Vyhovárať sa na zákon o ochrane osobných údajov môže byť aj obyčajným zavádzaním

„Žiadali sme starostu, aby zverejnil dokument XXX a on to odmietol, „lebo osobné údaje“ … to fakt? Načo je taký zákon o ochrane osobných údajov?“ Aj takto môže vyzerať popis „zrážky“ občana so zákonom o ochrane osobných údajov, ktorý sa ku mne dostal v rámci otázok, s ktorými na mňa ľudia obracajú. Ak má pritom občan pocit, že je spravodlivé, aby on či ľudia všeobecne poznali, ktože sa to v tom XXX vyskytuje, je pravdepodobné, že do zoznamu osôb s odmietavým názorom na zákon na ochranu osobných údajov práve pribudol ďalší člen. Slabé právne povedomie na Slovensku má až príliš často za následok to, že občana ani nenapadne, že by výhovorka „lebo osobné údaje“ mohla byť obyčajným blufovaním. Alebo, ak ho to aj napadne, nevie ako si to overiť. Zákon o ochrane osobných údajov mu pritom takéto niečo často umožňuje a nemusí to byť až tak zložité.

Poznámka: aby som nevzbudzoval falošné nádeje – to, čo popisujem ďalej, je možné použiť „proti“ rôznym prevádzkovateľom informačných systémov osobných údajov, nie však proti všetkým, nakoľko ani zákon o ochrane osobných údajov sa v celom svojom rozsahu nevzťahuje na každého, kto spracúva osobné údaje … takže napr. na Slovenskú informačnú službu by som to neskúšal…  🙂

Začneme tým, že dôvod „lebo osobné údaje“ nie je argumentom, ktorý definitívne ukončí diskusiu a kladenie otázok. Zákon o ochrane osobných údajov ako taký totiž nezakazuje (s výnimkou rodného čísla) zverejňovanie či sprístupňovanie osobných údajov, takže „lebo osobné údaje“ ako dôvod odmietnuť zverejnenie či sprístupnenie môže byť ako pravdou, tak aj chabou výhovorkou, obyčajným zavádzaním.

Kľúčom je tzv. právny základ spracúvania osobných údajov, o ktoré ide. Neformálne povedané ide o to, že osobné údaje možno spracúvať buď keď to umožňuje alebo prikazuje nejaký zákon (resp. zákon ukladá povinnosti, na splnenie ktorých je potrebné spracúvať niektoré osobné údaje), alebo na základe súhlasu dotknutej osoby. Zo znalosti právneho základu spracúvania predmetných osobných údajov potom možno odvodiť, či, resp. za akých podmienok, je možné zverejniť či sprístupniť predmetné osobné údaje. Zjednodušene, ak sa údaje spracúvajú na základe súhlasu dotknutej osoby, môžu sa aj zverejniť/sprístupniť len na základe súhlasu tej dotknutej osoby; ak na základe nejakého zákona, je potrebné do toho zákona nazrieť, čo sa v ňom o prípadnom zverejňovaní či sprístupňovaní spracúvaných údajov píše.

Ako ale zistiť právny základ spracúvania osobných údajov, o ktoré ide (ono XXX spomenuté na začiatku tohto príspevku)? V popisovanom príklade by to mohla byť otázka na starostu (niečo ako „na akom právnom základe boli získané a spracúvané osobné údaje pre XXX?“), ale pokiaľ nejde o ústretovú osobu, ktorá aj rozumie čo to ten „právny základ“ vlastne je, neočakával by som správnu odpoveď, či odpoveď vôbec. Našťastie, v takomto prípade občan ani nie je odkázaný na nejakú ústretovosť – zákon o ochrane osobných údajov celkom jasne ukladá tomu, kto spracúva osobné údaje, povinnosť aj takýto údaj poskytnúť „…komukoľvek, kto o to požiada“.

Ide o údaje o informačnom systéme osobných údajov, medzi ktorými sú aj také zaujímavé informácie ako: aké osobné údaje sa v systéme spracúvajú a na aký účel, právny základ ich spracúvania, okruh dotknutých osôb, komu a na akom právnom základe sa údaje zo systému poskytujú alebo sprístupňujú, a tiež či a na akom právnom základe sa údaje zo systému zverejňujú. Tomu, kto prevádzkuje informačný systém osobných údajov, zákon ukladá povinnosť buď takéto údaje o systéme oznámiť Úradu na ochranu osobných údajov, alebo ich viesť v tzv. evidencii informačných systémov, ktoré prevádzkuje. S trochou zjednodušenia sa dá povedať, že Úradu sa oznamujú informačné systémy v ktorých sa osobné údaje spracúvajú na základe súhlasu dotknutej osoby, o tých ostatných systémoch (spracúvanie osobných údajov umožňuje alebo prikazuje nejaký zákon) si každý prevádzkovateľ musí viesť evidenciu, ktorú podľa §44 zákona je „povinný sprístupniť bezplatne komukoľvek, kto o to požiada“.

Takže v prípade, ktorým tento príspevok začal, by občan namiesto nadávania na zákon o ochrane osobných údajov mohol  požiadať starostu (resp. jeho úrad) o sprístupnenie evidencie všetkých informačných systémov osobných údajov, ktoré prevádzkuje. Všetkých preto, že občan asi nebude vedieť ako sa menuje systém, ktorý vyprodukoval ono XXX, takže bude musieť medzi nimi hľadať ten správny (hint: podľa účelu spracovania, čo musí byť v evidencii uvedené pre každý systém). Ak občan nechce počúvať trápne výhovorky, nezaškodí, ak sa v žiadosti preventívne odvolá na §44 zákona č. 122/2013 Z.z. o ochrane osobných údajov v znení neskorších predpisov, ktorý starostovi/úradu jasne ukladá tie údaje z evidencie sprístupniť. V tom lepšom prípade mu vyhovejú a nahliadnutím do údajov evidencie (kolonky Poskytovanie o.ú., Sprístupňovanie o.ú. a Zverejňovanie o.ú.) si overí, či naozaj XXX nie je možné sprístupniť či zverejniť. A ak si prípadnú negatívnu odpoveď chce osobne skontrolovať, v kolonke Právny základ spracúvania o.ú. nájde číslo zákona (zákonov), v ktorom si môže sám overiť či, komu, a za akých podmienok je možné spracúvané osobné údaje sprístupniť alebo zverejniť.

Ak starosta/úrad občanovi odmietne evidenciu sprístupniť, alebo jeho žiadosť ignoruje (prípadne v evidencii uvádza nepravdivé informácie), riskuje udelenie pokuty od 300 do 3000 eur (§68 ods. 1 zákona) zo strany Úradu na ochranu osobných údajov … a pokiaľ pri kontrole podnetu zo strany občana inšpektori Úradu objavia aj iné porušenia zákona, aj viac. Pochopiteľne len ak sa Úrad o takom porušení zákona dozvie – a to už je na občanovi, či sa tak stane. Ale keby aj Úrad bol voči starostovi/úradu zhovievavý, určite bude nástojiť na dodržaní zákona, teda aby občanovi bola tá evidencia sprístupnená.

Jozef