Pred nekaj dnevi je večje število slovenskih medijev pričelo s projektom zaračunavanja vsebin na spletu. Kot obljubljajo, bomo s sistemom Piano odslej z eno samo prijavo in naročnino dobili bolj kakovostne in bogate vsebine slovenskih medijev na spletu, čez čas pa te za razliko od brezplačnih vsebin ne bodo več opremljene z reklamnimi sporočili.
V redu. Recimo, da nisem naročnik nobenih tiskanih edicij, da pa rad redno prebiram njihove spletne vsebine, zato se odločim, da izkoristim ponujeno možnost treh tednov brezplačnega preizkušanja Piana. Najprej preverim pogosto zastavljena vprašanja (FAQ) in pod vprašanjem, kakšne podatke shranjuje Piano, in, ali imajo mediji dostop do mojih zasebnih podatkov, najdem tole: »Trudimo se zbirati čim manj osebnih podatkov. Imamo vaš e-mail naslov; zaradi razdelitve vašega plačila med založnike zbiramo tudi informacije o tem, kako uporabljate spletne strani. Ne shranjujemo informacij o kreditnih karticah. Mediju, kjer ste se prvič registrirali v Piano sistem, omogočamo poznati vaš e-mail naslov, saj ste v prvi vrsti njihov bralec.« Zelo prepričljivo. Točno to, kar me je zanimalo. Vse sem izvedel. Ne ravno…
Nadaljujem s prijavo. Zmoti me sicer že to, da pod gumbom »Prijavi se« piše »Prijava ni zavezujoča«. Kaj sploh to pomeni?! Pojdimo naprej. Kot nekdo, ki se praktično vsak dan srečujem z vprašanji varstva osebnih podatkov, si ne morem kaj, da ne bi pred prijavo kliknil na »Varovanje zasebnosti«. In takoj sledi naslednji šok. Besedilo o varstvu osebnih podatkov (angl. Privacy Policy) izgleda tako, kot bi slovaško besedilo prevedli z Google Translate. Toliko napak na kupu pa že dolgo ne, kar že samo po sebi kaže na to, kako resno so vzeli varstvo osebnih podatkov. Morda se motim, toda od »resnih« medijev, ki so se vključili v ta sistem, bi pričakovali več kot »slovenčino«. 10. točka je naravnost grozljiva, cit.: »Če brskate te strani, medtem ko še vedno tudi prijavljeni v svoj račun na tretjem platformi lahko stranka, informacije, zbrane s strani tretje osebe je priključen na vaš račun na tretjem platformi stranke.«
Pojdimo dalje. »Upravljavec bo naredil vse za zaščito zasebnosti uporabnikov s pomočjo uporabe ustreznih varnostnih tehnologij.« Klasično ( in verjetno namensko) napačno enačenje zasebnosti z varnostjo. Tisti, ki to enačijo, običajno nadaljujejo z izjavami, da se tisti, ki nimajo kaj skrivati, nimajo kaj bati. In upravljavec…kdo pa sploh je upravljavec? Komu dejansko zaupam svoje osebne podatke? Podjetju, ki stoji za sistemom Piano ali vsem vključenim ponudnikom vsebin? Kdo je tisti, ki je določil namen in sredstva obdelave osebnih podatkov in kdo je tukaj tisti, ki nastopa zgolj v vlogi ponudnika sistema? Se mi zdi, da vem, kdo je določil namen obdelave in to gotovo ni ponudnik sistema. Odgovorov na to ne najdemo v tem besedilu, s čimer trčimo na naslednjo resno težavo. Zakon o varstvu osebnih podatkov (19. člen) namreč zahteva, da mora upravljavec osebnih podatkov posameznika seznaniti s tem, kdo je upravljavec osebnih podatkov (naziv, sedež) in kakšen je namen obdelave osebnih podatkov. Z drugimi besedami – posameznik mora vedeti, komu daje osebne podatke in zakaj. To je namreč bistveni pogoj, da lahko posameznik poda svojo privolitev v obdelavo osebnih podatkov. Osebna privolitev posameznika je namreč prostovoljna izjava volje posameznika, da se lahko njegovi osebni podatki obdelujejo za določen namen, in je dana na podlagi informacij, ki mu jih mora zagotoviti upravljavec. Ali lahko torej sploh rečemo, da so pridobili pravno podlago za zakonito obdelavo osebnih podatkov, če posameznik ne ve niti, kdo (vse) je upravljavec?
