Vir: Informacijski pooblaščenec (2018, 2019, 2020)
Grafikon št. 1 prikazuje število prijav suma na kršitev določb Uredbe GDPR in ZVOP-1 v letu 2018, 2019 in 2020. Največ prijav se je pojavilo na področju nezakonitega razkrivanja osebnih podatkov. Leta 2019 jih je bilo kar 405, kar se bistveno razlikuje od leta 2018 in 2020, saj je v teh letih število manjše za kar prb. 33 %. Najmanj prijav se pojavlja na področju obdelave osebnih podatkov v nasprotju z njihovim namenom zbiranja, kjer je bilo v letu 2020 prijavljenih 28 sumov na kršitev, v letu 2019 36 in v letu 2018 49. Grafikon 1 nam prikazuje, da se število prijav na področju obdelave osebnih podatkov v nasprotju z namenom zbiranja vsako leto zmanjšuje za prb. 24 %, kar je povezano tudi z nezakonito obdelavo osebnih podatkov pri izvajanju neposrednega trženja, kjer je sicer število kršitev po prijavah večje, vendar se vsako leto zmanjšuje. Po grafikonu 1 je razvidno, da se število prijav kršitev na področju nezakonitega izvajanja videonadzora vsako leto veča, povod v to pa je tudi posledica vsakoletnega razvoja tehnologije.
25
Vir: Informacijski pooblaščenec (2018, 2019, 2020)
Število prijavljenih sumov na kršitev ZVOP-1, ki so bile prikazane v grafikonu 1, so v grafikonu 2 prikazane glede na kršene člene ZVOP-1. Ostale prijave so bile zavrnjene ali pa se niso nanašale na ZVOP-1. Iz grafikona 2 je razvidno, da se največ zadev nanaša na nezakonito obdelavo osebnih podatkov, in sicer kršitev 8. člena ZVOP-1. Grafikon 2 sicer prikazuje kršitev 16. člena ZVOP-1 (namen zbiranja in obdelava podatkov), ki pa po novi splošni Uredbi o varstvu podatkov preneha veljati. Ne glede na Uredbo GDPR se sankcije za kršitve še vedno izrekajo po ZVOP-1. Če primerjamo grafikon 1 in grafikon 2, vidimo, da je število prijav bistveno večje od števila dejanskih kršitev ZVOP-1, ki so v postopku. Do številske razlike pride po navadi zaradi nastale situacije, ki v nekem dogodku (kjer se krši ZVOP-1) sodeluje več oseb, nato pa vsaka od teh oseb poda prijavo suma na kršitev istega dogodka.
Število zadev na področju kršitev določenih členov ZVOP-1, ki so prikazani v grafikonu 2, se iz leta v leto razlikuje, saj so v ZVOP-1 razveljavljeni določeni členi, ki jih nadomešča Uredba GDPR. Ker pa inšpekcijski organ ne more izrekati sankcij po Uredbi GDPR, saj so globe previsoke, mora kršitve in sankcije upoštevati v ZVOP-1. Trenutno so v Sloveniji inšpekcijski ukrepi, kršitve in sankcije pomanjkljivo urejene, novi ZVOP-2 pa naj bi zadeve na področju kazenskih določb urejal bolj popolno.
26
Vir: Informacijski pooblaščenec (2018, 2019, 2020)
Kljub uvedbi EU Direktive 2016/680 in Uredbe GDPR se število prijav iz leta v leto povečuje.
To prikazuje grafikon 3, v katerem je navedeno število prijav kršitev v treh preteklih letih.
Levi stolpci prikazujejo število prijavljenih kršitev v javnem sektorju, desni stolpci pa prikazujejo kršitve v zasebnem sektorju za leta 2018, 2019 in 2020. Že iz grafikona je razvidno, da je v zasebnem sektorju za več kot pol prijav več na posamezno leto. Skupno število kršitev v javnem in zasebnem sektorju po grafikonu 3: v letu 2018 je bilo skupaj prijavljenih 1029 kršitev, v letu 2019 se je število zvišalo na 1183 kršitev, v letu 2020 pa na kar 1208.
