Štátna politika v oblasti ochrany osobných údajov

Od januára 2024 platí, že za tvorbu štátnej politiky v oblasti ochrany osobných údajov je zodpovedné Ministerstvo spravodlivosti a má mu v tejto súvislosti poskytovať súčinnosť Úrad na ochranu osobných údajov SR. Túto zmenu zaviedla novela zákona o organizácii činnosti vlády zo 16. januára 2024, účinná k 1. februáru 2024. Avšak, po viac ako roku účinnosť tohto zákona sme žiadnu štátnu politiku v oblasti ochrany osobných údajov nevideli. Pritom štátna politika je možno ešte dôležitejšia ako samotný zákon o ochrane osobných údajov, ktorý má byť navyše čoskoro nahradený dvomi úplne novými zákonmi (všeobecný a "policajný").

Na úvod by možno dávalo zmysel zamyslieť sa, aký by mal byť vzťah medzi štátnou politikou a novým zákonom o ochrane osobných údajov, ktorý sa pripravuje. V prvom rade, štátna politika zo svojej podstaty tvorí vyšší súbor prvkov, pravidiel, cieľov, usmernení, opatrení, ktoré štát má napĺňať. Zákon je len jedným z viacerých nástrojov, ktorými štát plní štátnu politiku. Preto čisto pragmaticky by asi ako prvá vzniknúť štátna politika a až následne by mal vznikať zákon o ochrane osobných údajov. Prinajmenšom by mali vznikať súčasne a mali by sa „poznať“. Zdá sa, že aj štátna politika bude napokon vznikať na pôde Úradu na ochranu osobných údajov SR, ktorý obsadzuje pracovnú pozíciu s náplňou: „Tvorba stratégie a štátnej politiky vo vymedzenej oblasti na úrovni ministerstva...“

Na čo by mala štátna politika reagovať?

Každá štátna politika reaguje na konkrétny spoločenský alebo právny problém. Na začiatok by sme asi nemali opomínať správu NKÚ z roku 2020, ktorá obsahuje pomerne alarmujúce zistenia, ktoré dodnes neboli nijako ošetrené:

• 82 % subjektov, najmä menších samospráv, nemá dosť financií na zabezpečenie požadovanej úrovne ochrany údajov;

• Štát by mal na tento účel aj vyčleniť potrebné finančné prostriedky. NKÚ upozorňuje, že štát nemá prehľad o tom, koľko stojí agenda ochrany osobných údajov vo verejnej správe. Ministerstvo financií doteraz nepripravilo takúto analýzu a v konečnom dôsledku náklady ostávajú na pleciach orgánov verejnej správy.

• Ministerstvo spravodlivosti SR, v rozpore s pravidlami únie, nezabezpečilo nezávislú kontrolu nad spracovaním osobných údajov na súdoch pri výkone ich súdnej právomoci.

• 81 percent inštitúcií sa pre kontrolný úrad vyjadrilo, že nemajú finančné zdroje, aby splnili všetko, čo sa od nich pri ochrane údajov očakáva (grafy 4 a 5). Bez dostatočných financií je takmer nemožné zabezpečovať akúkoľvek vysoko odbornú činnosť.

• Nesprávne pochopenie legislatívy je možné ukázať na inštitúte tzv. zodpovednej osoby. Len menej ako štvrtina kontrolovaných subjektov uplatňovala tento inštitút správne.

• Úrad na ochranu osobných údajov by mal, predovšetkým svojou metodickou činnosťou a preventívnymi krokmi, pomáhať subjektom so správnou aplikáciou predpisov.

• Štát by sa preto mal zaoberať aj zmenami vo vnútroštátnej legislatíve.

• NKÚ SR odporúča, aby Úradu v spolupráci so zodpovednými inštitúciami prehodnotil či GDPR bolo do slovenskej legislatívy prevzaté dostatočne zrozumiteľne pre prevádzkovateľov i samotných občanov (pozn.: presne to už rieši zámer nového zákona o ochrane osobných údajov).