Poleg tega, da ne vemo, komu vse zaupamo osebne podatke, ne vemo niti, katere vse osebne podatke. Izjava namreč pravi, cit.: »Upravljavec bo v odnosih z naročniki jasno navajal katere podatke o uporabniku, se bo pri tem zbiralo kako bomo zbrani podatki uporabljeni.« Kakšni pa bodo ti »odnosi z naročniki« in kdaj bomo to izvedeli? Uporabniki bi to morali vedeti pred svojo odločitvijo. Predvidevamo lahko, da bodo zbrali naš e-naslov. Kako je s piškotki, IP številkami? Kaj pa z osebnimi podatki, ki nas precej bolj skrbijo? Kdo bo vedel, katere članke berem in kdaj? Nihče, ponudnik sistema, vsi vključeni mediji? Kako dolgo bodo hranili te moje podatke? Kdo vse jih bo uporabljal v tržne namene? Bom kot redni bralec Jonasovih komentarjev v Objektivu pogosteje dobival oglase za nove gadgete? Najbrž bi se dalo iz mojih bralnih navad razbrati tudi podatke, ki sodijo med občutljive osebne podatke, kot so podatki o političnem, verskem ali filozofskem prepričanju, zdravstvenem stanju. Za tovrstne podatke bodo potrebovali mojo pisno privolitev. To so vprašanja, na katera želimo odgovore v izjavi o varstvu osebnih podatkov, ne pa praznih floskul, kot je »zagotovljeni bodo ustrezni fizični in tehnološki varnostni ukrepi za zaščito podatkov uporabnikov«. Mar res nihče ne razume, čemu dejansko služijo izjave o varstvu osebnih podatkov? Žal že hiter pregled izjav o varstvu osebnih podatkov največjih medijev pokaže porazno stanje in skrajni čas je, da se to spremeni. Že res, da so morda »privacy policies« v praksi spodletele, saj so to pogosto dolgi in neberljivi teksti, ki so tam češ to menda moramo imeti. Pa ni treba, da je tako. Uporabniki namreč želimo samo nekaj enostavnih odgovorov: komu (vse) zaupamo katere osebne podatke, kaj (vse) bodo počeli z njimi in kakšne pravice imamo glede svojih podatkov. Kratko in jedrnato. Od naših uveljavljenih medijev to utemeljeno in z zakonom podprto pričakujemo.
V informacijski družbi čedalje več stvari opravimo na spletu in pri tem upravičeno računamo na varstvo naše komunikacijske in informacijske zasebnosti. Žal to pogosto drži samo na papirju. Kako hitro smo namreč v virtualnem svetu prepričani, da bo naša zasebnost skrbno varovana, v realnem svetu bi nam pa takoj zvonili alarmi. Bi vas motilo, če bi neznane osebe lahko brskale po vaših seznamih izposoje v knjižnici? Kaj pa po seznamih vseh prebranih člankov na spletu, tudi tistih hudo rumenih, za katere ste mislili, da nihče ne ve, da ste jih prebrali? Morda sem naiven, ko upam, da je ljudem za to vendarle mar, a upanje umre zadnje. Zasebnost pač ni kot kupovanje mortadele, nihče nam je namreč ne bo ponudil več, kot jo bomo zahtevali.
mag. Andrej Tomšič, namestnik informacijske pooblaščenke
Lepo napisano. Hvala.