Mojca Prelesnik

»Ena izmed najbolj nesprejemljivih zamisli je očitna želja po neselektivnem, množičnem zbiranju podatkov o vseh nas, brez vsakršnih omejitev.«

Mojca Prelesnik sodeluje z uradom informacijskega pooblaščenca že vse od njegove ustanovitve. Pomagala je pri nastanku urada, bila je namestnica informacijske pooblaščenke, nato je odšla v državni zbor in tam delala kot generalna sekretarka, dokler ni pred približno letom in pol postala vodja urada. Prelesnikova že več kot deset let spremlja, kako se država odpira ali zapira do javnih informacij in kako vdira v našo zasebnost ali jo varuje. Zato je njeno mnenje o noveli zakona o policijskih pooblastilih, ki je sedaj v zaključni fazi medresorskega usklajevanja, še toliko pomembnejše. O noveli nima najboljšega mnenja. Skrbi jo celo, da gre v smeri vzpostavljanja policijske države.

Postajamo tudi mi, v Sloveniji, zaradi vojne proti terorizmu vse bolj nadzorovana družba?

Želje nedvomno so. Pravzaprav gredo, žal, vse države vedno bolj v tej smeri.

Kje je opaziti največje premike?

Ukrepi prihajajo v valovih. Najrazličnejši sprožilci, sedaj sta to terorizem in begunska kriza, prej je bil 11. september, prispevajo k temu, da smo vse bolj nadzorovani. Na ravni EU se danes večje spremembe dogajajo pri izmenjavi podatkov o potovanjih, ki jih dajemo potovalnim agencijam. Poleg tega seveda tudi vsaka posamezna država, ki želi okrepiti policijski nadzor nad državljani, sprejema svoje, posebne ukrepe.

Pred leti smo bili še zgroženi zaradi uhajanja naših finančnih podatkov v ZDA in zaradi izmenjave podatkov o letalskih potnikih med EU in ZDA. Smo se s tem že sprijaznili?

Mislim, da so naše družbe glede tega vse bolj polarizirane. Imamo posameznike ali skupine, ki jih pravica do zasebnosti vse bolj skrbi, in imamo, dejala bi, približno prav toliko ljudi, ki postavljajo na prvo mesto varnost in ki pod krinko te varnosti dopuščajo pretirane posege v zasebnost.

In vi?

Če bomo zasebnost zastavili na račun varnosti, sem prepričana, da bomo nazadnje izgubili oboje.

Prejšnji mesec ste dobili v vpogled zadnjo verzijo novele zakona o policijskih pooblastilih. Kaj menite o njej?

Ena izmed najbolj nesprejemljivih zamisli v njej je očitna želja po neselektivnem, množičnem zbiranju podatkov o vseh nas, brez vsakršnih omejitev, to pa je v nasprotju z najosnovnejšimi načeli varstva osebnih podatkov. Policija lahko začne usmerjeno zbiranje osebnih podatkov le na podlagi konkretnega suma, povezanega s konkretnimi osebami, nikakor pa ji ne sme biti dovoljeno zbirati podatkov na splošno, za neomejen krog ljudi, v katerem postanemo vsi potencialni kriminalci in kjer dobimo vsi občutek, da smo na pragu zapora. Tega si ne bi smel privoščiti noben državni organ.

V katerih konkretnih primerih ste dobili tak vtis?

Recimo pri želji po samodejni obdelavi registrskih tablic vseh vozil, ki se vozijo po slovenskih avtocestah. Policija bi želela te podatke hraniti 30 dni in jih obdelovati. Utemeljitev, da bi policija to počela zato, ker je tak način dela cenejši ali udobnejši, ni sprejemljiva. Če smo toliko let zdržali brez samodejne prepoznave tablic, zakaj je to sedaj naenkrat nujno? Potem nas je zmotilo, da želi policija zbirati podatke iz vseh javno dostopnih virov, in to povsem neselektivno. Zmotil nas je tudi predlagani postopek identifikacije ljudi. V uradu informacijskega pooblaščenca težimo k temu, da vpeljavo vsake nove tehnologije v zakonodaji natančno opredelimo. Taksativno. V sedanjem predlogu zakona pa so nove tehnologije kar naštete, češ, uporabljali bomo termovizijo, pa sisteme za samodejno prepoznavo prstnih odtisov, pa sisteme za obdelavo profilov DNK in druga tehnična sredstva. Katera druga tehnična sredstva? Nazadnje bodo po možnosti še avtomatsko izdajali ovadbe.