Vieme, že existujú aj ďalšie konkrétne nedostatky. Avšak, už vyššie uvedené zistenia NKÚ umožňujú generalizovať opatrenia v rámci štátnej politiky do troch oblastí:

1. Riadenie tejto oblasti so strany štátu a orgánov verejnej moci;

2. Kvalita právneho prostredia;

3. Činnosť dozorného orgánu (enforcement).

Zároveň je evidentné, že ide o prepojené nádoby a zlepšenie jednej oblasti bude nevyhnutne pozitívne vplývať na zlepšenie ďalších dvoch oblastí, a naopak. Avšak, ešte pred tým by mali byť stanovené všeobecné ciele štátnej politiky, ktorým by mal byť výber nedostatkov a opatrení v týchto oblastiach prispôsobený.

Čo by malo byť cieľom štátnej politiky?

Nemáme nikde stanovené, čo by malo byť cieľom štátnej politiky, no na zváženie dávame zopár námetov:

1. Laická verejnosť neoprávnene vníma túto oblasť negatívne, často ako byrokratickú prekážku. Malo by byť cieľom štátnej politiky zmeniť tento naratív? Čo spôsobuje takéto vnímanie a ako je možné to zmeniť?

2. Prípady a rozhodnutia v tejto oblasti sa nezdajú byť celospoločensky dostatočne závažné a rizikové na to, aby mali dopad na prax. Malo by byť cieľom štátnej politiky dosiahnuť menej rozhodnutí vyššej relevancie, váhy a kvality?

3. Celkové povedomie v tejto oblasti je nízke naprieč širokým spektrom spoločnosti. No cieľom štátnej politiky by malo byť zamerať sa na tú časť spoločnosti, u ktorej môže mať zvýšenie povedomia najviac pozitívny vplyv. Najväčší priestor na zlepšenie v súkromnom sektore vidíme u malých a stredných lokálnych podnikov, kde typicky táto agenda spočíva na rozhodnutiach konateľa alebo majiteľa spoločnosti v jednej osobe bez odbornej konzultačnej pomoci. Tieto podniky nepracujú s tlakom skupiny, materskej spoločnosti, reputačného rizika, zákazníka alebo auditu, ktoré sú typicky dôvodom, prečo väčšie organizácie pristupujú k povinnostiam zodpovednejšie.

4. Nemáme dostatok odborníkov v tejto oblasti, ktorých v praxi častokrát nahrádzajú externí konzultanti z iných oblastí (najmä informačnej bezpečnosti) alebo len formálne menované externé zodpovedné osoby. Na zváženie ostáva, ako štátna politika podporí vznik a vzdelávanie nových odborníkov v tejto oblasti?

5. Financovanie celej oblasti od štátneho rozpočtu, cez výber pokút až po investície do súladu zo strany adresátov normy je aktuálne absolútne nespravodlivé, nevyvážené a neefektívne. Na činnosť regulátora sa skladajú daňoví poplatníci, ktorí nie sú adresátmi povinností a spoločnosti, ktoré predpisy dodržujú, pričom regulátor sa odmieta samofinancovať z výberu pokút od tých subjektov, ktoré predpisy flagrantne porušujú. Aktuálne preto platí, že je lacnejšie predpisy porušovať ako ich dodržiavať a zároveň, že tí slušní a zodpovední platia za porušovateľov. Nemalo by byť cieľom štátnej politiky obrátiť tento stav?

6. V dôsledku všetkého vyššie uvedeného tiež klesá zamestnanosť a pracovné pozície v oblasti ochrany osobných údajov. Nemalo by byť v marko-ekonomickom záujme presunúť túto oblasť z externého konzultačného prostredia aspoň čiastočne viac do vnútornej zamestnanosti v organizáciách?

7. Nebolo by kontexte fungovania právneho štátu žiaduce, aby vymožiteľnosť pravidiel ochrany osobných údajov bola súčasne viac presunutá z administratívnych „pliec“ Úradu na ochranu osobných údajov na súdy, dozorného úradníka, monitorujúce subjekty v rámci sektorálnej samoregulácie a tretí sektor zastupujúci záujmy dotknutých osôb?

