Ochrana osobných údajov – dosť sa o nej hovorí, ale ako sa ukazuje, stále je dosť ľudí, ktorí nechápu o čo ide. Presnejšie, pod ochranou osobných údajov sa často rozumie len nutnosť prijať bezpečnostné opatrenia, ktoré povolia prístup k osobným údajom len pre niektoré „oprávnené osoby“. Ak to takto vnímajú bežní ľudia, nič strašné sa nemusí stať … ak však ochrane osobných údajov nerozumejú ani ľudia, ktorí pripravujú a schvaľujú zákony, výsledkom je zákon, ktorého ustanovenia popierajú základné princípy ktorými sa v EÚ riadi ochrana osobných údajov. V tomto prípade mám na mysli zákon o vysokých školách, konkrétne jeho ustanovenia ktoré hovoria o centrálnom registri študentov.
Základné princípy ochrany osobných údajov totiž o.i. stanovujú, že sústreďovať osobné údaje možno iba na vopred jasne určený účel a iba v rozsahu primeranom pre tento účel – teda žiadne zbieranie údajov „pre istotu, veď čo keby sme ich niekedy na niečo potrebovali…“. Skrátka, ten, kto chce zbierať/spracúvať osobné údaje, by mal vedieť presne špecifikovať na aký účel ich chce spracúvať a mal by tiež vedieť vyargumentovať, že všetky tie údaje, ktoré mieni sústreďovať, naozaj potrebuje na ten účel. Až potom, ako sú tieto podmienky (a ešte zopár ďalších) splnené, je možné začať zbierať osobné údaje, spracúvať ich a samozrejme zabezpečiť ich pred neoprávneným prístupom.
A teraz sa pozrime na to, ako si spracovanie osobných údajov študentov predstavuje zákon o vysokých školách. Je jasné, že každá vysoká škola, ak má plniť čo sa od nej očakáva, musí spracúvať osobné údaje (svojich) študentov – takže neprekvapuje, že zákon uvádza, že vysoká škola vedie register svojich študentov ktorý slúži na „evidenciu študentov a na štatistické účely a rozpočtové účely.“ Zákon ďalej špecifikuje vcelku obvyklé základné osobné údaje, ktoré sa majú o študentovi viesť – po malom premýšľaní by nemal byť problém nájsť odôvodnenie pre zbieranie každého z tam vymenovaných údajov. To platí aj pre ďalšie údaje, ktoré sa o každom študentovi majú viesť a ktoré súvisia s jeho štúdiom – skrátka, z hľadiska základných princípov ochrany osobných údajov je všetko v poriadku.
Ten istý zákon však zároveň uvádza, že ministerstvo vedie „centrálny register študentov“ ktorý má obsahovať všetky údaje, ktoré o študentovi vedie vysoká škola (centrálny register je vlastne prostým zlúčením registrov všetkých vysokých škôl) a už tu by mal zazvoniť alarm! Veď ministerstvo je voči študentovi v inom vzťahu ako vysoká škola a aj činnosti, ktoré ministerstvo vykonáva, sa líšia od tých ktoré sú charakteristické pre vysoké školy – naozaj potrebuje ministerstvo mať o študentovi taký istý rozsah osobných údajov ako vysoká škola?
Zoberme si napríklad údaje o tzv. špecifických potrebách študenta, ktoré vypovedajú o jeho telesnom postihnutí, psychickom ochorení, vývojových poruchách, a podobne. Je zrejmé, že škola tieto údaje potrebuje spracúvať na to, aby ich mohla zohľadniť pri vytváraní vhodných podmienok aj pre takýchto študentov – napríklad pri pridelení vhodného ubytovania, a podobne. O potrebe spracúvania údajov takéhoto charakteru vysokou školou teda niet pochybností – podmienka primeranosti rozsahu spracúvaných údajov je naplnená. A teraz položme logickú otázku – na aký účel potrebuje ministerstvo spracúvať takéto údaje o študentovi?
Podľa zákona má centrálny register študentov slúžiť na „evidenciu študentov a na štatistické účely a rozpočtové účely“. Ak by šlo o spracovanie na štatistické účely, pokojne by stačilo vychádzať zo súhrnných (agregovaných) údajov, ktoré môžu ministerstvu poskytnúť jednotlivé vysoké školy a takéto údaje o individuálnych študentoch by sa na ministerste ani nemuseli nachádzať – napriek tomu autori zákona trvajú na spracovaní všetkých individuálnych údajov o študentoch aj v centrálnom registri. Aj keď prihliadnem na úlohy, ktoré ministerstvo na rozdiel od vysokej školy plní, nenachádzam žiaden racionálny dôvod pre to, aby centrálna evidencia všetkých študentov študujúcich na vysokých školách na Slovensku obsahovala aj takéto detaily (zvlášť keď tie sa – odôvodnene – spracúvajú v registroch príslušných vysokých škôl).
Uvedený príklad nasvedčuje tomu, že autori zákona nechápu, o čom vlastne je ochrana osobných údajov a výsledkom je prevádzkovanie informačného systému, ktorý popiera najzákladnejšie princípy ochrany osobných údajov presadzované v EÚ, teda primeranosť rozsahu spracúvaných osobných údajov. Za týchto okolností sa nedá vylúčiť jednak to, že spomínaný centrálny register obsahuje aj ďalšie osobné údaje, ktoré nie sú primerané deklarovanému účelu, ale ani to, že tento prípad nie je ojedinelý. Nestálo by za zváženie dôkladné posúdenie aspoň tých najväčších informačných systémov štátnej správy z pohľadu primeranosti rozsahu osobných údajov, ktoré sa tam spracúvajú? Alebo aspoň sa usilovať, aby sa v legislatívnom procese našlo miesto pre niekoho, kto má aspoň potuchy o tom, o čom je ochrana osobných údajov? Zdá sa totiž, že ide o systémový problém.
Subjekt, ktorý chce spracúvať osobné údaje, vo všeobecnosti na to potrebuje súhlas dotknutých osôb – vzhľadom na ďalšie súvisiace povinnosti, ktoré mu ukladá zákon (o ochrane osobných údajov), má teda motiváciu na dôkladné premyslenie a prípravu informácií – argumentov pre dotknuté osoby na získanie ich súhlasu. Dá sa teda očakávať, že si naozaj premyslí na aký účel a aké údaje bude zbierať, aby minimalizoval odmietnutie dotknutých osôb. Iné to je v prípadoch, kedy taký súhlas nie je potrebný, teda ak spracúvanie (vymedzených) osobných údajov nariaďuje alebo umožňuje nejaký zákon – prevádzkovateľ systému sa nemusí zamýšľať nad argumentami, na aký účel potrebuje tie údaje, či prečo požaduje práve ten či onen údaj, prípadné otázky či protesty elegantne vyrieši odkazom na zákon. Problémom potom je, ako zabezpečiť, aby taký zákon bol kvalitne pripravený a jeho autori rozumeli základným princípom ochrany osobných údajov, ktoré by pri tvorbe zákona zohľadnili – vyššie uvedený text ukazuje, že sa nedá spoľahnúť, že to automaticky tak bude…
Jozef