Ko omenjate novi predlagani postopek identifikacije: si policija želi dobiti pooblastilo, da nam bo, tako kot sedaj policist preveri našo osebno izkaznico, odslej lahko slikal še roženico, nam vzel prstne odtise in s palčko vzorec DNK?

Točno tako – v noveli je pooblastilo dano preveč na splošno. A zakon o varstvu osebnih podatkov je zelo strog glede tega, kako se lahko zbirajo biometrični osebni podatki. Zakon pravi, da lahko državni organi to počno le, če je zbiranje biometričnih osebnih podatkov nujno zaradi varnosti ljudi in premoženja in če istega cilja ni mogoče doseči na milejši način. V omenjeni noveli zakona o policijskih pooblastilih pa je policiji dana pravica do splošne in neselektivne rabe biometričnih podatkov. Z drugimi besedami, to je odprti lov.

Če bomo zasebnost zastavili na račun varnosti, sem prepričana, da bomo nazadnje izgubili oboje.

Morate pa priznati, da so lahko te metode zelo učinkovite. Po nekaterih podatkih ima že zdaj slovenska policija shranjenih več kot 25 tisoč profilov DNK, ki bi jih bilo seveda škoda zavreči …

To je sicer res, a samo zato, ker so te metode poceni in udobne ter na razpolago, še ne smemo nesorazmerno posegati v temeljno človekovo pravico do zasebnosti. Lahko bi vam razlagala tudi o tem, kako zaradi takšne prakse konkretni primeri na sodiščih padajo. In sicer zato, ker ima slovenska policija v svojih zbirkah nezakonito oziroma čezmerno dolgo zbrane biometrične podatke. S tem se danes ukvarjajo slovenska sodišča, s tem se ukvarja strasbourško sodišče in s tem bi se morala ukvarjati tudi policija, če želi, da primeri na sodiščih obstanejo.

Prej ste omenili, da želi policija zbirati tudi podatke iz javnih virov. V svojem odgovoru policiji omenjate družbena omrežja, recimo Facebook. Ali bi ta določba policiji dovoljevala, da bi se včlanila v zaprte skupine na družbenih omrežjih? So zaprte skupine na Facebooku javni ali zasebni vir?

V zakonu glede tega policija ne bi imela posebnih omejitev. Zakon o tem govori zelo na splošno, in prav v tem je težava. Policija seveda lahko zbira podatke, če teče neki postopek in če je policija osredotočena na neko osebo, ni pa dovoljeno hraniti našega, dejala bi, spletnega življenja na zalogo.

Prvič ste se na predlog novele zakona odzvali konec lanskega leta, drugič sedaj, februarja. Zakaj na notranjem ministrstvu vaših pripomb ne upoštevajo?

Ne bi se rada prenaglila, zakon je v tem trenutku še v medresorskem usklajevanju, v še dovolj zgodnji fazi, da notranje ministrstvo naše pripombe upošteva. Sama tudi iskreno upam, da jih bo. Rada bi še dodala, da je pri notranjem ministrstvu pripravljenost upoštevati naše pripombe odvisna tudi od organizacijske enote, ki je odgovorna za neki predpis ali del predpisa. Z nekaterimi oddelki zelo dobro sodelujemo in te enote tudi izdelujejo, recimo, presoje vpliva na zasebnost, ko želijo uvesti kakšno novo pooblastilo. Eden od teh primerov so podatki o potnikih ali tako imenovani PNR-podatki.