Glede na prikazane številke bi lahko rekli, da je trenutna zakonodaja na področju varstva osebnih podatkov šibka. V trenutni situaciji, torej že od leta 2018, ko v ZVOP-1 veljajo le še določeni členi, so drugi členi v neveljavi, saj področje ureja Splošna uredba o varstvu podatkov. Kljub temu je v Sloveniji ZVOP-2 še vedno v teku sprejetja, ta pa naj bi med drugimi urejal tudi postopkovne vidike, kot so postopki izrekanja sankcij in pravna sredstva.
Tehnologija se spreminja in nadgrajuje, zakoni pa ostajajo isti. Tukaj bi bilo treba omeniti še to, da je bilo pred letom 2018 (pred uvedbo GDPR) področje varstva osebnih podatkov urejeno z Direktivo EU o varstvu podatkov 95/46/ES, ta pa je bila sprejeta v letu 1995, kar pomeni, da se področje zakonodaje ni usklajevalo z razvojem interneta in tehnologije. Kar bi se sedaj lahko ponovilo, če ZVOP-2 še nekaj časa ne bo sprejet. Po grafikonu 1 je razvidno, da je na področju videonadzora vsako leto prijavljenih vedno več sumov na kršitev zakona, trenutno pa to področje ureja samo ZVOP-1 v 74. členu, kjer pa uporaba videonadzora ni dovolj natančno določena.
Grafikon 3: Prikaz inšpekcijskih zadev v javnem in zasebnem sektorju
27
5 PREVERITEV HIPOTEZ IN PREDLOGI IZBOLJŠAV
Na začetku diplomskega dela sem postavila dve hipotezi, ki jih bom v nadaljevanju opisala in potrdila ali zavrgla.
Hipoteza 1: Varovanje osebnih podatkov je v današnjem svetu eden izmed glavnih dejavnikov pri zagotavljanju varnosti posameznika.
Današnja družba je premalo ozaveščena o človekovih pravicah, v tem primeru o pravici do zasebnosti in varnosti osebnih podatkov. Glede na razvoj današnje tehnologije so ljudje premalo seznanjeni s tem, kaj osebni podatek sploh je in kaj se lahko zgodi, če ti podatki pridejo v neprave roke. Cilj postavljene hipoteze je bil posameznike poučiti o tem, da so osebni podatki ključnega pomena pri zagotavljanju varnosti in da moramo osebne podatke kar se da skrbno varovati.
Varstvo osebnih podatkov lahko delimo na dva sklopa. Prvi so podatki, ki jih uporabljamo sami in nas ti dejansko identificirajo. Za njihovo varstvo je odgovoren posameznik, kar pomeni, da lahko v večini sam varuje svoje podatke, jih uporablja previdno in tako prispeva k svoji zasebnosti. V drugem sklopu pa so podatki, s katerimi je mogoče osebo identificirati, v rokah drugih (bank, delodajalcev, zdravstva itd.), posameznik pa že težje vpliva na samo varnost uporabe teh podatkov.
Zelo pomemben člen pri varovanju podatkov, kjer je v večini posameznik odgovoren sam, je internet. V Sloveniji ima kar 90 % gospodinjstev dostop do interneta (statistični urad RS, 2020). Internet nam danes omogoča javno objavo informacij in podatkov, razpolaganje s svojim premoženjem preko računalniških sistemov itd. Lahko si predstavljamo, kaj bi se zgodilo z našim premoženjem, če bi dostop do teh podatkov dobila tretja oseba. Zato moramo osebne podatke skrbno varovati.
Kot je bilo prikazano v diplomskem delu, varstvo osebnih podatkov niso le ime, priimek, davčna številka, ampak spadajo sem tudi biometrični podatki (prstni odtisi, prepoznava obrazov preko videonadzorov itd.), ki se bodo s postopnim razvojem tehnologije začeli pogosto uporabljati. Imajo pa tudi velik potencial za nadzor, kar pa lahko posega v posameznikovo zasebnost. Razmišljamo lahko za nekaj let naprej, ko bo tehnologija tako razvita, da se ji v nobenem primeru ne bomo mogli izogniti. V širokem tehnološkem razvoju bomo obdani z več možnimi načini, ki bi lahko posegali v našo zasebnost, zato je dobro, da smo kot posamezniki vedno bolj pozorni pri uporabi osebnih podatkov in te, če se le da, skrbno varujemo. Zgoraj zastavljeno hipotezo potrjujem.
