Google je povzročil precej nelagodja, ko je najavil združevanje podatkov zbranih v njegovih storitvah ali celo od tretjih oseb. Podatki uporabnikov se sicer zbirajo že precej časa. Ali uporabniki spletnih storitev postajajo bolj osveščeni?
Marsikateri uporabnik je zagotovo pričakoval, da je Google že do sedaj tako zbiral in združeval podatke. Javna objava je povzročila večjo pozornost in angažiranost pri uporabnikih, kaj naj bi to sploh pomenilo. Povprečni uporabniki zagotovo postajamo bolj osveščeni, saj vedno več svojega življenja preživimo na internetu. Vedno bolj se sicer zavedamo, kje puščamo svoje podatke. Vendar gre pri tem za velike razlike tako med posamezniki, kot kulturami in državami. Nadzorni organi od Googla pričakujemo vsaj večjo transparentnost – te v novi politiki zasebnosti ni – besedico "lahko" npr. zasledimo 49-krat.
Novo namero Googlea so nekateri evropski varuhi osebnih podatkov označili kot neskladno z evropsko zakonodajo o varstvu podatkov. Toda glede na to, da se podatki shranjujejo in obdelujejo v ZDA, kjer naj bi bila zakonodaja ohlapnejša, ali ima EU sploh kaj možnosti za kakšne protiukrepe?
Evropa pripravlja novo uredbo, ki bo nadomestila direktivo iz leta 1995. Eden izmed predlogov te uredbe gre v smeri, da bi tudi tuji ponudniki storitev morali spoštovati evropsko zakonodajo in v EU ustanoviti predstavnika, če ciljajo na uporabnike iz EU. Kar velja za Google, Facebook in podobne družbe, ki že imajo opremo in naprave na ozemlju EU. Tako so na nek način podložni evropski zakonodaji. Komunikacija s spletnimi giganti je seveda precej težka, zato se skušamo evropski nadzorni organi združevati in enotno nastopati proti njim. Če hočejo biti s svojimi aktivnostmi prisotni na trgu, bodo morali upoštevati lokalno zakonodajo.
Kako ZDA gledajo na morebitne pritiske Evrope na njihove korporacije ?
Upoštevati je potrebno zgodovinski, pravni in družbeni okvir obravnave zasebnosti in osebnih podatke. To je v evropskem prostoru na precej visokem rigoroznem nivoju, v ZDA pa ni nekega sistemskega zakona o varstvu osebnih podatkov in zasebnosti. Obstajajo zgolj področni zakoni kot npr. za varstvo mladoletnikov na spletu. Na osebne podatke pa večinoma gledajo kot na tržno blago. Osebne podatke lahko kupiš, s tem postaneš njihov lastnik in z njimi lahko počneš karkoli. Naprodaj so podatkovne baze o najrazličnejših segmentih potencialnih kupcev. V Evropi je veliko več varovalk, ki so bolj usmerjene k zaščiti posameznika kot v zaščito zasebnih interesov korporacij.
Tudi drugi ponudniki socialnih omrežij, spletnih storitev ali mobilnih aplikacij zbirajo številne, npr. lokacijske podatke o uporabnikih. Ali so glede tega sploh kdaj opravljeni inšpekcijski nadzori oziroma ali so bile ugotovljene kakšne večje kršitve ?
Nadzor glede zlorab se izvaja, vendar smo omejeni glede nadzora podjetij iz tujine. Facebook se je recimo odločil odpreti podružnico na Irskem. S tem je jasno pokazal, da sodi tudi pod okvire evropske zakonodaje in irski nadzorni organ je v sodelovanju z ostalimi nadzornimi organi EU izvedel inšpekcijo in sedaj so v fazi popravljalnih ukrepov, saj je bilo ugotovljeno precej nepravilnosti. Večja težava so številen druge spletne in mobilne aplikacije, saj lahko prihajajo iz kjerkoli. Na nacionalni ravni imamo v Sloveniji dovolj močna in široka pooblastila, da lahko izvajamo nadzor, izven naših meja pa je moč nadzora precej omejena.
Katera je najbolj pereča problematika povezana z zasebnostjo na spletu v Sloveniji oziroma katere so najpogostejše kršitve? Koliko je inšpekcijskih nadzorov na tem področju?
