Razvoj računalništva in omrežnih tehnologij, predvsem Interneta in svetovnega spleta, so povzročili prenos nekaterih družbenih, poslovnih in političnih aktivnosti v elektronsko okolje. Kombinacija hitrega razvoja informacijske in komunikacijske tehnologije je omogočila nastanek kompleksnih informacijskih in komunikacijskih omrežij znotraj posameznih držav in na mednarodnem nivoju.

Razvoj elektronskega poslovanja (e-poslovanja) ter globalna značilnost digitalnih in omrežnih tehnologij pospešujeta izmenjavo informacij, olajšujeta dostop, obdelavo in shranjevanje podatkov. Zbiranje osebnih podatkov pri elektronskem poslovanju lahko poteka na različne načine, zato potrebujejo uporabniki in ponudniki storitev e-poslovanja zagotovilo o zanesljivem delovanju elektronskega trga. Učinkoviti načini zagotavljanja varnosti in zaščite osebnih podatkov, ki ne smejo po nepotrebnem omejevati pretoka podatkov znotraj države in med različnimi državami, so ključnega pomena za vzpostavitev zaupanja v elektronske transakcije.

 1. Pretok osebnih podatkov pri elektronskem poslovanju

Odprta omrežja in večji pretok informacij spodbujata razvoj novih proizvodov in storitev, doseganje družbenih in ekonomskih koristi, ustvarjata pa tudi nove probleme glede varstva in zaščite osebnih podatkov, ki se pri e-poslovanju vse pogosteje prenašajo med različnimi subjekti znotraj posamezne države kot tudi med posameznimi državami. Pri mednarodnem pretoku osebnih podatkov je opazno pomanjkanje centraliziranih nadzornih mehanizmov, ki bi omogočali kontrolo pretoka in uporabe osebnih podatkov.

Zbiranje osebnih podatkov se največkrat vrši s posredovanjem podatkov neposredno preko Interneta, kar povečuje možnost zlorabe zbranih podatkov. Ker je možno osebne podatke preko Interneta zbirati in shranjevati tudi brez vednosti oziroma odobritve posameznikov (načini zbiranja podatkov se zelo razlikujejo od vrste omrežnega protokola, s katerim se izmenjujejo podatki med omrežnimi napravami), je pomembno vzpostaviti takšno okolje, da se bodo uporabniki pri izvajanju elektronskih transakcij počutili varne.

Posebna skupina uporabnikov storitev medmrežja Internet, ki je še posebej povezana z varovanjem in zaščito osebnih podatkov, so potrošniki. Pri naročanju proizvodov in storitev preko Interneta morajo potrošniki ponudnikom posredovati določene osebne podatke, predvsem podatke o vrsti in količini naročenih proizvodov oziroma storitev, številki kreditne kartice, pa tudi naslovu bivališča.

Čeprav globalna omrežja potrošnikom omogočajo različne koristi, predvsem udobno in primerjalno nakupovanje (velika ponudba proizvodov, storitev in informacij po nižjih cenah), le-teh ne bo možno doseči ob nezadostnem zaupanju potrošnikov v ponudnike ter neustreznem varovanju in zaščiti osebnih podatkov, predvsem tistih, ki so povezani z opravljenimi finančnimi transakcijami. Z uvajanjem sistemov varnega plačevanja in elektronskega denarja se zaupanje potrošnikov v izvajanje finančnih transakcij nekoliko izboljšuje.
 

2. Mednarodna ureditev

Pomembnejši mednarodni dokumenti, katerih osnovni namen je varstvo osebnih podatkov in zasebnosti, so:

• Smernice za varstvo zasebnosti in čezmejni prenos osebnih podatkov, OECD;
• Direktiva o varstvu oseb pri obdelovanju osebnih podatkov, Evropska unija in
• Izjava o varstvu zasebnosti na svetovnih omrežjih, OECD.

Navedene pravne regulative poudarjajo pomembnost razvoja informacijskih in komunikacijskih tehnologij na globalne družbene in ekonomske koristi ter spodbujajo k večji izmenjavi informacij tako znotraj kot tudi med posameznimi državami.
Varovanje osebnih podatkov in zasebnosti sta opredeljeni tudi v nekaterih splošnih mednarodnih dokumentih, ki se nanašajo na človekove pravice. Tako npr. Splošna deklaracija o človekovih pravicah (12. člen) ter Evropska konvencija o varstvu človekovih pravic in temeljnih svoboščin (8. člen) opredeljujeta varstvo posameznika pred nadlegovanjem in samovoljnim vmešavanjem v privatno življenje.

