Varstvo podatkov in zasebnost na spletu
Predpisi EU o varstvu podatkov zagotavljajo zaščito naših osebnih podatkov, kadarkoli se ti zbirajo – kadar denimo kupujemo na spletu, oddamo prošnjo za sprejem na delovno mesto, zaprosimo za bančno posojilo. Predpisi veljajo za podjetja in organizacije (javni in zasebni sektor) v EU in tista s sedežem zunaj EU, ki ponujajo svoje blago in storitve v EU, denimo Facebook in Amazon, kadar ta podjetja zahtevajo osebne podatke posameznikov v EU ali jih ponovno uporabijo.
Pravico posameznika do varstva osebnih podatkov je treba spoštovati pri vsakem shranjevanju ali obdelavi podatkov, ki neposredno ali posredno omogočajo njegovo identificiranje, in sicer ne glede na način zbiranja podatkov – bodisi na spletu preko računalniškega sistema bodisi na papirju.
Kdaj je obdelava podatkov dovoljena
Predpis EU o varstvu podatkov – splošna uredba EU o varstvu podatkov – določa okoliščine, v katerih sme podjetje ali organizacija zbrati ali ponovno uporabiti osebne podatke posameznika:
- sklenili so pogodbo z vami – na primer o dobavi blaga ali storitev (nakup na spletu) ali o zaposlitvi
- veže jih zakonska obveznost – kadar je obdelava vaših podatkov zakonska zahteva, na primer vaš delodajalec mora sporočiti podatke o vaši plači zavodu za zdravstveno in pokojninsko zavarovanje, da boste zavarovani
- obdelava podatkov je za vas življensko pomembna – lahko vam na primer reši življenje
- opravljajo naloge v javnem interesu – na primer naloge javne uprave, kot so šole, bolnišnice, občine
- obdelava podatkov je v njihovem legitimnem interesu – kadar na primer banka uporabi vaše osebne podatke, da preveri, ali izpolnjujete pogoje za višjo obrestno mero na varčevalnem računu
V vseh drugih okoliščinah mora podjetje ali organizacija pridobiti vaše soglasje, preden lahko obdela ali ponovno uporabi vaše osebne podatke.
Privolitev za obdelavo osebnih podatkov – soglasje
Kadar podjetje ali organizacija zaprosi za vaše soglasje, morate soglasje dati izrecno, tako da na primer podpišete obrazec o soglasju ali odkljukate ustrezno okence na spletni strani.
Do zdaj je bilo treba odkljukati okence v znak nestrinjanja: da na primer ne želite prejemati komercialnih elektronskih sporočil. Po novem bo treba odkljukati okence v znak privolitve: da vaše osebne podatke lahko shranijo oziroma ponovno uporabijo.
Še preden privolite, vam morajo dati naslednje podatke:
- ime podjetja/organizacije, ki bo obdelalo vaše podatke, tudi njihove kontaktne podatke, in kontaktne podatke uradne osebe za varstvo podatkov (če jo imajo)
- namen uporabe vaših osebnih podatkov v podjetju/organizaciji
- kako dolgo bodo hranili vaše osebne pdatke
- podatke podjetja/organizacije, ki mu bodo poslali vaše osebne podatke
- informacije o vaši pravici do varstva podatkov (dostop, popravek, izbris, pritožba, preklic soglasja)
Navedene informacije morajo biti jasne in razumljive.
Preklic soglasja za uporabo osebnih podatkov in pravica do ugovora
Če ste podjetju ali organizaciji že dali soglasje za uporabo vaših osebnih podatkov, se lahko kadarkoli obrnete na njihovega upravljavca podatkov (oseba/organ, ki obdeluje vaše osebne podatke) in prekličete svojo privolitev. Ko privolitev oz. soglasje prekličete, podjetje oz. organizacija ne sme več uporabljati vaših osebnih podatkov.
Kadar podjetje ali organizacija vaše osebne podatke obdeluje zaradi svojega legitimnega interesa ali pri opravljanju nalog v javnem interesu ali za javni organ, imate pravico do ugovora. V določenih primerih lahko prevlada javni interes in podjetje/organizacija sme še naprej uporabljati vaše osebne podatke, na primer za raziskovalne in statistične namene ali kot del uradne naloge javnega organa.