Hipoteza 2: Poznavanje zakonodaje je ključnega pomena za ohranjanje zasebnosti posameznika v delovnem razmerju.
28
Druga hipoteza je bila, da znanje o zakonodaji lahko pripelje do manjšega poseganja v posameznikovo zasebnost. V diplomskem delu so bile prikazane pravice delavca kot pravice delodajalca. Jasno je, da se v praksi pojavljajo pomanjkljivosti na področju varstva podatkov. Na eni strani imamo delodajalca, ki lahko od delavca pridobiva določeno kvoto podatkov, ki jih za doseganje cilja dejansko ne potrebuje, vendar bi s svojim početjem posegal v delavčevo zasebnost. Na drugi strani pa imamo delavca, ki ni dovolj seznanjen s pravicami in obveznostmi na področju varstva podatkov, zato lahko takšne stvari dopušča.
Mejo pravice med delavcem in delodajalcem je težko prikazati, saj se delovna mesta in s tem tudi delovni pogoji med seboj razlikujejo. Za določeno delovno mesto potrebuje delodajalec več osebnih podatkov delavca, medtem ko na drugem delovnem mestu delodajalec teh podatkov ne potrebuje.
V praksi se pogosto pojavlja, da delodajalec od delavca zahteva podatke, ki jih uradno ne potrebuje, kot so na primer zdravstvene diagnoze, informacije o načrtovanju družine itd. S tem si lahko namreč ustvari sliko, koliko časa bo delavec aktiven na delu. Vendar zakonodaja na področju varstva osebnih podatkov tega ne dovoljuje, saj je to poseganje v posameznikovo osebno življenje oz. zasebnost. V primeru, da delavec ne pozna zakonodaje in delodajalcu pove, da načrtuje družino, mu lahko ta na podlagi tega ne podaljša pogodbe o zaposlitvi.
Poznamo tudi drugo plat poseganja v zasebnost, ki se v praksi pogosto dogaja, pri kateri delodajalec za spremljanje delovne uspešnosti nezakonito uporablja tehnološki nadzor.
Delodajalec si zopet preko nedopustnega poseganja v delavčevo zasebnost ustvari mnenje, ki bi lahko vplivalo na posameznikov obstoj v delovnem razmerju.
V delovnem razmerju je pomembno, da tako delavec kot delodajalec poznata svoje pravice iz naslova varstva osebnih podatkov. Kot je bilo omenjeno že v diplomskem delu, bi bilo priporočljivo, da delodajalec v interni akt podrobneje zapiše pravice in obveznosti delavca na področju varstva osebnih podatkov, katere podatke lahko zahteva delodajalec ter pod kakšnimi pogoji (npr. način uporabe videonadzora). Z internim aktom obvesti vse delavce, novozaposlene pa še pred začetkom delovnega razmerja. Seveda pa morajo biti pravice in obveznosti zapisane v skladu z zakonom. Na takšen način bi se lahko delodajalec prepričal, da so bili delavci obveščeni in poučeni o svojih pravicah. S tem bi delodajalec pokazal tudi svojo obveznost do delavca, da bo varoval njegove podatke in ne bo posegal v njegovo zasebnost, ter bi posledično dosegel večje zaupanje delavcev. Tako zgoraj zastavljeno hipotezo potrjujem.
29
6 ZAKLJUČEK
Varstvo osebnih podatkov ima v današnjem svetu vse večji pomen. Vsak posameznik si želi ohraniti svojo zasebnost, posegov vanjo pa je zmeraj več. Slovenija je bila ena izmed prvih držav, ki je v Ustavo RS zapisala varstvo osebnih podatkov. Zakon nas varuje pred zlorabo naših osebnih podatkov, nepooblaščenimi dostopi, obdelavo in uporabo. Vendar smo ne glede na zakon v prvi vrsti odgovorni sami, da varujemo svoje podatke. Pomembno je tudi, da smo pri posredovanju in obdelavi pozorni, saj je v svetu vedno več zlorab in vedno več ljudi, ki bi si radi lastili tuje stvari sebi v prid.