2.1 Smernice za varstvo zasebnosti in čezmejni prenos osebnih podatkov

V smernicah so določena osnovna načela za ravnanje s podatki v odprtih omrežjih. Pri zbiranju osebnih podatkov morajo obstajati določene omejitve. Podatki se morajo zbirati na veljaven in korekten način z vednostjo oziroma dovoljenjem osebe, o kateri se zbirajo podatki. Uporabljajo se lahko samo za namen, za katerega so bili zbrani, ki mora biti določen najkasneje do začetka zbiranja. Zbrani osebni podatki morajo biti zaščiteni z varnostnimi mehanizmi proti nepooblaščenemu dostopu, uporabi, uničenju oziroma spreminjanju. Poudarjeno je ravnotežje med varstvom osebnih podatkov, svobodnim odločanjem posameznikov in koristmi zbranih osebnih podatkov.

Smernice so bile vključene v številne nacionalne in mednarodne ureditve. Ker so jih sprejeli tako javni sektor kot tudi ponudniki in druge pravne osebe, so temeljne usmeritve varstva osebnih podatkov in zagotavljanja zasebnosti. Neodvisnost od tehnologije in vrste osebnih podatkov omogoča nezmanjšano uporabnost tudi pri sodobnih načinih poslovanja.

2.2 Direktiva o varstvu oseb pri obdelovanju osebnih podatkov

Direktiva zagotavlja visoko stopnjo varstva osebnih podatkov in zasebnosti s poudarkom na odpravljanju ovir za prost pretok osebnih podatkov znotraj Evropske unije. Ostale države morajo pri izmenjavi podatkov z unijo zagotoviti vsaj takšno stopnjo varstva in zaščite, ki velja v Evropski uniji.

Posamezniki, o katerih se zbirajo osebni podatki, morajo biti predhodno seznanjeni vsaj s postopki in nameni zbiranja ter institucijo, ki zbira podatke. Za zbiranje in obdelovanje osebnih podatkov občutljive vsebine (podatkov o rasi, političnem prepričanju, zdravstvenem stanju, spolnem življenju ipd.) je potrebno predhodno pridobiti soglasje posameznika, razen v izjemnih primerih (npr. pri medicinskih in znanstvenih raziskavah).

2.3 Izjava o varstvu zasebnosti na svetovnih omrežjih

Izjava poudarja, da je varstvo osebnih podatkov in zasebnosti v odprtih omrežjih ključnega pomena za zagotavljanje temeljnih človekovih pravic, vzpostavitev zaupanja in preprečevanje nepotrebnih omejitev pri čezmejnih pretokih osebnih podatkov. Ustrezna regulativa za varstvo in zaščito osebnih podatkov, zasebnosti ter njena uspešna implementacija v digitalno okolje pomembno vplivata na večje zaupanje uporabnikov storitev odprtih omrežij.

3. Varstvo osebnih podatkov v Sloveniji

Pravica do zasebnosti je ustavna pravica, določena v 35. členu Ustave Republike Slovenije, varstvo osebnih podatkov pa ureja 38. člen ustave, ki opredeljuje uporabo podatkov v skladu z namenom njihovega zbiranja, pravico, da se posameznik seznani z osebnimi podatki, ki se nanašajo nanj, in pravico do sodnega varstva ob njihovi zlorabi. Ker ustava ne omenja elektronskih podatkov, je podrobno urejanje tega področja prepuščeno ustreznemu zakonu.

Področje varstva osebnih podatkov tako ureja Zakon o varstvu osebnih podatkov (ZVOP) iz leta 1999, predvsem s preprečevanjem nezakonitih in neupravičenih posegov v zasebnost posameznika pri obdelavi osebnih podatkov ter varovanjem zbirk osebnih podatkov. Podatki v elektronski obliki so vključeni le v dveh členih. 4. člen določa način posredovanja, 13. člen pa obdelavo osebnih podatkov.

Zakon o elektronskem poslovanju in elektronskem podpisu, ki ga že nekaj časa pripravlja Center vlade RS za informatiko, je predvsem namenjen urejanju izmenjave in hranjenja sporočil v elektronski obliki ter digitalnemu podpisovanju, manj pa varovanju osebnih podatkov, ki je omejeno samo na ureditev izdajanja kvalificiranih potrdil.

4. Predlogi za nadaljnje usmeritve

4.1 Postavitev standardov s področja varstva osebnih podatkov

Za učinkovitejšo varstvo osebnih podatkov in zasebnosti predlagamo sprejem OECD Smernic za varstvo zasebnosti in čezmejni prenos osebnih podatkov kot podlago za postavitev standardov s področja varstva osebnih podatkov. Dobro osnovo predstavljajo tudi sprejeti temelji drugih držav, npr. Avstralije.

Pomembnejša načela, ki jih je potrebno upoštevati pri urejanju varstva osebnih podatkov, so:

• natančno določiti namen zbiranja osebnih podatkov, ki mu je potrebno prilagoditi uporabo osebnih podatkov;
• informirati posameznike o načinih zbiranja, shranjevanju, obdelovanju in vsebini osebnih podatkov;
• opredeliti odgovorne za zbiranje osebnih podatkov in
  kontrolirati ustreznost uporabe zbranih podatkov z obstoječo zakonsko ureditvijo.

