SLOVENSKO
Ochrana osobných údajov na Slovensku? Kritika činnosti regulátora a legislatívneho procesu
Upozornenie na zaostávanie za európskymi štandardmi, no aj vyzdvihnutie práce súdov.
Advokátska kancelária DAGITAL Legal zverejnila začiatkom roka 2021 na svojich stránkach dokument „Správa o ochrane osobných údajov za rok 2020“, v ktorom prináša odbornej aj laickej verejnosti prehľad udalostí, ktoré sa na Slovensku udiali počas uplynulého roka v oblasti ochrany osobných údajov. Správa poukazuje jednak na nedostatky v aktuálnom legislatívnom procese a v činnosti Úradu pre ochranu osobných údajov, no zároveň vyzdvihuje, na základe konkrétnych rozhodnutí v tejto oblasti, rozhodovaciu prax slovenských súdov.
Zverejnená Správa o ochrane osobných údajov za rok 2020 je jedinečný sumár v slovenských reáliách, keďže v oblasti ochrany osobných údajov boli doteraz dostupné len výročné správy Úradu pre ochranu osobných údajov SR („Úrad“). Tie sa ale zameriavali skôr na štatistiky o činnosti samotného Úradu a nevenovali sa dostatočne problematike samotnej. Komplexný dokument, ktorý pripravili advokáti z DAGITAL Legal mapuje relevantné legislatívne udalosti, činnosť a pokuty uložené Úradom a rozhodnutia súdov v skúmanej oblasti, ktoré doteraz neboli verejne dostupné.
Legislatívne udalosti ovplyvnila pandémia
Pandémia a jej dôsledky priniesli veľký verejný a mediálny tlak na kvalitu právnych predpisov aj vo vzťahu k ochrane osobných údajov a súkromia. V priebehu roka 2020 bol na základe uznesenia Ústavného súdu SR zúžený rozsah údajov, ktoré telekomunikační operátori poskytovali Úradu verejného zdravotníctva SR, viackrát bol novelizovaný Zákon o ochrane verejného zdravia (napríklad kvôli využívaniu aplikácií na sledovanie dodržiavania karantény) a prezidentka odmietla podpísať novelu zákona o elektronických komunikáciách. Témou týchto udalostí bola aj ochrana súkromia a osobných údajov. „Pri každom strete GDPR, zákona o ochrane verejného zdravia a zákona o elektronických komunikáciách bolo v roku 2020 viac ako kedykoľvek predtým cítiť absenciu nezávislého orgánu, ktorý by dokázal poskytnúť metodickú a analytickú podporu pre zodpovedné osoby štátu. Táto agenda je riešená ad hoc, neriadene a bez rozpočtu, čo, ostatne potvrdil aj NKÚ vo svojej správe. Aj na úrovni EÚ máme dva samostatné orgány – výbor a dozorného úradníka,“ upozorňuje odborník na ochranu osobných údajov Jakub Berthoty. „Základné otázky týkajúce charakteru a fungovania právnych základov zákonnej povinnosti, verejného a oprávneného záujmu mali byť pritom v našom právnom poriadku dávno vyjasnené, no evidentne nie sú a absencia niekoho, ako je dozorný úradník spôsobuje v kombinácii s aktuálnym prístupom Úradu problémy,“ zdôrazňuje Jakub Berthoty.
Zaostávame za európskymi štandardmi
Veľká časť verejných a mediálnych vyjadrení Úradu sa v roku 2020 venovala témam spojeným s pandémiou. Úrad sa vyjadroval k projektu inteligentnej karantény, aplikáciám, či celoštátnemu testovaniu. Niektoré stanoviská Úradu súvisiace s plošným testovaním pritom považuje odborná verejnosť za problematické a vyslúžili si vlnu kritiky. Správa Úradu pre ochranu osobných údajov vyčíta aj niekoľko ďalších pochybení: „Hodnotiť pozitívne činnosť nášho regulátora, celkové riadenie tejto oblasti z pohľadu štátu a z pohľadu legislatívneho procesu by bolo klamanie seba samého. Existujú síce členské štáty ako Estónsko, kde dodnes neexistuje ani jediná pokuta udelená podľa GDPR. Ak sa však pozrieme na západné európske krajiny, zistíme, že Slovensko síce vykazuje určitú administratívnu činnosť, ale v skutočnosti sme na úplnom začiatku v budovaní tejto oblasti.“
V zahraničí boli témou roka cezhraničné prenosy do USA a Spojeného kráľovstva, v dôsledku zrušenia EU-US Privacy Shield a Brexitu. Zahraničné dozorné orgány sa venovali posúdeniu používania produktov ako Microsoft 365 Office, Google Analytics, cieleniu reklamy cez sociálne siete a spracúvaniu cookies v kontexte pripravovaného nového ePrivacy nariadenia. Tieto nástroje používajú takmer všetci prevádzkovatelia aj na Slovensku a citlivosť týchto spracovateľských operácii je neporovnateľná s agendou COVID-19, kamerovými systémami, rodnými číslami, zverejňovaním zmlúv a podobnými témami, ktorým sa už tradične venuje náš Úrad. Ide však o nepochybne komplexnejšie témy, ktoré vyžadujú oveľa náročnejší výklad, ku ktorému sa prax Úradu ešte nedostala.