Navrhované opatrenia v jednotlivých oblastiach

Pre zjednodušenie, len formou zhrnutia, uvádzame príklady opatrení, ktorými by sa autori štátnej politiky mali podľa nás zaoberať v troch základných oblastiach:

Riadenie oblasti zo strany štátu a orgánov verejnej moci

• Vytvorenie funkcie a kancelárie dozorného úradníka na ochranu osobných údajov po vzore European Data Protection Supervisor (EDPS) ako hlavného poradného orgánu vlády so záväznými metodickými a riadiacimi právomocami voči všetkým zodpovedným osobám vo verejnom sektore.

• Štatút dozorného úradníka by mal záväzným spôsobom integrovať jeho úlohy, právomoci a postavenie do procesov štátu obdobne ako vyžaduje čl. 37 až 39 GDPR od zodpovedných osôb v organizáciách. Tým by malo byť zabezpečené, aby dozorný úradník plnil úlohu „zodpovednej osoby (DPO) štátu“. Zároveň musí byť zriadený právne záväzný rámec medzi touto funkciou a všetkými zodpovednými osobami ústredných orgánov verejnej moci a ďalšími zodpovednými osobami vo verejnom sektore.

• Zavedenie nového procesu – tzv. legislatívneho posúdenia vplyvu podľa čl. 35 ods. 10 GDPR do aktuálneho legislatívneho procesu (od MPK, cez vládu až po výbory NR SR) so začlenením všetkých relevantných osôb do daného procesu;

• Zavedenie položky do štátneho rozpočtu na zabezpečenie súladu orgánov verejnej moci a financovanie tejto položky z výberu pokút za porušovanie predpisov a z prostriedkov EÚ;

• Zavedenie princípu maximálneho zlučovania, zjednodušovania a spoločného sektorového prístupu k zabezpečovaniu súladu tam, kde majú subjekty rovnakú alebo veľmi podobnú agendu (nedáva zmysel aby napr. súdy, obce, školy, okresné úrady, orgány činné v trestnom konaní pristupovali k agende individuálne a opakovali rovnaké investície na zabezpečenie tých istých povinností).

Kvalita právneho prostredia

• Zníženie počtu dozorných orgánov v tejto oblasti na jeden (Úrad na ochranu osobných údajov);

• Rozšírenie aktuálnej pôsobnosti Úradu na ochranu osobných údajov aj o agendu:

  o ePrivacy (aktuálne patrí pod Úrad pre reguláciu),

  o Aktu o umelej inteligencii,

  o PSI smernice (zákon o slobodnom prístupe k informáciám),

  o Nariadenia o voľnom toku iných ako osobných údajov,

  o Nariadenia DSA (Digital Services Act),

  o Nariadenia DGA (Data Governance Act).

• S ohľadom na rozšírené právomoci zvážiť zmenu resp. rozšírenie aj názvu Úradu na ochranu osobných údajov SR.

• Reforma stoviek právnych predpisov, ktoré obsahujú nedostatočnú alebo konfliktujúcu úpravu spracúvania osobných údajov z pohľadu GDPR;

• Nový zákon o ochrane osobných údajov, ktorý nebude „implementovať nariadenie EÚ“ ale využije v plnej miere, kvalite a detaile splnomocňovacie ustanovenia v kapitole IX GDPR (čl. 85 až 91 GDPR) ale aj iné ustanovenia (ako napr. čl. 6 ods. 2, čl. 9 ods. 3 a pod.) a súčasne bude aj správne implementovať ePrivacy smernicu (čo dnešný § 116 ZEK nerobí).

• Zvážiť osobitnú formu civilnej žaloby na ochranu osobných údajov / súkromia / osobnosti, ktorou sa naplní právo na účinný súdny prostriedok nápravy podľa čl. 79 GDPR;

• Využitie inštitútu kolektívnych žalôb podľa čl. 80 ods. 2 GDPR, ktoré môžu podávať aj záujmové združenia kolektívnym spôsobom a navyše bez ich priameho angažovania resp. splnomocnenia zo strany dotknutých osôb.