Pri zagotavljanju varstva osebnih podatkov morajo sodelovati tudi podjetja, organizacije in druge pravne osebe. Upoštevanje sprejetih standardov s strani poslovnega sektorja kot nosilca on-line aktivnosti je ključnega pomena za ustvarjanje zaupanja, ki je pomemben dejavnik za nadaljnjo rast e-poslovanja.
4.2 Zakonska ureditev področja varstva osebnih podatkov

Kot smo že omenili, ZVOP ne rešuje področja varstva osebnih podatkov in zasebnosti v odprtih omrežjih celovito. Za krepitev mehanizmov s tega področja je pomembno sodelovanje državnih organov s podjetji in posamezniki. Naloge državnih organov morajo biti povezane z zagotavljanjem trdnih temeljev s področja varstva osebnih podakov in zasebnosti, predvsem z uporabo najnovejših tehnoloških rešitev in ustreznim izobraževanjem uporabnikov.

Najprej je potrebno postaviti merila in različne načine učinkovitega varovanja osebnih podatkov in zasebnosti, ki se jih upošteva v ureditvi, pri čemer ne gre pozabiti na samozaščito, ki tudi zagotavlja učinkovite postopke za neposredno varstvo preko omrežij. Pripravi zakonodaje naj sledi ustrezna implementacija, predvsem z uporabo novih postopkov in tehnoloških orodij. Za kršitelje zakonskih predpisov o varstvu osebnih podatkov morajo biti določene primerne kazni.

4.3 Spremljanje stanja na področju harmonizacije državnih zakonodaj

Geografske ovire, ki so nekoč omejevale prenos podatkov samo na območje določene države, so z globalno naravo odprtih omrežij odpravljene, kar povečuje čezmejni prenos osebnih podatkov in ustvarjanje mednarodnih bank podatkov. Potrebo po nepretrgani izmenjavi informacij najbolj ovirajo razlike med pravnimi ureditvami posameznih držav na tem področju.

Zaradi tega je pomembno doseči globalni dogovor o harmonizaciji varstva osebnih podatkov na mednarodnem nivoju, ki bi ga morale upoštevati države pri vzpostavljanju povezav med različnimi načini varstva osebnih podatkov. Učinkovit način zagotavljanja osebnih podatkov kljub vsemu ne sme negativno in pretirano omejevalno vplivati na mednarodni pretok osebnih podatkov.

4.4 Spremljanje in uvajanje tehnoloških rešitev

Varnostni in avtentikacijski mehanizmi pomagajo preveriti identiteto uporabnika in ostale informacije o opravljenih transakcijah ter zagotoviti neokrnjenost informacij. Če potrošniki uporabljajo za plačilo kreditne kartice, morajo biti prepričani, da je posredovanje številke kreditne kartice in ostalih podatkov, ki se posredujejo preko odprtih omrežij, varno in da ti podatki ne morejo priti v roke vlomilcem.

Tehnološke rešitve omogočajo vzpostavitev ravnotežja med prostim pretokom informacij in pravico do zasebnosti. Regulativa mora vključiti dosežke s področja razvoja varnostnih sistemov in pospešiti uporabo teh tehnologij in mehanizmov pri e-poslovanju. Harmonizacija nacionalnih zakonodaj v veliki meri pogojuje uporabo ustreznih tehnoloških rešitev in zagotavlja učinkovito zaščito potrošnikov tudi na mednarodnem nivoju.

Opredeliti je potrebno ustrezne kriptografske tehnike in dopustiti uporabnikom svobodo samostojne izbire metode kriptiranja, ki pa mora biti združljiva s tehnološkimi in pravnimi rešitvami na mednarodnem nivoju. Mednarodno sodelovanje pri razvoju teh rešitev pomembno vpliva na učinkovit razvoj e-poslovanja. Pri standardizacijskem procesu morajo med seboj sodelovati tako podjetja kot tudi državne organizacije, ki so zadolžene za sprejem ustrezne zakonodaje.

Potrebno je zagotoviti varstvo in avtentikacijo (overovljenje) informacij, ki se prenašajo preko odprtih omrežij, v smeri ustreznega ravnotežja med potrebami podjetij, posameznikov, javnosti in državne varnosti. Pomembne smernice so določene v OECD "Guidelines for Cryptography Policy", ki skuša približati uporabo kriptografskih tehnik določenim komercialnim aplikacijam v smeri večjega zaupanja potrošnikov v odprta omrežja ter varstvo podatkov in zasebnosti.

