Mojca Prelesnik opozarja, da so odločitve glede zasebnosti predvsem v rokah posameznika, urad informacijskega pooblaščenca zanj ne more izbirati etičnih ali odgovornih možnosti. Foto: BoBo
Mojca Prelesnik opozarja, da so odločitve glede zasebnosti predvsem v rokah posameznika, urad informacijskega pooblaščenca zanj ne more izbirati etičnih ali odgovornih možnosti. Foto: BoBo

Kaj bo z zasebnostjo čez 20 let, ko bodo na vodilnih mestih ljudje, ki so se z informacijskimi tehnologijami srečevali v rani mladosti, sebe (in nas) sprašuje informacijska pooblaščenka Mojca Prelesnik.

Razvoj novih tehnologij je tako hiter, da se mu pravo ne (z)more dovolj hitro prilagajati. Tudi zato zgolj zakonodaja ne bo rešila zagat, ki so pred nami, je v pogovoru za MMC ugotavljala aktualna informacijska pooblaščenka. Če naj zaščitimo zasebnost, se mora pomujati širša družba, najti soglasje o ključnih vprašanjih. Odgovornost posameznikov pa je, da se informirajo in sprejemajo etične odločitve, ki bodo reševale tisti težave, ki jih pravo ne bo (uspelo).

V na videz suhoparnih, tehnoloških vprašanjih uporabe svetovnega spleta se namreč skrivajo ključna vprašanja za razvoj naše družbe. Izbira, kako bomo odgovorili nanje, pa bo imela dolgoročne posledice, je opomnila.

V spodnjem pogovoru je naslovila tudi 15-letnico delovanja urada, poleženi prah po uvedbi GDPR-ja, zaplete s piškotki na lastni spletni strani ... Vabljeni k branju.

Leta 1968 rojena Mojca Prelesnik je pravnica, ki je na ljubljanski pravni fakulteti diplomirala leta 1992. Med letoma 1995 in 2002 se je ukvarjala z odvetništvom. Sledeča tri leta je svetovala vladi na ministrstvu za informacijsko družbo. Ko se je leta 2005 takratni pooblaščenec za dostop do informacij javnega značaja preoblikoval v informacijskega pooblaščenca, je nastopila funkcijo namestnice. Leta 2008 je bila imenovana za generalno sekretarko državnega zbora, 2014 pa se je vrnila v urad na vodilno mesto.

Nas mora erozija zasebnosti skrbeti?
Erozija zasebnosti morda ni najboljši opis trenutnih izzivov na tem področju. Gre bolj za pomanjkanje resničnega razumevanja in zavedanja o tem, kaj pomeni varstvo zasebnosti in kakšne posledice lahko prinese njegova odsotnost. Pogosto se ljudje namreč niti ne zavedamo, kaj za našo zasebnost pomenijo določene tehnologije, aplikacije in druga orodja, ki so postala del našega vsakdana. Hkrati pa si ne predstavljamo več življenja brez teh orodij. Prej bi torej rekla, da gre za številne nedorečenosti in spremembe delovanja posameznika in družbe, ki so novi, drugačni in bistveno manj jasni z vidika klasičnega pojmovanja zasebnosti. Mislim, da bi nas moralo bolj skrbeti pomanjkanje resnične razprave različnih delov današnje družbe o tem, kaj nam kot družbi zasebnost pomeni, kako jo želimo (za)varovati in ali je res učinkovitost modernih tehnologij nekaj, česar si želimo ne glede na ceno in posledice. Tudi vloga držav kot zakonodajalcev in njihove dejanske moči glede na multinacionalna podjetja je danes drugačna kot pred 30 leti. S tem pa dejansko podjetja ne dobijo dovolj jasnega sporočila, sploh pa ne ukaza, da je treba pri snovanju novih tehnologij primarno upoštevati in iskati prave odgovore tudi z vidika zasebnosti. Podjetja delujejo po ekonomski logiki in podatki so način za ustvarjanje dobička. Pri tem ni nepomembno, da različne generacije živijo tako rekoč v vzporednih svetovih glede uporabe tehnologij in posledično tudi svojo zasebnost pojmujejo zelo različno.

