Povzetek mnenja Evropskega nadzornika za varstvo podatkov z naslovom „Soočanje z izzivi masovnih podatkov: poziv za preglednost, nadzor uporabnikov, vgrajeno varstvo podatkov in odgovornost“

(Celotno besedilo tega mnenja je na voljo v angleščini, francoščini in nemščini na spletišču ENVP www.edps.europa.eu)

„Pravica biti puščen na miru je dejansko začetek popolne svobode.“ (1)

Masovni podatki – če se z njimi ravna odgovorno – lahko zagotavljajo precejšnje koristi in učinkovitost za družbo in posameznike, in sicer na področju zdravja, znanstvenih raziskav, okolja in drugih posebnih področjih. Vendar se pojavljajo resni dvomi glede dejanskega in potencialnega vpliva obdelave ogromnih količin podatkov na pravice in svoboščine posameznikov, vključno z njihovo pravico do zasebnosti. Izzivi in tveganja v zvezi z masovnimi podatki zato zahtevajo učinkovitejše varstvo podatkov.

Tehnologija ne sme narekovati naših vrednot in pravic, a tudi spodbujanje inovativnosti in ohranjanje temeljnih pravic se ne smeta dojemati kot nezdružljiva. Novi poslovni modeli, ki izkoriščajo nove zmogljivosti za masivno zbiranje, takojšnji prenos, kombiniranje in ponovno uporabo osebnih podatkov za nepredvidene namene, so še dodatno obremenili načela varstva podatkov, zato je treba temeljito proučiti, kako se uporabljajo.

Evropska zakonodaja o varstvu podatkov je bila razvita za varstvo naših temeljnih pravic in vrednot, vključno z našo pravico do zasebnosti. Vprašanje ni, ali je treba zakonodajo o varstvu podatkov uporabljati tudi za masovne podatke, temveč kako jo inovativno uporabljati v novih okoljih. Naša veljavna načela varstva podatkov, vključno s preglednostjo, sorazmernostjo in omejitvijo namena, zagotavljajo izhodišče, ki ga bomo potrebovali za bolj dinamično varstvo naših temeljnih pravic v svetu masovnih podatkov. Vendar jih je treba dopolniti z „novimi“ načeli, ki so se razvila skozi leta, kot so odgovornost, vgrajena zasebnost in privzeta zasebnost. Pričakuje se, da bo sveženj EU za reformo varstva podatkov okrepil in moderniziral regulativni okvir (2).

EU namerava povečati rast in konkurenčnost z izkoriščanjem masovnih podatkov. Vendar enotni digitalni trg ne sme nekritično prevzemati podatkovno vodenih tehnologij in poslovnih modelov, ki so postali del gospodarskega dogajanja drugje po svetu. Namesto tega mora prevzeti vodilno vlogo pri razvoju odgovorne obdelave osebnih podatkov. Internet se razvija na način, ki zahteva, da se nadzor – sledenje obnašanju ljudi – šteje za nepogrešljiv model prihodkov za nekatere izmed najuspešnejših podjetij. Ta razvoj zahteva kritično presojo in iskanje drugih možnosti.

Vsekakor in ne glede na izbrane poslovne modele morajo organizacije, ki obdelujejo velike količine osebnih podatkov, ravnati v skladu z veljavno zakonodajo o varstvu podatkov. Evropski nadzornik za varstvo podatkov (ENVP) verjame, da mora odgovoren in trajnosten razvoj masovnih podatkov sloneti na štirih poglavitnih elementih:

V zvezi s preglednostjo je treba posameznikom zagotoviti jasne informacije, kateri podatki se obdelujejo, vključno z opaženimi podatki ali pridobljenimi podatki o njih; bolje morajo biti obveščeni o tem, kako in za katere namene se uporabljajo njihove informacije, vključno z logiko, ki se uporablja v algoritmih za opredelitev domnev in napovedi o njih.

Nadzor uporabnikov bo pomagal zagotoviti, da so posamezniki bolj opolnomočeni za boljše zaznavanje neupravičenih predsodkov in za oporekanje napakam. Pripomogel bo k preprečevanju sekundarne uporabe podatkov za namene, ki ne izpolnjujejo njihovih legitimnih pričakovanj: z novo generacijo nadzora uporabnikov bo posameznikom – kjer je primerno – zagotovljena pristnejša in bolje obveščena izbira, poleg tega bodo imeli tudi sami več možnosti za boljšo uporabo svojih osebnih podatkov.

