Prva svečka za GDPR
GDPR oziroma splošna uredba o varstvu osebnih podatkov je bila lani tema »par excellence«. Še huje, konec maja, ko je začela veljati, smo imeli občutek, kot da nam politiki pripirajo internet. Nadaljevanje zgodbe je bilo precej manj razburljivo, dobro leto kasneje pa je morda pravi trenutek, da pogledamo, kakšne so posledice. Dobre in slabe.
Podatki so v zadnjem desetletju resnično pridobili ogromno svoje vrednosti. In prav GDPR je bil tisti ukrep, ki je zaustavil tržno prodiranje t. i. nove nafte. Od lani je zbiranje osebnih podatkov preprosto postalo težje, še bistveno težje jih je nato koristno uporabiti in z njimi kovati velike dobičke, ne da bi si z vsem tem na koncu prislužili mastno kazen. To je namreč (bil) namen uredbe: zmanjšanje neodgovornega prometa z našimi osebnimi podatki.
Kot rečeno, vmes je bilo veliko panike in nerazsodnosti. Na Dunaju se je mestni stanovanjski sklad lani lotil odstranjevanja 220.000 napisov z imeni in s priimki na hišnih zvoncih, da bi jih nadomestili s številkami stanovanj. Ukrep je poganjal (lažni) strah pred 22 milijonov evrov težko kaznijo, ki bi jo menda – tisočak po stanovanju – sklad lahko skupil.
Prav tako verjetno niste vedeli, da lahko v Evropi zdaj prebiramo le še slabo četrtino ameriških spletnih medijev. Joseph O'Connor, ki na svojem blogu VerifiedJoseph spremlja posledice GDPR, poroča, da nam jih je trenutno na voljo 252, medtem ko jih 1.129 evropskim uporabnikom še vedno namenja le obvestilo, da jim zaradi prilagajanja GDPR onemogočajo dostop do svojih vsebin.
Druge posledice so, da so zlasti ameriški mediji nekaj časa kar tekmovali, kdo bo nanizal več negativih posledic uredbe. Ameriški National Bureau of Economic Research je tako v svoji raziskavi zapisal, da so se vlaganja tveganega kapitala v evropske startupe v zadnjem letu zmanjšala za polovico.
Pa sicer?
Marčevski Eurobarometer je objavil raziskavo o GDPR ozaveščenosti prebivalcev EU. 67 odstotkov vprašanih jih je za GDPR že slišalo, od teh pa jih 36 odstotkov meni, da so z vsebino uredbe precej dobro seznanjeni. 57 odstotkov pa jih ve, da v njihovi državi obstaja regulator oziroma pooblaščenec za varstvo osebnih podatkov, ki lahko zavaruje njihove interese. Pomeni, da smo Evropejci postali zelo ozaveščeni, kar se tiče naše zasebnosti. Ni torej slučaj, da so evropski informacijski pooblaščenci v zadnjem letu zaznali precejšen porast števila prijav zlorab. Na nacionalnih ravneh je bilo v tem času 89.000 prijav, ob njih pa še 144.000 drugih poizvedb in pritožb. Od vseh teh postopkov jih je 63 odstotkov že zaključenih, preostali pa še potekajo.
Tudi v uradu naše pooblaščenke je GDPR poskrbel za precej dodatnega dela. Lani so tako v obdobju od 25. maja, torej od začetka veljavnosti uredbe, -do konca leta prejeli 68 uradnih obvestil o kršitvah, povezanih z osebnimi podatki, samo v prvih petih mesecih letos pa že 51. Ko gre za inšpekcijske postopke, jih je bilo leta 2017 655, uspešno pa so jih do zdaj razrešili 594. Lani je bilo postopkov občutno več, 1.029, rešenih je 722. Letos so samo v prvih petih mesecih obravnavali že 504 primere, rešili pa so jih 314. Dodajmo še, da so lani izdali 2.192 pisnih mnenj, tistih prek telefona pa je bilo 3.230.
Uredba je torej dala vetra uradnikom. Kaj pa uporabnikom?
