Trije zakoni, ki jih mora poznati vsak informatik

Varovanje podatkov, informacij, dokumentov in znanja postaja v vsakdanji praksi podjetij in drugih organizacij vse pomembnejše. Zakonodaja RS ureja to v številnih sodobnih zakonih, ki posnemajo prakso in vzorčne informacijske zakone iz EU. Oglejmo si nekatera najpomembnejša področja, ki so pravno urejena in s katerimi bi moral biti seznanjen vsak informatik. dr. Boštjan Berčič, 25.5.2010

Osebni podatki so sveti

Novi Zakon o varstvu osebnih podatkov, ki je začel veljati s 1. januarjem 2005, je prinesel vrsto novosti na področju varstva osebnih podatkov. Izvajanje zakona je dobilo nov zagon 1. 1. 2006, ko je bil z Zakonom o informacijskem pooblaščencu ustanovljen nov državni nadzorni organ za varstvo osebnih podatkov, Informacijski pooblaščenec, ki sedaj zaposluje že preko 30 sodelavcev.

Zakon od zavezancev zahteva predvsem uvedbo in dokumentiranje sistema varovanja podatkov. Upravljavec mora torej uvesti postopke in ukrepe, s katerimi varuje prostore, strojno, sistemsko in aplikativno programsko opremo, ki jo uporablja za obdelavo osebnih podatkov. Prav tako mora uvesti ukrepe, s katerimi preprečuje nepooblaščen dostop do podatkov, zagotavlja učinkovit način blokiranja, uničenja, izbrisa ali anonimiziranja podatkov ter zagotavlja sledljivost vseh operacij v zvezi s podatki.

Zakon velja za primere, kadar se osebni podatki obdelujejo v zbirkah podatkov, torej kadar so zapisani na fizični medij in obdelani (vključno z vpogledom) v zvezi s takšnim fizičnim medijem. Če ne gre za uporabo podatkov iz zbirke ali le-ti niso namenjeni vključitvi v zbirko (če se npr. dve osebi pogovarjata o tretji osebi ali pa ena sporoči drugi podatke, ki jih zna na pamet), ne gre za obdelavo osebnih podatkov, ki bi jo bilo potrebno varovati.

Pri tem so osebni podatki tisti, ki se nanašajo neposredno na določene osebe (npr. imenovane z imenom ali s priimkom) ali pa tudi samo na določljive osebe (npr. označene z enoznačno identifikacijsko številko, s pomočjo katere je mogoče priti do identitete osebe). Zakoni nekaterih članic EU (npr. Velike Britanije) gredo še dlje, saj za osebni podatek ne razglasijo zgolj podatka o osebi, ki je v tistem trenutku določen ali določljiv, ampak tudi vse druge neidentificirane individualne zapise pri upravljavcu, za katere obstaja zgolj možnost, da bodo nekoč v prihodnosti povezljivi z identiteto osebe, na katero se nanašajo (npr. kjer bi upravljavec lahko prišel do identitet sicer anonimnih zapisov o posameznikih; dober primer za to so anonimni predplačniki v mobilni telefoniji). Domača pravna praksa tega vprašanja še ni rešila, se pa nekateri tudi pri nas zavzemajo za ekstenzivno razlago pojma osebni podatek.Pomembno je poudariti, da osebni podatki niso 'last' upravljavca, ampak kvečjemu posameznika, na katerega se nanašajo, upravljavcem pa so ti podatki prepuščeni zgolj na podlagi dovoljenja posameznika ali preko zakonskega pooblastila. Upravljavci so v zvezi z osebnimi podatki posameznikov tako zgolj varuhi tuje stvari, približno tako, kot je najemnik zgolj uporabnik najete stvari, in morajo podatke zato razen uporabe, ki jim je dovoljena, predvsem varovati pred dosegom tretjih oseb. Upravljavec tako tudi ni pooblaščen za poljubno posredovanje podatkov tretjim osebam, ampak mora tudi za to imeti eksplicitno pravno podlago. S tretjimi osebami, ki obdelujejo podatke v imenu upravljavca in na njegov račun (pogodbeni obdelovalci), pa mora prav tako skleniti pogodbe o procesiranju osebnih podatkov.