Zagotavljanje varnosti pa je pomembno tudi v delovnem razmerju, da s tem ločimo osebno življenje od poslovnega in ohranjamo svojo zasebnost. V delovnem razmerju nastopa delavec kot šibkejša stranka, pri čemer mora delodajalec poskrbeti za delavčevo zasebnost in varnost njegovih podatkov. Pričakovano pa je tudi obratno, delavec mora skrbno varovati in spoštovati poslovno skrivnost in podatke organizacije. V delovnem razmerju je pomembno zaupanje z obeh strani, če tega ni, lahko hitro prestopimo mejo pravice, ki jo določa zakon.
Tehnologija je prisotna že na vsakem delovnem mestu in lahko zelo hitro poseže v delavčevo zasebnost. Področje uporabe tehnologije na delovnem mestu pa zaenkrat še ne ureja noben zakon, zato morajo delodajalci svoj cilj izvajati s čim manj represivnimi in invazivnimi ukrepi (Informacijski pooblaščenec, 2019a, str. 21). Vsak posameznik pa se mora zavedati svojih pravic in dolžnosti v samem delovnem razmerju .
Za pravno pomoč in prijavo kršitev se lahko obrnemo na Informacijskega pooblaščenca, ki je v Sloveniji trenutno edini pristojni organ za reševanje zadev na področju varstva osebnih podatkov. V zadnjem poglavju so na podlagi treh preteklih let grafično prikazane kršitve trenutnega Zakona o varstvu podatkov ZVOP-1, iz katerih je težko razvidno, ali kršitve naraščajo ali upadajo. Trenutno nas v Sloveniji ščiti Zakon o varstvu osebnih podatkov ZVOP-1, ki nam natančneje določa pravice in obveznosti. V čakanju pa je tudi sprejetje novega Zakona o varstvu podatkov, t. i. ZVOP-2. Novi ZVOP-2 naj bi podrobneje pokrival posamezna področja, med drugim tudi postopkovne vidike. Glede na hitri razvoj informacijske tehnologije naj bi ZVOP-2 uvedel tudi nove zahteve na področju videonadzora.
Za konec se naj poudari še to, da živimo v svetu tehnologij, kjer njihov razvoj strmo napreduje. Pojavljajo se nove informacijske tehnologije, ki bodo zbirale vse več osebnih podatkov, zato bo vedno prisoten strah pred zlorabo naših podatkov in zagotavljanja zasebnosti. Tehnološki napredki se pojavljajo tako hitro, da bo tehnologija vedno korak pred zakonodajo, zato bo v zakonu vedno obstajala pravna praznina.
30
LITERATURA IN VIRI
LITERATURA
Anderson, R., Barton, C., Böhme, R., Clayton, R., Eeten, M., J., G., Levi, M., … Savage, S. (2013). Measuring the Cost of Cybercrime. The Economics of Information Security and Privacy, doi:10.1007/978-3-642-39498-0_12.
Hartman, L. P. (2001). Technology and Ethics: Privacy in the Workplace. Business and Society Review, doi: 10.1111/0045-3609.00099.
Informacijski pooblaščenec; Zveza potrošnikov Slovenije (2019). Ti odločaš o svojih osebnih podatkih. Ljubljana: Zveza potrošnikov Slovenije.
Ogriseg, C. (2017).GDPR and Personal Data Protection in the Employment Context. Labour
& Law Issues, 3(2), doi: 10.6092/issn.2421-2695/7573.
Persson, A. J., & Hansson, S. O. (2003). Privacy at Work – Ethical Criteria. Journal of Business Ethics, doi: 10.1023/A:1021600419449.
Premzel, J., Kralj, U., Plavčak, Ž. in Fir, N. (2019). Varstvo osebnih podatkov v podjetju:
priročnik za mala in srednja podjetja. Maribor: Univerzitetna založba.
