Kto si uvedomuje, čo prinesie nové Nariadenie o ochrane osobných údajov?
Nedávno som bol účastníkom dvoch odborných konferencii o ochrane súkromia – Annual Privacy Forum 2016 (Frankfurt, Nemecko) a NIOS 2016 (Mojmírovce, Slovensko). Obidve nadväzovali na v máji tohto roku zverejnené Nariadenie o ochrane osobných údajov, známe tiež pod skratkou GDPR (General Data Protection Regulation), ktoré od 25. mája 2018 v celej EÚ nahradí jednotlivé národné zákony o ochrane osobných údajov. Zaujímavá skúsenosť.
Vo Frankfurte ma okrem niektorých prednášok a rozhovorov so známymi zaujalo, akú výraznú úlohu medzi organizátormi, ale aj účastníkmi (desatina z bezmála stovky zaregistrovaných účastníkov), konferencie zohrávala ENISA (European Network and Information Security Agency). Organizácia, ktorá sa na svojej stránke prezentuje ako „centre of expertise for cyber security in Europe“ evidentne považuje ochranu súkromia za dôležitú súčasť oblasti, na ktorú je zamerané jej poslanie. Toto pekne kontrastuje so situáciou na Slovensku, kde medzi úlohami v Akčnom pláne realizácie Koncepcie kybernetickej bezpečnosti bude človek márne hľadať niečo, čo súvisí s ochranou súkromia, resp. do ktorej by bol zapojený Úrad na ochranu osobných údajov. Vyzerá to, že náš Úrad na ochranu osobných údajov pri príprave Akčného plánu nevidel príležitosť zapojiť sa a – čo je azda ešte horšie – nechýbal tam ani Národnej autorite pre kybernetickú bezpečnosť (NBÚ SR).
Konferenciu „Nariadenie o ochrane osobných údajov – re/štart“ v Mojmírovciach zorganizoval len nedávno sformovaný, ale zato agilný, Nezávislý inštitút ochrany súkromia. Prednášky i diskusie rozobrali množstvo praktických problémov, ktoré sa dajú očakávať, keď sa Nariadenie začne uplatňovať bez náležitého metodického usmernenia a výkladu jeho viacerých nejednoznačných ustanovení. Na konferencii prevažovali právnici a preto neprekvapilo, že opakovane zaznievali varovania o hroziacej právnej neistote. S tým kontrastuje skutočnosť, že Úrad na ochranu osobných údajov na svojej webstránke Nariadeniu (zatiaľ) venoval len kratučký (3 vety) oznam o jeho zverejnení v Úradnom vestníku EÚ a o tom, že do začatia jeho uplatňovania sa naďalej aplikuje zákon č.122/2013 Z.z. o ochrane osobných údajov.
Skrátka, s výnimkou nie veľkého počtu ľudí hlbšie sa zaujímajúcich o ochranu osobných údajov, na Slovensku si málokto uvedomuje, ako sa o rok a pol zmení situácia v tejto oblasti. Viem síce o niekoľkých spoločnostiach, ktoré už začali analyzovať dopady Nariadenia na svoju činnosť a pripravovať kroky na svoje zosúladenie s jeho požiadavkami tak, aby to stihli do mája 2018, ale nie je ich veľa. Pokiaľ Úrad na ochranu osobných údajov okrem svojich aktivít zameraných na deti a mládež nezačne včas a výrazne upozorňovať na zmeny, ktoré Nariadenie prinesie, témy sa nechytia ani médiá a chaos, ktorý sa následne v roku 2018 dá očakávať, vyvolá len ďalšie nenávistné postoje organizácií k problematike ochrany osobných údajov. Stačí si len spomenúť, čo sa odohrávalo na sklonku, resp. po formálnom ukončení, prechodného obdobia po prijatí v súčasnosti platného zákona o ochrane osobných údajov (č. 122/2013 Z.z.). Rád by som sa v tomto mýlil.