S kom pa imate slabe izkušnje?

Slabe izkušnje z notranjim ministrstvom smo imeli recimo pri vpeljavi lažnih baznih postaj, pri t. i. IMSI-catcherjih, kjer policija za uporabo nima ustrezne podlage v zakonu. Težave smo imeli tudi s tem, da je policija pridobivala prometne podatke o uporabnikih spletnih strani brez sodne odredbe, pa da še kar vztraja pri ponovni vzpostavitvi retencijske baze elektronskih komunikacij brez jasno izkazane potrebe po tem. Sporne so tudi evidence DNK-preiskav, daktiloskopiranih oseb in fotografij osumljencev. Gre za premalo selektivno zbiranje ob odvzemu prostosti in skrb zbujajoče neizvajanje brisanja podatkov iz zbirk, četudi so kazenski postopki končani posameznikom v prid – na primer, če je izrečena oprostilna sodba. Glede tega je jasno stališče evropskega sodišča za človekove pravice in tudi ustavnega sodišča.

Vidim, da je vaš seznam očitkov policiji kar dolg …

Vse policije tega sveta so z vidika varstva osebnih podatkov eni najpomembnejših upravljavcev osebnih podatkov, zato nas vse našteto tudi skrbi. Gre za represivne organe z obsežnimi in močnimi pooblastili. Zato morajo biti pod nadzorom nacionalnih varuhov zasebnosti, v Sloveniji je to informacijski pooblaščenec, in zavedamo se, da nihče drug ne bo opravil našega dela. Moram pa dodati, da se kljub temu sodelovanje s policijo izboljšuje, da nas sprašujejo za mnenja. Vseeno pa pri policiji pogrešamo večji pomen oseb, odgovornih za varstvo osebnih podatkov, ki bi morale v takšnem organu imeti pomembno vlogo, opravljati preventivne notranje nadzore, sodelovati pri pripravah presoj vplivov na zasebnost, izvajati interna izobraževanja, uvajati učinkovite ukrepe za varstvo osebnih podatkov. Europol ima na primer poseben oddelek kar šestih pooblaščencev za varstvo osebnih podatkov.

Vas torej prav razumemo, menite, da želi notranje ministrstvo z zadnjim predlogom zakona o policijskih pooblastilih uvesti množični nadzor. Strah vas je tudi, da gre predlog v smeri vzpostavitve policijske države?

Da, to je glavna težava.

To so seveda zelo hude obtožbe.

Da, ampak še vedno upam, da tak predlog ne bo prišel do parlamenta. Če bo, pa lahko že zdaj napovem, da bomo sprožili ustavno presojo. Če bo novela zakona o policijskih pooblastilih napisana tako nedoločno, kot je sedaj, državljanom ne zagotavlja pravne varnosti. Če si ogledamo veljavni zakon v celoti in ga primerjamo s predlaganimi spremembami, vidimo, da se pristojnosti policije čezmerno širijo in pomenijo prevelik poseg v zasebnost državljanov.

V preteklih letih je policija sicer že dobila nova pooblastila. Tako recimo lahko v nekaterih primerih določa položaj posameznikov ob pomoči mobilnih operaterjev brez sodnih odločb. Kako policija v praksi uporablja ta pooblastila?

V tem primeru gre za malce drugačen kontekst, gre za 153. člen zakona o elektronskih komunikacijah, ki v primerih, ko je kdo pogrešan, dovoljuje poseben postopek. Operaterji morajo zaradi varstva življenjskih interesov posameznikov policiji na podlagi zahteve, torej brez odredbe sodišča, dati podatke o zadnji lokaciji komunicirajočega. V primerih, ko so ogrožena življenja, se mora pravica do zasebnosti umakniti. A ravno zaradi tega smo mi pristojni za nadzor. Inšpekcijski pregled v zvezi z omenjenim členom zakona naredimo enkrat na leto, lani je recimo policija od operaterjev mobilnih omrežij lokacijske in druge podatke zahtevala 137-krat, pri čemer je 112 ljudi odkrila živih.