Rodotà, S. (2009). Data Protection as a Fundamental Right. Reinventing Data Protection, doi: 10.1007/978-1-4020-9498-9_3.
Rovšek, J. (2004). Varstvo osebnih podatkov. Pravna praksa 2004.
Skendžić, A., Kovačić, B., Tijan, E. (2018).General data protection regulation — Protection of personal data in an organization. 2018 41st International Convention on Information and Communication Technology, Electronics and Microelectronics (MIPRO), doi:
10.23919/MIPRO.2018.8400247.
Smith B., L. (2008). Workplace Privacy: We’ll be watching you. Pridobljeno s https://www.researchgate.net/publication/228196213_Workplace_Privacy_We'll_Be_Wa tching_You
Xiuquan, L. & Tao Z. (2017). An exploration on artifical intelligence application: From security, privacy and ethic prespective. 2017 IEEE 2nd International Conference on Cloud Computing and Big Data Analysis (ICCCBDA), doi: 10.1109/ICCCBDA.2017.7951949.
31
PRAVNI VIRI
Uredba (EU) 2016/679 Evropskega parlamenta in sveta o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov). Uradni list EU L 119/1.
Ustava Republike Slovenije (URS). Uradni list RS, št. 33/91-I, 42/97 – UZS68, 66/00 – UZ80, 24/03 – UZ3a, 47, 68, 69/04 – UZ14, 69/04 – UZ43, 69/04 – UZ50, 68/06 – UZ121,140,143, 47/13 – UZ148, 47/13 – UZ90,97,99 in 75/16 – UZ70a.
Zakon o delovnih razmerjih (ZDR-1). Uradni list RS, št. 21/13, 78/13 – popr., 47/15 – ZZSDT, 33/16 – PZ-F, 52/16, 15/17 – odl. US, 22/19 – ZPosS, 81/19 in 203/20 – ZIUPOPDVE.
Zakon o detektivski dejavnosti (ZDD-1). Uradni list RS, št. 17/11.
Zakon o dostopu do informacij javnega značaja (ZDIJZ). Uradni list RS, št. 51/06 – uradno prečiščeno besedilo, 117/06 – ZDavP-2, 23/14, 50/14, 19/15 – odl. US, 102/15 in 7/18.
Zakon o elektronskih komunikacijah (ZEkom-1). Uradni list RS, št. 109/12, 110/13, 40/14 – ZIN-B, 54/14 – odl. US, 81/15 in 40/17.
Zakon o Informacijskem pooblaščencu (ZInfP). Uradni list RS, št. 113/05 in 51/07 – ZUstS-A.
Zakon o poslovni skrivnosti (ZPosS).Uradni list RS, št. 22/19.
Zakon o varnosti in zdravju pri delu (ZVZD-1). Uradni list RS, št. 43/11.
Zakon o varstvu osebnih podatkov (ZVOP-1). Uradni list RS, št. 94/07 – uradno prečiščeno besedilo in 177/2.
Zakon o varstvu osebnih podatkov (ZVOP-2). Drugi krog strokovnega in medresorskega usklajevanja, 14. 8. 2019.
Zakon o zdravstvenem varstvu in zdravstvenem zavarovanju (ZZVZZ). Uradni list RS, št.
72/06 - uradno prečiščeno besedilo, 114/06 - ZUTPG, 91/07, 76/08, 62/10 - ZUPJS, 87/11, 40/12 - ZUJF, 21/13 - ZUTD-A, 91/13, 99/13 - ZUPJS-C, 99/13 - ZSVarPre-C, 111/13 - ZMEPIZ-1, 95/14 - ZUJF-ZSVarPre-C, 47/15 - ZZSDT, 61/17 - ZUPŠ, 64/17 - ZZDej-K, 36/19, 189/20 – ZFRO in 51/21.
Odločba Višjega delovnega in socialnega sodišča opr. št. Pdp 214/2011 z dne 17. 3. 2011, ECLI:SI:VDSS:2011:PDP.214.2011.