Trenutno najbolj sprejemljiva možnost za varovanje zasebnosti in osebnih podatkov je anonimnost, ki je dobra možnost za zakrivanje osebnih podatkov (med drugim jo spodbuja tudi Evropska direktiva o varstvu osebnih podatkov). Dejanska zagotovitev anonimnosti pri e-poslovanju je povezana predvsem z razvojem tehnologije in ne toliko s pravnimi akti.

4.5 Informiranje uporabnikov in ponudnikov storitev e-poslovanja

V odprtih omrežjih, kjer je zbiranje in obdelovanje osebnih podatkov enostavno, je informiranje uporabnikov in ponudnikov storitev e-poslovanja o problemih varstva osebnih podatkov in zasebnosti ključnega pomena. Uporabniki morajo biti seznanjeni s tveganji, pravicami ter pravnimi in tehnološkimi sredstvi, ki jih imajo na voljo za varstvo pravic. Če ponudniki poznajo pravne obveznosti in tehnološke možnosti, ki jih morajo spoštovati pri varovanju osebnih podatkov, to ugodno vpliva na zaupanje uporabnikov in nadaljnji razvoj e-poslovanja.

5. Ugotovitve

Za učinkovito varstvo osebnih podatkov in zasebnosti so potrebni prilagodljivi in učinkoviti ukrepi, uporaba ustreznih tehnoloških rešitev ter izobraževanje posameznikov, ki morajo sami odločati o uporabi njihovih osebnih podatkov. Potrebno je zagotoviti ustrezno razmerje med interesi ponudnikov in drugih uporabnikov informacij, ki zbirajo osebne podatke, ter pravico pridobivanja informacij z namenom omogočiti polno izkoriščenost možnosti, ki jih omogoča moderni način zbiranja in obdelovanja podatkov.

Povezava digitalnih omrežnih tehnologij omogoča varovanje potrošnikove informacijske zasebnosti neposredno preko omrežja. Potrošniki se bodo v večji meri vključevali v e-poslovanje šele ob ustrezni ureditvi zbiranja, varstva in zaščite osebnih podatkov, ki se posredujejo ob izvedenih transakcijah. Prepričani morajo biti, da podatki, ki jih posredujejo preko odprtih omrežij (predvsem o vrstah in zneskih nakupov, številki kreditne kartice in podatki o gospodinjstvu), ostanejo zaupni. V posameznih fazah pregledovanja ponudb in nakupovanja je potrošnike potrebno opozarjati na možnost zasledovanja (zbiranja in shranjevanja) podatkov o spletnih straneh, ki so jih obiskali z brskanjem po Internetu.

Ustrezno varstvo in zaščito osebnih podatkov omogoča samo povezava med:

• zakonsko regulativo, ponudniki storitev in predstavniki uporabnikov na nivoju posameznih držav;
• harmonizacijo sprejetih predpisov na mednarodnem nivoju ter
• uporabo ustreznih tehnoloških rešitev.

LITERATURA

• Consumer Protection in Electronic Commerce – Principles and Key Issues, The National Advisory Council on Consumer Affairs, Australia, 1998.
• Consumer Protection in the Electronic Marketplace, OECD, 1998.
  Declaration on the Protection of Privacy on Global Networks, OECD, 1998.
• Draft Bacground Report for the Ministerial Declaration on the Protection of Privacy on Global Networks, OECD, 1998.
• Draft Ministerial Declaration on the Protection of Privacy on Global Networks, OECD, 1998.
• Guidelines for Cryptography Policy, OECD, 1997.
• Guidelines for the Security of Information Systems, OECD, 1992.
• Guidelines on the Protection of Privacy and Transborder Flows of Personal Data, OECD, 1980.
• Implementing the OECD "Privacy Guidelines" in the Electronic Environment: Focus on the Internet, OECD, 1997.
• Perše Zoran: Družbeni in poslovni vidiki elektronskega poslovanja (magistrsko delo), Ekonomska fakulteta, Ljubljana, 1999.
• Perše Zoran: Ureditev varstva potrošnikov pri elektronskem poslovanju, Pravna praksa, 8/2000, str. 49-51.
• Predlog zakona o elektronskem poslovanju in elektronskem podpisu
• Practices to Implement the OECD Privacy Guidelines on Global Networks, OECD, 1998.
• Toplišek Janez: Elektronsko poslovanje, Atlantis Založba, Ljubljana, 1998.
• Zakon o varstvu osebnih podatkov (Ur.l. RS, št. 59/99).
• Zakon o varstvu potrošnikov (Ur.l. RS, št. 20/98).

--------------------------------------------------------------------------------
Avtor: mag. Zoran Perše, samostojni strokovni sodelavec
Publikacija: Pravna praksa, Priloga Informatika in pravo
Datum objave: 20.4.2000
Številka: Pravna praksa 11-12, Informatika in pravo 1/2000
Stran: IV-VI
--------------------------------------------------------------------------------