Kar zadeva neposredno trženje, na primer pošiljanje elektronskih sporočil za promocijo posameznih blagovnih znamk ali izdelkov, morate dati predhodno soglasje. Vendar lahko podjetje svojim že obstoječim strankam še naprej pošilja elektronska oglasna sporočila za neposredno trženje svojih podobnih izdelkov ali storitev. Pri tem imate pravico kadarkoli ugovarjati pošiljanju takšnih oglasnih sporočil in podjetje mora nemudoma prenehati uporabljati vaše osebne podatke.
V vsakem primeru vas mora podjetje oz. organizacija takoj ob prvem kontaktu z vami vedno obvestiti o vaši pravici, da nasprotujete uporabi svojih osebnih podatkov.
Praktični primer
Uporabi podatkov v tržne namene lahko vedno nasprotujete
Anatolios je na spletu kupil dve vstopnici za koncert svoje najljubše skupine. Takoj po nakupu je začel prejemati elektronska obvestila o koncertih in prireditvah, ki ga sploh niso zanimali. Obrnil se je na spletnega prodajalca vstopnic in zahteval, da mu teh oglasnih sporočil ne pošiljajo več. Podjetje ga je takoj odstranilo s svojega seznama prejemnikov tržnih oglasov in Anatalios ni več dobival neželenih oglasnih sporočil.
Posebna pravila glede otrok
Če bodo vaši otroci želeli uporabljati spletne storitve, denimo družbene medije ali strani za snemanje glasbe in iger, bodo za to največkrat potrebovali vaše soglasje, tj. soglasje starša ali zakonitega skrbnika, saj je pri teh spletnih storitvah potrebna obdelava osebnih podatkov otrok. Otroci ne potrebujejo več soglasja staršev, ko dosežejo starost 16 let (v nekaterih državah EU že pri 13 letih). Nadzor glede starševskega soglasja mora biti učinkovit, staršem je na primer treba na elektronski naslov poslati potrditveno sporočilo.
Dostop do vaših osebnih podatkov
Zahtevate lahko dostop do svojih osebnih podatkov, ki jih hrani podjetje ali organizacija, pravico imate tudi zahtevati brezplačno kopijo svojih podatkov v ustrezni obliki. Na zahtevek vam morajo odgovoriti v enem mesecu ter vam izročiti kopijo osebnih podatkov skupaj s pojasnili, kako so podatke uporabili oz. jih uporabljajo.
Praktični primer
Pravico imate vedeti, katere podatke hranijo in kako jih uporabljajo
Maciej s Poljske se je pred kratkim v svoji samopostrežni trgovini vključil v shemo pike zvestobe. Kmalu je opazil, da je pri nakupih začel prejemati bone z višjim popustom. Ni vedel, ali je to povezano s pikami zvestobe, zato se je pri uslužbencu za varstvo podatkov v trgovini pozanimal, katere njegove podatke hranijo in kako jih uporabljajo. Odkril je, da hranijo podatke o njegovih tedenskih nakupih, in mu nato dajejo popust na izdelke, ki jih največkrat kupi.
Popravek osebnih podatkov
Če so osebni podatki, ki jih hrani podjetje ali organizacija, nepravilni ali nepopolni, lahko zahtevate popravek oziroma posodobitev podatkov.
Praktični primer
Pravica do popravka osebnih podatkov
Alison na Irskem se je odločila za nakup hiše in je pri banki zaprosila za stanovanjsko posojilo. Pri izpolnjevanju vloge je napačno vpisala svoj rojstni datum in banka je v sistem shranila napačen podatek o njeni starosti.
Ko ji je banka poslala ponudbo posojila in povezanega življenjskega zavarovanja, je ugotovila, da gre za napako, saj je bila nova zavarovalna polica veliko višja od njenega dotedanjega zavarovanja. Kontaktirala je banko in jih zaprosila, naj v sistemu popravijo njene osebne podatke. Kmalu je prejela novo ponudbo zavarovanja, tokrat s pravilnim datumom rojstva.
Prenos osebnih podatkov (pravica do prenosljivosti podatkov)
V določenih okoliščinah lahko podjetje oz. organizacijo zaprosite, naj vaše podatke pošljejo vam ali jih prenesejo neposredno na drugo podjetje, če je to tehnično možno. Gre za t. i. prenosljivost podatkov. To pravico lahko uveljavite, kadar želite neko obstoječo storitev zamenjati z drugo podobno storitvijo – na primer eno družbeno omrežje z drugim, in bi radi, da pri tem vaše osebne podatke hitro in brez zapletov prenesejo na novo storitev.
Izbris osebnih podatkov (pravica do pozabe)
Če podjetje vaših osebnih podatkov ne potrebuje več ali jih uporablja nezakonito, lahko zahtevate izbris podatkov. Gre za t. i. pravico do pozabe.
