatke. Slovenski Informacijski pooblaščenec je pripravil pregledna priporočila kdaj in kako se tega lotiti.

Naj izvedba ocen učinka postane vaše glavno orožje pri zagotavljanju skladnosti ko kupujete novo IT opremo s katero obdelujete osebne podatke ali digitalizirate poslovanje ali uvajate napredna orodja upravljanja z osebnimi podatki. Z izdelavo ocen učinkov demonstrirate razumevanje, odgovornost in skrb za osebne podatke v vašem upravljanju. S tem učinkovito minimizirate regulatorno tveganja v povezavi z GDPR.

POOBLAŠČENA OSEBA ZA VARSTVO OSEBNIH PODATKOV (DPO)

"Self promotion" DPO-jev je bil v začetni fazi uvajanja GDPR ključen. Torej, da te osebe znajo interno "prodati" svojo vlogo. In sicer s pravo komunikacijo do uprave in drugih organizacijskih oddelkov v družbi ter rušenjem pogostih silosnih struktur v organizaciji. S tem DPO pomaga razumeti drugim svojo vlogo ter dodaja vrednost. DPO mora postati strokoven, konkreten, široko ragledan in zrel sogovornik, ki lahko s pravilnim pristopom pomembno vsebinsko prispeva tudi na področjih povezanih s strateškim pozicioniranjem družbe in poslovnim modelom organizacije.

DPO ne kot administrativno breme temveč orodje, ki ponuja možnost družbam stopiti na višji nivo odnosov s svojimi uporabniki oziroma kupci.

Vesna Stanković, ustanoviteljica ITLAW specializirane svetovalne družbe s področja prava tehnologij, varstva osebnih podatkov in intelektualne lastnine info@itlaw.si