NKÚ: Štát nedodržiava predpisy na ochranu osobných údajov 

Pi, 06/19/2020 - 00:32
Stat porusuje GDPR

NKÚ zverejnil záverečnú správu s názvom „Systém ochrany a bezpečnosti osobných údajov vo verejnom sektore“.  V rámci kontrolnej akcie sa NKÚ zameral na to, ako vybraných 62 subjektov z verejného sektora dodržiava pravidlá na ochranu osobných údajov. Závery NKÚ sú nasledujúce: 

  1. Štát nemá predstavu, koľko finančných prostriedkov je potrebných na plnenie povinností podľa GDPR; 
  2. Štát nevyčlenil žiadne prostriedky na plnenie týchto povinností, aj keď to je jeho povinnosť vo vzťahu k občanom; 
  3. Zabezpečenie súladu a jeho financovanie nechal v réžii samotných prevádzkovateľov / subjektov; 
  4. V praxi sa nepodarilo zaviesť inštitút zodpovednej osoby vo verejnom sektore, pretože nie sú prostriedky na zabezpečenie „full-time“ kvalifikovanej zodpovednej osoby; 
  5. Ministerstvo spravodlivosti SR (ako osobitný dozorný orgán vo vzťahu k súdom) vôbec nezvládlo zaviesť opatrenia na zabezpečenie súladu súdov s GDPR a zákonom; 
  6. Úrad na ochranu osobných údajov SR nemá dostatočne nezávislé postavenie a rozpočtovú nezávislosť, ako vyžaduje GDPR;
  7. Záverom NKÚ odporúča Úradu na ochranu osobných údajov SR, aby prehodnotil, či požiadavky GDPR boli prevzaté v požadovanom rozsahu a spôsobom, ktorý je primerane zrozumiteľný pre prevádzkovateľov a dotknuté osoby. 

Inými slovami, NKÚ hovorí, že štát absolútne nezvládol, resp. ani sa nepokúsil zvládnuť prípravu na GDPR a náš zákon č. 18/2018 Z. z. o ochrane osobných údajov môžeme roztrhať a hodiť do koša. 

Je to naozaj pravda? 

Áno, je to pravda. V skutočnosti môže byť pravda ešte horšia. NKÚ správne popísal výsledok a veľmi dobre rozumie dôvodom, histórii a hĺbke tohto problému. Prečo? Pretože v NKÚ pracujú ľudia, ktorí v minulosti pracovali na Úrade na ochranu osobných údajov SR. Začnime však od začiatku. 

Upozorňoval niekto na tento problém dopredu? 

Áno, napríklad ja a kancelária Dagital Legal. Keď Vás nikto nepochváli, musíte sa pochváliť sám. Samozrejme, ako už býva zvykom, experti na ochranu osobných údajov môžu, a preto aj budú tvrdiť, že o tomto probléme veľmi dobre vieme už dlho, a je to pravda. Je však rozdiel pritakávať existujúcemu problému a povedať k nemu niečo aj verejne. Úplne najlepšie je, keď niekto vie aj navrhnúť konkrétne riešenia. 

Koľkokrát sme sa snažili štátu podať pomocnú ruku? 

Neviem to spočítať, ale skúsim popísať aspoň tie najdôležitejšie momenty, na ktoré si ešte pamätám. 

Ešte koncom 2016 sa mi do uší dostala informácia, že Úrad pracuje na novom zákone, v ktorom údajne rieši obrovský výkladový problém týkajúci sa „činností, ktoré nepatria do právomoci Únie“ v zmysle čl. 2 ods. 2 písm. a) GDPR. Zorganizoval som vtedy písomnú výzvu, pod ktorú sa podpísali zodpovedné osoby významných spoločností a vyzvali sme spoločne Úrad k tomu, aby z tohto nerobil problém a vyriešil to jednou vetou. Niečo v duchu: „V oblastiach, ktoré nepatria do právomoci Únie, sa uplatňujú pravidlá GDPR rovnako, a to odkazom na toto ustanovenie.“ Súčasťou listu bola pomocná ruka štátu a odporúčanie k niektorým ďalším bodom. Na problém so zákonom som tak upozorňoval ešte predtým, ako zákon vznikol. 

Následne si pamätám stretnutie na Úrade, na ktorom mi vtedajšia vrchná inšpektora povedala, že podľa legislatívcov Ministerstva spravodlivosti SR to, čo navrhujeme, nie je možné, lebo by išlo o rozširovanie pôsobnosti práva Únie. Preto sa prekopírovalo celé znenie GDPR do druhej časti zákona a nikto dodnes nevie, na ktoré situácie sa má táto časť použiť, lebo nikto z nás nie je oprávnený rozhodovať, kde sú hranice pôsobnosti práva Únie.

