Pogovarjali smo se z informacijsko pooblaščenko, s strokovnjakinjo, ki se je z dostopom do informacij javnega značaja pričela ukvarjati že leta 2002 na Ministrstvu za informacijsko družbo, področje varstva osebnih podatkov pa je postalo njeno delovno področje leta 2006. Za našo revijo je odstrla poglede IP na pravico do varstva osebnih podatkov, posledicah razpolaganja spletnih velikanov z našimi osebnimi podatki, kršitve pravic v primeru ukrepov zajezitve koronavirusa, policijskih pooblastilih in avtomatskem nadzoru registrskih tablic. Drobcev svojih zasebnih pogledov pa ni hotela odstreti.
Kdaj je dopusten poseg v pravico do varstva osebnih podatkov?
Ene formule, ki bi veljala za vse situacije seveda ni. Obdelava osebnih podatkov namreč poteka v najrazličnejših kontekstih. Obenem pa smo danes tako navajeni razdajati svoje osebne podatke, da je najprej nujno zavedanje, da vsako zbiranje osebnih podatkov pomeni določen poseg v to pravico in s tem tudi nevarnost zlorab. Zato je pomembno, da vsaka obdelava poteka zakonito in da jih tisti, ki podatke zbira ustrezno varuje in obdeluje zgolj za namene, za katere jih je zakonito pridobil. Ko pa govorimo o obdelavah, ki jih predpisuje zakon, je bistveno, da lahko zgolj zakon predpiše obdelavo, in da zakonodajalec pri odločanju o tem, katere obdelave so potrebne in zahtevane, to skrbno presodi in obdela ne predpiše, če to ni res potrebno, nujno, učinkovito in sorazmerno glede na to, kaj z zbiranjem sploh želimo doseči. Vse je torej odvisno od tega, kdo podatke obdeluje in kakšen je namen ter cilj zbiranja podatkov. Na ta vprašanja je treba vedno znova poiskati pravi odgovor in najti ravnotežje med različnimi pravicami.
Kako je s tem pri javnih uslužbencih?
Pravica do varstva podatkov ni absolutna, saj jo je treba uravnotežiti z drugimi pravicami, tudi npr. s pravico do dostopa do informacij javnega značaja in pravico do svobode izražanja. V tem okviru so določeni podatki na podlagi zakona javni, čeprav gre za osebne podatke. To velja npr. za podatke o porabi javnih sredstev, podatke povezane z delovnim razmerjem javnih uslužbencev ali podatke povezane z opravljanjem javne funkcije. To ne pomeni, da javni uslužbenci nimajo pravice do varstva podatkov, ampak da so določeni njihovi podatki kot npr. podatek o bruto plači, delovnem mestu ipd. javni.
Kakšno je vaše mnenje o komunikaciji prek družbenih omrežij s strani državnega organa?
Uporaba družbenih omrežij s strani državnih organov ima seveda lahko mnoge prednosti v smislu hitrosti obveščanja, doseganja državljanov, ki tipično uporabljajo te medije, npr. mlajših, itd. Pa vendar je treba poudariti, da prinaša uporaba teh kanalov tudi neželene posledice, še posebej, kadar je nivo komunikacije in jezika nižji kot bi bil pri običajnem komuniciranju organa za javnostjo, po domače, kadar na družbenih omrežjih popustijo zavore in postane jezik in ton celo žaljiv, vsebine pa neprimerne. Zadržanost pri uporabi družbenih omrežij za komuniciranje z državljani in različnimi javnostmi in presoja primernosti vsebin in jezika je po moje nujno vodilo.
Katere so tiste neljube posledice, ki lahko sledijo iz razpolaganja spletnih velikanov kot so Facebook, Twitter, Instagram in Google z našimi osebnimi podatki. Kaj pa koristi, kakšne imamo lahko zaradi tega?
