Slo-Tech - Splošna uredba o varstvu podatkov (GDPR) je stopila v veljavo že leta 2016, dve leti kasneje se je začela izvajati v praksi. Predvidevala je, da posamezne članice EU sprejmejo nacionalne zakone, ki naj bi podrobneje uredili nekatere vidike varstva osebnih podatkov. Pisarna Informacijske pooblaščenke in Ministrstvo za pravosodje sta družno zagrizla v kislo jabolko. Tako smo imeli v zadnjih nekaj letih kar nekaj osnutkov zakona. Nekateri so celo doživeli svoj dan v državnem zboru. S četrtim predlogom nam je vendarle uspelo, decembra 2022 je parlament z večino glasov potrdil nov zakon. Po skoraj petih letih zamude je ZVOP-2 naposled ugledal luč sveta in se danes pričel uporabljati. V tem ne ravno kratkem obdobju nam je zaradi doslednega upoštevanja pravice do lastnega tempa uspelo razdražiti Evropsko komisijo, celo do te mere, da nam je kot zadnji državi članici EU, ki zakona še ni sprejela, zagrozila z globami. A naposled je porod, čeravno z nemalo zapleti, uspel.

Kaj novega torej...

Slo-Tech - Medtem, ko je pisarna Informacijske pooblaščenke ravno uspela počistiti sledi dobrih praks upravnih enot iz prejšnjega prispevka, pa preostanek državnega aparata seveda dela nadure.

Tokrat je Ministrstvo za pravosodje presodilo, da je za splošno dobro vseh nas pomembno, da smo seznanjeni, da se družbeno koristno delo nekega precej določenega obsojenca opravlja v Kopru in ne v Ljubljani.

Kot je razvidno iz dokumenta samega je junak današnje zgodbe dejansko obvestil naslovni organ o svoji spremembi bivališča (ki je tudi razlog za objavljeni postopek). Vendar tovrstne malenkosti ne ovirajo organa, da ne bi za odločbo opravljal nadomestne vročitve po oglasni deski.

ZUP v svojem 96. členu precej določno našteva podatke, ki se jih lahko objavi v tovrstnih primerih (številke EMŠO očitno na seznamu ni), vendar kot je bilo že večkrat ugotovljeno, Quod licet Iovi, non licet bovi.

Do popolnosti tej praksi manjka samo še mug shot.

Slo-Tech - Ustavno sodišče je razveljavilo Covid ukrepe. Po tem, ko ukrepi že lep čas ne veljajo več, jih je sedaj uspelo razveljaviti tudi Ustavno sodišče. Gre za postopek, ki se je začel na pobudo Informacijskega pooblaščenca, ki je izpodbijal Odlok o načinu ugotavljanja izpolnjevanja pogojev prebolevnosti, cepljenosti in testiranja v zvezi z nalezljivo boleznijo COVID-19, ter del Odloka o začasnih ukrepih za preprečevanje in obvladovanje okužb z nalezljivo boleznijo COVID-19, ki se nanaša na obdelave osebnih podatkov.

Izpodbijani odloki se nanašajo na način preverjanja način ugotavljanja izpolnjevanja pogoja PCT. Gre za aplikacijo za preverjanje Covid potrdil s čitalcem QR kode. IP je menil, da izpodbijana ureditev predvideva obdelavo posebne vrste osebnih podatkov, in sicer podatkov o zdravju, ki so po Splošni uredbi o varstvu podatkov (GDPR) posebej varovani. Covid potrdila je uvedla Uredba o okviru za izdajanje, preverjanje in priznavanje interoperabilnih potrdil o cepljenju, testu in...

Slo-Tech - Dobrih štirinajst dni je minilo od naše zadnje kavč inšpekcije. Ker je popolnoma nemogoče, da bi se v Republiki Sloveniji v pol leta kaj spremenilo, si tokrat oglejmo nova dognanja s področja varstva osebnih podatkov.



Center socialno delo Celje tako ugotavlja, da mu ni znano prebivališče oseb za katere v dani odločbi posoja denar za namen plačila bivanja v domu starejših občanov.

Finančni urad Brežice je ugotovil, da podatki iz 85. člena ZDavP-2 ne zadoščajo za javni linč davčnega zavezanca. Zaradi tega je potrebno objaviti še davčno številko in antedatirati čas objave na oglasni deski na januar.


Prav tako v Sloveniji obstaja policistka, ki ne plačuje davkov, hodi v službo, vendar je FURS drugače kot z javno objavo ni sposoben izslediti. Vsekakor pohvalno.