Končno je sistem varovanja osebnih podatkov potrebno tudi dokumentirati. Inventura zbirk, skupaj z njihovimi pravnimi podlagami in pooblastili, ki iz njih izhajajo ter procesi dovoljenih obdelav (dovoljeni nameni obdelave, označitev uporabnikov, ki jim je podatke dovoljeno posredovati, časovno obdobje, v katerem je podatke dovoljeno obdelovati) se napravi v katalogih zbirk podatkov. Ti so torej zbirka eksplicitnih pravnih pooblastil za obdelavo osebnih podatkov, ki je upravljavcu dovoljena v zvezi s posamezno zbirko. Inventura procesov varovanja podatkov pa je vsebovana v pravilniku o varovanju podatkov.

Elektronski dokumenti imajo veljavo

Elektronsko arhiviranje pride za organizacije v poštev v dveh primerih: ko želijo za potrebe pravnega poslovanja (npr. za nastopanje na sodiščih) elektronsko arhivirati dokumente, ki so že izvirno v elektronski obliki (npr. pri elektronskem poslovanju), in takrat, ko želijo svoje pisne arhive spremeniti v elektronsko obliko (in z njo nastopati v pravnem prometu), izvirnike pa uničiti.

Področje elektronskega arhiviranja ureja Zakon o varstvu dokumentarnega in arhivskega gradiva ter arhivih. Zakon od organizacij, ki bodo vzpostavile elektronski arhiv, zahteva vzpostavitev celovitega sistema načrtovanja, izvajanja in spremljanja elektronskega arhiviranja, predvsem obvezno izvedbo faze priprav na zajem in hrambo gradiva, sprejem in registracijo notranjih pravil, izdelavo drugih dokumentov v zvezi s pripravo na zajem in hrambo elektronskih gradiv ter periodično dopolnjevanje notranjih pravil.

Hramba dokumentov v elektronski obliki sicer ni obvezna. Podjetja, ki imajo papirne arhive, lahko te v taki obliki ohranijo tudi v prihodnosti. Uvedba elektronskega arhiva je za podjetja predvsem priložnost, ne pa dolžnost. Podjetja pa morajo ravnati v skladu z ZVDAGA, če želijo dokumente pretvoriti v elektronsko obliko, izvirnike pa uničiti in če gre hkrati za dokumente, ki so pomembni za pravni promet, torej katerih istovetnost je potrebno dokazovati. Zakon za podjetja, ki bodo arhivirala svojo dokumentacijo, ne predpisuje kazni za prekrške s področja elektronskega arhiviranja, prav tako pa Arhiv RS nima inšpekcijskih ingerenc glede preverjanja ali oseb, ki bodo imele potrjena notranja pravila in bodo hranile dokumentacijo zase, če dejansko ravnajo v skladu z njimi ali ne. Sankcije za nepravilno implementacijo elektronskega arhiva pa kljub temu bodo. Podjetjem, ki bodo dokumente hranila na nepravilen način, se lahko zgodi, da elektronski dokumenti v pravnem prometu ne bodo veljavni, izvirnikov pa ne bodo več imeli, kar pomeni, da bo stanje enako, kot če dokumentov sploh ne bi imeli.