Najbolj pereča bo po mojem mnenju zakonodajna ureditev: vprašanja regulacije in anonimnosti na internetu, tehtanje med različnimi pravicami in pridobivanjem podatkov za namene različnih postopkov (kazenski, civilni…). Kar se tiče prijav, ki jih prejemamo, pa se te nanašajo na lažna ustvarjanja spletnih profilov na socialnih omrežjih, javne objave varovanih osebnih podatkov, prodaje kontaktnih podatkov za neposredno trženje, slabo zavarovanje osebnih podatkov na spletiščih zaradi varnostnih lukenj in podobno. Informacijski pooblaščenec sicer skupaj vodi okrog 600 inšpekcijskih postopkov na leto.
Evropska komisija za letos napoveduje reformo evropske zakonodaje na področju varovanja podatkov, ki je sicer stara že 17 let. Sprejeta je bila v časih, ko se je svetovni splet začel šele prebujati. Katere naj bi bile največje novosti oziroma katere bodo po vašem mnenju sprejete, glede na dejstvo, da jim močno nasprotujejo tehnološka podjetja ?
Tedaj ni bilo niti Googla niti Facebooka. Reforma je nujno potrebna. Zaenkrat naj bi prinesla nekaj zelo dobrih stvari, nekaj pa je še precej nejasnih. Podjetjem najbrž ne bo več potrebno zbirk osebnih podatkov prijavljati v centralne registre, saj se je izkazalo, da ta mehanizem ni učinkovit. Pojavili pa se bodo novi mehanizmi, saj bodo morale biti imenovane odgovorne osebe za varstvo osebnih podatkov; takšne osebe bodo nujne v javnem sektorju in pri večjih upravljavcih. Obvezne naj bi bile predhodne presoje vplivov na zasebnost, če bo šlo za posebna tveganja, denimo pri velikih informacijskih sistemih. Večje naj bi bilo medsebojno sodelovanje pristojnih organov med državami, zlasti pri obravnavi upravljavcev, ki delujejo v več EU državah. Z novo evropsko uredbo so predvidene tudi globe za zlorabe do milijona evrov oziroma v nekaj odstotkih letnega prometa. Sankcije se bodo povečale, toda vprašanje bo ostalo, kako jih naložiti nekemu podjetju, ki je ustanovljeno v tujini.
Med predlaganimi spremembami je večja zaščita zasebnih podatkov uporabnikov, ki bodo morali biti na zahtevo zbrisani ali pa na zahtevo v celoti prenešeni.
Predlaga uredba naj bi omogočila pravico do pozabe in možnost prenosa svojih osebnih podatkov v ustreznem formatu k drugim ponudnikom. Denimo celoten profil Facebooka. Pri pravici do pozabe pa gre za to, bi posameznik imel pravico zahtevati prenehanje objav po nekem obdobju. Nekdo, ki je mogoče kot mladostnik nepremišljeno objavil svoje osebne podatke na spletu, bi lahko imel zaradi tega kasneje težave. Vprašanje pa je, ali je to sploh mogoče doseči v dobi tako povezanega in razširjenega interneta. Umikanje stvari z interneta je lahko povsem sizifovo početje.
Nova uredba EU naj bi omogočala večji nadzor in brisanje uporabniških podatkov, če bi bilo to zahtevano. Na drugi strani pa državni represivni organi zahtevajo trajnejšo hrambo podatkov pri ponudnikih komunikacijskih storitev. V noveli zakona o elektronskih komunikacijah naj bi med drugim hranili tudi „naročniško številko in druge elemente oštevilčenja, ki se uporabljajo za vzpostavitev zveze do naročnika ter dodeljene naslove internetnega protokola, ki jih je izvajalec storitev dodelil naročniku, ter datum in čas vsakokratne dodelitve.“ Vsi ti podatki pa bi morali biti hranjeni eno leto po prenehanju naročniškega razmerja. Ali ne gre v tem primeru za nekoliko preveliko željo po popolnem nadzoru nad uporabniki spleta?
Po mojem mnenju je bila storjena napaka glede roka hrambe, saj bi hranjenje podatkov eno leto po prekinitvi naročniškega razmerja pomenilo, da bi jih morali hraniti v nedogled, če kdo ne bi prekinjal naročniškega razmerja. Sprejemanje tega zakona je kot kaže nekoliko zastalo ob menjavi vlade. Predlog novega zakona sicer terja precej široko javno razpravo, v delu, ki ga omenjate, pa bo predvsem pomembno, kakšna naj bodo pooblastila organov pregona oziroma s kakšnimi mehanizmi bodo lahko pridobivali določene podatke. Tu se pojavlja veliko vprašanj, zlasti glede tega, kje so meje komunikacijske zasebnosti. Zelo pomembno je, kaj se hrani, kako dolgo in za kakšne namene.