Mogočni pravici do dostopa in do prenosljivosti podatkov ter učinkoviti mehanizmi zavrnitve so lahko pogoj za zagotovitev, da imajo uporabniki večji nadzor nad svojimi podatki, in lahko pripomorejo k razvoju novih poslovnih modelov ter učinkovitejši in preglednejši uporabi osebnih podatkov.

Odgovorni upravljavci podatkov bodo lahko z vključitvijo varstva podatkov v zasnovo svojih sistemov in procesov ter s prilagoditvijo varstva podatkov za zagotavljanje pristnejše preglednosti in nadzora uporabnikov izkoriščali prednosti masovnih podatkov, hkrati pa zagotavljali spoštovanje dostojanstva in svoboščin posameznikov.

Vendar je varstvo podatkov le del odgovora. EU mora bolj skladno uporabljati razpoložljiva sodobna orodja, vključno na področju varstva potrošnikov, varstva konkurence ter raziskav in razvoja, za zagotavljanje zaščitnih ukrepov in izbire na trgu, kjer lahko cvetijo storitve, ki varujejo zasebnost.

Če želimo uspešno obvladovati izzive masovnih podatkov, moramo hkrati dopuščati inovativnost in varovati temeljne pravice. Podjetja in druge organizacije, ki vlagajo veliko truda v iskanje inovativnih načinov za uporabo osebnih podatkov, morajo zdaj poskrbeti, da enako inovativno razmišljajo tudi pri izvajanju zakonodaje o varstvu podatkov.

ENVP želi na podlagi prejšnjih prispevkov akademskih krogov ter številnih regulativnih organov in deležnikov spodbuditi novo odprto in informirano razpravo v EU in zunaj nje – in sicer z boljšim vključevanjem civilne družbe, oblikovalcev, podjetij, akademikov, javnih organov in regulativnih organov – o tem, kako najbolje izkoristiti ustvarjalni potencial panoge za najboljše mogoče izvajanje zakonodaje ter varovanje naše zasebnosti in drugih temeljnih pravic.

Če želimo uspešno obvladovati izzive masovnih podatkov, moramo hkrati dopuščati inovativnost in varovati temeljne pravice. Da bi to dosegli, je treba ohraniti uveljavljena načela evropske zakonodaje o varstvu podatkov, vendar jih je treba uporabljati na nove načine.

Pogajanja o predlogu splošne uredbe o varstvu podatkov so v zaključnih fazah. Zakonodajalce EU smo pozvali, naj sprejmejo sveženj za reformo varstva podatkov, ki krepi in posodablja regulativni okvir, da ta ostane učinkovit v dobi masovnih podatkov, in sicer s krepitvijo zaupanja posameznikov na svetovnem spletu in enotnem digitalnem trgu (3).

V Mnenju 3/2015, ki so mu bila priložena priporočila za celotno besedilo predlagane uredbe, smo jasno navedli, da morajo naša veljavna načela varstva podatkov, vključno z nujnostjo, sorazmernostjo, zmanjšanjem količine podatkov, omejitvijo namena in preglednostjo, ostati ključna načela. Ta zagotavljajo izhodišče, ki ga potrebujemo za varstvo naših temeljnih pravic v svetu masovnih podatkov (4).

Hkrati je treba ta načela okrepiti in učinkoviteje uporabljati, in sicer sodobneje, prožneje, bolj ustvarjalno in inovativno. Poleg tega jih je treba dopolniti z novimi načeli, kot so odgovornost, varstvo podatkov, vgrajena zasebnost in privzeta zasebnost.

Večja preglednost, mogočni pravici do dostopa in do prenosljivosti podatkov ter učinkoviti mehanizmi zavrnitve so lahko predpogoji za zagotovitev, da imajo uporabniki večji nadzor nad svojimi podatki, in lahko tudi pripomorejo k učinkovitejšim trgom za osebne podatke, kar koristi tako potrošnikom kot podjetjem.