To pravilo velja tudi za spletne iskalnike, denimo Google, saj prav tako štejejo za upravljavce podatkov. Zahtevate lahko, da iskalnik iz zadetkov iskanja odstrani povezave na spletne strani z vašim imenom, kadar so informacije na njih netočne, nezadostne, nerelevantne ali preobsežne.
Če podjetje vaše osebne podatke objavi na spletu in zahtevate izbris teh podatkov, mora podjetje o vaši zahtevi po izbrisu osebnih podatkv in povezav do njih obvestiti tudi vsa druga spletišča, s katerimi je vaše podatke delilo.
Zaradi varstva drugih pravic, denimo svobode govora, nekaterih podatkov ni mogoče samodejno izbrisati. Sporne izjave javnih osebnosti denimo morda ne bodo izbrisane, če je njihova objava na spletu v javnem interesu.
Praktični primer
Zahtevajte izbris svojih osebnih podatkov tudi na drugih spletiščih
Alfredo se je odločil, da ne bo več uporabljal družbenega medija, in je izbrisal svoj profil na njem. Toda ko je po nekaj tednih vnesel svoje ime v internetni iskalnik, je ugotovil, da so slike z njegovega prejšnjega profila na družbenih omrežjih še vedno vidne. Alfredo se je obrnil na družbena omrežja in zahteval, naj te slike odstranijo. Ko je čez mesec dni spet vnesel svoje ime v internetni iskalnik, med zadetki iskanja ni bilo več njegovih slik – podjetja so jih odstranila.
Nepooblaščeni dostop do podatkov (kršitev varstva osebnih podatkov)
Če vaše osebne podatke ukradejo, izgubijo ali do njih nezakonito dostopajo, govorimo o kršitvi varstva osebnih podatkov in upravljavec podatkov (oseba ali organ, ki obdeluje vaše osebne podatke) ga mora prijaviti nacionalnemu organu za varstvo podatkov. Upravljavec podatkov mora neposredno obvestiti tudi vas, ali ta kršitev predstavlja resno tveganje v zvezi z vašimi osebnimi podatki in zasebnostjo.
Pritožba
Če vašo pravico do varstva podatkov po vašem mnenju kršijo, se lahko pritožite neposredno pri nacionalnem organu za varstvo podatkov, ki bo v treh mesecih preučil vašo pritožbo in vam sporočil svojo odločitev.
Lahko se tudi odločite, da namesto tega zoper zadevno podjetje ali organizacijo vložite tožbo na sodišču.
Če zaradi kršitve varstva podatkov v podjetju ali organizaciji utrpite materialno škodo, denimo finančno izgubo, ali nematerialno škodo, denimo duševne bolečine, ste lahko upravičeni do odškodnine.
Piškotki
Piškotki so majhne besedilne datoteke, ki se shranijo na vašem računalniku ali mobilni napravi. Piškotki si zapomnijo določene informacije in se uporabljajo za izboljšanje učinkovitosti spletišč. Sledijo vaši uporabi interneta, medtem ko brskate, in izdelajo uporabniške profile, nato na podlagi vaših preferenc prikažejo ciljno naravnane spletne oglase.
Vsako spletišče, ki želi uporabljati piškotke, mora pred namestitvijo piškotka na vašem računalniku ali mobilni napravi pridobiti vaše soglasje. Ni dovolj, da vas spletišče zgolj obvesti o uporabi piškotkov, ali pojasni, kako jih lahko onemogočite.
Spletišče vam mora pojasniti, kako se uporabljajo informacije, zbrane s piškotki. Na voljo morate imeti tudi možnost za preklic dovoljenja. Če dovoljenje prekličete, mora spletišče še vedno zagotavljati vsaj minimalno storitev, denimo dostop do dela spletišča.
Vendar pa vsi piškotki ne zahtevajo soglasja. Piškotki, ki se uporabljajo izključno za prenos sporočil, ne potrebujejo vašega dovoljenja. To denimo velja za piškotke, ki se uporabljajo za uravnavanje obremenitve (omogočanje, da se zahtevki spletnega strežnika porazdelijo med več naprav namesto ene). Tudi za piškotke, ki niso nujno potrebni za zagotovitev spletne storitve, ki ste jo izrecno zahtevali, se dovoljenje ne zahteva. Takšni so na primer piškotki, ki se uporabljajo pri izpolnjevanju spletnega obrazca, ali kadar pri spletnem nakupovanju uporabljate nakupovalno košarico.