Na drugi strani pa popolna anonimnost na internetu na dolgi rok najbrž ne bo možna. Postavljanje meja med anonimnostjo na internetu in uveljavljanjem drugih pravic posameznika ter želja organov pregona bo velik izziv.
Kako bi vi postavili to mejo? Na eni strani ravno anonimnost omogoča pozivanje k nestrpnosti in drugi sovražni govor na spletu, kar je ena največjih anomalij v internetnih komunikacijah. Ali menite, da bi morali biti odzivi in podobne zadeve še naprej anonimni ali pa bi morali to področje urediti z kakšno identifikacijo glede na dejstvo, da se to zlorablja za vzbujanje sovraštva kot za sovražni govor?
Sam vidim veliko dvoličnost v politiki medijev, ki na svojih straneh dopuščajo komentarje, ki mejijo na sovražni govor. Razlog je, da s tem povečujejo obiskanost spletnih strani in se temu kot kaže ne želijo odreči. Obe skrajnosti, obvezna identifikacija ali anonimnost po mojem mnenju nista pravi rešitvi, treba bo iskati vmesne rešitev.
V zadnjih letih se pojavljajo številna gibanja ali posamezniki kot Wikileaks, Anonimni..., ki objavljajo najrazličnejše podatke od državnih skrivnosti, diplomatskih depeš do zasebnih podatkov ali pa grozijo z vdori v računalniške sisteme, če bodo sprejeti določeni ukrepi kot je bil sporazum ACTA. Javnost do njih še goji simpatije. Toda podobna situacija je bila v šestdesetih in sedemdesetih letih prejšnjega stoletja, ko so se iz raznih študentskih in drugih naprednih gibanj razvile precej nasilne teroristične organizacije.
Z vidika nadzornega organa je težko reči, da gre za zakonite prakse, če pride do zlorabe osebnih podatkov, ki uživajo varstvo. Na drugi strani pa je treba priznati, da je civilna družba vedno uporabljala številne in različne metode upora proti oblastem. Gre za nove metode in mehanizme, ki jih omogoča informacijska družba. Angažmaja civilne družbe pri zadevah, kot je ACTA, sem vesel, saj to pomeni, da je ljudem vendarle mar za njihovo zasebnost na internetu.
Ali se na tem področju tudi obetajo kakšni radikalni ukrepi?
Bojim se, da se bo to prej ali slej zgodilo. V kolikor gledamo z vidika dogodkov 11. septembra, lahko prej ali slej pričakujemo tudi kakšen kiber teroristični napad večjega obsega. Strah pa me je, kakšne bodo posledice na zasebnost. Po 11. septembru so se že v dveh mesecih sprejeli zelo rigorozne ukrepe glede posegov v zasebnost. Velik virtualni napad bo lahko izgovor za tiste, ki želijo nadzirati naše komunikacije, da bodo sprejeti novi rigorozni ukrepi. Predstavljamo si lahko, da Patriot Act ni bil napisan šele po 11. septembru, temveč je najbrž že ležal v predalu. Verjetno obstajajo tudi že kakšni takšni ukrepi za nadzor nad virtualnim svetom, kičakajo na primeren trenutek.
Na naš medij dobivamo denimo tudi zahteve ljudi, ki so na primer pred desetimi leti storili neko kaznivo dejanje, o katerem se je pisalo v črni kroniki. Po odsluženi kazni pa želijo, da te članke ali pa vsaj njihova imena zbrišemo iz arhiva, ker jih spletni iskalniki pač najdejo. Ali lahko zahtevajo umik člankov ali ne? Kako je urejeno to področje?
Prav gotovo prihaja do težav, v katerih se znajdejo posamezniki, ki so npr. odslužili dolg družbi in niso več evidentirani v kazenski evidenci, z večjo dostopnostjo in digitalizacijo starih člankov pa je o posamezniku še vedno moč izvedeti, da je recimo v preteklosti storil določeno kaznivo dejanje in kakšne mladostniške nespametnosti je počel. Nova evropska uredba prinaša t.i. pravico do pozabe, ki naj bi veljala v podobnih primerih, si pa težko predstavljam, ali jo bo sploh možno izvajati v praksi, saj je kot rečeno umik vseh kopij podatkov in povezav nanje na spletu praktično nemogoč.
Več pogovorov si lahko preberete v temi Spletni intervju.