Prav tako ni nepomembno spomniti, da evropski koncept pojmovanja zasebnosti v svetovnem merilu ni edini. Živimo v svetu, kjer tehnologije že dolgo ne spoštujejo več meja in kjer pravo težko sledi tehnologiji. Po eni strani smo sicer priča širjenju evropskega koncepta pojmovanja zasebnosti čez meje Evrope. Številne države zunaj Evropske unije že imajo ali prilagajajo svoje predpise, revidirana je bila tudi Konvencija Sveta Evrope o varstvu podatkov, katere domet bistveno presega meje EU-ja. Po drugi strani pa smo priča tehnologijam, ki so bile zasnovane v drugačnih okvirih, a tudi kršitvam, za katere si doslej nismo predstavljali, da so mogoče. Skrbeti nas mora torej, ali imamo kot družba odgovor na vprašanje, kje želimo biti čez 50 let in kako bomo do tja prišli.

So pogoji uporabe in pravilniki o zasebnosti dovolj jasni, da lahko opravimo resnično informirano izbiro? Ali iz tega lahko razberemo tudi morebitne nevarnosti? Dvomim, da smo leta 2005, ko smo se strinjali s pravili Gmaila, ali 2008, ko smo množično drli na Facebook, vedeli, kako množično zbiranje podatkov se bo dogajalo, da se bodo vanj vpletle tudi številne obveščevalno-varnostne agencije, da bo to postalo skoraj neizogiben del vsakdana in sprožalo tudi širše družbene spremembe ...
Vsekakor je res, da smo marsikatero tehnologijo sprejeli brez resnega premisleka in zavedanja o njenih posledicah. Hkrati pa smo že več kot desetletje priča navalu preobilice informacij, ki jih kot posamezniki v večini nismo niti sposobni predelati. To ne velja le za področje zasebnosti, ampak sega širše na različne vidike našega potrošniškega sveta in varstva pravic. Domneva, da je dovolj, da se nas bo v drobnem tisku obvestilo o posledicah naše odločitve, se je izkazala vsaj za pomanjkljivo. To pa je navsezadnje širše vprašanje poštenega poslovanja. Vse to kaže, da ne zadošča samo normiranje, določanje pravil o tem, katere informacije nam morajo kot uporabniku, potrošniku dati – pa naj gre za informacije o tem, kateri osebni podatki se bodo obdelovali pri pridobivanju privolitve, ali za informacije o drugih posledicah naših izbir.

Splošna uredba je transparentnost obdelave postavila visoko med posameznikove pravice. Posameznik naj bi torej vedno vedel, kdo obdeluje njegove osebne podatke, kateri osebni podatki se obdelujejo, za kateri namen, po možnosti čim bolj določno, za kako dolgo, katere pravice ima, kam se lahko obrne za uveljavljanje teh pravic in podobno. Praksa pa bo na področju varstva podatkov pokazala, ali so zadnje spremembe predpisov na ravni EU-ja dovolj. Posameznik se namreč vedno odloča po specifičnih in samo njemu lastnih vrednostnih merilih, neredko pa varovanje zasebnosti pri tem ni na prvem mestu, dokler ne pride do kršitve. Končna odločitev pa je vedno posameznikova. Ta se odloča, ali bo izbiral izdelek, ki je do zasebnosti prijazen, a morda ni brezplačen, ali izdelek oziroma storitev, ki sta brezplačna, a zato z vidika zasebnosti manj prijazna.

Je glede na trend in lekcije zadnjih desetih let boj za zasebnost dolgoročno izgubljen?
Nikakor. Vprašanje pa je, kaj bomo pod pojmom zasebnost razumeli čez 20 let, ko bodo na vodilnih mestih ljudje, ki so se z modernimi tehnologijami srečali v rani mladosti.

Ker Facebook in Google v Evropi delujeta prek irske podružnice, slovenski informacijski pooblaščenec glede njiju ne more kaj veliko storiti. Foto: BoBo
Ker Facebook in Google v Evropi delujeta prek irske podružnice, slovenski informacijski pooblaščenec glede njiju ne more kaj veliko storiti. Foto: BoBo