32
DRUGI VIRI
Amnesty International. (2021). Pravno varstvo človekovih pravic. Pridobljeno s https://sola.amnesty.si/media/uploads/files/Pravno%20varstvo%20%C4%8Dlovekovih%2 0pravic.pdf
Beznik, N. (2016). Varovanje osebnih podatkov, zaposlenih v šolstvu in neobvezno mnenje informacijskega pooblaščenca. Pridobljeno s http://www.dlib.si/stream/URN:NBN:SI:DOC-MQ3WK94W/b3f3fd04-ca1e-4074-97f9-30f89173c2cb/PDF
Cerar, M. (2006). Varstvo osebnih podatkov – Med informacijsko zasebnostjo posameznika in javnim interesom. Pridobljeno s http://mail.pokarh-mb.si/fileadmin/www.pokarh-mb.si/pdf_datoteke/Radenci2006/R-2006-CERAR.pdf
Ekran. (2019). 4 Ways to Detect and Prevent Misuse of Data. Pridobljeno s https://www.ekransystem.com/en/blog/4-ways-detect-and-prevent-misuse-data
Evropska komisija (2019). Kaj so osebni podatki? Pridobljeno s https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-personal-data_sl Hitri vodnik ABC varnosti na spletu. (2020). Varni na internetu. Pridobljeno s https://www.varninainternetu.si/content/uploads/2011/11/Varni_hitriVodnik_splet_kak ovostna.pdf
Informacijski pooblaščenec. (2018). Letno poročilo Informacijskega pooblaščenca za leto
2018. Pridobljeno s
https://www.ip-rs.si/fileadmin/user_upload/Pdf/porocila/Letno_porocilo_2018_FINAL.pdf
Informacijski pooblaščenec. (2019). Letno poročilo Informacijskega pooblaščenca za leto
2019. Pridobljeno s
https://www.ip-rs.si/fileadmin/user_upload/Pdf/porocila/LetnoPorocilo2019.pdf
Informacijski pooblaščenec. (2019). Uporaba GPS sledilnih naprav in varstvo osebnih podatkov. Pridobljeno s https://www.ip-rs.si/publikacije/priro%C4%8Dniki-in- smernice/smernice-po-splo%C5%A1ni-uredbi-o-varstvu-podatkov-gdpr/uporaba-gps-sledilnih-naprav-in-varstvo-osebnih-podatkov
Informacijski pooblaščenec. (2019a). Varstvo osebnih podatkov v delovnih razmerjih.
Pridobljeno s https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_-_Varstvo_OP_v_delovnih_razmerjih_verzija_1.1_koncna.pdf
33
Informacijski pooblaščenec. (2020). Letno poročilo Informacijskega pooblaščenca za leto
2020. Pridobljeno s
https://www.ip-rs.si/fileadmin/user_upload/Pdf/porocila/LetnoPorocilo2020_koncano.pdf
Informacijski pooblaščenec. (2021). Najpogostejša vprašanja in odgovori. Pridobljeno s https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/najpogostejsa-vprasanja-in-odgovori
Intelektum. (2018). Kaj so osebni podatki? Pridobljeno s http://intelektum.eu/kaj-so-osebni-podatki/
International Labour Organization. (2011). Employment Relationship. Pridobljeno s
https://ilo.org/ifpdial/areas-of-work/labour-
law/WCMS_CON_TXT_IFPDIAL_EMPREL_EN/lang--en/index.htm#:~:text=The%20employment%20relationship%20is%20the,conditions%20in
%20return%20for%20remuneration.&text=It%20is%20the%20key%20point,and%20oblig ations%20towards%20their%20workers
Levinson, A.R. (2013). Social Media, Privacy, and the Employment Relationship: The American Experience. Spanish Labour Law and Employment Relations Journal. Pridobljeno s https://ssrn.com/abstract=2265609
Pravo za vse. (2020). Prikrito delovno razmerje. Pridobljeno s https://www.pravozavse.si/tag/elementi-delovnega-razmerja/
Prva sistemska pojasnila Ministrstva za pravosodje ob začetku razvoja uporabe nove evropske zakonodaje o varstvu osebnih podatkov. (2018). Pridobljeno s https://static.slo-tech.com/stuff/gdpr/Sistemska_pojasnila_MP.pdf
34