Ak sa oplatí ignorovať zákon o ochrane osobných údajov, niečo asi nie je v poriadku

O stave ochrany osobných údajov na Slovensku vypovedá aj to, do akej miery prevádzkovatelia IS rešpektujú (prípadne sú nútení rešpektovať) zásady ochrany osobných údajov. Keby sme sa mohli spoľahnúť na to, že každý prevádzkovateľ má „vrodenú úctu“ k právam dotknutých osôb a tomu prispôsobí svoje nakladanie s ich osobnými údajmi, nepotrebovali by sme zákon. Keby sme sa mohli spoľahnúť na to, že každý prevádzkovateľ má úctu k zákonom, ktoré sa na neho vzťahujú, a bez ďalšieho pobádania proste rešpektuje čo mu ukladajú, nepotrebovali by sme v zákone časť venovanú sankciám. Ak máme zákon o ochrane osobných údajov, v ňom časť venovanú (nie zanedbateľným) sankciám, a napriek tomu sa „oplatí“ zákon nerešpektovať, niečo asi nie je v poriadku. Menšia analýza údajov o kontrolnej činnosti Úradu (na ochranu osobných údajov) v rokoch 2009 – 2011 ukazuje, kam sme sa v tomto smere dostali.

Aká je šanca, že Úrad vykoná kontrolu u prevádzkovateľa IS, ktorý spracúva osobné údaje? K 31. decembru 2011 bolo v registri organizácií Štatistického úradu SR evidovaných 153 881 podnikov a 56 206 neziskových inštitúcií. Pomerne bezpečne môžeme predpokladať, že z tých, ktoré sú aktívne, naprostá väčšina prevádzkuje aspoň jeden IS s osobnými údajmi (vlastných zamestnancov v rámci personálnej a mzdovej agendy a/alebo zmluvných spolupracovníkov). Ďalej, Štatistický úrad SR ku koncu decembra 2011 registroval 402 325 fyzických osôb – podnikateľov. Aj keď predpokladáme, že len menšia časť z nich má zamestnancov a teda spracúva osobné údaje v rámci personálnej a mzdovej agendy, iná časť z nich – napríklad advokáti či lekári – určite spracúva osobné údaje ďalších dotknutých osôb. Odhad 100 000 prevádzkovateľov IS s osobnými údajmi na Slovensku bude pravdepodobne skôr konzervatívny, ale pre jednoduchosť pracujme ďalej s týmto číslom.

Úrad vykoná prešetrovanie/kontrolu u prevádzkovateľa buď na základe oznámenia „zvonku“, alebo z vlastného rozhodnutia („ex offo“). Časť oznámení „zvonku“ pritom z rôznych dôvodov odloží, takže môžeme predpokladať že ich vybavenie nevygeneruje kontrolu u prevádzkovateľa. Z údajov, ktoré mi Úrad poskytol, vyplýva, že za posledné roky sa počet prešetrovaní („ex offo“ plus počet oznámení mínus počet odložených oznámení) pohyboval okolo 300 za rok (presnejšie, v roku 2009 to bolo 279, v roku 2010 ich bolo 305 a v roku 2011 to bolo 295). Ak by sa teda výber prevádzkovateľov na prešetrenie/kontrolu každoročne realizoval náhodným výberom 300 subjektov zo 100 000, pravdepodobnosť výberu konkrétneho subjektu by bola tak malá, že vcelku vierohodne by sa dalo argumentovať, že sa prevádzkovateľovi „oplatí“ nevenovať pozornosť povinnostiam, ktoré mu ukladá zákon o ochrane osobných údajov.

Samozrejme, v realite sa výber prevádzkovateľov na prešetrenie/kontrolu nerealizuje náhodne, ale podstatnú rolu zohráva subjektívny faktor. Pre prípady „ex offo“, ktoré tvoria „menšiu polovicu“ prešetrovaných prípadov (48% v r. 2009, 44 % v r. 2010 a iba 17% v r.2011) je (bol) týmto subjektívnym faktorom vrchný inšpektor Úradu, v ostatných prípadoch sú za prešetrením/kontrolou ľudia, ktorí – obvykle na základe vlastnej skúsenosti, alebo pozorovania – nadobudli podozrenie, že konkrétny prevádzkovateľ porušuje zákon. Prináša subjektívny faktor pre priemerného prevádzkovateľa významne väčšiu pravdepodobnosť kontroly Úradu ako v prípade náhodného výberu?

Informácie v Správe o stave ochrany údajov, ktorú každé dva roky vyprodukuje Úrad naznačujú, že výber pre spomenuté „ex offo“ kontroly sa spravidla robí sektorovo, t.j.  neurčuje sa konkrétny prevádzkovateľ, ale ten-ktorý sektor a následne sa vykonajú kontroly pre nejakú podmnožinu prevádzkovateľov z toho sektora. Je to teda niečo ako  chytanie rýb naslepo – vyberieme miesto, hodíme do vody sieť a dúfame, že niečo chytíme. Na druhej strane kontrola vykonaná na základe oznámenia, je presne zameraná na konkrétneho prevádzkovateľa, ktorý je tak už vopred podozrivý z porušenia zákona a ide len o overenie, či je toto podozrenie odôvodnené. Je zrejmé, že prevádzkovateľ, ktorý porušuje zákon, má väčšiu šancu uniknúť kontrole, ak sa kontrolované subjekty vyberajú prvým spôsobom, ako keď na neho priamo niekto ukáže. Podiel „ex offo“ prípadov však v posledných rokoch postupne klesal (48% v r. 2009, 44% v r. 2010, iba 17% v r. 2011), čo znamená, že stále viac je hlavnou reálnou hrozbou pre prevádzkovateľa porušujúceho zákon to, že na neho niekto podá oznámenie.

