Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Mnenja - VOP

+ -
Datum: 08.04.2008
Naslov: Zaščita osebnih podatkov v spletnih kavarnah
Številka: 0712-382/2008/2
Vsebina: Telekomunikacije in pošta, Svetovni splet
Pravni akt: Mnenje

Spoštovani,

Informacijski pooblaščenec (v nadaljevanju Pooblaščenec)  je dne 1. 4. 2008 prejel vaše e-sporočilo, v katerem nas prosite za mnenje v naslednji situaciji, cit:

''Zadnjič sem se v eni večji spletni kavarni, ki ima nameščen na prvi pogled kar sodoben sistem za spletni dostop s časovno kodo, prijavil v računalnik ter na vprašanje, če želim obnoviti prejšnjo sejo, odgovoril z DA. Na začudenje sem opazil, da se mi je odprlo spletno okno s poštnim predalom neke uporabnice na gmailu. Praktično ni bilo nobenega problema, da bi lahko uporabnici prebral vso pošto, pa ona za to nikdar ne bi izvedela. Sistem sicer odšteva čas, ki ga je zakupil uporabnik, žal pa razen majhnega utripajočega časa na vrhu ekrana drugega opozorila ni, da se čas izteka in da se mora uporabnik odjaviti iz spletnih storitev, kot je pošta, ker sicer se spletna seja zapre v hipu. Sistem pa očitno nima nameščenega mehanizma, da bi po koncu seje za uporabnikom počistil tako, da naslednji uporabnik na tak način ne bi mogel zlorabiti sistema. O tem sem obvestil tudi delavca v spletni kavarni, samo mislim, da ga to kaj dosti ni zanimalo. Me pa zanima, če morda veste, ali so spletne kavarne dolžne vsaj minimalno zaščititi moje osebne podatke pred zlorabo, ali je to povsem odprto področje. Namreč, če je to res tako, bom drugič zelo razmislil, kaj v spletnih kavarnah počnem.''

V nadaljevanju vam na podlagi predstavljenega dejanskega stanja ter na podlagi 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07 – uradno prečiščeno besedilo; v nadaljevanju: ZVOP-1) ter 2. člena Zakona o Informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji:

Odgovornost za varstvo osebnih podatkov na javno dostopnih točkah do interneta je primarno na strani uporabnika, za ponudnike tovrstnega dostopa pa obstajajo le priporočila, s katerimi lahko poskrbijo za večjo varnost in osveščenost svojih uporabnikov.

O b r a z l o ž i t e v:

Izpostavili ste zelo zanimivo vprašanje, s katerim se je Pooblaščenec doslej srečal predvsem v okviru svojega mednarodnega sodelovanja. Mednarodna delovna skupina za varstvo osebnih podatkov v telekomunikacijah (International Working Group on Data Protection in Telecommunications - IWGDPT), v kateri sodelujemo, je tako pripravila delovno stališče o varstvu osebnih podatkov pri uporabi storitev informacijske družbe v okviru javno dostopnih točk do interneta, med katere sodijo tudi spletne kavarne (angl. cyber-caffe). Stališče IWGDPT (Working Paper on Web browser caching of personal information in commercial andpublic multi-user web access environments (e.g. “Cybercafés”),  6. - 7. september 2005, Berlin) je dosegljivo na tej povezavi:

www.privacy.org.nz/assets/Files/89672289.pdf

IWGDPT v njem stoji na stališču, ki  - podobno, kot ste razmišljali sami – priporoča spletnim kavarnam, da zagotovijo, da se vsi osebni podatki, ki so se zbrali med uporabniško sejo, popolnoma odstranijo po zaključku seje, torej ko se posamezni uporabnik odjavi. Prav tako naj bi tudi uporabnik sam moral imeti možnost, da izbriše vsebino mape »Zgodovina«, kjer se hranijo podatki o obiskanih spletnih straneh, in to preden lahko naslednji uporabnik prične z uporabo istega računalnika. IWGDPT prav tako priporoča uporabo opozorilnega sporočila (npr. pojavnega okna), s katerim se uporabnika opozori na izbris svojih osebnih podatkov, nastalih med posamezno sejo, preden se odjavi.

Ob navedenem se je potrebno zavedati, da gre za priporočila mednarodne skupine, ki pa niso zavezujoča za  zavezance po ZVOP-1. Pooblaščenec se vsekakor strinja s priporočili IWGDPT, vendar pa glede na določbe ZVOP-1, spletne kavarne kot take ne kršijo ZVOP-1, če navedenega ne počno, saj omenjeni ukrepi niso zakonsko predpisani. Odgovornost za varovanje svojih osebnih podatkov v takšnih primerih torej prevzema predvsem vsak uporabnik s tem, ko se odloči za uporabo javnega računalnika v spletni kavarni ali na drugi javno dostopni točki do interneta (nenazadnje gre lahko tudi za javno odprto brezžično dostopno točko, na katero so lahko poveže kdorkoli). S takšno odločitvijo se mora vsak uporabnik zavedati, da lahko do določenih njegovih osebnih podatkov dostopajo uporabniki, ki bodo za njim uporabljali isti računalnik, zato mora posameznik poskrbeti za izbris takšnih podatkov z brisanjem zgodovine obiskani spletnih strani, gesel, piškotkov in začasno shranjenih datotek z interneta. V najbolj uporabljanih brskalnikih se takšno brisanje relativno enostavno izvede, kot rečeno pa javno dostopne točke k temu niso zavezane, vsekakor pa je z vidika varstva osebnih podatkov priporočljivo, da upoštevajo zgoraj navedena priporočila. za kršitev ZVOP-1 bi lahko šlo v primeru, če uporabniku ta možnost sploh ne bi bila dana.

Pooblaščenec bo pretehtal, ali je smiselno poskrbeti za širše osveščanje o teh vprašanjih in bo v skladu s svojimi zmožnostmi poskrbel za določene ukrepe za dvig zavedanja uporabnikov, ki obiskujejo javno dostopne točke.

Priporočamo vam, da si ogledate tudi druga mnenja s področja varstva osebnih podatkov, ki so objavljena na spletni strani www.ip-rs.si/varstvo-osebnih-podatkov/iskalnik-po-odlocbah-in-mnenjih/, po kateri lahko iščete s pomočjo naprednega iskalnika.

Lepo vas pozdravljamo,

Informacijski pooblaščenec:
Nataša Pirc Musar, univ. dipl. prav.,
pooblaščenka