Kazni
Globe so bile v času začetka veljavnosti uredbe deležne največje pozornosti. Segajo namreč do 20 milijonov evrov, za podjetja pa tudi do štirih odstotkov njihovega letnega globalnega prometa. Lahko si kar predstavljamo prestrašene direktorje podjetij, ko so nenadoma morali povsem prenoviti načine, kako njihova prodaja išče nove kupce. A pri izrekanju kazni morajo regulatorji upoštevati kar 11 kriterijev, predvsem pa dejstvo, ali je bila kršitev namerna ali je šlo zgolj za malomarnost.
To pa še ni vse. GDPR je za zdaj samo uredba. Torej krovni pravni okvir, ki ga morajo države članice nato ustrezno prenesti v svoje zakonodaje, da se prekrškovni postopki sploh lahko začno. Naša informacijska pooblaščenka je zato trenutno nekakšen brezzobi tiger. Z veljavnostjo GDPR je njen urad namreč izgubil pristojnost izrekanja glob (razen tistih, ki niso v nasprotju z uredbo in znašajo nekaj stotakov), na ustrezno implementacijo evropske uredbe v našo zakonodajo pa še čakamo. Zakon o varstvu osebnih podatkov naj bi po besedah Mojce Prelesnik letos poleti vendarle obravnavala vlada, nato pa ga čakajo še tri branja v parlamentu. Kar pomeni, da ste pred tistimi resnimi, milijonskimi kaznimi še nekaj časa varni, če seveda svoje miškulance izvajate znotraj meja naše države. No, naši viri blizu vlade imajo nekoliko drugačne informacije; pisanje zakona je še povsem na začetku, na prvi osnutek pa je priletelo tolikšno število pripomb, da bodo pripravljavci naslednjih nekaj mesecev še precej trdo delali, preden bo koalicija zadovoljna z izdelkom.
Dunajski preplah zaradi osebnih imen na zvoncih se je izkazal za pretiran.
Da se vrnemo h globam: v EU jih je bilo lani v 13 državah članicah (med njimi je tudi Slovenija) izrečenih 34. Pri nas je skupni znesek izrečenih kazni dosegel 52.000 evrov, v EU pa le nekaj manj kot 56 milijonov evrov. Pri čemer je – oziroma morda bo – 50 milijonov prispeval en sam kršitelj. Google.
Konkretni primeri
Velika tehnološka podjetja so že naslednji dan po začetku veljavnosti uredbe začela kopičiti tožbe. Uradno so nevladne organizacije v treh državah članicah vložile tožbe proti Googlu, Facebooku in njegovima derivatoma WhatsAppu in Instagramu, v skupni vrednosti skoraj 4 milijarde evrov. A bolj resne so tožbe regulatorjev za varstvo osebnih podatkov. Francoski je v začetku letošnjega leta Googlu izrekel kazen v višini 50 milijonov evrov, potem ko po njihovem mnenju podjetje ni spoštovalo določb GDPR. Razlog? Podjetje naj bi uporabnikom premalo transparentno predstavilo podrobnosti o njihovi politiki upravljanja osebnih podatkov. Primer seveda še ni končan, kazen pa s tem ne dokončna.
Lanskega decembra je odmeval primer portugalske bolnišnice, ki je dobila kazen 400.000 evrov, potem ko so njihovi delavci, med njimi tudi taki, katerih delovna mesta nimajo zveze z zdravljenjem, prek lažnih zdravniških računov prebirali kartoteke bolnikov. Nemška stran za zmenke pa jo je odnesla z milostnimi 20.000 evri, potem ko so gesla uporabnikov hranili kar v tekstovni obliki. Gre za precej hudo kršitev in mila kazen je bila posledica tega, da je podjetje o incidentu samo obvestilo pooblaščenca in menda vzorno sodelovalo v preiskavi, nemudoma pa so tudi izboljšali varnost na svojih strežnikih.