Činnosť dozorného orgánu (enforcement)

• Zameranie dozorného orgánu na celospoločensky relevantné a strategické témy v súlade so štátnou politikou;

• Metodická činnosť dozorného orgánu od príchodu GDPR v zásade neexistuje, Úrad prijal len dve metodické usmernenia, ktoré pre prax nemali zásadný prínos. Metodické usmernenia musia byť prepojené so štátnou politikou a jej cieľmi a súčasne s rozhodovacou činnosťou Úradu.

• Každé metodické usmernenie Úradu by malo byť pripravované „verejne“ obdobne ako je tomu v prípade Výboru (EDPB). Úrad by mal využívať inštitút verejného pripomienkovania návrhov usmernení zo strany verejnosti aj iných orgánov verejnej moci.

• Dozorný orgán má povinnosť dodržiavať usmernenia Výboru (EDPB) č. 4/2022 k výpočtu pokút, čo aktuálne nerobí.

• Dozorný orgán by mal zvážiť vytvorenie pracovných skupín aj z radov odbornej verejnosti, akademickej obce, záujmových združení a iných orgánov verejnej moci v zásade vždy keď pripravuje metodické usmernenia, správy, odporúčania alebo iné dokumenty so zásadným vplyvom na vývoj v oblasti. Ide o dobrú a zaužívanú prax, ktorá súčasne má potenciál kapacitne odbremeniť preťažený dozorný orgán.

• Konzultačná činnosť dozorného orgánu v zásade skončila ukončením poskytovania telefonických konzultácií verejnosti, pričom ide o jednu z hlavných úloh, ktoré má dozorný orgán podľa GDPR plniť.

• Organizačné zoštíhlenie úradu formou zlúčenia viacerých vnútorných oddelení pod aktuálne najviac vyťažený odbor správnych konaní (najmä zlúčenie s odborom kontroly) a zároveň procesné zlúčenie kontroly a konania. Dáva zmysel organizačno-právne kumulovať ľudský kapitál z viacerých oddelení a odborov pod jedným hlavným organizačným odborom úradu. Súčasne by pod tento odbor mali prejsť zamestnanci iných orgánov, ak sa bude rozširovať pôsobnosť Úradu na ochranu osobných údajov aj o ďalšie agendy.

• Využitie všetkých nástrojov, ktoré nám GDPR ponúka na zabezpečenie súladu vrátane kódexov správania, certifikácií, pečatí, vzorových doložiek a pod.

• Úrad do dnešného dňa nezverejňuje právoplatné rozhodnutia na svojom webovom sídle, odporúčame takú povinnosť zaviesť priamo zákonom o ochrane osobných údajov, s možnosťou fulltextového vyhľadávania v rozhodnutiach;

• Výročné správy dozorného orgánu majú byť predovšetkým zamerané na rozhodovaciu činnosť dozorného orgánu, obsah rozhodnutí, jeho smerovanie, vývoj v oblasti a nie je ho organizačno-materiálne fungovanie;

• Dozorný orgán má nabádať k vypracovaniu kódexov správania tam, kde to dáva zmysel. Dozorný orgán má teda proaktívne oslovovať jednotlivé asociácie alebo združenia na vypracovanie kódexov správania a to opäť s ohľadom na štátnu politiku;

• Dozorný orgán by v rámci zvyšovania povedomia mal zverejňovať anonymné výsledky predchádzajúcich konzultácii podľa čl. 36 GDPR, ktoré majú potenciál výrazne formovať prax vo vzťahu k najviac rizikovým zámerom spracúvania osobných údajov.

Sme presvedčení, že ak aby sa len časť týchto opatrení a cieľov pretavila do štátnej politiky v oblasti ochrany osobných údajov, malo by to pozitívny dopad.

V Bratislave dňa 24. apríla 2025

Jakub Berthoty

Dagital Legal, s.r.o.