Kako pa bi lahko opravljali nadzor nad novimi tehnologijami, ki jih želi policija uporabljati pri svojem delu? Kako bi lahko nadzorovali uporabo radarskih sistemov, s katerimi je mogoče gledati v stanovanja in ki bi jih lahko, kot pravite, policija po predlogu novele uporabljala brez odredbe sodišč? Lahko zaupamo policistom, da se ne bodo spet dogovarjali o kakšnih solističnih akcijah?

Kaj naj rečem, upam, da Amerika ne prihaja tudi k nam. Sicer pa so ameriška sodišča že odločila, da imajo omenjeni radarski sistemi status hišne preiskave in da mora v teh primerih – celo v ZDA – policija dobiti sodno odredbo. Lahko pa si predstavljajte še hujši scenarij, in sicer, da bi bil tak senzor ali pa recimo termovizijska kamera nameščena na dronu, ki nadzoruje celotno naselje …

Pa ima slovenska policija katero od teh tehnologij, katerih uporabo zdaj očitno želijo legalizirati?

Tega ne vemo, za takšne naprave izvemo šele, ko pride prijava in ko z uporabo takšne naprave dejansko začne nastajati zbirka osebnih podatkov. Mislim sicer, da slovenska policija radarskih sistemov recimo še nima, mogoče pa jih namerava kupiti. Za IMSI-catcherje smo denimo šele pozneje ugotovili, da jih je kupila. Uradno jih sicer sedaj ne uporablja.

Težave smo imeli tudi s tem, da je policija pridobivala prometne podatke o uporabnikih spletnih strani brez sodne odredbe.

Tudi drone je vojska že kupila, policija pa jih namerava kupiti, čeprav za uporabo še ni zakonske podlage.

Res je, to področje v Sloveniji še ni urejeno. Resorno ministrstvo in agencijo za civilno letalstvo že več kot leto dni opozarjamo, naj sprejmeta ustrezno zakonodajo, ker smo zdaj eni zadnjih v EU. Če dron danes dela panoramske posnetke, kjer posamezniki niso določljivi, z vidika varstva osebnih podatkov ni težav, je pa težava, če nameravamo z droni izvajati nadzor nad ljudmi in s tem posegati v njihovo zasebnost. Droni lahko namreč nosijo ogromno tipal in tehnično omogočajo 24-urni nadzor nad ljudmi.

Ali ni v resnici boj za zasebnost izgubljen? Saj nadzor nad novimi tehnologijami niti ni več mogoč. Vi ne veste, kdaj bo kaka skupina policistov vklopila katero od naprav, kaj šele, če pogledamo, kaj o ljudeh zbirajo korporacije, zlasti ameriške, kako posegajo v osebne podatke Evropejcev zaradi na primer interesa ameriške nacionalne varnosti.

Ne, ne smemo reči, da je boj za zasebnost izgubljen, čeprav so posegi vedno hujši, omogočajo pa jih predvsem nove tehnologije, ki jih pred 10 ali 20 leti še ni bilo. Seveda pa imamo prav v tem delu pomembno vlogo nacionalni varuhi zasebnosti. Brez dvoma tudi vsak posameznik nosi odgovornost, da varuje svojo zasebnost. Drži pa, da si Amerika to področje predstavlja bistveno drugače kot Evropa, tam so osebni podatki tržno blago in ne vrednota kot za nas Evropejce. Predvsem je za Američane pojem nacionalne varnosti bistveno širši. To je bila tudi glavna težava pri iznosu osebnih podatkov iz Evrope v Ameriko na podlagi sodno razveljavljenega sporazuma med EU in ZDA, imenovanega Varni pristan, za katerega se je že kmalu pokazalo, da je vse prej kot varen.

Zdaj ga bo nadomestil nov sporazum?