Spletni velikani so postali zliti z našim vsakdanjim življenjem, preko njihovih storitev, ki so za nas najpogosteje brezplačne, opravljamo službene obveznosti, šolo, nakupe, druženje, ne moremo se jim izogniti. Njihov poslovni model pa je, da namesto našega plačila služijo z uporabo naših podatkov za ciljano oglaševanje. Zbirajo vse naše podatke, kaj uporabljamo, kako, kdaj, kaj na internetu iščemo, kje tečemo s pametno uro in še bi lahko naštevali. Te podatke analizirajo in nas uvrstijo v profile, potem pa te podatke delijo z drugimi podjetji ali jih prodajajo naprej, zato, da nam lahko na internetu organizacije prikazujejo oglase, za katere menijo, da nas bodo zanimali. Pa ne le za nove čevlje, ampak, kot je pokazala afera s Cambridge Analytico in Facebookom, tudi za politične kandidate. Seveda imamo zaradi vsega tega zbiranja podatkov na voljo boljše storitve, nam prilagojene vsebine, bolj relevantne zadetke v spletnih trgovinah, lažje je povezovanje in iskanje informacij, prihranimo čas in denar, vendar pa so na drugi strani tudi veliko večje možnosti diskriminacije in družbene segregacije ter zapiranje možnosti, ki so nekomu na voljo izven njegovega zabeleženega in predvidenega profila, v končni fazi tudi manipulacije na volitvah. In s tem pridemo so negativnih posledic za delovanje demokracije in svobodne volitve. Prav zato je nujno potrebno, da obstajajo jasna pravila, ki omejujejo, kaj tehnološki velikani lahko počnejo z našimi podatki (in v EU že imamo Splošno uredbo o varstvu podatkov), da imamo nadzorne organe, ki lahko izvajajo nadzor na tem področju in da se vloga nas, nadzornih organov krepi.
Kako je v Sloveniji s spoštovanjem dostopa do informacij javnega značaja?Slovenija je med državami, ki imajo zelo kakovostno zakonodajo in ta zagotavlja visoko raven transparentnosti državne uprave. Tudi raven poznavanja te pravice je sodeč po številu prejetih pritožb in zaprosil za mnenje, ki jih prejema IP razmeroma visoka. Dejstvo je, da se število pritožb k IP vsako leto zvišuje. V letu 2020 pa beležimo močno povečanje števila zahtev za informacije s področja javnega zdravja in s tem povezano porabo javnega denarja. Zlasti izstopa in je zaskrbljujoč trend rasti pritožb zoper državne organe in konstantno visok delež pritožb zaradi molka zavezancev. Zato bi moralo pristojno ministrstvo v prihodnje več napora vložiti v promocijo zakona in aktivnejše usposabljanje zavezancev za njegovo uporabo v praksi.
V času epidemije koronavirusa je vlada sprejela veliko odlokov, do katerih ste se kritično opredelili. S katerimi se posebej ne bi strinjali?
Z vidika varstva osebnih podatkov IP opozarja predvsem na to, da vlada obdelave osebnih podatkov odreja s podzakonskimi akti. Da torej o posegih v zasebnost ne odloča zakonodajalec, kot to zahteva slovenska ustava, ampak izvršilna veja oblasti. To pomeni, da o takšnih odločitvah ni ustrezne javne in strokovne razprave. Naša ustava je zahteva, da o posegih v zasebnost odloča le Državni zbor kot osrednje zakonodajno telo in ne vlada. Ravno zato smo na Ustavno sodišče tudi dali predlog za presojo zakonitosti in ustavnosti tistih odlokov, ki določajo obdelavo osebnih podatkov pri preverjanju PCT pogojev.
Odloki, ki jih sprejema vlada se spreminjajo tedensko, celo dnevno. Kakšne težave nastajajo zaradi tega?
Težave zaradi številnih in hitro spreminjajočih se odlokov se odražajo v nejasnosti ukrepov, ki tudi niso dovolj pojasnjeni. Ni torej jasno, kaj se od zavezancev pričakuje. Problematične so tudi neusklajene in včasih celo nasprotujoče informacije različnih predstavnikov oblasti o tem, kaj nek odlok sploh odreja in pa seveda hitro spreminjanje predpisov. Tak način po otežuje učinkovito izvajanje ukrepov in prizadevanja pri obvladovanju virusa, v ljudeh pa se krepi občutek nezaupanja in negotovosti. Vse to se potem odraža tudi v številnih vloženih zahtevah za oceno ustavnosti odlokov.