Prevádzkovateľova šanca vyhnúť sa kontrole Úradu sa teda podstatne zlepší ak sa mu podarí nepritiahnuť na seba pozornosť (resp. nepoštvať proti sebe) niekoho, kto má aspoň základné znalosti o zákone na ochranu osobných údajov a nelení sa mu podať Úradu sťažnosť či oznámenie. Zatiaľ to asi nebude až tak ťažké, pretože nič nenasvedčuje tomu, že by takýchto ľudí bolo toľko, aby zvládli pokryť významnejšiu časť z uvažovaných 100 000 prevádzkovateľov – aspoň taký záver sa dá odvodiť zo skutočnosti, že v posledných rokoch bolo podaných len 188 (r. 2009), 205 (r. 2010) či 278 (r. 2011) oznámení (a ešte aj z nich bolo odložených 23% v r. 2009, 17% v r. 2010 a 12% v r. 2011).

To však ani zďaleka nie je všetko. Ak už aj prevádzkovateľovi naozaj nepraje šťastie a – obrazne povedané – kontrola z Úradu mu zvoní pri dverách, ešte stále nie je (skoro) nič stratené. Po prvé, v spomenutej Správe o stave ochrany osobných údajov sa možno dočítať, že ani zistenie viacerých porušení zákona prevádzkovateľom nevedie automaticky k udeleniu pokuty – Úrad hovorí, že sa zameriava na prevenciu, čo v praxi znamená, že na zistené porušovania ustanovení zákona reaguje v štýle „no-no-no, napravte si to!“ Po druhé, údaje potvrdzujú, že v uplynulých rokoch inšpektori Úradu aj pri objavení porušení zákona iba v naozaj malom počte prípadov udeľovali pokuty (podiel prešetrovaní/kontrôl, ktoré vyústili do udelenia pokuty bol v r. 2009 len 4,7%, v r. 2010 len 5,9% a v r. 2011 iba 2,4% z celkového počtu). Po tretie, dostupné údaje vypovedajú o tom, že pri rozhodovaní o udelení pokuty zrejme zavážilo aj umiestnenie sídla prevádzkovateľa – inak povedané, pravdepodobnosť udelenia pokuty bola nepriamo úmerná vzdialenosti od Bratislavy.  Po štvrté, ak aj Úrad prevádzkovateľovi udelil pokutu, v nie zanedbateľnom počte prípadov (pätina z celkového počtu rozhodnutí o udelení pokuty za obdobie 2009 – 2011) ho tým trestal nie za zistené nerešpektovanie princípov spracovania osobných údajov či nedostatky v ich ochrane, ale za previnenia typu „neinformoval Úrad o splnení uložených opatrení“ či „neposkytol požadovanú súčinnosť“. Takže už aj tak malú pravdepodobnosť udelenia pokuty možno ďalej znížiť prejavením patričného rešpektu voči zamestnancom Úradu, ktorí prišli na kontrolu…

Ak to zhrnieme – stav, do ktorého sme sa dostali je taký, že pravdepodobnosť, že Úrad vykoná u prevádzkovateľa kontrolu, je malá a dá sa ešte znížiť tým, že prevádzkovateľ nebude na seba pútať pozornosť ľudí, ktorí čo-to vedia o ochrane osobných údajov a nelení sa im podať Uradu oznámenie. Aj keď Úrad vykoná u prevádzkovateľa kontrolu, pravdepodobnosť, že sa rozhodne udeliť pokutu, je malá a to aj keď kontrola odhalí porušovanie viacerých ustanovení zákona (naviac, táto pravdepodobnosť sa dá ešte znížiť umiestnením sídla prevádzkovateľa čo najďalej od Bratislavy, ako aj prejavením náležitého rešpektu voči inšpektorom Úradu a ich pokynom). A keď už sa Úrad rozhodne udeliť pokutu, dostupné údaje ukazujú (a Úrad sa tým ani netají),  že pri rozhodovaní o výške udelenej pokuty aj bezmála desať rokov po prijatí zákona Úrad preferuje výšku pokuty pri dolnej hranici z rozpätia, ktoré mu zákon dáva. Čo má potom prevádzkovateľa IS pobádať k tomu, aby rešpektoval zásady ochrany osobných údajov, ktoré spracúva (povinnosti, ktoré mu ukladá zákon o ochrane osobných údajov)?

Ak máme zákon o ochrane osobných údajov, v ňom časť venovanú (nie zanedbateľným) sankciám, a napriek tomu sa „oplatí“ zákon nerešpektovať, niečo asi nie je v poriadku.  Uvedomujem si, že personálne kapacity Úradu neumožňujú významnejšie zvýšiť počet prešetrovaní/kontrôl, ktoré je Úrad schopný u prevádzkovateľov realizovať, a bolo by naivné očakávať ich podstatné posilnenie. To, či sa prevádzkovateľom „oplatí“ ignorovať zákon, však neovplyvňuje len vyšší počet kontrôl, ale predovšetkým celkový prístup Úradu ku kontrolnej činnosti, jeho „viditeľnosť“, autorita, povedomie občanov, … Ak však Úrad bude tak ako doteraz spokojne vegetiť v ústraní a usilovať sa nevzbudiť pozornosť, ak ignorovanie zákona nebude pre prevádzkovateľa spojené s jasnými a neprehliadnuteľnými následkami, ak sa nebude nikto usilovať zväčšiť podiel občanov, ktorí upozornia na porušovanie princípov spracovania a ochrany osobných údajov, tak potom sa prevádzkovateľom naozaj oplatí nenechať sa vyrušovať nejakými zásadami ochrany osobných údajov. A to asi nie je stav, ktorý by si zodpovedný človek želal.

Ostatné články tejto série: prvý, druhý, tretí, štvrtý

Jozef