Stroški implementacij
O konkretnih stroških je težko govoriti, na voljo so samo ocene. Pricewaterhousecoopers je pred začetkom veljavnosti uredbe anketiral 200 podjetij z več kot 500 zaposlenimi, od katerih jih je 68 odstotkov svoje stroške prilagajanja ocenilo med milijonom in desetimi milijoni evrov, 9 odstotkov pa jih je načrtovalo, da bodo zapravili še več. V ZDA so zato skupne stroške prilagajanja ocenili na okoli 130 milijard evrov. Pri Microsoftu so tako, denimo, lani potožili, da na področju prilagajanja uredbi v njihovi družbi dela 1.600 inženirjev.
Z GDPR je občutno zrasla naša ozaveščenost glede osebnih podatkov, uradu informacijske pooblaščenke pa je narasla predvsem količina dela.
Kakorkoli, po letu dni je raziskavo opravilo podjetje Versasec in ugotovilo, da je 41 odstotkov vprašanih podjetij za prilagajanje plačalo več, kot so načrtovali, natanko enak odstotek pa se je uspešno držal načrtovanega proračuna, 16 odstotkov jih je pri prilagajanju zvozilo ceneje, kot so menili, da bodo. Pri tem jim je največ dela in stroškov povzročilo izobraževanje zaposlenih, nato najemanje zunanjih virov za dokončanje implementacije, komuniciranje z javnostjo in s poslovnimi partnerji, na zadnjem mestu pa je naslavljanje sistemsko-tehničnih zahtev, ki jih je zahtevalo prilagajanje uredbi. Zanimiv je tudi podatek iz raziskave, da kar 70 odstotkov podjetij, ki nimajo sedeža v EU, svojega prilagajanja uredbi po letu dni še ni končalo.
Ni zanemarljivo, da je veliko število podjetij lani poleti moralo zaposliti dodatnega uslužbenca. Organizacija International Association of Privacy Professionals (IAPP) ocenjuje, da je v EU pol milijona podjetij registriralo pooblaščeno osebo za varstvo osebnih podatkov. Po njihovi raziskavi znaša letna bruto plača takega delavca v povprečju 78.000 evrov.
Dobri zgledi vlečejo
Ključni bonus uredbe je najverjetneje zavedanje nas posameznikov, da naši podatki niso nekaj neškodljivega, brezplačnega. To je počasi ustvarilo pritisk na zakonodajalce in zato so na stari celini svoje zakonodaje podobno kot EU uredili še v Švici, na Norveškem, Islandiji in v Liechtensteinu. V Kaliforniji so kljub nasprotovanju zveznih oblasti sprejeli California Consumer Privacy Act (CCPA), ki bo začel veljati s 1. januarjem 2020. Predpis je svojo inspiracijo vidno vlekel iz GDPR, pri čemer je nekoliko milejši s kaznimi, ne določa pa, denimo, tudi roka, v katerem morajo podjetja prijaviti vdore v sisteme z osebnimi podatki. Kljub temu tamkajšnje družbe hitijo s spremembami, saj zakon dovoljuje uporabnikom, da lahko njihove poizvedbe o varovanju osebnih podatkov segajo tudi v čas do leta dni pred začetkom veljavnosti zakona.
Kalifornijski guverner Jerry Brown je zakon podpisal pred skoraj natanko letom dni. In to kljub krepkemu lobiranju skupine The Internet Association, za katero se skrivajo Google, Microsoft, Amazon, Uber, Facebook in drugi.
Podobni zakonodaji trenutno sprejemata tudi Brazilija in Indija, prihodnje leto pa se jima bo pridružila še Južna Koreja.
Skratka, na koncu se vendarle zdi, da smo v EU napravili nekaj prelomnega. Če se samo spomnimo razkritij Facebookove afere Cambridge Analytica in številnih drugih, morda nekoliko manj razvpitih zlorab naših osebnih podatkov, se danes zdi, da se stvari začenjajo urejati, zgodnji podatkovni zaslužkarji pa bodo, kot kaže, primerno ukorjeni. A zgodba o GDPR še zdaleč ni napisana, zdi se, da smo po letu dni šele na prvi strani. Koliko vsega, kar se od osebnih podatkov ta trenutek deli, razpošilja in prodaja po spletu, bo ostalo še legalno, so stvari, ki se bodo skozi inšpekcijske postopke in sodno prakso izkristalizirale šele v naslednjih letih.