Koliko moči sploh imajo uradi informacijskih pooblaščencev (ekvivalenti v tujini) v tem širšem kontekstu? Na daleč se zdi, kot da opravljate Sizifovo delo. Milijarde ljudi dnevno izbiramo Facebook, Google in podobne storitve, ki temeljijo na zbiranju podatkov, in imamo od tega številne koristi. Je plavanje proti toku že ludizem?
Iluzorno bi bilo pričakovati, da lahko zgolj nadzorni organi za varstvo osebnih podatkov – ali kateri koli drugi nadzorni organi – rešimo vse dileme modernega sveta na področju uporabe modernih tehnologij in s tem povezanih pravic do varovanja zasebnosti. Naše naloge in pristojnosti so omejene. Kot inšpekcijski organi, ki nadzorujemo, ali se predpisi, ki so jih zakonodajalci sprejeli, izvajajo, kot pritožbeni organi, ko gre za uveljavljanje pravic npr. do seznanitve z lastnimi osebnimi podatki, tudi prek ozaveščanja. Na teh področjih lahko naredimo veliko. Ne more pa noben nadzorni organ nadomestiti vseh drugih mehanizmov v družbi, če ti ne delujejo.

Dileme, ki jih nakazujete, so stvar širših družbenih vprašanj, naša naloga pa je zelo jasna in omejena. V resnici je tako tudi prav, saj informacijski pooblaščenci nismo in ne smemo biti edini, ki se ukvarjamo z vprašanji varstva osebnih podatkov. Tu so in morajo biti sodišča, zakonodajalci, izobraževalne institucije, mediji, znanost in tako dalje. Tako kot na drugih področjih varstva posameznika, na primer varstva potrošnikov, tudi pri varstvu zasebnosti ni čarobnih paličic in ni nadomestka za osebno odgovornost vsakega posameznika za lastno etično delovanje in lastno odgovorno sprejemanje odločitev tako zasebno kot profesionalno.

Skozi leta pričakovani standard zasebnosti hitro pada, je mogoče, da bo temu prej ali slej prisiljeno slediti tudi pravo?
Ne morem se strinjati z vami, težava pa je v tem, da pravo stežka sledi izzivom. V tem, da kot družba (še) nimamo prav vseh ustreznih orodij za izzive, s katerimi se spopadamo. Med drugim to npr. pomeni tudi izobraževanje vseh ravni institucij o tem, kaj določene tehnologije pomenijo, torej sodstva, izobraževalnih institucij, medijev, zakonodajalcev, gospodarstva. Dejstvo je, da živimo v času, ko tehnologija prehiteva pravo in ko je morda bolj kot pred 50 leti ključno vprašanje, kaj je v dani situaciji etično pravilno ter kaj vse dejansko pomeni in prinaša uporaba neke tehnologije. Pogovarjamo se npr. o umetni inteligenci. Koliko zakonodajalcev, sodnikov, novinarjev, učiteljev ipd. pozna osnove in posledice njenega mogočega delovanja? Zgolj s črko zakona, ki je – če je preveč tehnicističen – do sprejetja včasih že tehnološko zastarel, namreč ni mogoče rešiti vseh zahtev, ki so pred nami. To še posebej velja, če ni jasne podlage in soglasja o načelih, ki so podlaga za kateri koli zakon.

Pred kratkim je prah dvignila poteza nemškega varuha konkurence, ki je Facebooku naložil, da mora pred združevanjem podatkov svojih različnih storitev pridobiti soglasje uporabnika in da če se uporabnik ne strinja, ne sme biti izločen. Zanimivo, da je to sprejel varuh konkurence. Bi se lahko vi lotili česa podobnega v Sloveniji, kakšne so vaše pristojnosti?
Prav ta odločitev, ki je v osnovi temeljila na presoji, ali gre za prevladujoč položaj na trgu, kaže na to, da se obdelava osebnih podatkov zelo tesno prepleta tudi z drugimi vidiki gospodarskega delovanja. Ni in ne more biti torej le stvar nadzornih organov za varstvo podatkov, saj se nanaša tudi na vprašanja vloge podjetja na določenem trgu, vprašanja veljavnosti pravnih poslov, vprašanja avtorskega prava, navsezadnje tudi vprašanja dopustnosti poseganja v svobodo spleta. V Sloveniji bi morali torej vaše vprašanje nasloviti na javno agencijo za varstvo konkurence. Z vidika varstva osebnih podatkov pa informacijski pooblaščenec Facebooku ne more naložiti globe ali odrediti določenih ukrepov, ker zakonodaja zahteva na primer zavezančevo podružnico ali predstavništvo v Sloveniji, tega pa Facebook pri nas nima. Obenem pa Slovenija kot ena redkih držav Evropske unije še vedno nima z novo evropsko uredbo usklajenega zakona o varstvu osebnih podatkov, ki bi urejal postopkovne vidike odrejanja administrativnih glob. Tega torej nujno potrebujemo in to stanje traja že absolutno predolgo.