Podobno delamo tudi s prekrškarji, davčnimi dolžniki (tudi malo večjimi), sploh če slučajno kaj plačajo.

Še vedno niso problem podatki davčnih dolžnikov, ki se enkrat znajdejo na internetu - ko pobrišemo...

Slo-Tech - Vse dosedaj smo mislili, da so določila GDPR "all inclusive" - da pravica do varstva osebnih podatkov pripada vsakemu posamezniku, ne glede na njegovo državljanstvo (ali pomanjkanje tega). Tak vtis vsaj daje branje uvodnih stavkov uredbe, kjer denimo piše, da bi »načela in pravila o varstvu posameznikov pri obdelavi njihovih osebnih podatkov morala ne glede na njihovo državljanstvo ali prebivališče zagotavljati spoštovanje temeljnih pravic in svoboščin posameznikov« in da naj bi se »varstvo, zagotovljeno s to uredbo, moralo uporabiti za obdelavo osebnih podatkov posameznikov, ne glede na njihovo državljanstvo ali prebivališče«.

Zato smo bili toliko bolj presenečeni nad praksami nekaterih državnih organov, ki očitno mislijo, da beguncem ta pravica ne pripada, tako da lahko nadaljujejo z masovnim objavljanjem njihovih osebnih podatkov na oglasni deski e-uprave.

Spomnimo: v nedavnem nizu člankov smo večkrat opozorili na zanimive prakse nekaterih državnih organov, ki so se v primeru...

Slo-Tech - Pred dvema tednoma smo poročali o pasivnosti pisarne informacijske pooblaščenke pri nadzoru nad rabo spletnih piškotkov (http cookies). Iz svoje spletne strani so namreč preprosto umaknili svoje smernice o rabi piškotkov. Prav tako so prenehali z izvajanjem nadzorov na tem področju. Številne javne spletne strani, na katere smo jih lani oz. predlani opozorili, namreč še vedno brezskrbno nastavljajo piškotke brez uporabnikove vnaprejšnje privolitve - npr. strani Vrhovnega državnega tožilstva, Javne agencije za civilno letalstvo ali Mestne občine Ljubljana. VDT je v času, od kar smo jih nazadnje vzeli pod drobnogled, celo dodal nekaj novih piškotkov (Userway vmesnik za osebe z okvaro vida).

Ugotovitev, da se je pisarna IP-RS odločila, da rabe piškotkov na slovenskih spletnih straneh več ne bo nadzirala, pa dokončno potrjuje lani prenovljena spletna stran slovenske vlade gov.si. Na strani, ki služi kot uradni portal za vse informacije vlade, ministrstev in drugih državnih organov in...

Slo-Tech - Kot smo davi že poročali, je francoski informacijski pooblaščenec Googlu in Amazonu izrekel več desetmilijonske globe zaradi nameščenja sledilnih piškotkov brez uporabnikove privolitve, ob tem pa zagrozil s še dodatnimi dnevnimi kaznimi, če težave ne bi kmalu odpravili.

Ob tej priložnosti smo preverili, kaj na tem področju počne naša pooblaščenka za piškotke informacijska pooblaščenka, Mojca Prelesnik. Konec lanskega leta je namreč na svoji spletni strani napovedala podobno oster pristop do skrbnikov spletnih strani ("Za namestitev piškotkov je potrebna aktivna privolitev internetnih uporabnikov"), obenem pa najavila prenovitev svojih smernic o rabi piškotkov v to smer.

Kot se izkaže, pisarna pooblaščenke dobro leto kasneje še vedno razmišlja, kaj bo naredila.

Novih smernic namreč še niso objavili, oziroma še več, stare smernice so potihoma in brez pojasnila preprosto umaknili s svoje spletne strani. Klik na neposredno povezavo, ki jo je mestoma še mogoče najti v nekaterih...

ECJ - Ni pomembno, ali gre za osebne podatke uporabnikov ali ne, obiskovalci spletnih strani morajo v vseh primerih AKTIVNO dati soglasje za sprejem piškotkov. Tako je odločilo Evropsko sodišče v primeru nemških organizacij za varstvo potrošnikov proti podjetju Planet49. Ta je v preteklosti premagoval branilce potrošnikov na nižjih inštancah nemškega sodstva z argumenti, da je predizpolnjen “checkbox” (ko spletna stran obiskovalcu ponudi že “odkljukane” trditve - ponavadi so te ločene na piškotke za analitiko in piškotke za oglaševanje - in jih obiskovalec v paketu vse potrdi) skladen z zahtevami GDPR.