Predsednik vlade vam je očital, da “škodite, kjer le morete”. Kako komentirate?
IP je nadzorni organ, ki mora skrbeti za zagotavljanje dveh človekovih pravic – varstva osebnih podatkov in dostopa do informacij javnega značaja, to je njegovo poslanstvo. Svoje delo opravljamo tako, kot nam nalagajo zakoni in Ustava, predvsem pa enako kot nadzorni organi v vseh državah EU. In vsi vedno, trenutno pa sploh, močno opozarjamo oblasti na nujnost spoštovanja predpisov s področja varstva osebnih podatkov in zagotavljanja transparentnosti delovanja države. V času epidemije in ukrepov, ki posegajo v pravice je delo nadzornih organov še toliko pomembnejše, saj so pravice zelo omejene. S svojim delom kažemo ogledalo vsakokratni oblasti, večkrat pa sem že povedala, da je za vodenje ukrepov obvladovanja epidemije in morebitne nezakonitosti v celoti odgovorna zgolj in izključno vlada.
Preprečevali ste tudi izdelavo osebne aplikacije za sledenje okužbam. Zakaj?
Informacijski pooblaščenec nikakor ni oporekal aplikaciji za sledenje stikov z okuženimi kot taki, saj je bila uvedena v več državah v EU, a z veliko razliko – nikjer ni bila uvedena kot obvezna, kot je bilo to v začetku predlagano pri nas. Manjkala pa so tudi pojasnila o tem, kdo bo sploh odgovoren za naše podatke. Smo pa opozarjali, da mora biti skladna s pravom EU in v naši zakonodaji urejena ustrezno, kot to zahteva Splošna evropska uredba. To pomeni, da je ljudem znano in jasno, kdo je upravljavec podatkov in kakšne so njegove dolžnosti ter kakšne pravice imajo. Aplikacije za sledenje kontaktov vendarle zbujajo marsikatere dileme, od njihove točnosti zaznavanja stikov, pa do tveganj, če bi bili tovrstni podatki hranjeni centralizirano in zlorabljeni in še posebej, če bi postala uporaba takih aplikacij obvezna. Ne gre prezreti, da velik odstotek ljudi, zlasti starejših, niti nima primernih pametnih telefonov. Kot družba takega beleženja podatkov o naših stikih z drugimi ljudmi preko celega dne in vsega našega gibanja do zdaj nismo poznali, še posebej ne kot obvezo. In zato je nujno, da je taka aplikacija zanesljiva, varna in državljanom v korist. Nikakor pa tudi ne sme omogočati zlorab naših osebnih podatkov. In ja, pravo EU dopušča le prostovoljne aplikacije tega tipa, nikakor ne obveznih.
Kakšno je stališče IP do razširjenega pogoja PCT?
IP o tem ne more imeti strokovnega mnenja, saj gre za ukrep namenjen preprečevanju širjenja okužb in o katerem bi morala presojati zgolj in samo epidemiološka stroka na podlagi vseh znanih informacij in možnih drugih manj hudih posegov. IP kot nadzorni organ za varstvo podatkov lahko le opozori, da gre za resen poseg v številne pravice, ne le varstvo podatkov. Obdelava podatkov je šele zadnja posledica tega ukrepa in zgolj za ta del lahko IP poda oceno, kako naj se izvaja ukrep, pod pogojem, da je zakonit in skladen z Ustavo.
Se vam zdi, da se oblasti v zadostni meri posvetujejo s civilno družbo ter s pravno in zdravstveno stroko pri sprejemanju ukrepov?
To morate vprašati civilno družbo ter druge strokovnjake, osebno pa lahko ocenjujem le na osnovi medijskega poročanja in številnih zaprosil za mnenja, prijav in pritožb, ki jih dobimo od posameznikov, podjetij in drugih organizacij. Sodeč po velikem številu zahtev za presojo ustavnosti bi rekla, da stroka in civilna družba pri pripravi predpisov nista dovolj slišani. To najbrž potrjujejo tudi številna zaprosila za naša mnenja in to, da se predpisi izredno hitro spreminjajo.