Da, tokrat bo nosil novo visoko doneče ime Ščit zasebnosti, za katerega pa se varuhi zasebnosti bojimo, da ne bo ustrezal temeljnim zahtevam evropskega prava o varstvu zasebnosti. Ameriška zakonodaja sama ima inkorporirano možnost množičnega nadzora, in če ta zakonodaja ne bo spremenjena, ne bo ustreznih varovalk. To, da sporazum

Ščit zasebnosti oziroma iznos osebnih podatkov Evropejcev v ZDA temelji na varovalkah v obliki nekakšnih pisem med oblastmi obeh celin, je seveda smešno, to je rekel tudi Maximilian Schrems.

Kdo?

Maximilian Schrems, avstrijski študent prava, ki je želel od Facebooka dobiti seznam osebnih podatkov, ki jih o njem hranijo in obdelujejo v ZDA. Njegov boj s Facebookom je trajal kar nekaj časa, potem pa je dobil 1200 strani dolg seznam. To je seznam osebnih podatkov, ki jih o nas hrani in obdeluje samo Facebook in je dolg kar 1200 strani. Prav posledica njegovega boja s Facebookom je bila sodna razveljavitev prej omenjenega sporazuma, ki so ji sledila prizadevanja EU in ZDA, da pridejo do novega. Dejstvo je, da se Amerika in Evropa, zlasti pri digitalni oziroma spletni industriji, vzajemno potrebujeta. Mi nimamo Googla, Appla, Facebooka, Amazona. Evropa pa tudi ni Rusija, ki si to osamitev od Amerike lahko privošči in sprejme zakon, po katerem se osebni podatki ruskih državljanov ne smejo množično iznašati v Ameriko. Evropa teh storitev nima in je v tem delu vezana na Ameriko. Tukaj pa se izvajajo močni pritiski gospodarstev obeh celin na evropske in ameriške odločevalce.

Do sedaj smo govorili o policiji. Kaj pa Sova? Ali Sova po vašem deluje v skladu s slovensko ustavo?

Ne. Mi v uradu informacijskega pooblaščenca še vedno menimo, da je zakon o Sovi neustaven, ker lahko Sova posega v mednarodno komunikacijo zgolj na podlagi odločitve svojega direktorja. A kot je znano, je informacijski pooblaščenec v tem primeru na ustavnem sodišču pred leti neslavno propadel iz procesnih razlogov. Ker menimo, da je zakonska ureditev, ki bo skladna z ustavo, nujna, smo pozvali predsednika vlade in Sovo, da nam pojasnita, ali bo zakon o Sovi noveliran in kdaj se bo to zgodilo. Oktobra lani smo dobili odgovor, da bo zakonodajni postopek zagotovo izpeljan leta 2016. To je vsekakor bolje kot izpodbijanje zakona na ustavnem sodišču, vendar za zdaj še nismo dobili nobenega predloga besedila sprememb zakona. Upam pa, da bodo besedo držali.

Nedavno ste zaradi kršitve varnosti osebnih podatkov oglobili sedanjega in nekdanjega predsednika protikorupcijske komisije (KPK). Zakaj se dve neodvisni državni instituciji o žgočih vprašanjih ne moreta dogovoriti na kavi?

Se strinjam, tudi nas je presenetila tiskovna konferenca predsednika KPK, na kateri je ta kritiziral delo informacijskega pooblaščenca in nam očital poseg v samostojnost in neodvisnost komisije. A moram reči, da ne jaz ne informacijski pooblaščenec kot organ nisva v sporu s KPK. Gre za predsednika KPK osebno, ki mu je državni nadzornik za varstvo osebnih podatkov moral izreči globo, saj je v inšpekcijskem postopku odkril nepravilnosti. Šlo je za primer nedovoljene uporabe osebnih podatkov pri delovanju Supervizorja.

Torej ne rušite Supervizorja, kot so vam očitali?