Ko so zaščitniki potrošnikov izčrpali vsa pravna sredstva na nižjih inštancah, so se obrnili na nemško vrhovno sodišče, ki je za mnenje zaprosilo Evropsko sodišče. GDPR je namenjen zaščiti zasebnega življenja posameznikov in mora poskrbeti, da je uporabnikom popolnoma jasno, s čim soglaša pri potrditvi sprejetja piškotkov. In rešitev “Checkbox” uporabnikom odvzema transparenten način...

Slo-Tech - Na Slo-Techu smo v letošnjem letu večkrat poročali o primerih dobrih praks, ki jih je v zvezi z uporabo piškotkov na spletni strani vzpostavila pisarna Informacijskega pooblaščenca.

Ker je potrebno tudi v drugi polovici leta 2019 slovenskim spletnim razvijalcem zagotoviti posel, se je prejšnji teden Informacijski pooblaščenec v duhu dobre prakse zagotavljanja stabilnega regulatornega okolja, kot predpogoja za kakršenkoli gospodarski razvoj, odločil, da je čas za spremembo smernic z opisom najboljših praks s tega področja:
...

Slo-Tech - Zdravstveni dom Kamnik svojim pacientom olajšuje zdravljenje tudi z digitalizacijo. Kamničani tako lahko prek internetov naročijo tudi recepte. Pri tem morajo v spletni obrazec zapisati podatke, kot so datum rojstva, številko mobilnika, elektronsko pošto, ter seveda podrobnosti o receptu.



Ko vnesejo zahtevane informacije pritisnejo zelen gumb Naročam. Nevedoč, da ima dostop do vaših podatkov tudi Facebook.




Spletna stran aplikacije za recepte ima namreč vtičnik...

Slo-Tech - Dva meseca od zadnje objave smo preverili, ali so nove dobre prakse nastavljanja spletnih piškotkov brez privolitve (ali celo z izrecno izraženo prepovedjo) uporabnika še vedno v uporabi.

Informacijski pooblaščenec (ip-rs.si)
Z zadovoljstvom ugotavljamo, da pisarna informacijske pooblaščenke ostaja svetilnik dobrih praks na tem področju. Analitične piškotke Matomo še vedno uporabljajo brez privolitve posameznika. Prav tako vztrajajo, da je dovolj, da se na strani z več informacijami napiše, da bodo te piškotke v primeru...

Slo-Tech - “Informacijski pooblaščenec (IP) pojasnjuje, da je pri spletnih piškotkih potrebno razlikovanje glede na njihovo vlogo in invazivnost. “ Tako informacijski pooblaščenec prek svoje PR službe posredno odgovarja na vprašanja in problematiko glede zasebnosti na internetih, ki smo jih v zadnjih tednih izpostavili prek serije člankov (1., 2., 3., 4). Ne bomo trdili, da je bil to odziv prav na naše zapise, čeprav objave časovno sovpadajo.

V tem članku bomo primerjali zadnje medijske objave Informacijskega pooblaščenca z našimi ugotovitvami glede zasebnosti na internetih v Sloveniji.

Prvič: Zakonito in neživljenjsko

Uporabo piškotkov na spletnih straneh v Sloveniji ureja ZEKom-1 v 157. členu. Člen določa kdaj je piškotke dopustno shraniti v terminalski opremi uporabnika, in sicer “[…] samo pod pogojem, da je naročnik ali uporabnik v to privolil potem, ko je bil predhodno jasno in izčrpno obveščen o upravljavcu in namenih obdelave teh podatkov […]”. Zakonska dikcija je dokaj trda,...

Slo-Tech - Nov teden, nove zmage. Naši “kavč inšpektorji” so spet poiskali nekaj zanimivih primerov spletnih strani državnih organov, ki imajo piškotke urejene skladno z najboljšimi praksami Informacijskega pooblaščenca. Te nove prakse so res olajšale življenje programerjem. Hkrati pa so našli še nekatere nove trende, ki se tudi bliskovito širijo po slovenskem delu svetovnega spleta.

Vrhovno državno tožilstvo RS

Vrhovno državno tožilstvo lani ni dobilo le novega šefa, dobilo je tudi novo spletno stran. Seveda takšna moderna spletna...

