Slo-Tech - Splošna uredba o varstvu podatkov (GDPR) je stopila v veljavo že leta 2016, dve leti kasneje se je začela izvajati v praksi. Predvidevala je, da posamezne članice EU sprejmejo nacionalne zakone, ki naj bi podrobneje uredili nekatere vidike varstva osebnih podatkov. Pisarna Informacijske pooblaščenke in Ministrstvo za pravosodje sta družno zagrizla v kislo jabolko. Tako smo imeli v zadnjih nekaj letih kar nekaj osnutkov zakona. Nekateri so celo doživeli svoj dan v državnem zboru. S četrtim predlogom nam je vendarle uspelo, decembra 2022 je parlament z večino glasov potrdil nov zakon. Po skoraj petih letih zamude je ZVOP-2 naposled ugledal luč sveta in se danes pričel uporabljati. V tem ne ravno kratkem obdobju nam je zaradi doslednega upoštevanja pravice do lastnega tempa uspelo razdražiti Evropsko komisijo, celo do te mere, da nam je kot zadnji državi članici EU, ki zakona še ni sprejela, zagrozila z globami. A naposled je porod, čeravno z nemalo zapleti, uspel.

Kaj novega torej...

Slo-Tech - Belgijski informacijskih pooblaščenec je po pričakovanjih odločil, da IAB Europe krši Splošno uredbo (GDPR) in izrekel 250.000 evrov globe. Manj zaradi zneska, bolj zaradi udeležencev gre za eno najpomembnejših odločitev, ki bo močno vplivala na oglaševanje v celotni Evropski uniji. Transparency and Consent Framework (TCF), ki ga ponuja IAB Europe in ga uporabljajo številni založniki in oglaševalci v EU, je namreč v neskladju z GDPR. IAB Europe je že obljubil spremembe. Irish Council for Civil Liberties, ki je bil med pritožniki, je odločitev pozdravil kot pomembno zmago za varovanje osebnih podatkov Evropejcev.

TCF uporablja večina evropskih strani, saj je veljalo, da zagotavlja skladnost z GDPR. A nova odločitev kaže, da krši več členov GDPR. TCF ne zagotavlja varnega hranjenja osebnih podatkov, ne pridobiva soglasja na ustrezen način, ne razkriva transparentno, kaj se dogaja z zbranimi podatki, ne zagotavlja ukrepov za zakonito obdelovalo osebnih podatkov in ni ustrezno...

Slo-Tech - Po javni razpravi, ki je potekala maja (svoje pripombe je podal tudi Informacijski pooblaščenec), in sledečem medresorskem usklajevanju je novi Zakon o varstvu osebnih podatkov (ZVOP-2) naposled priromal na vlado.

Gre za izjemno pomemben zakon, ki bo zamenjal že precej zastareli ZVOP-1 in na sistemski ravni uredil določbe Splošne uredbe o varstvu podatkov (GDPR), ki je bila sprejeta že leta 2016 in se polno uporablja že tri leta. Čeprav imajo uredbe avtomatično veljavnost v državah članicah, je prenos v nacionalni pravni red vseeno pomemben, saj ureja določbe, ki jih uredba ne. Tak primer so na primer pogoji za videonadzor in biometriko, kar GDPR izrecno prepušča državam članicam, drugi pa kazenski del, saj je brez predpisanih glob GDPR v Sloveniji trenutno brezzobi tiger. Predlog zakona ureja postopek pred zavezanci, pritožbeni postopek pri Informacijskem pooblaščencu, njegovo nadzorstveno funkcijo, opredeljuje prekrške, ki niso že v sami GDPR, in določa globe za kršenje GDPR in...

Reuters - Luksemburški informacijski regulator National Commission for Data Protection (CNPD) je Amazonu izrekel kazen v višini 746 milijonov evrov zaradi kršitev pri upravljanju osebnih podatkov in kršitev splošne uredbe EU o varstvu osebnih podatkov (GDPR). Luksemburg je sicer primarno pristojen za postopke zoper Amazon, saj ima podjetje tam svoj evropski sedež. Iz Amazona pa so že sporočili, da se bodo na odločbo pritožili, saj po njihovem mnenju ne temelji na dejstvih. Poudarili so, da je vzdrževanje zasebnosti podatkov njihovih uporabnikov njihova najvišja prioriteta.