Splet ni več samo dodatek realnemu svetu, danes sta sferi tesno prepleteni. Neuporaba spleta, še posebej peščice prevladujočih platform, ima lahko realne ekonomske in informacijske posledice. Nekdo lahko zaradi spleta podjetniško uspe ali zaide. Od tam tudi dobi ogromno informacij, kar vpliva na njegov pogled na svet. Cena pa je strinjanje z množičnim sledenjem. Je to res transakcija, v katero bomo državljani prisiljeni, ali pa bodo države ugotovile, da je obveznost oz. nujnost takšnega trgovanja nesprejemljiva?
Strinjam se, da gre za eno ključnih vprašanj, ki bodo vplivala na nadaljnji razvoj naše družbe. Ne vem, koliko članov parlamentov po svetu v resnici pozna in razume te dileme. Poslanci so namreč nazadnje tisti, ki odločajo. Prav to vprašanje lepo kaže, da družba ni enotna glede nekaterih temeljnih dilem, ki so pred nami, in da gre pogosto pri tem na videz "zgolj" za zahtevna tehnološka vprašanja, ki pa imajo oz. bodo imela resne družbene posledice.

Vzemimo spet urade informacijskih pooblaščencev v Evropi kot celoto. Če naletite na kršitve pri tehnoloških velikanih, kako daleč je sploh smiselno iti pri kaznovanju? Evropa namreč nima ravno razvitih alternativ in si ne more privoščiti izoliranosti, kot si jo lahko denimo Rusija ali Kitajska. Poleg tega je pričakovati od Facebooka, da bo ravnal v korist zasebnosti, enako kot zahtevati od Henryja Forda, da ukine svoj tekoči trak.
Nadzorni organi, zdaj združeni v Evropskem odboru za varstvo podatkov, si prizadevamo dosledno in enotno izvajati svoje pristojnosti. Izrekanje glob je le skrajna oblika oziroma ena izmed možnosti za ukrepanje. Prav opisani primer lepo kaže na to, da 'evropsko' dojemanje zasebnosti ni edino mogoče in da živimo v svetu, kjer najbrž zgolj z globami ne bomo daleč prišli niti dosegli vseh zastavljenih ciljev. Tako kot vedno v življenju je tudi tu treba slediti življenjskim situacijam in uporabljati pravo mero.

Mineva leto dni od uvedbe GDPR-ja. Lahko strnete ugotovitve, kako se je zadeva obnesla na področju spletnih storitev? Zanimata me tako domači kot tuji vidik.
Kot najbrž veste, ne glede na uporabo splošne uredbe o varstvu podatkov na področju elektronskih komunikacij še vedno velja zakon o elektronskih komunikacijah, saj evropska uredba o e-zasebnosti za zdaj še ni bila sprejeta. Tudi tu je zakonodajalec, enako kot na področju varstva osebnih podatkov, ugotovil, da je nujna enotna ureditev za vse države članice, zato bo to zdaj uredba, in ne več direktiva, ki jo potem države članice bolj ali manj enotno prelijejo v nacionalne zakone. Ker torej uredbe še ni, kakršne koli poglobljene analize zato ni mogoče narediti, vsi pa čakamo in spremljamo razprave, ki potekajo glede uredbe o e-zasebnosti. Ključna sprememba, ki pa se dogaja, je, da se trendi vendarle malce premikajo v smeri odgovornejšega in bolj transparentnega seznanjanja posameznikov o obdelavi.

So Facebook, Google, Microsoft in podobni zadovoljivo prilagodili svoje storitve GDPR-standardom?
Nekateri koraki so se zgodili, a številni inšpekcijski postopki še potekajo, tako da tega vprašanja v tem trenutku ne morem komentirati.

Koliko lahko vi o tem sploh presojate oz. ali ste o tem prejeli kakšne pobude državljanov? Ste morda izrekli kakšne globe?

Informacijski pooblaščenec sodeluje v Evropskem odboru za varstvo podatkov, tudi v skupnih inšpekcijskih postopkih, ki pa jih podrobneje ne morem komentirati. Globe po novi uredbi pa kot rečeno v Sloveniji še nismo izrekli, ker še vedno nimamo novega zakona o varstvu osebnih podatkov, ki bi urejal postopkovne vidike odrejanja administrativnih glob.