Končno, tudi razširitev področja uporabe zakonodaje EU o varstvu podatkov na organizacije, ki so usmerjene na posameznike v EU, in dodelitev novih pristojnosti organom za varstvo podatkov glede uporabe smiselnih pravnih sredstev, vključno z učinkovitimi denarnimi kaznimi, kot bi določala predlagana uredba, bi bili ključni zahtevi za učinkovito izvajanje naših zakonov na svetovni ravni. V zvezi s tem ima reforma ključno vlogo.

Za zagotovitev učinkovitega izvajanja pravil je treba neodvisnim organom za varstvo podatkov dodeliti ne le zakonske pristojnosti in močne instrumente, temveč tudi potrebne vire za prilagoditev njihovih zmogljivosti rasti podatkovno vodenega poslovanja.

Čeprav je dobra pravna ureditev ključna, sama ne zadošča. Podjetja in druge organizacije, ki vlagajo veliko truda v iskanje inovativnih načinov za uporabo osebnih podatkov, morajo uporabljati enako inovativen način razmišljanja tudi pri izvajanju načel varstva podatkov. Organi za varstvo podatkov morajo nato uveljavljati in nagraditi dejansko skladnost ter se izogibati uvajanju nepotrebne birokracije in papirologije.

Kot je bilo napovedano v strategiji ENVP za obdobje 2015–2019, si bo ENVP prizadeval prispevati k spodbujanju teh prizadevanj.

Vzpostaviti nameravamo zunanjo svetovalno skupino za etiko, sestavljeno iz priznanih in neodvisnih osebnosti, ki imajo skupaj izkušnje z več disciplinami in lahko „proučujejo razmerja med človekovimi pravicami, tehnologijo, trgi in poslovnimi modeli v 21. stoletju“, podrobno analizirajo vpliv masovnih podatkov, ocenjujejo posledične spremembe naših družb in pomagajo opredeliti vprašanja, ki jih je treba obravnavati v okviru političnega procesa (5).

Prav tako bomo razvili model za politike iskrenega obveščanja za organe EU, ki ponujajo spletne storitve, ki lahko prispevajo k dobri praksi za vse upravljavce podatkov.

Končno, omogočali bomo tudi razprave, na primer za opredelitev, spodbujanje in podpiranje dobre prakse za povečanje preglednosti in nadzora uporabnikov ter proučitev možnosti ali shramb osebnih podatkov in prenosljivosti podatkov. ENVP namerava organizirati delavnico o varstvu masovnih podatkov za oblikovalce politike, osebe v institucijah EU, ki ravnajo z velikimi količinami osebnih podatkov, in zunanje strokovnjake, opredeliti področja, ki zahtevajo dodatne posebne smernice, in lajšati delo tehnične mreže za spletno zasebnost (Internet Privacy Engineering Network – IPEN) kot interdisciplinarnega središča znanja za inženirje in strokovnjake za zasebnost.

V Bruslju, 19. novembra 2015

Giovanni BUTTARELLI

Evropski nadzornik za varstvo podatkov

(1) Public Utilities Commission proti Pollak, 343 U. S. 451, 467 (1952) (vrhovni sodnik William O. Douglas, odklonilno mnenje).

(2) Evropska komisija je 25. januarja 2012 sprejela sveženj za reformo evropskega okvira za varstvo podatkov. Sveženj vključuje (i) „Sporočilo“ (COM(2012) 9 final), (ii) predlog splošne „uredbe o varstvu podatkov“ („predlagana uredba“) (COM(2012) 11 final) in (iii) predlog „Direktive“ o varstvu podatkov na področju kazenskega pregona (COM(2012) 10 final).

(4) Ne smemo se vdati skušnjavi in omiliti sedanje ravni varstva, da bi upoštevali zaznano potrebo po manj strogem regulativnem pristopu v zvezi z masovnimi podatki. Pri obdelavi je treba še naprej v celoti upoštevati načela varstva podatkov, kar vključuje ne le uporabo podatkov, temveč tudi njihovo zbiranje. Poleg tega ni nobenih razlogov za splošne izjeme pri obdelavi psevdonimnih podatkov ali obdelavi javno dostopnih podatkov. Opredelitev pojma osebni podatki mora ostati nespremenjena, čeprav bi jo bilo mogoče nadalje pojasniti v samem besedilu uredbe. Dejansko mora zajemati vse podatke, ki se nanašajo na katerega koli posameznika, ki ga upravljavec podatkov ali katera druga stran identificira, izbere ali bi ga lahko identificiral ali izbral.