CNPD je kazen izrekel že 16 julija, vendar je Amazon to razkril šele minuli petek v poročilu SEC, ameriškemu regulatorju za trg vrednostnih papirjev. Kaj natanko je podjetje napravilo narobe ni znano, njihovi predstavniki so zatrdili, da ni prišlo do nobenega odtekanja podatkov, niti ti niso bili posredovani nobeni tretji osebi. Jim je pa CNPD v odločbi naložil revizijo določenih, a neimenovanih poslovnih procesov.

CNPD...

Slo-Tech - Ministrstvo za pravosodje je v petek v javno razpravo ter v strokovno in medresorsko usklajevanje posredovalo predlog novega Zakona o varstvu osebnih podatkov (ZVOP-2), ki na sistemski ravni izvaja določbe Splošne uredbe o varstvu podatkov iz leta 2016 (znana tudi po angleški kratici "GDPR"). Pred tem so novembra v Državnem zboru sprejeli tudi Zakon o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (ZVOPPOKD), ki ločeno ureja varstvo osebnih podatkov posameznika, ki je obravnavan zaradi kaznivih dejanj pred represivnimi organi.

Na spletni strani ministrstva so zapisali, da predlog ZVOP-2 ohranja visoke standarde varstva osebnih podatkov v Republiki Sloveniji in dopolnjuje Splošno uredbo v delu, kjer ta urejanje prepušča državam članicam Evropske unije. Predlog ureja tudi prvostopenjski postopek pred zavezanci za varstvo osebnih podatkov, pritožbene ter nadzorne postopke pred Informacijskim pooblaščencem, določa prekrške za kršitve, ki niso zajeti že v Splošni...

Slo-Tech - Vse dosedaj smo mislili, da so določila GDPR "all inclusive" - da pravica do varstva osebnih podatkov pripada vsakemu posamezniku, ne glede na njegovo državljanstvo (ali pomanjkanje tega). Tak vtis vsaj daje branje uvodnih stavkov uredbe, kjer denimo piše, da bi »načela in pravila o varstvu posameznikov pri obdelavi njihovih osebnih podatkov morala ne glede na njihovo državljanstvo ali prebivališče zagotavljati spoštovanje temeljnih pravic in svoboščin posameznikov« in da naj bi se »varstvo, zagotovljeno s to uredbo, moralo uporabiti za obdelavo osebnih podatkov posameznikov, ne glede na njihovo državljanstvo ali prebivališče«.

Zato smo bili toliko bolj presenečeni nad praksami nekaterih državnih organov, ki očitno mislijo, da beguncem ta pravica ne pripada, tako da lahko nadaljujejo z masovnim objavljanjem njihovih osebnih podatkov na oglasni deski e-uprave.

Spomnimo: v nedavnem nizu člankov smo večkrat opozorili na zanimive prakse nekaterih državnih organov, ki so se v primeru...

Slo-Tech - Nemški informacijski pooblaščenec v Spodnji Saški je podjetje notebooksbilliger.de oglobil z 10,4 milijoni evrov kazni, ker je zadnji dve leti brez zakonske podlage snemalo svoje zaposlene. Kamere so namestili v pisarne, prodajalne, skladišča in prostore za odmore. Videonadzor je potekal 24 ur na dan, posnetki pa so se hranili 60 dni. Gre za eno najvišjih glob, ki so bile izrečene na podlagi GDPR, ki velja od leta 2018.

Podjetje je zatrjevalo, da je bil videonadzor namenjen preprečevanju tatvin in sledenju gibanja blaga. Informacijski pooblaščenec je ugotovil, da je bila vzpostavitev videonadzora prekomeren in nezakonit vdor v zasebnost zaposlenih. Informacijska pooblaščenka Barbara Thiel je povedala, da tako obsežen videonadzor krši pravico zaposlenih do zasebnosti in da četudi sumijo, da bi lahko zaposleni v prihodnosti storili kaznivo dejanje, to ne dovoljuje nadzora, saj bi v to podjetjem omogočilo neomejeno širjenje nadzora. Nedopustno je videonadzor uporabljati kot...