Če bi Facebook slovenskemu najstniku plačeval 20 evrov za dostop do čisto vsega na telefonu, kako bi se na to odzvali, če bi se?
Kot rečeno, informacijski pooblaščenec nima učinkovitega načina, da bi ukrepal proti Facebooku, niti mu ne more naložiti globe, ker ta nima nobene podružnice niti predstavništva v Sloveniji. Na abstraktni ravni ne morem vnaprej prejudicirati nobenih odločitev, ker bi bilo to neodgovorno. Vsekakor pa bi vsako morebitno prijavo posredovali kolegom na Irsko, ki bi tak postopek najverjetneje vodili kot vodilni nadzorni organ, informacijski pooblaščenec pa bi sodeloval v postopku.

Kako kaže nadaljevanju zgodbe o Varnem pristanu in Ščitu zasebnosti?
Evropski nadzorni organi smo prek Evropskega odbora za varstvo podatkov del vsakoletne revizije delovanja sporazuma o Ščitu zasebnosti, ki je nadomestil tako imenovani dogovor o Varnem pristanu. Evropski odbor je pred kratkim sprejel svoje poročilo o drugi izvedeni reviziji in ugotavlja, da v nekaterih pogledih dogovor deluje, podal pa je tudi nekaj izboljšav. Ameriške oblasti so na primer imenovale odbor za zasebnost in državljanske svoboščine (Privacy and Civil Liberties Oversight Board), pred kratkim so napovedali tudi imenovanje stalnega ombudsmana za Ščit zasebnosti. Prenosi osebnih podatkov v tretje države so dejstvo in Evropa se je odločila za pristop, ki bo povezovalen, in ne izključujoč. Evropska komisija je navsezadnje pred kratkim sprejela tudi sklep o ustreznosti za Japonsko, teh dogovorov z državami bo v prihodnje vedno več.

Snowden nam je razkril, da obveščevalno-varnostne službe, pogosto kar v spregi med državami, izvajajo množično, neselektivno zbiranje podatkov. Čeprav naj bi vse državljane sveta ščitile človekove pravice, med drugim do zasebnosti, jo človek očitno lahko do neke mere pričakuje le od lastne domovine, druge so prostih rok pri vohljanju. Kaj bi lahko vi storili kot informacijska pooblaščenka, razen da dvigujete ozaveščenost pri domači javnosti? Pri tem gre tudi za dilemo varnost proti zasebnosti. Kakšen je vaš pristop?
Dilema, do katere mere lahko država poseže v zasebnost posameznikov (ne le prek delovanja obveščevalno-varnostnih služb, tudi policije in drugih organov pregona) in kje so prave meje delovanja teh služb, ko gre za zbiranje osebnih podatkov, je vse bolj prisotna, tako v Evropski uniji kot drugje po svetu. Poročila Agencije Evropske unije za temeljne pravice, navsezadnje tudi sodbe Evropskega sodišča za človekove pravice kažejo, da evropske države niti slučajno niso izjema. Osebno menim, da so ključni predvsem zakonodajalci, ki morajo tovrstnim službam postaviti, kolikor je mogoče, jasna pravila in zanje določiti učinkovit nadzor, v skrajni obliki pa vrhovni varuhi pravic, kot je na primer v Sloveniji ustavno sodišče. Informacijski pooblaščenec ima zelo omejena pooblastila v povezavi s tem. Tudi v drugih državah EU-ja pa še ni enotnega ali edinega pristopa za nadzor teh služb z vidika njihovih posegov v zasebnost. Ključno je vsekakor najprej doreči, kaj je sprejemljivo glede na različne, pogosto kontradiktorne cilje varovanja posameznih pravic in kje je tisto pravo ravnotežje, sorazmernost, do katere se mora pravica do zasebnosti zaradi legitimnih in zakonitih interesov varstva drugih pravic ukloniti drugim pravicam.

