Informacijski pooblaščenec opozarja, da “novi predlog uredbe o e-zasebnosti bistveno niža raven varstva pravic posameznikov pri uporabi elektronskih komunikacij in na široko odpira vrata posegom v pravice zaradi poslovnih interesov ponudnikov storitev”.
V nadaljevanju objavljamo celotno sporočilo Informacijskega pooblaščenca, ki je dostopno na povezavi https://www.ip-rs.si/novice/novi-predlog-uredbe-o-e-zasebnosti-bistveno-niza-raven-varstva-pravic-posameznikov-pri-upo-1166/.
Trenuten predlog evropske uredbe o e-zasebnosti, ki naj bi nadomestila sedaj veljavna pravila glede obdelave podatkov uporabnikov elektronskih komunikacij, niža raven varstva pravic uporabnikov, kot ga zagotavlja Splošna uredba o varstvu podatkov (GDPR) in raven varstva, kot je že zagotovljeno s trenutno veljavno Direktivo o e-zasebnosti in Zakonom o elektronski komunikacijah.
Kompromisni predlog uredbe, ki ga je nedavno predstavilo hrvaško predsedstvo in o katerem bodo države članice razpravljale v prihodnjem obdobju, predstavlja velik odmik od prvotnega predloga Evropske komisije iz leta 2017. Namen predloga uredbe o e-zasebnosti je bila namreč uskladitev pravil z novo sprejeto Splošno uredbo o varstvu podatkov ter poenotenje pravil, ki veljajo za operaterje elektronskih komunikacij, tako da bodo veljala tudi za druge ponudnike podobnih komunikacijskih storitev (npr. Skype, WhatsApp in podobni), ki se trenutno strožjim pravilom zdaj veljavne zakonodaje še lahko izogibajo.
Prenovljena pravila za varovanje uporabnikov elektronskih komunikacij so nujno potrebna, saj se ti v vsakodnevnem življenju težko izognejo uporabi elektronskih komunikacijskih naprav in storitev, in s tem deljenju raznovrstnih podatkov o sebi, svojih interesih, svojem gibanju in stanju. Podatki o vsebini komunikacij in meta podatki (npr. o lokacijah, prometu, ipd.) lahko zgradijo popolno sliko posameznikovega življenja. Zato je nadvse pomembno, da so varovani in da imajo ponudniki elektronskih komunikacij stroge obveze glede tega, zakaj jih smejo obdelovati, pod kakšnimi pogoji jih lahko delijo s tretjimi osebami in kdaj lahko do takih podatkov npr. dostopajo organi pregona. Enako velja za možnosti dostopa ponudnikov storitev do uporabnikove naprave (npr. s piškotki in podobnimi, tudi sledilnimi tehnologijami).
Veliko nedavnih poročil in dogodkov je nazorno pokazalo kako zelo ranljivi smo posamezniki ob današnjem razmahu uporabe naprednih analiz podatkov, avtomatizacije procesov profiliranja uporabnikov in njihove diskriminacije, uporabe in zlorabe meta podatkov uporabnikov za različne namene, tudi za namene politične manipulacije ob volitvah, kot se je izkazalo ob aferi Cambridge Analytica, kar lahko predstavlja neposredno grožnjo demokratičnim procesom v družbi. Gorivo teh procesov so podatki uporabnikov, analiza vsebine njihovih komunikacij, predvsem pa meta podatkov in podatkov, ki jih ponudniki pridobijo s pomočjo sledenja posameznikom preko različnih naprav s piškotki in podobnimi tehnologijami. Negativne posledice pa presegajo polje varovanja zasebnosti in varstva osebnih podatkov in zadevajo tudi pravico posameznikov do enake obravnave, do svobode govora in do svobodnih volitev.
Pravila, ki jih bo določila uredba o e-zasebnosti so v tem kontekstu ključna, in sicer so z vidika varovanja posameznikovih pravic potrebni jasni in strogi pogoji, kdaj in kako lahko ponudniki elektronskih komunikacij obdelujejo njihove podatke. Nedavno objavljen predlog uredbe se temu cilju izneveri, saj (za razliko od prvotnega predloga iz 2017) uvaja vse bolj nejasna pravila glede podlag za obdelavo podatkov uporabnikov. Še posebej je kritično, da kot dopustno podlago za obdelavo podatkov uporabnikov predlaga zakoniti interes ponudnika storitve (tako pri meta podatkih, kot pri piškotkih), kar bi v praksi znižalo raven varstva pravic uporabnikov, tako v odnosu do Splošne uredbe o varstvu podatkov kot tudi glede na že veljavna pravila, ki zahtevajo uporabnikov vnaprejšnjo privolitev, oziroma natančno določajo, za katere namene se meta podatki in piškotki ali podobne tehnologije podatki lahko uporabljajo. V praksi namreč taka podlaga zelo spominja na opt-out režime, ki zaradi pomanjkljivega znanja posameznikov o delovanju tehnoloških procesov niso in ne morejo biti učinkoviti pri varovanju pravic posameznikov.
Informacijski pooblaščenec (v nadaljevanju IP) opozarja, da uvajanje pravne podlage, kjer je na ponudniku storitve obveza tehtanja med svojimi (poslovnimi) interesi in pravicami posameznika, odpira vrata legitimaciji posegov v pravice uporabnikov elektronskih komunikacij zaradi poslovnih interesov ponudnikov storitev. Predlog uredbe vsebuje tudi mnoge druge nedoslednosti v nasprotju s Splošno uredbo o varstvu podatkov, prav tako pa se odpira veliko vprašanje, na kakšen način je lahko nadzor nad nejasnimi določbami sploh lahko učinkovit. Pravna nedorečenost in nejasnosti pa bodo nujno vodile v nižanje ravni varstva pravic posameznikov.
IP se do predlogov uredbe opredeljuje v okvira Evropskega odbora za varstvo podatkov[1], prav tako smo svoje podrobne zadržke do konkretnih določb posredovali pristojnemu ministrstvu in verjame, da bo Slovenija ob nadaljnji obravnavi in postopkih sprejema te uredbe zagovarjala rešitve, ki so v interesu pravic posameznikov in ne bodo nižale že zagotovljene ravni varstva ustavnih pravic v Sloveniji.
Mojca Prelesnik, informacijska pooblaščenka
[1] Proti uvajanju pravnih podlag, ki so po svoji vsebini odprte (npr. tehtanje zakonitega interesa), smo se nadzorni organi za varstvo osebnih podatkov v EU; izrecno izrekli v izjavi z dne 25. 5. 2018: edpb.europa.eu/sites/edpb/files/files/file1/edpb_statement_on_eprivacy_en.pdf.
Besedilo in naslovna slika: Informacijski pooblaščenec.