V priebehu roka 2018 sme zorganizovali viaceré semináre na tému „šedé oblasti GDPR“, kde sme upozorňovali na výkladové problémy, ktoré mal náš zákon odstrániť alebo sa im vyvarovať. Zúčastňovala sa ich za Úrad aj vrchná inšpektorka, čo som vtedy oceňoval, zákon sa nám ale nepodarilo zmeniť.  

Koncom roka 2018 Úrad podpredsedu vlády pre informatizáciu a investície zverejnil dokument „Akčný plán digitálnej transformácie Slovenska 2019 - 2022“, ktorý ma veľmi zaujal. Rozhodli sme sa ho v januári 2019 celkom detailne pripomienkovať z pohľadu našich skúseností v oblasti ochrany osobných údajov, a to aj formou zmien priamo v dokumente aj formou samostatného vysvetľujúceho memoranda tak, aby UPVII ani nemusel pohnúť prstom, ak by sa s nami stotožnil. Ak máte záujem, prepošlem obratom oba dokumenty. Odporúčali sme UPVII (okrem iného), aby: 

  • Posúdenie vplyvu podľa čl. 35 GDPR bolo zavedené do legislatívneho procesu a aby k nemu bola vytvorená metodika; 
  • Vznikla po vzore European Data Protection Supervisor pozícia „Chief DPO štátu“ alebo „Dozorný úradník“, ktorý by metodicky zastrešoval, usmerňoval a vzdelával všetkých štátnych DPOs a zohrával by kľúčovú úlohu aj v procese legislatívneho posúdenia vplyvu; 
  • Si dali pozor na viaceré interpretačné „preklepy“ medzi GDPR, zákonom o ochrane osobných údajov, zákonom o údajoch a ePrivacy, ktoré už samotný akčný plán obsahoval.

Začiatkom júna 2019 sa konala historicky jediná konferencia, o ktorej vieme, že bola poctená oficiálnou záštitou Úradu na ochranu osobných údajov SR, resp. pani predsedníčky. Akcia bola masívne “obrendovaná” marketingom spoločnosti osobnyudaj.sk, ktorá bola generálnym partnerom podujatia. Samozrejme, neboli sme na ňu pozvaní, ale dnes už chápeme prečo. 

Koncom júna 2019 som napísal a zverejnil blog s názvom „10 odporúčaní pre lepší zákon o ochrane osobných údajov”.  Odporúčam Vám prečítať si ho, je bohužiaľ stále aktuálny. Dúfali sme, že dobre mienenú kritiku zoberie Úrad konštruktívne, ale nestalo sa tak. Naopak, postupne k nám prenikali z rôznych zdrojov informácie, že sme sa dostali na „čierny zoznam pani predsedníčky“. 

Na konferencii v máji 2019 nám bolo neformálne zo strany UPVII povedané, že si naše pripomienky k akčnému plánu prešli zo zástupcami Úradu na ochranu osobných údajov SR, ktorí im k tomu povedali, že „celé zle“, a tak boli zahodené do koša. 

V lete 2019 sme sa dostali do interpretačného problému v rámci konania o schválení kódexu správania. Reakcia Úradu? Poslal kontrolu ku štyrom členom. Všetky boli zamerané na presne túto výkladovú otázku. Jeden kontrolór sa nechal počuť, že ich poslali nájsť porušenie. 

Bolo nám jasné, že Úrad vedú ľudia, ktorí nemajú úprimný záujem na tom, aby boli pravidlá v tejto oblasti nastavené jednoducho, zrozumiteľne a efektívne. Aj keď pani predsedníčka na Úrade už skončila, jej ľudia, ktorí plnili príkazy a zasahovali do prebiehajúcich konaní, stále na Úrade sedia a robia „naprieky“ a „podpásovky“ aj novej vláde, pretože ju vidia ako svojho nepriateľa. Úrad treba vyčistiť, pretože sú tam stále aj slušní úradníci, ktorí sa snažia robiť si svoju prácu dobre, za málo peňazí, v škaredých priestoroch, zo zlým vedením a pod tlakom verejnosti. 

Prečo o tom píšem?

Ide nám len o to, aby sa tieto predpisy naozaj začali dodržiavať. Nie preto, že je to správne. Nie sme pokrytci ani aktivisti. Ide nám o kvalitu času, ktorí trávime v práci (je ho veľa). Venujeme tejto oblasti väčšinu nášho každodenného života na úkor zdravia a rodiny. Nebaví nás riešiť donekonečna opakované evergeeny typu kamerové systémy, monitoring zamestnancov a rodné čísla. Chceme, aby sa naozaj úroveň debaty v tejto oblasti posunula vyššie, aby sa naša špecializácia a naše kvality ukázali naplno. 

Prechod na GDPR sa nie len že nepodaril, ale ani náznakom nenastal. Štát má obrovský problém a len veľmi málo ľudí ho vie vôbec pomenovať, nie to navrhnúť jeho riešenie. 

Bolo by už načase dať to všetko do poriadku. 

 

Jakub Berthoty

Dagital Legal