Nedostatky v činnosti regulátora
Správa tiež kritizuje Úrad za to, že od mája 2018 neprijal vyhlášky, s ktorými počíta zákon o ochrane osobných údajov od 25. mája 2018. „Úrad už viac ako dva a pol roka čaká na napísanie listu Výboru, v ktorom by si nechal potvrdiť akreditačné a certifikačné kritéria. Pritom návrh týchto kritérií, ako aj samotnú vyhlášku sme Úradu pripravili. Viaceré sektory, vrátane advokátov, bánk a poisťovní, majú kódexy správania, ale nemôžu pristúpiť k ich uplatňovaniu v praxi. Tieto kódexy sú pritom prospešné pre všetkých, keďže častokrát naprávajú výkladové medzery a nezrovnalosti v právnych predpisoch.“ dodáva k správe advokát Jakub Berthoty z DAGITAL Legal.
Alarmujúca je podľa správy aj neexistencia tzv. legislatívneho posúdenia vplyvu na ochranu osobných údajov, napriek viac ako 4 rokom na jeho prípravu. Na Slovensku stále neexistuje ustálený postup, v rámci ktorého by legislatívci hodnotili dopady legislatívy na základné práva a slobody fyzických osôb pri spracúvaní osobných údajov. Postup, ktorý odporúča na posúdenie vplyvu samotný Úrad, je podľa advokáta Berthotyho nepoužiteľný na legislatívny proces: „Vyhláška 158/2018 sa nedá použiť v legislatívnom procese z jednoduchého dôvodu. Písal ju totiž niekto, kto nevie ako má posúdenie vplyvu vyzerať. Má ísť o ľudsko-právnu dopadovú analýzu; stačí sa pozrieť ako vyzerajú zverejnené posúdenia vplyvu vládnych inštitúcii v zahraničí. Nemá to nič spoločné s obsahom tejto vyhlášky, ktorá sa navyše ani neaplikuje na režim GDPR.“
Absencia právnych zástupcov pri kontrolách zo strany Úradu
Väčšina z rozhodnutí, ktoré Úrad vydal v roku 2020, sa týka spracúvania osobných údajov v režime podľa GDPR po 25. máji 2018. Najčastejšie pokutované subjekty zo strany Úradu boli v uplynulom roku mestá a obce, pričom najvyššia známa pokuta udelená mestu bola vo výške 10,000 eur a týkala sa informačných povinností pri obecnom kamerovom systéme (ešte v roku 2019). Najčastejšie porušenia zo strany miest a obcí v roku 2020 sa týkali problematického zverejnenia osobných údajov, či už v rámci povinne zverejňovaných zmlúv, obecných magazínov alebo informačných portálov a násteniek. Obce častokrát nesprávne zverejňujú informácie o jubilantoch, narodených deťoch alebo zosnulých osobách. GDPR zverejňovanie týchto informácií explicitne nezakazuje, no obce mávajú problém zabezpečiť súlad s platnou legislatívou. Okrem obcí boli pokutované aj obchodné reťazce, finančný sprostredkovateľ, dopravný podnik, ale aj ďalšie subjekty. „Z rozhodnutí Úradu vyplýva, že mnoho prevádzkovateľov nevyužíva pri kontrolách a konaniach o ochrane osobných údajov právnych zástupcov. Vo viacerých prípadoch absentovala kvalitná právna argumentácia, ktorá by sťažila Úradu prijatie rozhodnutia,“ konštatujte advokát Jakub Berthoty z DAGITAL Legal.
Vyzdvihnutie práce súdov
Správa však hodnotí pozitívne rozhodovaciu prax slovenských súdov. „Na rozdiel od Úradu si súdy nevedia vybrať agendu tým, že začnú konanie z vlastnej iniciatívy. Judikatúra v tejto oblasti trpí tým, že je málo žalobcov. Avšak, v rozhodovacej praxi súdov neexistuje výslovne nesprávne, kontroverzné alebo niečím vyčnievajúce rozhodnutie v oblasti ochrany osobných údajov. Naopak, badať stopy po ustálení judikatúry v opakujúcich sa veciach, ako je stret s info-zákonom. Zároveň treba oceniť aj prvé pokusy o odvážnejšie výklady definície osobných údajov ale aj prípady, kde súdy namiesto zbytočného teoretizovania jednoducho zachovali zdravý rozum,“ uvádza Správa o ochrane osobných údajov od advokátskej kancelárie DAGITAL Legal, ktorá sa dlhodobo venuje problematike.