LJUBLJANA – Kaj storiti, če podjetje Facebook za identifikacijo od uporabnika omrežja v Sloveniji zahteva predložitev uradnega dokumenta? In v nasprotnem primeru »grozi«, da uporaba omrežja ne bo mogoča. Ob tem se pojavlja vprašanje, ali Facebook s tem ogroža varstvo osebnih podatkov posameznikov, od katerih zahteva podatke.
Za pojasnilo smo se obrnili na Mojco Prelesnik, informacijsko pooblaščenko. Pravi, da je seznanjeni z navedeno Facebookovo prakso obvezne uporabe pravih imen (angleško real name policy) in pozivov uporabnikom, pri katerih zaznajo sum rabe nepravega imena, k dokazovanju identitete s pošiljanjem skeniranih kopij osebnih dokumentov. Na spletni strani Facebooka je sicer mogoče prebrati, da po verifikaciji profila osebni dokument izbrišejo.
Američani na Irskem zahtevajo slovenske podatke. Kaj zdaj?
Ameriško podjetje Facebook ima v Evropi glavni center na Irskem. Kaj pa pravi zakonodaja glede tega, da tuje podjetje s sedežem v drugi državi od slovenskih uporabnikov zahteva prek spleta uradne dokumente za identifikacijo? Prelesnikova pravi, da slovenska zakonodaja ne dovoljuje hrambe kopij osebnih dokumentov v elektronski obliki.
»Namen te prepovedi je preprečiti, da bi zavoljo morebitnega vdora v takšno zbirko prišlo do množičnih zlorab identitete oziroma drugih podobnih zlorab. To ne pomeni nujno, da upravljavec ne sme prejeti takšne kopije, če jo po prejemu (in izdelavi morebitne papirnate kopije) nemudoma uniči. Moramo pa dodati, da Facebook trenutno ne izpolnjuje pogojev, zaradi katerih bi ga lahko šteli kot upravljavca osebnih podatkov po slovenski zakonodaji, je pa sedež njegovih evropskih operacij na Irskem.«
Na takšen način zbrani osebni podatki namreč ostajajo v različnih bazah in jih velikokrat upravljajo tudi tretje osebe, s katerimi uporabnik ni sklenil nikakršnega dogovora. Prelesnikova pravi, da domači zakon takšne prakse ne dovoljuje. V posredovanje osebnih podatkov tretji osebi, zlasti za namene neposrednega trženja, mora uporabnik posebej privoliti.
Je pa praksa, kakršna je Facebookova, da podjetje za ponujene storitve (ki jih predstavljajo predvsem kot prostočasne storitve za povezovanje ljudi) zahtevajo identifikacijo z uradno priznanimi dokumenti, po védenju informacijske pooblaščenke trenutno še precej redka.
Kje vložiti pritožbo?
In kaj lahko storijo uporabniki, ki podjetju (v tem primeru Facebooku) ne želijo posredovati vseh svojih osebnih podatkov? Na katero institucijo se lahko obrnejo? Skladno z določbami krovne direktive EU o varstvu osebnih podatkov bi bilo treba takšno pritožbo vložiti pred irskim pooblaščencem, pri čemer bi jo ta seveda presojal v skladu z irskim pravom, pojasnjuje Prelesnikova. »To pa po naših informacijah posredovanja kopije osebnega dokumenta v elektronski obliki ne prepoveduje.«
S primeri v Evropi, v katerem bi posamezniki uspešno izpodbijali opisane Facebookove pogoje o dokazovanju identitete, Prelesnikova ni seznanjena. »Smo pa seznanjeni z nekaterimi pritožbami v ZDA, zlasti članov LGBT-skupnosti in pripadnikov indijanske manjšine. V prvem primeru se je Facebook prizadetim, ki so jim zaklenili profil, opravičil in jim znova vzpostavil profil, indijanska manjšina pa je razmišljala o tožbi zoper Facebook.
Varno posredovanje dokumentov prek spleta
Kako varno pa je v dobi množičnih vdorov v najbolj zaščitene baze podatkov sploh posredovanje osebnih dokumentov prek spleta? Prelesnikova pravi, da posredovanje kopij osebnih dokumentov po spletu na splošno odsvetujejo. »Če že, naj se posredujejo le zaupanja vrednim osebam, v primeru konkretnih potreb s konkretnim postopkom in v ustrezno zavarovani obliki. To pomeni, da naj se kopija osebnega dokumenta zadostno predrugači, da sicer še vedno omogoča potrditev identitete osebe, po drugi strani pa ne omogoča izdelave kopije dokumenta.«
Nič ni zastonj: spletni lov na osebne podatke
Je res ali se le zdi, da vse več spletnih storitev od uporabnikov zahteva vse mogoče podatke? Prelesnikova pravi, da se kot informacijska pooblaščenka zaveda, da (zlasti večji) upravljavci osebnih podatkov težijo k širjenju nabora zbranih podatkov oziroma namenov njihove obdelave ter k temu, da jim za vse to ne bi bilo treba pridobivati uporabnikove izrecne privolitve.
»Dobro smo seznanjeni z njihovimi stališči zaradi interneta in mobilnih naprav, obsežnih zbirk podatkov (angleško big data) in podobnih paradigem, ki že same po sebi zahtevajo povezovanje različnih storitve in s tem tudi zbirk osebnih podatkov. Vendar, kot smo že večkrat povedali tako v domači kot mednarodni praksi, te težnje ne smejo iti na škodo posameznikove temeljne pravice do varstva njegovih osebnih podatkov oziroma do njegovega svobodnega odločanja, komu in za kakšen namen bo dovolil obdelavo svojih podatkov.«
Za ohranitev dosedanjih pravic
Prelesnikova pravi, da so v nedavnem skupnem stališču vseunijske delovne skupine po členu 29 tako vztrajali, da mora tudi nova, prihajajoča vseevropska ureditve varstva osebnih podatkov (t. i. GDPR, General Data Protection Regulation) ohraniti dosedanje pravice posameznika, zlasti glede informiranja (z jasnimi pogoji uporabe, ki nedvoumno sporočajo, kateri osebni podatki se zbirajo in za kateri namen) in glede potrebe po pridobivanju njegove privolitve. To so izrazili tudi v lanskem skupnem mnenju te skupine glede vidikov varovanja osebnih podatkov pri obdelovanju obsežnih zbirk podatkov. »Skratka, smo mnenja, da morajo za velike obdelave osebnih podatkov veljati istovrstna pravila kot sicer.«