Izrekli ste se tudi zoper predlog širjenja policijskih pooblastil. Zakaj?
Informacijski pooblaščenec seveda ne nasprotuje določenim sorazmernim oblikam nadzora. Prav policija je eden od ključnih organov, ki mora odlično delovati, da lahko vsi drugi sistemi delujejo in da se prebivalci države počutimo varne. IP se nikoli ni na splošno izrekel zoper nujno in potrebno širjenje policijskih pooblastil. Smo pa opozorili, da je zaskrbljujoče, če se taki predlogi dajejo brez ustreznih utemeljitev in brez izkazane potrebe po poseganju v pravice ljudi. Med najbolj zaskrbljujočimi predlogi v zadnjem paketu sprememb je med drugim izvajanje stalnega video in avdio nadzora javnih površin. Pa dodatne širitve obdelave biometričnih podatkov pri ugotavljanju identitete in identifikacije. Tudi neposreden elektronski dostop policije do širokega nabora evidenc in pomanjkljiva ureditev avtomatiziranega preverjanja registrskih tablic v javnem prometu. Neustrezna je tudi ukinitev obveznosti policista, da posameznika ob zbiranju obvestil pouči o tem, da izjavo daje prostovoljno in ne po dolžnosti, enako ukinitev možnosti anonimnosti pri podaji obvestil. Pretirano pa se širi tudi možnost policijske uporabe brezpilotnih letalnikov oz. dronov.
Elektronski nadzor na cestah ima veliko koristi. Tako bi lahko na primer z njegovo pomočjo izločali vsa neregistrirana vozila, našli iskana ali tista z ukradenimi tablicami. Pa vendar izražate skrb ob tem.
IP nikdar ni zahteval odprave nadzora nad varnostjo v cestnem prometu, tudi elektronskega ne. V primeru avtomatiziranega preverjanja registrskih tablic pa imamo pomisleke zlasti zaradi pomanjkljivih zakonskih določb, ki tak nadzor omogočajo, a nimajo ustreznih varovalk za zagotavljanje sorazmernosti in preprečevanje tveganj zlorab. Vedno se je treba zavedati, da obstajajo apetiti po stalnem nadzoru vseh, s katerim bi polovili vse kršitelje. Vsak nadzor pa pomeni tudi nevarnost zlorabe sicer morda dobronamernega ukrepa. Si res želimo živeti v družbi, kjer bi lahko vsak policist, ki izvaja cestno kontrolo neomejeno izvajal nadzor vseh brez kakršnihkoli omejitev? Policija ne more brez odločitve parlamenta sama izbirati katere tehnologije vse bo uporabljala nad ljudmi. V vseh poklicih so primeri kršitev, tudi pri policistih. Prav zato morajo biti pooblastila vseh državnih organov ustrezno omejena in jasno določena v zakonu, sicer obstaja nevarnost, da se ta pooblastila obrnejo proti posamezniku.
S katerimi prijavami se je IP ukvarjal v tekočem letu?
Nekatere prijave so že tradicionalno vrsto let najpogostejše. Tu gre npr. za nezakonit videonadzor, neupravičeno posredovanje osebnih podatkov, zlorabo podatkov za neposredno trženje, nezakonite vpoglede v zbirke, pa neustrezno zavarovanje osebnih podatkov itd. Nepravilnosti ali pomanjkljivosti so pogosto posledica nepoznavanja zakonodaje, veliko redkeje gre za namerne kršitve. Vsekakor pa smo lani in letos dobili veliko prijav, ki so se nanašale na obdelave osebnih podatkov pri raznih ukrepih v boju z epidemijo – npr. z aplikacijo #Ostanizdrav, zbiranjem osebnih podatkov na portalu e – Uprava pri izražanju interesa za cepljenje, posredovanjem podatkov na NIJZ, merjenjem telesne temperature ob vstopih v prostore, pa obdelavo osebnih podatkov pri preverjanju PCT pogojev in druge.
Saša Bešter