Ne. Predsednik KPK bo počasi moral najti krivca za morebitno nedelovanje Supervizorja drugje, najprej v tem, da vsaj do nedavnega še ni uredil pogodbenega odnosa z njegovim avtorjem. Seveda pa je najpreprosteje reči, da informacijska pooblaščenka ugaša Supervizor, na to struno je pri javnosti najlaže zaigrati. Zraven prikladno reče še, da gre za porabo javnega denarja in da pri tem oviramo KPK. Vse to pa je daleč od resnice in vedeti moramo, da je Supervizor že davno presegel zgolj podatke o porabi javnega denarja. Da se je KPK tega zavedela tudi sama, je razvidno tudi iz tega, da je lani izpolnila vse naše odločbe. In kot vidite, Supervizor še vedno deluje. Način je isti kot pri policiji in predlogu novele zakona, o katerem smo se pogovarjali prej. Noben organ ne sme imeti neomejene možnosti zbiranja osebnih podatkov, ampak mora biti pri tem omejen s pooblastili, ki jih daje zakon, sicer dobimo Divji zahod. Odgovorni osebi KPK smo zato morali izreči globo, saj je KPK od uprave za javna plačila nezakonito prejemala ogromno podatkov o transakcijskih računih konkretnih državljanov, ki ne le da jih ni potrebovala za delovanje Supervizorja, pač pa za to ni imela opore v zakonu. Številka transakcijskega računa vsakega državljana, ki je od javnega sektorja na svoj transakcijski račun dobil ali pa javnemu sektorju s svojega transakcijskega računa plačal vsaj evro, se je znašla v Supervizorjevi zaledni bazi. To ni nekakšna poraba javnega denarja. Zato KPK do teh podatkov res ni upravičena in jih je zaradi tega iz svojih podatkovnih zbirk tudi ustrezno izbrisala.

Novela zakona o policijskih pooblastilih, napisana tako nedoločno, kot je sedaj, državljanom ne zagotavlja pravne varnosti.

Doslej smo govorili o varstvu zasebnih podatkov. Kaj pa dostop do javnih informacij – kdaj bo Slovenija šla po poti, po kateri so glede odprtosti šle skandinavske dežele ali recimo Islandija po bančni krizi?

Slovenija ima enega boljših zakonov o dostopu do informacij javnega značaja, in to na svetovni ravni. Verjetno veliko ljudi ne ve, da je bil naš zakon v primerjalni analizi nevladnih organizacij v svetovnem merilu uvrščen na drugo mesto. A vse ni v zakonu. Veliko je tudi v dojemanju pomena javnosti. Četudi se je praksa zelo izboljšala, smo v Sloveniji še vedno v fazi, ko moramo imeti zelo natančno napisano zakonodajo in moramo tudi še zmeraj imeti možnost izreči globo, da se dostop do informacij javnega značaja dejansko spoštuje. Skandinavija ni zgled zaradi zakonodaje, ampak zaradi kulture odprtosti. Tega pa nam v Sloveniji ne more prinesti noben zakon.

In katera institucija se sistematično najbolj upira dostopu do javnih informacij?

Banka Slovenije in slaba banka. Obe instituciji sta recimo vložili tožbe zoper tako rekoč vse naše odločbe.

Koga pa lahko pohvalite?

Občine. Opažamo, da se je njihova praksa v zadnjih letih glede dostopa do informacij javnega značaja precej izboljšala.

Kaj pa vi, vas je osebno kaj strah nadzora?

Vprašanje ni najboljše. Skrbi me. Google recimo zbira informacije o vsakem posamezniku. Zbira zelo veliko zasebnih podatkov. Google na neki način o vas ve vse. Ve, kje ste, kaj vas zanima, kdo ste. A Erica Schmidta, predsednika Googlove uprave, to ne moti. Ga pa zelo moti, kot smo prebrali zadnjič, da ima njegov sosed drona, s katerim leta okoli njegove posesti, s čimer moti njegovo zasebnost. Tudi to se mi zdi neverjetno.