ZVDAGA se sicer ne nanaša zgolj na zajem (in pretvorbo) dokumentov iz klasične, papirnate oblike. Elektronsko arhiviranje bo prišlo v poštev v dveh primerih: pri zajemu (skeniranju) klasične papirnate dokumentacije v digitalno obliko in pri zajemu elektronske oblike (npr. e-pošte) – slednje v primeru, če bo potrebno dokazovati istovetnost (nespremenljivost) dokumentov, ki so že izvorno zapisani v elektronski obliki. Pri obeh vrstah zajema je enako pomembno, da je na trajen način zajeta bistvena (zakonsko predpisana) vsebina dokumentov, da so dokumenti ustrezno indeksirani oz. da so zajeti vsi ključni metapodatki o zajemu (kdaj, kdo, kako), da so zajeti vsi ključni varnosti atributi (npr. elektronski podpisi, verige digitalnih potrdil itd.), prav tako pa mehanizmi za prikazovanje tako zajetih vsebin. Z drugimi besedami, tako pri zajemu iz elektronske oblike kot pri zajemu iz pisne oblike je potrebno določiti točko vstopa dokumenta v elektronski arhiv in na tej točki izvesti vse potrebne postopke za zajem.

Boj za intelektualno lastnino

Različna pogodbena razmerja (delovno razmerje, podjemna pogodba, avtorska pogodba) imajo v slovenskem pravu različno urejen pripad pravic intelektualne lastnine (avtorskih pravic in pravic industrijske lastnine, kot so patenti, modeli, znamke itd). Zakoni predpisujejo privzet obseg prenosa pravic, ki velja, če se pogodbenika v pogodbi eksplicitno ne odločita drugače. Ker mnogo subjektov, ki pogodbe sklepa, prava intelektualne lastnine ne pozna, so ta privzeta pravila zelo pomembna, saj v velikem številu primerov določajo vsebino takih pogodb. Nekateri od teh privzetih prenosov so ugodnejši za naročnika oz. delodajalca, drugi pa za avtorja oz. delavca. Na spletni strani www.sistem-on.net si v daljši različici tega članka lahko ogledate, kako v nekaterih primerih privzeta pravila določa Zakon o avtorski in sorodnih pravicah.

Kadar avtorsko delo ustvari delojemalec pri izpolnjevanju svojih obveznosti ali po navodilih delodajalca velja, če ni v pogodbi drugače določeno, da se materialne avtorske pravice in druge pravice avtorja izključno prenesejo na delodajalca za dobo desetih let od dokončanja dela, po tem obdobju pa pripadejo delojemalcu, če delodajalec, tokrat proti plačilu primernega nadomestila, ne zahteva njihovega ponovnega izključnega prenosa. Izjema velja glede računalniških programov in baz podatkov, kjer so, če ni drugače določeno, pravice neomejeno prenesene na delodajalca.

Podobno velja glede izumov iz delovnega razmerja, kjer ima delodajalec z vročitvijo pisne izjave delavcu pravico do popolnega ali omejenega prevzema službenega izuma (službeni izum je izum, ki je ustvarjen v času trajanja delovnega razmerja in je lahko neposredni službeni izum, ki je ustvarjen pri izpolnjevanju pogodbe o zaposlitvi, na izrecno zahtevo delodajalca ali na podlagi posebne pogodbe med delodajalcem in delavcem ali pa službeni izum, ki je ustvarjen pri opravljanju poklica, če so k nastanku izuma pretežno pripomogle izkušnje, ki si jih je delavec pridobil na delovnem mestu, ali sredstva, ki mu jih je delodajalec dal na razpolago). Z vročitvijo pisne izjave delavcu, s katero delodajalec popolno prevzema službeni izum, preidejo na delodajalca vse pravice na izumu, z vročitvijo pisne izjave delavcu, s katero delodajalec omejeno prevzema službeni izum, pa pridobi delodajalec neizključno pravico do uporabe službenega izuma poleg delavca. Delavec v obeh primerih pridobi pravico do primerne nagrade. Službeni izumi se sicer razlikujejo od drugih (prostih) izumov, ki so tudi ustvarjeni v času trajanja delovnega razmerja, vendar niso nastali po navodilih delodajalca in zato pravice v zvezi z njimi ostanejo delavcu.