Informacijski pooblaščenec - Dobri dve leti po začetku uporabe Splošne uredbe o varstvu osebnih podatkov (GDPR) je slovenski sodni sistem prišel do spoznanja, da Informacijska pooblaščenka ni pooblaščena, da bi sankcionirala njene kršitve, saj še ni bil sprejet zakon, ki bi ji takšno pooblastilo tudi dal.

Kaj se je zgodilo?

Afera Hrvaška parkirišča. Kot smo na veliko slišali v zadnjih tednih, na Hrvaškem vsako leto letuje veliko Slovencev. Ti tudi veliko parkirajo, včasih očitno tudi brez plačila parkirnine. Nekateri lastniki parkirišč so se odločili izterjati neplačano parkirnino. Da pa bi identificirali prekrškarje, so najeli slovenske odvetnike, ki so za njih pridobil podatke o imetnikih registrskih tablic, nakar so jim potem na dom pošiljali opomine. To seveda ni bilo povšeči prekrškarjem, ki so nadnje poslali pisarno Informacijske pooblaščenke. Ta je menila, da je bila celotna shema pridobivanja in izmenjave osebnih podatkov nezakonita, zato je eni taki odvetniški pisarni izrekla globo v višini 12.510...

ECJ - Ponudnik spletne strani, ki uporablja Facebookov gumb »Všeč mi je«, se šteje za skupnega upravljavca osebnih podatkov, ki jih ameriški spletni velikan Facebook na ta način zbere o obiskovalcih njegove spletne strani. Je namreč tisti, ki se je odločil ta gumb postaviti na svojo spletno stran in s tem Facebooku pomagati pri zbiranju podatkov o obiskovalcih. Posledično ima iz tega naslova nekatere dolžnosti po predpisih o varstvu osebnih podatkov. Tako je ta teden razsodilo Sodišče Evropske unije v primeru nemške nevladne organizacije za zaščito uporabnikov interneta Verbraucherzentrale NRW proti nemškemu modnemu portalu in zagrizenemu uporabniku Facebookovih vtičnikov Fashion ID.

Facebook kot prednost pred konkurenco
Sodišče je v omenjenem primeru ugotovilo, da...

Slo-Tech - Na Slo-Techu smo v letošnjem letu večkrat poročali o primerih dobrih praks, ki jih je v zvezi z uporabo piškotkov na spletni strani vzpostavila pisarna Informacijskega pooblaščenca.

Ker je potrebno tudi v drugi polovici leta 2019 slovenskim spletnim razvijalcem zagotoviti posel, se je prejšnji teden Informacijski pooblaščenec v duhu dobre prakse zagotavljanja stabilnega regulatornega okolja, kot predpogoja za kakršenkoli gospodarski razvoj, odločil, da je čas za spremembo smernic z opisom najboljših praks s tega področja:
...

Slo-Tech - V petek je začela veljati splošna uredba o varstvu osebnih podatkov (GDPR), o čemer se je ogromno govorilo. Čeprav je bila sprejeta že leta 2016, se je pred petkovo uveljavitvijo zdelo, kakor da bo ta teden konec interneta. V resnici pa se ni zgodilo nič pretresljivega, le nekateri ameriški časniki so v EU še nedostopni.

Minuli teden so Evropejci v svoje elektronske predale prejeli več spama kot v celem mesecu pred tem, saj je domala vsako podjetje poslalo obvestilo o začetku uporabe GDPR s prošnjo, naj jim dovolijo še dalje pošiljati elektronska sporočila. Ghosteryju je na primer uspelo poslati to sporočilo tako, da so bili vsi prejemniki v polju To, torej so razkrili elektronske naslove veliko uporabnikov.

Nekatera podjetja so poslala celo papirnata obvestila, da jih odslej zavezuje GDPR in da ne bodo...