Slo-Tech - Pravijo, da dober glas seže v deveto vas. Očitno bo to kar držalo, saj so se dobre prakse Informacijskega pooblaščenca v zvezi z uporabo spletnih piškotkov brez privolitve obiskovalca očitno že temeljito razpasle po spletnih straneh slovenske javne uprave.

Med sprehodom čez seznam na vladnem portalu Država na spletu smo namreč naleteli na bogato ponudbo piškotkov najrazličnejših ponudnikov in okusov. Prednjačijo zlasti Googlovi piškotki, se pa najde tudi piškotke Facebooka, Twitterja, Microsofta ter še številnih drugih...

Slo-Tech - O Informacijskem pooblaščencu (IP-ju) zadnje čase pišemo v zelo pozitivni luči, ker je postal bistveno bolj prijazen do domačih podjetij kot je bil prej. Kot že napisano, primer njihove trenutne najboljše prakse dovoljuje rabo spletnih piškotkov tudi brez predhodne privolitve obiskovalca oz. celo v primeru, da je uporabnik shranjevanje izrecno prepovedal. S to novo dobro prakso so razveselili številne upravljavce spletnih strani (tudi na primer Policijo, ki pa si je po naši objavi premislila in odločila za malo bolj konzervativno uporabo spletne analitike). Pravzaprav smo seznanjeni s še več drugimi državnimi organi in lokalnimi skupnostmi, ki piškotke že veselo uporabljajo na ta način, o čemer nameravamo pisati v kratkem. A to lahko še malo počaka, ker moramo...

Policija - Konec januarja smo objavili prispevek o novih pravilih uporabe piškotkov, ki jih je na svoji spletni strani prikazal Informacijski pooblaščenec (IP), sicer nadzorni organ na tem področju. Po vzoru številnih tujih spletnih strani so se namreč tudi oni odločili piškotke postavljati v vsakem primeru, ne da bi se kaj posebej ozirali na voljo obiskovalca. Takšne nove dobre prakse smo seveda pozdravili, ker so bistveno bolj prijazne do lastnikov spletnih strani. Pred tem je namreč veljalo, da je postavitev piškotkov dovoljena šele pod...

Slo-Tech - Zakonodaja s področja varstva zasebnosti je zapletena, še posebej ko govorimo o zasebnosti na spletu. Del teh zapletenih pravil se nanaša tudi na spletne piškotke ("cookies"), majhne podatkovne datoteke, s katerimi nas spletne strani identificirajo ob vsakem obisku. Glede na zapletenost pravil, ni čudno, da imajo skrbniki spletnih strani nemalo težav pri implementaciji teh pravil v praksi. Dobra novica za vse upravitelje spletnih strani: Informacijski pooblaščenec je na svoji spletni strani pokazal nov, bolj prijazen pristop k...

Slo-Tech - Belgijsko sodišče je odločilo, da mora Facebook v 48 urah nehati slediti ljudem, ki niso njegovi uporabniki, sicer mu grozi 250.000 evrov globe za vsak dan kršitve. Postopek je na sodišču sprožila belgijska neodvisna komisija za zaščito zasebnosti, ki je od Facebooka junija zahtevala spoštovanje belgijske zakonodaje in mu tudi poslala seznam priporočil, ki jih Facebook ni upošteval.

Med najpomembnejšimi zahtevami je prenehanje shranjevanja dolgotrajnih piškotkov na računalnike ljudi, ki nimajo računa pri Facebooku, in prenehanje zbiranja informacij o njih. Številne strani imajo namreč vtičnike za Facebook, ki omogočajo komentiranje ljudem s profilom na Facebooku in avtomatično deljenje povezav, a hkrati Facebooku...

Slashdot - Pred poldrugim letom sta Evropski parlement in Svet sprejela serijo amandmajev, s katerimi so pomembno spremenili ureditev hranjenja piškotkov v krovni Direktivi o zasebnosti in elektronskih komunikacijah. Določilo 3. odstavka petega člena, ki bi ga države članice morale v svojo zakonodajo vnesti do tega četrtka, tako predvideva, da rabijo spletne strani pred shranjevanjem piškotka na uporabnikov računalnik od uporabnika pridobiti informirano soglasje (angl. informed consent). To pomeni, da morajo biti uporabniku še pred uporabo strani znani vsi piškotki in namen njihove uporabe, izvzemši piškotke, ki so bistveni za uporabo storitve.

Nov sistem obvezne predhodne privolitve (opt-in) je diametralno nasproten prejšnji ureditvi, ki je...