Druge oblike poslovnega sodelovanja (pogodba o naročilu avtorskega dela, pogodba o prenosu avtorskih pravic, pogodba o licenci za industrijsko lastnino) so za nosilce pravic intelektualne lastnine velikokrat bolj ugodne. Pri pogodbi o naročilu avtorskega dela (torej ko se avtorsko delo ustvari za namen izvršitve pogodbe, pred tem pa ne obstaja) avtor, če ni s pogodbo drugače določeno, obdrži avtorsko pravico na naročenem delu, razen pravice distribuiranja. Pri prenosu (že obstoječih) avtorskih pravic pa velja, da je bil dogovorjen neizključni prenos, da velja samo za Republiko Slovenijo in da velja za čas, ki je običajen za to vrsto del, glede vrst posamičnih pravic, ki se prenašajo oz. njihovega obsega pa velja, da so prenesene tiste pravice in v takem obsegu, kot je bistven za dosego namena pogodbe. Podobno se pri licenčni pogodbi, v kateri se dajalec licence zavezuje, da bo pridobitelju licence v celoti ali delno odstopil pravico izkoriščanja patentiranega izuma, tehničnega znanja in izkušenj, znamke ali modela, če ni določeno drugače šteje, da je pri tem dana neizključna licenca.

Zgornje pa na primer ne velja za pogodbe o naročilu računalniških programov in baz podatkov, za katere veljajo privzeta pravila prenosa, ki so za avtorje manj ugodna kot pri drugih avtorskih delih. Kadar računalniški program ali podatkovno bazo ustvari delojemalec pri izpolnjevanju svojih obveznosti ali po navodilih delodajalca ali ga/jo ustvari avtor po avtorski pogodbi o naročilu, torej, ko ne gre za že obstoječe avtorsko delo, šteje, da so materialne avtorske in druge pravice avtorja tega programa oz. baze izključno in neomejeno prenesene na delodajalca ali naročnika.

Zasebnost tudi na delovnem mestu

Ne nazadnje je, tako kot pri vseh stvareh, tudi v pravu informacijske družbe dobro zajemati neposredno pri viru. Neposredni vir je v pravnem sistemu ustava, njene določbe pa je potrebno poznati, ker veljajo neposredno in tudi takrat, ko posamezno področje ni posebej urejeno z zakoni. Tak primer je npr. pravica do zasebnosti (komunikacijske in vsakršne druge), med drugim v določenem obsegu celo na delovnem mestu in delovnih sredstvih delodajalca. Če imajo zaposleni na svojih računalnikih zapise, ki niso varovani z drugimi instituti informacijskega prava (denimo, da gre za delo zaposlenih, ki ne zadošča kriterijem za avtorsko delo po ZASP, ki ne vsebuje osebnih podatkov po ZVOP-1 in ki ga ninaročil delodajalec), delodajalec še vedno nima nujno pravice do vpogleda v take zapise ali do njihove uporabe. Po eni strani gre pri fizičnih nosilcih podatkov za njegovo lastnino, zato lahko počne z njo, kar koli hoče, po drugi strani pa gre pri podatkih oz. zapisih na njih za informacijsko vsebino, za neoprijemljivo lastnino tistega, ki jih je ustvaril, zato je varovana najmanj s pravico do zasebnosti, ki jo neposredno določa ustava.

Informatiki bodo tako ravnali prav, če bodo pri podatkih, dokumentih in znanju, ki se nahajajo materializirani na podatkovnih nosilcih v organizacijah, upoštevali tako področno zakonodajo kot tudi splošna pravna načela in temeljne pravice ter svoboščine državljanov (tudi zaposlenih), ki so zapisane v ustavi.

Vsi članki tega avtorja

‹ nazaj

Komentarji

Bodite prvi in dodajte svoj komentar.

Komentiraj prispevek

Za komentiranje morate biti prijavljeni