Spletne storitve lahko zbirajo vzorce, kako tipkamo, premikamo miško, in nas identificirajo kar prek digitalne biometrije obnašanja. Foto: Pixabay
Spletne storitve lahko zbirajo vzorce, kako tipkamo, premikamo miško, in nas identificirajo kar prek digitalne biometrije obnašanja. Foto: Pixabay

Ukvarjate se tudi z biometrijo, s tisto, ki jo izvaja država. Podjetja pa na spletu izvajajo biometrijo vedenja. Kam jo uvrstiti v pravnem smislu in kakšno je vaše mnenje o njej?
Že veljavni zakon o varstvu osebnih podatkov, ki v tem delu še velja in je deloma strožji od določb evropske uredbe, ureja vse oblike biometrije, saj v definiciji (podobno kot nova evropska uredba) navaja telesne, fiziološke in vedenjske značilnosti. Glede na v tem delu še veljavni "stari" zakon o varstvu osebnih podatkov zasebni sektor lahko izvaja biometrijske ukrepe le, če so nujno potrebni za opravljanje dejavnosti, za varnost ljudi ali premoženja ali za varovanje tajnih podatkov ali poslovne skrivnosti. Biometrijske ukrepe lahko izvaja le nad svojimi zaposlenimi, če so bili predhodno o tem pisno obveščeni. Splošna uporaba biometričnih ukrepov torej ni dopustna. Biometrija vedenja sama po sebi torej ni nekaj povsem novega in spada v okvir obdelave biometričnih podatkov, če gre res za obliko obdelave osebnih podatkov v povezavi s fizičnimi, fiziološkimi ali vedenjskimi značilnostmi posameznika, ki omogočajo ali potrjujejo edinstveno identifikacijo tega posameznika.

Ne morem reči, da sem proti biometriji, če je zakonita in utemeljena rešitev v določenem primeru. Res pa je, da se razvijajo novi in natančnejši načini njene uporabe. Velja tudi opozoriti, da vsaka obdelava fotografije, podpisa ipd. samodejno ne pomeni obdelave biometričnih podatkov, če npr. kakovost podatkov ne omogoča edinstvene identifikacije. Vsekakor velja pri vsaki uvedbi biometričnih ukrepov, tudi če je zakonita, posebna skrbnost, saj takšna obdelava vedno prinaša določena tveganja, ki jih je treba ustrezno nasloviti. Vedno bi zato svetovala predhodno izvedbo ocene učinkov v povezavi z varstvom podatkov pred njeno uvedbo.

Delujete kot inšpekcijski in pritožbeni organ. Je količina postopkov obvladljiva?
Število postopkov se vsekakor bistveno povečuje, a za zdaj lahko rečem enako kot večina kolegov v Evropski uniji, da je količina še obvladljiva. Statistika, ki smo jo naredili za leto 2018, pa je pokazala, da se je od 25. maja, ko se je uveljavila evropska uredba o varstvu osebnih podatkov, zelo povečalo število prijav. Do konca leta 2018 smo jih prejeli skoraj 600, medtem ko je bilo v istem sedemmesečnem obdobju leta 2017 teh prijav 290. V tem istem obdobju se je tudi zelo povečalo število naših izdanih mnenj – teh je bilo več kot 1.000. Nekateri so bili res "v paniki" zaradi nove uredbe. Povsem na novo pa se srečujemo na primer s samoprijavami v primeru kršitev varstva osebnih podatkov. Tako dolžnost samoprijave v primeru kršitve je zakon določal recimo v zdravstvu in še na nekaterih področjih, zdaj pa se ta dolžnost širi na vsa druga področja. Tudi teh samoprijav smo od 25. maja pri informacijskem pooblaščencu dobili nekaj manj kot sto.

Imeli ste težavo s piškoti kar na lastni spletni strani, je pokazal portal Slo-tech. Zakaj je kovačeva kobila tokrat bosa? Pa tudi na novi policijski spletni strani naj bi imeli podobno težavo.

Gre za dezinformacijo in povsem napačno razumevanje, saj je stališče informacijskega pooblaščenca že vsa leta glede lastne analitike nespremenjeno. Pri spletnih piškotkih je potrebno razlikovanje glede na njihovo vlogo in invazivnost. Naša spletna analitika je ustrezna, med drugim jo priporočata in uporabljata npr. tudi Evropska komisija in francoski nadzorni organ za varstvo osebnih podatkov (CNIL). Ponudnik tudi ves čas pripravlja posodobitve, ena se je zgodila prav pred kratkim, kar se odraža tudi v popravljenih besedilih v fazi, ko uporabnik prekliče privolitev.

Analitični piškotek se obiskovalcu namesti ob prvem obisku, pri čemer sploh ne išče izrecne privolitve, kar je jedro napačnega razumevanja namestitve lastnih analitičnih piškotkov. V primerih, ko se lastna analitika uporablja za nizko invazivne namene, se namreč dopušča tudi blažji standard privolitve in je kot privolitev mogoče šteti že sam obisk spletne strani – vendar pa nujno pod pogojem, da so sprejeti ustrezni dodatni zaščitni ukrepi in je obiskovalec ustrezno obveščen o rabi piškotkov.

