Informacijska pooblaščenka Mojca Prelesnik / Foto: Gorazd Kavčič

GDPR prinesel tudi nekaj mitov

Besedilo: Simon Šubic
Kategorija: Slovenija / sreda, 29. maj 2019 / 09:01

Uredba EU o varstvu podatkov (GDPR), ki se je začela uporabljati pred letom dni, je posameznikom prinesla več pravic, po drugi strani pa se je v povezavi z njo pojavilo tudi več neresnic.

Ljubljana – V soboto je minilo prvo leto od začetka uporabe splošne uredbe Evropske unije o varstvu podatkov (GDPR), ki državljanom EU-ja ni prinesla samo več pravic, kot sta na primer pravici do izbrisa in do prenosa osebnih podatkov, ampak je povečala tudi njihovo zavedanje o tej tematiki. A zaradi nepoznavanja določb GDPR-ja je v zadnjem letu pri upravljavcih zbirk osebnih podatkov pogosto prihajalo tudi do pretiranega strahu oziroma pretiravanja, kot so bile prepovedi fotografiranja lastnih otrok za lastne potrebe na šolskih in vrtčevskih prireditvah, je minuli petek na novinarski konferenci ob prvi obletnici GDPR dejala informacijska pooblaščenka Mojca Prelesnik.

V uradu Informacijskega pooblaščenca so v prvem letu uporabe GDPR-ja zaznali tudi veliko prijav in pritožb zaradi slabega informiranja posameznikov s strani upravljavcev, katere podatke bodo obdelovali in za katere namene. »Zelo veliko težav pa smo imeli tudi s tem, da v Sloveniji še nimamo novega zakona o varstvu podatkov in so številni upravljavci to razumeli narobe v smislu, da lahko še počakajo z uporabo GDPR-ja do njegovega sprejetja. Kar je seveda narobe, saj je GDPR neposredno uporabljiv pravni vir,« je razložila Prelesnikova.

GDPR je sicer posameznikom prinesel večji nabor pravic, na drugi strani pa uredba nalaga upravljavcem zbirk osebnih podatkov, da vnaprej razmišljajo, da bodo njihove obdelave skladne z uredbo, je ocenila Prelesnikova. Uredba med drugim ureja imenovanje pooblaščene uradne osebe za varstvo osebnih podatkov, za zahtevne obdelave osebnih podatkov pa so upravljavci dolžni narediti presojo vplivov na zasebnost, je spomnila.

V povezavi z GDPR se je pojavilo tudi mnogo mitov, ki ne držijo. Prelesnikova je ob tej priložnosti predstavila pet najpogostejših. Prvi mit je bil, da bomo posamezniki lahko vedno in od vseh upravljavcev zahtevali izbris svojih osebnih podatkov. »To ne drži, saj pravica do pozabe nikakor ne pomeni pravice do izbrisa celotne zgodovine našega življenja in ni pravica do cenzure,« je dejala. Prav tako ne držijo trditve, da lahko vedno zahtevamo e-verzijo svojih osebnih podatkov, da profiliranje ni dovoljeno in da morajo vsi upravljavci imenovati pooblaščeno osebo za varstvo osebnih podatkov.

Pojavil se je tudi mit o visokih kaznih, da bodo vse kršitev GDPR-ja kaznovane z globo v višini 20 milijonov evrov. Prelesnikova poudarja, da to seveda ne drži in da je treba po uredbi pri presojanju kršitev upoštevati enajst meril, med njimi tudi to, ali je bila kršitev namerna ali posledica malomarnosti. Po njenih podatkih je bilo ne nazadnje v letu dni izrečenih le 34 glob v 13 državah članicah. Informacijski pooblaščenec v Sloveniji pa glob po GDPR sploh ne more izrekati, ampak samo na podlagi obstoječega zakona o varstvu osebnih podatkov. V zadnjem letu dni je bilo tako izrečenih za 51.000 evrov glob, je povedala Prelesnikova. »Namen GDPR sicer ni sankcioniranje, globe so le zadnji izhod v sili,« je pou­darila.

Pri Informacijskem pooblaščencu si sicer želijo čimprejšnjega sprejetja novega zakona o varstvu osebnih podatkov, pri čemer se zavzemajo, da bi bila sprejeta dva zakona: eden bi urejal izvajanje GDPR-ja, drugi samostojni zakon pa bi urejal prenos t. i. policijske direktive glede obdelave osebnih podatkih pri organih pregona.