Na svoji spletni strani tako omogočamo spremljanje obiskanosti z analitiko Matomo, v celoti pa smo sledili našim Smernicam o uporabi piškotkov in mnenjem o rabi analitičnih piškotkov. Rešitev omogoča lokalno hrambo podatkov na strežniku, tako da se podatki ne delijo s tretjimi osebami, izvedene pa imamo tudi priporočene varnostne zahteve: npr. izbira Ne sledi, avtomatizirana anonimizacija IP-naslova, obiskovalci nimajo določenih enoličnih identifikatorjev, ki bi omogočali sledenje med različnimi napravami (User ID), uporabnik lahko upravlja nastavitve piškotkov, naknadni umik privolitve, tako da shrani nov piškotek v brskalnik, ki si tako zapomni izbiro.

Če so torej analitični piškotki nameščeni tako, ne pomenijo nedopustnega posega v zasebnost. Kot jasno izhaja iz objavljenih Smernic o uporabi piškotkov in številnih dosedanjih stališč, usklajenih z drugimi nadzornimi organi za varstvo osebnih podatkov v EU-ju, je v primeru lastne analitike za veljavno privolitev mogoče šteti že sam obisk spletne strani, a le, če so sprejeti ustrezni zaščitni ukrepi. Namestitev analitičnih piškotkov je za lastne potrebe dopustna že ob prvem obisku spletne strani, če so obiskovalcu na vstopni strani na voljo jasno in izčrpno obvestilo o upravljavcu piškotkov, namenih njihove obdelave, jasna in dosegljiva povezava do pojasnil, kjer so navedeni piškotki, kdo je njihov upravljavec ter nameni njihove uporabe, obstaja mehanizem za preklic privolitve itd. Podatki se torej uporabljajo izključno za zbiranje agregiranih analitičnih podatkov o obisku brez namena sledenja uporabniku čez različna spletna mesta in brez namena profiliranja.

Omejitev za uporabo piškotkov določa zakon o elektronskih komunikacijah, ki že sam predvideva izjeme za piškotke, pri katerih ni treba pridobivati privolitve. Nova evropska uredba o zasebnosti in elektronskih komunikacijah, ki ga bo nadomestila, pa bo vključevala tudi posebno izjemo za lastno analitiko, tako da jo bodo lahko upravljavci uporabljali brez privolitve posameznika.

Prelesnikova je na vodilnem mestu informacijskega pooblaščenca leta 2013 nadomestila Natašo Pirc Musar. Foto: BoBo
Prelesnikova je na vodilnem mestu informacijskega pooblaščenca leta 2013 nadomestila Natašo Pirc Musar. Foto: BoBo

Kmalu bo minilo 15 let od začetka pooblaščenca za dostop do informacij javnega značaja. Pogled nazaj, pa morda naprej za prihodnjih 15?

V 15 letih se je na obeh področjih delovanja informacijskega pooblaščenca zgodilo veliko pomembnih premikov, tako v praksi kot v poznavanju obeh pravic. Obe pravici sta, lahko rečem, dokaj dobro znani tako zavezancem kot posameznikom. Vsekakor pa se spreminjajo tudi izzivi in prihajajo novi. Slovenija je bila doslej na obeh področjih ena tistih držav, ki so bile številnim zgled. Upam, da se to tudi v prihodnjih 15 letih ne bo spremenilo. To pa ni odvisno samo od informacijskega pooblaščenca, nekajkrat sem v tem intervjuju že omenila, da Slovenijo še čaka sprejetje z novo evropsko uredbo in tudi z novo direktivo skladnega zakona o varstvu osebnih podatkov. Prav tako pričakujemo spremembe na področju varstva podatkov v elektronskih komunikacijah. Na področju transparentnosti pa bo vsekakor ključno, ali bo praksa državnih organov in drugih zavezancev na prvi stopnji še naprej sledila dosedanjim smernicam ali pa bo breme ohranjanja dosežene ravni transparentnosti, kot kažejo nekateri primeri zadnjih mesecev, ostalo zgolj na ramenih IP-ja in sodišč. Škoda bi bilo, če Slovenija ne bi bila več zgled.